基于IT 资产信息库的资产安全风险分析
2019-11-25 08:56:08中国民航信息网络股份有限公司李建欣韩杰
网络安全和信息化 2019年11期
■中国民航信息网络股份有限公司 李建欣 韩杰
随着企业信息化程度的逐步提升以及业务的不断发展和复杂化,大中型企业拥有大量的IT 系统,企业关键的信息资产也正是分布其中。这些IT 系统在为我们工作和生活提供便利的同时,也一直处于恶意攻击的阴影笼罩下,因此系统安全防范越来越重要。
而传统的IT 资产管理与信息安全管理往往没有进行深度融合,仍旧各自管理信息,成为了信息孤岛。因此,如何将IT 资产管理与信息安全管理进行有机融合,使得企业管理人员既能够从宏观角度了解企业内IT 资产当前的安全状态以便进行安全管理决策,又能从微观角度掌握单一资产的安全情况以便进行针对性的技术防护,成为了企业面临的一个重要课题。
本文会从信息安全管理角度,以IT 资产管理作为引导,详细介绍一种基于IT 资产信息库的资产安全风险分析方案。
表1 不同场景下使用的资产信息采集技术手段
IT 资产信息库的形成
企业内IT 资产信息库通常是以管理手段进行收集和维护的,比如通过管理手段要求资产负责方在CMDB 系统中进行录入。
成熟的CMDB 系统往往十分强大,几乎能够覆盖IT资产从采购到上架使用再到注销下架回收的整个生命周期。但是通过管理手段进行录入的CMDB 系统,在实际生产场景中存在一个重要短板:信息维护不够及时。比如资产的操作系统、数据库的类型或版本发生了变更,CMDB 中可能还是原来的过时信息。可见CMDB 系统中信息的有效性、真实性完全依赖于企业内部的管理制度,由此成为企业信息安全管理中的一个弱点,因为当有网络威胁事件发生时,管理人员却连资产的类型和版本都无法确定。
在本方案中,我们结合实际项目情况,对不同管辖权限和复杂环境中的资产采用不同的技术手段,采集和分析资产的指纹信息,结合CMDB 系统中录入的管理项信息,形成企业内及时有效的、真实权威的资产信息库。
表1 为在不同场景下所使用的资产信息采集技术手段,用于适应实际项目中复杂的情况。其中,通过Agent代理方式和指令通道的方式采集的资产指纹配置信息最为正确,采集的类型也是最全的,但是依赖于部署的Agent 当前运行权限的高低;通过对网络设备的数据进行分析也是一种获取资产信息重要的补充手段,一种方法通过对流量监控系统的数据进行分析,一种方式是登录到网络设备中获取其ARP 等信息,这种技术方式获取的资产信息较少,通常被用于未知资产发现;对于无任何管理权限,但是网络可达的资产,还可以采用远程扫描的方式对主机设备、B/S 系统进行指纹信息采集,这种技术方式的优点是无需对目标资产进行配置修改,缺点是操作不当可能会对企业内网通信产生一定的影响,因此需要视具体情况使用。
通过如上技术方式的综合使用,最终形成相较CMDB系统更具可信度的资产信息库,资产信息库数据模型示例如表2 所示。
IT 资产风险分析
形成企业内权威的资产信息库只是基础工作,只有资产信息库对于资产安全风险分析工作是远远不够的。本方案中,会把资产的指纹数据根据类型和版本提取CPE(Common Platform Enumeration,通用平台枚举)信息,并基于漏洞情报信息进行安全漏洞分析,并将资产相关的其他安全信息进行聚合,以有组织逻辑的形式进行抽象化提升,形成企业的资产画像。
表2 资产信息库数据模型示例
本方案中,首先根据指纹数据的类型和版本自动生成CPE 信息,然后将CPE 信息与漏洞情报进行分析匹配,将匹配命中的资产列为风险资产,并关联命中的漏洞信息。CPE 是一种针对厂商、系统、软件包进行的结构化命名规范,格式示例:cpe:/o:microsoft:windows_8.1,意为操作系统是微软的Windows,版本为8.1,主要来进行漏洞影响版本的匹配。图1 为将资产信息库中的CPE 信息与漏洞情报库分析匹配后命中的结果示例图。
除了基于CPE 信息与漏洞情报信息进行分析外,资产库还与其他安全平台进行联动获取这些平台上的数据信息,主要包括:威胁态势平台的资产关联信息、漏洞管理系统中已发生的资产漏洞信息、安全合规系统中的资产合规情况信息、防护态势系统中的资产的防护数据等,并结合如上关联数据形成了资产画像。在资产画像中,除了对相关信息进行分组,还根据其关联的安全信息进行综合安全分析。分析维度按照资产的安全整体情况、自身健康情况、面临的威胁程度、风险评级四个维度进行提示,用于管理人员的决策参考。图2 为某一资产的画像示意图。
实践与思考
企业IT 资产的信息安全保障离不开对资产自身的信息及时、完整的掌握,企业也亟需一套权威的资产信息库。在项目实践中,我们发现CMDB 系统在管理中的短板,并通过各种技术手段对资产信息进行采集,最终形成了企业内的资产信息库,这些资产的信息在日常信息安全管理中起到了极其重要的作用。但是在资产风险闭环管理工作中,仍旧需要依赖CMDB 系统中的管理项信息,比如资产负责部门、资产负责人及其联系方式等信息,因此本方案的作用不是要替代CMDB,而是从信息安全管理的视角去观察资产,审视资产的安全属性元素,利用资产的数据完成日常信息安全管理工作。
图1 将资产信息库中的CPE 与漏洞情报库分析匹配结果示例图
图2 资产画像示意图
结语
企业的资产管理工作繁杂且单调,而相关的安全属性又常常不在资产的管理范围内,资产家底不清,积极防御无从谈起,出现安全事件时就会无从下手。
信息安全是一个长期对抗的过程,建立基于企业IT资产信息库的安全风险分析方案,应对日益复杂的安全攻击,企业作为防守方仍旧任重而道远。
猜你喜欢
承德医学院学报(2023年1期)2023-02-08 08:51:56
今日农业(2022年13期)2022-09-15 01:21:08
新生代(2018年16期)2018-11-13 23:14:18
现代企业文化(2018年13期)2018-06-09 08:22:16
消费导刊(2017年20期)2018-01-03 06:26:38
中国卫生(2016年5期)2016-11-12 13:25:28
儿童时代(2016年6期)2016-09-14 04:54:43
公民与法治(2016年21期)2016-05-17 04:19:31
中国卫生(2015年12期)2015-11-10 05:13:38
江苏年鉴(2014年0期)2014-03-11 17:10:07
