基于CMDB的资产识别与管理系统设计与实现

蔚周鹏,陈俊丽,张汉举

(1.上海大学 通信与信息工程学院,上海 200444;2.上海博弋信息科技有限公司,上海 200030)

0 引 言

大数据和云服务的快速发展促使企事业单位资产规模不断扩大,当前多数企事业单位的资产种类繁多、地点分散,资产信息的采集存在多个数据源,这些均加大了资产高效管理的难度。资产类别属性标准单一导致无法有效实施资产的量化管理。同时,多数组织未能对采集后的资产数据整合应用,不利于制定资产投入使用、日常维护及其变更等相关规划,未能有效挖掘资产信息的价值。

CMDB[1-3]全称是Configuration Management Database,是一种配置管理数据库。英国国家计算机和电信局于1999年推出了ITIL的V2版本并提出了CMDB概念。CMDB在实现资产精准管理和全面监控等方面发挥巨大价值,能够有效地组织各种形态的资产数据,释放资产信息价值。基于CMDB的资产识别与管理系统的设计实现企事业单位对资产的高效管理,通过识别、检查、维护资产资源,提供准确的配置信息给所需资产业务,从而落实全面、高效、可持续的面向业务服务的资产管理。多数企事业单位搭建的CMDB系统不能满足日常资产梳理的要求,也无法发现目标资产的威胁特征和脆弱特征,缺乏对资产信息的价值分析。市场上常用的CMDB软件有OneCMDB,主要应用于中小规模公司,帮助组织管理多类软硬件资产,不过自动化导入只适配Nagios系统,局限性较大。

基于上述情况,该文设计了一种基于CMDB的资产识别与管理系统,建立了规范的资产属性标准,有效降低了资产维护的成本,提高组织内部的管理效能。资产识别[4]是实现企事业单位内部网络安全管理的关键步骤。本系统通过资产识别对目标信息系统的资产进行识别分析,形成对组织信息系统的基本认识。从资产管理[5-6]的角度来看,资产识别为企事业单位的资产管理工作提供信息基础。通过资产管理可以掌握组织内部的资产情况,当某资产存在漏洞,资产管理人员可以准确地做出响应措施,避免漏洞带来威胁。同时对闲置资产及时做出分析、处理,防止安全问题产生。并且,提出了一种资产安全分析计算的方法,对资产的价值、脆弱特征、威胁特征进行计算,帮助企事业单位组织开展风险评估[7-9]工作。

1 系统的设计实现

1.1 系统框架设计

资产识别与管理系统的建设通过规范化资产属性和功能模块的开发,实现资产信息同步变更,避免冗余资产数据堆积。系统整体框架如图1所示。

图1 核心技术框架

由图1可知,本次系统设计首先基于各类资产信息,完成规范的资产属性设计,再从Windows域、安全属性信息、虚拟化资源中动态地获取资产信息,有效解决资产采集的瓶颈问题,实现资产快速准确的采集,最后针对资产当前的特征信息进行安全分析计算[10-14],有效解决了在资产管理过程中资产信息统计不精确、使用现状不清晰等问题。

1.2 资产安全属性的设计

通过对多家企事业单位资产情况调研,将收集的资产信息进行分析总结,建立了规范的资产属性,保持了资产数据的完整性。表1列出了本系统在目标资产属性与其它系统的对比。

表1 资产属性对比

由表1可知,市场的CMDB和本系统相比,在基本数据和位置信息两类属性信息基本一致,但参数数据、管理数据、时间特性和安全属性中的属性信息没有本系统完善。故与其它平台属性相比,本系统设计的属性优点如下:

(1)提高了信息资产数据的使用效率;

(2)降低了后续数据的维护成本;

(3)考虑了资产的时间特性,捕获了资产的动态演变,帮助识别脆弱资产;

(4)加入安全属性,促进落实资产安全性评估。

1.3 动态资产收集

1.3.1 基于Windows域的信息采集

LDAP是一种目录访问协议,在Windows域环境中基于该协议实现企业级的信息管理。基于LDAP协议框架的四种模型落实Windows基础域环境信息的查询与更新。LDAP利用信息模型确认信息的表示方式和信息类型,使用规范的Schema,加强信息之间的联通;利用命名模型确定协议中条目定位方式;在功能模型中实现域环境的信息操作,主要是查询类操作、更新类操作、认证类操作和其它操作;通过安全模型提供了基于SSL/TLS的通讯安全保障,加强了Windows基础域信息采集过程中的安全性,防止信息受到未经授权的访问。基于LDAP协议的Windows域信息管理,实现对公司所有用户账户、用户登录行为、密码状态、安全权限、组织单元架构、计算机、域控制器、工作站、组等信息的收集管理。图2为本系统对计算机对象累计登录次数的展示。

图2 计算机累计登录次数

图2记录了域中计算机对象的峰值登录次数,当组织内部出现关键登录事件时,对登录情况的记录分析能够帮助排查跟踪异常登录现象,判断是否存在违规行为。

1.3.2 安全属性信息采集

安全属性信息的采集对象主要是组织内部网络和服务的使用状况、脆弱特征、威胁特征等,对采集后的安全信息进行管理,为安全分析工作提供数据支撑。数据交互有PUSH模式和PULL模式,其中PUSH模式是监控对象主动推送数据,保证了信息的时效性,但是在数据量过大时,可能造成数据堆积,若处理不及时可能导致服务崩溃;PULL模式是主动获取监控项指标,该模式下数据的利用性强,但是时效性一般。从数据完整性的角度来看,PULL模式每次主动获取信息,明确信息完整度,若存在数据缺失也可及时做出分析处理;从灵活性的角度来看,PULL模式在信息配置上明确自身指标,对信息完成二次加工利用。

结合实际环境,基于PULL模式实现安全属性信息采集,具体操作如图3所示,结合CMDB系统实现资产信息关联,完成信息加工。由图3可知,利用系统接口采集资产配置的弱点信息、漏洞信息[15]、网络异常行为以及资产性能信息等,落实资产脆弱特征和威胁特征的管理,并对其实现监控展示。

图3 安全属性信息采集

在安全属性信息的采集管理下,针对漏洞信息的分析统计情况见表2中的漏洞信息统计。由表可知某制造业单位上海厂区的漏洞信息统计情况,汇总了上海厂区下各网段的存活主机数、高危漏洞覆盖主机数以及安全主机数。对高危漏洞进行排序后,通过漏洞信息的统计分析可以帮助该单位明确需要被优先解决的漏洞,最大限度地减少漏洞的威胁。

表2 采集信息统计

1.3.3 虚拟化资源采集

虚拟化资源采集的设计通过REST API接口实现了CMDB和虚拟资源信息之间的交互,REST API是基于HTTP协议的API,本次设计使用HTTP协议中的POST、GET、PUT以及DELETE等方法,实现用户对不同资源连接、管理等操作,其中数据的呈现方式为JSON。REST调用是无状态的,因此当出现故障,无状态组件可以根据实际环境开始状态转换来适应环境变化,故在资源管理中灵活性较高,同时具有简化的架构和改进的表示层,增强了后续二次开发的可扩展性。

基于REST API的开发,实现数据中心、集群、主机、虚拟机等信息的收集。在虚拟化资源应用下,对虚拟机相关属性信息的采集可如表2中虚拟资源信息统计所示。

由表2可知,通过对虚拟机状态及性能指标信息的采集,帮助落实可用性和性能方面的评估,降低了业务风险。方便管理员掌握虚拟环境的情况,避免闲置资源堆积,让虚拟化环境保持高效运行。

1.4 资产安全分析

1.4.1 资产价值分析

ISO27001规定数据资产具有保密性、完整性和可用性[16]3个安全属性。保密性按目标资产若泄露对组织造成的损害程度进行评定;完整性按资产受到未经授权的修改对组织造成影响的严重程度来判定;可用性是按目标资产的可用度在正常工作时间所达比例或者允许中断次数来评估。上述3个属性对目标资产造成的影响程度决定了资产价值。资产价值计算如下:

(1)

其中,Conf为保密性赋值;Int是完整性赋值;Avail为可用性赋值。Round1{}表示四舍五入处理,保留一位小数;0.5≤TC,TI,TA≤1.5,(TC+TI+TA)=3,TC,TI,TA默认都为1;资产价值的条件属性有保密性、完整性和可用性,管理者根据各属性的影响程度进行权重分配,完成资产价值的计算。本系统首先通过资产识别工作对资产进行分类梳理,然后在完成资产保密性赋值、完整性赋值和可用性赋值后便可开始资产价值的计算。同时,本系统结合实际情况对资产价值分析工作建立了统一标准,资产价值分析等级情况可如表3中资产价值部分所示。

表3 等级划分

1.4.2 脆弱特征分析

资产脆弱特征是资产在实际环境中存在的缺陷和弱点,主要从技术和管理两个方面考虑。技术层面脆弱特征从资产本身出发,如软件和系统上存在的漏洞;管理层面脆弱特征指结合资产的关联程度分析安全问题可能造成的危害。本系统对目标资产技术脆弱风险从漏洞角度考虑,按照漏洞危险程度和CVSS评分从高到低排列,漏洞风险值计算如下:

(2)

被测对象的配置检查风险可以由具体检查结果和重要程度进行计算,计算方式如下:

(3)

(4)

其中,wi为不符合配置项的权重,l为不符合配置项的个数;wj为部分符合配置项的权重,m为部分符合配置项的个数;wk为配置项的权重,n为所有配置项的个数。其脆弱值的计算如下:

v=wv*rv+wb*rb

(5)

针对不同配置检查项权重指标结合具体检查项进行调整,体现了重要程度不同的漏洞或者配置检查项对主机造成的影响。针对脆弱特征的分析,可知本系统首先在采集目标资产的脆弱特征信息后,完成资产的脆弱识别,再从目标资产的技术和管理两个层面上落实各自脆弱特征的计算,最后结合两者的计算值完成目标资产的脆弱特征计算。其中,脆弱特征的等级划分具体如表3中的脆弱特征部分所示。

1.4.3 威胁特征分析

威胁可能对资产造成损害,通常是安全事件发生的潜在原因。对威胁特征的分析[17],主要考虑它发生的可能性和造成的影响程度。威胁来源有多方面因素,包括人为因素和物理环境因素,归根结底,主要从内部(Vi)和外部(Ve)两个角度考虑。

T=Vi*Wi+Ve*We

(6)

结合实际情况,调整内部和外部威胁的对应权重完成威胁值计算。系统完成威胁特征信息收集后,开始对威胁特征进行识别,再从内部和外部两个角度取计算目标资产的威胁特征值。同时,不同目标资产的内外部威胁权重也是不一样的,最后,对目标资产计算出的威胁值进行等级划分。对于资产价值、脆弱特征、威胁特征的等级划分情况如表3所示。

由表3可知,资产价值的计算结果从高到低依次划分成5个级别,代表被评估资产的重要程度,主要依据目标资产被破坏后造成的影响来划分。其中,资产的重要程度越高,资产的价值就越高,被破坏后导致的影响也就越严重。脆弱特征的计算结果取值范围是0到10,共划分成5个等级,分别代表着脆弱特征的不同级别,等级越高则代表该目标资产的脆弱特征级别越高,被威胁利用成功的可能性也就越高。威胁特征的计算结果可以划分成5个等级,不同等级代表威胁特征发生的可能性,级别越高则可能性越高,最高为5级,最低为1级。

2 结果分析与展示

2.1 资产动态演变展示

资产的动态演变可从网段、主机数等角度进行分析,本系统对某大型制造业企业上海厂区在2021年和2022年进行了年度资产检测,基于检测结果对资产演变做出分析展示。图4是2022年在网段、端口等方面的主机同比增量情况统计。由图4得出:

图4 资产动态演变分析

(1)相较于2021年,2022年10.98.70.0网段新增主机数最多;

(2)2022年内,开放80端口和445端口主机数相对2021年增加明显;

(3)该厂区2022年内业务快速扩张,其中网段10.97.186.0是非服务器网段,进一步分析发现该网段下存在主机开放的80端口并非业务所需,建议将该端口关闭,防止恶意攻击者对开放端口进行漏洞探测和漏洞利用。

综上,组织内部当前各网段主机数量的变化情况尚未超出内部的承载能力。基于演变分析明确了各网段IP和端口的分布情况,帮助厂区核实排查,避免未授权端口出现使业务和数据受损,这是本系统开展资产动态演变分析工作的意义。

2.2 资产安全分析展示

现某企业实际资产评估[18-20]中,使用本系统开展资产安全分析工作。现选取部分资产进行分析,样例资产基本信息如表4所示。由表4可知样例资产的名称及其组成等基本信息,主要分为设备、软件和电子信息三类资产。表4中对资产选取的测试编号依次为S1到S5,在后续的表格中将会以编号代表对应的资产。

表4 样例资产安全分析结果

其中资产的保密性(C)、完整性(I)、可用性(A)以及存在的脆弱性和面临的威胁如表4所示。安全分析按照资产为中心的评估原则,利用本系统对其资产价值、脆弱特征和威胁特征进行计算,计算中考虑了各自特征主体或来源的不同,避免因资产特征的不同而造成误差,计算结果如表5所示。 根据表5可知:

表5 资产安全分析计算结果

(1)编号为S4的系统软件资产重要性为5,资产价值最高,其次是编号为S2的TDA设备重要性为4,需要注意提高在企业中保护优先级;

(2)编号为S3的机房设备(有监控)的脆弱程度最高,级别为4,其对应表4可知该设备存在高危漏洞,应及时修复,防止被恶意利用;

(3)其中,S1(个人办公电脑)、S3(机房设备)、S4(系统软件)、S5(监控视频)的威胁程度均为3,要结合具体资产面临的威胁做好防护措施降低威胁发生的可能性。

结合表4和表5可知该企业设备、软件、电子信息三种类型资产的安全分析情况,如图5所示。

图5 资产安全分析雷达图

由图5可知:

(1)当前设备类型资产重要性为4,脆弱程度和威胁程度均为3,建议对该类资产做安全加固;

(2)在该企业的所有资产中,软件类资产价值较高,重要性等级为5,威胁程度为3,注意降低软件保存介质为光盘、U盘等实物存在丢失或者保存在系统被误删的可能性;

(3)电子信息类型的重要性、威胁程度、脆弱程度等级均为3,需明确数据是否及时备份,防止数据丢失造成较大损失。

本系统通过资产价值评估促进资产优化配置,结合威胁程度、脆弱程度的评估结果明确目标资产发生安全事件的可能性和抵御安全风险的能力,对企业资产的安全状态做出判断。从信息安全体系建设角度来看,可以帮助组织做出预防性措施来降低安全脆弱性,做出保护性控制措施减少因威胁发生所造成的影响。

3 结束语

本次系统的设计,基于多家企事业单位的资产信息确定了各类资产对应的数据特征。系统支持动态采集各类资产信息,实现数据的实时更新,保证了信息的准确性和时效性,挖掘了资产信息的价值。系统中安全分析计算的设计为企事业单位针对资产的信息安全工作提供了数据支撑,当资产存在问题时,帮助技术人员及时明确资产责任人和所在位置等关键信息,避免造成更大的损失。本系统已在企事业单位中进行验证,帮助各组织有效推进资产信息数字化的进程。