高時(shí)效自動(dòng)化全量安全管理

目前單位主要依托手工管理或借助資產(chǎn)管理系統(tǒng)對(duì)資產(chǎn)進(jìn)行集中管理，缺乏自動(dòng)化的技術(shù)手段發(fā)現(xiàn)未知、私自接入的資產(chǎn)，導(dǎo)致資產(chǎn)接入覆蓋率真實(shí)情況無法統(tǒng)計(jì)，也無法及時(shí)感知資產(chǎn)異常變動(dòng)的情況，導(dǎo)致資產(chǎn)安全管理效果低下，所以“摸清家底兒”是單位開展各項(xiàng)工作的前提。單位對(duì)于資產(chǎn)管理主要有以下方面的要求：

1.管理范圍全面化

保證資產(chǎn)管理覆蓋率達(dá)到99%以上，只有對(duì)資產(chǎn)做到心中有數(shù)，才能進(jìn)一步發(fā)現(xiàn)安全風(fēng)險(xiǎn)，從而避免存在短板。

2.管理手段自動(dòng)化

擺脫傳統(tǒng)手工管理方式，依托自動(dòng)化的技術(shù)手段幫助管理員完成日常資產(chǎn)管理、運(yùn)維、監(jiān)控等相關(guān)功能，最大限度的降低人工干預(yù)；

3.管理周期高時(shí)效

周期性的獲取資產(chǎn)基礎(chǔ)及指紋信息，及時(shí)讓單位了解資產(chǎn)的最新與異常變化情況，幫助單位排查資產(chǎn)問題與風(fēng)險(xiǎn)。

從技術(shù)和業(yè)務(wù)層面描述如何解決資產(chǎn)管理全面性、資產(chǎn)管理的自動(dòng)化、資產(chǎn)管理的高時(shí)效等問題。

數(shù)據(jù)采集

采集設(shè)備的網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層面的數(shù)據(jù)，確保能夠全面掌握資產(chǎn)的類型基礎(chǔ)、指紋、配置信息。

1.網(wǎng)絡(luò)層數(shù)據(jù)采集

通過掃描嗅探、配置分析、日志解析、鏡像流量等多種方式獲取網(wǎng)絡(luò)層IP地址

系統(tǒng)實(shí)現(xiàn)

圖1 配置分析方式發(fā)現(xiàn)新資產(chǎn)流程圖

信息，發(fā)現(xiàn)未知資產(chǎn)。

掃描嗅探方式：

在網(wǎng)絡(luò)層數(shù)據(jù)收集的初級(jí)階段可使用Masscan進(jìn)行目標(biāo)網(wǎng)段資產(chǎn)做情勢(shì)了解。

配置分析方式：

依賴已錄入的資產(chǎn)信息，需要初始化錄入部分設(shè)備信息，錄入的設(shè)備種類越全面、數(shù)量越多，則未知設(shè)備發(fā)現(xiàn)算法收斂速度越快，可更迅速而準(zhǔn)確的發(fā)現(xiàn)未知設(shè)備。通過采集、分析設(shè)備ARP表、MAC表、路由表、接口信息表等信息的方式，從網(wǎng)絡(luò)層發(fā)現(xiàn)未知資產(chǎn)，如圖1。

日志解析方式：

采集各種安全設(shè)備的日志信息，如防火墻、WAF、IDS等，詳細(xì)分析日志，重點(diǎn)關(guān)注日志中出現(xiàn)的源地址、目的地址、源端口、目的端口等，發(fā)現(xiàn)其中未知的IP資產(chǎn)，掌握其基本行為特征，如圖2。

鏡像流量方式：

在網(wǎng)絡(luò)節(jié)點(diǎn)中部署專門的流量分析設(shè)備，以旁路鏡像的方式對(duì)網(wǎng)絡(luò)流量流向特征進(jìn)行捕捉分析，逐層拆封數(shù)據(jù)報(bào)文，解析協(xié)議頭部中的MAC地址信息、IP地址信息、端口信息等，分析其通信特征、流量特征、流向特征，從而發(fā)現(xiàn)和追蹤未知IP信息，流程如圖3。

2.系統(tǒng)層數(shù)據(jù)采集

掃描嗅探方式：

使用Nmap進(jìn)行進(jìn)一步的系統(tǒng)層數(shù)據(jù)采集，Nmap負(fù)責(zé)采集設(shè)備的基礎(chǔ)指紋信息，如操作系統(tǒng)類型、版本、名稱、MAC地址等。

配置分析方式：

登錄主機(jī)類型設(shè)備，獲取設(shè)備的基礎(chǔ)指紋信息等配置內(nèi)容，基礎(chǔ)指紋信息應(yīng)包括：操作系統(tǒng)類型、操作系統(tǒng)版本、主機(jī)名稱、設(shè)備型號(hào)、設(shè)備廠家、MAC地址、主板序列號(hào)等。

圖2 日志解析方式發(fā)現(xiàn)新資產(chǎn)流程圖

圖3 鏡像流量方式發(fā)現(xiàn)新資產(chǎn)流程圖

圖4 配置解析方式采集系統(tǒng)層數(shù)據(jù)

圖5 配置解析方式采集應(yīng)用層數(shù)據(jù)

如圖4，通過Telnet、SSH（v1、v2）等協(xié)議登錄主機(jī)類型設(shè)備；執(zhí)行獲取操作系統(tǒng)類型、操作系統(tǒng)版本、主機(jī)名稱、設(shè)備型號(hào)、設(shè)備廠家、MAC地址、主板序列號(hào)的指令；根據(jù)不同設(shè)備回顯信息設(shè)置不同的正則表達(dá)式進(jìn)行回顯解析；根據(jù)結(jié)果提取結(jié)果中的操作系統(tǒng)類型、操作系統(tǒng)版本、主機(jī)名稱等字段。

3.應(yīng)用層數(shù)據(jù)采集

掃描嗅探方式：

包括端口掃描、Web指紋采集等，端口掃描主要用Nmap工具，而Web指紋采集主要用WhatWeb。

配置分析方式：

登錄主機(jī)類型設(shè)備，獲取設(shè)備端口、進(jìn)程、服務(wù)、軟件信息、補(bǔ)丁、啟動(dòng)項(xiàng)、接口信息等配置內(nèi)容。

如圖5，通過 Telnet、SSH等協(xié)議登錄主機(jī)類型設(shè)備；執(zhí)行獲取端口、進(jìn)程、服務(wù)、軟件信息、補(bǔ)丁、啟動(dòng)項(xiàng)、接口信息等配置內(nèi)容的指令；根據(jù)不同回顯信息設(shè)置不同的正則表達(dá)式進(jìn)行回顯解析；根據(jù)解析結(jié)果提取結(jié)果中的端口、進(jìn)程、服務(wù)、軟件信息補(bǔ)丁、啟動(dòng)項(xiàng)等配置內(nèi)容。

數(shù)據(jù)整理、對(duì)比和更新

1.數(shù)據(jù)整理

通過一系列自動(dòng)化數(shù)據(jù)采集手段，已經(jīng)將設(shè)備的各類數(shù)據(jù)悉數(shù)收集到系統(tǒng)中來，覆蓋到網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等三個(gè)層面。

系統(tǒng)根據(jù)采集到的數(shù)據(jù)進(jìn)行整理，初步形成資產(chǎn)指紋版本，為后續(xù)比對(duì)過程做數(shù)據(jù)準(zhǔn)備。同時(shí)為了滿足高時(shí)效性等特點(diǎn)，應(yīng)根據(jù)不同采集項(xiàng)的敏感程度設(shè)置不同的采集粒度，如應(yīng)用層端口配置敏感程度較高，采集粒度應(yīng)至少設(shè)置為每天或每周；而系統(tǒng)層的主機(jī)名稱敏感程度偏低，采集粒度可以設(shè)置為每月或每季度等。

2.數(shù)據(jù)比對(duì)

資產(chǎn)受人為、環(huán)境等因素影響，資產(chǎn)數(shù)據(jù)會(huì)經(jīng)常發(fā)生變化，如何及時(shí)察覺資產(chǎn)數(shù)據(jù)變化的異常情況，就需要系統(tǒng)定期建立資產(chǎn)指紋快照，對(duì)各版本（默認(rèn)是當(dāng)前與上一次的版本）的指紋數(shù)據(jù)進(jìn)行比對(duì)，發(fā)現(xiàn)資產(chǎn)數(shù)據(jù)變化的情況，將變化情況提交給資產(chǎn)管理員進(jìn)行確認(rèn)，及時(shí)發(fā)現(xiàn)資產(chǎn)異常變化情況，杜絕安全隱患，如圖6。

圖6 數(shù)據(jù)比對(duì)流程圖

圖7 數(shù)據(jù)更新流程圖

3.數(shù)據(jù)更新

在資產(chǎn)比對(duì)環(huán)節(jié)后，系統(tǒng)會(huì)自動(dòng)通知資產(chǎn)管理員資產(chǎn)變動(dòng)情況，由資產(chǎn)管理員進(jìn)行確認(rèn)。當(dāng)資產(chǎn)管理員確認(rèn)了變動(dòng)情況，系統(tǒng)會(huì)自動(dòng)將資產(chǎn)指紋記錄進(jìn)行更新,如圖7。

4.整體流程

建立資產(chǎn)責(zé)任人制度，合理安排人員崗位，明確職責(zé)。避免出現(xiàn)故障時(shí)，相關(guān)負(fù)責(zé)人互相推脫或者不知該找誰解決問題的情況，從而保障在資產(chǎn)出現(xiàn)問題時(shí)能夠第一時(shí)間找到相關(guān)負(fù)責(zé)人去解決問題并快速恢復(fù)。

將各種監(jiān)控設(shè)備通過集中展現(xiàn)和告警的方式進(jìn)行統(tǒng)一管理，通過可視化界面快速了解系統(tǒng)當(dāng)前的運(yùn)行狀態(tài)及異常情況。

高效合理的流程設(shè)置和流轉(zhuǎn)，相互關(guān)聯(lián)的事件工單、問題工單、變更工單使得運(yùn)維工作流轉(zhuǎn)過程中的資源關(guān)聯(lián)清晰、過程明確可控、歷史數(shù)據(jù)和處理過程可查。準(zhǔn)確的配置管理庫可為運(yùn)維服務(wù)提供所需的配置項(xiàng)信息，降低IT運(yùn)維人員工作量。

資產(chǎn)檔案管理，可對(duì)所有管理資產(chǎn)一目了然，準(zhǔn)確記錄資產(chǎn)的使用狀態(tài)和歷史過往信息。

建立知識(shí)庫積累，避免專業(yè)的技術(shù)問題永遠(yuǎn)只能依賴某些專業(yè)人員來解決的現(xiàn)狀。通過共享運(yùn)維工作中的實(shí)際經(jīng)驗(yàn)和專業(yè)知識(shí)，擺脫以往只能靠某個(gè)人解決固定問題的現(xiàn)象，實(shí)現(xiàn)人人都成為IT運(yùn)維專家。