淺談運營商互聯(lián)網(wǎng)資產(chǎn)的風(fēng)險識別與評估

李昀

【摘要】隨著大數(shù)據(jù)技術(shù)盛行，互聯(lián)網(wǎng)業(yè)務(wù)正隨著技術(shù)的發(fā)展變得越來越復(fù)雜，運營商自有業(yè)務(wù)網(wǎng)絡(luò)范圍內(nèi)的系統(tǒng)變得種類繁多、數(shù)量龐大，但隨之而來的網(wǎng)絡(luò)安全風(fēng)險日益加大，網(wǎng)絡(luò)安全形勢空前嚴峻。本著降低運營商網(wǎng)絡(luò)資產(chǎn)風(fēng)險，通過建立網(wǎng)絡(luò)資產(chǎn)核查和風(fēng)險驗證服務(wù)器，實現(xiàn)網(wǎng)絡(luò)資產(chǎn)快速梳理和風(fēng)險自動識別和評估驗證，從而實現(xiàn)對網(wǎng)絡(luò)資產(chǎn)的可知、可查、可管可控。

【關(guān)鍵詞】大數(shù)據(jù) 互聯(lián)網(wǎng)資產(chǎn) 風(fēng)險識別 安全評估

隨著大數(shù)據(jù)技術(shù)盛行，互聯(lián)網(wǎng)在線業(yè)務(wù)正隨著技術(shù)的發(fā)展變得越來越復(fù)雜。由于B/S架構(gòu)正在成為當前互聯(lián)網(wǎng)在線業(yè)務(wù)的主流形式，因此，圍繞著B/S架構(gòu)下的各種開源應(yīng)用、程序和組件也越來越豐富。隨著這些開源系統(tǒng)的逐漸豐富，安全問題也隨之逐步暴露，全球范圍內(nèi)的通用漏洞開始呈現(xiàn)出爆發(fā)式的增長趨勢。面對嚴峻的網(wǎng)絡(luò)安全形勢，國家和企業(yè)對防范網(wǎng)絡(luò)安全風(fēng)險都非常重視，兩部委更將網(wǎng)絡(luò)信息安全考核納入各運營商經(jīng)營業(yè)績考核綜合扣分項，為切實提高系統(tǒng)安全保障水平，更好地提升公司各系統(tǒng)的安全防護能力，需要增強對于公司重要系統(tǒng)的安全風(fēng)險控制，持續(xù)不斷的發(fā)現(xiàn)系統(tǒng)安全風(fēng)險并及時進行糾正。

傳統(tǒng)的網(wǎng)絡(luò)安全掃描主要利用TCP及ICMP協(xié)議工作原理，一般通過在每個域內(nèi)架設(shè)探針，掃描目標主機并識別其工作狀態(tài)（如開關(guān)機），識別目標主機端口狀態(tài)（打開或關(guān)閉），以及目標主機系統(tǒng)和服務(wù)的類型版本等，還可根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點，生成掃描結(jié)果報告以供參考。

傳統(tǒng)掃描實施簡單，但存在以下幾個方面問題：一是面對運營商龐大的網(wǎng)絡(luò)，想要得到高效的掃描，必須在網(wǎng)絡(luò)中部署大量的探針設(shè)備，投資較大；二是漏洞掃描結(jié)果中含有大量的疑似風(fēng)險或漏洞，風(fēng)險是否真實存在，無法驗證，誤報率較高；三是自動化程度較低，需要耗費大量的人工。

鑒于上述情況，擁有龐大網(wǎng)絡(luò)資產(chǎn)的運營商，想要動態(tài)的掌握資產(chǎn)的安全狀況，如能建設(shè)一套自動化程度更高的系統(tǒng)，在資產(chǎn)識別和安全評估方面將起到事半功倍的效果。可重點從以下幾方面考慮：

一、建立網(wǎng)絡(luò)資產(chǎn)核查服務(wù)器，快速梳理網(wǎng)絡(luò)資產(chǎn)。

為解決快速準確核查現(xiàn)網(wǎng)資產(chǎn)，需建立資產(chǎn)核查手段，主要基于TCP協(xié)議、ICMP協(xié)議工作原理，綜合運用端口掃描等多種手段，準確、快速的發(fā)現(xiàn)目標中存活的網(wǎng)絡(luò)設(shè)備，識別其相關(guān)屬性：如開放端口、提供服務(wù)、設(shè)備類型和廠商、使用組件名稱和版本等。根據(jù)運營商眾多設(shè)備類型的現(xiàn)狀，可探測的網(wǎng)絡(luò)上的設(shè)備類型應(yīng)至少包括：網(wǎng)絡(luò)設(shè)備、主機、網(wǎng)絡(luò)安全設(shè)備、各種應(yīng)用系統(tǒng)（數(shù)據(jù)庫系統(tǒng)、WEB服務(wù)中間件系統(tǒng)等）、存儲設(shè)備、虛擬機等。可探測的軟件包括：數(shù)據(jù)庫軟件、防護軟件、郵件服務(wù)軟件、FTP服務(wù)軟件、Web容器、Web框架、Web語言、Web前端庫、Web應(yīng)用程序等。探測識別目標所使用的操作系統(tǒng)類型，應(yīng)至少包括：Windows系列、linux等各類操作系統(tǒng)。為適應(yīng)各種情景的掃描需求，應(yīng)可根據(jù)給定的關(guān)鍵詞進行目標詳情信息搜索，同時支持單字段精確搜索和多字段模糊搜索，并將目標的所有信息聚合進行展示。

通過建立核查服務(wù)器，可隨時了解管理范圍內(nèi)的資產(chǎn)實時情況，如新增資產(chǎn)、資產(chǎn)應(yīng)用變更、資產(chǎn)消除等，從而實現(xiàn)資產(chǎn)的實時核查。

二、實現(xiàn)安全風(fēng)險系統(tǒng)驗證能力，提高風(fēng)險識別準確率。

區(qū)別于傳統(tǒng)漏洞掃描，新系統(tǒng)將致力于提高風(fēng)險漏洞的驗證準確率，通過網(wǎng)絡(luò)資產(chǎn)核查，獲得目標網(wǎng)絡(luò)空間資產(chǎn)范圍內(nèi)設(shè)備的應(yīng)用信息，如系統(tǒng)平臺、組件、插件的類型與版本信息；提供服務(wù)或應(yīng)用的類型等信息。通過與系統(tǒng)風(fēng)險驗證模塊內(nèi)的安全漏洞庫進行信息匹配與真實性驗證，了解基線是否真實存在安全風(fēng)險利用點，可識別的安全風(fēng)險利用點主要包括：SQL注入漏洞、XSS跨站漏洞、代碼執(zhí)行漏洞、文件上傳漏洞、信息泄漏漏洞、后門漏洞等；將網(wǎng)絡(luò)資產(chǎn)的自有屬性（資產(chǎn)歸屬和重要性等屬性）與信息核查結(jié)果進行融合，管理收集與主動采集兩個手段相配合。通過對目標網(wǎng)絡(luò)資產(chǎn)安全風(fēng)險驗證，獲取風(fēng)險點設(shè)備信息，快速查詢資產(chǎn)并核查數(shù)據(jù)，定位目標網(wǎng)絡(luò)空間的設(shè)備問題；通過已知或未知漏洞的影響特性和特征屬性，定制形成驗證漏洞真實風(fēng)險的程序包，對網(wǎng)絡(luò)資源和設(shè)備資產(chǎn)進行系統(tǒng)自動化的漏洞驗證，確保網(wǎng)絡(luò)資產(chǎn)風(fēng)險可知、漏洞可查、影響可控。同時對存在的設(shè)備提供基線安全核查，方便起見，核查周期可自由設(shè)定，支持進行持續(xù)的自動化工作。并提供有效的安全管理控制技術(shù)能力并為后續(xù)的整改、加固工作提供有效的數(shù)據(jù)支持。

通過風(fēng)險驗證，及時了解管理范圍內(nèi)的資產(chǎn)的基線安全情況；快速給出風(fēng)險評估意見；系統(tǒng)針對每個漏洞，提供漏洞修復(fù)建議，如補丁下載鏈接、系統(tǒng)加固方案等，幫助全面認識漏洞，并快速的完成漏洞修復(fù)工作。在安全處置整改后，系統(tǒng)針對目標網(wǎng)絡(luò)設(shè)備的漏洞修復(fù)情況，進行復(fù)查，判斷漏洞修復(fù)情況，評估安全處置工作的有效性。

三、在資產(chǎn)風(fēng)險梳理識別基礎(chǔ)上，形成安全風(fēng)險預(yù)警能力。

針對網(wǎng)絡(luò)進行安全風(fēng)險的探測與驗證，進而獲得第一手的風(fēng)險評估數(shù)據(jù)，并通過這些風(fēng)險評估數(shù)據(jù)，結(jié)合網(wǎng)絡(luò)空間安全最新情況，形成安全預(yù)警信息，從而實現(xiàn)運營商的安全預(yù)警能力。通過在整體網(wǎng)絡(luò)空間探測的基礎(chǔ)上，不斷強化和完善其探測引擎和程序包規(guī)則，同時，依托于云安全大數(shù)據(jù)分析技術(shù)，不斷分析研究來自網(wǎng)絡(luò)空間安全漏洞攻擊原理并以此建立起精準的漏洞驗證信息庫。將兩方面能力相結(jié)合，為互聯(lián)網(wǎng)信息安全管理和工作提供有效的網(wǎng)絡(luò)空間測繪能力與服務(wù)。

通過建設(shè)網(wǎng)絡(luò)資產(chǎn)核查與安全風(fēng)險驗證系統(tǒng)用來實現(xiàn)為運營商提供網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)、資產(chǎn)自動識別、設(shè)備存活檢查、開放服務(wù)信息、操作系統(tǒng)版本、運行系統(tǒng)版本、Web應(yīng)用系統(tǒng)等。同時，通過與電信基線設(shè)備相匹配，可以識別出資產(chǎn)中存在的基線設(shè)備信息。配合風(fēng)險驗證模塊可以快速定位并精確核驗基線設(shè)備存在的安全風(fēng)險。可以針對目標網(wǎng)絡(luò)設(shè)備的資產(chǎn)信息和漏洞信息，進行數(shù)據(jù)統(tǒng)計和趨勢分析，從宏觀上展現(xiàn)網(wǎng)絡(luò)資產(chǎn)和風(fēng)險情況，及其變化趨勢。同時，還可以根據(jù)需求選擇數(shù)據(jù)統(tǒng)計和分析的不同維度，進行自定義的數(shù)據(jù)挖掘。

運營商的管理目標會處于一個長期持續(xù)運營、不斷發(fā)展的過程。因此，不可避免，對應(yīng)的安全管理要求也將是持續(xù)、實時性的。而通過資產(chǎn)核查和風(fēng)險驗證系統(tǒng)的建立，對管轄范圍內(nèi)的網(wǎng)絡(luò)資產(chǎn)進行長期、持續(xù)性的實時普查、核查以及風(fēng)險識別與確認的能力，從而持續(xù)降低運營商所面臨的風(fēng)險。endprint