運營商網絡資產安全管控技術與方案探討

1 引言

隨著互聯網的快速發展，電信運營商的業務發生了重大變革，網絡資產數量日益龐大,種類繁多,管控復雜。在網絡資產發現方面，單純依賴IP地址及端口標識已難以滿足網絡資產發現的準確性和全面性的需求，內網中存在大量難以定位和獲知信息的隱形網絡資產，這些資產存在的漏洞往往無法發現，從而給企業內網帶來不可預測的風險；在資產風險管控方面，Web資產安全檢測通常調用通用第三方掃描器，檢測時間長、成本高，對單個或少量Web網站尚可檢測，但針對大批量站點則難以快速排查定位安全風險，且對企業存量、增量漏洞難以管控。

2 網絡資產安全管控技術

對網絡資產進行全面發現建立完善的指紋信息庫，結合威脅情報掌握全網網絡資產的漏洞、風險情況，進而實現批量的風險監測與處置，能夠提高網絡資產安全管控效率，推進運營商網絡資產管控工作的逐漸深入。

2.1 網絡資產發現技術

網絡資產及其屬性發現與補全是網絡資產安全管控的重要基礎,遠程掃描是目前網絡資產發現的主要手段，其過程是通過發現目標主機或網絡，進行存活性判斷排除未存活的網絡資產，對存活目標主機運行的操作系統版本進行探測，掃描目標系統的TCP/IP端口，查看該系統處于監聽或運行狀態的服務等，建立IP+端口形式的網絡資產列表。同時，為達到繞過防火墻和入侵檢測設備的目的，遠程掃描工具往往采用一些規避技術，常用規避技術包括異常的IP包頭、在IP頭設置無效的字段值、通過超長包探測內部路由器、反向映射探測等。

2.2 網絡資產脆弱性發現技術

網絡資產脆弱性發現包含2個方面，一是基于掃描產品發現網絡資產脆弱性，二是借助威脅情報等第3方情報被動發現網絡資產脆弱性。

主動脆弱性掃描按照掃描目標可以分為基于主機的掃描、基于網絡的掃描、基于應用的掃描、基于安全審計的掃描。① 基于主機的掃描通過對系統中不恰當的系統設置、弱口令等涉及操作系統內核、文件屬性、操作系統補丁等方面的檢測準確定位和發現操作系統脆弱性，其不足是依賴于系統版本，升級較復雜；② 基于網絡的掃描是通過執行腳本文件對網絡系統進行非破壞性的攻擊，根據反應確定是否存在安全隱患，其不足在于無法解決網絡檢查的先天缺陷，比如傳統掃描無法穿越防火墻，無法解決拔掉網線、不開機等狀況對掃描的影響；③ 基于應用的掃描檢測應用軟件包的相關安全設置，其不足是側重于對應用設置是否合理的檢測，對規則制定的客觀性要求高；④ 基于安全審計的掃描是周期性的使用散列算法對系統特征信息如文件的屬性、注冊號等進行計算，通過特征的一致性檢測實現系統安全的檢測，其不足在于脆弱性發現的準確和全面性依賴于系統本身基線的配置，對自定義規則設置的要求高。

被動發現網絡資產脆弱性的主要方法是通過公開或者第三方漏洞采集與資產關聯。具體地，是通過爬蟲的方式，定期采集公網漏洞信息，包括：CVE 漏洞信息、CNVD漏洞信息、Bugtraq漏洞信息、360漏洞信息以及其他自定義互聯網漏洞信息平臺，通過關聯所轄資產，根據相應的系統、數據庫、中間件等版本信息，生成相應網絡資產的漏洞告警信息。

3 電信運營商大規模網絡資產安全管控方案

3.1 電信運營商網絡資產管控現狀及需求分析

（1）電信運營商網絡資產管控現狀

運營商資產逐漸云化，現網系統大多以“平臺+應用”的形式呈現，包含各種形態及不同類型的主機、操作系統、數據庫、中間件、網絡設備、應用軟件，具體如圖1所示。

圖1 運營商IT系統資產架構

目前電信運營商主要通過SOC基礎平臺的資產安全管控模塊來實現網絡資產安全管控，其管控的對象是現網具有IP地址可訪問的設備及開放的端口、服務、服務器上安裝的操作系統、中間件應用系統的版本信息。但現有手段存在嚴重不足：一方面，目前網絡資產主要是手工錄入方式，缺乏網絡資產自動發現手段，而且現有網絡資產管控主要為傳統意義上的固定網絡資產管控(如圖2所示)，對網絡資產的安全屬性記錄不全面、更新不及時、責任不明確。另一方面，工信部對資產安全管控提出動態掌握企業設備資產信息，并實現網絡資產與安全風險關聯管控的要求，目前運營商缺乏有效的網絡資產安全管控支撐系統，面臨監管挑戰。

圖2 某單位IT線條網絡資產管控現狀

3.2 電信運營商網絡資產安全管控方案

通過對網絡資產管控技術的研究以及運營商網絡資產管控現狀及需求分析，為實現“摸清家底，認清風險，找出漏洞，督促整改”的要求，同時確保合規達到主管監管要求，運營商應以省為單位建設網絡資產安全管控系統，本文提出了包括管控及展現層、存儲層、聚合層、采集層的資產安全管控系統架構，如圖3所示。

圖3 網絡資產安全管控系統架構

電信運營商網絡資產安全管控系統在采集層應該以主動發現、被動發現等自動發現技術為基礎，人工填報為輔助全面發現網絡資產。

聚合層實現網絡資產識別分析、指紋識別以及風險資產關聯驗證，存儲層構建完善的網絡資產庫、資產指紋庫及規則/索引/用戶信息庫。

管控/展示層完成資產信息、告警的呈現，通過規則、索引配置等完成批量的網絡資產安全風險管控。

其中，該方案的重點在于① 網絡資產發現：基于IAAS層、PAAS層和SAAS層的網絡資產發現，發現的技術手段包含不限于IP/端口掃描、協議識別、Agent代理、遠程登陸、日志分析、流量分析、調用鏈埋點等，提升網絡資產的發現速度和發現準確率，網絡資產發現框架如圖4所示。② 大規模網絡資產安全管控：以IP為根鍵，建立網絡資產應用層、主機層和數據庫指紋庫，根據網絡資產指紋生成網絡資產安全策略，快速高效針對網絡資產進行批量管控，提升網絡資產安全管控效率。網絡資產發現與風險管控流程框架如圖5所示。

圖4 運營商網絡資產全面發現框架

圖5 網絡資產發現與風險管控實現框架

IAAS層網絡資產發現方式：一方面，通過周期性/任務式的黑盒模式檢測進行網絡資產發現，利用掃描器發送探測報文到目標網絡資產，根據目標網絡資產回應的報文進行分析，與指紋庫對比識別，可獲取網絡資產的開放端口、服務、操作系統類型、版本、存活狀態等部分屬性信息，形成基于“IP+端口”的IAAS層網絡資產列表。其中，在掃描期間，對掃描探測任務（IP列表、端口探測等）應進行合理拆分、打亂順序掃描或設定不確定的間隔進行掃描，避免被設備的安全防御機制所阻斷。另一方面，對出口防火墻NAT映射表、防火墻會話日志、Web應用防火墻HTTP請求的host屬性等進行探測，發現后端服務器資源地址，通過服務器返回的HTTP響應信息，識別資產的服務類型，輔助發現已知網絡中的未發現網絡資產。此外，輔助利用遠程賬號登錄和安裝代理的方式作為白盒網絡資產發現的技術手段，提升網絡資產發現的全面性。其中，遠程賬號登陸包括接入4A或者堡壘機以及采用SSH、TELNET、RDP協議遠程登陸網絡資產設備，可采集主機、網絡設備、安全設備、虛擬機以及應用系統等網絡資產的屬性；安裝代理的方式可實現主機端口、設施廠商、設施型號、啟動項配置、進程列表、防病毒屬性、操作系統配置、賬號口令策略、操作系統類型/版本、補丁屬性、日志屬性、遠程登錄方式、配置變更、接口狀態、流量信息、數據庫類型、中間件類型、應用版本等屬性采集。基于上述發現的資產屬性可建立主機指紋庫，主機指紋庫的信息包括IP地址、端口服務/狀態、版本信息、進程信息、宕機信息、路由節點等。

PAAS和SAAS層網絡資產發現方式：① 通過Zabbix統一采集及監控北向接口上報信息實現分布式組件發現；② 采用流量數據分析、調用鏈采集進行SAAS層網絡資產發現，并結合搜索引擎、DNS數據聚合、證書透明度等方式輔助，形成細粒度的SAAS網絡資產列表，提高網絡資產管控的全面性與準確性。其中，在SAAS層網絡資產子域名發現時，除了流量分析手段之外，一方面，借助固定文本字典，并根據固定文本字典中的可變字典生成動態新字典枚舉爆破，并輔助響應內容解決泛解析域名，排除不存在子域名，獲取有效子域名，提高網絡資產發現準確性；另一方面，通過搜索引擎、DNS數據聚合、證書透明度等方式輔助獲取子域名，提高網絡資產發現全面性。

進一步地，基于網絡資產全面發現，形成能標識Web網絡資產對象類型的特征庫，包括但不限于Web應用使用的框架、語言、組件、應用服務器、數據庫、CMS套件、插件等的應用層指紋庫；形成能標識服務器的操作系統、操作系統補丁、主機服務的特征庫、主機層指紋庫；形成能標識數據庫軟件名稱及版本的特征庫的數據庫層指紋，結合主動脆弱性發現手段及公開或第三方漏洞情報庫與指紋庫比對，并同時利用威脅情報，匹配到批量網絡資產的安全預警，實現資產漏洞快速發現、定位及驗證。

4 結束語

運營商的網絡資產安全管控應該具有結合主動/被動方式的網絡資產發現、針對性的風險管控能力，在安全運營和風險處置工作中快速定位，建立閉環的風險管控流程，實現半自動化甚至是自動化的網絡資產安全管控。在此基礎上，應在掌握全面、準確、及時的網絡資產數據的基礎上進行持續性網絡資產變更監測、網絡資產關聯梳理，將運營商網絡資產安全管控工作繼續深入推進。