基于IT 資產(chǎn)信息庫(kù)的資產(chǎn)安全風(fēng)險(xiǎn)分析

■中國(guó)民航信息網(wǎng)絡(luò)股份有限公司 李建欣 韓杰

隨著企業(yè)信息化程度的逐步提升以及業(yè)務(wù)的不斷發(fā)展和復(fù)雜化，大中型企業(yè)擁有大量的IT 系統(tǒng)，企業(yè)關(guān)鍵的信息資產(chǎn)也正是分布其中。這些IT 系統(tǒng)在為我們工作和生活提供便利的同時(shí)，也一直處于惡意攻擊的陰影籠罩下，因此系統(tǒng)安全防范越來(lái)越重要。

而傳統(tǒng)的IT 資產(chǎn)管理與信息安全管理往往沒(méi)有進(jìn)行深度融合，仍舊各自管理信息，成為了信息孤島。因此，如何將IT 資產(chǎn)管理與信息安全管理進(jìn)行有機(jī)融合，使得企業(yè)管理人員既能夠從宏觀角度了解企業(yè)內(nèi)IT 資產(chǎn)當(dāng)前的安全狀態(tài)以便進(jìn)行安全管理決策，又能從微觀角度掌握單一資產(chǎn)的安全情況以便進(jìn)行針對(duì)性的技術(shù)防護(hù)，成為了企業(yè)面臨的一個(gè)重要課題。

本文會(huì)從信息安全管理角度，以IT 資產(chǎn)管理作為引導(dǎo)，詳細(xì)介紹一種基于IT 資產(chǎn)信息庫(kù)的資產(chǎn)安全風(fēng)險(xiǎn)分析方案。

表1 不同場(chǎng)景下使用的資產(chǎn)信息采集技術(shù)手段

IT 資產(chǎn)信息庫(kù)的形成

企業(yè)內(nèi)IT 資產(chǎn)信息庫(kù)通常是以管理手段進(jìn)行收集和維護(hù)的，比如通過(guò)管理手段要求資產(chǎn)負(fù)責(zé)方在CMDB 系統(tǒng)中進(jìn)行錄入。

成熟的CMDB 系統(tǒng)往往十分強(qiáng)大，幾乎能夠覆蓋IT資產(chǎn)從采購(gòu)到上架使用再到注銷(xiāo)下架回收的整個(gè)生命周期。但是通過(guò)管理手段進(jìn)行錄入的CMDB 系統(tǒng)，在實(shí)際生產(chǎn)場(chǎng)景中存在一個(gè)重要短板：信息維護(hù)不夠及時(shí)。比如資產(chǎn)的操作系統(tǒng)、數(shù)據(jù)庫(kù)的類(lèi)型或版本發(fā)生了變更，CMDB 中可能還是原來(lái)的過(guò)時(shí)信息。可見(jiàn)CMDB 系統(tǒng)中信息的有效性、真實(shí)性完全依賴(lài)于企業(yè)內(nèi)部的管理制度，由此成為企業(yè)信息安全管理中的一個(gè)弱點(diǎn)，因?yàn)楫?dāng)有網(wǎng)絡(luò)威脅事件發(fā)生時(shí)，管理人員卻連資產(chǎn)的類(lèi)型和版本都無(wú)法確定。

在本方案中，我們結(jié)合實(shí)際項(xiàng)目情況，對(duì)不同管轄權(quán)限和復(fù)雜環(huán)境中的資產(chǎn)采用不同的技術(shù)手段，采集和分析資產(chǎn)的指紋信息，結(jié)合CMDB 系統(tǒng)中錄入的管理項(xiàng)信息，形成企業(yè)內(nèi)及時(shí)有效的、真實(shí)權(quán)威的資產(chǎn)信息庫(kù)。

表1 為在不同場(chǎng)景下所使用的資產(chǎn)信息采集技術(shù)手段，用于適應(yīng)實(shí)際項(xiàng)目中復(fù)雜的情況。其中，通過(guò)Agent代理方式和指令通道的方式采集的資產(chǎn)指紋配置信息最為正確，采集的類(lèi)型也是最全的，但是依賴(lài)于部署的Agent 當(dāng)前運(yùn)行權(quán)限的高低；通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)進(jìn)行分析也是一種獲取資產(chǎn)信息重要的補(bǔ)充手段，一種方法通過(guò)對(duì)流量監(jiān)控系統(tǒng)的數(shù)據(jù)進(jìn)行分析，一種方式是登錄到網(wǎng)絡(luò)設(shè)備中獲取其ARP 等信息，這種技術(shù)方式獲取的資產(chǎn)信息較少，通常被用于未知資產(chǎn)發(fā)現(xiàn)；對(duì)于無(wú)任何管理權(quán)限，但是網(wǎng)絡(luò)可達(dá)的資產(chǎn)，還可以采用遠(yuǎn)程掃描的方式對(duì)主機(jī)設(shè)備、B/S 系統(tǒng)進(jìn)行指紋信息采集，這種技術(shù)方式的優(yōu)點(diǎn)是無(wú)需對(duì)目標(biāo)資產(chǎn)進(jìn)行配置修改，缺點(diǎn)是操作不當(dāng)可能會(huì)對(duì)企業(yè)內(nèi)網(wǎng)通信產(chǎn)生一定的影響，因此需要視具體情況使用。

通過(guò)如上技術(shù)方式的綜合使用，最終形成相較CMDB系統(tǒng)更具可信度的資產(chǎn)信息庫(kù)，資產(chǎn)信息庫(kù)數(shù)據(jù)模型示例如表2 所示。

IT 資產(chǎn)風(fēng)險(xiǎn)分析

形成企業(yè)內(nèi)權(quán)威的資產(chǎn)信息庫(kù)只是基礎(chǔ)工作，只有資產(chǎn)信息庫(kù)對(duì)于資產(chǎn)安全風(fēng)險(xiǎn)分析工作是遠(yuǎn)遠(yuǎn)不夠的。本方案中，會(huì)把資產(chǎn)的指紋數(shù)據(jù)根據(jù)類(lèi)型和版本提取CPE（Common Platform Enumeration，通用平臺(tái)枚舉）信息，并基于漏洞情報(bào)信息進(jìn)行安全漏洞分析，并將資產(chǎn)相關(guān)的其他安全信息進(jìn)行聚合，以有組織邏輯的形式進(jìn)行抽象化提升，形成企業(yè)的資產(chǎn)畫(huà)像。

表2 資產(chǎn)信息庫(kù)數(shù)據(jù)模型示例

本方案中，首先根據(jù)指紋數(shù)據(jù)的類(lèi)型和版本自動(dòng)生成CPE 信息，然后將CPE 信息與漏洞情報(bào)進(jìn)行分析匹配，將匹配命中的資產(chǎn)列為風(fēng)險(xiǎn)資產(chǎn)，并關(guān)聯(lián)命中的漏洞信息。CPE 是一種針對(duì)廠(chǎng)商、系統(tǒng)、軟件包進(jìn)行的結(jié)構(gòu)化命名規(guī)范，格式示例：cpe:/o:microsoft:windows_8.1，意為操作系統(tǒng)是微軟的Windows，版本為8.1，主要來(lái)進(jìn)行漏洞影響版本的匹配。圖1 為將資產(chǎn)信息庫(kù)中的CPE 信息與漏洞情報(bào)庫(kù)分析匹配后命中的結(jié)果示例圖。

除了基于CPE 信息與漏洞情報(bào)信息進(jìn)行分析外，資產(chǎn)庫(kù)還與其他安全平臺(tái)進(jìn)行聯(lián)動(dòng)獲取這些平臺(tái)上的數(shù)據(jù)信息，主要包括：威脅態(tài)勢(shì)平臺(tái)的資產(chǎn)關(guān)聯(lián)信息、漏洞管理系統(tǒng)中已發(fā)生的資產(chǎn)漏洞信息、安全合規(guī)系統(tǒng)中的資產(chǎn)合規(guī)情況信息、防護(hù)態(tài)勢(shì)系統(tǒng)中的資產(chǎn)的防護(hù)數(shù)據(jù)等，并結(jié)合如上關(guān)聯(lián)數(shù)據(jù)形成了資產(chǎn)畫(huà)像。在資產(chǎn)畫(huà)像中，除了對(duì)相關(guān)信息進(jìn)行分組，還根據(jù)其關(guān)聯(lián)的安全信息進(jìn)行綜合安全分析。分析維度按照資產(chǎn)的安全整體情況、自身健康情況、面臨的威脅程度、風(fēng)險(xiǎn)評(píng)級(jí)四個(gè)維度進(jìn)行提示，用于管理人員的決策參考。圖2 為某一資產(chǎn)的畫(huà)像示意圖。

實(shí)踐與思考

企業(yè)IT 資產(chǎn)的信息安全保障離不開(kāi)對(duì)資產(chǎn)自身的信息及時(shí)、完整的掌握，企業(yè)也亟需一套權(quán)威的資產(chǎn)信息庫(kù)。在項(xiàng)目實(shí)踐中，我們發(fā)現(xiàn)CMDB 系統(tǒng)在管理中的短板，并通過(guò)各種技術(shù)手段對(duì)資產(chǎn)信息進(jìn)行采集，最終形成了企業(yè)內(nèi)的資產(chǎn)信息庫(kù)，這些資產(chǎn)的信息在日常信息安全管理中起到了極其重要的作用。但是在資產(chǎn)風(fēng)險(xiǎn)閉環(huán)管理工作中，仍舊需要依賴(lài)CMDB 系統(tǒng)中的管理項(xiàng)信息，比如資產(chǎn)負(fù)責(zé)部門(mén)、資產(chǎn)負(fù)責(zé)人及其聯(lián)系方式等信息，因此本方案的作用不是要替代CMDB，而是從信息安全管理的視角去觀察資產(chǎn)，審視資產(chǎn)的安全屬性元素，利用資產(chǎn)的數(shù)據(jù)完成日常信息安全管理工作。

圖1 將資產(chǎn)信息庫(kù)中的CPE 與漏洞情報(bào)庫(kù)分析匹配結(jié)果示例圖

圖2 資產(chǎn)畫(huà)像示意圖

結(jié)語(yǔ)

企業(yè)的資產(chǎn)管理工作繁雜且單調(diào)，而相關(guān)的安全屬性又常常不在資產(chǎn)的管理范圍內(nèi)，資產(chǎn)家底不清，積極防御無(wú)從談起，出現(xiàn)安全事件時(shí)就會(huì)無(wú)從下手。

信息安全是一個(gè)長(zhǎng)期對(duì)抗的過(guò)程，建立基于企業(yè)IT資產(chǎn)信息庫(kù)的安全風(fēng)險(xiǎn)分析方案，應(yīng)對(duì)日益復(fù)雜的安全攻擊，企業(yè)作為防守方仍舊任重而道遠(yuǎn)。