網絡資產安全管理的關鍵內容研究

栗強

經過數年以來信息化技術的逐步演進與普及運用，大量的網絡信息系統發揮了日益關鍵的作用，不僅深刻影響到工業生產、金融通信、交通出行，而且還與我們的日常生活越來越緊密聯系在一起。當這些信息化系統為我們提供方便快捷的同時，與之俱來的還有日趨嚴重的網絡信息安全問題。基于對網絡系統的有效管理，我們將那些與網絡信息安全密切相關的軟、硬件信息稱之為網絡安全資產。為了摸清家底、識別風險，快速提供漏洞風險信息，幫助管理人員有針對性地開展網絡安全防護工作，需要更加全面地對網絡安全資產內容納入常態化管理范疇。本文重點論述了網絡資產安全管理所必需涵蓋的關鍵內容，并對理由和重要性進行了深入研究。

一、引言

隨著我國《網絡安全法》的頒布實施和深入執行，信息化系統的主體單位必須面對日益增多的各類安全漏洞和風險隱患，并對其承擔安全管理責任。而網絡安全漏洞和風險往往會涉及不同品牌型號的硬件設備、各種類型和版本的操作系統、數據庫和中間件、各種商業化或定制開發的軟件應用系統等等眾多因素。近年來網絡安全事件頻發，每年各類高危風險漏洞層出不窮，其破壞力和負面影響非常之大，如果不能很好地進行有效防范，將對企業安全責任、敏感業務數據、公民個人隱私等多方面造成嚴重影響和無法挽回的損失。如何通過安全資產臺賬快速發現安全漏洞是擺在安全管理者面前的一個不可回避的問題。本文從企業日常安全運維需求出發，基于網絡安全資產的角度提出了應納入管理的各關鍵要素，通過安全資產系統將其作為基礎字段進行管理，以下將對這些關鍵內容分別進行歸類說明。

二、網絡資產

作為網絡安全的基礎接入環境，網絡資產的基本要素應包括“IP地址、通信協議、通信端口、域名”等幾個方面。

IP地址。作為網絡接入必須條件，從使用場景來看，IP地址通常分為內網IP和互聯網IP。內網IP主要用于企業內部局域網，其IP路由并不發布到公共互聯網，僅內部可訪問。而互聯網IP用于對外提供各類服務，如網站、FTP服務器、APP應用等等，全球Internet網絡均可訪問。從網絡安全的管理角度來看，IP地址屬于安全資產管理的首要關鍵信息，其重要性不言而喻，而對IP地址的統計管理必須細化到單個IP。同時，隨著國家對IPv6地址的推廣應用，在通過系統進行IP管理時還必須考慮到應識別和兼容IPv4、IPv6地址格式。另外，如果網絡中存在NAT轉換關系的，還需同時記錄NAT的內、外網IP對應關系，以便發生問題時能夠通過IP進行溯源定位。

通信協議。網絡通信協議為連接不同操作系統和不同硬件體系結構的互聯網絡提供通信支持，是一種網絡通用語言。常見的網絡通信協議有：TCP/IP協議、IPX/S PX協議、NetBEUI協議等。在制定防火墻等安全策略時，往往需根據不同類型的通信協議分別配置各自的管控規則，所以安全資產管理有必要細化到通信協議的類型。

通信端口。主流網絡系統一般采用TCP或UDP等協議進行通信，它們使用16bit端口號，因此理論上TCP、UDP一共可用65536個端口進行數據通信。按照互聯網數字分配機構（IANA）定義.TC P/IP協議的1-1023端口用于常見通信服務，如Http對應TCP 80. DNS對應TCP或UDP的53、Telnet對應TCP 23. SMTP對應TCP 25等等，其余1024-65536端口用于自定義服務的通信。為了避免沖突，每個應用會定義特定的一個端口來提供訪問服務。實際上單個IP地址的每個端口號會分別對應不同業務，故需對其分別設置相應的安全管理策略，所以將應用與端口號的對應關系作為安全資產進行管理是非常有必要的。

域名。通常的網絡應用系統會以網站形式提供訪問服務，雖然通過IP也可訪問，但為了方便記憶，大部分網站會以域名來訪問。而域名對應的資產到底是哪個設備，在網站出現安全問題時，如何快速準確定位，都是安全管理人員必須掌握的信息。所以需要將域名與IP地址對應關系作為資產信息進行管理。

URL。一般來說，域名是表示一個網站的IP對應解析關系，有時與URL意義相同。但在某些場景下URL是一個網站下不同的應用與路徑信息，可能無法通過路徑掃描獲取，在掃描網站域名時這些特殊的URL雖然存在漏洞但會造成評估遺漏，所以對于部分重要應用的URL應單獨列入資產進行管理。

三、硬件資產

設備類型。企業較為常見的硬件設備有路由器、交換機、防火墻、服務器、無線設備等，通過登記硬件設備資產類型，可以全局掌握企業不同類型硬件設備的分類和數量，有助于制定單位運行維護和安全管理規則，并分配合理適當的人力、物力資源。

設備品牌。將設備品牌廠商名作為安全資產，主要是考慮到當出現針對某一廠商或品牌的設備存在某種安全問題時，管理人員可立即統計該品牌設備數量和分布情況，便于快速進行風險處置和控制，同時也利于單位根據廠商品牌統一制定維保計劃，降低管理成本。

設備型號。除了品牌因素，安全問題也常常會出現在某個品牌的特定型號上，因此通過掌握的型號資產信息，可以快速掌握涉及問題的設備型號，而不用費時費力去逐個型號排查。

除了上述主要內容，還可以按企業實際情況將硬件的生產日期、入網日期、維護主體等信息納入安全資產管理。

四、軟件資產

由于軟件安裝部署之后，對用戶和管理者來說是缺乏存在感知的，但它對網絡信息安全的影響卻是非常重要的。軟件資產的分類對于不同單位來說必然存在需求差異，本文僅從軟件通用方面進行考慮。

數據庫。針對數據庫的安全風險通常有SQL注入、寫入文件、數據拖庫等類型，分別可以實現越權查詢數據、寫入后門Shell、敏感數據下載，這都會造成較為嚴重的安全風險，所以有必要加強對數據庫的資產管理。數據庫管理的關鍵內容可包含“數據庫類型（如Oracle、SQL.DB2. Mysql等）、版本、補丁、應用接口”等，這些信息有必要納入安全資產管理范疇。

中間件。近年來，涉及中間件的高危漏洞層出不窮，如Apache Struts2. Weblogic反序列化等漏洞，由于中間件在較多企業和系統中大量使用，因此這類漏洞影響程度非常廣泛。為了掌握中間件的類型、版本等關鍵信息，需要將其納入日常資產管理，并需及時更新。

操作系統。常見主流操作系統有Windows、Linux、AIX、HP-UX、Solaris等較多種類，不同的操作系統都有各自的漏洞缺陷，即使同一操作系統的不同版本亦如此。在安全漏洞的分布上，操作系統占了非常大的比重，如影響較大的'CVE-2017-0143永恒之藍、CVE-2016-5195臟牛”高危漏洞。如果不掌握操作系統類型、版本號、補丁信息等關鍵信息，將會對日常安全管理造成嚴重缺失，故必須將其納入安全資產管理。

其他軟件。主要應包括單位定制的應用系統、購置的商業化軟件，開源軟件等方面，種類比較繁多，但其本質屬性并沒有太大差異，同樣需對其“類型、版本、補丁、應用接口”等方面內容進行管理。

五、安全資產與風險管理思路

建立了資產信息后，可根據資產索引對安全風險進行快速統計，利于安全檢測加固。比如，出現Struts-2-045漏洞預警時，可以知道受影響的版本限定在Struts 2.3.5-2.3.31，通過資產管理系統可迅速篩選出當前使用的Apache Struts中間件及涉及問題的版本，隨后立即調度安全力量開展精準加固，而無需過多關注其他無關Struts版本。這樣可避免以往需對全量資產進行漏洞掃描，不僅費時費力，還容易造成誤報漏報。因此，合理利用資產管理可以明顯提升漏洞的發現和處置效率，有效縮短業務系統的安全風險時長。

六、結語

隨著當前萬物互聯及信息化的迅猛發展，越來越多的個人計算機、服務器、網絡設備、安全設備、攝像頭、數據庫等眾多IT設備和軟件系統被運用到了各個方面，而針對這些設施的安全漏洞數量和危害程度也在不斷快速增長。為了充分積極應對安全風險，已經有不少的實踐案例可以證明，通過網絡安全資產管理手段進行精細統計，一方面利于全面掌握企業資產配置情況，另一方面還能幫助網絡安全管理人員利用資產的各個屬性字段組合來快速排查漏洞風險，通過精確調度有限的安全資源，高效開展處置，能夠不斷強化安全綜合治理水平，不失為一種明顯有效的管理措施，安全資產管理也將逐漸成為企業不可缺少的網絡安全管理基礎手段之一。

作者單位：中國移動通信集團山西有限公司