電信運營商資產安全管理系統的應用研究

江承興

【摘要】? ? 為解決電信運營商及相關單位在資產安全管理上面臨的難題，設計一種融合了二維碼及RFID技術的資產安全管理系統方案，不僅可以對網絡資產進行安全管理，還可以實現資產標簽信息的自動化采集、以及固定資產穿越電子圍欄時的聯動告警，實現了各類資產的閉環管理，從而大為提升資產安全管理的高效性、可靠性、便利性。

【關鍵詞】? ? 網絡安全? ? 資產安全? ? 態勢感知? ? QRcode? ? RFID

引言：

資產是企事業單位實現業務戰略目標的物質基礎。對于電信運營商及相關單位來說，隨著內網終端數量不斷增加，網絡環境更加復雜，一方面網絡資產面臨著僵木蠕等惡意軟件以及各類網絡攻擊等外部威脅，另一方面企業傳統的固定資產管理存在著流程繁瑣、費時、費力的問題。因此電信運營商及相關單位迫切需要一套一站式、一體化、全流程進行各類資產安全管理的系統。

廣義的資產包括有形的實體資產和無形的信息資產。對于有形的實體資產，又可區分為傳統的固定資產和網絡資產，網絡資產是指構成信息系統的軟件、硬件、服務等IT和IoT類資源的集合，是安全機制保護的對象，包括但不限于網絡產品、安全產品、物聯網設備、辦公外設、企業應用、系統軟件、支撐系統等。固定資產通常需要進行采購、入庫、標簽、領用、盤點、維護等資產生命周期管理;而對于網絡資產，一般還要進行系統版本、補丁升級、漏洞整改加固、數據安全防護等管理。

通常的資產安全管理解決方案，或側重網絡和信息安全角度，探討網絡資產安全管理的優化方案，或側重傳統固定資產的場景化管理方法，但較少考慮將網絡資產和傳統固定資產的管理流程進行有機融合的解決方案。本文將從這個角度出發，研究實現一種融合多種技術的資產安全管理方案。

一、資產安全管理技術概述

資產安全管理的主要技術，包括了基于網絡安全的資產及屬性發現技術、基于二維碼或RFID技術的固定資產管理方法等。不同的技術方法，適用于不同的應用場景。

資產及屬性發現技術，主要有三種：一種是基于開源NMAP的方法，該方法不僅可以用于采集信息，還可以作為漏洞掃描器;另兩種是基于遠程賬號登錄或安裝代理客戶端的方法，在主機上運行腳本和命令獲取資產屬性。二維碼技術始于20世紀80年代末，目前應用較廣泛的二維碼是QR碼，非常適合進行資產標簽信息管理。RFID技術是一種非接觸式的自動射頻識別技術，通過射頻信號自動識別并獲取信息，進而實現定位、跟蹤、監管等功能。相對于二維碼技術，RFID標簽對環境要求較低，簡單便捷。

二、資產安全管理系統架構

資產安全管理系統主要由資產數據采集層、資產數據存儲層、資產數據分析層、資產安全管理層、資產數據展示層和外部系統接口層組成，如圖1所示：

資產數據采集層。實現資產指紋數據的采集功能，構建包括設備與系統歸屬關系、IP地址、端口、操作系統、服務、應用、漏洞和基線配置脆弱性、物理位置（機房、機架等）、在安全域中的邏輯部署位置等多維度的資產信息指紋庫。資產指紋數據是用于描述資產特征的一組屬性信息集合，如設備類型、設備廠商、系統信息、端口信息、服務信息、中間件信息、程序應用框架信息、應用軟件信息等。對于固資而言，一般包括資產名稱、責任人、歸屬部門、采購日期、金額等資產特征數據，可通過二維碼或RFID標簽來承載，以便管理。

資產數據存儲層。實現資產數據的存儲功能，包括原始數據、分析結果、采集任務記錄以及知識庫等數據。

資產數據分析層。實現資產指紋數據的分析功能，能夠結合漏洞、攻擊方式等威脅信息，實現新增、變更、下線或者宕機等異常資產發現，漏洞影響資產范圍精確評估，資產異常和安全告警功能，資產風險計算、排序并維護資產當前風險狀態。此外，還應對固定資產生命周期內的變更歷史數據進行分析。

資產數據展示層：實現資產安全管理的多維度、可視化的展示能力。

資產安全管理層：實現資產安全管理能力，保障各類資產安全運行。

外部系統接口層：實現與資產管理相關外部系統的數據開放共享的能力。

三、資產安全管理功能結構

3.1 安全管理功能

資產安全管理的內涵不僅包括資產自身安全，還包括資產所承載信息的安全。因此需要對資產自身的指紋數據（自身及關聯屬性信息）進行管理，主要包括資產自身指紋數據采集、資產信息去重、資產屬性管理、資產歸屬管理、生命周期管理、資產數據分析、資產安全告警、威脅處置管理等功能。核心功能如下：

1.資產指紋采集：系統支持通過爬蟲技術、agent客戶端程序、遠程探測、第三方接口或手工導入等方式采集資產指紋數據，并進行標準化、過濾、歸并及分類等處理，在這個環節需要要用到一系列協議、標準，包括 SNMP、syslog、WMI接口，ODBC/jdbc，xml等協議或標準。遠程探測方式是通過代理客戶端對指定的網段發送ICMP、UDP等探測包，采集網段中在線設備的指紋信息;第三方接口方式，則通過與漏洞掃描、堡壘機、4A等系統對接，獲取運維日志、漏洞掃描結果信息，獲取相關資產指紋數據。

2.生命周期管理：完整記錄資產數據從創建、存儲、使用、共享、歸檔、銷毀的全生命周期的變更信息，以及從入庫到注銷的全生命周期的指紋變化情況，包括操作系統、中間件、版本、補丁、安全基線、漏洞等資產內在變化信息，以及資產編碼、資產名稱、金額、采購時間、資產責任人、歸屬部門、存放地點等外在變動信息管理，實現事前預警、事中發現以及事后處置加固等閉環管理能力。

3.資產數據分析：系統支持對資產歷史指紋變化情況進行關聯分析?；诖髷祿夹g，對海量數據進行分析處理，包括實時的、離線的數據;支持通過二次數據處理、關聯分析技術，發現異常資產、脆弱性，得出整體安全態勢信息。對網絡資產存在的潛在網絡安全問題或安全風險，觸發預警信息，通知資產管理人及時查看或采取處置行動。

4.資產安全告警：對于代理客戶端、第三方系統發現的未知資產、資產指紋發生變更或實體資產發生位移的情況，將通過系統消息、文本短信、IVR語音、微信消息或電子圍欄系統的聲光電信號，發出告警消息。

5.威脅處置功能：系統支持針對異常資產或威脅的工單處置功能，由系統自動觸發或系統管理員手工觸發，派發處置工單到資產管理人，完成告警處置后提交審核。

6.輔助管理功能：系統還支持進行安全域管理、統計報表、IP地址管理、安全策略管理、資產預警管理、資產風險分析、資產脆弱性管理等功能。

7.知識庫管理功能：系統支持與cnvd國家信息安全漏洞共享平臺、集團側平臺或第三方威脅情報系統的對接，獲取相關威脅情報信息，包括威脅情報、漏洞、病毒信息等。實現南北向數據互通。

8.接口管理功能：系統支持與專業安全子系統的接口，包括漏洞掃描系統、攻擊溯源系統、異常流量監控系統、僵木蠕系統、域名安全分析系統、垃圾郵件處理系統、終端安全管理系統等系統對接，調用其安全能力，實現東西向數據互通。

9.態勢感知功能：系統支持將分析獲得的資產安全風險或威脅情報信息，以可視化方式呈現出來（如監控大屏），實現動態地、直觀地展示各類資產安全情況，包括資產告警、漏洞、基線、定級備案等情況。從而達到對本企業各類資產安全狀況的整體態勢感知，以便資產安全管理人員，快速采取行動，遏制或消除風險。

3.2 標簽識讀功能

資產安全管理系統對于固定資產的資產信息管理，主要基于二維碼標簽技術或RFID標簽技術的方式進行管理。核心功能如下：

1.識讀管理：系統支持適配市場上主流條碼識讀設備，通過開發APP客戶端或微信小程序技術，實現對二維碼標簽信息識讀;支持在手持終端上對資產信息進行修改，以便資產盤點人員及時更新資產歸屬人、資產歸屬部門等信息。

2.條碼生成：系統支持二維碼的圖像生成功能，并支持自定義條碼標簽規格（默認為3*5cm，以便黏貼），二維碼標簽包含資產編碼、資產名稱、入庫日期、金額、歸屬部門、資產負責人等主要信息。

3.信息管理：系統支持通過通信網絡或數據線方式，將條碼識讀設備上存儲的資產信息導入后臺管理系統;支持在后臺系統上進行增刪改查等操作，支持csv或pdf格式導出功能。

4.條碼打?。合到y支持二維碼標簽打印功能，支持對頁面邊距的修改，以適配市場上主流的條碼打印設備及不同類型的紙帯。

3.3 位移告警功能

對于部分涉密或關鍵設備資產，還可通過內置RFID標簽的方法，以實現對其軌跡的監測，并對穿越電子圍欄的行為觸發告警。主要功能包括：

1. RFID標簽：RFID標簽存儲資產電子編碼信息，所存儲的信息可以被射頻收發設備以非接觸方式讀或寫。

2. RFID天線模塊：能夠為RFID標簽和射頻收發模塊，進行射頻信號空間傳遞。

3.射頻收發設備：能夠發出無線電射頻信號，接收由 RFID 標簽反射回的無線電射頻信號，經處理后獲取該標簽存儲的信息，并將信息送到服務端。

4.安全策略管理：資產安全管理系統的服務端收到信息后，根據資產名稱、資產負責人、存放位置、是否涉密等條件配置安全管理策略。若判斷出該資產的位置信息發生變動，并違反了預定的安全管理策略，則向門衛或資產責任人發出報警提示，由門衛或資產負責人進行核查或實時攔截，從而避免涉密或重要資產離開預定存放位置。

5.資產告警功能：實現語音、短信、微信或聲光電等方式告警。短信、語音告警可通過電信運營商短信通道號發送，資產責任人可通過登錄管理頁面或手機APP查看或接聽告警。對于已建設電子圍欄系統的單位，資產安全管理系統可通過接口獲取其關聯資產的告警信息，在資產安全管理系統上展示或觸發告警、處置工單，采取威脅處置手段。

3.4 共通管理功能

資產安全管理系統還支持如下共通管理功能：

1.基礎管理功能，包括賬號、角色、權限管理功能等。

2.審計管理功能，實現對所有與資產相關信息的審計管理，如登錄和注銷日志、訪問資源的行為記錄，安全策略變更記錄，對用戶角色的增刪改操作，資產數據采集任務創建、執行、查看記錄，屬性字段的增刪改記錄等。

3.遠程管理功能，支持通過加密的方式進行遠程管理，確保會話內容不被非授權人員獲取。

四、未來展望

基于上述系統架構的資產安全管理系統，可面向三類場景開展資產安全管理。

1.對于電信運營商的省分公司，企業規模龐大、資產類型眾多。該系統既可用于納管網絡資產，包括安全設備、網絡設備、主機、數據庫、中間件、存儲以及各業務系統資產，也可用于傳統固定資產安全管理。

2.對于一般的企事業單位，可獨立部署基于二維碼標簽及RFID標簽的資產安全管理系統，以開展傳統固定資產管理。

3.對于一般的互聯網企業，可獨立部署面向網絡資產的資產安全管理系統，以開展網絡資產的安全管理。

五、 結束語

綜上所述，融合RFID等技術的資產安全管理系統，綜合考慮了網絡資產和傳統固資管理的不同流程特點，實現了二者的有機融合和業務流程的貫通，較好地滿足了電信運營商及相關單位各管理部門對資產安全管理的不同需求。

參? 考? 文? 獻

[1]中國通信標準化協會.YD/T 3803-2020.電信網和互聯網資產安全管理平臺技術要求[S].2020.

[2]中國國家標準化管理委員會.GB/T35290-2017.信息安全技術 射頻識別（RFID）系統通用安全技術要求[S].北京：中國標準出版社，2018.

[3]中國國家標準化管理委員會.GB/T31022-2014.名片二維碼通用技術規范[S].北京：中國標準出版社，2015.

[4]落紅衛，程偉.RFID安全威脅和防護措施[J].電信網技術.2010（3）.