企業網絡資產測繪平臺的設計與實現

摘 要：隨著企業對網絡安全工作的愈發重視，企業網絡資產管理措施亟須提升改進。資產管理的首要工作是摸清家底，實現網絡資產探測發現和風險處置。文章結合大型企業網絡特點，設計分布式內網資產測繪平臺，平臺包含資產測繪和管理、風險治理、工單管理、多維展示等功能模塊，實現多級資產測繪、風險治理和聯動管控，借助diffie-hellman算法保障模塊通信安全，有效提升企業內網信息資產的管理能力。

關鍵詞：資產測繪；風險治理；安全管理

中圖分類號：TP311 文獻標識碼：A 文章編號：2096-4706（2024）15-0154-06

Design and Implementation of Enterprise Network Asset Mapping Platform

BAI Dongming， ZENG Lihua， FANG Jing

（Key Laboratory of Internet of Things of China National Petroleum Co.， Ltd.， Beijing 100083， China）

Abstract： As enterprises attach great importance to network security， enterprise network asset management measures need to be improved urgently. The primary task of asset management is to find out the asset and realize the detection and discovery of network assets and risk disposal. Combined with the characteristics of large enterprise networks， this paper designs a distributed intranet asset mapping platform， which includes asset mapping and management， risk governance， work order management， multi-dimensional display and other functional modules， realizes multi-level asset mapping， risk governance and linkage control， and uses the diffie-hellman algorithm to ensure the communication security of the module， effectively improves the management ability of enterprise intranet information assets.

Keywords： asset mapping; risk governance; security management

0 引 言

近年來，國家對企業網絡安全的監督和管理不斷深入細化，《網絡安全法》《數據安全法》和《關鍵信息基礎設施安全保護條例》等法律法規相繼出臺，網絡安全等級保護制度和測評標準等陸續發布并更新，對企業網絡安全能力提出了更高的要求。企業網絡中信息資產管理、監測預警分析、應急處置等網絡安全能力亟待加強。

大型企業辦公網絡遍布全國，網絡資產分布廣泛，類型眾多，網絡安全能力提升的首要工作是確定保護對象和防護重點，要摸清家底，梳理并維護信息資產數據，監測資產變更情況，全面掌握信息資產動態；同時，明確資產歸屬，能夠將安全責任逐級落實，為網絡安全預警、協同防御、應急處置、責任劃定提供準確的依據[1]。

1 網絡資產測繪

1.1 整體設計

依據企業網絡整體架構，結合網絡安全管理需求，網絡測繪平臺管理功能與探測功能的順暢運行宜采用分布式部署架構，管理端部署在數據節點[2]。根據業務和網絡情況選取探測端的部署位置，管理端與數據端通過加密通道進行安全通信。

網絡資產的管理需要實現資產與風險探測、資產與風險管理、風險閉環治理、多維分析展示四個主要功能：

1）資產與風險探測。對IP資產進行探測與監測，對資產進行風險掃描和識別。實現資產與風險的多維度安全動態監測，獲取資產信息，實時掌握資產變動情況，實現及時、準確的資產動態監測與分析，同時對資產風險進行探測與識別[3]。

2）資產與風險管理。結合漏洞威脅情報，對可能對資產造成損害的安全風險進行管理控制，精準定位危險資產，對同類風險資產進行主動預知及統一處置。

3）風險閉環治理。通過風險控制管理流程數字化，實現研判、處置、整改、驗收等階段的標準化和數字化，將任務分級管理，將網絡安全責任落實到人，實時跟蹤和統計風險治理進程。

4）多維分析展示。通過對資產、風險進行多維度的安全風險評估指標建模，并對風險模型進行關聯分析，綜合展示企業安全風險、變化趨勢等指標，呈現多層次的分析報表[4]。

1.2 功能架構

平臺采用管理端、掃描端節點分布式集群聯控方式部署，通過RSA分級任務分配算法進行任務的下發，通過diffie-hellman加密通道保障管理端和掃描端的數據通信和指令通信，并預留API接口與其他業務系統對接，實現數據的有效共享[5]。平臺主要功能由資產測繪、資產管理、風險管理、資源管理、工單管理、態勢展示六大功能模塊組成，如圖1所示。

1）資產測繪。實現集中管控分布式的網絡資產掃描，根據任務分布范圍、數量智能評估掃描任務，將任務分配給節點探頭，對多個邏輯子網進行掃描，識別操作系統、數據庫、中間件、端口、版本等資產信息，能夠定時、定期探測，能夠排除特殊網段等[6]。

2）資產管理。從網絡區域、業務系統、部門、組織、資產分類等維度對資產進行多維歸類統計，按照企業組織架構對資產進行分級管理，根據資產測繪數據實現對資產存活、信息變更、狀態變更的跟蹤記錄，從IP、業務、系統等維度實現對資產信息的關聯分析，識別和分析資產的歸屬關系，準確定位資產。

3）風險管理。根據探測資產屬性對資產進行精確的漏洞探測、弱口令探測、POC腳本驗證，得出所存在的網絡資產風險種類，針對資產風險情況提出風險修復建議，并記錄整改結果，能夠對風險發現、處置、整改等階段進行記錄和統計分析，為資產相關管理人員提供風險提示和處置流程跟蹤。

4）資源管理。對網絡資產及風險探測中涉及的指紋庫、POC庫、漏洞庫、弱口令字典等進行維護，能夠完成相關安全庫的升級和編輯，能夠個性化地編輯和加入資源，并支持與第三方庫的接入。

5）工單管理。可按照企業組織特點設置管理權限和工單流程，按照采集、導入、手動錄入等方式生成任務工單，可按風險等級、組織架構等維度進行工單組合，提高工單效率，形成閉環機制。

6）態勢展示。從資產維度、資產范圍、資產信息等方面進行多維數據統計，對資產的端口、系統、版本等信息進行數字化展示，對漏洞信息、等級、威脅進行建模分析，展示風險概況、風險變化趨勢、風險評估排名、工單全流程等信息，實現數字化和可視化，結合資產和風險數據進行多維度多層級數據關聯，綜合分析資產風險態勢，掌握資產風險的變化趨勢，建立綜合風險指標模型，按照實際業務需求生成風險指數，對企業所覆蓋的資產進行安全評估[7]。

1.3 數據結構

平臺使用指紋技術匹配資產類型，通過掃描功能發現網絡內存在的IP資產及其開放端口；以PoC和數據字典探測IP資產的安全漏洞和弱口令。IP資產經豐富化后，具備信息系統、責任所屬、等級保護和ICP備案信息，成為風險發現的基礎數據。通過保存和更新工單數據，記錄風險整改的工單流轉情況，使安全責任落實到人。資產測繪平臺數據結構如圖2所示。

1.4 任務隊列

管理端通過任務創建完成相應的資產測繪任務后，根據任務執行的類別（立即、定時或周期），到達相應的時間，任務定時處理器將產生相應的任務執行指令并通過指令通道下達至對應的業務端，業務端接收到指令之后將由指令轉換模塊轉換至資產測繪平臺進行具體的任務執行，同時指令轉換模塊還將監測任務執行情況，并將執行進度上報至管理端[8]。資產測繪平臺任務隊列控制過程如圖3所示。

1.5 加密通道

內網資產測繪平臺采用分布式架構設計，管理平臺和業務子節點能夠滿足企業網絡架構和管理的靈活異地部署需求，網絡可達即可實現平臺功能。由于系統需要控制多個業務子節點，系統采集和管理網絡資產數據和安全風險數據，對節點之間的安全通信提出了較高的要求[9]。

平臺管理端與業務端通過專用通道進行交互。指令消息通過專用消息管理隊列進行異步處理，同時相關指令及任務通過專用通道進行加密傳輸[10，11]。平臺加密通道如圖4所示。

交互通道主要包含兩種，指令通道和傳輸通道。指令通道實現測繪指定的指令下達與上報，傳輸通道實現測繪數據的采集。業務端啟動時b761599886117ac8e8f85987a1c6416480b7cf73ec0798d24d1203ef8194c6d1將嘗試與管理端建立指令通道，在需要進行數據傳遞時（如上傳掃描結果，漏洞庫更新等）雙方將通過指令通道動態協商數據通道，確定數據加密、分塊大小等參數。指令通道在確認后，通過定時的心跳詢問維持，超時未回應將斷開連接，如圖5所示；傳輸通道在數據傳遞完成后主動拆除，如圖6所示。

密鑰交換使用diff-hellman算法，隨機質數用于業務端和管理端的公鑰、私鑰和共享密鑰，省略通信過程，密鑰交換算法主要功能如下：

import random

def generate_prime_number（）： # 生成隨機質數p

min = 99

max = 99999

prime = random.randint（min， max）

while not is_prime（prime）：

prime = random.randint（min， max）

return prime

def is_prime（n）：

if n <= 1： return False

for i in range（2， int（n ** 0.5） + 1）：

if n % i == 0： return False

return True

def calculate_public_key（prime， generator， private_key）：

return （generator ** private_key） % prime

def calculate_shared_secret（prime， public_key， private_key）：

return （public_key ** private_key） % prime

prime = generate_prime_number（） # 生成隨機數p

generator = random.randint（2， prime - 1） # 生成隨機數g

probe_private_key = random.randint（2， prime - 1） # 計算業務端私鑰

manage_private_key = random.randint（2， prime - 1） # 計算管理端私鑰

# 計算雙方公鑰

probe_public_key = calculate_public_key（prime， generator， probe_private_key）

manage_public_key = calculate_public_key（prime， generator， manage_private_key）

# 計算共享密鑰

probe_shared_secret = calculate_shared_secret（prime， probe_public_key， manage_private_key）

manage_shared_secret = calculate_shared_secret（prime， manage_public_key， probe_private_key）

2 平臺應用

面對大型企業的辦公網絡，網絡資產測繪平臺使用分布式部署方式。在每個二級機構的辦公網絡內部署網絡資產測繪管理端和業務端。業務端在網絡可達的條件下部署在本地或異地網絡有利于探測發現的核心區域，管理端與本網絡內的業務端聯動，下發指令和收集數據，實現所在辦公網絡的網絡資產測繪功能。集中管理端與所有管理端通信，完成策略下發和數據匯總，并作以宏觀的區域對比、統計分析。網絡資產測繪平臺分布式部署如圖7所示。

實施完成后，用戶能夠通過管理端編輯任務信息，如IP網段、掃描速率、需排除的地址和端口以及承擔任務的業務端等，向業務端下發指令；業務端將按照要求探測網絡內的IP資產，將數據發送給管理端。資產將被多個維度分類匯總，如圖8所示。

風險主要由IP資產的安全漏洞得出，風險等級與漏洞的威脅等級成正比，管理端將根據漏洞情況、工單執行情況綜合判別風險現狀，如圖9所示。

3 實現效果

在企業完成內網資產測繪平臺的部署，在短時間內即可完成內網網絡資產和安全風險的探測，得出資產各類信息和屬性的分析展示，實現風險閉環治理、人員資產管理能力的提升等，系統帶來了企業信息化資產管理制度的完善，包括以下幾點：

1）增強資產探測與管理能力。實現對企業內部網絡資產的探測，能夠實現對資產總數、新增資產、在線情況、變更情況的監測，完成資產及屬性的統計管理，關聯多維度企業組織層級關系，實現網絡資產的快速發現和定位，提升風險摸排能力。

2）將資產與風險治理相結合。建立網絡資產風險的發現與治理機制，通過暴露面分析、漏洞掃描、弱口令掃描、POC檢測等建立數字化風險管控流程，對風險工單進行分級管理處置監督，實現風險治理流程的標準化和數字化。

3）構建資產風險閉環治理流程。在完成風險探測后，可以設置資產干系人的多級處置角色，進行工單生成，與所屬部門、網絡區域、業務系統等信息進行關聯，上傳漏洞附件信息。構建多級網絡空間資產聯動管理模式，形成完善的協查機制和工作流程。

4）為管理者提供決策參考。建立資產安全維度評估體系，進行軟硬件資產、操作系統、工單等多維度的資產管理和分析，完成資產安全風險的統計分析，結合多項指標完成資產的安全等級評估，為安全管理者提供參考決策。

4 結 論

企業網絡資產管理是一個多級聯動、管理和技術相結合的復雜過程。網絡資產測繪平臺能夠幫助企業提升信息資產發現、分析和風險治理能力，幫助企業信息部門管理者更好地管理企業網絡中的信息資產，評估資產的安全風險和暴露面，是實現持續動態分析、感知乃至消除企業所面臨網絡威脅的全面網絡安全防護的堅實基礎。

參考文獻：

[1] 鐘國輝.資產測繪與攻擊面管理助力構建數字化安全運營體系 [J].中國金融電腦，2023（1）：90-91.

[2] 顏昭治.面向大規模網絡空間資產安全監測系統的實現 [J].中國新通信，2022，24（23）：105-106+209.

[3] 牛康力，劉生昊，鄧賢君.物聯網設備資產安全識別與測繪平臺研究 [J].工業信息安全，2022（6）：84-89.

[4] 陳慶，李晗，杜躍進，等.網絡空間測繪技術的實踐與思考 [J].信息通信技術與政策，2021，47（8）：30-38.

[5] 鄧曉暉，李偉辰，曹文杰.基于測繪技術的網絡資產安全管理研究 [J].保密科學技術，2021（3）：36-40.

[6] 陳安哲.基于網絡空間測繪的動態網絡資產探測掃描系統的設計與實現 [D].上海：華東師范大學，2022.

[7] 姚旺君，鄭兒，劉紅，等.網絡空間測繪資產數據價值評估模型的建立及應用 [J].網絡安全與數據治理，2023，42（8）：40-44+51.

[8] 耿珂瑩，李蒙.工控網絡空間資產測繪平臺構建技術淺析 [J].信息通信，2020（7）：79-80.

[9] 顏昭治.網絡資產測繪系統的實現 [J].電信工程技術與標準化，2022，35（7）：19-22.

[10] 史光庭，阮文波.網絡空間測繪技術的應用研究 [J].保密科學技術，2021（3）：20-28.

[11] 劉紅，姚旺君，孫徹，等.網絡空間測繪系統分類及應用綜述 [J].信息技術與網絡安全，2021，40（10）：16-21+28.

作者簡介：柏東明（1979—），男，漢族，遼寧錦州人，高級工程師，本科，研究方向：網絡安全、網絡攻防技術。