摘 要:随着企业对网络安全工作的愈发重视,企业网络资产管理措施亟须提升改进。资产管理的首要工作是摸清家底,实现网络资产探测发现和风险处置。文章结合大型企业网络特点,设计分布式内网资产测绘平台,平台包含资产测绘和管理、风险治理、工单管理、多维展示等功能模块,实现多级资产测绘、风险治理和联动管控,借助diffie-hellman算法保障模块通信安全,有效提升企业内网信息资产的管理能力。
关键词:资产测绘;风险治理;安全管理
中图分类号:TP311 文献标识码:A 文章编号:2096-4706(2024)15-0154-06
Design and Implementation of Enterprise Network Asset Mapping Platform
BAI Dongming, ZENG Lihua, FANG Jing
(Key Laboratory of Internet of Things of China National Petroleum Co., Ltd., Beijing 100083, China)
Abstract: As enterprises attach great importance to network security, enterprise network asset management measures need to be improved urgently. The primary task of asset management is to find out the asset and realize the detection and discovery of network assets and risk disposal. Combined with the characteristics of large enterprise networks, this paper designs a distributed intranet asset mapping platform, which includes asset mapping and management, risk governance, work order management, multi-dimensional display and other functional modules, realizes multi-level asset mapping, risk governance and linkage control, and uses the diffie-hellman algorithm to ensure the communication security of the module, effectively improves the management ability of enterprise intranet information assets.
Keywords: asset mapping; risk governance; security management
0 引 言
近年来,国家对企业网络安全的监督和管理不断深入细化,《网络安全法》《数据安全法》和《关键信息基础设施安全保护条例》等法律法规相继出台,网络安全等级保护制度和测评标准等陆续发布并更新,对企业网络安全能力提出了更高的要求。企业网络中信息资产管理、监测预警分析、应急处置等网络安全能力亟待加强。
大型企业办公网络遍布全国,网络资产分布广泛,类型众多,网络安全能力提升的首要工作是确定保护对象和防护重点,要摸清家底,梳理并维护信息资产数据,监测资产变更情况,全面掌握信息资产动态;同时,明确资产归属,能够将安全责任逐级落实,为网络安全预警、协同防御、应急处置、责任划定提供准确的依据[1]。
1 网络资产测绘
1.1 整体设计
依据企业网络整体架构,结合网络安全管理需求,网络测绘平台管理功能与探测功能的顺畅运行宜采用分布式部署架构,管理端部署在数据节点[2]。根据业务和网络情况选取探测端的部署位置,管理端与数据端通过加密通道进行安全通信。
网络资产的管理需要实现资产与风险探测、资产与风险管理、风险闭环治理、多维分析展示四个主要功能:
1)资产与风险探测。对IP资产进行探测与监测,对资产进行风险扫描和识别。实现资产与风险的多维度安全动态监测,获取资产信息,实时掌握资产变动情况,实现及时、准确的资产动态监测与分析,同时对资产风险进行探测与识别[3]。
2)资产与风险管理。结合漏洞威胁情报,对可能对资产造成损害的安全风险进行管理控制,精准定位危险资产,对同类风险资产进行主动预知及统一处置。
3)风险闭环治理。通过风险控制管理流程数字化,实现研判、处置、整改、验收等阶段的标准化和数字化,将任务分级管理,将网络安全责任落实到人,实时跟踪和统计风险治理进程。
4)多维分析展示。通过对资产、风险进行多维度的安全风险评估指标建模,并对风险模型进行关联分析,综合展示企业安全风险、变化趋势等指标,呈现多层次的分析报表[4]。
1.2 功能架构
平台采用管理端、扫描端节点分布式集群联控方式部署,通过RSA分级任务分配算法进行任务的下发,通过diffie-hellman加密通道保障管理端和扫描端的数据通信和指令通信,并预留API接口与其他业务系统对接,实现数据的有效共享[5]。平台主要功能由资产测绘、资产管理、风险管理、资源管理、工单管理、态势展示六大功能模块组成,如图1所示。
1)资产测绘。实现集中管控分布式的网络资产扫描,根据任务分布范围、数量智能评估扫描任务,将任务分配给节点探头,对多个逻辑子网进行扫描,识别操作系统、数据库、中间件、端口、版本等资产信息,能够定时、定期探测,能够排除特殊网段等[6]。
2)资产管理。从网络区域、业务系统、部门、组织、资产分类等维度对资产进行多维归类统计,按照企业组织架构对资产进行分级管理,根据资产测绘数据实现对资产存活、信息变更、状态变更的跟踪记录,从IP、业务、系统等维度实现对资产信息的关联分析,识别和分析资产的归属关系,准确定位资产。
3)风险管理。根据探测资产属性对资产进行精确的漏洞探测、弱口令探测、POC脚本验证,得出所存在的网络资产风险种类,针对资产风险情况提出风险修复建议,并记录整改结果,能够对风险发现、处置、整改等阶段进行记录和统计分析,为资产相关管理人员提供风险提示和处置流程跟踪。
4)资源管理。对网络资产及风险探测中涉及的指纹库、POC库、漏洞库、弱口令字典等进行维护,能够完成相关安全库的升级和编辑,能够个性化地编辑和加入资源,并支持与第三方库的接入。
5)工单管理。可按照企业组织特点设置管理权限和工单流程,按照采集、导入、手动录入等方式生成任务工单,可按风险等级、组织架构等维度进行工单组合,提高工单效率,形成闭环机制。
6)态势展示。从资产维度、资产范围、资产信息等方面进行多维数据统计,对资产的端口、系统、版本等信息进行数字化展示,对漏洞信息、等级、威胁进行建模分析,展示风险概况、风险变化趋势、风险评估排名、工单全流程等信息,实现数字化和可视化,结合资产和风险数据进行多维度多层级数据关联,综合分析资产风险态势,掌握资产风险的变化趋势,建立综合风险指标模型,按照实际业务需求生成风险指数,对企业所覆盖的资产进行安全评估[7]。
1.3 数据结构
平台使用指纹技术匹配资产类型,通过扫描功能发现网络内存在的IP资产及其开放端口;以PoC和数据字典探测IP资产的安全漏洞和弱口令。IP资产经丰富化后,具备信息系统、责任所属、等级保护和ICP备案信息,成为风险发现的基础数据。通过保存和更新工单数据,记录风险整改的工单流转情况,使安全责任落实到人。资产测绘平台数据结构如图2所示。
1.4 任务队列
管理端通过任务创建完成相应的资产测绘任务后,根据任务执行的类别(立即、定时或周期),到达相应的时间,任务定时处理器将产生相应的任务执行指令并通过指令通道下达至对应的业务端,业务端接收到指令之后将由指令转换模块转换至资产测绘平台进行具体的任务执行,同时指令转换模块还将监测任务执行情况,并将执行进度上报至管理端[8]。资产测绘平台任务队列控制过程如图3所示。
1.5 加密通道
内网资产测绘平台采用分布式架构设计,管理平台和业务子节点能够满足企业网络架构和管理的灵活异地部署需求,网络可达即可实现平台功能。由于系统需要控制多个业务子节点,系统采集和管理网络资产数据和安全风险数据,对节点之间的安全通信提出了较高的要求[9]。
平台管理端与业务端通过专用通道进行交互。指令消息通过专用消息管理队列进行异步处理,同时相关指令及任务通过专用通道进行加密传输[10,11]。平台加密通道如图4所示。
交互通道主要包含两种,指令通道和传输通道。指令通道实现测绘指定的指令下达与上报,传输通道实现测绘数据的采集。业务端启动时b761599886117ac8e8f85987a1c6416480b7cf73ec0798d24d1203ef8194c6d1将尝试与管理端建立指令通道,在需要进行数据传递时(如上传扫描结果,漏洞库更新等)双方将通过指令通道动态协商数据通道,确定数据加密、分块大小等参数。指令通道在确认后,通过定时的心跳询问维持,超时未回应将断开连接,如图5所示;传输通道在数据传递完成后主动拆除,如图6所示。
密钥交换使用diff-hellman算法,随机质数用于业务端和管理端的公钥、私钥和共享密钥,省略通信过程,密钥交换算法主要功能如下:
import random
def generate_prime_number(): # 生成随机质数p
min = 99
max = 99999
prime = random.randint(min, max)
while not is_prime(prime):
prime = random.randint(min, max)
return prime
def is_prime(n):
if n <= 1: return False
for i in range(2, int(n ** 0.5) + 1):
if n % i == 0: return False
return True
def calculate_public_key(prime, generator, private_key):
return (generator ** private_key) % prime
def calculate_shared_secret(prime, public_key, private_key):
return (public_key ** private_key) % prime
prime = generate_prime_number() # 生成随机数p
generator = random.randint(2, prime - 1) # 生成随机数g
probe_private_key = random.randint(2, prime - 1) # 计算业务端私钥
manage_private_key = random.randint(2, prime - 1) # 计算管理端私钥
# 计算双方公钥
probe_public_key = calculate_public_key(prime, generator, probe_private_key)
manage_public_key = calculate_public_key(prime, generator, manage_private_key)
# 计算共享密钥
probe_shared_secret = calculate_shared_secret(prime, probe_public_key, manage_private_key)
manage_shared_secret = calculate_shared_secret(prime, manage_public_key, probe_private_key)
2 平台应用
面对大型企业的办公网络,网络资产测绘平台使用分布式部署方式。在每个二级机构的办公网络内部署网络资产测绘管理端和业务端。业务端在网络可达的条件下部署在本地或异地网络有利于探测发现的核心区域,管理端与本网络内的业务端联动,下发指令和收集数据,实现所在办公网络的网络资产测绘功能。集中管理端与所有管理端通信,完成策略下发和数据汇总,并作以宏观的区域对比、统计分析。网络资产测绘平台分布式部署如图7所示。
实施完成后,用户能够通过管理端编辑任务信息,如IP网段、扫描速率、需排除的地址和端口以及承担任务的业务端等,向业务端下发指令;业务端将按照要求探测网络内的IP资产,将数据发送给管理端。资产将被多个维度分类汇总,如图8所示。
风险主要由IP资产的安全漏洞得出,风险等级与漏洞的威胁等级成正比,管理端将根据漏洞情况、工单执行情况综合判别风险现状,如图9所示。
3 实现效果
在企业完成内网资产测绘平台的部署,在短时间内即可完成内网网络资产和安全风险的探测,得出资产各类信息和属性的分析展示,实现风险闭环治理、人员资产管理能力的提升等,系统带来了企业信息化资产管理制度的完善,包括以下几点:
1)增强资产探测与管理能力。实现对企业内部网络资产的探测,能够实现对资产总数、新增资产、在线情况、变更情况的监测,完成资产及属性的统计管理,关联多维度企业组织层级关系,实现网络资产的快速发现和定位,提升风险摸排能力。
2)将资产与风险治理相结合。建立网络资产风险的发现与治理机制,通过暴露面分析、漏洞扫描、弱口令扫描、POC检测等建立数字化风险管控流程,对风险工单进行分级管理处置监督,实现风险治理流程的标准化和数字化。
3)构建资产风险闭环治理流程。在完成风险探测后,可以设置资产干系人的多级处置角色,进行工单生成,与所属部门、网络区域、业务系统等信息进行关联,上传漏洞附件信息。构建多级网络空间资产联动管理模式,形成完善的协查机制和工作流程。
4)为管理者提供决策参考。建立资产安全维度评估体系,进行软硬件资产、操作系统、工单等多维度的资产管理和分析,完成资产安全风险的统计分析,结合多项指标完成资产的安全等级评估,为安全管理者提供参考决策。
4 结 论
企业网络资产管理是一个多级联动、管理和技术相结合的复杂过程。网络资产测绘平台能够帮助企业提升信息资产发现、分析和风险治理能力,帮助企业信息部门管理者更好地管理企业网络中的信息资产,评估资产的安全风险和暴露面,是实现持续动态分析、感知乃至消除企业所面临网络威胁的全面网络安全防护的坚实基础。
参考文献:
[1] 钟国辉.资产测绘与攻击面管理助力构建数字化安全运营体系 [J].中国金融电脑,2023(1):90-91.
[2] 颜昭治.面向大规模网络空间资产安全监测系统的实现 [J].中国新通信,2022,24(23):105-106+209.
[3] 牛康力,刘生昊,邓贤君.物联网设备资产安全识别与测绘平台研究 [J].工业信息安全,2022(6):84-89.
[4] 陈庆,李晗,杜跃进,等.网络空间测绘技术的实践与思考 [J].信息通信技术与政策,2021,47(8):30-38.
[5] 邓晓晖,李伟辰,曹文杰.基于测绘技术的网络资产安全管理研究 [J].保密科学技术,2021(3):36-40.
[6] 陈安哲.基于网络空间测绘的动态网络资产探测扫描系统的设计与实现 [D].上海:华东师范大学,2022.
[7] 姚旺君,郑儿,刘红,等.网络空间测绘资产数据价值评估模型的建立及应用 [J].网络安全与数据治理,2023,42(8):40-44+51.
[8] 耿珂莹,李蒙.工控网络空间资产测绘平台构建技术浅析 [J].信息通信,2020(7):79-80.
[9] 颜昭治.网络资产测绘系统的实现 [J].电信工程技术与标准化,2022,35(7):19-22.
[10] 史光庭,阮文波.网络空间测绘技术的应用研究 [J].保密科学技术,2021(3):20-28.
[11] 刘红,姚旺君,孙彻,等.网络空间测绘系统分类及应用综述 [J].信息技术与网络安全,2021,40(10):16-21+28.
作者简介:柏东明(1979—),男,汉族,辽宁锦州人,高级工程师,本科,研究方向:网络安全、网络攻防技术。
