高時效自動化全量安全管理

目前單位主要依托手工管理或借助資產管理系統對資產進行集中管理，缺乏自動化的技術手段發現未知、私自接入的資產，導致資產接入覆蓋率真實情況無法統計，也無法及時感知資產異常變動的情況，導致資產安全管理效果低下，所以“摸清家底兒”是單位開展各項工作的前提。單位對于資產管理主要有以下方面的要求：

1.管理范圍全面化

保證資產管理覆蓋率達到99%以上，只有對資產做到心中有數，才能進一步發現安全風險，從而避免存在短板。

2.管理手段自動化

擺脫傳統手工管理方式，依托自動化的技術手段幫助管理員完成日常資產管理、運維、監控等相關功能，最大限度的降低人工干預；

3.管理周期高時效

周期性的獲取資產基礎及指紋信息，及時讓單位了解資產的最新與異常變化情況，幫助單位排查資產問題與風險。

從技術和業務層面描述如何解決資產管理全面性、資產管理的自動化、資產管理的高時效等問題。

數據采集

采集設備的網絡層、系統層、應用層面的數據，確保能夠全面掌握資產的類型基礎、指紋、配置信息。

1.網絡層數據采集

通過掃描嗅探、配置分析、日志解析、鏡像流量等多種方式獲取網絡層IP地址

系統實現

圖1 配置分析方式發現新資產流程圖

信息，發現未知資產。

掃描嗅探方式：

在網絡層數據收集的初級階段可使用Masscan進行目標網段資產做情勢了解。

配置分析方式：

依賴已錄入的資產信息，需要初始化錄入部分設備信息，錄入的設備種類越全面、數量越多，則未知設備發現算法收斂速度越快，可更迅速而準確的發現未知設備。通過采集、分析設備ARP表、MAC表、路由表、接口信息表等信息的方式，從網絡層發現未知資產，如圖1。

日志解析方式：

采集各種安全設備的日志信息，如防火墻、WAF、IDS等，詳細分析日志，重點關注日志中出現的源地址、目的地址、源端口、目的端口等，發現其中未知的IP資產，掌握其基本行為特征，如圖2。

鏡像流量方式：

在網絡節點中部署專門的流量分析設備，以旁路鏡像的方式對網絡流量流向特征進行捕捉分析，逐層拆封數據報文，解析協議頭部中的MAC地址信息、IP地址信息、端口信息等，分析其通信特征、流量特征、流向特征，從而發現和追蹤未知IP信息，流程如圖3。

2.系統層數據采集

掃描嗅探方式：

使用Nmap進行進一步的系統層數據采集，Nmap負責采集設備的基礎指紋信息，如操作系統類型、版本、名稱、MAC地址等。

配置分析方式：

登錄主機類型設備，獲取設備的基礎指紋信息等配置內容，基礎指紋信息應包括：操作系統類型、操作系統版本、主機名稱、設備型號、設備廠家、MAC地址、主板序列號等。

圖2 日志解析方式發現新資產流程圖

圖3 鏡像流量方式發現新資產流程圖

圖4 配置解析方式采集系統層數據

圖5 配置解析方式采集應用層數據

如圖4，通過Telnet、SSH（v1、v2）等協議登錄主機類型設備；執行獲取操作系統類型、操作系統版本、主機名稱、設備型號、設備廠家、MAC地址、主板序列號的指令；根據不同設備回顯信息設置不同的正則表達式進行回顯解析；根據結果提取結果中的操作系統類型、操作系統版本、主機名稱等字段。

3.應用層數據采集

掃描嗅探方式：

包括端口掃描、Web指紋采集等，端口掃描主要用Nmap工具，而Web指紋采集主要用WhatWeb。

配置分析方式：

登錄主機類型設備，獲取設備端口、進程、服務、軟件信息、補丁、啟動項、接口信息等配置內容。

如圖5，通過 Telnet、SSH等協議登錄主機類型設備；執行獲取端口、進程、服務、軟件信息、補丁、啟動項、接口信息等配置內容的指令；根據不同回顯信息設置不同的正則表達式進行回顯解析；根據解析結果提取結果中的端口、進程、服務、軟件信息補丁、啟動項等配置內容。

數據整理、對比和更新

1.數據整理

通過一系列自動化數據采集手段，已經將設備的各類數據悉數收集到系統中來，覆蓋到網絡層、系統層、應用層等三個層面。

系統根據采集到的數據進行整理，初步形成資產指紋版本，為后續比對過程做數據準備。同時為了滿足高時效性等特點，應根據不同采集項的敏感程度設置不同的采集粒度，如應用層端口配置敏感程度較高，采集粒度應至少設置為每天或每周；而系統層的主機名稱敏感程度偏低，采集粒度可以設置為每月或每季度等。

2.數據比對

資產受人為、環境等因素影響，資產數據會經常發生變化，如何及時察覺資產數據變化的異常情況，就需要系統定期建立資產指紋快照，對各版本（默認是當前與上一次的版本）的指紋數據進行比對，發現資產數據變化的情況，將變化情況提交給資產管理員進行確認，及時發現資產異常變化情況，杜絕安全隱患，如圖6。

圖6 數據比對流程圖

圖7 數據更新流程圖

3.數據更新

在資產比對環節后，系統會自動通知資產管理員資產變動情況，由資產管理員進行確認。當資產管理員確認了變動情況，系統會自動將資產指紋記錄進行更新,如圖7。

4.整體流程

建立資產責任人制度，合理安排人員崗位，明確職責。避免出現故障時，相關負責人互相推脫或者不知該找誰解決問題的情況，從而保障在資產出現問題時能夠第一時間找到相關負責人去解決問題并快速恢復。

將各種監控設備通過集中展現和告警的方式進行統一管理，通過可視化界面快速了解系統當前的運行狀態及異常情況。

高效合理的流程設置和流轉，相互關聯的事件工單、問題工單、變更工單使得運維工作流轉過程中的資源關聯清晰、過程明確可控、歷史數據和處理過程可查。準確的配置管理庫可為運維服務提供所需的配置項信息，降低IT運維人員工作量。

資產檔案管理，可對所有管理資產一目了然，準確記錄資產的使用狀態和歷史過往信息。

建立知識庫積累，避免專業的技術問題永遠只能依賴某些專業人員來解決的現狀。通過共享運維工作中的實際經驗和專業知識，擺脫以往只能靠某個人解決固定問題的現象，實現人人都成為IT運維專家。