淺談運(yùn)營(yíng)商互聯(lián)網(wǎng)資產(chǎn)的風(fēng)險(xiǎn)識(shí)別與評(píng)估

李昀

【摘要】隨著大數(shù)據(jù)技術(shù)盛行，互聯(lián)網(wǎng)業(yè)務(wù)正隨著技術(shù)的發(fā)展變得越來(lái)越復(fù)雜，運(yùn)營(yíng)商自有業(yè)務(wù)網(wǎng)絡(luò)范圍內(nèi)的系統(tǒng)變得種類繁多、數(shù)量龐大，但隨之而來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)日益加大，網(wǎng)絡(luò)安全形勢(shì)空前嚴(yán)峻。本著降低運(yùn)營(yíng)商網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)，通過(guò)建立網(wǎng)絡(luò)資產(chǎn)核查和風(fēng)險(xiǎn)驗(yàn)證服務(wù)器，實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)快速梳理和風(fēng)險(xiǎn)自動(dòng)識(shí)別和評(píng)估驗(yàn)證，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資產(chǎn)的可知、可查、可管可控。

【關(guān)鍵詞】大數(shù)據(jù) 互聯(lián)網(wǎng)資產(chǎn) 風(fēng)險(xiǎn)識(shí)別 安全評(píng)估

隨著大數(shù)據(jù)技術(shù)盛行，互聯(lián)網(wǎng)在線業(yè)務(wù)正隨著技術(shù)的發(fā)展變得越來(lái)越復(fù)雜。由于B/S架構(gòu)正在成為當(dāng)前互聯(lián)網(wǎng)在線業(yè)務(wù)的主流形式，因此，圍繞著B/S架構(gòu)下的各種開(kāi)源應(yīng)用、程序和組件也越來(lái)越豐富。隨著這些開(kāi)源系統(tǒng)的逐漸豐富，安全問(wèn)題也隨之逐步暴露，全球范圍內(nèi)的通用漏洞開(kāi)始呈現(xiàn)出爆發(fā)式的增長(zhǎng)趨勢(shì)。面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，國(guó)家和企業(yè)對(duì)防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)都非常重視，兩部委更將網(wǎng)絡(luò)信息安全考核納入各運(yùn)營(yíng)商經(jīng)營(yíng)業(yè)績(jī)考核綜合扣分項(xiàng)，為切實(shí)提高系統(tǒng)安全保障水平，更好地提升公司各系統(tǒng)的安全防護(hù)能力，需要增強(qiáng)對(duì)于公司重要系統(tǒng)的安全風(fēng)險(xiǎn)控制，持續(xù)不斷的發(fā)現(xiàn)系統(tǒng)安全風(fēng)險(xiǎn)并及時(shí)進(jìn)行糾正。

傳統(tǒng)的網(wǎng)絡(luò)安全掃描主要利用TCP及ICMP協(xié)議工作原理，一般通過(guò)在每個(gè)域內(nèi)架設(shè)探針，掃描目標(biāo)主機(jī)并識(shí)別其工作狀態(tài)（如開(kāi)關(guān)機(jī)），識(shí)別目標(biāo)主機(jī)端口狀態(tài)（打開(kāi)或關(guān)閉），以及目標(biāo)主機(jī)系統(tǒng)和服務(wù)的類型版本等，還可根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點(diǎn)，生成掃描結(jié)果報(bào)告以供參考。

傳統(tǒng)掃描實(shí)施簡(jiǎn)單，但存在以下幾個(gè)方面問(wèn)題：一是面對(duì)運(yùn)營(yíng)商龐大的網(wǎng)絡(luò)，想要得到高效的掃描，必須在網(wǎng)絡(luò)中部署大量的探針設(shè)備，投資較大；二是漏洞掃描結(jié)果中含有大量的疑似風(fēng)險(xiǎn)或漏洞，風(fēng)險(xiǎn)是否真實(shí)存在，無(wú)法驗(yàn)證，誤報(bào)率較高；三是自動(dòng)化程度較低，需要耗費(fèi)大量的人工。

鑒于上述情況，擁有龐大網(wǎng)絡(luò)資產(chǎn)的運(yùn)營(yíng)商，想要?jiǎng)討B(tài)的掌握資產(chǎn)的安全狀況，如能建設(shè)一套自動(dòng)化程度更高的系統(tǒng)，在資產(chǎn)識(shí)別和安全評(píng)估方面將起到事半功倍的效果。可重點(diǎn)從以下幾方面考慮：

一、建立網(wǎng)絡(luò)資產(chǎn)核查服務(wù)器，快速梳理網(wǎng)絡(luò)資產(chǎn)。

為解決快速準(zhǔn)確核查現(xiàn)網(wǎng)資產(chǎn)，需建立資產(chǎn)核查手段，主要基于TCP協(xié)議、ICMP協(xié)議工作原理，綜合運(yùn)用端口掃描等多種手段，準(zhǔn)確、快速的發(fā)現(xiàn)目標(biāo)中存活的網(wǎng)絡(luò)設(shè)備，識(shí)別其相關(guān)屬性：如開(kāi)放端口、提供服務(wù)、設(shè)備類型和廠商、使用組件名稱和版本等。根據(jù)運(yùn)營(yíng)商眾多設(shè)備類型的現(xiàn)狀，可探測(cè)的網(wǎng)絡(luò)上的設(shè)備類型應(yīng)至少包括：網(wǎng)絡(luò)設(shè)備、主機(jī)、網(wǎng)絡(luò)安全設(shè)備、各種應(yīng)用系統(tǒng)（數(shù)據(jù)庫(kù)系統(tǒng)、WEB服務(wù)中間件系統(tǒng)等）、存儲(chǔ)設(shè)備、虛擬機(jī)等。可探測(cè)的軟件包括：數(shù)據(jù)庫(kù)軟件、防護(hù)軟件、郵件服務(wù)軟件、FTP服務(wù)軟件、Web容器、Web框架、Web語(yǔ)言、Web前端庫(kù)、Web應(yīng)用程序等。探測(cè)識(shí)別目標(biāo)所使用的操作系統(tǒng)類型，應(yīng)至少包括：Windows系列、linux等各類操作系統(tǒng)。為適應(yīng)各種情景的掃描需求，應(yīng)可根據(jù)給定的關(guān)鍵詞進(jìn)行目標(biāo)詳情信息搜索，同時(shí)支持單字段精確搜索和多字段模糊搜索，并將目標(biāo)的所有信息聚合進(jìn)行展示。

通過(guò)建立核查服務(wù)器，可隨時(shí)了解管理范圍內(nèi)的資產(chǎn)實(shí)時(shí)情況，如新增資產(chǎn)、資產(chǎn)應(yīng)用變更、資產(chǎn)消除等，從而實(shí)現(xiàn)資產(chǎn)的實(shí)時(shí)核查。

二、實(shí)現(xiàn)安全風(fēng)險(xiǎn)系統(tǒng)驗(yàn)證能力，提高風(fēng)險(xiǎn)識(shí)別準(zhǔn)確率。

區(qū)別于傳統(tǒng)漏洞掃描，新系統(tǒng)將致力于提高風(fēng)險(xiǎn)漏洞的驗(yàn)證準(zhǔn)確率，通過(guò)網(wǎng)絡(luò)資產(chǎn)核查，獲得目標(biāo)網(wǎng)絡(luò)空間資產(chǎn)范圍內(nèi)設(shè)備的應(yīng)用信息，如系統(tǒng)平臺(tái)、組件、插件的類型與版本信息；提供服務(wù)或應(yīng)用的類型等信息。通過(guò)與系統(tǒng)風(fēng)險(xiǎn)驗(yàn)證模塊內(nèi)的安全漏洞庫(kù)進(jìn)行信息匹配與真實(shí)性驗(yàn)證，了解基線是否真實(shí)存在安全風(fēng)險(xiǎn)利用點(diǎn)，可識(shí)別的安全風(fēng)險(xiǎn)利用點(diǎn)主要包括：SQL注入漏洞、XSS跨站漏洞、代碼執(zhí)行漏洞、文件上傳漏洞、信息泄漏漏洞、后門漏洞等；將網(wǎng)絡(luò)資產(chǎn)的自有屬性（資產(chǎn)歸屬和重要性等屬性）與信息核查結(jié)果進(jìn)行融合，管理收集與主動(dòng)采集兩個(gè)手段相配合。通過(guò)對(duì)目標(biāo)網(wǎng)絡(luò)資產(chǎn)安全風(fēng)險(xiǎn)驗(yàn)證，獲取風(fēng)險(xiǎn)點(diǎn)設(shè)備信息，快速查詢資產(chǎn)并核查數(shù)據(jù)，定位目標(biāo)網(wǎng)絡(luò)空間的設(shè)備問(wèn)題；通過(guò)已知或未知漏洞的影響特性和特征屬性，定制形成驗(yàn)證漏洞真實(shí)風(fēng)險(xiǎn)的程序包，對(duì)網(wǎng)絡(luò)資源和設(shè)備資產(chǎn)進(jìn)行系統(tǒng)自動(dòng)化的漏洞驗(yàn)證，確保網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)可知、漏洞可查、影響可控。同時(shí)對(duì)存在的設(shè)備提供基線安全核查，方便起見(jiàn)，核查周期可自由設(shè)定，支持進(jìn)行持續(xù)的自動(dòng)化工作。并提供有效的安全管理控制技術(shù)能力并為后續(xù)的整改、加固工作提供有效的數(shù)據(jù)支持。

通過(guò)風(fēng)險(xiǎn)驗(yàn)證，及時(shí)了解管理范圍內(nèi)的資產(chǎn)的基線安全情況；快速給出風(fēng)險(xiǎn)評(píng)估意見(jiàn)；系統(tǒng)針對(duì)每個(gè)漏洞，提供漏洞修復(fù)建議，如補(bǔ)丁下載鏈接、系統(tǒng)加固方案等，幫助全面認(rèn)識(shí)漏洞，并快速的完成漏洞修復(fù)工作。在安全處置整改后，系統(tǒng)針對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備的漏洞修復(fù)情況，進(jìn)行復(fù)查，判斷漏洞修復(fù)情況，評(píng)估安全處置工作的有效性。

三、在資產(chǎn)風(fēng)險(xiǎn)梳理識(shí)別基礎(chǔ)上，形成安全風(fēng)險(xiǎn)預(yù)警能力。

針對(duì)網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)的探測(cè)與驗(yàn)證，進(jìn)而獲得第一手的風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)，并通過(guò)這些風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)，結(jié)合網(wǎng)絡(luò)空間安全最新情況，形成安全預(yù)警信息，從而實(shí)現(xiàn)運(yùn)營(yíng)商的安全預(yù)警能力。通過(guò)在整體網(wǎng)絡(luò)空間探測(cè)的基礎(chǔ)上，不斷強(qiáng)化和完善其探測(cè)引擎和程序包規(guī)則，同時(shí)，依托于云安全大數(shù)據(jù)分析技術(shù)，不斷分析研究來(lái)自網(wǎng)絡(luò)空間安全漏洞攻擊原理并以此建立起精準(zhǔn)的漏洞驗(yàn)證信息庫(kù)。將兩方面能力相結(jié)合，為互聯(lián)網(wǎng)信息安全管理和工作提供有效的網(wǎng)絡(luò)空間測(cè)繪能力與服務(wù)。

通過(guò)建設(shè)網(wǎng)絡(luò)資產(chǎn)核查與安全風(fēng)險(xiǎn)驗(yàn)證系統(tǒng)用來(lái)實(shí)現(xiàn)為運(yùn)營(yíng)商提供網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)、資產(chǎn)自動(dòng)識(shí)別、設(shè)備存活檢查、開(kāi)放服務(wù)信息、操作系統(tǒng)版本、運(yùn)行系統(tǒng)版本、Web應(yīng)用系統(tǒng)等。同時(shí)，通過(guò)與電信基線設(shè)備相匹配，可以識(shí)別出資產(chǎn)中存在的基線設(shè)備信息。配合風(fēng)險(xiǎn)驗(yàn)證模塊可以快速定位并精確核驗(yàn)基線設(shè)備存在的安全風(fēng)險(xiǎn)。可以針對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備的資產(chǎn)信息和漏洞信息，進(jìn)行數(shù)據(jù)統(tǒng)計(jì)和趨勢(shì)分析，從宏觀上展現(xiàn)網(wǎng)絡(luò)資產(chǎn)和風(fēng)險(xiǎn)情況，及其變化趨勢(shì)。同時(shí)，還可以根據(jù)需求選擇數(shù)據(jù)統(tǒng)計(jì)和分析的不同維度，進(jìn)行自定義的數(shù)據(jù)挖掘。

運(yùn)營(yíng)商的管理目標(biāo)會(huì)處于一個(gè)長(zhǎng)期持續(xù)運(yùn)營(yíng)、不斷發(fā)展的過(guò)程。因此，不可避免，對(duì)應(yīng)的安全管理要求也將是持續(xù)、實(shí)時(shí)性的。而通過(guò)資產(chǎn)核查和風(fēng)險(xiǎn)驗(yàn)證系統(tǒng)的建立，對(duì)管轄范圍內(nèi)的網(wǎng)絡(luò)資產(chǎn)進(jìn)行長(zhǎng)期、持續(xù)性的實(shí)時(shí)普查、核查以及風(fēng)險(xiǎn)識(shí)別與確認(rèn)的能力，從而持續(xù)降低運(yùn)營(yíng)商所面臨的風(fēng)險(xiǎn)。endprint