基于IT 資產信息庫的資產安全風險分析

■中國民航信息網絡股份有限公司 李建欣 韓杰

隨著企業信息化程度的逐步提升以及業務的不斷發展和復雜化，大中型企業擁有大量的IT 系統，企業關鍵的信息資產也正是分布其中。這些IT 系統在為我們工作和生活提供便利的同時，也一直處于惡意攻擊的陰影籠罩下，因此系統安全防范越來越重要。

而傳統的IT 資產管理與信息安全管理往往沒有進行深度融合，仍舊各自管理信息，成為了信息孤島。因此，如何將IT 資產管理與信息安全管理進行有機融合，使得企業管理人員既能夠從宏觀角度了解企業內IT 資產當前的安全狀態以便進行安全管理決策，又能從微觀角度掌握單一資產的安全情況以便進行針對性的技術防護，成為了企業面臨的一個重要課題。

本文會從信息安全管理角度，以IT 資產管理作為引導，詳細介紹一種基于IT 資產信息庫的資產安全風險分析方案。

表1 不同場景下使用的資產信息采集技術手段

IT 資產信息庫的形成

企業內IT 資產信息庫通常是以管理手段進行收集和維護的，比如通過管理手段要求資產負責方在CMDB 系統中進行錄入。

成熟的CMDB 系統往往十分強大，幾乎能夠覆蓋IT資產從采購到上架使用再到注銷下架回收的整個生命周期。但是通過管理手段進行錄入的CMDB 系統，在實際生產場景中存在一個重要短板：信息維護不夠及時。比如資產的操作系統、數據庫的類型或版本發生了變更，CMDB 中可能還是原來的過時信息。可見CMDB 系統中信息的有效性、真實性完全依賴于企業內部的管理制度，由此成為企業信息安全管理中的一個弱點，因為當有網絡威脅事件發生時，管理人員卻連資產的類型和版本都無法確定。

在本方案中，我們結合實際項目情況，對不同管轄權限和復雜環境中的資產采用不同的技術手段，采集和分析資產的指紋信息，結合CMDB 系統中錄入的管理項信息，形成企業內及時有效的、真實權威的資產信息庫。

表1 為在不同場景下所使用的資產信息采集技術手段，用于適應實際項目中復雜的情況。其中，通過Agent代理方式和指令通道的方式采集的資產指紋配置信息最為正確，采集的類型也是最全的，但是依賴于部署的Agent 當前運行權限的高低；通過對網絡設備的數據進行分析也是一種獲取資產信息重要的補充手段，一種方法通過對流量監控系統的數據進行分析，一種方式是登錄到網絡設備中獲取其ARP 等信息，這種技術方式獲取的資產信息較少，通常被用于未知資產發現；對于無任何管理權限，但是網絡可達的資產，還可以采用遠程掃描的方式對主機設備、B/S 系統進行指紋信息采集，這種技術方式的優點是無需對目標資產進行配置修改，缺點是操作不當可能會對企業內網通信產生一定的影響，因此需要視具體情況使用。

通過如上技術方式的綜合使用，最終形成相較CMDB系統更具可信度的資產信息庫，資產信息庫數據模型示例如表2 所示。

IT 資產風險分析

形成企業內權威的資產信息庫只是基礎工作，只有資產信息庫對于資產安全風險分析工作是遠遠不夠的。本方案中，會把資產的指紋數據根據類型和版本提取CPE（Common Platform Enumeration，通用平臺枚舉）信息，并基于漏洞情報信息進行安全漏洞分析，并將資產相關的其他安全信息進行聚合，以有組織邏輯的形式進行抽象化提升，形成企業的資產畫像。

表2 資產信息庫數據模型示例

本方案中，首先根據指紋數據的類型和版本自動生成CPE 信息，然后將CPE 信息與漏洞情報進行分析匹配，將匹配命中的資產列為風險資產，并關聯命中的漏洞信息。CPE 是一種針對廠商、系統、軟件包進行的結構化命名規范，格式示例：cpe:/o:microsoft:windows_8.1，意為操作系統是微軟的Windows，版本為8.1，主要來進行漏洞影響版本的匹配。圖1 為將資產信息庫中的CPE 信息與漏洞情報庫分析匹配后命中的結果示例圖。

除了基于CPE 信息與漏洞情報信息進行分析外，資產庫還與其他安全平臺進行聯動獲取這些平臺上的數據信息，主要包括：威脅態勢平臺的資產關聯信息、漏洞管理系統中已發生的資產漏洞信息、安全合規系統中的資產合規情況信息、防護態勢系統中的資產的防護數據等，并結合如上關聯數據形成了資產畫像。在資產畫像中，除了對相關信息進行分組，還根據其關聯的安全信息進行綜合安全分析。分析維度按照資產的安全整體情況、自身健康情況、面臨的威脅程度、風險評級四個維度進行提示，用于管理人員的決策參考。圖2 為某一資產的畫像示意圖。

實踐與思考

企業IT 資產的信息安全保障離不開對資產自身的信息及時、完整的掌握，企業也亟需一套權威的資產信息庫。在項目實踐中，我們發現CMDB 系統在管理中的短板，并通過各種技術手段對資產信息進行采集，最終形成了企業內的資產信息庫，這些資產的信息在日常信息安全管理中起到了極其重要的作用。但是在資產風險閉環管理工作中，仍舊需要依賴CMDB 系統中的管理項信息，比如資產負責部門、資產負責人及其聯系方式等信息，因此本方案的作用不是要替代CMDB，而是從信息安全管理的視角去觀察資產，審視資產的安全屬性元素，利用資產的數據完成日常信息安全管理工作。

圖1 將資產信息庫中的CPE 與漏洞情報庫分析匹配結果示例圖

圖2 資產畫像示意圖

結語

企業的資產管理工作繁雜且單調，而相關的安全屬性又常常不在資產的管理范圍內，資產家底不清，積極防御無從談起，出現安全事件時就會無從下手。

信息安全是一個長期對抗的過程，建立基于企業IT資產信息庫的安全風險分析方案，應對日益復雜的安全攻擊，企業作為防守方仍舊任重而道遠。