江承興
【摘要】? ? 為解決電信運(yùn)營(yíng)商及相關(guān)單位在資產(chǎn)安全管理上面臨的難題,設(shè)計(jì)一種融合了二維碼及RFID技術(shù)的資產(chǎn)安全管理系統(tǒng)方案,不僅可以對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行安全管理,還可以實(shí)現(xiàn)資產(chǎn)標(biāo)簽信息的自動(dòng)化采集、以及固定資產(chǎn)穿越電子圍欄時(shí)的聯(lián)動(dòng)告警,實(shí)現(xiàn)了各類資產(chǎn)的閉環(huán)管理,從而大為提升資產(chǎn)安全管理的高效性、可靠性、便利性。
【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 資產(chǎn)安全? ? 態(tài)勢(shì)感知? ? QRcode? ? RFID
引言:
資產(chǎn)是企事業(yè)單位實(shí)現(xiàn)業(yè)務(wù)戰(zhàn)略目標(biāo)的物質(zhì)基礎(chǔ)。對(duì)于電信運(yùn)營(yíng)商及相關(guān)單位來(lái)說(shuō),隨著內(nèi)網(wǎng)終端數(shù)量不斷增加,網(wǎng)絡(luò)環(huán)境更加復(fù)雜,一方面網(wǎng)絡(luò)資產(chǎn)面臨著僵木蠕等惡意軟件以及各類網(wǎng)絡(luò)攻擊等外部威脅,另一方面企業(yè)傳統(tǒng)的固定資產(chǎn)管理存在著流程繁瑣、費(fèi)時(shí)、費(fèi)力的問(wèn)題。因此電信運(yùn)營(yíng)商及相關(guān)單位迫切需要一套一站式、一體化、全流程進(jìn)行各類資產(chǎn)安全管理的系統(tǒng)。
廣義的資產(chǎn)包括有形的實(shí)體資產(chǎn)和無(wú)形的信息資產(chǎn)。對(duì)于有形的實(shí)體資產(chǎn),又可區(qū)分為傳統(tǒng)的固定資產(chǎn)和網(wǎng)絡(luò)資產(chǎn),網(wǎng)絡(luò)資產(chǎn)是指構(gòu)成信息系統(tǒng)的軟件、硬件、服務(wù)等IT和IoT類資源的集合,是安全機(jī)制保護(hù)的對(duì)象,包括但不限于網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、物聯(lián)網(wǎng)設(shè)備、辦公外設(shè)、企業(yè)應(yīng)用、系統(tǒng)軟件、支撐系統(tǒng)等。固定資產(chǎn)通常需要進(jìn)行采購(gòu)、入庫(kù)、標(biāo)簽、領(lǐng)用、盤點(diǎn)、維護(hù)等資產(chǎn)生命周期管理;而對(duì)于網(wǎng)絡(luò)資產(chǎn),一般還要進(jìn)行系統(tǒng)版本、補(bǔ)丁升級(jí)、漏洞整改加固、數(shù)據(jù)安全防護(hù)等管理。
通常的資產(chǎn)安全管理解決方案,或側(cè)重網(wǎng)絡(luò)和信息安全角度,探討網(wǎng)絡(luò)資產(chǎn)安全管理的優(yōu)化方案,或側(cè)重傳統(tǒng)固定資產(chǎn)的場(chǎng)景化管理方法,但較少考慮將網(wǎng)絡(luò)資產(chǎn)和傳統(tǒng)固定資產(chǎn)的管理流程進(jìn)行有機(jī)融合的解決方案。本文將從這個(gè)角度出發(fā),研究實(shí)現(xiàn)一種融合多種技術(shù)的資產(chǎn)安全管理方案。
一、資產(chǎn)安全管理技術(shù)概述
資產(chǎn)安全管理的主要技術(shù),包括了基于網(wǎng)絡(luò)安全的資產(chǎn)及屬性發(fā)現(xiàn)技術(shù)、基于二維碼或RFID技術(shù)的固定資產(chǎn)管理方法等。不同的技術(shù)方法,適用于不同的應(yīng)用場(chǎng)景。
資產(chǎn)及屬性發(fā)現(xiàn)技術(shù),主要有三種:一種是基于開源NMAP的方法,該方法不僅可以用于采集信息,還可以作為漏洞掃描器;另兩種是基于遠(yuǎn)程賬號(hào)登錄或安裝代理客戶端的方法,在主機(jī)上運(yùn)行腳本和命令獲取資產(chǎn)屬性。二維碼技術(shù)始于20世紀(jì)80年代末,目前應(yīng)用較廣泛的二維碼是QR碼,非常適合進(jìn)行資產(chǎn)標(biāo)簽信息管理。RFID技術(shù)是一種非接觸式的自動(dòng)射頻識(shí)別技術(shù),通過(guò)射頻信號(hào)自動(dòng)識(shí)別并獲取信息,進(jìn)而實(shí)現(xiàn)定位、跟蹤、監(jiān)管等功能。相對(duì)于二維碼技術(shù),RFID標(biāo)簽對(duì)環(huán)境要求較低,簡(jiǎn)單便捷。
二、資產(chǎn)安全管理系統(tǒng)架構(gòu)
資產(chǎn)安全管理系統(tǒng)主要由資產(chǎn)數(shù)據(jù)采集層、資產(chǎn)數(shù)據(jù)存儲(chǔ)層、資產(chǎn)數(shù)據(jù)分析層、資產(chǎn)安全管理層、資產(chǎn)數(shù)據(jù)展示層和外部系統(tǒng)接口層組成,如圖1所示:
資產(chǎn)數(shù)據(jù)采集層。實(shí)現(xiàn)資產(chǎn)指紋數(shù)據(jù)的采集功能,構(gòu)建包括設(shè)備與系統(tǒng)歸屬關(guān)系、IP地址、端口、操作系統(tǒng)、服務(wù)、應(yīng)用、漏洞和基線配置脆弱性、物理位置(機(jī)房、機(jī)架等)、在安全域中的邏輯部署位置等多維度的資產(chǎn)信息指紋庫(kù)。資產(chǎn)指紋數(shù)據(jù)是用于描述資產(chǎn)特征的一組屬性信息集合,如設(shè)備類型、設(shè)備廠商、系統(tǒng)信息、端口信息、服務(wù)信息、中間件信息、程序應(yīng)用框架信息、應(yīng)用軟件信息等。對(duì)于固資而言,一般包括資產(chǎn)名稱、責(zé)任人、歸屬部門、采購(gòu)日期、金額等資產(chǎn)特征數(shù)據(jù),可通過(guò)二維碼或RFID標(biāo)簽來(lái)承載,以便管理。
資產(chǎn)數(shù)據(jù)存儲(chǔ)層。實(shí)現(xiàn)資產(chǎn)數(shù)據(jù)的存儲(chǔ)功能,包括原始數(shù)據(jù)、分析結(jié)果、采集任務(wù)記錄以及知識(shí)庫(kù)等數(shù)據(jù)。
資產(chǎn)數(shù)據(jù)分析層。實(shí)現(xiàn)資產(chǎn)指紋數(shù)據(jù)的分析功能,能夠結(jié)合漏洞、攻擊方式等威脅信息,實(shí)現(xiàn)新增、變更、下線或者宕機(jī)等異常資產(chǎn)發(fā)現(xiàn),漏洞影響資產(chǎn)范圍精確評(píng)估,資產(chǎn)異常和安全告警功能,資產(chǎn)風(fēng)險(xiǎn)計(jì)算、排序并維護(hù)資產(chǎn)當(dāng)前風(fēng)險(xiǎn)狀態(tài)。此外,還應(yīng)對(duì)固定資產(chǎn)生命周期內(nèi)的變更歷史數(shù)據(jù)進(jìn)行分析。
資產(chǎn)數(shù)據(jù)展示層:實(shí)現(xiàn)資產(chǎn)安全管理的多維度、可視化的展示能力。
資產(chǎn)安全管理層:實(shí)現(xiàn)資產(chǎn)安全管理能力,保障各類資產(chǎn)安全運(yùn)行。
外部系統(tǒng)接口層:實(shí)現(xiàn)與資產(chǎn)管理相關(guān)外部系統(tǒng)的數(shù)據(jù)開放共享的能力。
三、資產(chǎn)安全管理功能結(jié)構(gòu)
3.1 安全管理功能
資產(chǎn)安全管理的內(nèi)涵不僅包括資產(chǎn)自身安全,還包括資產(chǎn)所承載信息的安全。因此需要對(duì)資產(chǎn)自身的指紋數(shù)據(jù)(自身及關(guān)聯(lián)屬性信息)進(jìn)行管理,主要包括資產(chǎn)自身指紋數(shù)據(jù)采集、資產(chǎn)信息去重、資產(chǎn)屬性管理、資產(chǎn)歸屬管理、生命周期管理、資產(chǎn)數(shù)據(jù)分析、資產(chǎn)安全告警、威脅處置管理等功能。核心功能如下:
1.資產(chǎn)指紋采集:系統(tǒng)支持通過(guò)爬蟲技術(shù)、agent客戶端程序、遠(yuǎn)程探測(cè)、第三方接口或手工導(dǎo)入等方式采集資產(chǎn)指紋數(shù)據(jù),并進(jìn)行標(biāo)準(zhǔn)化、過(guò)濾、歸并及分類等處理,在這個(gè)環(huán)節(jié)需要要用到一系列協(xié)議、標(biāo)準(zhǔn),包括 SNMP、syslog、WMI接口,ODBC/jdbc,xml等協(xié)議或標(biāo)準(zhǔn)。遠(yuǎn)程探測(cè)方式是通過(guò)代理客戶端對(duì)指定的網(wǎng)段發(fā)送ICMP、UDP等探測(cè)包,采集網(wǎng)段中在線設(shè)備的指紋信息;第三方接口方式,則通過(guò)與漏洞掃描、堡壘機(jī)、4A等系統(tǒng)對(duì)接,獲取運(yùn)維日志、漏洞掃描結(jié)果信息,獲取相關(guān)資產(chǎn)指紋數(shù)據(jù)。
2.生命周期管理:完整記錄資產(chǎn)數(shù)據(jù)從創(chuàng)建、存儲(chǔ)、使用、共享、歸檔、銷毀的全生命周期的變更信息,以及從入庫(kù)到注銷的全生命周期的指紋變化情況,包括操作系統(tǒng)、中間件、版本、補(bǔ)丁、安全基線、漏洞等資產(chǎn)內(nèi)在變化信息,以及資產(chǎn)編碼、資產(chǎn)名稱、金額、采購(gòu)時(shí)間、資產(chǎn)責(zé)任人、歸屬部門、存放地點(diǎn)等外在變動(dòng)信息管理,實(shí)現(xiàn)事前預(yù)警、事中發(fā)現(xiàn)以及事后處置加固等閉環(huán)管理能力。
3.資產(chǎn)數(shù)據(jù)分析:系統(tǒng)支持對(duì)資產(chǎn)歷史指紋變化情況進(jìn)行關(guān)聯(lián)分析?;诖髷?shù)據(jù)技術(shù),對(duì)海量數(shù)據(jù)進(jìn)行分析處理,包括實(shí)時(shí)的、離線的數(shù)據(jù);支持通過(guò)二次數(shù)據(jù)處理、關(guān)聯(lián)分析技術(shù),發(fā)現(xiàn)異常資產(chǎn)、脆弱性,得出整體安全態(tài)勢(shì)信息。對(duì)網(wǎng)絡(luò)資產(chǎn)存在的潛在網(wǎng)絡(luò)安全問(wèn)題或安全風(fēng)險(xiǎn),觸發(fā)預(yù)警信息,通知資產(chǎn)管理人及時(shí)查看或采取處置行動(dòng)。
4.資產(chǎn)安全告警:對(duì)于代理客戶端、第三方系統(tǒng)發(fā)現(xiàn)的未知資產(chǎn)、資產(chǎn)指紋發(fā)生變更或?qū)嶓w資產(chǎn)發(fā)生位移的情況,將通過(guò)系統(tǒng)消息、文本短信、IVR語(yǔ)音、微信消息或電子圍欄系統(tǒng)的聲光電信號(hào),發(fā)出告警消息。
5.威脅處置功能:系統(tǒng)支持針對(duì)異常資產(chǎn)或威脅的工單處置功能,由系統(tǒng)自動(dòng)觸發(fā)或系統(tǒng)管理員手工觸發(fā),派發(fā)處置工單到資產(chǎn)管理人,完成告警處置后提交審核。
6.輔助管理功能:系統(tǒng)還支持進(jìn)行安全域管理、統(tǒng)計(jì)報(bào)表、IP地址管理、安全策略管理、資產(chǎn)預(yù)警管理、資產(chǎn)風(fēng)險(xiǎn)分析、資產(chǎn)脆弱性管理等功能。
7.知識(shí)庫(kù)管理功能:系統(tǒng)支持與cnvd國(guó)家信息安全漏洞共享平臺(tái)、集團(tuán)側(cè)平臺(tái)或第三方威脅情報(bào)系統(tǒng)的對(duì)接,獲取相關(guān)威脅情報(bào)信息,包括威脅情報(bào)、漏洞、病毒信息等。實(shí)現(xiàn)南北向數(shù)據(jù)互通。
8.接口管理功能:系統(tǒng)支持與專業(yè)安全子系統(tǒng)的接口,包括漏洞掃描系統(tǒng)、攻擊溯源系統(tǒng)、異常流量監(jiān)控系統(tǒng)、僵木蠕系統(tǒng)、域名安全分析系統(tǒng)、垃圾郵件處理系統(tǒng)、終端安全管理系統(tǒng)等系統(tǒng)對(duì)接,調(diào)用其安全能力,實(shí)現(xiàn)東西向數(shù)據(jù)互通。
9.態(tài)勢(shì)感知功能:系統(tǒng)支持將分析獲得的資產(chǎn)安全風(fēng)險(xiǎn)或威脅情報(bào)信息,以可視化方式呈現(xiàn)出來(lái)(如監(jiān)控大屏),實(shí)現(xiàn)動(dòng)態(tài)地、直觀地展示各類資產(chǎn)安全情況,包括資產(chǎn)告警、漏洞、基線、定級(jí)備案等情況。從而達(dá)到對(duì)本企業(yè)各類資產(chǎn)安全狀況的整體態(tài)勢(shì)感知,以便資產(chǎn)安全管理人員,快速采取行動(dòng),遏制或消除風(fēng)險(xiǎn)。
3.2 標(biāo)簽識(shí)讀功能
資產(chǎn)安全管理系統(tǒng)對(duì)于固定資產(chǎn)的資產(chǎn)信息管理,主要基于二維碼標(biāo)簽技術(shù)或RFID標(biāo)簽技術(shù)的方式進(jìn)行管理。核心功能如下:
1.識(shí)讀管理:系統(tǒng)支持適配市場(chǎng)上主流條碼識(shí)讀設(shè)備,通過(guò)開發(fā)APP客戶端或微信小程序技術(shù),實(shí)現(xiàn)對(duì)二維碼標(biāo)簽信息識(shí)讀;支持在手持終端上對(duì)資產(chǎn)信息進(jìn)行修改,以便資產(chǎn)盤點(diǎn)人員及時(shí)更新資產(chǎn)歸屬人、資產(chǎn)歸屬部門等信息。
2.條碼生成:系統(tǒng)支持二維碼的圖像生成功能,并支持自定義條碼標(biāo)簽規(guī)格(默認(rèn)為3*5cm,以便黏貼),二維碼標(biāo)簽包含資產(chǎn)編碼、資產(chǎn)名稱、入庫(kù)日期、金額、歸屬部門、資產(chǎn)負(fù)責(zé)人等主要信息。
3.信息管理:系統(tǒng)支持通過(guò)通信網(wǎng)絡(luò)或數(shù)據(jù)線方式,將條碼識(shí)讀設(shè)備上存儲(chǔ)的資產(chǎn)信息導(dǎo)入后臺(tái)管理系統(tǒng);支持在后臺(tái)系統(tǒng)上進(jìn)行增刪改查等操作,支持csv或pdf格式導(dǎo)出功能。
4.條碼打?。合到y(tǒng)支持二維碼標(biāo)簽打印功能,支持對(duì)頁(yè)面邊距的修改,以適配市場(chǎng)上主流的條碼打印設(shè)備及不同類型的紙帯。
3.3 位移告警功能
對(duì)于部分涉密或關(guān)鍵設(shè)備資產(chǎn),還可通過(guò)內(nèi)置RFID標(biāo)簽的方法,以實(shí)現(xiàn)對(duì)其軌跡的監(jiān)測(cè),并對(duì)穿越電子圍欄的行為觸發(fā)告警。主要功能包括:
1. RFID標(biāo)簽:RFID標(biāo)簽存儲(chǔ)資產(chǎn)電子編碼信息,所存儲(chǔ)的信息可以被射頻收發(fā)設(shè)備以非接觸方式讀或?qū)憽?/p>
2. RFID天線模塊:能夠?yàn)镽FID標(biāo)簽和射頻收發(fā)模塊,進(jìn)行射頻信號(hào)空間傳遞。
3.射頻收發(fā)設(shè)備:能夠發(fā)出無(wú)線電射頻信號(hào),接收由 RFID 標(biāo)簽反射回的無(wú)線電射頻信號(hào),經(jīng)處理后獲取該標(biāo)簽存儲(chǔ)的信息,并將信息送到服務(wù)端。
4.安全策略管理:資產(chǎn)安全管理系統(tǒng)的服務(wù)端收到信息后,根據(jù)資產(chǎn)名稱、資產(chǎn)負(fù)責(zé)人、存放位置、是否涉密等條件配置安全管理策略。若判斷出該資產(chǎn)的位置信息發(fā)生變動(dòng),并違反了預(yù)定的安全管理策略,則向門衛(wèi)或資產(chǎn)責(zé)任人發(fā)出報(bào)警提示,由門衛(wèi)或資產(chǎn)負(fù)責(zé)人進(jìn)行核查或?qū)崟r(shí)攔截,從而避免涉密或重要資產(chǎn)離開預(yù)定存放位置。
5.資產(chǎn)告警功能:實(shí)現(xiàn)語(yǔ)音、短信、微信或聲光電等方式告警。短信、語(yǔ)音告警可通過(guò)電信運(yùn)營(yíng)商短信通道號(hào)發(fā)送,資產(chǎn)責(zé)任人可通過(guò)登錄管理頁(yè)面或手機(jī)APP查看或接聽告警。對(duì)于已建設(shè)電子圍欄系統(tǒng)的單位,資產(chǎn)安全管理系統(tǒng)可通過(guò)接口獲取其關(guān)聯(lián)資產(chǎn)的告警信息,在資產(chǎn)安全管理系統(tǒng)上展示或觸發(fā)告警、處置工單,采取威脅處置手段。
3.4 共通管理功能
資產(chǎn)安全管理系統(tǒng)還支持如下共通管理功能:
1.基礎(chǔ)管理功能,包括賬號(hào)、角色、權(quán)限管理功能等。
2.審計(jì)管理功能,實(shí)現(xiàn)對(duì)所有與資產(chǎn)相關(guān)信息的審計(jì)管理,如登錄和注銷日志、訪問(wèn)資源的行為記錄,安全策略變更記錄,對(duì)用戶角色的增刪改操作,資產(chǎn)數(shù)據(jù)采集任務(wù)創(chuàng)建、執(zhí)行、查看記錄,屬性字段的增刪改記錄等。
3.遠(yuǎn)程管理功能,支持通過(guò)加密的方式進(jìn)行遠(yuǎn)程管理,確保會(huì)話內(nèi)容不被非授權(quán)人員獲取。
四、未來(lái)展望
基于上述系統(tǒng)架構(gòu)的資產(chǎn)安全管理系統(tǒng),可面向三類場(chǎng)景開展資產(chǎn)安全管理。
1.對(duì)于電信運(yùn)營(yíng)商的省分公司,企業(yè)規(guī)模龐大、資產(chǎn)類型眾多。該系統(tǒng)既可用于納管網(wǎng)絡(luò)資產(chǎn),包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、中間件、存儲(chǔ)以及各業(yè)務(wù)系統(tǒng)資產(chǎn),也可用于傳統(tǒng)固定資產(chǎn)安全管理。
2.對(duì)于一般的企事業(yè)單位,可獨(dú)立部署基于二維碼標(biāo)簽及RFID標(biāo)簽的資產(chǎn)安全管理系統(tǒng),以開展傳統(tǒng)固定資產(chǎn)管理。
3.對(duì)于一般的互聯(lián)網(wǎng)企業(yè),可獨(dú)立部署面向網(wǎng)絡(luò)資產(chǎn)的資產(chǎn)安全管理系統(tǒng),以開展網(wǎng)絡(luò)資產(chǎn)的安全管理。
五、 結(jié)束語(yǔ)
綜上所述,融合RFID等技術(shù)的資產(chǎn)安全管理系統(tǒng),綜合考慮了網(wǎng)絡(luò)資產(chǎn)和傳統(tǒng)固資管理的不同流程特點(diǎn),實(shí)現(xiàn)了二者的有機(jī)融合和業(yè)務(wù)流程的貫通,較好地滿足了電信運(yùn)營(yíng)商及相關(guān)單位各管理部門對(duì)資產(chǎn)安全管理的不同需求。
參? 考? 文? 獻(xiàn)
[1]中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì).YD/T 3803-2020.電信網(wǎng)和互聯(lián)網(wǎng)資產(chǎn)安全管理平臺(tái)技術(shù)要求[S].2020.
[2]中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T35290-2017.信息安全技術(shù) 射頻識(shí)別(RFID)系統(tǒng)通用安全技術(shù)要求[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,2018.
[3]中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T31022-2014.名片二維碼通用技術(shù)規(guī)范[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,2015.
[4]落紅衛(wèi),程偉.RFID安全威脅和防護(hù)措施[J].電信網(wǎng)技術(shù).2010(3).