電信運(yùn)營(yíng)商資產(chǎn)安全管理系統(tǒng)的應(yīng)用研究

江承興

【摘要】? ? 為解決電信運(yùn)營(yíng)商及相關(guān)單位在資產(chǎn)安全管理上面臨的難題，設(shè)計(jì)一種融合了二維碼及RFID技術(shù)的資產(chǎn)安全管理系統(tǒng)方案，不僅可以對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行安全管理，還可以實(shí)現(xiàn)資產(chǎn)標(biāo)簽信息的自動(dòng)化采集、以及固定資產(chǎn)穿越電子圍欄時(shí)的聯(lián)動(dòng)告警，實(shí)現(xiàn)了各類資產(chǎn)的閉環(huán)管理，從而大為提升資產(chǎn)安全管理的高效性、可靠性、便利性。

【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 資產(chǎn)安全? ? 態(tài)勢(shì)感知? ? QRcode? ? RFID

引言：

資產(chǎn)是企事業(yè)單位實(shí)現(xiàn)業(yè)務(wù)戰(zhàn)略目標(biāo)的物質(zhì)基礎(chǔ)。對(duì)于電信運(yùn)營(yíng)商及相關(guān)單位來(lái)說(shuō)，隨著內(nèi)網(wǎng)終端數(shù)量不斷增加，網(wǎng)絡(luò)環(huán)境更加復(fù)雜，一方面網(wǎng)絡(luò)資產(chǎn)面臨著僵木蠕等惡意軟件以及各類網(wǎng)絡(luò)攻擊等外部威脅，另一方面企業(yè)傳統(tǒng)的固定資產(chǎn)管理存在著流程繁瑣、費(fèi)時(shí)、費(fèi)力的問(wèn)題。因此電信運(yùn)營(yíng)商及相關(guān)單位迫切需要一套一站式、一體化、全流程進(jìn)行各類資產(chǎn)安全管理的系統(tǒng)。

廣義的資產(chǎn)包括有形的實(shí)體資產(chǎn)和無(wú)形的信息資產(chǎn)。對(duì)于有形的實(shí)體資產(chǎn)，又可區(qū)分為傳統(tǒng)的固定資產(chǎn)和網(wǎng)絡(luò)資產(chǎn)，網(wǎng)絡(luò)資產(chǎn)是指構(gòu)成信息系統(tǒng)的軟件、硬件、服務(wù)等IT和IoT類資源的集合，是安全機(jī)制保護(hù)的對(duì)象，包括但不限于網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、物聯(lián)網(wǎng)設(shè)備、辦公外設(shè)、企業(yè)應(yīng)用、系統(tǒng)軟件、支撐系統(tǒng)等。固定資產(chǎn)通常需要進(jìn)行采購(gòu)、入庫(kù)、標(biāo)簽、領(lǐng)用、盤點(diǎn)、維護(hù)等資產(chǎn)生命周期管理;而對(duì)于網(wǎng)絡(luò)資產(chǎn)，一般還要進(jìn)行系統(tǒng)版本、補(bǔ)丁升級(jí)、漏洞整改加固、數(shù)據(jù)安全防護(hù)等管理。

通常的資產(chǎn)安全管理解決方案，或側(cè)重網(wǎng)絡(luò)和信息安全角度，探討網(wǎng)絡(luò)資產(chǎn)安全管理的優(yōu)化方案，或側(cè)重傳統(tǒng)固定資產(chǎn)的場(chǎng)景化管理方法，但較少考慮將網(wǎng)絡(luò)資產(chǎn)和傳統(tǒng)固定資產(chǎn)的管理流程進(jìn)行有機(jī)融合的解決方案。本文將從這個(gè)角度出發(fā)，研究實(shí)現(xiàn)一種融合多種技術(shù)的資產(chǎn)安全管理方案。

一、資產(chǎn)安全管理技術(shù)概述

資產(chǎn)安全管理的主要技術(shù)，包括了基于網(wǎng)絡(luò)安全的資產(chǎn)及屬性發(fā)現(xiàn)技術(shù)、基于二維碼或RFID技術(shù)的固定資產(chǎn)管理方法等。不同的技術(shù)方法，適用于不同的應(yīng)用場(chǎng)景。

資產(chǎn)及屬性發(fā)現(xiàn)技術(shù)，主要有三種：一種是基于開源NMAP的方法，該方法不僅可以用于采集信息，還可以作為漏洞掃描器;另兩種是基于遠(yuǎn)程賬號(hào)登錄或安裝代理客戶端的方法，在主機(jī)上運(yùn)行腳本和命令獲取資產(chǎn)屬性。二維碼技術(shù)始于20世紀(jì)80年代末，目前應(yīng)用較廣泛的二維碼是QR碼，非常適合進(jìn)行資產(chǎn)標(biāo)簽信息管理。RFID技術(shù)是一種非接觸式的自動(dòng)射頻識(shí)別技術(shù)，通過(guò)射頻信號(hào)自動(dòng)識(shí)別并獲取信息，進(jìn)而實(shí)現(xiàn)定位、跟蹤、監(jiān)管等功能。相對(duì)于二維碼技術(shù)，RFID標(biāo)簽對(duì)環(huán)境要求較低，簡(jiǎn)單便捷。

二、資產(chǎn)安全管理系統(tǒng)架構(gòu)

資產(chǎn)安全管理系統(tǒng)主要由資產(chǎn)數(shù)據(jù)采集層、資產(chǎn)數(shù)據(jù)存儲(chǔ)層、資產(chǎn)數(shù)據(jù)分析層、資產(chǎn)安全管理層、資產(chǎn)數(shù)據(jù)展示層和外部系統(tǒng)接口層組成，如圖1所示：

資產(chǎn)數(shù)據(jù)采集層。實(shí)現(xiàn)資產(chǎn)指紋數(shù)據(jù)的采集功能，構(gòu)建包括設(shè)備與系統(tǒng)歸屬關(guān)系、IP地址、端口、操作系統(tǒng)、服務(wù)、應(yīng)用、漏洞和基線配置脆弱性、物理位置（機(jī)房、機(jī)架等）、在安全域中的邏輯部署位置等多維度的資產(chǎn)信息指紋庫(kù)。資產(chǎn)指紋數(shù)據(jù)是用于描述資產(chǎn)特征的一組屬性信息集合，如設(shè)備類型、設(shè)備廠商、系統(tǒng)信息、端口信息、服務(wù)信息、中間件信息、程序應(yīng)用框架信息、應(yīng)用軟件信息等。對(duì)于固資而言，一般包括資產(chǎn)名稱、責(zé)任人、歸屬部門、采購(gòu)日期、金額等資產(chǎn)特征數(shù)據(jù)，可通過(guò)二維碼或RFID標(biāo)簽來(lái)承載，以便管理。

資產(chǎn)數(shù)據(jù)存儲(chǔ)層。實(shí)現(xiàn)資產(chǎn)數(shù)據(jù)的存儲(chǔ)功能，包括原始數(shù)據(jù)、分析結(jié)果、采集任務(wù)記錄以及知識(shí)庫(kù)等數(shù)據(jù)。

資產(chǎn)數(shù)據(jù)分析層。實(shí)現(xiàn)資產(chǎn)指紋數(shù)據(jù)的分析功能，能夠結(jié)合漏洞、攻擊方式等威脅信息，實(shí)現(xiàn)新增、變更、下線或者宕機(jī)等異常資產(chǎn)發(fā)現(xiàn)，漏洞影響資產(chǎn)范圍精確評(píng)估，資產(chǎn)異常和安全告警功能，資產(chǎn)風(fēng)險(xiǎn)計(jì)算、排序并維護(hù)資產(chǎn)當(dāng)前風(fēng)險(xiǎn)狀態(tài)。此外，還應(yīng)對(duì)固定資產(chǎn)生命周期內(nèi)的變更歷史數(shù)據(jù)進(jìn)行分析。

資產(chǎn)數(shù)據(jù)展示層：實(shí)現(xiàn)資產(chǎn)安全管理的多維度、可視化的展示能力。

資產(chǎn)安全管理層：實(shí)現(xiàn)資產(chǎn)安全管理能力，保障各類資產(chǎn)安全運(yùn)行。

外部系統(tǒng)接口層：實(shí)現(xiàn)與資產(chǎn)管理相關(guān)外部系統(tǒng)的數(shù)據(jù)開放共享的能力。

三、資產(chǎn)安全管理功能結(jié)構(gòu)

3.1 安全管理功能

資產(chǎn)安全管理的內(nèi)涵不僅包括資產(chǎn)自身安全，還包括資產(chǎn)所承載信息的安全。因此需要對(duì)資產(chǎn)自身的指紋數(shù)據(jù)（自身及關(guān)聯(lián)屬性信息）進(jìn)行管理，主要包括資產(chǎn)自身指紋數(shù)據(jù)采集、資產(chǎn)信息去重、資產(chǎn)屬性管理、資產(chǎn)歸屬管理、生命周期管理、資產(chǎn)數(shù)據(jù)分析、資產(chǎn)安全告警、威脅處置管理等功能。核心功能如下：

1.資產(chǎn)指紋采集：系統(tǒng)支持通過(guò)爬蟲技術(shù)、agent客戶端程序、遠(yuǎn)程探測(cè)、第三方接口或手工導(dǎo)入等方式采集資產(chǎn)指紋數(shù)據(jù)，并進(jìn)行標(biāo)準(zhǔn)化、過(guò)濾、歸并及分類等處理，在這個(gè)環(huán)節(jié)需要要用到一系列協(xié)議、標(biāo)準(zhǔn)，包括 SNMP、syslog、WMI接口，ODBC/jdbc，xml等協(xié)議或標(biāo)準(zhǔn)。遠(yuǎn)程探測(cè)方式是通過(guò)代理客戶端對(duì)指定的網(wǎng)段發(fā)送ICMP、UDP等探測(cè)包，采集網(wǎng)段中在線設(shè)備的指紋信息;第三方接口方式，則通過(guò)與漏洞掃描、堡壘機(jī)、4A等系統(tǒng)對(duì)接，獲取運(yùn)維日志、漏洞掃描結(jié)果信息，獲取相關(guān)資產(chǎn)指紋數(shù)據(jù)。

2.生命周期管理：完整記錄資產(chǎn)數(shù)據(jù)從創(chuàng)建、存儲(chǔ)、使用、共享、歸檔、銷毀的全生命周期的變更信息，以及從入庫(kù)到注銷的全生命周期的指紋變化情況，包括操作系統(tǒng)、中間件、版本、補(bǔ)丁、安全基線、漏洞等資產(chǎn)內(nèi)在變化信息，以及資產(chǎn)編碼、資產(chǎn)名稱、金額、采購(gòu)時(shí)間、資產(chǎn)責(zé)任人、歸屬部門、存放地點(diǎn)等外在變動(dòng)信息管理，實(shí)現(xiàn)事前預(yù)警、事中發(fā)現(xiàn)以及事后處置加固等閉環(huán)管理能力。

3.資產(chǎn)數(shù)據(jù)分析：系統(tǒng)支持對(duì)資產(chǎn)歷史指紋變化情況進(jìn)行關(guān)聯(lián)分析?；诖髷?shù)據(jù)技術(shù)，對(duì)海量數(shù)據(jù)進(jìn)行分析處理，包括實(shí)時(shí)的、離線的數(shù)據(jù);支持通過(guò)二次數(shù)據(jù)處理、關(guān)聯(lián)分析技術(shù)，發(fā)現(xiàn)異常資產(chǎn)、脆弱性，得出整體安全態(tài)勢(shì)信息。對(duì)網(wǎng)絡(luò)資產(chǎn)存在的潛在網(wǎng)絡(luò)安全問(wèn)題或安全風(fēng)險(xiǎn)，觸發(fā)預(yù)警信息，通知資產(chǎn)管理人及時(shí)查看或采取處置行動(dòng)。

4.資產(chǎn)安全告警：對(duì)于代理客戶端、第三方系統(tǒng)發(fā)現(xiàn)的未知資產(chǎn)、資產(chǎn)指紋發(fā)生變更或?qū)嶓w資產(chǎn)發(fā)生位移的情況，將通過(guò)系統(tǒng)消息、文本短信、IVR語(yǔ)音、微信消息或電子圍欄系統(tǒng)的聲光電信號(hào)，發(fā)出告警消息。

5.威脅處置功能：系統(tǒng)支持針對(duì)異常資產(chǎn)或威脅的工單處置功能，由系統(tǒng)自動(dòng)觸發(fā)或系統(tǒng)管理員手工觸發(fā)，派發(fā)處置工單到資產(chǎn)管理人，完成告警處置后提交審核。

6.輔助管理功能：系統(tǒng)還支持進(jìn)行安全域管理、統(tǒng)計(jì)報(bào)表、IP地址管理、安全策略管理、資產(chǎn)預(yù)警管理、資產(chǎn)風(fēng)險(xiǎn)分析、資產(chǎn)脆弱性管理等功能。

7.知識(shí)庫(kù)管理功能：系統(tǒng)支持與cnvd國(guó)家信息安全漏洞共享平臺(tái)、集團(tuán)側(cè)平臺(tái)或第三方威脅情報(bào)系統(tǒng)的對(duì)接，獲取相關(guān)威脅情報(bào)信息，包括威脅情報(bào)、漏洞、病毒信息等。實(shí)現(xiàn)南北向數(shù)據(jù)互通。

8.接口管理功能：系統(tǒng)支持與專業(yè)安全子系統(tǒng)的接口，包括漏洞掃描系統(tǒng)、攻擊溯源系統(tǒng)、異常流量監(jiān)控系統(tǒng)、僵木蠕系統(tǒng)、域名安全分析系統(tǒng)、垃圾郵件處理系統(tǒng)、終端安全管理系統(tǒng)等系統(tǒng)對(duì)接，調(diào)用其安全能力，實(shí)現(xiàn)東西向數(shù)據(jù)互通。

9.態(tài)勢(shì)感知功能：系統(tǒng)支持將分析獲得的資產(chǎn)安全風(fēng)險(xiǎn)或威脅情報(bào)信息，以可視化方式呈現(xiàn)出來(lái)（如監(jiān)控大屏），實(shí)現(xiàn)動(dòng)態(tài)地、直觀地展示各類資產(chǎn)安全情況，包括資產(chǎn)告警、漏洞、基線、定級(jí)備案等情況。從而達(dá)到對(duì)本企業(yè)各類資產(chǎn)安全狀況的整體態(tài)勢(shì)感知，以便資產(chǎn)安全管理人員，快速采取行動(dòng)，遏制或消除風(fēng)險(xiǎn)。

3.2 標(biāo)簽識(shí)讀功能

資產(chǎn)安全管理系統(tǒng)對(duì)于固定資產(chǎn)的資產(chǎn)信息管理，主要基于二維碼標(biāo)簽技術(shù)或RFID標(biāo)簽技術(shù)的方式進(jìn)行管理。核心功能如下：

1.識(shí)讀管理：系統(tǒng)支持適配市場(chǎng)上主流條碼識(shí)讀設(shè)備，通過(guò)開發(fā)APP客戶端或微信小程序技術(shù)，實(shí)現(xiàn)對(duì)二維碼標(biāo)簽信息識(shí)讀;支持在手持終端上對(duì)資產(chǎn)信息進(jìn)行修改，以便資產(chǎn)盤點(diǎn)人員及時(shí)更新資產(chǎn)歸屬人、資產(chǎn)歸屬部門等信息。

2.條碼生成：系統(tǒng)支持二維碼的圖像生成功能，并支持自定義條碼標(biāo)簽規(guī)格（默認(rèn)為3*5cm，以便黏貼），二維碼標(biāo)簽包含資產(chǎn)編碼、資產(chǎn)名稱、入庫(kù)日期、金額、歸屬部門、資產(chǎn)負(fù)責(zé)人等主要信息。

3.信息管理：系統(tǒng)支持通過(guò)通信網(wǎng)絡(luò)或數(shù)據(jù)線方式，將條碼識(shí)讀設(shè)備上存儲(chǔ)的資產(chǎn)信息導(dǎo)入后臺(tái)管理系統(tǒng);支持在后臺(tái)系統(tǒng)上進(jìn)行增刪改查等操作，支持csv或pdf格式導(dǎo)出功能。

4.條碼打?。合到y(tǒng)支持二維碼標(biāo)簽打印功能，支持對(duì)頁(yè)面邊距的修改，以適配市場(chǎng)上主流的條碼打印設(shè)備及不同類型的紙帯。

3.3 位移告警功能

對(duì)于部分涉密或關(guān)鍵設(shè)備資產(chǎn)，還可通過(guò)內(nèi)置RFID標(biāo)簽的方法，以實(shí)現(xiàn)對(duì)其軌跡的監(jiān)測(cè)，并對(duì)穿越電子圍欄的行為觸發(fā)告警。主要功能包括：

1. RFID標(biāo)簽：RFID標(biāo)簽存儲(chǔ)資產(chǎn)電子編碼信息，所存儲(chǔ)的信息可以被射頻收發(fā)設(shè)備以非接觸方式讀或?qū)憽?/p>

2. RFID天線模塊：能夠?yàn)镽FID標(biāo)簽和射頻收發(fā)模塊，進(jìn)行射頻信號(hào)空間傳遞。

3.射頻收發(fā)設(shè)備：能夠發(fā)出無(wú)線電射頻信號(hào)，接收由 RFID 標(biāo)簽反射回的無(wú)線電射頻信號(hào)，經(jīng)處理后獲取該標(biāo)簽存儲(chǔ)的信息，并將信息送到服務(wù)端。

4.安全策略管理：資產(chǎn)安全管理系統(tǒng)的服務(wù)端收到信息后，根據(jù)資產(chǎn)名稱、資產(chǎn)負(fù)責(zé)人、存放位置、是否涉密等條件配置安全管理策略。若判斷出該資產(chǎn)的位置信息發(fā)生變動(dòng)，并違反了預(yù)定的安全管理策略，則向門衛(wèi)或資產(chǎn)責(zé)任人發(fā)出報(bào)警提示，由門衛(wèi)或資產(chǎn)負(fù)責(zé)人進(jìn)行核查或?qū)崟r(shí)攔截，從而避免涉密或重要資產(chǎn)離開預(yù)定存放位置。

5.資產(chǎn)告警功能：實(shí)現(xiàn)語(yǔ)音、短信、微信或聲光電等方式告警。短信、語(yǔ)音告警可通過(guò)電信運(yùn)營(yíng)商短信通道號(hào)發(fā)送，資產(chǎn)責(zé)任人可通過(guò)登錄管理頁(yè)面或手機(jī)APP查看或接聽告警。對(duì)于已建設(shè)電子圍欄系統(tǒng)的單位，資產(chǎn)安全管理系統(tǒng)可通過(guò)接口獲取其關(guān)聯(lián)資產(chǎn)的告警信息，在資產(chǎn)安全管理系統(tǒng)上展示或觸發(fā)告警、處置工單，采取威脅處置手段。

3.4 共通管理功能

資產(chǎn)安全管理系統(tǒng)還支持如下共通管理功能：

1.基礎(chǔ)管理功能，包括賬號(hào)、角色、權(quán)限管理功能等。

2.審計(jì)管理功能，實(shí)現(xiàn)對(duì)所有與資產(chǎn)相關(guān)信息的審計(jì)管理，如登錄和注銷日志、訪問(wèn)資源的行為記錄，安全策略變更記錄，對(duì)用戶角色的增刪改操作，資產(chǎn)數(shù)據(jù)采集任務(wù)創(chuàng)建、執(zhí)行、查看記錄，屬性字段的增刪改記錄等。

3.遠(yuǎn)程管理功能，支持通過(guò)加密的方式進(jìn)行遠(yuǎn)程管理，確保會(huì)話內(nèi)容不被非授權(quán)人員獲取。

四、未來(lái)展望

基于上述系統(tǒng)架構(gòu)的資產(chǎn)安全管理系統(tǒng)，可面向三類場(chǎng)景開展資產(chǎn)安全管理。

1.對(duì)于電信運(yùn)營(yíng)商的省分公司，企業(yè)規(guī)模龐大、資產(chǎn)類型眾多。該系統(tǒng)既可用于納管網(wǎng)絡(luò)資產(chǎn)，包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、中間件、存儲(chǔ)以及各業(yè)務(wù)系統(tǒng)資產(chǎn)，也可用于傳統(tǒng)固定資產(chǎn)安全管理。

2.對(duì)于一般的企事業(yè)單位，可獨(dú)立部署基于二維碼標(biāo)簽及RFID標(biāo)簽的資產(chǎn)安全管理系統(tǒng)，以開展傳統(tǒng)固定資產(chǎn)管理。

3.對(duì)于一般的互聯(lián)網(wǎng)企業(yè)，可獨(dú)立部署面向網(wǎng)絡(luò)資產(chǎn)的資產(chǎn)安全管理系統(tǒng)，以開展網(wǎng)絡(luò)資產(chǎn)的安全管理。

五、 結(jié)束語(yǔ)

綜上所述，融合RFID等技術(shù)的資產(chǎn)安全管理系統(tǒng)，綜合考慮了網(wǎng)絡(luò)資產(chǎn)和傳統(tǒng)固資管理的不同流程特點(diǎn)，實(shí)現(xiàn)了二者的有機(jī)融合和業(yè)務(wù)流程的貫通，較好地滿足了電信運(yùn)營(yíng)商及相關(guān)單位各管理部門對(duì)資產(chǎn)安全管理的不同需求。

參? 考? 文? 獻(xiàn)

[1]中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì).YD/T 3803-2020.電信網(wǎng)和互聯(lián)網(wǎng)資產(chǎn)安全管理平臺(tái)技術(shù)要求[S].2020.

[2]中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T35290-2017.信息安全技術(shù) 射頻識(shí)別（RFID）系統(tǒng)通用安全技術(shù)要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2018.

[3]中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T31022-2014.名片二維碼通用技術(shù)規(guī)范[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2015.

[4]落紅衛(wèi)，程偉.RFID安全威脅和防護(hù)措施[J].電信網(wǎng)技術(shù).2010（3）.