摘 要：隨著企業(yè)對網(wǎng)絡(luò)安全工作的愈發(fā)重視，企業(yè)網(wǎng)絡(luò)資產(chǎn)管理措施亟須提升改進。資產(chǎn)管理的首要工作是摸清家底，實現(xiàn)網(wǎng)絡(luò)資產(chǎn)探測發(fā)現(xiàn)和風(fēng)險處置。文章結(jié)合大型企業(yè)網(wǎng)絡(luò)特點，設(shè)計分布式內(nèi)網(wǎng)資產(chǎn)測繪平臺，平臺包含資產(chǎn)測繪和管理、風(fēng)險治理、工單管理、多維展示等功能模塊，實現(xiàn)多級資產(chǎn)測繪、風(fēng)險治理和聯(lián)動管控，借助diffie-hellman算法保障模塊通信安全，有效提升企業(yè)內(nèi)網(wǎng)信息資產(chǎn)的管理能力。

關(guān)鍵詞：資產(chǎn)測繪；風(fēng)險治理；安全管理

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：2096-4706（2024）15-0154-06

Design and Implementation of Enterprise Network Asset Mapping Platform

BAI Dongming， ZENG Lihua， FANG Jing

（Key Laboratory of Internet of Things of China National Petroleum Co.， Ltd.， Beijing 100083， China）

Abstract： As enterprises attach great importance to network security， enterprise network asset management measures need to be improved urgently. The primary task of asset management is to find out the asset and realize the detection and discovery of network assets and risk disposal. Combined with the characteristics of large enterprise networks， this paper designs a distributed intranet asset mapping platform， which includes asset mapping and management， risk governance， work order management， multi-dimensional display and other functional modules， realizes multi-level asset mapping， risk governance and linkage control， and uses the diffie-hellman algorithm to ensure the communication security of the module， effectively improves the management ability of enterprise intranet information assets.

Keywords： asset mapping; risk governance; security management

0 引 言

近年來，國家對企業(yè)網(wǎng)絡(luò)安全的監(jiān)督和管理不斷深入細(xì)化，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)相繼出臺，網(wǎng)絡(luò)安全等級保護制度和測評標(biāo)準(zhǔn)等陸續(xù)發(fā)布并更新，對企業(yè)網(wǎng)絡(luò)安全能力提出了更高的要求。企業(yè)網(wǎng)絡(luò)中信息資產(chǎn)管理、監(jiān)測預(yù)警分析、應(yīng)急處置等網(wǎng)絡(luò)安全能力亟待加強。

大型企業(yè)辦公網(wǎng)絡(luò)遍布全國，網(wǎng)絡(luò)資產(chǎn)分布廣泛，類型眾多，網(wǎng)絡(luò)安全能力提升的首要工作是確定保護對象和防護重點，要摸清家底，梳理并維護信息資產(chǎn)數(shù)據(jù)，監(jiān)測資產(chǎn)變更情況，全面掌握信息資產(chǎn)動態(tài)；同時，明確資產(chǎn)歸屬，能夠?qū)踩?zé)任逐級落實，為網(wǎng)絡(luò)安全預(yù)警、協(xié)同防御、應(yīng)急處置、責(zé)任劃定提供準(zhǔn)確的依據(jù)[1]。

1 網(wǎng)絡(luò)資產(chǎn)測繪

1.1 整體設(shè)計

依據(jù)企業(yè)網(wǎng)絡(luò)整體架構(gòu)，結(jié)合網(wǎng)絡(luò)安全管理需求，網(wǎng)絡(luò)測繪平臺管理功能與探測功能的順暢運行宜采用分布式部署架構(gòu)，管理端部署在數(shù)據(jù)節(jié)點[2]。根據(jù)業(yè)務(wù)和網(wǎng)絡(luò)情況選取探測端的部署位置，管理端與數(shù)據(jù)端通過加密通道進行安全通信。

網(wǎng)絡(luò)資產(chǎn)的管理需要實現(xiàn)資產(chǎn)與風(fēng)險探測、資產(chǎn)與風(fēng)險管理、風(fēng)險閉環(huán)治理、多維分析展示四個主要功能：

1）資產(chǎn)與風(fēng)險探測。對IP資產(chǎn)進行探測與監(jiān)測，對資產(chǎn)進行風(fēng)險掃描和識別。實現(xiàn)資產(chǎn)與風(fēng)險的多維度安全動態(tài)監(jiān)測，獲取資產(chǎn)信息，實時掌握資產(chǎn)變動情況，實現(xiàn)及時、準(zhǔn)確的資產(chǎn)動態(tài)監(jiān)測與分析，同時對資產(chǎn)風(fēng)險進行探測與識別[3]。

2）資產(chǎn)與風(fēng)險管理。結(jié)合漏洞威脅情報，對可能對資產(chǎn)造成損害的安全風(fēng)險進行管理控制，精準(zhǔn)定位危險資產(chǎn)，對同類風(fēng)險資產(chǎn)進行主動預(yù)知及統(tǒng)一處置。

3）風(fēng)險閉環(huán)治理。通過風(fēng)險控制管理流程數(shù)字化，實現(xiàn)研判、處置、整改、驗收等階段的標(biāo)準(zhǔn)化和數(shù)字化，將任務(wù)分級管理，將網(wǎng)絡(luò)安全責(zé)任落實到人，實時跟蹤和統(tǒng)計風(fēng)險治理進程。

4）多維分析展示。通過對資產(chǎn)、風(fēng)險進行多維度的安全風(fēng)險評估指標(biāo)建模，并對風(fēng)險模型進行關(guān)聯(lián)分析，綜合展示企業(yè)安全風(fēng)險、變化趨勢等指標(biāo)，呈現(xiàn)多層次的分析報表[4]。

1.2 功能架構(gòu)

平臺采用管理端、掃描端節(jié)點分布式集群聯(lián)控方式部署，通過RSA分級任務(wù)分配算法進行任務(wù)的下發(fā)，通過diffie-hellman加密通道保障管理端和掃描端的數(shù)據(jù)通信和指令通信，并預(yù)留API接口與其他業(yè)務(wù)系統(tǒng)對接，實現(xiàn)數(shù)據(jù)的有效共享[5]。平臺主要功能由資產(chǎn)測繪、資產(chǎn)管理、風(fēng)險管理、資源管理、工單管理、態(tài)勢展示六大功能模塊組成，如圖1所示。

1）資產(chǎn)測繪。實現(xiàn)集中管控分布式的網(wǎng)絡(luò)資產(chǎn)掃描，根據(jù)任務(wù)分布范圍、數(shù)量智能評估掃描任務(wù)，將任務(wù)分配給節(jié)點探頭，對多個邏輯子網(wǎng)進行掃描，識別操作系統(tǒng)、數(shù)據(jù)庫、中間件、端口、版本等資產(chǎn)信息，能夠定時、定期探測，能夠排除特殊網(wǎng)段等[6]。

2）資產(chǎn)管理。從網(wǎng)絡(luò)區(qū)域、業(yè)務(wù)系統(tǒng)、部門、組織、資產(chǎn)分類等維度對資產(chǎn)進行多維歸類統(tǒng)計，按照企業(yè)組織架構(gòu)對資產(chǎn)進行分級管理，根據(jù)資產(chǎn)測繪數(shù)據(jù)實現(xiàn)對資產(chǎn)存活、信息變更、狀態(tài)變更的跟蹤記錄，從IP、業(yè)務(wù)、系統(tǒng)等維度實現(xiàn)對資產(chǎn)信息的關(guān)聯(lián)分析，識別和分析資產(chǎn)的歸屬關(guān)系，準(zhǔn)確定位資產(chǎn)。

3）風(fēng)險管理。根據(jù)探測資產(chǎn)屬性對資產(chǎn)進行精確的漏洞探測、弱口令探測、POC腳本驗證，得出所存在的網(wǎng)絡(luò)資產(chǎn)風(fēng)險種類，針對資產(chǎn)風(fēng)險情況提出風(fēng)險修復(fù)建議，并記錄整改結(jié)果，能夠?qū)︼L(fēng)險發(fā)現(xiàn)、處置、整改等階段進行記錄和統(tǒng)計分析，為資產(chǎn)相關(guān)管理人員提供風(fēng)險提示和處置流程跟蹤。

4）資源管理。對網(wǎng)絡(luò)資產(chǎn)及風(fēng)險探測中涉及的指紋庫、POC庫、漏洞庫、弱口令字典等進行維護，能夠完成相關(guān)安全庫的升級和編輯，能夠個性化地編輯和加入資源，并支持與第三方庫的接入。

5）工單管理?？砂凑掌髽I(yè)組織特點設(shè)置管理權(quán)限和工單流程，按照采集、導(dǎo)入、手動錄入等方式生成任務(wù)工單，可按風(fēng)險等級、組織架構(gòu)等維度進行工單組合，提高工單效率，形成閉環(huán)機制。

6）態(tài)勢展示。從資產(chǎn)維度、資產(chǎn)范圍、資產(chǎn)信息等方面進行多維數(shù)據(jù)統(tǒng)計，對資產(chǎn)的端口、系統(tǒng)、版本等信息進行數(shù)字化展示，對漏洞信息、等級、威脅進行建模分析，展示風(fēng)險概況、風(fēng)險變化趨勢、風(fēng)險評估排名、工單全流程等信息，實現(xiàn)數(shù)字化和可視化，結(jié)合資產(chǎn)和風(fēng)險數(shù)據(jù)進行多維度多層級數(shù)據(jù)關(guān)聯(lián)，綜合分析資產(chǎn)風(fēng)險態(tài)勢，掌握資產(chǎn)風(fēng)險的變化趨勢，建立綜合風(fēng)險指標(biāo)模型，按照實際業(yè)務(wù)需求生成風(fēng)險指數(shù)，對企業(yè)所覆蓋的資產(chǎn)進行安全評估[7]。

1.3 數(shù)據(jù)結(jié)構(gòu)

平臺使用指紋技術(shù)匹配資產(chǎn)類型，通過掃描功能發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存在的IP資產(chǎn)及其開放端口；以PoC和數(shù)據(jù)字典探測IP資產(chǎn)的安全漏洞和弱口令。IP資產(chǎn)經(jīng)豐富化后，具備信息系統(tǒng)、責(zé)任所屬、等級保護和ICP備案信息，成為風(fēng)險發(fā)現(xiàn)的基礎(chǔ)數(shù)據(jù)。通過保存和更新工單數(shù)據(jù)，記錄風(fēng)險整改的工單流轉(zhuǎn)情況，使安全責(zé)任落實到人。資產(chǎn)測繪平臺數(shù)據(jù)結(jié)構(gòu)如圖2所示。

1.4 任務(wù)隊列

管理端通過任務(wù)創(chuàng)建完成相應(yīng)的資產(chǎn)測繪任務(wù)后，根據(jù)任務(wù)執(zhí)行的類別（立即、定時或周期），到達相應(yīng)的時間，任務(wù)定時處理器將產(chǎn)生相應(yīng)的任務(wù)執(zhí)行指令并通過指令通道下達至對應(yīng)的業(yè)務(wù)端，業(yè)務(wù)端接收到指令之后將由指令轉(zhuǎn)換模塊轉(zhuǎn)換至資產(chǎn)測繪平臺進行具體的任務(wù)執(zhí)行，同時指令轉(zhuǎn)換模塊還將監(jiān)測任務(wù)執(zhí)行情況，并將執(zhí)行進度上報至管理端[8]。資產(chǎn)測繪平臺任務(wù)隊列控制過程如圖3所示。

1.5 加密通道

內(nèi)網(wǎng)資產(chǎn)測繪平臺采用分布式架構(gòu)設(shè)計，管理平臺和業(yè)務(wù)子節(jié)點能夠滿足企業(yè)網(wǎng)絡(luò)架構(gòu)和管理的靈活異地部署需求，網(wǎng)絡(luò)可達即可實現(xiàn)平臺功能。由于系統(tǒng)需要控制多個業(yè)務(wù)子節(jié)點，系統(tǒng)采集和管理網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)和安全風(fēng)險數(shù)據(jù)，對節(jié)點之間的安全通信提出了較高的要求[9]。

平臺管理端與業(yè)務(wù)端通過專用通道進行交互。指令消息通過專用消息管理隊列進行異步處理，同時相關(guān)指令及任務(wù)通過專用通道進行加密傳輸[10，11]。平臺加密通道如圖4所示。

交互通道主要包含兩種，指令通道和傳輸通道。指令通道實現(xiàn)測繪指定的指令下達與上報，傳輸通道實現(xiàn)測繪數(shù)據(jù)的采集。業(yè)務(wù)端啟動時b761599886117ac8e8f85987a1c6416480b7cf73ec0798d24d1203ef8194c6d1將嘗試與管理端建立指令通道，在需要進行數(shù)據(jù)傳遞時（如上傳掃描結(jié)果，漏洞庫更新等）雙方將通過指令通道動態(tài)協(xié)商數(shù)據(jù)通道，確定數(shù)據(jù)加密、分塊大小等參數(shù)。指令通道在確認(rèn)后，通過定時的心跳詢問維持，超時未回應(yīng)將斷開連接，如圖5所示；傳輸通道在數(shù)據(jù)傳遞完成后主動拆除，如圖6所示。

密鑰交換使用diff-hellman算法，隨機質(zhì)數(shù)用于業(yè)務(wù)端和管理端的公鑰、私鑰和共享密鑰，省略通信過程，密鑰交換算法主要功能如下：

import random

def generate_prime_number（）： # 生成隨機質(zhì)數(shù)p

min = 99

max = 99999

prime = random.randint（min， max）

while not is_prime（prime）：

prime = random.randint（min， max）

return prime

def is_prime（n）：

if n <= 1： return False

for i in range（2， int（n ** 0.5） + 1）：

if n % i == 0： return False

return True

def calculate_public_key（prime， generator， private_key）：

return （generator ** private_key） % prime

def calculate_shared_secret（prime， public_key， private_key）：

return （public_key ** private_key） % prime

prime = generate_prime_number（） # 生成隨機數(shù)p

generator = random.randint（2， prime - 1） # 生成隨機數(shù)g

probe_private_key = random.randint（2， prime - 1） # 計算業(yè)務(wù)端私鑰

manage_private_key = random.randint（2， prime - 1） # 計算管理端私鑰

# 計算雙方公鑰

probe_public_key = calculate_public_key（prime， generator， probe_private_key）

manage_public_key = calculate_public_key（prime， generator， manage_private_key）

# 計算共享密鑰

probe_shared_secret = calculate_shared_secret（prime， probe_public_key， manage_private_key）

manage_shared_secret = calculate_shared_secret（prime， manage_public_key， probe_private_key）

2 平臺應(yīng)用

面對大型企業(yè)的辦公網(wǎng)絡(luò)，網(wǎng)絡(luò)資產(chǎn)測繪平臺使用分布式部署方式。在每個二級機構(gòu)的辦公網(wǎng)絡(luò)內(nèi)部署網(wǎng)絡(luò)資產(chǎn)測繪管理端和業(yè)務(wù)端。業(yè)務(wù)端在網(wǎng)絡(luò)可達的條件下部署在本地或異地網(wǎng)絡(luò)有利于探測發(fā)現(xiàn)的核心區(qū)域，管理端與本網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)端聯(lián)動，下發(fā)指令和收集數(shù)據(jù)，實現(xiàn)所在辦公網(wǎng)絡(luò)的網(wǎng)絡(luò)資產(chǎn)測繪功能。集中管理端與所有管理端通信，完成策略下發(fā)和數(shù)據(jù)匯總，并作以宏觀的區(qū)域?qū)Ρ取⒔y(tǒng)計分析。網(wǎng)絡(luò)資產(chǎn)測繪平臺分布式部署如圖7所示。

實施完成后，用戶能夠通過管理端編輯任務(wù)信息，如IP網(wǎng)段、掃描速率、需排除的地址和端口以及承擔(dān)任務(wù)的業(yè)務(wù)端等，向業(yè)務(wù)端下發(fā)指令；業(yè)務(wù)端將按照要求探測網(wǎng)絡(luò)內(nèi)的IP資產(chǎn)，將數(shù)據(jù)發(fā)送給管理端。資產(chǎn)將被多個維度分類匯總，如圖8所示。

風(fēng)險主要由IP資產(chǎn)的安全漏洞得出，風(fēng)險等級與漏洞的威脅等級成正比，管理端將根據(jù)漏洞情況、工單執(zhí)行情況綜合判別風(fēng)險現(xiàn)狀，如圖9所示。

3 實現(xiàn)效果

在企業(yè)完成內(nèi)網(wǎng)資產(chǎn)測繪平臺的部署，在短時間內(nèi)即可完成內(nèi)網(wǎng)網(wǎng)絡(luò)資產(chǎn)和安全風(fēng)險的探測，得出資產(chǎn)各類信息和屬性的分析展示，實現(xiàn)風(fēng)險閉環(huán)治理、人員資產(chǎn)管理能力的提升等，系統(tǒng)帶來了企業(yè)信息化資產(chǎn)管理制度的完善，包括以下幾點：

1）增強資產(chǎn)探測與管理能力。實現(xiàn)對企業(yè)內(nèi)部網(wǎng)絡(luò)資產(chǎn)的探測，能夠?qū)崿F(xiàn)對資產(chǎn)總數(shù)、新增資產(chǎn)、在線情況、變更情況的監(jiān)測，完成資產(chǎn)及屬性的統(tǒng)計管理，關(guān)聯(lián)多維度企業(yè)組織層級關(guān)系，實現(xiàn)網(wǎng)絡(luò)資產(chǎn)的快速發(fā)現(xiàn)和定位，提升風(fēng)險摸排能力。

2）將資產(chǎn)與風(fēng)險治理相結(jié)合。建立網(wǎng)絡(luò)資產(chǎn)風(fēng)險的發(fā)現(xiàn)與治理機制，通過暴露面分析、漏洞掃描、弱口令掃描、POC檢測等建立數(shù)字化風(fēng)險管控流程，對風(fēng)險工單進行分級管理處置監(jiān)督，實現(xiàn)風(fēng)險治理流程的標(biāo)準(zhǔn)化和數(shù)字化。

3）構(gòu)建資產(chǎn)風(fēng)險閉環(huán)治理流程。在完成風(fēng)險探測后，可以設(shè)置資產(chǎn)干系人的多級處置角色，進行工單生成，與所屬部門、網(wǎng)絡(luò)區(qū)域、業(yè)務(wù)系統(tǒng)等信息進行關(guān)聯(lián)，上傳漏洞附件信息。構(gòu)建多級網(wǎng)絡(luò)空間資產(chǎn)聯(lián)動管理模式，形成完善的協(xié)查機制和工作流程。

4）為管理者提供決策參考。建立資產(chǎn)安全維度評估體系，進行軟硬件資產(chǎn)、操作系統(tǒng)、工單等多維度的資產(chǎn)管理和分析，完成資產(chǎn)安全風(fēng)險的統(tǒng)計分析，結(jié)合多項指標(biāo)完成資產(chǎn)的安全等級評估，為安全管理者提供參考決策。

4 結(jié) 論

企業(yè)網(wǎng)絡(luò)資產(chǎn)管理是一個多級聯(lián)動、管理和技術(shù)相結(jié)合的復(fù)雜過程。網(wǎng)絡(luò)資產(chǎn)測繪平臺能夠幫助企業(yè)提升信息資產(chǎn)發(fā)現(xiàn)、分析和風(fēng)險治理能力，幫助企業(yè)信息部門管理者更好地管理企業(yè)網(wǎng)絡(luò)中的信息資產(chǎn)，評估資產(chǎn)的安全風(fēng)險和暴露面，是實現(xiàn)持續(xù)動態(tài)分析、感知乃至消除企業(yè)所面臨網(wǎng)絡(luò)威脅的全面網(wǎng)絡(luò)安全防護的堅實基礎(chǔ)。

參考文獻：

[1] 鐘國輝.資產(chǎn)測繪與攻擊面管理助力構(gòu)建數(shù)字化安全運營體系 [J].中國金融電腦，2023（1）：90-91.

[2] 顏昭治.面向大規(guī)模網(wǎng)絡(luò)空間資產(chǎn)安全監(jiān)測系統(tǒng)的實現(xiàn) [J].中國新通信，2022，24（23）：105-106+209.

[3] ?？盗Γ瑒⑸?，鄧賢君.物聯(lián)網(wǎng)設(shè)備資產(chǎn)安全識別與測繪平臺研究 [J].工業(yè)信息安全，2022（6）：84-89.

[4] 陳慶，李晗，杜躍進，等.網(wǎng)絡(luò)空間測繪技術(shù)的實踐與思考 [J].信息通信技術(shù)與政策，2021，47（8）：30-38.

[5] 鄧曉暉，李偉辰，曹文杰.基于測繪技術(shù)的網(wǎng)絡(luò)資產(chǎn)安全管理研究 [J].保密科學(xué)技術(shù)，2021（3）：36-40.

[6] 陳安哲.基于網(wǎng)絡(luò)空間測繪的動態(tài)網(wǎng)絡(luò)資產(chǎn)探測掃描系統(tǒng)的設(shè)計與實現(xiàn) [D].上海：華東師范大學(xué)，2022.

[7] 姚旺君，鄭兒，劉紅，等.網(wǎng)絡(luò)空間測繪資產(chǎn)數(shù)據(jù)價值評估模型的建立及應(yīng)用 [J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理，2023，42（8）：40-44+51.

[8] 耿珂瑩，李蒙.工控網(wǎng)絡(luò)空間資產(chǎn)測繪平臺構(gòu)建技術(shù)淺析 [J].信息通信，2020（7）：79-80.

[9] 顏昭治.網(wǎng)絡(luò)資產(chǎn)測繪系統(tǒng)的實現(xiàn) [J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2022，35（7）：19-22.

[10] 史光庭，阮文波.網(wǎng)絡(luò)空間測繪技術(shù)的應(yīng)用研究 [J].保密科學(xué)技術(shù)，2021（3）：20-28.

[11] 劉紅，姚旺君，孫徹，等.網(wǎng)絡(luò)空間測繪系統(tǒng)分類及應(yīng)用綜述 [J].信息技術(shù)與網(wǎng)絡(luò)安全，2021，40（10）：16-21+28.

作者簡介：柏東明（1979—），男，漢族，遼寧錦州人，高級工程師，本科，研究方向：網(wǎng)絡(luò)安全、網(wǎng)絡(luò)攻防技術(shù)。