网络资产安全管理的关键内容研究

栗强

经过数年以来信息化技术的逐步演进与普及运用，大量的网络信息系统发挥了日益关键的作用，不仅深刻影响到工业生产、金融通信、交通出行，而且还与我们的日常生活越来越紧密联系在一起。当这些信息化系统为我们提供方便快捷的同时，与之俱来的还有日趋严重的网络信息安全问题。基于对网络系统的有效管理，我们将那些与网络信息安全密切相关的软、硬件信息称之为网络安全资产。为了摸清家底、识别风险，快速提供漏洞风险信息，帮助管理人员有针对性地开展网络安全防护工作，需要更加全面地对网络安全资产内容纳入常态化管理范畴。本文重点论述了网络资产安全管理所必需涵盖的关键内容，并对理由和重要性进行了深入研究。

一、引言

随着我国《网络安全法》的颁布实施和深入执行，信息化系统的主体单位必须面对日益增多的各类安全漏洞和风险隐患，并对其承担安全管理责任。而网络安全漏洞和风险往往会涉及不同品牌型号的硬件设备、各种类型和版本的操作系统、数据库和中间件、各种商业化或定制开发的软件应用系统等等众多因素。近年来网络安全事件频发，每年各类高危风险漏洞层出不穷，其破坏力和负面影响非常之大，如果不能很好地进行有效防范，将对企业安全责任、敏感业务数据、公民个人隐私等多方面造成严重影响和无法挽回的损失。如何通过安全资产台账快速发现安全漏洞是摆在安全管理者面前的一个不可回避的问题。本文从企业日常安全运维需求出发，基于网络安全资产的角度提出了应纳入管理的各关键要素，通过安全资产系统将其作为基础字段进行管理，以下将对这些关键内容分别进行归类说明。

二、网络资产

作为网络安全的基础接入环境，网络资产的基本要素应包括“IP地址、通信协议、通信端口、域名”等几个方面。

IP地址。作为网络接入必须条件，从使用场景来看，IP地址通常分为内网IP和互联网IP。内网IP主要用于企业内部局域网，其IP路由并不发布到公共互联网，仅内部可访问。而互联网IP用于对外提供各类服务，如网站、FTP服务器、APP应用等等，全球Internet网络均可访问。从网络安全的管理角度来看，IP地址属于安全资产管理的首要关键信息，其重要性不言而喻，而对IP地址的统计管理必须细化到单个IP。同时，随着国家对IPv6地址的推广应用，在通过系统进行IP管理时还必须考虑到应识别和兼容IPv4、IPv6地址格式。另外，如果网络中存在NAT转换关系的，还需同时记录NAT的内、外网IP对应关系，以便发生问题时能够通过IP进行溯源定位。

通信协议。网络通信协议为连接不同操作系统和不同硬件体系结构的互联网络提供通信支持，是一种网络通用语言。常见的网络通信协议有：TCP/IP协议、IPX/S PX协议、NetBEUI协议等。在制定防火墙等安全策略时，往往需根据不同类型的通信协议分别配置各自的管控规则，所以安全资产管理有必要细化到通信协议的类型。

通信端口。主流网络系统一般采用TCP或UDP等协议进行通信，它们使用16bit端口号，因此理论上TCP、UDP一共可用65536个端口进行数据通信。按照互联网数字分配机构（IANA）定义.TC P/IP协议的1-1023端口用于常见通信服务，如Http对应TCP 80. DNS对应TCP或UDP的53、Telnet对应TCP 23. SMTP对应TCP 25等等，其余1024-65536端口用于自定义服务的通信。为了避免冲突，每个应用会定义特定的一个端口来提供访问服务。实际上单个IP地址的每个端口号会分别对应不同业务，故需对其分别设置相应的安全管理策略，所以将应用与端口号的对应关系作为安全资产进行管理是非常有必要的。

域名。通常的网络应用系统会以网站形式提供访问服务，虽然通过IP也可访问，但为了方便记忆，大部分网站会以域名来访问。而域名对应的资产到底是哪个设备，在网站出现安全问题时，如何快速准确定位，都是安全管理人员必须掌握的信息。所以需要将域名与IP地址对应关系作为资产信息进行管理。

URL。一般来说，域名是表示一个网站的IP对应解析关系，有时与URL意义相同。但在某些场景下URL是一个网站下不同的应用与路径信息，可能无法通过路径扫描获取，在扫描网站域名时这些特殊的URL虽然存在漏洞但会造成评估遗漏，所以对于部分重要应用的URL应单独列入资产进行管理。

三、硬件资产

设备类型。企业较为常见的硬件设备有路由器、交换机、防火墙、服务器、无线设备等，通过登记硬件设备资产类型，可以全局掌握企业不同类型硬件设备的分类和数量，有助于制定单位运行维护和安全管理规则，并分配合理适当的人力、物力资源。

设备品牌。将设备品牌厂商名作为安全资产，主要是考虑到当出现针对某一厂商或品牌的设备存在某种安全问题时，管理人员可立即统计该品牌设备数量和分布情况，便于快速进行风险处置和控制，同时也利于单位根据厂商品牌统一制定维保计划，降低管理成本。

设备型号。除了品牌因素，安全问题也常常会出现在某个品牌的特定型号上，因此通过掌握的型号资产信息，可以快速掌握涉及问题的设备型号，而不用费时费力去逐个型号排查。

除了上述主要内容，还可以按企业实际情况将硬件的生产日期、入网日期、维护主体等信息纳入安全资产管理。

四、软件资产

由于软件安装部署之后，对用户和管理者来说是缺乏存在感知的，但它对网络信息安全的影響却是非常重要的。软件资产的分类对于不同单位来说必然存在需求差异，本文仅从软件通用方面进行考虑。

数据库。针对数据库的安全风险通常有SQL注入、写入文件、数据拖库等类型，分别可以实现越权查询数据、写入后门Shell、敏感数据下载，这都会造成较为严重的安全风险，所以有必要加强对数据库的资产管理。数据库管理的关键内容可包含“数据库类型（如Oracle、SQL.DB2. Mysql等）、版本、补丁、应用接口”等，这些信息有必要纳入安全资产管理范畴。

中间件。近年来，涉及中间件的高危漏洞层出不穷，如Apache Struts2. Weblogic反序列化等漏洞，由于中间件在较多企业和系统中大量使用，因此这类漏洞影响程度非常广泛。为了掌握中间件的类型、版本等关键信息，需要将其纳入日常资产管理，并需及时更新。

操作系统。常见主流操作系统有Windows、Linux、AIX、HP-UX、Solaris等较多种类，不同的操作系统都有各自的漏洞缺陷，即使同一操作系统的不同版本亦如此。在安全漏洞的分布上，操作系统占了非常大的比重，如影响较大的'CVE-2017-0143永恒之蓝、CVE-2016-5195脏牛”高危漏洞。如果不掌握操作系统类型、版本号、补丁信息等关键信息，将会对日常安全管理造成严重缺失，故必须将其纳入安全资产管理。

其他软件。主要应包括单位定制的应用系统、购置的商业化软件，开源软件等方面，种类比较繁多，但其本质属性并没有太大差异，同样需对其“类型、版本、补丁、应用接口”等方面内容进行管理。

五、安全资产与风险管理思路

建立了资产信息后，可根据资产索引对安全风险进行快速统计，利于安全检测加固。比如，出现Struts-2-045漏洞预警时，可以知道受影响的版本限定在Struts 2.3.5-2.3.31，通过资产管理系统可迅速筛选出当前使用的Apache Struts中间件及涉及问题的版本，随后立即调度安全力量开展精准加固，而无需过多关注其他无关Struts版本。这样可避免以往需对全量资产进行漏洞扫描，不仅费时费力，还容易造成误报漏报。因此，合理利用资产管理可以明显提升漏洞的发现和处置效率，有效缩短业务系统的安全风险时长。

六、结语

随着当前万物互联及信息化的迅猛发展，越来越多的个人计算机、服务器、网络设备、安全设备、摄像头、数据库等众多IT设备和软件系统被运用到了各个方面，而针对这些设施的安全漏洞数量和危害程度也在不断快速增长。为了充分积极应对安全风险，已经有不少的实践案例可以证明，通过网络安全资产管理手段进行精细统计，一方面利于全面掌握企业资产配置情况，另一方面还能帮助网络安全管理人员利用资产的各个属性字段组合来快速排查漏洞风险，通过精确调度有限的安全资源，高效開展处置，能够不断强化安全综合治理水平，不失为一种明显有效的管理措施，安全资产管理也将逐渐成为企业不可缺少的网络安全管理基础手段之一。

作者单位：中国移动通信集团山西有限公司