论文部分内容阅读
【摘要】 为解决电信运营商及相关单位在资产安全管理上面临的难题,设计一种融合了二维码及RFID技术的资产安全管理系统方案,不仅可以对网络资产进行安全管理,还可以实现资产标签信息的自动化采集、以及固定资产穿越电子围栏时的联动告警,实现了各类资产的闭环管理,从而大为提升资产安全管理的高效性、可靠性、便利性。
【关键词】 网络安全 资产安全 态势感知 QRcode RFID
引言:
资产是企事业单位实现业务战略目标的物质基础。对于电信运营商及相关单位来说,随着内网终端数量不断增加,网络环境更加复杂,一方面网络资产面临着僵木蠕等恶意软件以及各类网络攻击等外部威胁,另一方面企业传统的固定资产管理存在着流程繁琐、费时、费力的问题。因此电信运营商及相关单位迫切需要一套一站式、一体化、全流程进行各类资产安全管理的系统。
广义的资产包括有形的实体资产和无形的信息资产。对于有形的实体资产,又可区分为传统的固定资产和网络资产,网络资产是指构成信息系统的软件、硬件、服务等IT和IoT类资源的集合,是安全机制保护的对象,包括但不限于网络产品、安全产品、物联网设备、办公外设、企业应用、系统软件、支撑系统等。固定资产通常需要进行采购、入库、标签、领用、盘点、维护等资产生命周期管理;而对于网络资产,一般还要进行系统版本、补丁升级、漏洞整改加固、数据安全防护等管理。
通常的资产安全管理解决方案,或侧重网络和信息安全角度,探讨网络资产安全管理的优化方案,或侧重传统固定资产的场景化管理方法,但较少考虑将网络资产和传统固定资产的管理流程进行有机融合的解决方案。本文将从这个角度出发,研究实现一种融合多种技术的资产安全管理方案。
一、资产安全管理技术概述
资产安全管理的主要技术,包括了基于网络安全的资产及属性发现技术、基于二维码或RFID技术的固定资产管理方法等。不同的技术方法,适用于不同的应用场景。
资产及属性发现技术,主要有三种:一种是基于开源NMAP的方法,该方法不仅可以用于采集信息,还可以作为漏洞扫描器;另两种是基于远程账号登录或安装代理客户端的方法,在主机上运行脚本和命令获取资产属性。二维码技术始于20世纪80年代末,目前应用较广泛的二维码是QR码,非常适合进行资产标签信息管理。RFID技术是一种非接触式的自动射频识别技术,通过射频信号自动识别并获取信息,进而实现定位、跟踪、监管等功能。相对于二维码技术,RFID标签对环境要求较低,简单便捷。
二、资产安全管理系统架构
资产安全管理系统主要由资产数据采集层、资产数据存储层、资产数据分析层、资产安全管理层、资产数据展示层和外部系统接口层组成,如图1所示:
资产数据采集层。实现资产指纹数据的采集功能,构建包括设备与系统归属关系、IP地址、端口、操作系统、服务、应用、漏洞和基线配置脆弱性、物理位置(机房、机架等)、在安全域中的逻辑部署位置等多维度的资产信息指纹库。资产指纹数据是用于描述资产特征的一组属性信息集合,如设备类型、设备厂商、系统信息、端口信息、服务信息、中间件信息、程序应用框架信息、应用软件信息等。对于固资而言,一般包括资产名称、责任人、归属部门、采购日期、金额等资产特征数据,可通过二维码或RFID标签来承载,以便管理。
资产数据存储层。实现资产数据的存储功能,包括原始数据、分析结果、采集任务记录以及知识库等数据。
资产数据分析层。实现资产指纹数据的分析功能,能够结合漏洞、攻击方式等威胁信息,实现新增、变更、下线或者宕机等异常资产发现,漏洞影响资产范围精确评估,资产异常和安全告警功能,资产风险计算、排序并维护资产当前风险状态。此外,还应对固定资产生命周期内的变更历史数据进行分析。
资产数据展示层:实现资产安全管理的多维度、可视化的展示能力。
资产安全管理层:实现资产安全管理能力,保障各类资产安全运行。
外部系统接口层:实现与资产管理相关外部系统的数据开放共享的能力。
三、资产安全管理功能结构
3.1 安全管理功能
资产安全管理的内涵不仅包括资产自身安全,还包括资产所承载信息的安全。因此需要对资产自身的指纹数据(自身及关联属性信息)进行管理,主要包括资产自身指纹数据采集、资产信息去重、资产属性管理、资产归属管理、生命周期管理、资产数据分析、资产安全告警、威胁处置管理等功能。核心功能如下:
1.资产指纹采集:系统支持通过爬虫技术、agent客户端程序、远程探测、第三方接口或手工导入等方式采集资产指纹数据,并进行标准化、过滤、归并及分类等处理,在这个环节需要要用到一系列协议、标准,包括 SNMP、syslog、WMI接口,ODBC/jdbc,xml等协议或标准。远程探测方式是通过代理客户端对指定的网段发送ICMP、UDP等探测包,采集网段中在线设备的指纹信息;第三方接口方式,则通过与漏洞扫描、堡垒机、4A等系统对接,获取运维日志、漏洞扫描结果信息,获取相关资产指纹数据。
2.生命周期管理:完整记录资产数据从创建、存储、使用、共享、归檔、销毁的全生命周期的变更信息,以及从入库到注销的全生命周期的指纹变化情况,包括操作系统、中间件、版本、补丁、安全基线、漏洞等资产内在变化信息,以及资产编码、资产名称、金额、采购时间、资产责任人、归属部门、存放地点等外在变动信息管理,实现事前预警、事中发现以及事后处置加固等闭环管理能力。
3.资产数据分析:系统支持对资产历史指纹变化情况进行关联分析。基于大数据技术,对海量数据进行分析处理,包括实时的、离线的数据;支持通过二次数据处理、关联分析技术,发现异常资产、脆弱性,得出整体安全态势信息。对网络资产存在的潜在网络安全问题或安全风险,触发预警信息,通知资产管理人及时查看或采取处置行动。 4.资产安全告警:对于代理客户端、第三方系统发现的未知资产、资产指纹发生变更或实体资产发生位移的情况,将通过系统消息、文本短信、IVR语音、微信消息或电子围栏系统的声光电信号,发出告警消息。
5.威胁处置功能:系统支持针对异常资产或威胁的工单处置功能,由系统自动触发或系统管理员手工触发,派发处置工单到资产管理人,完成告警处置后提交审核。
6.辅助管理功能:系统还支持进行安全域管理、统计报表、IP地址管理、安全策略管理、资产预警管理、资产风险分析、资产脆弱性管理等功能。
7.知识库管理功能:系统支持与cnvd国家信息安全漏洞共享平台、集团侧平台或第三方威胁情报系统的对接,获取相关威胁情报信息,包括威胁情报、漏洞、病毒信息等。实现南北向数据互通。
8.接口管理功能:系统支持与专业安全子系统的接口,包括漏洞扫描系统、攻击溯源系统、异常流量监控系统、僵木蠕系统、域名安全分析系统、垃圾邮件处理系统、终端安全管理系统等系统对接,调用其安全能力,实现东西向数据互通。
9.态势感知功能:系统支持将分析获得的资产安全风险或威胁情报信息,以可视化方式呈现出来(如监控大屏),实现动态地、直观地展示各类资产安全情况,包括资产告警、漏洞、基线、定级备案等情况。从而达到对本企业各类资产安全状况的整体态势感知,以便资产安全管理人员,快速采取行动,遏制或消除风险。
3.2 标签识读功能
资产安全管理系统对于固定资产的资产信息管理,主要基于二维码标签技术或RFID标签技术的方式进行管理。核心功能如下:
1.识读管理:系统支持适配市场上主流条码识读设备,通过开发APP客户端或微信小程序技术,实现对二维码标签信息识读;支持在手持终端上对资产信息进行修改,以便资产盘点人员及时更新资产归属人、资产归属部门等信息。
2.条码生成:系统支持二维码的图像生成功能,并支持自定义条码标签规格(默认为3*5cm,以便黏贴),二维码标签包含资产编码、资产名称、入库日期、金额、归属部门、资产负责人等主要信息。
3.信息管理:系统支持通过通信网络或数据线方式,将条码识读设备上存储的资产信息导入后台管理系统;支持在后台系统上进行增删改查等操作,支持csv或pdf格式导出功能。
4.条码打印:系统支持二维码标签打印功能,支持对页面边距的修改,以适配市场上主流的条码打印设备及不同类型的纸帯。
3.3 位移告警功能
对于部分涉密或关键设备资产,还可通过内置RFID标签的方法,以实现对其轨迹的监测,并对穿越电子围栏的行为触发告警。主要功能包括:
1. RFID标签:RFID标签存储资产电子编码信息,所存储的信息可以被射频收发设备以非接触方式读或写。
2. RFID天线模块:能够为RFID标签和射频收发模块,进行射频信号空间传递。
3.射频收发设备:能够发出无线电射频信号,接收由 RFID 标签反射回的无线电射频信号,经处理后获取该标签存储的信息,并将信息送到服务端。
4.安全策略管理:资产安全管理系統的服务端收到信息后,根据资产名称、资产负责人、存放位置、是否涉密等条件配置安全管理策略。若判断出该资产的位置信息发生变动,并违反了预定的安全管理策略,则向门卫或资产责任人发出报警提示,由门卫或资产负责人进行核查或实时拦截,从而避免涉密或重要资产离开预定存放位置。
5.资产告警功能:实现语音、短信、微信或声光电等方式告警。短信、语音告警可通过电信运营商短信通道号发送,资产责任人可通过登录管理页面或手机APP查看或接听告警。对于已建设电子围栏系统的单位,资产安全管理系统可通过接口获取其关联资产的告警信息,在资产安全管理系统上展示或触发告警、处置工单,采取威胁处置手段。
3.4 共通管理功能
资产安全管理系统还支持如下共通管理功能:
1.基础管理功能,包括账号、角色、权限管理功能等。
2.审计管理功能,实现对所有与资产相关信息的审计管理,如登录和注销日志、访问资源的行为记录,安全策略变更记录,对用户角色的增删改操作,资产数据采集任务创建、执行、查看记录,属性字段的增删改记录等。
3.远程管理功能,支持通过加密的方式进行远程管理,确保会话内容不被非授权人员获取。
四、未来展望
基于上述系统架构的资产安全管理系统,可面向三类场景开展资产安全管理。
1.对于电信运营商的省分公司,企业规模庞大、资产类型众多。该系统既可用于纳管网络资产,包括安全设备、网络设备、主机、数据库、中间件、存储以及各业务系统资产,也可用于传统固定资产安全管理。
2.对于一般的企事业单位,可独立部署基于二维码标签及RFID标签的资产安全管理系统,以开展传统固定资产管理。
3.对于一般的互联网企业,可独立部署面向网络资产的资产安全管理系统,以开展网络资产的安全管理。
五、 结束语
综上所述,融合RFID等技术的资产安全管理系统,综合考虑了网络资产和传统固资管理的不同流程特点,实现了二者的有机融合和业务流程的贯通,较好地满足了电信运营商及相关单位各管理部门对资产安全管理的不同需求。
参 考 文 献
[1]中国通信标准化协会.YD/T 3803-2020.电信网和互联网资产安全管理平台技术要求[S].2020.
[2]中国国家标准化管理委员会.GB/T35290-2017.信息安全技术 射频识别(RFID)系统通用安全技术要求[S].北京:中国标准出版社,2018.
[3]中国国家标准化管理委员会.GB/T31022-2014.名片二维码通用技术规范[S].北京:中国标准出版社,2015.
[4]落红卫,程伟.RFID安全威胁和防护措施[J].电信网技术.2010(3).
【关键词】 网络安全 资产安全 态势感知 QRcode RFID
引言:
资产是企事业单位实现业务战略目标的物质基础。对于电信运营商及相关单位来说,随着内网终端数量不断增加,网络环境更加复杂,一方面网络资产面临着僵木蠕等恶意软件以及各类网络攻击等外部威胁,另一方面企业传统的固定资产管理存在着流程繁琐、费时、费力的问题。因此电信运营商及相关单位迫切需要一套一站式、一体化、全流程进行各类资产安全管理的系统。
广义的资产包括有形的实体资产和无形的信息资产。对于有形的实体资产,又可区分为传统的固定资产和网络资产,网络资产是指构成信息系统的软件、硬件、服务等IT和IoT类资源的集合,是安全机制保护的对象,包括但不限于网络产品、安全产品、物联网设备、办公外设、企业应用、系统软件、支撑系统等。固定资产通常需要进行采购、入库、标签、领用、盘点、维护等资产生命周期管理;而对于网络资产,一般还要进行系统版本、补丁升级、漏洞整改加固、数据安全防护等管理。
通常的资产安全管理解决方案,或侧重网络和信息安全角度,探讨网络资产安全管理的优化方案,或侧重传统固定资产的场景化管理方法,但较少考虑将网络资产和传统固定资产的管理流程进行有机融合的解决方案。本文将从这个角度出发,研究实现一种融合多种技术的资产安全管理方案。
一、资产安全管理技术概述
资产安全管理的主要技术,包括了基于网络安全的资产及属性发现技术、基于二维码或RFID技术的固定资产管理方法等。不同的技术方法,适用于不同的应用场景。
资产及属性发现技术,主要有三种:一种是基于开源NMAP的方法,该方法不仅可以用于采集信息,还可以作为漏洞扫描器;另两种是基于远程账号登录或安装代理客户端的方法,在主机上运行脚本和命令获取资产属性。二维码技术始于20世纪80年代末,目前应用较广泛的二维码是QR码,非常适合进行资产标签信息管理。RFID技术是一种非接触式的自动射频识别技术,通过射频信号自动识别并获取信息,进而实现定位、跟踪、监管等功能。相对于二维码技术,RFID标签对环境要求较低,简单便捷。
二、资产安全管理系统架构
资产安全管理系统主要由资产数据采集层、资产数据存储层、资产数据分析层、资产安全管理层、资产数据展示层和外部系统接口层组成,如图1所示:
资产数据采集层。实现资产指纹数据的采集功能,构建包括设备与系统归属关系、IP地址、端口、操作系统、服务、应用、漏洞和基线配置脆弱性、物理位置(机房、机架等)、在安全域中的逻辑部署位置等多维度的资产信息指纹库。资产指纹数据是用于描述资产特征的一组属性信息集合,如设备类型、设备厂商、系统信息、端口信息、服务信息、中间件信息、程序应用框架信息、应用软件信息等。对于固资而言,一般包括资产名称、责任人、归属部门、采购日期、金额等资产特征数据,可通过二维码或RFID标签来承载,以便管理。
资产数据存储层。实现资产数据的存储功能,包括原始数据、分析结果、采集任务记录以及知识库等数据。
资产数据分析层。实现资产指纹数据的分析功能,能够结合漏洞、攻击方式等威胁信息,实现新增、变更、下线或者宕机等异常资产发现,漏洞影响资产范围精确评估,资产异常和安全告警功能,资产风险计算、排序并维护资产当前风险状态。此外,还应对固定资产生命周期内的变更历史数据进行分析。
资产数据展示层:实现资产安全管理的多维度、可视化的展示能力。
资产安全管理层:实现资产安全管理能力,保障各类资产安全运行。
外部系统接口层:实现与资产管理相关外部系统的数据开放共享的能力。
三、资产安全管理功能结构
3.1 安全管理功能
资产安全管理的内涵不仅包括资产自身安全,还包括资产所承载信息的安全。因此需要对资产自身的指纹数据(自身及关联属性信息)进行管理,主要包括资产自身指纹数据采集、资产信息去重、资产属性管理、资产归属管理、生命周期管理、资产数据分析、资产安全告警、威胁处置管理等功能。核心功能如下:
1.资产指纹采集:系统支持通过爬虫技术、agent客户端程序、远程探测、第三方接口或手工导入等方式采集资产指纹数据,并进行标准化、过滤、归并及分类等处理,在这个环节需要要用到一系列协议、标准,包括 SNMP、syslog、WMI接口,ODBC/jdbc,xml等协议或标准。远程探测方式是通过代理客户端对指定的网段发送ICMP、UDP等探测包,采集网段中在线设备的指纹信息;第三方接口方式,则通过与漏洞扫描、堡垒机、4A等系统对接,获取运维日志、漏洞扫描结果信息,获取相关资产指纹数据。
2.生命周期管理:完整记录资产数据从创建、存储、使用、共享、归檔、销毁的全生命周期的变更信息,以及从入库到注销的全生命周期的指纹变化情况,包括操作系统、中间件、版本、补丁、安全基线、漏洞等资产内在变化信息,以及资产编码、资产名称、金额、采购时间、资产责任人、归属部门、存放地点等外在变动信息管理,实现事前预警、事中发现以及事后处置加固等闭环管理能力。
3.资产数据分析:系统支持对资产历史指纹变化情况进行关联分析。基于大数据技术,对海量数据进行分析处理,包括实时的、离线的数据;支持通过二次数据处理、关联分析技术,发现异常资产、脆弱性,得出整体安全态势信息。对网络资产存在的潜在网络安全问题或安全风险,触发预警信息,通知资产管理人及时查看或采取处置行动。 4.资产安全告警:对于代理客户端、第三方系统发现的未知资产、资产指纹发生变更或实体资产发生位移的情况,将通过系统消息、文本短信、IVR语音、微信消息或电子围栏系统的声光电信号,发出告警消息。
5.威胁处置功能:系统支持针对异常资产或威胁的工单处置功能,由系统自动触发或系统管理员手工触发,派发处置工单到资产管理人,完成告警处置后提交审核。
6.辅助管理功能:系统还支持进行安全域管理、统计报表、IP地址管理、安全策略管理、资产预警管理、资产风险分析、资产脆弱性管理等功能。
7.知识库管理功能:系统支持与cnvd国家信息安全漏洞共享平台、集团侧平台或第三方威胁情报系统的对接,获取相关威胁情报信息,包括威胁情报、漏洞、病毒信息等。实现南北向数据互通。
8.接口管理功能:系统支持与专业安全子系统的接口,包括漏洞扫描系统、攻击溯源系统、异常流量监控系统、僵木蠕系统、域名安全分析系统、垃圾邮件处理系统、终端安全管理系统等系统对接,调用其安全能力,实现东西向数据互通。
9.态势感知功能:系统支持将分析获得的资产安全风险或威胁情报信息,以可视化方式呈现出来(如监控大屏),实现动态地、直观地展示各类资产安全情况,包括资产告警、漏洞、基线、定级备案等情况。从而达到对本企业各类资产安全状况的整体态势感知,以便资产安全管理人员,快速采取行动,遏制或消除风险。
3.2 标签识读功能
资产安全管理系统对于固定资产的资产信息管理,主要基于二维码标签技术或RFID标签技术的方式进行管理。核心功能如下:
1.识读管理:系统支持适配市场上主流条码识读设备,通过开发APP客户端或微信小程序技术,实现对二维码标签信息识读;支持在手持终端上对资产信息进行修改,以便资产盘点人员及时更新资产归属人、资产归属部门等信息。
2.条码生成:系统支持二维码的图像生成功能,并支持自定义条码标签规格(默认为3*5cm,以便黏贴),二维码标签包含资产编码、资产名称、入库日期、金额、归属部门、资产负责人等主要信息。
3.信息管理:系统支持通过通信网络或数据线方式,将条码识读设备上存储的资产信息导入后台管理系统;支持在后台系统上进行增删改查等操作,支持csv或pdf格式导出功能。
4.条码打印:系统支持二维码标签打印功能,支持对页面边距的修改,以适配市场上主流的条码打印设备及不同类型的纸帯。
3.3 位移告警功能
对于部分涉密或关键设备资产,还可通过内置RFID标签的方法,以实现对其轨迹的监测,并对穿越电子围栏的行为触发告警。主要功能包括:
1. RFID标签:RFID标签存储资产电子编码信息,所存储的信息可以被射频收发设备以非接触方式读或写。
2. RFID天线模块:能够为RFID标签和射频收发模块,进行射频信号空间传递。
3.射频收发设备:能够发出无线电射频信号,接收由 RFID 标签反射回的无线电射频信号,经处理后获取该标签存储的信息,并将信息送到服务端。
4.安全策略管理:资产安全管理系統的服务端收到信息后,根据资产名称、资产负责人、存放位置、是否涉密等条件配置安全管理策略。若判断出该资产的位置信息发生变动,并违反了预定的安全管理策略,则向门卫或资产责任人发出报警提示,由门卫或资产负责人进行核查或实时拦截,从而避免涉密或重要资产离开预定存放位置。
5.资产告警功能:实现语音、短信、微信或声光电等方式告警。短信、语音告警可通过电信运营商短信通道号发送,资产责任人可通过登录管理页面或手机APP查看或接听告警。对于已建设电子围栏系统的单位,资产安全管理系统可通过接口获取其关联资产的告警信息,在资产安全管理系统上展示或触发告警、处置工单,采取威胁处置手段。
3.4 共通管理功能
资产安全管理系统还支持如下共通管理功能:
1.基础管理功能,包括账号、角色、权限管理功能等。
2.审计管理功能,实现对所有与资产相关信息的审计管理,如登录和注销日志、访问资源的行为记录,安全策略变更记录,对用户角色的增删改操作,资产数据采集任务创建、执行、查看记录,属性字段的增删改记录等。
3.远程管理功能,支持通过加密的方式进行远程管理,确保会话内容不被非授权人员获取。
四、未来展望
基于上述系统架构的资产安全管理系统,可面向三类场景开展资产安全管理。
1.对于电信运营商的省分公司,企业规模庞大、资产类型众多。该系统既可用于纳管网络资产,包括安全设备、网络设备、主机、数据库、中间件、存储以及各业务系统资产,也可用于传统固定资产安全管理。
2.对于一般的企事业单位,可独立部署基于二维码标签及RFID标签的资产安全管理系统,以开展传统固定资产管理。
3.对于一般的互联网企业,可独立部署面向网络资产的资产安全管理系统,以开展网络资产的安全管理。
五、 结束语
综上所述,融合RFID等技术的资产安全管理系统,综合考虑了网络资产和传统固资管理的不同流程特点,实现了二者的有机融合和业务流程的贯通,较好地满足了电信运营商及相关单位各管理部门对资产安全管理的不同需求。
参 考 文 献
[1]中国通信标准化协会.YD/T 3803-2020.电信网和互联网资产安全管理平台技术要求[S].2020.
[2]中国国家标准化管理委员会.GB/T35290-2017.信息安全技术 射频识别(RFID)系统通用安全技术要求[S].北京:中国标准出版社,2018.
[3]中国国家标准化管理委员会.GB/T31022-2014.名片二维码通用技术规范[S].北京:中国标准出版社,2015.
[4]落红卫,程伟.RFID安全威胁和防护措施[J].电信网技术.2010(3).