广电IP资产安全管理与实践

摘要:介绍了在物联网、大数据、云计算、5G等业务发展的背景下，广播电视行业通过建设新型的资产管理平台，实现对资产全生命周期的可视化安全管理。以实际建设的资产平台为例，对资产平台具备的功能和技术难点进行阐述。

关键词:资产管理;资产探测;漏洞扫描

近年来，随着广电网络公司业务边界的不断拓展，安全策略的不断变化，防护对象的转换，作为业务、生产的运行单元，广电网络公司的网络资产管理逐渐成为安全核心要素。当前广播电视网络公司的资产规模越来越大，数量越来越多，如公网地址就达到了百万级别，这些给资产管理工作带来了很大的挑战。各类资产、设备数量大幅增加，资产的归属结构关系复杂，部门与部门之间存在交叉使用的情况，同时带来了资产安全责任难以落实，风险管理面临巨大的压力。如使用的Excel或EＲP系统，已经无法满足资产管理的需要，为实现基于可视化的网络资产全生命周期的安全管理，必须通过建设新型的资产安全管理平台。

1新型资产安全管理平台功能架构

新型资产安全管理平台架构如图1，它具备以下功能。

1.1自动采集发现企业网络信息系统资产

利用专业的IT资产探测工具，对资产进行探测发现，并在此基础上进行资产信息的补充和记录，最终录入安全资产管理库。资产的探测通过自动采集、手工维护和接口同步等3种方式实现。自动采集是通过资产扫描、Web爬虫等完成设备类和软件类资产的自动采集，具备根据IP地址段自动扫描资产的能力，扫描结果包含但不限于IP、端口、设备类别、操作系统、承载的软件应用(如中间件)等手工维护是通过人工维护对资产数据进行录入和完善对应属性信息。接口同步是利用统一安全管理平台等系统进行数据同步，自动进行资产数据的录入和核对。

1.2自动稽核网络信息安全资产

根据资产报备流程(新增、变更和注销)，对单位上报的资产信息的准确性进行审核。如发现误报、漏报等问题，稽核对相关单位进行通报，责令整改。稽核采用日常巡检和不定期抽查两种方式，日常巡检为每周对全量资产信息审核一次。

1.3生成和梳理网络信息资产

建立网络信息安全资产库并维护更新，资产库能够自动同步或者导入各单位上报的资产信息，并整理为统一模板格式。资产库能够将探测和导入的资产，包括主机资产和应用资产，进行集中梳理和管理，并通过导出报表的形式对资产信息进行集中展示。分析报表主要包含Excel报表和综合报表。Excel报表主要为用户导出资产清单和资产风险清单，生成清单文档，用户可以下载相关的Excel文档。综合报表是对资产的安全进行分析评估。用户可以通过点击“添加报表”根据提示创建资产安全评估报告，从而输出单位资产信息汇总报告。

1.4发现资产的网络安全漏洞和闭环管理

资产安全管理平台采用先进的漏洞扫描引擎和流程化管理方式，对网络信息安全资产所存在的安全漏洞进行扫描和风险全生命周期管理工作，实现了漏洞管理从发现到修复完成的闭环［1］。当风险管理员通过漏洞扫描到风险漏洞并审核后，将扫描到的漏洞下发到相关责任人员进行处理修复;相关部门责任人接到漏洞修复任务后对漏洞进行审核和修复操作，责任人修复完漏洞后提交复测申请;风险管理员对修复的漏洞进行复测和后续的归档，漏洞管理实现了从发现到修复的完整闭环。

1.5资产的全生命周期态势分析

安全管理平台通过对资产的全生命周期活动进行全方位的数据分析，包括资产探测，资产稽核、资产变更、漏洞管理等，将结果通过分析报表和可视化大屏的方式呈现。其中可视化大屏的方式是将资产信息通过折线图、饼状图、柱状图等形式从资产情况、风险漏洞等8421多角度直观、实时、全面地展示资产概况与趋势，实现资产管理全流程工作信息数据可视、动态感知的目标。

2关键技术

新型资产安全管理平台建设过程中，主要采用以下关键技术。

2.1资产建模技术

基于核心的资产建模技术，根据导入资产的信息建立资产模型，进行深度识别，自动发现关联资产，智能识别资产类型［2］。通过网络安全资产的主动探测和发现，结合广播电视现有网络资产数据库，智能化建模。

2.2资产探测技术

利用无状态扫描技术极速完成资产管理，通过异步连接技术高效完成端口探测与状态识别［3］。

2.3人工智能深度学习技术

利用决策树算法和海量产品数据库进行机器训练［4］，完成不同应用与服务协议数据的拆分，提取特征值，自动建立指纹模型，实现智能阻断绕过。自动整理所提供的已知资产，并持续进行智能化巡检和识别，实时更新资产状态。

2.4基于策略匹配的极速响应

资产安全管理平台通过策略匹配实现漏洞的极速响应排查和策略学习，进一步提高漏洞事件匹配的准确率。另外资产安全管理平台支持本地、虚拟等多种环境，有效做到了全业务系统覆盖。结合自定义检测，从海量数据中快速定位高危资产，极大简便了风险管理，缩短了应急响应的流程。

3应用效果

以中广有线信息网络有限公司(以下简称中广有线)为例，自资产安全管理平台上线以来，为中广有线发现未掌控的网络资产300余个，保障了单位网络安全资产管理的工作稳步、有序、高效地开展，规避了未掌控资产因无法管理，导致可能被恶意网络攻击造成的负面影响。通过自动的资产安全管理稽核与梳理，大大降低了资产管理的成本，节省了大量的人力和管理成本。同时将原有不受管控的资产找回，部分资产被二次利用，避免了单位资产的浪费。通过高效的漏洞探测与管理机制，减少了繁琐的修复任务下发流程，漏洞修复速度大大加快，避免漏洞未及时修复导致被攻击造成重大经济损失。

4结束语

资产安全管理平台能够满足资产管理工作中的大多数业务需求，资产管理得到有效梳理和相关责任的顺利落地，有效解决了资产管理中存在的长期痛点和难题。同时这套系统具备方便、高效、规范等特点，具备推广价值。

参考文献:

［1］倪浩杰．基于生命周期的新型漏洞管理平台设计［J］．网络安全技术与应用，2020(4):77－79．

［2］齐权，贺劼，鲁悦．网络空间资产普查与风险感知系统［J］．信息技术与标准化，2018(9):53－56，69．

［3］史光庭，阮文波．网络空间测绘技术的应用研究［J］．保密科学技术，2021(3):20－28．

作者：徐彬 单位：中广有线信息网络有限公司