李昀

【摘要】随着大数据技术盛行，互联网业务正随着技术的发展变得越来越复杂，运营商自有业务网络范围内的系统变得种类繁多、数量庞大，但随之而来的网络安全风险日益加大，网络安全形势空前严峻。本着降低运营商网络资产风险，通过建立网络资产核查和风险验证服务器，实现网络资产快速梳理和风险自动识别和评估验证，从而实现对网络资产的可知、可查、可管可控。

【关键词】大数据 互联网资产 风险识别 安全评估

随着大数据技术盛行，互联网在线业务正随着技术的发展变得越来越复杂。由于B/S架构正在成为当前互联网在线业务的主流形式，因此，围绕着B/S架构下的各种开源应用、程序和组件也越来越丰富。随着这些开源系统的逐渐丰富，安全问题也随之逐步暴露，全球范围内的通用漏洞开始呈现出爆发式的增长趋势。面对严峻的网络安全形势，国家和企业对防范网络安全风险都非常重视，两部委更将网络信息安全考核纳入各运营商经营业绩考核综合扣分项，为切实提高系统安全保障水平，更好地提升公司各系统的安全防护能力，需要增强对于公司重要系统的安全风险控制，持续不断的发现系统安全风险并及时进行纠正。

传统的网络安全扫描主要利用TCP及ICMP协议工作原理，一般通过在每个域内架设探针，扫描目标主机并识别其工作状态（如开关机），识别目标主机端口状态（打开或关闭），以及目标主机系统和服务的类型版本等，还可根据已知漏洞信息，分析系统脆弱点，生成扫描结果报告以供参考。

传统扫描實施简单，但存在以下几个方面问题：一是面对运营商庞大的网络，想要得到高效的扫描，必须在网络中部署大量的探针设备，投资较大；二是漏洞扫描结果中含有大量的疑似风险或漏洞，风险是否真实存在，无法验证，误报率较高；三是自动化程度较低，需要耗费大量的人工。

鉴于上述情况，拥有庞大网络资产的运营商，想要动态的掌握资产的安全状况，如能建设一套自动化程度更高的系统，在资产识别和安全评估方面将起到事半功倍的效果。可重点从以下几方面考虑：

一、建立网络资产核查服务器，快速梳理网络资产。

为解决快速准确核查现网资产，需建立资产核查手段，主要基于TCP协议、ICMP协议工作原理，综合运用端口扫描等多种手段，准确、快速的发现目标中存活的网络设备，识别其相关属性：如开放端口、提供服务、设备类型和厂商、使用组件名称和版本等。根据运营商众多设备类型的现状，可探测的网络上的设备类型应至少包括：网络设备、主机、网络安全设备、各种应用系统（数据库系统、WEB服务中间件系统等）、存储设备、虚拟机等。可探测的软件包括：数据库软件、防护软件、邮件服务软件、FTP服务软件、Web容器、Web框架、Web语言、Web前端库、Web应用程序等。探测识别目标所使用的操作系统类型，应至少包括：Windows系列、linux等各类操作系统。为适应各种情景的扫描需求，应可根据给定的关键词进行目标详情信息搜索，同时支持单字段精确搜索和多字段模糊搜索，并将目标的所有信息聚合进行展示。

通过建立核查服务器，可随时了解管理范围内的资产实时情况，如新增资产、资产应用变更、资产消除等，从而实现资产的实时核查。

二、实现安全风险系统验证能力，提高风险识别准确率。

区别于传统漏洞扫描，新系统将致力于提高风险漏洞的验证准确率，通过网络资产核查，获得目标网络空间资产范围内设备的应用信息，如系统平台、组件、插件的类型与版本信息；提供服务或应用的类型等信息。通过与系统风险验证模块内的安全漏洞库进行信息匹配与真实性验证，了解基线是否真实存在安全风险利用点，可识别的安全风险利用点主要包括：SQL注入漏洞、XSS跨站漏洞、代码执行漏洞、文件上传漏洞、信息泄漏漏洞、后门漏洞等；将网络资产的自有属性（资产归属和重要性等属性）与信息核查结果进行融合，管理收集与主动采集两个手段相配合。通过对目标网络资产安全风险验证，获取风险点设备信息，快速查询资产并核查数据，定位目标网络空间的设备问题；通过已知或未知漏洞的影响特性和特征属性，定制形成验证漏洞真实风险的程序包，对网络资源和设备资产进行系统自动化的漏洞验证，确保网络资产风险可知、漏洞可查、影响可控。同时对存在的设备提供基线安全核查，方便起见，核查周期可自由设定，支持进行持续的自动化工作。并提供有效的安全管理控制技术能力并为后续的整改、加固工作提供有效的数据支持。

通过风险验证，及时了解管理范围内的资产的基线安全情况；快速给出风险评估意见；系统针对每个漏洞，提供漏洞修复建议，如补丁下载链接、系统加固方案等，帮助全面认识漏洞，并快速的完成漏洞修复工作。在安全处置整改后，系统针对目标网络设备的漏洞修复情况，进行复查，判断漏洞修复情况，评估安全处置工作的有效性。

三、在资产风险梳理识别基础上，形成安全风险预警能力。

针对网络进行安全风险的探测与验证，进而获得第一手的风险评估数据，并通过这些风险评估数据，结合网络空间安全最新情况，形成安全预警信息，从而实现运营商的安全预警能力。通过在整体网络空间探测的基础上，不断强化和完善其探测引擎和程序包规则，同时，依托于云安全大数据分析技术，不断分析研究来自网络空间安全漏洞攻击原理并以此建立起精准的漏洞验证信息库。将两方面能力相结合，为互联网信息安全管理和工作提供有效的网络空间测绘能力与服务。

通过建设网络资产核查与安全风险验证系统用来实现为运营商提供网络资产发现、资产自动识别、设备存活检查、开放服务信息、操作系统版本、运行系统版本、Web应用系统等。同时，通过与电信基线设备相匹配，可以识别出资产中存在的基线设备信息。配合风险验证模块可以快速定位并精确核验基线设备存在的安全风险。可以针对目标网络设备的资产信息和漏洞信息，进行数据统计和趋势分析，从宏观上展现网络资产和风险情况，及其变化趋势。同时，还可以根据需求选择数据统计和分析的不同维度，进行自定义的数据挖掘。

运营商的管理目标会处于一个长期持续运营、不断发展的过程。因此，不可避免，对应的安全管理要求也将是持续、实时性的。而通过资产核查和风险验证系统的建立，对管辖范围内的网络资产进行长期、持续性的实时普查、核查以及风险识别与确认的能力，从而持续降低运营商所面临的风险。endprint