安天資產(chǎn)安全運(yùn)維平臺(tái)

０引言隨著網(wǎng)絡(luò)空間地形越來(lái)越復(fù)雜，關(guān)鍵信息基礎(chǔ)設(shè)施的資產(chǎn)管理存在空間和時(shí)間盲區(qū)?，F(xiàn)有的安全運(yùn)維工作主要還是依靠人工操作，在面對(duì)規(guī)?；男畔①Y產(chǎn)管理、復(fù)雜的軟硬件監(jiān)控、各種漏洞頻頻爆出的情況時(shí)，依靠單一的運(yùn)維工具，在缺乏漏洞優(yōu)先級(jí)的評(píng)判情況下，難以有效應(yīng)對(duì)高風(fēng)險(xiǎn)場(chǎng)景的要求。１產(chǎn)品設(shè)計(jì)背景目前市場(chǎng)上存在大量資產(chǎn)安全相關(guān)的工具，如資產(chǎn)探測(cè)、漏洞掃描、配置核查等工具，但缺乏資產(chǎn)、漏洞、配置、補(bǔ)丁之間的關(guān)聯(lián)，在脆弱性管理、聯(lián)動(dòng)處置方面缺乏平臺(tái)級(jí)的產(chǎn)品，只能依靠單品工具加人工分析的方式處理，不能解決風(fēng)險(xiǎn)管控碎片化的問(wèn)題。基于上述問(wèn)題并結(jié)合安全監(jiān)管、安全合規(guī)要求，我們?cè)O(shè)計(jì)和開(kāi)發(fā)了安天資產(chǎn)安全運(yùn)維平臺(tái)，實(shí)現(xiàn)了運(yùn)維安全一體化管理，打破了單品工具之間的數(shù)據(jù)壁壘，實(shí)現(xiàn)了功能之間的協(xié)調(diào)聯(lián)動(dòng)，提高了安全運(yùn)維的效率，滿足了安全監(jiān)管及合規(guī)的要求。２產(chǎn)品架構(gòu)2

產(chǎn)品架構(gòu)設(shè)計(jì)（1）設(shè)計(jì)目標(biāo)安天資產(chǎn)安全運(yùn)維平臺(tái)基于疊加演進(jìn)模型和可管理網(wǎng)絡(luò)理念，面向規(guī)?；男畔①Y產(chǎn)管理場(chǎng)景，平臺(tái)架構(gòu)分為采集層、數(shù)據(jù)中臺(tái)、應(yīng)用層三層結(jié)構(gòu)，提供安全運(yùn)維門戶、資產(chǎn)管理、配置管理、漏洞與補(bǔ)丁管理、日志與告警管理、日常安全管理等功能，以實(shí)現(xiàn)“資產(chǎn)配置漏洞補(bǔ)丁四打通，運(yùn)維安全一體化”（如圖1所示）為平臺(tái)運(yùn)行目標(biāo)，可協(xié)助網(wǎng)絡(luò)安全人員全面管控信息資產(chǎn)、智能調(diào)整安全配置、及時(shí)處置安全漏洞、充分審計(jì)系統(tǒng)日志、持續(xù)評(píng)估系統(tǒng)運(yùn)行，實(shí)現(xiàn)集約化、自動(dòng)化、精細(xì)化的資產(chǎn)安全運(yùn)維管理。圖1安天資產(chǎn)安全運(yùn)維平臺(tái)（2）系統(tǒng)架構(gòu)圖2系統(tǒng)架構(gòu)

安天資產(chǎn)安全運(yùn)維平臺(tái)通過(guò)對(duì)資產(chǎn)設(shè)備的數(shù)據(jù)收集，結(jié)合資產(chǎn)管理、配置管理、漏洞補(bǔ)丁管理、安全設(shè)備管理、日常安全管理等功能模塊的有效聯(lián)動(dòng)，并可以與態(tài)勢(shì)感知系統(tǒng)結(jié)合，實(shí)現(xiàn)分析協(xié)同、響應(yīng)處置協(xié)同、基礎(chǔ)信息同步、告警與日志信息上傳等功能（如圖2所示）。同時(shí)可與安全服務(wù)相結(jié)合，實(shí)現(xiàn)安全加固、漏洞掃描、補(bǔ)丁與升級(jí)文件安全分析、漏洞緩解措施開(kāi)發(fā)與驗(yàn)證等功能。３關(guān)鍵技術(shù)（1）多維網(wǎng)空地形探測(cè)技術(shù)平臺(tái)通過(guò)主動(dòng)掃描（如圖3所示）、代理上報(bào)、被動(dòng)探測(cè)等方式，避免空間上的盲區(qū)，隨時(shí)感知資產(chǎn)和業(yè)務(wù)變化，形成實(shí)時(shí)網(wǎng)空威脅地形。圖3主動(dòng)掃描技術(shù)示例（2）

基于SCAP

規(guī)范的配置核查技術(shù)圖4配置核查技術(shù)平臺(tái)融合等級(jí)保護(hù)、STIG

等國(guó)內(nèi)外的多個(gè)安全配置基準(zhǔn)（如圖4

所示）

，遵循SCAP

規(guī)范，提供標(biāo)準(zhǔn)化的定義配置方式，實(shí)現(xiàn)配置基準(zhǔn)的高效擴(kuò)展；采用泛化與特化基準(zhǔn)相結(jié)合的方式，滿足多樣化的防護(hù)等級(jí)、行業(yè)特性需求；提供在線、離線兩種工作模式，提高配置核查工作的機(jī)動(dòng)性。多標(biāo)準(zhǔn)融合的基準(zhǔn)核查能夠適應(yīng)復(fù)雜場(chǎng)景下的檢測(cè)需求。（3）

自動(dòng)化、自定義的配置核查、修復(fù)、生成報(bào)告技術(shù)自動(dòng)化核查主要是對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、中間件、數(shù)據(jù)庫(kù)安全檢測(cè)。然而系統(tǒng)中往往有很多不同的操作系統(tǒng)，有不同安全等級(jí)要求的計(jì)算機(jī)，同一個(gè)軟件可能在不同安全需求的計(jì)算機(jī)上要進(jìn)行不同的配置，這些都給系統(tǒng)安全配置帶來(lái)很大的挑戰(zhàn)，需要快速、準(zhǔn)確性高、自動(dòng)化的配置手段，自定義基準(zhǔn)項(xiàng)可靈活控制用戶現(xiàn)場(chǎng)的配置核查場(chǎng)景，閉環(huán)的流程處理保障業(yè)務(wù)的連續(xù)性。如何識(shí)別系統(tǒng)中的高風(fēng)險(xiǎn)威脅并快速反應(yīng)，如打補(bǔ)丁和修改相應(yīng)配置等提供業(yè)務(wù)安全的支撐，做到主動(dòng)防御?；谧詣?dòng)化、自定義的配置核查、修復(fù)、生成報(bào)告技術(shù)架構(gòu)如圖5所示。圖5技術(shù)組件４技術(shù)創(chuàng)新（1）資產(chǎn)配置、漏洞補(bǔ)丁，協(xié)調(diào)聯(lián)動(dòng)，運(yùn)維安全一體化開(kāi)展平臺(tái)基于資產(chǎn)價(jià)值、業(yè)務(wù)價(jià)值和業(yè)務(wù)連續(xù)性影響評(píng)估，調(diào)整配置策略，評(píng)判漏洞處置優(yōu)先級(jí)、制定補(bǔ)丁實(shí)施方案。配置基準(zhǔn)覆蓋補(bǔ)丁策略，補(bǔ)丁實(shí)施有章可循；漏洞威脅情報(bào)分析觸發(fā)配置基準(zhǔn)策略調(diào)整，資產(chǎn)配置基準(zhǔn)同步更新；漏洞掃描與補(bǔ)丁實(shí)施聯(lián)動(dòng)，確保檢測(cè)與處置閉環(huán)。（2）網(wǎng)空資產(chǎn)測(cè)繪能力網(wǎng)絡(luò)空間測(cè)繪采用主動(dòng)掃描、流量監(jiān)測(cè)等技術(shù)對(duì)資產(chǎn)進(jìn)行深度畫(huà)像、拓?fù)溥€原。網(wǎng)絡(luò)空間測(cè)繪包含數(shù)百種網(wǎng)絡(luò)協(xié)議，超過(guò)數(shù)千條指紋識(shí)別規(guī)則，能夠全面識(shí)別資產(chǎn)信息，可廣泛應(yīng)用于各種業(yè)務(wù)場(chǎng)景下的資產(chǎn)探測(cè)。（3）配置基準(zhǔn)多標(biāo)融合，遵循SCAP規(guī)范平臺(tái)融合國(guó)內(nèi)外多個(gè)安全配置基準(zhǔn)，提供泛化與特化基準(zhǔn)，滿足多樣化的防護(hù)等級(jí)、行業(yè)特性需求；遵循SCAP規(guī)范，提供標(biāo)準(zhǔn)化的配置定義方式，實(shí)現(xiàn)配置基準(zhǔn)的高效擴(kuò)展，支撐安全加固的自動(dòng)化。（4）資產(chǎn)安全核心知識(shí)庫(kù)業(yè)內(nèi)獨(dú)有資產(chǎn)、配置、漏洞、補(bǔ)丁及其關(guān)聯(lián)關(guān)系全覆蓋的資產(chǎn)安全知識(shí)庫(kù)，是打通資產(chǎn)、配置、漏洞、補(bǔ)丁的核心支撐，具備持續(xù)更新、對(duì)外輸出的能力。５結(jié)語(yǔ)我們研發(fā)的安天資產(chǎn)安全運(yùn)維平臺(tái)在攻防應(yīng)急演練及重保等業(yè)務(wù)場(chǎng)景中，通過(guò)平臺(tái)提供的網(wǎng)空資產(chǎn)探測(cè)、安全基線核查、漏洞識(shí)別與修復(fù)等功能可從資產(chǎn)、漏洞、配置等維度持續(xù)對(duì)資產(chǎn)安全情況進(jìn)行動(dòng)態(tài)評(píng)估，從而達(dá)到資