一、案例背景
國(guó)網(wǎng)公司"十四五"規(guī)劃明確提出構(gòu)建公司級(jí)網(wǎng)絡(luò)空間作戰(zhàn)地圖��,建立精準(zhǔn)的分布情況和網(wǎng)絡(luò)關(guān)系索引�,用邏輯關(guān)系圖和地理信息圖等形式繪制和展現(xiàn),實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)空間狀態(tài)異動(dòng)動(dòng)�,及時(shí)發(fā)現(xiàn)IT資產(chǎn)的網(wǎng)絡(luò)異常變化,提供作戰(zhàn)情報(bào)����,進(jìn)一步提升基礎(chǔ)資源動(dòng)態(tài)管理、一體化實(shí)戰(zhàn)對(duì)抗能力����、多方聯(lián)動(dòng)協(xié)同支撐等方面,應(yīng)對(duì)全場(chǎng)景網(wǎng)絡(luò)安全防御能力����。
二、客戶需求
構(gòu)建網(wǎng)絡(luò)空間作戰(zhàn)底圖���,首先需要精確掌握當(dāng)前網(wǎng)絡(luò)中全量的資產(chǎn)信息�����,然而��,在信息化建設(shè)過程中�,由于網(wǎng)絡(luò)的規(guī)劃、IT資產(chǎn)的接入�、管控流程等方面的不足以及企業(yè)人事變動(dòng)導(dǎo)致資產(chǎn)信息遺失等情況,公司資產(chǎn)信息難以全盤掌控�,在實(shí)際工作開展過程中,主要面臨著如下幾個(gè)問題:
- 資產(chǎn)不清�����,且缺乏有效發(fā)現(xiàn)手段����?��;ヂ?lián)網(wǎng)大區(qū)�、管理信息大區(qū)內(nèi)子網(wǎng)區(qū)域劃分眾多�,建設(shè)初期僅靠線下人工記錄資產(chǎn)信息,資產(chǎn)上下線較為隨意��,資產(chǎn)清單缺乏持續(xù)跟蹤和維護(hù)��,且缺乏有效資產(chǎn)發(fā)現(xiàn)手段�,導(dǎo)致各區(qū)域資產(chǎn)臺(tái)賬信息不全;
- 資產(chǎn)畫像信息不足。現(xiàn)有資產(chǎn)清單主要圍繞著設(shè)備名稱��、類型�����、品牌���、管理人���、IP地址等幾個(gè)常規(guī)屬性進(jìn)行記錄,對(duì)資產(chǎn)具體的操作系統(tǒng)�、軟件版本、開放的端口��、協(xié)議���、使用的組件及版本�、拓?fù)湮恢玫刃畔⒂涗洸蝗?���,無(wú)法應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全場(chǎng)景作戰(zhàn)需求;
- 資產(chǎn)風(fēng)險(xiǎn)識(shí)別與快速定位能力不足����。當(dāng)前篩查資產(chǎn)風(fēng)險(xiǎn)主要依賴漏洞掃描器或人工滲透進(jìn)行�����,應(yīng)對(duì)漏洞通報(bào)處置時(shí)�,耗時(shí)長(zhǎng)且處置效率低��;
- 缺乏高校的資產(chǎn)檢索能力�����。對(duì)總部通報(bào)漏洞涉及的組件�����、版本對(duì)應(yīng)的資產(chǎn)進(jìn)行檢索未能實(shí)現(xiàn)資產(chǎn)快速定位�����。
三��、解決方案
1��、周期性測(cè)繪構(gòu)建全量存活資產(chǎn)清單����。在互聯(lián)網(wǎng)大區(qū)核心交換機(jī)旁路部署網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪系統(tǒng),通過配置周期性資產(chǎn)探測(cè)任務(wù)�,對(duì)轄區(qū)內(nèi)各網(wǎng)段資產(chǎn)進(jìn)行持續(xù)性探測(cè),形成存活I(lǐng)P��、端口維度全量存活資產(chǎn)清單�����。
2��、深度測(cè)繪形成全面資產(chǎn)畫像庫(kù)���?;谫Y產(chǎn)存活測(cè)繪基礎(chǔ)��,進(jìn)行資產(chǎn)深度指紋畫像����,識(shí)別資產(chǎn)協(xié)議、應(yīng)用�����、組件、版本�、供應(yīng)商等多維資產(chǎn)信息,完成資產(chǎn)全面畫像���。
3��、提供多維檢索條件與漏洞快速排查資產(chǎn)風(fēng)險(xiǎn)���。預(yù)置常用篩查模板與70余種組合查詢條件,實(shí)現(xiàn)目標(biāo)資產(chǎn)快速定位��,基于CPE技術(shù)與PoC技術(shù)結(jié)合�����,支撐常態(tài)化漏洞隱患治理與漏洞通報(bào)應(yīng)急處置工作開展��。
四���、實(shí)際應(yīng)用
1、在互聯(lián)網(wǎng)大區(qū)�、信息管理大區(qū)旁路部署資產(chǎn)測(cè)繪系統(tǒng),每周對(duì)互聯(lián)網(wǎng)大區(qū)資產(chǎn)進(jìn)行測(cè)繪����,形成多維畫像的全量資產(chǎn)清單�,如IP�����、端口����、服務(wù)、協(xié)議�、組件、版本����、操作系統(tǒng)、廠商等通用網(wǎng)絡(luò)資產(chǎn)信息�,以及電力交易平臺(tái)、基建全過程系統(tǒng)�、配網(wǎng)工程管控移動(dòng)應(yīng)用、智慧能源服務(wù)平臺(tái)等電力專屬應(yīng)用系統(tǒng)信息采集�,實(shí)現(xiàn)了網(wǎng)絡(luò)空間“摸清家底”。
2��、與已有資產(chǎn)清單進(jìn)行對(duì)比���,發(fā)現(xiàn)并處置網(wǎng)絡(luò)中未知資產(chǎn)信息����,完成了網(wǎng)絡(luò)空間未知資產(chǎn)治理工作。
3���、結(jié)合通過多維資產(chǎn)畫像信息���,開展漏洞隱患治理工作,對(duì)高危端口���、組件�����、應(yīng)用�����、漏洞等情況進(jìn)行集中治理��,對(duì)使用SSH���、FTP、Telnet�����、RDP��、VNC協(xié)議和服務(wù)的資產(chǎn)進(jìn)行快速梳理識(shí)別����,關(guān)閉非必要端口服務(wù)。
4�、基于豐富的資產(chǎn)檢索條件,開展漏洞應(yīng)急處置工作���,對(duì)總部通報(bào)漏洞涉及的組件�����、版本對(duì)應(yīng)的資產(chǎn)進(jìn)行檢索實(shí)現(xiàn)資產(chǎn)快速定位��,并結(jié)合PoC驗(yàn)證功能對(duì)風(fēng)險(xiǎn)進(jìn)行二次驗(yàn)證����,快速高效完成資產(chǎn)風(fēng)險(xiǎn)排查。
五����、項(xiàng)目效果
通過本項(xiàng)目建設(shè),完成了對(duì)互聯(lián)網(wǎng)大區(qū)以及信息內(nèi)網(wǎng)的資產(chǎn)摸排與治理工作和完備的資產(chǎn)臺(tái)賬清單����,形成了體系化的資產(chǎn)和漏洞風(fēng)險(xiǎn)發(fā)現(xiàn)能力,大幅提升資產(chǎn)和漏洞檢測(cè)覆蓋面��、檢測(cè)效能和自動(dòng)化程度��,高效應(yīng)對(duì)常態(tài)化漏洞隱患治理與漏洞通報(bào)及應(yīng)急處置等資產(chǎn)安全管理工作�����。
