基于CMDB的資產(chǎn)識別與管理系統(tǒng)設(shè)計與實(shí)現(xiàn)

蔚周鵬,陳俊麗,張漢舉

(1.上海大學(xué) 通信與信息工程學(xué)院,上海 200444;2.上海博弋信息科技有限公司,上海 200030)

0 引 言

大數(shù)據(jù)和云服務(wù)的快速發(fā)展促使企事業(yè)單位資產(chǎn)規(guī)模不斷擴(kuò)大,當(dāng)前多數(shù)企事業(yè)單位的資產(chǎn)種類繁多、地點(diǎn)分散,資產(chǎn)信息的采集存在多個數(shù)據(jù)源,這些均加大了資產(chǎn)高效管理的難度。資產(chǎn)類別屬性標(biāo)準(zhǔn)單一導(dǎo)致無法有效實(shí)施資產(chǎn)的量化管理。同時,多數(shù)組織未能對采集后的資產(chǎn)數(shù)據(jù)整合應(yīng)用,不利于制定資產(chǎn)投入使用、日常維護(hù)及其變更等相關(guān)規(guī)劃,未能有效挖掘資產(chǎn)信息的價值。

CMDB[1-3]全稱是Configuration Management Database,是一種配置管理數(shù)據(jù)庫。英國國家計算機(jī)和電信局于1999年推出了ITIL的V2版本并提出了CMDB概念。CMDB在實(shí)現(xiàn)資產(chǎn)精準(zhǔn)管理和全面監(jiān)控等方面發(fā)揮巨大價值,能夠有效地組織各種形態(tài)的資產(chǎn)數(shù)據(jù),釋放資產(chǎn)信息價值?；贑MDB的資產(chǎn)識別與管理系統(tǒng)的設(shè)計實(shí)現(xiàn)企事業(yè)單位對資產(chǎn)的高效管理,通過識別、檢查、維護(hù)資產(chǎn)資源,提供準(zhǔn)確的配置信息給所需資產(chǎn)業(yè)務(wù),從而落實(shí)全面、高效、可持續(xù)的面向業(yè)務(wù)服務(wù)的資產(chǎn)管理。多數(shù)企事業(yè)單位搭建的CMDB系統(tǒng)不能滿足日常資產(chǎn)梳理的要求,也無法發(fā)現(xiàn)目標(biāo)資產(chǎn)的威脅特征和脆弱特征,缺乏對資產(chǎn)信息的價值分析。市場上常用的CMDB軟件有OneCMDB,主要應(yīng)用于中小規(guī)模公司,幫助組織管理多類軟硬件資產(chǎn),不過自動化導(dǎo)入只適配Nagios系統(tǒng),局限性較大。

基于上述情況,該文設(shè)計了一種基于CMDB的資產(chǎn)識別與管理系統(tǒng),建立了規(guī)范的資產(chǎn)屬性標(biāo)準(zhǔn),有效降低了資產(chǎn)維護(hù)的成本,提高組織內(nèi)部的管理效能。資產(chǎn)識別[4]是實(shí)現(xiàn)企事業(yè)單位內(nèi)部網(wǎng)絡(luò)安全管理的關(guān)鍵步驟。本系統(tǒng)通過資產(chǎn)識別對目標(biāo)信息系統(tǒng)的資產(chǎn)進(jìn)行識別分析,形成對組織信息系統(tǒng)的基本認(rèn)識。從資產(chǎn)管理[5-6]的角度來看,資產(chǎn)識別為企事業(yè)單位的資產(chǎn)管理工作提供信息基礎(chǔ)。通過資產(chǎn)管理可以掌握組織內(nèi)部的資產(chǎn)情況,當(dāng)某資產(chǎn)存在漏洞,資產(chǎn)管理人員可以準(zhǔn)確地做出響應(yīng)措施,避免漏洞帶來威脅。同時對閑置資產(chǎn)及時做出分析、處理,防止安全問題產(chǎn)生。并且,提出了一種資產(chǎn)安全分析計算的方法,對資產(chǎn)的價值、脆弱特征、威脅特征進(jìn)行計算,幫助企事業(yè)單位組織開展風(fēng)險評估[7-9]工作。

1 系統(tǒng)的設(shè)計實(shí)現(xiàn)

1.1 系統(tǒng)框架設(shè)計

資產(chǎn)識別與管理系統(tǒng)的建設(shè)通過規(guī)范化資產(chǎn)屬性和功能模塊的開發(fā),實(shí)現(xiàn)資產(chǎn)信息同步變更,避免冗余資產(chǎn)數(shù)據(jù)堆積。系統(tǒng)整體框架如圖1所示。

圖1 核心技術(shù)框架

由圖1可知,本次系統(tǒng)設(shè)計首先基于各類資產(chǎn)信息,完成規(guī)范的資產(chǎn)屬性設(shè)計,再從Windows域、安全屬性信息、虛擬化資源中動態(tài)地獲取資產(chǎn)信息,有效解決資產(chǎn)采集的瓶頸問題,實(shí)現(xiàn)資產(chǎn)快速準(zhǔn)確的采集,最后針對資產(chǎn)當(dāng)前的特征信息進(jìn)行安全分析計算[10-14],有效解決了在資產(chǎn)管理過程中資產(chǎn)信息統(tǒng)計不精確、使用現(xiàn)狀不清晰等問題。

1.2 資產(chǎn)安全屬性的設(shè)計

通過對多家企事業(yè)單位資產(chǎn)情況調(diào)研,將收集的資產(chǎn)信息進(jìn)行分析總結(jié),建立了規(guī)范的資產(chǎn)屬性,保持了資產(chǎn)數(shù)據(jù)的完整性。表1列出了本系統(tǒng)在目標(biāo)資產(chǎn)屬性與其它系統(tǒng)的對比。

表1 資產(chǎn)屬性對比

由表1可知,市場的CMDB和本系統(tǒng)相比,在基本數(shù)據(jù)和位置信息兩類屬性信息基本一致,但參數(shù)數(shù)據(jù)、管理數(shù)據(jù)、時間特性和安全屬性中的屬性信息沒有本系統(tǒng)完善。故與其它平臺屬性相比,本系統(tǒng)設(shè)計的屬性優(yōu)點(diǎn)如下:

(1)提高了信息資產(chǎn)數(shù)據(jù)的使用效率;

(2)降低了后續(xù)數(shù)據(jù)的維護(hù)成本;

(3)考慮了資產(chǎn)的時間特性,捕獲了資產(chǎn)的動態(tài)演變,幫助識別脆弱資產(chǎn);

(4)加入安全屬性,促進(jìn)落實(shí)資產(chǎn)安全性評估。

1.3 動態(tài)資產(chǎn)收集

1.3.1 基于Windows域的信息采集

LDAP是一種目錄訪問協(xié)議,在Windows域環(huán)境中基于該協(xié)議實(shí)現(xiàn)企業(yè)級的信息管理?；贚DAP協(xié)議框架的四種模型落實(shí)Windows基礎(chǔ)域環(huán)境信息的查詢與更新。LDAP利用信息模型確認(rèn)信息的表示方式和信息類型,使用規(guī)范的Schema,加強(qiáng)信息之間的聯(lián)通;利用命名模型確定協(xié)議中條目定位方式;在功能模型中實(shí)現(xiàn)域環(huán)境的信息操作,主要是查詢類操作、更新類操作、認(rèn)證類操作和其它操作;通過安全模型提供了基于SSL/TLS的通訊安全保障,加強(qiáng)了Windows基礎(chǔ)域信息采集過程中的安全性,防止信息受到未經(jīng)授權(quán)的訪問?；贚DAP協(xié)議的Windows域信息管理,實(shí)現(xiàn)對公司所有用戶賬戶、用戶登錄行為、密碼狀態(tài)、安全權(quán)限、組織單元架構(gòu)、計算機(jī)、域控制器、工作站、組等信息的收集管理。圖2為本系統(tǒng)對計算機(jī)對象累計登錄次數(shù)的展示。

圖2 計算機(jī)累計登錄次數(shù)

圖2記錄了域中計算機(jī)對象的峰值登錄次數(shù),當(dāng)組織內(nèi)部出現(xiàn)關(guān)鍵登錄事件時,對登錄情況的記錄分析能夠幫助排查跟蹤異常登錄現(xiàn)象,判斷是否存在違規(guī)行為。

1.3.2 安全屬性信息采集

安全屬性信息的采集對象主要是組織內(nèi)部網(wǎng)絡(luò)和服務(wù)的使用狀況、脆弱特征、威脅特征等,對采集后的安全信息進(jìn)行管理,為安全分析工作提供數(shù)據(jù)支撐。數(shù)據(jù)交互有PUSH模式和PULL模式,其中PUSH模式是監(jiān)控對象主動推送數(shù)據(jù),保證了信息的時效性,但是在數(shù)據(jù)量過大時,可能造成數(shù)據(jù)堆積,若處理不及時可能導(dǎo)致服務(wù)崩潰;PULL模式是主動獲取監(jiān)控項指標(biāo),該模式下數(shù)據(jù)的利用性強(qiáng),但是時效性一般。從數(shù)據(jù)完整性的角度來看,PULL模式每次主動獲取信息,明確信息完整度,若存在數(shù)據(jù)缺失也可及時做出分析處理;從靈活性的角度來看,PULL模式在信息配置上明確自身指標(biāo),對信息完成二次加工利用。

結(jié)合實(shí)際環(huán)境,基于PULL模式實(shí)現(xiàn)安全屬性信息采集,具體操作如圖3所示,結(jié)合CMDB系統(tǒng)實(shí)現(xiàn)資產(chǎn)信息關(guān)聯(lián),完成信息加工。由圖3可知,利用系統(tǒng)接口采集資產(chǎn)配置的弱點(diǎn)信息、漏洞信息[15]、網(wǎng)絡(luò)異常行為以及資產(chǎn)性能信息等,落實(shí)資產(chǎn)脆弱特征和威脅特征的管理,并對其實(shí)現(xiàn)監(jiān)控展示。

圖3 安全屬性信息采集

在安全屬性信息的采集管理下,針對漏洞信息的分析統(tǒng)計情況見表2中的漏洞信息統(tǒng)計。由表可知某制造業(yè)單位上海廠區(qū)的漏洞信息統(tǒng)計情況,匯總了上海廠區(qū)下各網(wǎng)段的存活主機(jī)數(shù)、高危漏洞覆蓋主機(jī)數(shù)以及安全主機(jī)數(shù)。對高危漏洞進(jìn)行排序后,通過漏洞信息的統(tǒng)計分析可以幫助該單位明確需要被優(yōu)先解決的漏洞,最大限度地減少漏洞的威脅。

表2 采集信息統(tǒng)計

1.3.3 虛擬化資源采集

虛擬化資源采集的設(shè)計通過REST API接口實(shí)現(xiàn)了CMDB和虛擬資源信息之間的交互,REST API是基于HTTP協(xié)議的API,本次設(shè)計使用HTTP協(xié)議中的POST、GET、PUT以及DELETE等方法,實(shí)現(xiàn)用戶對不同資源連接、管理等操作,其中數(shù)據(jù)的呈現(xiàn)方式為JSON。REST調(diào)用是無狀態(tài)的,因此當(dāng)出現(xiàn)故障,無狀態(tài)組件可以根據(jù)實(shí)際環(huán)境開始狀態(tài)轉(zhuǎn)換來適應(yīng)環(huán)境變化,故在資源管理中靈活性較高,同時具有簡化的架構(gòu)和改進(jìn)的表示層,增強(qiáng)了后續(xù)二次開發(fā)的可擴(kuò)展性。

基于REST API的開發(fā),實(shí)現(xiàn)數(shù)據(jù)中心、集群、主機(jī)、虛擬機(jī)等信息的收集。在虛擬化資源應(yīng)用下,對虛擬機(jī)相關(guān)屬性信息的采集可如表2中虛擬資源信息統(tǒng)計所示。

由表2可知,通過對虛擬機(jī)狀態(tài)及性能指標(biāo)信息的采集,幫助落實(shí)可用性和性能方面的評估,降低了業(yè)務(wù)風(fēng)險。方便管理員掌握虛擬環(huán)境的情況,避免閑置資源堆積,讓虛擬化環(huán)境保持高效運(yùn)行。

1.4 資產(chǎn)安全分析

1.4.1 資產(chǎn)價值分析

ISO27001規(guī)定數(shù)據(jù)資產(chǎn)具有保密性、完整性和可用性[16]3個安全屬性。保密性按目標(biāo)資產(chǎn)若泄露對組織造成的損害程度進(jìn)行評定;完整性按資產(chǎn)受到未經(jīng)授權(quán)的修改對組織造成影響的嚴(yán)重程度來判定;可用性是按目標(biāo)資產(chǎn)的可用度在正常工作時間所達(dá)比例或者允許中斷次數(shù)來評估。上述3個屬性對目標(biāo)資產(chǎn)造成的影響程度決定了資產(chǎn)價值。資產(chǎn)價值計算如下:

(1)

其中,Conf為保密性賦值;Int是完整性賦值;Avail為可用性賦值。Round1{}表示四舍五入處理,保留一位小數(shù);0.5≤TC,TI,TA≤1.5,(TC+TI+TA)=3,TC,TI,TA默認(rèn)都為1;資產(chǎn)價值的條件屬性有保密性、完整性和可用性,管理者根據(jù)各屬性的影響程度進(jìn)行權(quán)重分配,完成資產(chǎn)價值的計算。本系統(tǒng)首先通過資產(chǎn)識別工作對資產(chǎn)進(jìn)行分類梳理,然后在完成資產(chǎn)保密性賦值、完整性賦值和可用性賦值后便可開始資產(chǎn)價值的計算。同時,本系統(tǒng)結(jié)合實(shí)際情況對資產(chǎn)價值分析工作建立了統(tǒng)一標(biāo)準(zhǔn),資產(chǎn)價值分析等級情況可如表3中資產(chǎn)價值部分所示。

表3 等級劃分

1.4.2 脆弱特征分析

資產(chǎn)脆弱特征是資產(chǎn)在實(shí)際環(huán)境中存在的缺陷和弱點(diǎn),主要從技術(shù)和管理兩個方面考慮。技術(shù)層面脆弱特征從資產(chǎn)本身出發(fā),如軟件和系統(tǒng)上存在的漏洞;管理層面脆弱特征指結(jié)合資產(chǎn)的關(guān)聯(lián)程度分析安全問題可能造成的危害。本系統(tǒng)對目標(biāo)資產(chǎn)技術(shù)脆弱風(fēng)險從漏洞角度考慮,按照漏洞危險程度和CVSS評分從高到低排列,漏洞風(fēng)險值計算如下:

(2)

被測對象的配置檢查風(fēng)險可以由具體檢查結(jié)果和重要程度進(jìn)行計算,計算方式如下:

(3)

(4)

其中,wi為不符合配置項的權(quán)重,l為不符合配置項的個數(shù);wj為部分符合配置項的權(quán)重,m為部分符合配置項的個數(shù);wk為配置項的權(quán)重,n為所有配置項的個數(shù)。其脆弱值的計算如下:

v=wv*rv+wb*rb

(5)

針對不同配置檢查項權(quán)重指標(biāo)結(jié)合具體檢查項進(jìn)行調(diào)整,體現(xiàn)了重要程度不同的漏洞或者配置檢查項對主機(jī)造成的影響。針對脆弱特征的分析,可知本系統(tǒng)首先在采集目標(biāo)資產(chǎn)的脆弱特征信息后,完成資產(chǎn)的脆弱識別,再從目標(biāo)資產(chǎn)的技術(shù)和管理兩個層面上落實(shí)各自脆弱特征的計算,最后結(jié)合兩者的計算值完成目標(biāo)資產(chǎn)的脆弱特征計算。其中,脆弱特征的等級劃分具體如表3中的脆弱特征部分所示。

1.4.3 威脅特征分析

威脅可能對資產(chǎn)造成損害,通常是安全事件發(fā)生的潛在原因。對威脅特征的分析[17],主要考慮它發(fā)生的可能性和造成的影響程度。威脅來源有多方面因素,包括人為因素和物理環(huán)境因素,歸根結(jié)底,主要從內(nèi)部(Vi)和外部(Ve)兩個角度考慮。

T=Vi*Wi+Ve*We

(6)

結(jié)合實(shí)際情況,調(diào)整內(nèi)部和外部威脅的對應(yīng)權(quán)重完成威脅值計算。系統(tǒng)完成威脅特征信息收集后,開始對威脅特征進(jìn)行識別,再從內(nèi)部和外部兩個角度取計算目標(biāo)資產(chǎn)的威脅特征值。同時,不同目標(biāo)資產(chǎn)的內(nèi)外部威脅權(quán)重也是不一樣的,最后,對目標(biāo)資產(chǎn)計算出的威脅值進(jìn)行等級劃分。對于資產(chǎn)價值、脆弱特征、威脅特征的等級劃分情況如表3所示。

由表3可知,資產(chǎn)價值的計算結(jié)果從高到低依次劃分成5個級別,代表被評估資產(chǎn)的重要程度,主要依據(jù)目標(biāo)資產(chǎn)被破壞后造成的影響來劃分。其中,資產(chǎn)的重要程度越高,資產(chǎn)的價值就越高,被破壞后導(dǎo)致的影響也就越嚴(yán)重。脆弱特征的計算結(jié)果取值范圍是0到10,共劃分成5個等級,分別代表著脆弱特征的不同級別,等級越高則代表該目標(biāo)資產(chǎn)的脆弱特征級別越高,被威脅利用成功的可能性也就越高。威脅特征的計算結(jié)果可以劃分成5個等級,不同等級代表威脅特征發(fā)生的可能性,級別越高則可能性越高,最高為5級,最低為1級。

2 結(jié)果分析與展示

2.1 資產(chǎn)動態(tài)演變展示

資產(chǎn)的動態(tài)演變可從網(wǎng)段、主機(jī)數(shù)等角度進(jìn)行分析,本系統(tǒng)對某大型制造業(yè)企業(yè)上海廠區(qū)在2021年和2022年進(jìn)行了年度資產(chǎn)檢測,基于檢測結(jié)果對資產(chǎn)演變做出分析展示。圖4是2022年在網(wǎng)段、端口等方面的主機(jī)同比增量情況統(tǒng)計。由圖4得出:

圖4 資產(chǎn)動態(tài)演變分析

(1)相較于2021年,2022年10.98.70.0網(wǎng)段新增主機(jī)數(shù)最多;

(2)2022年內(nèi),開放80端口和445端口主機(jī)數(shù)相對2021年增加明顯;

(3)該廠區(qū)2022年內(nèi)業(yè)務(wù)快速擴(kuò)張,其中網(wǎng)段10.97.186.0是非服務(wù)器網(wǎng)段,進(jìn)一步分析發(fā)現(xiàn)該網(wǎng)段下存在主機(jī)開放的80端口并非業(yè)務(wù)所需,建議將該端口關(guān)閉,防止惡意攻擊者對開放端口進(jìn)行漏洞探測和漏洞利用。

綜上,組織內(nèi)部當(dāng)前各網(wǎng)段主機(jī)數(shù)量的變化情況尚未超出內(nèi)部的承載能力?；谘葑兎治雒鞔_了各網(wǎng)段IP和端口的分布情況,幫助廠區(qū)核實(shí)排查,避免未授權(quán)端口出現(xiàn)使業(yè)務(wù)和數(shù)據(jù)受損,這是本系統(tǒng)開展資產(chǎn)動態(tài)演變分析工作的意義。

2.2 資產(chǎn)安全分析展示

現(xiàn)某企業(yè)實(shí)際資產(chǎn)評估[18-20]中,使用本系統(tǒng)開展資產(chǎn)安全分析工作?，F(xiàn)選取部分資產(chǎn)進(jìn)行分析,樣例資產(chǎn)基本信息如表4所示。由表4可知樣例資產(chǎn)的名稱及其組成等基本信息,主要分為設(shè)備、軟件和電子信息三類資產(chǎn)。表4中對資產(chǎn)選取的測試編號依次為S1到S5,在后續(xù)的表格中將會以編號代表對應(yīng)的資產(chǎn)。

表4 樣例資產(chǎn)安全分析結(jié)果

其中資產(chǎn)的保密性(C)、完整性(I)、可用性(A)以及存在的脆弱性和面臨的威脅如表4所示。安全分析按照資產(chǎn)為中心的評估原則,利用本系統(tǒng)對其資產(chǎn)價值、脆弱特征和威脅特征進(jìn)行計算,計算中考慮了各自特征主體或來源的不同,避免因資產(chǎn)特征的不同而造成誤差,計算結(jié)果如表5所示。 根據(jù)表5可知:

表5 資產(chǎn)安全分析計算結(jié)果

(1)編號為S4的系統(tǒng)軟件資產(chǎn)重要性為5,資產(chǎn)價值最高,其次是編號為S2的TDA設(shè)備重要性為4,需要注意提高在企業(yè)中保護(hù)優(yōu)先級;

(2)編號為S3的機(jī)房設(shè)備(有監(jiān)控)的脆弱程度最高,級別為4,其對應(yīng)表4可知該設(shè)備存在高危漏洞,應(yīng)及時修復(fù),防止被惡意利用;

(3)其中,S1(個人辦公電腦)、S3(機(jī)房設(shè)備)、S4(系統(tǒng)軟件)、S5(監(jiān)控視頻)的威脅程度均為3,要結(jié)合具體資產(chǎn)面臨的威脅做好防護(hù)措施降低威脅發(fā)生的可能性。

結(jié)合表4和表5可知該企業(yè)設(shè)備、軟件、電子信息三種類型資產(chǎn)的安全分析情況,如圖5所示。

圖5 資產(chǎn)安全分析雷達(dá)圖

由圖5可知:

(1)當(dāng)前設(shè)備類型資產(chǎn)重要性為4,脆弱程度和威脅程度均為3,建議對該類資產(chǎn)做安全加固;

(2)在該企業(yè)的所有資產(chǎn)中,軟件類資產(chǎn)價值較高,重要性等級為5,威脅程度為3,注意降低軟件保存介質(zhì)為光盤、U盤等實(shí)物存在丟失或者保存在系統(tǒng)被誤刪的可能性;

(3)電子信息類型的重要性、威脅程度、脆弱程度等級均為3,需明確數(shù)據(jù)是否及時備份,防止數(shù)據(jù)丟失造成較大損失。

本系統(tǒng)通過資產(chǎn)價值評估促進(jìn)資產(chǎn)優(yōu)化配置,結(jié)合威脅程度、脆弱程度的評估結(jié)果明確目標(biāo)資產(chǎn)發(fā)生安全事件的可能性和抵御安全風(fēng)險的能力,對企業(yè)資產(chǎn)的安全狀態(tài)做出判斷。從信息安全體系建設(shè)角度來看,可以幫助組織做出預(yù)防性措施來降低安全脆弱性,做出保護(hù)性控制措施減少因威脅發(fā)生所造成的影響。

3 結(jié)束語

本次系統(tǒng)的設(shè)計,基于多家企事業(yè)單位的資產(chǎn)信息確定了各類資產(chǎn)對應(yīng)的數(shù)據(jù)特征。系統(tǒng)支持動態(tài)采集各類資產(chǎn)信息,實(shí)現(xiàn)數(shù)據(jù)的實(shí)時更新,保證了信息的準(zhǔn)確性和時效性,挖掘了資產(chǎn)信息的價值。系統(tǒng)中安全分析計算的設(shè)計為企事業(yè)單位針對資產(chǎn)的信息安全工作提供了數(shù)據(jù)支撐,當(dāng)資產(chǎn)存在問題時,幫助技術(shù)人員及時明確資產(chǎn)責(zé)任人和所在位置等關(guān)鍵信息,避免造成更大的損失。本系統(tǒng)已在企事業(yè)單位中進(jìn)行驗(yàn)證,幫助各組織有效推進(jìn)資產(chǎn)信息數(shù)字化的進(jìn)程。