安天資產(chǎn)安全運(yùn)維平臺

０引言隨著網(wǎng)絡(luò)空間地形越來越復(fù)雜，關(guān)鍵信息基礎(chǔ)設(shè)施的資產(chǎn)管理存在空間和時(shí)間盲區(qū)?，F(xiàn)有的安全運(yùn)維工作主要還是依靠人工操作，在面對規(guī)?；男畔①Y產(chǎn)管理、復(fù)雜的軟硬件監(jiān)控、各種漏洞頻頻爆出的情況時(shí)，依靠單一的運(yùn)維工具，在缺乏漏洞優(yōu)先級的評判情況下，難以有效應(yīng)對高風(fēng)險(xiǎn)場景的要求。１產(chǎn)品設(shè)計(jì)背景目前市場上存在大量資產(chǎn)安全相關(guān)的工具，如資產(chǎn)探測、漏洞掃描、配置核查等工具，但缺乏資產(chǎn)、漏洞、配置、補(bǔ)丁之間的關(guān)聯(lián)，在脆弱性管理、聯(lián)動(dòng)處置方面缺乏平臺級的產(chǎn)品，只能依靠單品工具加人工分析的方式處理，不能解決風(fēng)險(xiǎn)管控碎片化的問題?；谏鲜鰡栴}并結(jié)合安全監(jiān)管、安全合規(guī)要求，我們設(shè)計(jì)和開發(fā)了安天資產(chǎn)安全運(yùn)維平臺，實(shí)現(xiàn)了運(yùn)維安全一體化管理，打破了單品工具之間的數(shù)據(jù)壁壘，實(shí)現(xiàn)了功能之間的協(xié)調(diào)聯(lián)動(dòng)，提高了安全運(yùn)維的效率，滿足了安全監(jiān)管及合規(guī)的要求。２產(chǎn)品架構(gòu)2

產(chǎn)品架構(gòu)設(shè)計(jì)（1）設(shè)計(jì)目標(biāo)安天資產(chǎn)安全運(yùn)維平臺基于疊加演進(jìn)模型和可管理網(wǎng)絡(luò)理念，面向規(guī)?；男畔①Y產(chǎn)管理場景，平臺架構(gòu)分為采集層、數(shù)據(jù)中臺、應(yīng)用層三層結(jié)構(gòu)，提供安全運(yùn)維門戶、資產(chǎn)管理、配置管理、漏洞與補(bǔ)丁管理、日志與告警管理、日常安全管理等功能，以實(shí)現(xiàn)“資產(chǎn)配置漏洞補(bǔ)丁四打通，運(yùn)維安全一體化”（如圖1所示）為平臺運(yùn)行目標(biāo)，可協(xié)助網(wǎng)絡(luò)安全人員全面管控信息資產(chǎn)、智能調(diào)整安全配置、及時(shí)處置安全漏洞、充分審計(jì)系統(tǒng)日志、持續(xù)評估系統(tǒng)運(yùn)行，實(shí)現(xiàn)集約化、自動(dòng)化、精細(xì)化的資產(chǎn)安全運(yùn)維管理。圖1安天資產(chǎn)安全運(yùn)維平臺（2）系統(tǒng)架構(gòu)圖2系統(tǒng)架構(gòu)

安天資產(chǎn)安全運(yùn)維平臺通過對資產(chǎn)設(shè)備的數(shù)據(jù)收集，結(jié)合資產(chǎn)管理、配置管理、漏洞補(bǔ)丁管理、安全設(shè)備管理、日常安全管理等功能模塊的有效聯(lián)動(dòng)，并可以與態(tài)勢感知系統(tǒng)結(jié)合，實(shí)現(xiàn)分析協(xié)同、響應(yīng)處置協(xié)同、基礎(chǔ)信息同步、告警與日志信息上傳等功能（如圖2所示）。同時(shí)可與安全服務(wù)相結(jié)合，實(shí)現(xiàn)安全加固、漏洞掃描、補(bǔ)丁與升級文件安全分析、漏洞緩解措施開發(fā)與驗(yàn)證等功能。３關(guān)鍵技術(shù)（1）多維網(wǎng)空地形探測技術(shù)平臺通過主動(dòng)掃描（如圖3所示）、代理上報(bào)、被動(dòng)探測等方式，避免空間上的盲區(qū)，隨時(shí)感知資產(chǎn)和業(yè)務(wù)變化，形成實(shí)時(shí)網(wǎng)空威脅地形。圖3主動(dòng)掃描技術(shù)示例（2）

基于SCAP

規(guī)范的配置核查技術(shù)圖4配置核查技術(shù)平臺融合等級保護(hù)、STIG

等國內(nèi)外的多個(gè)安全配置基準(zhǔn)（如圖4

所示）

，遵循SCAP

規(guī)范，提供標(biāo)準(zhǔn)化的定義配置方式，實(shí)現(xiàn)配置基準(zhǔn)的高效擴(kuò)展；采用泛化與特化基準(zhǔn)相結(jié)合的方式，滿足多樣化的防護(hù)等級、行業(yè)特性需求；提供在線、離線兩種工作模式，提高配置核查工作的機(jī)動(dòng)性。多標(biāo)準(zhǔn)融合的基準(zhǔn)核查能夠適應(yīng)復(fù)雜場景下的檢測需求。（3）

自動(dòng)化、自定義的配置核查、修復(fù)、生成報(bào)告技術(shù)自動(dòng)化核查主要是對主機(jī)、網(wǎng)絡(luò)設(shè)備、中間件、數(shù)據(jù)庫安全檢測。然而系統(tǒng)中往往有很多不同的操作系統(tǒng)，有不同安全等級要求的計(jì)算機(jī)，同一個(gè)軟件可能在不同安全需求的計(jì)算機(jī)上要進(jìn)行不同的配置，這些都給系統(tǒng)安全配置帶來很大的挑戰(zhàn)，需要快速、準(zhǔn)確性高、自動(dòng)化的配置手段，自定義基準(zhǔn)項(xiàng)可靈活控制用戶現(xiàn)場的配置核查場景，閉環(huán)的流程處理保障業(yè)務(wù)的連續(xù)性。如何識別系統(tǒng)中的高風(fēng)險(xiǎn)威脅并快速反應(yīng)，如打補(bǔ)丁和修改相應(yīng)配置等提供業(yè)務(wù)安全的支撐，做到主動(dòng)防御?；谧詣?dòng)化、自定義的配置核查、修復(fù)、生成報(bào)告技術(shù)架構(gòu)如圖5所示。圖5技術(shù)組件４技術(shù)創(chuàng)新（1）資產(chǎn)配置、漏洞補(bǔ)丁，協(xié)調(diào)聯(lián)動(dòng)，運(yùn)維安全一體化開展平臺基于資產(chǎn)價(jià)值、業(yè)務(wù)價(jià)值和業(yè)務(wù)連續(xù)性影響評估，調(diào)整配置策略，評判漏洞處置優(yōu)先級、制定補(bǔ)丁實(shí)施方案。配置基準(zhǔn)覆蓋補(bǔ)丁策略，補(bǔ)丁實(shí)施有章可循；漏洞威脅情報(bào)分析觸發(fā)配置基準(zhǔn)策略調(diào)整，資產(chǎn)配置基準(zhǔn)同步更新；漏洞掃描與補(bǔ)丁實(shí)施聯(lián)動(dòng)，確保檢測與處置閉環(huán)。（2）網(wǎng)空資產(chǎn)測繪能力網(wǎng)絡(luò)空間測繪采用主動(dòng)掃描、流量監(jiān)測等技術(shù)對資產(chǎn)進(jìn)行深度畫像、拓?fù)溥€原。網(wǎng)絡(luò)空間測繪包含數(shù)百種網(wǎng)絡(luò)協(xié)議，超過數(shù)千條指紋識別規(guī)則，能夠全面識別資產(chǎn)信息，可廣泛應(yīng)用于各種業(yè)務(wù)場景下的資產(chǎn)探測。（3）配置基準(zhǔn)多標(biāo)融合，遵循SCAP規(guī)范平臺融合國內(nèi)外多個(gè)安全配置基準(zhǔn)，提供泛化與特化基準(zhǔn)，滿足多樣化的防護(hù)等級、行業(yè)特性需求；遵循SCAP規(guī)范，提供標(biāo)準(zhǔn)化的配置定義方式，實(shí)現(xiàn)配置基準(zhǔn)的高效擴(kuò)展，支撐安全加固的自動(dòng)化。（4）資產(chǎn)安全核心知識庫業(yè)內(nèi)獨(dú)有資產(chǎn)、配置、漏洞、補(bǔ)丁及其關(guān)聯(lián)關(guān)系全覆蓋的資產(chǎn)安全知識庫，是打通資產(chǎn)、配置、漏洞、補(bǔ)丁的核心支撐，具備持續(xù)更新、對外輸出的能力。５結(jié)語我們研發(fā)的安天資產(chǎn)安全運(yùn)維平臺在攻防應(yīng)急演練及重保等業(yè)務(wù)場景中，通過平臺提供的網(wǎng)空資產(chǎn)探測、安全基線核查、漏洞識別與修復(fù)等功能可從資產(chǎn)、漏洞、配置等維度持續(xù)對資產(chǎn)安全情況進(jìn)行動(dòng)態(tài)評估，從而達(dá)到資