【引言介紹】
    “要全面加強(qiáng)網(wǎng)絡(luò)安全檢查，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改。要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制、情報(bào)共享機(jī)制、研判處置機(jī)制，準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律、動(dòng)向、趨勢(shì)。”從“419”講話，到我們?cè)趯?shí)踐中的探索，摸清家底、精準(zhǔn)掌握資產(chǎn)分布及狀態(tài)等屬性，已然成為關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查的第一步，也是很重要的一環(huán)，直接關(guān)系到整體安全建設(shè)與檢查的可靠性。
 
    那么，達(dá)到什么程度才算摸清了家底呢？在資產(chǎn)摸底的過(guò)程中，可能存在哪些干擾因素，我們做了如下一些研究。
 
    【現(xiàn)狀分析】
    我們?cè)诰W(wǎng)絡(luò)出口部署Web資產(chǎn)安全治理平臺(tái)自學(xué)習(xí)引擎，通過(guò)對(duì)鏡像流量中HTTP訪問(wèn)數(shù)據(jù)的分析，可以自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)對(duì)外提供訪問(wèn)的門(mén)戶網(wǎng)站及業(yè)務(wù)系統(tǒng)。對(duì)于純提供內(nèi)網(wǎng)業(yè)務(wù)訪問(wèn)的系統(tǒng)，可以通過(guò)在各個(gè)安全域分布探針，將基于Web訪問(wèn)的業(yè)務(wù)系統(tǒng)自動(dòng)學(xué)習(xí)并歸類管理。通過(guò)這樣的組合方案，可以發(fā)現(xiàn)全部的Web資產(chǎn)。然而在實(shí)際應(yīng)用中，我們發(fā)現(xiàn)了一些特殊場(chǎng)景，存在大量“噪音數(shù)據(jù)”，所謂噪音數(shù)據(jù)，其實(shí)是指當(dāng)資產(chǎn)訪問(wèn)方式較多時(shí)，不同形式的訪問(wèn)對(duì)學(xué)習(xí)結(jié)果統(tǒng)計(jì)造成的干擾，這些噪音包括：
（1）同一個(gè)資產(chǎn)可通過(guò)多個(gè)域名訪問(wèn)；
（2）多個(gè)服務(wù)器上部署了相同的資產(chǎn)；
（3）同一個(gè)資產(chǎn)既可以通過(guò)IP也可以通過(guò)域名來(lái)訪問(wèn)；
（4）同一個(gè)IP在不同的端口上運(yùn)行相同的Web服務(wù)；
（5）在域名解析中使用了泛域名機(jī)制（即利用通配符 *來(lái)做次級(jí)域名以實(shí)現(xiàn)將所有的次級(jí)域名指向同一IP地址。這種情況下，在主域名前添加任何子域名，均可訪問(wèn)到目標(biāo)Web站點(diǎn)。如域名a.com之下所設(shè)的*.a.com將全部解析到同一個(gè)IP地址）。


    上述幾種場(chǎng)景本質(zhì)上都有一個(gè)共性，即相同的Web資產(chǎn)具有多變的訪問(wèn)方式，而真正需要治理的是某個(gè)Web資產(chǎn)而不是經(jīng)過(guò)變換訪問(wèn)方式后的重復(fù)資產(chǎn)。因此在實(shí)際運(yùn)用當(dāng)中，我們首先要做到消除噪音。萬(wàn)變不離其宗，以不變應(yīng)萬(wàn)變，Web資產(chǎn)安全治理平臺(tái)針對(duì)資產(chǎn)自身進(jìn)行多屬性多條件的組合判斷，定位Web資產(chǎn)并自動(dòng)歸并它的所有訪問(wèn)方式，消除重復(fù)干擾，做到高效可控，目前已有三種成熟的解決方案。
    【解決方案】

    （1）自動(dòng)合并：Web資產(chǎn)安全治理平臺(tái)通過(guò)對(duì)學(xué)習(xí)到的資產(chǎn)名稱、IP及響應(yīng)頭中的所有key、中間件、網(wǎng)站編碼等信息組合生成標(biāo)識(shí)碼作為網(wǎng)站的唯一標(biāo)記。然后和后續(xù)資產(chǎn)自動(dòng)匹配并合并，最終將指向同一個(gè)Web資產(chǎn)的所有域名及IP歸類為一條。

    2）手動(dòng)合并：在自學(xué)習(xí)資產(chǎn)頁(yè)面可手動(dòng)選擇多個(gè)資產(chǎn)，點(diǎn)擊“更多”操作中的合并選項(xiàng)，將屬于同一資產(chǎn)的域名、IP手動(dòng)歸類。

    3）與智能DNS系統(tǒng)聯(lián)動(dòng)：通過(guò)在智能dns系統(tǒng)上設(shè)定泛域名IP，只需在Web資產(chǎn)安全治理平臺(tái)中輸入泛域名網(wǎng)站對(duì)應(yīng)的IP地址，自學(xué)習(xí)時(shí)則會(huì)將該地址對(duì)應(yīng)的資產(chǎn)自動(dòng)合并去重，并最終只保留一個(gè)待治理域名。