一��、案例背景
國網(wǎng)公司"十四五"規(guī)劃明確提出構(gòu)建公司級網(wǎng)絡(luò)空間作戰(zhàn)地圖�����,建立精準(zhǔn)的分布情況和網(wǎng)絡(luò)關(guān)系索引�����,用邏輯關(guān)系圖和地理信息圖等形式繪制和展現(xiàn)�,實(shí)時監(jiān)測網(wǎng)絡(luò)空間狀態(tài)異動動,及時發(fā)現(xiàn)IT資產(chǎn)的網(wǎng)絡(luò)異常變化,提供作戰(zhàn)情報��,進(jìn)一步提升基礎(chǔ)資源動態(tài)管理�、一體化實(shí)戰(zhàn)對抗能力、多方聯(lián)動協(xié)同支撐等方面�,應(yīng)對全場景網(wǎng)絡(luò)安全防御能力。
二����、客戶需求
構(gòu)建網(wǎng)絡(luò)空間作戰(zhàn)底圖,首先需要精確掌握當(dāng)前網(wǎng)絡(luò)中全量的資產(chǎn)信息�����,然而�,在信息化建設(shè)過程中,由于網(wǎng)絡(luò)的規(guī)劃��、IT資產(chǎn)的接入����、管控流程等方面的不足以及企業(yè)人事變動導(dǎo)致資產(chǎn)信息遺失等情況,公司資產(chǎn)信息難以全盤掌控��,在實(shí)際工作開展過程中����,主要面臨著如下幾個問題:
- 資產(chǎn)不清�,且缺乏有效發(fā)現(xiàn)手段���?�;ヂ?lián)網(wǎng)大區(qū)�、管理信息大區(qū)內(nèi)子網(wǎng)區(qū)域劃分眾多����,建設(shè)初期僅靠線下人工記錄資產(chǎn)信息,資產(chǎn)上下線較為隨意��,資產(chǎn)清單缺乏持續(xù)跟蹤和維護(hù)��,且缺乏有效資產(chǎn)發(fā)現(xiàn)手段��,導(dǎo)致各區(qū)域資產(chǎn)臺賬信息不全���;
- 資產(chǎn)畫像信息不足。現(xiàn)有資產(chǎn)清單主要圍繞著設(shè)備名稱�、類型、品牌����、管理人�����、IP地址等幾個常規(guī)屬性進(jìn)行記錄��,對資產(chǎn)具體的操作系統(tǒng)�、軟件版本���、開放的端口�、協(xié)議��、使用的組件及版本�����、拓?fù)湮恢玫刃畔⒂涗洸蝗?�,無法應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全場景作戰(zhàn)需求����;
- 資產(chǎn)風(fēng)險識別與快速定位能力不足。當(dāng)前篩查資產(chǎn)風(fēng)險主要依賴漏洞掃描器或人工滲透進(jìn)行����,應(yīng)對漏洞通報處置時���,耗時長且處置效率低;
- 缺乏高校的資產(chǎn)檢索能力��。對總部通報漏洞涉及的組件�����、版本對應(yīng)的資產(chǎn)進(jìn)行檢索未能實(shí)現(xiàn)資產(chǎn)快速定位�。
三、解決方案
1����、周期性測繪構(gòu)建全量存活資產(chǎn)清單。在互聯(lián)網(wǎng)大區(qū)核心交換機(jī)旁路部署網(wǎng)絡(luò)空間資產(chǎn)測繪系統(tǒng)���,通過配置周期性資產(chǎn)探測任務(wù),對轄區(qū)內(nèi)各網(wǎng)段資產(chǎn)進(jìn)行持續(xù)性探測����,形成存活I(lǐng)P、端口維度全量存活資產(chǎn)清單�。
2����、深度測繪形成全面資產(chǎn)畫像庫���?��;谫Y產(chǎn)存活測繪基礎(chǔ),進(jìn)行資產(chǎn)深度指紋畫像�����,識別資產(chǎn)協(xié)議��、應(yīng)用��、組件�����、版本�����、供應(yīng)商等多維資產(chǎn)信息�����,完成資產(chǎn)全面畫像。
3�����、提供多維檢索條件與漏洞快速排查資產(chǎn)風(fēng)險�����。預(yù)置常用篩查模板與70余種組合查詢條件��,實(shí)現(xiàn)目標(biāo)資產(chǎn)快速定位��,基于CPE技術(shù)與PoC技術(shù)結(jié)合�,支撐常態(tài)化漏洞隱患治理與漏洞通報應(yīng)急處置工作開展。
四�����、實(shí)際應(yīng)用
1�、在互聯(lián)網(wǎng)大區(qū)、信息管理大區(qū)旁路部署資產(chǎn)測繪系統(tǒng)����,每周對互聯(lián)網(wǎng)大區(qū)資產(chǎn)進(jìn)行測繪,形成多維畫像的全量資產(chǎn)清單���,如IP���、端口、服務(wù)�、協(xié)議、組件�����、版本���、操作系統(tǒng)����、廠商等通用網(wǎng)絡(luò)資產(chǎn)信息�����,以及電力交易平臺�����、基建全過程系統(tǒng)、配網(wǎng)工程管控移動應(yīng)用��、智慧能源服務(wù)平臺等電力專屬應(yīng)用系統(tǒng)信息采集�����,實(shí)現(xiàn)了網(wǎng)絡(luò)空間“摸清家底”�。
2、與已有資產(chǎn)清單進(jìn)行對比����,發(fā)現(xiàn)并處置網(wǎng)絡(luò)中未知資產(chǎn)信息,完成了網(wǎng)絡(luò)空間未知資產(chǎn)治理工作��。
3���、結(jié)合通過多維資產(chǎn)畫像信息��,開展漏洞隱患治理工作��,對高危端口��、組件�����、應(yīng)用�����、漏洞等情況進(jìn)行集中治理���,對使用SSH、FTP����、Telnet、RDP�����、VNC協(xié)議和服務(wù)的資產(chǎn)進(jìn)行快速梳理識別�,關(guān)閉非必要端口服務(wù)。
4����、基于豐富的資產(chǎn)檢索條件,開展漏洞應(yīng)急處置工作�,對總部通報漏洞涉及的組件、版本對應(yīng)的資產(chǎn)進(jìn)行檢索實(shí)現(xiàn)資產(chǎn)快速定位,并結(jié)合PoC驗(yàn)證功能對風(fēng)險進(jìn)行二次驗(yàn)證���,快速高效完成資產(chǎn)風(fēng)險排查�。
五����、項(xiàng)目效果
通過本項(xiàng)目建設(shè),完成了對互聯(lián)網(wǎng)大區(qū)以及信息內(nèi)網(wǎng)的資產(chǎn)摸排與治理工作和完備的資產(chǎn)臺賬清單�,形成了體系化的資產(chǎn)和漏洞風(fēng)險發(fā)現(xiàn)能力,大幅提升資產(chǎn)和漏洞檢測覆蓋面����、檢測效能和自動化程度,高效應(yīng)對常態(tài)化漏洞隱患治理與漏洞通報及應(yīng)急處置等資產(chǎn)安全管理工作��。
