昨天， RSAC2019 創(chuàng)新沙盒大賽結(jié)果揭曉，很意外地評(píng)出了主打網(wǎng)絡(luò)安全資產(chǎn)管理的公司——Axonius為本屆冠軍，讓國(guó)內(nèi)各種競(jìng)猜活動(dòng)的參與者們大跌眼鏡，連呼沒(méi)想到。RSAC創(chuàng)新沙盒的年度大賽素有“全球網(wǎng)絡(luò)安全行業(yè)產(chǎn)業(yè)的風(fēng)向標(biāo)”之稱，本屆RSAC對(duì)于Axonius的青睞頗耐人尋味。國(guó)人眼中這么“普通”、“沒(méi)什么技術(shù)含量”、“純體力活兒”的“資產(chǎn)管理”業(yè)務(wù)，竟然幫助Axonius 成為了本屆RSAC創(chuàng)新沙盒大賽的年度冠軍！令筆者第一次感覺(jué)到網(wǎng)絡(luò)安全界終于開始務(wù)實(shí)起來(lái)了，開始注重基礎(chǔ)工作了。

資產(chǎn)管理，看起來(lái)沒(méi)什么技術(shù)含量，是很多人不屑于從事的安全工作，又或者是某些人眼中大量開源軟件的堆砌。但其實(shí)國(guó)內(nèi)的網(wǎng)絡(luò)資產(chǎn)梳理工作早就如火如荼的開展起來(lái)了，作為網(wǎng)絡(luò)安全資產(chǎn)摸底、資產(chǎn)治理領(lǐng)域的一名老兵，接下來(lái)筆者將分幾篇文章和大家聊聊這幾年在網(wǎng)絡(luò)資產(chǎn)安全戰(zhàn)斗中踩過(guò)那些坑以及背后的心得體會(huì)。

網(wǎng)絡(luò)資產(chǎn)管理是網(wǎng)絡(luò)空間治理的基石

網(wǎng)絡(luò)空間作為繼陸、海、空、天之后的“第五疆域”，已成為當(dāng)前世界各國(guó)爭(zhēng)奪的戰(zhàn)略焦點(diǎn)。我國(guó)已經(jīng)成為網(wǎng)絡(luò)大國(guó)，智慧城市、數(shù)字中國(guó)、互聯(lián)網(wǎng)+等技術(shù)浪潮正在改造傳統(tǒng)的生產(chǎn)和生活模式，網(wǎng)絡(luò)安全也成為事關(guān)國(guó)家安全、國(guó)家發(fā)展和廣大人民群眾工作生活的重大戰(zhàn)略問(wèn)題。

4.19講話上指出“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)”。工作重點(diǎn)是“摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改”?？梢?ldquo;摸清家底”，也就是通過(guò)各種技術(shù)手段實(shí)現(xiàn)網(wǎng)絡(luò)空間設(shè)備的描述和識(shí)別，是網(wǎng)絡(luò)安全工作的重中之重，是網(wǎng)絡(luò)空間安全治理的基石。（此觀點(diǎn)與本屆創(chuàng)新沙盒大賽冠軍Axonius公司“You Can't Secure What You Can't See”的理念一致）

網(wǎng)絡(luò)空間中網(wǎng)絡(luò)數(shù)字資產(chǎn)的現(xiàn)狀

眾多網(wǎng)絡(luò)安全人員較為緊張的莫過(guò)于突發(fā)性的“黑客事件”，尤其是當(dāng)那些集中爆發(fā)且聲勢(shì)浩大的黑客攻擊發(fā)生時(shí)，各家網(wǎng)絡(luò)安防人員無(wú)疑會(huì)高度戒備，嚴(yán)陣以待。通過(guò)對(duì)安全攻擊事件進(jìn)行持續(xù)的跟蹤和分析，盛邦安全發(fā)現(xiàn)，從安全攻擊的目標(biāo)行業(yè)來(lái)看，在近三年發(fā)生的400多起攻擊事件中，教育行業(yè)占比達(dá)到55%，政府行業(yè)占43%。在剛過(guò)去的2018年，政府類占比14%, 教育類占比19%， 企業(yè)占比49%。針對(duì)教育行業(yè)，盛邦安全選取了包括 985/211院校、重點(diǎn)院校、普通院校、高職、普教5大類近百個(gè)教育機(jī)構(gòu)進(jìn)行調(diào)研，通過(guò)被動(dòng)流量學(xué)習(xí)進(jìn)行Web資產(chǎn)梳理和數(shù)據(jù)分析。

數(shù)據(jù)顯示，已知系統(tǒng)資產(chǎn)數(shù)量占比資產(chǎn)總數(shù)分別為：

可見，即使是資產(chǎn)管理方面做得比較好的211/985院校，已知資產(chǎn)數(shù)量也僅占所有資產(chǎn)的55%, 仍然有45%的資產(chǎn)是未知的。進(jìn)一步研究發(fā)現(xiàn)，這些未知資產(chǎn)的構(gòu)成主要為：

(1) 高端口資產(chǎn)占10%（就是做了端口轉(zhuǎn)換的資產(chǎn)）：高端口是防火墻或者部分實(shí)驗(yàn)室做了端口轉(zhuǎn)換的業(yè)務(wù)系統(tǒng)、網(wǎng)站等。

(2) 業(yè)務(wù)系統(tǒng)占11%：這些業(yè)務(wù)系統(tǒng)由教學(xué)、教輔系統(tǒng)組成，部分使用域名訪問(wèn)，部分沒(méi)有進(jìn)行備案登記。比如，常出問(wèn)題的高校迎新管理系統(tǒng)、OA系統(tǒng)、就業(yè)管理系統(tǒng)、圖書館管理系統(tǒng)等等。

(3) 網(wǎng)絡(luò)設(shè)備/網(wǎng)絡(luò)安全設(shè)備占3%：分別是機(jī)房管理系統(tǒng)、交換機(jī)、路由器、網(wǎng)絡(luò)防火墻、上網(wǎng)行為管理、流控設(shè)備、計(jì)費(fèi)系統(tǒng)等。

(4) 中間件占2%：指安裝了中間件系統(tǒng)，但是默認(rèn)頁(yè)面可以對(duì)外訪問(wèn)的資產(chǎn)。這類默認(rèn)頁(yè)面常常會(huì)造成信息泄露，從而導(dǎo)致安全問(wèn)題。

(5) 疑似業(yè)務(wù)系統(tǒng)占10%：對(duì)這類系統(tǒng)分別訪問(wèn)和確認(rèn)，發(fā)現(xiàn)由打印機(jī)、攝像頭、電梯管理系統(tǒng)、門禁卡管理系統(tǒng)、大屏控制系統(tǒng)等物聯(lián)網(wǎng)設(shè)備組成。隨著高職院校、普教等機(jī)構(gòu)的數(shù)字化校園的不斷推廣，這部分占比很高。

基于對(duì)教育行業(yè)抽樣調(diào)研和統(tǒng)計(jì)數(shù)據(jù)可知，廣域網(wǎng)網(wǎng)絡(luò)資產(chǎn)不清造成的危害是很嚴(yán)重，也是很棘手的：要知道，目前安全管理和技術(shù)手段已經(jīng)層層疊加，但仍然還會(huì)有大量未知資產(chǎn)的存在，這不得不讓我們警惕。

盛邦安全經(jīng)過(guò)詳細(xì)的技術(shù)分析，認(rèn)為主要原因有：

1）業(yè)務(wù)多

業(yè)務(wù)部門眾多，導(dǎo)致需求不一致，記事本模式的資產(chǎn)管理方式不能及時(shí)跟進(jìn)系統(tǒng)變化。

2）新技術(shù)

云平臺(tái)、虛擬化的大量使用，數(shù)據(jù)中心變化成為常態(tài)，沒(méi)有新的資產(chǎn)管理方式。

3）突發(fā)性

因?yàn)槟硞€(gè)活動(dòng)而建立的系統(tǒng)，當(dāng)活動(dòng)結(jié)束后，系統(tǒng)沒(méi)有及時(shí)退運(yùn)。

4）管理員制度

當(dāng)管理員更替時(shí)，交接不徹底，或者多次交接，導(dǎo)致系統(tǒng)變?yōu)榻┦到y(tǒng)。

解決以上問(wèn)題的關(guān)鍵，最終還是要回歸到是否能夠做到對(duì)自身網(wǎng)絡(luò)資產(chǎn)“知根知底”，是否能夠真正做到可知、可控、可管，快速定位風(fēng)險(xiǎn)，并將威脅消滅在萌芽之中。網(wǎng)絡(luò)資產(chǎn)識(shí)別是網(wǎng)絡(luò)空間治理的基石，只有先把這步走好了，才能談得上后續(xù)對(duì)網(wǎng)絡(luò)空間的治理。

資產(chǎn)治理系列將分幾篇文章陸續(xù)分享，接下來(lái)還將為大家?guī)?lái)網(wǎng)絡(luò)資產(chǎn)管理的方法論以及資產(chǎn)管理如何與業(yè)務(wù)相結(jié)合的深度解讀。敬請(qǐng)期待。