很多网络管理人员都接触资产梳理,也有很多软件和系统附带资产梳理工具,但是根据明辰智航统计,很多企事业单位资产梳理工作是以前进行的,没有及时更新。网络管理人员甚至不了解企业网络中有多少个MAC地址、IP地址、端口、协议、应用、网络设备在网络中运行。有人说,每天都在做台账,台账上有呀。虽然台账用于统计和管理,但是台账是流水账,无法实时、一天、七天、一月、一年呈现资产运行和变化状况。
那么为什么要进行资产梳理? GB/T 20984《信息安全技术 信息安全风险评估规范》中是这么定义资产的:“对组织具有价值的信息或资源,是安全策略保护的对象”。所以,网络安全建设的过程中,资产梳理和漏洞运营作为其中的关键环节。
2020年12月对某学院进行网络排障的时候,发现有一台MS-SQL服务器使用公网IP,并且有大量的国外IP地址进行访问,咨询运维人员,得到的回复是他们没有提供国外数据库的接入服务。如下图(数据库连接的客户端)
数据库连接的客户端
流量分析法国的一个ip会话,有多次的数据库连接和数据交互行为。如下图“数据库连接图”
数据库连接图
判断数据库被国外用户访问,并且进行了数据传输。咨询运维人员,运维人员不清楚。咨询数据库负责人员,数据库负责人员也不清楚,应急处理方法是把数据库服务器的IP换成内网,更改端口,打补丁,查杀病毒等。过了段时间才知道是某家应用技术人员为了远程方便,把数据库的内网IP改成公网IP。
数据库作为重要资产,比较合理的数据处理流程是应用程序发送请求到中间层,由中间层处理后再到数据库层,中间层可以有些防火墙之类的。
数据库往往是企事业最为核心的数据保护对象,与传统的网络安全防护体系不同,数据库安全技术更加注重从客户内部的角度做安全。其内涵包括了保密性、完整性和可用性,即所谓的CIA(Confidentiality, Integrity, Availability)三个方面。所以不应该放在外网。
这个就是资产梳理的重要性,不了解、不清楚网络环境中运行的资产,出现了某网络应用为使用方便而忽略网络安全,导致出现信息泄露事件。
