使用流量分析系統進行資產梳理

很多網路管理人員都接觸資產梳理，也有很多軟體和系統附帶資產梳理工具，但是根據明辰智航統計，很多企事業單位資產梳理工作是以前進行的，沒有及時更新。網路管理人員甚至不瞭解企業網路中有多少個 MAC地址、IP地址、埠、協議、應用、網路裝置在網路中執行。有人說，每天都在做臺賬，臺賬上有呀。雖然臺賬用於統計和管理，但是臺賬是流水賬，無法實時、一天、七天、一月、一年呈現資產執行和變化狀況。

那麼為什麼要進行資產梳理？  GB/T 20984《資訊保安技術 資訊保安風險評估規範》中是這麼定義資產的：“對組織具有價值的資訊或資源，是安全策略保護的物件” 。所以，網路安全建設的過程中，資產梳理和漏洞運營作為其中的關鍵環節。

2 020 年 1 2 月對某學院進行網路排障的時候，發現有一臺 MS-SQL 伺服器使用公網 IP，並且有大量的國外IP地址進行訪問，諮詢運維人員，得到的回覆是他們沒有提供國外資料庫的接入服務。如下圖（資料庫連線的客戶端）

資料庫連線的客戶端

流量分析法國的一個 ip會話，有多次的資料庫連線和資料互動行為。如下圖“資料庫連線圖”

資料庫連線圖

判斷資料庫被國外使用者訪問，並且進行了資料傳輸。諮詢運維人員，運維人員不清楚。諮詢資料庫負責人員，資料庫負責人員也不清楚，應急處理方法是把資料庫伺服器的 IP換成內網，更改埠，打補丁，查殺病毒等。過了段時間才知道是某家應用技術人員為了遠端方便，把資料庫的內網IP改成公網IP。

資料庫作為重要資產，比較合理的資料處理流程是應用程式傳送請求到中間層，由中間層處理後再到資料庫層，中間層可以有些防火牆之類的。

資料庫往往是企事業最為核心的資料保護物件，與傳統的網路安全防護體系不同，資料庫安全技術更加註重從客戶內部的角度做安全。其內涵包括了保密性、完整性和可用性，即所謂的 CIA(Confidentiality, Integrity, Availability)三個方面。 所以不應該放在外網。

這個就是資產梳理的重要性，不瞭解、不清楚網路環境中執行的資產，出現了某網路應用為使用方便而忽略網路安全，導致出現資訊洩露事件。