资产管理方法及装置转让专利
申请号 : CN201711080028.0
文献号 : CN107809433B
文献日 : 2020-04-07
发明人 : 张小梅 , 马铮 , 张曼君
申请人 : 中国联合网络通信集团有限公司
摘要 :
本申请提供一种资产管理方法及装置,涉及网络管理技术领域,用于解决资产信息获取不及时的问题。所述方法包括:从防火墙会话日志中获取设备信息,所述设备信息包括:设备的IP地址或端口标识;若所述设备信息未记录在资产信息数据库中,则获取所述设备信息对应的设备的资产信息,所述资产信息包括:系统版本、软件类型、软件版本、端口服务、Web应用程序和Web容器。本申请适用于资产管理的过程中。
权利要求 :
1.一种资产管理方法,其特征在于,所述方法包括:
从防火墙会话日志中获取设备信息,所述设备信息包括:设备的网际互联协议IP地址或端口标识;
若所述设备信息未记录在资产信息数据库中,则获取所述设备信息对应的设备的资产信息,所述资产信息包括:系统版本、软件类型、软件版本、端口服务、万维网Web应用程序和Web容器;
根据获取的所述设备信息对应的设备的资产信息,当设备发生非法通信行为或未报备的资产管理行为时,降低所述设备的资产安全等级,所述资产安全等级用于表征所述设备的安全程度;
若所述设备的资产安全等级低于预设值,对所述设备实施安全措施,所述安全措施包括:基线核查、访问控制、漏洞扫描以及入侵检测;
其中,所述非法通信行为包括:设备与黑名单中的IP地址通信和设备接收防火墙配置的untrust区/DMZ区的设备的访问;所述未报备的资产管理行为包括:资产上线行为、资产变更行为和资产下线行为。
2.根据权利要求1所述的方法,其特征在于,所述获取所述设备信息对应的设备的资产信息,具体包括:远程登录所述设备信息对应的设备,以获取所述资产信息。
3.根据权利要求1或2所述的方法,其特征在于,在所述获取所述设备信息对应的设备的资产信息之后,还包括:若所述设备信息对应的设备在资产信息数据库中没有备案信息,则发出告警信息,所述备案信息用于记录设备的资产改变情况。
4.一种资产管理装置,其特征在于,所述装置包括:
获取单元,用于从防火墙会话日志中获取设备信息,所述设备信息包括:设备的网际互联协议IP地址或端口标识;
管理单元,用于在所述设备信息未记录在资产信息数据库中的情况下,获取所述设备信息对应的设备的资产信息,所述资产信息包括:系统版本、软件类型、软件版本、端口服务、万维网Web应用程序和Web容器;
根据获取所述设备信息对应的设备的资产信息,所述管理单元,还用于当设备发生非法通信行为或未报备的资产管理行为时,降低所述设备的资产安全等级,所述资产安全等级用于表征所述设备的安全程度;
所述管理单元,还用于当所述设备的资产安全等级低于预设值时,对所述设备实施安全措施,所述安全措施包括:基线核查、访问控制、漏洞扫描以及入侵检测;
其中,所述非法通信行为包括:设备与黑名单中的IP地址通信和设备接收防火墙配置的untrust区/DMZ区的设备的访问;所述未报备的资产管理行为包括:资产上线行为、资产变更行为和资产下线行为。
5.根据权利要求4所述的装置,其特征在于,所述获取单元,具体用于远程登录所述设备信息对应的设备,以获取所述设备的资产信息。
6.根据权利要求4或5所述的装置,其特征在于,所述管理单元,还用于在所述设备信息对应的设备在资产信息数据库中没有备案信息的情况下,发出告警信息,所述备案信息用于记录设备的资产改变情况。
7.一种可读存储介质,其特征在于,存储有程序或指令,当所述程序或指令被处理器执行时,如权利要求1-3中任一项所述的资产管理方法被实现。
说明书 :
资产管理方法及装置
技术领域
[0001] 本申请涉及网络管理技术领域,尤其涉及一种资产管理方法及装置。
背景技术
[0002] 目前,随着电信运营商的发展,各类设备随之增多。为了提高设备的利用率,降低设备的运行维护成本,电信运营商需要对设备进行资产管理。
[0003] 目前常用的资产管理方法是通过人工对各类设备进行现场的调查并采集数据,从而得到各类设备的资产信息,然后将各类设备的资产信息存储入数据库中,以供管理人员参考使用。但是,在新增设备或者设备的资产信息频繁改变的情况下,目前的现场调查方法难以及时获取到最新的资产信息,从而影响了资产管理工作的效率和质量。
发明内容
[0004] 本申请提供一种资产管理方法及装置,用于解决资产信息获取不及时的问题。
[0005] 为了达到上述目的,本申请采用如下技术方案:
[0006] 第一方面,本申请提供一种资产管理方法,所述方法包括:
[0007] 从防火墙会话日志中获取设备信息,所述设备信息包括:设备的网际互联协议(Internet Protocol,IP)地址或端口标识;
[0008] 若所述设备信息未记录在资产信息数据库中,则获取所述设备信息对应的设备的资产信息,所述资产信息包括:系统版本、软件类型、软件版本、端口服务、万维网(World Wide Web,Web)应用程序和Web容器。
[0009] 第二方面,本申请提供一种资产管理装置,所述装置包括:
[0010] 获取单元,用于从防火墙会话日志中获取设备信息,所述设备信息包括:设备的网际互联协议IP地址或端口标识;
[0011] 管理单元,用于在所述设备信息未记录在所述资产信息数据库中的情况下,获取所述设备信息对应的设备的资产信息,所述资产信息包括:系统版本、软件类型、软件版本、端口服务、Web应用程序和Web容器。
[0012] 第三方面,本申请提供一种网络设备,包括收发器、存储器和一个或多个处理器;所述存储器用于存储计算机程序代码,所述计算机程序代码包括指令,当所述一个或多个处理器执行所述指令时,所述网络设备执行如第一方面或第一方面的任一种具体实现方式中所述的方法。
[0013] 第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有一个或多个程序,所述一个或多个程序包括指令,当计算机的处理器执行所述指令时,所述计算机执行如第一方面或第一方面的任一种具体实现方式中所述的方法。
[0014] 本申请提供一种资产管理方法及装置,通过从防火墙会话日志中获取设备信息,并在所述设备信息未记录在资产信息数据库中时,获取所述设备信息对应的设备的资产信息。可以理解的是,所述设备信息未记录在所述资产信息数据库中,说明内部网络出现设备变更的情况(例如新增设备)。因此,相比于目前的现场调查方法,本申请的技术方案能够及时了解到内部网络出现设备变更的情况,从而及时获取相关设备的资产信息,提高资产信息获取的速度和效率。
附图说明
[0015] 为了更清楚地说明本申请实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍。
[0016] 图1为本申请实施例提出的一种网络的架构示意图;
[0017] 图2为本申请实施例提供的一种资源管理方法的流程图;
[0018] 图3为本申请实施例提供的另一种资源管理方法的流程图;
[0019] 图4为本申请实施例提供的一种资源管理装置的结构示意图;
[0020] 图5为本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
[0021] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
[0022] 图1为一种网络的架构示意图,在内部网络与外部网络(例如internet)之间设置有防火墙。需要说明的是,防火墙是在内部网络与外部网络之间建立起的一个安全网关,用于保护内部网络免受非法用户的侵入。防火墙与内部网络中的各类设备建立连接,从而防火墙能够监控内部网中各类设备的数据传输情况。
[0023] 在设置了防火墙之后,外部网络相当于不受信任区(untrust区),而内部网络可以划分为两个区:非军事化区(demilitarized zone,DMZ)以及可信任区(trust区)。需要说明的是,DMZ区用于解决安装防火墙后外部网络的用户不能访问内部网络的设备的问题。即外部网络的用户可以访问DMZ区,不可访问trust区。
[0024] 内部网络内还设置有资产管理装置,该资产管理装置用于对内部网络中的设备进行资产管理。需要说明的是,资产管理装置可以为服务器等网络设备。下面以服务器为例对实施例进行说明。
[0025] 如图2所示,本申请实施例提供一种资产管理方法,应用于图1所示的网络中,所述方法包括:
[0026] S101、从防火墙会话日志中获取设备信息。
[0027] 其中,所述设备信息包括:设备的IP地址或端口标识。
[0028] 需要说明的是,防火墙会话日志用于记录进出防火墙的数据包的相关信息,从而通过查看这些相关信息,能够获知内部网络中的设备的IP地址和端口标识。在实际应用中,上行数据包的源IP地址以及下行数据包的目的IP地址,即为内部网络中设备的IP地址。上行数据包的源端口标识以及下行数据包的目的端口标识,即为内部网络中设备的端口标识。
[0029] S102、若所述设备信息未记录在资产信息数据库中,则获取所述设备信息对应的设备的资产信息。
[0030] 其中,所述资产信息数据库用于存储内部网络中设备的设备信息。
[0031] 可以理解的是,所述设备信息没有记录在资产信息数据库中,说明内部网络存在设备变更的情况。设备变更的情况一般包括:新增设备和开放原有设备的端口。下面结合设备信息的可能实现方式,对设备变更的情况进行具体分析。
[0032] 以设备信息为设备的IP地址为例,若服务器从防火墙会话日志获取到一个设备的IP地址,而该IP地址没有记录在资产信息数据库中,说明该IP地址对应的设备是内部网络中新增的设备。
[0033] 以设备信息为设备的端口标识为例,若服务器从防火墙会话日志获取到一个设备的端口标识,而该端口标识没有记录在资产信息数据库中,说明该端口标识对应的设备开放一个新的端口。
[0034] 可选的,所述资产信息包括:系统版本、软件类型、软件版本、端口服务、Web应用程序和Web容器。
[0035] 一种可选的实现方式中,服务器远程登录所述设备信息对应的设备,以获取所述资产信息。可选的,在获取到所述资产信息之后,将所述资产信息存储于资产信息数据库中。
[0036] 可选的,为了避免内部网络中出现私自增加设备或私自开放设备端口的情况,在获取到所述资产信息之后,在所述资产信息数据库中查看所述设备信息对应的设备是否存在备案信息。所述备案信息用于记录设备的资产改变情况。需要说明的是,若设备在资产信息数据库中存在备案信息,则说明此次内部网络的设备变更是合法的。若设备在资产信息数据库中没有备案信息,则说明此次内部网络的设备变更是非法的。从而,为了保证网络的安全性,若所述设备信息对应的设备在资产信息数据库中没有备案信息,则服务器发出告警信息,以提示工作人员进行检查。
[0037] 进一步的,周期性获取所述设备的资产信息,以便于在所述设备的资产信息发生改变时,及时更新资产信息数据库中该设备的资产信息。
[0038] 另外,获取所述设备的资产信息的前提是所述设备在线,因此,在获取所述设备的资产信息之前,先检测所述设备是否在线。示例性的,服务器向所述设备发送TCP SYN包,当设备向服务器返回SYN/ACK包或者RST应答时,则说明所述设备在线。
[0039] 本申请实施例提供一种资产管理方法,通过从防火墙会话日志中获取设备信息,并在所述设备信息未记录在所述资产信息数据库中时,获取所述设备信息对应的设备的资产信息。可以理解的是,所述设备信息未记录在所述资产信息数据库中,说明内部网络出现设备变更的情况(例如新增设备)。因此,相比于目前的现场调查方法,本申请的技术方案能够及时了解到内部网络出现设备变更的情况,从而及时获取相关设备的资产信息,提高资产信息获取的速度和效率。
[0040] 为了提高设备的安全性,保证网络的稳定,本申请实施例提供另一种资产管理方法。如图3所示,在步骤S102之后,所述方法还包括:
[0041] S103、当所述设备发生非法通信行为或未报备的资产管理行为时,降低所述设备的资产安全等级。
[0042] 其中,所述资产安全等级用于表征所述设备的安全程度。在本申请实施例中,设备的资产安全等级越高,说明所述设备越安全。
[0043] 在本申请实施例中,所述非法通信行为包括:设备与黑名单中的IP地址通信。需要说明的是,当一个设备为trust区的设备时,该设备的非法通信行为还包括:设备接收untrust区/DMZ区的设备的访问。
[0044] 在本申请实施例中,所述未报备的资产管理行为是指在资产信息数据库没有相关备案信息的资产管理行为。而资产管理行为一般包括:资产上线行为、资产变更行为和资产下线行为。其中,资产上线行为是指设备上线软件或者设备开放端口,资产变更行为是指设备更改软件的版本,资产下线行为是指设备下线软件或者设备关闭端口。
[0045] 为了便于描述,下文将非法通信行为以及未报备的资产管理行为统称为可疑行为。
[0046] 可以理解的是,可疑行为会给设备带来安全隐患。而为了便于直观的说明每种可疑行为对于设备安全性的负面影响大小,可以给每种可疑行为确定相应的扣分值,如表1所示。
[0047] 表1
[0048]
[0049] 结合表1,根据公式:资产安全等级=M-a*n1-b*n2-c*n3-d*n4-e*n5,能够计算设备的资产安全等级。其中,M为预设常数,n1表示在预设时间段内设备与黑名单中的IP地址通信的次数,n2表示在预设时间段内设备处于trust区时接收untrust区/DMZ区的其他设备的访问的次数,n3表示在预设时间段内未报备的资产上线行为的次数,n4表示在预设时间段内未报备的资产变更行为的次数,n5表示在预设时间段内未报备的资产下线行为的次数。
[0050] S104、若所述设备的资产安全等级低于预设值,对所述设备实施安全措施。
[0051] 其中,所述安全措施包括:基线核查、访问控制、漏洞扫描以及入侵检测。
[0052] 所述基线核查是指检测所述设备是否满足安全基线的行为,所述安全基线是指设备实现安全运行的最低配置。
[0053] 所述访问控制是按用户身份来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。
[0054] 所述漏洞扫描是指基于漏洞数据库,通过扫描等手段发现设备可能存在的漏洞的一种行为。可以理解的是,当设备被扫描出漏洞时,需要及时的针对漏洞进行修复,以保证设备的安全性。
[0055] 所述入侵检测是指通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现设备所在网络或系统中是否有违反安全策略的行为和被攻击的迹象。
[0056] 另外,为了保证设备的安全性,在公共漏洞和暴露(Common Vulnerabilities&Exposures,CVE)数据库发布新漏洞时,根据新漏洞涉及的资产,判断内部网络中的设备是否受影响。若设备受影响,则主动对设备进行修复。上述资产包括:系统、应用软件和数据库。
[0057] 通过上述方法,能够提高所述设备的安全性。
[0058] 如图4所示,本申请实施例提供一种资产管理装置,用于执行前述的资产管理方法。所述装置包括:
[0059] 获取单元21,用于从防火墙会话日志中获取设备信息,所述设备信息包括:设备的IP地址或端口标识。
[0060] 管理单元22,用于在所述设备信息未记录在所述资产信息数据库中的情况下,获取所述设备信息对应的设备的资产信息,所述资产信息包括:系统版本、软件类型、软件版本、端口服务、Web应用程序和Web容器。
[0061] 一种可选的实现方式中,所述获取单元21,具体用于远程登录所述设备信息对应的设备,以获取所述设备的资产信息。
[0062] 一种可选的实现方式中,所述管理单元22,还用于在所述设备信息对应的设备在资产信息数据库中没有备案信息的情况下,发出告警信息,所述备案信息用于记录设备的资产改变情况。
[0063] 一种可选的实现方式中,所述管理单元22,还用于当所述设备发生非法通信行为或未报备的资产管理行为时,降低所述设备的资产安全等级,所述资产安全等级用于表征所述设备的安全程度。
[0064] 一种可选的实现方式中,所述管理单元22,还用于当所述设备的资产安全等级低于预设值时,对所述设备实施安全措施,所述安全措施包括:基线核查、访问控制、漏洞扫描以及入侵检测。
[0065] 本申请实施例提供一种资产管理装置,通过从防火墙会话日志中获取设备信息,并在所述设备信息未记录在所述资产信息数据库中时,获取所述设备信息对应的设备的资产信息。可以理解的是,所述设备信息未记录在所述资产信息数据库中,说明内部网络出现设备变更的情况(例如新增设备)。因此,相比于目前的现场调查方法,本申请的技术方案能够及时了解到内部网络出现设备变更的情况,从而及时获取相关设备的资产信息,提高资产信息获取的速度和效率。
[0066] 如图5所示,本申请实施例提供一种网络设备,所述网络设备包括:处理器31、存储器32、收发器33以及总线34。所述处理器31、存储器32和收发器33通过所述总线34互相通信。其中,所述存储器32用于存储多个指令以实现本申请提供的资产管理方法。所述处理器31,用于从防火墙会话日志中获取设备信息,所述设备信息包括:设备的IP地址或端口标识;若所述设备信息未记录在资产信息数据库中,则获取所述设备信息对应的设备的资产信息,所述资产信息包括:系统版本、软件类型、软件版本、端口服务、Web应用程序和Web容器。
[0067] 进一步的,所述处理器31,还用于远程登录所述设备信息对应的设备,以获取所述设备的资产信息。
[0068] 进一步的,所述处理器31,还用于在所述设备信息对应的设备在资产信息数据库中没有备案信息的情况下,发出告警信息,所述备案信息用于记录设备的资产改变情况。
[0069] 进一步的,所述处理器31,还用于当所述设备发生非法通信行为或未报备的资产管理行为时,降低所述设备的资产安全等级,所述资产安全等级用于表征所述设备的安全程度。
[0070] 进一步的,所述处理器31,还用于当所述设备的资产安全等级低于预设值时,对所述设备实施安全措施,所述安全措施包括:基线核查、访问控制、漏洞扫描以及入侵检测。
[0071] 其中,本申请实施例所述的处理器31可以是一个处理器,也可以是多个处理元件的统称。例如,该处理器31可以是中央处理器(Central Processing Unit,简称CPU),也可以是特定集成电路(Application Specific Integrated Circuit,简称ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路,例如:一个或多个微处理器(digital signal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)。
[0072] 存储器32可以是一个存储装置,也可以是多个存储元件的统称,且用于存储可执行程序代码等。且存储器32可以包括随机存储器(RAM),也可以包括非易失性存储器(non-volatile memory),例如磁盘存储器,闪存(Flash)等。
[0073] 总线34可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线34可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
[0074] 本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序加载到计算机上被计算机执行时,使计算机执行如图2和图3所示的方法。
[0075] 其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0076] 本说明书中的各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
[0077] 以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。