CN113570274A - 一种资产全过程管理系统 - Google Patents

Abstract

一种资产全过程管理系统，包括DMZ网络、库存管理网络，网络安全资产网络、IT资产网络、物理安防网络、资产管理平台；所述资产管理平台通过DMZ网络与其他4个网络空间相连，并通过API从其他网络空间获取资产数据，并对于处于网络中的设备可以进行批量的上下线操作；当发现风险信息时，通过API将风险信息传递给安全设备进行处置。本发明能够兼容现有资产管理系统，同时能够对IT资产进行记录、跟踪、审计和监控，具有集成性好，兼容程度高，性能优异，管理种类全面、安全性好的优点。

Description

一种资产全过程管理系统

技术领域

本发明属于资产管理及网络安全技术领域，具体涉及一种资产全过程管理系统。

背景技术

现代企业为维持业务的正常运转，往往需要部署大量的支撑系统、设备，在提高企业生产能力的同时，对于这些资产的管理也成为了普遍存在的难题。传统的资产管理专注于硬件资产的管理，且依赖人工，管理效率低下，资产管理难度大。在涉及网络安全的前提下，很难具体回答“有多少台机器面临风险，具体部署在哪儿，是否打过补丁，什么时候打过补丁”这种关键而具体的问题，也使得运维人员很难具体快速地评估整个信息系统的易损面到底有多大，具有相当大的安全风险。为了加强资产管理能力，提高资产管理效率，同时与现有网络安全系统进行联动，以一个集成系统实现对硬件资产、虚拟资产在其整个生命周期的监控和管理，提高资产信息的可见性，本发明提出一种资产全过程管理系统。

发明内容

为了克服上述现有技术存在的不足，本发明的目的在于提供一种资产全过程管理系统，能够兼容现有资产管理系统，同时能够对IT资产进行记录、跟踪、审计和监控，具有集成性好，兼容程度高，性能优异，管理种类全面、安全性好的优点。

为了实现上述目的，本发明采用的技术方案是：

一种资产全过程管理系统，包括DMZ网络、库存管理网络，网络安全资产网络、IT资产网络、物理安防网络、资产管理平台；

所述资产管理平台通过DMZ网络与其他4个网络空间相连，并通过API从其他网络空间获取资产数据，并对于处于网络中的设备可以进行批量的上下线操作；当发现风险信息时，通过API将风险信息传递给安全设备进行处置。

所述DMZ网络为一个中立缓冲网络，使用了内网安全设备提供的安全能力构建的内网和外网隔离区域，DMZ网络中放置不含敏感信息的公用服务器，如WEB服务器、E-Mail服务器、FTP服务器等外网的访问者只可以访问DMZ中的服务，但不可能接触到存放在内网中的信息等，即使DMZ中服务器受到破坏，也不会对内网中的信息造成影响。

所述库存管理网络用于获取库存管理系统数据，监控目前仓库中已入库但未使用设备；网络安全资产网络用于管理所有在运行的网络安全设备，包括IPS、WAF、防火墙；IT资产网络用于管理支持系统运行的所有软件、系统、中间件、网络设备，如：数据库、服务器、OA系统；物理安防网络用于管理所有的实体设备、物理安全设备，例如：门禁、人脸识别、自动化电源管理。

所述库存管理网络、网络安全资产网络、IT资产网络、物理安防网络和资产管理平台构成内网，DMZ网络利用了内网安全设备的部分能力形成的中立网络，用于连接外网和内网，具有安全事件感知与检测、补丁管理、访问安全策略及路由功能。

所述资产管理平台包括资产数据整理、资产数据监测和管理、资产数据分析及可视化和治理策略变更；

所述资产数据整理主要为库存管理员对库存设备进行统计并录入系统；

资产全过程管理平台管理员根据公司组织结构录入完整的组织、人员及相关信息；

管理员对正在使用中的设备的名称、类型、厂家、规格、用途及位置信息进行统计，并和人员组织相关联；

管理员统计组织所使用的系统信息，包括OA系统、财务系统、Wiki系统，与人员或组织进行关联，并界定各个系统在企业中的使用范围；

资产管理员统计公司业务系统中所使用的系统并确定使用范围；

当有库存资产出库时，库存管理员填写出库设备详细信息，并更新库存信息。

所述资产数据监测和管理主要为网络安全资产空间用于管理网络安全防护设备，对包括但不限于交换机、防火墙、路由器、WAF、SIEM、IPS以及态势感知系统等进行管理，资产全过程管理平台通过主机探测服务获取正在运行的设备信息；

日志服务器定期捕获日志数据并进行解析，获取设备配置变化，获取设备进行安全防护的历史记录，获取设备系统更新、策略变更数据记录数据，并将数据传递给资产全过程管理平台；

资产全过程管理平台检测网络安全设备位置及网络拓扑变化；

当安全设备所有者及所有部门变更时，资产全过程管理系统同步更新数据；

当设备处于未运行状态时，由设备所有者填写设备停机原因情况工单并进行反馈；

IT网络空间包括接入网络的PC、系统、服务器、数据库、软件以及文件，资产全过程管理系统通过网络管理系统实时监测并记录网络设备的接入及断联，存储设备的上下线记录，查询设备的所有权变更历史及设备检修记录；

通过日志数据，资产管理平台能够更新设备配置的变化情况，记录设备上重要软件的操作记录、对于重要文件的操作、虚拟机的迁移、补丁修复的情况；

资产全过程管理平台记录业务数据、风险信息数据、知识信息数据、灾备数据的存储位置及数据库数据更新记录；

当设备从IT网络移除并下线时，资产管理平台移除其网络准入；

物理安全资产空间用于管理摄像头、门禁及人脸准入等物理安全设备，通过接入中控系统监测设备状态、以及设备运行产生的历史数据，并对设备状态进行远程管理。

所述资产数据分析及可视化主要为资产全过程管理平台以网络区间为分组条件，汇总各个网络空间的设备数量及设备状态数据；

对于单个设备，平台将各个资产上所进行的状态变化及操作记录以时间进行排序追加到对应资产的数据表中；

通过风险库及漏洞库数据的更新，在补丁服务器查找对应的补丁，若不存在补丁数据，更新补丁服务器数据；

根据风险信息和漏洞信息统计受影响的软件和设备，经人工审核进行防火墙隔离或通过补丁管理服务器打补丁；

根据资产数据生成安全基线，当新检测到某个资产的数据不符合安全基线时，提交给安全设备处理；

对资产数据进行可视化并定期将设备信息向管理员和资产所有者报告，经审核后对比数据库并更新。

所述治理策略变更主要为通过汇总并分析资产数据，可以区分关键资产和非关键资产，从而制定弹性的管理策略；

通过获取资产数据记录，制定资产行为管理策略、访问控制策略、软件限制策略以及网络连接控制；

将资产数据通过网络安全设备进行审计，发现可能存在的风险并处置，提高企业内网的安全性。

本发明的有益效果：

通过本发明进行资产管理，能够记录并跟踪资产属性，审计和监控资产状态和连接的变化，修改和配置相关软件策略和配置，了解并控制连接到企业内网的软件资产和硬件资产，并提供了API接口和网络安全防护设备进行联动，可以增强现有的资产管理系统，提高资产管理的全面性、有序性和安全性。

本发明对于资产类别可以进行自定义，部分地管理本发明提出的资产种类或者包括且不限于本发明的场景，但需要注意，当应用场景增大时，会需要提高计算及存储能力，需要较高的成本。

附图说明

图1为本发明提供的资产全过程管理系统数据处理过程示意图。

图2为本发明实施例提供的资产全过程管理系统的网络拓扑示意图。

具体实施方式

下面结合附图对本发明作进一步详细说明。

资产生命周期包括入库、分配注册、部署运行及报销下线4个步骤，资产全年过程管理系统从设备入库到设备报销对企业的服务器、主机、软件、系统、数据、网络安全设备进行跟踪管理。

如图1所示为资产全过程管理系统的整个数据处理过程，按照步骤分为资产数据整理、资产数据监测、资产数据分析及可视化、治理策略变更。

如图2所示为本发明实施例所提供资产全过程管理系统的网络拓扑，DMZ网络将整个网络空间划分为内网和外网，其中DMZ网络使用了内网安全设备的部分能力，提供了一系列安全路由策略，具有安全事件感知与检测、补丁管理、访问安全策略及路由功能，外网和内网的通信经过DMZ网络进行过滤隔离，内网包括库存管理网络，网络安全资产网络、IT资产网络、物理安防网络4个子网络，资产管理系统与4个网络分别相连。

S1.资产数据整理：

对于处于入库状态的设备，管理员登记设备信息，包括品牌、配置、型号、类型、用途，并录入库存管理系统。

管理员根据组织结构录入组织、部门及人员信息，将人员与部门、组织进行关联，此外还需录入人员办公室信息、联系方式。

各部门对现有资产进行梳理，汇总成资产管理平台的初始数据，并将信息录入资产全过程管理平台数。

管理员对正在使用中的设备进行梳理排查，统计各个设备的名称、类型、厂家、规格、用途及位置，将设备与人员或组织进行关联，即组织或者人员为设备所有者或管理者。

管理员统计组织所使用的系统信息，包括OA系统、财务系统、Wiki系统等，与人员或组织进行关联，并界定各个系统在企业中的使用范围。

管理员统计企业业务数据、风险信息数据、知识信息数据、灾备数据的存储设备及数据库管理者。

当设备被分配，由仓库管理人员填写设备分配信息并生成工单，资产管理平台根据工单更新库存数据。

S2.资产数据监测和管理：

资产数据监测和管理主要是针对已分配注册的资产、部署运行中的设备进行资产信息收集。

资产全过程管理系统的网络划分为4个网络空间，其中网络安全资产空间用于管理网络安全防护设备，包括但不限于交换机、防火墙、路由器、WAF、SIEM、IPS以及态势感知系统，IT资产空间用于管理IT设备、系统等，物理安全资产空间用于管理门禁、人脸识别准入等物理安全资产，以及实物资产空间用于管理其他类的固定资产。

资产全过程管理系统在网络安全网络空间进行的资产数据信息获取包括：

实时地监控设备的运行状态，并记录状态为enable/disable，若设备状态为disable，系统通过工单向资产所有者或组织发送工单，要求排查设备故障原因并反馈。

当设备状态为enable时，资产管理平台定时地从设备拉取日志数据，通过日志分析的方法获取设备在运行过程中的状态变化，获取各个网络安全设备策略的增加、删除、修改记录，防护成功及拦截失败记录。

资产管理平台定时通过主动探测获取网络安全空间的拓扑变化、设备位置的变更及单个设备防护区域的变化。

当设备所有者发生变化时，要求原设备所有者和新所有者同时填写反馈工单并提交信息，此外资产管理平台定时下发工单给设备所有者从而获取设备状态。

网络安全网络空间通过API从资产全过程管理平台获取整个内网设备的流量、行为、日志数据，感知、处置可能存在的安全风险，并形成数据拉取记录和威胁防护记录返回给资产全过程管理平台。

IT资产空间的网络空间包括服务器、终端、软件、系统、数据库及其他设备等，其数据处理流程包括：

资产全过程通过接入网络管理系统实时监测网络设备的接入及断联，并记录数据。

日志服务器定期从各个终端、邮件服务器、备份服务器、PKI计算服务器拉取日志数据，通过数据解析，获取设备的状态变化，包括：

1、存储设备上下线记录。

2、查询设备检修记录，当设备所有者变更时，工单系统生成设备变更工单，相关人员填写工单反馈设备变更信息。

3、重要文件操作，关键文件的修改、复制、删除记录。

4、更新设备配置变化，如内存变化、系统升级等，并在时间维度与设备上下线记录进行关联。

5、分析虚拟机在设备之间的迁移过程，监督虚拟机的迁移过程，并产生通知消息。

6、管理设备的补丁记录。

7、记录企业业务数据、风险信息数据、知识信息数据、灾备数据的存储更新记录。

8、若断联设备经反馈状态为报销时，移除其网络准入，并更新设备状态。

资产全过程管理系统实时增量地从网络管理系统和日志服务器拉取IT资产数据。可选的，通过API接入网络管理系统的运维模块，从而直接控制设备的开机、关机、重启、禁用。

物理安防资产网络主要包含摄像头、门禁、人脸识别准入等常见的人员出入策略，主要通过中控系统统一进行管理，资产全过程管理系统直接接入中控系统，并具有管理员权限，可实时获取中控系统的监测数据：人员的出入、摄像头的历史影像记录、人脸识别成功及失败记录、设备停机及检修记录。

S3.资产数据分析及可视化：

资产管理平台实时汇总各个管理网络数据，默认条件下按照网络空间进行分组，且支持能够根据所有者、所有组织、接入网络区间、位置、操作系统类型、设备类型为分组筛选条件进行设备状态信息整理。

以时间为排列顺序，统计各个设备、软件、及其他资产的主要操作及状态变更，追加到对应资产的数据表中，还原设备状态变化过程。

根据风险库和漏洞库的影响范围信息，对比补丁管理服务器的补丁资源记录，若补丁管理服务器并无对应的补丁信息，则补丁服务器触发更新流程，完成补丁资源的添加。

根据风险信息和漏洞信息统计受影响的软件和设备，并设置设备状态为“危险”状态，考虑到设备上往往运行着相关业务，因此需要管理员人工审核处置步骤，当人工审核通过，进行防火墙隔离或通过补丁管理服务器打补丁。

根据公司设备的流量、日志或行为数据生成安全基线，当某个设备的模式不满足安全基线，资产管理系统发送告警信息，并将威胁信息通过API推送给安全设备进行处置。

资产全过程管理平台以图表的方式对整个企业内部资产进行展示，并定期将资产状态变更情况以报表的形式递交给资产管理员，此外，系统还将单个资产的数据以报表的形式提交给其所有者，经审核反馈后，更新资产数据。

需要说明的是，实际可管理设备不止限于本发明实施例所提供的资产种类，还可以包括楼房、办公桌等实物设备，对于可直接进行数据采集的设备直接进行数据采集，对于不方便直接进行采集的设备，通过定时人工反馈进行管理。

S4.治理策略变更：

通过资产管理平台的统计信息，梳理关键资产，对关键资产和非关键资产分别制定不同的管理策略，对于关键资产要保证数据完整性、多维度，而对于非关键资产可以之定义一部分数据进行记录，通过弹性的管理策略，提高管理灵活度，降低管理复杂度。

进行细粒度的资产行为管理和访问控制策略，定义和控制硬件和软件的行为权限准则和异常活动的审计规则，控制哪些资产(包括虚拟资产和物理资产)连接到企业网络，当未经授权的设备试图访问网络时自动检测并发出警报，并能够强制执行与允许在公司环境中运行的软件相关的软件限制策略。

跟踪、收集网络访问请求和主机行为记录，将数据通过企业网络安全设备进行审计与检测，检测网络空间可能存在的安全薄弱点并进行处置，进一步提高威胁发现能力和安全防护水平。

Claims (7)

1.一种资产全过程管理系统，其特征在于，包括DMZ网络、库存管理网络，网络安全资产网络、IT资产网络、物理安防网络、资产管理平台；

所述资产管理平台通过DMZ网络与其他4个网络空间相连，并通过API从其他网络空间获取资产数据，并对于处于网络中的设备可以进行批量的上下线操作；当发现风险信息时，通过API将风险信息传递给安全设备进行处置。

2.根据权利要求1所述的一种资产全过程管理系统，其特征在于，所述库存管理网络、网络安全资产网络、IT资产网络、物理安防网络和资产管理平台构成内网，DMZ网络利用了内网安全设备的部分能力形成的中立网络，用于连接外网和内网，具有安全事件感知与检测、补丁管理、访问安全策略及路由功能。

3.根据权利要求1所述的一种资产全过程管理系统，其特征在于，所述资产管理平台包括资产数据整理、资产数据监测和管理、资产数据分析及可视化和治理策略变更。

4.根据权利要求3所述的一种资产全过程管理系统，其特征在于，所述资产数据整理主要为库存管理员对库存设备进行统计并录入系统；

资产全过程管理平台管理员根据公司组织结构录入完整的组织、人员及相关信息；

管理员对正在使用中的设备的名称、类型、厂家、规格、用途及位置信息进行统计，并和人员组织相关联；

管理员统计组织所使用的系统信息，包括OA系统、财务系统、Wiki系统，与人员或组织进行关联，并界定各个系统在企业中的使用范围；

资产管理员统计公司业务系统中所使用的系统并确定使用范围；

当有库存资产出库时，库存管理员填写出库设备详细信息，并更新库存信息。

5.根据权利要求3所述的一种资产全过程管理系统，其特征在于，所述资产数据监测和管理主要为网络安全资产空间用于管理网络安全防护设备，对包括但不限于交换机、防火墙、路由器、WAF、SIEM、IPS以及态势感知系统进行管理，资产全过程管理平台通过主机探测服务获取正在运行的设备信息；

日志服务器定期捕获日志数据并进行解析，获取设备配置变化，获取设备进行安全防护的历史记录，获取设备系统更新、策略变更数据记录数据，并将数据传递给资产全过程管理平台；

资产全过程管理平台检测网络安全设备位置及网络拓扑变化；

当安全设备所有者及所有部门变更时，资产全过程管理系统同步更新数据；

当设备处于未运行状态时，由设备所有者填写设备停机原因情况工单并进行反馈；

IT网络空间包括接入网络的PC、系统、服务器、数据库、软件以及文件，资产全过程管理系统通过网络管理系统实时监测并记录网络设备的接入及断联，存储设备的上下线记录，查询设备的所有权变更历史及设备检修记录；

通过日志数据，资产管理平台能够更新设备配置的变化情况，记录设备上重要软件的操作记录、对于重要文件的操作、虚拟机的迁移、补丁修复的情况；

资产全过程管理平台记录业务数据、风险信息数据、知识信息数据、灾备数据的存储位置及数据库数据更新记录；

当设备从IT网络移除并下线时，资产管理平台移除其网络准入；

物理安全资产空间用于管理摄像头、门禁及人脸准入等物理安全设备，通过接入中控系统监测设备状态、以及设备运行产生的历史数据，并对设备状态进行远程管理。

6.根据权利要求3所述的一种资产全过程管理系统，其特征在于，所述资产数据分析及可视化主要为资产全过程管理平台以网络区间为分组条件，汇总各个网络空间的设备数量及设备状态数据；

对于单个设备，平台将各个资产上所进行的状态变化及操作记录以时间进行排序追加到对应资产的数据表中；

通过风险库及漏洞库数据的更新，在补丁服务器查找对应的补丁，若不存在补丁数据，更新补丁服务器数据；

根据风险信息和漏洞信息统计受影响的软件和设备，经人工审核进行防火墙隔离或通过补丁管理服务器打补丁；

根据资产数据生成安全基线，当新检测到某个资产的数据不符合安全基线时，提交给安全设备处理；

对资产数据进行可视化并定期将设备信息向管理员和资产所有者报告，经审核后对比数据库并更新。

7.根据权利要求3所述的一种资产全过程管理系统，其特征在于，所述治理策略变更主要为通过汇总并分析资产数据，可以区分关键资产和非关键资产，从而制定弹性的管理策略；

通过获取资产数据记录，制定资产行为管理策略、访问控制策略、软件限制策略以及网络连接控制；

将资产数据通过网络安全设备进行审计，发现可能存在的风险并处置，提高企业内网的安全性。

Images