使用流量分析系统进行资产梳理

很多网络管理人员都接触资产梳理，也有很多软件和系统附带资产梳理工具，但是根据明辰智航统计，很多企事业单位资产梳理工作是以前进行的，没有及时更新。网络管理人员甚至不了解企业网络中有多少个MAC地址、IP地址、端口、协议、应用、网络设备在网络中运行。有人说，每天都在做台账，台账上有呀。虽然台账用于统计和管理，但是台账是流水账，无法实时、一天、七天、一月、一年呈现资产运行和变化状况。

那么为什么要进行资产梳理？ GB/T 20984《信息安全技术 信息安全风险评估规范》中是这么定义资产的：“对组织具有价值的信息或资源，是安全策略保护的对象”。所以，网络安全建设的过程中，资产梳理和漏洞运营作为其中的关键环节。

2020年12月对某学院进行网络排障的时候，发现有一台MS-SQL服务器使用公网IP，并且有大量的国外IP地址进行访问，咨询运维人员，得到的回复是他们没有提供国外数据库的接入服务。如下图（数据库连接的客户端）

数据库连接的客户端

流量分析法国的一个ip会话，有多次的数据库连接和数据交互行为。如下图“数据库连接图”

数据库连接图

判断数据库被国外用户访问，并且进行了数据传输。咨询运维人员，运维人员不清楚。咨询数据库负责人员，数据库负责人员也不清楚，应急处理方法是把数据库服务器的IP换成内网，更改端口，打补丁，查杀病毒等。过了段时间才知道是某家应用技术人员为了远程方便，把数据库的内网IP改成公网IP。

数据库作为重要资产，比较合理的数据处理流程是应用程序发送请求到中间层，由中间层处理后再到数据库层，中间层可以有些防火墙之类的。

数据库往往是企事业最为核心的数据保护对象，与传统的网络安全防护体系不同，数据库安全技术更加注重从客户内部的角度做安全。其内涵包括了保密性、完整性和可用性，即所谓的CIA(Confidentiality, Integrity, Availability)三个方面。所以不应该放在外网。

这个就是资产梳理的重要性，不了解、不清楚网络环境中运行的资产，出现了某网络应用为使用方便而忽略网络安全，导致出现信息泄露事件。