暴露面管理之自动化采集网络配置和访问量生成动态资产数据｜大湾区金融安全专刊·安全村

一、业务背景

随着银行线上业务迅速发展、网络规模不断扩大，也逐渐出现了互联网、外联网网络访问关系不清晰资产难以快速定位的问题，由于暴露面问题被攻击者利用后，可导致绕过现有安全防护体系，风险较大，因此网络访问关系、互联网暴露面不清晰问题急需治理。

在此背景下，根据银行类网络架构特点，针对互联网区、外联网区的暴漏面，以运行态数据作为基础，研发并实现了网络自动化系统，通过“梳理整体网络架构、周期获取各网络设备配置策略、自动生成资产关系表、自动推进零流量访问策略收敛”的模式，实现“流量转发关系清晰、内外映射关系准确、互联网外联网暴露面可控”，避免违规服务暴露、安全策略过于宽泛引发的安全问题。

二、整体战术思路

为保证网络关系准确清晰，保障策略配置的及时性、准确性、全面性，我行采用数字化方式管控全行互联网、外联访问关系及数据资产。建设网络自动化平台，T+1自动采集各关键节点防火墙、出口路由器、负载均衡配置，聚合后生成每日互联网资产信息、外联资产信息。资产数据可保证运营人员能获取准确的网络对应关系、访问量数据。可支撑技术人员发起业务下线工单，实现互联网暴露面有效收缩、提高边界安全性的目标。

三、战术实施

（一）自动采集出口设备配置，产出互联网区域资产关系表，实现出口数字化管控

利用网络自动化平台，每天对生产运行态的互联网DNS、外联路由器、边界防火墙、负载均衡、CMDB配置进行自采集，生成互联网服务资产表。

1.通过互联网DNS，明确互联网域名资产

平台通过采集互联网DNS的配置，获取域名、互联网IP、应用可用性探测端口的对应关系，形成“互联网域名—互联网IP—互联网探测端口”的互联网域名配置表。

2.通过出口防火墙，明确公网IP资产

平台通过采集互联网防火墙的配置，获取公网IP、NAT清单、开通端口的关系，形成“互联网IP/端口—内网NAT IP/端口”的公网IP安全策略配置表。

3.通过负载均衡，明确内外网IP映射关系

平台通过采集负载均衡的配置，获取VSIP/VS端口与真实服务器IP/端口的对应关系，形成“VSIP/VS端口-真实服务器IP/端口”的负载均衡配置表。

以上数据存储在网络自动化平台并每日自动更新，使用人员可通过web界面对行内全部网络信息进行快速定位和事件排查，其他系统可通过API接口灵活调用此数据，对出口数据做后续分析。

（二）自动采集外联设备配置，产出外联区域资产关系表，实现外联数字化管控

利用网络自动化平台，每天对外联区域路由器、外联防火墙、负载均衡进行数据采集和关联，生成数字化外联资产表。

1.通过外联路由配置，生成“外联专线路由表”

通过采集外联路由表，关联CMDB专线端口、下一跳IP配置，形成“外联单位名称—专线号—外联路由器—路由器出接口—路由—专线主备信息”形式的全行外联专线路由表。

2.通过出口防火墙配置，生成“外联安全策略表”

通过采集外联路由、外联防火墙策略,按照优先精确匹配规则，关联防火墙源IP、外联路由访问控制表，生成“外联防火墙—外联单位IP（源IP）—行内NATIP—行内真实IP—优先精确匹配的外联路由”形式的外联安全策略表。

3.通过负载均衡配置，生成“负载均衡配置表”

平台通过采集负载均衡配置，获取VSIP地址、服务器地址的对应关系，形成“VSIP/端口-真实服务器IP/端口”形式的负载均衡配置表。

4.自动关联以上数据，生成“数字化外联资产表”

通过关联以上数据，生成“外联单位名称—专线号—外联单位IP(源IP)—目标IP（NAT转换前IP）—目标真实IP（NAT转换后IP/VSIP）—后台服务器IP（RSIP）—真实服务端口—系统名称—运维处室—管理员”关系表。

以上数据存储在网络自动化平台，可供用户查询和API调用。

（三）通过识别访问量，自动触发业务下线调查工单，及时回收过期策略

结合网络流量分析工具，采集访问我行服务的网络流量，解析去重后，可得到对应互联网资产访问量。当发现策略在1天、1周匹配量均为0时，发起服务关停调查工单，通知业务运维处室确认业务是否需要下线，若确定业务下线，工单将流转到网络处回收此策略。

（四）结合补充现有安全能力，通过漏洞扫描、爬取泄露信息，识别暴露在外网的安全风险

在动态识别了外网暴露面后，我行还结合已有安全能力，对开放在互联网的服务开展周期性的漏洞扫描及渗透测试；对各类知识分享平台、开放文档进行含我行关键字的敏感信息搜索，以天为单位快速识别外网暴露风险，并通过下发统一安全运营平台对接工单推进问题整改。

四、应用效果

互联网暴露面可管可控是我行网络安全防御最基础、最重要的工作之一，通过借助网络自动化平台，利用互联网DNS、出口防火墙、负载均衡设备配置，以及每日全行外联资产的自动发现，可及时精准识别新增资产并补足安全监测、应急处置等工作，通过以上能力，可以我行共投产互联网资产，包括其中Web网站、API、微信小程序、APP等准确的资产数据，从而达到全面准确、及时有效地识别并安全管控联网资产的目标。

作者介绍

王照文 赵天龙：中信银行网络安全运营团队负责人、业务骨干。

‍

关于 大湾区金融安全专刊

大湾区专刊集合了全国数十家金融和科技机构的网络安全工作经验总结，内容涉及防护体系、资产管理、研发安全、攻防演练、安全运营、数据安全、业务安全七大主题方向，希望能为从业者提供网络安全防护方面的整体思路，向行业传播可持续金融创新和实践经验，为推动可持续金融生态发展汇聚智慧与力量。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

专刊获取方式

本次专刊的合作机构如下

赶紧关注他们

联系获取纸质版专刊吧！

原文始发于微信公众号（安全村SecUN）：暴露面管理之自动化采集网络配置和访问量生成动态资产数据｜大湾区金融安全专刊·安全村