最近在忙于整理资产管理这个模块,说起资产管理可能是每个相关的安全产品都需要实现的功能模块,但是无论从BS7799还是ISO27001抑或是其他标准来理解“资产”的定义范围都过于宽泛,我在系统建设之初于用户需求文档里这样定义:本系统所有涉及资产的定义为:带IP的硬件设备及其上面运行的应用程序和服务。在实现资产管理时一个必不可少的环节就是资产的自动发现,资产自动发现并生成拓扑的做法也在各类安管和网管平台屡见不鲜了,我们也是用了老树开新花的办法:使用SNMP、ICMP协议从路由或交换机处发现硬件设备,或支持并开放了两种协议的系统;仅限于此;另外支持从第三方库导入或从扫描结果抓取等方式都非主打功能。用此方法可以解决大部分 网络设备、主机设备甚至是工作站的发现,但是其上运行的应用和服务,诸如:tomcat mysql oralce 等就无从下手了。在前一个版本我们只支持手工加入并建立关联模块的关系这样做法。

         后来我们采用了嗅探法,通过模拟各类协议包发现资产上在运行的目标协议或端口从而判断我想要的资产并自动生成关联模型,经过一番折腾后还真的弄起来了,这里大家可能会有疑问:

q.如果目标对象没有开启怎么办?

a:没有开启通过嗅探是发现不了的,除非你知道相关口令使用连接的方式进入发现,但是这种***式发现客户往往不能接受

ps:如果管理的对象是服务器那么其上运行的目标对象一般都会开启,其他技术细节我会详细整理再发出分享。