依托网络空间资产测绘技术 全面提升我国企业资产安全管理能力

网络安全问题是目前我国所面临的复杂且严峻的非传统安全问题之一，随着网络环境进一步复杂化、攻击策略的多样化，识别网络空间的资产和拓扑情况，应对来自外部的攻击和识别自身网络安全的脆弱性显得尤为重要。

网络空间资产测绘技术能够对网络空间的在网资产进行探测识别、实体定位、深度关联，是建立网络安全资产管理体系的基础，也是提升我国企业资产安全管理能力的有效着力点。

企业网络资产安全管理面临三大挑战

近年来，我国企业已经建设了资产安全管理平台，用于识别自身资产，全面梳理资产关联，加强资产全生命周期的信息存储。然而，由于网络环境和企业内部网域划分的复杂性，网络空间通常存在大量隐蔽资产和僵尸资产，企业资产安全管理能力建设主要面临三方面的挑战。

一是自动化采集能力仍存在不足。以往的网络资产收集和管理主要依靠人工填报或者人工导入的形式，在此过程中，大量隐蔽资产、历史资产、无主资产等无法被有效发现，企业无法实现自身资产的全面管理。同时，人工资产管理常会出现信息填报不全、不准确的情况，资产的端口、指纹信息如出现问题将影响后续资产定位和排查结果的准确性，资产的在网、下线、上线、废除状态没有及时进行更新会影响资产管理的范围，这在防御外部攻击时会导致出现失误和漏洞。

二是资产关联难以被有效发现。网络资产之间通常有千丝万缕的关联，如归属同一系统的资产、同一端口下的资产、同一管理条线的资产等情况。在资产管理方面，理清资产关联关系可以构建起企业整体资产架构。然而，以往的资产管理实践往往忽视了建立资产关联，从而使得外部攻击能够由点及面，打破单个资产的脆弱点，进而对整个系统或整个业务条线造成影响。

三是缺乏实时自动化手段对资产进行全面风险感知和预警。传统资产管理相对较为封闭，新资产上线和老旧资产下线回收通常不能及时同步，这导致新上线资产存在一定的时间窗口无法进入风险管理环节。同时，由于缺乏资产自动化风险感知能力，企业无法及时基于最新风险隐患信息进行内部全域排查，这种排查疏漏的方式使得企业无法在最新风险出现时及时发起预警。

网络空间资产测绘技术全面提升安全管理能力

网络空间资产测绘技术凭借其动态扫描、主动探测、实时发现、归属标注等优势，能够将企业资产进行全面及时管理，为实现企业资产管理和全面防御提供坚实基础，并可通过网络空间测绘技术构建更为开放、主动、动态的多位一体网络资产安全管理能力。

通过动态扫描和实时发现完善企业资产发现与纳管能力。利用主动探测与被动探测相结合的技术，一方面可以主动向目标网络资产发出探测信号，如通过端口扫描、指纹服务扫描、路由跟踪、爬虫等方式，不断地对企业网络资产进行扫描；另一方面可采取监听方式，被动接收当前网络中的流量包，通过分析数据包获取资产信息。这两种探测方式的结合有助于企业建立自身动态资产清单，纳管各网域的历史资产和在网资产。实时发现能够确保新上线资产即时入库，形成覆盖企业网络、全面、实时更新的资产数据库。同时，由于整个流程为自动化动态实现，减少了人工干预环节，资产数据的准确性和资产各字段的完整度得到显著提升，进而提高了资产数据质量。

通过全面探测和归属标注构建资产关联框架。探测数据能够识别并记录资产的各项相关属性信息，如IP地址、域名、端口、操作系统、设备类型、厂商及品牌、软件及版本、服务组件、证书、应用、所属系统等，同时对网络资产与企业内人员、责任人进行绑定，通过融合域名信息、IP信息、端口信息、业务信息等多方面内容，使企业能够全面了解网络中资产分布、设备类型、网站类型和开放端口等情况，并建立资产多层级关联模型。基于此模型，通过定位和排查特定资产，可以获得对整个系统和整个管理条线的宏观管理视图，在排查自身脆弱性和防御外界风险时，有助于形成整体防御方案。

利用资产信息实现多种防御技术的统一和协同。在建立动态更新的资产库和全面准确的资产关联关系后，企业可以对自身资产开展脆弱性扫描。一方面通过聚合漏洞指纹库，并与资产信息库进行匹配，开展漏洞信息的关联定位，获知自身资产在端口、操作系统、组件等方面的脆弱性情况，对可疑的网络安全威胁资产进行监测和预警；另一方面，通过掌握自身网络资产的行为规律，分析、监测发现异常网络行为，及时进行处置。网络资产测绘技术不仅能够帮助企业分析攻击者的网络资产测绘特征，实时监测网络攻击事件的全过程，还可以发现攻击者的网络资产，并对攻击行为进行有效预警和处置。此外，对于这些新发现的恶意网站域名、恶意IP等恶意资产特征，可以进一步应用于企业后续的网络流量监测和防御工作以及对攻击进行溯源取证，从而形成完整的防御体系。

（贺倩 作者单位：中国信息通信研究院安全研究所）

（编辑：旦知吉）