資產(chǎn)發(fā)現(xiàn)與管理系統(tǒng)功能介紹-主打課件

資產(chǎn)發(fā)現(xiàn)與管理系統(tǒng)介紹

AssetExplorationandManagement資產(chǎn)發(fā)現(xiàn)與管理系統(tǒng)介紹

AssetExploration1目錄客戶痛點產(chǎn)品介紹產(chǎn)品價值現(xiàn)有手段目錄客戶痛點產(chǎn)品介紹產(chǎn)品價值現(xiàn)有手段2工信部指導意見工信部《關于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全工作的指導意見》中明確指出：深化網(wǎng)絡基礎設施和業(yè)務系統(tǒng)安全防護，加強網(wǎng)絡和信息資產(chǎn)管理，全面梳理關鍵設備列表，明確每個網(wǎng)絡、系統(tǒng)和關鍵設備的網(wǎng)絡安全責任部門和責任人。工信部指導意見工信部《關于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)3集團規(guī)范要求實現(xiàn)統(tǒng)一數(shù)據(jù)格式，強化安全基本信息管理能力，并逐步具備自動發(fā)現(xiàn)新增和退網(wǎng)、自動更新屬性等自動化功能。

全面推進網(wǎng)絡安全漏洞/隱患與網(wǎng)絡設施安全基本信息的關聯(lián)、與外網(wǎng)IP地址相關聯(lián)、與設備版本管理相結合。集團規(guī)范要求實現(xiàn)統(tǒng)一數(shù)據(jù)格式，強化安全基本信息管理能力，并逐4客戶痛點-互聯(lián)網(wǎng)暴露資產(chǎn)安全形勢，依舊嚴峻隨著“互聯(lián)網(wǎng)+”的深入，針對互聯(lián)網(wǎng)的攻擊手段日趨多樣化，安全威脅邊界不斷擴展，DDoS、僵木蠕等傳統(tǒng)威脅有增無減，APT等新型攻擊愈演愈烈。安全管理，存在盲區(qū)盡管安全風險排查力度不斷增加，但尚未掌握暴露在互聯(lián)網(wǎng)上的全量資產(chǎn)信息，安全巡檢覆蓋的盲點仍然很多，大量安全漏洞一直潛伏在系統(tǒng)中資產(chǎn)上運行的軟件種類多，版本不一，在出現(xiàn)安全風險時，排查整改不徹底，同類問題反復出現(xiàn)，使得安全管理比較被動外部通報，名譽受損“家丑不可外揚”，內(nèi)部威脅可內(nèi)部消化，但大量未掌握的，暴露在互聯(lián)網(wǎng)上的資產(chǎn)漏洞及其被攻擊事件被CNCERT和CNVD等第三方機構向社會公眾通報，使企業(yè)面臨重大的信譽危機客戶痛點-互聯(lián)網(wǎng)暴露資產(chǎn)安全形勢，依舊嚴峻隨著“互聯(lián)網(wǎng)+”的5當前現(xiàn)狀資產(chǎn)散列管理運維人員各自進行資產(chǎn)梳理，使用手工方式或文檔管理，編外資產(chǎn)無主資產(chǎn)責任不清缺乏有效的資產(chǎn)關聯(lián)性預知缺乏對設備、資產(chǎn)間通信方式，端口訪問等業(yè)務掌握度，對突發(fā)安全事件關聯(lián)影響度掌握不充分，缺乏應急響應信心依賴人工對比資產(chǎn)采集和自動發(fā)現(xiàn)能力偏弱，需要定期掃描和繁瑣的人工比對，缺乏自動化手段且容易出錯，維護效率低下且準確性不高資產(chǎn)更新效率低下設備版本、安裝的操作系統(tǒng)、組件掌握程度不高，資產(chǎn)設備屬性變更信息掌握不及時1234亟需多種手段結合的、自動化和智能化的資產(chǎn)全生命周期管理解決方案當前現(xiàn)狀資產(chǎn)散列管理運維人員各自進行資產(chǎn)梳理，使用手工方式或6產(chǎn)品整體架構公網(wǎng)情報采集器情報信息資產(chǎn)采集器確認響應告警SOC平臺態(tài)勢感知網(wǎng)管系統(tǒng)agentagentagent離線腳本產(chǎn)品整體架構公網(wǎng)情報采集器情報信息資產(chǎn)采集器確認響應告警SO7產(chǎn)品流程介紹生成報告主動探測被動監(jiān)聽信息補全（可選）深度掃描主動探測：探測網(wǎng)絡上的主機，主動的端口探測掃描，硬件特效及版本信息被動監(jiān)聽：采集或鏡像NetFlow、NetStream、jfow、ipfix等協(xié)議監(jiān)聽網(wǎng)絡上的主機及開發(fā)的端口信息補全（可選）：可選填，主要補全設備的用戶登錄信息，為深度掃描提供權限深度掃描：通過掃描補全資產(chǎn)屬性，分為通用屬性和特有屬性。資產(chǎn)歸檔：對發(fā)現(xiàn)后的資產(chǎn)進行歸檔管理，形成持久化管理。資產(chǎn)歸檔產(chǎn)品采用分布式組件化設計，主動被動相結合，主動探測主要用于對未知網(wǎng)絡下的發(fā)現(xiàn)探測，被動掃描主要用于7*24小時持續(xù)性的監(jiān)聽已知網(wǎng)絡下的未發(fā)現(xiàn)資產(chǎn)，并通過信息補全和深度掃描等方式完成資產(chǎn)屬性的補全，最終實現(xiàn)未知資產(chǎn)的發(fā)現(xiàn)與管理。產(chǎn)品流程介紹生成報告主動探測被動監(jiān)聽信息補全（可選）深度掃描8主動嗅探與被動監(jiān)聽主動嗅探主機探測：探測網(wǎng)絡上的主機

例如列出響應TCP和ICMP請求、icmp請求、開放特別端口的主機。端口掃描：探測目標主機所開放的端口。版本檢測：探測目標主機的網(wǎng)絡服務，判斷其服務名稱及版本號。系統(tǒng)檢測：探測目標主機的操作系統(tǒng)及網(wǎng)絡設備的硬件特性。

主動嗅探被動監(jiān)聽（7*24流量持續(xù)監(jiān)聽）

通過采集或鏡像NetFlow、NetStream、jfow、ipfix等協(xié)議監(jiān)聽網(wǎng)絡上的主機及開發(fā)的端口。

被動監(jiān)聽主被動結合，7*24感知未知資產(chǎn)，實時對比資產(chǎn)庫，同時兩者可以是并存關系，也可以是疊加關系。主動嗅探與被動監(jiān)聽主動嗅探主動嗅探被動監(jiān)聽（7*24流量持續(xù)9被動監(jiān)聽常用的*Flow分析協(xié)議CiscoNetflowv1,v5,v7,v8,v9JunipercFlowv5v8Foundry,HP,Alcatel,NEC,ExtremeSFlowv4,v5HuaweiNetStreamv5,v8,v9RFC3917IPFIXFlow數(shù)據(jù)由網(wǎng)絡設備輸出，F(xiàn)low數(shù)據(jù)類似于我們的手機話費清單，告訴我們每次會話發(fā)生的關鍵信息（不含通話具體內(nèi)容），也就是手機通話行為中的被叫號碼、被叫時間、持續(xù)時間等。Flow數(shù)據(jù)可廣泛的用于網(wǎng)絡分析和流量分析。被動監(jiān)聽常用的*Flow分析協(xié)議Flow數(shù)據(jù)由網(wǎng)絡設10主被動結合的大規(guī)范發(fā)現(xiàn)能力主被動結合的大規(guī)范發(fā)現(xiàn)能力11信息補全設施名稱：可發(fā)現(xiàn)，可自動填充，支持編輯設施等級：不可發(fā)現(xiàn)，根據(jù)工信部對設施進行定級，例如3.1、3.2。所屬業(yè)務系統(tǒng)：不可發(fā)現(xiàn)，可定義IP地址字典來匹配，并支持重新指定所屬安全域：不可發(fā)現(xiàn)。所屬地域：不可發(fā)現(xiàn)。設施所處物理位置：不可發(fā)現(xiàn)。所屬單位：不可發(fā)現(xiàn)，如安徽電信。所屬部門：不可發(fā)現(xiàn)，設施所屬的部門，如網(wǎng)運部。所屬專業(yè)：不可發(fā)現(xiàn)，設施所屬的專業(yè)，如網(wǎng)絡安全。設施類別：可發(fā)現(xiàn)，支持用戶指定，上述六大類中的一類，如主機、網(wǎng)絡設備、安全設備等。主識別IP：可發(fā)現(xiàn)公網(wǎng)IP：可發(fā)現(xiàn)私網(wǎng)IP：可發(fā)現(xiàn)，支持用戶指定浮動IP：可發(fā)現(xiàn)，支持用戶指定日志采集方式：不可發(fā)現(xiàn)，不需要填充，可通過深度掃描填充，syslog，SNMPTrap等。設施遠程維護登錄方式：不可發(fā)現(xiàn)，不需要填充，可通過深度掃描填充SSH、TELNET、WEB等。操作系統(tǒng)類型：可發(fā)現(xiàn)如Windows、Linux、Unix、VMWareESXiServer、KVM等。通用屬性：設備共有的屬性信息補全設施名稱：可發(fā)現(xiàn)，可自動填充，支持編輯通用屬性12主機：

防病毒屬性：是否已經(jīng)安裝了防病毒軟件，及軟件版本。補丁屬性：已經(jīng)安裝的補丁版本。承載業(yè)務：主機的用途，如DNS業(yè)務。漏洞屬性：主機系統(tǒng)的漏洞，如CVE-XXXX。日志屬性：采集日志是否正常實施。賬號口令策略：對賬號口令的配置的強制性要求。主機端口：開放的服務端口列表。啟動項配置：主機自動啟動項的相關配置情況，用于檢查主機啟動項的完整性。進程列表：主機上的活動進程列表。操作系統(tǒng)配置：主機中操作系統(tǒng)配置情況，用于檢查主機操作系統(tǒng)完整性。路由器/交換機：設施狀態(tài)：設施是正常運行還是宕機狀態(tài)。補丁屬性：已經(jīng)安裝的補丁版本。接口狀態(tài)：各個接口是up還是down。漏洞屬性：主機系統(tǒng)的漏洞，如CVE-XXXX。日志屬性：采集日志是否正常設施。賬號口令策略：對賬號口令的配置的強制性要求。配置變更：在什么時間修改過配置。特有屬性：不同類別的設施有自己特有的安全屬性。負載均衡：虛擬IP：負載均衡交換機提供服務的虛擬IP。設施狀態(tài)：設施是正常運行還是宕機狀態(tài)。補丁屬性：已經(jīng)安裝的補丁版本。接口狀態(tài)：各個接口是up還是down。漏洞屬性：主機系統(tǒng)的漏洞，如CVE-XXXX。日志屬性：采集日志是否正常設施。賬號口令策略：對賬號口令的配置的強制性要求。配置變更：在什么時間修改過配置。安全設備：設施狀態(tài)：設施是正常運行還是宕機狀態(tài)。接口狀態(tài)：接口是UP還是down。日志屬性：采集日志是否正常設施。端口信息：設施開放的端口列表。流量信息：設施采集流量信息是否正常。主機：路由器/交換機：特有屬性：不同類別的設施有自己特有的13虛擬機：所屬主機列表：虛擬機所屬的物理主機或者集群。所屬虛擬機系統(tǒng)平臺：如VMWareESXiServer。防病毒屬性：虛擬機是否已經(jīng)安裝了防病毒軟件，及防病毒軟件版本。補丁屬性：已經(jīng)安裝的補丁版本。承載業(yè)務：虛擬機的用途，如DNS業(yè)務。漏洞屬性：虛擬機操作系統(tǒng)的漏洞，如CVE-XXXX。日志屬性：采集日志是否正常賬號口令策略：本虛擬機對賬號口令的配置的強制性要求，或者是vCenter，openstack的統(tǒng)一賬號管理等策略。開放端口：虛擬機開放的服務端口列表。啟動項配置：主機自動啟動項的相關配置情況，用于檢查主機啟動項的完整性。進程列表：虛擬機的活動進程列表。操作系統(tǒng)配置：虛擬機中操作系統(tǒng)配置情況，用于檢查主機操作系統(tǒng)完整性。應用系統(tǒng)：所屬主機列表：應用系統(tǒng)所屬的物理主機數(shù)據(jù)庫類型：安全設施的數(shù)據(jù)庫類型，如：Oracle，SQLServer等。數(shù)據(jù)庫版本：安全設施的數(shù)據(jù)庫版本，如Oracle11g。中間件類型：安全設施的中間件類型，如：JBOSS等。中間件版本：安全設施的中間件版本，如:JBOSS6.0。應用類型：應用軟件類型，如：DNS、3A認證系統(tǒng)等。應用版本：應用系統(tǒng)的版本，如：BINDDNS9.1。安全信息：業(yè)務系統(tǒng)采集的與安全相關的信息，例如網(wǎng)管系統(tǒng)采集到的與安全相關的信息。特有屬性：不同類別的設施有自己特有的安全屬性。虛擬機：應用系統(tǒng)：特有屬性：不同類別的設施有自己特有的安14Agent模式1、安裝Agent代理，支持windows\Linux\Aix\Solaris\HP-ux2、代理自動注冊到管理中心，結果自動上傳3、隨時或定時啟動資產(chǎn)屬性更新任務4、分布式采集部署技術實現(xiàn)Agent模式1、安裝Agent代理，支持windows\L15離線腳本場景：對于不能已經(jīng)在網(wǎng)或不能安裝agent的設備可選擇離線腳本方式采集設備屬性1、產(chǎn)品中心下載離線腳本3、到目標設備上運行，生成結果文件（xml文件）4、將結果導入會產(chǎn)品，完成資產(chǎn)屬性補全技術實現(xiàn)離線腳本場景：對于不能已經(jīng)在網(wǎng)或不能安裝agent的設備可選16補全屬性補全屬性17支持7大類50余種設備，自動采集上報仍在不斷補充完善AEM操作系統(tǒng)路由/交換數(shù)據(jù)庫防火墻中間件其他RedhatAIXHP-UXWindowsSolarisCiscoHuaweiH3CJuniperAlcatelOracleSybaseInformix高可用設備SQLServerIISApacheDB2WebSphere安全設備CiscoWeblogic存儲設備HuaweiFortigateJuniperTomcat虛擬設備WlanAC/AP管理能力天融信WAF支持7大類50余種設備，自動采集上報AEM操作系統(tǒng)路由/交換18深度掃描19系統(tǒng)服務文件權限用戶帳號口令策略認證授權網(wǎng)絡通信日志審計網(wǎng)絡設備主機數(shù)據(jù)庫中間件應用安全設備深度掃描19系統(tǒng)服務文件權限用戶帳號口令策略認證授權網(wǎng)絡通信資產(chǎn)歸檔屬性自定義建模：系統(tǒng)自帶符合要求的屬性池，滿足任意資產(chǎn)屬性管理資產(chǎn)歸檔屬性自定義建模：系統(tǒng)自帶符合要求的屬性池，滿足任意資20資產(chǎn)歸檔資產(chǎn)歸檔流程歸檔資產(chǎn)庫發(fā)現(xiàn)資產(chǎn)庫發(fā)現(xiàn)區(qū)域主動嗅探引擎IP緩存/指紋適配被動監(jiān)聽引擎掃描引擎發(fā)現(xiàn)資產(chǎn)庫保存已經(jīng)發(fā)現(xiàn)的IP，更新IP緩存緩存用于主動嗅探和被動監(jiān)聽進行對比發(fā)現(xiàn)資產(chǎn)庫到歸檔資產(chǎn)庫的過程需要人工參與進行確認資產(chǎn)指紋庫資產(chǎn)歸檔資產(chǎn)歸檔流程歸檔發(fā)現(xiàn)發(fā)現(xiàn)區(qū)域主動嗅探引擎IP緩存/被21資產(chǎn)指紋庫

開放的端口信息

各廠商設備特定端口端口指紋OS指紋Web指紋

系統(tǒng)名稱

設備類型廠商信息

操作系統(tǒng)版本信息HTML信息HEADER信息URL信息FILE信息識別指紋庫資產(chǎn)指紋庫開放的端口信息端口指紋OS指紋Web指紋系統(tǒng)名22資產(chǎn)指紋庫1、先從指紋提取工具中掃描目標設備2、從掃描結果中獲得端口特征&OS特征，如下圖3、新打開一個頁面點擊指紋管理，點擊添加，進行指紋配置資產(chǎn)指紋庫1、先從指紋提取工具中掃描目標設備3、新打開一個頁23資產(chǎn)指紋庫添加端口信息指紋庫匹配規(guī)則:

多條端口信息匹配規(guī)則：與

端口與OS信息匹配規(guī)則：與

也可以僅填寫端口信息（單條或多條）或僅填寫單條OS信息

對服務廠商、服務版本、服務指紋、os名稱等字段部分匹配。資產(chǎn)指紋庫添加端口信息指紋庫匹配規(guī)則:24資產(chǎn)流程管理資產(chǎn)入圍資產(chǎn)監(jiān)視資產(chǎn)變更資產(chǎn)退網(wǎng)IP自動發(fā)現(xiàn)指紋自動識別數(shù)據(jù)同步資產(chǎn)流量監(jiān)視端口狀態(tài)統(tǒng)計協(xié)議狀態(tài)統(tǒng)計資產(chǎn)活躍狀態(tài)監(jiān)視資產(chǎn)訪問行為監(jiān)視OS變更發(fā)現(xiàn)中間件變更發(fā)現(xiàn)數(shù)據(jù)庫變更發(fā)現(xiàn)MAC變更發(fā)現(xiàn)責任人變更用途變更資產(chǎn)宕機發(fā)現(xiàn)數(shù)據(jù)同步資產(chǎn)流程管理資產(chǎn)入圍資產(chǎn)監(jiān)視資產(chǎn)變更資產(chǎn)退網(wǎng)IP自動發(fā)現(xiàn)資產(chǎn)25總體框架圖資產(chǎn)層采集層主動嗅探引擎流量采集引擎分析層脆弱性表資產(chǎn)指紋庫發(fā)現(xiàn)資產(chǎn)庫存儲層歸檔資產(chǎn)庫深度掃描引擎策略層深度掃描策略指紋識別策略流量監(jiān)聽策略主動嗅探策略應用層資產(chǎn)管理報表管理策略管理脆弱性實時展示資產(chǎn)監(jiān)視指紋管理接口管理外部資產(chǎn)管理系統(tǒng)*Flow采集網(wǎng)管/安管系統(tǒng)IP緩存/指紋適配總體框架圖資產(chǎn)層采集層主動嗅探引擎流量采集引擎分析層脆弱性表26核心功能資產(chǎn)管理資產(chǎn)發(fā)現(xiàn)管理資產(chǎn)類型管理屬性及自定義資產(chǎn)域管理資產(chǎn)字典管理探測發(fā)現(xiàn)主動嗅探被動監(jiān)聽屬性補全深度掃描實時監(jiān)視資產(chǎn)報告資產(chǎn)分類報告資產(chǎn)存活報告僵尸資產(chǎn)報告無主資產(chǎn)報告威脅資產(chǎn)報告暴露分析資產(chǎn)漏洞分析資產(chǎn)配置分析資產(chǎn)合規(guī)分析核心功能資產(chǎn)管理資產(chǎn)發(fā)現(xiàn)管理探測發(fā)現(xiàn)主動嗅探資產(chǎn)報告資產(chǎn)分類27產(chǎn)品截圖產(chǎn)品截圖28產(chǎn)品截圖發(fā)現(xiàn)時間排序發(fā)現(xiàn)重復資產(chǎn)資產(chǎn)屬性合并資產(chǎn)屬性畫像產(chǎn)品截圖發(fā)現(xiàn)時間排序發(fā)現(xiàn)重復資產(chǎn)資產(chǎn)屬性合并資產(chǎn)屬性畫像29產(chǎn)品截圖漏洞導入與漏掃驅(qū)動產(chǎn)品截圖漏洞導入與漏掃驅(qū)動30產(chǎn)品截圖產(chǎn)品截圖31產(chǎn)品截圖產(chǎn)品截圖32產(chǎn)品價值感知資產(chǎn)，梳理企業(yè)資產(chǎn)，發(fā)現(xiàn)無主設備企業(yè)漏洞快速定位、整改和跟蹤資產(chǎn)及設備維保下線提醒提升資產(chǎn)及設備利用率/利舊率資產(chǎn)分權分域管理，全程監(jiān)控，追責管理產(chǎn)品價值感知資產(chǎn)，梳理企業(yè)資產(chǎn)，發(fā)現(xiàn)無主設備企業(yè)漏洞快速定位33功能特點

資產(chǎn)全生命周期的流程管理

強大的主被動發(fā)現(xiàn)能力

持續(xù)性的流量識別和分析能力具備深度掃描的暴露面分析能力旁路部署對用戶網(wǎng)絡和業(yè)務系統(tǒng)無影響功能特點資產(chǎn)全生命周期的流程管理強大的主被動發(fā)現(xiàn)能力持34客戶價值資產(chǎn)管理資產(chǎn)發(fā)現(xiàn)暴露分析深度掃描資產(chǎn)漏洞生命周期管理資產(chǎn)關鍵配置監(jiān)測資產(chǎn)持續(xù)監(jiān)控直觀了解資產(chǎn)運行狀況未知資產(chǎn)自動發(fā)現(xiàn)無主資產(chǎn)歸檔管理資產(chǎn)屬性建模資產(chǎn)漏洞分析資產(chǎn)配置分析資產(chǎn)合規(guī)分析資產(chǎn)全生命周期管理已知資產(chǎn)指紋識別資產(chǎn)變更自動發(fā)現(xiàn)資產(chǎn)遷移割接發(fā)現(xiàn)提升利用率/利舊率客戶價值資產(chǎn)管理資產(chǎn)發(fā)現(xiàn)暴露分析深度掃描資產(chǎn)漏洞生命周期管理35謝謝！歡迎蒞臨啟明星辰大廈參觀指導謝謝！歡迎蒞臨啟明星辰大廈參觀指導36資產(chǎn)發(fā)現(xiàn)與管理系統(tǒng)介紹

AssetExplorationandManagement資產(chǎn)發(fā)現(xiàn)與管理系統(tǒng)介紹

AssetExploration37目錄客戶痛點產(chǎn)品介紹產(chǎn)品價值現(xiàn)有手段目錄客戶痛點產(chǎn)品介紹產(chǎn)品價值現(xiàn)有手段38工信部指導意見工信部《關于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全工作的指導意見》中明確指出：深化網(wǎng)絡基礎設施和業(yè)務系統(tǒng)安全防護，加強網(wǎng)絡和信息資產(chǎn)管理，全面梳理關鍵設備列表，明確每個網(wǎng)絡、系統(tǒng)和關鍵設備的網(wǎng)絡安全責任部門和責任人。工信部指導意見工信部《關于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)39集團規(guī)范要求實現(xiàn)統(tǒng)一數(shù)據(jù)格式，強化安全基本信息管理能力，并逐步具備自動發(fā)現(xiàn)新增和退網(wǎng)、自動更新屬性等自動化功能。

全面推進網(wǎng)絡安全漏洞/隱患與網(wǎng)絡設施安全基本信息的關聯(lián)、與外網(wǎng)IP地址相關聯(lián)、與設備版本管理相結合。集團規(guī)范要求實現(xiàn)統(tǒng)一數(shù)據(jù)格式，強化安全基本信息管理能力，并逐40客戶痛點-互聯(lián)網(wǎng)暴露資產(chǎn)安全形勢，依舊嚴峻隨著“互聯(lián)網(wǎng)+”的深入，針對互聯(lián)網(wǎng)的攻擊手段日趨多樣化，安全威脅邊界不斷擴展，DDoS、僵木蠕等傳統(tǒng)威脅有增無減，APT等新型攻擊愈演愈烈。安全管理，存在盲區(qū)盡管安全風險排查力度不斷增加，但尚未掌握暴露在互聯(lián)網(wǎng)上的全量資產(chǎn)信息，安全巡檢覆蓋的盲點仍然很多，大量安全漏洞一直潛伏在系統(tǒng)中資產(chǎn)上運行的軟件種類多，版本不一，在出現(xiàn)安全風險時，排查整改不徹底，同類問題反復出現(xiàn)，使得安全管理比較被動外部通報，名譽受損“家丑不可外揚”，內(nèi)部威脅可內(nèi)部消化，但大量未掌握的，暴露在互聯(lián)網(wǎng)上的資產(chǎn)漏洞及其被攻擊事件被CNCERT和CNVD等第三方機構向社會公眾通報，使企業(yè)面臨重大的信譽危機客戶痛點-互聯(lián)網(wǎng)暴露資產(chǎn)安全形勢，依舊嚴峻隨著“互聯(lián)網(wǎng)+”的41當前現(xiàn)狀資產(chǎn)散列管理運維人員各自進行資產(chǎn)梳理，使用手工方式或文檔管理，編外資產(chǎn)無主資產(chǎn)責任不清缺乏有效的資產(chǎn)關聯(lián)性預知缺乏對設備、資產(chǎn)間通信方式，端口訪問等業(yè)務掌握度，對突發(fā)安全事件關聯(lián)影響度掌握不充分，缺乏應急響應信心依賴人工對比資產(chǎn)采集和自動發(fā)現(xiàn)能力偏弱，需要定期掃描和繁瑣的人工比對，缺乏自動化手段且容易出錯，維護效率低下且準確性不高資產(chǎn)更新效率低下設備版本、安裝的操作系統(tǒng)、組件掌握程度不高，資產(chǎn)設備屬性變更信息掌握不及時1234亟需多種手段結合的、自動化和智能化的資產(chǎn)全生命周期管理解決方案當前現(xiàn)狀資產(chǎn)散列管理運維人員各自進行資產(chǎn)梳理，使用手工方式或42產(chǎn)品整體架構公網(wǎng)情報采集器情報信息資產(chǎn)采集器確認響應告警SOC平臺態(tài)勢感知網(wǎng)管系統(tǒng)agentagentagent離線腳本產(chǎn)品整體架構公網(wǎng)情報采集器情報信息資產(chǎn)采集器確認響應告警SO43產(chǎn)品流程介紹生成報告主動探測被動監(jiān)聽信息補全（可選）深度掃描主動探測：探測網(wǎng)絡上的主機，主動的端口探測掃描，硬件特效及版本信息被動監(jiān)聽：采集或鏡像NetFlow、NetStream、jfow、ipfix等協(xié)議監(jiān)聽網(wǎng)絡上的主機及開發(fā)的端口信息補全（可選）：可選填，主要補全設備的用戶登錄信息，為深度掃描提供權限深度掃描：通過掃描補全資產(chǎn)屬性，分為通用屬性和特有屬性。資產(chǎn)歸檔：對發(fā)現(xiàn)后的資產(chǎn)進行歸檔管理，形成持久化管理。資產(chǎn)歸檔產(chǎn)品采用分布式組件化設計，主動被動相結合，主動探測主要用于對未知網(wǎng)絡下的發(fā)現(xiàn)探測，被動掃描主要用于7*24小時持續(xù)性的監(jiān)聽已知網(wǎng)絡下的未發(fā)現(xiàn)資產(chǎn)，并通過信息補全和深度掃描等方式完成資產(chǎn)屬性的補全，最終實現(xiàn)未知資產(chǎn)的發(fā)現(xiàn)與管理。產(chǎn)品流程介紹生成報告主動探測被動監(jiān)聽信息補全（可選）深度掃描44主動嗅探與被動監(jiān)聽主動嗅探主機探測：探測網(wǎng)絡上的主機

例如列出響應TCP和ICMP請求、icmp請求、開放特別端口的主機。端口掃描：探測目標主機所開放的端口。版本檢測：探測目標主機的網(wǎng)絡服務，判斷其服務名稱及版本號。系統(tǒng)檢測：探測目標主機的操作系統(tǒng)及網(wǎng)絡設備的硬件特性。

主動嗅探被動監(jiān)聽（7*24流量持續(xù)監(jiān)聽）

通過采集或鏡像NetFlow、NetStream、jfow、ipfix等協(xié)議監(jiān)聽網(wǎng)絡上的主機及開發(fā)的端口。

被動監(jiān)聽主被動結合，7*24感知未知資產(chǎn)，實時對比資產(chǎn)庫，同時兩者可以是并存關系，也可以是疊加關系。主動嗅探與被動監(jiān)聽主動嗅探主動嗅探被動監(jiān)聽（7*24流量持續(xù)45被動監(jiān)聽常用的*Flow分析協(xié)議CiscoNetflowv1,v5,v7,v8,v9JunipercFlowv5v8Foundry,HP,Alcatel,NEC,ExtremeSFlowv4,v5HuaweiNetStreamv5,v8,v9RFC3917IPFIXFlow數(shù)據(jù)由網(wǎng)絡設備輸出，F(xiàn)low數(shù)據(jù)類似于我們的手機話費清單，告訴我們每次會話發(fā)生的關鍵信息（不含通話具體內(nèi)容），也就是手機通話行為中的被叫號碼、被叫時間、持續(xù)時間等。Flow數(shù)據(jù)可廣泛的用于網(wǎng)絡分析和流量分析。被動監(jiān)聽常用的*Flow分析協(xié)議Flow數(shù)據(jù)由網(wǎng)絡設46主被動結合的大規(guī)范發(fā)現(xiàn)能力主被動結合的大規(guī)范發(fā)現(xiàn)能力47信息補全設施名稱：可發(fā)現(xiàn)，可自動填充，支持編輯設施等級：不可發(fā)現(xiàn)，根據(jù)工信部對設施進行定級，例如3.1、3.2。所屬業(yè)務系統(tǒng)：不可發(fā)現(xiàn)，可定義IP地址字典來匹配，并支持重新指定所屬安全域：不可發(fā)現(xiàn)。所屬地域：不可發(fā)現(xiàn)。設施所處物理位置：不可發(fā)現(xiàn)。所屬單位：不可發(fā)現(xiàn)，如安徽電信。所屬部門：不可發(fā)現(xiàn)，設施所屬的部門，如網(wǎng)運部。所屬專業(yè)：不可發(fā)現(xiàn)，設施所屬的專業(yè)，如網(wǎng)絡安全。設施類別：可發(fā)現(xiàn)，支持用戶指定，上述六大類中的一類，如主機、網(wǎng)絡設備、安全設備等。主識別IP：可發(fā)現(xiàn)公網(wǎng)IP：可發(fā)現(xiàn)私網(wǎng)IP：可發(fā)現(xiàn)，支持用戶指定浮動IP：可發(fā)現(xiàn)，支持用戶指定日志采集方式：不可發(fā)現(xiàn)，不需要填充，可通過深度掃描填充，syslog，SNMPTrap等。設施遠程維護登錄方式：不可發(fā)現(xiàn)，不需要填充，可通過深度掃描填充SSH、TELNET、WEB等。操作系統(tǒng)類型：可發(fā)現(xiàn)如Windows、Linux、Unix、VMWareESXiServer、KVM等。通用屬性：設備共有的屬性信息補全設施名稱：可發(fā)現(xiàn)，可自動填充，支持編輯通用屬性48主機：

防病毒屬性：是否已經(jīng)安裝了防病毒軟件，及軟件版本。補丁屬性：已經(jīng)安裝的補丁版本。承載業(yè)務：主機的用途，如DNS業(yè)務。漏洞屬性：主機系統(tǒng)的漏洞，如CVE-XXXX。日志屬性：采集日志是否正常實施。賬號口令策略：對賬號口令的配置的強制性要求。主機端口：開放的服務端口列表。啟動項配置：主機自動啟動項的相關配置情況，用于檢查主機啟動項的完整性。進程列表：主機上的活動進程列表。操作系統(tǒng)配置：主機中操作系統(tǒng)配置情況，用于檢查主機操作系統(tǒng)完整性。路由器/交換機：設施狀態(tài)：設施是正常運行還是宕機狀態(tài)。補丁屬性：已經(jīng)安裝的補丁版本。接口狀態(tài)：各個接口是up還是down。漏洞屬性：主機系統(tǒng)的漏洞，如CVE-XXXX。日志屬性：采集日志是否正常設施。賬號口令策略：對賬號口令的配置的強制性要求。配置變更：在什么時間修改過配置。特有屬性：不同類別的設施有自己特有的安全屬性。負載均衡：虛擬IP：負載均衡交換機提供服務的虛擬IP。設施狀態(tài)：設施是正常運行還是宕機狀態(tài)。補丁屬性：已經(jīng)安裝的補丁版本。接口狀態(tài)：各個接口是up還是down。漏洞屬性：主機系統(tǒng)的漏洞，如CVE-XXXX。日志屬性：采集日志是否正常設施。賬號口令策略：對賬號口令的配置的強制性要求。配置變更：在什么時間修改過配置。安全設備：設施狀態(tài)：設施是正常運行還是宕機狀態(tài)。接口狀態(tài)：接口是UP還是down。日志屬性：采集日志是否正常設施。端口信息：設施開放的端口列表。流量信息：設施采集流量信息是否正常。主機：路由器/交換機：特有屬性：不同類別的設施有自己特有的49虛擬機：所屬主機列表：虛擬機所屬的物理主機或者集群。所屬虛擬機系統(tǒng)平臺：如VMWareESXiServer。防病毒屬性：虛擬機是否已經(jīng)安裝了防病毒軟件，及防病毒軟件版本。補丁屬性：已經(jīng)安裝的補丁版本。承載業(yè)務：虛擬機的用途，如DNS業(yè)務。漏洞屬性：虛擬機操作系統(tǒng)的漏洞，如CVE-XXXX。日志屬性：采集日志是否正常賬號口令策略：本虛擬機對賬號口令的配置的強制性要求，或者是vCenter，openstack的統(tǒng)一賬號管理等策略。開放端口：虛擬機開放的服務端口列表。啟動項配置：主機自動啟動項的相關配置情況，用于檢查主機啟動項的完整性。進程列表：虛擬機的活動進程列表。操作系統(tǒng)配置：虛擬機中操作系統(tǒng)配置情況，用于檢查主機操作系統(tǒng)完整性。應用系統(tǒng)：所屬主機列表：應用系統(tǒng)所屬的物理主機數(shù)據(jù)庫類型：安全設施的數(shù)據(jù)庫類型，如：Oracle，SQLServer等。數(shù)據(jù)庫版本：安全設施的數(shù)據(jù)庫版本，如Oracle11g。中間件類型：安全設施的中間件類型，如：JBOSS等。中間件版本：安全設施的中間件版本，如:JBOSS6.0。應用類型：應用軟件類型，如：DNS、3A認證系統(tǒng)等。應用版本：應用系統(tǒng)的版本，如：BINDDNS9.1。安全信息：業(yè)務系統(tǒng)采集的與安全相關的信息，例如網(wǎng)管系統(tǒng)采集到的與安全相關的信息。特有屬性：不同類別的設施有自己特有的安全屬性。虛擬機：應用系統(tǒng)：特有屬性：不同類別的設施有自己特有的安50Agent模式1、安裝Agent代理，支持windows\Linux\Aix\Solaris\HP-ux2、代理自動注冊到管理中心，結果自動上傳3、隨時或定時啟動資產(chǎn)屬性更新任務4、分布式采集部署技術實現(xiàn)Agent模式1、安裝Agent代理，支持windows\L51離線腳本場景：對于不能已經(jīng)在網(wǎng)或不能安裝agent的設備可選擇離線腳本方式采集設備屬性1、產(chǎn)品中心下載離線腳本3、到目標設備上運行，生成結果文件（xml文件）4、將結果導入會產(chǎn)品，完成資產(chǎn)屬性補全技術實現(xiàn)離線腳本場景：對于不能已經(jīng)在網(wǎng)或不能安裝agent的設備可選52補全屬性補全屬性53支持7大類50余種設備，自動采集上報仍在不斷補充完善AEM操作系統(tǒng)路由/交換數(shù)據(jù)庫防火墻中間件其他RedhatAIXHP-UXWindowsSolarisCiscoHuaweiH3CJuniperAlcatelOracleSybaseInformix高可用設備SQLServerIISApacheDB2WebSphere安全設備CiscoWeblogic存儲設備HuaweiFortigateJuniperTomcat虛擬設備WlanAC/AP管理能力天融信WAF支持7大類50余種設備，自動采集上報AEM操作系統(tǒng)路由/交換54深度掃描55系統(tǒng)服務文件權限用戶帳號口令策略認證授權網(wǎng)絡通信日志審計網(wǎng)絡設備主機數(shù)據(jù)庫中間件應用安全設備深度掃描19系統(tǒng)服務文件權限用戶帳號口令策略認證授權網(wǎng)絡通信資產(chǎn)歸檔屬性自定義建模：系統(tǒng)自帶符合要求的屬性池，滿足任意資產(chǎn)屬性管理資產(chǎn)歸檔屬性自定義建模：系統(tǒng)自帶符合要求的屬性池，滿足任意資56資產(chǎn)歸檔資產(chǎn)歸檔流程歸檔資產(chǎn)庫發(fā)現(xiàn)資產(chǎn)庫發(fā)現(xiàn)區(qū)域主動嗅探引擎IP緩存/指紋適配被動監(jiān)聽引擎掃描引擎發(fā)現(xiàn)資產(chǎn)庫保存已經(jīng)發(fā)現(xiàn)的IP，更新IP緩存緩存用于主動嗅探和被動監(jiān)聽進行對比發(fā)現(xiàn)資產(chǎn)庫到歸檔資產(chǎn)庫的過程需要人工參與進行確認資產(chǎn)指紋庫資產(chǎn)歸檔資產(chǎn)歸檔流程歸檔發(fā)現(xiàn)發(fā)現(xiàn)區(qū)域主動嗅探引擎IP緩存/被57資產(chǎn)指紋庫

開放的端口信息

各廠商設備特定端口端口指紋OS指紋Web指紋

系統(tǒng)名稱

設備類型廠商信息

操作系統(tǒng)版本信息HTML信息HEADER信息URL信息FILE信息識別指紋庫資產(chǎn)指紋庫開放的端口信息端口指紋OS指紋Web指紋系統(tǒng)名58資產(chǎn)指紋庫1、先從指紋提取工具中掃描目標設備2、從掃描結果中獲得端口特征&OS特征，如下圖3、新打開一個頁