安天资产安全运维平台

０引言随着网络空间地形越来越复杂，关键信息基础设施的资产管理存在空间和时间盲区。现有的安全运维工作主要还是依靠人工操作，在面对规模化的信息资产管理、复杂的软硬件监控、各种漏洞频频爆出的情况时，依靠单一的运维工具，在缺乏漏洞优先级的评判情况下，难以有效应对高风险场景的要求。１产品设计背景目前市场上存在大量资产安全相关的工具，如资产探测、漏洞扫描、配置核查等工具，但缺乏资产、漏洞、配置、补丁之间的关联，在脆弱性管理、联动处置方面缺乏平台级的产品，只能依靠单品工具加人工分析的方式处理，不能解决风险管控碎片化的问题。基于上述问题并结合安全监管、安全合规要求，我们设计和开发了安天资产安全运维平台，实现了运维安全一体化管理，打破了单品工具之间的数据壁垒，实现了功能之间的协调联动，提高了安全运维的效率，满足了安全监管及合规的要求。２产品架构2

产品架构设计（1）设计目标安天资产安全运维平台基于叠加演进模型和可管理网络理念，面向规模化的信息资产管理场景，平台架构分为采集层、数据中台、应用层三层结构，提供安全运维门户、资产管理、配置管理、漏洞与补丁管理、日志与告警管理、日常安全管理等功能，以实现“资产配置漏洞补丁四打通，运维安全一体化”（如图1所示）为平台运行目标，可协助网络安全人员全面管控信息资产、智能调整安全配置、及时处置安全漏洞、充分审计系统日志、持续评估系统运行，实现集约化、自动化、精细化的资产安全运维管理。图1安天资产安全运维平台（2）系统架构图2系统架构

安天资产安全运维平台通过对资产设备的数据收集，结合资产管理、配置管理、漏洞补丁管理、安全设备管理、日常安全管理等功能模块的有效联动，并可以与态势感知系统结合，实现分析协同、响应处置协同、基础信息同步、告警与日志信息上传等功能（如图2所示）。同时可与安全服务相结合，实现安全加固、漏洞扫描、补丁与升级文件安全分析、漏洞缓解措施开发与验证等功能。３关键技术（1）多维网空地形探测技术平台通过主动扫描（如图3所示）、代理上报、被动探测等方式，避免空间上的盲区，随时感知资产和业务变化，形成实时网空威胁地形。图3主动扫描技术示例（2）

基于SCAP

规范的配置核查技术图4配置核查技术平台融合等级保护、STIG

等国内外的多个安全配置基准（如图4

所示）

，遵循SCAP

规范，提供标准化的定义配置方式，实现配置基准的高效扩展；采用泛化与特化基准相结合的方式，满足多样化的防护等级、行业特性需求；提供在线、离线两种工作模式，提高配置核查工作的机动性。多标准融合的基准核查能够适应复杂场景下的检测需求。（3）

自动化、自定义的配置核查、修复、生成报告技术自动化核查主要是对主机、网络设备、中间件、数据库安全检测。然而系统中往往有很多不同的操作系统，有不同安全等级要求的计算机，同一个软件可能在不同安全需求的计算机上要进行不同的配置，这些都给系统安全配置带来很大的挑战，需要快速、准确性高、自动化的配置手段，自定义基准项可灵活控制用户现场的配置核查场景，闭环的流程处理保障业务的连续性。如何识别系统中的高风险威胁并快速反应，如打补丁和修改相应配置等提供业务安全的支撑，做到主动防御。基于自动化、自定义的配置核查、修复、生成报告技术架构如图5所示。图5技术组件４技术创新（1）资产配置、漏洞补丁，协调联动，运维安全一体化开展平台基于资产价值、业务价值和业务连续性影响评估，调整配置策略，评判漏洞处置优先级、制定补丁实施方案。配置基准覆盖补丁策略，补丁实施有章可循；漏洞威胁情报分析触发配置基准策略调整，资产配置基准同步更新；漏洞扫描与补丁实施联动，确保检测与处置闭环。（2）网空资产测绘能力网络空间测绘采用主动扫描、流量监测等技术对资产进行深度画像、拓扑还原。网络空间测绘包含数百种网络协议，超过数千条指纹识别规则，能够全面识别资产信息，可广泛应用于各种业务场景下的资产探测。（3）配置基准多标融合，遵循SCAP规范平台融合国内外多个安全配置基准，提供泛化与特化基准，满足多样化的防护等级、行业特性需求；遵循SCAP规范，提供标准化的配置定义方式，实现配置基准的高效扩展，支撑安全加固的自动化。（4）资产安全核心知识库业内独有资产、配置、漏洞、补丁及其关联关系全覆盖的资产安全知识库，是打通资产、配置、漏洞、补丁的核心支撑，具备持续更新、对外输出的能力。５结语我们研发的安天资产安全运维平台在攻防应急演练及重保等业务场景中，通过平台提供的网空资产探测、安全基线核查、漏洞识别与修复等功能可从资产、漏洞、配置等维度持续对资产安全情况进行动态评估，从而达到资