一、项目背景及目标

当今，互联网成为各个领域不可缺少的一部分，晋商银行作为金融行业网络运营单位，业务系统的上线和下线越发频繁，既要通过互联网提供相关的服务，又要保证其安全性。网络攻击呈现有组织、大规模、高隐蔽、强持续的趋势，同时在大数据、区块链和自动化等新技术的加持下，网络攻击的对抗形式和强度正在剧烈的变化。

安全资产和服务遭到攻击，尤其是那些未知的资产和服务端口会带来致命的风险。但目前运营单位对自身暴露在互联网上的资产、服务端口、漏洞情况普遍存在不掌握、管理混乱的现象。持续的和大面积的暴露给运营单位安全带来较大的难以掌控风险，关键基础实施运营单位更加应该注重互联网暴露面的管理。

总书记在“4.19”讲话中指出，要“摸清家底，认清风险，找出漏洞”、要“加快构建关键信息基础设施安全保障体系”、“增强网络空间安全防御能力”，国家《网络安全法》提出“国家采取措施，监测、防御、处置来源中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免收攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序”，其中第三十八条指出“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门”。种种情况表明，我们正在面临全新的漏洞形式，为了适应这种新形式，必须加快建立数据集中、能力集中并且能够全面掌握漏洞态势的快速检测、快速分析、快速响应安全体系。

作为网络运营单位在互联网上的资产、服务端口、漏洞情况普遍存在不掌握、管理混乱的现象。持续的和大面积的暴露给安全管理工作带来了难以掌控风险，为了适应当前网络安全形势，晋商银行与北京云科安信科技有限公司及北京遄润科技有限公司开展了跨领域，跨行业的业务合作。建立数据集中、能力集中并且能够全面掌握漏洞态势的快速检测、快速分析、快速响应安全体系。建设漏洞管控平台，通过自动化的手段增加互联网数字资产的风险识别、提高漏洞管理效率，增强漏洞响应和分析能力，提升漏洞运维管理工作能力。

该项目围绕着以下主要基本思路和建设目标进行：

（1）引入基于数字资产测绘的应用探测技术，实现对晋商银行数字资产及业务系统高频、持续的测绘与监控，收集可能存在风险资产暴露面、评估漏洞风险等级评估，实现自动化漏洞管理。

（2）制定漏洞数据管理平台的建设标准和规范，优化数据处理的流程方法，确保建设的平台能够顺利落地。

（3）构建全局的漏洞信息库，实现漏洞的精准检索和定位，及时应对和处置大规模的漏洞事件；增强漏洞处置能力，提高漏洞修复工作效率；

（4）通过平台的功能，实现漏洞处理环节跟踪、状态跟踪、数据流转，为不同部门不同角色提供协同工作的平台，减少沟通成本，提高工作效率，提升整体的漏洞管理和运维工作质量。

二、项目/策略方案

1.项目主要功能

数字资产测绘的应用探测与漏洞管理平台主要功能包括：资产测绘（梳理）、指纹识别及服务分析（梳理）、安全漏洞及安全事件检监测（扫描）、威胁情报及信息泄漏监测（扫描）、资产可用性及状态实时监测（分析）、安全威胁态势（下达）。

2.项目技术指标

建立基于数字资产测绘的应用探测与漏洞管理平台，实现网络资产测绘功能；实现网络资产的指纹识别及服务分析功能；实现安全漏洞及安全事件的实时监测；实现威胁情报检测及信息泄漏监测；实现对网络资产可用性与状态的实时监测；实现可视化强的安全态势分析功能。结合上述所有安全检测及分析功能，从而实现网络资产安全性的闭环管理及资产安全威胁的多维度分析。

3.技术方案

数字资产测绘的应用探测与漏洞管理平台资产测绘与应用探测模块采用微服务、分布式架构，系统共分为资产数据采集层、资产数据分析层、资产数据采集层三个层面及多维度资产发现、信息搜集、漏洞扫描三大核心模块，依靠分布式部署及任务调度技术可以快速实现对资产的全面分析和风险识别探查。

图1 平台功能展示图

数字资产测绘的应用探测与漏洞管理平台漏洞管理模块基于 Java EE 的企业应用解决方案，以 Spring Framework 为核心，整合多种开源开发框架。实现包括数据管理、数据解析、数据展现、数据分析、WebService等等企业应用特性的 Java 企业应用平台架构。

(1)系统以JDK为基础，采用Spring Framework 作为架构的基础。

(2)数据处理使用MyBatis框架来提高开发效率同时保证数据库层的高效率，后台用MySQL作为数据存储载体

(3)业务逻辑层使用DAO + DTO的经典模式

(4)视图层技术使用JSP和JQuery，结合MVVM模式的vue.js来显示

应用MVC模式，系统分层清晰，同时支持分布式集群部署，将数据层与业务表现层物理分离，灵活适应各种部署环境。

漏洞管理模块架构如下图，其层次结构可以划分为：数据采集层，解析接口层，数据层，核心引擎层，应用层。数据采集层主要包含WAF识别、敏感JS文件、端口扫描以及采集协议标语等模块，主要使用了WAF指纹识别工具、模式匹配算法等对页面漏洞进行采集，使用主动探测法以及Nmap主机扫描工具，对资产设备存活端口以及应用层协议响应报文中的标语信息进行收集；解析接口层主要存放了项目相关的XML、Excel、WebService等接口文件；数据层对数据采集层收集的资产数据等信息进行存储，并对CVE、CNVD以及CNNVD等漏洞库信息进行爬取整理，构建漏洞-设备信息映射库；核心引擎层主要是用自然语言处理的NLTK（Natural Language Toolkit）工具和Tokenize分词工具对采集的漏洞数据进行标准化、对协议标语进行归一化，以及引入基于模糊集和信息熵的灰色风险评估模型对漏洞态势等进行分析；应用层主要从资产管理、漏洞管理、检测管理等多个应用需求的定制化功能开发，建立能与用户交互的可视化界面。

本项目还支持对多品牌异构漏洞扫描器、用户自定义漏洞数据、第三方互联网漏洞平台的漏洞数据进行集中采集和分析，对异构漏洞数据进行标准化，将不规范、不标准、英文的原始漏洞数据自动转变为符合CNNVD漏洞标准的全中文漏洞数据，对组织当前资产、漏洞、风险情况进行及时分析，掌握每一个漏洞数据状态，及时掌握微观到宏观不同层级的漏洞态势。为后期的漏洞数据挖掘、深度漏洞数据分析提供技术支撑，提高风险管理水平和效率，本项目在生产现场可在保证效率的同时，完成对现场智能资产设备低干扰的漏洞挖掘，避免传统渗透测试对工业设备正常工作运行带来的安全威胁。

3.1 系统架构

数字资产测绘的应用探测与漏洞管理平台核心功能主要分三大层。资产数据采集层主要对目标资产进行Nmap信息收集及域名、IP、端口等信息进行初步整理，储存设备识别基准样本数据，同时对生成的设备指纹库和协议调度序列进行存储；资产数据分析层对数据采集层收集到的资产标语数据和细粒度特征数据进行预处理和自动特征提取，并进一步对探测报文选择和服务及应用指纹识别，以及包含对资产安全漏洞扫描、资产关联性分析和漏洞模糊匹配等操作；资产数据展示层主要对数据采集和数据分析层内容进行多维度分析和统计后入库形成可视化展示和管理。

图2 平台业务架构展示图

图3 平台功能架构图

3.2 技术路线

数字资产测绘的应用探测与漏洞管理平台遵从公司一体化云平台、全业务统一数据中心等总体技术路线，在信息安全等级保护体系基础上，充分借鉴行业内外典型企业资产测绘平台架构设计，采用微服务模式进行构建其主要包括资产数据采集层、资产数据分析层、资产数据展示层三大模块。

三、创新点

近些年 IPv4 互联网地址的逐渐耗尽，IPv6 互联网地址的快速广泛应用以及 5G、物联网等技术发展使得企业越来越多的资产需要暴露在互联网空间，更大的网络空间暴露面带来了更多的网络空间安全威胁。特别是下级单位或分支机构较多的大型企业，对资产及高危脆弱性的检查效率、准确性存在很多家底摸不清，安全状况不明的问题。

网络资产威胁监控及管理目前是通过漏洞扫描器定时对内外网应用进行漏洞扫描，人工对资产进行收集、统计和管理，工作效率存在一定的局限性和弊端，亟需信息化手段支撑。

本项目主要研究内容和技术难点如下：

网络资产数据的低干扰在线信息收集及漏洞分析技术。

多协议标语指纹库自动构建

如图3所示，网络资产测绘标语指纹库的构建包括以下三个主要部分：

图4 网络资产测绘流程

协议标语采集：通过主动探测收集网络资产应用层协议响应报文中的标语信息，为提高采集效率，利用现有的地址散列、无状态链接等方法，建立有存活端口的网络资产候选集合；然后建立三次握手连接，并抓取应用层数据，获得响应报文中的标语信息；

标语中语义特征提取：协议种类多样，对应标语信息内容复杂，本项目拟通过协议解析后利用自然语言处理技术对协议标语进行归一化的文本处理。针对网络资产标语中含有大量的冗余信息（如HTTP中HTML描述语言），本项目利用自然语言处理的NLTK（Natural Language Toolkit）工具，去除停用词和大量冗余信息，并利用其中的Tokenize分词工具提取标语中的纯文本信息，结合词义鉴别和词义分析等自然语言处理的方法，得到标语中的网络资产信息词汇列表。并针对特征选择词汇列表进行特征权重评估，文本分词的语义、词频和位置等信息能够反映词汇的权重，采用多评估函数的分词权重评价体系，其中采用的评估函数主要包括词频-反文档频率（TF-IDF）、互信息函数、期望交叉熵、二次信息熵和信息增益函数等，并利用特征信息选择网络资产信息库中的设备类型、品牌和型号等信息的优匹配结果；

多协议关联的型号指纹建模：通过对标语语义分析后，获得所有协议对应品牌、型号等资产信息。在整个标语集合中，按照型号重新统计所有协议对该型号的测绘概率，并记录每一个协议的标语识别特征。选定任一型号，对各协议间在标语识别上的关联关系进行挖掘，终确定大关联度的协议标语特征集合，以此作为该型号的指纹。至此完成了对一个型号对应协议标语特征的自动标定，为保证通用性和减少再次对标语进行语义分析，依据设备型号和设备标识信息对应关系，对标语提取协议特征（字段、数字等），生成特定的“标语特征-型号”元组作为设备型号指纹。

基于编辑距离的“网络资产型号/固件-漏洞”模糊匹配机制

为了提高查找效率和精度，本项目提出了一种基于编辑距离的漏洞模糊机制。在漏洞相关网站爬取漏洞详细信息，构建CVE漏洞-网络资产信息映射库，如图5所示。利用基于短编辑距离以及相似度的模糊匹配算法输出网络资产对应的安全漏洞信息，首先进行完全匹配，判断是否有结果，若有，则结束匹配过程；否则，提取待匹配字符串，并将其分解，然后将分解后的字符串到漏洞库中进行匹配，若匹配，相似度值加1，将大相似度值作为匹配结果，终将超过阈值的匹配值视为与漏洞库相匹配。 

图5 CVE-网络资产指纹信息映射框架

多协议标语融合的细粒度网络资产测绘模型构建；

基于强化学习决策树的探测报文调度。

本项目设计了一种基于强化学习累积回报收益的决策树算法来选择调度策略，这是一种自动生成报文调度策略的框架。如图6所示，首先需要对各协议在固件指纹库中的协议出现频率和协议识别概率进行分析。由于各协议报文适用设备数量和识别效果各不相同，所以本项目对固件指纹库中的协议使用频率和协议识别概率进行统计，以此数据为训练样本导入本项目拟采用的决策树模型进行决策生成。

图6 基于强化学习决策树的探测报文调度框架

本项目提出一种针对非平衡数据的决策树模型，包括了根节点选择、特征属性选择和剪枝优化三个方面，在根节点选择方面，我们发现各网络协议的使用频率跟网络资产的类型和品牌相关。例如HTTP、Ftp、Telnet等通用协议等的使用频率明显高于其他协议；行业协议的使用频率与设备类型相关，例如RTSP、ONVIF、SIP和PSIA协议在视频监控类设备中使用频率高，而Modbus、CIP、DNP3和IEC104协议在工控类设备中使用频率高；为此，本项目将利用网络资产固件指纹库中的协议使用频率和协议识别概率分布作为决策树根节点选择的依据，拟用全样本中各协议对网络资产识别的召回率R和精确率P作为根节点选择的具体指标，为了权衡召回率和准确率的关系，设计了较为灵活的Fα指标来计算根节点采取的协议报文类型。

其中α为调节精确率和召回率权重占比的系数，当α=1时，该评价指标等同于F1。分类属性选择方面，本项目采用基于强化学习的特征属性选择策略。在剪枝优化方面，针对搜索数据的自身特征，本项目从设定累计识别概率阈值、banner响应剪枝和短描述长度原则三个方面进行优化。决策树分支路径上累积识别概率为1时，代表已经识别出网络资产信息，停止子节点的生成；部分Banner响应信息中直接能够识别出网络资产品牌或型号信息，也同样停止子节点的生成；此外，网络资产协议种类数千种，且全网空间数十亿地址，搜索策略的时效性至关重要，按照短描述长度原则，只保留所有短分支路径。

基于折算累积回报值的优属性值选择

决策树的关键是决策生成时属性值的选取，在该项目中即指发送报文的选取。首先通过强化学习来完成属性的量化评价建模。强化学习是从自适应控制理论发展而来的一种多决策学习方法，在其决策过程中是通过智能体 Agent 学习统计当前交互环境中的学习结果作为回报，根据这些回报信息来持续学习以获得佳决策过程。强化学习的目标是给定一个马尔可夫决策过程，寻找优策略，而优策略对应的动作就是决策树的属性值选择。首先基于马尔可夫决策过程来进行形式化分析，在马尔可夫决策过程中，Agent可感知到其环境的不同状态集合S，并且有它可执行的动作集合A，在这里指所有的协议报文集合。在每个离散时间t，Agent感知到当前状态st，选择执行当前动作at，获得的回报rt=(st, at), 并且产生一个后继状态St+1=δ(st, at)。在本项目中，符号S用来表示所有状态集合，符号a用来表示当前的发送协议报文，r表示具体指协议报文发送后对网络资产的获得识别概率。Agent的任务是学习一个策略：π：S->A，它基于当前观察到的状态st选择下一步动作at，即π(st)= at。如何精确确定此Agent要学习的搜索策略π呢？显然需要求此策略对网络资产搜索产生的大累积回报。为此，计算一个任意策略π从初始状态st获得的折算累积回报值为：

其中，回报序列rt+i的生成是通过由状态st开始并重复使用策略π来选择上述的动作（at=π(st)，at+1=π(st+1)等）。这里的0≤γ＜1为一常量，它确定了延迟回报与立即回报的相对比例。当γ取值为0时，代表只考虑了立即回报。当前优策略可以通过计算大折算累积回报值来选择，即使得对于所有的状态s，为大。这被称为优策略，用来表示如下：

那么优策略对应的值函数为，简写为，这表示从状态s开始时获得的大折算累积回报，即从状态s开始遵循优策略时获得的折算累积回报。属性评价工作可以转化为一个Agent在任意状态下如何能够学习到优的策略。但是并没有直接从S->A的学习样本，只是能够获得发送报文之后对网络资产测绘概率的采样样本，也就是立即回报序列r=(si, ai), i=0, 1, 2,…。在状态s下的优动作是使立即回报r(s, a)加上后继状态的值（被折算后）大的动作，可描述如下：

通过学习累积回报值获得优策略的条件是，存在立即回报r和状态转换函数的δ的训练数据，显然资产搜索的训练数据中不会存在状态转换函数的相关知识，为此，定义一个Q函数作为求解优策略时动作属性的评价函数。

该函数正是上式中的状态s上的优动作a获得大化的量，这样大化动作的求解就是选择当前状态s下每个可用的动作a中，能够使Q(s, a)大化的动作。然后，只需要对当前状态的Q的局部值重复做出反映，就可选择到全局优化的动作序列。Q学习的好处在于其评估函数的定义精确地拥有此动作属性：即当前状态和动作的Q值在单个的数值中概括了所有需要的信息，以确定在状态s下选择动作a时在将来会获得的折算累积回报。

基于多协议关联关系的细粒度网络资产测绘

本项目采用经典的Apriori算法来挖掘协议簇中相互之间的关联特性，Apriori算法是一种迭代扫描的数据关联分析算法，算法的效率受数据规模影响，频繁项集的大小常常不可控。尽管网络资产测绘的协议种类很多，但是单一型号支持的协议种类有限，训练的数据集规模不会导致过大的频繁项集，而且受全网空间的影响，搜索和识别的探测报文不易涉及过多协议，否则会严重影响时效性。常用频繁项集的评价标准是支持度和置信度。支持度反映的是两个关联数据同时在整个数据集中出现的概率，在这里指任意两个协议同时出现的概率，但是协议同时出现并不代表对型号的识别具有贡献，因此，为了更加合理的评价两个协议在网络资产测绘这一目标下的关联关系，本项目拟引入一种基于识别概率的协议关联支持度。假设任意两个协议为X和Y，两协议识别该型号的概率分别为P(X)和P(Y)，那么对应的支持度为：

同理，置信度是指在已有一个协议识别条件下另一协议识别的效果，反映的是一个协议对另一个协议进行网络资产测绘时的帮助程度。描述两协议间识别关联的置信度如下：

常用的频繁项选择方法是设定小支持度和小置信度阈值，大于阈值的关系项添加到频繁项集合中。但是阈值的设定很难估计，这也直接决定了频繁项集的大小。本项目不采用FP-Tree，GSP和CBA等Apriori的后续改进算法来提升挖掘效率，而是根据网络资产测绘的实际情况，只要关联协议的支持度超过1，代表多协议进行网络资产测绘的概率已经超过1，即已经满足网络资产测绘的要求，正是基于此条件，Apriori算法也只考虑有限阶迭代以内的协议关联，而不是全部迭代完毕。

图7 基于细粒度特征的指纹增量优化框架

目前，细粒度特征的精细化识别仍面临两方面的挑战：一方面，细粒度的响应报文特征进行精细化的指纹提取和建模，另一方面，指纹提取后能否对设备进行细粒度识别，还要依赖于设备固件版本空间和指纹特征空间的大小。如果两个设备细粒度特征在指纹特征空间中的映射存在交叉或者重叠，那么将导致细粒度的识别存在误差或无法识别。为解决上述问题，本项目拟设计一种基于设备固件特征增量学习的指纹优化框架，如图7所示， 在获取样本数据的基础上，包括三个主要的核心步骤：

1）响应报文细粒度特征提取：为了快速获得响应报文特征，并且能对任意两个响应报文特征进行相似度比较，本项目采用Simhash算法来对指纹进行特征提取，该算法常用于处理文档数据的相似度计算。针对同一品牌，收集不同固件版本设备的各协议响应报文，首先对数据进行IP地址、时间戳等动态冗余信息剔除，然后从多个维度提取特征，包括：词频、字段长度、长句等特征，对各种特征的集合进行Simhash处理，能够得到设备二进制字符指纹，再对所有指纹按照汉明距离进行简单的K-Means聚类。由于同一品牌的固件差异不大，聚类生成的一个指纹簇可能对应多个固件版本，这将带来指纹的模糊相似性，无法区分相近固件版本对应的指纹。这需要对原始的指纹进行***性增强，尽量保证每一个指纹对应一个固件版本。

2）增量式协议关联分析：同一品牌下，一个固件版本对应的每一个协议响应报文也只能提供单方面的固件特征信息。这需要继续关联多种协议对固件版本特征的识别，然而数据集合已经变成了固件属性信息（如固件头标识，固件影像文件大小，指令集类型和文件类型等）的响应报文特征，而非之前的标语信息。原有的Apriori算法在处理细粒度固件特征时，数据库中有新的数据增加，同时小支持度和小置信度的阈值也会改变，因此Apriori算法不能继续适用。为此，本项目提出一种增量式多协议关联规则分析的细粒度指纹构建方法，针对每一个品牌的所有协议簇和对应固件响应报文特征，仍然利用识别概率来构造任一品牌所支持协议的频繁项集。本项目拟对经典的增量式FUP算法稍作改进来挖掘在不同固件识别过程中的协议关联特性，FUP算法的基本思想是只对新增数据特征集合进行挖掘和筛选来构造频繁项集，然后用新的频繁项集和已有的频繁项集，查找相同项，如果出现相同项，则将相同项放入频繁项集中；如果出现不同项时，需要对经典的FUP算法做一下改进，因为固件响应报文特征是在品牌特征下的细粒度特征，两者具有一定的层次关系，因此，两个频繁项集的支持度和置信度的权重也各不相同，在此，本项目拟以细粒度响应报文的协议关联项集合作为输出标准，当两个频繁项集出现不同时，以新生成的细粒度协议关联规则为准。并用新的频繁项集小支持度和小置信度阈值来生成频繁项集。

3）细粒度指纹的***性增强：多维协议特征融合使得指纹具有更多的维度和差异性，然而协议特征本身受设备相邻版本固件具有相似性的影响，仍存在相近固件版本指纹相似性或模糊性。即使依靠增量式协议关联生成新的关联特征，也无法保证固件指纹的***性。尤其是固件版本相近时，相邻版本的差异性并不明显，除了依靠增加辅助的细粒度信号特征外，可以采取固件版本特征插值的方法增强指纹***性来增加指纹的差异性。本项目拟采用高斯权值插值方法，假设某个品牌采集的细粒度特征向量集合为Gp，可将指纹库中的第i个指纹向量描述为：

wi是插值的权值向量，βi是指从wi中抛除第i个元素的向量，其向量1-范数值为1，[wi]i是指向量wi的第i个元素，ei是除第i个元素外全为零的单位向量。直观上，[wi]i可以作为固件版本i和固件版本j对应细粒度特征指纹之间被插值权值。在没有其他先验条件的前提下，可以选择如下高斯插值权值作为核函数，该方法也在机器学习领域的相似条件下得到较好的验证。

其中l为尺度参数，可通过实验测得经验值，代表固件版本i和固件版本j之间的相似度测量值。此时，固件版本i的指纹向量将被建模为一个高斯分布，细粒度固件指纹的度量标准变为马氏（Mahalanobis）距离，而其他附加细粒度特征也能够被描述为概率分布的形式，同样采用马氏距离进行度量。为了控制高斯分布的计算规模，需设定指纹库的规模，可以依据同品牌产品的型号类别进行子指纹库的划分。

网络资产脆弱性法分析原型系统

对网络资产测绘和漏洞进行风险评估时，主要从以下几方面来进行：

基于模糊集和信息熵的指标权重确定

评估指标的权重反映了该指标对评估对象的影响程度，指标权重值的合理确定将直接影响评估结果的准确性。我们通过融合模糊集理论和信息熵对传统层次分析法的权重计算方法进行了改进，依次确定目标层和各层评价指标和指标的权重。下面首先计算目标层的风险因素相对于*****层的权重。

模糊集与隶属度矩阵

按传统的层次分析法，首先要计算目标层因素相对于*****层的判断矩阵。即对风险因素层的风险因素相对于可用性、完整性、机密性分别构造判断矩阵。为了克服风险因素间比较的主观性，采用模糊判断定量的评定各个风险因素。

首先构造风险因素集；接着构造评判集，相对于上一层不同的安全目标，专家对各风险因素逐一给出影响程度评语，将各风险因素的评语分为m 个等级，用以衡量风险因素对相应安全目标的影响程度大小。对不同的安全目标，可设定不同的评判集。

根据上一层不同的安全目标，专家给出各风险因素相应的影响程度评语，并构造模糊映射, 其中是上的模糊集全体，映射z代表对评判集中各影响程度评语的支持度对评判集的隶属向量为,由此得到风险因素隶属度矩阵为：

风险因素相对于不同的安全目标下得到不同的隶属度矩阵。

网络资产测绘和漏洞灰色风险评估

灰色理论广泛应用于结构复杂，难以采用定量的方法构建精确模型的系统研究中，在无法完全获取系统信息的情况下，可以较好解决指标难以量化的问题，使评估结果较为客观准确，我们将灰色理论应用到风险分析中，主要分为六个步骤进行风险评估。

1)风险等级划分

我们采用准则 GB/T 36466-2018中风险的划分等级：很高、高、中、低和很低，并将这 5 个风险等级对应的分数设为 G=(5、4、3、2、1)，介于两个划分等级之间的风险值取对应的等级分数的中间值。

2) 构建样本评估矩阵

根据步骤1)中确定的风险等级，采用专家打分方式，对各风险因素进行独立打分，得到样本评估矩阵D：

其中， 表示第 j 个评价者对风险因素的评价结果，共有g个评价者。

3) 确定白化权函数

设有 t 个评价灰类，根据步骤1)中确定的风险等级，本文中设 t=5，相应的白化权函数和阈值分别是和，白化权函数和阈值的选择方法在相关文献中有较为详细的描述，本文不在赘述。

4）构建灰色评价矩阵

对于风险因素，假设 g 个评价者给出的评价分别为，那么隶属于第 t 个灰类的灰色统计数为：相应的总灰色统计数为：，计算出灰色评价权：，此值用于衡量所有评价者主张风险因素隶属于第 t 个灰类的强烈程度。由可得对于各灰类的灰色评价权向量，进而构建风险因素关于各评价灰类的灰色评价矩阵R：

5) 进行灰色综合评价

针对目标层，风险指数F分别为,设F 下各组件的权重集为,则 F 的灰色综合评价向量为

6) 风险评估

将风险等级向量G 和灰色综合评价向量 L ( F )进行运算,得到网络资产测绘和漏洞的整体风险值：。同理，可计算出组件的风险值及在机密性、完整性和可用性三个方面存在的风险值。

数字资产测绘的应用探测与漏洞管理平台是资产普查、风险探测、风险管理于一体的综合资产探测与详情展示系统，结合漏洞发现检测技术和数据情报分析技术，采用Nmap，Zgrab2等工具实现对网络空间的IPv4及域名资产存活状态的快速探测，利用自然语言处理技术，对标语信息进行去冗余、去停用词和分词等操作，将提取的关键词与资产信息库进行匹配识别，从而具备针对全网各类资产的精准发现、精准识别、精准威胁检测能力。该平台通过网络爬虫技术收集现有CVE、CNVD以及CNNVD等漏洞库信息，构建漏洞-资产型号映射库，为网络资产测绘以及脆弱性分析提供基础信息支撑。数字资产测绘的应用探测与漏洞管理平台以资产搜集、指纹检测、PoC检测三大高性能检测引擎为基础，依托资产指纹库、CVE漏洞库、PoC规则库等丰富的资源库，基于短编辑距离和相似度的漏洞模糊综合匹配算法实现对网络空间资产的准确识别、发现与安全检测，从而掌握网络空间资产安全风险态势，提升资产安全治理水平，降低资产安全维护管理成本。

3.3部署方案

方案部署模式分为互联网环境部署和内网环境部署，具体如下图所示：

图8 外网整体架构部署图

图9 内网整体架构部署图

外网系统：通过互联网扫描企业外网资产，部署方式为虚拟化环境部署，外网部署面临较大的安全性挑战，为加强系统安全性，除设置强密码登陆外，增加白名单设置限制源地址访问，同时虚拟化部署可以对系统进行定期快照备份，增加稳定性。

内网系统：扫描企业内部安全漏洞，因平台特殊功能需求需要访问内部业务系统，需较高权限，所以同样需要加强安全管理，包括强密码登陆外，增加白名单设置限制源地址访问，管理接入需经过运维审计设备等。

3.3.1 技术升级及动态更新方案

数字资产测绘的应用探测与漏洞管理平台采用的是微服务架构，设计之初已考虑到核心模块的技术升级和更新方案，如添加新模块只需启动对应服务无需更改代码，在后台添加新的接口即可实现新功能。

图10 平台API接口配置图

四、项目过程管理

五、运营情况

通过为期一年的平台建设及投产后，形成了一套自动化、流程化、平台化、可视化数字资产测绘与漏洞管理平台，集中解决以往漏洞发现、漏洞管理与漏洞处置环的碎片化的需求，改变现有的数字资产测绘与漏洞管理工作模式，整体提升晋商银行安全防护水平。

1.将现有的零散分布的漏洞检测工具和手段集中整合，直观的看到整体的态势情况，一键式的查看和分析各个系统的漏洞检测情况，同时对业务系统的各个漏洞进行全周期管理；

2.以业务系统生命周期为核心，加速实现漏洞收敛，提高了应用系统安全水平和交付效率，缩短了业务系统上线前的时间成本；

3.通过平台进行漏洞风险验证，使用多源的漏洞验证手段，逐步完成漏洞知识库，明确漏洞风险和考核指标，降低人员成本和漏洞响应时间。

4.通过数字资产测绘的应用探测与漏洞管理平台进行积极响应人民银行、银保监会、公安机关等监管机构的漏洞舆情和安全通告，对安全漏洞进行综合分析，实现情报共享联动、及早预警、态势感知、漏洞修复；

5.全局掌握100多个业务系统的应用风险态势，实现安全团队、研发团队、运维团队以及三方外包团队多类角色共计200余用户的协同，形成快速测试、快速分析、快速响应的运营能力。

六、项目成效

社会效益：该平台能显著提升对于漏洞运营的管理水平，满足国家及行业出台的相关法律法规、管理规范对于漏洞验证和的相关要求。基于数字资产测绘的应用探测与漏洞管理平台也可以为其它金融机构提供了一套体系化、流程化、持续化的资产测绘与安全漏洞的运营机制。实现对IT资产漏洞的全生命周期管理，可以从资产探测，漏洞漏洞发现、漏洞验证、漏洞修复，对IT资产的风险进行流程化处理，持续跟踪，终将漏洞修复归档。基于数字资产测绘的应用探测与漏洞管理平台，是现在前沿的信息安全行业技术，已经成为解决当下安全问题的有效手段，因此基于数字资产测绘的应用探测与漏洞管理平台的研究与搭建在行业内有普遍适用的特征，未来可以形成统一风险管理流程，提高效率与安全性。在各个行业具备普遍的推广性。

经济效益：基于数字资产测绘的应用探测与漏洞管理平台，能够标准化IT资产的风险管理，通过工作流处置管理平台减少人力资源投入，使得管理人员可以有效地跟踪资源漏洞生命周期，清楚地掌握全网IT资产的安全健康状况，实现漏洞全生命周期的可视、可控和可管。降低上下级间的沟通成本，提高脆弱性扫描与管理工作的效率。本项目带来的主要经济效益如下：

1.节约漏洞处置人力成本、提高漏洞处理效率：

在漏洞全生命周期管理流程中，涉及到资产漏洞的发现、利用、修复、公开等各个漏洞状态；涉及到预防、收集、削减、发布 等各个漏洞管理活动；还会涉及到用户、厂商、漏洞管理组织、漏洞发现者等不同角色。需要投入大量的运维人员去保障各个漏洞状态的有效跟进、各个漏洞管理活动的有序执行以及各个角色的高效协调，从而保护真实业务资产。

通过建设基于数字资产测绘的应用探测与漏洞管理平台，管理员可通过分配角色的数据权限选择一个或多个关注的漏洞添加到绑定用户的工单，并对工单进行派发，通过邮件提醒功能以及工单超时处理的功能来提高工单处理的及时性，提高工单处理过程的时效性。系统会针对超时的漏洞处置工单进行统计，对漏洞的处理效率进行统计排名。为管理者提供KPI指标，增加业务人员对漏洞及时处置的意识。

从而将运维人员从繁杂的漏洞管理流程中解脱出来，在提高漏洞处理效率的同时也节省了漏洞处置人力成本。

2.降低了安全漏洞运营设备的投资：

如果要实现资产测绘发现安全漏洞工作流处置与企业内部组织架构的融合，传统方法需要深度定制化开发，不仅开发周期长影响漏洞工作流处置平台上线周期，而且开发部署成本也较高。

同时由于定制化平台的封闭性，导致许多开放对接功能难以实现，比如对接CVE、CNVD、CNNVD等漏洞信息、对接各个品牌漏洞扫描设备等，严重影响了漏洞运营效果。

基于数字资产测绘的应用探测与漏洞管理平台后台流程引擎配置可以支持流程随着业务自由定制，业务动态跟流程节点操作息息相关，可以可以根据客户需求配置相关的流程和表单。实现快速交付的同时，大程度减少定制化开发内容与成本。

七、经验总结

区域商业银行一致处在信息安全风险和投入的不平衡点上，企业面临的风险很高，但可用投入比大行和股份制银行少很多。如果用更少的投入完成更有效的服务，一直是区域商业银行需要面对的问题。基于数字资产测绘的应用探测与漏洞管理平台，首先是一个高集成的系统，将之前若干系统功能整合在一个解决方案中，有规模化优势，其次中国区域性商业银行数量众多，且大家面临的问题基本相同，有大量的同类客户可以复制，这是行业内推广的价值。

数字资产是一个更加广泛的概念，随着中国更深入的走入数字化社会，数据无处不在，同时国家对数字资产的重新定义，也确立出新的资产形态和处置策略。发现、定位、确权、保护，是未来针对数字资产必须要落实的技术环节。因此围绕数字资产的测绘和安全评估会成为社会性的普遍需求。我行已经把数字资产的整体解决方案落地在银行核心业务，并将进一步推广到非银行业务场景。