一、项目背景

随着全球步入万物互联的时代，5G、IPv6、边缘计算、物联网和区块链等创新技术的迅猛发展和广泛应用，金融机构的数字化转型极大地推动了业务的便捷性。然而，这也为网络攻击者提供了新的可乘之机。网络安全资产的精确映射一直是信息化安全体系构建中的一个持久性难题。系统漏洞和新型网络攻击手段不断涌现，政策监管对此持续保持高度关注。为了应对这些挑战，日常的攻防演练变得日益频繁。在安全治理日益精细化的背景下，如何有效管理因网络碎片化而不断增加的暴露风险，已成为一个常态化的挑战。

湖南农信的互联网资产遍布全省，类型繁多，这给日常的互联网资产暴露面管理带来了巨大的挑战。由于缺乏有效的技术支持，目前主要依靠传统的手工记录方式，这不仅无法实现与生产环境的同步更新，而且难以形成完整的管理闭环。此外，部分单位在管理上存在松懈，未能严格遵守审批流程，随意对外开放资产。这些所谓的“三无七边”系统，即没有明确归属、无安全防护、无监管的系统，往往成为网络安全管理的盲点。在攻击者看来，这些系统是极具价值的网络资产情报，对湖南农信的网络安全构成了严重的潜在威胁。

为了应对日益严峻的网络攻击态势，并构建一个与时俱进、更为高效的网络安全防御体系，湖南农信迫切需要打造全省互联网暴露面资产测绘平台，实现对互联网上的暴露资产进行全方位的探测，并利用备案数据核对、人工核对等多种方法对探测结果进行精确校正，从而解决以往依赖手工填表方式所导致的资产梳理不全面、不准确、不及时的问题。

二、项目方案

1.总体设计方案

①系统架构设计

互联网暴露面资产测绘系统采用微服务架构，实现了各功能模块之间的松散耦合和资源共享。该平台支持云部署，遵循资产数据共享的建设理念，利用互联网空间测绘引擎的探测技术，并结合湖南农信的本地企业特征和资产数据，全面梳理企业的互联网暴露面资产。

互联网暴露面资产测绘系统架构示意图

②功能架构设计

功能包括资产探测管理、资产监测、台账管理、数据共享、人工搜索、导入/导出管理等模块。

互联网暴露面资产测绘系统功能架构示意图

③系统性能设计

稳定性保障：系统年月可用率≥99.95%（即全年故障时间不超过10小时）。

系统性能目标：每天可完成2万以上企业自用资产的全端口扫描，在网络负载正常的情况下，扫描一个C段全端口资产任务，资源独占情况下，时长最长不超过2h。

2.核心能力设计方案

①企业指纹管理

支持对企业指纹，包括企业基本信息、关键字、图片、备案号、证书、自定义规则、IP段等的管理和维护，并对采集的资产数据，结合企业指纹，采用指纹识别框架进行资产归属识别。

②企业任务管理

支持省农信联社、办事处与各农商银行用户创建个性化的资产探测任务，对本企业关注的资产创建探测任务，并调用大网探测引擎对任务的目标资产进行实时或周期性的探测发现。

③资产探测发现

支持将操作员创建的探测任务同步到大网探测引擎，探测引擎自动进行任务拆分、调度、下发到各资源池探针，实现目标资产的数据采集，并同步任务的执行进度及任务执行结果到本企业互联网暴露面资产测绘系统；

同时大网探测引擎需周期性对全国IP资产（包括来源于电信、移动、联通等）进行持续探测，识别发现本企业的资产，并自动推送到本企业的互联网暴露面资产测绘系统。

④企业资产认领

支持与大网探测引擎对接，实时获取本企业资产进行统一展示，对于未确认的资产进行人工认领；对已经认领的资产稽核资产当前的备案情况，对未备案的三无七边资产添加到台账进行备案，并可导出所有获取的本企业资产列表。

⑤企业台账管理

支持对企业互联网暴露面台账数据进行统一管理，实现台账数据的导入导出，根据台账IP从互联网引擎中获取IP资产的详细信息，支持根据台账IP快速创建探测任务，进行台账资产的实时监测。

⑥人工搜索

支持通过多维度的搜索条件（包括按IP信息、按地域信息、按证书信息、按资产属性、按网站属性等）对大网探测引擎中已经探测发现的所有互联网暴露面资产进行查询。根据平台定义的搜索表达式，用户可自定义搜索条件，实现对探测引擎中已经探测发现的通用资产、移动门户资产进行搜索展示，并可人工将搜索到的资产添加到台账进行统一管理。

⑦数据共享

支持通过数据导出和提供API方式，同步资产数据、资产风险数据到第三方系统；支持通过文件数据方式，从第三方系统同步本地资产数据到互联网暴露面资产测绘系统。

三、创新点

我们认为互联网暴露面资产治理需要构建暴露面空间探测体系，构建全量精准刻画企业互联网暴露面特征的资产指纹特征库和企业指纹特征库，并结合远程扫描、爬虫、内网Agent、内网出口流量等多种探测手段，通过多维智能关联分析算法，实现对企业互联网暴露面资产的全面自动化梳理，打造企业网络空间全息地图。

通过对梳理完成的暴露面资产建立统一的企业互联网资产台账，对台账数据进行定期自动化探测、稽核以及持续动态的风险监测，发现未能了解或掌握暴露于网络空间的资产和资产风险，并对遗漏的暴露面资产和资产风险进行自动预警。同时通过自动化编排手段，实现对需要多部门、多平台协同处理的资产风险进行统一协调、自动化闭环处置，提升处置流程的自动化和智能化水平。

1、自动化

目前湖南农信互联网资产暴露面管理主要依靠各单位按照管理办法主动上报，采用填报的方式进行报备管理，技术上缺乏自动化的手段对互联网暴露资产进行探测和稽核，通过本项目的建设，湖南农信可以实现自动化的互联网资产暴露面管理，缩减人工成本，提高管理效率。

2、高精度

首创高精度关键基础单位指纹库，通过多维智能关联分析算法，引入AI能力，实现自然语言识别，运用正则表达式、js脚本、字符串模糊匹配、MD5值匹配、图片相似度识别等技术手段，实现湖南农信的暴露资产自动化梳理，解决了传统通过白帽子手工进行梳理，门槛高，效率低，错误率高的问题；另外通过算力网络任务调度引擎算法对探针任务进行灵活分配与限流，实现高性能、高可扩展性和高并发访问能力下最大限度的挖掘服务器资源。

3、全面化

除了帮助湖南农信实现对IP/服务、域名等传统互联网暴露面信息进行采集之外，还可以采集文库、开源源码库、网盘、公众号、APP等新兴的互联网暴露资产，解决资产类型管理不全面的问题。

4、一体化

使用互联网探测引擎获取互联网侧资产扫描能力，结合本地内网以及专网扫描能力以及互联网出口流量被动能力提升互联网暴露资产发现的精准度。同时也与本单位其他网络安全管理类平台进行资产数据同步，实现暴露面资产的集约化管理。

四、技术实现特点及优势

1.技术路线

面向对象的架构设计：通过抽象、封装、模块化和层次化，从架构设计上确保软件实现的结构化、灵活性和可复用。

关注送耦合的架构设计：通过分层、面向方面、容器和微服务化等设计理念，将需求和架构分析结果中交织、混沌的软件元素关系梳理清楚，使性质不同的关注面被分割独立一个一个微服务，通过springboot技术进行单独部署实现分而治之。

基于SpringBoot技术的微服务应用开发框架。

2.项目难点

平台针对互联网庞大、复杂的资产进行探测、识别，存在着非常多的难点：

①资产采集方面

当前很多企业网络和资产本身就安装了一些安全防御软件，如防火墙、EDR等，平台如何能够在保证资产探测效率的前提下，避免资产本身防火墙和EDR的拦截、过滤，保证资产探测的准确性；

怎么实现无感爬虫，避免资产反爬虫机制对探测的影响，同时也不能因为爬虫对互联网资产本身的性能等产生影响  ；

互联网中存在着很多类型的“蜜罐”伪资产，用以吸引探测方进行探测并接受攻击，虽然我们的平台不会对任何主机资产进行攻击，但却会由于这种伪资产浪费很多探测时间，影响我们的探测性能。所以，如何识别并避开网络中的“蜜罐”资产，也是当前的一个难题。

②资产识别和指纹收集

平台提供了根据企业指纹实现资产的自动归属识别能力，在识别的过程中，如何定义各企业指纹、识别流程的优先级和权重，对资产归属识别的准确性非常重要；

在资产指纹特征和企业指纹特征的收集方面，互联网资产类型繁多，部署分散，责任主体多，资产类别数据采集难，梳理过程复杂。目前平台采用单一的扫描工具进行资产特征数据采集，然后人工提取资产指纹，存在数据采集覆盖度不全面，指纹提取效率低的问题。需要研究开发自动化指纹梳理技术，并且在实施的过程中，企业客户也需要一同参与进来，提升指纹提取效率和准确性。

3.关键技术方案

平台通过主动扫描探针进行资产数据的采集，采集后数据由分布式消息中间件上报服务端，经Flink等在线/离线分析引擎进行数据实时分析处理后存储于分布式文件数据库中，支撑资产历史数据的查询和后期资产数据的分析；分布式文件数据库定时将采集到的资产热数据同步到全文检索数据库中，支持前台的全文本智能搜索；同时也能通过Flink对获取的出口流量数据文件进行离线分析，获取企业暴露面资产信息。

平台服务端采用微服务的技术架构，实现各服务间的解耦、单独部署，便于服务的动态扩展。

平台的基本数据、指纹数据存储在关系型数据库中，便于数据的管理，同时缓存到分布式缓存数据库中，支撑服务端的业务处理和分析。

平台前台通过Echart、ElementUI等组件实现数据的共享和展现。

数据采集：数据采集是企业互联网暴露面资产测绘平台的数据入口。此模块包含远程扫描、爬虫等主动扫描插件对互联网中的资产进行探测，并进行部分资产数据的识别，对结果数据以xml或json格式上报，调用任务调度服务的接口，将消息出存入消息中间件队列。采集到的资产数据为后续的分析、存储提供输入。

为了缓解海量资产数据采集上报对平台造成的压力，并且避免数据丢失，平台采用分布式消息中间件进行分布式消息处理，消息中间件的目的是提供一个发布订阅解决方案，缓存上报的结果数据。数据分析引擎通过消息中间件消息队列接口获取数据用于分析。

数据分析：平台采集Flink开源框架作为实时数据采集引擎。Flink从消息中间件中获取返回的资产结果数据，对部分资产再次进行资产识别并且对数据进行转换、补全后，构造成标准的数据格式，调用资产管理服务，将数据存入分布式文件数据库中。

同时，使用Flink组件，对流量数据进行解析、处理，从中获取未被我们纳管的互联网暴露面资产，存入关系型数据库中，后期将针对这些资产生成主动扫描任务进行资产探测。

Flink是分布式的处理引擎，通过实现了 Google Dataflow 流式计算模型实现了高吞吐、低延迟、高性能，并且兼具实时流式计算框架。Flink批/流结合的特点，也适用于对离线数据的分析处理。

数据存储：平台采用大数据分布式存储架构，充分考虑高可用性设计、数据存储量大小、搜索分析效率、成本投入等因素。从搜索分析效率和数据存储量方面考虑，系统采用多种数据储存技术，包括分布式全文存储最新的资产数据，提供前端页面进行资产全文本检索，快速获取资产信息；分布式文件数据库进行大数据分布式存储，存储历次探测的海量结果数据，便于后期对资产信息的深度分析和查看资产的历史变更信息；关系型数据库存储基础数据和指纹数据，数据量不大，关系型数据库便于数据的管理和操作；分布式缓存数据库缓存纳管的资产数据和指纹数据，便于分析引擎快速的进行资产和指纹的比对。

数据服务：平台采用微服务的技术架构，提供各种数据业务服务，实现各服务间的解耦、单独部署，便于服务的动态扩展，包括基础数据服务、资产管理服务、指纹管理服务、任务调度和数据共享服务。

四、项目过程管理

 项目过程在受控条件下按照文件化的作业指导书进行管理和推进。在湖南省农村信用社联合社互联网资产测绘系统采购项目的工作过程有：设计、项目实施、人力资源配置等，大过程可含多个小过程，而且，一个过程的输出直接形成下一个过程的输入，环环相扣，相互关联。

评估验证按计划的时间间隔进行项目内部审核，以确定项目质量是否符合设计要求。

对于未能达到设计要求的工作，在适当时采取纠正措施，以确保项目工作符合预定要求改进。在项目过程中保持质量改进过程的持续性；对于项目中有问题的工作进行纠正的同时，还要采取措施，以消除问题出现的原因，防止再发生；采用标准文件的程序，对问题进行分析并记录存档。

整个湖南省农村信用社联合社网络资产测绘系统建设工程项目2023年8月28日完成开发上线，2023年8月开始试运行，至2024年8月已持续运行12个月，系统运行正常，未出现重大问题，系统功能符合合同及设计要求，工程质量合格，满足了项目的需求和建设方案的技术要求。

五、运营情况

湖南省农村信用社联合社网络资产测绘系统功能包括：资产确认、台账管理、人工搜索、平台概览、指纹管理、资产梳理、资产稽核等。通过网络空间资产测绘系统，根据自定义的资产探测任务，提供对企业互联网暴露面资产的自动探测和采集，并对采集的资产结合企业本地的企业指纹特征数据进行资产归属的自动识别，企业可对识别完成的疑似资产进行资产确认，确认正确的企业资产将添加到企业台账进行统一纳管。同时也可通过人工搜索，提供对互联网暴露面资产的多维查询，从中发现企业的遗漏暴露面资产。通过平台概览，提供对系统指纹信息、企业资产信息、探测任务信息等汇总数据的融合展示。最终构建企业互联网暴露面资产全面梳理的能力体系，消除互联网暴露面遗漏资产安全隐患，持续提升湖南省农村信用社联合社网络安全防护水平。

系统上线以来，持续优化湖南农信社企业指纹信息，当前已收集企业指纹特征信息484条,同时实现了对湖南省农村信用社联合社互联网255个IP地址全端口探测和统一纳管，定期监测IP的端口开放情况，系统上线至今共发现260个疑似遗漏资产IP和端口、195个微信公众号、99个微信小程序、21个移动APP、16项敏感信息、12个非有效页面、3个疑似钓鱼网站，经企业人员确认及时进行处理，及时消除了互联网暴露面遗漏资产安全隐患。

六、项目成效

1.经济效益

该项目的经济效益评估主要体现在以下几点：

(1) 节约安全运营团队成本

项目对网络空间安全资产进行全面、及时、精准识别，帮助企业摸清家底。并对安全资产进行常态化监测，及时掌握安全资产的动态，通过标准化的安全资产管理制度与流程为企业提供规范化、智能化、可视化的安全资产管理能力，保障了各项安全分析和防护的基础工作的有效落实，降低了安全运营分析人员的技术门槛和企业人力成本投入，安全运营分析团队由4人降低至2人，重保演练期间额外增加驻场支撑人员由4人降低至3人，为湖南省农村信用社联合社安全运营团队节省人力成本超过120万/年，应用到全省13家办事处、1家审计中心、102家农商银行、全系统3877个网点，减少人力成本超过500万/年。

(2) 减少安全事件经济损失及考核罚没

项目能建立安全资产与安全资产之间关联、安全资产与业务的关联以及安全资产与责任人之间的关系，及时感知安全资产的变更，包括暴露面端口、内网服务端口、WEB应用、WEB插件、软件框架等，并能自动更新到安全资产台账，保障了基于关键业务从传统运维安全角度和业务认证视角的安全工作有效落地，帮助湖南省农村信用社联合社积极应对安全风险隐患，提升系统的业务连续性水平，降低因安全事件造成系统损失的概率，预计为湖南农信联社平均减少经济损失100万/年，应用到全省13家办事处、1家审计中心、102家农商银行、全系统3877个网点，减少安全事件经济损失及考核罚没超过500万/年。

(3) 减少数字化安全建设重复投资成本

湖南省农村信用社联合社拥有大量法人分支机构，各家分支机构均有大量信息化、数智化基础设施建设。项目能对企业的各类安全资产进行梳理和分类，从安全资产的上线、运行、变更、下线的全生命周期进行管理。明确安全资产的所有者、管理者和使用者。依托该项目建立安全资产运营机制与流程，明确各部门与安全资产责任人之间的安全资产管理职责，规范安全资产纳管、暴露面开通、安全资产变更、安全资产清查、安全资产下线等场景，确保安全资产持续规范化管理，推进安全资产全生命周期管理，减少数字化安全建设重复投资约500万/年。

2.社会效益

该项目的主要社会效益可描述为以下几点：

(1) 新兴技术实践践行关基运营单位责任

习近平总书记在党的二十大报告中强调：“推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定。”网络安全作为网络强国、数字中国的底座，将在未来的发展中承担托底的重担，是我国现代化产业体系中不可或缺的部分。2022年，行业知名IT咨询机构Gartner在报告《Implement a Continuous Threat Exposure Management (CTEM) Program》（《实施持续威胁暴露管理》）中着重强调了企业网络暴露面所带来的挑战，IT的进化正朝着更为复杂的网络技术趋势发展，对于安全运营团队而言，在服务要求日益繁多、威胁态势快速变化、技术人才匮乏的背景下，安全和风险管理依然需要“以少博多”，量化评估企业组织内外部攻击面就变得愈加困难。本研究预测到2026年，以持续性威胁暴露面管理（CTEM）为前提考虑安全投入的企业遭受网络攻击的可能性将降低三倍。本项目的建设与实施是针对网络信息安全新兴技术的实际应用实践，推动关于安全平台整合、智能安全运营治理技术领域的理论和实践落地，为相关的理论研究和技术研究奠定基础，是湖南省农村信用社联合社履行国家关键信息基础设施行业运营单位责任担当的具体实践。

(2) 提升行业平均网络安全保障和运营水平

近年来，随着数字经济高速发展，信息化、数智化技术日新月异，广泛深入应用于金融业数字化转型发展，然而金融行业网络安全建设步伐存在不平衡、不充分的问题。特别是基层银行业金融机构作为普惠金融的直接参与者，网点数量众多、人员庞杂、技术力量相对薄弱，其网络安全管理应得到重点关注，急需提升新技术应用管控能力，丰富网络安全防御手段，筑牢网络安全屏障，加强网络安全日常管理，消除网络安全隐患。面对日益复杂化、组织化、专业化的网络攻击和高级威胁，金融行业原有的安全运营体系需要持续升级，采用主动的风险管理心态，而非传统模型的被动心态。湖南省农村信用社联合社积极建设集约化的网络资产测绘应用，解决资产和安全风险管理不全面、不准确、不及时，安全责任主体定义不清晰等问题，构建立体化、多层次的安全防御运营体系，降低安全运营的成本，提高安全运营的效率和水平, 网络安全防护能力和防护水平得到显著提升，助力数字化转型下企业高质量发展，为关键信息基础设施安全建设和守护积累和沉淀全方位实战经验，打造安全高效型企业，提升金融行业整体的平均网络安全保障和运营水平。

(3) 助力国家网络安全和社会稳定

金融行业信息化程度高，业务系统数据集中度高，资金流转数目巨大，拥有大量的敏感数据，因此，金融行业在网络建设领域一直较为领先。然而，随着金融行业数字化改革的深化，对金融行业的网络安全提出了更高的要求。金融网络安全事件甚至可能引发系统性金融风险，可谓关乎国计民生。湖南省农村信用社联合社持续暴露面威胁管理项目的成功实施，建设集约化的暴露面威胁持续运营管理能力，能有效帮助企业摸清内外部IT资产、公有云资产家底，全面地掌握互联网资产暴露面情况，通过收敛防护体系薄弱环节的分子公司、二三级机构接入部分和外部开发商/外包商开发的信息系统，精准绘制企业安全风险隐患，降低安全运营的技术门槛，提升系统的业务连续性水平，保障现代信息社会有序运行，保证社会和经济的可持续发展，保障国家和社会安全，促进人民生活的安定和社会稳定，树立起企业在维护国家网络安全工作中良好社会责任形象。

七、经验总结

湖南农信联社在互联网资产测绘系统项目的实践中，通过高精度关键基础单位指纹库和内外网联动测绘技术机制创新，全面提升了资产归属识别的准确性和全面性，建立配套管理考核机制，持续提升资产稽核的准确性和及时性，为后续IPv6资产测绘、DRP数字风险防护等升级扩容打下坚实的基础，也为其他类似项目提供了宝贵的参考范例。

1.技术创新是关键

该项目首创高精度关键基础单位指纹库和内外网联动测绘机制，通过多维智能关联分析算法和自动化动态指纹构造技术，实现了关键基础单位的暴露资产自动化梳理和内网资产对外暴露面的精准识别。同时，通过采集企业资产的邻近资产和全面的资产类型，提升了资产归属识别的准确性和全面性。

2.配套管理机制重要

平台实现了对湖南农信联社互联网资产的自动发现和管理流程的自动化闭环管理，相应建立了配套管理机制，对违规行为进行考核，约束安全管理人员及时确认疑似资产并完善资产指纹特征库和企业指纹特征库数据，保证了湖南农信联社资产识别的准确性。

3.持续优化和升级

项目支持系统具有较强的可扩展性，能够应对未来 IPv6 资产测绘、DRP 数字风险防护等升级扩容的需求，有效处理功能和性能上的新要求。通过依托 K8S 容器化技术和 DEVOPS 平台实现生成环境的蓝绿部署，保证了系统的平滑升级和未来的建设需求，使系统能够持续适应不断变化的网络安全环境和业务需求。这为后续 IPv6 资产测绘、DRP 数字风险防护等升级扩容打下了坚实的基础，确保项目能够在技术发展的浪潮中保持领先地位，为企业提供更加全面和有效的网络安全保障。