０引言隨著網絡空間地形越來越復雜，關鍵信息基礎設施的資產管理存在空間和時間盲區。現有的安全運維工作主要還是依靠人工操作，在面對規模化的信息資產管理、復雜的軟硬件監控、各種漏洞頻頻爆出的情況時，依靠單一的運維工具，在缺乏漏洞優先級的評判情況下，難以有效應對高風險場景的要求。１產品設計背景目前市場上存在大量資產安全相關的工具，如資產探測、漏洞掃描、配置核查等工具，但缺乏資產、漏洞、配置、補丁之間的關聯，在脆弱性管理、聯動處置方面缺乏平臺級的產品，只能依靠單品工具加人工分析的方式處理，不能解決風險管控碎片化的問題。基于上述問題并結合安全監管、安全合規要求，我們設計和開發了安天資產安全運維平臺，實現了運維安全一體化管理，打破了單品工具之間的數據壁壘，實現了功能之間的協調聯動，提高了安全運維的效率，滿足了安全監管及合規的要求。２產品架構2

產品架構設計（1）設計目標安天資產安全運維平臺基于疊加演進模型和可管理網絡理念，面向規模化的信息資產管理場景，平臺架構分為采集層、數據中臺、應用層三層結構，提供安全運維門戶、資產管理、配置管理、漏洞與補丁管理、日志與告警管理、日常安全管理等功能，以實現“資產配置漏洞補丁四打通，運維安全一體化”（如圖1所示）為平臺運行目標，可協助網絡安全人員全面管控信息資產、智能調整安全配置、及時處置安全漏洞、充分審計系統日志、持續評估系統運行，實現集約化、自動化、精細化的資產安全運維管理。圖1安天資產安全運維平臺（2）系統架構圖2系統架構

安天資產安全運維平臺通過對資產設備的數據收集，結合資產管理、配置管理、漏洞補丁管理、安全設備管理、日常安全管理等功能模塊的有效聯動，并可以與態勢感知系統結合，實現分析協同、響應處置協同、基礎信息同步、告警與日志信息上傳等功能（如圖2所示）。同時可與安全服務相結合，實現安全加固、漏洞掃描、補丁與升級文件安全分析、漏洞緩解措施開發與驗證等功能。３關鍵技術（1）多維網空地形探測技術平臺通過主動掃描（如圖3所示）、代理上報、被動探測等方式，避免空間上的盲區，隨時感知資產和業務變化，形成實時網空威脅地形。圖3主動掃描技術示例（2）

基于SCAP

規范的配置核查技術圖4配置核查技術平臺融合等級保護、STIG

等國內外的多個安全配置基準（如圖4

所示）

，遵循SCAP

規范，提供標準化的定義配置方式，實現配置基準的高效擴展；采用泛化與特化基準相結合的方式，滿足多樣化的防護等級、行業特性需求；提供在線、離線兩種工作模式，提高配置核查工作的機動性。多標準融合的基準核查能夠適應復雜場景下的檢測需求。（3）

自動化、自定義的配置核查、修復、生成報告技術自動化核查主要是對主機、網絡設備、中間件、數據庫安全檢測。然而系統中往往有很多不同的操作系統，有不同安全等級要求的計算機，同一個軟件可能在不同安全需求的計算機上要進行不同的配置，這些都給系統安全配置帶來很大的挑戰，需要快速、準確性高、自動化的配置手段，自定義基準項可靈活控制用戶現場的配置核查場景，閉環的流程處理保障業務的連續性。如何識別系統中的高風險威脅并快速反應，如打補丁和修改相應配置等提供業務安全的支撐，做到主動防御。基于自動化、自定義的配置核查、修復、生成報告技術架構如圖5所示。圖5技術組件４技術創新（1）資產配置、漏洞補丁，協調聯動，運維安全一體化開展平臺基于資產價值、業務價值和業務連續性影響評估，調整配置策略，評判漏洞處置優先級、制定補丁實施方案。配置基準覆蓋補丁策略，補丁實施有章可循；漏洞威脅情報分析觸發配置基準策略調整，資產配置基準同步更新；漏洞掃描與補丁實施聯動，確保檢測與處置閉環。（2）網空資產測繪能力網絡空間測繪采用主動掃描、流量監測等技術對資產進行深度畫像、拓撲還原。網絡空間測繪包含數百種網絡協議，超過數千條指紋識別規則，能夠全面識別資產信息，可廣泛應用于各種業務場景下的資產探測。（3）配置基準多標融合，遵循SCAP規范平臺融合國內外多個安全配置基準，提供泛化與特化基準，滿足多樣化的防護等級、行業特性需求；遵循SCAP規范，提供標準化的配置定義方式，實現配置基準的高效擴展，支撐安全加固的自動化。（4）資產安全核心知識庫業內獨有資產、配置、漏洞、補丁及其關聯關系全覆蓋的資產安全知識庫，是打通資產、配置、漏洞、補丁的核心支撐，具備持續更新、對外輸出的能力。５結語我們研發的安天資產安全運維平臺在攻防應急演練及重保等業務場景中，通過平臺提供的網空資產探測、安全基線核查、漏洞識別與修復等功能可從資產、漏洞、配置等維度持續對資產安全情況進行動態評估，從而達到資