一、解决方案简介

金融行业作为关系国计民生的重要支柱行业，其信息安全已经上升到国家安全的高度，近年来为了加强金融行业信息安全管理，各行业监管机构相继出台了针对金融行业的相关政策法规，如《商业银行信息科技风险管理指引》、《证券公司网上证券信息系统技术指引》、和《关于促进互联网金融健康发展的指导意见》等。

随着“十四五规划”中将数字化转型作为重要的发展方向，亟需针对开展安全防护基础能力的资产清查，需要针对所有关键信息基础设施单位的网络空间中资产进行主、被动结合的方式探测与识别，完成资产元数据的全方面收集，结合风险和脆弱性扫描技术，从而将金融单位的资产进行全盘清理，解决传统扫描设备主要是针对已知资产进行管理，面对未知资产及突发资产风险，传统资产管理设备的资产识别能力及风险管控能力成为资产管理的瓶颈。

二、应用场景痛点简介

金融行业掌握着国家的重要资源，一旦遭到破坏、丧失功能或者数据泄露，不仅可能会带来巨大的经济损失，还会严重危害到国计民生、公共利益甚至国家安全，后果的严重性不言而喻。另外，网络安全本质上是攻防对抗，金融行业单位虽然不断完善自身的网络安全防御体系，但是针对有组织、有针对的网络攻防对抗仍然存在不足，特别是以下问题依然存在：

1.互联网资产底数不清

单位互联网暴露资产多、变化快，再加上分支机构、业务部门租用的第三方系统和服务，或在互联网私自搭建的系统，这些都是金融单位在进行互联网资产管理中客观存在的困难，再加上缺乏有效的技术手段和产品，导致互联网资产管理能力不足，无法清晰的掌握自身需要防护的互联网资产暴露面，大大加剧了企业资产中的网络安全隐患。

2.弱口令、漏洞等风险普遍存在

网络安全管理措施不善和员工安全意识不足，金融单位在资产管理中针对弱口令、漏洞等风险发现能力不足，金融单位由于企业的数字化转型以及业务信息化进程，天量的数字化资产，必然带来管理的巨大压力，很容易导致弱口令和漏洞被攻击者利用，在攻防对抗中轻易突破金融单位网络安全防线。

3.缺乏常态化安全监测手段

渗透测试安全评估往往是周期性或以事件驱动的，但是网络攻击是持续不断的，在未进行检测期间，新的漏洞很容易被攻击者利用入侵。因此，企业需要能够实现互联网资产与安全风险持续性监测与分析，能够化被动为主动，深入发现暴露的问题和风险，持续有效地对风险进行处理，从而提高攻击门槛，缩减修复窗口期。

三、解决方案亮点介绍

从攻击者角度出发，重新定义网络资产 ：传统意义上的资产，被定义为服务器和 IT 设备，仅限于从物理层清点资产，但是攻击者不止关注硬件设备，更多关注的是设备上承载的业务系统，甚至是某个服务或中间件，所以网络资产管理仅仅管理主机和网络设备是远远不够的。互联网暴露资产风险动态监测系统从安全角度出发，对每一个IP进行画像，描述每一个IP开放的端口及服务、硬件载体以及承载的业务系统等软件成分，更加契合基于安全对资产的实际需求。

网络资产全覆盖，清晰掌握互联网暴露面资产：互联网暴露资产风险动态监测系统提供互联网资产数据采集方式，不仅通过人工录入的方式管理已知互联网资产，还结合用户配置的资产线索（比如域名、证书、ICP、LOGO、关键字）与云端互联网资产测绘大数据数据匹配，各个资产线索间交叉匹配，发现用户互联网隐形资产，同时支持隐形资产的自动化监控与定期推送，将让隐形资产无处遁形，不留管理盲点。

建立符合企业实际管理场景的互联网资产管理模式：系统将网络资产与企业管理属性进行紧密的结合，支持对网络资产的多维度标签化管理，用户可按照企业的实际管理自定义标签，例如：业务系统、组织结构、机房信息等，从而为企业创造更多的管理价值。

分钟级别的应急速度，建立高效的安全问题处置闭环：区别于传统扫描产品的盲扫模式，系统由于具备了资产分析能力，所以漏扫模块首先会确定扫描目标，再有针对性使用PoC进行漏洞检测，极大的提升了漏洞扫描的效率和准确度。同时，系统还建立了完整、高效的安全问题处理工作流程，涵盖从安全威胁的发现，到通报，到复查的全部工作环节，形成高效的安全问题处置闭环，切实的做到责任到人，追查到底。

自动、持续的监测分析，及时发现重要的安全风险：系统会主动、持续性的监测所有网络资产的变动情况、安全漏洞、弱口令等，结合资产的重要程度进行风险分析，准确定位急需处理的风险，帮助企业快速、有效的进行安全防护 。

延展性强，方便对接企业现有的管理系统：系统提供丰富的数据接口，可以方便的与企业现有的资产管理、账户管理、漏洞扫描、办公自动化等系统或产品进行数据对接，实现更丰富的管理方式和内容，使企业之前的投入得到进一步增值。

1.实现资产的精准清点

很多企业在数字化转型过程中，必须对资产“看得全、理得清、查得到”，在企业日常安全建设中首先解决此问题。同时，在发生安全事件时，全面及时的资产数据支持也将大大缩短企业排查问题的时间周期，大幅降低被攻击的可能性。

2.资产画像

通过主动扫描的方式对录入的互联网资产进行全面探测，详细梳理资产的组件信息。系统不仅可以探测IP存活状态、端口、服务等信息，还可以通过预置的资产指纹库详细分析出IP的资产组件构成，例如：使用了什么硬件产品、安装了什么操作系统、使用了什么数据库、开发框架、中间件、脚本语言、企业应用等，可以识别的组件类型共计7个大类，80个子类，产品数量超过30万种，涵盖绝大多数的主流网络产品。

3.资产变化感知

系统从发现IP存活开始，详细记录每一次资产属性的变化，记录范围包括端口、协议、MAC地址、操作系统、数据库、中间件、开发框架、脚本语言、企业应用、风险漏洞等属性，并将变化情况实时呈现在管理者面前，为管理者对安全问题的追踪和溯源提供丰富且详实的数据支撑。

4.完整漏洞生命周期管理

大多数的网络攻击事件都是利用了网络资产没有修补的安全漏洞，企业能否及时发现和处理这些漏洞成为网络安全防护的关键所在。资产安全风险检测平台通过PoC、Web漏洞扫描等多扫描引擎方式对互联网资产进行漏洞检测，预置的PoC均为可被利用的高风险漏洞，PoC库可以实时在线更新，再配合漏洞修复建议和漏洞处置闭环，用户可能持续有效地对资产风险进行快速处理，显著缩减了修复窗口期，从而提高了被攻击的门槛。

5.基于PoC的漏洞发现

使用PoC的方式进行漏洞检测，区别于传统扫描产品，互联网软硬件资产安全风险检测平台会预先收集资产数据，然后根据产品规则进行资产指纹匹配适当的PoC，只对匹配资产进行扫描，极大地提升了漏洞扫描的效率和准确度，漏洞PoC库包括系统/应用漏洞、EXP/PoC 等大量漏洞，数量超过2300个漏洞PoC，且根据新的漏洞定期更新。同时，PoC扫描引擎至少涵盖常见的协议，至少包括http、https、ftp、snmp、ssh、RDP等常见的协议。

6.漏洞通报

对于已经发现的资产漏洞，用户可以使用系统的漏洞通报功能对资产负责人进行漏洞通报，资产负责人收到漏洞通报后对漏洞的处理结果会实时的回馈给通报者，方便用户对资产漏洞的修复情况进行高效的追踪。该功能可以和企业现有的通知系统进行联动，快速融入企业现有的管理流程中。

7.修复防利用核查

对于资产负责人标记为已经修复的漏洞，用户可以使用系统的修复核查功能，一键对漏洞进行修复核查，已经修复的漏洞会被存入已修复漏洞列表中，修复结果一目了然，形成完整的漏洞处置闭环。

四、金融行业客户名单

中国人民银行、中国工商银行、中国建设银行、中国招商银行、中国民生银行。

五、客户评价

招商银行客户评价：

金融单位通过全业务系统的资产测绘及安全性核查，可以有效针对内外部资产进行精确核查，特别是对于未知的暴露面资产，还未纳入统一管控的APP、公众号、小程序等新型互联网资产同样纳入常态化集中管控中，并且针对全网资产的分类分级，资产漏洞排查及加固，从而真正解决所有金融企业单位头疼的资产探查及安全性核查问题，真正实现资产视角的攻防安全对抗、防御体系能力提升、基于资产全景视角的挂图作战，实现安全防御基础也是核心的安全防御关口前移能力。