网络空间资产测绘（态势感知）

网络空间资产测绘调研报告

前言

网络资产不清、资产管理困难以及意识不强导致的安全防御无

根基等痛点问题是安全行业的“共性顽疾”，因此网络空间资产的探

测与绘制是构建网络安全体系的底层支撑这一理念已经成为业界的

共识。而落实主管部门提出的“三化六防，挂图作战”的核心要点

之一就是要做好网络空间资产的测绘工作。

鉴于此，数世咨询在2021年初发起了“网络空间资产测绘能力

指南”的调研工作c调研工作历时2个月，数世分析师与30余家具

备相关能力的安全企业，通过调研表、在线沟通、线下交流，以及

用户访谈等方式，进行了深度沟通，最终完成本次调研。现将报告

成果公开发布，希望能为业界带来有价值的参考。

本报告分为三个部分：市场指南、能力指南与实践案例，从市

场、技术与实例三个层面分别进行阐述。

关键发现

V针对赛博空间中的数字化资产，通过扫描探测、流量监

听、主机代理、特征匹配等方式，动态发现、汇集资产数据，并进

行关联分析与展现，以快速感知安全风险，把握安全态势，从而辅

助用户进行指挥决策，支撑预测、保护、检测、响应等安全体系的

能力，即为网络空间资产测绘(CAM)。

V红蓝攻防演练是近两年资产测绘市场增长率保持近100现增

长的重要推动力，梳理资产暴露面成为演练开始前所有参演方的必

备功课。

V公网测绘与私网/专网测绘相比较，前者大多为监管需求，

后者则为企业自身安全防护的需求，但后者占市场占比的绝大部分

近70%。

VCAM的三大关键元素，数字化资产、资产所有权与指纹特

征。两大关键能力，资产探测与资产绘制。

J不管是资产发现还是资产绘制，长期并持续形成的，深度

的技术、数据与经验的积累，才是CAM能力的核心评价标准。

V资产数据与其他安全产品的整合，需要与用户侧和其他安

全企业反复沟通深度协作才能完成，这个对接过程并不是标准化可

复制的，如何在成本和效益之间寻找一个各方都能接受的平衡点，

是一个多方博弈的过程。

一、市场指南

1、能力点阵图

网络空间资产测绘•点阵图(CAMDM)

应

用

创

新

力

L阳中・垠・风务

心智占有力：・，。▼分

市扬物行力

2、市场调研

经过深度沟通，30余家能力提供者中最终18家厂商及机构入

选了本次点阵图，分别为：360政企安全、PCSA安全能力者联盟、

斗象科技、国舜股份、华顺信安、华云安、聚铭网络、绿盟科技、

默安科技、魔方安全、奇安信、数字观星、新华三、远江盛邦、云

弈科技、亚信安全、知道创宇和中通服。

这里要说明的是，资产测绘是几乎所有安全工作的基础性工作

之一，涵盖多个安全细分领域，因此，参与报名本次调研的企业，

除了上述18家外，还有数据安全、工控安全、物联网安全等细分领

域的多家能力企业积极报名参与，但鉴于这些细分领域显著的计算

环境差别或行业特性差别，难以一同放在本次调研范围内进行统计

与比较，因此，数世咨询将在其他细分领域调研报告中纳入这些企

业。

2020年，网络空间资产测绘在数世咨询定义的市场成熟度阶梯

图中欠于“新兴市场”的阶段。如下图所示：

*S・—启动区2020年度网络安全细分领域阶梯图（网络安全）

蒙•af

a-•

ittmaB・里―，也

S•IfWQKAMaA

E•maeDa

市场成熟度

网络资产测绘在数据咨询发布的《2020年中国网络安全能力图

谱》中位于“通用概念”维度中“扫描”二级分类。如下图所示：

L业舒连晒

H-持飨散娓保护

」g灾■1»

网络审计

日志审计

审计

主机审计（详见计■对像）

故据廊审计（同上）

r电信给》检溶

L灌■分析--全表■分析

沙精一1

富・透捕一

分析1（胁情报

拟态防图-T仿真

卜日志分析/SIEM

网络混淆一

行为分析/UEBA

网络1R场」

I-耐扫描

扫描

3、市场规模

据本次调研统计，2020年国内资产测绘市场规模约在5.942

元左右，综合业界的判断，预计2021年将达到9亿元左右。

90%12.6813.00

2019

-增长率■市场规模（亿元）

本次调研统计了从2019与2020年的市场规模，统计范围包括

网络空间测绘订阅服务、资产测绘类产品、资产测绘相关解决方案

中涉及的资产测绘与资产管理部分（鉴于红蓝攻防演练中资产暴露

面梳理服务通常打包在演练整体服务中，难以单独拆分统计，因此

并未计入本次市场规模统计范围）。

虽未包含对“服务”的统计，但红蓝攻防演练是近两年资产测

绘市场增长率保持近100%增长的重要推动力，梳理资产暴露面成为

演练开始前所有参演方的必备功课。

4、客户分布

其他

3%

交通物流

2%

网络资产测绘市场的主要用户分布如上图所示，排名前四位的

行业为政府及部委、军工、运营商和金融用户，合计占比近70%。

这几个行业分别对应着监管机构、挂图作战、关键基础设施等典型

的资产测绘场景需求。

5、交付形态

网络资产测绘能力的交付形态主要有SaaS模式（含会员订

阅）、私有化部署模式（含软件与硬件）、纯数据交付模式，各自占

比如下:

从图中可以看到，最显著的特征是私有化部署占了将近68%。

私有化部署方式主要应用于机构自有资产的测绘与管理，满足

于私网/专网资产的测绘环境或是数据本地化等要求。这与上文行业

分布统计中得到的“政府、军队、运营商、金融”四行业所占比例

恰好相同，数据上的巧合，一定程度上印证了这四个行业对关基资

产、专网资产、自有资产、数据本地化等方面的需求特点。

二、技术指南

1、定义

首先明确网络空间资产的定义，这里的资产是指赛博空间中某

机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数

字资产。具体包括，’旦不限于硬件设备、云主机、操作系统、IP地

址、端口、证书、域名、Web应用、业务应用、中间件、框架、机

构公众号、小程序、App、API、源代码等。概括来说，只要是可操

作的对象，不管是实体还是属性。都可以称之为“网络空间资产”。

针对赛博空间中的数字化资产，通过扫描探测、流量监听、主

机代理、特征匹配等方式，动态发现、汇集资产数据，并进行关联

分析与展现，以快速感知安全风险，把握安全态势，从而辅助用户

进行指挥决策，支撑预测、保护、检测、响应等安全体系的能力，

即为网络空间资产测绘(CAM)。

何为资产测绘？

“测”一一资产探测发现能力。

“绘”——资产数据的关联展现能力。

2、关键元素

传统资产到数字化资产：

从资产的数据来源来看，机构中传统的资产台账多以Excel表格

的形式存在，且台账的数据基础来源主要是网络部门/运维部门。资

产的种类以网络、运维部门为基础视角，这对于安全管理员来说，

有天然的局限性。

从资产的变更频率来看，上一任安全管理员留下的资产台账无

论是Excel形式还是资产管理系统，都需要依靠“人”的主观能动性

推动更新，这种更新没有统一标准，周期性难以保证，随着敏捷开

发、云化虚拟化容器化的迅速普及，这个问题会更加突出。

从攻击暴露面的角度来看，随着传统的资产范畴以主机资产、

网络设备为主，信息资产，再到如今App、API、微信公众号等新的

数字资产形态，资产的范畴不断外延，暴露在潜在攻击者面前的选

择越来越多。而这些数字资产在传统台账中恰恰是完全缺失的，如

果仅依靠安全管理员使用传统方式手动发现、完善、补充，必然会

有遗漏。因此安全厂商的资产测绘能力要能涵盖这些新的数字化资

产。

资产的所有权：

数字化资产面临的首要问题，就是资产的所有权问题。

资产的所有权，即某个资产归属于谁。不同于传统的IT资产，

一台服务器放在哪个机房，这台设备属于谁是很明确的，但在数字

化资产形态越来越多变的趋势下，某些场景会存在资产所有权的争

议。

例举一个真实案例，近年某次红蓝攻防演练期间，攻击队发现

并拿下了某家股份制银行的一个站点，站点上有该银行的金融产品

内容介绍、icon图标等，甚至还有该银行的账户登录入口。银行安

全负责人收到失陷通知后立刻带队排查，却始终没有查出来哪个站

点被攻破丢了分。后来才发现，被攻破的站点本质上就不是这家银

行的资产，而是一个钓鱼网站。

除了红蓝攻防演练这种极端场景外，日常类似的场景，会经常

出现在GitHub（源代码资产）、微信公众号/小程序（API资产）、移

动应用市场（App资产）甚至暗网（数据资产）等深网环境中，因

此，数字化资产的所有权，已经难以用传统意义上的硬件或地理归

属来确定，只要是潜在有可能被攻击者利用的资产，都是应当纳入

安全管理人员的关注范围。

资产的指纹特征：

机构中某个资产具有的一系列特征信息的集合构成了这个资产

的指纹特征。这些特征信息，是可以通过正常手段看到或获取到的

信息。例如，｛外网IP地址、内网IP地址、端口号、证书、域名、

操作系统、Web应用、中间件/框架｝就构成了某机构某台Web服务

器的指纹特征。

指纹特征的目的是为了准确描述和定位某个资产的安全属性。

无论对于潜在的攻击方还是明处的防守方，对某个资产的准确描述

和定位是开展后续一系列攻击/防守动作的基础。一般情况下，这个

指纹特征是唯一的，但并不绝对。特征信息越丰富越准确，它的唯

一性就越强。

准确描述和定位某个资产的安全属性有什么用呢？

资产的安全属性与业务价值：

从安全事件的潜在影响来看，网络部门、运维团队的首要任务

是保证网络可用性、业务连续性等等，他们优先关注的关键资产是

诸如核心交换机、负载均衡、容灾备份这样的资产，但这些资产并

不一定是安全管理员优先关注的，后者更关注的是安全事件发生后

的潜在损失、影响范围、追踪溯源等等，这些内容都与资产的安全

属性紧密相关。

从攻击者的视角来看更明显。攻击者不一定关注负载均衡，但

是一定关注核心业务数据库和域控服务器，这些资产的潜在收益最

高，同时也会优先关注像Struts2等等大范围应用同时又总是爆出高

危漏洞的框架，这些目标资产的影响范围更广。

因此机构在资产管理的过程中，除了网络属性、运维属性外，

资产的安全属性与业务价值也应当有所体现。最直接的收益是，当

某个特征的资产（例如Struts2）受到新爆出的lday漏洞威胁时，

安全运营人员可以从攻击者的视角，对所有Struts2资产进行快运筛

选，并准确定位其中哪些是业务核心系统，进而快速处理。这也是

资产测绘的关键能力之一，在后面关键能力部分还会详细论述。

3、关键能力

资产发现

资产发现能力是资产测绘的基础，决定了后续资产管理分析、

资产数据能力输出等环节的效果。发现手段分为主动扫描探测、被

动流量识别等方式C

主动扫描探测

资产发现的手段，目前以主动扫描探测为主。主动扫描探测的

基本思路是利用资产测绘引擎，在网络中的一个或多个节点，对网

络中IP地址空间及域名空间通过预先配置好的策略进行扫描与协议

分析，进而发现存活的IP地址、端口服务，以及更深层次的设备型

号、操作系统、应用组件等资产信息。

在完成IP地址、常用端口的遍历扫描后，可以辅以IP定位库、

URL地址、域名信息、证书信息、DNS记录、PassiveDNS、icon图

标等资产数据情报，与扫描结果进行关联碰撞后补充进资产要素。

这些数据也是潜在攻击者在发起攻击前的信息搜集阶段重点关注的

资产情报，用户对这些维度的数据可以重点考察数据量、覆盖范

围、更新频度等指标。

我们所熟知的网络空间测绘，国外的先驱是shodan和censys

（censys和zmap是同一个团队开发的），国内早期有团队利用

nmap、zmap、masscan等开源工具为基础做出改进，开发出的自

用或商用的资产测绘平台，但受限于nmap速度慢、准确率不高等

先天限制，目前已经有机构以自研引擎作为补充，对探测的性能和

准确率提升做出努力，并推出了自己的商用平台，即其主要用户是

监管单位、科研单位、以及白帽子等技术研究人员。

随着网络安全法的颁布实施，以及红蓝对抗场景下用户需求的

引导，机构自身的资产盘点开始成为突出需求，因此安全企业中开

始有企业转变思路，并不强求全网空间测绘的全面覆盖，而是着眼

于用户机构自身的资产做资产发现，同样取得不错的效果。原本单

纯做资产空间测绘的企业，也开始推出企业版/机构版适应国内需求

的变化。

无论是网络空间测绘还是机构用户自身资产的扫描探测，都应

当充分考虑扫描策珞的合理性，除了考察扫描节点的部署数量、部

署位置、扫描节点的任务分配机制之外，还建议关注扫描的并发

量、扫描时间与业务是否冲突、扫描是否支持随时启停等等。特别

是在机构内网，有些年代久远的老旧设备，或是位于核心路由节点

的交换机等关键设备，是经不起大流量并发扫描的压力的。应当根

据用户的实际业务场景和资产状况，充分考虑这些潜在的“脆弱”

资产，在不影响目标资产正常运转的前提下做好资产发现工作。

被动流量资产发现

被动流量资产发现手段作为补充，帮助主动资产测绘查漏补

缺。这部分能力，安全企业有三类实现路径：领域头部能力企业与

监管单位合作，通过预研项目等形式，共同对超大流量场景下的流

量识别能力开展研究，逐渐形成被动流量资产发现与威胁检测能

力；规模较大的综合性安全企业，有自己的流量安全产品，能够与

资产测绘类产品无缝对接形成解决方案；剩余大部分安全企业选择

与成熟的流量检测厂商或运营商合作，发现未知资产。这几种实现

路径在准确率和识别率各有侧重，主要根据用户的场景和需求来确

定，例如超大流量场景侧重在保障准确率的基础上逐步提升识别

率。

深度资产发现

资产发现的多寡、是否准确，除了上述两个主要能力点外，还

取决于在资产发现的过程中，探测引擎是否具备一定程度的深度资

产发现能力，目的是在保证目标资产正常运转的前提下，尽可能多

的发现资产指纹要素。例如：

对于用户的自研系统和非标准应用，能够支持用户自定义创建

规则；在遇到某些典型应用配置为非标准端口时，能够结合现有指

纹规则集与该资产的历史资产数据（若有）做出智能判断；

在遇到某些banner时，能够自动根据banner中的返回信息做

出进一步的交互式扫描，寻求更多资产指纹信息；

根据扫描对象的状态，智能选择扫描方式，调整扫描策略，例

如针对长期不上线又重新上线的资产，自动进行一次全端口探测；

能够对开源模拟器、开源蜜罐等仿真环境实现一定程度的有效

识别。

资产数据的存储与检索

从全球范围来看，互联网地址空间约有IPv4地址40亿，IPv6

地址趋于无限，与IPv4/IPv6地址相对应的是域名地址，据威瑞信统

计，截至2020年第三季度，全球已注册顶级域名超过3.7亿，较第

二季度增加600万个。即便从机构用户自身拥有的资产角度来看，

对于国家、行业，以及一些跨国跨地域的大型机构来说，资产数据

也是海量的，其存储和检索具备典型的大数据特征。在资产管理和

资产数据应用过程中，会面对快速检索、关联分析、深度挖掘等需

求。因此，资产数据的分布式存储和分布式检索是大型机构用户必

须考虑的因素。

同时，对于国家机关、监管机构、关键基础设施以及金融行业

等对数据保密性有强要求的用户，数据的存储和检索也都必须在用

户本地，安全厂商的产品及平台对本地化部署的支持程度及配套更

新服务也是用户要考虑的重要因素。在本地化部署的情况下，资产

数据要保持更新，同时又要符合数据保密或封闭流转的严格要求。

资产的关联绘制

资产发现获取的资产信息，繁杂且不规则，通过对资产信息的

分类分级、标签标识、更新与绘制，使其成为更有价值的资产数

据，这个过程中形成的能力就是对资产的关联绘制。

资产信息的分类分级

经过前期的资产发现，以及从CMDB、LDAP等资产管理系统导

入资产数据后，这些数据形成了资产库的基础，但还无法直接使

用，需要从安全视角对其进行分类分级。参照漏洞的CVSS评分标

准，重点考量机构用户自身的行业特点、资产所属的业务重要程

度，综合制定分类分级标准。此外，金融行业核心业务资产为最高

处理优先级，但白天的开市交易时段，却不能有任何的资产扫描动

作。诸如这样的因素，在对资产进行分类分级的过程中，也要考虑

到。

资产的标签标识

分类分级的标准确立后，需要对资产打上标签标识。首先通过

自动化的方式将操作系统、应用、中间件、框架等可直接识别确认

的信息批量打上标签，之后通过人工协助，对资产的重要程度、优

先级、归属地、责任人等信息进行标签标记。如果机构用户的资产

数量非常庞大，这个过程还可以通过机器学习自行优化迭代。

标签标识与漏洞情报结合后，可以迅速缩小潜在受影响的资产

范围，在后面的应用场景章节中对这部分还会有详细论述。

资产数据的更新与绘制

无论是数字化转型，还是红蓝攻防演练，机构所拥有的资产形

态、数量都在不断增加，资产数据并不是静态的，而是随着业务发

展、计算环境变化而变化的。安全团队需要对资产，特别是核心资

产，进行动态更新与绘制。主要实现方式是利用可视化技术，结合

资产数据的应用场景，从多个维度对资产数据进行关联分析与展

现。

这其中最重要的维度就是时间。例如，某个影响范围巨大的漏

洞事件应急响应过后，如果安全团队能继续针对漏洞风险资产进行

周期性扫描，并将结果数据以时间维度进行可视化展现，就可以看

出在这一段时间范围内，安全漏洞所实际影响的资产数量在不断减

少，机构用户的被攻击暴露面在不断收敛，这说明安全工作是有成

效的。换句话说，“时间”证明了安全团队的价值。

另一个典型的资产绘制场景，是对资产数据的分层标签展示。

前文在标签标识部分提到，资产指纹与漏洞情报结合后，可以

迅速圈定潜在受威胁的资产范围。在Iday漏洞出现后的短暂时间窗

口，即便没有详细的漏洞描述，无法通过漏洞PoC精准验证漏洞，

但是可以通过操作系统、应用、版本号、端口号等信息，将所有受

到潜在威胁的资产筛选出来，再根据业务重要性、影响程度等因素

综合考量后，采取加固或下线处置。这里的问题是，当在攻防演练

等极端场景中，或是受影响的资产数量很多时，经验丰富的安全分

析人员数量有限时，如何快速有效的进行处置。

资产绘制的解决办法是，将上述筛选后的资产指纹数据，按协

议分多层放置，同时将它们的关联关系绑定。这样一来，通过“资

产按协议分层展示”，即便普通安全人员也能够直观掌握风险资产的

具体范围，这样的绘制结果可以为普通安全人员提供明确的优先级

指导与动作建议，甚至直接配以“一键下线”等功能，实现快速响

应。

图源：PCSA安全能力者联盟

除了时间维度的横向绘制和协议分层显示的纵向绘制，灵活运

用各类图表、散点图、知识图谱、逻辑拓扑、安全态势大屏等，都

能够为资产绘制提供直观高效的呈现手段，提升资产测“绘”的效

率和效果。

在以上整个过程中，不管是资产发现还是资产绘制，长期并持

续形成的，深度的技术、数据与经验的积累，才是网络空间资产测

绘能力的核心评价标准。

4、应用场景

关联威胁，提升应急响应时效

资产测绘的主要应用场景，是将资产数据与威胁风险关联叠加

后，提升安全应急响应的时效。

这里需要强调一项与资产安全应急响应相关的重要能力一一漏

洞PoC能力。无论是对各大漏洞发布消息源的实时监测还是安全团

队自己撰写，快速有效的漏洞PoC,能够使潜在受到lday漏洞威胁

的资产快速排查发挥出最佳效果。

漏洞PoC的搜集和编写，时效性要求较高，经验丰富的中高级

别安全研究人员很快就可以写出，但是技术门槛不高，属于苦活累

活，对员工来说技能的提升帮助有限，对机构来说直接收益也并不

明显，属于长期积累后才能慢慢显现效果的“内功”，很多安全企业

无法长期坚持，这也是一个现实问题。

挂图作战，绘制网络空间地图

对国家、区域、行业的监管机构来说，资产测绘的重要场景之

一是绘制网络空间地图，为“挂图作战”做准备。挂图作战是一种

作战方式或工作方式，通过直观的图表形式将目标、方案、措施、

流程、进展等方式呈现出来，从而达到“参战人员”认识一致、快

速行动的目的。相比传统的地理空间作战，网络空间对抗更加隐秘

复杂且瞬息万变，要想“挂图作战”在态势研判和协同行动中能起

到显著效果，最首要也最直接的就是绘制网络空间地图，实现网络

空间的可视化。

“绘制网络空间地图，就是要实现对网络空间的可视

化表达。”

—《发展网络空间可视化技术支撑网络空间综合防控体系建设》

作为资产测绘的第一个场景化应用，绘制网络空间地图有一个

重要因素，就是网络空间地址与真实地理位置的对应。目前IPv4空

间早已于2011年分配完毕。绝大多数情况下，这些已分配的IP地

址是与地理区域相关联对应的，也就是我们常说的IP定位库，这是

绘制网络空间地图所依赖的重要基础库。目前国内已有郑州埃文科

技、北京天特信()等企业在运营着这样的IP定位库，且其定

位精度已经能够达到区县级，甚至是街道级。同时IPv6地址定位库

的建设也在开展和运营中。基于不断提升的IP定位能力，资产测绘

才能为网络空间对抗挂图作战、乃至沙盘推演提供能力支撑°

摸清家底，关键信息基础设施保护

对于机构的专网/私网来说，资产测绘的主要应用场景是资产盘

点，摸清家底。特别是关键信息基础设施，涉及行业多、数量大，

部分机构信息化程度低、底子薄，缺少全用准确的信息资产台账。

安全漏洞本就不可避免，当再次出现大范围勒索病毒这样的严重安

全事件时，依托全面准确的资产台账，决策者就能从全局视角掌握

资产分布，跟进资产变化，根据资产态势做出更为快速、准确的决

策。

红蓝对抗，梳理资产暴露面

无论是红方还是蓝方，在攻守博弈中，首先要做的是梳理资产

暴露面，谁掌握的暴露面越全面，谁就占据了对抗的先机。特别是

作为防守方，看似资产的探测主动权掌握在自己手中，但随着网络

边界的消失，攻方能够从互联网上以第三方视角所做的资产信息搜

集，已经远远不局限于传统边界DMZ区开放的IP地址和端口号。

因此防守方也必须从攻击视角出发，将资产暴露面的梳理涵盖到更

广的范围，如前所述，GitHub、微信公众号、小程序、暗网等等都

是要重点关注的潜在资产暴露面。先一步发现这些暴露在外的资

产，有效收敛并持续监测，是红蓝对抗场景下的必修功课。

安全底座，资产数据能力输出

资产是安全的底座，资产测绘作为一项基础能力，是几乎所有

安全产品及解决方案的第一个步骤。特别是APT检测、态势感知、

安全运营等体系化的安全解决方案，都需要以资产数据作为基础数

据来发挥整个体系的价值。全面精准的资产数据，依照标准和规范

通过API接口输出给其他产品或解决方案，将是未来资产测绘的另

一个主要应用场景C

5、落地难点

资产的分类分级标准，需要在机构用户一把手的推动、各业务

部门的配合支持下落地并不断完善，不是单靠安全部门就能做好

的，如果该机构用户所在的行业没有明确的监管政策合规要求，这

个过程会更长，向领导汇报的成本和部门间的沟通成本也会更高。

机构用户，特别是大型集团、跨国机构类用户，业务变化带来

资产形态的变化，原有单一产品难以全部覆盖；历任不同领导和安

全管理员对资产的管理具有不同策略和选择；核心资产与周边资产

的覆盖也存在先后顺序的差异。以上这些因素导致同一个机构用户

的多个不同资产类产品会有较大出入，为安全管理人员增加了很多

工作成本，也为后期统一管理留下一定的隐患。现在已经有安全企

业推出了此类统一安全资产管理平台，但是“统一”的效果并不尽

如人意。

资产数据与其他安全产品的整合，需要与用户侧和其他安全企

业反复沟通深度协作才能完成，这个对接过程并不是标准化可复制

的，如何在成本和效益之间寻找一个各方都能接受的平衡点，是一

个多方博弈的过程C即便最后完成了对接，项目完成后的维保也存

在隐患。好的资产管理方案难于落地，本质上难的不是技术，而是

“管理，，。

6、未来发展趋势

市场层面，网络空间资产的基础地位决定，无论是监测全网态

势还是行业监管或企业自身的安全防护，网络空间资产测绘工具都

有着巨大的发展空间。

应用层面，工业互联网、物联网、5G通信、IPV6等信息环

境，包括大量智能终端、网络设备和软件应用等计算对象的爆发,

以及现实世界与网络世界的融合，会衍生出大量的应用场景，CAM

一定会在其中扮演极为重要的角色。

技术层面，CAM将走向主动探测、被动分析、探针代理等多种

手段结合，并结合自动化，甚至是人工智能等技术，以适应未来庞

大、复杂的应用场景需求。

三、实践案例

案例一：中国华X集团有限公司

（本案例由北京华顺信安科技有限公司提供）

场景介绍

中国华X集团有限公司（以下简称“华X集团”）内部各部门业务

类型和用户规模的不断增加，网络资产的规模逐步增加，结构日益

复杂。目前缺乏根据对不同资产的指纹特征进行信息处理，进而对

同一类型资产的指纹特征进行聚合分析，提取资产的规则特征，从

而建设网络资产库、协议信息库、规则信息库、IP地理位置库以及

格式化POC库。在此基础上，支持网络空间资产监测、特定资产

分布统计、漏洞影响范围快速确认等相关工作。

需求分析

华X集团及下属企业的系统及区域构成复杂，其信息资产设备

种类与数量众多，企业的安全管理与资产管理之间，使得对设备的

安全管理与风险发现工作较为困难，一旦有恶意分子利用某信息系

统设咯存在的安全风险从而对信息系统进行攻击行为，极有可能造

成严重损失，譬如:

V缺失风险管控手段，对漏洞的处置、验证及跟踪机制不全，

容易导致漏洞遗留、疏漏等风险；

J独立的分/子公司及利润中心众多，异地资产数据庞大，极易

引发网络安全问题且总部无法进行统一监管；

V无法快速、精细掌握全网信息化资产、应用、服务和相关组

件，难以主动、科学的进行规划，网络资产安全管理处于被动状

态；

J缺乏对关键信息基础设施资产端口、服务及应用的梳理能

力，不能有效掌握各资产的安全运行情况，难以区分资产类别，无

法为资产安全策略优化等工作提供准确的数据依据；

V缺乏对资产的有效监管，不能够在第一时间内对新漏洞可能

影响的风险资产进行安全预警及无法快速、有效、精准的进行安全

响应；

华义集团针对企业现存在的安全隐患及风险点，急需建设一套

完整的网络资产测绘和监控管理平台，分析整理不同种类资产信息

（协议、网站等）；结合指纹信息（规则），对符合规则的资产进行

统计分析，可进行应用分布统计、地域资产筛查、行业资产统计、

企业资产统计、网络空间威胁态势感知、全网漏洞影响精准定位及

快速测绘等工作。

解决方案

总体架构主要由采集节点、数据融合分析分析与探测、控制中

心，三部分组成，面向全网资产（跨区域、跨平台、跨服务商）进

行全方位资产测绘、风险验证与威胁预警及溯原。

整体解决方案层级间可根据网络和资产规模进行组合亦可单独

运行，对数据进行分层，分量处理；

每层级间，通过数据的传输，梳理，存储以及交换，满足平台

本身对数据的运算能力及数据的安全性，通过关联算法进行关联计

算和数据融合关联分析，进行自定义式展现。

除此之外，华X集团根据自身特性已建设不同的信息化安全平

台，在整体方案设计过程中充分考虑与华X集团现有平台进行对接

以便达到互联互防等效果，从整体上拔高华义集团信息安全防护整

体能力。

•

x安全分析平台

lc

ffml

sRo亚萩检黑C4c总制

网络空间

安全管控平台能够向上层应用提供快速、可靠、开放的数据智

能融合分析接口与华X集团各个平台应用接口及子接口进行对接，

具备有效的空间资产分析处理能力。

J平台保持开放性，向第三方应用提供开放标准的接口；

V平台确保数据的质量，应用服务提供商专注于提供实战应

用；

V应用服务（由第三方提供商）

价值体现

构建“全资产管理、探测、深度感知、情报预警与可视呈现“

的网络空间安全资产测绘平台，实现对终端主机、设备、流量、协

议、控制系统等的全方位实时探测与感知，基于轻量化、无感知的

探测技术与独有关联分析算法对海量的资产数据进行融合关联分

析，结合风险告警和趋势预警技术，形成经安全指数综合评估的实

时多维度安全态势与威胁情报，便于华X集团掌握全网资产安全态

势，及时处置资产安全风险和威胁。

V提升网络安全监管能力：通过全网资产安全监测及数据融合

分析，实现对网络空间资产安全的在线实时态势感知，提升用户网

络资产的安全监管能力；

V提高网络安全防护水平：通过平台的安全态势感知的风除预

警机制及时向用户进行网络空间资产风险与威胁通报，督促系统或

资产管理部分加强安全防护，提高整体网络安全防护水平；

J提高合规性执行监督能力：通过网络安全等级保护合规性，

实现对网络空间资产安全合规性执行情况进行追踪，提升监管部门

对网络安全合规性监督能力。

案例二：工业互联网重要资源测绘与安全分析平台建设项

目

（本案例由知道创宇提供）

场景介绍

工业互联网是国家重要信息基础设施，一旦遭受攻击，将可能

造成全生产链、全产业链乃至全局性重创，对国家的经济社会稳定

运行和国家安全造成巨大冲击。随着信息化工业化融合的推进，网

络安全威胁加速向工业领域蔓延，工业互联网资源安全日益成为工

业互联网安全关键要素。当前，我国工业互联网资源存在“底数不

清，，、“安全不明，，“防护不够，，的突出问题，缺乏对工业互联网资源

及其安全性的准确把握。

本项目客户是工业互联网行业主管部门，在当前严峻的工业互

联网安全形势下，亟需从国家层面构建工业互联网资源测绘和安全

分析能力，绘制工业互联网重要资源地图和安全图谱，以实现对工

业互联网基础设施的有效探测、空间感知和安全分析、风险预警和

损害评估。

客户需求

资产测绘覆盖范围广泛：能够发现全国范围内的互联网可达的

工业资源资产。

资产类型识别全面准确：能够准确识别工业资源资产类型，并

探测采集其属性信息。

资产测绘信息统一管理：各探测点的探测信息可汇聚到统一平

台并融合处理，以对全国工业互联网资源进行整体性关联分析。

虚假工业资源精准识别：互联网工业资源探测中，能够准确识

别用于安全研究、工业网络防护的虚假工控设备、工控系统蜜罐/蜜

场。

解决方案

构建工业互联网资源测绘和安全分析平台，发现工业互联网设

备、系统、平台等重要资源，通过多点联动的协同发现、融合分析

等，形成跨地区、跨行业、跨领域工业互联网资源。

工业互麻网重要责源渊绘与安全分析平台分布式探温节点资源

程务■托管中心

IAAS虚拟JK务商

互联网

工业互取网

工业互联网

开放云平台

（部署架构一图片来源:知道创宇）

从部署方面来说，分为管理主体、互联网探测节点两部分。管

理主体部署在客户的数据中心机房，工业互联网资源探测节点部署

在互联网。

管理主体：部署在客户的数据中心机房，对探测节点、探测数

据等进行集中管理，可以实现对探测节点的动态分布式按需部署。

探测节点：部署在全国各省区的托管数据中心，或者公共云服

务商提供的虚拟计算节点，主要完成全国互联网的工业资源发现、

协议响应报文抓取，以及工业资源漏洞验证等任务。

互联网探测节点按照扫描任务调度要求执行探测任务，对我国

的互联网IP段进行持续定向扫描，周期性探测采集互联网上存活设

备的类型、品牌、端口、系统、服务等基础数据；探测采集的基础

数据经过数据清洗，去除无效数据，归类聚类存储，并提供数据检

索。

&&&

归类蜜类数期存健分网检索

V

（互联网工业资源测绘技术架构--图片来源:知道创

宇）

设备类型识别：工业控制设备因其重要性和特殊性，一般使用

独有的通信协议、交互方式，给全面的工控测绘带来很大困难。通

过积极收集互联网数据、跟客户充分配合、搭建模拟环境、分析标

准协议等等手段，构建工业互联网资产指纹库。目前已经支持8大

类、25种工控协议、150种设备品牌的识别。

工业蜜罐识别：建立工业蜜罐行为规则库，通过对工业互联网

资产进行多次探测，根据每一次探测返回的结果进行特点分析，从

中发现疑似蜜罐的互联网资产，再分配进一步深入探测的任务，通

过对疑似工业蜜罐进行多次反复探测，确认识别工业蜜罐。

对具体IP是否为工控蜜罐的判断依据主要包括四个方面：对目

标IP地址基础位置信息进行识别，分析该IP是否属于云服务器、以

及其PLC的工控协议服务开放情况；进行TCP/IP操作系统指纹识

别，分析该IP的操作系统类型、以及是否为嵌入式；通过工控协议

深度交互，模拟PLC编程软件与被扫描IP交互，分析该IP返回信

息与真实PLC返回信息的差异情况；利用组态程序调试运行识别，

通过工控协议交互模拟PLC程序的下载操作，分析该IP对应PLC的

汇编执行情况。根据不同判断维度获取的信息，基于机器学习对信

息进行融合，进而识别工控蜜罐。

蜜

IP基础操作系统蜜罐识

罐

位置识别指纹识别别计算

识

工控资产数据库I—>任务调度别

任工控协仪组态程序数据

务深度交互识别调试识别聚集

♦

扫描节点

探测节点探测节点探测节点探测节点

（工控蜜罐识别一图片来源:知道创宇）

高精地理定位：通过多种方法协同，实现工业互联网资源与地

理空间的映射。首先采用基于海量地标的IP位置推断和多维信息融

合IP定位，再配合采购的高精度资产IP地理位置库，形成对资产IP

地理位置的多方校准和发现，实现资产网络与空间关系的映射。此

外，允许用户根据已知的资产地理位置，手动校准资产数据的地理位

置信息。

客户价值

补齐国家级工业互联网络安全监测体系的能力短板。构建基于

工业互联网“专网”的工业互联网平台、设备和系统等的国家级网

络安全监测体系，是我国工业互联网深入发展的重要安全保障，而

工业互联网重要资源测绘与安全分析是该体系的重要能力组成。

推动国家工业互联网行业安全保障水平提升。建设国家级工业

互联网资源测绘与安全分析平台，能够有效摸清国家工业互联网重

要资源分布情况，掌握重要资源安全状态，全面提升工业互联网安

全保障能力。

客户反馈

借助于知道创宇特有的工控测绘技术，我们建立了可以覆盖全

国的工业互联网资源测绘与安全分析能力，对于摸清我国工业互联

网资源底数、发现安全风险具有重要的现实意义，进而可面向国家

及地方政府部门提供工业互联网资产安全指数、态势研判、突发事

件应急处置等支撑服务工作，为国家安全监管部门提供有效安全支

撑。

案例三：某城市产业网络空间测绘地图项目

（本案例由360政企安全提供）

场景介绍

新一代智慧城市是数字化的重要场景。需要通过集中建设和运

营“城市级”网络安全基础设施提升城市网络安全水平。网络空间

测绘地图作为网络安全基础设施中的重要组成部分，能够为城市网

络安全管理者清晰展现数字世界的虚拟资源，帮助用户高效管控网

络空间，维护城市的网络安全。

客户需求

全面识别：支持基于指纹和机器学习的资产探测识别，具备网

络空间拓扑测绘能力，网络结构分析能力，网络空间资产归属关联

能力等。

精准定位：支持街道级地标挖掘技术和城市级定位能力，全面

描述和展示区域内的网络空间信息，为各类应用提供数据和地图可

视化的业务支持。

深度挖掘：横向关联漏洞信息、威胁情报信息、图标信息、资

产归属信息、自治域信息、DNS信息等，并对主要协议进行字段深

度识别和AI数据挖掘。具备对重点威胁组织的持续性主动情报挖掘

能力。

持续运营：提供持续的网络空间探测和数据分析能力及工作

台；实现漏洞数据、威胁情报数据、其它关联数据的更新和预警；

具备独立的APT组织发现能力和相关高级威胁的持续追踪溯源能

力。

解决方案

360QUAKE网络空间测绘系统，可实现对全球网络空间中的各

类虚实资源及其属性进行探测、分析和绘制。目前该产品已在城市

产业项目中投入运营，覆盖全市8万多家单位，数百万人群，每天

获取数据超百万条，持续监测各类重大网络安全事件，追踪多个

APT组织，能够为各类应用（如安全运营、资产评估、漏洞响应等）提

供全面可视化的数据和技术支撑。具体方案如下：

一、全面探测城市网络空间

基于VScan引擎，可实现快速对全球IPv4/IPv6的资产普查，对

城市范围内所有存活设备，网络拓扑关系进行不间断的探测。支持

网络空间资产探测，包括内网探测和外网探测、主动探测和被动探

（360QUAKEVscan引擎——图片来源:360）

二、细粒度网络空间资产画像

对扫描器规则知指纹进行全面提取，识别并重新定义，实现了

多层次多维度特征挖掘，实现资产多维度画像，资产分层画像，资

产关联分析，开放服务关联分析，资产权责归属分析，实现资产、

产品、单位等一体化资产关联基础库，资产类型覆盖应用业务层、

中间支撑层、服务办议层、操作系统层、硬件设备层。

三、多元数据挖掘与关联

将360安全大脑情报云、漏洞云等数朵云的数据能力形成全息

映射并进行关联，打破传统空间测绘对于视角的束缚，形成超过5

层多类型全要素数据的映射关系。可智能关联分析资产的归属单

位，发现未知或未监控资产、服务和数据等。

四、资产与漏洞态势追踪

第一时间对漏洞造成的影响进行测绘与评估。当确认漏洞可被

利用时，能够给出准确的安全预警，并督促其修复，且可以持续性

监测，并对区域内单位的安全运营能力进行长期量化评估。

五、街道级高精定位与反查

依靠大规模的多源地理信息数据和多种定位技术的应用，系统

在高精模式下的结果范围最精准可达到50米，区县级定位至区县中

心。通过地图框选功能可以立即获知框选区域内资产详情和多维度

统计信息，包括自治信息、运营商、归属、PDNS等。

六、全要素数据呈现可视化

结合空间、地点、时间等多个维度，打破地图上数据信息展示

单一的格局，对不同数据进行多维度处理，并进行合理的叠加，将

组织关系、物理位置、网络行为、通联日志等数据以网络拓扑视

图、地理分布视图以及时间维度等多种方式展现于全息地图之上，

实现城市监管业务挂图作战。

360QUAKE

被动螭引擎

360QUAKE

_、、♦、、、资产探测引擎

360QUAKE

网络空间测始系统、、、、、、rsi

360QUAKE

拓扑探测引学

360QUAKE