什么是网络空间资产测绘？

1. 定义

   • 网络空间资产测绘是一种对网络空间中的资产进行全面梳理、识别和定位的技术和方法。它通过多种手段收集网络空间中的设备、系统、应用程序、服务等资产的信息，包括资产的类型（如服务器、网络设备、数据库等）、位置（IP地址、域名等）、配置信息、开放的端口和服务，以及这些资产之间的关联关系等，从而构建出一个完整的网络空间资产地图。

2. 主要技术手段

   • 网络扫描技术：
     • 端口扫描：通过向目标IP地址发送一系列的TCP或UDP数据包，探测目标主机上开放的端口。例如，使用Nmap工具可以发送SYN扫描、ACK扫描等多种扫描包，来确定目标主机上哪些端口处于开放状态，如常见的HTTP服务对应的80端口、SSH服务对应的22端口等。根据开放端口的信息，可以初步推测目标主机上运行的服务类型。
     • 服务识别扫描：在确定端口开放后，进一步通过发送特定协议的请求来识别端口上运行的服务及其版本。例如，对于开放的80端口，可以发送HTTP请求来获取服务器返回的信息，如服务器软件（如Apache、Nginx）的版本号、支持的HTTP协议版本等。这些信息对于评估资产的安全状况非常重要，因为不同版本的服务可能存在不同的安全漏洞。
   • 域名系统（DNS）查询与分析：
     • 域名解析信息收集：通过查询DNS服务器，获取域名对应的IP地址以及相关的记录，如MX记录（邮件交换记录）、CNAME记录（别名记录）等。例如，查询一个企业的域名，可以得到其网站服务器的IP地址，以及邮件服务器的相关记录。这些信息有助于确定企业网络空间中的各种服务资源分布情况。
     • 子域名发现：利用字典攻击、暴力破解或通过分析DNS区域传输等方式来发现目标域名下的子域名。例如，对于一个大型企业网站，除了主域名对应的网站外，可能还有很多子域名用于不同的业务部门或服务，如“blog.example.com”用于企业博客，“mail.example.com”用于邮件服务等。发现这些子域名可以更全面地了解企业的网络资产布局。
   • 网络空间搜索引擎利用：
     • 一些专门的网络空间搜索引擎（如Shodan、Censys等）可以帮助进行资产测绘。这些搜索引擎通过不断地扫描和索引网络空间中的设备和服务，提供了强大的搜索功能。用户可以通过输入关键词（如IP地址范围、域名、服务类型等）来查找相关的网络资产信息。例如，在Shodan上输入一个特定的产品名称或服务关键字，可以找到互联网上使用该产品或服务的所有设备的IP地址和相关配置信息。

3. 应用场景

   • 网络安全评估与漏洞管理：
     • 全面了解网络空间资产是进行安全评估的基础。通过资产测绘，可以确定企业网络中有哪些资产需要进行安全防护，以及这些资产可能存在的安全风险。例如，对于发现的所有服务器，根据其运行的服务版本信息，可以与已知的安全漏洞数据库进行比对，从而发现可能存在漏洞的资产，提前进行漏洞修复和安全加固。
   • 网络安全态势感知：
     • 构建网络空间资产地图可以帮助企业更好地掌握网络安全态势。通过实时或定期的资产测绘，企业可以了解网络资产的变化情况，如是否有新的设备接入网络、哪些服务的配置发生了改变等。同时，结合安全事件监测，可以及时发现异常的资产活动，如某个服务器突然开放了一个高风险的端口，从而实现对网络安全态势的动态感知和预警。
   • 应急响应与事件溯源：
     • 在发生网络安全事件时，资产测绘的结果可以为应急响应提供重要的线索。例如，当发现网络遭受攻击时，通过资产地图可以快速确定受攻击的资产范围，包括攻击源可能经过的网络设备、被攻击的服务器和应用程序等。并且在事件溯源过程中，资产的历史信息（如之前的配置、开放端口的变化等）可以帮助分析攻击者的攻击路径和意图。

4. 安全风险评估与漏洞管理基础

   • 精准识别风险资产：网络空间资产测绘能够详细列出网络中的所有资产，包括服务器、网络设备、数据库、应用程序等。通过识别资产的类型、版本、配置等信息，可精准定位哪些资产容易受到特定安全威胁。例如，对于运行着老旧版本操作系统或应用程序的服务器，资产测绘可以明确这些是需要重点关注的高风险资产，因为旧版本软件往往存在更多已知的安全漏洞。
   • 有效管理漏洞修复：在发现资产后，可以将资产的信息与安全漏洞数据库进行匹配。比如，当资产测绘确定了网络中有一批服务器运行着存在特定安全漏洞的软件版本，管理员就可以根据这些信息有针对性地安排漏洞修复计划，优先处理高风险资产的漏洞，从而有效降低网络系统遭受攻击的可能性。

5. 提升网络安全态势感知能力

   • 实时监控资产状态变化：通过持续的资产测绘，可以实时跟踪网络资产的状态变化。这包括新设备的接入、设备的离线、服务的更新或变更等情况。例如，企业网络中突然出现一个新的IP地址对应的未知设备，资产测绘能够及时发现这一情况，提示管理员对该设备进行合法性检查，防止未经授权的设备接入网络带来安全风险。
   • 全面感知网络安全态势：构建网络空间资产地图可以让安全团队对整个网络的安全状况有一个全面的认识。将资产信息与安全事件监测数据相结合，能够更直观地判断网络安全态势是处于稳定、潜在风险还是正在遭受攻击等状态。例如，如果资产测绘发现大量资产同时出现异常活动，如端口扫描频率异常增加，这可能预示着网络正在遭受大规模扫描攻击，安全团队可以据此提前采取防御措施。

6. 保障应急响应的高效性和准确性

   • 快速定位受影响资产范围：在发生网络安全事件时，资产测绘的结果就像一张“地图”，能够帮助应急响应团队迅速确定受影响的资产范围。例如，当检测到DDoS攻击时，通过资产地图可以快速找出攻击目标是哪些服务器或服务，从而采取针对性的缓解措施，如流量清洗或暂时隔离受攻击的资产。
   • 助力事件溯源和攻击路径分析：资产测绘记录的资产历史信息，如IP地址变更、端口开放历史、软件更新记录等，对于事件溯源至关重要。这些信息可以帮助安全人员追踪攻击者的路径，了解攻击是如何在网络空间中传播的，以及攻击者最初是如何进入网络的。例如，通过分析资产的访问日志和历史配置，发现攻击者是利用某个开放的端口入侵了一台服务器，进而横向移动攻击其他资产，这有助于安全团队完善安全策略，防止类似攻击再次发生。

7. 合规性要求与安全策略制定

   • 满足法规和行业标准：许多行业法规和安全标准（如金融行业的巴塞尔协议、医疗行业的HIPAA等）要求企业对其网络资产进行有效管理和保护。网络空间资产测绘提供了一种手段来满足这些合规性要求，通过清晰地展示企业网络资产的情况，证明企业对网络安全的管理责任。
   • 优化安全策略：基于资产测绘所提供的全面资产信息，企业可以制定更合理、更有针对性的安全策略。例如，根据资产的重要性和风险程度，可以划分不同的安全区域，对关键资产实施更严格的访问控制策略，对低风险资产采取相对灵活的防护措施，从而在保障安全的同时，提高网络资源的利用效率。