一、案例背景：

1、案例使用单位基本情况

某某云公司是一家集互联网数据中心服务、云服务、互联网接入服务、互联网数据中心及云平台信息系统集成服务、应用软件开发服务为一体的互联网综合服务提供商。该公司基于国际领先的云计算技术，依托公司自建互联网数据中心，为客户提供安全合规、高可靠性的一站式IaaS、PaaS、SaaS各层面云平台服务及云平台相关建设、运维服务。
 

2、数字转型驱动因素

（1）国际形势

近年来，世界经济动荡、贸易战、逆全球化、新冠疫情等重大不确定性时有发生。中国企业面临的国内外环境正在发生深刻的变化，网络经济飞速发展，消费个性化，技术变革与产业升级加速、“数字”的威力和优势越来越明显。对于传统企业而言，数字化转型已经不再是一道选择题，而是一道生存题，数字化转型已经成为当前大型企业的核心战略。
 

（2）政策驱动

为加快推动市管企业数字化转型，促进国有经济高质量发展，依据国务院国资委《关于加快推进国有企业数字化转型工作的通知》和《北京市关于加快建设全球数字经济标杆城市的实施方案》等政策措施，北京市国资委发布《关于市管企业加快数字化转型的实施意见》。以习近平新时代中国特色社会主义思想为指导，准确把握建设全球数字经济标杆城市的重大战略机遇，以高质量发展为主题，着眼世界前沿技术和未来战略需求，促进数字技术与实体经济深度融合，全面提升产业基础能力和产业链现代化水平。
 

3、面临的问题

（1）大量资产难以管理

随着云平台的不断扩展建设，云平台中涉及大量IT资产，资产难以管理，新增网络资产不易发现，部分已经停用的资产没有及时更新。
 

（2）漏洞管理环节缺失

每年被披露的漏洞数量逐年递增，业务规模在持续增长，随着企业数字化转型，漏洞管理的复杂度不断增加，表现在四个方面：

1）现有技术手段基于版本匹配，无法准确判断资产是否真正存在漏洞；

2）现有手段重扫描轻处置，不具备对漏洞管理过程的跟踪和分析，不能支撑量化和优化工作；

3）无法判断热点漏洞对系统的影响程度。

随着网络安全的快速发展，数字转型的落地，漏洞的暴露时间和被黑客利用时间都在不断缩短，针对互联网公布的热点漏洞，目前无法通过技术手段快速判断对系统内部的影响范围。

4）大量漏洞修复工作，无法根据重要程度对修复工作进行排序

系统中存在大量漏洞，没有技术手段支撑漏洞评分，无法判断应该先修复哪个后修复哪个。
 

4、用户需求

从云运营商角度定期对租户进行漏洞巡检，并进行下发漏洞通报信息。对威胁与漏洞的全生命周期管理，实时跟踪热点漏洞事件，紧急漏洞直接定位到网络环境资产，对资源漏洞信息进行统一关联、展现和告警，使得管理人员可以有效地跟踪资源漏洞生命周期，清楚地掌握全网的安全健康状况，实现漏洞全生命周期的可视、可控和可管。提高漏洞管理和运维工作效率，有助于形成快速测试、快速分析、快速响应的能力，减少黑客利用的时间窗口。同时改进检测方法和策略，形成良性的循环。

（1）网络资产全面管控

获取热点漏洞披露情报，实时获取最新的权威漏洞机构、厂商最新漏洞并进行全网预警。

（2）漏洞与内网资产关联分析

将漏洞与内网资产进行批评关联，找出存在漏洞的资产，分析影响程度，影响范围，提供辅助决策。

（3）漏洞验证

对可能存在漏洞的相关资产进行扫描和验证，确认漏洞是否存在。

（4）漏洞全生命周期管理

从漏洞披露开始，持续监控资产变化，实时获取漏洞披露情报，对漏洞发现、分析、修补和审核过程进行跟踪，对整个管理过程评估、对比，达到持续优化漏洞管理基准要求的目的。

二、案例概述：

1、业务概述

威胁与漏洞管理平台落实《中华人民共和国网络安全法》及网络安全等级保护制度等相关标准，形成预测、防御、检测、响应，闭环的自适应安全体系架构，提高信息化运维保障综合效率。

（1）资产集中管理

自动化采集网内资产数据，识别主机资产数据、网络资产数据、安全资产数据、操作系统资产数据、中间件资产数据、数据库资产数据等，集中管理，提高信息化资产运维管理效率。

（2）脆弱性综合管理分析与展示

收集资产存在的漏洞数据，同时引入威胁情报，对资产关联匹配，对网内系统进行脆弱性综合分析，量化风险数值，综合展示漏洞形态。

（3）全生命周期漏洞处置管理

从发现漏洞开始，持续监控漏洞处置阶段状态变化，对漏洞发现、验证、处置、审核过程进行跟踪，通过对整个管理过程的评估、对比，达到持续优化漏洞管理基准要求的目的。

（4）建立主动防御的防御机制

转变传统被动防御的机制，结合当前热点漏洞数据信息，实时监控网内热点漏洞分布情况，影响范围，在漏洞被利用之前对漏洞进行评估测试及修复，真正实现主动防御的安全机制。
 

2、技术概述

本解决方案包括如下主要技术目标：

（1）根据指纹信息自动获取端口、组件&版本、操作系统和设备类型等信息，能够快速绘制资产网络暴露面，并且通过周期性检测方式维护动态的资产信息。

（2）通过POC的扫描方式扫描资产漏洞，提高漏洞发现的准确率。

（3）多维数据上下文关联分析，将漏洞、资产、情报等信息可视化呈现，有助于分析人员和管理者对全网漏洞的全面认知，从而提升漏洞分析和决策效率。

（4）建立综合风险优先级评估机制，从漏洞&资产两个维度的动态风险评估机制。

（5）集成漏洞威胁情报，建设对于热点漏洞快速探测的技术方式。

三、安全技术应用情况：

1、安全技术应用

（1）基于指纹库的资产发现

支持基于CPE框架的资产指纹库，内置了5W+检测规则，能够根据指纹信息自动获取端口、组件&版本、操作系统和设备类型等信息，能够快速绘制资产网络暴露面，并且通过周期性检测方式维护动态的资产信息。
 

（2）基于POC的漏洞扫描

相对于传统的基于规则的检测手段，基于POC的扫描方式更加精准，其准确性能够达到99%以上。而在扫描效率上更加突出，传统的扫描器会将大量的规则逐个尝试检测，而POC则是定点扫描，仅需10分钟即可完成上万资产的漏洞检测。基于POC的检测方式更加落地，我们将根据全球漏洞流行度以及红队漏洞利用排名，从而站在实战化角度进行漏洞脚本的编写。
 

（3）基于知识图谱的可视分析

基于宏观到微观的分析思路，采用强大的知识图谱分析引擎，通过多维数据上下文关联分析，将漏洞、资产、情报等信息可视化呈现，有助于分析人员和管理者对全网漏洞的全面认知，从而提升漏洞分析和决策效率。
 

（4）基于风险的优先级评估算法

传统的漏洞优先级大多采用CVSS评分进行评估，而这样的评估方式则导致过于片面，其进展在了漏洞维度，而忽略了资产的重要性。漏洞本就不是单一漏洞维度的优先级排序，而是需要从漏洞&资产两个维度去考虑问题，所有的漏洞都将依存在实体或非实体的资产上才有价值，华云安首创了基于风险的优先级评估方法，方法分为两个维度分别为资产维度和威胁维度，资产维度包含了“设备类型、设备能力、设备作用”三个子项的评分，而威胁则会按照网络曝光度、资产暴露度、资产漏洞等级进行评分，所有的评分将采用深度学习模式进行动态调整，深度学习的融合为算法提供了无限的演进性，随着时间的推移使每个企业都能够拥有适合自己的优先级评估方式，使计算结果更加落地。
 

（5）基于云原生架构，功能可扩展

运用云原生技术架构，所有组件以微服务的形式进行部署。同时，随着业务的升级和需求扩展，用户可以通过升级证书的方式扩展功能和扫描能力，无需额外重新部署或者购买其他产品，即可快速实现产品升级。
 

（6）漏洞情报能力

华云安公司建立了漏洞情报分析团队，每年漏洞报送2500+，已经获得CNNVD三级技术支撑单位，除了自身的漏洞挖掘，还对国内外重要漏洞咨询网站进行了数据抓取和分析，并建立了国内首个以漏洞为主的NLP语义分析库，目前漏洞知识库已超2W+，并且每周新增入库量高达上百个。
 

2、应用价值

（1）看清资产风险态势

资产是安全管理的基础更是漏洞修复的前提，消除隐匿资产是漏洞扫描的第一要务，通过建立完整的资产台账，完成资产暴露面的全面解析，再将漏洞结果进行关联，从而实现资产的风险定义，最终通过可视化方式将资产风险态势进行呈现。
 

（2）持续检测，实时掌握安全状况

通过灵活的任务管理能够进行周期性的持续检测，从漏洞发现到漏洞处置进行全链条跟踪，结合可视化统计分析技术呈现完整的安全趋势，从而为决策层提供数据支撑的依据。

产品提供了基于多种策略的扫描，如：针对APT漏洞的扫描策略，针对蓝队护网场景的扫描策略等，基于策略的扫描使管理者更加清晰的了解到当前网络安全所在的问题点。
 

（3）情报预警检测1Day威胁

华云安提供了强大的漏洞情报库，能够在第一时间完成重大漏洞的检测规则的输出，通过云端直接下发至用户侧，在不进行扫描前，系统先通过指纹信息将可能存在漏洞的资产进行匹配，给出预测信息。从而帮助用户在最短时间内完成情报信息的落地。
 

（4）响应处置，实现闭环管理

漏洞修复一直是较为困难的事情，主要问题不在技术层面而是在管理和流程层面，这里涉及到跨部门协同合作，涉及到工单内容的流转及跟踪，更关键的是这里涉及到了非系统用户工单处置动作，因此漏洞修复需要一个更加完整和开放式的流转体系，独创了开放式工单体系，将线上和线下用户的工单流转进行了无缝衔接，从而完成漏洞处置和监控工作。

四、客户反馈效果：

产品可视化方面做得非常好，能够以资产、漏洞和任务三种视角来看漏洞问题，能够有效的帮助云解决云租户的漏洞检测问题。