一种资产生命周期管理系统的制作方法

1.本发明涉及数字信息传输的技术领域，特别涉及一种资产生命周期管理系统。


背景技术：

2.网络资产主要是指计算机或通讯网络中使用的各种设备，由主机、包括路由器、交换机等的网络设备及包括防火墙在内的安全设备组成，是一切可能被潜在攻击者利用的设备、信息、应用等数字资产。
3.随着互联网业务不断的发展，互联网正日益改变着人们的生活方式，推动着社会与经济的变革。近年来，随着网络业务的多元化以及各类it支撑平台、业务系统信息化管理平台的增多，组织中it资产，包括主机、服务器、网络与安全硬件设备和各类业务系统软件在内的网络资产数量越来越多，呈爆发增长态势，以现有的模式，资产摸底的成本呈几何级数增长，还存在组织对安全资产的范围认识不全面、安全资产边界不清晰的问题，存在私搭乱建和盲点资产、资产端口和网站开放无法及时感知、高危端口、高危漏洞、高危外联、弱口令问治题缺乏理及资产上架、闲置、下架等流程多、缺乏提醒不能及时处理、安全资产管理方式为原始的人力手工管理、缺乏有效的自动化管理工具等问题。
4.同时，由于it资产的功能用途、管理也越来越复杂，给企业在网络安全防护领域造成了很大的隐患，考虑到管理人员水平存在参差，其往往无法清楚有效掌握当前企业网络空间内软硬件资产的运行情况，也无法对网络资产进行有效的安全管理，从而使得资产利用率低、管理混乱，不仅给组织带来经济损失，甚至可能导致安全隐患。
5.因此，研发一款对网络资产完整的生命周期进行管理的产品是必要的。


技术实现要素：

6.本发明解决了现有技术中存在的问题，提供了一种资产生命周期管理系统，通过发现资产、将资产匹配责任人、资产上线并跟踪全进程，实现资产的管理。
7.本发明所采用的技术方案是，一种资产生命周期管理系统，所述系统包括：一个或多个资产挖掘模块，用于发现资产；一匹配模块，用于将资产挖掘模块发现的资产匹配至对应的责任人；一资产管理模块，用于对匹配责任人后的资产进行生命周期管理；所述系统还包括一协同工作模块，用于为组织中的网络划定安全域、配置一个或多个资产挖掘模块完成资产发现、对发现的资产以多模式匹配至责任人、配置资产管理模块下的一个或多个主体进行资产生命周期管理。
8.优选地，所述资产挖掘模块包括：一个或多个流量监听单元，用于以流量监听的方式自流量包中截取资产信息；一个或多个扫描节点，用于基于协同工作模块下发的任务对所属安全域进行资产扫描并获得全域资产信息；一同步端口，用于与第三方对接并同步获取资产信息。
9.优选地，所述流量监听单元获取的资产信息包括资产ip及其对应的mac地址、资产类型、端口信息、指纹信息。
10.优选地，所述扫描节点获得的全域资产信息包括资产ip及其对应的操作系统、在线状态、端口信息、指纹信息。
11.优选地，所述同步端口获取的资产信息包括资产ip及其操作系统、在线状态、端口信息、指纹信息、web应用框架、数据库、jar包。
12.本发明中，指纹信息包括但不限于资产所涉中间件、组件、jar包等。
13.优选地，所述匹配模块将资产挖掘模块发现的资产匹配至对应的责任人包括以下步骤：步骤1.1：获取资产挖掘模块发现的资产，与组织中的网络划定的安全域进行匹配；步骤1.2：对于匹配成功的资产，标记对应的安全域标识，匹配至对应的责任人，否则进行下一步；步骤1.3：匹配模块发起认领流程，向上匹配至最大域范围对应的责任人，由最大域范围对应的责任人逐级向下匹配至对应的责任人。
14.优选地，所述安全域的信息包括网络环境、是否上云、ip段范围、是否固定ip、责任单位及责任人；优选地，所述责任单位间逐级关联，所述责任单位和对应的责任人间关联。
15.优选地，资产管理模块的生命周期管理包括资产上下线管理、资产信息变更管理和资产信息维护管理。
16.优选地，对于任一匹配责任人后的资产，以申请-审核模式完成资产的上线、试运行和资产的下线；对于任一匹配责任人后的资产，以申请-审核模式同步资产信息更改，所述更改包括变更、升级和割接；所述资产信息维护管理包括资产的基础信息更新、端口维护、证书有效期提醒更新；其中，基础信息包括但不限于ip、安全域、mac、主机位置等。
17.本发明涉及一种资产生命周期管理系统，以一个或多个资产挖掘模块发现资产，以匹配模块将资产挖掘模块发现的资产匹配至对应的责任人，以资产管理模块对匹配责任人后的资产进行生命周期管理，系统以协同工作模块为组织中的网络划定安全域、配置一个或多个资产挖掘模块以被动发现、主动发现和第三方平台同步资产的方式发现资产、对发现的资产以自动认领和审核认领方式匹配至责任人、配置资产管理模块下的一个或多个主体进行资产生命周期管理，使得认领后的资产上线并投入使用。
18.本发明的有益效果在于，（1）通过多种方式获取网络资产，多维高效摸清资产数据，获取网络资产；（2）通过自动匹配方式、审批匹配方式，为资产赋予责任人，使得资产与责任人的匹配正确度高、匹配率高；（3）通过资产管控的方式对网络透视中的资产进行有序、有效管理；（4）实现多模块整合，完成资产由发现到管控的全过程，实现资产全生命周期管理。
附图说明
19.图1为本发明的系统结构示意图；图2为本发明的系统应用流程图。
具体实施方式
20.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
21.如图1所示，本发明涉及一种资产生命周期管理系统，所述系统包括：一个或多个资产挖掘模块，用于发现资产；一匹配模块，用于将资产挖掘模块发现的资产匹配至对应的责任人；一资产管理模块，用于对匹配责任人后的资产进行生命周期管理；所述系统还包括一协同工作模块，用于为组织中的网络划定安全域、配置一个或多个资产挖掘模块完成资产发现、对发现的资产以多模式匹配至责任人、配置资产管理模块下的一个或多个主体进行资产生命周期管理。
22.本发明在实施过程中，系统内置于网络环境中，通过协同工作模块实现配置及控制；协同工作模块的设置起到整体控制、分块协调的作用。
23.本发明中，资产挖掘模块主要通过被动发现、主动发现和第三方平台同步资产的方式发现资产，对于采用何种方式对资产进行发现主要通过协同工作模块进行配置，对于不同的环境配置不同的资产挖掘模块。
24.本发明中，匹配模块将资产通过自动认领和/或审核认领的方式匹配责任人，过程中由协同工作模块实现不同认领方式的进行。
25.本发明中，认领后的资产经上线后投入使用，以协同工作模块配置资产管理模块下的一个或多个主体进行资产生命周期管理，任一资产的使用过程包括但不限于资产信息维护、投运、试运行、变更、升级、割接、资产下线等，其中涉及资产的上下线的过程需经审批。
26.在实施过程中，所述资产挖掘模块包括：一个或多个流量监听单元，用于以流量监听的方式自流量包中截取资产信息；一个或多个扫描节点，用于基于协同工作模块下发的任务对所属安全域进行资产扫描并获得全域资产信息；一同步端口，用于与第三方对接并同步获取资产信息。
27.所述流量监听单元获取的资产信息包括资产ip及其对应的mac地址、资产类型、端口信息、指纹信息。
28.所述扫描节点获得的全域资产信息包括资产ip及其对应的操作系统、在线状态、端口信息、指纹信息。
29.所述同步端口获取的资产信息包括资产ip及其操作系统、在线状态、端口信息、指纹信息、web应用框架、数据库、jar包。
30.本发明中，资产发现的方式包括但不限于被动发现、主动发现和第三方平台同步，
第三方平台同步还包括在实际操作中以主动报告的形式接入系统中。
31.本发明中，以流量监听单元实现被动发现的资产发现过程，过程中在网络环境中设置流量监听单元，以包括但不限于软件工具等实现，通过对防火墙、路由等处截取到的流量包进行信息获取，进而发现资产；与流量监听相对应地，将获得包括但不限于每个资产的资产ip及其对应的mac地址、资产类型、端口信息、指纹信息等。
32.本发明中，以扫描节点实现主动发现的资产发现过程，由协同工作模块下发扫描任务，在网络中的每个安全域的扫描节点收到扫描任务后，对所属的安全域进行资产扫描，获取全域的资产信息，扫描节点包括但不限于扫描工具、脚本等；与扫描相对应地，将获得包括但不限于每个资产的资产ip、操作系统、在线状态、端口信息、指纹信息等。
33.本发明中，以第三方的接口实现与第三方对接并同步获取资产信息；与同步接入相对应地，将获得包括但不限于每个资产的资产ip、操作系统、在线状态、端口信息、指纹信息、web应用框架、数据库、jar包等。
34.在实施过程中，所述匹配模块将资产挖掘模块发现的资产匹配至对应的责任人包括以下步骤：步骤1.1：获取资产挖掘模块发现的资产，与组织中的网络划定的安全域进行匹配；步骤1.2：对于匹配成功的资产，标记对应的安全域标识，匹配至对应的责任人，否则进行下一步；步骤1.3：匹配模块发起认领流程，向上匹配至最大域范围对应的责任人，由最大域范围对应的责任人逐级向下匹配至对应的责任人。
35.所述安全域的信息包括网络环境、是否上云、ip段范围、是否固定ip、责任单位及责任人；所述责任单位间逐级关联，所述责任单位和对应的责任人间关联。
36.通过网络透视技术将网络测试与网络预警的技术进行整合，通过发送特定的探测包至特定网络，进而得到链联级的性能特性，包括但不限于丢包率、平均延迟、吞量等，通过将所得的信息进行统计和综合分析，获取或判断网络中的无法直接观察到的信息；是基于对大规模网络中有限个节点的传输测量，使用统计学的原理来估算或推断网络的性能参数的方式。
37.本发明中，任一网络中，通过网络透视获取网络的特征，并基于网络规划对组织中的网络划定安全域，根据每个网络的拓扑图，实现精准归域，如利用ip段进行安全域的划分，并赋予每个安全域对应的信息，包括但不限于网络环境、是否上云、ip端范围、是否固定ip、责任单位、责任人，通过这些信息对安全域进行特征限定，进而便于后续将发现的资产进行规整并确认责任人。
38.本发明中，对于新发现的资产，基于其资产信息与安全域进行匹配，准确来说，通过ip与安全域范围的匹配方式，给每个资产对应至特定的安全域，并加以特定的安全域标识，进而与安全域中对应的责任单位和责任人进行匹配，实现与组织本身的拓扑信息的对齐。
39.本发明中，对于未匹配上责任人的资产信息，将自动发起认领流程，认领规则是向上匹配到最大域范围的域负责人，再由域负责人下发到下一级层层审核后上线使用。
40.在实施过程中，资产管理模块的生命周期管理包括资产上下线管理、资产信息变更管理和资产信息维护管理。
41.对于任一匹配责任人后的资产，以申请-审核模式完成资产的上线、试运行和资产的下线；对于任一匹配责任人后的资产，以申请-审核模式同步资产信息更改，所述更改包括变更、升级和割接；所述资产信息维护管理包括资产的基础信息更新、端口维护、证书有效期提醒更新。
42.本发明中，完成资产的录入后，将以资产管理模块对资产进行生命周期管理、管控，主要包括资产上下线、资产信息变更、资产信息维护。
43.本发明中，资产上线前和下线前需发起申请，经对应的责任人或其域负责人审核通过后被允许上线和下线。
44.本发明中，当存在资产信息变更的需求，需发起变更申请且经对应的责任人或其域负责人审核通过，通过后将自动同步资产信息更改。
45.本发明中，资产管理模块需要对资产信息进行整体维护，包括但不限于基础信息更新、端口维护、证书有效期提醒更新等。
46.本发明还涉及一种计算机可读存储介质，其上存储有资产生命周期管理程序，该程序被处理器执行时实现上述资产生命周期管理方法。
47.本发明还涉及一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现上述资产生命周期管理方法。
48.上述计算机可读存储介质、计算机设备在实现过程中，基于系统为整体，完成实现资产生命周期管理；所述资产生命周期管理方法包括以下步骤，如图2所示。
49.（一）配置基于系统中的协同工作模块为组织中的网络划定安全域，对应安全域配置责任人，配置一个或多个资产挖掘模块；划定安全域通过网络透视完成，通过网络规划，对组织中的网络划定安全域，并赋予每个安全域信息。
50.（二）资产发现（2-1）被动发现，通过流量监听的方式，在流量包中截取资产信息；（2-2）主动发现，通过下发扫描的方式，网络中每个安全域的扫描节点收到扫描任务后，对所属安全域资产扫描，最终获取全域资产信息；（2-3）第三方同步，通过与第三方对接的方式，同步获取资产信息。
51.（三）资产匹配（3-1）对发现的资产获取资产信息并与安全域匹配；（3-2）对匹配成功的资产打上对应的安全域标，并匹配对应的责任单位和责任人；（3-3）针对未匹配上责任人的资产信息，自动发起认领流程；认领规则是向上匹配到最大域范围的域负责人，再由域负责人下发到下一级层层审核后上线使用。
52.（四）资产管理
对资产上下线、资产信息变更、资产信息维护分别设置管理流程，依流程进行管理；（4-1）资产上下线管理：资产上线前和下线前需发起申请，经审核通过后才能上下线；（4-2）资产信息变更管理：经发起变更申请且经审核通过后自动同步资产信息更改；（4-3）资产信息维护管理：包括但不限于基础信息更新、端口维护、证书有效期提醒更新。
53.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
54.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
55.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
56.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
57.尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
58.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

技术特征：
1.一种资产生命周期管理系统，其特征在于：所述系统包括：一个或多个资产挖掘模块，用于发现资产；一匹配模块，用于将资产挖掘模块发现的资产匹配至对应的责任人；一资产管理模块，用于对匹配责任人后的资产进行生命周期管理；所述系统还包括一协同工作模块，用于为组织中的网络划定安全域、配置一个或多个资产挖掘模块完成资产发现、对发现的资产以多模式匹配至责任人、配置资产管理模块下的一个或多个主体进行资产生命周期管理。2.根据权利要求1所述的一种资产生命周期管理系统，其特征在于：所述资产挖掘模块包括：一个或多个流量监听单元，用于以流量监听的方式自流量包中截取资产信息；一个或多个扫描节点，用于基于协同工作模块下发的任务对所属安全域进行资产扫描并获得全域资产信息；一同步端口，用于与第三方对接并同步获取资产信息。3.根据权利要求2所述的一种资产生命周期管理系统，其特征在于：所述流量监听单元获取的资产信息包括资产ip及其对应的mac地址、资产类型、端口信息、指纹信息。4.根据权利要求2所述的一种资产生命周期管理系统，其特征在于：所述扫描节点获得的全域资产信息包括资产ip及其对应的操作系统、在线状态、端口信息、指纹信息。5.根据权利要求2所述的一种资产生命周期管理系统，其特征在于：所述同步端口获取的资产信息包括资产ip及其操作系统、在线状态、端口信息、指纹信息、web应用框架、数据库、jar包。6.根据权利要求1所述的一种资产生命周期管理系统，其特征在于：所述匹配模块将资产挖掘模块发现的资产匹配至对应的责任人包括以下步骤：步骤1.1：获取资产挖掘模块发现的资产，与组织中的网络划定的安全域进行匹配；步骤1.2：对于匹配成功的资产，标记对应的安全域标识，匹配至对应的责任人，否则进行下一步；步骤1.3：匹配模块发起认领流程，向上匹配至最大域范围对应的责任人，由最大域范围对应的责任人逐级向下匹配至对应的责任人。7.根据权利要求6所述的一种资产生命周期管理系统，其特征在于：所述安全域的信息包括网络环境、是否上云、ip段范围、是否固定ip、责任单位及责任人。8.根据权利要求7所述的一种资产生命周期管理系统，其特征在于：所述责任单位间逐级关联，所述责任单位和对应的责任人间关联。9.根据权利要求1所述的一种资产生命周期管理系统，其特征在于：资产管理模块的生命周期管理包括资产上下线管理、资产信息变更管理和资产信息维护管理。10.根据权利要求9所述的一种资产生命周期管理系统，其特征在于：对于任一匹配责任人后的资产，以申请-审核模式完成资产的上线、试运行和资产的下线；对于任一匹配责任人后的资产，以申请-审核模式同步资产信息更改，所述更改包括变更、升级和割接；所述资产信息维护管理包括资产的基础信息更新、端口维护、证书有效期提醒更新。

技术总结
本发明涉及一种资产生命周期管理系统，以一个或多个资产挖掘模块发现资产，以匹配模块将发现的资产匹配至对应的责任人，并以资产管理模块对资产进行生命周期管理，以协同工作模块为组织中的网络划定安全域、配置一个或多个资产挖掘模块发现资产、对发现的资产匹配至责任人、配置资产管理模块下的一个或多个主体进行资产生命周期管理，使认领后的资产上线并投入使用。本发明以多种方式获取网络资产，多维高效摸清资产数据，获取网络资产，通过自动匹配、审批匹配为资产赋予责任人，使资产与责任人的匹配正确度高、匹配率高；通过资产管控对网络透视中的资产进行有序、有效管理；多模块整合完成资产由发现到管控全过程，实现资产全生命周期管理。生命周期管理。生命周期管理。


技术研发人员：吴娇 鲍威
受保护的技术使用者：杭州安恒信息技术股份有限公司
技术研发日：2023.06.25
技术公布日：2023/8/13