CN114650185A - 一种以网络数据资产为核心的安全风险分析方法和安全监控管理系统 - Google Patents

Abstract

本发明公开了一种以网络数据资产为核心的安全风险分析方法和安全监控管理系统，其安全风险分析方法包括以下：网络空间资产日常的安全管理：僵尸资产发现；资产变更管理；资产信息集成；资产分组及重要性标记；资产态势可视化扩展；资产数据分析；发现全面的资产；丰富资产的指纹信息；资产分类管理；影子资产发现全面的资产发现能力：支持通过被动流量采集解析的方式发现网络资产，支持主动探测和被动探测相互结合方式发现资产，全面收集企业内网和暴露在互联网的资产，全面资产发现梳理、精准详细信息提供、重要漏洞影响评估、日常安全管理及数据输出等功能。

Description

一种以网络数据资产为核心的安全风险分析方法和安全监控 管理系统

技术领域

本发明涉及网络数据资产技术领域，具体为一种以网络数据资产为核心的安全风险分析方法和安全监控管理系统。

背景技术

网络在各方面都得到广泛的应用，随着网络技术的发展，网络上运行的业务也越来越多，与之相对应的是网络资产的增多，网络资产是指网络中使用的各种设备，主要包括主机、路由器、交换机以及安全设备如防火墙等，随着网络资产的增多，带来的安全风险也越来越大。

随着网络规模的不断扩大，各行业客户普遍都存在资产不清、责权不清、风险不明、管理不明等问题，而从网络资产运营者的角度而言，资产安全管理具有以下的问题：网络资产发现能力不足、资产安全管理能力不足以及资产风险研判能力不足，为此提出一种以网络数据资产为核心的安全风险分析方法和安全监控管理系统。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供了一种以网络数据资产为核心的安全风险分析方法和安全监控管理系统，以解决上述背景技术中提出的问题。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：一种以网络数据资产为核心的安全风险分析方法，其安全风险分析方法包括以下十一点：

S01、网络空间资产日常的安全管理；

S02、僵尸资产发现；

S03、资产变更管理；

S04、资产信息集成；

S05、资产分组及重要性标记；

S06、资产态势可视化扩展；

S07、资产数据分析；

S08、发现全面的资产；

S09、丰富资产的指纹信息；

S10、资产分类管理；

S11、影子资产发现。

优选的，根据步骤S01中所提出的，将网络空间资产进行自动分类，且以10个以上的大类、百余种二级分类标准划分，并依据此标准对所需管理的资产，依据既定规则，进行自动分类；

根据步骤S02中所提出的，通过主动发现、被动探测等技术手段和外部系统集成等方式会后的资产信息，做进一步挖掘分析，发现僵尸资产或者是未受安全保护的资产，支持划定目标阻止的信息资产边界，纳入安全管控范围。

优选的，根据步骤S03中所提出的，目标组织的资产发生变更，迅速得到感知，同时发现相关的异常管理事件，包括突然增加的数据库、硬件设备、应用软件、计划任务，或者新增的端口等，支撑消除入侵过程可能遗留的盲点，并支持安全策略调整；

根据步骤S04中所提出的，集成相关的信息资产，同时集成IP库，DNS信息以及统一身份认证系统。

优选的，根据步骤S05中所提出的，对资产所属的业务组以及重要性进行标记，为发生安全事件或者出现系统漏洞后的资产安全管理提供重要的运维手段；

根据步骤S06中所提出的，提供更丰富的资产变化趋势和资产安全态势，形成资产地图，支持大屏展示。

优选的，根据步骤S07中所提出的，支持企事业用户开展工作总结、提供汇报数据，并对接其他安全态势感知平台；

根据步骤S08中所提出的，全面收集企业内网和暴露在互联网的资产，全面资产发现梳理、提供精准的详细信息、重要漏洞影响评估、日常安全管理及数据输出等功能。

优选的，根据步骤S09中所提出的，资产指纹数据包括以下：

①、硬件资产；

②、软件资产；

③、云计算资产；

④、信息资产；

⑤、数据资产；

⑥、人力资源；

⑦、认证信息。

优选的，一种以网络数据资产为核心的安全监控管理系统，其特征在于：其安全监控管理系统包括以下：

(1)、前端数据接收：处理成结构化数据；

(2)、设备类资产识别：包括主机设备、网络设备、安全设备以及虚拟机；

(3)、服务类资产识别模块：包括操作系统和Web组件；

(4)、应用软件识别模块：包括Web访问记录、应用软件的更新数据、软件台账信息，输出的应用软件识别日志包括五元组、域名、协议、软件类型、软件名称或包名、软件版本、操作类型(软件更新、云端访问、是否加密)；

(5)、资产指纹提取收集模块；

(6)、资产运行状态检测模块：包括资产监测和资产分析功能。

优选的，根据(1)所提出的，其主要是抽取以下三点特征：

①、流量特征提取：提取服务访问网络时的流量特征，包括数据量、包大小以及速度；

②、连接信息抽取：抽取客户端和服务器之间的连接信息，包括源IP地址、源端口、目的IP地址、目的端口和客户端类型，以及连接时的协议内容特征；

③、内容特征提取：提取服务访问者和服务之间传输的应用层内容的特征信息，如HTTP头部信息以及js信息；

根据(2)所提出的，其功能点包括以下两点：

①、设备发现：发现网络中存在的主机设备、网络设备、安全设备、虚拟机以及未知设备等；

②、设备属性识别填充：针对设备发现模块发现的设备，识别设备的基础属性、网络属性、位置关系属性、运行状态，并对设备的属性进行关联填充和迭代填充；

根据(3)所提出的，其功能点包括以下三点：

①、服务发现：发现技术，发现网络中存在的各类服务；

如：Web类服务发现、邮件服务发现、DNS服务、FTP服务、代理服务发现、其他服务发现；

②、服务属性识别填充：识别服务的属性和运行状态，并对服务的属性进行关联填充和迭代填充；

③、服务组件信息识别：对构建服务的基础组件进行识别，服务端语言、WEB开发框架、第三方组件等信息；

根据(4)中所提出的，具体的功能点包括四点：

①、Web访问记录抽取：抽取Web协议信息和访问内容；杀毒软件病毒库更新数据抽取：抽取杀毒软件病毒库更新时访问的目标地址、更新时请求的版本以及更新频率；

②、办公软件更新数据抽取：抽取办公软件更新时访问的目标地址、更新时请求的版本以及更新频率；

③、应用访问信息抽取：抽取应用访问互联网的信息，如访问时间、访问频率、访问目标以及使用协议类型信息；

④、应用软件统计模块：包括但不限于软件使用频率统计、软件版本分布、软件更新频率统计、软件用户量统计以及软件操作统计；

根据(5)中所提出的，其具体功能包括以下两点：

①、应用软件指纹提取：提取设备上承载软件的指纹信息，包括数据库等信息；

②、协议栈指纹提取：提取设备上协议栈指纹，包括ACK序号、ToS服务类型以及ICMP错误信息；

根据(6)中所提出的，具体功能点包括以下两点：

①、资产监测：对市级党政机关互联网流量、市属重点关键信息基础设施资产的访问流量进行监测；

②、资产分析：对市级党政机关互联网流量、市属重点关键信息基础设施资产的可用性进行统计分析，并做出多维度统计。

优选的，系统的部署方式具体如下：产品在用户侧部署方式为旁路部署，将系统部署在用户业务内网与外部网络的边界处，即与用户业务内网的汇聚交换机并接，通过在汇聚交换机处将用户业务内网的流量分光至资产感知系统；同时，资产感知系统与汇聚交换机通过网络接口连接，在支持二层与三层协议回注流量的情况下用于汇聚交换机接收资产感系统的回注流量。

(三)有益效果

与现有技术相比，本发明提供了一种以网络数据资产为核心的安全风险分析方法和安全监控管理系统，具备以下有益效果：

1、全面的资产发现能力：支持通过被动流量采集解析的方式发现网络资产，支持主动探测和被动探测相互结合方式发现资产，全面收集企业内网和暴露在互联网的资产，全面资产发现梳理、精准详细信息提供、重要漏洞影响评估、日常安全管理及数据输出等功能。

2、丰富的资产指纹信息：资产指纹数据包括硬件资产、软件资产、云计算资产、信息资产、数据资产、人力资源、认证信息等，资产指纹数达1000万条。

3、资产分类清晰直观：支持自定义资产分类，高效完成资产的基础管理工作。

4、通过主动、被动资产探测，可以帮助用户梳理网络资产，发现影子资产，摸清资产暴露面，将全部资产底数纳入安全管控范围。

5、通过强大的资产指纹库，可以帮助用户全面、准确标识资产属性。

6、帮助用户建立有效的资产管理，可以按照用户实际，合理分类管理资产。

7、帮助用户检测并及时发现违规接入资产，防范安全风险。

附图说明

图1为本发明的方法步骤图；

图2为本发明的系统图；

图3为本发明的系统部署图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一个技术方案，如图1-2所示，一种以网络数据资产为核心的安全风险分析方法，其安全风险分析方法包括以下十一点：

S01、网络空间资产日常的安全管理；

S02、僵尸资产发现；

S03、资产变更管理；

S04、资产信息集成；

S05、资产分组及重要性标记；

S06、资产态势可视化扩展；

S07、资产数据分析；

S08、发现全面的资产；

S09、丰富资产的指纹信息；

S10、资产分类管理；

S11、影子资产发现。

优选的，根据步骤S01中所提出的，将网络空间资产进行自动分类，且以10个以上的大类、百余种二级分类标准划分，并依据此标准对所需管理的资产，依据既定规则，进行自动分类；

根据步骤S02中所提出的，通过主动发现、被动探测等技术手段和外部系统集成等方式会后的资产信息，做进一步挖掘分析，发现僵尸资产或者是未受安全保护的资产，支持划定目标阻止的信息资产边界，纳入安全管控范围。

优选的，根据步骤S03中所提出的，目标组织的资产发生变更，迅速得到感知，同时发现相关的异常管理事件，包括突然增加的数据库、硬件设备、应用软件、计划任务，或者新增的端口等，支撑消除入侵过程可能遗留的盲点，并支持安全策略调整；

根据步骤S04中所提出的，集成相关的信息资产，同时集成IP库，DNS信息以及统一身份认证系统。

优选的，根据步骤S05中所提出的，对资产所属的业务组以及重要性进行标记，为发生安全事件或者出现系统漏洞后的资产安全管理提供重要的运维手段；

根据步骤S06中所提出的，提供更丰富的资产变化趋势和资产安全态势，形成资产地图，支持大屏展示。

优选的，根据步骤S07中所提出的，支持企事业用户开展工作总结、提供汇报数据，并对接其他安全态势感知平台；

根据步骤S08中所提出的，全面收集企业内网和暴露在互联网的资产，全面资产发现梳理、提供精准的详细信息、重要漏洞影响评估、日常安全管理及数据输出等功能。

优选的，根据步骤S09中所提出的，资产指纹数据包括以下：

①、硬件资产；

②、软件资产；

③、云计算资产；

④、信息资产；

⑤、数据资产；

⑥、人力资源；

⑦、认证信息。

优选的，一种以网络数据资产为核心的安全监控管理系统，其特征在于：其安全监控管理系统包括以下：

(1)、前端数据接收：处理成结构化数据；

(2)、设备类资产识别：包括主机设备、网络设备、安全设备以及虚拟机；

(3)、服务类资产识别模块：包括操作系统和Web组件；

(4)、应用软件识别模块：包括Web访问记录、应用软件的更新数据、软件台账信息，输出的应用软件识别日志包括五元组、域名、协议、软件类型、软件名称或包名、软件版本、操作类型(软件更新、云端访问、是否加密)；

(5)、资产指纹提取收集模块；

(6)、资产运行状态检测模块：包括资产监测和资产分析功能。

优选的，根据(1)所提出的，其主要是抽取以下三点特征：

①、流量特征提取：提取服务访问网络时的流量特征，包括数据量、包大小以及速度；

②、连接信息抽取：抽取客户端和服务器之间的连接信息，包括源IP地址、源端口、目的IP地址、目的端口和客户端类型，以及连接时的协议内容特征；

③、内容特征提取：提取服务访问者和服务之间传输的应用层内容的特征信息，如HTTP头部信息以及js信息；

根据(2)所提出的，其功能点包括以下两点：

①、设备发现：发现网络中存在的主机设备、网络设备、安全设备、虚拟机以及未知设备等；

②、设备属性识别填充：针对设备发现模块发现的设备，识别设备的基础属性、网络属性、位置关系属性、运行状态，并对设备的属性进行关联填充和迭代填充；

根据(3)所提出的，其功能点包括以下三点：

①、服务发现：发现技术，发现网络中存在的各类服务；

如：Web类服务发现、邮件服务发现、DNS服务、FTP服务、代理服务发现、其他服务发现；

②、服务属性识别填充：识别服务的属性和运行状态，并对服务的属性进行关联填充和迭代填充；

③、服务组件信息识别：对构建服务的基础组件进行识别，服务端语言、WEB开发框架、第三方组件等信息；

根据(4)中所提出的，具体的功能点包括四点：

①、Web访问记录抽取：抽取Web协议信息和访问内容；杀毒软件病毒库更新数据抽取：抽取杀毒软件病毒库更新时访问的目标地址、更新时请求的版本以及更新频率；

②、办公软件更新数据抽取：抽取办公软件更新时访问的目标地址、更新时请求的版本以及更新频率；

③、应用访问信息抽取：抽取应用访问互联网的信息，如访问时间、访问频率、访问目标以及使用协议类型信息；

④、应用软件统计模块：包括但不限于软件使用频率统计、软件版本分布、软件更新频率统计、软件用户量统计以及软件操作统计；

根据(5)中所提出的，其具体功能包括以下两点：

①、应用软件指纹提取：提取设备上承载软件的指纹信息，包括数据库等信息；

②、协议栈指纹提取：提取设备上协议栈指纹，包括ACK序号、ToS服务类型以及ICMP错误信息；

根据(6)中所提出的，具体功能点包括以下两点：

①、资产监测：对市级党政机关互联网流量、市属重点关键信息基础设施资产的访问流量进行监测；

②、资产分析：对市级党政机关互联网流量、市属重点关键信息基础设施资产的可用性进行统计分析，并做出多维度统计。

具体的，系统的部署方式具体如下：产品在用户侧部署方式为旁路部署，将系统部署在用户业务内网与外部网络的边界处，即与用户业务内网的汇聚交换机并接，通过在汇聚交换机处将用户业务内网的流量分光至资产感知系统；同时，资产感知系统与汇聚交换机通过网络接口连接，在支持二层与三层协议回注流量的情况下用于汇聚交换机接收资产感系统的回注流量。

本装置的工作原理：

网络空间资产日常安全管理：具备网络空间资产自动分类功能，将网络空间资产进行了10多个大类、百余种二级分类标准划分，并依据此标准对所需管理的资产，依据既定规则，进行自动分类；

僵尸资产发现：通过主动发现、被动探测等技术手段和外部系统集成等方式会后的资产信息，做进一步挖掘分析，发现僵尸资产或者是未受安全保护的资产，支持划定目标阻止的信息资产边界，纳入安全管控范围；

资产变更管理：目标组织的资产发生变更，能够迅速感知，同时能发现相关的异常管理事件，包括突然增加的数据库、硬件设备、应用软件、计划任务，或者新增的端口等，支撑消除入侵过程可能遗留的盲点；并支持安全策略调整；

资产信息集成：集成相关的信息资产，同时集成IP库，DNS信息以及统一身份认证系统；

资产分组及重要性标记：资产所属的业务组以及重要性进行标记，为发生安全事件或者出现系统漏洞后的资产安全管理提供重要的运维手段；

资产态势可视化扩展；提供更丰富的资产变化趋势和资产安全态势，形成资产地图，支持大屏展示

资产数据分析：支持企事业用户开展工作总结、提供汇报数据，并可以对接其他安全态势感知平台；

全面的资产发现能力：全面收集企业内网和暴露在互联网的资产，全面资产发现梳理、精准详细信息提供、重要漏洞影响评估、日常安全管理及数据输出等功能；

丰富的资产指纹信息：资产指纹数据包括硬件资产、软件资产、云计算资产、信息资产、数据资产、人力资源、认证信息等

资产分类清晰直观：支持自定义资产分类，高效完成资产的基础管理工作

影子资产发现：影子资产是指那些不在组织信息化部门掌控下的资产，数据泄漏和影子资产是全球大型组织面临网络攻击的最大来源；

(一)资产识别

(1)前端数据接收：处理成结构化数据；主要是抽取以下特征：

1)流量特征提取：提取服务访问网络时的流量特征，包括数据量、包大小、速度等；

2)连接信息抽取：抽取客户端和服务器之间的连接信息，包括源IP地址、源端口、目的IP地址、目的端口和客户端类型等，以及连接时的协议内容特征；

3)内容特征提取：提取服务访问者和服务之间传输的应用层内容的特征信息，如HTTP头部信息、js信息等；

(2)设备类资产识别：包括主机设备、网络设备、安全设备、虚拟机等；其功能点包括：

1)设备发现：发现网络中存在的主机设备、网络设备、安全设备、虚拟机以及未知设备等；

2)设备属性识别填充：针对设备发现模块发现的设备，识别设备的基础属性、网络属性、位置关系属性、运行状态，并对设备的属性进行关联填充和迭代填充；

(3)服务类资产识别模块：包括操作系统，Web组件等；其功能点包括：

1)服务发现：发现技术，发现网络中存在的各类服务；如：Web类服务发现、邮件服务发现、DNS服务、FTP服务、代理服务发现、其他服务发现等；

2)服务属性识别填充：识别服务的属性和运行状态，并对服务的属性进行关联填充和迭代填充；

3)服务组件信息识别：对构建服务的基础组件进行识别，服务端语言、WEB开发框架、第三方组件等信息；

(4)应用软件识别模块：包括Web访问记录、应用软件的更新数据、软件台账信息，输出的应用软件识别日志包括五元组、域名、协议、软件类型、软件名称或包名、软件版本、操作类型(软件更新、云端访问等、是否加密等；具体的功能点包括：

Web访问记录抽取：抽取Web协议信息和访问内容；杀毒软件病毒库更新数据抽取：抽取杀毒软件病毒库更新时访问的目标地址、更新时请求的版本、更新频率等；

办公软件更新数据抽取：抽取办公软件更新时访问的目标地址、更新时请求的版本、更新频率等；

应用访问信息抽取：抽取应用访问互联网的信息，如访问时间、访问频率、访问目标、使用协议类型信息；

应用软件统计模块：包括但不限于软件使用频率统计、软件版本分布、软件更新频率统计、软件用户量统计、软件操作统计等；

(5)资产指纹提取收集模块：

1)应用软件指纹提取：提取设备上承载软件的指纹信息，包括数据库等信息；

2)协议栈指纹提取：提取设备上协议栈指纹，包括ACK序号、ToS服务类型、ICMP错误信息等；

(6)资产运行状态检测模块：包括资产监测、资产分析等功能；具体功能点包括：

1)资产监测：对市级党政机关互联网流量、市属重点关键信息基础设施资产的访问流量进行监测；

2)资产分析：对市级党政机关互联网流量、市属重点关键信息基础设施资产的可用性进行统计分析，并做出多维度统计。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (9)

1.一种以网络数据资产为核心的安全风险分析方法，其特征在于：其安全分析方法包括以下十一点：

S01、网络空间资产日常的安全管理；

S02、僵尸资产发现；

S03、资产变更管理；

S04、资产信息集成；

S05、资产分组及重要性标记；

S06、资产态势可视化扩展；

S07、资产数据分析；

S08、发现全面的资产；

S09、丰富资产的指纹信息；

S10、资产分类管理；

S11、影子资产发现。

2.根据权利要求1所述的一种以网络数据资产为核心的安全风险分析方法，其特征在于：根据步骤S01中所提出的，将网络空间资产进行自动分类，且以10个以上的大类、百余种二级分类标准划分，并依据此标准对所需管理的资产，依据既定规则，进行自动分类；

根据步骤S02中所提出的，通过主动发现、被动探测等技术手段和外部系统集成等方式会后的资产信息，做进一步挖掘分析，发现僵尸资产或者是未受安全保护的资产，支持划定目标阻止的信息资产边界，纳入安全管控范围。

3.根据权利要求1所述的一种以网络数据资产为核心的安全风险分析方法，其特征在于：根据步骤S03中所提出的，目标组织的资产发生变更，迅速得到感知，同时发现相关的异常管理事件，包括突然增加的数据库、硬件设备、应用软件、计划任务，或者新增的端口等，支撑消除入侵过程可能遗留的盲点，并支持安全策略调整；

根据步骤S04中所提出的，集成相关的信息资产，同时集成IP库，DNS信息以及统一身份认证系统。

4.根据权利要求1所述的一种以网络数据资产为核心的安全风险分析方法，其特征在于：根据步骤S05中所提出的，对资产所属的业务组以及重要性进行标记，为发生安全事件或者出现系统漏洞后的资产安全管理提供重要的运维手段；

根据步骤S06中所提出的，提供更丰富的资产变化趋势和资产安全态势，形成资产地图，支持大屏展示。

5.根据权利要求1所述的一种以网络数据资产为核心的安全风险分析方法，其特征在于：根据步骤S07中所提出的，支持企事业用户开展工作总结、提供汇报数据，并对接其他安全态势感知平台；

根据步骤S08中所提出的，全面收集企业内网和暴露在互联网的资产，全面资产发现梳理、提供精准的详细信息、重要漏洞影响评估、日常安全管理及数据输出等功能。

6.根据权利要求1所述的一种以网络数据资产为核心的安全风险分析方法，其特征在于：根据步骤S09中所提出的，资产指纹数据包括以下：

①、硬件资产；

②、软件资产；

③、云计算资产；

④、信息资产；

⑤、数据资产；

⑥、人力资源；

⑦、认证信息。

7.根据权利要求1所述的一种以网络数据资产为核心的安全监控管理系统，其特征在于：其安全监控管理系统包括以下：

(1)、前端数据接收：处理成结构化数据；

(2)、设备类资产识别：包括主机设备、网络设备、安全设备以及虚拟机；

(3)、服务类资产识别模块：包括操作系统和Web组件；

(4)、应用软件识别模块：包括Web访问记录、应用软件的更新数据、软件台账信息，输出的应用软件识别日志包括五元组、域名、协议、软件类型、软件名称或包名、软件版本、操作类型(软件更新、云端访问、是否加密)；

(5)、资产指纹提取收集模块；

(6)、资产运行状态检测模块：包括资产监测和资产分析功能。

8.根据权利要求1所述的一种以网络数据资产为核心的安全监控管理系统，其特征在于：

根据(1)所提出的，其主要是抽取以下三点特征：

①、流量特征提取：提取服务访问网络时的流量特征，包括数据量、包大小以及速度；

②、连接信息抽取：抽取客户端和服务器之间的连接信息，包括源IP地址、源端口、目的IP地址、目的端口和客户端类型，以及连接时的协议内容特征；

③、内容特征提取：提取服务访问者和服务之间传输的应用层内容的特征信息，如HTTP头部信息以及js信息；

根据(2)所提出的，其功能点包括以下两点：

①、设备发现：发现网络中存在的主机设备、网络设备、安全设备、虚拟机以及未知设备等；

②、设备属性识别填充：针对设备发现模块发现的设备，识别设备的基础属性、网络属性、位置关系属性、运行状态，并对设备的属性进行关联填充和迭代填充；

根据(3)所提出的，其功能点包括以下三点：

①、服务发现：发现技术，发现网络中存在的各类服务；

如：Web类服务发现、邮件服务发现、DNS服务、FTP服务、代理服务发现、其他服务发现；

②、服务属性识别填充：识别服务的属性和运行状态，并对服务的属性进行关联填充和迭代填充；

③、服务组件信息识别：对构建服务的基础组件进行识别，服务端语言、WEB开发框架、第三方组件等信息；

根据(4)中所提出的，具体的功能点包括四点：

①、Web访问记录抽取：抽取Web协议信息和访问内容；杀毒软件病毒库更新数据抽取：抽取杀毒软件病毒库更新时访问的目标地址、更新时请求的版本以及更新频率；

②、办公软件更新数据抽取：抽取办公软件更新时访问的目标地址、更新时请求的版本以及更新频率；

③、应用访问信息抽取：抽取应用访问互联网的信息，如访问时间、访问频率、访问目标以及使用协议类型信息；

④、应用软件统计模块：包括但不限于软件使用频率统计、软件版本分布、软件更新频率统计、软件用户量统计以及软件操作统计；

根据(5)中所提出的，其具体功能包括以下两点：

①、应用软件指纹提取：提取设备上承载软件的指纹信息，包括数据库等信息；

②、协议栈指纹提取：提取设备上协议栈指纹，包括ACK序号、ToS服务类型以及ICMP错误信息；

根据(6)中所提出的，具体功能点包括以下两点：

①、资产监测：对市级党政机关互联网流量、市属重点关键信息基础设施资产的访问流量进行监测；

②、资产分析：对市级党政机关互联网流量、市属重点关键信息基础设施资产的可用性进行统计分析，并做出多维度统计。

9.根据权利要求7所述的一种以网络数据资产为核心的安全监控管理系统，其特征在于：系统的部署方式具体如下：产品在用户侧部署方式为旁路部署，将系统部署在用户业务内网与外部网络的边界处，即与用户业务内网的汇聚交换机并接，通过在汇聚交换机处将用户业务内网的流量分光至资产感知系统；同时，资产感知系统与汇聚交换机通过网络接口连接，在支持二层与三层协议回注流量的情况下用于汇聚交换机接收资产感系统的回注流量。

Images