一种网络资产呈现的方法及系统与流程

1.本申请属于企业资产管理技术领域，尤其涉及网络资产呈现的方法及系统。


背景技术：

2.随着工业水平和经济水平的快速发展，各工业企业的经济实力不断壮大，筹集资金的方式也日渐多元，这使得工业企业有更多的资金可用于购买网络资产，因此，工业企业拥有和使用的固定资产不断增加。这在给工业企业发展带来机遇的同时，也对工业企业资产的管理提出了新的问题和挑战。
3.传统的工业企业网络资产的管理模式通常采用ip和端口绑定的方式作为约束进行呈现，资产数量较多时资产显示无规律，不利于安全核查人员进行分析。具体而言，在一个主机的多个服务端口上分别绑定一个网络资产的不同属性信息，对该网络资产的属性信息进行统计时，顺序查询每一个服务端口，获取该服务端口上网络资产的属性信息，再通过人工的方式统计各个服务端口上网络资产的属性信息。当网络资产较多时，使用同样的方法对每一个网络资产的多条属性信息进行采集，耗时长，统计困难。
4.另一方面，当某一个网络资产处于离线状态时，传统的管理模式无法确定其离线的时间。并且在分析离线的原因时，首先进入该网络资产的状态端口，查看其所处的状态是出库还是故障，若出现故障时，则需要对出现故障的全部可能情况进行一一排查，该方法核查效率低，分析困难。


技术实现要素：

5.本申请实施例提供了一种网络资产呈现的方法及系统，通过自动识别目标网络的ip地址范围内的网络资产，对网络资产信息进行可视化展示，直观清晰，减少了人工核查的时间。另一方面，对其运行状态进行跟踪，为网络资产提供全生命周期的管理模式。同时通过存储的网络资产运行日志可以准确地获取网络资产的离线原因，提高排查故障的效率，同时也为企业安全人员进行风险核查提供数据支撑。
6.第一方面，本申请实施例提供了一种网络资产呈现的方法，该方法包括：获取目标网络的网络协议ip地址范围内的至少一个第一网络资产；确定所述第一网络资产的信息，所述第一网络资产的信息包括所述第一网络资产的ip地址、资产类型、资产型号、运行状态、开放端口以及获取时间中的一项或多项；根据所述第一网络资产的信息，建立网络资产信息表；确定所述第一网络资产的运行日志，所述运行日志包括所述第一网络资产的访问时间、ip地址、设备状态、日志类型信息；在所述网络资产信息表中添加所述第一网络资产的运行日志。
7.应理解，所述方法中的第一网络资产，是本系统经过资产探测扫描获取到的任何一个网络资产。在资产管理模块中，以可视化的方式将网络资产的信息展现在网络资产表中，用户可对该网络资产表进行增加信息、删除信息、修改信息以及查询信息的操作。同时，日志存储模块存储第一网络资产的运行详细日志，将日志文件也添加至网络资产信息表
中。
8.通过这样的方案，可以自动将同一网段下的所有网络资产信息整合，在资产管理界面显示，减少了人工核查的时间。在资产管理界面中，可以对网络资产信息进行增加、删除、修改和查询，方便快捷。另一方面，所述方法中确定第一网络资产的运行日志，方便企业安全人员对网络资产的状态通过日志记录的详细信息进行风险追查。
9.在第一方面的某些可能的实现方式中，所述方法还包括：获取所述第一网络资产的所属部门、使用对象、入库时间和离库时间信息；在所述网络资产信息表中添加所述第一网络资产的所属部门、使用对象、入库时间和离库时间信息。
10.应理解，为了对网络资产进行更详尽的展示，将第一网络资产的所属部门、使用对象、入库时间和离库时间信息手动填写至网络资产信息表中，能够更直观清楚地为网络资产提供全生命周期的管理模式，方便用户掌握资产状态。
11.结合第一方面和上述实现方式，在第一方面的某些实现方式中，所述方法还包括：探测所述目标网络的ip地址范围内的目标网络资产；确定所述目标网络资产的运行状态，所述运行状态包括所述目标网络资产处于在线状态、入库状态、出库状态或者离线状态；当所述目标网络资产的运行状态为离线状态时，根据所述目标网络资产的所述网络资产信息表中的所述运行日志，确定所述目标网络资产离线的原因。
12.具体地，通过实时记录资产的运行状态，包括在线状态、入库状态、离库状态以及离线状态，能及时发现网络资产是否发生异常。当对网络资产进行探测时，无回应，则可以通过运行日志中记录的详细文件得到故障发生的原因，方便企业安全人员对资产的状态通过跟踪设备运行状态以及日志记录的详细信息进行风险追查。
13.结合第一方面和上述实现方式，在第一方面的某些实现方式中，所述获取目标网络的网络协议ip地址范围内的至少一个第一网络资产，包括：确定待访问的所述目标网络的ip地址；根据所述目标网络的ip地址，配置所述目标网络包括的多个地址区间、每个所述地址区间内的扫描速度和每个所述地址区间内的扫描周期；获取每个所述地址区间内的至少一个第一网络资产。
14.具体地，确定要访问的网络的ip地址，将目标网络进行地址划分，划分成多个地址区间，在每个地址区间内对扫描的速度、周期进行设置，具备指定范围内网络资产发现、服务探测的能力。另外的，当第一网络资产的ip地址与所要访问的网络属于不同网段时，只能通过人工的方式在网络资产信息表中添加第一网络资产的信息。
15.结合第一方面和上述实现方式，在第一方面的某些实现方式中，所述确定所述第一网络资产的信息，包括：请求与所述第一网络资产建立连接，向所述第一网络资产发送握手包，通过所述握手包读取所述第一网络资产的信息。
16.具体地，当本系统访问到第一网络资产的ip地址时，与第一网络资产建立连接，向第一网络资产发送握手包，接收到确认信息后，开始读取第一网络资产的基本信息。
17.通过这样的方案，使得本系统具备网络资产自动识别的优势，提升了工作效率。
18.结合第一方面和上述实现方式，在第一方面的某些实现方式中，所述方法还包括：确定访问所述网络资产信息表的用户；当所述用户为管理员用户时，所述用户在所述网络资产信息表中增加、删除、修改和查询所述第一网络资产的信息；当所述用户为除所述管理员用户之外的普通用户时，所述用户在所述网络资产信息表中仅能够查询所述第一网络资
产的信息。
19.通过这样的方案，对网络资产信息表的访问权限进行了设定，在方便用户掌握资产状态的同时，提高了本系统的安全性。
20.第二方面，本申请实施例提供了一种网络资产呈现的系统，包括：资产发现模块，用于获取目标网络的网络协议ip地址范围内的至少一个第一网络资产；所述资产发现模块还用于确定所述第一网络资产的信息，所述第一网络资产的信息包括所述第一网络资产的ip地址、资产类型、资产型号、运行状态、开放端口以及获取时间中的一项或多项；资产管理模块，用于根据所述第一网络资产的信息，建立网络资产信息表；日志存储模块，用于确定所述第一网络资产的运行日志，所述运行日志包括所述第一网络资产的访问时间、ip地址、设备状态、日志类型信息；所述资产管理模块还用于在所述网络资产信息表中添加所述第一网络资产的运行日志。
21.在第二方面的某些可能的实现方式中，所述系统还包括：ip画像模块，用于在所述网络资产信息表中添加所述第一网络资产的所属部门、使用对象、入库时间和离库时间信息。
22.结合第二方面和上述实现方式，在某些可能的实现方式中，所述系统还包括：资产发现模块，用于探测所述目标网络的ip地址范围内的目标网络资产；状态跟踪模块，用于确定所述目标网络资产的运行状态，所述运行状态包括所述目标网络资产处于在线状态、入库状态、出库状态或者离线状态；该状态跟踪模块还用于当所述目标网络资产的运行状态为离线状态时，根据所述目标网络资产的所述网络资产信息表中的所述运行日志，确定所述目标网络资产离线的原因。
23.结合第二方面和上述实现方式，在某些可能的实现方式中，该资产发现模块还用于确定待访问的所述目标网络的ip地址；根据所述目标网络的ip地址，配置所述目标网络包括的多个地址区间、每个所述地址区间内的扫描速度和每个所述地址区间内的扫描周期；获取每个所述地址区间内的至少一个第一网络资产。
24.结合第二方面和上述实现方式，在某些可能的实现方式中，该资产发现模块还用于请求与所述第一网络资产建立连接，向所述第一网络资产发送握手包，通过所述握手包读取所述第一网络资产的信息。
25.结合第二方面和上述实现方式，在某些可能的实现方式中，该资产管理模块还用于确定访问所述网络资产信息表的用户；当所述用户为管理员用户时，所述用户在所述网络资产信息表中增加、删除、修改和查询所述第一网络资产的信息；当所述用户为除所述管理员用户之外的普通用户时，所述用户在所述网络资产信息表中仅能够查询所述第一网络资产的信息。
26.第三方面，本申请实施例提供了一种终端设备，包括：一个存储器、一个处理器以及存储在所述存储器中并可在所述处理器上运行的多个计算机程序，所述处理器执行所述计算机程序时执行上述第一方面中任一项所述的网络资产呈现的方法。
27.第四方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行上述第一方面中任一项所述的网络资产呈现的方法。
28.第五方面，本申请实施例提供了一种计算机程序产品，当计算机程序产品在终端
设备上运行时，使得终端设备执行上述第一方面中任一项所述的网络资产呈现的方法。
29.可以理解的是，上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述，在此不再赘述。
附图说明
30.为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
31.图1是传统的网络资产呈现方式示意图；
32.图2是本申请实施例提供的网络资产呈现方式的系统框架图；
33.图3是本申请实施例提供的网络资产呈现方式的流程示意图；
34.图4是本申请实施例提供的网络资产的信息表示意图；
35.图5是本申请实施例提供的确定网络资产离线原因的方法流程图；
36.图6是本申请实施例提供的终端设备的结构示意图。
具体实施方式
37.以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。
38.应当理解，当在本申请说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
39.还应当理解，在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。
40.另外，在本申请说明书和所附权利要求书的描述中，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
41.在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。
42.下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做
出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
43.随着工业水平和经济水平的快速发展，各工业企业的经济实力不断壮大，筹集资金的方式也日渐多元，这使得工业企业有更多的资金可用于购买网络资产，因此，工业企业拥有和使用的固定资产不断增加。这在给工业企业发展带来机遇的同时，也对工业企业资产的管理提出了新的问题和挑战。
44.图1是传统的网络资产呈现方式示意图，传统的工业企业网络资产的管理模式通常采用ip和端口绑定的方式作为约束进行呈现，通过识别网络资产的不同服务端口得到网络资产的不同属性信息。
45.可选地，网络资产包括计算机网络中使用的各种设备，包括主机、路由器、交换机、防火墙等，这里不做具体限定。
46.如图1所示，识别网络资产1中的服务端口1，在资产管理界面中显示出网络资产1的资产类型为路由器，识别网络资产1中的服务端口2，在资产管理界面中显示出网络资产1的资产型号为tp
‑
link。使用同样的方法，得到网络资产2的资产类型为交换机，资产型号为ufs
‑
1016。为了获取全部的网络资产的所有基本信息以及各端口状态，需要通过人工的方式统计，当网络资产较多时，使用同样的方式对每一个网络资产的基本信息进行采集，耗时长，统计困难。
47.另一方面，当网络资产离线时，传统的方法只能显示出网络资产处于离线状态，无法确定离线的原因，需要将所有的可能情况进行一一排查，核查效率低，分析困难。
48.图2是本申请实施例提供的网络资产呈现方式的系统框架图。如图2所示，该系统主要由资产发现模块、资产管理模块、ip画像模块、状态跟踪模块以及日志存储模块组成。
49.具体地，在本系统上确定目标网络的ip地址。资产发现模块用于探测在目标网络的ip地址范围内的网络资产，获取网络资产1，查询网络资产1开放的端口和服务，得到网络资产1的基本信息。资产管理模块将得到的网络资产1的基本信息整合到本系统的数据库中，建立网络资产1的信息表，对网络资产1的信息表进行可视化展示。在资产管理模块中，可以对网络资产1的信息进行增加、删除、修改和查找的操作。ip画像模块负责对网络资产1的信息进行更详细的展示，在网络资产1的信息表内增加资产所属部门、使用对象、入库时间以及离库时间等信息。状态跟踪模块实时记录网络资产1的状态，如处于出库状态、入库状态、正常运行状态或者离线状态。当网络资产1处于离线状态时，通过查找日志存储模块中所存储的网络资产1运行的详细日志，确定网络资产1出故障的原因。
50.本实施例中所述的方法，提高了工业企业的网络资产管理效率，增强了企业网络资产、业务与安全之间的关联性。通过主动发现网络资产、提供网络资产的管理方法及建立ip画像进行可视化展示能有效的解决目前工业企业存在的网络资产管理难、网络资产状态难核查等疑难问题。
51.图3是本申请实施例提供的网络资产呈现方式的流程示意图。
52.s301，获取目标网络的网络协议(internet prototype，ip)地址范围内的至少一个第一网络资产；
53.具体地，本申请实施例中网络资产呈现的系统访问外部网络时，首先确定所要访问的目标网络的ip地址，然后在该网络中获取具体的网络资产。示例性的，访问的目标网络的ip地址为192.168.1.0，获取该网络下的网络资产1，网络资产1的ip地址为192.168.1.2。
作为一种实现方式，网络资产2的ip地址为192.168.2.1，则表示该网络资产2不处于目标网络内，需要手动将网络资产2的信息添加至本系统中。
54.作为另一种可能实现方式，在访问网络资产1前，预先配置目标网络的多个地址区间、每个地址区间内的扫描速度和每个地址区间内的扫描周期等信息。示例性的，设置地址区间分别为ip地址为192.168.1.1
‑
192.168.1.31、192.168.1.32
‑
192.168.1.64、192.168.1.65
‑
192.168.1.127的范围，扫描速度为2s/个网络资产，扫描周期为5min，则该系统在三个不同的地址区间范围内，每隔2s访问一个网络资产，所有的网络资产访问完成后，间隔5min后，重新再次扫描，对每一个网络资产进行访问，更新网络资产的信息。
55.通过这样的方案，使得本系统具备网络资产自动识别的优势，同时在资产探测扫描时，可以对地址区间进行划分，设定每个地址区间内的通讯协议、扫描速度以及扫描周期等信息，具备指定范围内网络资产发现、服务探测的能力，提升了工作效率。
56.s302，确定第一网络资产的信息。
57.具体地，本系统发起请求，请求与网络资产1建立连接，向网络资产1发送握手包，接收到确认信息后，通过握手包读取网络资产1的ip地址、资产类型、资产型号、运行状态、开放端口以及获取时间中的一项或多项。
58.s303，根据第一网络资产的信息，建立网络资产信息表。
59.具体地，建立关于网络资产1的信息表，表中包含了读取到的网络资产1的所有信息。
60.通过这样的方案，可以自动将同一网络下的所有网络资产信息整合，在资产管理界面显示，减少了人工核查的时间。
61.图4是本申请实施例提供的网络资产的信息表示意图。如图4所示，对该信息表进行可视化展示，建web资产画布，在画布内可以对网络资产1进行拖拽，同时也可以对网络资产1进行增加、删除、修改和查询的操作。作为一种可能的实现方式，设定用户的访问权限，管理员用户可以对网络资产1进行增加、删除、修改和查询的全部操作，而普通用户只能对网络资产1进行查询操作。
62.作为另一种可能的实现方式，在如图4所示的网络资产的信息表中，手动在网络资产1的列表中增加网络资产1的所属部门、使用对象、入库时间以及离库时间的信息。
63.本实施例中所述的方法对网络资产进行更详尽的展示，能够更直观清楚地为网络资产提供全生命周期的管理模式，方便用户掌握资产状态。
64.s304，确定第一网络资产的运行日志。
65.具体地，网络资产1的运行日志详细记录了网络资产1的访问时间、ip地址、设备状态、日志类型信息，详细说明了网络资产1的使用过程以及设备状态情况。
66.通过本实施例中所述的方法，企业安全人员可以通过存储的日志进行风险核查，当设备发生异常时，可通过异常日志的详细说明判断传输的数据包内是否存在异常流量，为企业安全人员进行风险核查提供数据支撑。
67.s305，在网络资产信息表中添加第一网络资产的运行日志。
68.具体地，在网络资产1的信息表中增加生成的运行日志，方便日后不同的网络资产发生异常时快速提取信息。
69.图5是本申请实施例提供的确定网络资产离线原因的方法流程图，当第一网络资
产出现离线、宕机的情况时，采用如图5所示的流程：
70.s501，探测所述目标网络协议ip地址范围内的目标网络资产。
71.s502，确定目标网络资产的运行状态。
72.具体地，获取所访问的网络内的网络资产2，其ip地址为192.168.1.3。在网络资产的信息表中查询网络资产2的运行状态，当网络资产2的运行状态为在线状态时不做任何操作，当网络资产2的运行状态为入库状态或离库状态，在表中查询网络资产2的入库时间和离库时间。
73.s503，当目标网络资产的运行状态为离线状态时，根据目标网络资产的网络资产信息表中的运行日志，确定目标网络资产离线的原因。
74.具体地，当网络资产2的运行状态为离线状态，首先进行人工核对，检查网络资产2是出库还是出现故障。当网络资产2出现故障时，进入网络资产的信息表，对应网络资产2的信息列表，查询运行日志信息，从记录的日志信息中得到网络资产2的离线原因。
75.本实施例中所述的方法，通过实时记录资产的运行状态，包括在线状态、入库状态、离库状态或者离线状态，能及时发现网络资产是否发生故障。当对网络资产进行探测时，无回应，判断该网络资产处于离线状态，通过运行日志中记录的详细文件得到离线的原因。该方法减少了核查设备故障出现的原因所花费的时间，能够高效地找出问题所在，方便企业安全人员对资产的状态通过跟踪设备运行状态以及日志记录的详细信息进行风险追查。
76.另一方面，当网络资产2发生故障时，可以建立起网络资产2近一个月内的运行统计图表，从图表中初步判断网络资产2是否在特定的时间都存在离线、宕机的情况，也可以从图表中判断网络资产2最近的出入库状态。
77.图6是本申请实施例提供的终端设备的结构示意图。如图6所示，该终端设备包括处理器601、存储器602以及存储在所述存储器602中并可在所述处理器601上运行的计算机程序，所述处理器601执行计算机程序时实现上述任意网络资产呈现方式的实施例中的步骤。
78.所述网络资产呈现的终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述处理器601可以是中央处理单元(central processing unit，cpu)，该处理器601还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field
‑
programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
79.所述存储器602在一些实施例中可以是所述终端设备的内部存储单元，硬盘或内存。所述存储器602在另一些实施例中也可以是所述终端设备的外部存储设备，例如所述网络资产呈现的装置上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。进一步地，所述存储器602还可以既包括内部存储单元也包括外部存储设备。所述存储器602用于存储操作系统、应用程序、引导装载程序(bootloader)、数据以及其他程序等，例如所述计算机程序的程序代码等。所述存储器602还可以用于暂时地存储已经输出或者将要输出的数据。
80.需要说明的是，上述设备之间的信息交互、执行过程等内容，由于与本申请方法实施例基于同一构思，其具体功能及带来的技术效果，具体可参见方法实施例部分，此处不再赘述。
81.本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
82.本申请实施例提供了一种计算机程序产品，当计算机程序产品在移动终端上运行时，使得移动终端执行时实现可实现上述各个方法实施例中的步骤。
83.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。
84.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。
85.以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。