近日，画方科技成功签约国家市场监督管理总局，全面管控当前业务域网络，为总局构建业务域“摸清家底、理清资产、快速定位、历史追溯”的网络资产旁路溯源平台。这是我司在部委级用户又一捷报。

      （一）项目需求

     HVV行动即将开始，国家市场监督管理总局作为防守方，首先要对自身目标系统及关联资产进行梳理，形成资产清单。资产清单应包括 IP 地址、MAC地址、操作系统、端口/服务、责任人、联系方式等，便于快速的进行资产定位、风险处置、应急等工作的开展。

     其中关于资产梳理，分类如下：

     个人办公电脑的登记审核。一是包括 IP、MAC 地址、 操作系统、是否安装防毒软件、二是对新增办公电脑要做 好准入要求，对安全补丁、防病毒、密码强度等进行检查。 

     办公设备的登记审核。包括打印机、复印机、扫描仪、传真机，保密文件存储介质、电子门禁等。 

     网络设备的登记审核。包括交换机、路由器、网关、 防火墙等，要做好相关梳理，如无必要不应暴漏在公网，并核查相关安全策略。 

    网络安全产品登记审核。包括 WAF、NF、IDS、IPS、 HIDS、EDR、邮件网关、杀毒软件、网页防篡改等，并确认其安全补丁是否更新，安全策略及日志留存是否开启。

     其次，关于新增资产归类登记方面：     

     新增资产归类登记。包括新增办公设备需符合安装防病毒软件、开启防火墙等后才可使用，禁止无保护状态接入办公网。

     最后，由于联网资产梳理与登记并非静态化数据/一次性工作，而是循环精准过程，当前依赖人工登记管理的方式，必然缺乏历史追溯信息，例如经过一段时间后，IP地址已然不是原来的终端，在错误的基础上进行风险处置、应急等将成为无用功。

     因此，需要部署一套能够自动发现联网资产，智能引导梳理登记审核管理平台，具备历史溯源能力的联网资产管理平台。

     （二）技术方案

     画方网络准入管理系统可以很好的解决上述需求，实现准入的第一个逻辑即发现识别，对此，仅需将画方网络准入管理系统旁路部署在核心交换机，启用主动扫描+被动嗅探相结合技术，即可自动发现所有联网终端，并基于丰富的指纹识别库归类终端类型，从而为用户构建基础的联网资产梳理。

     其次，利用实现准入的核心逻辑“检查、阻断”，对未登记信息、登记不全面、定期变更的联网资产，给予引导，实现主动登记，完善资产管理信息。

     （三）应用效果

1.摸清家底·理清资产

     系统基于自动采集与识别功能，协助用户实现自动梳理联网资产信息，包括且不限于IP 地址、MAC地址、操作系统、端口/服务等。结合现有Excel静态数据，汇总责任人、联系方式等管理信息；

2.快速定位

     可以基于系统对已知的IP地址或MAC地址或交换机端口等信息，快速查询定位终端。

3.历史溯源

     在快速定位查询的基础上，还可以基于时间轴，查询历史对应关系，例如某时间节点哪个IP在哪个终端使用、某时间节点哪个IP在哪个接入位置等。