4.19講話中指出�����,“摸清家底,認清風險�,找出漏洞,通報結(jié)果��,督促整改”�����,構(gòu)建網(wǎng)絡(luò)空間治理的安全平臺應(yīng)從資產(chǎn)摸底開始��。然而信息技術(shù)的發(fā)展�����、IT架構(gòu)的變更以及業(yè)務(wù)的拓展���,讓企業(yè)信息資產(chǎn)梳理的復(fù)雜程度日趨增加�,但也成為企業(yè)安全防護的基礎(chǔ)和重要因素之一���。在8月21日召開的“北京網(wǎng)絡(luò)安全大會”上,盛邦安全聯(lián)合安全牛�、數(shù)字觀星共同發(fā)布了《信息資產(chǎn)風險與合規(guī)管理(ITARC)應(yīng)用指南報告》,從業(yè)務(wù)和資產(chǎn)的關(guān)聯(lián)角度����,為產(chǎn)業(yè)提供信息資產(chǎn)風險與合規(guī)管理的全新理念與解決方案�����,率先完整梳理和定義了網(wǎng)絡(luò)空間資產(chǎn)安全治理的標準和關(guān)鍵點�。
不清楚保護對象���,何談安全保護���?
某知名第三方調(diào)研機構(gòu)在其2017年一項研究中得出結(jié)論,未來五年企業(yè)價值將取決于各自的信息資產(chǎn)組合����。在當今日益數(shù)字化的世界中,任何想要正確評估企業(yè)價值的個體和組織����,必須重視信息資產(chǎn)和對它的分析能力,包括信息資產(chǎn)的數(shù)量��、種類和質(zhì)量等���。信息資產(chǎn)已逐步成為企業(yè)的戰(zhàn)略資產(chǎn)�����,得到了企業(yè)高層的廣泛重視�����。
但與此同時�,在數(shù)字化創(chuàng)新的推動下,IT架構(gòu)與應(yīng)用越來越復(fù)雜�����,信息資產(chǎn)的數(shù)量與種類越來越多���,也讓網(wǎng)絡(luò)安全的復(fù)雜度大增���。特別是云計算、移動互聯(lián)網(wǎng)等技術(shù)的創(chuàng)新�,使得組織的網(wǎng)絡(luò)環(huán)境失去了邊界;應(yīng)用系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的開放互聯(lián)成為組織的常態(tài)����,組織原有的資產(chǎn)管理方式往往不能跟進系統(tǒng)變化。另外,網(wǎng)絡(luò)資產(chǎn)需求的突發(fā)性����,以及人員的主觀工作疏忽���,都可能導(dǎo)致出現(xiàn)資產(chǎn)數(shù)量不明�、類型不清晰��、安全檢查漏洞不全面等問題���。信息資產(chǎn)梳理是解決知己知彼的問題�����,是增強網(wǎng)絡(luò)安全防御能力和威懾能力的基礎(chǔ)��。
如今�����,組織的信息安全要把重點從只重視防護手段���,逐步回歸到先分析防護對象安全需求上來,要先把保護對象界定清楚,然后再來談用什么手段來保護�����,對信息資產(chǎn)的重新識別及強化管理是當前組織的信息安全工作第一件要做好的事情�����,信息資產(chǎn)識別也隨之成為網(wǎng)絡(luò)安全策略重要的基礎(chǔ)性工作���。
為了進一步明確信息資產(chǎn)風險與合規(guī)管理方法���,推動信息資產(chǎn)安全治理,此次盛邦安全聯(lián)合安全牛����、數(shù)字觀星共同發(fā)布《信息資產(chǎn)風險與合規(guī)管理(ITARC)應(yīng)用指南報告》,從業(yè)務(wù)和資產(chǎn)的關(guān)聯(lián)角度出發(fā)�,分析了信息資產(chǎn)的主要類型及風險因素,明確了信息資產(chǎn)的識別與治理方法��,融合等級保護管理規(guī)范�,分享了相關(guān)行業(yè)實踐案例,并給出了信息資產(chǎn)安全治理可落地的方案和建議�。
盛邦安全五步法——信息資產(chǎn)安全治理落地的規(guī)范動作
報告指出�����,信息資產(chǎn)風險與合規(guī)不能作為一個單純的安全管理問題來看待����,需要意識到信息資產(chǎn)的安全直接關(guān)系到業(yè)務(wù)的運作效率與安全�����,必須得到高度重視����。由于在數(shù)字化的過程中��,信息資產(chǎn)隨時都可能增加���、刪除以及更新�,因此信息資產(chǎn)風險與合規(guī)需要貫穿信息資產(chǎn)的全生命周期�����,包括資產(chǎn)的發(fā)現(xiàn)����、添加����、整理����、維護以及廢棄,這樣才能將安全能力覆蓋到盡量多的信息資產(chǎn)���,減少風險的暴露面�����。
從信息資產(chǎn)安全治理的全流程出發(fā)����,報告建議遵循“摸清家底���、備案審核�、立體化防御���、自動化運營��、應(yīng)急響應(yīng)”這一安全治理“五步法”原則�,來提升資產(chǎn)安全治理水平和整體防御能力:
第一步:摸清家底。結(jié)合等級保護規(guī)范進行資產(chǎn)梳理是安全治理的第一步:通過主動探測�、被動流量分析結(jié)合的方式,對內(nèi)外網(wǎng)資產(chǎn)進行識別和梳理�����,清點資產(chǎn)�����,確定資產(chǎn)邊界��;盛邦安全目前可以識別物聯(lián)網(wǎng)�、路由交換設(shè)備�、網(wǎng)絡(luò)安全設(shè)備、業(yè)務(wù)系統(tǒng)等網(wǎng)絡(luò)空間設(shè)備�。
第二步:備案審核。建立備案審核管理流程���,進行資產(chǎn)認領(lǐng)登記備案和上線前的安全檢查�,對資產(chǎn)備案進行全生命周期管控��;
第三步:基于等級保護的立體化防御。對登記審核的資產(chǎn)有針對性地進行分級防御部署�����,滿足《網(wǎng)絡(luò)安全等級保護制度2.0》�����、《網(wǎng)絡(luò)安全法》等法律�����、法規(guī)以及行業(yè)安全管理規(guī)范的要求����;
第四步:自動化運營。通過流量監(jiān)控����、日志審計、漏洞掃描等方式對所有資產(chǎn)進行審核和評估�����,建立安全模型�;對安全防御體系及核心資產(chǎn)進行實時監(jiān)測和預(yù)警�,一旦發(fā)現(xiàn)問題����,及時反饋給防御體系,形成7*24小時的主動與被動式監(jiān)測����、動態(tài)指紋畫像與健康巡檢相結(jié)合的自動化運營機制;
第五步:應(yīng)急響應(yīng)�����。任何安全措施都不能百分之百保證防線不會被突破���。對組織而言,當安全事件發(fā)生時�,快速定位被攻擊的資產(chǎn)以及評估潛在會受到影響的資產(chǎn)并采取隔離、阻斷等措施是十分重要的�����。當發(fā)現(xiàn)存在篡改�����、暗鏈、漏洞利用以及webshell攻擊等安全風險時����,可及時采取“一鍵斷網(wǎng)”等應(yīng)急響應(yīng)措施。
最后�����,從技術(shù)發(fā)展趨勢來看��,組織必然要逐漸適應(yīng)撲面而來的物聯(lián)網(wǎng)浪潮�����,將物聯(lián)網(wǎng)融入到自身的業(yè)務(wù)中����,這很可能會給組織帶來兩大風險——更多、更復(fù)雜的設(shè)備資產(chǎn)和更加頻繁的資產(chǎn)變更����。盛邦安全CEO權(quán)小文表示:“在5G等技術(shù)的推動下,物聯(lián)網(wǎng)和業(yè)務(wù)的結(jié)合將為信息資產(chǎn)安全治理帶來更高的要求�����。各個組織要進一步對信息資產(chǎn)的管理模式進行創(chuàng)新,安全廠商也需要對物聯(lián)網(wǎng)的資產(chǎn)管理做到持續(xù)性的監(jiān)控和針對異常行為與資產(chǎn)變化的及時響應(yīng)�����,各方都要提前布局�����,做好準備��,才能更好地面對快速更迭的新技術(shù)�����、新應(yīng)用帶來的挑戰(zhàn)�。”
