在高校網(wǎng)絡安全保障中��,梳理網(wǎng)絡安全資產(chǎn)無疑是重要的基礎性工作����,也是進行資產(chǎn)管理的前提。在我國著名學府——清華大學的網(wǎng)絡安全建設中�����,盛邦安全累計幫助清華大學梳理了2000+Web資產(chǎn)�����,并通過Web資產(chǎn)治理平臺結合OA�����,實現(xiàn)問題資產(chǎn)及安全事件領導負責任制下的閉環(huán)處置�,為安全建設提供了有力的支撐。
校園網(wǎng)規(guī)?����?焖贁U展���,資產(chǎn)管理能力不可或缺
清華大學由中華人民共和國教育部直屬�����,中央直管副部級建制�,位列“211工程”、“985工程”�����、“世界一流大學和一流學科”�。清華大學有20個學院,59個系���,另加碩士點�、博士點�、博士后點和科研工作站、校屬企業(yè)���、附屬醫(yī)院等眾多部門單位����。
Web 應用無疑對于教學�����、科研等工作起到了重要的支撐作用��,但是對于清華大學信息資產(chǎn)的管理來說���,卻是一件”大��、繁�����、重�����、多“的工作���。業(yè)務系統(tǒng)、資產(chǎn)量的急速增加對信息安全和運維工作帶來新的挑戰(zhàn)�,如何系統(tǒng)化、流程化��、體系化��、智能化的對信息資產(chǎn)進行有序管理���,使信息資產(chǎn)數(shù)據(jù)化����、信息資產(chǎn)清晰可見,是清華大學要考慮的重要問題�����。
這也是當前教育行業(yè)的資產(chǎn)管理所面臨的普遍問題�,目前教育行業(yè)普遍存在垂直性不強、安全管理薄弱��,單位眾多�����、行業(yè)分散�,數(shù)據(jù)資產(chǎn)不清,專職安全人員少或無專職安全人員�����,單位規(guī)模大小不一�、資產(chǎn)數(shù)量相差較大等問題,對于網(wǎng)絡安全保障是一個巨大的挑戰(zhàn)��。
清華大學信息辦實踐證明����,信息化安全要做到可知、可感�����、可控����、可查,進行資產(chǎn)梳理����,摸清家底、知道自己有什么是第一步�����。通過資產(chǎn)梳理�����,可以發(fā)現(xiàn)暴露于互聯(lián)網(wǎng)的資產(chǎn)風險級別�,并梳理內網(wǎng)暴露面、云平臺/實驗室資產(chǎn)�����、未知資產(chǎn)、僵尸網(wǎng)站等 Web 資產(chǎn)��,同時統(tǒng)一規(guī)劃出口管控能力�����,建立資產(chǎn)和責任人對應關系�����。
高效梳理2000+Web資產(chǎn)����,實現(xiàn)安全閉環(huán)管理
為了解決 Web 資產(chǎn)管理問題,清華大學決定進一步強化對于資產(chǎn)的梳理�,并通過“發(fā)現(xiàn)風險-處置風險-復測風險”的方式使風險得以確認解決,將線上線下發(fā)現(xiàn)的資產(chǎn)安全事件通過Web資產(chǎn)治理平臺聯(lián)動OA�,及時發(fā)送給院系負責人,實現(xiàn)安全事件處置流轉管理的閉環(huán)�。同時,完善安全運營中心能力���,從資產(chǎn)上線���、7*24小時安全運行狀態(tài)監(jiān)測到發(fā)現(xiàn)資產(chǎn)風險并預警��、應急響應處置完成階段性的資產(chǎn)生命周期治理���,形成一套有效的基于資產(chǎn)的安全風險閉環(huán)管理機制���。
盛邦安全基于以資產(chǎn)為核心的安全治理”五步法“方法論���,結合清華大學實際情況,設計規(guī)劃了目前的方案:
第一步:從核心設備鏡像雙向網(wǎng)絡流量分流到分布式部署的Web資產(chǎn)治理平臺(RayGate)�����;通過登記核查���,收集可信資產(chǎn)信息并進行備案�����;Web資產(chǎn)治理平臺通過自學習引擎����,自動從流量中分析出對內、對外提供服務的Web資產(chǎn)���,記錄諸如域名�、IP�、端口、資產(chǎn)名稱及狀態(tài)���、ICP備案等數(shù)據(jù)��,將兩者進行對比�����,建立可信資產(chǎn)臺賬��。
第二步:對資產(chǎn)屬性信息進行完善��,探測業(yè)務系統(tǒng)指紋信息����、收集業(yè)務歸屬責任人等備案信息�,對資產(chǎn)狀態(tài)進行畫像。
第三步:對新申請上線的資產(chǎn)、云平臺資產(chǎn)�����、實驗室資產(chǎn)等進行上線前體檢�,發(fā)現(xiàn)脆弱點,整改加固����,實現(xiàn)對外提供服務的“準出控制”。
第四步:定期對資產(chǎn)進行風險識別����,發(fā)現(xiàn)脆弱點����,整改加固; 周期監(jiān)控、發(fā)現(xiàn)篡改�����、暗鏈�����、WebShell攻擊等突發(fā)安全事件。
第五步:重大突發(fā)事件時���,通過和安全設備聯(lián)動實現(xiàn)應急響應�����、一鍵斷網(wǎng)等快速應急處置����。
通過方案運行和落地實施�����,盛邦安全協(xié)助清華大學梳理了2000多個Web資產(chǎn)�,幫助清華大學建立了以資產(chǎn)為核心的清晰的資產(chǎn)臺賬;以邊界為區(qū)域����,梳理對內對外提供服務的資產(chǎn);以資產(chǎn)分類為條件���,實現(xiàn)安全風險的精準預警�����;以流程為約束����,實現(xiàn)安全風險的閉環(huán)處置,最終實現(xiàn)資產(chǎn)看得見���、摸得著��、管得住�����、把得牢�����。
此外,清華大學還通過盛邦安全Web資產(chǎn)治理平臺(RayGate)結合OA�����,實現(xiàn)了問題資產(chǎn)及安全事件領導負責任制下的閉環(huán)處置�����,從而確保對于Web資產(chǎn)的高效監(jiān)控與管理,將安全風險消滅在萌芽狀態(tài)���。
