在8月21日召開的“北京網(wǎng)絡安全大會”上，盛邦安全聯(lián)合安全牛、數(shù)字觀星共同發(fā)布了《信息資產(chǎn)風險與合規(guī)管理（ITARC）應用指南報告》，從業(yè)務和資產(chǎn)的關聯(lián)角度，為產(chǎn)業(yè)提供信息資產(chǎn)風險與合規(guī)管理的全新理念與解決方案，率先完整梳理和定義了網(wǎng)絡空間資產(chǎn)安全治理的標準和關鍵點。

不清楚保護對象，何談安全保護？

某知名第三方調(diào)研機構在其2017年一項研究中得出結論，未來五年企業(yè)價值將取決于各自的信息資產(chǎn)組合。在當今日益數(shù)字化的世界中，任何想要正確評估企業(yè)價值的個體和組織，必須重視信息資產(chǎn)和對它的分析能力，包括信息資產(chǎn)的數(shù)量、種類和質(zhì)量等。信息資產(chǎn)已逐步成為企業(yè)的戰(zhàn)略資產(chǎn)，得到了企業(yè)高層的廣泛重視。

但與此同時，在數(shù)字化創(chuàng)新的推動下，IT架構與應用越來越復雜，信息資產(chǎn)的數(shù)量與種類越來越多，也讓網(wǎng)絡安全的復雜度大增。特別是云計算、移動互聯(lián)網(wǎng)等技術的創(chuàng)新，使得組織的網(wǎng)絡環(huán)境失去了邊界；應用系統(tǒng)和業(yè)務數(shù)據(jù)的開放互聯(lián)成為組織的常態(tài)，組織原有的資產(chǎn)管理方式往往不能跟進系統(tǒng)變化。另外，網(wǎng)絡資產(chǎn)需求的突發(fā)性，以及人員的主觀工作疏忽，都可能導致出現(xiàn)資產(chǎn)數(shù)量不明、類型不清晰、安全檢查漏洞不全面等問題。信息資產(chǎn)梳理是解決知己知彼的問題，是增強網(wǎng)絡安全防御能力和威懾能力的基礎。

如今，組織的信息安全要把重點從只重視防護手段，逐步回歸到先分析防護對象安全需求上來，要先把保護對象界定清楚，然后再來談用什么手段來保護，對信息資產(chǎn)的重新識別及強化管理是當前組織的信息安全工作第一件要做好的事情，信息資產(chǎn)識別也隨之成為網(wǎng)絡安全策略重要的基礎性工作。

為了進一步明確信息資產(chǎn)風險與合規(guī)管理方法，推動信息資產(chǎn)安全治理，此次盛邦安全聯(lián)合安全牛、數(shù)字觀星共同發(fā)布《信息資產(chǎn)風險與合規(guī)管理（ITARC）應用指南報告》，從業(yè)務和資產(chǎn)的關聯(lián)角度出發(fā)，分析了信息資產(chǎn)的主要類型及風險因素，明確了信息資產(chǎn)的識別與治理方法，融合等級保護管理規(guī)范，分享了相關行業(yè)實踐案例，并給出了信息資產(chǎn)安全治理可落地的方案和建議。

盛邦安全五步法——信息資產(chǎn)安全治理落地的規(guī)范動作

報告指出，信息資產(chǎn)風險與合規(guī)不能作為一個單純的安全管理問題來看待，需要意識到信息資產(chǎn)的安全直接關系到業(yè)務的運作效率與安全，必須得到高度重視。由于在數(shù)字化的過程中，信息資產(chǎn)隨時都可能增加、刪除以及更新，因此信息資產(chǎn)風險與合規(guī)需要貫穿信息資產(chǎn)的全生命周期，包括資產(chǎn)的發(fā)現(xiàn)、添加、整理、維護以及廢棄，這樣才能將安全能力覆蓋到盡量多的信息資產(chǎn)，減少風險的暴露面。

從信息資產(chǎn)安全治理的全流程出發(fā)，報告建議遵循“摸清家底、備案審核、立體化防御、自動化運營、應急響應”這一安全治理“五步法”原則，來提升資產(chǎn)安全治理水平和整體防御能力：

第一步：摸清家底。結合等級保護規(guī)范進行資產(chǎn)梳理是安全治理的第一步：通過主動探測、被動流量分析結合的方式，對內(nèi)外網(wǎng)資產(chǎn)進行識別和梳理，清點資產(chǎn)，確定資產(chǎn)邊界；盛邦安全目前可以識別物聯(lián)網(wǎng)、路由交換設備、網(wǎng)絡安全設備、業(yè)務系統(tǒng)等30類近10萬種網(wǎng)絡空間設備。

第二步：備案審核。建立備案審核管理流程，進行資產(chǎn)認領登記備案和上線前的安全檢查，對資產(chǎn)備案進行全生命周期管控；

第三步：基于等級保護的立體化防御。對登記審核的資產(chǎn)有針對性地進行分級防御部署，滿足《網(wǎng)絡安全等級保護制度2.0》、《網(wǎng)絡安全法》等法律、法規(guī)以及行業(yè)安全管理規(guī)范的要求；

第四步：自動化運營。通過流量監(jiān)控、日志審計、漏洞掃描等方式對所有資產(chǎn)進行審核和評估，建立安全模型；對安全防御體系及核心資產(chǎn)進行實時監(jiān)測和預警，一旦發(fā)現(xiàn)問題，及時反饋給防御體系，形成7*24小時的主動與被動式監(jiān)測、動態(tài)指紋畫像與健康巡檢相結合的自動化運營機制；

第五步：應急響應。任何安全措施都不能百分之百保證防線不會被突破。對組織而言，當安全事件發(fā)生時，快速定位被攻擊的資產(chǎn)以及評估潛在會受到影響的資產(chǎn)并采取隔離、阻斷等措施是十分重要的。當發(fā)現(xiàn)存在篡改、暗鏈、漏洞利用以及webshell攻擊等安全風險時，可及時采取“一鍵斷網(wǎng)”等應急響應措施。

最后，從技術發(fā)展趨勢來看，組織必然要逐漸適應撲面而來的物聯(lián)網(wǎng)浪潮，將物聯(lián)網(wǎng)融入到自身的業(yè)務中，這很可能會給組織帶來兩大風險——更多、更復雜的設備資產(chǎn)和更加頻繁的資產(chǎn)變更。盛邦安全CEO權小文表示：“在5G等技術的推動下，物聯(lián)網(wǎng)和業(yè)務的結合將為信息資產(chǎn)安全治理帶來更高的要求。各個組織要進一步對信息資產(chǎn)的管理模式進行創(chuàng)新，安全廠商也需要對物聯(lián)網(wǎng)的資產(chǎn)管理做到持續(xù)性的監(jiān)控和針對異常行為與資產(chǎn)變化的及時響應，各方都要提前布局，做好準備，才能更好地面對快速更迭的新技術、新應用帶來的挑戰(zhàn)。”

原文鏈接