不清楚保護(hù)對(duì)象���,何談安全保護(hù)���?
某知名第三方調(diào)研機(jī)構(gòu)在其2017年一項(xiàng)研究中得出結(jié)論����,未來五年企業(yè)價(jià)值將取決于各自的信息資產(chǎn)組合��。在當(dāng)今日益數(shù)字化的世界中���,任何想要正確評(píng)估企業(yè)價(jià)值的個(gè)體和組織����,必須重視信息資產(chǎn)和對(duì)它的分析能力����,包括信息資產(chǎn)的數(shù)量、種類和質(zhì)量等��。信息資產(chǎn)已逐步成為企業(yè)的戰(zhàn)略資產(chǎn)����,得到了企業(yè)高層的廣泛重視。
但與此同時(shí)�����,在數(shù)字化創(chuàng)新的推動(dòng)下�,IT架構(gòu)與應(yīng)用越來越復(fù)雜,信息資產(chǎn)的數(shù)量與種類越來越多�����,也讓網(wǎng)絡(luò)安全的復(fù)雜度大增�。特別是云計(jì)算��、移動(dòng)互聯(lián)網(wǎng)等技術(shù)的創(chuàng)新���,使得組織的網(wǎng)絡(luò)環(huán)境失去了邊界;應(yīng)用系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的開放互聯(lián)成為組織的常態(tài)����,組織原有的資產(chǎn)管理方式往往不能跟進(jìn)系統(tǒng)變化。另外�,網(wǎng)絡(luò)資產(chǎn)需求的突發(fā)性,以及人員的主觀工作疏忽���,都可能導(dǎo)致出現(xiàn)資產(chǎn)數(shù)量不明�����、類型不清晰����、安全檢查漏洞不全面等問題��。信息資產(chǎn)梳理是解決知己知彼的問題���,是增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力的基礎(chǔ)��。
如今����,組織的信息安全要把重點(diǎn)從只重視防護(hù)手段,逐步回歸到先分析防護(hù)對(duì)象安全需求上來���,要先把保護(hù)對(duì)象界定清楚,然后再來談?dòng)檬裁词侄蝸肀Wo(hù)�����,對(duì)信息資產(chǎn)的重新識(shí)別及強(qiáng)化管理是當(dāng)前組織的信息安全工作第一件要做好的事情�����,信息資產(chǎn)識(shí)別也隨之成為網(wǎng)絡(luò)安全策略重要的基礎(chǔ)性工作���。
為了進(jìn)一步明確信息資產(chǎn)風(fēng)險(xiǎn)與合規(guī)管理方法�,推動(dòng)信息資產(chǎn)安全治理�����,此次盛邦安全聯(lián)合安全牛���、數(shù)字觀星共同發(fā)布《信息資產(chǎn)風(fēng)險(xiǎn)與合規(guī)管理(ITARC)應(yīng)用指南報(bào)告》����,從業(yè)務(wù)和資產(chǎn)的關(guān)聯(lián)角度出發(fā),分析了信息資產(chǎn)的主要類型及風(fēng)險(xiǎn)因素���,明確了信息資產(chǎn)的識(shí)別與治理方法��,融合等級(jí)保護(hù)管理規(guī)范�����,分享了相關(guān)行業(yè)實(shí)踐案例�,并給出了信息資產(chǎn)安全治理可落地的方案和建議�。
盛邦安全五步法——信息資產(chǎn)安全治理落地的規(guī)范動(dòng)作
報(bào)告指出,信息資產(chǎn)風(fēng)險(xiǎn)與合規(guī)不能作為一個(gè)單純的安全管理問題來看待��,需要意識(shí)到信息資產(chǎn)的安全直接關(guān)系到業(yè)務(wù)的運(yùn)作效率與安全���,必須得到高度重視��。由于在數(shù)字化的過程中�,信息資產(chǎn)隨時(shí)都可能增加、刪除以及更新�����,因此信息資產(chǎn)風(fēng)險(xiǎn)與合規(guī)需要貫穿信息資產(chǎn)的全生命周期��,包括資產(chǎn)的發(fā)現(xiàn)����、添加、整理��、維護(hù)以及廢棄����,這樣才能將安全能力覆蓋到盡量多的信息資產(chǎn)����,減少風(fēng)險(xiǎn)的暴露面。
從信息資產(chǎn)安全治理的全流程出發(fā)���,報(bào)告建議遵循”摸清家底���、備案審核、立體化防御�、自動(dòng)化運(yùn)營(yíng)�����、應(yīng)急響應(yīng)”這一安全治理”五步法”原則��,來提升資產(chǎn)安全治理水平和整體防御能力:
第一步:摸清家底����。結(jié)合等級(jí)保護(hù)規(guī)范進(jìn)行資產(chǎn)梳理是安全治理的第一步:通過主動(dòng)探測(cè)��、被動(dòng)流量分析結(jié)合的方式����,對(duì)內(nèi)外網(wǎng)資產(chǎn)進(jìn)行識(shí)別和梳理,清點(diǎn)資產(chǎn)�,確定資產(chǎn)邊界;盛邦安全目前可以識(shí)別物聯(lián)網(wǎng)���、路由交換設(shè)備���、網(wǎng)絡(luò)安全設(shè)備、業(yè)務(wù)系統(tǒng)等30類近10萬種網(wǎng)絡(luò)空間設(shè)備�����。
第二步:備案審核。建立備案審核管理流程����,進(jìn)行資產(chǎn)認(rèn)領(lǐng)登記備案和上線前的安全檢查,對(duì)資產(chǎn)備案進(jìn)行全生命周期管控��;
第三步:基于等級(jí)保護(hù)的立體化防御��。對(duì)登記審核的資產(chǎn)有針對(duì)性地進(jìn)行分級(jí)防御部署��,滿足《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0》�、《網(wǎng)絡(luò)安全法》等法律、法規(guī)以及行業(yè)安全管理規(guī)范的要求���;
第四步:自動(dòng)化運(yùn)營(yíng)���。通過流量監(jiān)控�����、日志審計(jì)����、漏洞掃描等方式對(duì)所有資產(chǎn)進(jìn)行審核和評(píng)估����,建立安全模型�;對(duì)安全防御體系及核心資產(chǎn)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和預(yù)警,一旦發(fā)現(xiàn)問題����,及時(shí)反饋給防御體系,形成7*24小時(shí)的主動(dòng)與被動(dòng)式監(jiān)測(cè)��、動(dòng)態(tài)指紋畫像與健康巡檢相結(jié)合的自動(dòng)化運(yùn)營(yíng)機(jī)制�����;
第五步:應(yīng)急響應(yīng)���。任何安全措施都不能百分之百保證防線不會(huì)被突破�����。對(duì)組織而言�,當(dāng)安全事件發(fā)生時(shí)�����,快速定位被攻擊的資產(chǎn)以及評(píng)估潛在會(huì)受到影響的資產(chǎn)并采取隔離、阻斷等措施是十分重要的��。當(dāng)發(fā)現(xiàn)存在篡改����、暗鏈、漏洞利用以及webshell攻擊等安全風(fēng)險(xiǎn)時(shí)��,可及時(shí)采取”一鍵斷網(wǎng)”等應(yīng)急響應(yīng)措施����。
最后,從技術(shù)發(fā)展趨勢(shì)來看���,組織必然要逐漸適應(yīng)撲面而來的物聯(lián)網(wǎng)浪潮���,將物聯(lián)網(wǎng)融入到自身的業(yè)務(wù)中,這很可能會(huì)給組織帶來兩大風(fēng)險(xiǎn)——更多���、更復(fù)雜的設(shè)備資產(chǎn)和更加頻繁的資產(chǎn)變更。盛邦安全CEO權(quán)小文表示:”在5G等技術(shù)的推動(dòng)下���,物聯(lián)網(wǎng)和業(yè)務(wù)的結(jié)合將為信息資產(chǎn)安全治理帶來更高的要求����。各個(gè)組織要進(jìn)一步對(duì)信息資產(chǎn)的管理模式進(jìn)行創(chuàng)新,安全廠商也需要對(duì)物聯(lián)網(wǎng)的資產(chǎn)管理做到持續(xù)性的監(jiān)控和針對(duì)異常行為與資產(chǎn)變化的及時(shí)響應(yīng)���,各方都要提前布局�����,做好準(zhǔn)備����,才能更好地面對(duì)快速更迭的新技術(shù)�����、新應(yīng)用帶來的挑戰(zhàn)�。”
