实战要求下,如何做好资产安全信息管理

news2024/12/24 9:31:38

文章目录

    • 一、资产安全信息管理的重要性
    • 二、资产安全信息管理的痛点
    • 三、如何做好资产安全信息管理
      • 1、提升资产安全信息自动化、集约化管理能力,做到资产全过程管理
      • 2、做好资产的安全风险识别
      • 3、做好互联网暴露面的测绘与管空
      • 4、做好资产安全信息的动态稽核管理

“摸清家底,认清风险”做好资产管理是安全运营的第一步。本文一起来看一下资产管理的重要性、难点痛点是什么,如何做好资产管理,认清风险。

一、资产安全信息管理的重要性

安全风险管理的三要素分别是资产、威胁和脆弱性,脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。由于网络管理对象(资产)自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。什么是网络安全资产参见《网络安全之资产及攻击面管理》

首先,网络安全资产管理有助于降低网络风险。通过对公司网络资产进行识别和分类,包括硬件设备、软件系统、数据等,可以更好地进行后续的安全措施和决策,从而最大程度地减少网络风险和避免潜在的安全漏洞。这对于保护企业的核心业务和数据安全至关重要,有助于防止数据泄露、非法访问和业务中断等风险事件的发生。

其次,网络安全资产管理是高质量安全管理与运营的基础。良好的资产管理能够有效支撑互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置等日常安全运营与攻防对抗中的关键活动。这不仅可以提高网络安全的防御能力,还可以为企业的日常安全管理和运营工作带来极大的便利。

此外,网络安全资产管理也有助于满足法规和合规要求。随着网络安全法规的不断完善和监管力度的加强,企业需要确保其网络资产符合相关法规和政策要求,避免违法违规行为的发生。通过网络安全资产管理,企业可以系统地管理网络资产,确保合规性,降低因违反法规而带来的潜在风险。

二、资产安全信息管理的痛点

随着企业数字化转型进程的不断加速,IT系统安全资产数量增长迅猛。与此同时,云计算、大数据等各种新技术应用也使得安全资产类型日益复杂多样。传统的安全资产管理方式难以适应新环境要求,主要面临如下问题:

  1. 安全资产覆盖面广,梳理工作量巨大
    安全资产管理的对象包括与IT系统运行相关的主机/虚机、容器、中间件、数据库、大数据组件、WEB应用、WEB框架、网络设备、安全设备等其它应用软件。安全资产分布范围广、种类繁多、属性各异、关系复杂,面对这么多的安全资产对象,传统的填表梳理方式需要投入大量的人力,而且效果极差。
  2. 台账不清晰,无法为安全资产风险治理提供有效输入
    人工的梳理方式同时也带来大量的安全资产遗漏、属性缺失、资产归属关系不清、安全资产数据碎片化严重等问题,很难形成完整的安全资产台账与暴露面台账,无法为安全资产风险治理与防护提供支撑。
  3. 安全资产更新不及时,无法对变更进行及时监控与预警
    缺乏动态的资产更新机制,不能及时发现安全资产的变更情况,例如互联网暴露面端口的开通、恶意应用软件的安装、高危WEB插件的应用等,无法及时对安全资产进行风险预警与防范。
  4. 缺乏安全资产运营的机制和流程保障,安全资产管理成效差
    没有建立规范的安全资产运营机制与流程,安全资产管理工作存在着职责不清、管理制度缺乏、安全资产管理工作无法有条不紊地进行等问题,最终导致安全资产纳管随意、安全资产管理成效差,安全资产风险处置无法有的放矢。

三、如何做好资产安全信息管理

资产安全信息管理事项

1、提升资产安全信息自动化、集约化管理能力,做到资产全过程管理

管理措施:
1)集约化统一纳管
随着数字化应用的深入,资产分布在多个数据中心、私有云、公有云、混合云、边缘计算和物联网等各种基础设施环境中,照成了资产信息割裂碎片化,给资产的统一管理带来了困难。为了看到全局的资产信息,有必要实现资产安全信息的自动化、集约化管理,将资产安全管理纳入云主虚机分配、IP 地址申请等流程,打通资产安全管理平台与云管平台、各专业网管系统等 平台接口,将资产安全信息通过接口采集至资产安全管理平台, 确保云网资产安全信息自动化、集约化的统一纳管。
2)资产信息全过程管理
资产的全生命周期覆盖资产上线、资产运行、资产下线,在这过程中要对资产进行定级备案、对资产的台账进行维护、对资产进行风险评估、对资产进行定期的清查。参考《安全运营之资产安全信息管理》。
在资产上线阶段,组织开展Agent安装、资产信息同步、资产安全管理平台信息确认,提升新增资产入网的规范性;在资产入网运营阶段,结合网络部门IP地址分配清单,通过网络空间测绘、IP扫描、流量监测等技术定期开展资产清查,对发现的未知IP地址开展溯源、认领等资产核查工作;在资产下线退网阶段,及时清理资产安全管理平台基本信息、IP地址备案、云管平台等资产分配管理系统数据。
运营指标:
关键的运营指标包括:纳管的资产类型、各类型资产数、Agent的安装率、资产信息准确率、安全资产脱管率(Agent被卸载或失效)、“三无”资产数等。

2、做好资产的安全风险识别

管理措施:
对本单位管理的资产和安全事件进行关联、分析、展示和管理;
对本单位管理的资产和脆弱性进行关联、分析、展示和管理;
按期开展风险评估和符合性评测,使用定量或定性的风险评估模型,结合资产价值、威胁可能性和脆弱性暴露程度进行计算风险等级,对本单位资产风险情况进行动态管理。
运营指标:
关键的运营指标包括:资产漏洞数、漏洞影响资产数、资产被攻击数、资产被攻击趋势、资产风险值等。

3、做好互联网暴露面的测绘与管空

管理措施:
1)开通审批,应按“非必须不开通”、“先审批后开通”原则管控互联网暴露资产。开通前应由需求单位开展必要性评估,安全运营维护单位完成系统安全加固和问题整改,安全运营支撑单位开展风险评估,安全运营归口管理单位审核。
2)统一管理,对互联网暴露面资产数据进行统一管理,应对互联网暴露资产进行清单制管理,安全运营支撑单位应至少每月开展一次暴露资产探测和自有网站备案情况自查,安全运营维护单位及时整改相关问题。对未经审批上线的互联网暴露资产责任到人。
3)定期测绘,基于本单位企业指纹和暴露面地址段定期进行互联网暴露面测绘。安全运营支撑单位至少每月开展一次互联网暴露资产安全风险评估,包含安全防护策略有效性核实、全 IP 和端口漏洞扫描、渗透测试和基线配置合规率核查等。系统发生代码更新或版本升级时,安全运营维护单位应重新开展安全风险评估。
4)下线更新,互联网暴露资产下线阶段,系统维护单位应及时发起相关资源的下线申请,在互联网暴露资产关停后 15 日内完成资产安全管理平台的信息更新。
运营指标:
关键的运营指标包括:互联网暴露的系统数、互联网暴露面审批数、互联网暴露的URL数、互联网暴露的端口数、互联网暴露的APP、互联网暴露面趋势等。

4、做好资产安全信息的动态稽核管理

管理措施:
1)对内网资产资源自动化测绘,对未纳管资产的扫描和识别,应至少每季度开展一次资产探测,识别并推进“三无”资产下线。
2)定期对资产数据进行稽核,确保定级备案资产信息和资产安全管理平台、4A 系
统资产信息一致。
运营指标:
关键的运营指标包括:“三无”资产数、未纳管资产数、资产信息准确率等。


博客地址:http://xiejava.ishareread.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1581498.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Kotlin:常用标准库函数(let、run、with、apply、also)

一、let 扩展函数 Kotlin标准库函数let可用于范围确定和空检查。当调用对象时,let执行给定的代码块并返回其最后一个表达式的结果。对象可以通过引用(默认情况下)或自定义名称在块中访问。 let扩展函数源码 let.kt文件代码 fun main() {println("isEmpty $is…

搭建Grafana+Prometheus监控Spring Boot应用

Spring项目改造 maven依赖 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-actuator</artifactId> </dependency><dependency><groupId>io.micrometer</groupId><artif…

【Flutter】三个Channel(Android-java / Ios-swift)

Channel 实现与原生通信 【1】MethodChannel flutter MethodChannel官方文档 通过MethodChannel来传递数据&#xff0c;调用方法 案例 分别调用Android和Ios原生的获取电量的方法 Flutter端 实例一个MethodChannel&#xff0c; 唯一标识name&#xff0c;定义方法名称get…

eclipse .project

.project <?xml version"1.0" encoding"UTF-8"?> <projectDescription> <name>scrm-web</name> <comment></comment> <projects> </projects> <buildSpec> <buil…

【ensp】VLAN间通信的解决办法

目录 VLAN间通信简介 VLAN间通信的两种方式 借助三层设备路由器进行VLAN间的通信&#xff08;也就是单臂路由&#xff09; 在端口上创建子接口之后为什么需要开启arp广播&#xff0c;是因为他是子接口吗? 拓扑图 交换机配置 路由器配置 查看路由器配置 测试能否实现…

SQLite数据库在Linux系统上的使用

SQLite是一个轻量级的数据库解决方案&#xff0c;它是一个嵌入式的数据库管理系统。SQLite的特点是无需独立的服务器进程&#xff0c;可以直接嵌入到使用它的应用程序中。由于其配置简单、支持跨平台、服务器零管理&#xff0c;以及不需要复杂的设置和操作&#xff0c;SQLite非…

【数据结构与算法】递推法和递归法解题(递归递推算法典型例题)

目录 【算法】递推法和递归法递推算法递推算法的特点 递归算法递归算法的特点 递归法与递推法的算法设计例题例题一&#xff1a;斐波那契数列&#xff08;递归递推两种方法 以及 改进算法&#xff09;例题二&#xff1a;数字三角形问题例题三&#xff1a;扑克牌42点问题 更多算…

Redis 八种常用数据类型常用命令和应用场景

5 种基础数据类型&#xff1a;String&#xff08;字符串&#xff09;、List&#xff08;列表&#xff09;、Set&#xff08;集合&#xff09;、Hash&#xff08;散列&#xff09;、Zset&#xff08;有序集合&#xff09;。 3 种特殊数据类型&#xff1a;HyperLogLog&#xff0…

Jpegli 简介:Google 开源的新一代 JPEG 编码库

互联网改变了我们的生活、工作和交流方式。然而&#xff0c;当页面加载缓慢时&#xff0c;它可能会变成令人沮丧的根源。这个问题的核心在于图像的编码。 为了改进这一点&#xff0c;Google 推出了 Jpegli&#xff0c;这是一种先进的 JPEG 编码库&#xff0c;它保持了高度的向…

OpenAI曾转录100万小时视频数据,训练GPT-4

4月7日&#xff0c;纽约时报在官网发布了一篇名为《科技巨头如何挖空心思&#xff0c;为AI收集数据》的技术文章。 纽约时报表示&#xff0c;OpenAI曾在2021年几乎消耗尽了互联网有用的文本数据源。为了缓解训练数据短缺的难题&#xff0c;便开发了知名开源语音识别模型Whispe…

系统架构最佳实践 -- 智慧图书管理系统架构设计

随着数字化时代的到来&#xff0c;智慧图书管理系统在图书馆和机构中扮演着重要的角色。一个优秀的图书管理系统不仅需要满足基本的借阅管理需求&#xff0c;还需要具备高效的性能、良好的扩展性和稳定的安全性。本文将讨论智慧图书管理系统的架构设计与实现&#xff0c;以满足…

spring Cache的基本使用

一、spring Cache基本介绍&#xff08;其实是通过代理对象来进行操作的&#xff09; Spring Cache 是 Spring 框架提供的一个缓存抽象&#xff0c;它能够轻松地集成到 Spring 应用程序中&#xff0c;为方法调用的结果提供缓存支持&#xff0c;从而提高应用程序的性能和响应速度…

基于拉格朗日分布算法的电动汽车充放电调度MATLAB程序

微❤关注“电气仔推送”获得资料&#xff08;专享优惠&#xff09; 程序简介 该模型主要做的是基于拉格朗日分布算法的电动汽车充放电调度模型。利用蒙特卡洛模拟法模拟出电动汽车负荷曲线&#xff0c;并求解出无序充电功率曲线和有序充电曲线&#xff0c;该模型在电动汽车个…

合并单元格的excel文件转换成json数据格式

github地址: https://github.com/CodeWang-Ay/DataProcess 类型1 需求1: 类似于数据格式: https://blog.csdn.net/qq_44072222/article/details/120884158 目标json格式 {"位置": 1, "名称": "nba球员", "国家": "美国"…

C++设计模式:原型模式(八)

1、定义与动机 定义&#xff1a;使用原型实例指定创建对象的种类&#xff0c;然后通过拷贝这些原型来创建新的对象。 动机&#xff1a; 在软件系统中&#xff0c;经常面临着“某些结构复杂的对象”的创建工作&#xff1b;由于需求的变化&#xff0c;这些对象经常面临着剧烈的变…

登录压力测试

目录 一、准备测试数据 1.1数据库存储过程添加数据 1.2导出为csv作为测试数据&#xff08;账号、密码&#xff09; 二、使用fiddler抓包查看接口 2.1.抓到相关接口信息 2.2添加线程组和http请求 2.3将前面接口需要的参数去json格式化 ​2.4填写相关信息 ​ 2.5添加http…

顺序表(C语言实现)

什么是顺序表 顺序表和数组的区别 顺序表本质就是数组 结构体初阶进阶 系统化的学习-CSDN博客 简单解释一下&#xff0c;就像大家去吃饭&#xff0c;然后左边是苍蝇馆子&#xff0c;右边是修饰过的苍蝇馆子&#xff0c;但是那个好看的苍蝇馆子一看&#xff0c;这不行啊&a…

Web前端-Ajax

Ajax 概念:Asynchronous JavaScript And XML,异步的JavaScript和XML。 作用: 1.数据交换:通过Ajax可以给服务器发送请求,并获取服务器响应的数据。 2.异步交互:可以在不重新加载整个页面的情况下,与服务器交换数据并更新部分网页的技术,如:搜索联想、用户名是否可用的校验等等…

「44」直播间换脸,揭开神秘的面纱……

「44」换脸神器 让你瞬间秒变「明星脸」带货 DeepFace是Facebook的人脸识别系统之一&#xff0c;旨在在照片和视频中准确识别和标识人脸。它使用深度学习和神经网络技术来进行高度精确的人脸匹配和验证。 DeepFace利用了大量的训练数据和先进的人脸识别算法&#xff0c;能够…

Redis中的集群(二)

节点 集群数据结构 redisClient结构和clusterLink结构的相同和不同之处 redisClient结构和clusterLink结构都有自己的套接字描述符和输入、输出缓冲区&#xff0c;这两个结构的区别在于&#xff0c;redisClient结构中的套接字和缓冲区是用于连接客户端的&#xff0c;而clust…