信息化技術(shù)正在深度改變經(jīng)濟(jì)與社會(huì)面貌，網(wǎng)絡(luò)空間安全的重要性與日俱增，《網(wǎng)絡(luò)安全法》、等保2.0等政策法律也要求推動(dòng)網(wǎng)絡(luò)空間安全治理，并將網(wǎng)絡(luò)安全檢查常態(tài)化。對(duì)于企事業(yè)單位來(lái)說(shuō)，要滿(mǎn)足網(wǎng)絡(luò)安全檢查要求、提升網(wǎng)絡(luò)安全治理能力，一項(xiàng)重要的基礎(chǔ)性工作就是詳細(xì)、完整的識(shí)別組織內(nèi)部的信息資產(chǎn)，并制定覆蓋所有網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)安全策略，只有這樣才能盡可能封堵組織內(nèi)部的安全漏洞，保護(hù)數(shù)據(jù)資產(chǎn)的安全性。

信息資產(chǎn)識(shí)別是網(wǎng)絡(luò)空間治理的基石

信息資產(chǎn)識(shí)別是網(wǎng)絡(luò)安全策略重要的基礎(chǔ)性工作，習(xí)總書(shū)記在“4.19講話”上就指出“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)”，他還明確的指出應(yīng)該以“摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改”的流程來(lái)進(jìn)行網(wǎng)絡(luò)安全檢查。其中，“摸清家底”就是指通過(guò)各種技術(shù)手段實(shí)現(xiàn)網(wǎng)絡(luò)空間設(shè)備的描述和識(shí)別，這也是網(wǎng)絡(luò)空間安全治理的基石。

盛邦安全CEO權(quán)小文指出：“信息資產(chǎn)識(shí)別之所以如此重要，是因?yàn)榘踩卫淼那疤崾前l(fā)現(xiàn)哪些設(shè)備獲知環(huán)節(jié)存在安全風(fēng)險(xiǎn)，這樣才能有針對(duì)性地進(jìn)行防護(hù)。而信息化的發(fā)展讓組織內(nèi)部的信息資產(chǎn)環(huán)境錯(cuò)綜復(fù)雜，大量的信息資產(chǎn)處于隱蔽的角落，在無(wú)孔不入且日趨精進(jìn)的網(wǎng)絡(luò)攻擊面前，這些未經(jīng)發(fā)現(xiàn)、整理的信息資產(chǎn)都有可能成為網(wǎng)絡(luò)攻擊的入口或是跳板，進(jìn)而入侵到組織的核心資產(chǎn)。”

盛邦安全針對(duì)五大類(lèi)、近五十個(gè)教育機(jī)構(gòu)，通過(guò)被動(dòng)流量學(xué)習(xí)進(jìn)行的 Web 資產(chǎn)梳理顯示，即使在資產(chǎn)管理方面做得最好的211/985院校，其實(shí)現(xiàn)的已知資產(chǎn)管理也僅僅占所有資產(chǎn)的55%, 也就是說(shuō)仍然有45%資產(chǎn)是未知的;這些未知的資產(chǎn)包括高端口資產(chǎn)、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備/網(wǎng)絡(luò)安全設(shè)備、中間件與疑似業(yè)務(wù)系統(tǒng)。這些信息資產(chǎn)可能潛藏著大量的安全風(fēng)險(xiǎn)，隨時(shí)可能會(huì)讓組織在網(wǎng)絡(luò)安全方面“觸雷”。

信息資產(chǎn)識(shí)別為何棘手?

網(wǎng)絡(luò)安全的重要性已經(jīng)得到了大多數(shù)組織的充分重視，先進(jìn)的安全管理和技術(shù)手段更是比比皆是，但是為什么組織內(nèi)部還有如此多的未知資產(chǎn)，以至于在持續(xù)、高強(qiáng)度的資產(chǎn)調(diào)查活動(dòng)中成為漏網(wǎng)之魚(yú)?盛邦安全通過(guò)對(duì)于信息資產(chǎn)識(shí)別現(xiàn)狀的研究，認(rèn)為業(yè)務(wù)量增多、新技術(shù)的使用、信息資產(chǎn)需求的突發(fā)性、管理員交接是最重要的幾個(gè)原因。

由于業(yè)務(wù)需求，組織內(nèi)部往往運(yùn)行著大量的業(yè)務(wù)系統(tǒng)，其對(duì)于信息資產(chǎn)都有著不同的需求，再加上云計(jì)算、虛擬化等創(chuàng)新技術(shù)的應(yīng)用，會(huì)導(dǎo)致原有的記事本等模式的資產(chǎn)管理方式不能跟進(jìn)系統(tǒng)變化。另外，信息資產(chǎn)需求往往具有突發(fā)性，組織可能因?yàn)槟硞€(gè)活動(dòng)而建立一個(gè)應(yīng)用系統(tǒng)，而當(dāng)活動(dòng)結(jié)束這個(gè)系統(tǒng)又沒(méi)有及時(shí)退出運(yùn)行時(shí)，就可能導(dǎo)致這部分資產(chǎn)被長(zhǎng)期遺忘。最后，在人員管理層面，當(dāng)管理員進(jìn)行更替的時(shí)候，交接不徹底或者多次交接，都可能導(dǎo)致系統(tǒng)變?yōu)榻┦到y(tǒng)。

組織需要怎樣的網(wǎng)絡(luò)空間資產(chǎn)治理能力

針對(duì)組織用戶(hù)對(duì)于網(wǎng)絡(luò)空間資產(chǎn)識(shí)別的需求，盛邦安全認(rèn)為，信息資產(chǎn)描述需要描述動(dòng)態(tài)資產(chǎn)和靜態(tài)資產(chǎn)，并針對(duì)每個(gè)資產(chǎn)采用元數(shù)據(jù)標(biāo)注描述，為進(jìn)行大數(shù)據(jù)統(tǒng)一分析奠定基礎(chǔ)。而要實(shí)現(xiàn)資產(chǎn)的元數(shù)據(jù)標(biāo)注描述，就需要對(duì)資產(chǎn)屬性進(jìn)行深入洞察，并根據(jù)資產(chǎn)類(lèi)別、資產(chǎn)應(yīng)用場(chǎng)景、資產(chǎn)附屬屬性等指標(biāo)進(jìn)行分析和驗(yàn)證，從而達(dá)到對(duì)網(wǎng)絡(luò)空間進(jìn)行管理和管控目的。

【基于信息資產(chǎn)全生命周期的“五步法”安全治理體系】

資產(chǎn)發(fā)現(xiàn)只是網(wǎng)絡(luò)安全體系建設(shè)的開(kāi)始，以資產(chǎn)發(fā)現(xiàn)為起點(diǎn)，結(jié)合等保體系、態(tài)勢(shì)感知體系，盛邦安全提出了“安全有道、治理先行、源于摸底、防患未然”的安全理念，構(gòu)建了完整、豐富、高效的網(wǎng)絡(luò)空間資產(chǎn)治理體系，提出了資產(chǎn)摸底——備案審核——立體化防御——自動(dòng)化運(yùn)營(yíng)——應(yīng)急響應(yīng)的網(wǎng)絡(luò)空間資產(chǎn)治理“五步法”解決方案。

通過(guò)持續(xù)而體系嚴(yán)密的網(wǎng)絡(luò)空間資產(chǎn)治理，不僅可以讓組織滿(mǎn)足網(wǎng)絡(luò)安全法、等保的要求，還能讓組織提升對(duì)于內(nèi)部網(wǎng)絡(luò)安全的洞察力，并及時(shí)處理可能存在的安全風(fēng)險(xiǎn)。