在8月21日召開的“北京網絡安全大會”上,盛邦安全聯合安全牛、數字觀星共同發布了《信息資產風險與合規管理(ITARC)應用指南報告》,從業務和資產的關聯角度,為產業提供信息資產風險與合規管理的全新理念與解決方案,率先完整梳理和定義了網絡空間資產安全治理的標準和關鍵點。
不清楚保護對象,何談安全保護?
某知名第三方調研機構在其2017年一項研究中得出結論,未來五年企業價值將取決于各自的信息資產組合。在當今日益數字化的世界中,任何想要正確評估企業價值的個體和組織,必須重視信息資產和對它的分析能力,包括信息資產的數量、種類和質量等。信息資產已逐步成為企業的戰略資產,得到了企業高層的廣泛重視。
但與此同時,在數字化創新的推動下,IT架構與應用越來越復雜,信息資產的數量與種類越來越多,也讓網絡安全的復雜度大增。特別是云計算、移動互聯網等技術的創新,使得組織的網絡環境失去了邊界;應用系統和業務數據的開放互聯成為組織的常態,組織原有的資產管理方式往往不能跟進系統變化。另外,網絡資產需求的突發性,以及人員的主觀工作疏忽,都可能導致出現資產數量不明、類型不清晰、安全檢查漏洞不全面等問題。信息資產梳理是解決知己知彼的問題,是增強網絡安全防御能力和威懾能力的基礎。
如今,組織的信息安全要把重點從只重視防護手段,逐步回歸到先分析防護對象安全需求上來,要先把保護對象界定清楚,然后再來談用什么手段來保護,對信息資產的重新識別及強化管理是當前組織的信息安全工作第一件要做好的事情,信息資產識別也隨之成為網絡安全策略重要的基礎性工作。
為了進一步明確信息資產風險與合規管理方法,推動信息資產安全治理,此次盛邦安全聯合安全牛、數字觀星共同發布《信息資產風險與合規管理(ITARC)應用指南報告》,從業務和資產的關聯角度出發,分析了信息資產的主要類型及風險因素,明確了信息資產的識別與治理方法,融合等級保護管理規范,分享了相關行業實踐案例,并給出了信息資產安全治理可落地的方案和建議。
盛邦安全五步法——信息資產安全治理落地的規范動作
報告指出,信息資產風險與合規不能作為一個單純的安全管理問題來看待,需要意識到信息資產的安全直接關系到業務的運作效率與安全,必須得到高度重視。由于在數字化的過程中,信息資產隨時都可能增加、刪除以及更新,因此信息資產風險與合規需要貫穿信息資產的全生命周期,包括資產的發現、添加、整理、維護以及廢棄,這樣才能將安全能力覆蓋到盡量多的信息資產,減少風險的暴露面。
從信息資產安全治理的全流程出發,報告建議遵循“摸清家底、備案審核、立體化防御、自動化運營、應急響應”這一安全治理“五步法”原則,來提升資產安全治理水平和整體防御能力:
第一步:摸清家底。結合等級保護規范進行資產梳理是安全治理的第一步:通過主動探測、被動流量分析結合的方式,對內外網資產進行識別和梳理,清點資產,確定資產邊界;盛邦安全目前可以識別物聯網、路由交換設備、網絡安全設備、業務系統等30類近10萬種網絡空間設備。
第二步:備案審核。建立備案審核管理流程,進行資產認領登記備案和上線前的安全檢查,對資產備案進行全生命周期管控;
第三步:基于等級保護的立體化防御。對登記審核的資產有針對性地進行分級防御部署,滿足《網絡安全等級保護制度2.0》、《網絡安全法》等法律、法規以及行業安全管理規范的要求;
第四步:自動化運營。通過流量監控、日志審計、漏洞掃描等方式對所有資產進行審核和評估,建立安全模型;對安全防御體系及核心資產進行實時監測和預警,一旦發現問題,及時反饋給防御體系,形成7*24小時的主動與被動式監測、動態指紋畫像與健康巡檢相結合的自動化運營機制;
第五步:應急響應。任何安全措施都不能百分之百保證防線不會被突破。對組織而言,當安全事件發生時,快速定位被攻擊的資產以及評估潛在會受到影響的資產并采取隔離、阻斷等措施是十分重要的。當發現存在篡改、暗鏈、漏洞利用以及webshell攻擊等安全風險時,可及時采取“一鍵斷網”等應急響應措施。
最后,從技術發展趨勢來看,組織必然要逐漸適應撲面而來的物聯網浪潮,將物聯網融入到自身的業務中,這很可能會給組織帶來兩大風險——更多、更復雜的設備資產和更加頻繁的資產變更。盛邦安全CEO權小文表示:“在5G等技術的推動下,物聯網和業務的結合將為信息資產安全治理帶來更高的要求。各個組織要進一步對信息資產的管理模式進行創新,安全廠商也需要對物聯網的資產管理做到持續性的監控和針對異常行為與資產變化的及時響應,各方都要提前布局,做好準備,才能更好地面對快速更迭的新技術、新應用帶來的挑戰。”