实战要求下,如何做好资产安全信息管理

文章目录

    • 一、资产安全信息管理的重要性
    • 二、资产安全信息管理的痛点
    • 三、如何做好资产安全信息管理
      • 1、提升资产安全信息自动化、集约化管理能力,做到资产全过程管理
      • 2、做好资产的安全风险识别
      • 3、做好互联网暴露面的测绘与管空
      • 4、做好资产安全信息的动态稽核管理

“摸清家底,认清风险”做好资产管理是安全运营的第一步。本文一起来看一下资产管理的重要性、难点痛点是什么,如何做好资产管理,认清风险。

一、资产安全信息管理的重要性

安全风险管理的三要素分别是资产、威胁和脆弱性,脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。由于网络管理对象(资产)自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。什么是网络安全资产参见《网络安全之资产及攻击面管理》

首先,网络安全资产管理有助于降低网络风险。通过对公司网络资产进行识别和分类,包括硬件设备、软件系统、数据等,可以更好地进行后续的安全措施和决策,从而最大程度地减少网络风险和避免潜在的安全漏洞。这对于保护企业的核心业务和数据安全至关重要,有助于防止数据泄露、非法访问和业务中断等风险事件的发生。

其次,网络安全资产管理是高质量安全管理与运营的基础。良好的资产管理能够有效支撑互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置等日常安全运营与攻防对抗中的关键活动。这不仅可以提高网络安全的防御能力,还可以为企业的日常安全管理和运营工作带来极大的便利。

此外,网络安全资产管理也有助于满足法规和合规要求。随着网络安全法规的不断完善和监管力度的加强,企业需要确保其网络资产符合相关法规和政策要求,避免违法违规行为的发生。通过网络安全资产管理,企业可以系统地管理网络资产,确保合规性,降低因违反法规而带来的潜在风险。

二、资产安全信息管理的痛点

随着企业数字化转型进程的不断加速,IT系统安全资产数量增长迅猛。与此同时,云计算、大数据等各种新技术应用也使得安全资产类型日益复杂多样。传统的安全资产管理方式难以适应新环境要求,主要面临如下问题:

  1. 安全资产覆盖面广,梳理工作量巨大
    安全资产管理的对象包括与IT系统运行相关的主机/虚机、容器、中间件、数据库、大数据组件、WEB应用、WEB框架、网络设备、安全设备等其它应用软件。安全资产分布范围广、种类繁多、属性各异、关系复杂,面对这么多的安全资产对象,传统的填表梳理方式需要投入大量的人力,而且效果极差。
  2. 台账不清晰,无法为安全资产风险治理提供有效输入
    人工的梳理方式同时也带来大量的安全资产遗漏、属性缺失、资产归属关系不清、安全资产数据碎片化严重等问题,很难形成完整的安全资产台账与暴露面台账,无法为安全资产风险治理与防护提供支撑。
  3. 安全资产更新不及时,无法对变更进行及时监控与预警
    缺乏动态的资产更新机制,不能及时发现安全资产的变更情况,例如互联网暴露面端口的开通、恶意应用软件的安装、高危WEB插件的应用等,无法及时对安全资产进行风险预警与防范。
  4. 缺乏安全资产运营的机制和流程保障,安全资产管理成效差
    没有建立规范的安全资产运营机制与流程,安全资产管理工作存在着职责不清、管理制度缺乏、安全资产管理工作无法有条不紊地进行等问题,最终导致安全资产纳管随意、安全资产管理成效差,安全资产风险处置无法有的放矢。

三、如何做好资产安全信息管理

资产安全信息管理事项

1、提升资产安全信息自动化、集约化管理能力,做到资产全过程管理

管理措施:
1)集约化统一纳管
随着数字化应用的深入,资产分布在多个数据中心、私有云、公有云、混合云、边缘计算和物联网等各种基础设施环境中,照成了资产信息割裂碎片化,给资产的统一管理带来了困难。为了看到全局的资产信息,有必要实现资产安全信息的自动化、集约化管理,将资产安全管理纳入云主虚机分配、IP 地址申请等流程,打通资产安全管理平台与云管平台、各专业网管系统等 平台接口,将资产安全信息通过接口采集至资产安全管理平台, 确保云网资产安全信息自动化、集约化的统一纳管。
2)资产信息全过程管理
资产的全生命周期覆盖资产上线、资产运行、资产下线,在这过程中要对资产进行定级备案、对资产的台账进行维护、对资产进行风险评估、对资产进行定期的清查。参考《安全运营之资产安全信息管理》。
在资产上线阶段,组织开展Agent安装、资产信息同步、资产安全管理平台信息确认,提升新增资产入网的规范性;在资产入网运营阶段,结合网络部门IP地址分配清单,通过网络空间测绘、IP扫描、流量监测等技术定期开展资产清查,对发现的未知IP地址开展溯源、认领等资产核查工作;在资产下线退网阶段,及时清理资产安全管理平台基本信息、IP地址备案、云管平台等资产分配管理系统数据。
运营指标:
关键的运营指标包括:纳管的资产类型、各类型资产数、Agent的安装率、资产信息准确率、安全资产脱管率(Agent被卸载或失效)、“三无”资产数等。

2、做好资产的安全风险识别

管理措施:
对本单位管理的资产和安全事件进行关联、分析、展示和管理;
对本单位管理的资产和脆弱性进行关联、分析、展示和管理;
按期开展风险评估和符合性评测,使用定量或定性的风险评估模型,结合资产价值、威胁可能性和脆弱性暴露程度进行计算风险等级,对本单位资产风险情况进行动态管理。
运营指标:
关键的运营指标包括:资产漏洞数、漏洞影响资产数、资产被攻击数、资产被攻击趋势、资产风险值等。

3、做好互联网暴露面的测绘与管空

管理措施:
1)开通审批,应按“非必须不开通”、“先审批后开通”原则管控互联网暴露资产。开通前应由需求单位开展必要性评估,安全运营维护单位完成系统安全加固和问题整改,安全运营支撑单位开展风险评估,安全运营归口管理单位审核。
2)统一管理,对互联网暴露面资产数据进行统一管理,应对互联网暴露资产进行清单制管理,安全运营支撑单位应至少每月开展一次暴露资产探测和自有网站备案情况自查,安全运营维护单位及时整改相关问题。对未经审批上线的互联网暴露资产责任到人。
3)定期测绘,基于本单位企业指纹和暴露面地址段定期进行互联网暴露面测绘。安全运营支撑单位至少每月开展一次互联网暴露资产安全风险评估,包含安全防护策略有效性核实、全 IP 和端口漏洞扫描、渗透测试和基线配置合规率核查等。系统发生代码更新或版本升级时,安全运营维护单位应重新开展安全风险评估。
4)下线更新,互联网暴露资产下线阶段,系统维护单位应及时发起相关资源的下线申请,在互联网暴露资产关停后 15 日内完成资产安全管理平台的信息更新。
运营指标:
关键的运营指标包括:互联网暴露的系统数、互联网暴露面审批数、互联网暴露的URL数、互联网暴露的端口数、互联网暴露的APP、互联网暴露面趋势等。

4、做好资产安全信息的动态稽核管理

管理措施:
1)对内网资产资源自动化测绘,对未纳管资产的扫描和识别,应至少每季度开展一次资产探测,识别并推进“三无”资产下线。
2)定期对资产数据进行稽核,确保定级备案资产信息和资产安全管理平台、4A 系
统资产信息一致。
运营指标:
关键的运营指标包括:“三无”资产数、未纳管资产数、资产信息准确率等。


博客地址:http://xiejava.ishareread.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/812818.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

代码随想录day39 | 动态规划P2 | ● 62 ● 63

62.不同路径 一个机器人位于一个 m x n 网格的左上角 (起始点在下图中标记为 “Start” )。 机器人每次只能向下或者向右移动一步。机器人试图达到网格的右下角(在下图中标记为 “Finish” )。 问总共有多少条不同的路径&…

el-date-picker禁用指定范围的日期

elementUI中el-date-picker禁用指定日期之前或之后的日期 通过配置picker-options配置指定禁用日期&#xff08;pickerOptions写到data里面&#xff09; <el-date-pickerv-model"date"type"date"size"small"value-format"yyyy-MM-dd&qu…

GmSSL-3.1.1编译

1.源码下载&#xff1a; 下载地址&#xff1a;https://github.com/guanzhi/GmSSL/releases选择对应版本下载。 ​ 2.选择要下载的源码包&#xff1a; ​ 2.编译&#xff1a; 2.1 windows编译&#xff1a;打开vs命令行&#xff0c;选择想要编译的版本&#xff0c;x86或x64…

Mongodb入门--头歌实验MongoDB 复制集 分片

一、MongoDB之副本集配置 1.1MongoDB主从复制 主从复制是MongoDB最早使用的复制方式&#xff0c; 该复制方式易于配置&#xff0c;并且可以支持任意数量的从节点服务器&#xff0c;与使用单节点模式相比有如下优点&#xff1a; 在从服务器上存储数据副本&#xff0c;提高了数…

【python】图像边缘提取效果增强方法-高斯模糊

一、介绍 高斯模糊是一种常用的图像处理技术&#xff0c;用于减少图像中的噪声和细节。它通过对图像中的每个像素点进行加权平均来实现模糊效果。具体而言&#xff0c;高斯模糊使用一个高斯核函数作为权重&#xff0c;对每个像素点周围的邻域进行加权平均。这样可以使得每个像…

在【Cencos7】中安装【Nacos】并适配【PostgreSQL】数据库

在【Cencos7】中安装【Nacos-2.3.0】并适配【PostgreSQL】数据库 安装JDK wget命令下载&#xff1a; wget https://repo.huaweicloud.com/java/jdk/8u151-b12/jdk-8u151-linux-x64.tar.gz解压 tar -xzvf jdk-7u80-linux-x64.tar.gz将解压后的目录移动到/opt下 sudo mv jdk…

二叉树遍历算法和应用

二叉树是指度为 2 的树。它是一种最简单却又最重要的树&#xff0c;在计算机领域中有这广泛的应用。 二叉树的递归定义如下&#xff1a;二叉树是一棵空树&#xff0c;或者一棵由一个根节点和两棵互不相交的分别称为根节点的左子树和右子树所组成的非空树&#xff0c;左子树和右…

【前端】解决前端图表大数据配色难题:利用HSL动态生成颜色方案

解决前端图表大数据配色难题&#xff1a;利用HSL动态生成颜色方案 在数据可视化项目中&#xff0c;尤其是当需要绘制包含大量数据点的图表时&#xff0c;一个常见的挑战是如何为每个数据点分配一个独特而又视觉上容易区分的颜色。使用固定的颜色列表可能在数据点数量超过列表限…

信号完整性之特性阻抗那些事儿

原文来自微信公众号&#xff1a;工程师看海&#xff0c;与我联系&#xff1a;chunhou0820 看海原创视频教程&#xff1a;《运放秘籍》 大家好&#xff0c;我是工程师看海。 我们经常说控制阻抗&#xff0c;这个阻抗是什么意思呢&#xff1f; 信号在传输线中&#xff0c;是一步…

使用Android Studio制作一个蓝牙软件 ---(一)

一、创建项目&#xff08;项目名称---BluetoothActivity&#xff09; 二、创建HomeActivity页面 1.点击一个文件夹 --- 鼠标右击 --- 新建 --- Acyivity --- Empty Views Activity 三、创建styles.xml 点击 values文件夹 --- 鼠标右击 --- 新建 --- Values Resource File sty…

【数据结构】04串

串 1. 定义2. 串的比较3. 串的存储结构4. 具体实现5. 模式匹配5.1 常规思路实现5.2 KMP模式匹配算法5.2.1 next数组计算5.2.1 代码计算next数组5.2.2 KMP算法实现 1. 定义 串(string)是由零个或多个字符组成的有限序列&#xff0c;又叫字符串。 一般记为s a 1 , a 2 , . . . ,…

NGO-VMD+皮尔逊系数+小波阈值降噪+重构

NGO-VMD皮尔逊系数小波阈值降噪重构 NGO-VMD皮尔逊系数小波阈值降噪重构代码获取戳此处代码获取戳此处 以西储大学轴承数据为例&#xff0c;进行VMD&#xff0c;且采用NGO进行K a参数寻优 并对分解分量计算皮尔逊相关系数筛选含噪声分量&#xff0c;对其进行小波软硬阈值降噪&a…

C/C++内存泄漏及检测

“该死系统存在内存泄漏问题”&#xff0c;项目中由于各方面因素&#xff0c;总是有人抱怨存在内存泄漏&#xff0c;系统长时间运行之后&#xff0c;可用内存越来越少&#xff0c;甚至导致了某些服务失败。内存泄漏是最难发现的常见错误之一&#xff0c;因为除非用完内存或调用…

【JAVA基础篇教学】第十篇:Java中Map详解说明

博主打算从0-1讲解下java基础教学&#xff0c;今天教学第十篇&#xff1a;Java中Map详解说明。 在 Java 编程中&#xff0c;Map 接口代表了一种键值对的集合&#xff0c;每个键对应一个值。Map 接口提供了一系列操作方法&#xff0c;可以方便地对键值对进行增删改查等操作。本…

模板方法模式:定义算法骨架的设计策略

在软件开发中&#xff0c;模板方法模式是一种行为型设计模式&#xff0c;它在父类中定义一个操作的算法框架&#xff0c;允许子类在不改变算法结构的情况下重定义算法的某些步骤。这种模式是基于继承的基本原则&#xff0c;通过抽象类达到代码复用的目的。本文将详细介绍模板方…

NASA数据集——亚洲夏季季风化学与气候影响项目超高灵敏度气溶胶光谱(UHSAS)数据

ACCLIP_Aerosol_AircraftInSitu_WB57_Data 简介 ACCLIP_Aerosol_AircraftInSitu_WB57_Data 是亚洲夏季季风化学与气候影响项目&#xff08;ACCLIP&#xff09;期间收集的原地气溶胶数据。本数据集收录了来自下一代激光质谱仪&#xff08;PALMS-NG&#xff09;、单颗粒烟尘光度…

一文读懂Partisia Blockchain,被严重低估的隐私区块链生态

在今年 3 月&#xff0c;隐私公链 Partisia Blockchain 迎来了重要的进展&#xff0c;该生态通证 $MPC 上线了交易所&#xff0c;目前 $MPC 通证可以在 Kucoin、Gate、BitMart、Bitfinex、Bitture 等平台交易&#xff0c;并将在不久后上线 MEXC 平台。 ​ 在上个月上线市场至今…

【项目实战】记录一次PG数据库迁移至GaussDB测试(上)

目录 一、说明 1.1、参考文档 1.2、注意事项 1.3、环境基本情况 二、GaussDB新环境安装 2.1 配置操作环境变量 2.1.1 关闭防火墙 步骤1 执行以下命令&#xff0c;检查防火墙是否关闭。 步骤2 执行以下命令&#xff0c;关闭防火墙并禁止开机启动。 步骤3 修改/etc/sel…

单细胞RNA测序(scRNA-seq)Cellranger流程入门和数据质控

单细胞RNA测序(scRNA-seq)Cellranger流程入门和数据质控 单细胞RNA测序(scRNA-seq)基础知识可查看以下文章: 单细胞RNA测序(scRNA-seq)工作流程入门 单细胞RNA测序(scRNA-seq)细胞分离与扩增 1. 单细胞RNA-seq样本数据说明 样本数据来源文章:Acquired cancer re…

【计算机毕业设计】基于微信小程序的开发项目150套(附源码+演示视频+LW)

大家好&#xff01;我是程序猿老A&#xff0c;感谢您阅读本文&#xff0c;欢迎一键三连哦。 &#x1f9e1;今天给大家分享200的微信小程序毕业设计&#xff0c;后台用Java开发&#xff0c;这些项目都经过精心挑选&#xff0c;涵盖了不同的实战主题和用例&#xff0c;可做毕业设…