伴隨數字化技術在各行各業中的普及與發展,服務器、網絡設備、安全設備、數據庫等網絡資產數量不斷增加,同時在“非常規化”、“移動化”與“多樣化”的趨勢下,互聯網資產暴露面也隨之越來越多,讓政企機構在數字化轉型過程中所面臨的網絡安全風險不斷加劇。
近日,華泰證券信息安全專家孫罡在360網絡空間測繪新品發布會中,帶來了真實業務場景下關于資產管理的實踐思考。
華泰證券信息安全專家孫罡
資產管理的難點在哪里?
網絡資產是政企機構在互聯網環境中發展的必要因素,一旦缺乏應有的保護,那么安全運營就無從保障。因此,只有全面掌握自身各類資產狀況,政企機構才能根據不同的類型進行防護。
但在數字化潮流下,過多的資產類型和數量,與未知資產歸屬不清等風險,導致資產系統的分類過于復雜與模糊,定位資產需要尋找散落在各個平臺中的碎片化資產去定位關聯,讓互聯網的暴露面不斷擴圍。
另一方面,網絡空間測繪大多會遇到行業專有協議、應用等難以識別,以及對各行業業務劃分、業務重要性、供應商等不夠了解,導致測繪數據分析難度加大等問題。因此,不同行業的資產管理,需要了解行業專有應用的具體用途和重要性,比如在金融行業中,業務會根據是否涉及資金交易進行分類。然而,目前業內基本以通用型的資產管理解決方案為主,難以滿足不同行業差異化的資產管理需求。
提效安全運營,資產管理需要做到什么?
為了能夠優化資產結構,及時發現定位和處理問題,以便于應對不斷加劇的安全風險,資產管理需要做到四點:
第一是要全面掌控資產圖譜。在安全視角下審視資產圖譜,對資產進行完整測繪,統一管理;
第二是要對資產的變更進行控制,做到自動化實時更新。在資產變更的時候,需要自動的關聯到相關所有內容,這樣才能做到閉環的管理。
第三是應用系統需要做風險畫像。把所有的資產通過應用的視角歸到一起,通過應用全生命周期的管理對風險做畫像,通過應用的畫像快速定位應用里所有資產的風險和漏洞,快速評估風險;
第四,問題出現風險時,快速發現并響應整改、快速修復。
360信息資產統一管理平臺體系化賦能資產管理
基于以上思考,華泰證券信息安全專家孫罡表示,政企機構需要構建起全資產、全風險、全生命周期的資產管理體系,才能準確、全面的掌握資產與風險情況。結合自身資產和風險運營相關實戰經驗,他對360信息資產安全統一管理平臺的多項核心優勢給出高度評價。
多來源數據獲取插件化:不同的數據源的格式都是不一樣的,做結構性處理可能很難。而面對分布在不同類型系統和平臺中的資產和漏洞數據,360信息資產統一管理平臺可以插件化快速、靈活的采集如CMDB、負載均衡、防火墻、管理類平臺、云平臺、終端等系統類型。
明確資產關聯:資產頻繁變更導致資產準確性偏差,當風險發生時會消耗大量的時間成本。而360信息資產統一管理平臺可以對多來源資產數據進行分析,獲取資產與資產、資產與業務、資產與人的關聯關系,以便出現風險時快速定位,支持應急和運營工作。
資產屬性靈活擴展:大型政企機構的應用復雜度很高,各種想象不到的資產在運行過程中會不斷的出現,這時候需要通過對系統的擴展性進行要求,以便于快速的接入新的需求。360信息資產統一管理平臺則可以依據不同的數據來源和管理需求,自定義資產屬性,建立更加全面的資產數據庫。
風險全生命周期管理:在各種的系統里面,不同政企機構會收集到很多的資產風險,如何去找出需要修復的風險,做到準確及時地評估也是比較重要的。360信息資產統一管理平臺則可以從風險的發現階段、驗證階段、處置階段、復測階段的全流程進行跟蹤,并將風險關聯到資產,明確風險的負責人,進一步完善風險管理體系。
Copyright 1997-2022?電腦報官網?All Rights Reserved
渝公網安備 50010302003670號
