盛邦安全联合产业链合作伙伴发布重量级报告,率先定义网络空间资产安全治理标准

  • 时间:
  • 浏览:1

  【IT168 资讯】习主席在4.19讲话中指出,“摸清家底,认清风险,找出漏洞,通报结果,督促整改”,构建网络空间治理的安全平台应从资产摸底过后刚现在结束。然而信息技术的发展、IT架构的变更以及业务的拓展,让企业信息资产梳理的复杂化程度日趋增加,但也成为企业安全防护的基础和重要因素之一。在8月21日召开的“北京网络安全大会”上,盛邦安全联合安全牛、数字观星并肩发布了《信息资产风险与合规管理(ITARC)应用指南报告》,从业务和资产的关联层厚,为产业提供信息资产风险与合规管理的全新理念与处里方案,率先全版梳理和定义了网络空间资产安全治理的标准和关键点。

  不清楚保护对象,何谈安全保护?

  某知名第三方调研机构在其2017年一项研究中得出结论,未来五年企业价值将取决于个人的信息资产组合。在当今日益数字化的世界中,任何我想要正确评估企业价值的个体和组织,须要重视信息资产和对它的分析能力,包括信息资产的数量、种类和质量等。信息资产已逐步成为企业的战略资产,得到了企业高层的广泛重视。

  但与此并肩,在数字化创新的推动下,IT架构与应用这样 复杂化,信息资产的数量与种类太满,也让网络安全的复杂化度大增。有点儿是云计算、移动互联网等技术的创新,使得组织的网络环境抛弃了边界;应用系统和业务数据的开放互联成为组织的常态,组织原有的资产管理妙招往往必须跟进系统变化。另外,网络资产需求的突发性,以及人员的主观工作疏忽,都过后 原应 跳出资产数量不明、类型不清晰、安全检查漏洞不全面等间题。信息资产梳理是处里知己知彼的间题,是增强网络安全防御能力和威慑能力的基础。

  如今,组织的信息安全要把重点从只重视防护手段,逐步回归到先分析防护对象安全需求上来,要先把保护对象界定清楚,过后 再来谈用哪此手段来保护,对信息资产的重新识别及强化管理是当前组织的信息安全工作第一件要做好的事情,信息资产识别也随之成为网络安全策略重要的基础性工作。

  为了进一步明确信息资产风险与合规管理妙招,推动信息资产安全治理,此次盛邦安全联合安全牛、数字观星并肩发布《信息资产风险与合规管理(ITARC)应用指南报告》,从业务和资产的关联层厚出发,分析了信息资产的主要类型及风险因素,明确了信息资产的识别与治理妙招,融合等级保护管理规范,分享了相关行业实践案例,并给出了信息资产安全治理可落地的方案和建议。

  盛邦安全五步法——信息资产安全治理落地的规范动作

  报告指出,信息资产风险与合规必须作为有一个多 单纯的安全管理间题来看待,须要意识到信息资产的安全直接关系到业务的运作效率与安全,须要得到层厚重视。过后 在数字化的过程中,信息资产随时都过后 增加、删除以及更新,过后 信息资产风险与合规须要贯穿信息资产的全生命周期,包括资产的发现、换成、分派、维护以及废弃,原来要能将安全能力覆盖到尽量多的信息资产,减少风险的暴露面。

  从信息资产安全治理的全流程出发,报告建议遵循“摸清家底、备案审核、立体化防御、自动化运营、应急响应”你这个安全治理“五步法”原则,来提升资产安全治理水平和整体防御能力:

  第一步:摸清家底。结合等级保护规范进行资产梳理是安全治理的第一步:通过主动探测、被动流量分析结合的妙招,对内外网资产进行识别和梳理,清点资产,选折 资产边界;盛邦安全目前还能不能识别物联网、路由交换设备、网络安全设备、业务系统等30类近116万种网络空间设备。

  第二步:备案审核。建立备案审核管理流程,进行资产认领登记备案和上线前的安全检查,对资产备案进行全生命周期管控;

  第三步:基于等级保护的立体化防御。对登记审核的资产有针对性地进行分级防御部署,满足《网络安全等级保护制度2.0》、《网络安全法》等法律、法规以及行业安全管理规范的要求;

  第四步:自动化运营。通过流量监控、日志审计、漏洞扫描等妙招对所有资产进行审核和评估,建立安全模型;对安全防御体系及核心资产进行实时监测和预警,一旦发现间题,及时反馈给防御体系,形成7*24小时的主动与被动式监测、动态指纹画像与健康巡检相结合的自动化运营机制;

  第五步:应急响应。任何安全妙招都不 能百分之百保证防线不想被突破。对组织而言,当安全事件存在时,快速定位被攻击的资产以及评估潜在会受到影响的资产并采取隔离、阻断等妙招是十分重要的。当发现存在篡改、暗链、漏洞利用以及webshell攻击等安全风险时,可及时采取“一键断网”等应急响应妙招。

  最后,从技术发展趋势来看,组织必然要逐渐适应扑面而来的物联网浪潮,将物联网融入到自身的业务中,这很过后 会给组织带来两大风险——更多、更复杂化的设备资产和更加频繁的资产变更。盛邦安全CEO权小文表示:“在5G等技术的推动下,物联网和业务的结合将为信息资产安全治理带来更高的要求。各个组织要进一步对信息资产的管理模式进行创新,安全厂商也须要对物联网的资产管理做到持续性的监控和针对异常行为与资产变化的及时响应,各方都不 提前布局,做好准备,要能更好地面对快速更迭的新技术、新应用带来的挑战。”