安全风险管理的三要素分别是资产、威胁和脆弱性,脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。由于网络管理对象(资产)自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。“摸清家底,认清风险”做好资产安全信息管理是安全运营的第一步也是最重要的一步。
资产管理范围
《GBT 20984-2007信息安全技术信息安全风险评估规范》中,对于资产的定义为“对组织有价值的信息或资源,是安全策略保护的对象”。
对于网络空间资产来说,这里的资产是指赛博空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体对象包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等。概括来说,只要是可操作的对象,不管是实体还是属性。都可以称之为“网络空间资产”。所以对于企业来说这些资产安全信息都要做好管理。参考博文《网络安全之资产及攻击面管理》
在工信部《基础电信企业资产安全管理平台建设指南(试行)》稿中,提到资产安全管理平台对于IP化软硬件资产提供安全管理,其管理范围包括但不限于网络产品、安全产品、物联网设备、办公外设、企业应用、系统软件、支撑系统。资产安全信息应该覆盖到所有的IP化软硬件资产。
资产安全信息一般包括资产的基本属性(如:资产名称、类型、型号、厂商、IP地址、操作系统及其版本信息、端口、服务信息、中间件及其版本信息、程序应用框架及其版本信息、应用软件及其版本信息等)、资产的安全属性(如:安全等级等与网络安全脆弱性整治和威胁监测处置有关的信息等)、资产的管理属性(如:使用单位、责任人、联系电话等)、资产的业务属性(包括所属的业务系统、承载的业务等),应对资产安全信息实施全生命周期管理。
资产安全全生命周期管理
资产的全生命周期覆盖资产上线、资产运行、资产下线,在这过程中要对资产进行定级备案、对资产的台账进行维护、对资产进行风险评估、对资产进行定期的清查。
资产上线
企业应建立统一的资产安全信息管理平台。资产上线,应在资产投入使用前完成对企业信息资产纳管。主机、虚机资产安装资产采集 Agent,网络设备纳入专业网管系统管理,变更的资产信息每天向资产安全信息管理平台同步。
资产运行
资产运行环节是资产生命周期中最重要的环节。安全运营维护单位应建立所辖资产清单台账,应确保相关信息资产IP 地址和端口全量纳管,实现资产安全信息管理平台数据与资产实际情况相符。做好资产运行期的资产台账维护和更新、做好定级备案信息的维护和更新、定期开展资产的风险评估等。
资产下线
资产下线意味着资产的生命周期结束,安全运营维护单位应在资产退网后一定时期内( 如两周或15 日)内完成资产安全信息管理平台数据更新。
资产台账维护
安全运营维护单位应在资产上线前建立好资产台账并在投产前完成对企业信息资产在资产安全信息管理平台的纳管,在资产运行期定期维护台账信息如资产信息发生变化定期更新台账,资产下线推网后完成台账的删除及资产安全信息管理平台数据更新。资产台账维护的主要目的是要保障资产安全信息管理平台数据与资产实际情况相符。
资产定级备案
资产因为其业务属性的不一样,影响的业务也不一样。对于重点的业务系统应予以重点的关注和保护。对于大型关基企业应对资产根据其重要级别进行定级备案。根据级别的不同制定防护策略开展风险评估。一般来说由维护单位在资产的全生命周期内进行定级备案信息的维护和更新,如资产上线前进行定级备案,在系统资产发生变化或下线时进行定级备案信息的更新。安全运营支撑单位对定级备案信息开展技术复核后完成定级备案信息的提交。
资产风险评估
在资产上线前和资产承载的业务发生变化后都应该进行资产风险评估,并根据企业自身要求定期开展风险评估。根据资产定级备案的不同如三级及以上的网络设备和系统平台每年进行一次风险评估,二级网络设备和系统平台每两年进行一次风险评估。对于存在大量个人信息且暴露于互联网的网络设备和系统平台可以请具备资质的第三方单位开展风险评估。重大活动或重要保障前,开展专项风险评估等。
资产定期清查
资产清查,主要是定期对一些“三无”、“七边”的管理覆盖不到位或存在管理薄弱环节的资产进行清查。识别并推进“三无”资产下线(“三无”指“无人管理、无人使用、无人防护”),对“七边”系统进行规范管理(“七边”指测试系统、试验平台、退网未离网系统、工程已上线加载业务但未正式交维系统、与合作伙伴共同运营的业务或系统、责任交接不清的系统、处于衰退期的系统)。安全运营维护单位应配合开展资产清查和纳管,在“三无”资产回收过程中进行系统保障和应急响应。
做好资产安全信息管理是需要通过“技术”+“管理”手段相结合。技术方面企业可以根据自身需求建立资产安全管理平台、攻击面管理平台、互联网暴露面测绘平台,全面覆盖内外资产和互联网暴露面的资产管理;管理方面可以根据自身情况参考资产安全信息管理的全生命周期制定符合企业的资产安全信息管理制度。
