7月29日，聯(lián)軟科技網(wǎng)絡(luò)空間資產(chǎn)安全管理解決方案線上發(fā)布會(huì)成功召開。本次會(huì)議以“揭秘資產(chǎn)深海的隱秘角落，構(gòu)建可信數(shù)字網(wǎng)絡(luò)空間之基石”為主題。會(huì)議伊始，數(shù)世咨詢創(chuàng)始人李少鵬作為主持人表示，要做好網(wǎng)絡(luò)安全工作，首先要清楚保護(hù)對(duì)象，網(wǎng)絡(luò)空間的保護(hù)對(duì)象就是網(wǎng)絡(luò)空間資產(chǎn)，更好地梳理、發(fā)現(xiàn)以及管理網(wǎng)絡(luò)空間資產(chǎn)，才能為網(wǎng)絡(luò)安全建設(shè)體系提供基礎(chǔ)。CSA大中華區(qū)研究院副院長(zhǎng)賈良玉、公安三所等保組組長(zhǎng)宋好好博士、光大銀行信息科技部安全管理處處長(zhǎng)牟健君、前海人壽安全負(fù)責(zé)人鄭太海等資深專家在會(huì)議中發(fā)表了眾多關(guān)于網(wǎng)絡(luò)安全行業(yè)的重要觀點(diǎn)和經(jīng)驗(yàn)。

一起來(lái)看看行業(yè)專家如何解讀，聯(lián)軟科技與魔方安全，又為新一代的網(wǎng)絡(luò)資產(chǎn)安全管理帶來(lái)了怎樣的亮點(diǎn)？

?

CSA大中華區(qū)研究院副院長(zhǎng)

賈良玉

數(shù)據(jù)已成為一個(gè)重要的生產(chǎn)資料和生產(chǎn)要素，數(shù)字化轉(zhuǎn)型是經(jīng)濟(jì)發(fā)展的大勢(shì)所趨，其包括產(chǎn)業(yè)數(shù)字化、數(shù)據(jù)產(chǎn)業(yè)化。數(shù)字化轉(zhuǎn)型帶來(lái)的數(shù)據(jù)資產(chǎn)也成為了經(jīng)濟(jì)的核心，其中的資產(chǎn)數(shù)據(jù)化、數(shù)據(jù)資產(chǎn)化是經(jīng)濟(jì)發(fā)展的必然結(jié)果，安全可信就是數(shù)字發(fā)展的重要基石，而其中的資產(chǎn)發(fā)展和風(fēng)險(xiǎn)管理就是重中之重。聯(lián)軟的資產(chǎn)風(fēng)險(xiǎn)管理和資產(chǎn)安全管理恰逢其時(shí)，解決了客戶的痛點(diǎn)，提出全面摸清家底、登記備案關(guān)聯(lián)、系統(tǒng)安全保護(hù)、風(fēng)險(xiǎn)精準(zhǔn)預(yù)警、問題閉環(huán)處置、態(tài)勢(shì)實(shí)時(shí)監(jiān)測(cè)的資產(chǎn)安全管理體系,通過"資產(chǎn)測(cè)繪為起點(diǎn)"、"脆弱性和風(fēng)險(xiǎn)管理為落點(diǎn)"、"資產(chǎn)安全運(yùn)營(yíng)為終點(diǎn)"的階梯式建設(shè)方法論,幫助客戶實(shí)現(xiàn)流程驅(qū)動(dòng)的資產(chǎn)全生命周期的可視化安全管理，為數(shù)字經(jīng)濟(jì)發(fā)展保駕護(hù)航。

?

公安三所等保組組長(zhǎng)

宋好好博士

隨著網(wǎng)絡(luò)環(huán)境的改變，等保的保護(hù)對(duì)象由原來(lái)的信息系統(tǒng)變?yōu)榘踩燃?jí)保護(hù)的對(duì)象，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、工控系統(tǒng)等。等保對(duì)象的范圍進(jìn)一步擴(kuò)大，也對(duì)行業(yè)提出了更高的安全保護(hù)規(guī)定。

目前網(wǎng)絡(luò)保護(hù)等級(jí)制度進(jìn)入到2.0階段，相比1.0階段的信息安全保護(hù)制度，2.0有個(gè)明顯的特征，就是有中華人民共和國(guó)網(wǎng)絡(luò)安全法的法律支撐，在網(wǎng)絡(luò)安全法中明確規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者要履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度規(guī)定的相關(guān)義務(wù)。網(wǎng)絡(luò)運(yùn)營(yíng)者包括網(wǎng)絡(luò)的管理者、所有者和提供服務(wù)者，都應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。要多關(guān)注相關(guān)的等級(jí)保護(hù)標(biāo)準(zhǔn)，確保企業(yè)網(wǎng)絡(luò)安全建設(shè)達(dá)到等保合規(guī)要求。

同時(shí)關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度，關(guān)保的第一步就是先履行等保。關(guān)保的保護(hù)條例、標(biāo)準(zhǔn)也需要重點(diǎn)關(guān)注，在這里總結(jié)回顧下等保和關(guān)保的條款，發(fā)現(xiàn)兩者的條例、標(biāo)準(zhǔn)中都有要求規(guī)定行業(yè)或者企業(yè)關(guān)注資產(chǎn)管理、漏洞管理等具體細(xì)節(jié)，幫助企業(yè)落實(shí)等保、關(guān)保的相關(guān)要求，共筑國(guó)家網(wǎng)絡(luò)安全力量。

?

光大銀行信息科技部安全管理處處長(zhǎng)

牟健君

先結(jié)合企業(yè)自身情況確認(rèn)目標(biāo)，安全資產(chǎn)就是為了保護(hù)信息安全運(yùn)營(yíng)服務(wù)的，目標(biāo)就是整個(gè)安全信息防御系統(tǒng)的使用。首先對(duì)現(xiàn)有條件進(jìn)行分析，現(xiàn)有安全資產(chǎn)信息分散于不同系統(tǒng)，各企業(yè)資產(chǎn)管理處于不同階段，必須先把散落的信息融合起來(lái)，進(jìn)行探查和補(bǔ)充，收集安全資產(chǎn)信息，包括網(wǎng)絡(luò)IP地址管理系統(tǒng)、應(yīng)用系統(tǒng)信息、互聯(lián)網(wǎng)掃描、主機(jī)安全代理等，全面支撐安全運(yùn)營(yíng)工作。

在光大銀行的安全資產(chǎn)中心建設(shè)方案中，主要分為資產(chǎn)數(shù)據(jù)采集、資產(chǎn)數(shù)據(jù)加工、資產(chǎn)運(yùn)營(yíng)三部分。在資產(chǎn)數(shù)據(jù)采集中主要對(duì)互聯(lián)網(wǎng)資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)進(jìn)行梳理，并對(duì)運(yùn)維大數(shù)據(jù)對(duì)接，全面了解資產(chǎn)信息。在數(shù)據(jù)加工中，通過資產(chǎn)數(shù)據(jù)管理和融合，形成包含安全管理、安全分析、威脅響應(yīng)、安全管理的資產(chǎn)庫(kù)。同時(shí)加強(qiáng)流程管理和人員建設(shè)等，將資產(chǎn)管理由零散變?yōu)橄到y(tǒng)，離線變?cè)诰€，工具級(jí)變企業(yè)級(jí)的資產(chǎn)安全管理中心。

?

聯(lián)軟科技副總裁

黃國(guó)忠

數(shù)字化轉(zhuǎn)型帶來(lái)資產(chǎn)海量化、邊界模糊化、業(yè)務(wù)快速變化、資產(chǎn)范疇不斷外延，暴露面和風(fēng)險(xiǎn)持續(xù)擴(kuò)大、監(jiān)管日趨嚴(yán)格、攻擊愈演愈烈、漏洞和應(yīng)急響應(yīng)常態(tài)化等現(xiàn)狀，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞是建立全天候、全方位態(tài)勢(shì)感知能力和風(fēng)險(xiǎn)管理的根本，搞清楚保護(hù)對(duì)象的資產(chǎn)及其屬性、關(guān)聯(lián)關(guān)系和存在風(fēng)險(xiǎn)是安全管理的第一步，而現(xiàn)實(shí)中絕大多數(shù)政企單位受安全管控的資產(chǎn)，都在冰山模型的冰上部分，而像邊緣資產(chǎn)、脫韁資產(chǎn)等很多冰面以下的資產(chǎn)則是安全保護(hù)的薄弱環(huán)節(jié)，恰恰這一部分也很容易成為黑客攻擊的目標(biāo)。傳統(tǒng)碎片化、靜態(tài)、孤立的資產(chǎn)管理方式無(wú)法滿足現(xiàn)有資產(chǎn)安全管理的要求，急需建設(shè)安全視角的統(tǒng)一資產(chǎn)運(yùn)營(yíng)體系，安全建設(shè)需要回歸本源。

現(xiàn)如今，網(wǎng)絡(luò)空間背景下的資產(chǎn)范疇不僅僅包括設(shè)備、IP、端口、拓?fù)鋱D、服務(wù)、數(shù)據(jù)等，還包括社交媒體、公眾號(hào)、APP、小程序等。攻防視角的資產(chǎn)既包括傳統(tǒng)IP化軟硬件資產(chǎn)，也包括數(shù)字資產(chǎn)，既有靜態(tài)資產(chǎn)、還有流量、訪問關(guān)系等動(dòng)態(tài)資產(chǎn)和開源社區(qū)、網(wǎng)盤、暗網(wǎng)中的敏感信息、漏洞社區(qū)等情報(bào)資產(chǎn)，長(zhǎng)期以來(lái)信息化與安全建設(shè)不同步的局面也給資產(chǎn)管理帶來(lái)了巨大的挑戰(zhàn)。從美國(guó)NIST CSF（網(wǎng)絡(luò)安全框架）和CIS的最佳實(shí)踐都可以看到：發(fā)現(xiàn)資產(chǎn)和基于資產(chǎn)的安全配置管理能大大提升系統(tǒng)的安全性，也是安全工作的起點(diǎn)。資產(chǎn)管理的思路大體分為定義、識(shí)別、評(píng)價(jià)、風(fēng)險(xiǎn)評(píng)估、安全管理五個(gè)步驟，以完整性、實(shí)時(shí)性、開放性、持續(xù)性、關(guān)聯(lián)性、準(zhǔn)確性六個(gè)核心要素作為基本要求。

聯(lián)軟科技&魔方安全，一個(gè)是端點(diǎn)安全管理與準(zhǔn)入控制領(lǐng)域的領(lǐng)導(dǎo)者，一個(gè)是全網(wǎng)資產(chǎn)測(cè)繪與暴露面管理領(lǐng)先者，2018年合并后整合雙方的技術(shù)優(yōu)勢(shì)，將安全管控+攻防強(qiáng)強(qiáng)聯(lián)手，結(jié)合攻擊者視角和運(yùn)維視角，提出"全景資產(chǎn)測(cè)繪為起點(diǎn)"、"脆弱性和風(fēng)險(xiǎn)管理為落點(diǎn)"、"資產(chǎn)安全運(yùn)營(yíng)為終點(diǎn)"的三階法資產(chǎn)安全管理方法論,幫助客戶實(shí)現(xiàn)流程驅(qū)動(dòng)的資產(chǎn)全生命周期的可視化安全管理，開啟資產(chǎn)全景視圖的風(fēng)險(xiǎn)管理平臺(tái)，并提出私有部署的IP化資產(chǎn)安全管理系統(tǒng)和SaaS化的數(shù)字資產(chǎn)風(fēng)險(xiǎn)管理方案，讓安全從“知己”開始。

聯(lián)軟科技安全顧問

侯俊

魔方安全從2015年創(chuàng)業(yè)開始，致力于通過創(chuàng)新為客戶提供貼合發(fā)展與動(dòng)向的解決方案。2016年初發(fā)布了企業(yè)互聯(lián)網(wǎng)安全監(jiān)控平臺(tái)1.0，以攻擊者視角，基于互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)管理理念，為客戶提供持續(xù)的安全運(yùn)營(yíng)服務(wù)，幫助客戶解決互聯(lián)網(wǎng)暴露面監(jiān)測(cè)、持續(xù)風(fēng)向感知，以及與資產(chǎn)快速關(guān)聯(lián)，提升應(yīng)急響應(yīng)效率。隨后幾年，安全行業(yè)格局的變化，如永恒之藍(lán)、WannaCry、物聯(lián)網(wǎng)IoT設(shè)備安全、組件漏洞頻現(xiàn)、供應(yīng)鏈攻擊以及《網(wǎng)絡(luò)安全法》等法律的出臺(tái)，證明了我們選擇的正確，只有摸清家底才能支撐常態(tài)化的網(wǎng)絡(luò)安全體系。

經(jīng)過1.0版本的實(shí)踐，在2017年魔方與世界500強(qiáng)企業(yè)合作，進(jìn)一步增強(qiáng)系統(tǒng)的核心能力，以及我們對(duì)于網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪和風(fēng)險(xiǎn)管理平臺(tái)的認(rèn)識(shí)。 在2019年，眾所周知的大背景下，魔方安全支持了監(jiān)管機(jī)構(gòu)的重保工作，搭建區(qū)域內(nèi)處理百萬(wàn)級(jí)IP的測(cè)繪監(jiān)測(cè)平臺(tái)。同年我們的平臺(tái)也得到國(guó)家認(rèn)可，成為工信部網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范項(xiàng)目。

在當(dāng)前格局下，安全的視角從攻防、能力、要素、效能等多維度在轉(zhuǎn)變，必須要用新的方式來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)空間資產(chǎn)安全的“全景視圖”，魔方安全進(jìn)一步推出網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪系統(tǒng)3.0，以全新的理念、技術(shù)迭代、能力升維、聚焦閉環(huán)，為企業(yè)客戶提供聚焦資產(chǎn)安全的運(yùn)營(yíng)工作平臺(tái)。

前海人壽安全負(fù)責(zé)人

鄭太海

傳統(tǒng)的縱深防御安全體系是基于邊界建立的，現(xiàn)在我們換一個(gè)角度，從系統(tǒng)自身的健壯性向外擴(kuò)展，層層外擴(kuò)，最終達(dá)到整體網(wǎng)絡(luò)安全建設(shè)，這其中的詳細(xì)內(nèi)容有以下幾部分：

系統(tǒng)自身健壯性包含SDL建設(shè)，利用安全前置度和過程控制覆蓋率判斷自身企業(yè)的安全覆蓋率，加上漏洞從發(fā)現(xiàn)到修復(fù)再到持續(xù)監(jiān)控的閉環(huán)管理，基線配置從整改再到優(yōu)化的閉環(huán)管理、補(bǔ)丁從獲取到加載驗(yàn)證到檢查的閉環(huán)管理，最后所有的安全攻擊都要落地到主機(jī)安全，做好安全防御的最后一公里，通過這幾點(diǎn)全面加強(qiáng)網(wǎng)絡(luò)安全能力。

安全防御工具中，要不斷優(yōu)化規(guī)則庫(kù)、防護(hù)策略和方案維保等的更新，保證安全防護(hù)工具有效性，同時(shí)定期檢查清單、白名單等，防止歷史問題遺留。再結(jié)合防病毒軟件與桌管軟件，持續(xù)監(jiān)控并推動(dòng)防病毒軟件的覆蓋率與更新率，構(gòu)建資產(chǎn)信息可視、關(guān)聯(lián)配置可視、風(fēng)險(xiǎn)狀況可視的可視化安全態(tài)勢(shì)展示，加強(qiáng)威脅情報(bào)管理，產(chǎn)生情報(bào)處理報(bào)告，確保情報(bào)閉環(huán)處理。

安全事件運(yùn)營(yíng)首先要以全局視角通過統(tǒng)一平臺(tái)結(jié)合多種安全設(shè)備告警，幫助管理員迅速?gòu)暮Ａ康母婢畔⒅械玫綔?zhǔn)確的安全事件信息，并統(tǒng)一處理，縮短安全事件發(fā)現(xiàn)、響應(yīng)、處理時(shí)間；加強(qiáng)勒索病毒、辦公設(shè)備丟失、釣魚郵件、賬號(hào)被盜、數(shù)據(jù)文件泄露等安全事件上報(bào)；還可通過多種方式，如紅藍(lán)對(duì)抗實(shí)際演練，提升防御經(jīng)驗(yàn)和安全管理體系的能力。

備份恢復(fù)從輕量級(jí)到重量級(jí)，如桌面到系統(tǒng)快照到同城雙活到異地雙活等，需要注意的是，在備份策略中要有所側(cè)重，以便達(dá)到更好的成果。最后，要提到的是人與組織的作用。對(duì)內(nèi)每個(gè)企業(yè)的每位員工都需提高意識(shí)，形成周期性的安全宣傳，培養(yǎng)安全意識(shí)。對(duì)外形成同業(yè)內(nèi)和跨行業(yè)的安全聯(lián)盟，與商業(yè)情報(bào)機(jī)構(gòu)之間形成情報(bào)共享機(jī)制，建立良性互動(dòng)的監(jiān)管-企業(yè)關(guān)系，以應(yīng)對(duì)大規(guī)模商業(yè)化的定向、高級(jí)持續(xù)性攻擊。

數(shù)字化轉(zhuǎn)型對(duì)企業(yè)網(wǎng)絡(luò)安全產(chǎn)生了一系列的挑戰(zhàn)，如家底無(wú)法摸清，影子資產(chǎn)的增加，數(shù)據(jù)泄露風(fēng)險(xiǎn)加大等問題。聯(lián)軟科技&魔方安全，新一代網(wǎng)絡(luò)空間資產(chǎn)安全管理解決方案，幫助客戶開啟全景資產(chǎn)測(cè)繪與風(fēng)險(xiǎn)管理，構(gòu)建可信數(shù)字網(wǎng)絡(luò)空間之基石。

?

?

識(shí)別或掃描二維碼，親臨“發(fā)布會(huì)”