安全运营之资产安全信息管理

article/2025/9/16 12:39:23

安全风险管理的三要素分别是资产、威胁和脆弱性,脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。由于网络管理对象(资产)自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。“摸清家底,认清风险”做好资产安全信息管理是安全运营的第一步也是最重要的一步。

资产管理范围

《GBT 20984-2007信息安全技术信息安全风险评估规范》中,对于资产的定义为“对组织有价值的信息或资源,是安全策略保护的对象”。

对于网络空间资产来说,这里的资产是指赛博空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体对象包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等。概括来说,只要是可操作的对象,不管是实体还是属性。都可以称之为“网络空间资产”。所以对于企业来说这些资产安全信息都要做好管理。参考博文《网络安全之资产及攻击面管理》

在工信部《基础电信企业资产安全管理平台建设指南(试行)》稿中,提到资产安全管理平台对于IP化软硬件资产提供安全管理,其管理范围包括但不限于网络产品、安全产品、物联网设备、办公外设、企业应用、系统软件、支撑系统。资产安全信息应该覆盖到所有的IP化软硬件资产。

资产安全信息一般包括资产的基本属性(如:资产名称、类型、型号、厂商、IP地址、操作系统及其版本信息、端口、服务信息、中间件及其版本信息、程序应用框架及其版本信息、应用软件及其版本信息等)、资产的安全属性(如:安全等级等与网络安全脆弱性整治和威胁监测处置有关的信息等)、资产的管理属性(如:使用单位、责任人、联系电话等)、资产的业务属性(包括所属的业务系统、承载的业务等),应对资产安全信息实施全生命周期管理。

资产安全全生命周期管理

资产的全生命周期覆盖资产上线、资产运行、资产下线,在这过程中要对资产进行定级备案、对资产的台账进行维护、对资产进行风险评估、对资产进行定期的清查。
在这里插入图片描述

资产上线

企业应建立统一的资产安全信息管理平台。资产上线,应在资产投入使用前完成对企业信息资产纳管。主机、虚机资产安装资产采集 Agent,网络设备纳入专业网管系统管理,变更的资产信息每天向资产安全信息管理平台同步。

资产运行

资产运行环节是资产生命周期中最重要的环节。安全运营维护单位应建立所辖资产清单台账,应确保相关信息资产IP 地址和端口全量纳管,实现资产安全信息管理平台数据与资产实际情况相符。做好资产运行期的资产台账维护和更新、做好定级备案信息的维护和更新、定期开展资产的风险评估等。

资产下线

资产下线意味着资产的生命周期结束,安全运营维护单位应在资产退网后一定时期内( 如两周或15 日)内完成资产安全信息管理平台数据更新。

资产台账维护

安全运营维护单位应在资产上线前建立好资产台账并在投产前完成对企业信息资产在资产安全信息管理平台的纳管,在资产运行期定期维护台账信息如资产信息发生变化定期更新台账,资产下线推网后完成台账的删除及资产安全信息管理平台数据更新。资产台账维护的主要目的是要保障资产安全信息管理平台数据与资产实际情况相符。

资产定级备案

资产因为其业务属性的不一样,影响的业务也不一样。对于重点的业务系统应予以重点的关注和保护。对于大型关基企业应对资产根据其重要级别进行定级备案。根据级别的不同制定防护策略开展风险评估。一般来说由维护单位在资产的全生命周期内进行定级备案信息的维护和更新,如资产上线前进行定级备案,在系统资产发生变化或下线时进行定级备案信息的更新。安全运营支撑单位对定级备案信息开展技术复核后完成定级备案信息的提交。

资产风险评估

在资产上线前和资产承载的业务发生变化后都应该进行资产风险评估,并根据企业自身要求定期开展风险评估。根据资产定级备案的不同如三级及以上的网络设备和系统平台每年进行一次风险评估,二级网络设备和系统平台每两年进行一次风险评估。对于存在大量个人信息且暴露于互联网的网络设备和系统平台可以请具备资质的第三方单位开展风险评估。重大活动或重要保障前,开展专项风险评估等。

资产定期清查

资产清查,主要是定期对一些“三无”、“七边”的管理覆盖不到位或存在管理薄弱环节的资产进行清查。识别并推进“三无”资产下线(“三无”指“无人管理、无人使用、无人防护”),对“七边”系统进行规范管理(“七边”指测试系统、试验平台、退网未离网系统、工程已上线加载业务但未正式交维系统、与合作伙伴共同运营的业务或系统、责任交接不清的系统、处于衰退期的系统)。安全运营维护单位应配合开展资产清查和纳管,在“三无”资产回收过程中进行系统保障和应急响应。

做好资产安全信息管理是需要通过“技术”+“管理”手段相结合。技术方面企业可以根据自身需求建立资产安全管理平台、攻击面管理平台、互联网暴露面测绘平台,全面覆盖内外资产和互联网暴露面的资产管理;管理方面可以根据自身情况参考资产安全信息管理的全生命周期制定符合企业的资产安全信息管理制度。

博客地址:http://xiejava.ishareread.com/


http://chatgpt.dhexx.cn/article/mrQ9eYfP.shtml

相关文章

信息安全工程与运营

信息安全工程与运营

思维导图: 信息安全工程与运营内容子域:内容安全、社会工程学与培训教育、系统安全工程基础、系统安全成熟度模型(CMM模型)、安全运营 一、系统安全工程基础-针对乙方 良好的安全工程的四个方面:动机(做…
阅读更多...
安全运营之漏洞管理

安全运营之漏洞管理

1947年冯诺依曼建立计算机系统结构理论时认为,计算机系统也有天生的类似基因的缺陷,也可能在使用和发展过程中产生意想不到的问题。20世纪七八十年代,早期黑客的出现和第一个计算机病毒的产生,软件漏洞逐渐引起人们的关注。在各种…
阅读更多...
数据安全运营平台介绍

数据安全运营平台介绍

以“可实用、可持续”为设计初衷,“一站式、体系化”的数据安全运营管控平台。 可集合包括数据资产梳理、数据库防火墙、数据库审计、数据脱敏、数据库运维管理、数据库加密等在内的各类数据安全产品优势于一身,通过可视化的信息呈现与工作引导&#xf…
阅读更多...
三分建设,七分运营|用现代化安全运营应对数据安全风险

三分建设,七分运营|用现代化安全运营应对数据安全风险

近日,华为网络安全治理论坛在华为全联接大会2022期间举办,论坛以“共筑安全可信,护航数字化转型”为主题,汇聚业界专家学者、行业精英等,共同探讨在行业数字化转型下,网络安全与隐私保护的应对之道与未来机…
阅读更多...
安全工程与运营

安全工程与运营

安全工程与运营 系统安全工程系统安全工程重要性安全工程系统安全工程理论基础 成立成熟度模型、系统安全工程能力成熟度模型能力成熟度模型(Capability Maturity Model)能力成熟度模型基本思想系统安全工程能力成熟度模型SSE-CMM的作用SSE-CMM体系结构域…
阅读更多...
安全运营是做什么的?企业如何改进安全运营和安全分析水平

安全运营是做什么的?企业如何改进安全运营和安全分析水平

2017年安全预算持续走高,通常情况下,这些花销被用于提高安全运营水平。根据最近发布的ESG环境、社会和治理研究,81%的网络安全专家认为企业应优先改善安全分析和运营水平。 什么是安全运营? 在企业信息安全建设初期,安…
阅读更多...
我理解的安全运营

我理解的安全运营

曾经,安全圈把从业人员分成剑宗和气宗。剑宗是掌握一些招式,不需要长年累月的积累“内力”,有时候就能出奇制胜,搞Web安全的“脚本小子”被划为这一类,而气宗因为需要从汇编、编译原理等晦涩的知识开始,学习…
阅读更多...
安全运营和应急响应详解

安全运营和应急响应详解

一、网络安全运营 1、什么是安全运营 在安全运维的基础上,高效持续的提升企业安全防御能力,实现可视化监控、自主防御,能够发现安全问题、分析安全问题、解决安全问题。 2、为什么需要安全运营 预防网络攻击,保障内网安全,数据安全,满足国家等保护要求。 3、安全运营…
阅读更多...
ERP之主生产计划MPS

ERP之主生产计划MPS

目录 目录 主生产计划 5.1 主生产计划的定义 5.1.1 概念 5.1.2 MPS输入/输出逻辑 5.1.3 MPS报表 5.1.4 MPS在ERP中的层次关系 5.2 主生产计划的重要性 5.3 编制MPS报表的相关概念 1、提前期 2、计划展望期和计划时段 3、时区和时界 5.4 MPS计划对象与计划方法 5.5…
阅读更多...
好用的生产型企业ERP系统有哪些?

好用的生产型企业ERP系统有哪些?

一、好用的生产型企业ERP系统有哪些? 目前而言,制造型想要部署一款好用的ERP系统,通常可以从2个方向来考虑: 第一方向:传统IT软硬件。比如:传统ERP厂商SAP; 第二方向:与新一代数字…
阅读更多...
适合制造业的ERP系统有哪些? 制造业的ERP对企业有什么作用?

适合制造业的ERP系统有哪些? 制造业的ERP对企业有什么作用?

在当前的激烈的市场竞争下,制造企业如果想要长期稳定地发展,除了需要把外部因素做好把控,还需要提升企业自身的管理水平,来提高自己的竞争力,而信息化是企业发展的必经之路。 适合制造业的ERP系统在企业管理中起到了至…
阅读更多...
ERP生产管理软件(针对五金机械行业)

ERP生产管理软件(针对五金机械行业)

信华生产管理软件 流程如下: 五金机械行业是传统的加工行业,基本上是把金属等原材料分割,然后经过车、铣、刨、磨或者冲压、折弯等加工工艺,部件装配,最后装配成成品出厂。 五金机械行业普遍存在有以下管理问题&a…
阅读更多...
ERP生产管理系统,如何解决机械制造企业生产管理难题?

ERP生产管理系统,如何解决机械制造企业生产管理难题?

​随着机械制造业的不断发展,市场竞争越来越激烈,且产品生命周期缩短、消费需求多样化,多品种、小批量生产模式兴起,在此背景下,产品与服务的质量、生产成本及交货期等已成为企业竞争成败的重要条件。 在机械制造企业生…
阅读更多...
ERP 主生产计划

ERP 主生产计划

MPS是主生产计划(master production schedule)的简称,是描述企业生产什么、生产多少以及什么时段完成的生产计划,是把企业战略、企业生产计划大纲等宏观计划转化为生产作业和采购作业等微观作业计划的工具,是企业物料需求计划的直接来源&…
阅读更多...
制造业ERP如何做好成本核算管理?

制造业ERP如何做好成本核算管理?

随着制造业的不断发展,制造业成本管理中存在的问题已成为制造业企业关注的焦点。在传统粗放的手工模式下,制造企业成本核算工作量会非常巨大,不能对成本信息进行实时监控,只能在成本费用发生后进行归集核算,数据有滞后…
阅读更多...
适合生产制造企业用的ERP系统有哪些?

适合生产制造企业用的ERP系统有哪些?

什么叫适合?匹配很重要!同是生产制造企业,规模不同、行业不同、发展阶段不同、生产模式不同、管理理念不同,适用的ERP自然也不同。不同规模的企业选用不同的系统,如过你是大型企业,业务管理都比较标准规范&…
阅读更多...
信息化管理系统(制造业ERP系统)

信息化管理系统(制造业ERP系统)

目录 前言 营销订单管理 前言 历时两年的时间,给公司搭建了一套ERP系统,系统刚刚开始使用,还在不断完善中。就制造行业,对已开发的ERP系统进行总结(公司是制造业,只能浅谈制造业的&#x…
阅读更多...
生产制造业ERP管理系统对于制造企业的好处有哪些?

生产制造业ERP管理系统对于制造企业的好处有哪些?

任何一家企业在管理当中都存在或多或少的问题,这些问题对企业的发展都形成了一定的阻碍。在生产制造业当中,由于每日的繁重的生产计划和大量的生产作业,使得企业管理存在一些问题,这些问题不利于生产的有序进行,从而阻…
阅读更多...
生产制造业ERP管理系统能解决哪些仓库管理难题?

生产制造业ERP管理系统能解决哪些仓库管理难题?

仓库管理够不够好,安不安全,直接关系到生产制造企业的发展。要知道制造型企业的大部分“身家”,都在仓库里了。来料是否及时,物料是否齐套,库存是否安全,配件品质是否合格,库容是否足够&#xf…
阅读更多...
低代码助力生产管理:ERP生产管理系统

低代码助力生产管理:ERP生产管理系统

随着国内生产技术的迅速发展,企业信息化实现了生产经营活动的运营自动化、管理网络化和决策智能化。其中运营自动化是基础,决策智能化是顶峰。将信息化应用于生产管理有助于提高产品的质量和生产效率,加强对原材料、生产工序、员工、设备和产…
阅读更多...
推荐文章

Copyright @ 2022~2023