前言
网络安全建设的实质是对风险的管理,古人云:知己知彼百战不殆。所谓知己,就是要了解自己的资产以及这些资产的脆弱性,知彼就是了解外部威胁及威胁所使用的手段。
要做到知己,首先就要对自身的资产进行梳理。今天,我们就来聊一聊资产梳理的话题。
1、为什么要做资产梳理?(WHY)
一、安全体系建设的需要。
网络安全(数据安全)建设的实质是对风险的管理,风险管理的三个要素是资产、威胁和脆弱性。这三项的基础是资产管理。
随着客户业务的逐渐增多,面向互联网的系统暴露的信息也就越多,如端口、后台管理系统、与外单位互联的网络路径等信息,而这这些信息就越容易被攻击者盯上。
很多单位在进行安全体系建设时,往往对重要业务系统进行较好的防护,对于一些边缘业务甚至废弃业务没有做好及时处理,而这些往往成为攻击者攻击的对象。
通过对大多数被攻击事件的分析,大多数攻击都是因为客户对自身资产不清晰所致,所以需要对单位机构资产进行梳理,通过资产梳理,可以确定主机漏洞、弱口令扫描、web应用漏洞、基线配置的目标,排查无备案、无管理、无防护的信息资产,收集信息资产开发端口服务,作为关闭非必要端口和加强端口访问策略提供依据,整理重点资产,作为有限防护资源分配的参考。
资产梳理是进行安全运维与风险评估的基础,也是进行安全体系建设的依据。如果家底不清、资产不明,很容易会被黑客利用和攻击。
二、合规性的需要。
在《数据安全法》和等保中,也都有明确的规定。
如等保三级管理部分(7.1.10.2)明确规定:应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
《数据安全法》第二十一条中也要求,“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”
在数据安全时代,对数据进行分类分级的前提就是要先进行资产梳理。
2、梳理什么?(WHAT)
知己知彼百战不殆。所谓知己,就是要了解自己的资产以及这些资产的脆弱性,知彼就是了解外部威胁及威胁所使用的手段。知己的前提就是要对资产进行梳理,了解你要保护的对象,以及对象自身存在的安全漏洞,才能有针对性的做好预防措施。攻击者所想要利用的信息,单位机构内部一定要自己知道,这样才能做好及时加固防护,因此根据攻击者现主流攻击的目标及目标相关信息确定梳理的内容有如下:
1、根据需要可选择不同角度对资产进行资产分类和分级,摸清楚哪些是重要资产。
2、收集明确归口的信息系统资产信息:(数据库,中间件、群件系统、各商业软件平台、后台地址、使用框架、敏感目录等)。
3、 统一排查发现未确定归口部门的资产与废弃资产,确定其归口管理部门。
4、 梳理资产对应的开放端口、服务,并明确其用途。
5、梳理业务数据流向,理清楚业务之间的逻辑关系和数据流转时与其他资产(硬件、软件、网络等)之间的关联性。
6、 梳理易受攻击应用系统目标(重点资产)。
7、 梳理存储敏感数据(用户数据、源代码数据)的资产。
8、 梳理现在安全防护资源。
3、怎么做梳理?(HOW)
资产梳理总体流程:
1、人工确认资产列表或通过资产管理工具导出资产信息。
2、资产信息核对,补充和更新如端口、服务、补丁版本、更新时间、责任人、重要性等,对未知资产确认归口,完善全部信息。
3、对未知资产进行归口,更新和确认归口,输出最新资产列表。
4、对废弃资产进行排查,消除安全隐患。
4、输出物
资产列表是资产梳理的最终输出,为后续漏洞扫描、基线配置等提供基础信息。资产包括机房设备、网络设备、应用服务器、安全设备、虚拟化平台、中间件、业务系统、数据资产等,根据不同的视角,可以建立不同角度的资产表。
示例:(包括但不限于以下内容)
硬件资产信息:设备名称、厂家(维保厂家)、IP地址、MAC地址、物理商品信息、拓扑结构、硬件版本号、安全策略、特征库升级记录、巡检记录、维修记录、机房位置、责任人、承载业务、重要性赋值(CIA)等。
软件资产信息:业务系统名称、开发单位名称、安全定级信息、操作系统类型及版本、数据库类型及类型、网络安全管理员、数据安全管理员、账号及权限信息、业务关联性、重要性赋值(CIA)、使用端口信息等。
数据资产信息:数据收集来源、存储位置、数据类别、公开范围、账号及权限信息、数据使用者角色、是否个人信息、是否重要数据或涉密数据、重要性赋值(CIA)等。
5、总结
通过资产梳理,摸清单位机构自己的资产家底,了解自身基本情况,初步识别存在的风险,减少单位机构网络被攻击面,为后续进一步自查提供基本支撑。
在梳理过程中,要确保梳理无遗漏,处理好无归口资产和废弃资产,标记重点防护资产,为后续防护决策等提供基础信息。