网络安全资产管理相关内容的扩展补充与拾遗?
》中的数据、账号等资产的条款要求,以及知识产权、数字品牌保护相关泛资产管理的内容,算作前面四篇文章的一个补充,同时也是资产管理系列的一个总结。
一般情况在讨论资产管理时,更多还是硬件、软件资产为主,并不包含数据类资产。但无论是结构化数据,还是非结构化数据,都是企业的重要资产,具有比软件、硬件等实物资产更高的价值。既然这样,数据资产也就需要对其进行识别与管理。
数据资产的识别以及分类、分级是一个老生常谈的话题,十多年以前很多单位就已经开展了这方面的工作,定义数据类别、级别标准并进行数据梳理等。但由于数据量巨大、分类分级颗粒度不够、缺乏有效工具支撑等原因,很少有单位能够取得比较好的效果。
对于非结构化数据,在进行类型与级别的定义后,需要给出尽量多的举例进行参考,使得数据的创建者能够进行必要的密级与传阅范围的标注。同时,良好的数据分类、分级标准,也可以输入给数据防泄露及文档加密产品,作为数据安全控制实施策略的依据。
对于结构化数据,主流数据安全厂商均有数据发现产品,可以根据定义好的分类分级标准,采用主动网络扫描与授权账号读取的方式,自动化对数据进行识别。为敏感数据资产发开发者_如何学Go现、分布展示,以及数据安全的监控、审计,提供良好的基础支撑作用。
同时在账号权限管理最佳实践标准中,也会要求形成并维护账号权限清单,对账号权限进行必要的分类,并且需要定期进行清查。
如果能够建成IAM或4A系统,会给账号权限管理带来大大的方便性。如果没有统一身份认证系统,由于设备、系统、应用等都涉及到账号权限,给统一账号权限管理带来了一定的困难性,只能选取VPN、堡垒机、域控及重要应用系统优先建立管理机制。
信息资产中还有一类叫无形资产,知识产权、数字品牌就属于无形资产。源代码、重要文档资料被上传互联网属于知识产权受损,钓鱼网站、假冒APP、品牌滥用则属于数字品牌受损。知识产权与数字品牌保护不善,不但影响企业自身的形象,还可能带来实质性的利益损失。
互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置,这些日常安全运营与攻防对抗中的关键活动,都需要完善的资产信息的支撑。
网络安全领域流传很广的一句话你无法保护你看不见的东西,安全建设要以资产为出发点进行风险控制,发生了安全事故以后,安全处置措施又会回到资产。大量的事实说明资产不清晰已经成为阻碍当前网络安全建设的一道鸿沟。资产管理水平决定了网络安全防护的上限,如果资产搞不清楚,安全工作就会有一个很大的瓶颈无法突破。返回搜狐,查看更多
精彩评论