資產安全管理是網絡安全防護工作的基礎，也是構建安全運營體系的初始環(huán)節(jié)。而在實際的信息系統(tǒng)建設、運行或運維過程中，往往會出現一些違反企業(yè)信息安全管理制度的現象，從而導致企業(yè)中存在大量未受管理的“暗”資產。

傳統(tǒng)的資產臺賬、CMDB等資產信息管理手段，僅能涵蓋企業(yè)的IT和安全團隊已知的資產，很難滿足當前實戰(zhàn)攻防形勢下對企業(yè)“暗”資產的管理要求。這些脫離企業(yè)管控視野的“暗”資產，通常也缺乏對應的安全監(jiān)控與防護措施，會成為企業(yè)安全防線的“蟻穴”，進而成為攻擊入侵的“捷徑”。

在近年攻防演練行動中，“暗”資產已成為重要突破口，圍繞“暗”資產的攻防爭奪賽在實戰(zhàn)對抗中備受關注。因此，如何厘清企業(yè)的信息資產，及時發(fā)現增量的“暗”資產，管控存量“暗”資產，已成為企業(yè)開展網絡安全運營面臨的首要挑戰(zhàn)。

在實戰(zhàn)攻防對抗中，如果對“暗”資產的管控不到位，會讓企業(yè)安全運營人員在海量的告警日志中疲于奔命、顧此失彼。天融信“暗”資產安全管理解決方案基于“立足攻擊者視角，先于攻擊者行動”的設計理念，以全面性和及時性作為基本評價指標，通過工具高效自動探測與專家精準人工研判相結合的協(xié)同機制，制定規(guī)范的資產安全管理制度，助力企業(yè)全面及時地管控“暗”資產。

天融信“暗”資產安全管理解決方案

? 自動探測，快速高效

天融信資產測繪系統(tǒng)具備資產發(fā)現識別、資產威脅分析、異常資產分析和資產信息管理能力。系統(tǒng)采用主動探測和被動感知相結合的方式，通過豐富的指紋庫和威脅情報庫，幫助企業(yè)持續(xù)快速地對網絡設備、主機/服務器、Web應用、工控設備、物聯(lián)網設備等各類資產的詳細信息進行識別、分析和管理，及時點亮“暗”資產。天融信資產測繪系統(tǒng)分布式的部署方式可以適應各類型內網、專網與互聯(lián)網場景需要，在政府、運營商等行業(yè)擁有大規(guī)模應用實踐，得到了業(yè)界的充分認可，先后榮獲中國計算機行業(yè)發(fā)展年度優(yōu)秀產品獎、中國信通院網絡空間資產管理平臺檢驗證書。

? 人工排查，不留死角

除利用自動化工具提高資產識別效率外，天融信通過互聯(lián)網資產暴露面檢測服務進行資產人工排查，與資產測繪系統(tǒng)形成優(yōu)勢互補，形成對企業(yè)互聯(lián)網資產的全面排查能力。互聯(lián)網資產暴露面檢測服務通過云端SaaS化服務及本地專家服務的方式，以資產庫與資產測繪系統(tǒng)數據為基底，對企業(yè)互聯(lián)網存活資產、開放端口與服務、APP、公眾號與小程序、各類網盤、暗網信息、網絡流量等展開挖掘分析，對“暗”資產進行全面梳理，確定資產歸屬并與資產測繪系統(tǒng)進行關聯(lián)，及時發(fā)現新增、變更、注銷的互聯(lián)網資產，助力安全團隊全面掌握本企業(yè)在互聯(lián)網中的資產暴露面。天融信互聯(lián)網資產暴露面檢測服務在實戰(zhàn)攻防演練中得到了廣泛應用，多次幫助客戶創(chuàng)下零失分紀錄，連續(xù)多年在國家級、行業(yè)級攻防演練中得到客戶的表彰。

? 規(guī)范秩序，有章可循

技術是基礎、管理是保障。在技術手段方面“下功夫”的同時，天融信在管理手段方面“做文章”，從根源上防范企業(yè)資產淪陷為“暗”資產的可能性。天融信可協(xié)助企業(yè)梳理業(yè)務發(fā)布與變更的特點，幫助企業(yè)建立健全資產安全管理制度與流程，豐富資產信息維度，并與技術措施相結合，更有效地落實企業(yè)資產安全管理工作。天融信安全服務團隊具備豐富的安全咨詢服務經驗，能夠根據企業(yè)的組織架構、業(yè)務特點、合規(guī)特性、風險水平等制定貼合度高、落地性強的資產安全管理制度與流程，并根據企業(yè)發(fā)展變化適時更新，構建企業(yè)資產安全閉環(huán)管理的長效機制。

隨著云計算、移動互聯(lián)、物聯(lián)網、工業(yè)互聯(lián)網、區(qū)塊鏈等技術的應用，信息系統(tǒng)愈發(fā)復雜，存在“暗”資產的概率不斷升高，資產暴露面不斷擴大，這將對企業(yè)的資產安全管理提出更高的要求。Gartner發(fā)布的《2021安全運營技術成熟度曲線》報告中，提到了外部攻擊面管理（EASM）和網絡資產攻擊面管理（CAASM）兩項新興的資產安全管理技術，為資產安全管理技術的創(chuàng)新和迭代提供了參考。

未來，天融信將堅持資產安全管理技術探索與實踐，強化云端情報融合、安全防護設備聯(lián)動、云環(huán)境下的lT資產安全管理等能力，幫助客戶構建從檢測發(fā)現、分析研判、情報預警、響應處置到持續(xù)監(jiān)控的完整資產安全管理體系，為企業(yè)數字化轉型發(fā)展保駕護航。