近期，天融信主力參編的《T/ZISIA 1-2023工業(yè)互聯(lián)網(wǎng)企業(yè)資產(chǎn)分類分級安全管理指南》（以下簡稱“管理指南”）團體標準正式發(fā)布并實施。

《管理指南》明確工業(yè)互聯(lián)網(wǎng)企業(yè)資產(chǎn)分類分級的適用范圍、資產(chǎn)分類和分級的原則及方法，并提供了工業(yè)互聯(lián)網(wǎng)企業(yè)資產(chǎn)安全管理的指導。《管理指南》的實施，對強化工業(yè)互聯(lián)網(wǎng)企業(yè)安全防護能力，推動網(wǎng)絡安全產(chǎn)業(yè)高質(zhì)量發(fā)展具有推動意義。

本文結合《管理指南》對資產(chǎn)的安全管理要求，為開展資產(chǎn)分類分級安全管理工作的企業(yè)提供方法與思路，進一步提升企業(yè)資產(chǎn)安全管控能力。

《工業(yè)互聯(lián)網(wǎng)企業(yè)資產(chǎn)分類分級安全管理指南》框架

工業(yè)互聯(lián)網(wǎng)企業(yè)資產(chǎn)安全管理要求關聯(lián)資產(chǎn)級別構建安全管理措施，在一級資產(chǎn)安全管理要求中提出5項要求，二級與三級中提出6項要求，本次將各級別安全管理要求匯總歸納，對要求和應對措施進行闡述。

管理要求一：資產(chǎn)管理體系

管理要求

1、設立資產(chǎn)管理崗位，建立資產(chǎn)臺賬，并進行臺賬動態(tài)維護和定期盤點。

2、發(fā)布和執(zhí)行管理體系文件，并實施資產(chǎn)授權管理。

3、建立資產(chǎn)安全運營體系，實現(xiàn)持續(xù)動態(tài)的安全運營。

應對措施

設立專門的資產(chǎn)管理崗位并明確職責，將各項任務及責任明確落實到人，確保資產(chǎn)妥善管理和有效利用。

通過資產(chǎn)分類、資產(chǎn)標識、資產(chǎn)維護等信息建立資產(chǎn)安全管理流程體系，并形成配套制度文件，制定資產(chǎn)安全策略，明確資產(chǎn)使用管理要求，強化身份認證和訪問控制，確保只有授權人員可以訪問資產(chǎn)與使用。

建立資產(chǎn)的訪問控制、入侵檢測、安全審計、脆弱性檢測、集中管理、策略聯(lián)動等技術手段，對各類資產(chǎn)的未授權訪問、入侵行為、異常流量、系統(tǒng)漏洞等進行全面監(jiān)測，持續(xù)性收集和分析資產(chǎn)運營過程中的安全數(shù)據(jù)，識別潛在的安全風險，采取措施進行預防和應對，結合安全威脅與發(fā)展趨勢不斷進行安全運營體系的改進，實現(xiàn)持續(xù)動態(tài)的安全運營。

管理要求二：資產(chǎn)識別和發(fā)現(xiàn)

管理要求

1、明確資產(chǎn)識別的需求和范圍，并在不影響業(yè)務運行的前提下采取主動、被動等技術手段進行資產(chǎn)的發(fā)現(xiàn)與識別。

2、建立資產(chǎn)指紋庫，支撐資產(chǎn)識別。

3、建立資產(chǎn)畫像，實現(xiàn)資產(chǎn)關聯(lián)分析。

應對措施

結合人工+資產(chǎn)探測、流量和日志分析、指紋識別等主動、被動技術手段，對臺賬所需的資產(chǎn)必要屬性進行識別與記錄，包括但不限于登記時間、資產(chǎn)名稱、區(qū)域或位置、IP、型號、版本號等。

統(tǒng)計和梳理當前資產(chǎn)的系統(tǒng)、版本、類型、范圍等信息，建立資產(chǎn)識別規(guī)則，形成資產(chǎn)指紋庫，提高資產(chǎn)信息的識別完整性。

根據(jù)資產(chǎn)之間的訪問關系，為每個資產(chǎn)建立畫像，包括但不限于資產(chǎn)IP地址、設備名稱、設備狀態(tài)、MAC地址、廠商、設備類型等，便于資產(chǎn)的管理及關聯(lián)性分析。

管理要求三：資產(chǎn)風險評估與處置

管理要求

1、定期開展資產(chǎn)的網(wǎng)絡安全風險和合規(guī)遵循風險等風險評估，并按照資產(chǎn)風險評估結果及時開展風險處置相關活動。

2、跟蹤資產(chǎn)漏洞信息、資產(chǎn)威脅情報等，并及時預警和開展風險處置活動。

3、評估工業(yè)控制系統(tǒng)等特定資產(chǎn)漏洞風險時，需在不影響業(yè)務運行的前提下進行。

4、建立和執(zhí)行供應鏈安全、上線安全、運行安全、資產(chǎn)轉移和廢棄過程的風險評估和管控流程。

應對措施

采用風險評估、資產(chǎn)探測、漏洞檢測等服務進行資產(chǎn)網(wǎng)絡安全風險評估，識別潛在的安全風險和合規(guī)風險，根據(jù)風險評估的結果，采取風險規(guī)避、風險降低、風險轉移等風險處置活動。

通過定期掃描方式，收集所有與資產(chǎn)相關的漏洞信息，并持續(xù)關注CVE、CNNVD、CNVD等平臺的最新漏洞信息，進行資產(chǎn)漏洞管理；同時結合第三方威脅情報服務及時更新情報信息，快速發(fā)現(xiàn)、告警并第一時間處置威脅。

采用工業(yè)漏洞掃描系統(tǒng)+人工評估方式進行資產(chǎn)漏洞風險評估，提前了解資產(chǎn)潛在安全漏洞及薄弱點。

企業(yè)應確保資產(chǎn)在供應鏈管理、產(chǎn)品上線、日常運營、資產(chǎn)轉移以及廢棄處理等環(huán)節(jié)中的安全性，通過風險評估、基線核查、資產(chǎn)探測、漏洞檢測、滲透測試等服務，對資產(chǎn)信息、資產(chǎn)脆弱性等進行識別與評估，并采取措施降低或消除風險，實現(xiàn)資產(chǎn)全生命周期風險管控。

管理要求四：資產(chǎn)防護

管理要求

1、具有訪問控制機制，管理資產(chǎn)使用權限，并定期審查和維護。

2、根據(jù)資產(chǎn)分類分級實施包括但不限于物理環(huán)境、通信環(huán)境、網(wǎng)絡邊界、計算環(huán)境的安全防護措施。

3、構建資產(chǎn)統(tǒng)一安全管理平臺，實現(xiàn)對基礎防護設備的安全集中管理。

4、構建資產(chǎn)安全協(xié)同防護體系，實現(xiàn)對資產(chǎn)風險、安全事件、業(yè)務狀態(tài)的安全運營，并與安全防護系統(tǒng)協(xié)同聯(lián)動。

應對措施

通過密碼、動態(tài)口令、Ukey等身份認證和授權管理方式，根據(jù)用戶角色與職責，為不同人員或部門分配特定的權限，確認權限與使用資產(chǎn)相對應。

采取物理訪問控制、監(jiān)控和報警等措施，限制對關鍵資產(chǎn)的物理訪問，確保只有授權人員能夠訪問關鍵資產(chǎn)；根據(jù)資產(chǎn)的重要性和風險等級，實施不同的網(wǎng)絡隔離和安全策略；通過建立資產(chǎn)的入侵檢測、訪問控制、安全審計等技術手段，限制未經(jīng)授權訪問，及時發(fā)現(xiàn)異常行為和潛在威脅。

企業(yè)應對應用的基礎安全防護設備進行集中統(tǒng)一管理，利用集中化管理系統(tǒng)或平臺，對例如工業(yè)防火墻、工業(yè)安全監(jiān)測審計、工業(yè)主機衛(wèi)士等工業(yè)安全設備進行集中管理及統(tǒng)一監(jiān)控，提升安全設備運維效率。

企業(yè)應對資產(chǎn)建立資產(chǎn)安全協(xié)同防護體系，實現(xiàn)對網(wǎng)絡中的資產(chǎn)、流量、日志等安全數(shù)據(jù)全面處理分析，以及對資產(chǎn)風險、安全事件、業(yè)務狀態(tài)等全面監(jiān)測，并協(xié)同邊界安全、入侵檢測等安全防護系統(tǒng)進行聯(lián)動，提高資產(chǎn)應對安全威脅的應急響應能力。

管理要求五：資產(chǎn)監(jiān)測

管理要求

1、綜合考慮資產(chǎn)安全需求和重要程度，明確需監(jiān)測的資產(chǎn)范圍，在不影響業(yè)務運轉的前提下，監(jiān)測資產(chǎn)運行狀態(tài)。

2、實施多層次、多維度的資產(chǎn)安全事件監(jiān)測。

3、建立綜合性監(jiān)測平臺，實現(xiàn)威脅情報共享和信息集成，結合大數(shù)據(jù)和人工智能等新技術，將資產(chǎn)監(jiān)測與數(shù)據(jù)分析相結合，建立資產(chǎn)安全威脅級別和智能預警機制。

應對措施

根據(jù)資產(chǎn)分類分級要求及資產(chǎn)對企業(yè)業(yè)務運行的重要程度等因素，確定需要重點監(jiān)測和保護的資產(chǎn)范圍，并對資產(chǎn)的使用情況、性能指標等信息進行監(jiān)測，及時發(fā)現(xiàn)并消除潛在問題。

資產(chǎn)安全事件應圍繞資產(chǎn)脆弱性、安全威脅等進行監(jiān)測和分析，通過建立資產(chǎn)的訪問控制、入侵檢測、流量審計、脆弱性識別等技術手段，對各類資產(chǎn)的未授權訪問、入侵行為、異常流量、系統(tǒng)漏洞等進行全面監(jiān)測，從多層次、多維度保障資產(chǎn)安全。

企業(yè)應對資產(chǎn)建立智能化安全威脅預警機制，通過整合第三方威脅情報中心、漏洞報送平臺等外部威脅情報以及資產(chǎn)脆弱性、資產(chǎn)安全威脅等內(nèi)部威脅情報信息，并利用大數(shù)據(jù)及智能化分析技術，對網(wǎng)絡的資產(chǎn)、流量、日志等相關的安全數(shù)據(jù)進行綜合分析，基于資產(chǎn)等級、數(shù)據(jù)分析結果等，對資產(chǎn)安全威脅的嚴重性、影響范圍等進行分級，并結合威脅情報等信息，構建對資產(chǎn)安全威脅的智能預警機制，實現(xiàn)預警信號的精準推送和風險信息的充分挖掘，為企業(yè)資產(chǎn)構建深層次安全防護能力。

管理要求六：資產(chǎn)應急響應

管理要求

1、制定應急處置機制，明確責任人及其職責。

2、預備應急資源，對重要資產(chǎn)采取備份措施。

3、配置安全取證及溯源設備，用于安全事件應急響應。

4、定期開展應急響應培訓，安全事件應急演練；搭建仿真環(huán)境，定期開展安全事件模擬演練，優(yōu)化預案、提升技能、加強協(xié)作。

5、建立協(xié)同應急機制，實現(xiàn)信息共享、資源協(xié)調(diào)和相互支援。

應對措施

成立由各部門代表組成的應急處置小組，為每個部門或角色指定主要責任人，并為其分配具體的職責和任務。

重要資產(chǎn)應通過本地備份、異地備份等備份措施，對數(shù)據(jù)庫、文件、系統(tǒng)等資產(chǎn)進行備份管理，確保數(shù)據(jù)不會因突發(fā)事件或安全威脅而丟失。

安全事件應急響應應對已經(jīng)發(fā)生或可能發(fā)生的安全事件進行監(jiān)控、分析，通過收集、分析與安全事件相關流量、日志等，發(fā)現(xiàn)惡意流量、網(wǎng)絡攻擊和異常行為，為溯源分析提供支撐，同時可發(fā)現(xiàn)攻擊行為的模式及共性，從而制定更有效的防御策略，提升安全事件應急響應能力。

開展人工授課、視頻教學等形式進行應急響應培訓，提升人員的網(wǎng)絡安全意識，加強應急事件應變能力。進行仿真環(huán)境搭建，模擬真實業(yè)務場景及業(yè)務流程，定期開展安全事件模擬演練，并每次根據(jù)演練結果進行評估，依據(jù)評估結果對應急預案進行不斷優(yōu)化。

定期組織會議，建立實時溝通渠道等，確保信息共享。

基于《工業(yè)互聯(lián)網(wǎng)企業(yè)資產(chǎn)分類分級安全管理指南》，天融信可提供全面的安全能力，如風險評估、基線核查、資產(chǎn)探測、漏洞檢測、滲透測試等多種安全服務，實現(xiàn)對資產(chǎn)信息進行有效識別，同時可對資產(chǎn)面臨的威脅、存在的脆弱性進行全面評估與分析。

此外，天融信工業(yè)防火墻、工業(yè)漏洞掃描系統(tǒng)、工業(yè)入侵檢測與審計、工業(yè)互聯(lián)網(wǎng)態(tài)勢分析與安全管理系統(tǒng)等產(chǎn)品，可對企業(yè)進行資產(chǎn)探測與采集、資產(chǎn)安全運行監(jiān)測、資產(chǎn)指紋識別、資產(chǎn)脆弱性檢測等，幫助企業(yè)進一步強化資產(chǎn)安全威脅的應對能力，提升資產(chǎn)的安全管理過程。

伴隨工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理工作的推進，資產(chǎn)安全管理問題愈發(fā)成為企業(yè)關注的焦點。在工業(yè)互聯(lián)網(wǎng)安全市場及工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理工作快速發(fā)展形勢下，未來，天融信將持續(xù)在工業(yè)互聯(lián)網(wǎng)安全領域深耕與探索，加速推出創(chuàng)新性產(chǎn)品與服務，賦能工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理工作的開展，為工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的發(fā)展提供有力支撐。