做好网络安全必须要做的一步工作...

前言

网络安全建设的实质是对风险的管理，古人云：知己知彼百战不殆。所谓知己，就是要了解自己的资产以及这些资产的脆弱性，知彼就是了解外部威胁及威胁所使用的手段。

要做到知己，首先就要对自身的资产进行梳理。今天，我们就来聊一聊资产梳理的话题。

1、为什么要做资产梳理？（WHY)

网络安全（数据安全）建设的实质是对风险的管理，风险管理的三个要素是资产、威胁和脆弱性。这三项的基础是资产管理。

随着客户业务的逐渐增多，面向互联网的系统暴露的信息也就越多，如端口、后台管理系统、与外单位互联的网络路径等信息，而这这些信息就越容易被攻击者盯上。

很多单位在进行安全体系建设时，往往对重要业务系统进行较好的防护，对于一些边缘业务甚至废弃业务没有做好及时处理，而这些往往成为攻击者攻击的对象。

通过对大多数被攻击事件的分析，大多数攻击都是因为客户对自身资产不清晰所致，所以需要对单位机构资产进行梳理，通过资产梳理，可以确定主机漏洞、弱口令扫描、web应用漏洞、基线配置的目标，排查无备案、无管理、无防护的信息资产，收集信息资产开发端口服务，作为关闭非必要端口和加强端口访问策略提供依据，整理重点资产，作为有限防护资源分配的参考。

资产梳理是进行安全运维与风险评估的基础，也是进行安全体系建设的依据。如果家底不清、资产不明，很容易会被黑客利用和攻击。

二、合规性的需要。

在《数据安全法》和等保中，也都有明确的规定。

如等保三级管理部分（7.1.10.2)明确规定：应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。

《数据安全法》第二十一条中也要求，“各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”

在数据安全时代，对数据进行分类分级的前提就是要先进行资产梳理。

2、梳理什么？(WHAT)

知己知彼百战不殆。所谓知己，就是要了解自己的资产以及这些资产的脆弱性，知彼就是了解外部威胁及威胁所使用的手段。知己的前提就是要对资产进行梳理，了解你要保护的对象，以及对象自身存在的安全漏洞，才能有针对性的做好预防措施。攻击者所想要利用的信息，单位机构内部一定要自己知道，这样才能做好及时加固防护，因此根据攻击者现主流攻击的目标及目标相关信息确定梳理的内容有如下：

1、根据需要可选择不同角度对资产进行资产分类和分级，摸清楚哪些是重要资产。

2、收集明确归口的信息系统资产信息：（数据库，中间件、群件系统、各商业软件平台、后台地址、使用框架、敏感目录等）。

3、统一排查发现未确定归口部门的资产与废弃资产，确定其归口管理部门。

4、梳理资产对应的开放端口、服务，并明确其用途。

5、梳理业务数据流向，理清楚业务之间的逻辑关系和数据流转时与其他资产（硬件、软件、网络等）之间的关联性。

6、梳理易受攻击应用系统目标（重点资产）。

7、梳理存储敏感数据（用户数据、源代码数据）的资产。

8、梳理现在安全防护资源。

3、怎么做梳理？(HOW)

资产梳理总体流程：

1、人工确认资产列表或通过资产管理工具导出资产信息。

2、资产信息核对，补充和更新如端口、服务、补丁版本、更新时间、责任人、重要性等，对未知资产确认归口，完善全部信息。