网络安全资产管理有哪些基本原则
网络安全资产管理有以下基本原则:
自动化:为了有效地完成这些步骤,尽可能尝试将它们自动化。如果在某个资产管理链上,有人发现自己在重复手动执行一个流程,那么就该问问:“这个流程可以自动化吗?”资产管理流程应该从可靠的地方获取尽可能多的资产的权威信息。DNS 可以提取主机名和 IP 地址; DHCP 可以将 MAC 地址绑定到那些 IP 地址上;漏洞扫描器可能会找到以前未知的整个网络。在生命周期的早期阶段添加条形码也可以在很大程度上推进自动化。所有可以自动化的工作都将使流程更加高效。
唯一事实来源:由于多种方法可以收集设备的信息,比如 DNS、DHCP、无线连接、MAC 地址表、软件许可证、Nmap 扫描等,所以选择一个可以与现有技术轻松整合的软件很重要。在多个不同的位置(比如表格和 SharePoint)记录有冲突的信息,不利于完整呈现当前的资产。在选择一种软件或方法时,应明确说明它是关于资产的唯一事实来源,任何偏差都应该得到处理。
组织一个公司范围的团队:资产会从不同的领域进入公司。采购部门显然是首选;第三方供应商可能带来他们自己的设备;还有一种 BYOD(bring your own device,自带设备)策略。采购、接收、帮助台、通信、维护和系统管理等部门都能受益于资产管理团队。与大多数其他流程和程序一样,几乎不可能为每一种可能性做规划,只能未雨绸缪。如果帮助台团队成员或者其他可以访问资产管理软件的小组成员,发现了一台没有记录在案的设备,那么应该有一个流程来处理这种情况。不仅要将这个资产添加到软件中,还要调查原因。资产是通过其他部门进入组织的,还是通过一种尚未添加到资产管理流程中的途径?
执行负责人:组织范围的团队还应包括一名或多名执行人员作为负责人,以协助跨多个部门的流程和程序变更。较大的组织通常难以将程序中的变更及新增内容传达给正确的个人,而较小的公司似乎抗拒改变。由安全人员或 IT 人员之外的人创建一个经过深思熟虑和充分沟通的指令,能让事情进展得更加顺利。该执行成员还能通过节约成本看到资产管理的效果。
软件许可:在软件许可管理方面,了解你可以部署的东西往往比你实际部署的东西更重要。很多时候,组织会因为过度部署而无法通过软件审计,因为它们无法证明他们有权部署什么。在软件许可上落后可能是一个代价非常高的错误。更新当前已安装软件的列表,不仅可以消除为未使用的软件付费的风险,还可以确保无须支付许可超额费或罚金。
定义资产:为关键资产定义标准。很多时候,它们可能是关键数据所在的设备。关键资产可能是特定类型的硬件或设备,例如前端防火墙、光纤交换机或某些自定义软件包。随着资产的增加,会产生一个很长的资产列表。有些资产需要更多的监控和管理。