自動化:為了有效地完成這些步驟,盡可能嘗試將它們自動化。如果在某個資產管理鏈上,有人發現自己在重復手動執行一個流程,那么就該問問:“這個流程可以自動化嗎?”資產管理流程應該從可靠的地方獲取盡可能多的資產的權威信息。DNS 可以提取主機名和 IP 地址; DHCP 可以將 MAC 地址綁定到那些 IP 地址上;漏洞掃描器可能會找到以前未知的整個網絡。在生命周期的早期階段添加條形碼也可以在很大程度上推進自動化。所有可以自動化的工作都將使流程更加高效。
組織一個公司范圍的團隊:資產會從不同的領域進入公司。采購部門顯然是首選;第三方供應商可能帶來他們自己的設備;還有一種 BYOD(bring your own device,自帶設備)策略。采購、接收、幫助臺、通信、維護和系統管理等部門都能受益于資產管理團隊。與大多數其他流程和程序一樣,幾乎不可能為每一種可能性做規劃,只能未雨綢繆。如果幫助臺團隊成員或者其他可以訪問資產管理軟件的小組成員,發現了一臺沒有記錄在案的設備,那么應該有一個流程來處理這種情況。不僅要將這個資產添加到軟件中,還要調查原因。資產是通過其他部門進入組織的,還是通過一種尚未添加到資產管理流程中的途徑?
執行負責人:組織范圍的團隊還應包括一名或多名執行人員作為負責人,以協助跨多個部門的流程和程序變更。較大的組織通常難以將程序中的變更及新增內容傳達給正確的個人,而較小的公司似乎抗拒改變。由安全人員或 IT 人員之外的人創建一個經過深思熟慮和充分溝通的指令,能讓事情進展得更加順利。該執行成員還能通過節約成本看到資產管理的效果。
網絡安全資產管理有以下基本原則:
自動化:為了有效地完成這些步驟,盡可能嘗試將它們自動化。如果在某個資產管理鏈上,有人發現自己在重復手動執行一個流程,那么就該問問:“這個流程可以自動化嗎?”資產管理流程應該從可靠的地方獲取盡可能多的資產的權威信息。DNS 可以提取主機名和 IP 地址; DHCP 可以將 MAC 地址綁定到那些 IP 地址上;漏洞掃描器可能會找到以前未知的整個網絡。在生命周期的早期階段添加條形碼也可以在很大程度上推進自動化。所有可以自動化的工作都將使流程更加高效。
唯一事實來源:由于多種方法可以收集設備的信息,比如 DNS、DHCP、無線連接、MAC 地址表、軟件許可證、Nmap 掃描等,所以選擇一個可以與現有技術輕松整合的軟件很重要。在多個不同的位置(比如表格和 SharePoint)記錄有沖突的信息,不利于完整呈現當前的資產。在選擇一種軟件或方法時,應明確說明它是關于資產的唯一事實來源,任何偏差都應該得到處理。
組織一個公司范圍的團隊:資產會從不同的領域進入公司。采購部門顯然是首選;第三方供應商可能帶來他們自己的設備;還有一種 BYOD(bring your own device,自帶設備)策略。采購、接收、幫助臺、通信、維護和系統管理等部門都能受益于資產管理團隊。與大多數其他流程和程序一樣,幾乎不可能為每一種可能性做規劃,只能未雨綢繆。如果幫助臺團隊成員或者其他可以訪問資產管理軟件的小組成員,發現了一臺沒有記錄在案的設備,那么應該有一個流程來處理這種情況。不僅要將這個資產添加到軟件中,還要調查原因。資產是通過其他部門進入組織的,還是通過一種尚未添加到資產管理流程中的途徑?
執行負責人:組織范圍的團隊還應包括一名或多名執行人員作為負責人,以協助跨多個部門的流程和程序變更。較大的組織通常難以將程序中的變更及新增內容傳達給正確的個人,而較小的公司似乎抗拒改變。由安全人員或 IT 人員之外的人創建一個經過深思熟慮和充分溝通的指令,能讓事情進展得更加順利。該執行成員還能通過節約成本看到資產管理的效果。
軟件許可:在軟件許可管理方面,了解你可以部署的東西往往比你實際部署的東西更重要。很多時候,組織會因為過度部署而無法通過軟件審計,因為它們無法證明他們有權部署什么。在軟件許可上落后可能是一個代價非常高的錯誤。更新當前已安裝軟件的列表,不僅可以消除為未使用的軟件付費的風險,還可以確保無須支付許可超額費或罰金。
定義資產:為關鍵資產定義標準。很多時候,它們可能是關鍵數據所在的設備。關鍵資產可能是特定類型的硬件或設備,例如前端防火墻、光纖交換機或某些自定義軟件包。隨著資產的增加,會產生一個很長的資產列表。有些資產需要更多的監控和管理。
回答所涉及的環境:聯想天逸510S、Windows 10。