IT資產(chǎn)，一般指網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、存儲介質(zhì)等。隨著資產(chǎn)管理、攻擊面管理技術(shù)的廣泛應(yīng)用，廣義的IT資產(chǎn)不僅包括硬件資產(chǎn)，也融合了軟件、服務(wù)、安全策略和NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）策略等無形資產(chǎn)。

傳統(tǒng)的網(wǎng)絡(luò)安全策略管理模式：

業(yè)務(wù)部門申請開通，安全部門按需創(chuàng)建。

對于各類資產(chǎn)，需求方有“只借不還，只用不管”的傾向，很多企業(yè)機構(gòu)對安全策略的權(quán)責也不夠明確，導致安全部門大都承擔著策略運維的“第一責任”。

傳統(tǒng)策略管理模式與“誰使用，誰管理”的資產(chǎn)管理準則嚴重不符，安全部門在策略運維，特別是策略合規(guī)與風險整改的過程中，有時頗為頭疼：

1、策略合規(guī)審查，缺乏有效的技術(shù)手段

上級監(jiān)管要求與業(yè)務(wù)剛性需求，對安全策略的持續(xù)動態(tài)合規(guī)提出了更高要求。

·  上級監(jiān)管要求：等級保護、關(guān)基保護對安全策略合規(guī)有明確的檢查規(guī)范，外部監(jiān)管機構(gòu)和內(nèi)部審計機構(gòu)對策略合規(guī)審計的需求也在持續(xù)加強。

·  業(yè)務(wù)剛性需求：安全策略資產(chǎn)中，如果存在問題策略、風險策略，將直接影響整網(wǎng)安全防護，對數(shù)字業(yè)務(wù)的穩(wěn)定性、安全性有較大危害。

安全部門應(yīng)對策略合規(guī)審查時，以人工為主、少量工具為輔，缺乏全面有效的自動化工具，有著人員成本高、策略風險核查不全面等痛點。

2、策略合規(guī)整改，業(yè)務(wù)部門主責意識需加強

業(yè)務(wù)部門“只借不還，只用不管”的傾向，來自于管理規(guī)范和主責意識的缺失，更重要的原因是安全策略的管理和維護大都以防火墻視角進行。

防火墻管理員受限于設(shè)備性能，會將多個業(yè)務(wù)部門的同類需求合并為一條安全策略。很難面向業(yè)務(wù)視角，給出對應(yīng)的策略清單；與之相對應(yīng)的，風險策略整改時，也很難追溯到業(yè)務(wù)部門。

在這種情況下，安全部門要被動承受風險策略帶來的不利影響，業(yè)務(wù)部門主觀上的主責意識也還需加強。

3、策略合規(guī)監(jiān)管，難以實現(xiàn)持續(xù)動態(tài)監(jiān)管

當前，策略合規(guī)管理通常以HW、過檢等間歇性和脈沖式的方式進行。業(yè)務(wù)變更、策略變更頻繁的企業(yè)機構(gòu)，更難滿足策略合規(guī)監(jiān)管需要的持續(xù)動態(tài)要求。安全部門也缺少對策略合規(guī)態(tài)勢進行持續(xù)監(jiān)控預測的技術(shù)手段。

面向業(yè)務(wù)視角，實現(xiàn)安全策略合規(guī)檢查與閉環(huán)整改

安博通依托自主研發(fā)的“晶石”安全策略智能運維平臺，對全網(wǎng)訪問控制策略進行統(tǒng)一采集、智能分析和歸一化展示，生成面向業(yè)務(wù)視角的安全策略資產(chǎn)臺賬。

在此基礎(chǔ)上，對接策略合規(guī)模塊與企業(yè)流程服務(wù)平臺，將風險策略向?qū)?yīng)的主責部門進行自動精準推送，同時追蹤整改流程，從而實現(xiàn)風險策略的閉環(huán)管理，以及安全策略合規(guī)的持續(xù)動態(tài)監(jiān)測。

關(guān)鍵能力1：策略資產(chǎn)臺賬梳理

在策略管理中將防火墻視角轉(zhuǎn)換為業(yè)務(wù)或組織視角，解決資產(chǎn)臺賬和責任主體不清的問題。分清安全策略責任主體，可有效實現(xiàn)策略追溯、清理優(yōu)化、策略整改等功能，輔助安全運營團隊分析核心資產(chǎn)的暴露面、收斂資產(chǎn)攻擊面，提升整體安全防御能力。

關(guān)鍵能力2：策略合規(guī)檢查

平臺內(nèi)預置多種合規(guī)規(guī)則模型，維護配置靈活簡單。規(guī)則模型包括：長期不命中策略、寬松策略、高危端口策略、域間違規(guī)訪問等，滿足監(jiān)管審計、策略基線、暴露面檢測等多種需求。

同時，平臺支持策略變更自動觸發(fā)、合規(guī)檢查定期執(zhí)行、API接口按需調(diào)用等多種檢查機制，提供安全策略的“事前+事中+事后”全過程的合規(guī)檢查能力。

關(guān)鍵能力3：風險策略閉環(huán)整改

安博通“晶石”平臺與ITSM（IT服務(wù)管理）平臺聯(lián)動，將待整改的問題策略和違規(guī)詳情推送給對應(yīng)的業(yè)務(wù)部門，業(yè)務(wù)部門在ITSM平臺可給出確認刪除、例外說明等整改反饋。防火墻管理員根據(jù)反饋再進行整改，對問題策略執(zhí)行刪除或白名單維護。

平臺還可從業(yè)務(wù)維度統(tǒng)計呈現(xiàn)策略整改率、整改趨勢等數(shù)據(jù)，將風險策略整改工作進行量化公示。通過安全部門和業(yè)務(wù)部門的協(xié)同，高效完成問題策略整改，確保數(shù)字業(yè)務(wù)的穩(wěn)定、安全運行。

關(guān)鍵能力4：策略合規(guī)態(tài)勢感知

平臺結(jié)合策略資產(chǎn)臺賬和整改情況，可實時輸出基于防火墻設(shè)備維度、業(yè)務(wù)部門維度、合規(guī)規(guī)則維度等的多維統(tǒng)計報表，展示策略整改與變更趨勢的分析視圖。實現(xiàn)策略合規(guī)的數(shù)字化、精細化分析管理，為企業(yè)決策者提供整體策略合規(guī)態(tài)勢。

方案核心價值

·  通過數(shù)字化、自動化的方式，實現(xiàn)安全策略的合規(guī)檢查及風險策略的閉環(huán)整改，有效提升策略管理效率和策略合規(guī)性。

·  梳理策略資產(chǎn)臺賬，明確策略主責權(quán)義，讓問題策略整改工作實現(xiàn)安全部門與業(yè)務(wù)部門的順暢協(xié)同，落實“誰使用，誰管理”的資產(chǎn)管理準則。

·  通過對風險策略的整改跟蹤，以及面向業(yè)務(wù)視角的統(tǒng)計分析，實現(xiàn)策略合規(guī)的持續(xù)動態(tài)監(jiān)測和策略合規(guī)態(tài)勢感知。