提高信息安全管控能力—基于“关卡”全生命周期的信息安全管家

— 导读 —

在这个信息安全要求越来越高的时代,提高信息安全意识,做好安全资产的管控势在必行。那么有什么好的做法呢?

在刚刚结束的【2018年东莞公司网络线支撑系统自主研发竞赛】中,获得银奖的参赛队伍刚好有一个好点子。

今天我们就邀请到了东莞移动网络调度中心的小伙伴,来为我们来介绍他们的产品-基于“关卡”全生命周期的信息安全管家。

团队简介

让我们先来认识一下这个活力满满的团队吧,这个年轻团队成员均来自东莞移动网络调度中心,下面一一为大家介绍。

张敬华:东莞移动网络调度中心过程管理团队的业务主任,具备十多年丰富的业务管理和实战项目经验,在本项目中担任产品经理的角色,负责产品的功能设计。

黄志荣(右二):系统架构师,负责产品的开发管理与数据库设计。从事多年的开发管理工作,掌握JAVA、C# 和数据库,“手、心两把剑”,并荣获“2018年广东网管应用自主研发劳动竞赛编程能手”称号。

李嘉华(右三):此人精通JAVA语言,大概是因为他的名字就叫JAVA吧(嘉华),如此缘分让他在本项目中成为主要开发工程师,并荣获“2018年广东网管应用自主研发劳动竞赛编程能手”称号。

陈泽斌(右一):2017年入职的小鲜肉,年轻活力有能力,本次主要负责产品的系统开发,擅长JAVA、Python、C#等热门语言,同样荣获“2018年广东网管应用自主研发劳动竞赛编程能手”称号。

叶伟珊(左一):从事信息安全管理工作两年,具备对信息安全的灵敏反应力,同时拥有一年的产品设计和测试经验,在本项目中负责产品的设计以及运营工作。

What-我们要做什么

现在我们都处于一个高速发展的信息时代,在这个信息时代,信息就是金钱。随着信息时代不断地发展,信息安全管理要求越来越高,而我们认为,要做好信息安全管控,安全资产的管理是关键。

我们的目标是基于全生命管理流程,提高对安全资产的统筹管控能力/安全情况掌控能力、以及全生命周期管理能力来降低信息安全风险。

How-我们怎么做

本产品就是通过对安全资产的入网、运行和退网三大环节设定相应的关卡来进行严格管控,从而达到全生命周期管理的效果。

资产入网部分,首先由程序自动扫描出现网中新出现的安全资产,将这些资产扫描出来后,以流程的形式对这些资产进行入网的安全检查,符合安全要求后,才能纳入资产库中备案,表明资产正式入网,开始进入运行阶段。

在资产正常运行期间,系统定期以流程的形式发起安全检查,上传扫描报告并跟踪闭环。闭环后,系统根据这些资产的安全检查情况,生成相应的合规、漏洞和弱口令标签值,从而形成资产画像,获得了资产的总体安全情况。

最后资产如果进入退网阶段,要先以流程的形式发起退网检查,符合要求后方可退网。

我们通过建立资产库,建立个人终端、服务器、网络设备的资产数据模型,通过Python的程序在网络中发现和嗅探新的资产,利用activiti流程引擎从技术角度将这个资产管理流程落地,实现系统化的工作流全生命周期管理;在资产管理的过程中,可以随时通过python小程序,分析资产检查报告,生成资产画像。

本产品采用了基于Java web的b/s架构,采用了非常成熟的轻量级开源框架Spring,利用IOC实现解耦合,利用AOP拦截事务、日志等。系统可分成三层结构,用户层、服务层、数据层。

本产品主要有三条功能线组成。

首先,通过python小程序在网络中发现和嗅探新的的资产、结合资产检查报告,在数据库形成资产安全信息库。

其次,我们通过SSM的框架从数据库获取信息呈现到前端界面上,得到各种维度下的资产安全信息。面向接口的开发模式,使分层的思路更加清晰;尽量用配置来代替代码,减少开发的工作量;容易向其他开发项目推广。

最后,我们通过开源的流程框架、本身也是基于Spring开发的Activiti流程,将信息安全管理办法搬到系统上,实现资产的全生命周期管控,如入网、调拨、安全检查、退网等流程。

这样我们将三个对象,用户、资产、安全管理办法通过信息安全管家,紧密结合到了一起。通过响应式的界面,给用户一个更加友好的呈现界面。通过前后分离、接口调用的开发方式,使开发更加敏捷高效、系统更容易扩展。目前是通过Ajax来进行数据的交互,用RESTful接口作为补充,为日后向Spring-boot微服务开发转变提供便利。

What-系统演示

(1)程序扫描发现现网中未入网的安全资产:

(2)扫描出来的安全资产走入网流程:

(3)进行入网安全检查,并上传扫描报告:

(4)检查无问题并经审批后,资产信息纳入资产库中,说明资产已入网,开始进入运行阶段:

(5)通过对安全资产运行过程中的安全检查,生成动态的资产画像。

— 小结 —

本产品通过建立资产库,明确资产负责人,达到了资产安全责任落实到人的要求,并且通过入网运行退网三大关卡,实现了资产的全生命周期管控,最后通过流程的可视化,实现了资产安全管理工作的可审计。在应用推广方面,本产品可推广应用到所有资产类型、各种管理流程以及全网络线甚至全公司范围的资产,可应用性强。

你可能还喜欢

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181219G1HHPJ00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券