提高信息安全管控能力—基于“关卡”全生命周期的信息安全管家

— 导读 —

在这个信息安全要求越来越高的时代，提高信息安全意识，做好安全资产的管控势在必行。那么有什么好的做法呢？

在刚刚结束的【2018年东莞公司网络线支撑系统自主研发竞赛】中，获得银奖的参赛队伍刚好有一个好点子。

今天我们就邀请到了东莞移动网络调度中心的小伙伴，来为我们来介绍他们的产品-基于“关卡”全生命周期的信息安全管家。

团队简介

让我们先来认识一下这个活力满满的团队吧，这个年轻团队成员均来自东莞移动网络调度中心，下面一一为大家介绍。

张敬华：东莞移动网络调度中心过程管理团队的业务主任，具备十多年丰富的业务管理和实战项目经验，在本项目中担任产品经理的角色，负责产品的功能设计。

黄志荣（右二）：系统架构师，负责产品的开发管理与数据库设计。从事多年的开发管理工作，掌握JAVA、C# 和数据库，“手、心两把剑”，并荣获“2018年广东网管应用自主研发劳动竞赛编程能手”称号。

李嘉华（右三）：此人精通JAVA语言，大概是因为他的名字就叫JAVA吧（嘉华），如此缘分让他在本项目中成为主要开发工程师，并荣获“2018年广东网管应用自主研发劳动竞赛编程能手”称号。

陈泽斌（右一）：2017年入职的小鲜肉，年轻活力有能力，本次主要负责产品的系统开发，擅长JAVA、Python、C#等热门语言，同样荣获“2018年广东网管应用自主研发劳动竞赛编程能手”称号。

叶伟珊（左一）：从事信息安全管理工作两年，具备对信息安全的灵敏反应力，同时拥有一年的产品设计和测试经验，在本项目中负责产品的设计以及运营工作。

What-我们要做什么

现在我们都处于一个高速发展的信息时代，在这个信息时代，信息就是金钱。随着信息时代不断地发展，信息安全管理要求越来越高，而我们认为，要做好信息安全管控，安全资产的管理是关键。

我们的目标是基于全生命管理流程，提高对安全资产的统筹管控能力/安全情况掌控能力、以及全生命周期管理能力来降低信息安全风险。

How-我们怎么做

本产品就是通过对安全资产的入网、运行和退网三大环节设定相应的关卡来进行严格管控，从而达到全生命周期管理的效果。

资产入网部分，首先由程序自动扫描出现网中新出现的安全资产，将这些资产扫描出来后，以流程的形式对这些资产进行入网的安全检查，符合安全要求后，才能纳入资产库中备案，表明资产正式入网，开始进入运行阶段。

在资产正常运行期间，系统定期以流程的形式发起安全检查，上传扫描报告并跟踪闭环。闭环后，系统根据这些资产的安全检查情况，生成相应的合规、漏洞和弱口令标签值，从而形成资产画像，获得了资产的总体安全情况。

最后资产如果进入退网阶段，要先以流程的形式发起退网检查，符合要求后方可退网。

我们通过建立资产库，建立个人终端、服务器、网络设备的资产数据模型，通过Python的程序在网络中发现和嗅探新的资产，利用activiti流程引擎从技术角度将这个资产管理流程落地，实现系统化的工作流全生命周期管理；在资产管理的过程中，可以随时通过python小程序，分析资产检查报告，生成资产画像。

本产品采用了基于Java web的b/s架构，采用了非常成熟的轻量级开源框架Spring，利用IOC实现解耦合，利用AOP拦截事务、日志等。系统可分成三层结构，用户层、服务层、数据层。

本产品主要有三条功能线组成。

首先，通过python小程序在网络中发现和嗅探新的的资产、结合资产检查报告，在数据库形成资产安全信息库。

其次，我们通过SSM的框架从数据库获取信息呈现到前端界面上，得到各种维度下的资产安全信息。面向接口的开发模式，使分层的思路更加清晰；尽量用配置来代替代码，减少开发的工作量；容易向其他开发项目推广。

最后，我们通过开源的流程框架、本身也是基于Spring开发的Activiti流程，将信息安全管理办法搬到系统上，实现资产的全生命周期管控，如入网、调拨、安全检查、退网等流程。

这样我们将三个对象，用户、资产、安全管理办法通过信息安全管家，紧密结合到了一起。通过响应式的界面，给用户一个更加友好的呈现界面。通过前后分离、接口调用的开发方式，使开发更加敏捷高效、系统更容易扩展。目前是通过Ajax来进行数据的交互，用RESTful接口作为补充，为日后向Spring-boot微服务开发转变提供便利。

What-系统演示

（1）程序扫描发现现网中未入网的安全资产：

（2）扫描出来的安全资产走入网流程：

（3）进行入网安全检查，并上传扫描报告：

（4）检查无问题并经审批后，资产信息纳入资产库中，说明资产已入网，开始进入运行阶段：

（5）通过对安全资产运行过程中的安全检查，生成动态的资产画像。

— 小结 —

本产品通过建立资产库，明确资产负责人，达到了资产安全责任落实到人的要求，并且通过入网运行退网三大关卡，实现了资产的全生命周期管控，最后通过流程的可视化，实现了资产安全管理工作的可审计。在应用推广方面，本产品可推广应用到所有资产类型、各种管理流程以及全网络线甚至全公司范围的资产，可应用性强。

你可能还喜欢