近期，天融信主力參編的《T/ZISIA 1-2023工業互聯網企業資產分類分級安全管理指南》（以下簡稱“管理指南”）團體標準正式發布并實施。

《管理指南》明確工業互聯網企業資產分類分級的適用范圍、資產分類和分級的原則及方法，并提供了工業互聯網企業資產安全管理的指導。《管理指南》的實施，對強化工業互聯網企業安全防護能力，推動網絡安全產業高質量發展具有推動意義。

本文結合《管理指南》對資產的安全管理要求，為開展資產分類分級安全管理工作的企業提供方法與思路，進一步提升企業資產安全管控能力。

《工業互聯網企業資產分類分級安全管理指南》框架

工業互聯網企業資產安全管理要求關聯資產級別構建安全管理措施，在一級資產安全管理要求中提出5項要求，二級與三級中提出6項要求，本次將各級別安全管理要求匯總歸納，對要求和應對措施進行闡述。

管理要求一：資產管理體系

管理要求

1、設立資產管理崗位，建立資產臺賬，并進行臺賬動態維護和定期盤點。

2、發布和執行管理體系文件，并實施資產授權管理。

3、建立資產安全運營體系，實現持續動態的安全運營。

應對措施

設立專門的資產管理崗位并明確職責，將各項任務及責任明確落實到人，確保資產妥善管理和有效利用。

通過資產分類、資產標識、資產維護等信息建立資產安全管理流程體系，并形成配套制度文件，制定資產安全策略，明確資產使用管理要求，強化身份認證和訪問控制，確保只有授權人員可以訪問資產與使用。

建立資產的訪問控制、入侵檢測、安全審計、脆弱性檢測、集中管理、策略聯動等技術手段，對各類資產的未授權訪問、入侵行為、異常流量、系統漏洞等進行全面監測，持續性收集和分析資產運營過程中的安全數據，識別潛在的安全風險，采取措施進行預防和應對，結合安全威脅與發展趨勢不斷進行安全運營體系的改進，實現持續動態的安全運營。

管理要求二：資產識別和發現

管理要求

1、明確資產識別的需求和范圍，并在不影響業務運行的前提下采取主動、被動等技術手段進行資產的發現與識別。

2、建立資產指紋庫，支撐資產識別。

3、建立資產畫像，實現資產關聯分析。

應對措施

結合人工+資產探測、流量和日志分析、指紋識別等主動、被動技術手段，對臺賬所需的資產必要屬性進行識別與記錄，包括但不限于登記時間、資產名稱、區域或位置、IP、型號、版本號等。

統計和梳理當前資產的系統、版本、類型、范圍等信息，建立資產識別規則，形成資產指紋庫，提高資產信息的識別完整性。

根據資產之間的訪問關系，為每個資產建立畫像，包括但不限于資產IP地址、設備名稱、設備狀態、MAC地址、廠商、設備類型等，便于資產的管理及關聯性分析。

管理要求三：資產風險評估與處置

管理要求

1、定期開展資產的網絡安全風險和合規遵循風險等風險評估，并按照資產風險評估結果及時開展風險處置相關活動。

2、跟蹤資產漏洞信息、資產威脅情報等，并及時預警和開展風險處置活動。

3、評估工業控制系統等特定資產漏洞風險時，需在不影響業務運行的前提下進行。

4、建立和執行供應鏈安全、上線安全、運行安全、資產轉移和廢棄過程的風險評估和管控流程。

應對措施

采用風險評估、資產探測、漏洞檢測等服務進行資產網絡安全風險評估，識別潛在的安全風險和合規風險，根據風險評估的結果，采取風險規避、風險降低、風險轉移等風險處置活動。

通過定期掃描方式，收集所有與資產相關的漏洞信息，并持續關注CVE、CNNVD、CNVD等平臺的最新漏洞信息，進行資產漏洞管理；同時結合第三方威脅情報服務及時更新情報信息，快速發現、告警并第一時間處置威脅。

采用工業漏洞掃描系統+人工評估方式進行資產漏洞風險評估，提前了解資產潛在安全漏洞及薄弱點。

企業應確保資產在供應鏈管理、產品上線、日常運營、資產轉移以及廢棄處理等環節中的安全性，通過風險評估、基線核查、資產探測、漏洞檢測、滲透測試等服務，對資產信息、資產脆弱性等進行識別與評估，并采取措施降低或消除風險，實現資產全生命周期風險管控。

管理要求四：資產防護

管理要求

1、具有訪問控制機制，管理資產使用權限，并定期審查和維護。

2、根據資產分類分級實施包括但不限于物理環境、通信環境、網絡邊界、計算環境的安全防護措施。

3、構建資產統一安全管理平臺，實現對基礎防護設備的安全集中管理。

4、構建資產安全協同防護體系，實現對資產風險、安全事件、業務狀態的安全運營，并與安全防護系統協同聯動。

應對措施

通過密碼、動態口令、Ukey等身份認證和授權管理方式，根據用戶角色與職責，為不同人員或部門分配特定的權限，確認權限與使用資產相對應。

采取物理訪問控制、監控和報警等措施，限制對關鍵資產的物理訪問，確保只有授權人員能夠訪問關鍵資產；根據資產的重要性和風險等級，實施不同的網絡隔離和安全策略；通過建立資產的入侵檢測、訪問控制、安全審計等技術手段，限制未經授權訪問，及時發現異常行為和潛在威脅。

企業應對應用的基礎安全防護設備進行集中統一管理，利用集中化管理系統或平臺，對例如工業防火墻、工業安全監測審計、工業主機衛士等工業安全設備進行集中管理及統一監控，提升安全設備運維效率。

企業應對資產建立資產安全協同防護體系，實現對網絡中的資產、流量、日志等安全數據全面處理分析，以及對資產風險、安全事件、業務狀態等全面監測，并協同邊界安全、入侵檢測等安全防護系統進行聯動，提高資產應對安全威脅的應急響應能力。

管理要求五：資產監測

管理要求

1、綜合考慮資產安全需求和重要程度，明確需監測的資產范圍，在不影響業務運轉的前提下，監測資產運行狀態。

2、實施多層次、多維度的資產安全事件監測。

3、建立綜合性監測平臺，實現威脅情報共享和信息集成，結合大數據和人工智能等新技術，將資產監測與數據分析相結合，建立資產安全威脅級別和智能預警機制。

應對措施

根據資產分類分級要求及資產對企業業務運行的重要程度等因素，確定需要重點監測和保護的資產范圍，并對資產的使用情況、性能指標等信息進行監測，及時發現并消除潛在問題。

資產安全事件應圍繞資產脆弱性、安全威脅等進行監測和分析，通過建立資產的訪問控制、入侵檢測、流量審計、脆弱性識別等技術手段，對各類資產的未授權訪問、入侵行為、異常流量、系統漏洞等進行全面監測，從多層次、多維度保障資產安全。

企業應對資產建立智能化安全威脅預警機制，通過整合第三方威脅情報中心、漏洞報送平臺等外部威脅情報以及資產脆弱性、資產安全威脅等內部威脅情報信息，并利用大數據及智能化分析技術，對網絡的資產、流量、日志等相關的安全數據進行綜合分析，基于資產等級、數據分析結果等，對資產安全威脅的嚴重性、影響范圍等進行分級，并結合威脅情報等信息，構建對資產安全威脅的智能預警機制，實現預警信號的精準推送和風險信息的充分挖掘，為企業資產構建深層次安全防護能力。

管理要求六：資產應急響應

管理要求

1、制定應急處置機制，明確責任人及其職責。

2、預備應急資源，對重要資產采取備份措施。

3、配置安全取證及溯源設備，用于安全事件應急響應。

4、定期開展應急響應培訓，安全事件應急演練；搭建仿真環境，定期開展安全事件模擬演練，優化預案、提升技能、加強協作。

5、建立協同應急機制，實現信息共享、資源協調和相互支援。

應對措施

成立由各部門代表組成的應急處置小組，為每個部門或角色指定主要責任人，并為其分配具體的職責和任務。

重要資產應通過本地備份、異地備份等備份措施，對數據庫、文件、系統等資產進行備份管理，確保數據不會因突發事件或安全威脅而丟失。

安全事件應急響應應對已經發生或可能發生的安全事件進行監控、分析，通過收集、分析與安全事件相關流量、日志等，發現惡意流量、網絡攻擊和異常行為，為溯源分析提供支撐，同時可發現攻擊行為的模式及共性，從而制定更有效的防御策略，提升安全事件應急響應能力。

開展人工授課、視頻教學等形式進行應急響應培訓，提升人員的網絡安全意識，加強應急事件應變能力。進行仿真環境搭建，模擬真實業務場景及業務流程，定期開展安全事件模擬演練，并每次根據演練結果進行評估，依據評估結果對應急預案進行不斷優化。

定期組織會議，建立實時溝通渠道等，確保信息共享。

基于《工業互聯網企業資產分類分級安全管理指南》，天融信可提供全面的安全能力，如風險評估、基線核查、資產探測、漏洞檢測、滲透測試等多種安全服務，實現對資產信息進行有效識別，同時可對資產面臨的威脅、存在的脆弱性進行全面評估與分析。

此外，天融信工業防火墻、工業漏洞掃描系統、工業入侵檢測與審計、工業互聯網態勢分析與安全管理系統等產品，可對企業進行資產探測與采集、資產安全運行監測、資產指紋識別、資產脆弱性檢測等，幫助企業進一步強化資產安全威脅的應對能力，提升資產的安全管理過程。

伴隨工業互聯網企業網絡安全分類分級管理工作的推進，資產安全管理問題愈發成為企業關注的焦點。在工業互聯網安全市場及工業互聯網企業網絡安全分類分級管理工作快速發展形勢下，未來，天融信將持續在工業互聯網安全領域深耕與探索，加速推出創新性產品與服務，賦能工業互聯網企業網絡安全分類分級管理工作的開展，為工業互聯網安全產業的發展提供有力支撐。