压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

在2019年開年爆紅的古裝劇《知否知否，應是綠肥紅瘦》里，有一幕劇情令人捧腹：在春宵一刻值千金的大婚當夜，顧廷燁和盛明蘭居然各自拿出自己繼承的家產(chǎn)和嫁妝，一張一張開始數(shù)地契，核實夫妻名下究竟有多少產(chǎn)業(yè)和財富。仔細想想，這處劇情頗有深意，因為只有明確地知道手里有多少資產(chǎn)多少張底牌，才能“知己知彼”從“宅斗”中勝出。而到了現(xiàn)實中，對于網(wǎng)絡資產(chǎn)梳理和治理，終于也得到了足夠的重視，成為網(wǎng)絡空間治理的基石。在2019年RSAC大會上，摘得今年RSAC2019創(chuàng)新沙盒大賽的冠軍Axonius，正是一家做網(wǎng)絡安全資產(chǎn)管理平臺的公司。

當網(wǎng)絡資產(chǎn)治理成為2019年全球安全圈“新寵”時，其實中國在網(wǎng)絡資產(chǎn)管理領域已經(jīng)有“先行者”了。日前，盛邦安全CEO權小文對于網(wǎng)絡資產(chǎn)治理的興起并不意外，在他看來，這意味著網(wǎng)絡安全界終于開始務實起來，開始注重基礎工作了。

【盛邦安全CEO權小文】

資產(chǎn)不清 安全就是空中樓閣

盛邦安全對資產(chǎn)治理的關注還要追溯到2014年。當時通過對數(shù)百起攻擊事件的持續(xù)跟蹤和分析，盛邦安全發(fā)現(xiàn)，很多機構之所以出現(xiàn)安全隱患，原因就在于對自身的資產(chǎn)狀況不清晰。

他舉了一個例子，某家機構部署了很多安全產(chǎn)品和解決方案，不僅高度符合安全合規(guī)性要求，而且等保驗收都順利通過。然而令人費解的是，這家機構的網(wǎng)站頻頻遭受安全攻擊，網(wǎng)站動輒無法打開。經(jīng)過深入分析和查證后，盛邦安全的專家團隊發(fā)現(xiàn)，這家機構的網(wǎng)站防護級別很高，的確沒有漏洞，但是機構下屬有十幾家二級單位，很多子系統(tǒng)根本不在備案登記之內(nèi)，也被排除在二級等保范圍外，因此安全性得不到保障，也給上屬機構的安全帶來了極大隱患。

正所謂“舉一反三,推一及百”，盛邦安全很快發(fā)現(xiàn)“資產(chǎn)管理存在疏漏”的現(xiàn)象其實在很多行業(yè)都普遍存在著，盛邦安全敏銳地捕捉到對于網(wǎng)絡資產(chǎn)梳理和管理的價值，此后便從資產(chǎn)梳理開始，在資產(chǎn)治理領域進行了長期的探索與創(chuàng)新。

“如果資產(chǎn)不清，基礎不牢固，那么安全就是空中樓閣。先摸清家底，做好資產(chǎn)梳理，再做安全才是真正有效的做法。”權小文所表達的觀點其實與Axonius的理念不謀而合，Axonius 的口號正是“You Can’t Secure What You Can’t See”。

工程化思維+技術實力=精準高效的資產(chǎn)安全治理解決方案

目前，業(yè)界對于網(wǎng)絡空間的資產(chǎn)識別和管理大致上可以歸納為三種手段：其一是安裝代理（Agent），本次獲獎的Axonius采用的就是這種模式，它的優(yōu)點在于獲取的信息多，能實時感受變化，缺點是Agent部署有限，場景有限；其二是流量分析，即通過流量分析獲取網(wǎng)絡資產(chǎn)情況。這種模式的優(yōu)點是對系統(tǒng)無感，能支持更大規(guī)模的部署，而缺點在于流量采集點限制了資產(chǎn)識別的準確性和完整性；其三是主動探測，即發(fā)指定探測包，通過回包確認指紋識別資產(chǎn)屬性，這是當前普遍采用的辦法，比如shodan等。

盛邦安全所采取的手段是第二種與第三種結合，即主動探測和被動流量分析相結合的方式。2015年，盛邦安全發(fā)布了Web資產(chǎn)治理平臺系統(tǒng)（RayGate），并在之后的幾年內(nèi)，不斷升級、精心打磨該款產(chǎn)品。2017年，盛邦安全開發(fā)了大規(guī)模網(wǎng)絡資產(chǎn)探測系統(tǒng)（RaySpace），專注方向開始從Web安全延伸到數(shù)據(jù)資產(chǎn)治理的領域。目前，盛邦安全具備了主動與被動資產(chǎn)探測能力以及一整套資產(chǎn)安全治理解決方案。

在長期與客戶的溝通和切磋中，盛邦安全也琢磨出一套方法論——基于“安全有道，治理先行”的數(shù)據(jù)資產(chǎn)安全治理核心理念，打造“資產(chǎn)摸底-備案管理-立體化防御（等級保護）-自動化安全運營-應急處置”的“五步法”資產(chǎn)安全治理解決方案，覆蓋客戶數(shù)據(jù)資產(chǎn)全生命周期。

“方法論聽起來容易，事實上落地還會遇到各種各樣的難題和挑戰(zhàn)。”在權小文看來，最難的就是用工程化的思維來打磨解決方案。客戶的需求非常簡單，找到所有未知的有疏漏的網(wǎng)絡資產(chǎn)，這個東西說易行難，難就難在當網(wǎng)絡資產(chǎn)的數(shù)量上規(guī)模之后，如何利用大數(shù)據(jù)技術、AI識別技術快速精準地從網(wǎng)絡空間35億IP地址中挖掘出有關聯(lián)的隱藏資產(chǎn)。“要想速度快，就必須用工程化的產(chǎn)品，提供工程化的能力。要想準，就需要考驗大數(shù)據(jù)分析能力，和AI智能分析能力。技術實力和工程化思維，二者缺一不可。”

對“一窩蜂追熱點”樂見其成？

令人顧慮的是，既然資產(chǎn)梳理和管理成為2019年大熱門，那么安全業(yè)界會不會跟風而上，進入“產(chǎn)品同質(zhì)化，競爭低價化”的怪圈呢？對此權小文的態(tài)度非常坦然，或者說他更樂見其成。

他表示，如果真的出現(xiàn)眾人一窩蜂上馬資產(chǎn)治理的現(xiàn)象，那么說明網(wǎng)絡安全業(yè)界開始真正從做實事出發(fā)了，這其實算一件好事。對于競爭他并不擔心，因為資產(chǎn)治理的范圍非常大，可以孵化出很多不同方向、不同類型的安全解決方法，比如和業(yè)務關聯(lián)的資產(chǎn)治理、和大數(shù)據(jù)分析有關的資產(chǎn)治理等等。市場之大完全可容納足夠差異化的競爭和發(fā)展。

當然，更重要的是，盛邦安全已經(jīng)率先進入這個領域。通過這些年的實踐，也摸索出很多工程化產(chǎn)品經(jīng)驗和自主研發(fā)經(jīng)驗，包括從頭開始寫引擎，如何做深度檢測和快速普查，確保結果的準確性和高效性，這顯然也不是通過開源軟件做一個樣本和模型就可以追趕上的。

目前，盛邦安全數(shù)據(jù)資產(chǎn)安全治理運營平臺已經(jīng)在國內(nèi)多個行業(yè)落地開花。權小文告訴記者，全國985/211高校中有100多家在使用盛邦安全這套解決方案，清華大學、浙江大學、復旦大學為代表的超過1/3的雙一流高校客戶對盛邦安全非常認可。在國家互聯(lián)網(wǎng)應急中心、國家電網(wǎng)、中共中央黨校、北京市教委等行業(yè)客戶系統(tǒng)中也能看到盛邦安全的身影。相信，未來行業(yè)客戶對網(wǎng)絡資產(chǎn)“知根知底”的需求將越來越旺盛，一場追求“可知、可控、可管”的安全務實運動正在浩蕩展開。