安全资产管理中容易被忽视的几点

安全资产管理是企业安全建设中非常重要的工作，事前要主动通过资产管理发现风险和威胁，高危端口和服务等要消除。事中要做到当1day风险爆发时，安全团队能拉一份清单，哪些受影响，受影响的处理步骤，哪些先处理，哪些后处理，怎么保障可用性，一整套方案给到部门总经理，安全团队才有价值。

安全资产管理远不止上面这些内容，再分享一些关于安全资产管理中容易被忽视的几个点：

1. 分支机构和公有云资产：除了总部和自有资产以外，还要考虑组织分支机构和外部公有云的相关资产，避免在安全运营及外部合规性核查中因自身资产盲区导致不良后果；

2. 新型安全资产：还存在着一些不引人注意的资产类型。例如企业公众号、企业微博号等组织市场推广资源。从组织整体安全运营的角度看，这些资源可能存在误用、盗用、使用不规范等问题导致发布了不合适的内容信息。公众信息发布的安全性，也可以作为安全资产管理的一个关注点；

3. 存在安全隐患的隐藏资产：除了直观可见的安全资产外，还存在着一些不面向大众用户的隐藏资产。例如开放在公网API接口、网站管理后台等。以API为例，该资源不得不开放在互联网侧，基于用户的分布性又难以限制可接入IP，容易受到API参数篡改、内容篡改、中间人攻击等安全威胁。可通过前端防护设备及鉴权控制保障此类资产的安全性；

4. 特权账号：特权账号因其权限较大，比普通账号具有更强的脆弱性。账号作为业务系统人机交互的钥匙，在安全资产管理中容易受到忽视

5. 易被忽视的资产属性：还有一些容易受到忽视，但对业务安全及业务可用性有很大影响的资产属性。例如网站证书的有效期、域名有效期、各类设备维保时间和供应商联系电话等等。

有关安全资产管理更多信息，在《企业信息安全建设：金融行业安全架构与技术实战》中有全面介绍，该书将在2018年11月左右正式上市发售。

#新书预告#由君哥和另外两位甲方金融企业工作的朋友，基于各自十余年甲方企业安全建设实践，致力于解决企业安全建设最后一公里问题，合著了《 企业信息安全建设：金融行业安全架构与技术实战 》一书，由机械工业出版社出版，将于2018年底面市发售，希望能给企业安全建设的朋友日常工作和实践中一些启发和帮助。本书是三位甲方人员在平常繁重的工作之余，将从业十余年的一些体验和经历分享出来，体系化的将如何在企业做安全建设的思路和实践开源，特别是已经经过实战检验的一线安全建设方案和实践，尤为难得，敬请期待。

时间有限？看此篇

金融业企业安全建设之路

----------------------------------------------

企业安全建设，离不开“ 守望相助 ”。金融业企业安全建设微信群，在历次安全事件、安全应急中有大量实况直播，处置措施及时性、有效性，让我自己也获益良多。有兴趣加入的企业安全负责人，请关注微信公众号“君哥的体历”，后台留言， 微信号+公司名称