清華大學(xué)由中華人民共和國教育部直屬，中央直管副部級(jí)建制，位列“211工程”、“985工程”、“世界一流大學(xué)和一流學(xué)科”。清華大學(xué)有20個(gè)學(xué)院，59個(gè)系，另加碩士點(diǎn)、博士點(diǎn)、博士后點(diǎn)和科研工作站、校屬企業(yè)、附屬醫(yī)院等眾多部門單位。

　　

　　Web 應(yīng)用無疑對(duì)于教學(xué)、科研等工作起到了重要的支撐作用，但是對(duì)于清華大華信息資產(chǎn)的管理來說，卻是一件”大、繁、重、多“的工作。業(yè)務(wù)系統(tǒng)、資產(chǎn)量的急速增加對(duì)信息安全和運(yùn)維工作帶來新的挑戰(zhàn)，如何系統(tǒng)化、流程化、體系化、智能化的對(duì)信息資產(chǎn)進(jìn)行有序管理，使信息資產(chǎn)數(shù)據(jù)化、信息資產(chǎn)清晰可見，是清華大學(xué)要考慮的重要問題。

　　

　　這也是當(dāng)前教育行業(yè)的資產(chǎn)管理所面臨的普遍問題，目前教育行業(yè)普遍存在垂直性不強(qiáng)、安全管理薄弱，單位眾多、行業(yè)分散，數(shù)據(jù)資產(chǎn)不清，專職安全人員少或無專職安全人員，單位規(guī)模大小不一、資產(chǎn)數(shù)量相差較大等問題，對(duì)于網(wǎng)絡(luò)安全保障是一個(gè)巨大的挑戰(zhàn)。

　　

　　清華大學(xué)信息辦實(shí)踐證明，信息化安全要做到可知、可感、可控、可查，進(jìn)行資產(chǎn)梳理，摸清家底、知道自己有什么是第一步。通過資產(chǎn)梳理，可以發(fā)現(xiàn)暴露于互聯(lián)網(wǎng)的資產(chǎn)風(fēng)險(xiǎn)級(jí)別，并梳理內(nèi)網(wǎng)暴露面、云平臺(tái)/實(shí)驗(yàn)室資產(chǎn)、未知資產(chǎn)、僵尸網(wǎng)站等 Web 資產(chǎn)，同時(shí)統(tǒng)一規(guī)劃出口管控能力，建立資產(chǎn)和責(zé)任人對(duì)應(yīng)關(guān)系。

　　

　　

　　為了解決 Web 資產(chǎn)管理問題，清華大學(xué)決定進(jìn)一步強(qiáng)化對(duì)于資產(chǎn)的梳理，并通過“發(fā)現(xiàn)風(fēng)險(xiǎn)-處置風(fēng)險(xiǎn)-復(fù)測(cè)風(fēng)險(xiǎn)”的方式使風(fēng)險(xiǎn)得以確認(rèn)解決，將線上線下發(fā)現(xiàn)的資產(chǎn)安全事件通過Web資產(chǎn)治理平臺(tái)聯(lián)動(dòng)OA，第一時(shí)間發(fā)送給院系負(fù)責(zé)人，實(shí)現(xiàn)安全事件處置流轉(zhuǎn)管理的閉環(huán)。同時(shí)，完善安全運(yùn)營中心能力，從資產(chǎn)上線、7*24小時(shí)安全運(yùn)行狀態(tài)監(jiān)測(cè)到發(fā)現(xiàn)資產(chǎn)風(fēng)險(xiǎn)并預(yù)警、應(yīng)急響應(yīng)處置完成階段性的資產(chǎn)生命周期治理，形成一套有效的基于資產(chǎn)的安全風(fēng)險(xiǎn)閉環(huán)管理機(jī)制。

　　

　　盛邦安全基于以資產(chǎn)為核心的安全治理”五步法“方法論，結(jié)合清華大學(xué)實(shí)際情況，設(shè)計(jì)規(guī)劃了目前的方案：

　　

　　第一步：從核心設(shè)備鏡像雙向網(wǎng)絡(luò)流量分流到分布式部署的Web資產(chǎn)治理平臺(tái)（RayGate）；通過登記核查，收集可信資產(chǎn)信息并進(jìn)行備案；Web資產(chǎn)治理平臺(tái)通過自學(xué)習(xí)引擎，自動(dòng)從流量中分析出對(duì)內(nèi)、對(duì)外提供服務(wù)的Web資產(chǎn)，記錄諸如域名、IP、端口、資產(chǎn)名稱及狀態(tài)、ICP備案等數(shù)據(jù)，將兩者進(jìn)行對(duì)比，建立可信資產(chǎn)臺(tái)賬。

　　

　　第二步：對(duì)資產(chǎn)屬性信息進(jìn)行完善，探測(cè)業(yè)務(wù)系統(tǒng)指紋信息、收集業(yè)務(wù)歸屬責(zé)任人等備案信息，對(duì)資產(chǎn)狀態(tài)進(jìn)行畫像。

　　

　　第三步：對(duì)新申請(qǐng)上線的資產(chǎn)、云平臺(tái)資產(chǎn)、實(shí)驗(yàn)室資產(chǎn)等進(jìn)行上線前體檢，發(fā)現(xiàn)脆弱點(diǎn)，整改加固，實(shí)現(xiàn)對(duì)外提供服務(wù)的“準(zhǔn)出控制”。

　　

　　第四步：定期對(duì)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)識(shí)別，發(fā)現(xiàn)脆弱點(diǎn)，整改加固; 周期監(jiān)控、發(fā)現(xiàn)篡改、暗鏈、WebShell攻擊等突發(fā)安全事件。

　　

　　第五步：重大突發(fā)事件時(shí)，通過和安全設(shè)備聯(lián)動(dòng)實(shí)現(xiàn)應(yīng)急響應(yīng)、一鍵斷網(wǎng)等快速應(yīng)急處置。

　　

　　通過方案運(yùn)行和落地實(shí)施，盛邦安全協(xié)助清華大學(xué)梳理了2000多個(gè)Web資產(chǎn)，幫助清華大學(xué)建立了以資產(chǎn)為核心的清晰的資產(chǎn)臺(tái)賬；以邊界為區(qū)域，梳理對(duì)內(nèi)對(duì)外提供服務(wù)的資產(chǎn)；以資產(chǎn)分類為條件，實(shí)現(xiàn)安全風(fēng)險(xiǎn)的精準(zhǔn)預(yù)警；以流程為約束，實(shí)現(xiàn)安全風(fēng)險(xiǎn)的閉環(huán)處置，最終實(shí)現(xiàn)資產(chǎn)看得見、摸得著、管得住、把得牢。

　　

　　此外，清華大學(xué)還通過盛邦安全Web資產(chǎn)治理平臺(tái)（RayGate）結(jié)合OA，實(shí)現(xiàn)了問題資產(chǎn)及安全事件領(lǐng)導(dǎo)負(fù)責(zé)任制下的閉環(huán)處置，從而確保對(duì)于Web資產(chǎn)的高效監(jiān)控與管理，將安全風(fēng)險(xiǎn)消滅在萌芽狀態(tài)。