三步建立“两高一弱”风险长效治理机制

随着大型企业安全架构的逐年升级和完善，网络安全工作逐渐进入深度化、运营化的阶段，风险管理在安全工作中的重要性愈加突出。面对日益严峻的网络安全态势，国家行业主管部门提出需要高度重视“两高一弱”的问题。具体来说，需要高度关注高危漏洞和高危端口（“两高”）以及弱口令（“一弱”），加强防火墙和安全软件管理，合理分配员工权限，升级多层次的密码保护，加强软件和设备防护，防止黑客入侵业务系统。

但当下，大型企业在实施“两高一弱”的治理时，普遍要应对多个技术难题：

总体来说，建立一套具备实战能力的风险治理长效机制，已刻不容缓。

明确企业内的组织架构，业务优先级和重点资产范围。同时梳理业务关系，对现有的重点资产进行分析，定义业务关键安全指标，关联相关的软硬件成分，初次研判可能存在的高风险问题、历史风险问题、历史遗留问题及可能导致的损害。

建立专有的应用和漏洞知识库：梳理出清单内漏洞的名称、原理、影响产品、描述、版本、危害、修复建议、POC等信息，同时区分漏洞的作用范围，判断属于互联网安全漏洞还是内网安全漏洞。在此基础上，判断哪些漏洞可以基于企业内现有的工具或者通过外部供应商安全服务来实现检测，哪些需要人工干预，手动验证等。

在计划时间内，结合企业内互联网资产和内网资产，持续性识别内外部暴露面风险、内外部高危漏洞风险、内外部弱口令等信息，并输出相关的风险清单。针对互联网资产风险排查，使用长亭云图(Cloud Atlas)对外部边界资产统一纳管，保障资产信息记录没有遗漏（主动运营|系统辅助），采用以POC为核心的漏洞探测技术，进行互联网资产漏洞发现。

针对企业内网，根据现有情况制定重点高危漏洞策略、高危弱口令策略、高危应用风险清单和高危端口服务清单。评估企业内关键参数，如高危端口取值、弱口令字典、资产允许探测频率、可探测资产及可探测时间等信息。

长亭洞鉴（X-Ray）安全评估系统可完成内网全域风险发现策略覆盖：

借助洞鉴（X-Ray）自身的资产发现能力，结合外界传入的资产，整合、关联和统计分析企业资产碎化信息；深入探测企业已知资产，更多覆盖企业未知资产，结合企业资产完整度、重要性及风险程度，从不同维度对企业资产进行空间测绘和数据分析。

在资产管理上，实现每个资产与实际的负责人关联，从业务视角划分问题区域、进行业务切割处理，最终做到资产有据可寻、有人可查、风险运维工作可量化、风险闭环管理。

通过“工具+人工”的方式进行风险核验，经验证存在确切问题的，转企业内自动化处置工单系统或通过内部通讯工具，要求资产责任人在规定时间内进行处置。在资产责任人完成问题修复后，进行问题二次复测及验证。整个工单流转过程/问题处置过程需要记录在册。资产责任人完成风险修复后，输出相应的修复过程和结果。

经工作小组整理后，结合前期数据输出成漏洞详情、漏洞修复指导、复测验证数据及报告整理，并最终归纳整理形成企业内知识库。长亭鉴微（Insight）风险分析与运营管理平台，可实现“两高一弱”风险运营执行情况的统一展示。