某中央媒體（以下簡(jiǎn)稱報(bào)社）是中國(guó)第一大報(bào)，擁有近30家下屬單位，其承擔(dān)宣傳黨的理論和路線方針政策，宣傳中央的重大決策部署，宣傳黨的主張、弘揚(yáng)社會(huì)正氣、通達(dá)社情民意、引導(dǎo)社會(huì)熱點(diǎn)、疏導(dǎo)公眾情緒、搞好輿論監(jiān)督，及時(shí)傳播國(guó)內(nèi)外各領(lǐng)域的信息，報(bào)道世界上發(fā)生的重大事件并發(fā)表評(píng)論等重要職責(zé)。

報(bào)社全員深入學(xué)習(xí)并貫徹習(xí)近平總書(shū)記關(guān)于網(wǎng)絡(luò)強(qiáng)國(guó)的重要思想，報(bào)社領(lǐng)導(dǎo)層對(duì)報(bào)社網(wǎng)信工作也提出了更高的要求，網(wǎng)絡(luò)安全成為報(bào)社各級(jí)單位一把手的年度考核指標(biāo)之一。報(bào)社領(lǐng)導(dǎo)要求改變工作思路，從“協(xié)助”轉(zhuǎn)變?yōu)椤氨O(jiān)管”、“指導(dǎo)”、“幫扶”，實(shí)現(xiàn)資產(chǎn)的“自主可控”，為網(wǎng)絡(luò)安全建設(shè)的長(zhǎng)期目標(biāo)負(fù)責(zé)。

全網(wǎng)暴露面安全管理解決方案

整體方案以能力模塊化集成，支持資產(chǎn)測(cè)繪能力、風(fēng)險(xiǎn)探測(cè)能力和風(fēng)險(xiǎn)處置跟蹤能力的擴(kuò)展，滿足當(dāng)前安全階梯式建設(shè)的整體規(guī)劃。系統(tǒng)基于容器和云原生環(huán)境部署，具備良好的開(kāi)放性，可作為日常安全運(yùn)營(yíng)管理作業(yè)平臺(tái)。

基于報(bào)社領(lǐng)導(dǎo)層的工作思路，及前期對(duì)報(bào)社的風(fēng)險(xiǎn)評(píng)估結(jié)果，制定了針對(duì)性的解決方案：

采用本地化部署，統(tǒng)一建設(shè)：對(duì)報(bào)社各級(jí)單位進(jìn)行互聯(lián)網(wǎng)暴露面資產(chǎn)監(jiān)測(cè)和風(fēng)險(xiǎn)識(shí)別，通過(guò)自主掌控、能力自建，實(shí)現(xiàn)數(shù)據(jù)留存本地、全流程電子留痕，真正踐行“自主可控”戰(zhàn)略要求！

資產(chǎn)分組分級(jí)管理：網(wǎng)絡(luò)安全部門(mén)作為一級(jí)管理員統(tǒng)管全報(bào)社資產(chǎn)；各個(gè)二級(jí)單位設(shè)置二級(jí)管理員，分別管理各自單位的資產(chǎn)，并自主填報(bào)自己的資產(chǎn)信息包括：域名、IP、端口、網(wǎng)安防護(hù)措施、業(yè)務(wù)名稱、管理單位、責(zé)任人、聯(lián)系方式、ICP備案、等保、CDN等信息；

日常主動(dòng)自查：二級(jí)管理員自主登錄平臺(tái)，對(duì)本單位登記的互聯(lián)網(wǎng)暴露面資產(chǎn)和風(fēng)險(xiǎn)進(jìn)行日常自查自糾，實(shí)現(xiàn)資產(chǎn)“早發(fā)現(xiàn)、早認(rèn)領(lǐng)”

定期檢查通報(bào)：一級(jí)管理員通過(guò)平臺(tái)，對(duì)全報(bào)社互聯(lián)網(wǎng)暴露面資產(chǎn)和風(fēng)險(xiǎn)進(jìn)行周期性檢查，并將檢查結(jié)果通報(bào)給二級(jí)單位，督促整改，根據(jù)整改情況，總部精準(zhǔn)調(diào)配人財(cái)物資源，提供針對(duì)性幫扶支持，形成“檢查-整改-提升”的閉環(huán)管理流程。

解決方案價(jià)值

統(tǒng)一體系

通過(guò)登記和檢查工作的逐步展開(kāi)，各級(jí)單位對(duì)全社網(wǎng)絡(luò)安全工作達(dá)成了普遍共識(shí)；

全報(bào)社所有單位采用統(tǒng)一的資產(chǎn)登記要求、統(tǒng)一的風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)、統(tǒng)一的脆弱性處置流程，逐步實(shí)現(xiàn)統(tǒng)一的全社互聯(lián)網(wǎng)攻擊面體系

聯(lián)防聯(lián)控

安全不是網(wǎng)絡(luò)安全處一個(gè)部門(mén)的工作。通過(guò)平臺(tái)加流程的方式，調(diào)度各級(jí)部門(mén)的積極性，自主填報(bào)和自查自糾配合定期檢查，大幅提高整體的網(wǎng)絡(luò)安全運(yùn)營(yíng)效率；

壓緊壓實(shí)網(wǎng)絡(luò)安全主體責(zé)任，實(shí)現(xiàn)聯(lián)防聯(lián)控。

降本增效

通過(guò)一個(gè)平臺(tái)，掌握了全報(bào)社互聯(lián)網(wǎng)暴露面資產(chǎn)與風(fēng)險(xiǎn)態(tài)勢(shì)。為報(bào)社網(wǎng)絡(luò)安全建設(shè)中實(shí)現(xiàn)了能力共享，并為下屬單位進(jìn)行針對(duì)性的幫扶，提供支撐；

在閉環(huán)管理流程中產(chǎn)生的信息形成了數(shù)據(jù)沉淀，用于指標(biāo)化分析，同時(shí)實(shí)現(xiàn)電子化留痕。

先于監(jiān)管

“關(guān)口前移”，基于漏洞情報(bào)與PoC漏洞插件庫(kù)，進(jìn)行快速自查，先于監(jiān)管發(fā)現(xiàn)問(wèn)題；

基于統(tǒng)一的平臺(tái)登記與流程，協(xié)同效率，網(wǎng)絡(luò)安全處可以提供幫助和支持，下級(jí)單位沒(méi)有推脫的理由。

決策支撐

通過(guò)指標(biāo)化數(shù)據(jù)和流程過(guò)程的審視，發(fā)現(xiàn)網(wǎng)絡(luò)安全工作現(xiàn)存的薄弱點(diǎn)，為報(bào)社網(wǎng)絡(luò)安全建設(shè)中人財(cái)物的傾斜提供依據(jù)和支撐。

魔方安全作為專注暴露面與外部攻擊面領(lǐng)域的專業(yè)廠商，依托“外部攻擊面精細(xì)化運(yùn)營(yíng)”方法論，憑借超百家政企客戶服務(wù)經(jīng)驗(yàn)，將協(xié)助報(bào)社持續(xù)深化攻擊面管理領(lǐng)域的研究與實(shí)踐，著力構(gòu)建“監(jiān)測(cè)-防御-響應(yīng)”一體化安全體系。持續(xù)提升網(wǎng)絡(luò)安全主動(dòng)防御能力，同步完善監(jiān)測(cè)預(yù)警、應(yīng)急處置機(jī)制建設(shè)，切實(shí)增強(qiáng)網(wǎng)絡(luò)安全事件響應(yīng)處置效能。