提到资产管理,传统意义上想到的是以“财务为视角”的固定资产管理,包括有形的硬件资产(如服务器、交换机、机架)以及无形资产(如操作系统、平台软件等)的管理。 同时,从运维的角度,资产管理还包括了对于资产的位置、配置、IP地址等的运维角度的资产信息管理。因此,也就有了资产管理系统、运维管理系统等各种内部管理系统,这些系统对于一般性的财务与运维管理需求是足够了, 但是对于网络安全需求来说这个资产管理的颗粒度就远远不够。
从网络安全的角度来讲,目前大部分单位都无法准确地列出需要保护的资产数量,互联网暴露面也很难梳理清楚,出现安全事件后无法第一时间定位到责任人,这些可以说是当前大部分组织的资产安全管理现状。暴露面管理混乱、颗粒度粗放、运营机制缺失等资产管理问题,已经严重制约了网络安全水平提升,成为阻碍当前网络安全建设与运营的一道鸿沟。
互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置,这些日常安全运营与攻防对抗中的关键活动,都需要完善的资产信息的支撑。黑客在进行网络攻击前需要收集被攻击对象的互联网暴露域名、IP、端口、应用版本、URL、VPN入口、后台入口等关键信息。这些信息在目前的资产管理系统、运维管理系统设计时基本上考虑的较少。
因此有必要建立一套可行可靠的网络安全资产管理体系,将资产信息与风险要素关联,并且在部署完成后,必须围绕着系统建立良好的管理制度与运营机制,在解决资产管理历史遗留问题的基础上,将资产管理规范起来。由于历史遗留原因,刚部署系统时会发现大量以前没有关注并且管理起来的资产,无法确定资产所属业务及责任部门,此时必须采取管理手段去逐步确认这些信息,以解决这部分存量问题。同时,为了避免今后还会出现类似的问题,应考虑将资产管理与业务流程进行融合,这样才能保证系统上线下线、部门及人员职责变动等情况发生时,能够在资产管理系统中同步这些关键信息。发现与识别能力是资产安全管理的基础,标识能力则决定了资产安全管理能够发挥的最大效用。
良好的资产安全管理能够有效支撑互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置等这些日常安全运营与攻防对抗中的关键活动。可以说网络安全资产管理是高质量安全管理与运营的基础。