提到资产管理，传统意义上想到的是以“财务为视角”的固定资产管理，包括有形的硬件资产（如服务器、交换机、机架）以及无形资产（如操作系统、平台软件等）的管理。 同时，从运维的角度，资产管理还包括了对于资产的位置、配置、IP地址等的运维角度的资产信息管理。因此，也就有了资产管理系统、运维管理系统等各种内部管理系统，这些系统对于一般性的财务与运维管理需求是足够了， 但是对于网络安全需求来说这个资产管理的颗粒度就远远不够。

   从网络安全的角度来讲，目前大部分单位都无法准确地列出需要保护的资产数量，互联网暴露面也很难梳理清楚，出现安全事件后无法第一时间定位到责任人，这些可以说是当前大部分组织的资产安全管理现状。暴露面管理混乱、颗粒度粗放、运营机制缺失等资产管理问题，已经严重制约了网络安全水平提升，成为阻碍当前网络安全建设与运营的一道鸿沟。

   互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置，这些日常安全运营与攻防对抗中的关键活动，都需要完善的资产信息的支撑。黑客在进行网络攻击前需要收集被攻击对象的互联网暴露域名、IP、端口、应用版本、URL、VPN入口、后台入口等关键信息。这些信息在目前的资产管理系统、运维管理系统设计时基本上考虑的较少。

   因此有必要建立一套可行可靠的网络安全资产管理体系，将资产信息与风险要素关联，并且在部署完成后，必须围绕着系统建立良好的管理制度与运营机制，在解决资产管理历史遗留问题的基础上，将资产管理规范起来。由于历史遗留原因，刚部署系统时会发现大量以前没有关注并且管理起来的资产，无法确定资产所属业务及责任部门，此时必须采取管理手段去逐步确认这些信息，以解决这部分存量问题。同时，为了避免今后还会出现类似的问题，应考虑将资产管理与业务流程进行融合，这样才能保证系统上线下线、部门及人员职责变动等情况发生时，能够在资产管理系统中同步这些关键信息。发现与识别能力是资产安全管理的基础，标识能力则决定了资产安全管理能够发挥的最大效用。

  良好的资产安全管理能够有效支撑互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置等这些日常安全运营与攻防对抗中的关键活动。可以说网络安全资产管理是高质量安全管理与运营的基础。