03、为什么传统资产管理无法满足安全运营的需求

转载公众号《微言晓意》，仅用于个人学习

在上一篇《不同资产管理系统之间的对比与关系》中，从使用用户、服务职能、资产范围、资产颗粒度与资产属性五个维度，对固定资产管理系统、配置管理数据库（CMDB）系统、网络安全资产管理系统进行了简单的对比。

同时，在文章的末尾也提到了现存的固定资产管理系统、配置管理数据库（CMDB）系统是无法代替网络安全资产管理系统的，这其中的原因并没有展开来详细的说明。

今天从三个维度阐述下为什么固定资产管理系统、配置管理数据库（CMDB）系统无法满足安全运营需求。

▼▼问题一：传统资产管理过程普遍缺乏攻击者视角

提到资产管理，大部分人想到的是以“财务为视角”的固定资产管理，信息科技人员则更多地会认为是以“运维为视角”的CMDB中资产管理。

固定资产管理系统、CMDB系统在满足各自支撑业务领域起到了很好的作用，但对于以“网络安全为出发点”的资产管理需求相差甚远。

之所以这么说是因为，无论是固定资产系统，还是CMDB系统，都没有从攻击者视角来考虑需求。

想象一下，黑客在进行网络攻击前需要收集被攻击对象的互联网暴露域名、IP、端口、应用版本、URL、VPN入口、后台入口等关键信息。

这些信息在固定资产系统、CMDB系统设计时基本上都是没有考虑的。

▼▼问题二：传统资产管理要素数据颗粒度普遍不足

目前大部分单位无论是用系统，还是用表格对资产进行管理，基本上都是以硬件设备、主机操作系统、业务应用系统这个颗粒度进行管理。

对于一般性的财务与运维管理需求是足够了，但是对于网络安全需求来说这个资产管理的颗粒度还远远不够。

在网络安全运营及攻防对抗中，针对新出现的一个应用组件漏洞或安全攻击告警，需要通过资产管理定位受影响的业务、主机、应用，以及哪些在暴露在互联网上，哪些在DMZ域等等。

类似的网络安全场景，在固定资产管理系统或CMDB系统是无法有效支撑的。

▼▼问题三：传统资产关键信息与安全风险关联不够

单维度的资产信息只是基础要素数据，必须与相关的业务关联才能产生价值。

比如资产信息与财务关联才能进行固定资产的成本核算，比如资产信息与运维关联才能进行系统状态、性能、健康度的监控。

同样，资产信息只有与风险要素关联后，才能在网络安全中发挥起应有的价值。

资产信息需要明确其安全保护价值，即保密性、完整性、可用性上的程度，并且需要与其存在的安全漏洞、安全基线配置弱点以及遭受的安全攻击信息相关联，才能综合评估资产整体的安全保护状态及所面临的风险程度。

如果资产信息无法与风险要素进行关联，资产管理做的再好也对网络安全防护的用处不大。