随着《网络安全法》的实施，网络安全已经上升为国家战略，成为国家安全的重要组成部分。保障网络安全是国家赋予企业的重大责任。在网信办发布的《关键信息基础设施安全保护条例》中，对资产安全治理提出了更高要求。

资产是企业进行生产经营所需的重要经济物资，其安全的重要性毋庸置疑。面对资产高度数字化的今天以及网络环境中日益增多的威胁和隐患，维护好企业资产的安全面临着重大挑战。

01 面临的问题

经过在各行各业的项目实践，鹏信科技对一般资产管理过程中遇到的问题进行了总结，主要分为以下几点：

1、资产暴露问题

资产暴露问题主要包括企业内部有多少资产、属于什么业务、哪些资产直接暴露在互联网上、这些资产是否合规等。这些问题在企业中或多或少都会存在，主要是企业内部资产范围管理不全的问题。

2、责任不清问题

责任不清问题主要表现为资产归属不清、整改责任不清。例如，资产属于A，但运维责任在B，如果资产出现问题，最后归责于谁。这些都会导致企业内部资产管理不规范、不安全等问题。

3、资产风险问题

资产风险问题主要包括不了解上线系统使用的组件和框架，缺乏快速定位问题资产的能力。例如struts2的漏洞，如果资产的指纹信息清晰，可以通过对比资产信息，快速且准确地识别出受影响的资产。另一个问题是设备之间的关系不明确，缺乏设备与设备、设备与业务之间的关系数据。例如，当一台设备发生故障时，该故障影响了哪些业务，业务的影响范围无法界定，进而导致故障处理时间较长，增加了资产风险。

4、发现整改问题

在资产风险发现整改的过程中，由于缺乏持续的监测手段，加上资产每日都在新增，老问题一直存在，新问题不断产生，资产的风险问题没有明确的解决方案，导致企业资产风险增加。

通过分析，鹏信科技知道资产是一切安全活动（安全检查、应急响应等）的基础，如何做好资产管理及其风险管理，是我们需要解决的主要问题。

02 解决思路

安全资产数据的完整性、准确性直接影响风险整改和应急效率。因此，需要以自动化的方式收集和维护资产信息，并对基础数据进行清洗、转换、协调和监控，为安全检测、风险分析和应急处置各流程提供各种业务场景支撑，如威胁检测、应急处置、弱点扫描、设备发现、安全告警等。

1、资产数据管理

资产数据管理，可分为3种方式：①自动采集，通过远程、登录、流量等方式发现资产，采集设备指纹信息；②需要根据企业现有安全建设情况进行对接。例如，已有的不完善的资产系统，可以考虑数据的补充对接；③资产电子化录入，这是一种比较被动的形式，如资产变动量大，人工运维成本高。因此，在上述方式中，从自动化管理角度来看，数据输入以人工录入为基础，后续通过自动采集进行资产滚动更新。

2、异常资产处理

异常资产的定义可以通过企业内部规则进行设置。例如，一台资产开放的端口/服务数量超过阈值（如超过100个）、开放多个远程运维类的端口/服务、由于后门、木马、病毒等恶意程序导致端口进程发生异常变化等，可通过定期开展核查任务，将已有的指纹信息与规则进行比对，输出异常资产，并委托具体责任方进行整改。在资产归属定位过程中，还可以参考资产拓扑，了解其风险所在位置，便于企业运维人员根据专业知识判断其是否存在其他受影响资产，便于进行全面的风险控制。将整改工作责任分配给个人，确保整体整改工作有序开展。

3、资产风险管控

资产的风险管控是基于资产的漏洞管理，对资产与漏洞进行关联性分析，进而精准定位漏洞。漏洞风险通常分为两类，一类是常规漏洞扫描。目前市场上有很多扫描器，通过扫描器获得的结果可以与资产的归属信息进行匹配，可以快速输出风险资产反馈给响应业务进行处置。另一类来源于威胁情报，例如一些0day漏洞，可以通过POC进行验证和扫描，与资产指纹库对比，输出可能受影响的资产，交由各业务部门自行排查处置。最终，通过复核检测流程对风险进行闭环管理。

03 总结

企业网络资产安全管理是网络安全领域的基础，要想保护好“看不见的资产”，就要持续发现和跟踪企业内外部网络安全资产，利用各类采集技术采集资产状态和指纹信息，持续跟踪资产变化，以“检测、验证、处置、整改”为主线，对企业漏洞治理现状和问题进行持续监控。通过采集引擎、异常分析、嵌入式流程化管控、风险闭环管控等环节，有效提升关键基础设施漏洞治理效率，降低网络安全风险，保障企业网络资产安全。