图表 1 外部资产探测思路

       通过信息化资产梳理构建安全管理能力尝试，构建安全管理能力的入口，是安全合规的起点和安全工作的连接面。是和传统安全管理工作，安全技术工作的差异较大的一种尝试。是面向安全运营执行标准化，管理标准化，控制标准化，质量标准化方向的一种可践行的方向。

(一)、 资产梳理为安全管理奠基

       资产梳理能够全面掌握组织的资产状况，就如同在战场上了解自己的兵力和装备一样重要。

       通过对信息化资产的梳理，可以明确组织拥有哪些硬件资产，如服务器、计算机、网络设备等物理设备；软件资产，包括操作系统、数据库、中间件、应用程序等软件系统；数据资产，如个人数据、组织数据、知识产权、网络数据、重要数据、核心数据等信息数据资源；以及组织的过程资产，即员工的知识、技能和经验等。

       这些基础数据为后续的安全管理提供了有力的支撑，使安全策略的制定更加精准和有效。

(二)、 资产梳理建立安全管理边界

       安全管理需要明确边界和对象，而资产梳理正是实现这一目标的关键步骤。

       通过对资产进行标定，可以清晰地确定哪些资产属于关键资产，需要重点保护；哪些资产属于一般资产，可以采取相对较低级别的保护措施。可以通过梳理和识别，明确组织内资产的管理关系、岗位职责，对接到《网络安全法》、《数据安全法》中要求的岗位要求，落实“数据安全风险评估”等风险评估要求的岗位分工等。

       通过确认资产组成，管理职责，管理层级等，可以清晰定义出纳入管理范围的数据资产，基于数据生命周期，管理职责，辅助组织明确数据分类、分级的管理办法和定级标准。为后续的安全工作开展提供数据和安全防护依据。

(三)、 信息化资产管理是安全合规工作开始的入口

       在行业中，常规的安全工作室往往基于态势感知、日志等产品进行态势分析或被动安全防护。这种方式需要依赖流量、日志、操作行为分析来识别、跟踪和处置安全事件。

       然而，这种方法缺少必要的抓手，管理能力相对较弱，并且缺少安全组织内部执行的标准。相比之下，信息化资产梳理为安全合规工作提供了一个明确的入口。通过对资产的梳理，可以建立起一套完整的资产清单，明确每一项资产的安全级别和保护要求。

        同时，资产梳理也可以为安全管理提供具体的目标和对象，使安全工作更加有针对性和实效性。如，在进行安全审计、安全风险评估（网络、数据、自查等）时，可以根据资产清单对每一项资产进行逐一检查，确保其符合安全合规要求。

        在应对安全事件时，也可以根据资产的重要程度和安全级别，制定相应的应急响应策略，最大限度地减少安全事件对组织造成的损失。

(一)、 先进的梳理方法探索

       从运维出发进行资产梳理是一种有效的思路。在实际操作中，我们发现完全依赖自动化进行资产信息采集存在一定局限性，因为不同的资产类型和场景需要不同的识别方式。手动和自动识别相结合的模式能够取长补短，提高资产梳理的准确性和效率。

       部分场景中，对于一些关键资产，可以通过手动梳理确保信息的完整性和准确性；而对于数量庞大、相对标准的资产，则可以利用自动化工具进行快速识别和分类。同时，构建一个适配《数据安全法》要求的资产元数据管理系统至关重要。这个系统可以对资产的元数据进行有效管理，为资产的安全合规提供基础支撑。

       为了实现对资产变更的及时跟踪，我们需要构建一套自动化识别资产更新的工具平台。这个平台可以实时监测资产的状态变化，如硬件设备的添加、软件的升级、配置的变更、运行环境的变化等，确保资产清单始终保持最新状态。

图表 2 资产持续梳理和汇总分析思路

(二)、 多领域的实践案例

       在企业、生产行业领域，资产梳理相对较为简单，主要是因为资产结构相对清晰，管理体系相对完善（对于不完整的也可以基于安全项目逐步完善，或引入ISO27001框架）。

       企业组织可以通过建立完善的资产管理系统，实现对资产的全流程管理。比如一些大型组织采用研发项目管理系统和通用项目管理软件，对资产进行全流程追踪和管理，提高了资产的使用效率和价值。

       然而，在教育行业，资产分散且难以采集全面。教育行业的资产包括学校的各类教学设备、网络设备、软件系统等，分布在不同的教学楼、实验室和办公室。由于垂直性不强、安全管理薄弱，单位众多、行业分散，数据资产不清，专职安全人员少或无专职安全人员等问题，给资产梳理带来了很大困难。在这种情况下，需要采取更加灵活的资产梳理方法，如加强与各部门的沟通协作，进行全面的资产排查和登记。注重积累，降低对教学工作的影响。主动识别、被动汇总、持续完善是教育行业普遍采取的策略。

       在政府部门，由于无法部署 agent组件，也无法对政务云发起大规模的资产探测。所以资产梳理主要依赖手动识别和汇总。政府部门的资产包括各类服务器、存储设备、网络设备、安全设备等，涉及到多个部门和单位，且包含敏感资产、核心部门等。

       为了确保资产梳理的准确性和完整性，政府部门需要加强组织领导，制定详细的资产梳理方案，明确各部门的职责和任务，通过手动识别和汇总的方式，对资产进行全面梳理。特别是构建资产台账、资产数据的过程，需要考虑资产的存储风险。

(三)、 信息化资产梳理的维度

       传统的运维思路的信息化资产梳理维度较为基础，无法覆盖所有安全工作。为了构建全面的资产数据标准化，可以考虑包含以下维度：

      资产基础（基础资产字段）：包括资产的名称、类型、品牌、规格、数量等基本信息，为资产的识别和管理提供基础数据。

       扩展字段（资产管理字段，类似管理、人员、供应链、开发、上架信息）：这些字段可以帮助我们更好地了解资产的管理情况，如资产的负责人、使用部门、采购渠道、开发进度、上架时间等，为资产的全生命周期管理提供支持。

       资产合规字段（等保、密评）：根据国家相关法律法规和标准要求，对资产进行等级保护和密码评估，确保资产的安全合规。这些字段包括资产的安全等级、密码强度、合规状态等，为资产的安全管理提供依据。

       资产安全工作（年度安全工作、安全工作数据）：记录资产的年度安全工作计划、安全检查结果、安全事件处理情况等安全工作数据，为资产的安全管理提供参考。

       网络安全（网络安全防护能力）：评估资产的网络安全防护能力，包括网络设备的安全配置、网络访问控制、网络监测等方面，为资产的网络安全管理提供支持。

        数据安全（数据安全防护能力）：评估资产的数据安全防护能力，包括数据加密、数据备份、数据访问控制等方面，为资产的数据安全管理提供支持。

        风险情况（漏洞、事件、威胁情报、威胁识别结果）：及时掌握资产的风险情况，包括漏洞信息、安全事件、威胁情报、威胁识别结果等，为资产的安全管理提供预警和应对措施。

        这些维度的确立是构建信息化资产元数据字段的依据，也是连接安全能力，安全工作的基础。也看作是组织数字化能力的一个部分，即构建标准化的信息化资产数据能力。

图表 3 信息化资产台账&数据标准

图表 4 信息化资产标签

(一)、 构建组织信息化资产数据标准

       安全能力的建立离不开标准的信息化资产标准。资产元数据标准如同构建大厦的基石，为资产的准确描述和分类提供了规范。通过数据标准化能力，基于元数据、主数据标准，对组织资产画像初始数据的处理方式、汇总计算，对组织的信息化资产进行细致的分类和标注，形成结构化标签，明确每一类资产的特征和属性。

       主数据标准则确保关键资产信息的一致性和准确性，如同组织的 “核心密码”，为安全管理提供可靠的依据。确保资产数据录入的一致性和调用标准性。

(二)、 信息化数据标准，连接组织安全能力

       基于信息化资产的梳理工作，逐步形成的信息化资产数据标准是连接安全能力的关键纽带。

       日志分析需要依据标准的资产数据，才能准确地识别异常行为和潜在风险。如每年的国家网络攻防演练中，蓝方可以通过对信息化网络架构、资产组成进行梳理和分析，评估当前网络安全能力现状，构建有效的防护措施和防护手段。日志分析就是构建防护能力、风险识别重要的一环。

        态势感知也依赖于标准的信息化资产数据，可以为组织构建及时掌握资产的状态变化和安全态势能力。安全工作自动化更是离不开统一的资产数据标准，确保各项安全任务的准确执行。运营中心、告警中心、威胁情报匹配同样需要标准且唯一的信息化资产数据标准，才能高效地协同工作，为组织提供全方位的安全保障。

(三)、 信息化资产标准构建组织安全执行标准

       信息化资产数据标准是组织持续完善和安全管理进化的坚实基础。通过打通安全工作的各个环节，呈现出安全工作的巨大价值。

       在企业组织的安全标准化、业务标准化的管理中，依据资产数据标准，可以对不同类型的资产制定针对性的安全策略，实现安全管理的精细化。如企业组织可以基于内部的数据资产安全管理体系框架，按照制度与管理标准，做好关系人分析及管理权限、安全控制策略与生命周期管理等方面进行对接，明确安全工作执行标准，确保数据资产的安全。

       同时，信息化资产标准还可以促进安全管理流程的优化和改进，提高安全管理的效率和效果。可以为组织内部安全工作执行框架，外部服务商安全服务或项目实施提供管理、工作、服务标准以及在持续完善过程中，构建评价标准。

(四)、 信息化资产数据标准，构建组织基于信息资产画像能力

       信息资产画像是基于资产数据标准，打通安全工作数据的重要成果。它构建了针对每个信息系统资产安全工作执行结果和安全决策辅助决策的坚实底座。

       信息化资产数据标准是构建资产画像重要数据支撑。信息资产画像能够全面展示资产的安全状况、风险分布和安全工作执行情况，为安全决策提供有力的支持。比如行业客户中，通过信息资产画像可以清晰地展示各类资产的安全状态，通过数据分析、算法、安全工作对接，打通日志、态势感知，及时发现展示潜在风险，制定针对性的安全措施，提供工作指引和工作执行标准。

        同时，信息资产画像还可以为安全工作的持续改进提供依据，不断提升组织的安全管理能力。为组织后续的安全工作决策必要的执行依据和合规工作判定标准。

图表 5 信息资产画像呈现预览（组织视角）

(一)、 面向合规的安全面的全面资产安全管理

       在当前的安全工作环境中，许多组织的安全工作往往处于被动执行的状态。一旦发生安全事件，才匆忙采取应对措施，难以形成主动的安全防护和执行能力。然而，随着国家法律法规对安全工作的要求日益严格，这些要求大多都是基于信息化资产开展的。因此，构建面向信息资产的安全工作以及进行全面资产梳理，成为了未来安全工作的重要转变趋势。

       国家对信息资产的安全管理提出了明确的要求，从数据安全到网络安全，从硬件设备管理到软件系统防护，涵盖了各个方面。例如，《网络安全法》明确规定了组织在信息资产安全保护方面的责任和义务，要求组织对其拥有的信息资产进行分类、评估和保护，确保信息资产的安全性和保密性。同时，等保 2.0 等标准也对信息资产的安全管理提出了具体的要求，包括安全等级划分、安全控制措施等。

        面向合规的全面资产安全管理，需要组织从多个方面入手。首先，要建立健全信息资产管理体系，明确信息资产的分类、评估、保护等流程和标准。其次，要加强对信息资产的日常管理和监控，及时发现和处理安全漏洞和隐患。此外，还要定期进行信息资产审查和评估，确保信息资产的安全合规性。

(二)、 面向自动化安全能力的下的安全管理和工作执行

       当前行业的安全工作执行虽然已经具备了一定的安全自动化能力，依赖 RPA、SOAR 等技术，甚至引入了 AI 大模型。然而，由于不同的组织都缺少内部的信息化资产数据信息或较为全面的安全工作数据，很难形成面向组织的、且适配完善的自动安全执行能力。

       许多组织在进行安全管理时，由于资产信息不完整或不准确，导致自动化工具无法发挥最大的作用。在网络安全运营中，暴露面管理混乱、颗粒度粗放、运营机制缺失等资产管理问题，严重制约了网络安全水平的提升。如果组织能够构建信息化资产数据标准场景，就可以为自动化安全能力提供坚实的基础。

        随着AI技术的越来越普及，企业、组织如果要引入自有的AI模型，AI小模型能力等，也都需要一个标准化的资产数据标准或企业元数据池和主数据库，纳入业务元数据、组织元数据、资产元数据、执行过程数据等维度，打造组织的数据标准，为AI能力提供微调和提示词工程完善依据。也是构建安全AI模型的必要条件。

图表 6 AI能力和资产数据标准关系

       未来，随着组织不断完善信息化资产数据标准，将会出现更多、更适配的自动化能力。如通过人工智能技术，可以实现对信息资产的自动分类、评估和保护，提高安全管理的效率和准确性。

        同时，自动化安全工具可以根据信息化资产数据标准，实时监测资产的状态变化，及时发现和处理安全风险。此外，还可以通过大数据分析技术，对安全事件进行预测和预警，提前采取防范措施，降低安全事件的发生概率。威胁情报、威胁资讯也可以自动化实现匹配，实现自动识别和告警。

       本文着重阐述了通过持续且深入的信息化资产梳理工作，为组织及外部服务单位构建一套统一的信息化资产数据标准的重要性。

        这一标准的建立旨在打通组织内部各项安全工作的壁垒，依托数据能力与标准能力，探索并构建企业组织的安全管理与安全运营的新标准体系。然而，在实践过程中，我们不可避免地会遇到诸多挑战，其难度与复杂性远非本文所能尽述。

        相较于传统的安全事件应对能力，基于信息化资产管理的安全运营服务模式展现出了新的潜力。通过不断深化信息化资产的管理工作，这一模式有望成为乙方团队为甲方提供安全服务的重要切入点。同时，构建资产数据标准也是对接未来AI技术及其他自动化能力的关键基石。

        上述观点是豌豆信息安全团队在日常安全工作中总结得出的，具有一定的独特性。希望各位乙方安全同仁能够以此文，发散思维，各抒己见，共同推动安全服务行业的发展与进步。