信息化技術正在深度改變經濟與社會面貌，網絡空間安全的重要性與日俱增，《網絡安全法》、等保2.0等政策法律也要求推動網絡空間安全治理，并將網絡安全檢查常態化。對于企事業單位來說，要滿足網絡安全檢查要求、提升網絡安全治理能力，一項重要的基礎性工作就是詳細、完整的識別組織內部的信息資產，并制定覆蓋所有網絡設備的網絡安全策略，只有這樣才能盡可能封堵組織內部的安全漏洞，保護數據資產的安全性。

信息資產識別是網絡空間治理的基石

信息資產識別是網絡安全策略重要的基礎性工作，習總書記在“4.19講話”上就指出“維護網絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發生風險”，他還明確的指出應該以“摸清家底，認清風險，找出漏洞，通報結果，督促整改”的流程來進行網絡安全檢查。其中，“摸清家底”就是指通過各種技術手段實現網絡空間設備的描述和識別，這也是網絡空間安全治理的基石。

盛邦安全CEO權小文指出：“信息資產識別之所以如此重要，是因為安全治理的前提是發現哪些設備獲知環節存在安全風險，這樣才能有針對性地進行防護。而信息化的發展讓組織內部的信息資產環境錯綜復雜，大量的信息資產處于隱蔽的角落，在無孔不入且日趨精進的網絡攻擊面前，這些未經發現、整理的信息資產都有可能成為網絡攻擊的入口或是跳板，進而入侵到組織的核心資產。”

盛邦安全針對五大類、近五十個教育機構，通過被動流量學習進行的 Web 資產梳理顯示，即使在資產管理方面做得最好的211/985院校，其實現的已知資產管理也僅僅占所有資產的55%, 也就是說仍然有45%資產是未知的;這些未知的資產包括高端口資產、業務系統、網絡設備/網絡安全設備、中間件與疑似業務系統。這些信息資產可能潛藏著大量的安全風險，隨時可能會讓組織在網絡安全方面“觸雷”。

信息資產識別為何棘手?

網絡安全的重要性已經得到了大多數組織的充分重視，先進的安全管理和技術手段更是比比皆是，但是為什么組織內部還有如此多的未知資產，以至于在持續、高強度的資產調查活動中成為漏網之魚?盛邦安全通過對于信息資產識別現狀的研究，認為業務量增多、新技術的使用、信息資產需求的突發性、管理員交接是最重要的幾個原因。

由于業務需求，組織內部往往運行著大量的業務系統，其對于信息資產都有著不同的需求，再加上云計算、虛擬化等創新技術的應用，會導致原有的記事本等模式的資產管理方式不能跟進系統變化。另外，信息資產需求往往具有突發性，組織可能因為某個活動而建立一個應用系統，而當活動結束這個系統又沒有及時退出運行時，就可能導致這部分資產被長期遺忘。最后，在人員管理層面，當管理員進行更替的時候，交接不徹底或者多次交接，都可能導致系統變為僵尸系統。

組織需要怎樣的網絡空間資產治理能力

針對組織用戶對于網絡空間資產識別的需求，盛邦安全認為，信息資產描述需要描述動態資產和靜態資產，并針對每個資產采用元數據標注描述，為進行大數據統一分析奠定基礎。而要實現資產的元數據標注描述，就需要對資產屬性進行深入洞察，并根據資產類別、資產應用場景、資產附屬屬性等指標進行分析和驗證，從而達到對網絡空間進行管理和管控目的。

【基于信息資產全生命周期的“五步法”安全治理體系】

資產發現只是網絡安全體系建設的開始，以資產發現為起點，結合等保體系、態勢感知體系，盛邦安全提出了“安全有道、治理先行、源于摸底、防患未然”的安全理念，構建了完整、豐富、高效的網絡空間資產治理體系，提出了資產摸底——備案審核——立體化防御——自動化運營——應急響應的網絡空間資產治理“五步法”解決方案。

通過持續而體系嚴密的網絡空間資產治理，不僅可以讓組織滿足網絡安全法、等保的要求，還能讓組織提升對于內部網絡安全的洞察力，并及時處理可能存在的安全風險。