做安全，忌没有资产管理谈应急响应，宜打好基本功，从安全运营走向安全运赢

图/南鱼

文/观星

今日处暑，做安全，忌没有资产管理谈应急响应，宜打好基本功，从安全运营走向安全运赢。

资产作为一项基础性的运营工作，一般由企业IT运维团队负责。落实到具体的人员角色上，一般由系统工程师统计并记录服务器、存储、操作系统等软硬件基础设施资产信息，由网络工程师记录网络交换设备、公网IP地址等软硬件基础设施资产信息，应用工程师和数据库工程师在业务逻辑层面记录系统的节点配置、关联配置等业务资产信息，安全运营工程师记录安全防护软硬件设备资产及其配置项资产信息。

安全运营不能从资产的原始价格角度管理，而是应从资产安全价值的角度进行分析，赋予每个资产在安全维度的价值属性。资产价值源于业务价值，同样的资产在不同的业务环境中体现的价值也不同。安全运营团队应从业务角度关注组织资产，除了关注资产自身的安全价值外，还应根据资产间的依赖关系认知资产的附加安全价值和整体安全价值。业务依托于安全，安全为业务保驾护航。从业务角度和业务高度上看资产，更容易看清应该关注的安全资产范围和属性。

安全资产管理如此重要，但现阶段在各个组织的安全运营工作中，安全资产管理的实际落地效果往往不尽如人意。造成这种局面的因素有以下几点：

1. 组织对安全资产的范围认识不全面，安全资产边界不清晰；

2. 安全资产管理方式为原始的人力手工管理，缺乏有效的自动管理工具；

3. 缺乏对安全资产变更的持续性监控能力，无法及时发现违规变更；

4. 管理流程僵化，缺乏有效性，易被绕过；

5. 对于部分资产的属性，现有的技术发现手段准确率不足；

6. 业务增长连带安全资产增长，以现有的模式，其管理成本和技术成本呈几何级数增长。

基于各种原因，各组织的资产信息往往都存在着各种不足，包括资产未记录、记录错误、更新不及时等因素导致的资产信息错误与措施。不完备的资产信息是安全运营管理过程中存在的重大风险点，而安全运营团队作为组织安全管理的责任团队，应该积极主动的承担好安全资产的管理职责，为做好安全运营工作打下坚实的基础。

不同的组织基于其实际情况，在人力配置和财力配置上有自身的客观条件，安全运营人员应结合实际条件选择合适的安全资产管理工具和方式。条件允许的可以使用开源CMDB或更加成熟的第三方管理产品，条件不允许的，也应该使用人工数理+Execl记录的传统方式尽力做好组织内的安全资产管理工作。

与其不作为导致安全运营工作效果不利，导致组织重视程度下降、资源缩水、工作效果不利的恶性循环。不如充分利用现有资源和团队成员的主管能动性，通过优秀的工作态度和工作效果，获得组织的关注和投入。作为职业人士，安全运营从业者理应恪尽职守、尽力而为。

24节气观星帖

24节气观星帖是数字观星推出的节气小贴士，每月两期。每一期，我们会发布一张节气图，同时附带一些网络安全行业的小知识、小热点。

北京数字观星科技有限公司

数字时代的智能安全运营服务商，基于威胁情报数据，围绕客户资产提供安全运营服务：

- 资产发现与管理；

- 威胁监测与分析；

- 智能化应急响应；

- 漏洞全生命周期管理。