搞不清楚资产如何做好企业安全？

目录隐藏

写在前面

你家如果没钱，没有有价值的东西，或者干脆就还没装修入住，你会考虑在家里先装高级保险柜、防盗门吗？

我想应该是不会的，尽管理论上可能随时会有坏人随意进出。

这个道理和逻辑显而易见，大家都能理解。

但是我们有没有想过，当我们发现企业的某个域名、或者代码仓库存在漏洞缺陷的时候。

我们有没有第一时间去讨论和分析，这个漏洞缺陷所影响的这个域名，对于企业来说到底有没有价值？有多大价值？我们需要投入多大成本去解决它？

而谈到价值，我们自然会想到这与那个漏洞缺陷所影响的资产有直接关系。

DeepSeek告诉我：资产是指由过去的交易或事项形成的、由企业或个人拥有或控制的、预期能够带来未来经济利益的资源。

所以我们是不是可以得出一个结论，当我们谈论漏洞、缺陷、威胁、安全事件、入侵等等，这些跟企业安全相关的一切时，我们首先要搞清楚我们所需要保护的资产是什么？

如果没有资产，或者资产的价值很小的时候，这个漏洞、缺陷本身再严重，其实价值也很小，甚至没有什么价值。

所以，我们也看到几乎所有的src在收漏洞的时候，都会明确自己的业务等级，同样是一个SQL注入漏洞，它所影响的业务等级越高奖励系数越高。

显而易见，当我们在讨论如何开展企业安全工作的时候，我们似乎应该首先搞清楚，我们到底有多少需要被安全保护的资产，这些资产的价值如何？

因为企业安全所投入的资源是有限的，我们必须先搞清楚有哪些资产，然后按资产价值从高到低来排查它们的风险，然后结合风险严重程度，以及资产的价值来判断我们企业安全投入资源的分布情况。

所以，我想如果搞不清楚企业的资产，是不是不太可能做好企业安全？

可能很多人都会说，道理都懂，但是搞清楚一个数万人甚至数十万人的大型企业到底有多少资产，实在是一件非常复杂的事情。

但是我想再复杂的事情，只要我们有一套清晰的逻辑打法和实现路径，剩下的就交给时间和耐心。

过去一年多，我至少不下100次和企业安全负责人，以及企业安全专家，去交流如何做好企业安全。

大多数人都非常认同我们需要先把企业的资产梳理清楚，然后识别这些资产所存在的风险，再去明确治理的规划。

但是每当聊到这里的时候，大家都会感叹，我们几千人、几万人的公司，想要梳理清楚资产，太难了！

我也一直在想，企业的信息化资产的梳理和管理到底难在哪？

我想了想可能主要在几个方面：

1、共识问题：是不是所有的企业管理者，都认为我们做好企业安全的前提，是必须要把资产管理好，这决定了企业安全是否有资源和耐心先去做好资产管理，哪怕是局部的资产管理；
2、资产本身的复杂性：企业的数字化、信息化相关资产本身是快速动态变化的，且行业内并没有关于信息化资产的统一标准；
3、技术成熟度受限：当前行业内并没有形成关于在企业安全场景下的资产管理的技术最佳实践，这就导致实际上要做好资产管理的落地，有很大的难度。

当我们把事情和问题捋清楚之后，我想解法的思路和逻辑也就相对清晰了。

首先，我们不得不承认这件事情确实非常非常的复杂。

通常我们解决一个复杂问题的时候，我们首先想到的是，我们能不能先聚焦在其中一个很小的、有代表性的场景下。

比如我们先找公司的一个核心业务线，先把它的资产和风险梳理清楚，然后再基于局部成功的最佳实践去复制？

这样做的好处是，我们可以先通过局部的成功去验证我们的治理思路和方案的有效性，同时也可以申请到更多的资源去做复制。

这个时候，问题就会聚焦于，我们如何先解决一个相对小的核心业务线的资产管理的问题。

此时，我们再想想前面所说的问题都出在哪？怎么解？

1、关于共识的问题：我想如果只是投入一点资源，然后尝试用一套科学的方法去解决公司核心业务的安全风险问题，应该还是很容易说服老板的；
2、资产本身的复杂性：这个问题的解法依赖于我们需要梳理一些关于资产分类的标准和方法。最好这个标准是有行业共识的，且可以持续迭代。基于这套标准，我们可以分阶段去覆盖不同类型的资产，但是好在我们有一套标准在这里，我们只需要照着标准去逐步覆盖就好了；
3、关于技术成熟度的问题：思路对了，关于工具的实现，一样可以分阶段来实施和落地。当然，这里面确实有很多实现的细节需要去设计，但到这一步就不是多大的问题了。其实我过去一年多，一直在做这么一个关于资产和风险管理的产品，目前也已经在一些大型企业落地了。