2.2 問題與需求

2.2.1 問題分析

當前，關鍵信息基礎設施安全防護普遍存在業(yè)務資產(chǎn)不清晰、真正風險不可見、系統(tǒng)未按合規(guī)要求進行加固、安全能力聚合效果差、安全運營效率低、攻防實戰(zhàn)壓力大的共性頑疾與共性問題，無法有效應對和滿足日益復雜的網(wǎng)絡環(huán)境及實戰(zhàn)化、體系化、常態(tài)化的需求。主要問題如下。

（1）資產(chǎn)無統(tǒng)一管理

無全局平臺掌握資產(chǎn)全貌，了解哪些資產(chǎn)是對外提供服務，哪些是對內(nèi)提供服務，同時各業(yè)務線的資產(chǎn)占比是什么情況，安全資源如何進行分配和投入等。

（2）資產(chǎn)屬性覆蓋不全

無有效的技術手段，對資產(chǎn)的安全屬性進行識別和補全，各個業(yè)務系統(tǒng)上運行了什么程序、具體是什么版本覆蓋不全，未形成自動化、周期性的資產(chǎn)識別、更新和檢查校驗機制。

（3）資產(chǎn)歸屬責任不清

資產(chǎn)歸屬責任不清，當資產(chǎn)負責人調動或離職時，未變更資產(chǎn)負責人或交接資產(chǎn)，特別是發(fā)生安全事件或安全漏洞時，無法準確定位到資產(chǎn)負責人。

（4）資產(chǎn)風險分布不明

缺乏風險管控手段，漏洞的處置、驗證及跟蹤機制不完善，容易導致漏洞遺留、疏漏等風險；漏洞對應的資產(chǎn)排查緩慢，傳統(tǒng)工具耗時過長，應對效果差；漏洞威脅的影響范圍未知，重大高危漏洞無法做到小時級別的漏洞應急響應。

（5）資產(chǎn)之間無關聯(lián)

各個維度的資產(chǎn)之間都是“孤立的豎井”，無關聯(lián)性，各個節(jié)點和系統(tǒng)之間沒有對應關系和依賴關系。例如域名與應用之間、應用與數(shù)據(jù)庫之間未建立關聯(lián)關系，當發(fā)生安全事件時，無法準確判斷對業(yè)務系統(tǒng)的影響范圍。