2.2 問題與需求

2.2.1 問題分析

當前，關鍵信息基礎設施安全防護普遍存在業務資產不清晰、真正風險不可見、系統未按合規要求進行加固、安全能力聚合效果差、安全運營效率低、攻防實戰壓力大的共性頑疾與共性問題，無法有效應對和滿足日益復雜的網絡環境及實戰化、體系化、常態化的需求。主要問題如下。

（1）資產無統一管理

無全局平臺掌握資產全貌，了解哪些資產是對外提供服務，哪些是對內提供服務，同時各業務線的資產占比是什么情況，安全資源如何進行分配和投入等。

（2）資產屬性覆蓋不全

無有效的技術手段，對資產的安全屬性進行識別和補全，各個業務系統上運行了什么程序、具體是什么版本覆蓋不全，未形成自動化、周期性的資產識別、更新和檢查校驗機制。

（3）資產歸屬責任不清

資產歸屬責任不清，當資產負責人調動或離職時，未變更資產負責人或交接資產，特別是發生安全事件或安全漏洞時，無法準確定位到資產負責人。

（4）資產風險分布不明

缺乏風險管控手段，漏洞的處置、驗證及跟蹤機制不完善，容易導致漏洞遺留、疏漏等風險；漏洞對應的資產排查緩慢，傳統工具耗時過長，應對效果差；漏洞威脅的影響范圍未知，重大高危漏洞無法做到小時級別的漏洞應急響應。

（5）資產之間無關聯

各個維度的資產之間都是“孤立的豎井”，無關聯性，各個節點和系統之間沒有對應關系和依賴關系。例如域名與應用之間、應用與數據庫之間未建立關聯關系，當發生安全事件時，無法準確判斷對業務系統的影響范圍。