引言
在《安全建设的任务》一文提到了安全建设的一个很重要的任务是资产管理,但是在和很多客户沟通的过程中发现,资产管理很难做。那为什么资产管理难做呢?本文主要分析这块内容,并提出一些参考做法。
资产管理的一些术语:
-
配置管理数据库(CMDB):Configuration Management Database
它是一种包含每一个配置项全部关联细节以及配置项之间重要关联细节的数据库
-
配置项(CI):Configuration Item
配置项信息覆盖了企业网络中的应用、操作系统、补丁、硬件设备、生命周期成本以及用户链接
-
配置项分类:Configuration item category
配置项所属分类:如数据库,主机
一、资产管理的范围广
随着计算机的发展,资产管理的范围一直在发生变化,目前大多数情况下谈的资产管理是泛IT资产,不是传统意义上的我有多少台设备等。泛资产是指对组织有一定价值的软硬件信息。包括传统的服务器、IP地址、系统进程、业务进程等;也包括如APP、公众号、数字凭证、品牌、人员(如员工邮箱地址)、知识产权、组织信誉,社交媒体、微信公众号、微博等;还包括企业的安全策略、运维策略、业务的逻辑漏洞等;同时也包括弱密码、安全补丁、版本升级等;还包括软硬件的采购,维保时间,许可证信息等。
从内容上看,凡是有价值的信息都可以往上靠。可以说资产管理是个筐,啥都可以可以往里装。为什么会有这么多的维度呢?是因为不同的人从不同的视角关注的点是不一样的:
财务视角:关注资产的经济价值、状态、软件许可期、硬件质保期等。
桌面管理视角:关注软件许可、硬件配置、系统运行正常、对外接口、防病毒安装等。
IT运维视角:关注业务连续性、稳定性、扩展性、配置和变更管理等。
安全视角:关注资产风险,资产漏洞、资产进程、资产告警等。
这种情况下,在建设资产管理的时候就无从下手。那这个时候我们应该怎样做呢?
可以参考《安全建设的任务》一文中提到的目标和决策:
-
根据公司对资产管理的诉求,确定合理的目标;
-
确定合理的资产管理范围;
-
确定资产管理的类别和属性;
-
设计资产管理的存储模型。
资产管理建设目标,有的地方也叫消费场景,每个企业都需要梳理出自己真正需要的场景,并且这种梳理应该是基于企业的日常运维工作,以及下一步运维提升的目标来制定,比如:
-
自动化运维操作:新服务和应用的自动化发布,需要知道当前可用的基础资源有哪些;
-
IT环境监控和告警:针对某台服务器性能告警,需要判断此服务器所属业务和集群;
-
资产管理和展示:将企业的IT资产分类展示和查询。
资产管理的几个原则:
-
“精而不多”:如果我们将大量的配置项或属性纳入到CMDB中,那么将存在大量信息需要进行维护,这无疑增加了成本。反之,如果属性过少,维护工作虽然减轻了,但是CMDB的有效性就大大降低了。因此,“精而不多”就是我们的平衡点,这个‘精’主要体现在对企业有实际意义。
-
手动和自动结合:手工维护的资产尽量选择自动化做不了的对象,比如资产的名称、资产负责人、资产的关系;企业的业务属性、部署架构等。其他的比如资产的软硬件信息等可以通过自动化的工具去做。
资产管理常用大分类:
-
分设备、应用、网络、数据和用户&