资产可视化管理的重难点.docxVIP

资产可视化治理的重难点 资产治理的范围广 随着计算机的开展，资产治理的范围一直在发生变化，目前大多数情况下谈的资产治理是泛IT资产，不是传统意义上的我有多少台设备等。泛资产是指对组织有肯定价值的软硬件信息。包含传统的效劳器、IP地址、系统进程、业务进程等；也包含如APP、、数字凭证、品牌、人员〔如员工邮箱地址〕、知识产权、组织信誉，社交媒体、、微博等；还包含企业的安全策略、运维策略、业务的逻辑漏洞等；同时也包含弱密码、安全补丁、版本升级等；还包含软硬件的采购，维保时间，许可证信息等。 从内容上看，但凡有价值的信息都可以往上靠。可以说资产治理是个筐，啥都可以可以往里装。为什么会有这么多的维度呢？是因为不同的人从不同的视角关注的点是不一样的： 财务视角：关注资产的经济价值、状态、软件许可期、硬件质保期等。 桌面治理视角：关注软件许可、硬件配置、系统运行正常、对外接口、防病毒安装等。 IT运维视角：关注业务连续性、稳定性、扩展性、配置和变更治理等。 安全视角：关注资产风险，资产漏洞、资产进程、资产告警等。 这种情况下，在建设资产治理的时候就无从下手。那这个时候我们应该怎样做呢？ 可以参考 （安全建设的任务）一文中提到的目标和决策： 依据公司对资产治理的诉求，确定合理的目标； 确定合理的资产治理范围； 确定资产治理的类别和属性； 设计资产治理的存储模型。 资产治理建设目标，有的地方也叫消费场景，每个企业都需要梳理整理己真正需要的场景，并且这种梳理应该是基于企业的一般运维工作，以及下一步运维提升的目标来制定，比方： 自动化运维操作：新效劳和应用的自动化公布，需要了解当前可用的根底资源有哪些； IT环境监控和告警：针对某台效劳器性能告警，需要推断此效劳器所属业务和集群； 资产治理和展示：将企业的IT资产分类展示和查询。 资产治理的几个原则： “精而不多〞：如果我们将大量的配置项或属性纳入到CMDB中，那么将存在大量信息需要进行维护，这无疑增加了本钱。反之，如果属性过少，维护工作虽然减轻了，但是CMDB的有效性就大大降低了。因此，“精而不多〞就是我们的平衡点，这个‘精’主要表达在对企业有实际意义。 手动和自动结合：手工维护的资产尽量选择自动化做不了的对象，比方资产的名称、资产负责人、资产的关系；企业的业务属性、部署架构等。其他的比方资产的软硬件信息等可以通过自动化的工具去做。 资产治理常用大分类： 分设备、应用、网络、数据和用户； 分有形资产和无形资产； 分内网资产和公网资产等。 CIS Control 对于资产治理有更具体的表述可以参考，它主要集中在硬件资产和软件资产的表述。 对于硬件资产有8个方面的要求： 要有主动发觉资产的工具； 有被动发觉资产的工具； 通过DHCP进行更新资产信息； 维护资产的目录信息； 维护资产的信息数据； 治理未授权资产； 使用访问操纵，比方802.1X的标准接入； 使用证书机制来验证硬件。 对于软件资产相关的内容有10项要求： 保证授权软件； 保证软件有厂商进行维护； 使用软件资产治理工具； 跟踪软件资产信息； 关联软件和硬件资产； 发觉未授权软件； 使用应用白名单； 使用加载库白名单； 使用白名单脚本； 隔离高危险应用。 关于授权软件这个事情，其实已经出了很多安全事件案例，比方putty留后门事件，很多盗版软件被植入了木马，引发安全事故，但是盗版软件的使用仍旧很常见，很多组织也没做到很有效的治理起来。比方Windows XP和Windows 7等，就算爆出0Day，微软一般也不会支持了。 2 资产的关系复杂 资产治理中的每个资产都不是孤立的，它需要和其它资产产生千丝万缕的关系。随着云技术和微效劳的开展，更加加剧了这种关系的复杂性，所以如何梳理这些关系就是一个非常重要的难点。 资产中的关系主要分为构成、连接、需要： 构成：从逻辑层面或物理层面，一个或多个CI构成另一个CI，称为构成，相当于指向父节点，构成是关系的第—法则，构成是单向关系。 连接：连接是一种物理上的硬连接，表示一个CI与另一个CI物理上的连接，连接是关系的第二法则，连接是双向关系。 需要：当一个CI的运行，依赖于另一个CI正常运行时，称为需要，需要是关系的第三法则，需要是单向关系。 只有当资产关系梳理清楚后，才能了解一个故障或者一个问题对业务有什么影响，比方：一个效劳器如果停机了，有交换机硬件故障需要更换等，需要快速查出影响了哪些业务系统，并通知相应的负责人。 资产的关系主要有以下几类： 机房-机柜-设备的关系； 交换机-设备关系； 设备-业务关系； 集群-应用关系； 设备-存储关系； 业务-子系统-模块关系； 业务从请求到最终数据库中间的访问关系等等。 关系的维护分为手动维护和自动维护： 像机房-机柜-设备、业务-应用等的这些维护只能通过手