引言背景针对最近的几起事件分析来看，资产管理不健全是影响事件响应和应急处置的一个关键因素。由于目前主机操作系统、网络、应用和安全分别由各部门分别负责，致使服务器所在机房、机架位置、主机的IP地址、安装的操作系统、数据库、应用软件、域名等信息分别掌握在各个部门之内，但缺少一种机制能够直观的，从整体层面展现这些资产的安全状态，具体到某一台服务器时这些信息也无法完整的呈现，无法快速定位故障点。这些信息的变更也无法及时传达给其它部门，发生安全事件后无法快速联系相关责任人去处理安全事件。目的信息安全资产管理是信息安全管理中最基础的工作，通过对信息资产的管理，实现和保持对组织资产的适当保护，使所有资产实现可核查的，且责任人是明确的。通过资产管理平台，实现全面的、系统的掌握信息资产从采购、安装部署、变更管理、维护保养、安全状况、运行状态、以及各资产的维护人员或责任人等信息。从而为深入、细致的开展信息安全管理工作提供有力的支撑。范围本平台仅涉及信息安全资产管理中的部分软硬件资产进行管理，并非全面的资产管理，不涉及资产如：信息资产：数据文件、合同协议、系统文件、用户手册、培训材料、操作规程、业务连续性计划、归档信息等；软件资产：开发工具和实用小工具等；物理资产：可移动存储介质、通讯线缆等；服务：计算和通讯服务、共用设施，例如，供暖、照明、能源、空调；人员：人员资格、技能和经验；无形资产：例如组织的声誉和形象。本平台管理的资产范围仅包括支撑应用系统运行直接相关的计算机硬件和软件资产，以及对这些软硬件资产的运维记录进行管理。计算机硬件：计算机服务器，网络设备；软件资产：操作系统、数据库系统、Web应用服务器、FTP、电子邮件、以及其它对外提供网络服务的软件。术语资产(Asset)：风险评估的对象，宏观上的资产定义为组织内任何需要保护的对象，包括有形资产和无形资产。业务(Business)：由若干系统和人员构成的单位，完成组织重要业务功能。系统(System)：由若干设备构成的系统完成特定的目标功能，一个或者多个系统完成组织的某项业务功能。区域(Region)：通过某种方式划分的资产范围，分为逻辑区域（LogicalRegion，通常以逻辑隔离单位划分）和物理区域（PhysicalRegion，通常以资产所处的物理位置进行划分）。资产价值(AssetValue)：以量化或者非量化形式表示资产对组织的重要性。CIA价值赋值方法(CIAEvaluationMethod)：通过对C(Confidentiality,机密性)、I(Integrity,完整性)、A(Availability,可用性)三个子查的安全属性对资产价值进行描述。参考资料GB/T22080-2008(ISOIEC27001-2005)《信息技术安全技术信息安全管理体系要求》GB/T22081-2008(ISOIEC27002-2005)《信息技术安全技术信息安全管理实用规则》GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》项目概述平台功能资产管理平台，将信息资产评估的内容和资产分类、风险评估的结果导入到安全信息库，并且在将来能够实现对风险信息持续不断的监控和升级能力。安全信息库是基于资产的、以风险为核心的系统，这个系统能够充分体现现有业务系统和信息资产存在的资产价值、风险、漏洞、威胁等重要的安全属性，不断跟踪各个业务系统的风险变化，实现对风险的管理和控制，该系统要求至少实现以下功能：支持对计算机和网络设备、操作系统、应用软件、应用系统等资产的集中管理；支持记录对上述资产进行的安装部署、版本更新、补丁升级、设备巡检、故障处理、设备重用、安全评估等维护工作信息；支持从机房物理位置、主机、应用系统、资产所属部门或责任人等多个角度进行逐层分析和展现资产信息；支持对资产责任人的设置、调岗或离职后的变更管理；支持对细致的权限管理，不同部门、不同人员可浏览和变更资产信息是受控的；支持对资产信息的浏览和变更等操作行为进行安全审计，避免越权访问无法追查；支持提醒设备保修、软件许可协议即将到期；支持提醒补丁升级、设备巡检、安全评估工作；支持分析和统计资产信息不完整，设备长期闲置不用，设备故障未及时修理或处置，补丁升级、设备巡检、安全评估等运行维护工作不及时的情况。支持web界面，客户端的访问支持https。用户特点系统使用人员为组织中各网络设备、主机、数据库、应用系统的管理员，组织内与信息安全相关的人员或领导。分权管理：根据用户的行政级别在系统中有不同的访问权限。分级管理：根据业务、系统和资产的管理员属主特点，设定业务、系统、资产的数据权限。支持系统上线处理流程、设备巡检维护流程、