2.2 问题与需求

2.2.1 问题分析

当前，关键信息基础设施安全防护普遍存在业务资产不清晰、真正风险不可见、系统未按合规要求进行加固、安全能力聚合效果差、安全运营效率低、攻防实战压力大的共性顽疾与共性问题，无法有效应对和满足日益复杂的网络环境及实战化、体系化、常态化的需求。主要问题如下。

（1）资产无统一管理

无全局平台掌握资产全貌，了解哪些资产是对外提供服务，哪些是对内提供服务，同时各业务线的资产占比是什么情况，安全资源如何进行分配和投入等。

（2）资产属性覆盖不全

无有效的技术手段，对资产的安全属性进行识别和补全，各个业务系统上运行了什么程序、具体是什么版本覆盖不全，未形成自动化、周期性的资产识别、更新和检查校验机制。

（3）资产归属责任不清

资产归属责任不清，当资产负责人调动或离职时，未变更资产负责人或交接资产，特别是发生安全事件或安全漏洞时，无法准确定位到资产负责人。

（4）资产风险分布不明

缺乏风险管控手段，漏洞的处置、验证及跟踪机制不完善，容易导致漏洞遗留、疏漏等风险；漏洞对应的资产排查缓慢，传统工具耗时过长，应对效果差；漏洞威胁的影响范围未知，重大高危漏洞无法做到小时级别的漏洞应急响应。

（5）资产之间无关联

各个维度的资产之间都是“孤立的竖井”，无关联性，各个节点和系统之间没有对应关系和依赖关系。例如域名与应用之间、应用与数据库之间未建立关联关系，当发生安全事件时，无法准确判断对业务系统的影响范围。