5.1　背景及定义

5.1.1　背景

新技术在为企业创新和成长提供平台的同时，也为其带来了新的风险，风险之一就是网络安全。例如，2017年5月的佩蒂亚勒索软件攻击影响了全球20多万个系统。一个月后，佩蒂亚勒索软件攻击迅速展开，这次攻击的“震中”在乌克兰，且造成了广泛的破坏。

在全球范围内，目前估计网络犯罪每年造成的经济损失达4000亿美元，这意味着网络风险是企业在进行弹性和连续性规划时必须考虑的首要问题之一。使网络风险如此难以应对的原因之一是数字空间的快速变化。由于新的网络威胁不断出现，企业必须不断监测事态发展，并确保其安全系统是最新的，以便以更有效的方式保护自己免受网络攻击。

网络安全是关于IT资产的。当公司遭到黑客攻击时，网络攻击者的切入点主要是网络、硬件和软件，这些都是公司的IT资产。企业是由桌面设备、服务器、移动设备、网络组成的，可能在不同的地理位置由不同的人操作。企业需要考虑，是否对整个IT资产管理环境有一个端到端的视图；企业的业务流程是否已经到位，可以帮助管理员控制这些设备上的内容，并且允许为不同类别的用户提供相应级别的权限。

由于资产管理在组织内部通常面临资金不足且管理不足的问题，而且责任由不同的部门分担，这样设计不当的资产管理项目是造成资产管理在面对网络攻击时展现出脆弱性的重要原因。

5.1.2　定义

在公司财务中，资产管理是确保公司的有形资产和无形资产得到维护、核算和管理的过程。其中资产信息与人力、物力、财力和场地等资源相结合，通过有效的管理可以实现高效的资产管理和企业运营。一些厂商从厂商功能的角度关注纯粹的管理，如网管系统IT资产管理模块；一些网络安全公司推出的资产管理产品增加了信息安全的内容，如资产变动报告等，可以防止信息随附和资产泄露，如防御者资产管理系统在防御者信息安全系列中产生的E-Tone，以及管理IT资产的物理位置，如所在房间、机房、机柜等。

根据国际资产管理协会的说法，资产管理是一组业务实践，它整合了组织内各业务部门的资产。它与财务、库存、合同和风险管理责任一起管理这些资产的整个生命周期，包括战术和战略决策。资产包括在业务环境中找到的软件和硬件的所有元素。

信息技术资产管理即是利用元数据和电子记录有效地跟踪和分类本组织的资产。元数据是对有形或数字资产及为资产管理决策提供信息所需的任何辅助信息的描述。元数据深度可以根据组织的需要而发生变化。

5.1.3　重要性

随着技术的发展，互联网在线业务变得越来越复杂，越来越多的设备、系统和服务迁移到云上，形成一个开放或半开放的平台。与此同时，越来越多的安全问题也逐渐暴露出来。全球范围内目前普遍存在的漏洞呈现爆炸性增长趋势，在安全形势日益严峻的情况下，对公共组件的攻击达到了前所未有的规模，互联网资产管理和安全保护问题更加紧迫。

网络空间作为继陆、海、空、天之后的“第五疆域”，已成为世界各国竞争的战略重点。中国已经成为互联网大国，智慧城市、数字中国、“互联网+”等技术浪潮正在改变人们传统的生产和生活方式。网络安全也成为关系国家安全、国家发展和广大人民群众工作生活的重大战略问题。