如何通过IT资产管理减少IT安全风险

    企业信息技术资产管理的概念听上去可能一点都不吸引人，但信息安全从业人员会惊讶于这两个领域交织的方式。信息安全专业人员可以利用IT资产管理最佳实践来降低企业内的IT风险，而这正是本篇文章将要讨论的内容。

 

 

    什么是ITAM?

 

 

    信息技术资产管理是业务流程集，其目的在于管理技术资产的生命周期和库存。它可以通过适当的预定义资产管理来减少IT成本、降低IT风险以及提高生产力，从而为企业提供价值。IT资产管理（ITAM）作为正式的业务流程系列已经存在了十年，不过，与典型的业务流程相比，它还不太成熟。

 

 

    IT资产管理和企业信息安全交织的领域可能并不是很明显。信息安全是涉及高技能IT工程师、架构师和战略师的复杂活动，其任务包括抵御垃圾邮件和网络钓鱼攻击，以及抵御通过计算机攻击活动给金融市场制造混乱的跨国恐怖主义活动，还有这两者之间的各种攻击活动。

 

 

    而IT资产管理有很多目标，包括最大限度地提高企业在信息技术的投资。为了满足这个目标，一种常见方法是了解企业的IT需求，然后建立标准来满足这些需求。这将带来资产类型的合理化（定义可接受IT资产的具体准则），以及资产类型的减少。例如，通过应用合理化，企业可以看到软件应用数量的显着减少，这种做法涉及定义哪些类型的应用程序满足预定义准则（支持企业的IT目标），并试图消除不满足这些准则的应用。随着应用的不断精选，这能够为IT安全团队提高安全性，因为他们需要硬化、修复、监控和审计的应用更少了。

 

 

    ITAM的另一个优势是了解企业内谁需要哪些IT资源来帮助其完成本职工作。采用这种做法的企业能够了解谁可以访问敏感数据，并且，用户权限可以基于需求进行更逻辑化的限制，在某些情况下，甚至可以作为特权管理系统的基础或者逻辑检查。

 

 

    正如你所看到的，事实证明，这两个领域其实在很多方面都有交织。

 

 

[page]    ITAM的过去和目前的趋势

 

 

    在21世纪初期，IT资产管理和信息安全之间几乎没有任何关联。ITAM侧重于通过硬件管理和软件授权合规来赢得企业的支持。其主要重点是在任何时候知道物理硬件的位置，控制其在企业的进出，以及利用价格杠杆实现批量购买机会；从软件的角度来看，其重点是巩固授权谈判，建立关于授权合规的普遍意识，以及确保供应商审计让成本符合预期。ITAM最初让人们觉得，IT资产管理人员只是清点“东西”.

 

 

    目前的趋势表明，ITAM在多个方面与数据安全流程和关注领域有着重叠，特别是在报废处理以及处理过程中的数据安全。此外，重叠领域还包括移动库存控制和风险管理的责任，这侧重于网络接入点的管理以及设备在企业控制之外的安全性。

 

 

    这是这两个领域之间真正的重叠区域，这个重叠区域将更多的ITAM工具带到信息安全领域，本来这些工具可能不会存在，或者对于没有强大ITAM方案的企业，需要专门购买或从零开始开发。ITAM资产管理控制和报废处理过程现在已经非常成熟，现在资产都有条形码标签或RFID标签，还有成熟的库存跟踪系统，以及明确到个人的资产分配。这些功能加上信息安全身份管理和强大的访问跟踪及访问管理控制为这两个领域提供了广泛的功能，这些功能提供的强大控制能够解决安全风险，让企业更方便地知道在特定时间谁在对特定IT资产做了什么。

 

 

    此外，丢失或被盗的资产更容易识别和跟踪，网络通信更好地关联到个人设备和接入点，并且，企业可以基于最新ITAM数据存储库确定软件为已授权或未授权。虽然这里仍然存在一些真正的风险，但IT资产管理程序提供了很好的额外工具来解决数据安全问题。

 

 

    应用的正确部署和使用让企业可以更有效地监控这些资产。然而，在通信和教育方面，很多企业还没有实现的最大回报。成功的ITAM程序在很大程度上依赖于企业内所有人的合作，而这种合作只有在一种情况下才能实现，即在正确使用IT方面，员工了解其相应职责。虽然IT对于企业非常有用，IT总是会带来严重风险；但完善的IT资产管理方案可以帮助减轻这种风险。

 

 

    对ITAM未来的预测

 

 

    ITAM和IT安全有着相似的目标。正因为如此，一些ITAM方案归IT安全部门管理，或者这两者都属于更广泛的IT运营部门。在某些情况下，ITAM和安全的组合是为ITAM方案获得资金的唯一途径。然而，在接下来的两到五年，ITAM程序和功能，以及信息安全的需求将会以新的有意义的方式交织和重叠。我们将会看到，在一些较大型企业，这两组控制被融合到具有广泛职责的单个部门。这里的主要驱动力是新兴的全球定位（GPS）开始整合到各种信息技术设备中。在资产追踪、用户识别和网络访问控制方面，都会开始出现新的功能。

 

 

    现在，网络访问主要通过企业身份验证系统来控制，并涉及各种其他技术，例如网络访问控制（NAC）。有些高端系统还能够限制到特定预先核准的IP地址的访问。然而，携带自己设备到工作场所（BYOD）趋势正推动着受IP控制的访问走得更远。随着我们加入GPS,自然的用法是添加GPS到身份验证协议，只允许来自特定地理区域的访问。随着这个功能的出现，ITAM将可以从资产追踪的角度进行整合，资产到GPS到唯一标识符的三角追踪将取代目前笨重的非集成资产标签。数据安全将构建在这种功能之上，构建在地理位置地图中，最终第二代功能将绑定位置识别到网络访问，甚至到应用使用情况。

 

 

    随着ITAM和IT安全控制共同发展，你的位置与你是谁的问题将同样重要。

 

 

    未来IT路线图

 

 

    如果你花一些时间思考ITAM的用途、新型GPS式功能以及企业对数据安全的需求，你就能看出事情发展的趋势，特别是在现在这个超高风险意识和不断变化的世界，信息安全威胁源自所有可能的领域：国家支持的网络间谍/恐怖主义、无政府主义者和无时不在的经济动机的攻击。信息安全团队需要记住的是，IT资产管理是可以带来优势的趋势。企业研究这两个领域交织的方式，并开始寻找办法来在未来几年结合这两者相应的IT战略和路线图。