业务方|大型车企隐秘接口连续被泄露我们该如何盘点公司资产( 二 )_

第四阶段，标签资产盘点，在资产数据支撑业务需求后，沉淀有针对性的数据标签，最大化价值。
蓝图选择这种阶梯型的发展计划，原因之一是每个阶段互相支持，但每个阶段的成果都是相对独立可交付使用的。优势是，随着每个阶段的建设完成，可以快速交付每个阶段的成果，让业务快速使用，比如在“基础资产”盘点阶段，主机与应用都可以快速交付给业务进行资产盘点。完成基础资产盘点后，建立主机与应用、域名、负责人的关联关系，可以快速进行安全应急响应、溯源定位。而整个资产大盘可以让业务方清晰地看到现在的资产全貌，甚至通过大盘看到现在安全水位、资产管理水位以及对应的风险。
血缘资产盘点则是整个系统价值的放大器。如果说前面两个节点都是后勤支援，那第三个阶段之后，蓝图就同前线安全团队，站到了一个战壕里，可以直接输出数字化“弹药”。一旦发现攻击行为，根据被攻击的IP地址，安全人员可以快速定位可能受到该服务器影响的一级、二级影响范围，并根据一、二级影响机器对应的应用等级，快速评估攻击风险。
挑战与风险蓝图的内部发展虽然可谓是一帆风顺，占据了“天时、地利、人和”，但是在实际发展中仍然面临了巨大的挑战。
挑战一：“能用”
没有人事先能知道业务都需要哪些资产数据。
业务方需要盘点资产时，大多数情况下所需要的资产数据多且杂，不仅包括了已经明确的资产范围，甚至还要有供应链关系、特殊的中间件、小众的代码框架等。没有数据就意味着，无法对业务方进行有效的支撑。蓝图除了需要有一个标准化的资产数据输出流程（数据自助申请、接口或视图输出资产数据），来满足大多数业务的需求之外，还需要一个定制需求的入口，对于业务方自己都没有明确的资产数据需求的情况，需要跟业务方做详细的沟通，与业务一起理解所需的资产数据。
最后，蓝图再寻找并引入或者生产出业务方所需要的资产数据，在这个过程中，一方面满足了业务的需求，一方面也补全了蓝图自身的资产数据缺口。

文章插图
挑战二：“敢用”
没有准召的数据就没有价值。
其实，很多公司都做过资产盘点，但大多都没有“做起来”。究其根源，是资产数据没有“准召”（准确和召回），或者上游资产没有准召，导致下游业务无法稳定使用。
蓝图提供的解法是，投入适当的资源到准召建设中去。依托自身资产数据检查经验，沉淀出具备蓝图特色的可配置化的自动化准召检查系统，利用该系统，完成如下的检查与准召：
? 质量基础监控，主要包括完整性、准确性、一致性、及时性的规则配置沉淀及监控告警处置，其中规则分为通用性规则及自定义规则。
? 多源头交叉验证，实现多个来源与资产数据&链路数据的对比校验、准召值计算、异常数据监控告警处置，支持自定义SQL以满足运营多样化的交叉验证需求。
? benchmark样本库，支持资产&链路的样本沉淀及使用，支持基于样本库的交叉验证、扫描验证。
? 人工验证流程。在无法进行自动化验证的事物上，投入外包资源，抽取一定数量的样本，进行人工准召验证。

文章插图
挑战三：“好用”
资产数据的价值不是罗列而是加工。
即便有了全面的资产数据，且每一份资产数据都能有准召，如果只是简单的罗列，那这种盘点结果也没有太高的价值。资产盘点的价值一定是在关联、加工的结果中体现的。