在2019年開年爆紅的古裝劇《知否知否，應是綠肥紅瘦》裏，有一幕劇情令人捧腹：在春宵一刻值千金的大婚當夜，顧廷燁和盛明蘭(lan) 居然各自拿出自己繼承的家產(chan) 和嫁妝，一張一張開始數地契，核實夫妻名下究竟有多少產(chan) 業(ye) 和財富。仔細想想，這處劇情頗有深意，因為(wei) 隻有明確地知道手裏有多少資產(chan) 多少張底牌，才能“知己知彼”從(cong) “宅鬥”中勝出。而到了現實中，對於(yu) 網絡資產(chan) 梳理和治理，終於(yu) 也得到了足夠的重視，成為(wei) 網絡空間治理的基石。在2019年RSAC大會(hui) 上，摘得今年RSAC2019創新沙盒大賽的冠軍(jun) Axonius，正是一家做網絡安全資產(chan) 管理平台的公司。

　　當網絡資產(chan) 治理成為(wei) 2019年全球安全圈“新寵”時，其實中國在網絡資產(chan) 管理領域已經有“先行者”了。日前，盛邦安全CEO權小文對於(yu) 網絡資產(chan) 治理的興(xing) 起並不意外，在他看來，這意味著網絡安全界終於(yu) 開始務實起來，開始注重基礎工作了。

【盛邦安全CEO權小文】

　　資產(chan) 不清 安全就是空中樓閣

　　盛邦安全對資產(chan) 治理的關(guan) 注還要追溯到2014年。當時通過對數百起攻擊事件的持續跟蹤和分析，盛邦安全發現，很多機構之所以出現安全隱患，原因就在於(yu) 對自身的資產(chan) 狀況不清晰。

　　他舉(ju) 了一個(ge) 例子，某家機構部署了很多安全產(chan) 品和解決(jue) 方案，不僅(jin) 高度符合安全合規性要求，而且等保驗收都順利通過。然而令人費解的是，這家機構的網站頻頻遭受安全攻擊，網站動輒無法打開。經過深入分析和查證後，盛邦安全的專(zhuan) 家團隊發現，這家機構的網站防護級別很高，的確沒有漏洞，但是機構下屬有十幾家二級單位，很多子係統根本不在備案登記之內(nei) ，也被排除在二級等保範圍外，因此安全性得不到保障，也給上屬機構的安全帶來了極大隱患。

　　正所謂“舉(ju) 一反三,推一及百”，盛邦安全很快發現“資產(chan) 管理存在疏漏”的現象其實在很多行業(ye) 都普遍存在著，盛邦安全敏銳地捕捉到對於(yu) 網絡資產(chan) 梳理和管理的價(jia) 值，此後便從(cong) 資產(chan) 梳理開始，在資產(chan) 治理領域進行了長期的探索與(yu) 創新。

　　“如果資產(chan) 不清，基礎不牢固，那麽(me) 安全就是空中樓閣。先摸清家底，做好資產(chan) 梳理，再做安全才是真正有效的做法。”權小文所表達的觀點其實與(yu) Axonius的理念不謀而合，Axonius的口號正是“You Can't Secure What You Can't See”。

　　工程化思維+技術實力=精準高效的資產(chan) 安全治理解決(jue) 方案

　　目前，業(ye) 界對於(yu) 網絡空間的資產(chan) 識別和管理大致上可以歸納為(wei) 三種手段：其一是安裝代理(Agent)，本次獲獎的Axonius采用的就是這種模式，它的優(you) 點在於(yu) 獲取的信息多，能實時感受變化，缺點是Agent部署有限，場景有限;其二是流量分析，即通過流量分析獲取網絡資產(chan) 情況。這種模式的優(you) 點是對係統無感，能支持更大規模的部署，而缺點在於(yu) 流量采集點限製了資產(chan) 識別的準確性和完整性;其三是主動探測，即發指定探測包，通過回包確認指紋識別資產(chan) 屬性，這是當前普遍采用的辦法，比如shodan等。

　　盛邦安全所采取的手段是第二種與(yu) 第三種結合，即主動探測和被動流量分析相結合的方式。2015年，盛邦安全發布了Web資產(chan) 治理平台係統(RayGate)，並在之後的幾年內(nei) ，不斷升級、精心打磨該款產(chan) 品。2017年，盛邦安全開發了大規模網絡資產(chan) 探測係統(RaySpace)，專(zhuan) 注方向開始從(cong) Web安全延伸到數據資產(chan) 治理的領域。目前，盛邦安全具備了主動與(yu) 被動資產(chan) 探測能力以及一整套資產(chan) 安全治理解決(jue) 方案。

　　在長期與(yu) 客戶的溝通和切磋中，盛邦安全也琢磨出一套方法論——基於(yu) “安全有道，治理先行”的數據資產(chan) 安全治理核心理念，打造“資產(chan) 摸底-備案管理-立體(ti) 化防禦(等級保護)-自動化安全運營-應急處置”的“五步法”資產(chan) 安全治理解決(jue) 方案，覆蓋客戶數據資產(chan) 全生命周期。

　　“方法論聽起來容易，事實上落地還會(hui) 遇到各種各樣的難題和挑戰。”在權小文看來，最難的就是用工程化的思維來打磨解決(jue) 方案。客戶的需求非常簡單，找到所有未知的有疏漏的網絡資產(chan) ，這個(ge) 東(dong) 西說易行難，難就難在當網絡資產(chan) 的數量上規模之後，如何利用大數據技術、AI識別技術快速精準地從(cong) 網絡空間35億(yi) IP地址中挖掘出有關(guan) 聯的隱藏資產(chan) 。“要想速度快，就必須用工程化的產(chan) 品，提供工程化的能力。要想準，就需要考驗大數據分析能力，和AI智能分析能力。技術實力和工程化思維，二者缺一不可。”

　　對“一窩蜂追熱點”樂(le) 見其成?

　　令人顧慮的是，既然資產(chan) 梳理和管理成為(wei) 2019年大熱門，那麽(me) 安全業(ye) 界會(hui) 不會(hui) 跟風而上，進入“產(chan) 品同質化，競爭(zheng) 低價(jia) 化”的怪圈呢?對此權小文的態度非常坦然，或者說他更樂(le) 見其成。

　　他表示，如果真的出現眾(zhong) 人一窩蜂上馬資產(chan) 治理的現象，那麽(me) 說明網絡安全業(ye) 界開始真正從(cong) 做實事出發了，這其實算一件好事。對於(yu) 競爭(zheng) 他並不擔心，因為(wei) 資產(chan) 治理的範圍非常大，可以孵化出很多不同方向、不同類型的安全解決(jue) 方法，比如和業(ye) 務關(guan) 聯的資產(chan) 治理、和大數據分析有關(guan) 的資產(chan) 治理等等。市場之大完全可容納足夠差異化的競爭(zheng) 和發展。

　　當然，更重要的是，盛邦安全已經率先進入這個(ge) 領域。通過這些年的實踐，也摸索出很多工程化產(chan) 品經驗和自主研發經驗，包括從(cong) 頭開始寫(xie) 引擎，如何做深度檢測和快速普查，確保結果的準確性和高效性，這顯然也不是通過開源軟件做一個(ge) 樣本和模型就可以追趕上的。

　　目前，盛邦安全數據資產(chan) 安全治理運營平台已經在國內(nei) 多個(ge) 行業(ye) 落地開花。權小文告訴記者，全國985/211高校中有100多家在使用盛邦安全這套解決(jue) 方案，清華大學、浙江大學、複旦大學為(wei) 代表的超過1/3的雙一流高校客戶對盛邦安全非常認可。在國家互聯網應急中心、國家電網、中共中央黨(dang) 校、北京市教委等行業(ye) 客戶係統中也能看到盛邦安全的身影。相信，未來行業(ye) 客戶對網絡資產(chan) “知根知底”的需求將越來越旺盛，一場追求“可知、可控、可管”的安全務實運動正在浩蕩展開。