那次安全审计发生在一个普通的周三上午。

安全团队进来，要求 IT 部门在两小时内提供：全公司所有终端设备的清单及当前操作系统版本，所有服务器上运行的软件及版本信息，过去六个月内所有对外暴露端口的变更记录，以及所有拥有管理员权限的账号列表。

IT 负责人听完，心里清楚：两小时内根本做不到。

设备清单是有的，但操作系统版本信息不全；服务器软件清单靠工程师手动维护，上次更新是三个月前；端口变更记录分散在邮件和聊天记录里，没有统一归档；管理员账号列表存在，但有几个已经离职的员工账号不确定是否被完全注销。

审计结果很难看。整改期限是三十天。

这次审计之后，IT 部门意识到一件事：不完整的 IT 资产管理，不只是管理效率的问题，更是信息安全的根本漏洞。你不知道自己有什么，就无法保护它。

---

一、IT 资产管理和信息安全的关系：看不见的，就无法保护

信息安全领域有一句话，被反复引用：你无法保护你不知道存在的东西。

这句话的逻辑很简单，但它揭示的问题在很多企业里普遍存在。

未知设备是安全漏洞的入口。 影子 IT 设备——员工私自接入公司网络的个人笔记本、某个部门自行采购的 IoT 设备、某台不知道谁用的旧服务器——这些设备没有经过 IT 部门的安全配置，可能没有安装端点防护软件，可能运行着有已知漏洞的旧版操作系统。攻击者一旦找到这类设备，它就成了进入企业内网的跳板。

未追踪的软件是合规和安全的双重风险。 工程师在服务器上装了一个调试工具，用完忘了卸载；某个部门自行安装了一个来源不明的共享软件；某台服务器上运行着一个三年前部署的 Web 服务，连当初部署它的工程师都不记得了……这些未被追踪的软件，可能包含已知漏洞，可能是恶意软件的载体，可能违反了软件许可证协议。

账号和权限管理混乱是内部威胁的温床。 离职员工的账号没有及时注销，项目结束后的临时管理员权限没有回收，某个共享账号的密码散落在多个工程师手中……这些账号管理漏洞，是内部数据泄露事件的常见根源，也是外部攻击者通过社会工程学攻击获取初始访问权限的机会。

配置漂移是安全基线失效的根源。 企业定义了一套安全基线：所有服务器必须关闭某些高危端口，必须安装特定版本的安全补丁，必须启用特定的安全配置……但如果没有持续的配置监控，这些基线会随着时间推移悄悄漂移：工程师为了方便临时开了一个端口，没有及时关闭；某台服务器在维护后安全配置被重置，没有人发现；补丁管理不严格，部分设备长期处于未打补丁状态。

---

二、IT 资产管理如何支撑信息安全

IT 资产管理不是信息安全的全部，但它是信息安全的数据基础。没有准确的资产数据，信息安全工作就像是在黑暗中作战。

完整的资产清单是安全防护的起点。 知道自己有哪些设备、这些设备在哪里、由谁负责，是部署安全防护措施的前提。端点防护软件要装在所有设备上，前提是你知道所有设备在哪里。漏洞扫描要覆盖所有系统，前提是你有完整的系统清单。

IT 资产管理系统通过自动化扫描持续发现网络中的所有设备，让 IT 部门对资产现状保持实时可见。任何新设备接入网络，系统立刻发现并告警，让安全团队能及时评估这台新设备是否经过授权，是否符合安全要求。

软件资产数据支撑漏洞管理。 漏洞管理的第一步，是知道自己的系统里有哪些软件、版本是多少。安全团队收到一个 CVE 通告，说某个软件版本有高危漏洞，第一个问题就是：我们有多少台设备安装了受影响的版本？

IT 资产管理系统里的软件清单，可以在几分钟内回答这个问题：受影响设备的数量、分布在哪些业务系统、应该以什么优先级打补丁。没有这个数据，漏洞修复工作就是盲目的，要么覆盖不全，要么花大量时间做人工排查。

账号和权限的生命周期管理降低内部风险。 IT 资产管理系统和 HR 系统集成，员工离职时自动触发账号注销和权限回收流程。每一个步骤都有系统记录：哪个账号在什么时候被注销，哪些权限在什么时候被回收。离职流程完成后，安全团队可以从系统里导出确认报告，证明该员工的所有访问权限已经被完整回收。

这个机制同样适用于内部岗位变动：员工从技术岗转到销售岗，原有的服务器管理员权限应该被回收，新的 CRM 系统权限应该被开通。IT 资产管理系统里的权属记录，是权限变更的审计依据。

配置基线监控发现安全漂移。 IT 资产管理系统定期扫描所有设备的配置状态，和预定义的安全基线对比，识别出偏离基线的配置项。哪台服务器开放了不应该开放的端口，哪台设备没有安装最新的安全补丁，哪台终端的安全软件没有正常运行……这些偏差被系统自动发现，推送给安全团队处理，而不是等到安全事件发生了才被动发现。

---

三、安全合规审计：IT 资产管理的直接应用场景

信息安全合规是越来越多企业必须面对的现实。等保（网络安全等级保护）、ISO 27001、SOC 2、PCI DSS……不同的合规框架对 IT 资产管理有不同但高度重叠的要求，核心都是：你需要知道自己有什么，并证明你在保护它。

等保合规中的资产管理要求。 等保二级以上的要求里，明确包含了对资产管理的要求：需要建立和维护 IT 资产清单，需要对资产进行分类和标记，需要记录资产的变更历史。IT 资产管理系统里的数据，是满足这些要求的直接证明材料。

应对审计的数据准备效率。 安全审计往往来得突然，要求在短时间内提供大量数据。如果这些数据分散在各个系统里，或者根本不存在，审计准备就需要大量的人工工作，而且结果往往不完整、不一致。

有了 IT 资产管理系统，大多数审计需要的数据都可以直接导出：设备清单、软件清单、账号列表、变更记录……审计团队要什么，几分钟内就能提供，而不是需要好几天的人工收集。

持续合规优于点对点合规。 很多企业的合规工作是"应试式"的：审计来了，临时整理数据，通过了就好。但这种方式的问题在于：审计之间的空档期，企业的安全状态不受控，风险在积累，只有下次审计时才会被发现。

IT 资产管理系统支撑的是持续合规：配置基线持续被监控，资产数据持续保持准确，账号权限持续被管理。审计来了，不需要临时整理，因为数据一直都在。这种持续合规的能力，是真正的安全保障，而不是通过审计的表演。

---

四、实施安全导向的 IT 资产管理：从哪里开始

对于想从信息安全角度加强 IT 资产管理的团队，从哪里开始最有价值？

第一步：做一次完整的资产发现扫描。 用 IT 资产扫描工具对内网做一次全面扫描，把当前网络里存在的所有设备都找出来，和现有台账对比，找出那些"台账上没有但实际存在"的设备。这些设备就是影子 IT，是需要立即评估和处理的安全风险。

第二步：建立软件清单和漏洞关联机制。 扫描完设备之后，进一步采集每台设备上安装的软件和版本信息。把这个清单和公开的漏洞数据库（CVE）建立关联，定期识别哪些设备运行着有已知漏洞的软件版本，建立优先级明确的补丁管理流程。

第三步：梳理账号权限，建立生命周期管理。 导出所有系统的账号列表，逐一核对账号的有效性：这个账号的拥有者是否还在公司，是否还在需要这个权限的岗位上。清理掉所有不活跃的账号和过期的权限，然后建立账号权限和员工生命周期联动的自动化机制，防止以后再次积累。

第四步：定义安全基线，建立配置合规监控。 和安全团队一起，为不同类型的 IT 资产定义安全基线：服务器应该关闭哪些端口，终端设备应该安装哪些安全软件，操作系统应该保持什么版本级别……把这些基线录入 IT 资产管理系统，开启持续合规监控，让任何偏离基线的配置变化都能被及时发现。

---

IT 资产管理和信息安全是一枚硬币的两面。资产管理做好了，信息安全工作才有可靠的数据基础；信息安全的要求，反过来也推动了资产管理的完善。两者不是独立的工作，而是相互支撑的整体。

ManageEngine ServiceDesk Plus 内置完整的 IT 资产管理模块，支持自动化资产扫描、软件清单采集、配置变更追踪、账号权限生命周期管理，与工单系统和 CMDB 原生集成，帮助安全团队和 IT 运维团队共享统一的资产数据视图。对于想从信息安全角度系统化 IT 资产管理的团队，可以申请试用评估。