IT 資產(chǎn)管理

基礎(chǔ)要點

目的：最大化價值，控制成本，管理風險，支持資產(chǎn)購買、重用、退役等處置決策，以及滿足合規(guī)。

范圍包括：軟件、硬件、網(wǎng)絡(luò)、云服務(wù)、客戶端設(shè)備以及建筑物或信息之類的非IT資產(chǎn)。

通過準確的庫存信息和良好的接口，提高資產(chǎn)的可視性，優(yōu)化資源的使用。

標記硬件資產(chǎn)，及時擦除或粉碎磁盤驅(qū)動器，保留購買證明，按需新建或刪除云實例，按需引入變更資產(chǎn)狀態(tài)的相關(guān)流程。

組建IT 資產(chǎn)管理團隊，以及配置管理系統(tǒng)（CMS）。

解讀

如今，隨著各個企業(yè)對內(nèi)和對外信息化建設(shè)腳步日益加快，它們越來越依賴，并得益于IT 資產(chǎn)的合理化管理。從概念上說，IT 資產(chǎn)的管理，與后面將要討論到的服務(wù)配置管理還是有著細微的差別：

1.IT 資產(chǎn)管理

更偏向于以某個資產(chǎn)為原點，表征它在企業(yè)當前環(huán)境中的靜態(tài)特征。

2.服務(wù)配置管理

偏向于建立系統(tǒng)或服務(wù)的整體基線，持續(xù)跟蹤內(nèi)/外部不同服務(wù)之間的動態(tài)關(guān)系與狀態(tài)。

在企業(yè)中，無論是看得見的硬件與介質(zhì)，還是看不見的軟件與文檔，我們都需要對它們的生命周期予以記錄、跟蹤和梳理。通過管理，我們要確保掌握資產(chǎn)的如下特性：

（1）完整權(quán)威

對于實體設(shè)備而言，其生命周期通常是：

采購、入庫、申領(lǐng)、出庫、安裝、配置、上線、維護、盤點、升級/變更、下線、入庫以及報廢。

而對于虛擬服務(wù)而言，其生命周期通常為：

購置、配置、上線、維護、統(tǒng)計、升級/變更以及下線等過程。

因此，對于每一個環(huán)節(jié)而言，我們都應(yīng)當盡量完整地采集，并如實記錄目標資產(chǎn)的相關(guān)信息，這些都能夠為管控過程提供權(quán)威性的參考資料。

（2）實時準確

其實許多企業(yè)并不是缺乏原始的IT 資產(chǎn)記錄，而是由于他們?nèi)酝Ａ粼趥鹘y(tǒng)的電子表格管理方式。因此在日常運維中，資產(chǎn)管理人員鮮少，甚至并不對各種現(xiàn)有的記錄項予以更新，而真正到了需要的時候，才發(fā)現(xiàn)這些信息不但陳舊滯后、且不具參考性，這就失去了管理的真正意義。

（3）可視重用

通過對各類資產(chǎn)的購置時間、購買價格、折舊年限、折舊方法、使用狀態(tài)、以及邏輯方位的記錄與盤點，我們能夠“可視化”地掌握IT 資源的配給狀況，進而達到并實現(xiàn)如下管理目標：

按需調(diào)配，優(yōu)化資源，提高IT 生產(chǎn)率和服務(wù)水平；

節(jié)約并降低成本開支，實現(xiàn)ROI；

滿足合規(guī)，降低風險，提高使用的透明度；

為變更管理提供基線，為事故響應(yīng)提供依據(jù)；

實現(xiàn)資產(chǎn)的復(fù)用，讓好鋼用在刀刃上；

為采購和決策提供有效且最新的參考標準。

實務(wù)

在實際的運維過程中，筆者單位采用了RFID 以及二維碼技術(shù)，運用“自動發(fā)現(xiàn)+人工輸入+二次審核”的循環(huán)流程，對現(xiàn)有IT 資產(chǎn)進行持續(xù)標記與采集。

同時，在結(jié)合了各類資產(chǎn)管理工具所提供的制表、建庫等功能的基礎(chǔ)上，我們實踐了動靜結(jié)合的管理方式。其中包括如下要點：

在前期分類上，我們參照ISO27001 里提到的安全分類方法，將本企業(yè)現(xiàn)有IT 資產(chǎn)分為如表1 所示類別。

值得一提的是：為了讓分類表之間具有相互聯(lián)系和參考性，無論是硬件設(shè)備還是軟件服務(wù)，我們重點標注了當前的具體組件配置參數(shù)、兼容性以及所關(guān)聯(lián)的合同狀態(tài)與支持信息。

表1 筆者單位IT 資產(chǎn)類別

表2 資產(chǎn)編號規(guī)則

在屬性量化上，我們對資產(chǎn)項采取了通用且統(tǒng)一的命名編號規(guī)則，如表2 所示。

為了方便日常運營中的風險與變更管理，我們從機密性、完整性和可用性缺失，可能給企業(yè)帶來影響的角度出發(fā)，根據(jù)信息安全的經(jīng)典理論，對每一項IT 資產(chǎn)都分配了C、I、A 三個維度的數(shù)值，然后基于如下的公式，通過計算得出并賦予相應(yīng)的資產(chǎn)值（V）：

同時，財務(wù)/行政部門也可以通過參考這些軟/硬件資產(chǎn)值，以獲悉保證IT 環(huán)境日常運轉(zhuǎn)所需的各種服務(wù)的費用與支出。

在邏輯關(guān)聯(lián)上，除了錄入IT 資產(chǎn)本身的各種信息之外，我們還對它們其所隸屬的部門、項目組等屬主類元信息（Metadata），進行了不同數(shù)據(jù)表之間的關(guān)聯(lián)。這樣我們便能夠以網(wǎng)絡(luò)的形式，從點到面輻射開來，以方便在后期運維時能夠迅速掌握全面的數(shù)據(jù)。

在后期處置上，當某臺設(shè)備的使用服役期結(jié)束后，我們通過指派專門的設(shè)備管理員和操作流程，及時清理介質(zhì)中的數(shù)據(jù)殘留，以免留下數(shù)據(jù)泄漏的安全隱患。

表3 針對不同類型數(shù)據(jù)的處置方式

在實踐中，筆者單位針對不同類型的數(shù)據(jù)殘留，采取了如表3 所示的不同的處置方式。

其實，筆者單位對于IT資產(chǎn)的管理目標，就是要在保持實時性與準確性的基礎(chǔ)上，使之產(chǎn)生積極的“馬太效應(yīng)”，讓IT 部門的服務(wù)質(zhì)量和所耗費的成本，在這種正循環(huán)的過程中達到“一升一降”的效果。