IT资产，一般指网络设备、安全设备、服务器、存储介质等。随着资产管理、攻击面管理技术的广泛应用，广义的IT资产不仅包括硬件资产，也融合了软件、服务、安全策略和NAT（网络地址转换）策略等无形资产。

传统的网络安全策略管理模式：

业务部门申请开通，安全部门按需创建。

对于各类资产，需求方有“只借不还，只用不管”的倾向，很多企业机构对安全策略的权责也不够明确，导致安全部门大都承担着策略运维的“第一责任”。

传统策略管理模式与“谁使用，谁管理”的资产管理准则严重不符，安全部门在策略运维，特别是策略合规与风险整改的过程中，有时颇为头疼：

1、策略合规审查，缺乏有效的技术手段

上级监管要求与业务刚性需求，对安全策略的持续动态合规提出了更高要求。

·  上级监管要求：等级保护、关基保护对安全策略合规有明确的检查规范，外部监管机构和内部审计机构对策略合规审计的需求也在持续加强。

·  业务刚性需求：安全策略资产中，如果存在问题策略、风险策略，将直接影响整网安全防护，对数字业务的稳定性、安全性有较大危害。

安全部门应对策略合规审查时，以人工为主、少量工具为辅，缺乏全面有效的自动化工具，有着人员成本高、策略风险核查不全面等痛点。

2、策略合规整改，业务部门主责意识需加强

业务部门“只借不还，只用不管”的倾向，来自于管理规范和主责意识的缺失，更重要的原因是安全策略的管理和维护大都以防火墙视角进行。

防火墙管理员受限于设备性能，会将多个业务部门的同类需求合并为一条安全策略。很难面向业务视角，给出对应的策略清单；与之相对应的，风险策略整改时，也很难追溯到业务部门。

在这种情况下，安全部门要被动承受风险策略带来的不利影响，业务部门主观上的主责意识也还需加强。

3、策略合规监管，难以实现持续动态监管

当前，策略合规管理通常以HW、过检等间歇性和脉冲式的方式进行。业务变更、策略变更频繁的企业机构，更难满足策略合规监管需要的持续动态要求。安全部门也缺少对策略合规态势进行持续监控预测的技术手段。

面向业务视角，实现安全策略合规检查与闭环整改

安博通依托自主研发的“晶石”安全策略智能运维平台，对全网访问控制策略进行统一采集、智能分析和归一化展示，生成面向业务视角的安全策略资产台账。

在此基础上，对接策略合规模块与企业流程服务平台，将风险策略向对应的主责部门进行自动精准推送，同时追踪整改流程，从而实现风险策略的闭环管理，以及安全策略合规的持续动态监测。

关键能力1：策略资产台账梳理

在策略管理中将防火墙视角转换为业务或组织视角，解决资产台账和责任主体不清的问题。分清安全策略责任主体，可有效实现策略追溯、清理优化、策略整改等功能，辅助安全运营团队分析核心资产的暴露面、收敛资产攻击面，提升整体安全防御能力。

关键能力2：策略合规检查

平台内预置多种合规规则模型，维护配置灵活简单。规则模型包括：长期不命中策略、宽松策略、高危端口策略、域间违规访问等，满足监管审计、策略基线、暴露面检测等多种需求。

同时，平台支持策略变更自动触发、合规检查定期执行、API接口按需调用等多种检查机制，提供安全策略的“事前+事中+事后”全过程的合规检查能力。

关键能力3：风险策略闭环整改

安博通“晶石”平台与ITSM（IT服务管理）平台联动，将待整改的问题策略和违规详情推送给对应的业务部门，业务部门在ITSM平台可给出确认删除、例外说明等整改反馈。防火墙管理员根据反馈再进行整改，对问题策略执行删除或白名单维护。

平台还可从业务维度统计呈现策略整改率、整改趋势等数据，将风险策略整改工作进行量化公示。通过安全部门和业务部门的协同，高效完成问题策略整改，确保数字业务的稳定、安全运行。

关键能力4：策略合规态势感知

平台结合策略资产台账和整改情况，可实时输出基于防火墙设备维度、业务部门维度、合规规则维度等的多维统计报表，展示策略整改与变更趋势的分析视图。实现策略合规的数字化、精细化分析管理，为企业决策者提供整体策略合规态势。

方案核心价值

·  通过数字化、自动化的方式，实现安全策略的合规检查及风险策略的闭环整改，有效提升策略管理效率和策略合规性。

·  梳理策略资产台账，明确策略主责权义，让问题策略整改工作实现安全部门与业务部门的顺畅协同，落实“谁使用，谁管理”的资产管理准则。

·  通过对风险策略的整改跟踪，以及面向业务视角的统计分析，实现策略合规的持续动态监测和策略合规态势感知。