IT 資產管理

基礎要點

目的：最大化價值，控制成本，管理風險，支持資產購買、重用、退役等處置決策，以及滿足合規。

范圍包括：軟件、硬件、網絡、云服務、客戶端設備以及建筑物或信息之類的非IT資產。

通過準確的庫存信息和良好的接口，提高資產的可視性，優化資源的使用。

標記硬件資產，及時擦除或粉碎磁盤驅動器，保留購買證明，按需新建或刪除云實例，按需引入變更資產狀態的相關流程。

組建IT 資產管理團隊，以及配置管理系統（CMS）。

解讀

如今，隨著各個企業對內和對外信息化建設腳步日益加快，它們越來越依賴，并得益于IT 資產的合理化管理。從概念上說，IT 資產的管理，與后面將要討論到的服務配置管理還是有著細微的差別：

1.IT 資產管理

更偏向于以某個資產為原點，表征它在企業當前環境中的靜態特征。

2.服務配置管理

偏向于建立系統或服務的整體基線，持續跟蹤內/外部不同服務之間的動態關系與狀態。

在企業中，無論是看得見的硬件與介質，還是看不見的軟件與文檔，我們都需要對它們的生命周期予以記錄、跟蹤和梳理。通過管理，我們要確保掌握資產的如下特性：

（1）完整權威

對于實體設備而言，其生命周期通常是：

采購、入庫、申領、出庫、安裝、配置、上線、維護、盤點、升級/變更、下線、入庫以及報廢。

而對于虛擬服務而言，其生命周期通常為：

購置、配置、上線、維護、統計、升級/變更以及下線等過程。

因此，對于每一個環節而言，我們都應當盡量完整地采集，并如實記錄目標資產的相關信息，這些都能夠為管控過程提供權威性的參考資料。

（2）實時準確

其實許多企業并不是缺乏原始的IT 資產記錄，而是由于他們仍停留在傳統的電子表格管理方式。因此在日常運維中，資產管理人員鮮少，甚至并不對各種現有的記錄項予以更新，而真正到了需要的時候，才發現這些信息不但陳舊滯后、且不具參考性，這就失去了管理的真正意義。

（3）可視重用

通過對各類資產的購置時間、購買價格、折舊年限、折舊方法、使用狀態、以及邏輯方位的記錄與盤點，我們能夠“可視化”地掌握IT 資源的配給狀況，進而達到并實現如下管理目標：

按需調配，優化資源，提高IT 生產率和服務水平；

節約并降低成本開支，實現ROI；

滿足合規，降低風險，提高使用的透明度；

為變更管理提供基線，為事故響應提供依據；

實現資產的復用，讓好鋼用在刀刃上；

為采購和決策提供有效且最新的參考標準。

實務

在實際的運維過程中，筆者單位采用了RFID 以及二維碼技術，運用“自動發現+人工輸入+二次審核”的循環流程，對現有IT 資產進行持續標記與采集。

同時，在結合了各類資產管理工具所提供的制表、建庫等功能的基礎上，我們實踐了動靜結合的管理方式。其中包括如下要點：

在前期分類上，我們參照ISO27001 里提到的安全分類方法，將本企業現有IT 資產分為如表1 所示類別。

值得一提的是：為了讓分類表之間具有相互聯系和參考性，無論是硬件設備還是軟件服務，我們重點標注了當前的具體組件配置參數、兼容性以及所關聯的合同狀態與支持信息。

表1 筆者單位IT 資產類別

表2 資產編號規則

在屬性量化上，我們對資產項采取了通用且統一的命名編號規則，如表2 所示。

為了方便日常運營中的風險與變更管理，我們從機密性、完整性和可用性缺失，可能給企業帶來影響的角度出發，根據信息安全的經典理論，對每一項IT 資產都分配了C、I、A 三個維度的數值，然后基于如下的公式，通過計算得出并賦予相應的資產值（V）：

同時，財務/行政部門也可以通過參考這些軟/硬件資產值，以獲悉保證IT 環境日常運轉所需的各種服務的費用與支出。

在邏輯關聯上，除了錄入IT 資產本身的各種信息之外，我們還對它們其所隸屬的部門、項目組等屬主類元信息（Metadata），進行了不同數據表之間的關聯。這樣我們便能夠以網絡的形式，從點到面輻射開來，以方便在后期運維時能夠迅速掌握全面的數據。

在后期處置上，當某臺設備的使用服役期結束后，我們通過指派專門的設備管理員和操作流程，及時清理介質中的數據殘留，以免留下數據泄漏的安全隱患。

表3 針對不同類型數據的處置方式

在實踐中，筆者單位針對不同類型的數據殘留，采取了如表3 所示的不同的處置方式。

其實，筆者單位對于IT資產的管理目標，就是要在保持實時性與準確性的基礎上，使之產生積極的“馬太效應”，讓IT 部門的服務質量和所耗費的成本，在這種正循環的過程中達到“一升一降”的效果。