文章总结： 本文总结了资产识别阶段的四个常见误区：仅识别系统忽略业务、忽视数据与服务分类分级、遗漏云资源等外部依赖、仅列清单未建业务与资产映射。建议在风险评估时深入梳理业务逻辑，单独盘点数据资产，排查外部供应链风险，并构建关联映射，以准确判定关键资产并实现有效风险赋值。 综合评分： 78 文章分类： 安全建设,数据安全,供应链安全,应用安全

资产识别阶段最容易犯的错误

原创

我出趟远门 我出趟远门

ListSec

2026年4月27日 21:39 江西

在小说阅读器读本章

去阅读

风险评估中，我们会识别这些东西吗？

#

1. 只识别系统，不识别业务

这也是我们很多人做资产识别忽略的问题，看起来资产很全，但不知道哪些最关键，后面风险分析容易失焦。

特别是在帮客户梳理资产时，通常会通过扫描器识别ip，端口，域名，目录等信息，再加上网络、安全设备，形成资产清单，而不会深入业务。

要了解业务肯定需要客户配合，也许客户也不清楚，需要找开发商，就比较耗费时间，沟通成本也比较大，一般不会去做。

虽然风险评估中会识别业务，但都很表面，只需要了解系统干什么的就可以了，如果真要梳理出系统与业务的关系，估计只有客户自己去梳理，除非客户有需求，否则基本不会识别业务信息。

2. 只看系统，不看数据与服务

除了业务，还应识别数据和服务，风险最终常常不是“系统挂了”，而是：数据泄露了、关键服务断了，所以数据和服务必须单独识别。

数据需要识别数据资产清单，对数据进行分类分级，涉及数据安全风险评估。

3. 只看内部资产，不看外部依赖

现在很多关键业务依赖：云资源、第三方接口、证书服务、运营商线路、短信平台、外包运维，这些都可能是关键资产链的一部分。

外部依赖很容易成为突破口，也是比较容易忽略的点。

4. 只列清单，不建关系

没有业务—资产映射关系，后面就很难：判断关键资产、做准确赋值、做风险分析。

一点拙见，班门弄斧了，主要是想记录下，也方便自己理解。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：ListSec 我出趟远门 我出趟远门《资产识别阶段最容易犯的错误》