资产梳理

一、明确目标与范围

1.1、确定梳理目的

• 网络安全：缩小攻击面、识别风险点。
• 资源配置：优化资源利用率、降低成本。
• 合规要求：满足法律法规或行业标准（如等保、ISO 27001）。

1.2、界定资产范围

• 物理资产：服务器、网络设备、终端设备、IoT 设备等。
• 数字资产：操作系统、数据库、应用程序、域名、IP 地址、云资源、容器/K8s集群、SaaS应用。
• 数据资产：敏感数据（如客户信息、财务数据）、业务数据、备份数据等。
• 其他资源

二、资产识别与发现

2.1、自动化扫描与工具辅助

• 网络扫描：使用工具（如 Nmap、Netstat、Angry IP Scanner）探测存活设备、开放端口、服务信息。
• 云资源梳理：通过云厂商控制台（如 AWS、Azure、阿里云）导出资源列表（实例、存储、数据库等）。
• 漏洞扫描：利用工具（如 OpenVAS、Nessus）识别存在漏洞的资产。
• 代理发现：通过堡垒机、跳板机日志分析关联资产。

2.2、手动补充与验证

• 部门调研：与 IT、业务部门对接，补充遗漏资产（如临时设备、影子 IT 资产）。
• 配置管理数据库（CMDB）：参考现有 CMDB 或 ITSM 系统，获取资产台账。
• 日志分析：通过防火墙、交换机、应用日志挖掘资产线索（如 IP 访问记录）。

三、资产分类与分级

3.1、分类标准

3.1.1、按资产类型：

• 硬件（服务器、网络设备、终端等）。
• 软件（操作系统、数据库、中间件、业务系统等）。
• 数据（结构化数据、非结构化数据、元数据等）。

3.1.2、按业务属性：

• 核心业务资产（如支付系统、订单系统）。
• 辅助业务资产（如办公 OA、测试环境）。
• 第三方合作资产（如供应商接口、外包服务）。

3.1.3、按安全域：

• 内部网络（生产网、办公网）、
• DMZ、
• 外部网络（如分支机构）。

3.2、分级标准

3.2.1、重要性分级：

• 关键资产：直接影响业务连续性的资产（如核心数据库、主备负载均衡器）。
• 重要资产：业务依赖但可短时中断的资产（如次要服务、测试环境）。
• 一般资产：辅助性资产（如开发测试机、过期未下线的设备）。

3.2.2、风险分级：

根据资产暴露面（如公网 IP）、脆弱性（如未修复漏洞）、数据敏感性综合评估。

四、资产信息标准化记录

1.设计资产台账模板

字段名	参数
资产编号	001
资产名称	核心数据库
类型	数据库
所属部门	技术部
IP/域名	192.168.1.100/www.test.com
重要性等级	关键
暴露面（公网/内网）	内网
备注	存储敏感数据

2.关键信息字段

• 基础信息：资产名称、类型、归属部门、物理位置、IP/端口、责任人。
• 业务属性：关联业务模块、依赖关系（如 A 系统依赖 B 数据库）。
• 安全属性：暴露面（公网/内网）、权限分配、漏洞状态、数据敏感性。
• 生命周期：上线时间、维护记录、预计下线时间（避免僵尸资产）。

五、风险分析与优先级排序

1. 暴露面分析
   检查资产是否面向公网、是否存在弱密码、默认配置、未授权访问等风险。
   工具：Shodan（搜索暴露在外网的资产）、Censys（全球资产测绘）。
2. 脆弱性评估
   结合漏洞扫描结果（如 CVSS 评分）、补丁状态、配置合规性（如 CIS Benchmark）。
3. 影响分析
   若资产被攻击，对业务的影响范围（如单点故障、数据泄露风险）。
4. 优先级排序

• 高风险资产：暴露在公网且存在高危漏洞的核心资产。
• 中风险资产：内网中重要性较高但防护较弱的资产。
• 低风险资产：冗余设备、测试环境等。

六、资产清单动态维护

1. 建立流程机制

• 新增/变更流程：任何资产的上线、下线、迁移需通过审批并更新台账。
• 定期复核：每月/季度对资产进行复查（如扫描存活状态、权限变更）。

2. 自动化监控

• 部署配置管理工具（如 Ansible、Puppet）自动同步资产变更。
• 集成 SIEM 系统（如 Elasticsearch、Splunk）实时监控资产异常行为。

3. 清理僵尸资产

• 定期识别长期未使用、无业务关联的资产，评估后下架或回收权限。

七、工具推荐

1. 资产发现工具

2. 漏洞与配置故案例

3. 自动化编排

4. 可视化工具

八、注意事项

1. 避免遗漏“影子资产”：
   关注业务部门私自采购的硬件、个人开发的临时工具或测试环境。
2. 区分“资产”与“数据”：
   数据资产需单独梳理（如数据库表、文件存储路径），并标注敏感级别。
3. 结合业务视角：
   与业务部门共同确认资产的重要性，避免仅从技术角度分级