信息安全三分建设七分运营，安全运营第一步是梳理清楚资产，做到日常运营心中有数。从安全防护维度可以分为网络、虚拟化/云平台、操作系统、数据库中间件、应用系统、安全管理平台等几个维度。从物理区域上往往资产分部在不同位置，比如分支机构、总部办公网、数据中心、公有云。下面探讨下如何从安全防护维度结合物理区域梳理清楚安全资产。

网络层面

对外，需要梳理清楚公网IP，以及每个IP对外开放的端口，如果有NAT映射，也需要梳理处理NAT映射表

对内，需要梳理清楚网段信息、VLAN信息、网络区域划分信息

网络设备信息，包括品牌型号、IOS版本、是否有维保等

安全防护策略，比如是telnet、ssh、web管理，是否有ACL限制等

注意点：

云上逻辑也是一样的，云上会有VPC、弹性负载均衡等，都需要梳理清楚

对于办公网，往往还有无线网络，需要梳理访客网络、员工办公网网络、IT网络、DMZ区等

对于分支机构，也需要梳理清楚分支机构的公网IP、网段、无线网络信息等

虚拟化/云平台

虚拟化平台版本、授权信息

虚拟化平台的网络划分信息

虚拟化平台的账号密码管理策略

虚拟化平台的管理平台是否有ACL防护

云平台账号信息，比如是否有子账号，是否开启MFA等

云平台的VPC、ACL、安全组信息

云平台的账号密码管理策略

注意点：

虚拟化/云平台的管理账号权限巨大，对整个安全至关重要，需要梳理清楚

操作系统

  操作系统版本，授权信息等

操作系统资源配置、IP、进程、端口信息等

操作系统防护信息，比如是否安装杀毒软件、EDR、主机安全软件等，是否有流量分析平台防护

  账号密码管理策略

注意点：

服务器需要梳理清楚补丁更新情况，主机层面的安全防护情况，流量分析平台是否覆盖

终端需要梳理清楚补丁更新情况，杀毒软件、EDR防护情况，软件安装是否有管控，网络准入、流量分析平台、上网行为管理、数据防泄漏等安全平台的覆盖情况

数据库中间件

版本，授权信息等

IP、进程、端口信息等

账号密码管理策略

集群配置信息

数据备份策略信息

安全防护策略，比如是有权限管控，是否有ACL限制等

注意点：

数据库中间件一般只监听到内网，并且需要有网络ACL限制

应用系统

版本，授权信息等

IP、进程、端口信息等

账号密码管理策略

数据备份策略信息

安全防护策略，比如是有权限管控，是否有ACL限制等

管理人信息，出现紧急情况的时候需要能够找到管理人

应用系统的域名、HTTPS证书情况，包括到期时间等

注意点：

系统哪些人需要访问，需要梳理清楚，对内的系统，原则上只能部署在内网上，移动需要可以通过VPN

系统如何维护需要梳理清楚，比如供应商维护的系统，供应商是如何登录的，有没有管控措施。对于自研系统，原则上研发人员也不能随意登录生产环境。

安全管理平台

杀毒软件平台，版本、病毒库更新情况、授权情况，覆盖情况

EDR平台，版本、更新情况、授权情况，覆盖情况

数据防泄漏平台，版本、授权情况，覆盖情况

网络准入平台，版本、授权情况

上网行为管理平台，版本、授权情况

流量分析平台，版本、授权

主机安全平台，版本、更新情况、授权情况，覆盖情况

WAF平台，版本、更新情况、授权情况，覆盖情况

蜜罐平台，版本、更新情况、授权情况，覆盖情况

日志分析平台，版本、授权情况，覆盖情况

云安全中心的授权情况，覆盖情况

其他安全平台的版本、授权情况，覆盖情况

注意点：

安全运营依靠安全平台，所以安全平台的梳理是重中之重

有些企业的安全平台可能比较少，在安全运营的前期首先应该是把已有的安全平台潜力全部挖掘出来，然后在根据需要增加安全设备

资产梳理如何梳理？

下一个问题，资产梳理如何梳理？如果有CMDB之类的平台当然好，实际是经常碰到资产就是依靠excel维护，即使有CMDB也更新不及时。这时候要依靠访谈、扫描、登录三种途径。

访谈是对管理人员的访谈，了解日常资产基本信息、资产管理流程、账号密码管理策略、备份策略等。

扫描就是依靠扫描工具，从内外部全面扫描，采集信息。

登录可以分为几类。

首先是虚拟化、云平台的登录及信息收集，通常情况下，在虚拟化、云平台可以采集到非常丰富的细心，比如操作系统、数据库中间件、应用系统的版本、IP、端口等信息。

其次是操作系统的登录，可以通过工具和脚本采集到比要的信息。

第三是安全平台的采集，比如主机安全平台有被管理主机的资产信息，包括进程、端口等信息。

俗话说磨刀不误砍柴工，梳理资产是安全运营的第一步，对要防护的资产了然于胸，才能更好的做好安全运营，提升安全防护水平。另外，安全资产是不断在变化的，需要定期梳理，对于变化是常态的企业，需要考虑通过工具实时采集信息。