01
介绍
项目实施过程中,资产收集至关重要。
随着企业内部业务的不断壮大,各种业务平台和管理系统越来越多,且很多单位存在着“隐形资产”,这些“隐形资产”通常被管理员所遗忘,长时间无人维护,导致存在较多的已知漏洞。
同时,资产收集的越全越多,能够保证渗透测试、漏洞扫描等服务的交付质量越高。
并在此基础上,编写了一份资产收集表。
02
表格制作
资产收集表偏向于针对一个单位全方面的信息收集,包括但不限于服务器、WEB应用系统、办公终端、APP、数据资产、设备资产等。针对不同的板块细分小项,同时给出示例,便于填写,避免因重复沟通浪费时间。
共分为以下几个板块
1、资产分类说明
其中包括了服务器资产、Web应用资产、APP资产、办公终端、数据资产、设备资产的分类描述及示例,客户能够清晰的了解到每个资产的定义,便于整理。
2、资产等级说明
包含资产等级、资产标识、等级含义及示例,便于确定对应的资产等级。
3、服务器
重点关注中间件、数据库、操作系统等版本信息,发现版本过低,可及时进行更新。
4、WEB应用系统
重点关注测试账号,在项目实施过程中能够对系统进行全面测试。
5、办公终端
重点关注IP地址、存放地点、MAC地址,能够实时确认资产归属。
6、APP
7、数据资产
数据资产分的比较详细,便于满足不同单位,不同场景。
8、设备资产
重点关注设备类型、设备名称/用途、设备型号,在重保、HW等重大行动中进行全面监控。
- End -
哦原文始发于微信公众号(希石安全团队):【项目管理】企业资产梳理
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论