一切从资产梳理开始

友情提示：本文共1200+字，预计阅读3分钟。关键词：隐形资产、资产梳理、摸清家底、资产安全治理

如果要入侵一台服务器，从开放的端口服务下手；那么，如果要入侵一家企业，从互联网暴露面资产进行探测，主要围绕域名、IP进行信息收集。

你了解过你所在的企业有多少资产暴露在外网吗？

通过防火墙发布外网，这里的内外网映射关系+域名解析记录，构成了一条完整的网络链路，而这些链路决定了有多少资产暴露在互联网上。不少企业都存在资产不清晰的问题，各种历史遗留问题，如业务端口开通没有进行登记管理，或者项目交接、人员调动等客观因素，导致企业外网资产一直存在混乱状态，隐形资产成为了攻击者的切入点。

站在攻击者的角度来做防护，我们需要做一个全面的信息资产梳理。

梳理思路：内外网IP与端口映射 --> 确认服务器管理员  --> 业务系统及描述 --> 域名访问地址

面对几百条映射规则，一条条重新梳理过去，真的是个极其考验耐性的任务。在这梳理的过程中，会发现一些显而易见却往往被忽视的安全风险问题。

1. 外网开放了高危端口，如3306、1521等数据库敏感端口。

2. 内部应用系统开放外网访问。

3. 只需开放移动端，却把PC端和管理后台一起开放到了外网。

4. 不再使用的旧系统或已完成测试的业务系统没有做下线操作。

5. 服务器资源已回收，网络链路关系未清除，服务器IP重新分配给新的业务系统，导致新的业务系统被放到了外网。

从这些安全风险来看，本质上，我们急需解决两个比较核心的问题：

1. 开放了哪些业务端口，这些业务端口是否存在风险？

2. 缺乏有效的回收机制，不良资产如何及时进行回收？

我们采取了一些改进措施，来进一步加强和改进外网资产管理，从以下4个方面入手，进行外网资产安全治理。

1. 资产梳理，全面梳理当前业务系统的使用状况，并以此作为模板，做到线上线下统一。

2. 清理回收，在资产梳理的基础上，清理停止更新维护的旧系统或已完成测试的业务系统，并形成有效的有效的资产回收机制，从域名解析+内外映射+服务器资源，资源回收一条龙服务。

3. 登记审核，新的业务系统，进行登记审核，评估业务开放的合理性。业务开通登记，确认业务使用用途，临时或永久,对所要开放的业务进行安全评估。

4. 定期盘点，对资产清单定期清查，发现不符的，及时通知整改。

外网资产梳理，其实就是搞清楚每一条域名解析所指向的业务及访问地址，弄明白内外网IP与端口映射。

资产业务流：子域名--> 外网IP+端口-->内网IP+端口-->业务描述 --> 负责人

资产回收流：负责人确认停止维护--> 子域名取消 --> 内外网映射disable --> 服务器资源回收。

作为一个安全/运维工程师，你所管理的资源就是企业的信息资产。比如域名管理，如果你只是关注域名什么时候到期，那么你做的就太过于粗糙了。这里，还有一个很重要的工作就是域名解析，把每一次的域名解析当成资产租借关系的话，你就会在意你的每一笔资产支出是借给了谁，它的用途的是什么，长期租用还是短期借用，什么时候可以归还，以及如何减少坏账损失。

最简单的是道理，最难的是实践。

资产梳理，从混乱到有序，而进一步如何做好企业资产管理，这是一个值得去深究的问题。