资产梳理为什么每个系统要4小时？

之前公司一个同事给客户进行资产梳理，20个系统，他忙活2天共计10小时就搞完了，主要的资产就是从客户政务云上导出来填入资产表中，然后技术方面就是自己再goby扫描一下开放的端口。

所以，我认为20多个系统的资产梳理也就这个2人天的工时。

不过，今天问了一个同行，他说他们资产梳理工作的成本至少是按照4小时一个系统报价的。

我就有点惊到了。资产梳理为什么每个系统要4小时，需要做什么工作这么耗时？

难道我这20多个系统，需要80个工时，10天时间？那也太离谱了。

于是，我就细细请教了一下，为什么要按照4小时来算。

以下是他的娓娓道来和我自己的部分臆断：

以下从具体工作内容、流程细节、技术要求三个维度展开分析，解释为何需要这么久：

一、资产梳理的核心工作内容（单系统为例）

1. 资产信息收集（1.5~2 小时）

基础信息普查

收集系统名称、业务用途、部署架构（如服务器 / 客户端 / 数据库分布）、所属部门、负责人等基础信息。

示例参考：

一、互联网面向系统（以官网为例）

信息类别	具体内容
系统名称	企业官网及客户门户系统
业务用途	对外展示企业形象、产品信息，提供客户注册、在线咨询及资料下载服务
部署架构	云平台层：- 服务器：2 台云 ECS（上海 Region，1 台 Web 服务器 + 1 台数据库服务器）- 数据库：RDS for MySQL（主从架构）- 中间件：Nginx 负载均衡 + Redis 缓存接入层：- 公网 IP：47.XXX.XXX.XXX（域名：www.xxx.com，解析至负载均衡器）- 安全组件：WAF+ DDoS 防护
所属部门	业务部（业务主导）+ 信息中心（云资源运维）
负责人	技术负责人：王五（信息中心部，负责云服务器配置）内容负责人：赵六（业务部，负责页面更新）外包服务商：XX 科技有限公司（负责代码更新）。”

二、内部专用系统（以 OA 为例）

信息类别	具体内容
系统名称	泛微 OA 协同办公系统
业务用途	支撑内部流程审批（请假、报销、合同）、文档管理及即时通讯
部署架构	内网部署：- 服务器：1 台物理服务器（位于中心机房，CentOS 7 系统）- 数据库：PostgreSQL（内置）客户端：- 仅支持企业内网访问（IP 段：192.168.1.0/24），通过浏览器登录
所属部门	行政部（流程管理）+ 信息中心（系统运维）
负责人	流程管理员：孙七（行政部，负责审批模板配置）技术管理员：周八（信管部，负责服务器维护）

耗时点
需跨部门沟通（如联系系统管理员、业务部门），部分老旧系统文档缺失，人员变动，需现场调研。

技术组件拆解

识别系统使用的硬件设备（服务器型号、网络设备、存储设备等）、软件组件（操作系统、数据库、中间件、开源组件等）、接口依赖（如调用其他系统 API、第三方服务）。
耗时点
系统需通过工具扫描（如 Nmap、goby）和人工验证结合确认。

2. 资产风险初筛（1~1.5 小时）

暴露面分析

扫描系统对外开放的端口、服务（如 Web 服务、SSH、RDP），识别潜在攻击入口。
工具辅助
使用漏扫工具（如 AWVS、Nessus）预扫描，人工分析结果（排除误报），确认是否存在高危端口未关闭、弱口令默认账户等风险。

3. 资产台账建档与校准（0.5~1 小时）

台账结构化录入

将收集的信息整理成标准化表格（包含资产 ID、名称、负责人、风险等级、合规状态等字段），部分企业需录入 CMDB（配置管理数据库）系统。
耗时点
若系统间存在关联资产（如共享数据库、负载均衡设备），需标注依赖关系，避免遗漏。

多方确认与校准

与系统管理员、业务部门负责人交叉核对信息，确保台账准确（如确认某测试环境是否仍在使用，避免 “僵尸资产” 存在）。
耗时点
协调多方时间可能产生沟通成本，尤其是跨部门资产（如多个业务线共用一套系统）需反复确认权责。

二、影响耗时的关键因素

1. 系统复杂度差异

简单系统
（如单服务器部署的 OA 系统）：信息收集和风险初筛相对直接，耗时约 3~3.5 小时。
复杂系统
（如分布式微服务架构、混合云部署的核心业务系统）：

需分析容器、K8s 集群、API 网关等组件，可能涉及云平台（AWS/Azure/ 阿里云）控制台资产导出，耗时可达 4.5~5 小时。
案例：某银行核心交易系统因涉及多地数据中心互联，资产梳理耗时达 6 小时 / 系统。

整理到这里，我觉得一个系统按照4小时算也可以，但我们一般是一起扫描一起导出的啊，怎么能一个系统一个系统的算呢？

人家乐了，说：“你以为资产梳理=扫描？资产产梳理的核心目标是建立完整、准确且可落地的资产台账，这需要结合工具自动化采集和人工核查验证，不是扫描导出那么简单啦。而且有些云上资产你也扫不到啊！或者扫描的时候某些资产临时关闭也有可能啦。工具扫描是基础，人工核查是关键，两者结合才能确保资产台账 “账实一致”哦！”

工具扫描仅能覆盖部分基础信息，比如通过资产扫描工具（如 Nmap、Zenmap、AWVS 、goby等）可以快速获取一些技术属性：

IP、端口、操作系统、开放服务、安装软件、硬件配置（CPU / 内存 / 存储）等，然后人工再判断一部分关联信息，比如通过端口映射关系，初步判断数据库、中间件的部署位置（如服务器 A 的 3306 端口对应 MySQL 数据库）。

但你的工具无法识别业务属性、管理属性、风险属性等关键信息啊，这些都需人工介入，而且需要和甲方以及第三方的人员打交道，时间主要是花在这个上面的呢。

人工核查验证的耗时列表：

任务类型	具体工作内容	耗时原因
业务属性确认	- 访谈系统负责人，确认业务用途（如 “人力资源管理系统”“财务报销系统”）- 梳理业务流程（如：用户端→API 接口→数据库的数据流）- 识别系统间依赖关系（如 OA 系统调用 HR 系统员工数据）	需跨部门沟通协调，部分系统负责人可能对技术细节不熟悉，需反复确认。
管理属性补全	- 确认所属部门（如 “业务部”“研发部”）、责任人（需获取手机号 / 邮箱等紧急联系方式）- 核查资产标签（如资产编号、物理位置、是否纳入等保备案）- 梳理权限分配（如管理员账号、普通用户数量）	资产台账可能存在历史数据缺失，需从多个管理系统（如 ITSM、CMDB）交叉核对。
风险初步评估	- 标记敏感程度（如是否涉及用户隐私、财务数据）- 识别老旧系统（如 Windows Server 2008 等即将停服的系统）- 记录合规性问题（如未通过等保 2.0 三级测评）	需结合行业合规要求（如等保、GDPR）和业务特性判断，需一定专业知识。
资产可视化输出	- 绘制系统架构图（服务器 - 网络设备 - 终端的拓扑关系）- 整理成 Excel 台账（含字段：系统名称、URL/IP、负责人、上线时间、是否国产化等）	图表绘制需逻辑清晰，台账字段需符合安全管理要求，可能多次调整格式。

听了这位“专家”的话，我深感佩服，但是还是有点不服气，那也可以优化嘛，哪里需要一个系统一个系统的来规划时间啰，合在一起算时间比较好。

于是，又设想了一个时间表：

（还是以这个事业单位的20 个系统为例）

任务阶段	工作内容	单人耗时	协作建议
自动化扫描	批量扫描 20 个系统的技术资产	0.5 小时 / 系统	1 名工程师操作扫描平台，1 天内完成
分系统人工核查	每个系统的业务 / 管理信息确认 + 风险初评	2.5 小时 / 系统	1名工程师，5天完成
台账整合与评审	绘制架构图、输出《资产清单》《风险列表》	8 小时 / 所有系统	1 名工程师汇总，1 天内完成
总计	（0.5+2.5）×20=60 小时+8小时 ≈ 9个工作日	—	建议 2人小组协作（扫描 1 人 + 核查 1人）

这样的话，应该就只需要3.5小时一个系统了吧。

不过，我感觉还可以把工作安排得更丝滑一些，于是又和他讨论了一下怎么优化效率。

三、如何优化资产梳理效率？

1. 预调研与模板标准化

提前向客户/业务方发放《资产信息采集表》，收集基础信息（如系统负责人、部署架构图），减少现场沟通时间。

2. 分层分类梳理

按资产风险等级（核心业务系统 / 边缘系统）、部署环境（内网 / 外网 / 云环境）分组，优先处理高风险、复杂系统。
例子：某企业先梳理面向互联网的 Web 系统（共 5 个），再处理内部办公系统（15 个），整体效率提升 40%。

3. 工具链整合

集成资产发现工具（如 Nmap+AWVS+CMDB 接口），实现 “扫描 - 采集 - 录入” 自动化流转，减少人工操作步骤。
例如：通过 Nmap 扫描 IP 段获取开放端口，自动关联 CMDB 中的资产负责人，生成待确认清单。

差不多了吧，纸上谈兵总觉浅，绝知此事要躬行，下次实践遇到问题再和大家讨论！

THE END

ps ：本人最近在学习网络安全运营平台SOC功能和相关技术，正在用相关平台的用户，或者研究开发过类似产品的朋友可以加我V：catfishfighting，务必备注SOC，我拉你进SOC群，大家一起交流学习。

推荐站内搜索：最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……

ZhouSa.com-宙飒天下网

正文