作為公司內部網路安全建設的基礎環節，資產的收集以及對應的管理，尤其是漏洞管理，都是網路安全建設的基礎。

資產收集第一步--已入網裝置的收集：

（1）收集手段：根據歷史登記記錄查詢或者使用掃描方式對網路環境內部進行活躍主機探測。

（2）收集目標：覆蓋所有已入網裝置，包括雲、IoT裝置等，建立相應的庫表結構儲存，定期複測，有序更新。

資產收集第二步--新入網裝置的收集：

（1）收集手段：入網登記或者使用智慧入網探測機制，可以利用網路探測技術，或者入網聯通身份驗證機制做收集。

（2）收集目標：覆蓋所有新入網裝置，包括雲、IoT裝置等，建立相應的庫表結構儲存，定期複測，有序更新。

資產收集第三步--虛擬資產的收集：

（1）虛擬資產：包括但不限於重要資料記錄、IP地址、MAC地址、主域名、子域名、CNAME記錄、MX記錄、NS記錄、A記錄等等。

（2）收集手段：登記稽核機制以及掃描解析請求。

（3）收集目標：覆蓋所有虛擬資產，建立相應的庫表結構儲存，定期複測，有序更新。

資產分析第一步--主機OS、SOFTWARE、SERVICES等資訊收集：

（1）技術手段：掃描

（2）收集資訊：os系統資訊（包含口令資訊）、網路協議棧資訊（MAC、IP、PORT、PROTOCOL、SERVICES）、軟體資訊（軟體名稱、版本）

（3）收集目標：覆蓋所有以上資訊，並定期追蹤探測，有序更新。

資產分析第二步--漏洞庫建立：

（1）收集方法：有條件的建立自己的SRC和漏洞平臺，眾測收集漏洞；自身，或邀請有資質的機構進行滲透測試，挖掘漏洞，並記錄進入自己的漏洞庫；關注CVE、CNNVD、NVD進行同步。

（2）收集內容：漏洞危險等級，漏洞影響範圍、軟體、版本，漏洞測試方法、漏洞修補方法。

（3）收集目標：儘量覆蓋所有相關漏洞資訊，並定期追蹤探測，有序更新。

資產分析第三步--漏洞檢查修復：

（1）漏洞匹配階段：資產資訊與漏洞庫匹配檢查，必要時使用poc測試。

（2）漏洞修復階段：分等級限期修復，修復好驗證。無法修復的記錄，並制定其他限制策略。