添加资产的最佳实践

考虑为网站选择资产时的几件事。资产选择可能会影响扫描和报告的质量。

选择分组策略以使用手动选择的资产创建站点

有许多方法可以将网络资产划分为站点。最明显的分组原则是物理位置。一家在费城、火奴鲁鲁、大阪和马德里拥有资产的公司可能有四个地点，每个城市一个。以这种方式对资产进行分组是有意义的，特别是当每个物理位置都有自己的专用扫描引擎时。请记住，每个站点都分配给特定的扫描引擎。

记住这一点，你可能会发现它是实际的基础上的网站创建扫描引擎的位置。当扫描引擎部署在网络的分离和连接区域时，它们是最有效的。例如，您可以基于子网创建站点。

其他有用的分组原则包括公共资产配置或功能。您可能希望所有工作站和数据库服务器都有单独的站点。或者，您可能希望将所有Windows 2008服务器放在一个站点，而将所有Debian机器放在另一个站点。类似的资产很可能具有类似的漏洞，或者它们可能呈现相同的登录挑战。

如果您正在执行扫描以测试资产是否符合特定的标准或策略，如支付卡行业（PCI）或联邦桌面核心配置（FDCC），您可能会发现创建一个资产站点以进行合规性审核很有帮助。此方法将扫描资源的重点放在法规遵从性工作上。它还可以更轻松地跟踪这些资产的扫描结果，并将其包含在报告和资产组中。

灵活的网站会员

在为站点选择资产时，灵活性是有利的。您可以在多个站点中包含一个资产。例如，您可能希望使用Microsoft热修复扫描模板对所有Windows Vista工作站运行每月扫描，以验证这些资产已安装了适当的Microsoft补丁。但是，如果您的组织是一家医疗机构，那么“Windows Vista”网站中的一些资产可能也是“患者支持”网站的一部分，您可能需要每年使用HIPAA合规模板扫描该网站。

您还可以在站点内定义资产组，以便基于特定的逻辑分组进行扫描。

分组选项，例如，Inc。

您的分组方案可以相当广泛，也可以更精细。

下表显示了一个可用的高级站点分组，例如，Inc。该方案为扫描提供了一个非常基本的指南，并利用了整个网络基础设施。

站点名称	地址空间	资产数量	组成部分
纽约	10.1.0.0/22 10.1.0.0/23 10.1.0.0/24	360	安全控制台
纽约非军事区	172.16.0.0/22	30.	扫描引擎1
马德里	10.2.0.0/22 10.2.10.0/23 10.2.20.0/24	233	扫描引擎1
马德里非军事区	172.16.10.0/24	15	扫描引擎1

这种分组的一个潜在问题是，在大块中管理扫描数据既耗时又困难。更好的配置将元素分组到更小的扫描站点，以实现更精确的报告和资产所有权。

在以下配置中，Example，Inc.引入资产功能作为分组原则。上述配置中的纽约站点细分为销售、IT、管理、打印机和DMZ。马德里也被这些标准细分。添加更多站点可缩短扫描时间并促进更集中的报告。

站点名称	地址空间	数量的资产	组成部分
纽约销售	10.1.0.0/22	254	安全控制台
纽约IT	10.1.10.0/24	25	安全控制台
纽约管理局	10.1.10.1/24	25	安全控制台
纽约打印机	10.1.20.0/24	56	安全控制台
纽约非军事区	172.16.0.0/22	30.	扫描引擎1
马德里的销售	10.2.0.0/22	65	扫描引擎2
马德里发展	10.2.10.0/23	130	扫描引擎2
马德里印刷厂	10.2.20.0/24	35	扫描引擎2
马德里非军事区	172.16.10.0/24	15	扫描引擎3

下表所示的最佳配置包含了物理分离的原理。扫描时间将更短，报告将更加集中。

站点名称	地址空间	数量的资产	组成部分
纽约销售部一楼	10.1.1.0/24	84	安全控制台
纽约销售部二楼	10.1.2.0/24	85	安全控制台
纽约销售部三楼	10.1.3.0/24	85	安全控制台
纽约IT	10.1.10.0/25	25	安全控制台
纽约管理局	10.1.10.128/25	25	安全控制台
纽约打印机1号楼	10.1.20.0/25	28	安全控制台
纽约打印机2号楼	10.1.20.128/25	28	安全控制台
纽约非军事区	172.16.0.0/22	30.	扫描引擎1
马德里销售办事处1	10.2.1.0/24	31	扫描引擎2
马德里销售办事处2	10.2.2.0/24	31	扫描引擎2
马德里销售办事处3	10.2.3.0/24	33	扫描引擎2
马德里开发	10.2.10.0/24	65	扫描引擎2
马德里发展	10.2.11.0/24	65	扫描引擎2
马德里打印机大楼3	10.2.20.0/24	35	扫描引擎2
马德里非军事区	172.16.10.0/24	15	扫描引擎3

这页对你有帮助吗？