企业IT管理_07企业信息安全_06信息安全运营与信息安全建议.docx

PAGE

PAGE1

企业IT管理之信息安全

-信息安全运营与信息安全建议

TOC\o1-4\h\z\u九、信息安全 2

9.8信息安全运营 2

9.8.1安全监控与审计 2

9.8.2漏洞管理 4

9.8.3事件响应与持续改进 5

9.8.4SOC平台建设 6

9.8.5宣传培训 8

9.9信息安全建议与心得 9

9.9.1终端安全管控 9

9.9.2网络安全之准入 10

9.9.3网络安全之服务器 10

9.9.4网络安全之应用 11

9.9.5网络安全之邮件 12

9.9.6高级数据安全措施 12

九、信息安全

9.8信息安全运营

之前介绍了那么多信息安全管理手段和措施，但信息安全管理和IT的其他工作一样，是一个持续建设和持续优化的运营工作，即信息安全运营。信息安全运营包括安全监控与审计、漏洞管理、事件响应、建立安全运营中心（SOC），以及对公司内部的定期宣传培训等内容，以确保信息系统的机密性、完整性和可用性。

9.8.1安全监控与审计

安全监控与审计是信息安全运营的根本，通过对涉及信息安全的网络、服务器、终端、IT应用系统的持续性监控，并结合自动化审计和人工复查手段，以发现并应对安全威胁。

常见的安全监控手段在前面的工作中已经覆盖到终端、服务器、网络及相关威胁防护手段，以及包括常见的DLP技术。针对这些设备或软件的监控数据，以及公司内部关键系统的相关日志，我们需要关注如下几点：

1.安全日志记录

日志采集

采集所有安全设备上的相关数据和日志，以及重要系统和应用的安全日志，都需要记录，例如：终端和服务器的文件和相关操作日志、防火墙/IPS/WAF/DLP/零信任等相关设备和软件的登录日志、访问日志、告警日志等。

日志存储

一个中型公司每天产生的安全日志，可能都是数G甚至数十G的数据量，那么一个安全的、持久的存储，在后续的审计和追溯中都是非常重要的。通常除了相关设备或软件本地的磁盘存储外，还需要有一个可扩展、容量大、性能不需要非常好的设备，以便在需要时进行追溯和分析。

2.实时监控与告警

网络流量监控

监控网络中的数据流动，识别可疑的流量，对于加密的数据流量，识别关键IP的流量、外网流量、某终端流量是否异常，以便及时发现和阻止入侵活动。这往往需要企业内部的安全人员设计相关规则，并结合网络流量采集和分析软件来监控，一旦触发相关规则，需及时告警。

系统行为监控

设计相关的系统异常行为的规则，比如在非工作日时间的异常访问、频繁（在一段时间内超过几次）的攻击日志、后缀名改名、大量数据的拷贝或上传、频繁登录失败、突然高流量等系统异常行为，需要及时通过微信、短信、邮件等方式通知安全团队人员。

告警信息汇总

上述告警信息，往往需要人员介入判断，需及时归档到SOC（安全运营中心）平台，并且作为事件来跟进处理。

3.例行审计

数据分析

利用大数据分析技术，对采集到的所有安全日志进行深度分析，形成分析后的数据结果，再由系统或人工识别潜在的安全威胁。分析手段通常可以考虑：删除无风险的安全日志（比如本区域内的数据访问、团队固定访问的白名单系统）、对重点人员的日志提取、关键IP的数据流量分析等。

人工审计

通常情况，安全审计人员需要对每天对分析后的数据结果进行人工判断或复核，检查是否有违规操作、异常访问等行为。对于确认后的异常行为，仍需要形成事件在SOC平台中跟进。

9.8.2漏洞管理

漏洞管理是指通过发现、评估、修复和预防系统和应用中的安全漏洞，确保系统的安全和稳定。其实，在前面的章节介绍网络安全产品时，已经对漏洞做过一定的阐述，本章节主要是针对漏洞如何做管理。漏洞管理流程主要是如下几个过程：

1.漏洞扫描

定期扫描

使用专业的漏洞扫描工具（如Nessus，Awvs等），定期扫描操作系统、网络和Web应用等，识别潜在的安全漏洞。

实时扫描

针对关键系统和高风险区域，一旦有新的系统变更，或者有0day漏洞被发现时，利用工具进行实时漏洞扫描，及时发现新漏洞。

2.漏洞评估

风险评估

对发现的漏洞进行风险评估，评估漏洞的影响范围和严重程度。一般来说，扫描工具给出的等级（比如“致命”、“严重”等），可以作为参考，但实际上是不是要修复，在何时修复，需要根据漏洞被利用的条件综合评估。比如该系统前面有WAF可拦截，或该服务器只能在内部访问时，风险等级可以适当降低或延后修复。

优先级设定

根据风险评估的结果，对漏洞进行分类和优先级设定，确保高风险漏洞优先修复。对于优先级最高的漏洞，需要找到Owner负责，并且需要将该漏洞修复任务作为事件来跟进。

3.漏洞修复

补丁修复

在终端管理中也介绍过补丁管理，此处的补丁不再局限于对操作系统、应用系统的安全补丁，也可