- 1、本文档共13页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
PAGE
PAGE1
企业IT管理之信息安全
-信息安全运营与信息安全建议
TOC\o1-4\h\z\u九、信息安全 2
9.8信息安全运营 2
9.8.1安全监控与审计 2
9.8.2漏洞管理 4
9.8.3事件响应与持续改进 5
9.8.4SOC平台建设 6
9.8.5宣传培训 8
9.9信息安全建议与心得 9
9.9.1终端安全管控 9
9.9.2网络安全之准入 10
9.9.3网络安全之服务器 10
9.9.4网络安全之应用 11
9.9.5网络安全之邮件 12
9.9.6高级数据安全措施 12
九、信息安全
9.8信息安全运营
之前介绍了那么多信息安全管理手段和措施,但信息安全管理和IT的其他工作一样,是一个持续建设和持续优化的运营工作,即信息安全运营。信息安全运营包括安全监控与审计、漏洞管理、事件响应、建立安全运营中心(SOC),以及对公司内部的定期宣传培训等内容,以确保信息系统的机密性、完整性和可用性。
9.8.1安全监控与审计
安全监控与审计是信息安全运营的根本,通过对涉及信息安全的网络、服务器、终端、IT应用系统的持续性监控,并结合自动化审计和人工复查手段,以发现并应对安全威胁。
常见的安全监控手段在前面的工作中已经覆盖到终端、服务器、网络及相关威胁防护手段,以及包括常见的DLP技术。针对这些设备或软件的监控数据,以及公司内部关键系统的相关日志,我们需要关注如下几点:
1.安全日志记录
日志采集
采集所有安全设备上的相关数据和日志,以及重要系统和应用的安全日志,都需要记录,例如:终端和服务器的文件和相关操作日志、防火墙/IPS/WAF/DLP/零信任等相关设备和软件的登录日志、访问日志、告警日志等。
日志存储
一个中型公司每天产生的安全日志,可能都是数G甚至数十G的数据量,那么一个安全的、持久的存储,在后续的审计和追溯中都是非常重要的。通常除了相关设备或软件本地的磁盘存储外,还需要有一个可扩展、容量大、性能不需要非常好的设备,以便在需要时进行追溯和分析。
2.实时监控与告警
网络流量监控
监控网络中的数据流动,识别可疑的流量,对于加密的数据流量,识别关键IP的流量、外网流量、某终端流量是否异常,以便及时发现和阻止入侵活动。这往往需要企业内部的安全人员设计相关规则,并结合网络流量采集和分析软件来监控,一旦触发相关规则,需及时告警。
系统行为监控
设计相关的系统异常行为的规则,比如在非工作日时间的异常访问、频繁(在一段时间内超过几次)的攻击日志、后缀名改名、大量数据的拷贝或上传、频繁登录失败、突然高流量等系统异常行为,需要及时通过微信、短信、邮件等方式通知安全团队人员。
告警信息汇总
上述告警信息,往往需要人员介入判断,需及时归档到SOC(安全运营中心)平台,并且作为事件来跟进处理。
3.例行审计
数据分析
利用大数据分析技术,对采集到的所有安全日志进行深度分析,形成分析后的数据结果,再由系统或人工识别潜在的安全威胁。分析手段通常可以考虑:删除无风险的安全日志(比如本区域内的数据访问、团队固定访问的白名单系统)、对重点人员的日志提取、关键IP的数据流量分析等。
人工审计
通常情况,安全审计人员需要对每天对分析后的数据结果进行人工判断或复核,检查是否有违规操作、异常访问等行为。对于确认后的异常行为,仍需要形成事件在SOC平台中跟进。
9.8.2漏洞管理
漏洞管理是指通过发现、评估、修复和预防系统和应用中的安全漏洞,确保系统的安全和稳定。其实,在前面的章节介绍网络安全产品时,已经对漏洞做过一定的阐述,本章节主要是针对漏洞如何做管理。漏洞管理流程主要是如下几个过程:
1.漏洞扫描
定期扫描
使用专业的漏洞扫描工具(如Nessus,Awvs等),定期扫描操作系统、网络和Web应用等,识别潜在的安全漏洞。
实时扫描
针对关键系统和高风险区域,一旦有新的系统变更,或者有0day漏洞被发现时,利用工具进行实时漏洞扫描,及时发现新漏洞。
2.漏洞评估
风险评估
对发现的漏洞进行风险评估,评估漏洞的影响范围和严重程度。一般来说,扫描工具给出的等级(比如“致命”、“严重”等),可以作为参考,但实际上是不是要修复,在何时修复,需要根据漏洞被利用的条件综合评估。比如该系统前面有WAF可拦截,或该服务器只能在内部访问时,风险等级可以适当降低或延后修复。
优先级设定
根据风险评估的结果,对漏洞进行分类和优先级设定,确保高风险漏洞优先修复。对于优先级最高的漏洞,需要找到Owner负责,并且需要将该漏洞修复任务作为事件来跟进。
3.漏洞修复
补丁修复
在终端管理中也介绍过补丁管理,此处的补丁不再局限于对操作系统、应用系统的安全补丁,也可
您可能关注的文档
- 企业IT管理_07企业信息安全_06信息安全运营与信息安全建议.pdf
- IT工程师必备技能_性能测试、分析、优化的方法论.docx
- IT工程师必备技能_性能测试、分析、优化的方法论.pdf
- 语文(全国卷03)(考试版A4).docx
- 语文(天津卷02)(全解全析).docx
- 英语译林四(上)Unit4 第3课时 Sound time&Song time&Checkout time&Ticking time.pptx
- 10 河南 王真 教学课件 .ppt
- 5.9 面积练习(2)课件.pptx
- 福清市小学英语闽教版五年级上册U3Part A 硋灶中心小学.ppt
- 长方体和正方体的认识(第2课时)_教学课件.pptx
文档评论(0)