《企業(yè)信息安全運維要點剖析.doc》由會員分享，可在線閱讀，更多相關(guān)《企業(yè)信息安全運維要點剖析.doc（7頁珍藏版）》請在裝配圖網(wǎng)上搜索。

. 1. 運維工作分類 在甲方工作多年，對甲方運維工作做下總結(jié)，主要工作包以下幾方面： 1.1. 安全設備運維 包括安全設備的配置、備份、日常巡檢等工作。這部分工作很多甲方因為人力的原因很難做起來，如防火墻、入侵檢測系統(tǒng)、堡壘機、企業(yè)殺毒軟件等安全設備的日常配置、日志審計，可能日常的配置因為業(yè)務需求的原因能及時做支持，安全設備日志審計因為各種原因很難做成。 1.2. 安全資產(chǎn)管理 通常資產(chǎn)管理屬于甲方的IT運維的部分負責，可能有正常的流程支持IP資產(chǎn)上線，大多情況下是研發(fā)、測試或運維都有可能部署IP資產(chǎn)，實際上線的IP資產(chǎn)比較混亂，另外，由于上線時間較長，IP設備的業(yè)務負責人可能也不清楚，也碰到過只有業(yè)務人員知道操作系統(tǒng)的登錄密碼而運維卻不知道的情況。 個人覺得安全資產(chǎn)管理屬于安全技術(shù)運維里的重要的部分，安全資產(chǎn)資產(chǎn)發(fā)現(xiàn)又是安全資產(chǎn)管理的重要部分，另外一部分是IP設備的加固，包括漏洞管理、補丁管理、殺毒軟件管理、主機入侵檢測管理。涉及到與甲方的各個部門進行溝通，在沒有考核的情況下這部分也是很難做好。最后是業(yè)務分級、資產(chǎn)分級，不同級別的資產(chǎn)能夠采用不同級別的防護。 1.3. 軟件安全開發(fā)生命周期 安全部門完全參與軟件開發(fā)的需求階段、設計階段、實施階段、驗證階段、發(fā)布階段、支持和服務階段。這部分主要工作為培訓、代碼審計和滲透測試工作。需要適合自己組織的安全開發(fā)培訓材料和資料（知識庫），需要適合自己組織的安全開發(fā)流程，在業(yè)務上線的早期參與進去。阻礙主要是業(yè)務的時間要求，安全人員能力等，這部分也是甲方安全工作的重要部分，做的好和不好對安全的結(jié)果影響很大。 1.4. 迎檢工作 迎檢工作和重大社會活動的安全保障工作，這部分工作占組織安全工作的很大一塊比例，這部分跟安全管理工作有比較多的聯(lián)系，有完善的、適合自己組織的制度和流程，有正常的記錄文件可以減輕迎檢時的工作量，沒有制度、流程或者制度、流程執(zhí)行不規(guī)范，每次迎檢都需要提前做好大量工作，效果也不一定好。重大社會活動期間的安全保障工作，結(jié)合安全事件響應和應急演練，做好一套完善的流程和規(guī)范，可以復用的東西 1.5. 應急響應工作 安全事件演練和應急響應工作，制定標準化的安全事件響應流程，在遇到突發(fā)安全事件知道該怎么處理。日常備份工作放到這里，備份頻率、備份的有效性檢測，相關(guān)的實施手冊的制定和修訂 1.6. 安全管理工作 包括安全策略、安全制度、規(guī)范、安全流程、標準、指南、基線等所有安全管理相關(guān)的文檔制定、版本修改，監(jiān)督執(zhí)行情況，這部分參考ISO27000系列、等保標準等，制訂的文檔要適合自己組織的實際情況，否則很難落實。安全意識培訓也可以算作管理工作里面，可以采取不限于培訓的多種方式進行意識教育。 1.7. 業(yè)務安全 需要安全部門梳理和熟悉自己組織的實際業(yè)務流程，可以通過頭腦風暴的方式識別潛在的風險點，尋找是否措施識別風險，是否有措施預防或阻止風險，可能需要構(gòu)建開發(fā)相應的系統(tǒng)支持。 1.8. 外聯(lián) 閉門造車是不行的，總會有安全部門處理不了的情況，這時候就看外部資源是否豐富了，起碼能找到知道怎么處理事情的專家。安全部門需要參與外部的一些安全會議、安全沙龍，有條件可以請相應行業(yè)的專家在組織內(nèi)部進行培訓。另外的考慮，政府類的安全專家能夠幫助安全部門了解和熟悉國家的政策要求，在迎檢時也能提前做好準備。部分威脅情報也可以從外聯(lián)獲得。 2. 系統(tǒng)（軟件）支持 結(jié)合第一部分的安全運維工作內(nèi)容，如果想要節(jié)省人力、提升工作效率、實現(xiàn)安全部門的需求，不免會購買相應產(chǎn)品和自開發(fā)安全相關(guān)的程序。以下假設基本安全產(chǎn)品（盒子）已經(jīng)部署，提升安全部門工作能力可能需要增加的系統(tǒng)，也可以做自開發(fā)系統(tǒng)的參考。 2.1 資產(chǎn)發(fā)現(xiàn) 有自研能力首選使用 masscan+nmap 帶自開發(fā) UI 的資產(chǎn)管理程序； IVREhttps://ivre.rocks/，通過主動掃描和流量分析2種方式識別 IP 資產(chǎn)； 知道創(chuàng)宇鐘馗之眼的企業(yè)版？沒見過實物，可能有這個東西吧。 如果部署了比較好的運維管理系統(tǒng)，也可以通過運維管理系統(tǒng)識別 IP 資產(chǎn)。 2.2 漏洞管理 漏洞管理也是2種思路 主動漏掃，如OpenVAS、綠盟極光、Nessus 等； 主機應用版本庫識別的方式，如Vulshttps://github.com/future-architect/vuls； 巡風也是很不錯的東西，可以作為上述2種方法的補充，適合快速檢測特定漏洞。 2.3 主機入侵檢測 比較常見的是OSSEC，包含主機入侵檢測、文件完整性分析、rookit分析的功能。新版本的日志可以直接設置成 json 格式，輸出到 ELK 很方便。 2.4 補丁管理 通過運維系統(tǒng)批量部署補丁可能會方便些，如 SaltStack、Puppet 等。 2.5 流量分析 能監(jiān)控流量的話可以做很多東西 Bro，可以分析所有流量數(shù)據(jù)，如獲得 HTTP 請求的 POST 數(shù)據(jù)，有威脅情報的插件，可以直接分析流量獲得威脅情報事件； 網(wǎng)絡入侵檢測系統(tǒng)，從設備上也能獲得安全事件日志，開源的如 Snort 和 Suricata。 DDos 監(jiān)控，如fastnetmonhttps://github.com/pavel-odintsov/fastnetmon Netflow，流量分析，比較適用于純運維工作。 2.6 日志管理（SIEM） SIEM的部署或開發(fā)思路可以參考OSSIM，首先分析需要收集哪些日志，哪些日志可以做關(guān)聯(lián)，通過這些日志能分析出哪些安全事件，其他安全事件怎么處理。 能收集的日志參考： 安全設備日志 Web日志 主機入侵檢測日志 主機操作歷史日志 主機應用日志 業(yè)務日志（如登錄事件、關(guān)鍵業(yè)務操作事件） 。。。 411https://github.com/etsy/411，可以設置查詢 ELK 的條件，發(fā)送郵件告警。 2.7 安全開發(fā)生命周期 算是結(jié)合 DevOps 的相關(guān)系統(tǒng) 靜態(tài)代碼自動化安全測試平臺，SonarQube、Find Security Bugs，開源，可以和研發(fā)現(xiàn)有的Jenkins、Git、SVN集成在一起，Cobrahttps://github.com/wufeifei/cobra這個工具也不錯； 第三方依賴安全掃描工具，OWASP Dependency Check，免費，可以和研發(fā)現(xiàn)有的Jenkins集成在一起； 動態(tài)應用程序自動化安全測試平臺，OWASP ZAP、Arachni、AWVS、ThreadFix，部分開源，也可以和研發(fā)現(xiàn)有的Jenkins、Git、SVN集成在一起； 移動APP漏洞自動化檢測平臺，MobSF、Inspeckage，開源，可執(zhí)行靜態(tài)代碼檢測+動態(tài)代碼檢測。 主要目的是自動化完成一部分安全測試工作，增加開發(fā)部署的速度。 2.8 知識庫系統(tǒng) 包括安全部門的各種制度、漏洞的修復方法、內(nèi)部培訓資料等所有安全文檔可以集成到一個合適的知識庫平臺，方便組織所有人員使用，也能減輕由于人員離職導致的各種問題。需要做好權(quán)限分配，哪些可以公開，哪些只能部分人使用。 2.9 安全應急響應中心 熱心群眾發(fā)現(xiàn)的問題有路子提交，有獎勵鼓勵，報到自己平臺的漏洞總比報到其他平臺上容易處理，有資源的話還是部署一個好。 2.10 基于 OpenResty 的 WAF 方便部署，方便配置檢測和阻斷規(guī)則，可以作為業(yè)務安全防護的補充，需要點開發(fā)量 精選word范本！