企业信息安全运维要点剖析

1.运维工作分类在甲方工作多年，对甲方运维工作做下总结，主要工作包以下几方面：1.1.安全设备运维包括安全设备的配置、备份、日常巡检等工作。这部分工作很多甲方因为人力的原因很难做起来，如防火墙、入侵检测系统、堡垒机、企业杀毒软件等安全设备的日常配置、日志审计，可能日常的配置因为业务需求的原因能及时做支持，安全设备日志审计因为各种原因很难做成。1.2.安全资产管理通常资产管理属于甲方的IT运维的部分负责，可能有正常的流程支持IP资产上线，大多情况下是研发、测试或运维都有可能部署IP资产，实际上线的IP资产比较混乱，另外，由于上线时间较长，IP设备的业务负责人可能也不清楚，也碰到过只有业务人员知道操作系统的登录密码而运维却不知道的情况。

个人觉得安全资产管理属于安全技术运维里的重要的部分，安全资产资产发现又是安全资产管理的重要部分，另外一部分是IP设备的加固，包括漏洞管理、补丁管理、杀毒软件管理、主机入侵检测管理。涉及到与甲方的各个部门进行沟通，在没有考核的情况下这部分也是很难做好。最后是业务分级、资产分级，不同级别的资产能够采用不同级别的防护。1.3.软件安全开发生命周期安全部门完全参与软件开发的需求阶段、设计阶段、实施阶段、验证阶段、发布阶段、支持和服务阶段。这部分主要工作为培训、代码审计和渗透测试工作。需要适合自己组织的安全开发培训材料和资料（知识库），需要适合自己组织的安全开发流程，在业务上线的早期参与进去。阻碍主要是业务的时间要求，安全人员能力等，这部分也是甲方安全工作的重要部分，做的好和不好对安全的结果影响很大。1.4.迎检工作迎检工作和重大社会活动的安全保障工作，这部分工作占组织安全工作的很大一块比例，这部分跟安全管理工作有比较多的联系，有完善的、适合自己组织的制度和流程，有正常的记录文件可以减轻迎检时的工作量，没有制度、流程或者制度、流程执行不规范，每次迎检都需要提前做好大量工作，效果也不一定好。重大社会活动期间的安全保障工作，结合安全事件响应和应急演练，做好一套完善的流程和规范，可以复用的东西1.5.应急响应工作安全事件演练和应急响应工作，制定标准化的安全事件响应流程，在遇到突发安全事件知道该怎么处理。日常备份工作放到这里，备份频率、备份的有效性检测，相关的实施手册的制定和修订1.6.安全管理工作包括安全策略、安全制度、规范、安全流程、标准、指南、基线等所有安全管理相关的文档制定、版本修改，监督执行情况，这部分参考ISO27000系列、等保标准Bro，可以分析所有流量数据，如获得HTTP请求的POST数据，有威胁情报的插件，可以直接分析流量获得威胁情报事件；网络入侵检测系统，从设备上也能获得安全事件日志，开源的如Snort和Suricata。DDos监控，如fastnetmon/pavel-odintsov/fastnetmonNetflow，流量分析，比较适用于纯运维工作。2.6日志管理（SIEM）SIEM的部署或开发思路可以参考OSSIM，首先分析需要收集哪些日志，哪些日志可以做关联，通过这些日志能分析出哪些安全事件，其他安全事件怎么处理。

能收集的日志参考：安全设备日志Web日志主机入侵检测日志主机操作历史日志主机应用日志业务日志（如登录事件、关键业务操作事件）。。。411/etsy/411，可以设置查询ELK的条件，发送邮件告警。2.7安全开发生命周期算是结合DevOps的相关系统静态代码自动化安全测试平台，SonarQube、FindSecurityBugs，开源，可以和研发现有的Jenkins、Git、SVN集成在一起，Cobra/wufeifei/cobra这个工具也不错；第三方依赖安全扫描工具，OWASPDependencyCheck，免费，可以和研发现有的Jenkins集成在一起；动态应用程序自动化安全测试平台，OWASPZAP、Arachni、AWVS、ThreadFix，部分开源，也可以和研发现有的Jenkins、Git、SVN集成在一起；移动APP漏洞自动化检测平台，MobSF、Inspeckage，开源，可执行静态代码检测+动态代码检测。

主要目的是自动化完成一部分安全测试工作，增加开发部署的速度。2.8知识库系统包括安全部门的各种制度、漏洞的修复方法、内部培训资料等所有安全文档可以集成到一个合适的知识库平台，方便组织所有人员使用，也能减轻由于人员离职导致的各种问题。需要做好权限分配，哪些可以公开，哪些只能部分人使用。2.9安全应急响应中心热心群众发现的问题有路子