信息安全-信息安全运营（事件响应与持续改进、SOC平台建设、宣传培训）

本期看点

前期已发布并完结IT建设之路（专业技术篇），包括“企业IT管理”、“IT技术架构”、“信息安全”、“应用架构”、“数据架构”。接下来几期将为大家增补信息安全中的“信息安全运营”。

信息安全管理除了技术工具、管理体系，还需要进行持续运营，包括安全监控与审计、漏洞管理、事件响应、建立安全运营中心（SOC）、宣传培训。本期介绍如何进行事件响应与持续改进、SOC平台建设、宣传培训。

目录

信息安全

1. 信息安全原则策略
2. 网络安全防护
3. 终端安全
4. 信息安全管理体系

5. 数据安全
6. 信息安全运营

   6.1 安全监控与审计
   6.2 漏洞管理
   6.3 事件响应与持续改进  ←←本文
   6.4 SOC平台建设  ←←本文
   6.5 宣传培训  ←←本文

03

事件响应与持续改进

事件响应是指在发生安全事件时，企业及时采取一系列行动进行应对，从而为企业规避风险或减少损失，并及时恢复正常运营。持续改进则要求不断优化和完善安全措施。

在大部分企业中，事件的管理相对薄弱，这主要是企业内部的信息安全团队较小，事件的跟进往往是一两个人。但事件除了跟进作用外，还有就是对事件的经验总结、该事件需要的安全改进措施等。

在本章节中，不再赘述事件管理和跟进过程，仅针对事件的范围和经验总结做一个简要说明。

1 事件范围

安全风险告警确认：通过监控系统或者大数据分析系统的告警机制，及时发现安全风险。

可疑行为确认：经过人工审计和确认的可疑行为，需要当事人主管或信息安全主管确认的事件。

漏洞事件跟进：对扫描工具发现的漏洞，及时生成漏洞事件催促对应Owner修复。

信息安全事故调查跟进：对已经确认的安全事故，需要启动调查分析，因为往往会涉及多个部门配合及确认，故需要一个单独事件跟进。

其他需要跟进的事项：信息安全团队内部需要跟进的事项。

2 持续改进

经验总结：每次事件处理后，总结经验和教训，还包括事件发生的原因和改进过程。

优化措施：根据总结的经验，需要优化现有的安全措施和策略，或提高信息安全宣传力度，从而提升整体安全防护能力。

04

SOC平台建设

SOC（Security Operations Center）平台是信息安全运营的核心平台，集成了安全监控、漏洞管理、事件响应、安全报告等功能，而且提供全面的安全态势感知和应对能力。

市面上已经有不少态势感知的产品，可以集成多种安全软件和设备，对日志进行分析，然后做出安全预警和自动响应。在商用的态势感知产品不能完全对接企业的安全软件和设备时，仍需要安全团队自行开发一些分析或响应工具，作为态势感知产品的一个补充。

在此不对态势感知产品做一个推荐，但一个完整的SOC平台，需要考虑如下方面：

1 多种安全产品的集成能力

多源数据采集：需要考虑集成外部的威胁情报，企业内的多种安全设备和软件，如网络流量、系统日志、安全设备日志、威胁情报等，形成全面的安全数据视图。

数据存储与处理：利用大数据平台对海量安全数据进行处理和存储，确保数据的完整性和可用性。

2 综合监控

实时态势感知：利用机器学习和大数据分析技术，对用户和系统行为进行深入分析，发现异常行为和潜在威胁。识别潜在的安全威胁和异常行为。

可视化展示：通过图表、仪表盘等形式，直观展示安全监控的结果，便于分析和决策。

3 自动响应与编排

自动化响应：根据预设的响应策略，对常见的安全事件进行自动响应和处理，提高响应效率，比如自动将网络阻断、IP隔离等。

事件编排：通过编排工具，定义和自动执行复杂的事件响应流程，确保自动化响应的完整性和流程一致性。

4 报告与分析

安全报告：生成定期和实时的安全报告，涵盖安全事件总结、事件处理效果、系统安全态势等内容。

趋势分析：对历史安全数据进行趋势分析，评估安全防护效果，甚至是预测未来的安全威胁。

05

宣传培训

宣传培训是提升员工安全意识和技能的重要手段，确保所有员工了解和遵守信息安全政策和操作规程。在一个企业的安全运营过程中，宣传培训、甚至是安全考试都是贯彻始终的。

1 安全意识培训

全员培训：定期进行全员信息安全培训，提升员工的安全意识，介绍基本的安全知识、公司政策、安全防范技能等。尤其注意的是新员工入职时，就需要对新员工专门的信息安全培训。

专题培训：针对不同部门和岗位，进行定制化的安全培训，如开发人员的安全编码培训、IT运维人员的系统安全管理培训、服务部门在外部客户的安全管理准则培训等。

2 持续宣传

安全文化：通过企业内部网站、邮件、会议等形式，持续宣传信息安全的重要性，营造良好的安全文化氛围。一个好的信息安全宣传，通常是与当前安全风险最高的事件密切配合的，比如勒索病毒、个税退税的“钓鱼”邮件等。

案例分享：分享实际的安全事件案例，可以是外部的知名案例，也可以是公司内部的匿名案例，让员工有切身的感受或体会。

3 考核与评估

知识考核：通过信息安全考试、问卷、甚至是安全团队故意向关键岗位人员发送“钓鱼”邮件等形式，评估员工对信息安全知识的掌握程度和防范意识。

评估反馈：根据考核结果，提供反馈和改进建议，提高培训的效果和针对性。

信息安全运营不同于之前的任何一个信息安全项目，它不再针对信息安全防御能力的建设，而是通过对公司信息安全威胁与风险的及时发现、漏洞的持续改进和定期培训宣贯，使得企业的安全防护能力持续提升，公司全员具备更高的信息安全意识，确保信息系统的长期安全稳定运行。

下期将介绍：内容待定，将根据大家的反馈看是否有内容可以增补。

内容还行？点击上面鼓励他们一下吧！

注：部分文字和图片源自互联网，整理并分享文章是为了更好地传递IT知识经验。若侵犯了您的合法权益，请后台留言。如情况属实，我们会第一时间删除并向您致歉。