信息安全-信息安全运营（安全监控与审计 漏洞管理）

本期看点

前期已发布并完结IT建设之路（专业技术篇），包括“企业IT管理”、“IT技术架构”、“信息安全”、“应用架构”、“数据架构”。接下来几期将为大家增补信息安全中的“信息安全运营”。

信息安全管理除了技术工具、管理体系，还需要进行持续运营，包括安全监控与审计、漏洞管理、事件响应、建立安全运营中心（SOC）、宣传培训。本期介绍如何进行安全监控与审计、漏洞管理？

目录

信息安全

1. 信息安全原则策略
2. 网络安全防护
3. 终端安全
4. 信息安全管理体系

5. 数据安全
6. 信息安全运营

   6.1 安全监控与审计  ←←本文
   6.2 漏洞管理  ←←本文
   6.3 事件响应与持续改进
   6.4 SOC平台建设
   6.5 宣传培训

信息安全运营

定义

之前介绍了那么多信息安全管理手段和措施，但信息安全管理和IT的其他工作一样，是一个持续建设和持续优化的运营工作，即信息安全运营。信息安全运营包括安全监控与审计、漏洞管理、事件响应、建立安全运营中心（SOC），以及对公司内部的定期宣传培训等内容，以确保信息系统的机密性、完整性和可用性。

01

安全监控与审计

安全监控与审计是信息安全运营的根本，通过对涉及信息安全的网络、服务器、终端、IT应用系统的持续性监控，并结合自动化审计和人工复查手段，以发现并应对安全威胁。

常见的安全监控手段在前面的工作中已经覆盖到终端、服务器、网络及相关威胁防护手段，以及包括常见的DLP技术。针对这些设备或软件的监控数据，以及公司内部关键系统的相关日志，我们需要关注如下几点：

1 安全日志记录

日志采集

采集所有安全设备上的相关数据和日志，以及重要系统和应用的安全日志，都需要记录，例如：终端和服务器的文件和相关操作日志、防火墙/IPS/WAF/DLP/零信任等相关设备和软件的登录日志、访问日志、告警日志等。

日志存储

一个中型公司每天产生的安全日志，可能都是数G甚至数十G的数据量，那么一个安全的、持久的存储，在后续的审计和追溯中都是非常重要的。通常除了相关设备或软件本地的磁盘存储外，还需要有一个可扩展、容量大、性能不需要非常好的设备，以便在需要时进行追溯和分析。

2 实时监控与告警

网络流量监控

监控网络中的数据流动，识别可疑的流量，对于加密的数据流量，识别关键IP的流量、外网流量、某终端流量是否异常，以便及时发现和阻止入侵活动。这往往需要企业内部的安全人员设计相关规则，并结合网络流量采集和分析软件来监控，一旦触发相关规则，需及时告警。

系统行为监控

设计相关的系统异常行为的规则，比如在非工作日时间的异常访问、频繁（在一段时间内超过几次）的攻击日志、后缀名改名、大量数据的拷贝或上传、频繁登录失败、突然高流量等系统异常行为，需要及时通过微信、短信、邮件等方式通知安全团队人员。

告警信息汇总

上述告警信息，往往需要人员介入判断，需及时归档到SOC（安全运营中心）平台，并且作为事件来跟进处理。

3 例行审计

数据分析

利用大数据分析技术，对采集到的所有安全日志进行深度分析，形成分析后的数据结果，再由系统或人工识别潜在的安全威胁。分析手段通常可以考虑：删除无风险的安全日志（比如本区域内的数据访问、团队固定访问的白名单系统）、对重点人员的日志提取、关键IP的数据流量分析等。

人工审计

通常情况，安全审计人员需要对每天对分析后的数据结果进行人工判断或复核，检查是否有违规操作、异常访问等行为。对于确认后的异常行为，仍需要形成事件在SOC平台中跟进。

02

漏洞管理

漏洞管理是指通过发现、评估、修复和预防系统和应用中的安全漏洞，确保系统的安全和稳定。其实，在前面的章节介绍网络安全产品时，已经对漏洞做过一定的阐述，本章节主要是针对漏洞如何做管理。漏洞管理流程主要是如下几个过程：

1 漏洞扫描

定期扫描

使用专业的漏洞扫描工具（如Nessus，Awvs等），定期扫描操作系统、网络和Web应用等，识别潜在的安全漏洞。

实时扫描

针对关键系统和高风险区域，一旦有新的系统变更，或者有0day漏洞被发现时，利用工具进行实时漏洞扫描，及时发现新漏洞。

2 漏洞评估

风险评估

对发现的漏洞进行风险评估，评估漏洞的影响范围和严重程度。一般来说，扫描工具给出的等级（比如“致命”、“严重”等），可以作为参考，但实际上是不是要修复，在何时修复，需要根据漏洞被利用的条件综合评估。比如该系统前面有WAF可拦截，或该服务器只能在内部访问时，风险等级可以适当降低或延后修复。

优先级设定

根据风险评估的结果，对漏洞进行分类和优先级设定，确保高风险漏洞优先修复。对于优先级最高的漏洞，需要找到Owner负责，并且需要将该漏洞修复任务作为事件来跟进。

3 漏洞修复

补丁修复

在终端管理中也介绍过补丁管理，此处的补丁不再局限于对操作系统、应用系统的安全补丁，也可能是需要修改部分代码、修改简单密码等。

临时措施

在无法及时修复的情况下，采取应急措施，如隔离服务器、限制系统访问的范围、增加相应的安全防护软件或设备等。

4 验证与追踪

修复验证

在修复漏洞后，安全人员需要对系统再进行扫描、测试，确保漏洞确实被修复。

跟踪报告

针对比较复杂的漏洞修复过程，需要记录漏洞的修复和验证过程，由安全人员与该漏洞Owner共同编写详细的漏洞管理报告，再关闭该漏洞对应的事件。

下期将介绍：信息安全-信息安全运营之事件响应与持续改进、SOC平台建设、宣传培训。

内容还行？点击上面鼓励他们一下吧！

注：部分文字和图片源自互联网，整理并分享文章是为了更好地传递IT知识经验。若侵犯了您的合法权益，请后台留言。如情况属实，我们会第一时间删除并向您致歉。