企业信息安全运维要点剖析.docx

企业信息安全运维要点剖析
1. 运维工作分类
在甲方工作多年，对甲方运维工作做下总结，主要工作包以下几方面：
. 安全设备运维
包括安全设备的配置、备份、日常巡检等工作。这部分工作很多甲方因为人力的原因很难做起来，如防火墙、入侵检测系统、堡垒机、企业杀毒软件等安全设备的日常配置、日志审计，可能日常的配置因为业务需求的原因能及时做支持，安全设备日志审计因为各种原因很难做成。
. 安全资产管理
通常资产管理属于甲方的IT运维的部分负责，可能有正常的流程支持IP资产上线，大多情况下是研发、测试或运维都有可能部署IP资产，实际上线的IP资产比较混乱，另外，由于上线时间较长，IP设备的业务负责人可能也不清楚，也碰到过只有业务人员知道操作系统的登录密码而运维却不知道的情况。 
个人觉得安全资产管理属于安全技术运维里的重要的部分，安全资产资产发现又是安全资产管理的重要部分，另外一部分是IP设备的加固，包括漏洞管理、补丁管理、杀毒软件管理、主机入侵检测管理。涉及到与甲方的各个部门进行沟通，在没有考核的情况下这部分也是很难做好。最后是业务分级、资产分级，不同级别的资产能够采用不同级别的防护。
. 软件安全开发生命周期
等，制订的文档要适合自己组织的实际情况，否则很难落实。安全意识培训也可以算作管理工作里面，可以采取不限于培训的多种方式进行意识教育。
. 业务安全
需要安全部门梳理和熟悉自己组织的实际业务流程，可以通过头脑风暴的方式识别潜在的风险点，寻找是否措施识别风险，是否有措施预防或阻止风险，可能需要构建开发相应的系统支持。
. 外联
闭门造车是不行的，总会有安全部门处理不了的情况，这时候就看外部资源是否丰富了，起码能找到知道怎么处理事情的专家。安全部门需要参与外部的一些安全会议、安全沙龙，有条件可以请相应行业的专家在组织内部进行培训。另外的考虑，政府类的安全专家能够帮助安全部门了解和熟悉国家的政策要求，在迎检时也能提前做好准备。部分威胁情报也可以从外联获得。
2. 系统（软件）支持
结合第一部分的安全运维工作内容，如果想要节省人力、提升工作效率、实现安全部门的需求，不免会购买相应产品和自开发安全相关的程序。以下假设基本安全产品（盒子）已经部署，提升安全部门工作能力可能需要增加的系统，也可以做自开发系统的参考。
资产发现
有自研能力首选使用 masscan+nmap 带自开发 UI 的资产管理程序；
IVRE/，通过主动扫描和流量分析2种方式识别 IP 资产；
知道创宇钟馗之眼的企业版？没见过实物，可能有这个东西吧。
如果部署了比较好的运维管理系统，也可以通过运维管理系统识别 IP 资产。
漏洞管理
漏洞管理也是2种思路
主动漏扫，如OpenVAS、绿盟极光、Nessus 等；
主机应用版本库识别的方式，如Vuls-architect/vuls；
巡风也是很不错的东西，可以作为上述2种方法的补充，适合快速检测特定漏洞。
主机入侵检测
比较常见的是OSSEC，包含主机入侵检测、文件完整性分析、rookit分析的功能。新版本的日志可以直接设置成 json