【网络安全】安全运营知识点小结

Hello_Brian

已于 2024-08-05 09:52:23 修改

阅读量1.1k

点赞数 23

文章标签：安全运营网络安全安全架构系统安全安全威胁分析

于 2024-08-05 00:24:56 首次发布

本文链接：https://blog.csdn.net/qq_48201589/article/details/140914745

版权

什么是安全运营

安全运营是指通过持续监控、有效响应和漏洞管理等措施，保护组织的信息技术系统免受网络威胁和攻击，确保数据安全、系统可用性和业务连续性的活动和实践

信息安全（CIA）三要素

机密性（Confidentiality）	确保信息只能被授权的个人、实体或系统访问，未经授权者无法获得或查看信息内容。保持信息的机密性可以防止敏感信息泄露给未授权的人员或系统，从而保护信息的完整性和可信度
完整性（Intergrity）	确保信息在创建、传输、存储过程中没有被意外地篡改、损坏或未经授权地修改。保持信息的完整性可以确保信息的准确性和可靠性，避免因信息篡改而导致的误导、损失或安全问题
可用性（Availability）	确保信息在需要时能够及时可靠地访问和使用。信息和信息系统需要在面对意外事件或恶意攻击时保持可用状态，不因各种故障或攻击而无法访问或使用，从而保证业务连续性和效率

安全合规小结

合规性审查与评估	审查和评估组织是否符合适用的法律法规、行业标准、政府规定和内部规定。这包括定期进行合规性检查，以确保网络安全策略、程序和控制措施的有效性和合规性
数据保护与隐私	确保数据保护和隐私保护措施符合适用的数据保护法律（如GDPR、CCPA等）和行业标准。包括数据收集、处理、存储、传输和销毁过程中的安全措施和合规要求
安全标准和框架遵循	遵循行业标准和安全框架，如ISO 27001信息安全管理系统、NIST Cybersecurity Framework等，以指导和实施网络安全控制措施，并确保符合这些标准的要求
访问控制和身份验证	实施有效的访问控制措施和身份验证机制，以限制对系统和数据的访问，并确保只有授权人员能够访问和处理敏感信息
风险管理和合规监控	实施风险管理流程，定期评估网络安全威胁和漏洞，并采取必要的措施来管理和减少风险。同时，监控合规状态，及时发现和应对合规问题和违规行为
安全意识培训与教育	提供员工和相关利益相关者必要的网络安全培训和教育，以增强他们的安全意识，使其能够识别和应对潜在的安全威胁和风险
应急响应和事件管理	建立和维护有效的应急响应计划和事件管理流程，以及时应对网络安全事件和数据泄露，减少潜在损失和影响
监管合规报告与沟通	定期向监管机构、内部管理层和其他利益相关者报告网络安全合规状况，保持沟通和透明度

运营流程

确立 - 安全目标	明确保障的目标有哪些圈定保障的范围确立保障目标所需能力
梳理 - 资产清单	梳理资产及对应业务清单明确资产所属部门及责任人明确资产&业务重要性
整合 - 安全能力	明确达成保障目标及范围现有的安全能力梳理各项能力的安全策略进行方案调整完成各安全能力与运营平台的对接
沉淀 - 运营经验	梳理过往常见安全问题和日常事务梳理过往常规安全工作处置办法梳理过往运营团队组织人员分工
建立 - 机制流程	基于以上信息完成各体系权责划分基于建设思路进行场景分类与事件分类基于场景及运营经验构建机制流程

应急响应常见流程

准备 -> 检测 -> 抑制 -> 根除 -> 恢复 -> 总结

准备	建立应急响应团队：确定应急响应团队的成员及其职责。包括安全专家、系统管理员和相关利益相关者建立应急响应计划：制定详细的应急响应计划，包括流程、联系方式、紧急联系人信息等配置监控和日志记录：确保系统中配置了足够详细的监控和日志记录，以便在有安全事件发生时能够及时检测和响应
检测	安全事件检测：使用安全信息和事件管理系统（SIEM）、入侵检测系统（IDS/IPS）等工具来实时监测系统和网络活动异常行为分析：分析日志和监控数据，寻找异常行为模式，如未经授权的访问、异常流量等
抑制	快速响应措施：一旦发现异常活动，立即采取措施限制其影响范围，如隔离受感染系统、关闭漏洞等恢复关键服务：确保重要服务仍能正常运行，可以考虑临时修复措施来保持业务连续性
根除	确定根本原因：分析安全事件的根本原因，如漏洞、恶意软件等，并进行彻底的修复措施修复系统漏洞：更新和修补系统，确保不再受到同类攻击的影响
恢复	系统恢复：恢复受影响系统到正常运行状态，包括数据恢复、服务重新启动等完整性检查：确保恢复的数据和系统完整性，通过测试验证系统的正常运行
总结	事件总结和报告：记录整个事件响应过程，包括发现、响应、修复的详细步骤和时间线经验教训学习：评估响应过程中的成功和失败点，提出改进建议，以提高未来应急响应的效率和效果

常见安全事件

中病毒（勒索、挖矿等）
信息泄露（账号信息、敏感资料）
业务服务器被破坏（网页篡改、破坏、数据被删等）
系统崩溃、网络瘫痪（DDOS、批量请求）

DDOS攻击	流量清洗设备增加带宽封禁IP 负载均衡，搭建反向代理
勒索病毒	定期备份数据隔离受感染系统断开网络连接检测网段间是否存在横向攻击
挖矿木马	立即隔离受感染主机查看网络连接停止挖矿进程检测后门打补丁查看日志检测内网是否存在横向主机沦陷
无文件落地	隔离受感染系统内存马查杀检测后门打补丁查看日志检测内网是否存在横向主机沦陷
钓鱼应急	隔离钓鱼主机并断网，防止横向检查是否后门，分析钓鱼邮件加强员工安全意识培训
数据劫持	立即隔离系统查看日志被入侵痕迹检测后门恢复系统更新补丁
Webshell	隔离系统 Webshell查杀是否内网存在横向攻击行为后门检测 Web日志审计打补丁

安全领域划分

网络安全（Network Security）	网络基础设施、通信传输安全、防火墙、入侵检测系统（IDS）、虚拟私人网络（VPN）等。
主机安全（Host Security）	操作系统（如Linux、Windows等）和服务器的安全性，包括补丁管理、安全配置、访问控制等
应用安全（Application Security）	软件应用程序的安全性，包括开发过程中的安全编码实践、漏洞扫描、代码审计、安全测试等
容器安全（Container Security）	容器化技术（如Docker、Kubernetes等）的安全性，包括镜像安全、容器配置、运行时安全、网络隔离等
数据安全（Data Security）	数据的保护和隐私，包括加密、访问控制、数据备份与恢复、合规性要求等
移动安全（Mobile Security）	移动设备（如智能手机、平板电脑）和移动应用程序的安全保护，包括数据加密、远程擦除、应用审计等
云安全（Cloud Security）	云计算环境（如公有云、私有云、混合云）的安全性保护，包括数据隔离、身份认证、合规性管理等
物联网安全（IoT Security）	物联网设备的安全性，包括设备认证、固件更新、通信安全、物理安全等
······	······

应急响应等级划分

紧急级别（Critical）	导致重大的业务中断、数据丢失、财务损失或者对公众安全产生威胁。
高级别（High）	严重的安全漏洞、大规模的网络攻击或者数据泄露等，已经对组织的重要业务或关键信息造成了实质性的威胁和损害
中级别（Medium）	涉及到多个用户或系统的受影响，或者是已知恶意软件的大规模传播，但尚未对整体业务造成严重影响
低级别（Low）	一些较为普通和简单的问题，例如单个用户的计算机感染了一种已知的恶意软件，或者个别网络服务出现了轻微的中断

资产划分

核心资产	这些是组织中最关键的资产，对业务运作至关重要，其丢失或遭到损害可能会对业务造成严重影响甚至停摆安全事件分级应该是高级别的，通常是最高级别，需要立即响应和全力以赴的处理 - 例子：核心数据库、关键客户数据、核心业务系统等
重要资产	这些资产对业务运作来说非常重要，但如果遭到损害，业务可通过备份或其他措施进行较快恢复安全事件分级通常是中等或次高级别，需要快速响应和有效处理，以减少对业务的影响例子：用户个人数据、业务关键文件、支付系统等
一般资产	这些资产对业务的影响较小，即使受到影响，业务也可以相对轻松地进行恢复或替代安全事件分级是最低级别，处理可以有所延迟或依据实际情况而定例子：公共信息、一般办公文档、非关键的内部系统等

资产清单划分

硬件资产	服务器路由器、交换机存储设备终端设备（工作站、办公笔记本、手机等）
软件资产	操作系统（Windows、Linux）应用程序：ERP系统、CRM系统、数据库管理系统、电子邮件服务器等安全软件及工具：防火墙、IDS、IPS、WAF等
数据资产	业务数据：客户信息、财务数据、产品数据等敏感信息：员工身份信息等
网络资产	域名和IP VPN等远程访问设备
云资产	托管在云上的虚拟机、存储、数据库等
人员和身份资产	员工ID、访问权限第三方和合作伙伴账号信息
物理资产	门禁系统等安全设备
知识资产	机密和核心业务信息：研发项目、商业计划、市场战略