什么是安全运营
安全运营是指通过持续监控、有效响应和漏洞管理等措施,保护组织的信息技术系统免受网络威胁和攻击,确保数据安全、系统可用性和业务连续性的活动和实践
信息安全(CIA)三要素
| 机密性 (Confidentiality) | 确保信息只能被授权的个人、实体或系统访问,未经授权者无法获得或查看信息内容。 保持信息的机密性可以防止敏感信息泄露给未授权的人员或系统,从而保护信息的完整性和可信度 |
|---|---|
| 完整性 (Intergrity) | 确保信息在创建、传输、存储过程中没有被意外地篡改、损坏或未经授权地修改。 保持信息的完整性可以确保信息的准确性和可靠性,避免因信息篡改而导致的误导、损失或安全问题 |
| 可用性 (Availability) | 确保信息在需要时能够及时可靠地访问和使用。 信息和信息系统需要在面对意外事件或恶意攻击时保持可用状态,不因各种故障或攻击而无法访问或使用,从而保证业务连续性和效率 |
安全合规小结
| 合规性审查与评估 | 审查和评估组织是否符合适用的法律法规、行业标准、政府规定和内部规定。这包括定期进行合规性检查,以确保网络安全策略、程序和控制措施的有效性和合规性 |
|---|---|
| 数据保护与隐私 | 确保数据保护和隐私保护措施符合适用的数据保护法律(如GDPR、CCPA等)和行业标准。包括数据收集、处理、存储、传输和销毁过程中的安全措施和合规要求 |
| 安全标准和框架遵循 | 遵循行业标准和安全框架,如ISO 27001信息安全管理系统、NIST Cybersecurity Framework等,以指导和实施网络安全控制措施,并确保符合这些标准的要求 |
| 访问控制和身份验证 | 实施有效的访问控制措施和身份验证机制,以限制对系统和数据的访问,并确保只有授权人员能够访问和处理敏感信息 |
| 风险管理和合规监控 | 实施风险管理流程,定期评估网络安全威胁和漏洞,并采取必要的措施来管理和减少风险。同时,监控合规状态,及时发现和应对合规问题和违规行为 |
| 安全意识培训与教育 | 提供员工和相关利益相关者必要的网络安全培训和教育,以增强他们的安全意识,使其能够识别和应对潜在的安全威胁和风险 |
| 应急响应和事件管理 | 建立和维护有效的应急响应计划和事件管理流程,以及时应对网络安全事件和数据泄露,减少潜在损失和影响 |
| 监管合规报告与沟通 | 定期向监管机构、内部管理层和其他利益相关者报告网络安全合规状况,保持沟通和透明度 |
运营流程
| 确立 - 安全目标 | 明确保障的目标有哪些 圈定保障的范围 确立保障目标所需能力 |
|---|---|
| 梳理 - 资产清单 | 梳理资产及对应业务清单 明确资产所属部门及责任人 明确资产&业务重要性 |
| 整合 - 安全能力 | 明确达成保障目标及范围现有的安全能力 梳理各项能力的安全策略进行方案调整 完成各安全能力与运营平台的对接 |
| 沉淀 - 运营经验 | 梳理过往常见安全问题和日常事务 梳理过往常规安全工作处置办法 梳理过往运营团队组织人员分工 |
| 建立 - 机制流程 | 基于以上信息完成各体系权责划分 基于建设思路进行场景分类与事件分类 基于场景及运营经验构建机制流程 |
应急响应常见流程
准备 -> 检测 -> 抑制 -> 根除 -> 恢复 -> 总结
| 准备 | 建立应急响应团队:确定应急响应团队的成员及其职责。包括安全专家、系统管理员和相关利益相关者 建立应急响应计划:制定详细的应急响应计划,包括流程、联系方式、紧急联系人信息等 配置监控和日志记录:确保系统中配置了足够详细的监控和日志记录,以便在有安全事件发生时能够及时检测和响应 |
|---|---|
| 检测 | 安全事件检测:使用安全信息和事件管理系统(SIEM)、入侵检测系统(IDS/IPS)等工具来实时监测系统和网络活动 异常行为分析:分析日志和监控数据,寻找异常行为模式,如未经授权的访问、异常流量等 |
| 抑制 | 快速响应措施:一旦发现异常活动,立即采取措施限制其影响范围,如隔离受感染系统、关闭漏洞等 恢复关键服务:确保重要服务仍能正常运行,可以考虑临时修复措施来保持业务连续性 |
| 根除 | 确定根本原因:分析安全事件的根本原因,如漏洞、恶意软件等,并进行彻底的修复措施 修复系统漏洞:更新和修补系统,确保不再受到同类攻击的影响 |
| 恢复 | 系统恢复:恢复受影响系统到正常运行状态,包括数据恢复、服务重新启动等 完整性检查:确保恢复的数据和系统完整性,通过测试验证系统的正常运行 |
| 总结 | 事件总结和报告:记录整个事件响应过程,包括发现、响应、修复的详细步骤和时间线 经验教训学习:评估响应过程中的成功和失败点,提出改进建议,以提高未来应急响应的效率和效果 |
常见安全事件
- 中病毒(勒索、挖矿等)
- 信息泄露(账号信息、敏感资料)
- 业务服务器被破坏(网页篡改、破坏、数据被删等)
- 系统崩溃、网络瘫痪(DDOS、批量请求)
| DDOS攻击 | 流量清洗设备 增加带宽 封禁IP 负载均衡,搭建反向代理 |
|---|---|
| 勒索病毒 | 定期备份数据 隔离受感染系统 断开网络连接 检测网段间是否存在横向攻击 |
| 挖矿木马 | 立即隔离受感染主机 查看网络连接 停止挖矿进程 检测后门 打补丁 查看日志检测内网是否存在横向主机沦陷 |
| 无文件落地 | 隔离受感染系统 内存马查杀 检测后门 打补丁 查看日志检测内网是否存在横向主机沦陷 |
| 钓鱼应急 | 隔离钓鱼主机并断网,防止横向 检查是否后门,分析钓鱼邮件 加强员工安全意识培训 |
| 数据劫持 | 立即隔离系统 查看日志被入侵痕迹 检测后门 恢复系统 更新补丁 |
| Webshell | 隔离系统 Webshell查杀 是否内网存在横向攻击行为 后门检测 Web日志审计 打补丁 |
安全领域划分
| 网络安全 (Network Security) | 网络基础设施、通信传输安全、防火墙、入侵检测系统(IDS)、虚拟私人网络(VPN)等。 |
|---|---|
| 主机安全 (Host Security) | 操作系统(如Linux、Windows等)和服务器的安全性,包括补丁管理、安全配置、访问控制等 |
| 应用安全 (Application Security) | 软件应用程序的安全性,包括开发过程中的安全编码实践、漏洞扫描、代码审计、安全测试等 |
| 容器安全 (Container Security) | 容器化技术(如Docker、Kubernetes等)的安全性,包括镜像安全、容器配置、运行时安全、网络隔离等 |
| 数据安全 (Data Security) | 数据的保护和隐私,包括加密、访问控制、数据备份与恢复、合规性要求等 |
| 移动安全 (Mobile Security) | 移动设备(如智能手机、平板电脑)和移动应用程序的安全保护,包括数据加密、远程擦除、应用审计等 |
| 云安全 (Cloud Security) | 云计算环境(如公有云、私有云、混合云)的安全性保护,包括数据隔离、身份认证、合规性管理等 |
| 物联网安全 (IoT Security) | 物联网设备的安全性,包括设备认证、固件更新、通信安全、物理安全等 |
| ······ | ······ |
应急响应等级划分
| 紧急级别(Critical) | 导致重大的业务中断、数据丢失、财务损失或者对公众安全产生威胁。 |
|---|---|
| 高级别 (High) | 严重的安全漏洞、大规模的网络攻击或者数据泄露等,已经对组织的重要业务或关键信息造成了实质性的威胁和损害 |
| 中级别 (Medium) | 涉及到多个用户或系统的受影响,或者是已知恶意软件的大规模传播,但尚未对整体业务造成严重影响 |
| 低级别 (Low) | 一些较为普通和简单的问题,例如单个用户的计算机感染了一种已知的恶意软件,或者个别网络服务出现了轻微的中断 |
资产划分
| 核心资产 | 这些是组织中最关键的资产,对业务运作至关重要,其丢失或遭到损害可能会对业务造成严重影响甚至停摆 安全事件分级应该是高级别的,通常是最高级别,需要立即响应和全力以赴的处理 - 例子:核心数据库、关键客户数据、核心业务系统等 |
|---|---|
| 重要资产 | 这些资产对业务运作来说非常重要,但如果遭到损害,业务可通过备份或其他措施进行较快恢复 安全事件分级通常是中等或次高级别,需要快速响应和有效处理,以减少对业务的影响 例子:用户个人数据、业务关键文件、支付系统等 |
| 一般资产 | 这些资产对业务的影响较小,即使受到影响,业务也可以相对轻松地进行恢复或替代 安全事件分级是最低级别,处理可以有所延迟或依据实际情况而定 例子:公共信息、一般办公文档、非关键的内部系统等 |
资产清单划分
| 硬件资产 | 服务器 路由器、交换机 存储设备 终端设备(工作站、办公笔记本、手机等) |
|---|---|
| 软件资产 | 操作系统(Windows、Linux) 应用程序:ERP系统、CRM系统、数据库管理系统、电子邮件服务器等 安全软件及工具:防火墙、IDS、IPS、WAF等 |
| 数据资产 | 业务数据:客户信息、财务数据、产品数据等 敏感信息:员工身份信息等 |
| 网络资产 | 域名和IP VPN等远程访问设备 |
| 云资产 | 托管在云上的虚拟机、存储、数据库等 |
| 人员和身份资产 | 员工ID、访问权限 第三方和合作伙伴账号信息 |
| 物理资产 | 门禁系统等安全设备 |
| 知识资产 | 机密和核心业务信息:研发项目、商业计划、市场战略 |