一.運營基礎概念
1.關鍵主題
1)維護運營彈性
關鍵業務有彈性，保持連續性，制訂有應急預案，實時監控和響應
2)保護有價值的資產
提供各種資產的日常維護
保護資產不被破壞
3)控制系統賬號
對各種帳號（尤其是特權帳號）的檢查，平衡用途
4)有效管理安全服務

IT服務的變更、配置和問題管理
安全配置流程控制，如用戶配置和服務臺程序
關注報告和服務持續改進實踐

2.行政管理
2.1.職責分離
定義：將一個關鍵任務分成不同的部分，每個部分由不同的人來執行。
一種防御性措施；減少故意破壞的機率，實現互相制約；減少無意的疏漏和錯誤的機率，實現互補。
1）系統管理員
系統日常管理
2）操作員
工作職責：進行主機的日常操作，確保預定的工作有效進行和解決可能出現的問題 。
權限說明：操作員具有很高的權限，但低于系統管理員，這些權限可以規避系統的安全策略，應監控這些特權使用并進行日志審計。
3）安全管理員
作用：定義系統安全設置并協同管理員進行相關配置，提供一種權利制衡，為系統管理員提供審計和審查活動
主要職責

賬號管理
敏感標簽的分配
系統安全設置
審計數據的評審
幫助/服務臺人員
提供一線支持
在需要時重置用戶密碼
進行監控和背景調查

4）普通用戶
需要訪問信息技術資源
2.2.崗位輪換
解決單點故障，檢測性控制，當崗位輪換后，可以有時間和空間檢測上一任的情況，是減少合謀的最佳方法。
2.3.最小特權和“知其所需”
2.4.強制休假
2.5.人員管理
1）運營人員的要求負責、謹慎、明智和有能力的人
2）安全管理員與網絡管理員：

關注方向不同
實現和維護安全設備與軟件
執行安全評估
創建和維護用戶資料，實現和維護訪問控制機制
配置和維護強制訪問控制措施（MAC）環境中的安全標簽
管理口令策略
檢查審計日志

2.6.特權帳號
1）Root or內置管理員帳號
用于管理設備和系統全能默認賬號
安全控制

更名盡可能的嚴格
默認密碼要修改
Logs記錄個人使用 root賬號的行為

使用root帳號遠程登錄時

會話應執行強加密和監控
使用多因子的身份驗證方法

2）服務帳號
由系統服務和核心應用所使用的特權訪問
3）管理員帳號

被分配給需要系統特權訪問來執行維護任務的指定個人
應與用戶的普通賬號分開
賬號密碼應安全可靠的分發給個人
管理員應書面承認接收賬號并遵守組織規則
賬號不再使用應立即去除
所有的活動應該被審計
部署額外的日志系統
多因素認證

4）超級用戶

賬號權限由于工作所需授予超過普通用戶權限但是不需要管理員權限的
超級用戶可以在自己的桌面上安裝軟件
應書面承認接收賬號并遵守組織規則，如簽署安全協議書

2.7.特權賬號管理
1）控制特權賬號

對帳號的數量和類型進行嚴格控制
監控系統的帳號管理權限
實施身份和訪問管理（IAM）
知所必需和最小特權（互為補充）

need to know 知所必需
Least privilege 最小特權

2）監控特權

許可、適用性和背景調查
帳戶驗證（Account Validation）
崗位輪換（Job rotations）
雙人操作（two man rule）
強制休假（Mandatory vacations）

2.8.可問責性

用戶訪問資源的權限必須給予適當控制，以避免授予過多權限導致對公司及其資源造成損害。
應當對用戶訪問和操作資源的行為進行監控、審計和日志記錄。用戶ID應包含在日志中

3.日常運營
1）運營責任
操作安全目標：降低可能由非授權訪問或濫用造成損失的可能性。
管理層負責雇員的行為和職責。
操作部門的人員負責確保系統受到保護并在預期的方法下運行。
操作部門的目標：防止反復發生問題，將硬件和軟件故障降低到可接受的級別以減少事故或破壞的影響。
2）關注內容

查看不尋常或無法解釋的事件：例如不斷出現計算機斷網。
偏離標準：與原有的標準設計（負載特高、特低），進行偏差評估，推動是否被攻擊。
不定期的初始程序加載/重啟：例如計算機頻繁重啟。
資產表示和管理：了硬件、固件、操作系統、語言運行時環境、應用程序以及不同的庫。
系統控制：確保指令在正確的上下文中執行。
可信恢復：確保故障和操作中斷不會破壞系統安全運行所需的機制和規程。
輸入和輸出控制：應用程序的輸入和輸出有直接的關聯關系，需要監控輸入中的任務錯誤和可以行為。
系統強化：禁用不需要的組件和服務。
系統安全配置加固。
遠程訪問安全：不得以明文方式傳送命令和數據，盡量本地管理，控制范圍。

3）保證級別
a)操作保障
關注產品的體系結構、嵌入的特征和功能。在產品評估中， 產品具有使用戶持續獲得所需安全的產品特性；
操作系統保障示例：訪問控制機制、 特權和用戶程序代碼分離、審核和監視能力、 隱蔽通道分析、可信恢復；
b)生命周期保障
關注產品如何開發和維護， 全生命周期各階段滿足標準規范
示例：涉及規范、限制級別配置、 單元和集成測試、配置管理以及可信分發
4)軟件許可控制
授權軟件安裝，禁止安裝盜版軟件 ,控制授權。
5）人身安全
Privacy 隱私
Travel 出行
Duress 脅迫 （屬于社會工程）
6）錯誤警報門限（Clipping levels）
定義:應設定某種錯誤發生次數的門限， 超過此門限后相關行為將受到懷疑或禁止。
作用:設置錯誤警報門限的目的是使用門限值、 監控和審計的方式，及時發現問題防止更大損失發生
二.物理安全
1.基本概念
設施防護的第一道屏障



2.設施訪問控制/出入控制
1）訪問控制機制

鎖和鑰匙：提供的延遲時間應與周圍設備的防入侵能力保持一致
電子卡訪問系統
人員配置

2）物理屏障

柵欄

高度

3-4英尺：僅能阻止無意進入者
6-7英尺 ：被認為是不可能爬上去
8英尺：頂端帶刺的鐵絲，往內防止內部逃脫；向外防止外部進入

雙柵欄是比較高的防護級別。

邊界入侵檢測和評估系統（PIDAS柵欄）：由柵欄和傳感器組成

門：防盜
墻：防火普通1小時，紙質介質的位置2小時
窗戶：防盜
受保護的通風口
車輛障礙
護柱：能防止建筑物最直接的威脅

3）入侵檢測
周界探測器

機電系統：檢測到電路的變化或中斷
光電系統：檢測光束的變化
被動紅外系統：熱波變化
聲學檢測系統
波形檢測系統

紅外傳感器（Infrared Sensors）

主動紅外探測：設備會發出紅外線
被動紅外探測：感測人的溫度，如果環境溫度會變化， 需要能夠自動溫度調節補償

微波（Microwave）
同軸應變敏感電纜（Coaxial Strain-Sensitive Cable）
時間域反射器（TDR）系統（Time Domain Reflectometry (TDR) Systems）
視頻內容分析和運動路徑分析（Video Content Analysis and Motion Path Analysis）：使用復雜算法允許CCTV系統來檢測入侵
4）評估
安保人員
視頻監控系統
5）響應
入口安保檢查

物理保護措施最終都需要人員介入響應報警
安全人員可以對建筑物進行足部巡邏，或駐足于某一固定位置
通過檢查員工的身份識別卡控制訪問
威懾力強，但成本高

執法機構
6）威脅
警示標識
照明

起到威懾作用，對攻擊人員產生不安全感
重要區域，照明燈柱局里不超過8英尺，強度不超過2英尺燭光
照明燈光應該朝向外側，使安全人員處于相對黑暗中
為某個區域提供一組燈光稱為連續照明
在停電情況下需要考慮應急照明

7）環境設計
通過環境設計讓攻擊者感到不適
自然加固、自然訪問控制、自然監視
8）人員管理
避免尾隨

三.安全資源配置
1.資產清單
跟蹤硬件、軟件變化
2.方法
應用白名單
使用母盤
執行最低權限原則
自動掃描
軟件庫和硬件庫的安全作用

安全專家能迅速找到和減少與硬件類型和版本相關的漏洞
知道網絡中硬件類型和位置能降低識別受影響設備的工作量
可以經掃描發現網絡中未經授權的設備

維護配置清單

記錄和追蹤配置的變更能提供網絡完整性和可用性的保障
定期檢查確保非授權變更

四.網絡和資源可用性
1.保障可用性的手段
1）冗余硬件
2）容錯技術
3）服務級別協定（SLA）
服務級別協議是指提供服務的企業與客戶之間就服務的品質、水準、性能等方面所達成的雙方共同認可的協議或契約。
4）穩健的操作措施
2.單點故障的解決方法

RAID技術
直連存儲（DAS）
大規模非活動磁盤陣列（MAID）
獨立冗余磁盤陣列
存儲區域網絡（SAN）
群集

3.備份
軟件備份和硬件備份。
層次存儲管理：熱數據使用SSD，冷數據使用SATA。
4.應急計劃
應急計劃主要處理小型事件，例如電源中斷、服務器故障等。
應急計劃只有在測試后才能被信任。
5.預防措施
5.1.步驟
保護措施通用流程
1）識別和評估風險
2）選擇恰當的控制措施
3）正確的使用控制措施
4）管理配置
5）評估操作
5.2.措施
1）防火墻
采用應用或軟件解決方案代替傳統防火墻功能的同時，還包含了其他重要功能
通過風險評估，確定防火墻部署位置、數量和具體策略
2）入侵檢測系統
根據風險情況部署和調整入侵檢測系統

3）郵件防護
通過白名單、黑名單和灰名單技術
4）沙盒、 反惡意軟件、 蜜罐和蜜網 、第三方服務
蜜罐系統和蜜網 （Honeypots and Honeynets）：屬于檢測性控制，作為誘餌服務器收集攻擊者或入侵者進行系統的相關信息。
沙盒（Sandboxing）：軟件虛擬化技術，讓程序和進程在隔離的環境中運行，限制訪問系統其他文件和系統。
反惡意軟件（Anti-malware）：部署在單個主機和系統上，持續更新病毒庫，環境監測
第三方服務（Third-party Security Services）： Dynamic application security testing (DAST)，用于檢測應用在運行狀態中安全漏洞的狀態，多數暴露的HTTP和HTML的問題，多基于WEB漏洞 ，有些為非Web協議和數據畸形。
5）補丁和漏洞管理
a)補丁管理的目的:建立持續配置環境保護操作系統和應用的已知漏洞
威脅：在補丁發布后，系統修復前，有空擋期，攻擊者對補丁進行逆向工程發現漏洞，發起攻擊。

b)補丁管理考慮的風險因素

是否通過管理層批準
是否遵從配置管理策略
是否考慮帶寬利用率
是否考慮服務可用性

c)補丁集中管理：最佳實踐，可自動更新。
自動更新的問題

必須需要管理員權限，違反最低權限原則
配置變更管難度加大
會占用帶寬，產生阻塞
可能導致系統崩潰

d)補丁管理步驟

判斷是否是漏洞，是否需要升級補丁
基于風險決策，是否會影響到業務
補丁的重要程度
確定是否更新補丁
更新補丁已經被測試以及殘余風險被解決
更新完成后需要在生產環境中驗證
部署完成后確保所有適當的機器都被更新
記錄所有變更

e)補丁變更管理

修補應用程序應包含應急和回退計劃
在變更管理方案中包含風險降低策略
變更管理方案中包含監控和可接受計劃

f)補丁安裝和部署

補丁管理的部署階段必須具有良好經驗的管理員和工程師
安裝和部署意味著生產系統的補丁和更新會真實實施
影響補丁部署的技術因素是工具的選擇

6)漏洞管理系統
脆弱性掃描:識別這些弱點
漏洞類型

系統缺陷
配置錯誤
策略錯誤

6.可信路徑和故障安全機制
為特權用戶功能提供可信接口

可信恢復
目的：可信恢復的目的是確保在故障和運作中斷情況下維護系統的安全和職能功能。
為了實現上述目的，系統應該加入一系列機制使其在預先定義的故障或中斷發生時能夠保持安全狀態。
類型

系統重啟：以受控方式關閉系統，重新引導前不一致的數據已得到矯正，數據結構實際上處于一致狀態；
緊急系統重啟動：以非受控方式關閉系統，重啟前數據仍然處于不一致狀態，重啟進入維護狀態自動執行恢復，將系統帶入到一致狀態；
系統冷啟動：自動化恢復機制無法將系統帶入到一致狀態，由管理員人工介入將系統從維護模式恢復到一致狀態； （用于挫敗 defeat 攻擊的啟動方式）

系統崩潰后正確步驟

進入單用戶或安全模式
修復問題并恢復文件
確定關鍵的文件和操作
系統恢復控制

提供確保使用該路徑的通信不會被攔截或破壞的方法

故障保障（Fail-Safe）

發生故障時自動開啟（如電源中斷）
關注生命或系統安全

故障財物安全（Fail-Secure）

發生故障時自動鎖閉（如電源中斷）
關注故障后以可控的方式阻止訪問，當系統處于不一致狀態時

五.事故管理
1.基本概念
一種對惡意技術威脅作出響應的恢復計劃
目標：緩解事故所造成的破壞，并防止進一步破壞
通用做法：檢測問題，確定原因，解決問題，記錄過程
事故和事件的區別

事件是一個可被觀察、驗證和記錄在案的消極事情
事故是給公司及其安全狀態造成負面影響的一系列事件

2.步驟
1）檢測
發現問題
2）響應
收集資料，找到問題根源
3）緩解
目的是阻止或減少事件造成進一步傷害，進而你可以開始恢復和修復。
先緩解主要資產，再緩解次要資產

措施應該根據攻擊類型、被事件影響的資產及其重要性來確定
遏制策略：例如從網絡中切斷病毒源、控制受感染的主機
4）報告
報告的內容包括：

事件摘要
指示
相關事件
采取的行動
所有的證據的監管鏈
影響評估
事件處理者的身份與評論
接下來要采取的步驟

5）恢復
恢復系統可用
6）修復
配置永久的措施
7）學習
總結經驗
問題管理
六.災難恢復
1）預防性措施與恢復戰略的區別:

預防性是不僅降低公司經歷災難的可能性，同時減輕破壞程度,對災難本身進行緩解
恢復戰略是災難發生后用于保護公司的方法，利用提供備用場所，對災難本身沒有啥改變

業務流程恢復：是一組相互關聯的步驟，它通過特定的決策活動完成具體的任務，可重復終點和起點
2）數據備份方案：完全備份、增量備份、差異備份
歸檔位：操作系統的文件系統通過設定歸檔位來跟蹤發生變化的文件。
3）電子備份解決方案：

磁盤映像（disk duplexing）：基于磁盤
電子傳送（electronic vaulting）：在文件發生改變時進行備份，再定期傳送到另一個地點，不是實時
電子鏈接：一種實時備份到異地設施批量傳送方法
遠程日志處理（remote journaling）：離線數據傳輸方法，只將日志或事務處理日志傳送到異地，不傳送實際文件，通過日志可重建丟失的數據，實際為數據被增刪改的記錄，實時發生

4）流程

溝通
評估
恢復
培訓
演練、評估和維護計劃

5）恢復與還原計劃
業務連續性計劃通用結構

起始階段

目標明確
概念概述
角色與團隊定義
任務定義

啟動階段

通告步驟
收集評估
計劃啟動

恢復階段

轉移到備份站點
對于恢復的定義一般指轉移到備份站點
重建恢復
恢復步驟

再造階段（reconstittution phase）

當公司開始搬回原來的場所或搬進一個新設施時
還原到原來
測試環境
轉移操作

附錄

聯系方式
其他計劃類型
圖表
系統需求

七.調查取證
1)動機、機會和方式（MOM）
動機：誰，為什么
機會：何時，何地
方式：罪犯需要獲得成功的能力
2)調查人員進行的各種評估

網絡分析
路徑跟蹤
介質分析
軟件分析

3）步驟

標識
保存
收集：應為原始數據創建兩個副本：一個主鏡像，保存在庫中的控制鏡像； 一個工作鏡像，用于分析和證據收集。兩個副本進行時間標記，以說明被收集的時間。為了確保原始數據不被更改，須為文件和目錄創建消息摘要
檢查
分析
呈現
決定

4）證據收集和處理
保管鏈

一個歷史記錄，展示如何收集、分析傳輸及保持證據，證明證據的可信
所有證據必須貼上信息標簽，指出誰對其進行保護及確認

證據的價值依賴于來源的真實性和能力
證據須具有真實性、完整性、充足性和可靠性
訪談

調查過程中最為微妙的部分，就是證人和嫌疑人的訪談；
訪談前必須要審視策略、通知管理層以及聯系公司法律顧問；
訪談過程不要單獨一人，如果可能，錄下整個訪談過程作為佐證；

5）取證程序
a)證據分類
呈現方式分類

書面的
口頭的
計算機生成的
視覺的或聽覺的

按影響力分類

最佳證據：原始合同
輔助證據：口頭證據、原始文件的復印件
直接證據：證人的證詞，基于證人五種感官收集的證據
決定性證據
間接證據：證實中間事實，中間事實可用于推論或認定另一事實的存在
確定性證據：支持行證據，用來幫助提供一個想法或觀點
觀點證據：專家證人提出的教育觀點，一般證人只能對事實作證
傳聞證據：法庭上陳述的口頭或書面證據，是二手的

b)證據特征

真實性或相關性：必須與調查結果有著適度的和切合實際的關系
完整性：證據必須呈現全部真相
充分性或可信性：必須有充分的說服力來使一個講道理的人相信調查的真實性，證據必須有力，不容易被懷疑
可靠性或準確性：必須與事實一致。如果他是基于一個人的觀點或是原始文件的復印件，那么證據就不是可靠的

c)取證原則

調查的任何行動不得改變存儲介質或數字裝置中的數據；
訪問數據的人員必須有資格這么做并有能力解釋他們的行為；
適用于第三方審計并應用于流程的審計痕跡或其他記錄應被生成和保護，并精確的記錄每個調查步驟；
負責調查的人必須完全對確保以上提到的層序負責并遵守政府法律；
關于人員抓取數據的行為不得改變證據；
當有必要人員訪問原始證據時，這個必須具有法律資格；
與數字證據的抓取、訪問、存儲或傳輸有關的行為必須小心的記錄、保存并可用于審計；
當數字證據為某人持有時，這個人必須為證據所采取的行動完全負責。

澳大利亞計算機取證通用指導原則

對原始數據的處理或訛誤保持最小化；
記錄所有動作并解釋變化；
遵循證據的5個原則（可接受、可靠、完整、準確、有說服力）；
處理和/或證據超出自己的知識、技能和能力時，尋求更有經驗的人的幫助；
遵循組織結構的安全策略，并獲得管理支配取證調查的書面許可；
盡可能快速、準確得捕獲系統的一個鏡像；
為在法庭上作證準備；
區分你的動作優先順序，從易失證據直至永久證據；
不要再可能成為證據的系統上運行任何程序；
在管理取證調查時具備道德和誠意，并且不試圖進行任何破化。

d)證據分析方式
介質分析：從信息介質中恢復信息或證據；
網絡分析：從使用的網絡日志和網絡活動中分析和檢查作為潛在的證據；
軟件分析：分析和檢查程序代碼（包括源代碼、編譯代碼和機器碼）、 利用解碼和逆向工程技術、包括作者鑒定和內容分析等；
硬件/嵌入式設備分析：應包含移動設備的分析；
e)計算機犯罪：計算機促進和協助的非法行為，不管計算機是犯罪目標、犯罪工具還是與犯罪有關的證據存儲。
八.義務及其后果
1）定義
職責：通常指某一方的義務和預期的活動責任
義務：可以有一套規定好的動作或更廣泛、開放的路徑
可問責性：使一方對某些動作或非動作負責的能力
近因：自然而然和直接導致一個結果出現的行為或者疏忽，是導致一個事物出現的明顯或表面的原因，是導致某一特定結果出現的直接的起決定作用的原因
2）應盡職責和應盡關注

適度勤勉/應盡職責（due diligence）

指公司對所有可能的缺陷和脆弱性都進行了適當的調查
收集必要信息以便做出最佳決策

在日常管理中盡到責任

做了該做的工作，社會責任問題

適度謹慎/應盡關注（due care）

采取了合理的防范保護措施

公司應該做的、視圖阻止安全違規的努力
公司采取合理的步驟來確保在發生安全違規時通過適當的控制或對策減輕所受的破壞

對于發生的事件，采取了措施

只有實行了應盡職責（數據收集），才會有應盡關注（審慎的行動）的發生
例子：在涉及安全違約行為時會產生很多方面的花費： 業務損失、響應活動、顧客和合作伙伴告知等。需要通過履行應盡職責來了解這些成本，從而公司可以履行應盡關注
3）上游責任（downstream liability）
兩家公司都應保證他們的活動不會影響任何一方
例子：例如A公司與B公司互聯，A公司沒有實施檢查和處理病毒機制，A公司感染病毒后，影響到B公司，B公司可以起訴A公司


特別聲明：
1.以上所有描述內容部分參考鏈接/文獻未逐一列出，若有侵權，請及時告知，有則改之無則加勉。
2.以上僅是學習過程的總結，相信有很多理解偏差的地方，特別希望指出，給予幫助，更新知識體系，共同進步。

<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false">

來自為知筆記(Wiz)

總結

以上是生活随笔為你收集整理的安全运营的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。