安全管理流程

时间：2023年5月5日 星期五

作者：小王

• 一、日志审查
• 二、账户管理
• 三、灾难恢复和业务连续性
• 四、培训和意识
• 五、关键绩效和风险指标（KPI/KRI）

一、日志审查

1.安全信息和事件管理（SIEM），对日志进行自动化收集、分析、审查。

2.大部分设备、操作系统和应用程序都支持syslog，但window需要额外安装第三方软件才能支持。

3.确保日志时间戳的一致性，必须实施网络时间协议（NTP）。

4.在调查安全事件时，网络流（netflow）日志非常有用。

二、账户管理

账户管理审查（account management review）确保用户仅保留被授予的权限，并未发生未授权的修改。

1.全面审查（full review）：对所有账户的权限进行审查，由于时间成本，往往选择仅对特权账户进行审查。

2.抽样审查（sampling review）：随机抽取部分账户进行审查。

3.自动审查：身份和访问管理（IAM）可以支持自动化审查，并提供审计踪迹（audit trail）。

三、灾难恢复和业务连续性

备份程序对于灾难恢复计划至关重要，管理人员应定期检查备份结果，涉及审查日志、检查哈希值、要求真实还原一个系统或文件。

对灾难恢复和业务连续性控制进行定期测试，可以确保组织能够有效地防止业务运营中断。

四、培训和意识

安全培训和安全意识有助于各类安全计划的开展。

五、关键绩效和风险指标（KPI/KRI）

安全管理人员应持续监测关键绩效和风险指标，如：

1.未修复漏洞数量

2.已修复漏洞数量

3.漏洞/缺陷重现次数

4.被盗用账户数量

5.软件上线前漏洞数量

6.审计结果重新次数

7.用户访问恶意站点的数量