安全管理流程
时间:2023年5月5日 星期五
作者:小王
一、日志审查
1.安全信息和事件管理(SIEM),对日志进行自动化收集、分析、审查。
2.大部分设备、操作系统和应用程序都支持syslog,但window需要额外安装第三方软件才能支持。
3.确保日志时间戳的一致性,必须实施网络时间协议(NTP)。
4.在调查安全事件时,网络流(netflow)日志非常有用。
二、账户管理
账户管理审查(account management review)确保用户仅保留被授予的权限,并未发生未授权的修改。
1.全面审查(full review):对所有账户的权限进行审查,由于时间成本,往往选择仅对特权账户进行审查。
2.抽样审查(sampling review):随机抽取部分账户进行审查。
3.自动审查:身份和访问管理(IAM)可以支持自动化审查,并提供审计踪迹(audit trail)。
三、灾难恢复和业务连续性
备份程序对于灾难恢复计划至关重要,管理人员应定期检查备份结果,涉及审查日志、检查哈希值、要求真实还原一个系统或文件。
对灾难恢复和业务连续性控制进行定期测试,可以确保组织能够有效地防止业务运营中断。
四、培训和意识
安全培训和安全意识有助于各类安全计划的开展。
五、关键绩效和风险指标(KPI/KRI)
安全管理人员应持续监测关键绩效和风险指标,如:
1.未修复漏洞数量
2.已修复漏洞数量
3.漏洞/缺陷重现次数
4.被盗用账户数量
5.软件上线前漏洞数量
6.审计结果重新次数
7.用户访问恶意站点的数量