组织中的一般安全问题。

引言

为了使企业能够顺利、持续地运营而不中断，管理公司日常的安全职能非常重要。为此，需要制定与安全运营相关的正确程序和流程。

安全运营管理是通过该流程来管理组织的安全事件，并有效地报告和沟通这些事件。此外，它还包括设置适当的控制措施以避免安全攻击，并持续监控组织的安保职能。取证分析是这些运营的另一个重要组成部分，它侧重于以标准的方式正确收集与安全相关的事件证据并进行分析。

业务连续性计划和灾难恢复是组织顺利运营需要考虑的另一个重要事项。这涵盖了如何应对洪水、地震等意外灾难。灾难恢复的目的是在灾难发生后使系统恢复运行。

物理安全是安全运营的另一个重要因素，在此范围内，我们将讨论建筑、计算机设备、文件、场地位置、可访问性和照明等的安全。
身份验证和授权控制谁可以访问计算机资源以及对这些资源的访问级别。

背景

本文讨论以下领域的问题。

1. 安全运营

2. 灾难恢复和业务连续性

3. 事件响应和取证分析

4. 物理安全

5. 安全组织

6. 身份验证和授权

本文讨论每个领域的两个安全问题，并描述解决这些问题的可能方案。

详细说明

安全运营

特权被滥用。–系统管理员确保系统平稳运行，并保证计算机系统的完整性和可用性。为了做到这一点，系统管理员通常比普通用户拥有更多的特权。有时管理员可能会滥用他们的权利，未经授权地使用系统服务和数据。为了避免管理员滥用计算机系统，我们必须对管理员特权进行一些控制。

为了避免滥用权力，我们可以限制权限并分离职责。在我们的 IT 基础架构中，我们可以将系统运营分割给不同的部门，并为每个工作分配单独的管理员。我们还可以根据服务管理和数据管理来划分职责。

系统更改，如更新、补丁、新版本和配置更改，可能会导致意外问题并使系统不可用。为了避免这种情况，实施正确的变更管理流程非常重要。通常，在实施更改之前，对所需更改进行影响分析非常重要。同时，记录更改并在应用到生产环境之前进行测试也非常重要。

ITIL 提供了一个面向服务的框架，一套用于正确管理变更的最佳实践，特别是对于面向服务的组织。

灾难恢复和业务连续性

第三方供应商问题–大多数组织将部分业务运营/管理运营外包给第三方供应商。外包运营的例子包括虚拟服务器、互联网服务提供商、支付系统、备份服务器等。

如果我们制定的灾难恢复和业务连续性计划没有涉及我们的第三方供应商和服务提供商，那么这些计划将不会成功。因为这些供应商的参与是我们业务运营的一部分，他们在灾难恢复和业务连续性计划中的贡献非常重要。因此，在准备业务连续性计划和灾难恢复计划时，我们应该与第三方供应商进行讨论，并确保他们的可用性和及时贡献。

对具有大量交易的交易处理系统进行备份的问题–使用传统的在线和离线备份方法可能会对高吞吐量交易处理系统造成一些性能问题。为了克服这些问题，有一些新的备份技术可以使用，下面的列表显示了一些。

1. Windows 卷影复制

2. 分层存储管理

3. 专用备份网络

4. 磁盘到磁盘备份 – 与传统的磁带备份相比，提供更高的传输速率。

事件响应和取证分析

有些组织反复遭遇相同的安全漏洞事件。尽管组织有事件响应团队并且能够快速解决和响应事件，但组织仍然定期经历同类型的攻击。原因可能是组织没有适当的事件管理计划和程序来管理事件。

通常，事件管理计划包括以下步骤：

1. 事件检测

2. 响应和遏制

3. 恢复和重新启动

4. 审查和改进

为了避免未来发生同类型的攻击，第 4 步非常重要。在此步骤中，事件响应团队审查事件并确保已采取适当措施关闭安全漏洞。这确保了同样的事件不会在未来发生。

调查人员花费数小时收集安全相关事件的证据，但由于程序不当而无法在法庭上使用。基本上，参与取证调查的调查人员应具备良好的法律知识，并必须遵循正确的程序收集证据。最重要的是，这些证据应在不惊动或损坏的情况下收集。在提取犯罪现场的详细信息后，应在不修改数据的情况下分析这些数据。

计算机取证数据可分为：

1. 基于主机的\[数据\]

2. 基于网络的\[数据\]

在检查受影响的计算机系统之前，调查人员应检查计算机系统周围的环境。调查人员可能会发现受影响计算机附近的纸张、可移动磁盘、CD 等物品。这些证据应被收集并用于进一步分析。

如果受影响的计算机系统已开机，调查人员应决定关闭计算机。但在那之前，调查人员可能会决定进行内存转储并检查实时系统以获取事实，例如：

1. 打开的文件

2. 正在运行的进程

3. 处理器和内存消耗

4. 网络连接

最后，在分析之前，调查人员应制作一份取证备份并进行分析以获取证据。

物理安全

内部安全威胁 – 大多数组织都制定了必要的物理安全控制措施，但并未关注内部安全威胁。但这对于物理安全控制是一个非常重要的因素。大多数组织会聘用临时合同工来完成工作。此外，系统管理员比普通用户拥有更大的权力。很多时候，组织会遇到员工盗窃可移动媒体的情况。此外，合同工在离开组织时可能会留下恶意软件和后门。为了克服这些问题，以下控制措施非常重要：

1. 锁好服务器机房

2. 保护可移动媒体设备

3. 分离职责

4. 使用适当的访问控制方法

5. 为组织建立更好的物理安全标准和实践。

6. 实施事件响应控制

7. 实施审计控制

高管将平板电脑和笔记本电脑放在桌子上就离开——有些组织可以看到这种问题。当高管将他们的平板电脑和笔记本电脑放在桌子上就离开时，员工可以访问这些设备并窃取一些机密信息。为了避免这种情况，组织应该实践适当的设备和数据使用标准和实践。此外，系统闲置时自动注销系统以及锁住行政隔间将非常有用。

安全组织

角色和职责定义不清——有些组织有专门的信息安全人员，但他们的角色和职责没有得到正确界定。因此，安全人员不知道他们的工作范围，这导致安全运营和管理方面出现一些问题。为了避免这种情况，明确定义安全人员的角色和职责非常重要。本文的下一部分将展示一些定义适当的角色和职责的指南。

职位	职责
首席安全风险官	对组织的安全负最终责任。
安全总监	负责整体安全管理。
安全经理	负责日常安全运营。
安全架构师	安全解决方案设计和测试。
安全工程师	负责实施解决方案。
安全管理员	负责日常安全管理任务。
安全分析师	监控安全系统生成的警报和报告。
安全调查员	负责事件调查。
事件响应团队	负责处理事件并做出响应。

除了以上职位外，一些组织还设有安全董事会、安全指导委员会和安全理事会来管理安全运营。

一些组织出于各种原因不建立自己的内部 IT 安全团队。原因如下：

1. 没有必要的技能和专业知识来建立内部 IT 团队。

2. 处理大量数据。

3. IT 安全基础设施的预算非常高。

4. 某些特定的技能集难以找到。

为了应对这种情况，组织可以利用托管安全服务提供商。托管安全服务提供商提供多种信息安全服务，其中一些主要服务如下：

1. 监控安全事件

2. 事件检测

3. 活动和事件日志服务

4. 事件响应

5. 备份服务

6. 扫描和报告漏洞

7. 支持和培训

使用这些服务，组织将有一些优势和劣势。

优点

1. 节省成本

2. 快速实施

3. 专业知识和经验丰富

4. 适应性高

缺点

1. 服务级别协议问题

2. 无法与组织业务目标保持一致

3. 事件和事件处理延迟

身份验证和授权

用户名和密码作为本地存储和比较会产生问题——这些类型的用户名和密码仍在使用中。但这些存在一些问题。主要是这些密码是明文，未加密。所以别人可以打开密码文件看到密码。此外，这些类型的密码可能被恶意软件拦截。因此，我们可以说这些系统保护不当。

为了解决这个问题，有一些技术可以加密密码和保护密码文件。

有两种哈希算法常用于密码加密

1. MD5

2. SHA-1

此外，在更安全的系统中也使用了一些高级身份验证和授权技术。

1. Kerberos

2. 一次性密码

3. 基于证书的身份验证

不受信任的软件——有些程序，从互联网下载后，在尝试安装到我们的计算机时会看到一些警告消息。例如，在 Windows 操作系统中，我们更常看到“未知发布者”的消息。

尽管这些软件是合法的，但操作系统无法验证软件的根和发布者，因此会弹出此类消息。

为了解决这个问题，我们可以使用代码签名证书来数字签名软件。数字签名软件后，该软件将具有数字签名。操作系统使用此数字签名来验证软件的发布者。

我们可以从认证机构购买代码签名证书，例如：

1. Symantec

2. Verisign

3. Godaddy

4. DIGICERT

结论

文章的第一部分展示了一个典型的网络图，其中包含最常用的网络组件以及它们之间的互连。该图还显示了多个分支和到 Internet 的连接点。此外，该图还显示了与网络安全相关的设备和组件，如防火墙、IDS/IPS 等。

下一节讨论与安全运营相关的问题。本文重点关注以下领域，并在每个领域讨论两个问题。

1. 安全运营

2. 灾难恢复和业务连续性

3. 事件响应和取证分析

4. 物理安全

5. 安全组织

6. 身份验证和授权

除了上述领域的问题外，本文还描述了克服这些问题的可能解决方案和建议。