前几天有一个做安全运维的工程师和我聊天,问我安全运维需要做些什么工作。他说自己是计算机专业,在学校时自学了2年多安全,没在其他公司干过,毕业就入职一个小公司做安全运维。
目前他是公司唯一的安全人员。
他的困惑在于,自己的直属上司对安全也不算很懂,对他做不了什么指导。他每天也会自己找些事情来做,比如做做漏扫,打打补丁,对接一下等保测评。
但是,好像也没有别的事情好做了,也不太知道自己还能做什么,目前上班时有空就会刷视频学习或看帖子,但是内心却有点慌,一是感觉自己没啥事情做,可能会被领导认为一直在摸鱼;二是怕自己在这条船上没长什么本事,以后竞争不过其他的水手。
那么,我就以自己浅浅的经验在这里说一下,因为我嘛也只是一颗螺丝钉,没啥高屋建瓴的大局观。这篇主要说一下怎么眼里有活儿,找些具体事务做,不去讲那些安全架构啊、制度层面、管理层面的东西。
说的只是个人看法,如果你有其他视角,欢迎留言或进群讨论。(进群方式可关注微信公众号,底部菜单有具体指引)
作为基层的安全运维人员,我觉得主要还是做"清扫维修"的工作,我们可以分七个方面来看看有哪些地方需要"清扫维修",一但发现有可做的事情,就去做就行,当然如果这个打扫的工程量较大,那么就可以排班按期做,今天做完这个区域,明天再做那个区域,直至覆盖完所有区域。
今天来说说最后一个——安全运维:
前面都是在说安全运维,但是没有说到非常常规的操作,今天的这个安全运维真的是常规操作了。
根据《网络安全法》和国家等级保护要求,必须具备日志审计和日志管理服务能力,至少包括接口、用户、来源等基础信息,并对日志信息存储时间为180天或以上。之前我还写过一篇文章。《日志信息为啥要保存180天》,感兴趣的胖友可以再看看
catfish,公众号:透明魔方日志信息为啥要保存180天
具有日志了,我们还要审计,要把一些关键行为(如用户登录、修改密码、涉及费用、删除)好好审计一下。发现问题要记录,要分析。
嗯,这点虽然说可以上一些设备来辅助管理,但是日志分析能力真的是安全运维人员的基本功,好好找些书籍和贴子,勤加练习一下。
-
运维管控
运维管控需要让内部的开发系统管理员安全接入,比如通过VPN或云堡垒机来登录安全域内的主机和管理后台,且接入方式开启二次验证。日常运营对漏洞能够进行定期跟踪管理(异常登录、木马查杀、漏洞修复等)。现在的效率要求是满足高危漏洞24小时内修复,中危漏洞3天修复,低危漏洞7天修复的响应效率。
基线核查后的脆弱性要进行跟踪管理,一下子不能整改,但是要有表格和系统跟踪。
万一有安全事件发生(小公司小系统还是很少会有安全事件发生),得及时响应。
平时没事儿做个安全意识PPT给大伙儿培训一下,找几个相关的人员做做应急演练并留存记录等。
这些,我觉得是一个安全运维人员可以找来干的活儿。
THE END
原文始发于微信公众号(透明魔方):浅谈基层安全运维人员日常工作做些什么(之五安全运维)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论