企业信息安全运维要点剖析
1. 运维工作分类
在甲方工作多年，对甲方运维工作做下总结，主要工作包以下几方面：
1.1. 安全设备运维
包括安全设备的配置、备份、日常巡检等工作。这部分工作很多甲方因为人力的原
因很难做起来，如防火墙、入侵检测系统、堡垒机、企业杀毒软件等安全设备的日
常配置、日志审计，可能日常的配置因为业务需求的原因能及时做支持，安全设备
日志审计因为各种原因很难做成。

1.2. 安全资产管理
通常资产管理属于甲方的IT运维的部分负责，可能有正常的流程支持IP资产上线，
大多情况下是研发、测试或运维都有可能部署IP资产，实际上线的IP资产比较混
乱，另外，由于上线时间较长，IP设备的业务负责人可能也不清楚，也碰到过只有
业务人员知道操作系统的登录密码而运维却不知道的情况。
个人觉得安全资产管理属于安全技术运维里的重要的部分，安全资产资产发现又是
安全资产管理的重要部分，另外一部分是IP设备的加固，包括漏洞管理、补丁管理、
杀毒软件管理、主机入侵检测管理。涉及到与甲方的各个部门进行沟通，在没有考
核的情况下这部分也是很难做好。最后是业务分级、资产分级，不同级别的资产能
够采用不同级别的防护。

1.3. 软件安全开发生命周期
安全部门完全参与软件开发的需求阶段、设计阶段、实施阶段、验证阶段、发布阶
段、支持和服务阶段。这部分主要工作为培训、代码审计和渗透测试工作。需要适
合自己组织的安全开发培训材料和资料（知识库），需要适合自己组织的安全开发
流程，在业务上线的早期参与进去。阻碍主要是业务的时间要求，安全人员能力等，
这部分也是甲方安全工作的重要部分，做的好和不好对安全的结果影响很大。

1.4. 迎检工作
迎检工作和重大社会活动的安全保障工作，这部分工作占组织安全工作的很大一块
比例，这部分跟安全管理工作有比较多的联系，有完善的、适合自己组织的制度和
流程，有正常的记录文件可以减轻迎检时的工作量，没有制度、流程或者制度、流
程执行不规范，每次迎检都需要提前做好大量工作，效果也不一定好。重大社会活
动期间的安全保障工作，结合安全事件响应和应急演练，做好一套完善的流程和规
范，可以复用的东西

1.5. 应急响应工作
安全事件演练和应急响应工作，制定标准化的安全事件响应流程，在遇到突发安全
事件知道该怎么处理。日常备份工作放到这里，备份频率、备份的有效性检测，相
关的实施手册的制定和修订

1.6. 安全管理工作
包括安全策略、安全制度、规范、安全流程、标准、指南、基线等所有安全管理相
关的文档制定、版本修改，监督执行情况，这部分参考ISO27000系列、等保标准
有自研能力首选使用 masscan+nmap 带自开发 UI 的资产管理程序；
•
IVREhttps://ivre.rocks/，通过主动扫描和流量分析2种方式识别 IP 资
产；

•
知道创宇钟馗之眼的企业版？没见过实物，可能有这个东西吧。

如果部署了比较好的运维管理系统，也可以通过运维管理系统识别 IP 资产。
2.2 漏洞管理
漏洞管理也是2种思路
•
主动漏扫，如OpenVAS、绿盟极光、Nessus 等；
•
主机应用版本库识别的方式，如
Vulshttps://github.com/future-architect/vuls；

•
巡风也是很不错的东西，可以作为上述2种方法的补充，适合快速检测特定
漏洞。

2.3 主机入侵检测
比较常见的是OSSEC，包含主机入侵检测、文件完整性分析、rookit分析的功能。
新版本的日志可以直接设置成 json 格式，输出到 ELK 很方便。

2.4 补丁管理
通过运维系统批量部署补丁可能会方便些，如 SaltStack、Puppet 等。
2.5 流量分析
能监控流量的话可以做很多东西
•
Bro，可以分析所有流量数据，如获得 HTTP 请求的 POST 数据，有威胁
情报的插件，可以直接分析流量获得威胁情报事件；
•
网络入侵检测系统，从设备上也能获得安全事件日志，开源的如 Snort 和
Suricata。

•
DDos 监控，如
fastnetmonhttps://github.com/pavel-odintsov/fastnetmon

•
Netflow，流量分析，比较适用于纯运维工作。

2.6 日志管理（SIEM）
SIEM的部署或开发思路可以参考OSSIM，首先分析需要收集哪些日志，哪些日志
可以做关联，通过这些日志能分析出哪些安全事件，其他安全事件怎么处理。
能收集的日志参考：

•
安全设备日志
•
Web日志
•
主机入侵检测日志
•
主机操作历史日志
•
主机应用日志
•
业务日志（如登录事件、关键业务操作事件）
•
。。。

411https://github.com/etsy/411，可以设置查询 ELK 的条件，发送邮件告警。
2.7 安全开发生命周期
算是结合 DevOps 的相关系统
•
静态代码自动化安全测试平台，SonarQube、Find Security Bugs，开源，
可以和研发现有的Jenkins、Git、SVN集成在一起，
Cobrahttps://github.com/wufeifei/cobra这个工具也不错；
•
第三方依赖安全扫描工具，OWASP Dependency Check，免费，可以和
研发现有的Jenkins集成在一起；

•
动态应用程序自动化安全测试平台，OWASP ZAP、Arachni、AWVS、
ThreadFix，部分开源，也可以和研发现有的Jenkins、Git、SVN集成在
一起；
•
移动APP漏洞自动化检测平台，MobSF、Inspeckage，开源，可执行静
态代码检测+动态代码检测。
主要目的是自动化完成一部分安全测试工作，增加开发部署的速度。

2.8 知识库系统
包括安全部门的各种制度、漏洞的修复方法、内部培训资料等所有安全文档可以集
成到一个合适的知识库平台，方便组织所有人员使用，也能减轻由于人员离职导致
的各种问题。需要做好权限分配，哪些可以公开，哪些只能部分人使用。

2.9 安全应急响应中心
热心群众发现的问题有路子提交，有奖励鼓励，报到自己平台的漏洞总比报到其他
平台上容易处理，有资源的话还是部署一个好。
2.10 基于 OpenResty 的 WAF
方便部署，方便配置检测和阻断规则，可以作为业务安全防护的补充，需要点开发
量