快来看！安全运营该如何开展

点击关注公众号，知识干货及时送达👇

安全运营工作是通过安全人员使用工具、平台，按照既定的制度和流程开展日常工作（如资产管理、漏洞扫描、告警监测等），保障现有安全策略有效实施、持续优化，从而达成保障信息系统安全、平稳运行的集合。

人员篇

组织架构：在安全运营工作中，人员仍然是核心要素。为了更好的开展运营工作，首先要建立必要的组织，如管理人员、基础运维人员、告警监测人员、情报研判人员、应急人员等。如下图：

工作技能：与所有其他工作相同，不同的人员需要具备具体的工作技能和知识储备，才能在实际的工作中比较高效的完成如漏洞测试与验证（掌握必要的漏洞原理、验证工具使用）、日志分析（日志采集、字段处理、日志存储、日志分析场景等）、处置响应（常见场景、进程分析、网络分析）等。

保密：信息化安全运营与组织的一些关键信息紧密相关，必须做好保密工作，防止信息外泄从而引发安全风险，可以通过签署保密协议的方式进行同时结合部署DLP设备并进行安全意识培训。

工具篇

工欲善其事，必先利其器。安全运营工作中需要使用合适的工具进行，提升工作效能。如果组织的预算充足，可以考虑直接采购成熟的运营平台，优点是：可以快速完成部署，有售后，可根据使用需求进行优化。如果暂时没有足够预算：可以考虑综合利用开源或者免费工具进行。推荐一些开源工具：

Snort：Snort 是一款强大的网络入侵检测和防御系统，可用于监控网络流量并识别恶意活动。

OSSEC：OSSEC 是一款开源的入侵检测和防御系统，可用于监控系统活动并检测潜在的攻击。

Suricata：Suricata 是一款高性能的网络安全监控工具，具有实时流处理和多协议支持的特点。

Zeek：Zeek（前身为 Bro）是一款网络安全监控工具，可用于实时监控和分析网络流量。

OpenVAS：OpenVAS 是一款开源的漏洞扫描器，可用于发现和评估系统和应用程序中的漏洞。

Fail2ban：Fail2ban 是一款防止暴力破解攻击的工具，可用于自动封禁恶意 IP 地址。

Lynis：Lynis 是一款系统安全审计工具，可用于评估系统配置和漏洞。

Nmap：Nmap 是一款网络探测工具，可用于发现网络中的设备和端口，并进行安全扫描。

Tcpdump：Tcpdump 是一款网络抓包工具，可用于捕获网络流量并进行分析。

Wireshark：Wireshark 是一款网络协议分析器，可用于实时监控和分析网络流量。

ELK Stack: ELK Stack是一个强大的开源日志分析平台，它由三个不同的开源工具组成：Elasticsearch，Logstash和Kibana。Elasticsearch是一个分布式搜索和分析引擎，Logstash是一个数据处理管道，而Kibana则是一个数据可视化和分析平台。

Graylog: Graylog是一个开源的日志管理平台，它可以轻松地收集、存储和分析各种类型的日志数据。它还支持强大的搜索和过滤功能，并提供可视化仪表板，以便更好地了解日志数据。

Fluentd: Fluentd是一个开源的日志收集器和数据处理引擎，它支持多种输入和输出源，并提供了可扩展的插件系统，以支持更多的数据源和数据处理需求。

Apache Hadoop: Apache Hadoop是一个开源的分布式存储和处理框架，它可以处理大规模的数据集，并支持各种不同的数据类型和数据处理需求。其中，Hadoop的分布式文件系统HDFS和分布式计算框架MapReduce都可以用来进行日志分析。

Apache Spark: Apache Spark是一个开源的分布式计算框架，它可以用来处理大规模数据集的计算和分析任务。Spark还提供了丰富的API和工具，以支持各种不同类型的数据分析和机器学习任务，其中包括日志分析。

ClamAV：一个基于开源的、跨平台的防病毒引擎，可以集成到各种应用程序中使用。

Comodo Antivirus：提供实时保护和自动更新的开源反病毒软件，支持 Windows、Linux 和 macOS 操作系统。

Avast Free Antivirus：虽然不是完全开源，但是 Avast 提供了一些免费的工具和功能，用于保护计算机免受病毒和恶意软件的威胁。

ClamWin：一个 Windows 平台下的免费开源反病毒软件，提供定期更新病毒库和实时扫描等功能。

Sophos Antivirus for Linux：专门针对 Linux 平台开发的开源防病毒软件，提供实时保护和扫描功能，并能够检测和拦截许多不同类型的病毒和恶意软件

流程篇

安全运营中的流程是为了指导安全运营人员开展工作，主要有制度、规范，操作手册，操作记录等。

制度部分：主要是说明组织安全运营工作的目标及方向、岗位权责、工作开展方式、工作流等。