网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

举个防火墙配置的例子，某组织业务系统越来越多，变动也越来越频繁，还是沿用旧的管理方式，逐一登陆防火墙，逐一设置生效，效率低，而且缺乏对现有策略的统筹。另外配置防火墙变更可能走配置变更流程，一整套下来也需要花费大量的时间。

2.1.3 漏洞扫描、通告、修复

漏洞扫描和通告一般由安全部门负责，漏洞修复则需要其他部门的配合，常见的实际漏洞修复时间比规定要求的时间多3倍。

如果说普通的配置需要基础安全知识和IT技术能力，调整安全设备规则就需要专业些的能力支持了。IDS/IPS 修改规则需要了解网络攻击的相关知识，WAF 修改规则需要了解 HTTP 协议和 Web 渗透的相关知识。

做好基础的安全设备运维工作不仅是简单的修改配置，调整策略，更多的是结合自己组织实际整体的业务网络环境，明白各个安全设备在网络中的位置启什么作用，通过整体的考虑和配置提升组织的安全防护能力。同样也需要配合安全管理规范和流程，安全设备配置的每一次修改都留有审核、有记录，安全运维人员对每次修改的配置会对整个业务网络环境造成的影响能够进行评估，做到心中有数。

从工作职责说明上写清楚安全运维人员的职责和绩效评估方法，因为安全设备的运维都属于日常性的工作，可以做工作计划，按照计划推动安全设备的日常运维工作。

梳理安全设备相关的制度流程，要符合自己组织的实际情况，并充分于相关部门人员沟通、培训，使流程能够实际执行。结合运维、开发部门流程将与安全流程整合到一起。

需要了解网络部门的提供的业务网络架构，对安全设备的部署提供合理建议，按照功能和业务划分网段，如业务网段、运维网段、安全管理网段，从网络上配置严格的访问控制，防火墙、堡垒机的使用效果很依赖于网络的访问控制。有些 IP 有全网访问权限的，需要做好严格控制。可能的流程（可能需要配合运维）有：

服务器上线/下线流程

设备配置变更流程

VPN账户/堡垒机账户权限审批流程

漏洞修复流程

日志分析、设备巡检最好由系统自动完成，有条件使用 spunk，没条件使用 ELK，收集的所有安全设备日志使用安全事件关联规则处理，降低每天查看的日志量。对日志检查任务进行标准化工作，尽量规范化定义日常的日志查看需要检查哪些内容。

检查内容可以从业务威胁分析得出，可以通过内部讨论的形式分析业务都会遭受哪些威胁，会在安全设备上留下哪些日志，在搜索分析日志，形成日常检测任务，如果有自动化平台，再将这些规则移到自动化平台上，关联分析规则后面再说。

安全设备的规则调整可以依赖供应商，供应商的定期巡检和安全事件的应急要能够及时调整安全设备规则策略。要求巡检报告或应急报告里包含对规则的调整建议。

需要配置的防火墙较多，可以考虑开发或采购防火墙管理系统， 通过管理系统统一下发策略配置， 能根据输入内容，进行多个防火墙同时查询， 能保留防火墙日志，同时能实现根据输入内容对防火墙防火墙进行查询，记录策略的访问频率，提供防火墙优化决策数据，对防火墙策略的使用提供统筹依据，如策略重复、策略合并、多余策略等。防火墙设备较少可以手工整理，不管什么方式，都需要一份防火墙的策略配置和说明文档。想要集中化配置所有安全设备可以考虑使用SOC了。

可以考虑开发或采购配置管理系统，将安全设备配置可以导入到配置管理系统上，每次更改配置也能做好记录。如果运维部门有类似的系统，放在一起做。设备少的情况下也可以手工记录。

定期对业务网络环境做漏洞扫描，跟业务部门、开发部门、运维部门确认漏洞修复状态，不能修复的说明情况，采取补偿的方式对有漏洞系统进行防护。

在人员编制不足的情况下也可以考虑将这部分任务外包给安全公司来做。