安全运维的重点在哪里？

安全运维的重点是：遵循一个商定的标准严格执行运维，而不是随心所欲或者随机应变。安全运维不是攻防演练，不需要灵光一现的点子，变化越少越好。如果在运维过程发现需要放开越来越多的特例，那就证明当初商定的标准有问题，需要重新修订当初的标准。---的安全运维标准应该是松紧有度，并在建立之初得到涉及的业务部门共识，有一套规范的流程而无需经常放行各种特例。

另一方面，安全运维需要分层分级，有的放矢。比如将重点的漏洞管理、防火墙、waf、ips、服务器edr等运维，专门交给有丰富经验的人员负责；将技术含量稍低的---、堡垒机、办公电脑准入---毒等重复繁琐的运维，交给稍低经验的人员处理；要有专岗负责日志告警，分析溯源。如果把所有运维工作都集中在一两个人身上，将会不堪重负，每天大量繁琐的低级运维工作与需要细心集中的重点运维工作交杂在一起，会降低人的集中力，应付了事，从而忽视了真正的风险。

安全运维服务有---吗

      当前外部---呈现日渐---的态势，攻防升级不断加剧。从wannacry、petya到badrabbit，ls---风暴---，数据泄露、页面篡改、黑链---等安全事件使得组织所面临的安全威胁越来越大；外部安全威胁的加剧导致组织的网络和数据安全正遭受内外多重和多样的防护压力。

      随着组织信息化建设的不断深入，内部已经建立了比较完整的软件底层平台和各类信息系统，在获得信息化所带来的效率提升的同时，也导致安全运维的工作量日益增加，同时安全监测、安全通告、安全事件响应等方面仍缺少一套完整的安全运维和应急保障体系，多数运维人员不具备的安---力，以保障信息系统的稳定安全运行和各类紧急事件的及时处理。

      因此，通过引入的安全驻场运维团队，深入开展的安全运维服务，逐步形成能持续完善、自我优化的安全运维体系，构建预防在先、快速响应的网络与信息安全应急机制，成为当前组织---建设亟待解决的问题。

安全运维服务的实施标准

安全运维服务主要参考下列国内的标准进行工作：

1、<信息安全技术  网络基础安全技术要求>（gb/t20270-2006）

2、<信息安全技术 信息系统通用安全技术要求>（gb/t 20271-2006）

3、<信息安全技术 网站安全云防护平台技术要求>（gb∕t 37956-2019）

4、<信息安全技术 操作系统安全技术要求>（gb/t 20272-2019）

5、<信息安全技术 数据库管理系统安全技术要求>（gb/t 20273-2019）

6、<信息安全技术  服务器安全技术要求>（gb/t 21028-2007）

7、<信息安全技术  网络交换机安全技术要求>（gb/t 21050-2019）

8、<信息技术 安全技术 信息安全事件管理>（gb/t 20985.1-2017）    

9、<信息安全技术 信息系统安全运维管理指南>（gb/t 36626-2018）

10、<信息安全技术 信息系统灾难恢复规范>（gb/t 20988-2007）

安全运维服务日志分析

   对现有安全产品已发现并记录的日志进行分析，识别当前网络存在的脆弱性风险，根据日志结果，进行业务加固，以及安全策略的能力加强。基于以上原则，至少从以下方面进行策略的优化：

1、高频类攻击，建立联动防护手段，如扫描、bao破、sql注入、xss攻击等。一经发现且分析为真实攻击，通过联动手段进行临时或长期锁定；

2、清查日志分析所识别的风险---，如---、黑链等已失陷的行为。一经发现且确认为真实存在风险，立即进行相应处置