18.1 把安全运营起来
(1)战略层面包括:Find and Fix,Defend and Defer,Secure and Source。安全运营贯穿在整个体系之中。安全运营需要让端口扫描、漏洞扫描、代码白盒扫描等发现问题的方式变成一种周期性的任务。
(2)Find and Fix:通过漏洞扫描、渗透测试、代码审计等方式,可以发现系统中已知的安全问题;然后再通过设计安全方案,实施安全方案,最终解决这些问题。
(3)Defend and Defer:包括入侵检测系统、Web应用***,反DDoS设备等一些防御性的工作。它们能防范问题于未然,或者当安全事件发生后,快速地响应和处理问题。
(4)Secure and Source:指的是“安全开发流程(SDL),它能从源头降低安全风险,提高产品的安全质量。

18.2 漏洞修补流程
(1)建立漏洞修补流程,是在“Fix”阶段要做的第一件事情。
(2)建立类似bugtracker的漏洞跟踪机制,并为漏洞的紧急程度选择优先级。
(3)建立漏洞分析机制,并与程序员一起制定修补方案,同时review补丁的代码实现。
(4)对曾经出现的漏洞进行归档,并定期统计漏洞修补情况。

18.3 安全监控
(1)安全监控与报警,是“Defend and Defer”的一种有效手段。
(3)安全监控的主要目的:探测网站或网站的用户是否被攻击,是否发生了DDoS,从而可以做出反应。

18.4 入侵检测
(1)常见的安全监控产品有IDS(入侵检测系统)、IPS(入侵防御系统)、DDoS监控设备、Web应用***(简称WAF)等。
(2)IDS、WAF等设备一般的布署方式是串联或并联在网络出口处,对网站的所有流量进行监控。

18.5 紧急响应流程
(1)入侵检测系统或其他安全监控产品的规则被触发时,根据攻击的严重程度,最终会产生“事件”(Event)或“报警”(Alert),报警是一种主动通知管理员的提醒方式。常见的报警方式有三种。
(2)邮件报警:成本最低、内容可以写得丰富、实时性较差。
(3)IM报警:实时性更好、内容有限。
(4)短信报警:实时性最好,内容最少。
(5)处理安全问题时,有两个需要注意的问题:需要保护安全事件的现场;以最快的速度处理完问题。