20、网络与安全监控：保障信息安全的关键

网络与安全监控：保障信息安全的关键

引言

在当今数字化时代，网络安全至关重要。有各种各样的工具和服务可以提供关于网络内部和边界的实时或近乎实时的信息。对于事件响应经理来说，首要任务是梳理清楚哪些工具和信息已经可用，哪些可能在未来可用。

许多组织在设立专门的安全运营团队之前，会先创建一个集中的“网络运营中心”，通常简称为“NOC”。它主要关注系统和网络的可用性。下面我们将详细探讨网络运营中心、安全运营中心、特定的安全问题及工具，以及监控中的法律问题。

网络运营中心（NOC）

特点与局限性

从安全角度看，网络运营中心并非理想的合作伙伴。其工具集主要为提高效率和降低网络影响而设计，而非追求提供基本安全背景和状态所需的准确性，有时甚至达不到法医级别的要求。

可用数据

不过，网络运营中心除了能掌握基本的系统可用性信息外，还可获取大量有用数据：
- 补丁和防病毒状态 ：可告知哪些系统可能易受特定疑似攻击的影响。
- 系统性能和网络利用率数据 ：如果有“正常行为”的基本记录，这些数据能显示网络是否出现异常。例如，周日晚上9点和12小时后的网络使用情况可能大不相同，即便周一为节假日。

日志记录与监控

组织具备让网络团队进行强大的日志记录和监控的能力非常重要，但这需要与可能的业务影响相平衡。虽然实时网络捕获很有必要，但通常不会在任何网络段永久启用，即便启用，这些网段在事件响应（IR）背景下可能也并非重点关注对象。

协作要点

事