域7：安全运营 第16章 安全运营管理

第七域包括 16、17、18、19 章。

        第七域所涵盖的广泛知识点，与我们的安全运营工作之间存在着高度的契合性。这些知识点不仅为我们的安全运营提供了有力的理论支撑，还使得SOC（安全运营中心）在日常运作中能够更加高效地发挥作用。通过深入学习和理解第七域的相关知识，我们能够更加清晰地认识到安全运营的核心要点，从而在实际操作中更加得心应手，提升整体的安全防护能力。因此，相对于其他领域而言，第七域的知识点在我们的安全运营工作中更易于被理解和应用，同样也能更好通过考试认证。

---

第16章、安全运营管理

1、因需可知（need to know）和最小特权（least privilege）原则之间的区别。

因需可知和最小特权原则是安全网络环境遵循的两个标准 IT 安全原则。因需可知和最小特权原则限制人员对数据和系统的访问，以便用户和其他主体只能访问需要的内容。这种受限的访问有助于预防安全事件，且有助于在事件发生时限制事件的影响范围。如果组织不遵循这些原则，安全事件将对组织造成更大的损害。

2、 职责分离和岗位轮换。

职责分离是一项基本安全原则，确保单个的人无法掌握关键职能或关键的系统要素。通过岗位轮换，员工可以轮换到不同的工作岗位，或者任务可以分配给不同员工。串通是指多人协同执行一些未经授权的或非法的行为。在没有出现串通的情况下，这些策略可以通过限制个人行为来预防欺诈。

3、 监控特权操作的重要性。

虽然特权用户是受信任的，但他们可能滥用其特权。因此，有必要监控所有特权的分配及使用。监控特权操作的目的是确保受信任的员工不会滥用被授予的特权。因为攻击者通常在攻击时使用特权，监视特权操作还可以检测到一些攻击。高级特权管理