云安全运营

1 为云环境构建和实施物理和逻辑基础设施

1.1 硬件特有的安全配置需求

1.可信平台模块(TPM)

TPM 是一个内置在计算机系统中的专用模块，具有加密功能的专业能力，也称为加密协处理器(cryptographic coprocessor)。TPM通常是系统硬件的物理组成部分，不支持后期添加或删除，如Windows 11 仅支持具有 TPM 的硬件才能安装。

2.硬件安全模块(HSM)

HSM 是一种专用硬件，旨在支持和执行密码功能。它是一个独立模块，支持按需扩展来提高安全性。

3.存储控制器

存储控制器用于控制存储设备，包括访问控制、完成请求数据的集合以及为用户或应用程序提供存储服务的接口。

4.网络配置

为设施的出入口提供足够的物理和环境安全
网络基础设施的韧性和冗余设计
建立灵活和可扩展的网络架构
为虚拟化和分布式环境提供适当的安全功能

1.2 虚拟化管理工具的安装和配置

最佳实践可参考互联网安全中心 (CIS)的基准和国防信息系统局 (DISA)的安全技术实施指南 (STIG)。

冗余:任何关键工具都应避免单点故障(SPOF)
计划停机和维护:工具需定期补丁修复和更新
隔离网络和强健的访问控制:工具具有特权，因此需要严格限制访问
配置管理和变更管理:工具的任何改变都应在有效的管理流程之下
日志记录和监控:记录任何特权活动

1.3虚拟硬件特有安全配置需求

与虚拟硬件安全相关的最大问题是虚拟化管理程序(Hypervisor)在单个主机上运行的客广操作系统之间执行严格隔离。

严格控制 Hypervisor 的配置和补丁管理
通过虚拟私有云(VPC)和安全组 (security group)加强虚拟网络安全控制
限制虚拟硬件配置的数量以降低成本
通过基础设施即代码(IaC)来提高虚拟硬件配置参数效率
自动缩放 (autoscaling)功能帮助客户根据负载自动调整资源

1.4 访客操作系统虚拟化工具集的安装

该工具为访客 0S 提供扩展功能，应遵循最小化必要功能原则进行安装并控制其使用

2 为云环境运营物理和逻辑基础设施

2.1 为本地和远程访问配置访问控制

1.常见远程管理协议

Security Shell (SSH):提供命令行接口(CLI) 方式的安全远程管理访问。远程桌面协议 (RDP):提供图形化接口 (GUI)方式的远程管理访问，现以支持多种类型的操作系统 (Windows、macOS、Linux 等)。虚拟网络计算 (VNC):与 RDP 类似，提供图形化接口 (GUI)方式的远程管理访问，特别是Linux 或Unix 系统

2.键盘、显示器、鼠标 (KVM)

KVM 是一种允许使用一套人机界面外围设备访问多个主机的设备，支持隔离数据端口、防算改设计、保护存储、安全固件、物理隔断、USB 端口和设备限制等特性。

3.管理控制台

CSP 提供了一个用于交互的可视用户界面 (UI)，允许创建和管理资源，包括用户帐户、虚拟机、云服务 (如计算或存储)以及网络配置

2.2 保护网络配置

1.虚拟局域网 (VLAN)

VLAN 常用于划分逻辑子网，起到隔离网络流量的作用，不同VLAN 之间必须依赖三层设备才能通信。不同 VLAN的网络流量依靠 VLAN tag 进行区分。虚拟可扩展局域网(VXLAN)可用于扩多个数据中心创建虚拟局域网。网络安全组 (NSG)可用于限制网络访问，达到划分子网的效果。

2.传输层安全 (TLS)

TLS 用于保护传输中的数据安全，替代了过时的安全套接字层(SSL)。握手协议(handshakeprotocol)用于协商建立加密通信通道，包括三个步骤:

客户端使用 ClientHello 消息初始化请求,提供了其所支持的加密套件和 TLS 版本清单
服务器选择支持的最高TLS 版本和加密套件，并将选择的内容与含有公钥的服务器证书起传递给客户端
根据加密套件的选择，客户端和服务器随后交换用于协商会话密钥的预主密钥

大多数情况下，TLS 依靠服务器数字证书还提供单向身份验证，即验证服务器身份:如果客户端也拥有数字证书，则可以支持双向身份验证，用于高安全或高完整性的环境。

3.动态主机配置协议 (DHCP)

DHCP 为主机动态分配网络配置信息，包括 IP 地址、子网掩码、网关地址、DNS 地址等.

4.域名系统 (DNS)以及安全扩展

DNS 解决域名 (www.google.cn)和 IP 地址(1.1.1.1)的映射问题

区域传输(zone transfer):DNS 服务器之间共享映射信息的活动
缓存投毒(cache poisoning) :更新DNS 记录将域名指向错误 IP 地址
DNS 欺骗(spoofing):欺骗 DNS 服务将用户域名解析为攻击者控制的 IP 地址
DNS 安全扩展 (DNSSEC):通过使用数字签名提供 DNS 数据的加密认证来保护 DNS

5.虚拟专用网 (VPN)

VPN 为外部用户提供了虚拟和远程加入网络的能力，从而访问该网络上托管的资源;或在两个网络之间建立安全通道，使两个网络中的主机相互安全地通信

OpenVPN:基于 OpenSSL 项目的开源VPN。
IKEv2/IPSec:利用安全关联(SA) 建立加密通信通道
SSL VPN:通常在浏览器中实现，无需安装额外软件。

6.软件定义边界(SDP)

由于云服务的去中心化性质，导致传统网络边界不再存在，SDP 通过软件控制用户访问的逻辑边界，是一种基于零信任理念的网络安全技术架构。

2.3 通过应用基线加固操作系统

加固(hardening)是指将机器配置为安全状态。通过创建 0S 镜像来构建基线，能够提高部署机器的效率并提高 0S 的安全性。0S 镜像由于不运行，因此无法进行补丁修复等活动，定期更新 OS 镜像以及基于此创建的 VM。

1.基线实现方式

自定义 VM 镜像:客户自己创建安全的 VM 后生成相匹配的 VM 镜像以供未来使用
CSP 定义镜像:CSP 提供标准或添加安全配置的 VM 镜像。
供应商提供的基线:根据所使用的产品供应商查询其提供的相关技术指南

2.基线最佳实践

国防信息系统局 (DISA) 的安全技术实施指南 (STIG)
NIST 检查表
互联网安全中心(CIS)的基准

2.4 独立主机的可用性

独立主机是指供单个租户使用的独立专用主机，常用于处理高敏感数据，成本相对较高。

2.5 集群主机的可用性

集群是具有某种协调元素的资源分组，通常是一个软件代理，它促进了集群之间的通信、资源共享和任务的路由。集群主机具有高可用性、性能优化、可扩展等特性.

1.VM资源分配方式

保留 (reservation) :对指定 VM 可用资源的特定最低级别的保证
限制 (limit) :对 VM 资源的最大分配。
共享(share):给予特定 VM 的权重，当出现竞争时，用于计算基于百分比的对集合资源的访问。

2.维护模式

维护模式是指围绕集群主机的常规维护活动的实践，这将对 CIA 产生影响。

机密性:VM 迁移过程通常不会加密，这可能导致数据泄露
完整性:维护模式下客户无法获取环境配置相关的报警。
可用性:维护通常涉及使系统下线，需要实时迁移 (live migration)将 VM 转移到集群之外;如果涉及 CSP 整个环境的维护更新，应提前与客户协商窗口期，并参考 SLA执行相关要求。

3.高可用性 (HA)

高可用性(HA)是由一个健壮的系统和基础设施来定义的，以确保系统不仅正常运行，而且是可用的。通常以“g”的数量来衡量，例如，“5个 9”或 99.999%的可用性，这相当于每年大约 5 分钟的停机时间。

Uptime Institute 物理和环境冗余规范

Tier 1不提供冗余，发生意外维护或中断时停机时间最多(99.671%)。
Tier 2 提供部分冗余，非计划中断不一定会导致停机 (99.741%)
Tier 3 提供N+1 元余，允许在没有中断的情况下进行计划内维护活动，但意外故障仍可能导致停机 (99.982%)
Tier 4 提供 2N+1 冗余,可以承受计划内或计划外的活动,而不会影响可用性(99.995%)。

4.分布式资源调度(RDS)

VMware ESXi 主机群集中的协调元素，它调解对物理资源的访问，并提供支持高可用性和管理的其他功能，包括 VM 迁移、硬件扩容、资源平衡、能源管理等。

5.虚拟机管理(VMM)

与 RDS 类似，Microsoft自家的软件，用于处理能源管理、VM 迁移、优化计算和存储资源等.

6.存储集群

存储群集创建了一个存储池，其目标是提供可靠性、提高性能或可能增加容量。

紧耦合 (tightly coupled)集群中的组件通常由同一制造商提供，更新或扩展必须来自同一制造商，数据读取速度快。
松耦合(loosely coupled)集群以牺牲性能为代价提供了更大的灵活性和更低的成本

2.6 访客操作系统的可用性

在云环境中确保访客 0S 的可用性涉及备份和恢复的规划,或利用云特定功能设计系统韧性

备份和恢复:云环境通常使用快照机制来备份，为备份配备安全控制并定期测试。
韧性:设计的目的是不让系统中断，如两地三中心。

3 为云环境管理物理和逻辑基础设施

3.1 远程访问的访问控制

由于云访问需要通过互联网，因此容易面临网络威胁

会话加密:通过 TLS 加密会话防嗅探
强身份验证:使用 MFA 加强用户访问控制
独立特权和无特权账号:职责分离，管理账户执行敏感功能，用户账户执行日常操作
增强的日志记录和审查:有助于事后溯源和权限审查.
IAM 工具的使用:使用 IAM或 IDaaS 提高账号和访问管理效率。
单点登录 (SSO) :一次登录可访问多个业务系统。

3.2 操作系统基线合规监控和补救

OS 基线建立完成并生成 VM后，由于环境总是在变化，因此就需要对其进行持续监控。

配置管理数据库 (CMDB)的使用和 CM审计:CMDB 存储所有配置项 (CI)，用于手工或自动扫描识别偏离安全状态的系统。
组织范围内的漏洞扫描:漏洞扫描能够识别不安全的特定服务，说明偏离了基线配置
不可变架构:通过限制主机处于不合规状态的时间来解决基线监控和合规问题。

3.3 补丁管理

补丁管理涉及识别环境中的漏洞、应用合适的补丁或软件更新、以及验证补丁是否已修复漏洞而不会破坏任何功能或创建额外漏洞。

1.通用补丁管理流程

漏洞检测:客户通过人工、漏扫、威胁情报等方式检测漏洞
补丁发布:供应商通过公告、标准更新机制或临时通讯向客户发布补丁。
补丁适用性评估:客户评估补丁是否适应自己的组织。
测试:在测试环境中测试补丁应用情况，评估是否能够接受风险
应用和跟踪:识别需要修复的系统，安排修复计划并跟踪闭环。
需要时回滚:补丁修复可能会导致未知问题，回滚计划必须安排
记录:补丁修复意味着系统发生变更，需要记录变更并更新配置文档。

2.云架构的补丁管理

使用基础设施即代码 (IaC):使用 IaC 创建 VM 能够应用最新的补丁模板
不可变架构:通过限制主机处于不合规状态的时间来解决基线监控和合规问题。
软件成分分析 (SCA):用于识别软件中开源组件的漏洞。

3.4 性能和能力监控

监控的主要目的是维护可用性，也可以识别攻击或滥用行为，以及统计客户的服条使用量需要监控的基础设施元素包括网络、CPU、内存和存储（SNMP）。

3.5 硬件监控

硬件监控主要两方面，一方面是基础设施，包括物理硬件的 CPU、内存、风扇、硬盘等;另方面是环境因素，包括温度、湿度、PM2.5、TVOC 等。

3.6 主机和访客操作系统备份和还原功能的配置

备份和还原需考虑的风险

敏感数据存储于备份时，需要配置与数据级别一样的安全控制来保护备份
备份应该异地或异机存储，提高冗余性。
定期验证备份是否能够正常恢复

3.7 网络安全控制

1.防火墙

防火墙用于隔离和控制不同网络之间的访问,根据规则检查流量来决定允许还是拒绝流量通行。防火墙有基于硬件的网络防火墙，也有基于软件的主机防火墙。

静态包或无状态防火墙(static packet or stateless):基于五元组检测单个数据包并匹配规则。
状态防火墙 (stateful):基于会话检测整个会话的数据包并匹配规则
Web 应用程序防火墙 (WAF)和 API 网关:专门分析HTTP 或HTTPS 流量的防火墙。
安全组 (security group):也称为网络安全组 (NSG)，云环境中的虚拟防火墙
下一代防火墙 (NGFW):赋予更多安全功能的防火墙，如入侵检测、病毒检测等。

2.入侵检测/入侵防御系统 (IDS/IPS)

传统环境中，IDS 旁路部署，通过端口镜像检测网络流量，匹配攻击库规则，并发出报警:IPS 串接部署，直接检测网络流量，匹配攻击库规则，并发出报警并拦截攻击行为;称为基于网络的入侵检测/入侵防御系统(NIDS/NIPS)。在云环境中，IDS/IPS 也支持软件部署即基于主机的入侵检测/入侵防御系统(HIDS/HIPS)。

3.蜜罐和蜜网

蜜罐(honeypot)具有伪漏洞的服务器，能够监控并分析攻击者的行为;蜜网 (honeynet)具有多个蜜罐组成的网络。需要注意诱捕(entrapment)问题，如果蜜罐或蜜网被专门设计用来吸引攻击者并实施抓捕，则在法庭上会被认为是非攻击行为而判无罪。

4.脆弱性评估

脆弱性评估的目标是在攻击者发现脆弱性之前检测并修复它，包括但不限于漏洞扫描、安全审计、合规检查、渗透测试等。

3.8 管理平台

管理平台 (management plane)主要由CSP 的管理员通过API 方式使用，用于管理虚拟化环境的物理选项以及相关任务的执行。由于其拥有特权，因此需要适当的日志记录、监控和访问控制。管理平台提供编排 (orchestration)能力，即资源的自动化配置和管理。管理控制台 (management console)是供云客户使用，用于管理所购买的云服务。

4 实施运营控制和标准

IT 服务管理(ITSM)框架旨在帮助组织以一致的方式设计、实施和改进 IT 运营的运营控制,可参考 ISO 20000-1 和 ITIL 标准提高组织的 IT 运营过程

4.1 变更管理

变更管理关注的是任何变更都不会影响组织持续有效运营，通常依靠变更管理平台来记录和跟踪变更的所有过程。

1.一般变更管理过程

请求变更:说明变更的目的、所有者、资源需求、识别的影响等。
审查变更:由变更控制或变更咨询委员会(CCB or CAB)审查变更内容，还可能涉及测试变更、决策分析等过程。
实施变事，变重批准后按计划实施变重，如果实施变更失败则需要执行回滚计划，降低变更失败的影响。
记录变更，所有变更流程的内容都需要记录以进行审计。

2.变更类型

低风险:不太可能产生负面影响的变更，可预先授权以减少运营成本
正常变更:需要完整的变更管理请求以审查实施流程。
紧急变更:突发事件需要紧急变更，可根据情况加快变更流程。

4.2 连续性管理

1.连续性管理的必要因素

识别关键业务功能和资源:通过业务影响评估(BIA)完成
确定恢复优先级:根据 BIA 结果对系统恢复顺序进行排序。
规划连续性:确定使用哪些连续性功能。
记录计划和程序:编写应急响应指南以应对紧急情况
培训:培训具有关键责任的人员以应对紧急情况。

2.连续性管理最佳实践

NIST 风险管理框架(RMF)和 ISO 27002
健康保险可携带和责任法案(HIPAA)
ISO 22301:2019 安全和恢复力-业务连续性管理系统

4.3 信息安全管理

信息安全管理系统(ISMS)的目标是确保采用一致的组织方法来管理信息安全风险，或一个组织为保护所用系统和数据的机密性、完整性和可用性 (CIA 三元组)而采取的总体方法。

1.ISO 27000 系列

27001 提供 ISMS 管理要求
27002 提供 ISMS 技术要求
27017 提供基于 27002 的云服务的信息安全控制要求
27018 提供作为个人身份信息 (PII)处理者的公有云中 PII 保护要求
27701 提供扩展 27001 和 27002 关于隐私信息管理的要求

2.NIST 标准

SP 800-37 提供创建组织风险管理框架的指南
SP 800-53 提供联邦信息系统和组织的安全和隐私控制
网络安全框架(CSF) 提供如何设计和实施信息安全计划

3.AICPA SOC 2

服务组织控制 (SOC)框架提供相对轻量级的信息安全管理和控制方法，以及使用第三方执行审计，这为业务合作伙伴和客户提供了良好的保障。

4.4 持续服务提升管理

持续服务提升的目的是确保 IT 服务满足组织业务目标以及组织的安全风险得到充分缓解,主要通过监控和指标来实现持续服务提升的目标，如监控漏洞数量的趋势、漏洞修复的完成周期、持续运营时间等。

4.5 事故管理

事件 (event)是指任何可以被观察的活动，而事故(incident)是指非计划和对组织产生不利影响的事件，且往往需要调查和补救活动。事故管理的主要目标是恢复正常服务。

1.事故管理计划的内容

定义事故的类型
事故响应团队(IRT)人员
不同事故类型中 IRT 人员的角色和责任
资源要求
事故管理流程

2.NIST SP800-61 事故响应生命周期阶段

3.事故分类

事故响应优先级主要基于关键性(对组织的影响)和紧迫性(解决周期)决定。

4.6 问题管理

问题 (problem)是事故的根本原因，问题管理的目的是改进组织对事故的处理。已识别的问题通常存储到知识库进行管理，记录了组织知道的已确定的根本原因，以及关于如何修复或避免这些问题的任何共享知识。

4.7 发布管理

发布(release)管理活动通常包括发布变更的软件或服务所需的组织工作，并可能包括识别服务的相关组件、安排发布和实施后的审查，以确保变更按预期实施，即新软件或服务按预期运行。由于敏捷开发方法的流行，发布管理趋于自动化(持续集成/持续交付-CI/CD)

4.8 部署管理

部署(deployment)管理也越来越依赖 CI/CD 完成，容器化(containerization)和不可变架构(immutable architecture)技术使频繁部署更易实现

4.9 配置管理

配置 (configuration)管理旨在维护已知良好的配置，被管理的元素称为配置项 (CI)存储 CI 的数据库为配置管理数据库(CMDB)。CI 的变更需要走变更管理流程以防止引入风险，因此变更管理的子过程包括配置管理。

4.10 服务水平管理

服务水平管理基于组织定义的服务要求，如可用性 99.9%。管理服务水平的关键工具是服务水平协议 (SLA)，一种类似合同的正式协议，详细描述了服务需达到的要求以及不满足的处罚措施。

4.11 可用性管理

由于云环境的远程访问特性，保持服务的可用性至关重要，可用性管理通常会结合其他管理来整体实现管理，如连续性管理或服务水平管理。

4.12 能力管理

能力(capacity)管理主要涉及评估可提供的服务能力与实际需要的服务能力的差距，比如网站能够提供并发连接数为 10W，据监控反馈近期用户并发数据已经到了 9W，这就需要考虑网站扩容。

5 支持数字取证

数字取证(digital forensic)是将科学技术应用于数字数据的收集、检验和解释，主要关注数据的完整性，也被称为监管链 (chain of custody)。

5.1 取证数据收集方法

电子发现 (e-discovery)涉及电子信息的识别、收集、保存、分享和审查等步骤

1.ISO 27050 电子发现

Part 1:概述和概念
Part 2:电子发现治理和管理指南
Part 3:电子发现实践规范
Part 4:技术准备

2.云安全联盟 (CSA) 安全指南领域3:法律问题:合同和电子发现

该标准涵盖了云安全相关的法律问题、合同要求以及电子发现提出的特殊问题

3.法律保留 (legal hold)

当采取法律活动时，为了收集证据可能干涉组织的数据处置活动，即在法律诉讼完成之前保留数据，这被称为法律保留。

5.2 证据管理

1.监管链

在处理证据时，监管链记录数据的完整性，包括时间、方式和负责各种行动的人员的详细信息，如收集、制作副本、执行分析和提交证据。

2.证据收集的范围

由于云环境的多租户特性，数据收集可能会无意中暴露不属于请求方的数据

3.呈现给不同受众的证据道循不同的规则

证据的五个属性:真实、准确、完整、可信、可接受.

5.3 收集、获取和保存数字证据

事故响应过程中收集到的信息可能会成为未来取证调查和刑事起诉的证据，因此事故响应团队应在事故响应过程中遵循监管链要求，以防证据不再有效。

1.准备证据收集

日志记录和监控:所有资产都需记录日志并集中管理，限制日志的访问并定期审查
备份和存储:证据需要与基线对比以发现恶意活动
基线和文件完整性监控:基线的完整性检查可用于发现恶意活动。
数据和记录保留:保留的记录可能有助于调查活动。

2.证据收集的最佳实践

在收集证据时最好尽可能使用原始物理介质
在分析证据时始终使用副本来保障原始证据的完整性
证据处理过程中频繁使用哈希验证证据完整性
记录证据处理过程的所有内容
建立并保持与相关方的沟通以获取指导和要求

3.证据保存的最佳实践

充足的物理安全
物理和环境维护
阻拦干扰
使用副本
记录一切

6 管理与相关方的沟通

沟通是管理的基石，提供充足和及时的信息至关重要。沟通的内容、性质和交付将推动许多决策，这些决策可以通过一系列关于要传达的信息的问题得出。

谁:目标受众决定沟通的内容
什么:内部必须满足沟通的目标
为什么:沟通的目的应该明确，目标受众应该能够立即使用
时间:沟通是否及时

6.1 供应商

1.盘点组织所依赖的关键第三方 2.与关键供应商的沟通应与内部沟通一样便利 3.与供应商的沟通要求纳入合同和 SLA 中

6.2 客户

作为客户的关键责任就是基于所购买的云服务模型将相关责任在 SLA 条款中明确定义。

6.3 合作伙伴

合作伙伴通常可以访问组织的系统，其级别与组织自身员工的系统相似，但不受组织的直接控制，因此与合作伙伴的沟通将类似于与员工的沟通。

与合作伙伴建立关系前，应对合作伙伴进行尽职调查并通过合同沟通安全要求。
与合作伙伴建立关系后，将合作伙伴纳入组织的安全管理活动中。
与合作伙伴结束关系时，终止合作伙伴的任何访问并传达终止相关的安全要求

6.4 监管机构

监管机构向组织下发合规要求，组织向监管机构上报合规情况

6.5 其他利益相关者

公众:当发生安全事故后，需要向公众公告事故信息
安全研究人员:为安全研究人员开通漏洞信息同步渠道
投资者:需要定期与投资者汇报业务运营情况
危机沟通:重大灾难时需要与多个相关方沟通。

7 管理安全运营

安全运营是指组织在监控、维护和一般运行其安全计划方面所开展的所有活动

7.1 安全运营中心

安全运营中心 (SOC)是一个组织单元，旨在集中组织的战术(中期)和运营(日常)层面的各种安全任务和人员。

1.CISO 视角下 SOC职责

威胁预防:降低事故发生可能性的预防性控制和风险缓解措施
威胁检测:检测威胁的工具、流程和程序
事故管理:IRT 依靠 SOC 开展事故管理工作。

2.SOC 集成其他功能

持续监控和报告
数据安全
告警优先级
事故响应
合规管理

3.托管安全服务提供商(MSSP)

通常 SOC 由组织建设，但考虑成本问题也可以外包。

7.2 安全控制的监控

风险管理框架(RMF)规定创建一个持续监控(continuous monitoring)策略，以获取接近实时的风险信息。为保障能够获取实时的风险信息，首先部署安全控制措施并保障其自身运行状态，其次是即使处置安全控制产生的报警信息。需要重点关注的控制包括：

网络安全控制
性能和能力
漏洞评估

7.3 日志抓取和分析

现如今组织内每天都会生成海量日志，因此必须依托安全信息和事件管理(SIEM)提高日志抓取和分析的效率。

1.SIEM 核心功能

集中化:组织内的每个实体都将日志转发到 SIEM 进行集中存储
规范化:不同实体产生的日志格式千差万别，SIEM 能够规范化日志格式
关联和检测:SIEM 可以实现关联分析，即尝试发现多个事件之间的关系来生成攻击链，提高威胁检测能力以及告警的准确度。
告警:SIEM 检测的威胁后告警并生成工单进行事件闭环处理

2.云访问安全代理(CASB)

由于云服务模式的不同，部分日志或信息客户是无法查看的，使用 CASB 能够记录和监控用户对云服务的访问，可作为补偿方案来使用。

3.安全管理日志数据的关键要求

使用高完整性存储介质，如一次写入、多次读取 (WORM)，保障日志不会被篡改
仅限 SOC 人员访问日志数据
能力监控和轮换确保充足的存储空间
当日志不再需要时保留或安全删除
在所有系统上正确地配置日志功能
测试和验证日志数据以确保完整性

7.4 事故管理

事故管理或事故响应(IR)旨在帮助组织规划事故，在事故发生时识别事故，并尽快恢复正常运营，同时将业务运营的不利影响降至最低。

1.IR 的关键要素

事故响应计划 (IRP):定义应对不同事故或场景的响应流程，能够帮助 IRT 有条不紊的开展事故响应活动。
事故响应团队 (IRT) :负责执行 IRP 的团队，人员职责在 IRP 中定义。
根本原因分析:事故解决后执行根本原因分析，制定补救策略以防再次发生。

2.事故分类

事故响应优先级主要基于关键性 (对组织的影响)和紧迫性(解决周期)决定