
护网那三天
2024年某次省护网行动,我作为防守方负责 SOC 值守。
第一天下午,SOC 弹窗开始炸裂——扫描探测、漏洞利用尝试、弱口令爆破,高峰期同时涌进来 200 多条告警。我和团队连续 36 小时轮班,对高危工单逐条研判、确认、下发整改。
到第三天下午,有效告警降到个位数。
那三天给我最大的感触不是技术强弱,而是一个朴素的道理:制度写得再漂亮,打一次护网就露底了。
护网行动是企业安全体系的压力测试。它不会去看你的《信息安全管理制度汇编》写得多厚,它只看一件事——你是不是真的有防护能力。
ISMS 审核中常见的”纸面合规”
这些年做 ISMS 审核,我见过太多”制度对、落地不对”的情况。举三个最常见的:
类型一:A.5.9 资产管理
制度上写着”建立了资产台账,定期盘点”。去现场一看:台账 Excel 表格,最后一次更新是 8 个月前,页面上 500 多行资产,但实际设备 300 多台已经报废停用,台账里还标着”在用”。
问资产管理员为什么没更新,答:”太忙了,而且资产变动太多,跟不上。”
台账漂亮,数据不准。这不是个例。
类型二:A.8.12 漏洞管理
制度上写着”发现高危漏洞 24 小时内响应、7 天内修复”。
去查 SOC 工单系统:一个高危漏洞的工单,创建日期是 90 天前,状态是”整改中”。
问负责人,答:”负责系统的人太忙了,而且那个系统是外包团队开发的,他们修复需要排期。”
闭环率不是写出来的,是查出来的。
类型三:A.8.17 员工行为监控
制度上写着”部署了终端安全审计系统,对所有终端设备进行行为监控”。
实际上终端审计系统部署率只有 60%,因为有些部门”觉得装客户端影响性能”拒绝了,安全团队也没强硬推行。
制度对,落地打折——这是 ISMS 最常见的问题。
用攻防思维做审核
参加了 10 多次护网行动和渗透测试之后,我重新理解了 ISMS 审核这件事。
合规思维 vs 攻防思维的差异
合规思维通常会问:
- “有没有漏洞扫描记录?” → 答:”有。”(哪怕半年扫一次)
- “有没有应急预案?” → 答:”有。”(哪怕从没演练过)
- “有没有备份机制?” → 答:”有。”(哪怕从没恢复验证过)
攻防思维会问:
- “当前未闭环的高危工单有多少?” → 答:”……我查一下。”
- “最近一次应急演练是什么时候,结果怎样?” → 答:”去年,但不太理想。”
- “备份能恢复吗?恢复过吗?” → 答:”……这个不确定。”
合规思维看制度,攻防思维看结果。
审核 A.8.12 的实操方法
现在我做 ISMS 审核时,会带一个”攻防视角清单”:
-
不是问”你们有漏洞管理流程吗”—— → “打开你的 SOC 工单系统,查当前未闭环的高危/中危工单数量和超时天数。”
-
不是问”你们定期做漏洞扫描吗”—— → “最近一次扫描的覆盖率和扫描报告给我看看。”
-
不是问”你们做渗透测试吗”—— → “最近一次渗透测试的报告里,高危漏洞复测通过了多少?”
-
不是问”你们有应急响应流程吗”—— → “过去 12 个月演练过几次?平均响应处置时间是多少?”
这些问题,制度文件回答不了,只有实际运营数据能回答。
数据驱动比文件驱动更靠谱
有一组数据我至今印象深刻:某次审核一家刚通过 ISO 27001 再认证的企业,我要求看 SOC 系统。打开一看,37 个高危漏洞的工单处于”未闭环”状态,最长的一个已经 120 天。
合规审核不查这个——只要制度文件齐全、审计轨迹完整,就能通过。但真实的安全状况,差距巨大。
我的方法是:不只看文件,更看系统。
| 审核内容 | 文件审核 | 数据审核 |
|---|---|---|
| 漏洞管理 | 制度文件 | SOC 工单闭环率、超时数 |
| 资产管理 | 资产台账 | 实际设备数与台账比对 |
| 应急响应 | 应急预案 | 演练记录和响应时间统计 |
| 员工行为监控 | 管理制度 | 终端审计部署率、告警数 |
| 数据备份 | 备份策略 | 恢复验证记录 |
结语
ISO 27001 是信息安全管理体系的标准,不是”信息安全能力”的保证书。通过认证只代表你满足了这个标准的最低要求,不代表你真的安全。
护网行动回来,我最大的感受是:制度可信,数据不可编。
如果你需要一份 ISMS 审核,并且希望知道”我们到底安不安全”,而不是”我们能不能拿到证”——欢迎找我。
我会打开你的 SOC 系统、拉你的工单数据、看你的恢复记录,然后告诉你真相。