CISSP知识框架
2024-01-03 14:28:12 0 举报AI智能生成
CISSP知识框架-详细
作者其他创作
大纲/内容
目标:阻止或最小化未经授权的数据访问
为保障数据\\客体或资源保密状态而采取的措施
疑问:保密性和完整性相互依赖;没有客体完整性(没能力保证客体不受未经授权的修改),就无法维持客体保密性;注意此处的修改指有意义的修改,并不是指破坏;其实完整性受到破坏并不一定影响保密性;
保密性
目标:防止未经授权的主题进行修改
保护数据可靠性和正确性的概念(一种受保护的状态)
防止未经授权的主体进行修改
防止授权主体进行未经授权的修改,如引入错误
(此处的完整性与数据库中的完整性约束概念相似)
保持客体内外一致以使客体的数据能够真实反映现实世界,而且与任何子客体\\对等客体或父客体的关系都是有效的\\一致的和可验证的
三方面检验完整性
完整性
满足授权主体实时的\\不间断的对客体的访问权限
能够容易被主体使用或访问的状态
完整性进行访问控制限制,保密性进行信任验证
可用性依赖完整性和保密性
可用性
你知道的东西
你拥有的东西
你具备的特征
其他
身份验证 (authentication)
自主访问控制(Discretionary Access Control,DAC)
强制访问控制(Mandatory Access Control,MAC)
基于角色的访问控制(Role Based Access Control,RBAC)
访问控制模型
授权(authorization)
审计(监控及记录)
或者审计(auditing)
记账(accounting)
标识-》身份验证-》授权-》计费-》审计
流程:
AAA
其他安全概念
串行
纵深防御
分层
目的为了提高效率
角色\\组策略\\数据分级
抽象
通过访问控制措施使无权限者不可见
隐匿:隐写术(藏起来)
数据隐藏
强加密为隐藏
较弱的加密方式被认为是隐匿
加密
实现安全控制的部分可用机制
保护机制
对脆弱性和风险的评估基于对一个或多个CIA三元组原则的威胁
每个原则对特定组织有多重要取决于该组织的安全目标和需求;以及组织安全受到威胁的程度
客体是安全关系中的被动元素:如文件\\计算机\\网络连接和应用程序
主体是安全关系中的主动元素,如用户\\程序和计算机
笔记
1.1 理解和应用保密性\\完整性及可用性的概念
确保正确地创建\\执行和实施安全策略
使安全功能与业务战略\\目标\\使命和宗旨相一致
上层\\高级或管理部门负责启动和定义组织的安全策略
中层管理人员负责将安全策略落实到标准\\基线\\指导方针和程序
操作管理人员或安全专业人员实现安全管理文档中规定的配置
最终用户遵守组织的安全策略
自上而下;
自下而上
实现:
定义安全角色
规定如何管理安全\\由谁负责安全以及如何检验安全的有效性
制定安全策略
执行风险分析
对员工进行安全教育
内容:
稳定且长期,一般5年左右
定义了组织的安全目的
规划未来的目标和远景
包括计划的风险评估
长期计划(战略计划)
1年
规定和安排实现组织目标所需的任务
或可根据补课预测的事件临时制定
项目计划
收购计划
招聘计划
预算计划
维护计划
支持计划
系统开发计划
示例:
短期计划(战术计划)
短期\\高度详细的计划
包括资源分配
预算需求
人员分配
进度安排
细化或执行程序
阐明如何实现组织的各种目标
培训计划
系统部署计划
产品设计计划
操作计划
计划类型:
安全管理计划
与业务战略\\目标\\使命和宗旨相一致的安全功能
确保变更不会消减或损坏安全
首要目标是使所有变更被详细记录和审计;
目标:
可在任意系统上实现而不考虑安全级别
保护已实现的安全,使安全不受无意的\\间接的或负面影响
在受监控的环境中有序实施更改
包含正式的测试过程,验证变更能实现预期效果
所有变更都能够撤销(回退或回滚计划\\程序)
再变更实施前通知用户,防止影响生产效率
对变更影响进行系统性分析,以确定变更是否会对安全业务流程产生负面影响
最小化变更对能力\\功能和性能方面的负面影响
要求
变更控制/变更管理
定义:数据分级是将条目\\主体\\客体等组织成具有相似性的组\\类别或集合的过程
目标:基于指定的重要性与敏感性标签对数据进行正式化和分层化的安全防护过程
任何适合组织的数据分类标准,都要对数据进行评估,并为其分配是当的数据分类标签
确定管理人员,并定义其职责
指定信息如何分类和标记的评估标准
针对个人信息,数据所有者是?对数据增加标签的是?
对每个资源进行数据分类和增加标签(数据所有者会执行此步骤,监督者应予以审核)
记录数据分类策略中发现的任何异常,并集成到评估标准中
选择将应用于每个分类级别的安全控制措施,以提供必要的保护级别
指定解除资源分类的流程,以及将资源保管权转移给外部实体的流程
建立组织范围的培训程序来指导所有人员使用分类系统
数据分类方案七步骤
知其所需划分
严重影响和严重损害
绝密
重大影响和重大损害
秘密
对国家安全造成明显的影响和严重损害
机密
办公室使用/个人隐私
敏感但未分类(Sensitive But Unclassified,SBU)
任何人都可以获得未分类数据-依照《信息自由法》申请
未分类
政府/军事
法律/竞争力
机密(公司内部资料)
客户资料
私有
负面影响
常指任何非公开的信息
敏感
公开
商业
数据分类方案
数据分级
组织的流程
对安全最终负责\\提供支持
执行所有活动前都必须经过高级管理者的认可和批准
所有安全策略需要高级管理者的授权和支持
高级管理者(决策者)
保证安全性,编写和执行安全策略
根据已批准安全策略设计和实现安全解决方案
安全专业人员(实施者)
在安全解决方案中负责布置和保护信息分类的人员
最终对数据保护负责
数据所有者(通常为高级管理人员)
执行安全策略与高级管理者规定的保护任务的人员
执行和测试备份
验证数据完整性
部署安全解决方案以及基于分类管理数据存储
活动
数据托管员
任何能访问安全系统的人员
用户的访问权限与工作任务相关并受限(最小特权原则)
用户
审查和验证安全策略是否正确执行以及相关的安全解决方案是否完备
审计报告由决策者审核
审计人员
组织的角色和责任
满足利益相关方的需求
从端到端覆盖整个企业
使用单一的集成框架
采用整体分析法
把治理从管理中分离出来
信息和相关技术控制目标(COBIT)
ISO/IEC 27002
开源安全测试方法手册(OSSTMM)
信息技术基础设施库(ITIL)
安全控制框架
使用合理的关注来保护组织的利益
制定一种正式的安全框架,包括安全策略\\标准\\基线\\指南和程序
应尽关心(due care)
具体的实践活动
将安全框架持续应用到组织的IT基础设施上
尽职审查(due diligence)
组织内的所有责任相关方持续给与应尽关心和实施尽职审查
操作性安全
应尽关心和尽职审查
治理的共同目标是维护业务流程,同时努力实现增长和弹性
所有形式的治理都必须不时进行评估和验证
安全治理直接监督并涉及所有级别的安全;
安全治理框架:NIST 800-53\\NIST 800-100
笔记:
1.2 评估和应用安全治理原则
定义组织所需的安全范围
讨论需要保护的资产安全解决方案需要提供的必要保护程度
讨论必需遵守的法规,概述满足监管要求的程序
监管性策略
可接受的行为和行动,定义违规后果
建议性策略
提供整体策略特定要素相关的支持\\研究或背景信息
信息性策略
三大类综合安全策略
策略-》分工-》角色-》个人
安全策略不应针对特定的个人,安全策略针对特定的角色定义任务和职责
用来分配组织内的安全角色,并确保职责与这些角色相关联
定义了可接受的性能级别以及期望的行为和活动
可接受的使用策略
安全策略
标准对硬件\\软件\\技术和安全控制方法的一致性定义了强制性要求
提供了在整个组织中统一实施技术和程序的操作过程
标准
定义了整个组织中每个系统必须满足的最低安全级别
建立了通用的基础安全状态
TCSEC(可信计算机系统评估标准)
ITSEC(信息技术安全评估和标准)
NIST(美国国家标准与技术研究院)
参考行业或政府标准
基线
提供了关于如何实现标准和基线的建议,并作为安全专业人员和用户的操作指南
非强制性
指南
标准\\基线和指南
标准操作程序是详细的分步实施文档,描述了实现特定安全机制\\控制或解决方案所需的具体操作
程序的目的是确保业务流程的完整性;
程序必需跟随系统硬件和软件的发展不断更新
程序一般针对特定的系统和软件
程序
开发和实现文档化的安全策略\\标准\\程序和指南可以生成可靠的\\可依赖的安全基础设施
策略是宽泛的概述,标准\\基线和程序包括关于实际安全解决方案的更具体的信息
各个级别从上到下文档应该呈树形管理
程序是实施的流程
指南是标准的具体推演补充
标准是基于策略及法规和合同的约束
安全策略定义组织安全文档的整体结构
1.3 开发\\记录和实施安全策略\\标准\\程序和指南
风险评估,脆弱性
关注资产
关注威胁(在威胁面比较确定的情况下
关注攻击者
关注产品(与用户交互
关注软件
通过伪造的身份获得对目标系统访问权限的攻击行为
欺骗(Spoofing)
对传输或存储中的数据进行任何未经授权的更改或操纵
篡改(Tampering)
用户或攻击者否认执行动作或活动的能力
否认(Repudiation)
将私有\\机密或受控信息泄露或发送给外部或未经授权的实体
信息泄露(Information Disclosure)
该攻击试图阻止对资源的授权使用
拒绝服务(Dos)
该攻击是将全线有限的用固话账户转换为具有更大特权\\权利和访问权限的账户
特权提升(Elevation of Privilege)
STRIDE
威胁分类方案
1. 为风险分析定义目标
2. 定义技术范围
3. 分解和分析应用程序
4. 威胁分析
5. 弱点和脆弱性分析
6. 攻击建模与仿真
7. 风险分析和管理
攻击模拟和威胁分析(Process for Attack Simulation and Threat Analysis,PASTA)
可靠的\\可重复的安全审核方法
对每种资产的可接受风险水平进行评估,然后确定适当的风险响应
为安全工作人员之间的通信和写作提供了一致的框架
Trike
在可伸缩的基础上将威胁和风险管理集成到敏捷编程环境中
VAST(Visual,Agile,and Simple Threat,视觉\\敏捷和简单威胁)
威胁建模方法
方法
识别威胁
通过创建事务中的元素图表(系统组件)及数据流和权限边界来完成确定潜在的攻击
对于复杂系统,通过多图表实现不同层次的细节放大
确定所涉及的所有技术,包括操作系统\\应用程序(基于网络服务和客户端)和协议
确定和绘制潜在的攻击
信任级别或安全级别发生变化的位置
信任边界
数据在两个位置之间的流动
数据流路径
接收外部输入的位置
输入点
特权操作
关于安全策略\\安全基础和安全假设的声明
安全声明和方法的细节
概念
执行简化分析
说明威胁的手段\\目标和后果;考虑开发所需技术以及可能的控制措施和防护措施
概率X潜在损失
高/中/低评级
如果威胁成真,可能造成的危害程度
潜在破坏
攻击者复现攻击有多复杂
可再现性
实施攻击的难度有多大
可利用性
有多少用户会受到攻击影响
受影响用户
攻击者发现弱点有多难
可发现性
DREAD
威胁排序定级
优先级排序和响应
威胁建模是识别\\分类和分析潜在威胁的过程
威胁建模持续贯穿系统整个生命周期中
模糊测试向软件提供许多不同类型的输入,这些输入可以是随机生成的,也可以是专门为触发已知的软件漏洞而设计的
在初始设计和规范建立阶段,防御方法
主动式威胁建模
在产品创建和部署后,对抗性方法
被动式威胁建模
1.4 理解与应用威胁建模的概念和方法
安全供应链指供应链中的所有供应商或链接都是可靠的\\值得信赖的\\信誉良好的组织;他们向业务伙伴披露他们的实践和安全需求
到组织现场进行访谈,并观察工作人员的操作习惯
现场评估
调查数据和文件记录交换的方式,以及致性评估和审查的正式过程
文件交换和审查
审查安全策略\\过程/程序,以及事件和响应文件的副本
过程/策略审查
第三方审计
安全集成评估三方
1.5 将基于风险的管理理念应用到供应链
第一章 实现安全治理的原则和策略
特定职位的敏感性和分类取决于担任该职位的人员有意或无意地违反安全规定造成的危害程度
候选人筛选
背景调查
推荐信调查
学历验证
安全调查验证
安全性保证
态度
智慧
忠诚
常识
勤奋
诚实
尊重
一致性
遵守社会规范
企业文化认同
特质
候选人筛选及招聘
组织的规则\\限制\\安全策略\\可接受的行为和活动策略\\职责描述的细节\\违规行为和后果\\员工担任该职位的时间长度
雇佣协议
防止离职员工泄露组织的机密信息
保密协议(Nondisclosure Agreement,NDA)
试图组织了解组织秘密的员工加入另一个与该组织存在竞争关系的组织,使第二个组织不能利用该员工了解的秘密谋利;
防止员工仅为加薪或其他激励措施而跳槽到有竞争关系的另一家公司
无补偿无效
非竞争协议(Noncompete Agreement,NCA)
定期审计和验证员工的工作任务和特权
强制休假
工作任务特权漂移
雇佣协议及策略
新员工
角色或职位变化
获得其他特权或访问权限
入职
取消或删除用户账户
撤销证书
取消访问的代码的特权
终止其他特定特权
私下和尊重的态度处理员工解雇过程
终止和同事应至少有一名证人在场
时间:在轮岗间隙
提前通知
解雇
确保员工已归还交通工具和家中的所有公司设备或用品
删除或禁用员工的网络用户账户
通知人力资源部门发放最后的薪资,支付所有未使用假期的折算费用,并终止所有福利待遇
安排一名安全部门人员陪同被解雇员工在工作区域收拾个人物品
通知所有安保人员\\巡查人员或监控出入口的人员,以确保前雇员在没有护送的情况下无法再次进入办公大楼
事宜
离职面谈
离职
入职和离职程序
目的:确定组织主要外部实体\\人员或组织的绩效水平\\期望\\薪酬和影响;
确保组织向其内部或外部客户提供的各种服务保持在服务方和客户都满意的恰当服务水平
系统运行时间(占总运行时间的百分比)
最长连续停机时间(以秒/分钟等计算)
最大负载
平均负载
诊断职责
故障切换时间(如果采取了冗余措施)
赔偿措施
通常包含
SLA(Service-Level Agreement)服务等级协议
供应商\\顾问和承包商的协议和控制
要去员工遵守规则\\策略\\法规\\标准或要求的行为;
员工培训
合规策略要求
主动防止未经授权访问个人可识别的信息(即直接连接到个人或组织的数据点)
防止未经授权访问私有或机密信息
防止在未同意或知情的情况下被观察\\监视或检查
特殊:在德国和其他欧盟成员国,IP地址和MAC地址在某些情况下被认为是PII
健康保险流通与责任法案(Health Insurance Portability and Accountability Act,HIPAA)
萨班斯-奥克斯利法案(Sarbanes-Oxley Act,SOX)
家庭教育权力和隐私法案(Family Education Rights and Privacy Act,FERPA)
金融服务现代化法案
欧盟指令95/46/EC(数据保护指令)
通用数据保护条例和支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCIDSS)
欧美
信息安全法
个人信息安全保护标准35273
国内
法规
PII(Personally Identifiable Information)个人身份信息
隐私定义
隐私受到侵犯时,必须通知个人和公司
隐私政策要求
职责分离:将关键的\\敏感的工作任务分给几个不同的管理员或高级操作员
工作职责:最小特权授权
提供知识备份
降低欺诈\\数据更改\\盗窃\\破坏和信息滥用的风险
岗位轮换:
创建岗位职责描述
设置工作级别
筛选应聘者
招聘和培训最适合该职位的人
招聘新员工步骤
2.1 人员安全策略和程序
定义:安全治理是与支持\\定义和指导组织的安全工作相关的实践的集合;
安全治理通常与公司治理和IT治理密切相关
第三方治理是可能由法律\\法规\\行业标准\\合同义务或许可要求强制规定的监督制度;
第三方治理通常包括外部调查员或审计人员;这些审计人员可能由监管机构指定,也可能是目标组织雇佣的顾问
第三方治理另一方面是将安全监督应用到组织所依赖的第三方;
第三方治理的重点是验证安全目标\\需求\\法规和合同义务的合规性
在现场评估或审计的人员需要遵守审计协议(如COBIT)
在审计和评估过程中,组织应向监管机机构提交安全策略和自我评估报告
文件审查是阅读交换材料并根据标准和期望进行验证的过程,如果文档不符合要求,现场也不符合要求
第三方治理
2.2 安全治理
环境中需要保护的任何事物
资产:
可计算价值:购买\\维修\\替换\\
不可计算价值:公众信心\\行业支持\\知识产权
资产估值:
任何可能发生的\\对组织或特定资产造成不良或非预期结果的潜在时间都是威胁
威胁:
脆弱性是资产中的弱点(控制措施缺乏或薄弱)
脆弱性:
暴露,风险的存在;即脆弱性可能被威胁利用造成损害
暴露:
风险是威胁利用脆弱性对资产造成损害的概率;
风险:
任何能消除或减少脆弱性,或能抵御一个或多个特定威胁的事物;
控制措施:
攻击是威胁主体对脆弱性的利用
攻击:
破坏指安全机制被威胁主体绕过或组织;
破坏:
资产遭受威胁利用脆弱性导致暴露就是风险减轻方式通过控制措施保护资产
关系:
风险术语
为组织已识别的资产创建一个尽可能详尽的威胁列表,包括威胁主体以及威胁事件
大多数情况下,执行风险评估的应该是一个团队;成员来自组织内的各个部门,(充分识别威胁和脆弱性)
第三方风险评估通常使用风险评估软件(复杂昂贵),生成可被保险公司\\董事会接受的标准化报告
识别威胁和脆弱性
编制资产清单,并为每个资产分配资产价值(Asset Valuation,AV)
EF:如果已发生的风险对组织的某个特定资产造成破坏,组织将因此遭受的损失百分比(潜在损失)
SLE=AV*EF
SLE:特定资产发生单一风险的相关成本(确切损失),具体货币
研究每一项资产,列出每一项资产可能面临的所有威胁;对于每个列出的威胁,计算暴露因子(Exposure Factor,EF)和单一损失期望(Single Loss Expectancy,SLE)
ARO:一年内特定威胁或风险发生的预期频率;(历史记录\\统计分析\\推算)0-1
执行威胁分析,计算每个威胁在一年之内实际发生的可能性,也就是年度发生率(Annualized Rate of Occurrence,ARO)
ALE:ALE=SLE*ARO
通过计算年度损失期望(Annualized Loss Expectancy,ALE),得到每个威胁可能带来的总损失
控制措施并不一定改变EF,但会降低ARO
研究每种威胁的应对措施,然后基于已经采用的控制措施,计算ARO和ALE的变化
针对每个特定风险,必须在成本/收益的基础上评估一个或多个防护措施;
必须首先编制一份对每种威胁的防护措施清单
购买\\开发和许可的成本
实施和定制的成本
年度运营\\维护\\管理等费用
年度修理和升级的成本
生产率的提高或降低
环境的改变
测试和评估的成本
为每个安全措施分配部署价值
计算防护措施成本
防护措施实施钱的ALE-防护措施实施后的ALE-防护措施的年度成本ACS=防护措施对公司的价值
计算防护措施的成本/效益
针对每项资产的每个威胁的每个防护措施进行成本/效益分析;为每个威胁选择最合适的防护措施
步骤
定量风险分析(货币价值)
每个场景有一种或多种防护措施可完全或部分应对场景中描述的主要威胁.
场景
Delphi
定性风险分析(主观判断)
风险评估/分析
针对特定威胁的有效防护措施和控制措施列表
每个防护措施的成本/效益分析
风险分析的输出
降低或缓解
转让或转移
接受
威慑
规避
否认风险的存在
拒绝或忽略
风险处理方式
风险响应
物理性控制措施
逻辑性/技术性控制措施
管理性控制措施
资产
控制措施的成本应该低于资产的价值
控制措施的成本应该低于控制措施的收益
应用控制措施的结果应使攻击者的攻击成本高于攻击带来的收益
控制措施应该为真实的和明确的问题提供解决方案
控制措施的收益应当是可检验和可验证的
应该放置篡改控制措施
只有拥有特权的操作员才能全面访问控制措施
应当为控制措施提供故障安全和/或故障保护选项
安全控制措施的选择因素
选择与实施控制措施
控制措施并不一定仅属于一种控制类型
打消念头
威慑控制
组织实施
预防控制
活动发生后
检测控制
对现有控制措施的加强
补偿控制
修复错误
纠正控制
备份及恢复
恢复控制
管理要求
指示控制
控制类型
适用的控制类型
根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估
NIST-800-53A(联邦信息系统中的安全控制评价指南)
安全控制提供的收益应该是被监视和可测量的
监视和测量
资产估值是通过部署防护措施实现资产保护的成本/收益分析的基础
资产估值与报告
持续改进
安全分类
选择安全控制
实施安全控制并描述如何在信息系统及其操作环境中使用安全控制
实施安全控制
评估安全控制
授权信息系统
监视安全控制
NIST-800-37(RMF)
风险框架
风险管理的主要目标是将风险降至可接受的水平
笔记:
2.3 理解并应用风险管理概念
实施安全培训的前提是建立安全意识
安全意识-培训-教育
2.4 建立和维护安全意识\\教育和培训计划
执行风险评估以驱动安全策略的行为是安全功能管理最显著和最直接的示例
安全必须是成本有效的(收益大于成本)
安全必须是可测量的(收益有明确的指标可计算)
在选择\\部署和调优控制措施前后都要意识到并评估资源消耗
安全管理功能包括信息安全策略的开发和实现
2.5 管理安全功能
人通常是组织安全中最薄弱的环节;
第二章 人员安全和风险管理的概念
业务连续性计划(Business Continuity Plan)以及灾难恢复计划(Disaster Recovery Planning)的界限是模糊的
在紧急情况下提供快速\\冷静和有效的响应,提高公司从破坏性时间中快速恢复的能力
业务连续性的总体目标
项目范围和计划
业务影响评估
业务连续性计划
计划批准和实施
流程
3.1 业务连续性计划简介
分析业务涉及到的部门和个人,形成人员职能表,最终结果与表中人员会议确认
负责向客户提供核心服务业务的运营部门
关键支持服务部门\\设施和维护人员以及负责维护支持运营系统的其他团队
负责物理安全的公司安全团队,多数情况下是安全事故的第一响应者,也负责主要基础设施和备用处理设施的物理保护
高级管理人员和对组织持续运营来说只管重要的其他人员
业务组织分析
部门经理
负责执行业务核心服务的每个组织部门的代表
根据组织分析确定的来自不同职能区域的业务单元团队成员
不同的风险点\\技术难点
BCP所涉及领域内拥有技术专长的IT专家
掌握BCP流程知识的网络安全团队成员
机房\\安保\\后勤
负责工厂实体物理安全和设施管理的团队
法务
熟悉公司法规\\监管和合同责任的律师
人事经理
可解决人员配置问题以及对员工个人产生影响的人力资源团队成员
公关
需要制定在发生中断时如何与利益相关方和公众进行沟通的公共关系团队成员
高级管理层的重要职责通常包括确定优先事项,提供人力和财务资源,以及仲裁有关服务关键性(重要性)的争议
高级管理层代表,这些代表能设定远景\\确定优先级别和分配资源
选择BCP团队
连续性计划
开发
测试\\培训和维护
实施
资源需求
法律和法规要求
3.2 项目范围和计划
由BCP团队各部门成员列举部门优先级列表,汇总讨论成总优先级列表
为每项资产分配资产价值(货币)AV
确定组织资产清单
确定最大允许中断事件(MTD,Maximum Tolerable Downtime)
最大容忍中断事件(MTO,Maximum Tolerable Outage)
业务功能出现故障但不会对业务产生无法弥补的损害所允许的最长时间
恢复时间目标(RTO,Recovery Time Objective)
中断发生后实际恢复业务功能所需的时间
RTOMTD
确定优先级
暴风雨/飓风/龙卷风/暴风雪
雷击
地震
泥石流/雪崩
火山喷发
自然风险
恐怖活动/战争/内乱
盗窃/破坏
火灾/爆炸
长时间断电
建筑物倒塌
运输故障
互联网中断
SOC1(财务报告)
SOC2,3(安全性\\隐私和可用性)
服务提供商的业务连续性措施SOC报告(美国注册会计师协会AICPA)
服务提供商停运
人为风险
风险识别
内部团队
外部顾问
政府公开
保险公司
科研单位
识别每种风险的年度发生率(ARO)
可能性评估
暴露因子EF(风险发生时,单一资产损害百分比)
AV*EF
单一损失期望SLE(损失货币)
ARO*SLE
年度损失期望ALE
定量决策
在客户群中丧失的信誉
长时间停工后造成员工流失
公众的社会/道德责任
负面宣传
定性决策
分析方法
影响评估
定量定性结合
资源优先级排序
BIA确定组织持续运营所需的资源和这些资源面临的威胁,还评估每个威胁事件发生的可能性以及威胁事件对业务的影响
定量分析以货币价值进行计算
3.3 业务影响评估(Business Impact Assessment)
确定具体风险的处理方式
策略开发
确定不可接受风险的处理方案
员工\\客户\\供应商等
人员
加固预备措施
替代站点
建筑物/设施
物理性加固系统
备用系统
基础设施
三类资产
预备和处理
3.4 连续性计划
CEO\\总裁\\部门领导等
计划批准
计划实施
能够在灾难发生时有效完成任务的培训,每个任务至少一名备用人员
直接负责BCP工作的人员
明确总体计划及个人责任
所有直接或间接参与计划的人员
计划简报
组织中的每一个成员
培训和教育
供BCP成员参考
提供过程的历史记录
成员想法记录共团队外部成员讨论
作用
连续性计划的目标
各部门配合
重要性声明
对业务重要功能排序(紧急情况下)
优先级声明
各部门协助
组织职责声明
最高管理层
附计划时间表
紧急程度和时限声明
重述在业务影响评估期间的决策过程
提供决策的思考过程
需要定期更新
风险评估
概述接受原因以及未来可能需要重新考虑此决定的可能事件
需要对应业务领导提供一份记录他们决定接受风险的正式文件
对于可接受风险
概述要采取的缓解风险措施和过程
对于不可接受风险
策略开发部分结果
风险接受/风险缓解
业务方面
组织内部方面
组织重要的记录清单
确定每条记录的存储位置
重要记录计划
概述组织和个人立即响应紧急事件的职责
立即响应程序(安全和安全程序\\灭火程序,以及通知适当的应急响应机构等)
事故通知人员名单(高管\\BCP团队成员等)
第一响应人员在等待BCP团队集结时应采取的二级响应程序
应急响应指南
定期召开BCP成员会议
BCP文件和计划定期更新(版本控制)
维护
检验计划有效性
测试和演练
BCP文档化
3.5 计划批准和实施
第三章 业务连续性计划
法律体系的基石
刑法
法律体系的主体
民法
行政法
4.1 法律的分类
专门针对跨越州界的计算机犯罪
计算机欺诈和滥用法案
宣布创建任何可能对计算机系统造成损害的恶意代码行为是不合法的
允许关押违法者
受害者可以提起民事诉讼的法律授权
1994年计算机滥用修正案
法律上不可推脱的责任
没有遵守公认的标准
疏忽行为与后续的损害之间必然存在因果关系
疏忽举证
联邦量刑指南
将任何对国家基础设施关键部分造成损害的行为视为重罪
1996年美国国家信息基础设施保护法案
FISMA实施指南
定期评估,信息安全管理相关
联邦信息安全管理法案
将联邦网络安全责任集中到国土安全局
国防相关网络安全问题由国防部负责
国家情报机构负责情报相关
2014年联邦网络安全法案
NIST SP 800-53:联邦信息系统和组织的安全和隐私控制
NIST SP 800-171:保护非联邦信息系统和组织中受控的非分类信息
NIST 网络安全框架(CSF)
NIST负责自发的安全标准
网络安全增强法案
计算机犯罪
文学
音乐
戏剧
哑剧和舞蹈
绘画\\图形和雕刻
电影和其他音像
声音
建筑
版权和数字千年版权法
未注册™
注册ⓡ
商标
经济间谍法
保密协议(NDA)
不需要公开部分内容
有效期长
商业秘密
知识产权
合同许可协议
开封生效许可协议
单机生效许可协议
云服务许可协议
许可
计算机出口控制
需要经过审查
加密技术出口控制
进口/出口控制
搜查\\窃听
第四修正案
仅适用于政府机构
1974年隐私法案
1986年电子通信隐私法案
1994年通信执法协助法案
1996年经济间谍法案
私人医疗信息
1996年健康保险流通与责任法案(HIPAA)
数据泄漏通知
2009年健康信息技术促进经济和临床健康法案(HITECH)
监护人检查
1998年儿童在线隐私保护法
金融机构
Gramm-Leach-Bliley法案
执法机构和情报机构监控电子通信
2001年美国爱国者法案
学生信息以及监护人检查教育内容
家庭教育权利和隐私法案
身份盗用与侵占防治法
雇佣合同中索命
登录框中提示
计算机或电话上提示
工作场所隐私
美国隐私法
告知个人数据处理情况
提供免费和易用的纠纷解决方案
与美国商务部合作
维护数据完整性和目的限制
确保数据被转移给第三方的责任
执法行动的透明度
确保承诺在持有数据期间都有效
隐私盾协议(Privacy Shield)
要求24小时内将严重的数据泄露情况通知官方机构
每个欧盟成员国建立集中化数据保护机构
规定个人可访问自己拥有的数据
根据个人要求促进服务提供商之间的个人信息传输
要求公司删除不再需要的个人信息
通用数据保护条例(GDPR)
欧盟隐私法
隐私
4.2 法律
合同义务规定
安装和维护防火墙配置以保护持卡人数据
不要使用由供应商提供的默认系统密码和其他默认安全参数
保护存储的持卡人数据
在开放的公共网络加密传输持卡人数据
保护所有系统免受恶意软件攻击并定期更新杀毒软件
开发\\维护安全系统和应用程序
基于业务的致其所需原则,限制对持卡人数据的访问
识别和验证对系统组件的访问
限制对持卡人数据的物理访问
跟踪和监控对网络资源和持卡人数据的所有访问
定期测试安全系统和流程
维护针对所有人员的信息安全策略
PCIDSS
4.3 合规
供应商安全性审查
4.4 合同和采购
第四章 法律\\法规和合规
1安全与风险管理
包括员工和客户的个人信息,在泄露时应该通知到个人
任何可以识别个人的信息
姓名
社会保险账号
出生日期
出生地点
母亲的娘家姓
生物识别记录
任何可用于识别或追踪个人身份的信息
医疗
教育
金融
就业
与个人有联系或可联系的其他信息
NIST(SP)800-122
与特定个人有关的任何健康信息
卫生保健提供者
健康计划部门
卫生行政部门
雇主
人寿保险公司
学校
卫生保健信息交换所
由以下机构接受
过去\\现在或将来在身体方面\\精神方面的健康状况,向个人提供的健康保健条款
过去\\现在或将来为个人提供医疗保健而支付的费用
涉及任何个人的
健康保险流通与责任法案(HIPAA)
开发的软件代码
产品的技术计划
内部流程
任何有助于组织保持竞争优势的数据
专有数据
定义敏感数据
参照1.2 数据分级
分类也适用于硬件资产,包括处理或保存这些数据的任何计算系统或介质
数据分类都依据数据对组织的相对价值
定义数据分类
资产分类应与数据分类相匹配
定义资产分类
Boldon James
TITUS
Sporion
厂商
身份和访问管理(IAM)安全控制确保只有经过授权的人才能访问资源
根据安全要求确定使用的控制措施
对于不同的数据类型以及安全级别,确定其安全要求
确定数据的安全控制
存储的数据
静态数据
传输中的数据
动态数据
内存或临时存储缓冲区中的数据
使用中的数据
理解数据状态
关键目标:防止数据泄露
标记提供的主要信息为数据的类别
对数据进行标记
对处理数据的介质或设备进行标记
标记敏感数据和资产
介质在有效期内的安全传输(感觉描述的不只是传输)
制订政策确保人们知道如何处理敏感数据
处理敏感信息和资产
任何敏感数据的价值都远大于保存敏感数据的介质的价值
敏感数据的加密提供额外的保护层
存储敏感数据
不同安全级别的数据应该采用不同的销毁方式
清理
清除
Sanitization(具体定义需要查看文档,净化应该指清除和销毁)
销毁
NIST SP 800-88r1 介质净化指南
销毁敏感数据
数据残留是擦除后仍遗留在介质上的物理信息
删除文件,删除磁盘中数据的索引
擦除(Erasing)
删除后覆写所有存储单元(硬格式化)
清理(Clearing)
多次重复清除,消磁(目的:复用介质)
清除(Purging)
不建议,无法保证盘片中的数据完全被清除
不适用于光学CD\\DVD\\SSD
消磁(Degaussing)
最安全
焚烧
粉碎
分解
化学溶解
销毁(Destruction)
处理方式
任何净化过程执行后需要验证结果
消除数据残留(Data Remanence)
保留适用于数据或记录\\保存敏感数据的介质\\处理敏感数据的系统和访问敏感数据的人员
确保适当的资产保留期
管理信息和资产
微软BitLocker\\EFS(加密文件系统)
AES
2被或3倍密钥
VISA 或万事达卡
3DES
Linux使用Bcrypt(基于BlowFish) 对密码加密
BlowFish
用对称加密保护数据
DH密钥协商
密钥协商过程中的嗅探
嗅探攻击
身份鉴别
中间人攻击
用传输加密保护数据
数据保护方法
www.idtheftcenter.org
身份盗窃资源中心(ITRC)定期跟踪数据泄露
数据泄露指未获授权的实体查阅和访问敏感数据
5.1 资产识别和分类
对数据负有最终组织责任的人
通常是首席运营官CEO\\总裁或部门主管DH
建立适当使用和保护主体数据/信息的规则(行为规则-可接受的使用策略[Acceptable Use Policy])
向信息系统所有者提供有关信息所在系统的安全要求和安全控制的输入
协助识别和评估信息的公共安全控制状况
职责
数据所有者(Data Owner)
拥有处理敏感数据的资产或系统的人员
与信息所有者\\系统管理员和功能终端用户协作开发系统安全计划
维护系统安全计划,确保系统按照约定的安全要求部署和运行
确保系统用户和支持人员接受适当的安全培训,如行为规则指导(或AUP)
在发生重大更改时更新系统安全计划
协助识别\\执行和评估通用安全控制
确保系统被准确地标记,与数据所有者进行交互,以及当数据保存在系统中时,当数据在系统间传输时以及当数据被系统上的应用程序使用时是收到保护的
资产所有者(通常与数据所有者为同一人)
项目经理或信息系统所有者
业务数据所有者可能为对应业务部门的负责人或者IT支持部门的负责人
按照数据保密性要求,是否应该由业务部门人员作为数据所有者更合适
业务/任务所有者
通常,任何处理数据的系统都可以叫做数据使用者
GDPR中,数据使用者仅代表数据控制者处理个人数据(数据控制者是一个控制数据处理流程的人或实体)
GDPR 定义:用人为标识符替换数据
对数据中的个体标识信息进行替换,使得无法通过数据确定该所有者的真实身份
假名
即使删除了个人相关信息,仍可能结合其他数据推理出个人数据
对数据进行处理,使得无法通过数据或通过间接的综合分析方式确定特定数据的所有者(可以确定到一个范围)
匿名
组织必须告知个人收集和使用信息的目的
通知
组织赋予个人选择退出的权利
选择
组织只能将数据传输给符合以上的“通知”和“选择“原则的组织
向前传输
组织必须采取合理的预防措施来保护个人数据
安全
组织仅可收集为达到”通知“原则中的目的苏旭的数据,而不允许收集其他数据;组织还负责采取合理措施确保个人数据准确\\完整和最新
数据完整性和仅收集与自己相关的数据
个人必须能访问组织持有的个人信息,当个人信息不准确时,个人还必须能纠正\\修改或删除信息
可访问
组织必须建立一套机制以确保其所有操作都租售隐私保护原则,并建立投诉机制以处理来自个人的投诉
方法\\强化和责任
隐私保护原则
数据使用者
负责授予人员适当的访问权限, 管理员未必具有全部管理员全部权限和特权,但具备分配权限的能力
管理员根据最小特权\\和知其所需原则分配权限
将用户添加到组, 然后向这些组授予权限
通常使用基于角色的访问控制模型分配权限
管理员
数据所有者通常将日常任务委托给托管员, 托管员通过正确存储和正确保护数据来帮助保护数据的完整性和安全性
托管员
用户是通过计算机系统访问数据以完成工作任务的人,用户只能访问执行工作任务所需的数据
PII(personal identical information)and PHI(protected Healthy information)
法律要求组织公开收集了那些数据,以及收集数据的原因,如何使用这些数据等
美国HIPAA隐私规则
加拿大-个人信息保护和电子文件法
欧盟-GPDR
组织应遵守在线隐私政策
保护隐私
5.2 定义数据所有权
范围界定:根据基线安全控制列表选择适合所保护对象的安全控制方法(取其精华)
按需定制:修改基线内的安全控制列表, 使它们与组织要求的任务保持一致(因地制宜)
范围界定和按需定制
NISP SP 800-53
根据业务类型\\所处地域等
选择标准
安全基线提供了一个基点并确保了最低安全标准
组织经常使用的安全基线是系统镜像
5.3 使用安全基线
第五章 保护资产安全
2资产安全
右移3
凯撒密码
替换-移位组合
美国南北战争
图灵破德国
Ultra与Enigma
6.1 密码学的历史里程碑
确保数据在静止\\传输和使用等三种不同状态下始终保持私密
静止数据
运动中的数据
使用中的数据(内存)
保护的数据类型
确保数据没有被人未经授权更改
身份验证用于验证系统用户所声称的身份
挑战应答
身份验证
不可否认性
密码学的目标
只要密钥不被别人掌握,即使密码系统公开也应该是安全的
柯克霍夫假设
密钥空间大小影响安全强度(暴力破解)
密码学的概念
布尔数学
与
或
非
AxorBXorA=B
异或
逻辑运算
取余
模函数
公钥加密系统全都建立在某种单向函数的基础之上
单向函数
随机数
例如初始化向量(IV)
Nonce
零知识证明
密钥分割
N分之M控制
分割知识
从耗费成本或时间的角度测量破解一个密码系统需要付出的努力
代价函数
密码数学
代码作用于单词和短语,密码作用于字符和位
代码与密码
移位密码
替换密码
每个单次密本只使用一次
密钥应该随机生成
密钥必须至少与将被加密的消息一样长(密钥的每个字符只用于给消息中的一个字符编码)
单次密本
书密码
运动密钥密码
块密码
流密码
替换-混淆
移位-扩散
混淆和扩散
密码
6.2 密码学基本知识
密钥越长,破解越难
密码密钥
密钥分发(带外交换)
对称密钥加密法不提供不可否认性
群体太大,实现一一保密时需要共享的密钥数量太多
算法缺乏可伸缩性
参与者离开群体时需要重新生成密钥
密钥必须经常重新生成
弱点:
计算速度快
优势:
对称密钥算法
添加新用户时只需要生成一个公钥-私钥对
便于从非对称系统移除用户
只需要在用户私钥失信的情况下重新生成密钥
非对称密钥加密可提供完整性\\身份验证和不可否认性
密钥分发简便易行
不需要预先建立通信关联
优点:
非对称密钥算法
散列算法
6.3 现代密码学
56位密钥
64位明密文块
16轮加密
DES
电子密码本(ECB)
错误传播
密码快链接(CBC)
密码反馈(CFB)
错误不传播
输出反馈(OFB)
计数器(CTR)
工作模式
数据加密标准
DES-EEE3
DES-EDE3
DES-EEE2
DES-EDE2
四个版本
三重DES
分解为52个16位自密钥
128位密钥长度
国际数据加密算法(IEDA)
密钥长度可变
Blowfish
密钥长度80位
美国政府推荐密钥托管
密钥长度0-2040
RIvsestCipher(RC5)
Skipjack
10轮加密
128位
12轮加密
192位
14轮加密
256位
三种密钥强度
AES规定128位
Rijndael允许与密钥长度相同
文本块大小
文本块大小128位
密钥最长256位
第1轮加密前用一个单独的自密钥对明文进行异或运算
预白化处理
第16轮加密后执行同样的运算
白化后处理
新技术
Twofish算法
高级加密标准AES
线下分发
公钥加密
基于离散对数问题
Diffie-Hellman密钥交换算法
创建和分发对称密钥
密钥和数据隔离
密钥知识分割
存储和销毁对称密钥
公平密码系统
?
受托加密标准
密钥托管和恢复
对称密钥管理
6.4 对称密码
所有密码系统的使用寿命都是有限的
规定可接受的密码算法
根据被传输信息的敏感性识别可与每种算法配套使用的可接受密钥长度
枚举可用的安全交易协议(TLS
管制措施
6.5 密码生命周期
联邦信息处理标准(FISP)140-2“密码模块的安全要求”定义了可使用的密码模块
第六章 密码学和对称密钥算法
公钥和私钥
选择两个大素数p和q
计算这两个数的乘积n=p*q
e小于n
e和(p-1)(q-1)是互素的
挑选一个满足以下两项要求的数e
秘钥生成
RSA
EI Gamal
y^2=x^3+ax+b
任何椭圆曲线都可以定义为
已知基点以及倍点求倍数
椭圆曲线上的离散对数问题
1024位的RSA==160位ECC
密码强度
椭圆曲线 ECC
7.1 非对称密码
输入可以是任何长度
输出有一个固定长度
为任何输入计算散列函数都相对容易
很难根据输出确定输入
散列函数是单向的
几乎不可能找到可以产生相同散列值的两条消息
散列函数无冲突
散列函数5个基本要求
512位块
输出160
SHA1
输出256
SHA256
输出224
SH224
1024位块
输出512
SHA512
输出384
SHA384
SHA2
Keccak
海绵结构
SHA3
SHA
不单向
输出128
MD2
有冲突
MD4
MD5
输出128\\160\\192\\224\\256
HAVAL
7.2 散列函数
HMAC
DSA
FIPS 186-4
ANSI X9.31
ANSI X9.62
Schnorr
Nyberg-Rueppel
数字签名标准
采用共享对称密钥无法实现
主要目的
7.3 数字签名
证书遵守的X.509版本
证书创建者编制
序号
规定了发证机构给证书内容数字签名时采用的技术
签名算法标识符
标识签发证书的发证机构
发证者名称
规定了证书保持有效期的日期和时间-起始日期和时间以及终止日期和时间
有效期
含拥有证书所含公钥的实体的可识别名
主体名称
证书拥有者用来建立安全通信的实际公钥
主体的公钥
X.509
证书
注册机构(RA)
CPV(证书路径验证)
发证机构(CA)
向CA提交申请和个人资料
注册
对照CRL(证书注销列表)
OCSP(在线证书状态协议)
验证
注销
证书的生成和销毁
7.4 公钥基础设施
密钥生成
密钥分发
密钥使用
密钥存储
密钥销毁
密钥备份
云供应商IaaS服务
传统硬件
硬件安全模块(HSM)
7.5 非对称密钥管理
BitLocker
Encrypting File System(EFS)
Windows
FileValut
Mac
VeraCrypt
Win/Mac/Linux
便携设备
PGP(Pretty Good Privacy)
公钥用于数字签名以及交换对称密钥
通过X.509证书交换密码密钥
支持RSA-AES/3DES
S/MIME(Secure/Multipurpose Internet Mail Extensions)
电子邮件
SSL
TLS
Web应用程序
隐写术和水印
高带宽数字内容保护(HDCP)
高级访问内容系统(AACS)
电影
DRM密钥存在用户终端中
电子书
云服务许可证
电子游戏
指定阅读器
文档
安全通信隧道
所有数据(包括消息报文头\\消息尾部\\地址和路由数据)都被加密
转发时需要重组包
防止安全端间监听(隔离)
链路加密
独立于链路加密
不加密报文头和路由数据
转发时不需重组包
容易被嗅探监听
典型应用SSH
端到端加密
线路加密
通常与L2TP(第二层隧道协议配对使用)
提供加密\\访问控制\\不可否认性\\消息鉴别
完整性和不可否认性\\鉴别和访问控制
身份验证头(AH)
保密性和完整性\\加密和有限鉴别
封装安全载荷(ESP)
数据报类型
只加密数据包载荷
对等通讯
传输模式
加密整个数据报
网关到网关
隧道模式
通信模式
鉴别通信伙伴
创建和管理安全关联
提供密钥生成机制
低于威胁(重放和拒绝服务)
安全策略及参数
安全关联SA
协商SA
ISAKMP
IPsec
不安全
WEP(有线等效保密)
WPA(WiFi受保护访问)
需要Supplicant软件
IEEE 802.1x
无线联网
联网
7.6 应用密码学
算法逻辑
分析攻击
代码分析
执行攻击
统计学弱点
统计攻击
无缺陷协议蛮力攻击与实时间成正比/密钥长一位时间长一倍
枚举攻击
蛮力攻击
频率分析和唯密文攻击
已知明文
能够解密密文消息中被选中的部分
选择密文
选择明文
使用所有可能的秘钥K1加密明文
使用所有可能的秘钥K2解密密文
匹配K1以及K2
中间相遇
中间人
生日
重放
7.7 密码攻击
第七章 PKI和密码应用
进行访问操作的对象
主体
被访问的对象
客体
信任传递可能会出现越权
信任传递
客体和主体
安全性更高
不遵循行业标准
封闭系统使用组件以及技术为专用
遵循行业标准
开放系统使用开放的组件
封闭系统和开放系统
进程的读写操作
限制不同主体的行为
限制
对于主体的限制的集合
界限
进程的任何行为仅影响与其关联的内存和资源
被限制的不同主体之间的关系
隔离
用于确保保密性\\完整性和可用性的技术
主体只能访问经过授权的客体
控制使用访问规则(Control)来限制主体对客体的访问
安全令牌(Token)
为每个客体单独维护的安全属性信息
能力(Capability)列表
防篡改
安全标签(Label)
针对客体的安全属性
控制
所有保护机制协同工作的系统
控制措施
信任可以通过实现特定的安全功能构建到系统中
可信系统
满足安全需求的可信程度
测评(应考虑系统个性化)
保证是在真实情况下对这些安全功能的可靠性和可用性的评估
保证
信任与保证
8.1 使用安全设计原则实施和管理工程过程
模型-提供了一组明确规则去实例化安全策略
硬件\\软件和控件的组合
确保系统在所有情况下都能正常运行-控制对系统(包含TCB)的访问
确保TCB与计算机系统的其余元件之间不会发生不安全的通信或交互
可行路径与系统其余部分进行通讯的通道
安全边界(Security Perimeter)
根据其保护的资源的安全属性
根据所设计的安全模型执行访问控制或授权
访问控制的执行者
参考监视器(功能性组件)
通过可信路径与主体通讯
启动适当的组件以执行参考监视器功能并抵御所有已知攻击
安全内核(实现参考监视器的实际组件集合)
参考监视器和内核
给定一个输入和一个状态,FSM会转换到另一个状态并可能产生一个输出
状态是特定时刻系统的快照
所有的状态都是安全可测的
安全状态机
状态机模型
基于状态机模型
防止信息从高安全级别流向较低安全级别
Bell-LaPadula
防止信息从较低安全级别流向较高安全级别
Biba
信息流模型旨在防止未经授权\\不安全或受限制的信息流
信息流指示对象从一个时间点的状态到另一个时间点的另一个状态的转换
通过明确排除(定义白名单)所有非定义流动路径来解决隐蔽通道问题
信息流模型
基于信息流模型
关注较高安全级别的主体的动作如何影响系统状态或较低安全级别的主体的动作
可能会产生信息泄露
可能会影响主体B的安全状态
主体A(高级别)的行为不应影响主体B(低级别)的行为,甚至不应引起主体B的注意
多个系统之间的输入和输出如何相互关联
一个系统的输入来自另一个系统的输出
级联(Cascading)
一个系统向另一个系统提供输入,该系统通过颠倒这些角色进行互动(即系统A首先为系统B提供输入,然后系统B向系统A提供输入)
反馈(Feedback)
一个系统将输入发送到另一个系统,但也将输入发送到外部实体
连接(Hookup)
组合理论
非干扰模型
具有授权的主体可将他们拥有的任何权限授予另一个主体或另一个客体
具有获取权限的主体可以从另一个主体获取权限
允许主体获取客体的权限
获取规则
允许主体向客体授予权限
授予规则
允许主体创建新权限
创建规则
允许主体删除其拥有的权限
删除规则
通过规则控制权限
Take-Grant模型
构建可以创建和管理主体和客体列表的环境
实现访问控制矩阵模型
访问控制矩阵
具有任何级别许可的主体可以访问其许可级别或以下级别的资源
不准向上读
规定主体不能读取较高敏感度级别的信息
简单安全属性(Simple Security Property)
不准向下写
规定主体不能讲信息写入位于较低敏感度级别的客体
安全属性(* Security Property)
仅在知其所需的基础上授予访问权限
规定系统使用访问矩阵执行自主访问控制
自由安全属性(Discretionary Security Property)
不受*安全属性的约束
受信任的主体
Bell-LaPadula模型
防止低级别数据污染高级别环境
不准向下读
规定主体不能读取较低完整性级别的客体
简单完整性属性(Simple Integrity Property)
不准向上写
规定主体不能修改更高完整性级别的对象
完整性属性(* Integrity Property)
简单属性和*属性都是定义不应该做什么
防止文授权的主体修改客体
防止授权主体对客体进行未授权的修改
保护内部和外部客体的一致性
解决
Biba模型
主体无法直接访问客体
客体只能通过程序访问
完整性收到安全模型保护的任何数据项
扫描数据项并确认其完整性的过程
唯一允许修改CDI的过程
标准格式的事务和职责分离
基于访问控制三元组
Clark-Wilson模型
特殊样例
Brewer and Nash模型
非干涉概念理论
基于预先确定集合或域(主体可访问的客体列表))
基于自动化理论和域隔离
仅允许主体对预定客体执行预定动作
Goguen-Meseguer模型
基于定义一组系统状态\\初始状态以及状态转换的思想;通过仅使用这些预定的安全状态来保持完整性并且阻止干扰
防止隐蔽通道被用来影响过程或活动的结果
Sutherland模型
专注于主体和客体的安全创建与删除
安全地创建客体
安全地创建主体
安全地删除客体
安全地删除主体
安全地提供读取访问权限
安全地提供授权访问权限
安全地提供删除访问权限
安全地提供传输访问权限
八个主要规则
主体针对一组客体的权限定义在访问控制矩阵中
Graham-Denning模型
LBAC(lattice based access control)
Bell-LaPadula与Biba 依赖于主体和客体的分类标签
8.2 理解安全模型的基本概念
TESEC适用的是不联网的独立系统
橘皮书
联网的系统
保密性和完整性的等级
解决通信完整性问题
解决拒绝服务保护问题
解决危害(即入侵)预防和保护
仅限于标记为“使用单一鉴别的集中式网络”的有限类别的网络
仅使用四个评级:无(None)\\C1(最小,Minimum)\\C2(一般,Fair)\\B2(好,Good)
增加的功能
红皮书(TCSEC的可信网络解读)
绿皮书(美国国防部密码管理指南)
彩虹系列(弃用)
每个阶段的设计都需要记录\\评估和验证;在开发和部署的所有步骤中都非常关注安全
通过匹配主体和客体的标签并比较其权限兼容性来授予访问权限
为保存已分类数据提供了足够的安全性
B1-标签化安全
确保不存在隐蔽通道(权限传递)
操作员和管理员职责分离
进程也要保持隔离
B2-结构化保护
明确地定义管理功能, 并与其他用户使用的功能分开
减少未使用或额外代码中的漏洞暴漏的风险
B3-安全域
只允许非常有限的主体/客体访问集合
基于Bell-LaPadula模型
强制访问控制基于安全标签
B-强制保护
C1-自主保护
用户只有经过单独识别后才能访问客体;C2还必须强制执行介质清理;强制执行严格的登录过程
C2-受控访问保护
C-自主保护
分类
TCSEC分类和所需功能(弃用)
系统的功能评级表明系统执行所有必要的功能与其设计和预期目标的符合程度
保证等级表示系统以一致的方式正常工作的可信程度
TCSEC与ITSEC对比
ITSEC(弃用)
ISO15408
CC
IT领域通用准则认证的认可协议
客户安全需求
保护范畴(Protection Profile)
厂商安全措施
安全目标(Security Targets)
基于二要素
将PP与来自所选供应商的TOE中的各种ST进行比较
评估过程文档
简介和通用模型
安全审计
通信安全
安全性密码学支持
用户数据保护
身份标识
安全管理
TOE安全功能(TSF)
资源利用
系统访问
可信路径
全部安全功能要求(更新)
配置管理
交付和运营
指导文档
生命周期支持
保证测试
漏洞评估
全部安全保障(更新)
内容
功能测试
EAL1
结构测试
EAL2
系统测试并检查
EAL3
系统地设计\\测试和评审
EAL4
半正式设计和测试
EAL5
半正式验证\\设计和测试
EAL6
正式验证\\设计和测试
EAL7
级别
结构
并不确保用户对数据的操作方式也是安全的
不包括现场安全评估
没有解决对电磁辐射的控制
没有明确规定对加密算法强度进行评级的标准
缺点
通用准则
ISO
行业和国际安全实施指南
认证和鉴定流程用于评估系统的安全性
正式的评估过程
确当特定设计和实施满足一组特定安全要求的成都
认证仅对特定环境和配置中的系统有效, 任何更改都可能导致认证失效
认证(Certification)
组织的管理层将系统的安全功能与组织的需求进行比较
安全策略必须说明安全系统的要求
鉴定是指审批机构(DAA)正式声明:IT系统被批准在特定安全模式下使用规定的一套保障措施在可接受的风险水平下运行
鉴定(Accreditation)
认证通常是对安全性的内部验证
鉴定通常由第三方测试服务机构执行, 并且结果可信度更高,范围更广
对比:
安全策略中应说明在哪些情况下需要重新进行认证
RMF 风险管理框架
CNSSP 美国国家安全系统委员会策略
涉及指派适当的项目人员\\任务需求的文档,以及注册\\协商和创建系统安全授权协议(SSAA),用于指导整个认证和鉴定过程
定义
包括SSAA的细化\\系统开发活动和认证分析
包括进一步细化SSAA\\对集成系统进行认证评估\\向DA提出建议以及DAA的鉴定决定
确认
包括SSAA的维护\\系统操作\\变更管理和合规性验证
鉴定后
四个阶段
普通应用?
将评估主要的应用程序或一般支撑系统
对于系统的鉴定
单一机房?
将评估特定的独立位置的应用程序和系统
对于场所的鉴定
云?多场所?
将评估分不到多个不同位置的应用程序和系统
对于类型的鉴定
NIACAP
SSAA授权的三种类型
认证和鉴定系统
认证和鉴定
采购前系统评估
8.3 基于系统安全需求选择控制措施
内存保护是核心安全组件,在操作系统中必须设计和实现;用于防止活动的进程与不是专门指派或分配给它的内存区域进行交互
内存保护
在单一主机的内存中运行一个或多个操作系统
虚拟化
是主板上的加密处理器芯片
用于存储和处理加密密钥
HSM通常是附加的适配器或外围设备,或是TCP/IP网络设备
硬件安全模块HSM
可信平台模块(Trusted Platform Module,TPM)
在应用程序中实现受约束的接口目的是限制或约束已授权和未授权用户的操作
接口
容错通过添加冗余组实现
避免单点故障
指系统遭受故障后仍能继续运行的能力
容错
8.4 理解信息系统的安全功能
疏忽
可靠性降低
成本增加(不一定)
在系统开发时加入安全性比在已有系统上添加安全性更容易(安全性引入应该靠前)
隔离的进程之间可以通过操作系统提供的中间服务进行共享资源
但是经常变化的更难以被研究分析
变换往往是安全的对立面
cissp考试侧重于为什么安全 而不是怎么做到安全
第八章 安全模型\\设计和能力的原则
处理器(Central Process Unit)
操作系统通过仔细构造发送到CPU的执行命令序列,实现多个任务并行执行
多任务
一个CPU包含多个内核,可以执行单独的指令流水线
多核
处理器被同等对待,共享操作系统\\总线和内存资源
具有多个CPU的系统, 利用多个处理器的处理能力来完成多线程应用程序的执行
SMP(Symmetric Multiprocessing)
由百千个处理器组成\\每个处理器都有自己的操作系统\\内存\\总线;将庞大\\复杂的计算密集任务进行分工
MMP(Massively Parallel Processing)
多处理
多程序设计是一种批处理或序列化多个进程的方法,当一个进程因等待外设而停止时,其状态将被保存,并且下一个进程将开始处理
多程序设计通常在大型机上使用,目前已经过时,且需要编写专门的软件
多程序
用于活动之间频繁上下文切换小伙过多开销,且效率低的应用
多线程允许在单一进程中执行多个并发任务
多任务处理多个任务时占用多个进程
多线程
执行类型(Execution Types)
单状态系统需要使用策略机制来管理不同级别的信息
使保护系统上正在处理的信息的责任从硬件和操作系统转移到控制访问系统的系统管理员身上
单一状态
使用安全机制同时处理多个安全级别,防止信息跨越不同的安全级别
多状态
处理类型
操作系统和任何可能处于活动状态的应用程序的组合
运行时环境
环模型的本质在于优先级\\特权和内存分段
内核\\最高级别
环0
其他OS组件:作为各种任务请求\\执行的操作\\进程切换等而进出内存的部分
环1
驱动程序\\协议等
环2
监管或特权模式
用户级程序和应用程序
环3
用户模式
4段环
保护环
进程占用处理器的时间单元
时间片
进程准备在被调度执行时立刻恢复或开始处理
就绪状态
等待也可以被理解为等待某种资源,也成为阻塞状态
等待状态
问题状态,应用可能会运行出错/运行中的进程在CPU上执行并持续运行,直到完成\\时间片到期或由于某种原因而被阻塞
运行状态
当进程必须执行需要大于问题状态特权集的特权操作时,才使用监督状态,包括修改系统配置\\安装设备驱动程序或修改安全设置
监管状态
当进程完成或必须终止时(发生错误\\需要的资源不可用或无法满足资源请求);操作系统将收回分配给该进程的所有内存和其他资源,并根据需要重新分配给其他进程使用
停止状态
操作状态
分层的强制访问控制(MAC)环境
对可以访问计算机控制台的主体的完全物理控制
对能进入计算机控制台同一房间的主体的完全物理控制
前提
每个用户必须具有允许访问系统处理的所有信息的安全许可
每个用户必须具有系统处理的所有信息的访问批准
每个用户必须有对系统处理的所有信息具有“知其所需”权限
专用模式(单一状态)
用户不必对计算设备上处理的所有信息都具有“知其所需”权限;
与专用模式区别
系统高级模式
分隔模式的用户不一定具有对系统上所有信息的访问批准
都可以处理来自多个级别的数据
与高级模式区别
分隔模式
不需要系统所处理信息的全部许可
支持同时处理多等级数据
仅要求对要访问的信息有访问批准
见要求对要访问的信息有知其所需
多级模式
安全模式
运行中的计算机在运行时实现和处理安全性的方式为保护机制的集合
用户模式只允许执行全部指令集中的部分指令
用户模式内的进程在称为虚拟机(VM)的受控环境中执行
VM相互隔离且具有自己的内存地址空间
与用户的角色无关(是否是管理员)
特权模式
操作模式
可编程只读存储器(PROM)
可擦除可编程只读存储器(EPROM)
电可擦除可编程只读存储器(EEPROM)
只读存储器(ROM)
实际存储器
高速缓存RAM(cache)
触发器开关
静态RAM
电容
动态RAM/需要定时刷新
随机存取存储器(RAM)
存储器寻址
寄存器寻址
立即寻址
间接寻址
基址+偏移量寻址
寄存器
硬盘\\闪存\\光盘
虚拟内存
辅助存储器
电荷残留
存储器的安全问题
随机存取与顺序存取
存储器
数据残留(净化)
固态硬盘SSD损耗均衡-存在数据副本
防丢失-全盘加密
移动介质加密
留存时间限制
存储介质的安全
肩窥
辐射
显示器
打印机
窃听
声波
键盘/鼠标
调制解调器
输入和输出设备
硬件
基本输入/输出系统(Basic Input/Output System)包含独立于操作系统的原始指令,用于启动计算机并从磁盘加载操作系统
无内存,无C语言运行需要的栈空间;汇编语言直接在ROM上运行,临时空间Cache 作为RAM
开机自检(Power-On Self-Test,POST)
Rom Stage
C语言初始化芯片组,CPU,主板模块等
Ram Stage
枚举设备,发现启动设备,启动设备
Find something to boot Stage
统一可扩展固件接口(Unified Extensible Firmware Interface)
BIOS和UEFI提供了整个主板\\包括主板上外插设备的的软件抽象;对操作系统提供统一的抽象层
纯硬件的初始化过程,把嵌入式微处理器从上电的默认状态逐步设置成系统所要求的工作状态
片级初始化
包含软硬件两部分在内的初始化过程,为随后的系统初始化和应用程序建立硬件和软件的运行环境
系统初始化
嵌入式系统的硬件初始化
硬件相关性
设计硬件相关的设备驱动
操作系统相关性
ARM架构需要自己写BSP使得安卓系统对自己的硬件设备兼容
BIOS和UEFI
许多硬件设备(打印机\\调制解调器等)的迷你操作系统
设备固件
固件
9.1 评估和缓解安全漏洞
沙箱
Java applet
Visual Basic\\C\\C++\\Java
ActiveX控件
代码由服务器下发到浏览器(客户端)执行
applet
ARP中毒是建立中间人攻击的一种方法
修改HOST文件中的条目
DNS缓存服务器攻击
DNS查询欺骗
实施DNS系统拆分区分内外部DNS数据
DNS缓存中毒是执行中间人攻击的另一种方法
Internet文件缓存
本地缓存
9.2 基于客户端的系统
数据流是进程之间\\设备之间\\或通信通道之间的数据移动
9.3 基于服务端的系统
通过收集大量较低安全级别或较低价值数据,组合生成具有更高安全级别或有价值的数据项
聚合(Aggregation)
推理(inference)
数据挖掘活动产生元数据,元数据是关于数据的数据或关于信息的数据
数据挖掘和数据仓库
数据分析
AMP/SMP/MPP
大规模并行数据系统
9.4 数据库系统安全
类型1 没有主机操作系统,虚拟机管理程序直接安装到通常主机操作系统安装的硬件上
类型2 虚拟机管理程序是托管管理程序,在硬件上安装一个标准的常规OS,然后将虚拟机管理程序作为一个软件应用程序安装;常用于桌面部署
虚拟机管理系统
PssS
SaaS
IaaS
安全即服务,通常实现为不需要专用本地硬件的纯软件安全组件;
SECaaS
私有云
公有云
混合云
社区云是由一组哦那个胡或组织维护\\使用和支付用于利益共享的云环境
社区云
不太符合目前的现状
云解决方案通常具有较低的前期成本\\较低的维护成本\\供应商维护的安全性和可扩展的资源,并且通常可从任何地方(通过互联网)获得高级别的正常运行时间和可用性;但云解决方案不允许客户控制操作系统和软件(如更新和配置变更),提供最小的定制,没有互联网连接时通常无法访问;此外,云提供上的安全策略可能与组织的安全策略不匹配
云服务部署
基于云的系统和云计算
空闲资源分布式处理
计算任务需要下载与上传
有中央管理系统管理任务
网格计算
可在点对点之间共享任务和工作负载,类似于网格计算
P2P没有中央管理系统,其提供的任务通常是实时的
对等网络(Peer to Peer)
9.5 分布式系统和端点安全
访问控制及加密
供暖\\通风\\空调(Heating,Ventilation,Air Conditioning,HVAC)
环境控制
烟雾探测\\门自动化\\人员和资产跟中,消耗品库存管理\\自动重新排序
9.6 物联网
分布式控制系统(DCS)
可编程逻辑控制器(PLC)
监控和数据采集(SCADA)
9.7 工业控制系统(Industrial Control System,ICS)
限制账户权限
执行输入验证
9.8 评估和缓解基于Web系统的漏洞
存储加密
通话加密
全设备加密
远程擦除
锁定(Lockout)
锁屏
GPS
应用程序控制
存储分隔
资产跟踪
库存控制
移动设备管理
设备访问控制
可移动存储
关闭不使用的功能
设备安全
密钥管理
凭据管理
地理位置标记
应用白名单
应用安全
COPE(Company-Owned,Personally Enabled)
CYOD(Chosse Your Own Device)
VDI(Virtual Desktop Infrastructure)
VMI(Virtual Mobile Infrastructure)
其他形式
BYOD可以提高员工满意度,但会增加组织的安全风险
数据所有权
所有权支持(服务支持)
补丁管理
反病毒管理
取证
入职/离职(On-boarding/Off-boarding)
遵守公司策略
用户接受度
架构/基础设施考虑
法律问题
机载摄像头/视频
问题点
BYOD关注点
9.9 评估和缓解移动系统的漏洞
嵌入式系统通常作为大系统的一部分而实现,围绕一组有限的特定功能设计
静态IT环境是任何旨在保持不被用户和管理员改变的系统;目标是防止(或减少)用户变更降低安全性或影响功能操作的可能性
静态系统是一组不变的条件\\事件和环境;
嵌入式系统和静态系统的示例
网络分段
安全域
应用防火墙
手动更新
固件版本控制
包装器
监控
控制冗余和多样性
保护嵌入式和静态系统的方法
9.10 评估和缓解嵌入式设备和信息物理系统的漏洞
所有来自外部(不太敏感)层的入站请求在被允许之前都要经过严格的身份验证和授权检查
内层既不知道也不依赖于外层
外层不能违反或覆盖内层强制执行的任何安全策略
用户只需要知道使用对象的正确语法以及作为结果返回的数据类型(例如:系统调用)
访问控制和操作权限被分配给对象组(角色)而不是基于每个对象(用户)
确保在一个安全级别存在的数据对于以不同安全级别运行的金城是不可见的
主体与客体存在于不同的安全容器中
进程隔离要求操作系统为每个进程的指令和数据提供单独的内存空间
可以防止未经授权的数据访问
可以保护进程的完整性
进程隔离
使用物理硬件阻止不同进程/安全级别的信息访问
硬件分隔
技术机制
安全策略告知和指导特定系统的设计\\开发\\实现\\测试和维护
定义了一组策略确定系统应该如何管理\\保护和分发敏感信息的规则\\实践和过程
在系统开发时, 应该设计\\构建\\实施和测试安全策略
安全策略和计算机架构
用户模式应用使用API请求监督模式服务
最小特权原则
建立在最小特权原则之上
每种类型的特权操作都有不同的权限
防止在分配权限和工作任务时发生利益冲突
特权分离
对特权功能进行个人问责的物理设备(纸笔\\不可修改的日志)
问责制
策略机制
9.11 基本安全保护机制
时间隐蔽通道
存储隐蔽通道
隐蔽通道
系统故障恢复过程中的安全
可信恢复
缓冲区溢出
输入和参数检查
维护后门和特权程序
小额手续费盗取
小数据量持续篡改
增量攻击
基于设计或编码缺陷的攻击和安全问题
编程
TOCTOU攻击
竞争条件攻击
通信中断
攻击针对的是时间\\数据流控制和从一个系统状态到另一个系统状态的转换
计时\\状态改变和通信中断
新系统/技术集成测试审查
技术和过程集成
法拉第笼
干扰或噪音发生器和控制区
电磁辐射
9.12 常见的架构缺陷和安全问题
系统越复杂,它提供的保证就越少
任何安全评估都应从侦察或信息收集开始
第九章 安全漏洞\\威胁和对策
安全设施计划需要列出组织的安全需求,并突出保障安全所使用的方法及技术
关键路径分析是一项系统性工作,用于找出关键应用\\流程\\运营以及所有必要支撑元素间的关系
这通常会造成多个系统执行相似或冗余的任务,或是一个系统取代另一个系统的特殊功能;(可能会产生单点故障)
技术融合指的是各种技术\\解决方案\\实用程序及系统,随事件的推移而发展\\合并的趋势;
信息安全人员应参与站点与实施的涉及
安全设施计划
站点的选择应该综合考虑成本\\位置及规模;优先考虑安全要求
最低限度要确保建筑物的设计,能承受较为极端天气条件的考验,并能阻止或迟滞明显的入侵企图
站点选择
自身不可见,服务即时可达
可见度
自然灾害
在开始施工前必须计划\\设计好恰当的安全级别
CPTED(通过环境设计预防犯罪)
设施设计
10.1 站点与设施设计的安全原则
老旧的硬件应安排定期进行更换或维修
设备故障
普通铜芯双绞线最大有效长度时100米
接入设施(entrance facility)
设备间(equipment room)
骨干配线系统(backbone distribution room)
通信机房(telecommunications room)
布线
交叉连接模块
布线板以及硬件支持设施(电缆槽\\电缆挂钩\\导管)
水平配线系统(horizontal distribution system)
综合布线元素
不要使用配线间作为一般的储物区
保持该区域整洁
该区域中不能存储易燃品
使用开门传感器进行日志记录
钥匙只能由获得授权的管理员保管
对配线间进行常规的现场巡视以确保其安全
将配线间纳入组织的环境管理和监控中
配线间安全策略
配线间
采用哈龙(Halotron)\\热源(pyroGen)或者哈龙替代物作为火警探测及灭火系统\\低温\\低照明\\狭窄的设备空间
服务器间应该位于建筑的核心位置;尽可能避免将服务器间设置在建筑物的一楼\\顶楼或地下室
服务器间的墙壁应具备至少一小时的耐火等级
智能卡中使用最多的多因素形式时PIN码
智能卡
RFID
接近式读卡器
弱点: 电源与通信(心跳)
入侵检测系统
访问滥用
法拉第笼\\白噪声\\控制区
TEMPEST措施
发射安全
常用的访问控制技术
服务器间与数据中心
防止空白介质被植入恶意数据/防止介质残余数据被恢复
将存储介质保存在上锁的柜子或保险箱里
对介质打上安全标签
介质存储设施
使用与生产网络完全不同的专用存储系统
关闭存储系统与互联网的连接
跟踪证据存储系统上的所有活动
计算存储在系统中所有数据的hash值
只有安全管理员与法律顾问才能访问
对存储在系统中的所有数据进行加密
证据存储
每个工作区都应按照IT资产分级进行评估与分级
不同目的及用途的区域应分配不同的访问及限制级别
受限区与工作区安全
充电式
变电式
不间断电源 UPS
浪涌保护器
柴油发电机
噪声
15-23
温度
40%-60%
湿度
温度\\湿度与静电
漏水\\水灾
危害
基础设施与HVAC
任何安全与保护系统的首要目标时保障人身的安全
水
热量
二氧化碳\\哈龙替代物
氧气
干粉\\碳酸钠
燃料
火灾三要素
早期-烟雾-火焰-炙热
火灾四阶段
数据中心的大部分火灾都是由于电源插座过载引起的
水\\碳酸钠
普通燃烧物
A
二氧化碳\\哈龙\\碳酸钠
液态
B
二氧化碳\\哈龙
电气火灾
C
干粉
金属
D
灭火器
温度达到阈值触发机关
固定温度探测
温度上升速度达到一定值
上升率探测
依靠火焰的红外热探测
火焰驱动
使用光电或辐射电离传感器
烟雾驱动
火灾探测系统
湿管系统
干管系统
不适用于电子仪器环境
集水系统
预动作系统
喷水消防系统
不能用在有人员常驻的环境中
气体消防系统
磁带 40°
内存78°
纸170°
破坏
火灾预防\\探测与消防
设施建造与选择
站点管理
人员控制
安全意识培训以及应急响应与流程
管理类
访问控制
入侵检测
警报
闭路电视监控系统(Closed-Circuit TelevisonCCTV)
监视
HVAC的电力供应以及火警探测与消防
技术类
围栏
照明
门锁
建筑材料
捕人陷阱
警犬与警卫
现场类
物理安全中的安全控制
吓阻
阻挡
监测
延迟
物理安全中的安全控制的顺序
10.2 实现站点与设施安全控制
安全警卫与警犬
边界安全控制
访客陪同
钥匙与密码锁
胸卡
红外\\热量\\波动\\电容\\光电\\被动音频
动作探测器
阻止警报(Deterrent Alarms)
驱除警报(Repellant Alarms)
通知警报(Notification Alarms)
本地警报(Local Alarm System)
中心警报(Central Station System)
辅助站(Auxiliary Station)
入侵警报
防止误报
二次验证机制
人员安全是首要目标
环境与生命安全
隐私责任与法律要求
监管要求
内部安全控制
10.3 物理安全的实现与管理
物理安全的目的是防护来自真实世界的威胁
第十章 物理安全要求
3安全架构和工程
封装/解封
比特与数据帧的转换;
通过设备驱动控制吞吐率\\处理同步\\管理线路噪声和介质访问,并确定是采用数字信号\\模拟信号还是光脉冲通过物理硬件接口传输或接收数据
功能
设备驱动程序
工作设备
EIA/TIA-232和EIA/TIA-449
X.21
高速串行接口(HSSI)
同步光纤网络(SONET)
V.24和V.25
规范标准
物理层
在数据链路层中,存在基于特定技术的协议,这些协议将数据包转换为格式正确的帧;格式化帧后,将其发送到物理层继续宁传输
交换机
网桥
串行线路互联网协议(Serial Line Internet Protocol,SLIP)
点对点协议(Point-Point Protocol, PPP)
地址解析协议(Address Resolution Protocol,ARP)
第二层转发(Layer 2 Forwarding ,L2F)
第二层隧道协议(Layer 2 Tunneling Protocol,L2TP)
综合业务数字网(Integrated Services Digital Network,IDSN)
数据链路层
给数据添加路由和寻址信息
网络层负责提供路由或传递信息
网络层负责管理错误检测和流量控制
维护目标网络的列表,以及以跳数度量的方向和距离度量(即到达目的地的路由器的数量)
距离矢量(RIP)
维护所有连接网络的拓扑图,并以此映射来去确定到目的地的最短路径
链路状态(OSPF)
路由器
桥接路由器
互联网控制消息协议(Internet Control Message Protocol,ICMP)
路由信息协议(Routing Information Protocol,RIP)
开放最短路径优先(Open Shortest Path First,OSPF)
边界网关协议(Border Gateway Protocol,BGP)
互联网组管理协议(Internet Group Management Protocol,IGMP)
互联网协议(Internet Protocol,IP)
互联网协议安全(Internet Protocol Security,IPsec)
网络数据包交换(Internet Packet Exchange,IPX)
网络地址转换(Internet Address Transaction)
IP简单密钥管理(Simple Key Management for Internet Protocols,SKIP)
网络层
传输层控制如何寻址或引用网络上的设备,在节点之间建立通信连接并定义会话规则
会话规则指定每个段可包含多少数据,如何验证传输的数据的完整性,以及如何确定数据是否已经丢失
负责管理连接的完整性并控制会话
接收PDU并将PDU转换为段
会话规则通过握手过程建立
传输控制协议(Transmission Control Protocol,TCP)
顺序数据包交换(Sequence Packet Exchange,SPX)
安全套接字层(Secure Sockets Layer,SSL)
传输层安全(Transport Layer Security,TLS)
传输层
负责建立\\维护和终止两台计算机之间的通信会话;它管理对话规则或对话控制(单工\\半双工\\全双工),建立分组和恢复的检查点,并重传自上次验证检查点以来失败或丢失的PDU
网络文件系统(Network File System,NFS)
结构化查询语言(Structured Query Language,SQL)
远程过程调用(Remote Procedure Call,RPC)
会话层
负责将从应用层接收到的数据转化为遵循OSI模型的任何系统都能理解的格式
负责加密和压缩
美国西悉尼交换标准码(American Standard Code for Information Interchange,ASCII)
扩展二进制编码十进制交换模式(Extended Binary-Coded Decimal Interchange Mode,EBCDICM)
联合图像专家组(Joint Photographic Experts Group,JPEG)
动态图像专家组(Moving Picture Experts,MPEG)
乐器数字接口(Musical Instrument Digital Interface,MIDI)
表示层
负责将用户应用程序\\网络服务或操作系统与协议栈连接;
超文本传输协议(Hypertext Transfer Protocol,HTTP)
文件传输协议(File Transfer Protocol,FTP)
文件打印后台程序(Line Print Daemon,LPD)
简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)
远程登录(Telnet)
普通文件传输协议(Trivial File Transfer Protocol,TFTP)
电子数据交换(Electronic Data Interchange,EDI)
邮局协议版本3(Post Office Protocol version 3,POP3)
Internet 消息访问协议(Internet Message Access Protocol,IMAP)
简单网络管理协议(Simple Network Management Protocol,SNMP)
网络新闻传输协议(Network News Transport Protocol,NNTP)
安全远程过程调用(Secure Remote Procedure Call,S-RPC)
安全电子交易(Secure Electronic Transaction,SET)
应用层网关(协议转换工具)
应用层
OSI模型层次
11.1 OSI模型
Telnet:TCP23
FTP:TCP20/21
TFTP: UDP69
SMTP: TCP25
POP3: TCP110
IMAP: TCP143
DHCP: UDP67/68
HTTP:TCP80
SSL:TCP443
LPD:TCP515
SNMP:UDP161
X Window: TCP 6000-6063
NFS:TCP2049
应用层/表示层/会话层
客户端将SYN(同步)标记的数据包发送到服务器
服务器以SYN/ACK(同步和确认)标记的数据包响应客户端
客户端以ACK(确认)标记的数据包响应服务器
三次握手
紧急数据
URG紧急
同步或关闭请求
ACK确认
需要立即将数据推送给应用
PSH推送
立即断开TCP会话
RST重置
用新的序列号请求同步
SYN同步
请求正常关闭TCP会话
FIN完成
标志位
面向连接的全双工
IP协议头 0x06
TCP
无连接单工
IP 协议头 0x11
UDP
0A/10B/110C/1110D/1111E
第一个二进制数字
/24C/16B/8A
255.255.255.0
CIDR
子网划分
IP
IP头 0x01
ICMP
IGMP
ARP
数据链路层/物理层
链路层
四层
TCP/IP是一个包含许多单独协议的协议栈
用于建立VPN的协议有PPTP\\L2TP\\SSH\\OpenVPN(SSL/TLS VPN)\\IPsec
隐蔽通道通信机制
VLAN跳变攻击
多层协议
11.2 TCP/IP模型
网络数据存储解决方案
以太网光纤通道(Fibre Channel over Ethernet,FCoE)
通过封装处理各种协议,高吞吐量高性能
多协议标签交换(Multiprotocol Label Swithching,MPLS)
LAN网络存储
Internet小型计算机系统接口(Internet Small Computer System Interface,ISCSI)
通过TCP/IP网络传输语音或数据的隧道机制
网络电话(Voice over IP,VoIP)
将基础设施层(硬件和基于硬件 的设置)与控制层(数据传输管理)分离
网络虚拟化
软件定义网络(Software-Defined Networking,SDN)
分布式静态内容缓存
基于客户端的CDN-P2PCND-BitTorrent
内容分发网络(Content Distribution Network,CDN)
11.3 融合协议
部署模式使用基础架构而非ad hoc模式
避免信道干扰
保护无线接入点
基站MAC地址
BSSID
同一无线网络中涉及多个基站或接入点
ESSID
ad hoc 或对等模式下名称
ISSID
WAP通过成为信标帧的特殊传输广播SSID,可能被无线嗅探器发现SSID
不使用WAP协议,使用WPA2
禁用SSID广播
保护SSID
信号范围
非法接入
进行现场调查
基于PSK,不安全
WEP
基于TKIP,不安全
WPA
基于CCMP,安全
WPA2
WPA3
企业认证服务
802.1X/EAP
受保护的可扩展身份验证协议(Protected Extensible Authentication Protocol,PEAP)
将EAP封装在提供身份验证和可能加密的TLS隧道中
PEAP
轻量级可扩展身份验证协议(Lightweight Extensible Authentication Protocol)
LEAP
无法防御MAC地址伪造
MAC过滤器
WEP算法改进
TKIP协议
AES-128
CCMP
使用安全加密协议
天线放置
天线类型
调整功率电平控制
Wi-Fi保护设置(Wi-Fi Protected Setup)
PIN存在暴力破解漏洞
WPS
重定向用户到门户页面的进行身份认证
使用强制门户
1.更改默认管理员密码
2.根据部署要修决定是否禁用SSID广播
3.将SSID更改为唯一的
一般Wi-Fi安全程序
无线网络发现
战争驾驶
战争粉化
初始化向量(Initialization Vector)太弱
IV
恶意接入点
邪恶双胞胎
无线攻击
11.4 无线网络
减少/防止零日攻击
在整个网络中实施安全策略
使用标识执行访问控制
目标
接入前控制要求系统在允许与网络通信之前满足所有当前的安全要求
实现
网络流量事件
重启防火墙
代理或服务崩溃或无法启动
更改防火墙配置文件
防火墙运行时的配置或系统错误
记录事件
静态数据包过滤防火墙
更改源和目的地址
代理防火墙
每种类型的应用程序都必须拥有自己唯一的代理服务器
应用级网关防火墙
socks 五要素
电路级网关防火墙
基于会话上下文
状态检查防火墙
深度数据包检测防火墙
下一代防火墙
所有多宿主防火墙都应具有IP转发功能
多宿主防火墙
防火墙类型
单层
不同接口不同网络
多接口防火墙
不同防火墙不同网络
多防火墙
两层
三层
防火墙部署架构
防火墙
每个设备必须保持本地安全性
端点安全
两个系统同事将数据传输到仅支持单个传输路径的传输介质时
冲突
单个系统想所有可能的接收者发送数据时
广播
两侧系同一域
中继器\\集中器和放大器
同一域
集线器
模拟数字转换
将两个网络连接在一起
同广播域不同冲突域
2层 同广播域不同冲突域
3层不同广播域不同冲突域
连接类似的网络并控制两者之间的流量
不同域
三层不同域
二层同广播不同冲突
桥路由器
连接不同网络协议的网络
网关
代理
LAN扩展器
网络设备
硬件的安全操作
网络分段: 提升性能\\减少通信问题\\提供安全
11.5 安全网络组件
185米
10Base2
细网
500米
10Base5
粗网
使用50欧电阻器未正确端接同轴电缆的末端
未将端接的同轴电缆的至少一端接地
同轴电缆(coax)
最大速度/基带或宽带/最大距离
XXyyyyZZ
基带和宽带电缆
使用错误类别的双绞线进行高吞吐量网络连接
部署双绞线长度超过其建议的最大长度100米
在具有显著干扰的环境中使用UTP
常见问题
双绞线
铜线-经济
信号退户到开始影响数据的有效传输-衰减
此规则不适用于交换网络\\桥接器或路由器的使用情形
5-4-3规则
导线
传输介质
环形
载波监听冲突避免
总线上的所有系统都可以同时传输数据
CSMACD
总线
采用集线器或交换机作为中心连接设备
星型
提供系统间的冗余连接
网状
类型
计算机和网络设备的物理布局和组织称为网络拓扑
网络拓扑
3Hz~300Hz
使用多个频率载波
并行
扩频
跳频
频段
可使用伪基站进行中间人攻击
手机
更改设备上的默认PIN
蓝牙
仿造
数据操纵
重放攻击
NFC
频率扫描监听
无线电话
不存储不必要的信息
保持系统锁定和加密
移动设备
无线通讯与安全
允许多个设备通过相同的介质进行通信,但要求设备轮流通信并检测冲突和避免冲突
以太网
令牌环使用令牌传递机制来控制哪些系统可通过网络介质传输数据,令牌在所有成员之间以逻辑循环行进
令牌环
光线分布式数据接口,是一种高速令牌传递技术
采用两个环,其流量方向相反
FDDI
局域网技术
11.6 布线\\无线\\拓扑\\通信和传输介质技术
第十一章 安全网络架构和保护网络组件
ESP
AH
IPsec(Internet Protocol security)
单一登录解决方案
Kerberos
提供加密服务
充当VPN
SSH
信令协议(Signal Protocol)
安全远程过程调用(Secure Remote Procedure Call)
安全套接字层(Secure Sockets Layer)
支持单向身份验证
支持基于数字证书的双向身份验证
传输层安全(Transport Layer Security)
安全通信协议
应用于点对点协议连接
采用无法重放的挑战-应答对话进行验证
CHAP(Challenge Handshake Authentication Protocol)
服务于PPP的标准化身份验证协议
使用明文传输用户名和密码
PAP(Password Authentication Protocol)
身份验证框架
EAP(Extensible Authentication Protocol)
身份验证协议
12.1 网络与协议安全机制
VOIP (Voice over Internet Protocol)
社会工程
手机伪造
欺骗与滥用
12.2 语音通信的安全
是否使用了强身份验证技术
通信是否采用了开放协议或是加密通道
是否允许删除会议内容
用户活动是否进行审计与日志记录
远程会议
数据包嗅探
隐私保护
IM(instant Messaging)
即时通信
12.3 多媒体合作
提供不可否认性
消息只限制收件人可以访问(隐私与保密性))
维护消息的完整性
身份验证和验证消息源
验证消息的传递
对消息或附件中的敏感内容进行分级
可接受的邮件使用策略
邮件备份和保留策略
邮件安全目标
邮件本地明文
很少对发送源验证
存在DoS攻击风险
黑名单服务
使用挑战应答机制
垃圾邮件
邮件附件过滤
邮件内容包含病毒木马
理解邮件安全问题
提供公钥加密及数字签名
使用RSA\\DES\\MD5
RSA\\DES\\X.509
对称密钥系统
基于TLS的SMTP
SMTP网关的Opportunistic TLS(RFC3207)
防止垃圾邮件及邮件欺骗
邮件安全解决方案
传真加密机
线路机密
活动日志
异常报警
关闭自动打印
删除副本
措施
传真机安全
POP3
SMTP
依据X.400标准进行寻址和消息处理
邮件协议
Sendmail/Unix
Exchange/Windows
邮件服务器
12.4 管理邮件安全
远程连接技术
传输保护
身份验证保护
远程用户助手
过滤器规则
回叫及回叫ID
远程访问安全措施
远程访问安全计划
在各种非局域网环连接上传输TCP/IP数据包
PPP(点对点协议)
在异步串行电缆或拨号调制解调器中进行TCP/IP通信
SLIP(串行线路互联网协议)
拨号上网协议
TCP 49
TACACS+(Terminal Access Controller Access-Control System Plus)
UDP 1812/TCP 2083
基于TLS
RADIUS(Remote Authentication Dial-In User Service)
中心化远程身份验证服务
使用调制解调器直接拨入远程访问服务器
在互联网上通过VPN接入网络
通过瘦客户端连接接入终端服务器系统
远程访问常见形式
12.5 远程访问安全管理
虚拟通道位于不同通信端上的封装实体与解封实体之间
点对点通信机制
隧道技术
VPN连接两个独立的系统或网络
VPN的工作机理
仅在IP网络中使用
可能泄露发送者和接收者IP地址
用户名和经过散列的密码
初始化隧道协商过程不加密
不支持中心化身份验证服务(RADIUS等)
单点
PPTP (不常用)
可封装任何LAN协议
不提供加密
L2F (不常用)
通常采用IPsec作为安全机制
支持中心化身份验证服务
L2TP
身份验证\\完整性\\不可否认性
AH身份分验证头
加密\\保护传输数据安全性\\有限的身份验证(工作在第三层)
ESP封装安全载荷
多路
IPsec (最常用)
SSL/TLS
常用的VPN协议
在交换机上通过硬件实现的网络分段
常用于区分用户流量和管理流量
VLAN的划分可以基于MAC地址\\IP子网划分的镜像\\特定的协议\\身份验证
虚拟局域网 VLAN
12.6 虚拟专用网
虚拟应用?
虚拟桌面
虚拟软件
SDN目标是将基础设施层(硬件及硬件设置)从控制层(数据传输管理的网络服务)中分离出来
SDN支持在SDN控制层对数据传输路径\\通信决策树以及流量控制的虚拟化,而不必针对每台硬件进行修改
虚拟SAN是将多台独立的存储设备整合为单一的\\能通过网络访问的存储容器
虚拟化网络
用于在单个计算机系统内存中创建一个或多个操作系统
可扩展性
恢复方便
备份简捷
优点
将高敏感的系统和数据部署在不同物理机
及时更新补丁
检测现有环境所面新威胁的攻击\\暴露及破坏指数
逃逸漏洞
12.7 虚拟化
RFC1918
A类10.0.0.x-10.255.255.255
B类172.16.0.0-132.31.255.255
C类192.168.0.0-192.168.255.255
私有IP地址
PAT
有状态NAT
在静态模式下,特定的内部IP地址被固定映射到特定的外部IP地址
在动态模式下,通过NAT系统维护映射数据库 ?
NAT并不直接与IPsec兼容,因为IPsec修改了报文的头部;NAT-遍历(RFC3947)通过采用IKE的UDP封装支持IPsec VPN
静态与动态NAT
APIPA(Automatic Private IP Addressing)在动态主机配置协议(DHCP)失效时,继续为windows系统分配IP地址
169.254.0.1-169.254.255.254
自动私有IP分配
PAT是将内部IP地址映射到外部IP地址及端口号
多层NAT网段不能相同
所有公网可达的路由器都会丢弃源地址或目的地址来自RFC1918定义地址的数据包
12.8 网络地址转换
电路交换系统提供的是单会话永久物理连接
POTS/PSTN
电路交换
将信息分为很小的段,并通过中间网络将这些分组传送到目的地
分组交换
逻辑电路一直保持并时刻等待用户发送数据
PVC(Permanent VIrtual Circuits,永久虚电路)
需要时,建立电路,结束后删除
SVC(Switched Virtual Circuits,交换式虚电路)
任何从端点A进入的分组,都会从端点B传出
在分组交换网络两个特定的缎带你之间的逻辑的电路
虚电路
12.9 交换技术
一直打开,值连接两个端点
专用线路
在需要时建立
基本速率接口
主要速率接口
IDSN(Integrated Services Digital Network)
标准调制解调器\\DSL\\ISDN都是非专用线路
非专用线路
线路类型
永久虚电路
X.25 (弃用)
PVC面向连接的工作在数据链路层的分组交换传输技术
帧中继(淘汰)
PVC/SVC固定帧长
ATM(淘汰)(Asynchronous Transfer Mode,异步传输模式)
无连接分组交换
远程连接通信不频繁的LAN首选
SMDS(Switched Multimegabit Data Service,交换式多兆位数据服务)
SDH(Synchronous Digital Hierarchy,同步数字系列)
SONET(Synchronous Optical Network,同步光纤网)
使用同步时分复用技术(TDM)
同步数字系列与同步光纤网
永久物理连接
全双工串行同步连接
工作在数据链路层
专用协议
WAN连接技术
PPP协议
所有拨号及大多数点对点连接,在本质上都是串行的
支持IP地址的分配与管理\\同步通信的管理\\标准化封装\\多路复用\\链路质量测试\\错误检测以及特征或选项协商
拨号封装协议
多服务商,保证安全
物理位置防止同时受损
运营商线路是否接入了同一个主干网
ISP服务商选择
12.10 WAN技术
确保对用户不可见 (可配置)
透明性
hash
验证完整性
记录源地址\\目的地址\\时间戳\\识别码\\传输状态\\报文数量\\消息大小等
传输日志
重传机制
传输错误检测
传输机制
12.11 多种安全控制特征
任何两个具有不同安全需求的区域\\子网或环境的交界线
客体不同安全等级之间
物理环境与逻辑环境之间
保护区域与非保护区域之间
物理环境的安全周边
示例
将安全策略转换为真实的控制时,要分别考虑每个环境与安全边界,并由此归纳出可供选择的安全机制
12.12 安全边界
防火墙\\路由器\\IDS,自动封锁IP\\端口
服务供应商高防,协助
禁用外部系统的echo回复
在边界系统上禁用广播功能
阻止欺骗报文进入或流出网络
保持所有系统都能及时得到补丁更新
采用商业化的DoS应急/保护服务
Dos与DDos
物理访问安全
加密技术
一次性身份验证方法 (一次性面板/令牌装置 )
使用失窃或伪造的身份凭据通过身份验证机制
使用一次性密码及令牌身份验证系统 (如Kerberos)
假冒/伪装
一次性身份验证机制
顺序会话标识
数字签名
报文校验
修改攻击
Ettercap\\Cain&Abel\\arpspoof
攻击工具
关键系统配置静态ARP映射表
监视ARP缓存的MAC-to-IP映射
使用IDS检测系统流量异常
地址解析协议欺骗
只有获得授权才能更改DNS信息
限制分区传送并记录所有的特权DNS活动
同形异意攻击-相似域名
DNS毒化\\欺骗及劫持
钓鱼攻击
假托
超链接欺骗
12.13 防止或减轻网络攻击
通信安全的作用在于检测\\预防甚至是纠正数据传输过程中的错误
第十二章 安全通信与网络攻击
4通信与网络安全
访问是将信息从客体传递到主体
比较主体和客体
授权后修改数据
能够检测到未授权修改
CIA三性和访问控制
识别并验证主体
确定访问是否获得授权
根据主体的身份授予或限制访问权限
监控和记录访问尝试
栅栏\\锁\\照明\\CCTV\\岗位轮换\\职责分离\\数据分类\\渗透测试\\加密\\审计\\防火墙\\安全意识培训
试图阻止不必要或未经授权的活动发生
预防
运动探测器\\蜜罐或密网\\入侵检测系统\\违规报告\\用户监督和审查\\事故调查
尝试发现或检测不需要的或未经授权的活动
检测
终止恶意活动\\重启系统\\删除病毒
在发生意外或未授权活动后将系统恢复正常
纠正
锁\\栅栏\\安全标记 \\警卫\\摄像头
试图阻止违反安全策略,威慑控制取决于个人决定不采取不必要的行动
备份和还原\\系统映象\\服务器集群
尝试在安全策略违规后修复或恢复资源和功能,是纠正的更进一步
恢复
安全按策略要求或标准\\发布通知\\逃生路线出口标志
试图指导\\限制或控制主体的操作\\以强制或鼓励遵守安全策略
指示
实现其他控制措施目的的替代方案
补偿
制度流程
管理访问控制
软硬件机制
逻辑/技术控制
可触摸装置
物理控制
按实现方式分类
访问控制的类型
13.1 控制对资产的访问
与实体绑定的额外验证信息
身份注册和证明
基于已证实的身份授予对客体的访问权限
授权
在(尝试)访问客体时跟踪主体和记录
问责
授权和问责
口令\\PIN
你知道什么
智能卡 \\工牌
你拥有什么
指纹\\签名\\击键动态
你是谁?你做了什么
(时间\\位置\\设备;;)
上下文感知
身份验证要素
口令存储使用hash加盐32
密码复杂性
密码长度8
历史密码
创建强密码
密码短语
社会工程学攻击
认知密码
口令
CAC/PIV
同步动态密码令牌
异步动态密码令牌
一次性密码生成器
令牌
电子邮件挑战
HOTP (HMAC-based One-Time Password )
某个时间范围内有效
TOTP
短信验证码挑战
两步身份验证
智能卡和令牌
最准确的生物识别身份验证形式
视网膜扫描
第二准确
虹膜扫描
错误拒绝率
错误接受率
生物特征因素误差评级
生物识别注册
生物识别技术
使用两个或多个因素的任何身份认证
多因素身份验证
SecureAuth工具
设备验证
基于口令的不适合应用服务,因为无法做定期修改与锁定机制
最好使用基于证书的认证方式
服务身份验证
13.2 比较身份识别和身份验证
安全域是共享公共安全策略的主体和客体的集合
在域间建立信任以创建安全的桥梁并允许跨域访问
LDAP和集中访问控制
公钥基础设施在将数字证书集成到传输中时使用LDAP
证书查询
LDAP和PKI
提供身份验证服务的可信第三方,Kerberos使用对称密钥加密来验证客户端和服务器;所有客户端和服务器都在KDC中注册,并未所有网络成员维护密钥
密钥分发中心(KDC)
票据授予服务(TGS)
身份验证服务(AS)
Kerberos身份验证服务
证明主体已通过KDC身份验证,并有权请求票据以访问其他客体;TGT是加密的,包括对称密钥\\到期时间和用户IP
票据授予票据 (TGT)
主体访问服务的凭据
票据 (ST)
通常在LDAP中
账户数据库
用户在客户端输入用户名和密码
客户端使用AES加密用户名以传输到KDC
KDC根据已知凭据的数据库验证用户名
KDC生成将由客户端和Kerberos服务器使用的对称密钥;使用用户密码的散列对次密钥进行加密,同时生成带时间戳的TGT
KDC将加密的对称密钥和TGT发送到客户端
登录过程
KDC生成服务票据并将其发送给客户端
客户端将票据发送到托管资源的服务器或服务
托管资源的服务器或服务使用KDC验证票据的有效性
访问步骤
严格的时间要求
将组织内的用户身份与联合身份进行匹配
安全断言标记语言SAML(Security Assertion Markup Language)
服务配置标记语言SPML(Service Provisioning Markup Language)
基于属性的访问控制/基于角色的访问控制
XACML在软件定义网络应用程序中很受欢迎
可扩展访问控制标记语言XACML(Extensible Access Control Markup Language)
常用语言
不需要共享凭据
OpenID连接
Oauth
联合身份管理(FIM)和SSO
使用自动化脚本模拟SSO登录
脚本访问
单点登录 (Single Sign-On,SSO)
凭据管理系统
集成身份服务
本地PC与在线应用
管理会话
RADIUS
将身份验证\\授权和问责分离为单独的进程,如有必要,可将这些进程托管在三个单独的服务器上
加密所有身份验证信息
使用TCP/UDP端口49
TACACS+
支持IP\\移动IP\\VoIP
使用TCP端口3868或流控制传输协议(Stream Control Transmission Protocol,SCTP) #*……*
支持IPsec 和TLS
Diameter (RADIUS升级版)
AAA协议
身份管理通常分为两类:集中式和分散式
13.3 实施身份管理
创建新账户并为其配置适当的权限
注册过程会创建新标识并确定系统执行身份验证所需的因素
注册过程中需要验证用户的实体身份,需要提供各种凭证
访问配置
定期审核非活动账户与特权账户
特权账户分为过度权限和蠕变权限,蠕变权限为工作过程中积累的权限
账户审核
当员工处于任何原因离开阻止时,无比尽快停用其账户,包括员工请假时间
对于可能还需要的账户(访问加密数据等),不应立即删除
对于有回收机制的临时账户,不需要进行持续的监督
账户撤销
13.4 管理身份和访问配置生命周期
第十三章 管理身份和身份验证
权限:针对访问控制
权利:被允许的操作
特权:root
比较权限\\权利和特权
非授权全拒绝
隐式拒绝
以客体为主要点
以主题为主要点
能力表
不同用户不同接口权限
约束接口
数据库视图-》综合多个基础表中的数据
依赖内容的控制
根据用户上一步动作控制
依赖上下文的控制
最小特权读
知其所需
依工作职能所需
最小特权
敏感职能分为多个员工的职责
职责和责任分离
理解授权机制
安全策略确定了需要保护的资产\\保护它们的安全解决方案以及应该达到的程度;但是不说明如何做到\\如何实施;
使用安全策略定义需求
实施纵深防御
每个客体都有一个所有者,可授予或拒绝其他任何主体的访问
自主访问控制 (DAC)
角色和组的使用
基于角色的访问控制 (RBAC)
采用适用于所有主体的全局规则
基于规则的访问控制
使用可包含多个属性的规则 ,将规则平等地应用于所有主体
基于属性的访问控制 (ABAC)
使用主体和客体标签
强制访问控制 (MAC)
总结访问控制模型
RBAC是DAC的子集
Windows文件权限是基于RBAC的,使用ACL控制的
自主访问控制
管理员采用管理整个环境的静态规则集中管理非自住访问控制,并可影响整体环境的更改
有助于阻止特权蠕变
基于角色的访问控制
具有适用所有主体的全局规则
基于规则的访问控制
基于属性的访问控制
分层环境
分区环境
混合环境
强制访问控制
非自主访问控制
14.1 比较访问控制模型
风险是威胁利用漏洞导致诸如资产损害等损失的可能性
威胁是可能导致不良后果的潜在事件
漏洞是任何类型的弱点
风险要素
识别资产
专注于资产
专注于攻击者
专注于软件
威胁建模是指识别\\理解和分类潜在威胁的过程
高级持续性威胁
漏洞分析试图确定不同访问控制机制的优缺点,以及利用弱点的潜在威胁
识别漏洞
将多条非敏感信息并将他们组合以获得敏感信息
访问聚合攻击
字典攻击
暴力攻击
生日攻击
通过使用预先计算的散列值的大型数据库来缩短此时间
加盐-盐是在对其进行散列之前添加到密码的一组随机位
彩虹表攻击
嗅探器攻击
密码攻击
电子邮件欺骗
电话号码欺骗
欺骗攻击
网络钓鱼
鱼叉式网络钓鱼
网络钓鲸鱼
语音网络钓鱼
社会工程攻击
侧信道攻击
智能卡攻击
常见的访问控制攻击
控制对系统的物理访问
控制对文件的电子访问
创建强密码策略
散列和加盐密码
使用掩码屏蔽密码
部署多因素身份验证
使用账户锁定控制
使用上次登录通知
用户安全培训
保护方法综述
14.2 了解访问控制攻击
第十四章 控制和监控访问
5身份和访问管理
验证某项控制措施是否正常运行
包括自动化扫描\\工具辅助的渗透测试\\试图破坏安全的手动测试
安全测试应该定期执行
安全测试资源的可用性
待测控制措施所保护系统及应用程序的重要性
待测系统及应用程序所含信息的敏感性
执行控制措施的机制出现错误配置的可能性
关乎安全的控制措施出现错误配置的可能性
系统可能遭受攻击的风险
控制措施配置变更的频率
技术环境下可能影响控制措施性能的其他变更
执行控制措施测试的难度及时间
测试对正常业务操作造成的影响
执行安全测试时需要考虑
采用优先考虑风险的方法对系统进行严格的\\例行的测试
安全测试
安全评估是对系统\\应用程序或其他待测环境的安全性进行全面审查
在安全评估期间,由专业人员执行风险评估,识别出可能造成危害的安全漏洞,并根据需要提出修复建议
安全评估包括安全测试工具的使用,但不限于自动化扫描和手工渗透测试;还包括对威胁环境\\当前和未来风险\\目标环境价值的细致审查
通常包括政策\\规程\\要求\\详细及设计
规范是与待审计系统有关的文档
机制可以基于硬件\\软件或固件
机制是信息系统中用于满足规范的控制措施
这些行动可能包括执行备份,导出日志文件或审查账户历史记录
活动是在信息系统中人员所采取的行动
人员是执行规范\\机制及活动的人员
联邦信息系统安全控制评价指南NIST SP 800-53A
安全评估
安全审计必须由独立审核员执行
审计是为了向第三方证明控制措施有效性而进行的评估
由组织内部人员执行
审计负责人直接上类似总裁\\首席执行官汇报
内部审计
安永\\德勤\\普华永道\\毕马威
由外部审计公司执行
外部审计
监管机构\\合同签约方
第三方审计是由另一个组织,或以另一个组织的名义进行的审计
描述被审计组织提供的控制措施,适用于某个时间点,不涉及对控制措施的实际测试
Ⅰ类报告
至少覆盖6个月的时间,包括审计员根据实际测试结果对这些控制措施的有效性所形成的意见,包括对控制措施的独立测试
Ⅱ类报告
认证业务标准声明SSAE16
审计类型
信息和相关技术控制目标COBIT
信息安全管理体系ISO 27001
审计标准
安全评估和测试方案是信息安全团队的基础维护活动
15.1 构建安全评估和测试方案
通用漏洞披露CVE
通用漏洞评分系统CVSS
通用配置枚举CCE
通用平台枚举CPE
可扩展配置检查表描述格式XCCDF
开放漏洞评估语言OVAL
漏洞描述
向目标系统的每个端口发送设置SYN标志位的数据包,如果扫描器接收到设置SYN和ACK标志位的响应数据包说明TCP握手进入第二阶段,该端口开放
又称为半开放扫描,不返回ACK响应
TCP SYN扫描
向某个端口创建全连接,适用于在没法进行半连接扫描时
TCP Connect 扫描
发送设置ACK标志位的数据包,表明它属于某个开放连接;这种扫描可以擦汗给你是确定防火墙规则或防火墙方法
TCP ACK扫描
发送设置FIN\\PSH\\及URG标志位的数据包
Xmas扫描
nmap扫描工具
网络发现扫描
登陆扫描时最好使用只读权限
Nessus \\QualysGuard\\NeXpose\\OpenVAS\\Aircrack(针对无线网络)
网络漏洞扫描
深度的Web应用漏洞扫描仍需要定制的\\专用的Web应用漏洞扫描器
首次开始执行Web漏洞扫描时,扫描所有应用程序;这种做法将检测到遗留应用程序的问题
任何新应用程序首次移植到生前环境前,必须进行扫描
代码变更引入生产环境前,必须扫描任何修改过的应用程序
定期扫描所有应用程序;如果资源有限,根据应用程序的优先级安排扫描
执行扫描
Nessus \\Acunetix\\Nikto\\Wapiti\\BurpSuite
扫描工具
Web应用漏洞扫描
sqlmap
数据库漏洞扫描
通常在扫描漏洞之后,第一次发行某个漏洞
一旦扫描器检测到一个漏洞,管理员应该确认此漏洞,判断它是否为误报
此后,验证过的漏洞需要加以修复;漏洞修复可能包括应用供应商提供的补丁\\修改设备配置\\执行规避漏洞的折中方法\\安装Web应用防火墙及采取组织漏洞利用的其他控制措施
修复
漏洞管理工作流程
漏洞扫描
规划阶段包括测试范围和规则的协议,确保测试团队和管理人员达成共识,明确测试是经过授权的
信息收集和发现阶段结合人工和自动化工具来收集目标环境的信息没发现服务和端口
漏洞扫描阶段探测系统脆弱点,进行漏洞扫描及验证
漏洞利用阶段试图使用人工和自动化漏洞利用工具尝试攻破系统防线
报告阶段总结渗透测试结果,并提出改进建议
渗透测试
15.2 开展漏洞测试
规划
概述
准备
审查
返工
追查
范根检查法
团队走查
高级审查
自动化扫描
同行评审
代码审查
静态测试
模拟事务
模拟环境
动态测试
从软件实际操作获取输入值,然后操纵或变异输入值
zzuf工具
突变模糊测试
设计数据模型,基于对软件所用数据类型的理解创建新的模糊输入
预生成模糊测试
模糊测试
代码审查与测试
为代码模块之间交互提供统一方法,并通过Web服务形式向外部公开
应用编程接口API
包括图形界面和命令行界面
用户界面UI
存在于操作机械装置\\逻辑控制器或其他物理设备的一些应用程序
物理接口
接口测试
误用例测试
测试覆盖率=已测用例数量/全部用例数量
在所有if和else条件下,每个if语句是否已被执行
分支覆盖率
在所有输入集合下,代码中每个逻辑是否已被测试
条件覆盖率
代码中每个函数是否已被调用并返回结果
函数覆盖率
在导致代码执行多次\\一次或零次的条件下,代码中每个循环已被执行?
循环覆盖率
测试期间,是否已运行过每行代码
语句覆盖率
测试覆盖率分析
在经网络传输或抵达服务器的过程中,通过捕获发送到网站的流量进行分析
真实用户监控RUM,是一种被动检测的变体,检测工具重组单个用户的活动,追踪其于网站的交互
被动监测
对网站执行伪造的事务活动,从而评估其性能
主动监测
网站监测
15.3 测试软件
安全信息和时间管理工具SIEM
syslog 日志收集
NTP时间同步
GPOwindows组策略对象部署日志策略
eDiscovery进行日志审查
日志审查
要求系统管理员提供具有特权权限的用户列表及特权
要求特权审批机构提供授权用户的列表及其分配的权限
对比两份列表
或采取随机抽样的方式
账户管理
定期检查备份结果,确保可以正常备份及恢复
备份验证
遗留漏洞的数量
修复漏洞的时间
漏洞/缺陷重现
被盗用账户的数量
在移植到生产环境前扫描过程中监测到的软件缺陷数量
重复审计的结果
尝试访问已知恶意站点的用户
关键绩效和风险指标
15.4 实施安全管理流程
第十五章 安全评估与测试
6安全评估与测试
强制要求授予用户仅访问执行工作所需数据或资源的权限
依赖于所有用户都具有明确定义的职务描述
知其所需和最小特权
职责分离确保个体无法完全控制关键职能或系统
管理员仅授予每个服务账户在应用程序中完成功能所需的权限
个体不会被分配到两个利益相关的角色
任务分解
要求经过两个人批准后才能执行关键任务
知识分割的基本思想是将执行操作所需的信息或特权分配给两个或更多个用户
双人控制
职责分离
岗位轮换
短时间内另一名员工接管此工作岗位进行同行评审
访问审计日志
更改系统时间
配置接口
管理用户账户
控制系统重启
控制通信路径
备份和恢复系统
运行脚本/任务自动化工具
配置安全控制机制
使用操作系统控制命令
使用数据库恢复工具和日志文件
需要关注特权
特权账户管理
生成或捕获
区分敏感数据
存储
使用
通常保存在场外
归档
NIST SP 800-88r1
销毁或清除
管理信息生命周期
对供应商提出的可用性要求
处罚条款
SLA
MOU
各方之间传输敏感数据的安全技术要求
ISA
服务水平协议
胁迫
敏感数据
恶意软件和监控设备
免费WIFI
VPN
出差
应急管理
安全培训与意识
关注人员安全
16.1 应用安全运营概念
执行日常资产清查
使用条形码\\RFID
使用检查表清理系统
硬件库存
许可证备份
不使用未经授权的软件
软件许可
管理硬件和软件资产
保护物理资产
虚拟机
虚拟桌面基础架构(VDE/VDI)
数据平面与控制平面分离
软件定义网络
虚拟存储区域网络VSAN
管理虚拟资产
软件即服务SaaS
平台即服务PaaS
基础架构即服务IaaS
服务模式
部署模型
管理云资产
至少保留两份备份
磁带不应暴露在电梯\\电机和一些打印机等设备产生的磁场中
防尘\\防潮\\防高低温\\
传输安全\\加密
磁带
BYOD\\CYOD
可重复使用的介质受到平均故障时间MTTF影响
介质达到MTTF应该销毁
介质管理生命周期
介质管理
16.2 安全配置资源
使用镜像技术创建基线
配置管理有助于保持系统安全一致的状态
16.3 配置管理
请求变更
审核变更
批准/拒绝变更
测试变更
安排并实施变更
记录变更
安全影响分析
版本控制
负责人\\系统主要目的功能\\基线后的所有变更
配置文档
变更管理可减少因未经授权修改导致的意外中断
变更管理应包含紧急变更流程
16.4 变更管理
系统管理
评估补丁
隔离非生产系统测试
测试补丁
审批补丁
部署补丁
通常部署和验证的非同一人
验证补丁已完成部署
通常作为风险分析或风险评估的一部分执行
漏洞管理
常见的漏洞和风险
16.5 补丁管理和漏洞减少
第十六章 安全运营管理
对机构资产的保密性、完整性或可用性产生负面影响的任何事态
本章-计算机安全事件,通常是指由攻击造成的事故
事件的定义
入侵检测和预防系统
反恶意软件程序
扫描审计日志-特权操作
终端用户报告的异常事件
事件响应小组在有重大安全事件发生时启用这个小组,事件响应计划阐明谁有权在什么情况下启用这个小组
内含证据的计算机不可关闭
响应
限制事件的影响或范围
抑制
高管负责人及执法部门及需知情人
报告
恢复与重建
安全性至少要达到遭遇事件之前的水平
根本原因分析通过剖析事件来判断事件起因
补救
反馈到检测环节
保护证据
管理层将决定采纳哪些建议,并对因为自己没有采纳某项建议而依然存在的风险负责
编制总结报告提出改进建议
总结教训
事件响应步骤
17.1 事件响应管理
保持系统和应用程序即时更新
移除或禁用不需要的服务和协议
使用入侵检测和预防系统
使用最新版本反恶意软件程序
使用防火墙
执行配置管理和系统管理流程
基本预防措施
嵌入式
web应用
老旧系统
僵尸网
分布式拒绝服务
分布式反射性拒绝服务
拒绝服务攻击
不发送ACK响应
使用SYN cookie机制
缩短ACK等待时间
伪造源IP地址发送FIN和RST标志
TCP复位攻击
SYN洪水攻击
按照RFC 2644配置无此问题
Smurf-ICMP伪造受害者IP发送ping请求
Fraggle 在UDP7和19端口广播数据包
Smurf和Fraggle攻击
拦截ICMP通信流
ping洪水
发送超大ping 数据包
死亡之ping
将数据报切分并打碎成碎片
泪滴
LAND攻击
攻击者最先发现的漏洞
供应商掌握漏洞的情况
供应商发布补丁
最小化安装
蜜罐和填充单元
防御
零日利用
病毒
蠕虫
木马
宏病毒
逻辑炸弹
恶意代码
代理攻击
DNS欺骗
ARP欺骗
蓄意破坏
间谍活动
了解攻击
可以有效检测许多DoS和DDoS
可以识别来自外部以及内部的攻击(蠕虫等)
IDS
IPS
监测网络通信流和检查日志
基于知识检测
基于行为检测
基于知识检测和基于行为检测
安全信息和事件管理系统
收集到的警报和触发通常与IDS和IPS发出的警报分开?
SIEM系统
被动响应
主动响应
IDS响应
通过RARP或反向域名系统查找攻击源
采用TLS解密器和交换机做端口镜像
基于主机的IDS和基于网络的IDS
串联接入
入侵防御系统
技术分类
合法用户不会访问蜜罐
填充单元是入侵检测设备发现攻击后将流量转移到一个无实际价值的环境
蜜罐/密网
向用户和入侵者宣传基本安全策略
警示
用带最新签名文件并具备启发式能力的反恶意软件程序
只安装一中
反恶意软件
阻止未授权应用
白名单和黑名单
为应用程序提供安全边界
审计\\渗透测试等
第三方安全服务
包含旨在找出弱点的漏洞扫描
渗透测试被测系统有安全风险
渗透测试需要得到许可
渗透测试分黑白灰盒
保护报告
具体预防措施
17.2 落实检测和预防措施
日志记录捕获体现了系统上发生的活动的事件、变化、消息和其他数据
日志记录技术
安全日志记录对文件、文件夹、打印机等资源的访问
安全日志
记录系统事件
系统日志
应用日志
不记录数据包的实际内容
防火墙日志
可控制允许用户方访问哪些网站
代理日志
变更日志可记录系统的变更请求、批准和实际变更
变更日志
常见的日志类型
将日志文件拷贝到一个中央系统中保护起来如SIEM
当日志不再使用时,必须将其销毁
按监测、分析、调查和报告违法活动所需要的程度,创建、保护和保留信息系统审计记录
确保单个信息系统用户的活动可悲唯一跟踪至这些用户本身,从而可就用户的行为追究责任
保护日志数据
记录用户动作和系统事件
审计踪迹
监控记录的日志数据并跟踪到个人
监测和问责
监控记录的日志数据并重建事件发生的经过
监测和调查
监控记录的日志数据并识别事件发生的原因
监测和问题识别
监测的作用
日志分析是一种详细和系统化的监测形式,这种检测形式通过分析日志信息找出趋势和模式以及异常、未经授权、非法和违反策略的活动。日志分析并不一定是对某一事件的响应,而是一项定期执行的任务
综合日志收集、事件分析、资产管理等
安全信息和事件管理 SIEM
抽样
事件等级过滤阈值
剪切级
击键监测
网流检测,监测数据包流向而非数据包内容
通信流分析和趋势分析
其他监测工具
监测技术
日志记录和监测
扫描所有外出数据
基于网络的DLP
扫描所有外拷文件(复印、打印)
基于端点的DLP
数据丢失预防DLP
原始文件hash检测
隐写术
水印
出口监测
审计的两个含义:日志审计和监测;合规检查评估
确认数据已被分类、用户清楚数据属于什么类别,确保有权授予访问权限的人员知道用户访问资格
访问审查审计
用户权限审计
高权限管理员组
两个管理员账号:普通、特权
特权群组审计
检查审计
效果评价审计
变更管理
安全审计和审查
审计的目的、范围、发现
审计的时间、系统清单
问题、事件和情况
标准、准则和基线
原因、理由、影响和效应
建议的解决方案和防护措施
报告内容
保护审计结果
分发审计报告
使用外部审计人员
报告审计结果
17.3 日志记录、检测和审计
将事件的影响降至最低
准备、检测和分析、遏制根除和恢复、事件后活动
SP 800-61
第十七章 事件的预防和响应
地震、洪水、暴风雨、火灾、火山爆发等
自然灾难
火灾、恐怖行为、爆炸/煤气泄漏、电力中断、网络/公共设施和基础设施故障、硬件/软件故障、罢工/示威抗议、盗窃/故意破坏
人为灾难
18.1 灾难的本质
条带,无容错
RAID0
镜像,两个磁盘存储相同数据
RAID1
奇偶校验,使用三个或更多磁盘,相当于一个磁盘,包含奇偶校验信息
RAID5
条带镜像,至少需要4个,偶数个。
RAID10
RAID可基于软件也可基于硬件
保护硬盘驱动器
备份服务器,冗余镜像
保护服务器
UPS、柴油发电
保护电源
故障防护状态
应急开放状态
手动恢复
自动恢复
包含修复过程
无过度损失的自动恢复
功能恢复
系统备份与恢复过程
受信恢复
宽带
延迟时间
抖动
数据包丢失
干扰
业务优先级
服务质量
增加系统应变能力和容错能力的技术控制会直接影响到可用性
系统恢复和容错能力的主要目标是消除单点故障SPOF
18.2 理解系统恢复和容错能力
按照业务优先级列出清单,并列出风险和成本评估,同时列出平均回复时间MTTR及相关回复目标和里程碑。以及最大可容忍终中断MTO
确定业务单元的优先顺序
危机管理
应急通信
较大组织的拆分
工作组恢复
冷战点
不包含生产数据
温站点
平时可作为开发或测试环境
热站点
移动站点
服务局
多站点(云计算)
可替代的工作站点
MAA互惠协议,需要信任
相互援助协议
通过批量传送的方式转移到远处备份点,需要考虑存储容量、通信带宽、数据可用
需要定期执行电子链接备份
电子链接
更快的传输方式,数据传输批量进行,更频繁,传输的为事务日志
远程日志处理
远程镜像
数据库恢复
18.3 恢复策略
启动建筑物警报系统
确保有序撤离
确保受伤人员接受适当救护
火灾响应清单
操作清单应该按优先级排列
紧急事件响应
联系方式
人员通知
评估
完整备份
增量备份
差异备份不改变文档标记下次还备份
差异备份
备份方式
物理特征
轮换周期
备份介质格式
虚拟磁带库VTL
磁盘到磁盘D2D备份
空闲时间备份
足够的存储容量
连续的备份策略
定期测试恢复流程
最佳备份方法
磁带轮换
备份和离站存储
源码获取协议
软件托管协议
外部通信
联系信息和措施
公用设施
物流和供应
恢复是将业务操作和过程还原至工作转态
还原是将业务设施和环境还原至可工作状态
恢复与还原的比较
具体部门的计划
针对负责实现和维护关键备份系统的IT技术人员的技术指导
灾难恢复团队的人员清单
为重要灾难恢复团队成员准备的完整计划副本
需要考虑的文档
18.4 恢复计划开发
应该保证足够数量的最新版的打印副本
18.5 培训\\意识与文档记录
分发清单并审查
通读测试
桌面推演
结构化演练
部分措施实操
模拟测试
实操恢复过程
并行测试
真实演练
完全中断测试
灾难恢复计划应借鉴业务连续性计划并将它作为恢复工作的模版
每一种灾难恢复计划都必须定期进行测试
18.6 测试与维护
第十八章 灾难恢复计划
内部调查\\检查是否违反组织的政策
旨在识别操作出现问题的根本原因
行政调查
执法者\\针对违法行为
必须满足超越合理怀疑的证据标准
犯罪调查
内部员工和外部顾问代表法律团队/解决双方纠纷
只需要证据能够说明调查结果是可信赖的
民事调查
政府机构/独立第三方//法律法规/行业标准
监管调查
信息治理
识别
保存
收集
处理
检查
分析
产生
呈现
电子发现
调查的类型
必须与确定事实相关
对本案来说是必要的
必须是合法获得
可采纳的证据
客观证据
实物证据
必须为原始文档
最佳证据规则
口头<书面
口头证据规则
文档证据
基于证人的事实观察
言辞证据
描述\\时间\\位置\\收集人员\\环境
证据链
介质分析
网络取证分析
软件分析
硬件/嵌入式设备分析
证据收集和司法取证
证据
自愿上交
法院/传票
搜查令
收集证据的方法
调查可能使事件公开
无法私下调解
请求执法
不要报复
向专家求助
实施调查
约谈
审问
约谈个人
事故数据的完整性和保存
收集证据
收集的证据
调查的最终结果
每项调查都应提交一份报告
与执法机构建立联系
报告和记录调查
分析团队章程手册: 调查范围\\调查人员的权力\\角色和责任\\调查过程中必须遵守的制度
调查过程
19.1 调查
获取军事情报
军事和情报攻击
获取商业机密
商业攻击
非法获得钱财和服务
财务攻击
制造恐怖气氛
恐怖攻击
对受害者不满
恶意攻击
脚本小子
兴奋攻击
19.2 计算机犯罪的主要类别
保护社会\\公益\\必需的公信与自信\\保护基础设施
行为得体\\诚实\\公正\\负责和遵守法律
为委托人提供尽职的\\胜任的服务
发展和保护职业
ISC^2的道德规范
CIA
道德规范和互联网
19.3 道德规范
第十九章 调查和道德
7安全运营
编译型和解释型
编程语言
消息(输入)\\方法\\行为(输出)\\类\\实例\\继承\\委托\\多态性\\内聚\\耦合
面向对象编程
核实用户输入
异常字符
在服务端验证
输入验证
调试消息
身份验证与会话管理
应急开放允许用户绕过安全控制
故障防护(fail-secure)和应急开放(fail-open)
避免和缓解系统故障
软件开发
利益相关方确定项目用途以及系统大体需求
概念定义
确定系统的功能以及输入输出
功能需求确定
访问控制/数据保护/审计踪迹/可用性和容错
安全性考虑
控制规范的开发
设计与评审
代码编写与审查
用户验收测试
维护和变更管理
系统开发生命周期
瀑布模型(扶梯模型)
螺旋模型
即时响应需求变化
敏捷软件开发
未定义
初始级
可重复级
文档化的过程
定义级
定量衡量
管理级
过程改进
优化级
软件能力成熟度模型SCMM
变更的业务原因
启动
诊断
计划
建立
行动
学习
IDEAL模型
生命周期模型
PERT判断软件产品的大小并未风险评估计算标准偏差
甘特图与PERT
请求控制
变更控制
发布控制
记录配置
配置标识
修改配置满足配置策略
配置控制
记录授权更改
配置状态统计
配置审计
变更和配置管理
DevOps方法
需要通信保密
应用编程接口
白盒
黑盒
灰盒
按照前提
静态
动态
按照形式
合理性检查
无效输入\\不正确类型\\越界值
检查点
软件测试
代码仓库
系统正常运行时间(百分比)
最大连续停机时间
高峰负荷
平均负荷
责任诊断
故障切换时间
软件采购
测试计划应该与产品设计一起开发
20.1 系统开发控制概述
可用来唯一标识某一行
候选键
从候选键中选择的一个键
主键
外键
键值
第一范式\\第二范式\\第三范式
范式
关系数据库
DDL 数据定义语言
DML 数据操纵语言
SQL
数据库管理系统的体系结构
单个事务成功或失败不可拆分
原子性
运行环境一致
独占对象
隔离性
持久性
数据库事务
不同安全等级的数据混在一起产生数据库污染
部署可信前端
使用视图
锁定机制
丢失更新
脏读
解决的问题
并发性
单元抑制
语义完整性
时间和日期标记
内容相关的访问控制
上下文相关的访问控制
分安全区域情况下
多实例
其他安全机制
多级数据库的安全性
多驱动集成
ODBC
键/值
网络图
图形数据库
文档存储
NoSQL
20.2 创建数据库和数据仓储
存储器的类型
非法访问
存储器威胁
20.3 存储数据和信息
断言
知识库
推理引擎
专家系统
使用标记数据进行训练
提供答案
监督学习
使用未标记数据进行训练
不提供答案
无监督学习
机器学习
神经网络
20.4 理解基于知识的系统
第二十章 软件开发安全
MBR病毒将系统重定向到被感染的引导扇区,在从合法引导扇区加载操作系统前将病毒加载到内存中
引导扇区病毒实际上感染合法的引导扇区,并在操作系统加载过程中被加载到内存中
主引导记感染
主要感染可执行文件
game.exe/game.com
同伴病毒
文件程序感染
宏病毒
注入可信系统进程中
服务注入
病毒传播技术
windows/Android
容易受到病毒攻击的平台
净化/隔离/删除
特征型反病毒软件
监控特权行为
启发式反病毒软件
反病毒机制
多种传播技术
复合病毒
绕过/破坏系统防护机制
隐形病毒
变异技术
多态病毒
加密病毒
病毒技术
骗局
传播和破坏
定时炸弹/条件触发
特洛伊木马
自动传播
间谍软件与广告软件
零日(Zero-Day)攻击
21.1 恶意代码
密码猜测攻击
社会工程学
培训
对策
21.2 密码攻击
一些语言对变量的长度不强制实施固有的限制
检验时间到使用时间
后门
权限提升和rootkit
21.3 应用程序攻击
跨站脚本
跨站请求伪造
SQL注入攻击
21.4 Web应用的安全性
禁用Ping 探测
IP探测
服务探测
端口扫描
21.5 侦察攻击
IP欺骗
会话劫持
21.6 伪装攻击
第二十一章 恶意代码和应用攻击
8软件开发安全
CISSP
0 条评论
回复 删除
下一页
