CISSP知识框架
2024-01-03 14:28:12 0 举报
AI智能生成
CISSP知识框架-详细
作者其他创作
大纲/内容
1安全与风险管理
第一章 实现安全治理的原则和策略
1.1 理解和应用保密性\完整性及可用性的概念
保密性
目标:阻止或最小化未经授权的数据访问
为保障数据\客体或资源保密状态而采取的措施
疑问:保密性和完整性相互依赖;没有客体完整性(没能力保证客体不受未经授权的修改),就无法维持客体保密性;注意此处的修改指有意义的修改,并不是指破坏;其实完整性受到破坏并不一定影响保密性;
完整性
目标:防止未经授权的主题进行修改
保护数据可靠性和正确性的概念(一种受保护的状态)
三方面检验完整性
防止未经授权的主体进行修改
防止授权主体进行未经授权的修改,如引入错误
保持客体内外一致以使客体的数据能够真实反映现实世界,而且与任何子客体\对等客体或父客体的关系都是有效的\一致的和可验证的
(此处的完整性与数据库中的完整性约束概念相似)
可用性
满足授权主体实时的\不间断的对客体的访问权限
能够容易被主体使用或访问的状态
可用性依赖完整性和保密性
完整性进行访问控制限制,保密性进行信任验证
其他安全概念
AAA
身份验证 (authentication)
你知道的东西
你拥有的东西
你具备的特征
其他
授权(authorization)
访问控制模型
自主访问控制(Discretionary Access Control,DAC)
强制访问控制(Mandatory Access Control,MAC)
基于角色的访问控制(Role Based Access Control,RBAC)
记账(accounting)
或者审计(auditing)
审计(监控及记录)
流程:
标识-》身份验证-》授权-》计费-》审计
保护机制
实现安全控制的部分可用机制
分层
纵深防御
串行
抽象
目的为了提高效率
角色\组策略\数据分级
数据隐藏
通过访问控制措施使无权限者不可见
隐匿:隐写术(藏起来)
加密
强加密为隐藏
较弱的加密方式被认为是隐匿
其他
笔记
对脆弱性和风险的评估基于对一个或多个CIA三元组原则的威胁
每个原则对特定组织有多重要取决于该组织的安全目标和需求;以及组织安全受到威胁的程度
客体是安全关系中的被动元素:如文件\计算机\网络连接和应用程序
主体是安全关系中的主动元素,如用户\程序和计算机
1.2 评估和应用安全治理原则
与业务战略\目标\使命和宗旨相一致的安全功能
安全管理计划
确保正确地创建\执行和实施安全策略
使安全功能与业务战略\目标\使命和宗旨相一致
实现:
自上而下;
上层\高级或管理部门负责启动和定义组织的安全策略
中层管理人员负责将安全策略落实到标准\基线\指导方针和程序
操作管理人员或安全专业人员实现安全管理文档中规定的配置
最终用户遵守组织的安全策略
自下而上
其他
内容:
定义安全角色
规定如何管理安全\由谁负责安全以及如何检验安全的有效性
制定安全策略
执行风险分析
对员工进行安全教育
计划类型:
长期计划(战略计划)
稳定且长期,一般5年左右
定义了组织的安全目的
规划未来的目标和远景
包括计划的风险评估
短期计划(战术计划)
1年
规定和安排实现组织目标所需的任务
或可根据补课预测的事件临时制定
示例:
项目计划
收购计划
招聘计划
预算计划
维护计划
支持计划
系统开发计划
操作计划
短期\高度详细的计划
阐明如何实现组织的各种目标
包括资源分配
预算需求
人员分配
进度安排
细化或执行程序
示例:
培训计划
系统部署计划
产品设计计划
组织的流程
变更控制/变更管理
目标:
确保变更不会消减或损坏安全
首要目标是使所有变更被详细记录和审计;
可在任意系统上实现而不考虑安全级别
保护已实现的安全,使安全不受无意的\间接的或负面影响
要求
在受监控的环境中有序实施更改
包含正式的测试过程,验证变更能实现预期效果
所有变更都能够撤销(回退或回滚计划\程序)
再变更实施前通知用户,防止影响生产效率
对变更影响进行系统性分析,以确定变更是否会对安全业务流程产生负面影响
最小化变更对能力\功能和性能方面的负面影响
数据分级
定义:数据分级是将条目\主体\客体等组织成具有相似性的组\类别或集合的过程
目标:基于指定的重要性与敏感性标签对数据进行正式化和分层化的安全防护过程
任何适合组织的数据分类标准,都要对数据进行评估,并为其分配是当的数据分类标签
数据分类方案七步骤
确定管理人员,并定义其职责
指定信息如何分类和标记的评估标准
对每个资源进行数据分类和增加标签(数据所有者会执行此步骤,监督者应予以审核)
针对个人信息,数据所有者是?对数据增加标签的是?
记录数据分类策略中发现的任何异常,并集成到评估标准中
选择将应用于每个分类级别的安全控制措施,以提供必要的保护级别
指定解除资源分类的流程,以及将资源保管权转移给外部实体的流程
建立组织范围的培训程序来指导所有人员使用分类系统
数据分类方案
政府/军事
绝密
严重影响和严重损害
知其所需划分
秘密
重大影响和重大损害
机密
对国家安全造成明显的影响和严重损害
敏感但未分类(Sensitive But Unclassified,SBU)
办公室使用/个人隐私
未分类
任何人都可以获得未分类数据-依照《信息自由法》申请
商业
机密(公司内部资料)
法律/竞争力
私有
客户资料
敏感
负面影响
常指任何非公开的信息
公开
组织的角色和责任
高级管理者(决策者)
对安全最终负责\提供支持
执行所有活动前都必须经过高级管理者的认可和批准
所有安全策略需要高级管理者的授权和支持
安全专业人员(实施者)
保证安全性,编写和执行安全策略
根据已批准安全策略设计和实现安全解决方案
数据所有者(通常为高级管理人员)
在安全解决方案中负责布置和保护信息分类的人员
最终对数据保护负责
数据托管员
执行安全策略与高级管理者规定的保护任务的人员
活动
执行和测试备份
验证数据完整性
部署安全解决方案以及基于分类管理数据存储
用户
任何能访问安全系统的人员
用户的访问权限与工作任务相关并受限(最小特权原则)
审计人员
审查和验证安全策略是否正确执行以及相关的安全解决方案是否完备
审计报告由决策者审核
安全控制框架
信息和相关技术控制目标(COBIT)
满足利益相关方的需求
从端到端覆盖整个企业
使用单一的集成框架
采用整体分析法
把治理从管理中分离出来
ISO/IEC 27002
开源安全测试方法手册(OSSTMM)
信息技术基础设施库(ITIL)
应尽关心和尽职审查
应尽关心(due care)
使用合理的关注来保护组织的利益
制定一种正式的安全框架,包括安全策略\标准\基线\指南和程序
尽职审查(due diligence)
具体的实践活动
将安全框架持续应用到组织的IT基础设施上
操作性安全
组织内的所有责任相关方持续给与应尽关心和实施尽职审查
笔记:
治理的共同目标是维护业务流程,同时努力实现增长和弹性
所有形式的治理都必须不时进行评估和验证
安全治理直接监督并涉及所有级别的安全;
安全治理框架:NIST 800-53\NIST 800-100
1.3 开发\记录和实施安全策略\标准\程序和指南
安全策略
定义组织所需的安全范围
讨论需要保护的资产安全解决方案需要提供的必要保护程度
三大类综合安全策略
监管性策略
讨论必需遵守的法规,概述满足监管要求的程序
建议性策略
可接受的行为和行动,定义违规后果
信息性策略
提供整体策略特定要素相关的支持\研究或背景信息
安全策略不应针对特定的个人,安全策略针对特定的角色定义任务和职责
策略-》分工-》角色-》个人
可接受的使用策略
用来分配组织内的安全角色,并确保职责与这些角色相关联
定义了可接受的性能级别以及期望的行为和活动
标准\基线和指南
标准
标准对硬件\软件\技术和安全控制方法的一致性定义了强制性要求
提供了在整个组织中统一实施技术和程序的操作过程
基线
定义了整个组织中每个系统必须满足的最低安全级别
建立了通用的基础安全状态
参考行业或政府标准
TCSEC(可信计算机系统评估标准)
ITSEC(信息技术安全评估和标准)
NIST(美国国家标准与技术研究院)
指南
提供了关于如何实现标准和基线的建议,并作为安全专业人员和用户的操作指南
非强制性
程序
标准操作程序是详细的分步实施文档,描述了实现特定安全机制\控制或解决方案所需的具体操作
程序的目的是确保业务流程的完整性;
程序必需跟随系统硬件和软件的发展不断更新
程序一般针对特定的系统和软件
笔记
开发和实现文档化的安全策略\标准\程序和指南可以生成可靠的\可依赖的安全基础设施
策略是宽泛的概述,标准\基线和程序包括关于实际安全解决方案的更具体的信息
各个级别从上到下文档应该呈树形管理
安全策略定义组织安全文档的整体结构
标准是基于策略及法规和合同的约束
指南是标准的具体推演补充
程序是实施的流程
1.4 理解与应用威胁建模的概念和方法
识别威胁
方法
关注资产
风险评估,脆弱性
关注攻击者
关注威胁(在威胁面比较确定的情况下
关注软件
关注产品(与用户交互
威胁分类方案
STRIDE
欺骗(Spoofing)
通过伪造的身份获得对目标系统访问权限的攻击行为
篡改(Tampering)
对传输或存储中的数据进行任何未经授权的更改或操纵
否认(Repudiation)
用户或攻击者否认执行动作或活动的能力
信息泄露(Information Disclosure)
将私有\机密或受控信息泄露或发送给外部或未经授权的实体
拒绝服务(Dos)
该攻击试图阻止对资源的授权使用
特权提升(Elevation of Privilege)
该攻击是将全线有限的用固话账户转换为具有更大特权\权利和访问权限的账户
威胁建模方法
攻击模拟和威胁分析(Process for Attack Simulation and Threat Analysis,PASTA)
1. 为风险分析定义目标
2. 定义技术范围
3. 分解和分析应用程序
4. 威胁分析
5. 弱点和脆弱性分析
6. 攻击建模与仿真
7. 风险分析和管理
Trike
可靠的\可重复的安全审核方法
对每种资产的可接受风险水平进行评估,然后确定适当的风险响应
为安全工作人员之间的通信和写作提供了一致的框架
VAST(Visual,Agile,and Simple Threat,视觉\敏捷和简单威胁)
在可伸缩的基础上将威胁和风险管理集成到敏捷编程环境中
确定和绘制潜在的攻击
通过创建事务中的元素图表(系统组件)及数据流和权限边界来完成确定潜在的攻击
对于复杂系统,通过多图表实现不同层次的细节放大
确定所涉及的所有技术,包括操作系统\应用程序(基于网络服务和客户端)和协议
确定针对图标中每个元素的攻击,考虑各种攻击类型
执行简化分析
目的:将对象元素化,解构对象;更好的理解产品的逻辑及其与外部元素的交互
概念
信任边界
信任级别或安全级别发生变化的位置
数据流路径
数据在两个位置之间的流动
输入点
接收外部输入的位置
特权操作
需要比标准用户账户或流程拥有更大特权的任何活动,通常可以修改系统或更改安全性
安全声明和方法的细节
关于安全策略\安全基础和安全假设的声明
优先级排序和响应
说明威胁的手段\目标和后果;考虑开发所需技术以及可能的控制措施和防护措施
威胁排序定级
概率X潜在损失
高/中/低评级
DREAD
潜在破坏
如果威胁成真,可能造成的危害程度
可再现性
攻击者复现攻击有多复杂
可利用性
实施攻击的难度有多大
受影响用户
有多少用户会受到攻击影响
可发现性
攻击者发现弱点有多难
笔记
威胁建模是识别\分类和分析潜在威胁的过程
威胁建模持续贯穿系统整个生命周期中
模糊测试向软件提供许多不同类型的输入,这些输入可以是随机生成的,也可以是专门为触发已知的软件漏洞而设计的
主动式威胁建模
在初始设计和规范建立阶段,防御方法
被动式威胁建模
在产品创建和部署后,对抗性方法
1.5 将基于风险的管理理念应用到供应链
安全供应链指供应链中的所有供应商或链接都是可靠的\值得信赖的\信誉良好的组织;他们向业务伙伴披露他们的实践和安全需求
安全集成评估三方
现场评估
到组织现场进行访谈,并观察工作人员的操作习惯
文件交换和审查
调查数据和文件记录交换的方式,以及致性评估和审查的正式过程
过程/策略审查
审查安全策略\过程/程序,以及事件和响应文件的副本
第三方审计
第二章 人员安全和风险管理的概念
2.1 人员安全策略和程序
候选人筛选及招聘
特定职位的敏感性和分类取决于担任该职位的人员有意或无意地违反安全规定造成的危害程度
安全性保证
候选人筛选
背景调查
推荐信调查
学历验证
安全调查验证
特质
态度
智慧
忠诚
常识
勤奋
诚实
尊重
一致性
遵守社会规范
企业文化认同
雇佣协议及策略
雇佣协议
组织的规则\限制\安全策略\可接受的行为和活动策略\职责描述的细节\违规行为和后果\员工担任该职位的时间长度
保密协议(Nondisclosure Agreement,NDA)
防止离职员工泄露组织的机密信息
非竞争协议(Noncompete Agreement,NCA)
试图组织了解组织秘密的员工加入另一个与该组织存在竞争关系的组织,使第二个组织不能利用该员工了解的秘密谋利;
防止员工仅为加薪或其他激励措施而跳槽到有竞争关系的另一家公司
无补偿无效
工作任务特权漂移
强制休假
定期审计和验证员工的工作任务和特权
入职和离职程序
入职
新员工
角色或职位变化
获得其他特权或访问权限
离职
取消或删除用户账户
撤销证书
取消访问的代码的特权
终止其他特定特权
解雇
私下和尊重的态度处理员工解雇过程
终止和同事应至少有一名证人在场
时间:在轮岗间隙
提前通知
事宜
确保员工已归还交通工具和家中的所有公司设备或用品
删除或禁用员工的网络用户账户
通知人力资源部门发放最后的薪资,支付所有未使用假期的折算费用,并终止所有福利待遇
安排一名安全部门人员陪同被解雇员工在工作区域收拾个人物品
通知所有安保人员\巡查人员或监控出入口的人员,以确保前雇员在没有护送的情况下无法再次进入办公大楼
离职面谈
供应商\顾问和承包商的协议和控制
目的:确定组织主要外部实体\人员或组织的绩效水平\期望\薪酬和影响;
SLA(Service-Level Agreement)服务等级协议
确保组织向其内部或外部客户提供的各种服务保持在服务方和客户都满意的恰当服务水平
通常包含
系统运行时间(占总运行时间的百分比)
最长连续停机时间(以秒/分钟等计算)
最大负载
平均负载
诊断职责
故障切换时间(如果采取了冗余措施)
赔偿措施
合规策略要求
要去员工遵守规则\策略\法规\标准或要求的行为;
员工培训
隐私政策要求
隐私定义
主动防止未经授权访问个人可识别的信息(即直接连接到个人或组织的数据点)
防止未经授权访问私有或机密信息
防止在未同意或知情的情况下被观察\监视或检查
PII(Personally Identifiable Information)个人身份信息
特殊:在德国和其他欧盟成员国,IP地址和MAC地址在某些情况下被认为是PII
法规
欧美
健康保险流通与责任法案(Health Insurance Portability and Accountability Act,HIPAA)
萨班斯-奥克斯利法案(Sarbanes-Oxley Act,SOX)
家庭教育权力和隐私法案(Family Education Rights and Privacy Act,FERPA)
金融服务现代化法案
欧盟指令95/46/EC(数据保护指令)
通用数据保护条例和支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCIDSS)
国内
信息安全法
个人信息安全保护标准35273
隐私受到侵犯时,必须通知个人和公司
笔记
招聘新员工步骤
创建岗位职责描述
职责分离:将关键的\敏感的工作任务分给几个不同的管理员或高级操作员
工作职责:最小特权授权
岗位轮换:
提供知识备份
降低欺诈\数据更改\盗窃\破坏和信息滥用的风险
设置工作级别
筛选应聘者
招聘和培训最适合该职位的人
2.2 安全治理
定义:安全治理是与支持\定义和指导组织的安全工作相关的实践的集合;
安全治理通常与公司治理和IT治理密切相关
第三方治理
第三方治理是可能由法律\法规\行业标准\合同义务或许可要求强制规定的监督制度;
第三方治理通常包括外部调查员或审计人员;这些审计人员可能由监管机构指定,也可能是目标组织雇佣的顾问
第三方治理另一方面是将安全监督应用到组织所依赖的第三方;
第三方治理的重点是验证安全目标\需求\法规和合同义务的合规性
在现场评估或审计的人员需要遵守审计协议(如COBIT)
在审计和评估过程中,组织应向监管机机构提交安全策略和自我评估报告
文件审查是阅读交换材料并根据标准和期望进行验证的过程,如果文档不符合要求,现场也不符合要求
2.3 理解并应用风险管理概念
风险术语
资产:
环境中需要保护的任何事物
资产估值:
可计算价值:购买\维修\替换\
不可计算价值:公众信心\行业支持\知识产权
威胁:
任何可能发生的\对组织或特定资产造成不良或非预期结果的潜在时间都是威胁
脆弱性:
脆弱性是资产中的弱点(控制措施缺乏或薄弱)
暴露:
暴露,风险的存在;即脆弱性可能被威胁利用造成损害
风险:
风险是威胁利用脆弱性对资产造成损害的概率;
控制措施:
任何能消除或减少脆弱性,或能抵御一个或多个特定威胁的事物;
攻击:
攻击是威胁主体对脆弱性的利用
破坏:
破坏指安全机制被威胁主体绕过或组织;
关系:
资产遭受威胁利用脆弱性导致暴露就是风险减轻方式通过控制措施保护资产
识别威胁和脆弱性
为组织已识别的资产创建一个尽可能详尽的威胁列表,包括威胁主体以及威胁事件
大多数情况下,执行风险评估的应该是一个团队;成员来自组织内的各个部门,(充分识别威胁和脆弱性)
第三方风险评估通常使用风险评估软件(复杂昂贵),生成可被保险公司\董事会接受的标准化报告
风险评估/分析
定量风险分析(货币价值)
步骤
编制资产清单,并为每个资产分配资产价值(Asset Valuation,AV)
研究每一项资产,列出每一项资产可能面临的所有威胁;对于每个列出的威胁,计算暴露因子(Exposure Factor,EF)和单一损失期望(Single Loss Expectancy,SLE)
EF:如果已发生的风险对组织的某个特定资产造成破坏,组织将因此遭受的损失百分比(潜在损失)
SLE:特定资产发生单一风险的相关成本(确切损失),具体货币
SLE=AV*EF
执行威胁分析,计算每个威胁在一年之内实际发生的可能性,也就是年度发生率(Annualized Rate of Occurrence,ARO)
ARO:一年内特定威胁或风险发生的预期频率;(历史记录\统计分析\推算)0-1
通过计算年度损失期望(Annualized Loss Expectancy,ALE),得到每个威胁可能带来的总损失
ALE:ALE=SLE*ARO
研究每种威胁的应对措施,然后基于已经采用的控制措施,计算ARO和ALE的变化
控制措施并不一定改变EF,但会降低ARO
针对每项资产的每个威胁的每个防护措施进行成本/效益分析;为每个威胁选择最合适的防护措施
计算防护措施成本
针对每个特定风险,必须在成本/收益的基础上评估一个或多个防护措施;
必须首先编制一份对每种威胁的防护措施清单
为每个安全措施分配部署价值
购买\开发和许可的成本
实施和定制的成本
年度运营\维护\管理等费用
年度修理和升级的成本
生产率的提高或降低
环境的改变
测试和评估的成本
计算防护措施的成本/效益
防护措施实施钱的ALE-防护措施实施后的ALE-防护措施的年度成本ACS=防护措施对公司的价值
定性风险分析(主观判断)
步骤
场景
场景是对单个主要威胁的书面描述, 所有定性分析技术需要创建场景
重点描述威胁如何产生\以及可能对组织,IT基础结构和特定资产带来的影响
每个场景有一种或多种防护措施可完全或部分应对场景中描述的主要威胁.
确定场景的威胁级别,可能的损失和每种安全措施的优点
评级:参考NIST-SP800-30 表3.6,3.7
Delphi
匿名的反馈和响应过程,用于在一个小组汇总匿名达成共识
风险响应
风险分析的输出
所有资产完整的,详细的估值
包括所有威胁和风险,发生概率及造成损失程度的详细清单
针对特定威胁的有效防护措施和控制措施列表
每个防护措施的成本/效益分析
风险处理方式
降低或缓解
转让或转移
接受
威慑
惩罚措施,监控
规避
拒绝或忽略
否认风险的存在
选择与实施控制措施
纵深防御
物理性控制措施
逻辑性/技术性控制措施
管理性控制措施
资产
安全控制措施的选择因素
控制措施的成本应该低于资产的价值
控制措施的成本应该低于控制措施的收益
应用控制措施的结果应使攻击者的攻击成本高于攻击带来的收益
控制措施应该为真实的和明确的问题提供解决方案
控制措施的好处不应依赖于对其保密,这意味着通过隐匿实现安全不可行, 任何可行的控制措施都能经得起公开披露和审查
控制措施的收益应当是可检验和可验证的
控制措施应在所有用户,系统,协议之间提供一致的保护,(所有的用户/所有的系统/所有的协议之间提供一致的保护)
控制措施应该几乎(或完全)没有依赖项,以减少级联故障
完成初始部署和配置后,控制措施之需要最低限度的人为干预
应该放置篡改控制措施
只有拥有特权的操作员才能全面访问控制措施
应当为控制措施提供故障安全和/或故障保护选项
适用的控制类型
控制措施并不一定仅属于一种控制类型
控制类型
威慑控制
打消念头
预防控制
组织实施
检测控制
活动发生后
补偿控制
对现有控制措施的加强
纠正控制
修复错误
恢复控制
备份及恢复
指示控制
管理要求
安全控制评估(Security Control Assessment, SCA)
根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估
NIST-800-53A(联邦信息系统中的安全控制评价指南)
监视和测量
安全控制提供的收益应该是被监视和可测量的
通常为了测量控制措施的成败, 在安全措施执行前后进行监视和记录是十分必要的(通过对比控制措施实施前后的对比确定收益)
资产估值与报告
资产估值是通过部署防护措施实现资产保护的成本/收益分析的基础
报告是风险分析的关键任务,并将报告呈现给利益相关方
持续改进
风险分析/评估是一种时间点度量,威胁和脆弱性不断变化,风险评估需要定期进行以支持持续改进
风险框架
风险框架是关于如何评估,解决和监控风险的指南或方法
NIST-800-37(RMF)
安全分类
对信息系统和根据影响分析将被该系统处理,存储和传输的数据进行分类
选择安全控制
基于安全分类为信息系统选择初始化安全控制基线,基于组织对风险和现场情况的评估,根据需要调整和补充安全控制基线
实施安全控制
实施安全控制并描述如何在信息系统及其操作环境中使用安全控制
评估安全控制
使用适当的评估程序对安全控制进行评估,来确定安全控制在多大程度上得到了正确实施,完成了预期操作并产生符合系统安全要求的期望结果
授权信息系统
基于对组织运营和信息系统操作涉及的资产,个人,其他组织和国家的风险决策,对信息系统操作进行授权,并确定风险是可以接受的
监视安全控制
持续监视信息系统中的安全控制,包括评估控制的有效性,记录系统或运行环境的变化,对相关变化进行安全影响分析,并向指定的组织管理人员报告系统的安全状态
可操作性的关键威胁\资产和脆弱性评估(Operationally Critical Threat,Asset,and Vulnerability Evaluation OCTAVE)
信息风险因素分析(Factor Analysis of Information Risk,FAIR)
威胁代理风险评估(Threat Agent Risk Assessment,TARA)
笔记:
风险管理的主要目标是将风险降至可接受的水平
2.4 建立和维护安全意识\教育和培训计划
实施安全培训的前提是建立安全意识
安全培训内容由内部组织到外部培训,由低层次到高层次, 由点到面
安全意识-培训-教育
2.5 管理安全功能
执行风险评估以驱动安全策略的行为是安全功能管理最显著和最直接的示例
安全必须是成本有效的(收益大于成本)
安全必须是可测量的(收益有明确的指标可计算)
如果选择的安全指标不正确,则可能导致严重问题,例如选择监视或测量安全人员无法控制的事物或基于外部驱动的事物
在选择\部署和调优控制措施前后都要意识到并评估资源消耗
安全管理功能包括信息安全策略的开发和实现
笔记:
人通常是组织安全中最薄弱的环节;
第三章 业务连续性计划
3.1 业务连续性计划简介
业务连续性计划(Business Continuity Plan)以及灾难恢复计划(Disaster Recovery Planning)的界限是模糊的
业务连续性计划通常战略性地关注上层,以业务流程和运营为中心;
灾难恢复计划本质上更具战术性, 描述恢复站点\备份和容错等技术活动
业务连续性的总体目标
在紧急情况下提供快速\冷静和有效的响应,提高公司从破坏性时间中快速恢复的能力
流程
项目范围和计划
业务影响评估
业务连续性计划
计划批准和实施
3.2 项目范围和计划
业务组织分析
分析业务涉及到的部门和个人,形成人员职能表,最终结果与表中人员会议确认
负责向客户提供核心服务业务的运营部门
关键支持服务部门\设施和维护人员以及负责维护支持运营系统的其他团队
负责物理安全的公司安全团队,多数情况下是安全事故的第一响应者,也负责主要基础设施和备用处理设施的物理保护
高级管理人员和对组织持续运营来说只管重要的其他人员
选择BCP团队
负责执行业务核心服务的每个组织部门的代表
部门经理
根据组织分析确定的来自不同职能区域的业务单元团队成员
BCP所涉及领域内拥有技术专长的IT专家
不同的风险点\技术难点
掌握BCP流程知识的网络安全团队成员
负责工厂实体物理安全和设施管理的团队
机房\安保\后勤
熟悉公司法规\监管和合同责任的律师
法务
可解决人员配置问题以及对员工个人产生影响的人力资源团队成员
人事经理
需要制定在发生中断时如何与利益相关方和公众进行沟通的公共关系团队成员
公关
高级管理层代表,这些代表能设定远景\确定优先级别和分配资源
高级管理层的重要职责通常包括确定优先事项,提供人力和财务资源,以及仲裁有关服务关键性(重要性)的争议
资源需求
开发
项目范围和计划
业务影响评估
连续性计划
计划批准和实施
测试\培训和维护
实施
法律和法规要求
法务
3.3 业务影响评估(Business Impact Assessment)
确定优先级
由BCP团队各部门成员列举部门优先级列表,汇总讨论成总优先级列表
确定组织资产清单
为每项资产分配资产价值(货币)AV
业务功能出现故障但不会对业务产生无法弥补的损害所允许的最长时间
确定最大允许中断事件(MTD,Maximum Tolerable Downtime)
最大容忍中断事件(MTO,Maximum Tolerable Outage)
中断发生后实际恢复业务功能所需的时间
恢复时间目标(RTO,Recovery Time Objective)
RTOMTD
风险识别
自然风险
暴风雨/飓风/龙卷风/暴风雪
雷击
地震
泥石流/雪崩
火山喷发
人为风险
恐怖活动/战争/内乱
盗窃/破坏
火灾/爆炸
长时间断电
建筑物倒塌
运输故障
互联网中断
服务提供商停运
服务提供商的业务连续性措施SOC报告(美国注册会计师协会AICPA)
SOC1(财务报告)
SOC2,3(安全性\隐私和可用性)
可能性评估
识别每种风险的年度发生率(ARO)
内部团队
外部顾问
政府公开
保险公司
科研单位
影响评估
分析方法
定量决策
暴露因子EF(风险发生时,单一资产损害百分比)
单一损失期望SLE(损失货币)
AV*EF
年度损失期望ALE
ARO*SLE
定性决策
在客户群中丧失的信誉
长时间停工后造成员工流失
公众的社会/道德责任
负面宣传
资源优先级排序
定量定性结合
笔记:
BIA确定组织持续运营所需的资源和这些资源面临的威胁,还评估每个威胁事件发生的可能性以及威胁事件对业务的影响
定量分析以货币价值进行计算
3.4 连续性计划
策略开发
确定具体风险的处理方式
预备和处理
确定不可接受风险的处理方案
三类资产
人员
员工\客户\供应商等
建筑物/设施
加固预备措施
替代站点
基础设施
物理性加固系统
备用系统
3.5 计划批准和实施
计划批准
CEO\总裁\部门领导等
计划实施
培训和教育
直接负责BCP工作的人员
能够在灾难发生时有效完成任务的培训,每个任务至少一名备用人员
所有直接或间接参与计划的人员
明确总体计划及个人责任
组织中的每一个成员
计划简报
BCP文档化
作用
供BCP成员参考
提供过程的历史记录
成员想法记录共团队外部成员讨论
最高管理层
连续性计划的目标
重要性声明
各部门配合
优先级声明
对业务重要功能排序(紧急情况下)
组织职责声明
各部门协助
紧急程度和时限声明
附计划时间表
风险评估
重述在业务影响评估期间的决策过程
提供决策的思考过程
需要定期更新
风险接受/风险缓解
策略开发部分结果
对于可接受风险
概述接受原因以及未来可能需要重新考虑此决定的可能事件
需要对应业务领导提供一份记录他们决定接受风险的正式文件
对于不可接受风险
概述要采取的缓解风险措施和过程
重要记录计划
组织重要的记录清单
业务方面
组织内部方面
确定每条记录的存储位置
应急响应指南
概述组织和个人立即响应紧急事件的职责
立即响应程序(安全和安全程序\灭火程序,以及通知适当的应急响应机构等)
事故通知人员名单(高管\BCP团队成员等)
第一响应人员在等待BCP团队集结时应采取的二级响应程序
维护
BCP文件和计划定期更新(版本控制)
定期召开BCP成员会议
测试和演练
检验计划有效性
第四章 法律\法规和合规
4.1 法律的分类
刑法
法律体系的基石
民法
法律体系的主体
行政法
4.2 法律
计算机犯罪
计算机欺诈和滥用法案
专门针对跨越州界的计算机犯罪
1994年计算机滥用修正案
宣布创建任何可能对计算机系统造成损害的恶意代码行为是不合法的
扩大使用范围,维护周几贸易
允许关押违法者
受害者可以提起民事诉讼的法律授权
联邦量刑指南
高级管理人员为应尽关心而承担个人责任,从财务职责领域发展而来
允许提供进行了尽职审查的证明材料,从而降低处罚
疏忽举证
法律上不可推脱的责任
没有遵守公认的标准
疏忽行为与后续的损害之间必然存在因果关系
1996年美国国家信息基础设施保护法案
进一步扩大范围, 使其涵盖国际贸易中使用的计算机系统
将类似的保护扩展到计算系统以外的其他国家基础设施, 如铁路\天然气管道\电网和电信线路
将任何对国家基础设施关键部分造成损害的行为视为重罪
联邦信息安全管理法案
FISMA实施指南
定期评估,信息安全管理相关
2014年联邦网络安全法案
将联邦网络安全责任集中到国土安全局
国防相关网络安全问题由国防部负责
国家情报机构负责情报相关
网络安全增强法案
NIST负责自发的安全标准
NIST SP 800-53:联邦信息系统和组织的安全和隐私控制
NIST SP 800-171:保护非联邦信息系统和组织中受控的非分类信息
NIST 网络安全框架(CSF)
知识产权
版权和数字千年版权法
文学
音乐
戏剧
哑剧和舞蹈
绘画\图形和雕刻
电影和其他音像
声音
建筑
商标
未注册™
注册ⓡ
商业秘密
经济间谍法
保密协议(NDA)
不需要公开部分内容
有效期长
许可
合同许可协议
开封生效许可协议
单机生效许可协议
云服务许可协议
进口/出口控制
计算机出口控制
加密技术出口控制
需要经过审查
隐私
美国隐私法
第四修正案
搜查\窃听
1974年隐私法案
仅适用于政府机构
1986年电子通信隐私法案
1994年通信执法协助法案
1996年经济间谍法案
1996年健康保险流通与责任法案(HIPAA)
私人医疗信息
2009年健康信息技术促进经济和临床健康法案(HITECH)
数据泄漏通知
1998年儿童在线隐私保护法
监护人检查
Gramm-Leach-Bliley法案
金融机构
2001年美国爱国者法案
执法机构和情报机构监控电子通信
家庭教育权利和隐私法案
学生信息以及监护人检查教育内容
身份盗用与侵占防治法
工作场所隐私
如果监控员工的通信,应确保没有隐含的隐私预期
雇佣合同中索命
登录框中提示
计算机或电话上提示
欧盟隐私法
隐私盾协议(Privacy Shield)
告知个人数据处理情况
提供免费和易用的纠纷解决方案
与美国商务部合作
维护数据完整性和目的限制
确保数据被转移给第三方的责任
执法行动的透明度
确保承诺在持有数据期间都有效
通用数据保护条例(GDPR)
范围广,所有收集欧盟居民信息的非欧盟组织
要求24小时内将严重的数据泄露情况通知官方机构
每个欧盟成员国建立集中化数据保护机构
规定个人可访问自己拥有的数据
根据个人要求促进服务提供商之间的个人信息传输
要求公司删除不再需要的个人信息
4.3 合规
PCIDSS
合同义务规定
安装和维护防火墙配置以保护持卡人数据
不要使用由供应商提供的默认系统密码和其他默认安全参数
保护存储的持卡人数据
在开放的公共网络加密传输持卡人数据
保护所有系统免受恶意软件攻击并定期更新杀毒软件
开发\维护安全系统和应用程序
基于业务的致其所需原则,限制对持卡人数据的访问
识别和验证对系统组件的访问
限制对持卡人数据的物理访问
跟踪和监控对网络资源和持卡人数据的所有访问
定期测试安全系统和流程
维护针对所有人员的信息安全策略
4.4 合同和采购
供应商安全性审查
2资产安全
第五章 保护资产安全
5.1 资产识别和分类
定义敏感数据
个人身份信息(Personally Identifiable Information,PII)
任何可以识别个人的信息
包括员工和客户的个人信息,在泄露时应该通知到个人
NIST(SP)800-122
任何可用于识别或追踪个人身份的信息
姓名
社会保险账号
出生日期
出生地点
母亲的娘家姓
生物识别记录
与个人有联系或可联系的其他信息
医疗
教育
金融
就业
受保护的健康信息(Protected Health Information,PHI)
与特定个人有关的任何健康信息
健康保险流通与责任法案(HIPAA)
由以下机构接受
卫生保健提供者
健康计划部门
卫生行政部门
雇主
人寿保险公司
学校
卫生保健信息交换所
涉及任何个人的
过去\现在或将来在身体方面\精神方面的健康状况,向个人提供的健康保健条款
过去\现在或将来为个人提供医疗保健而支付的费用
专有数据
任何有助于组织保持竞争优势的数据
开发的软件代码
产品的技术计划
内部流程
知识产权
商业秘密
定义数据分类
参照1.2 数据分级
数据分类都依据数据对组织的相对价值
分类也适用于硬件资产,包括处理或保存这些数据的任何计算系统或介质
定义资产分类
资产分类应与数据分类相匹配
确定数据的安全控制
DLP(Data leakage prevention,)数据泄露保护
厂商
Boldon James
TITUS
Sporion
身份和访问管理(IAM)安全控制确保只有经过授权的人才能访问资源
对于不同的数据类型以及安全级别,确定其安全要求
根据安全要求确定使用的控制措施
理解数据状态
静态数据
存储的数据
动态数据
传输中的数据
使用中的数据
内存或临时存储缓冲区中的数据
管理信息和资产
关键目标:防止数据泄露
标记敏感数据和资产
标记提供的主要信息为数据的类别
对数据进行标记
对处理数据的介质或设备进行标记
处理敏感信息和资产
介质在有效期内的安全传输(感觉描述的不只是传输)
制订政策确保人们知道如何处理敏感数据
存储敏感数据
任何敏感数据的价值都远大于保存敏感数据的介质的价值
敏感数据的加密提供额外的保护层
销毁敏感数据
不同安全级别的数据应该采用不同的销毁方式
NIST SP 800-88r1 介质净化指南
清理
清除
销毁
Sanitization(具体定义需要查看文档,净化应该指清除和销毁)
消除数据残留(Data Remanence)
数据残留是擦除后仍遗留在介质上的物理信息
处理方式
擦除(Erasing)
删除文件,删除磁盘中数据的索引
清理(Clearing)
删除后覆写所有存储单元(硬格式化)
清除(Purging)
多次重复清除,消磁(目的:复用介质)
消磁(Degaussing)
不建议,无法保证盘片中的数据完全被清除
不适用于光学CD\DVD\SSD
销毁(Destruction)
最安全
焚烧
粉碎
分解
化学溶解
任何净化过程执行后需要验证结果
确保适当的资产保留期
保留适用于数据或记录\保存敏感数据的介质\处理敏感数据的系统和访问敏感数据的人员
数据保护方法
用对称加密保护数据
AES
微软BitLocker\EFS(加密文件系统)
3DES
2被或3倍密钥
VISA 或万事达卡
BlowFish
Linux使用Bcrypt(基于BlowFish) 对密码加密
用传输加密保护数据
嗅探攻击
密钥协商过程中的嗅探
DH密钥协商
中间人攻击
身份鉴别
笔记:
身份盗窃资源中心(ITRC)定期跟踪数据泄露
www.idtheftcenter.org
数据泄露指未获授权的实体查阅和访问敏感数据
5.2 定义数据所有权
数据所有者(Data Owner)
对数据负有最终组织责任的人
通常是首席运营官CEO\总裁或部门主管DH
职责
建立适当使用和保护主体数据/信息的规则(行为规则-可接受的使用策略[Acceptable Use Policy])
数据分类,标记
向信息系统所有者提供有关信息所在系统的安全要求和安全控制的输入
决定谁有权访问信息系统,以及使用何种特权或访问权限
协助识别和评估信息的公共安全控制状况
资产所有者(通常与数据所有者为同一人)
拥有处理敏感数据的资产或系统的人员
职责
与信息所有者\系统管理员和功能终端用户协作开发系统安全计划
维护系统安全计划,确保系统按照约定的安全要求部署和运行
确保系统用户和支持人员接受适当的安全培训,如行为规则指导(或AUP)
在发生重大更改时更新系统安全计划
协助识别\执行和评估通用安全控制
确保系统被准确地标记,与数据所有者进行交互,以及当数据保存在系统中时,当数据在系统间传输时以及当数据被系统上的应用程序使用时是收到保护的
业务/任务所有者
项目经理或信息系统所有者
业务数据所有者可能为对应业务部门的负责人或者IT支持部门的负责人
按照数据保密性要求,是否应该由业务部门人员作为数据所有者更合适
数据使用者
通常,任何处理数据的系统都可以叫做数据使用者
GDPR中,数据使用者仅代表数据控制者处理个人数据(数据控制者是一个控制数据处理流程的人或实体)
假名
对数据中的个体标识信息进行替换,使得无法通过数据确定该所有者的真实身份
GDPR 定义:用人为标识符替换数据
匿名
对数据进行处理,使得无法通过数据或通过间接的综合分析方式确定特定数据的所有者(可以确定到一个范围)
即使删除了个人相关信息,仍可能结合其他数据推理出个人数据
隐私保护原则
通知
组织必须告知个人收集和使用信息的目的
选择
组织赋予个人选择退出的权利
向前传输
组织只能将数据传输给符合以上的“通知”和“选择“原则的组织
安全
组织必须采取合理的预防措施来保护个人数据
数据完整性和仅收集与自己相关的数据
组织仅可收集为达到”通知“原则中的目的苏旭的数据,而不允许收集其他数据;组织还负责采取合理措施确保个人数据准确\完整和最新
可访问
个人必须能访问组织持有的个人信息,当个人信息不准确时,个人还必须能纠正\修改或删除信息
方法\强化和责任
组织必须建立一套机制以确保其所有操作都租售隐私保护原则,并建立投诉机制以处理来自个人的投诉
管理员
负责授予人员适当的访问权限, 管理员未必具有全部管理员全部权限和特权,但具备分配权限的能力
管理员根据最小特权\和知其所需原则分配权限
通常使用基于角色的访问控制模型分配权限
将用户添加到组, 然后向这些组授予权限
托管员
数据所有者通常将日常任务委托给托管员, 托管员通过正确存储和正确保护数据来帮助保护数据的完整性和安全性
用户
用户是通过计算机系统访问数据以完成工作任务的人,用户只能访问执行工作任务所需的数据
保护隐私
PII(personal identical information)and PHI(protected Healthy information)
法律要求组织公开收集了那些数据,以及收集数据的原因,如何使用这些数据等
组织应遵守在线隐私政策
美国HIPAA隐私规则
加拿大-个人信息保护和电子文件法
欧盟-GPDR
笔记:
确保员工知道谁拥有信息和资产, 所有者对保护数据和资产富有主要责任
5.3 使用安全基线
范围界定和按需定制
范围界定:根据基线安全控制列表选择适合所保护对象的安全控制方法(取其精华)
按需定制:修改基线内的安全控制列表, 使它们与组织要求的任务保持一致(因地制宜)
选择标准
根据业务类型\所处地域等
NISP SP 800-53
笔记:
安全基线提供了一个基点并确保了最低安全标准
组织经常使用的安全基线是系统镜像
3安全架构和工程
第六章 密码学和对称密钥算法
6.1 密码学的历史里程碑
凯撒密码
右移3
美国南北战争
替换-移位组合
Ultra与Enigma
图灵破德国
6.2 密码学基本知识
密码学的目标
保密性
确保数据在静止\传输和使用等三种不同状态下始终保持私密
保护的数据类型
静止数据
运动中的数据
使用中的数据(内存)
完整性
确保数据没有被人未经授权更改
身份验证
身份验证用于验证系统用户所声称的身份
挑战应答
不可否认性
密码学的概念
柯克霍夫假设
只要密钥不被别人掌握,即使密码系统公开也应该是安全的
密钥空间大小影响安全强度(暴力破解)
密码数学
布尔数学
逻辑运算
与
或
非
异或
AxorBXorA=B
模函数
取余
单向函数
公钥加密系统全都建立在某种单向函数的基础之上
Nonce
随机数
例如初始化向量(IV)
零知识证明
分割知识
密钥分割
N分之M控制
代价函数
从耗费成本或时间的角度测量破解一个密码系统需要付出的努力
密码
代码与密码
代码作用于单词和短语,密码作用于字符和位
移位密码
替换密码
单次密本
每个单次密本只使用一次
密钥应该随机生成
密钥必须至少与将被加密的消息一样长(密钥的每个字符只用于给消息中的一个字符编码)
运动密钥密码
书密码
块密码
流密码
混淆和扩散
替换-混淆
移位-扩散
6.3 现代密码学
密码密钥
密钥越长,破解越难
对称密钥算法
弱点:
密钥分发(带外交换)
对称密钥加密法不提供不可否认性
算法缺乏可伸缩性
群体太大,实现一一保密时需要共享的密钥数量太多
密钥必须经常重新生成
参与者离开群体时需要重新生成密钥
优势:
计算速度快
非对称密钥算法
优点:
添加新用户时只需要生成一个公钥-私钥对
便于从非对称系统移除用户
只需要在用户私钥失信的情况下重新生成密钥
非对称密钥加密可提供完整性\身份验证和不可否认性
密钥分发简便易行
不需要预先建立通信关联
散列算法
6.4 对称密码
数据加密标准
DES
56位密钥
64位明密文块
16轮加密
工作模式
电子密码本(ECB)
密码快链接(CBC)
错误传播
密码反馈(CFB)
输出反馈(OFB)
错误不传播
计数器(CTR)
三重DES
四个版本
DES-EEE3
E(K1,E(K2,E(K3,P)))
DES-EDE3
E(K1,D(K2,E(K3,P)))
DES-EEE2
E(K1,E(K2,E(K1,P)))
DES-EDE2
E(K1,D(K2,E(K1,P)))
国际数据加密算法(IEDA)
64位明密文块
128位密钥长度
分解为52个16位自密钥
工作模式
5种与,DES相同
Blowfish
64位明密文块
密钥长度可变
Skipjack
64位明密文块
密钥长度80位
美国政府推荐密钥托管
RIvsestCipher(RC5)
块大小可变,32/64/128
密钥长度0-2040
高级加密标准AES
三种密钥强度
128位
10轮加密
192位
12轮加密
256位
14轮加密
文本块大小
AES规定128位
Rijndael允许与密钥长度相同
Twofish算法
文本块大小128位
密钥最长256位
新技术
预白化处理
第1轮加密前用一个单独的自密钥对明文进行异或运算
白化后处理
第16轮加密后执行同样的运算
对称密钥管理
创建和分发对称密钥
线下分发
公钥加密
Diffie-Hellman密钥交换算法
基于离散对数问题
存储和销毁对称密钥
密钥和数据隔离
密钥知识分割
密钥托管和恢复
公平密码系统
密钥分割, 分别托管
受托加密标准
?
6.5 密码生命周期
所有密码系统的使用寿命都是有限的
管制措施
规定可接受的密码算法
根据被传输信息的敏感性识别可与每种算法配套使用的可接受密钥长度
枚举可用的安全交易协议(TLS
笔记:
联邦信息处理标准(FISP)140-2“密码模块的安全要求”定义了可使用的密码模块
第七章 PKI和密码应用
7.1 非对称密码
公钥和私钥
公钥系统使用的秘钥必须比私钥系统所用的秘钥更长,才能产生同等强度的密码系统
RSA
秘钥生成
选择两个大素数p和q
计算这两个数的乘积n=p*q
挑选一个满足以下两项要求的数e
e小于n
e和(p-1)(q-1)是互素的
找到一个数d,使(ed-1)mod(p-1)(q-1)=1
把e和n作为公钥分发给密码系统的所有用户, d作为私钥保存
EI Gamal
加密的任何消息都加长了一倍, 不适合加密长消息或窄带宽通讯
椭圆曲线 ECC
任何椭圆曲线都可以定义为
y^2=x^3+ax+b
椭圆曲线上的离散对数问题
已知基点以及倍点求倍数
密码强度
1024位的RSA==160位ECC
7.2 散列函数
散列函数5个基本要求
输入可以是任何长度
输出有一个固定长度
为任何输入计算散列函数都相对容易
散列函数是单向的
很难根据输出确定输入
散列函数无冲突
几乎不可能找到可以产生相同散列值的两条消息
SHA
SHA1
512位块
输出160
SHA2
SHA256
512位块
输出256
SH224
512位块
输出224
SHA512
1024位块
输出512
SHA384
1024位块
输出384
SHA3
Keccak
海绵结构
MD2
不单向
输出128
MD4
有冲突
输出128
MD5
有冲突
输出128
HAVAL
1024位块
输出128\160\192\224\256
7.3 数字签名
HMAC
数字签名标准
FIPS 186-4
DSA
ANSI X9.31
RSA
ANSI X9.62
DSA
Schnorr
Nyberg-Rueppel
主要目的
不可否认性
采用共享对称密钥无法实现
完整性
7.4 公钥基础设施
证书
X.509
证书遵守的X.509版本
序号
证书创建者编制
签名算法标识符
规定了发证机构给证书内容数字签名时采用的技术
发证者名称
标识签发证书的发证机构
有效期
规定了证书保持有效期的日期和时间-起始日期和时间以及终止日期和时间
主体名称
含拥有证书所含公钥的实体的可识别名
主体的公钥
证书拥有者用来建立安全通信的实际公钥
发证机构(CA)
注册机构(RA)
CPV(证书路径验证)
证书的生成和销毁
注册
向CA提交申请和个人资料
验证
对照CRL(证书注销列表)
OCSP(在线证书状态协议)
注销
7.5 非对称密钥管理
密钥生成
密钥分发
密钥使用
密钥存储
密钥销毁
密钥备份
硬件安全模块(HSM)
云供应商IaaS服务
传统硬件
7.6 应用密码学
便携设备
可信平台模块(TPM, Trusted Platform Module)
Windows
BitLocker
Encrypting File System(EFS)
Mac
FileValut
Win/Mac/Linux
VeraCrypt
电子邮件
PGP(Pretty Good Privacy)
S/MIME(Secure/Multipurpose Internet Mail Extensions)
通过X.509证书交换密码密钥
公钥用于数字签名以及交换对称密钥
支持RSA-AES/3DES
Web应用程序
SSL
TLS
数字版权管理(Digital Right Management, DRM)
隐写术和水印
音乐
电影
高带宽数字内容保护(HDCP)
高级访问内容系统(AACS)
电子书
DRM密钥存在用户终端中
电子游戏
云服务许可证
文档
指定阅读器
联网
线路加密
链路加密
安全通信隧道
所有数据(包括消息报文头\消息尾部\地址和路由数据)都被加密
转发时需要重组包
防止安全端间监听(隔离)
端到端加密
独立于链路加密
不加密报文头和路由数据
转发时不需重组包
容易被嗅探监听
典型应用SSH
IPsec
通常与L2TP(第二层隧道协议配对使用)
提供加密\访问控制\不可否认性\消息鉴别
数据报类型
身份验证头(AH)
完整性和不可否认性\鉴别和访问控制
封装安全载荷(ESP)
保密性和完整性\加密和有限鉴别
通信模式
传输模式
只加密数据包载荷
对等通讯
隧道模式
加密整个数据报
网关到网关
安全关联SA
安全策略及参数
鉴别通信伙伴
创建和管理安全关联
提供密钥生成机制
低于威胁(重放和拒绝服务)
ISAKMP
协商SA
无线联网
WEP(有线等效保密)
不安全
WPA(WiFi受保护访问)
AES
IEEE 802.1x
需要Supplicant软件
7.7 密码攻击
分析攻击
算法逻辑
执行攻击
代码分析
统计攻击
统计学弱点
蛮力攻击
枚举攻击
无缺陷协议蛮力攻击与实时间成正比/密钥长一位时间长一倍
频率分析和唯密文攻击
已知明文
选择密文
能够解密密文消息中被选中的部分
选择明文
中间相遇
使用所有可能的秘钥K1加密明文
使用所有可能的秘钥K2解密密文
匹配K1以及K2
中间人
生日
重放
笔记
第八章 安全模型\设计和能力的原则
8.1 使用安全设计原则实施和管理工程过程
客体和主体
主体
进行访问操作的对象
客体
被访问的对象
信任传递
A信任B且B信任C, 那么A信任C
信任传递可能会出现越权
封闭系统和开放系统
封闭系统使用组件以及技术为专用
安全性更高
不遵循行业标准
开放系统使用开放的组件
遵循行业标准
用于确保保密性\完整性和可用性的技术
限制
限制不同主体的行为
进程的读写操作
界限
对于主体的限制的集合
进程的授权级别(用户/内核), 每个进程的内存逻辑区域
隔离
被限制的不同主体之间的关系
进程的任何行为仅影响与其关联的内存和资源
控制
主体只能访问经过授权的客体
控制使用访问规则(Control)来限制主体对客体的访问
强制访问控制(Mandatory Access Control, MAC)
主体和客体拥有静态属性,根据属性匹配访问规则
针对客体的安全属性
安全令牌(Token)
能力(Capability)列表
为每个客体单独维护的安全属性信息
安全标签(Label)
客体的永久性属性标签,
防篡改
自主访问控制(Discretionary Access Control,DAC)
在一定范围内, 自主访问控制允许主体根据需要定义要访问的客体列表
信任与保证
可信系统
所有保护机制协同工作的系统
信任可以通过实现特定的安全功能构建到系统中
控制措施
保证
满足安全需求的可信程度
保证是在真实情况下对这些安全功能的可靠性和可用性的评估
测评(应考虑系统个性化)
一旦将安全性集成到设计中, 就需要对其进行设计\实现\测试\审核\评估\认证\认可(控制措施的PDCA)
8.2 理解安全模型的基本概念
模型-提供了一组明确规则去实例化安全策略
可信计算基(Trusted Computing Base,TCB)
硬件\软件和控件的组合
确保系统在所有情况下都能正常运行-控制对系统(包含TCB)的访问
安全边界(Security Perimeter)
确保TCB与计算机系统的其余元件之间不会发生不安全的通信或交互
可行路径与系统其余部分进行通讯的通道
参考监视器和内核
参考监视器(功能性组件)
访问控制的执行者
根据所设计的安全模型执行访问控制或授权
根据其保护的资源的安全属性
安全内核(实现参考监视器的实际组件集合)
启动适当的组件以执行参考监视器功能并抵御所有已知攻击
通过可信路径与主体通讯
状态机模型
有限状态机(Finite State Machine, FSM)
下一个状态=F(输入,当前状态)
输出=F(输入,当前状态)
给定一个输入和一个状态,FSM会转换到另一个状态并可能产生一个输出
状态是特定时刻系统的快照
安全状态机
所有的状态都是安全可测的
信息流模型
基于状态机模型
Bell-LaPadula
防止信息从高安全级别流向较低安全级别
Biba
防止信息从较低安全级别流向较高安全级别
信息流模型旨在防止未经授权\不安全或受限制的信息流
信息流指示对象从一个时间点的状态到另一个时间点的另一个状态的转换
通过明确排除(定义白名单)所有非定义流动路径来解决隐蔽通道问题
非干扰模型
基于信息流模型
关注较高安全级别的主体的动作如何影响系统状态或较低安全级别的主体的动作
主体A(高级别)的行为不应影响主体B(低级别)的行为,甚至不应引起主体B的注意
可能会产生信息泄露
可能会影响主体B的安全状态
组合理论
多个系统之间的输入和输出如何相互关联
级联(Cascading)
一个系统的输入来自另一个系统的输出
反馈(Feedback)
一个系统向另一个系统提供输入,该系统通过颠倒这些角色进行互动(即系统A首先为系统B提供输入,然后系统B向系统A提供输入)
连接(Hookup)
一个系统将输入发送到另一个系统,但也将输入发送到外部实体
Take-Grant模型
具有授权的主体可将他们拥有的任何权限授予另一个主体或另一个客体
具有获取权限的主体可以从另一个主体获取权限
通过规则控制权限
获取规则
允许主体获取客体的权限
授予规则
允许主体向客体授予权限
创建规则
允许主体创建新权限
删除规则
允许主体删除其拥有的权限
访问控制矩阵
ACL与客体绑定,列出了每个主体可执行的有效操作
能力列表与主体相关联,列出可对每个客体执行的有效操作
实现访问控制矩阵模型
构建可以创建和管理主体和客体列表的环境
编写一个函数,他的输入可以是任何类型的对象,函数可以返回与此对象相关的类型(客体分类, 主体分角色)
Bell-LaPadula模型
具有任何级别许可的主体可以访问其许可级别或以下级别的资源
解决保密性问题,未解决完整性或可用性方面的问题
简单安全属性(Simple Security Property)
规定主体不能读取较高敏感度级别的信息
不准向上读
安全属性(* Security Property)
规定主体不能讲信息写入位于较低敏感度级别的客体
不准向下写
自由安全属性(Discretionary Security Property)
规定系统使用访问矩阵执行自主访问控制
仅在知其所需的基础上授予访问权限
受信任的主体
不受*安全属性的约束
主体保证即使可能,也不会违反安全规则传输信息
对客体执行降级或重新分级时,需要此机制
Biba模型
简单完整性属性(Simple Integrity Property)
规定主体不能读取较低完整性级别的客体
不准向下读
防止低级别数据污染高级别环境
完整性属性(* Integrity Property)
规定主体不能修改更高完整性级别的对象
不准向上写
简单属性都为读操作, *属性都为写操作
简单属性和*属性都是定义不应该做什么
解决
防止文授权的主体修改客体
防止授权主体对客体进行未授权的修改
保护内部和外部客体的一致性
Clark-Wilson模型
基于访问控制三元组
主体无法直接访问客体
客体只能通过程序访问
标准格式的事务和职责分离
受约束数据项(Constrained Data Item, CDI)
完整性收到安全模型保护的任何数据项
无约束数据项(Unconstrained Data Item, UDI)
不受安全模型控制的任何数据项, 任何输入但未验证的数据或任何输出, 将被视为无约束数据项
完整性验证过程(Integrity Verification Procedure, IVP)
扫描数据项并确认其完整性的过程
转换过程(Transformation Procedures, TP)
唯一允许修改CDI的过程
Brewer and Nash模型
基于用户先前的活动而动态改变, 动态更新冲突类的成员和定义
创建了一类数据, 该数据定义了哪些安全域存在潜在的冲突, 对于能够访问某个属于特定冲突类的安全域的任何主体, 组织他们访问属于相同冲突类的其他任何安全域
特殊样例
管理员对数据项操作时, 对冲突数据项权限暂时停止, 操作完成后释放完全控制权
Goguen-Meseguer模型
非干涉概念理论
基于预先确定集合或域(主体可访问的客体列表))
基于自动化理论和域隔离
仅允许主体对预定客体执行预定动作
一个主体域的成员不能干扰另一个主体域的成员, 主体不能干扰彼此的活动
Sutherland模型
基于定义一组系统状态\初始状态以及状态转换的思想;通过仅使用这些预定的安全状态来保持完整性并且阻止干扰
防止隐蔽通道被用来影响过程或活动的结果
Graham-Denning模型
专注于主体和客体的安全创建与删除
八个主要规则
安全地创建客体
安全地创建主体
安全地删除客体
安全地删除主体
安全地提供读取访问权限
安全地提供授权访问权限
安全地提供删除访问权限
安全地提供传输访问权限
主体针对一组客体的权限定义在访问控制矩阵中
其他
LBAC(lattice based access control)
Bell-LaPadula与Biba 依赖于主体和客体的分类标签
8.3 基于系统安全需求选择控制措施
彩虹系列(弃用)
橘皮书
在TCSEC中,功能和安全保证是组合在一起的
TESEC适用的是不联网的独立系统
红皮书(TCSEC的可信网络解读)
联网的系统
增加的功能
保密性和完整性的等级
解决通信完整性问题
解决拒绝服务保护问题
解决危害(即入侵)预防和保护
仅限于标记为“使用单一鉴别的集中式网络”的有限类别的网络
仅使用四个评级:无(None)\C1(最小,Minimum)\C2(一般,Fair)\B2(好,Good)
绿皮书(美国国防部密码管理指南)
TCSEC分类和所需功能(弃用)
分类
A-已验证保护, 最安全
每个阶段的设计都需要记录\评估和验证;在开发和部署的所有步骤中都非常关注安全
B-强制保护
B1-标签化安全
通过匹配主体和客体的标签并比较其权限兼容性来授予访问权限
为保存已分类数据提供了足够的安全性
B2-结构化保护
确保不存在隐蔽通道(权限传递)
操作员和管理员职责分离
进程也要保持隔离
B3-安全域
明确地定义管理功能, 并与其他用户使用的功能分开
减少未使用或额外代码中的漏洞暴漏的风险
只允许非常有限的主体/客体访问集合
基于Bell-LaPadula模型
强制访问控制基于安全标签
C-自主保护
C1-自主保护
提供基本的访问控制, 通过ID/或组实现控制访问
C2-受控访问保护
用户只有经过单独识别后才能访问客体;C2还必须强制执行介质清理;强制执行严格的登录过程
D-最小保护, 用于已被评估但达不到其他类别的要求的系统
ITSEC(弃用)
系统的功能评级表明系统执行所有必要的功能与其设计和预期目标的符合程度
保证等级表示系统以一致的方式正常工作的可信程度
TCSEC与ITSEC对比
TCSEC关注保密性,ITSEC还关注完整性和可用性
ITSEC不依赖于TCB的概念, 也不要求在TCB(Trusted Computing Base, 通过将用户和数据分离)中隔离系统的安全组件
TCSEC在任何更改后要求重新评估, ITSEC仅记录到评估列表中
通用准则
IT领域通用准则认证的认可协议
CC
ISO15408
基于二要素
保护范畴(Protection Profile)
客户安全需求
安全目标(Security Targets)
厂商安全措施
评估保证级别(Evaluation Assurance Level, EAL)
将PP与来自所选供应商的TOE中的各种ST进行比较
结构
内容
简介和通用模型
评估过程文档
全部安全功能要求(更新)
安全审计
通信安全
安全性密码学支持
用户数据保护
身份标识
身份验证
安全管理
TOE安全功能(TSF)
资源利用
系统访问
可信路径
全部安全保障(更新)
配置管理
交付和运营
开发
指导文档
生命周期支持
保证测试
漏洞评估
级别
EAL1
功能测试
EAL2
结构测试
EAL3
系统测试并检查
EAL4
系统地设计\测试和评审
EAL5
半正式设计和测试
EAL6
半正式验证\设计和测试
EAL7
正式验证\设计和测试
缺点
并不确保用户对数据的操作方式也是安全的
不包括现场安全评估
没有解决对电磁辐射的控制
没有明确规定对加密算法强度进行评级的标准
行业和国际安全实施指南
PCIDSS
ISO
认证和鉴定
正式的评估过程
认证和鉴定流程用于评估系统的安全性
认证(Certification)
确当特定设计和实施满足一组特定安全要求的成都
认证仅对特定环境和配置中的系统有效, 任何更改都可能导致认证失效
鉴定(Accreditation)
组织的管理层将系统的安全功能与组织的需求进行比较
安全策略必须说明安全系统的要求
鉴定是指审批机构(DAA)正式声明:IT系统被批准在特定安全模式下使用规定的一套保障措施在可接受的风险水平下运行
对比:
认证通常是对安全性的内部验证
鉴定通常由第三方测试服务机构执行, 并且结果可信度更高,范围更广
安全策略中应说明在哪些情况下需要重新进行认证
认证和鉴定系统
RMF 风险管理框架
CNSSP 美国国家安全系统委员会策略
四个阶段
定义
涉及指派适当的项目人员\任务需求的文档,以及注册\协商和创建系统安全授权协议(SSAA),用于指导整个认证和鉴定过程
验证
包括SSAA的细化\系统开发活动和认证分析
确认
包括进一步细化SSAA\对集成系统进行认证评估\向DA提出建议以及DAA的鉴定决定
鉴定后
包括SSAA的维护\系统操作\变更管理和合规性验证
SSAA授权的三种类型
NIACAP
对于系统的鉴定
将评估主要的应用程序或一般支撑系统
普通应用?
对于场所的鉴定
将评估特定的独立位置的应用程序和系统
单一机房?
对于类型的鉴定
将评估分不到多个不同位置的应用程序和系统
云?多场所?
采购前系统评估
对系统进行测试和技术评估, 以确保系统的安全功能复合其预期使用的标准
系统应对其设计和安全标准及其实际能力和性能进行正式比较, 负责安全性和准确性的人员必须决定是否接受它们还是拒绝它们, 或者对标准进行修改
通常会聘请可信的第三方进行此类评估, 测试最重要的结果是他们的批准印章
8.4 理解信息系统的安全功能
内存保护
内存保护是核心安全组件,在操作系统中必须设计和实现;用于防止活动的进程与不是专门指派或分配给它的内存区域进行交互
虚拟化
在单一主机的内存中运行一个或多个操作系统
可信平台模块(Trusted Platform Module,TPM)
用于存储和处理加密密钥
是主板上的加密处理器芯片
硬件安全模块HSM
HSM通常是附加的适配器或外围设备,或是TCP/IP网络设备
接口
在应用程序中实现受约束的接口目的是限制或约束已授权和未授权用户的操作
容错
指系统遭受故障后仍能继续运行的能力
容错通过添加冗余组实现
避免单点故障
笔记
在系统开发时加入安全性比在已有系统上添加安全性更容易(安全性引入应该靠前)
当安全性在后期引入时, 有两种风险
疏忽
可靠性降低
成本增加(不一定)
隔离的进程之间可以通过操作系统提供的中间服务进行共享资源
变换往往是安全的对立面
但是经常变化的更难以被研究分析
cissp考试侧重于为什么安全 而不是怎么做到安全
第九章 安全漏洞\威胁和对策
9.1 评估和缓解安全漏洞
硬件
处理器(Central Process Unit)
执行类型(Execution Types)
多任务
操作系统通过仔细构造发送到CPU的执行命令序列,实现多个任务并行执行
多核
一个CPU包含多个内核,可以执行单独的指令流水线
多处理
SMP(Symmetric Multiprocessing)
处理器被同等对待,共享操作系统\总线和内存资源
具有多个CPU的系统, 利用多个处理器的处理能力来完成多线程应用程序的执行
MMP(Massively Parallel Processing)
由百千个处理器组成\每个处理器都有自己的操作系统\内存\总线;将庞大\复杂的计算密集任务进行分工
多程序
多程序设计是一种批处理或序列化多个进程的方法,当一个进程因等待外设而停止时,其状态将被保存,并且下一个进程将开始处理
多程序设计通常在大型机上使用,目前已经过时,且需要编写专门的软件
多线程
多线程允许在单一进程中执行多个并发任务
用于活动之间频繁上下文切换小伙过多开销,且效率低的应用
多任务处理多个任务时占用多个进程
处理类型
单一状态
单状态系统需要使用策略机制来管理不同级别的信息
使保护系统上正在处理的信息的责任从硬件和操作系统转移到控制访问系统的系统管理员身上
多状态
使用安全机制同时处理多个安全级别,防止信息跨越不同的安全级别
保护机制
运行时环境
操作系统和任何可能处于活动状态的应用程序的组合
运行中的计算机在运行时实现和处理安全性的方式为保护机制的集合
保护环
环模型的本质在于优先级\特权和内存分段
4段环
监管或特权模式
环0
内核\最高级别
环1
其他OS组件:作为各种任务请求\执行的操作\进程切换等而进出内存的部分
环2
驱动程序\协议等
用户模式
环3
用户级程序和应用程序
操作状态
时间片
进程占用处理器的时间单元
就绪状态
进程准备在被调度执行时立刻恢复或开始处理
等待状态
等待也可以被理解为等待某种资源,也成为阻塞状态
运行状态
问题状态,应用可能会运行出错/运行中的进程在CPU上执行并持续运行,直到完成\时间片到期或由于某种原因而被阻塞
监管状态
当进程必须执行需要大于问题状态特权集的特权操作时,才使用监督状态,包括修改系统配置\安装设备驱动程序或修改安全设置
停止状态
当进程完成或必须终止时(发生错误\需要的资源不可用或无法满足资源请求);操作系统将收回分配给该进程的所有内存和其他资源,并根据需要重新分配给其他进程使用
安全模式
前提
分层的强制访问控制(MAC)环境
对可以访问计算机控制台的主体的完全物理控制
对能进入计算机控制台同一房间的主体的完全物理控制
专用模式(单一状态)
每个用户必须具有允许访问系统处理的所有信息的安全许可
每个用户必须具有系统处理的所有信息的访问批准
每个用户必须有对系统处理的所有信息具有“知其所需”权限
系统高级模式
与专用模式区别
用户不必对计算设备上处理的所有信息都具有“知其所需”权限;
分隔模式
与高级模式区别
分隔模式的用户不一定具有对系统上所有信息的访问批准
都可以处理来自多个级别的数据
多级模式
不需要系统所处理信息的全部许可
仅要求对要访问的信息有访问批准
支持同时处理多等级数据
见要求对要访问的信息有知其所需
操作模式
用户模式
用户模式只允许执行全部指令集中的部分指令
用户模式内的进程在称为虚拟机(VM)的受控环境中执行
VM相互隔离且具有自己的内存地址空间
特权模式
与用户的角色无关(是否是管理员)
存储器
只读存储器(ROM)
可编程只读存储器(PROM)
可擦除可编程只读存储器(EPROM)
电可擦除可编程只读存储器(EEPROM)
随机存取存储器(RAM)
实际存储器
高速缓存RAM(cache)
分类
静态RAM
触发器开关
动态RAM/需要定时刷新
电容
寄存器
存储器寻址
寄存器寻址
立即寻址
间接寻址
基址+偏移量寻址
辅助存储器
硬盘\闪存\光盘
虚拟内存
存储器的安全问题
电荷残留
随机存取与顺序存取
存储介质的安全
数据残留(净化)
固态硬盘SSD损耗均衡-存在数据副本
防丢失-全盘加密
移动介质加密
留存时间限制
输入和输出设备
显示器
肩窥
辐射
打印机
键盘/鼠标
窃听
声波
调制解调器
固件
BIOS和UEFI
基本输入/输出系统(Basic Input/Output System)包含独立于操作系统的原始指令,用于启动计算机并从磁盘加载操作系统
统一可扩展固件接口(Unified Extensible Firmware Interface)
Rom Stage
无内存,无C语言运行需要的栈空间;汇编语言直接在ROM上运行,临时空间Cache 作为RAM
开机自检(Power-On Self-Test,POST)
Ram Stage
C语言初始化芯片组,CPU,主板模块等
Find something to boot Stage
枚举设备,发现启动设备,启动设备
BIOS和UEFI提供了整个主板\包括主板上外插设备的的软件抽象;对操作系统提供统一的抽象层
ARM架构需要自己写BSP使得安卓系统对自己的硬件设备兼容
硬件相关性
嵌入式系统的硬件初始化
片级初始化
纯硬件的初始化过程,把嵌入式微处理器从上电的默认状态逐步设置成系统所要求的工作状态
系统初始化
包含软硬件两部分在内的初始化过程,为随后的系统初始化和应用程序建立硬件和软件的运行环境
操作系统相关性
设计硬件相关的设备驱动
设备固件
许多硬件设备(打印机\调制解调器等)的迷你操作系统
9.2 基于客户端的系统
applet
Java applet
沙箱
ActiveX控件
Visual Basic\C\C++\Java
代码由服务器下发到浏览器(客户端)执行
本地缓存
ARP中毒是建立中间人攻击的一种方法
DNS缓存中毒是执行中间人攻击的另一种方法
修改HOST文件中的条目
DNS缓存服务器攻击
DNS查询欺骗
实施DNS系统拆分区分内外部DNS数据
Internet文件缓存
9.3 基于服务端的系统
数据流是进程之间\设备之间\或通信通道之间的数据移动
9.4 数据库系统安全
聚合(Aggregation)
通过收集大量较低安全级别或较低价值数据,组合生成具有更高安全级别或有价值的数据项
推理(inference)
数据挖掘和数据仓库
数据挖掘活动产生元数据,元数据是关于数据的数据或关于信息的数据
数据分析
大规模并行数据系统
AMP/SMP/MPP
9.5 分布式系统和端点安全
基于云的系统和云计算
虚拟机管理系统
类型1 没有主机操作系统,虚拟机管理程序直接安装到通常主机操作系统安装的硬件上
类型2 虚拟机管理程序是托管管理程序,在硬件上安装一个标准的常规OS,然后将虚拟机管理程序作为一个软件应用程序安装;常用于桌面部署
基础设施
PssS
SaaS
IaaS
SECaaS
安全即服务,通常实现为不需要专用本地硬件的纯软件安全组件;
云服务部署
私有云
公有云
混合云
社区云
社区云是由一组哦那个胡或组织维护\使用和支付用于利益共享的云环境
云解决方案通常具有较低的前期成本\较低的维护成本\供应商维护的安全性和可扩展的资源,并且通常可从任何地方(通过互联网)获得高级别的正常运行时间和可用性;但云解决方案不允许客户控制操作系统和软件(如更新和配置变更),提供最小的定制,没有互联网连接时通常无法访问;此外,云提供上的安全策略可能与组织的安全策略不匹配
不太符合目前的现状
网格计算
空闲资源分布式处理
计算任务需要下载与上传
有中央管理系统管理任务
对等网络(Peer to Peer)
可在点对点之间共享任务和工作负载,类似于网格计算
P2P没有中央管理系统,其提供的任务通常是实时的
9.6 物联网
访问控制及加密
环境控制
供暖\通风\空调(Heating,Ventilation,Air Conditioning,HVAC)
烟雾探测\门自动化\人员和资产跟中,消耗品库存管理\自动重新排序
9.7 工业控制系统(Industrial Control System,ICS)
分布式控制系统(DCS)
可编程逻辑控制器(PLC)
监控和数据采集(SCADA)
9.8 评估和缓解基于Web系统的漏洞
限制账户权限
执行输入验证
9.9 评估和缓解移动系统的漏洞
设备安全
全设备加密
存储加密
通话加密
远程擦除
锁定(Lockout)
锁屏
GPS
应用程序控制
存储分隔
资产跟踪
库存控制
移动设备管理
设备访问控制
可移动存储
关闭不使用的功能
应用安全
密钥管理
凭据管理
身份验证
地理位置标记
加密
应用白名单
BYOD关注点
BYOD可以提高员工满意度,但会增加组织的安全风险
其他形式
COPE(Company-Owned,Personally Enabled)
CYOD(Chosse Your Own Device)
VDI(Virtual Desktop Infrastructure)
VMI(Virtual Mobile Infrastructure)
问题点
数据所有权
所有权支持(服务支持)
补丁管理
反病毒管理
取证
隐私
入职/离职(On-boarding/Off-boarding)
遵守公司策略
用户接受度
架构/基础设施考虑
法律问题
可接受的使用策略
机载摄像头/视频
9.10 评估和缓解嵌入式设备和信息物理系统的漏洞
嵌入式系统和静态系统的示例
嵌入式系统通常作为大系统的一部分而实现,围绕一组有限的特定功能设计
静态系统是一组不变的条件\事件和环境;
静态IT环境是任何旨在保持不被用户和管理员改变的系统;目标是防止(或减少)用户变更降低安全性或影响功能操作的可能性
保护嵌入式和静态系统的方法
网络分段
安全域
应用防火墙
手动更新
固件版本控制
包装器
Wrappers用于封装或包含其他内容,包括完整性和身份验证特性
监控
控制冗余和多样性
纵深防御,多层狙击
9.11 基本安全保护机制
技术机制
分层
级别,层,环, 具有单一特征的客体的集合
层与层之间的通信只能通过定义明确的特定接口进行,以提供必要的安全性
所有来自外部(不太敏感)层的入站请求在被允许之前都要经过严格的身份验证和授权检查
内层既不知道也不依赖于外层
任何一对层之间无论存在何种安全关系,都不能篡改另一层
如果内层的动作影响到外层,外层可能会猜测出内层的动作. 造成数据泄露
外层不能违反或覆盖内层强制执行的任何安全策略
抽象
用户只需要知道使用对象的正确语法以及作为结果返回的数据类型(例如:系统调用)
访问控制和操作权限被分配给对象组(角色)而不是基于每个对象(用户)
数据隐藏
确保在一个安全级别存在的数据对于以不同安全级别运行的金城是不可见的
主体与客体存在于不同的安全容器中
进程隔离
进程隔离要求操作系统为每个进程的指令和数据提供单独的内存空间
可以防止未经授权的数据访问
可以保护进程的完整性
硬件分隔
使用物理硬件阻止不同进程/安全级别的信息访问
安全策略和计算机架构
安全策略告知和指导特定系统的设计\开发\实现\测试和维护
定义了一组策略确定系统应该如何管理\保护和分发敏感信息的规则\实践和过程
在系统开发时, 应该设计\构建\实施和测试安全策略
策略机制
最小特权原则
用户模式应用使用API请求监督模式服务
特权分离
建立在最小特权原则之上
每种类型的特权操作都有不同的权限
防止在分配权限和工作任务时发生利益冲突
问责制
对特权功能进行个人问责的物理设备(纸笔\不可修改的日志)
9.12 常见的架构缺陷和安全问题
隐蔽通道
时间隐蔽通道
存储隐蔽通道
基于设计或编码缺陷的攻击和安全问题
可信恢复
系统故障恢复过程中的安全
输入和参数检查
缓冲区溢出
维护后门和特权程序
Linux 系统中root 所有的其他成员可写的脚本,(s);可以以root 权限执行
增量攻击
小数据量持续篡改
小额手续费盗取
编程
计时\状态改变和通信中断
TOCTOU攻击
竞争条件攻击
通信中断
攻击针对的是时间\数据流控制和从一个系统状态到另一个系统状态的转换
技术和过程集成
新系统/技术集成测试审查
电磁辐射
法拉第笼
干扰或噪音发生器和控制区
笔记
系统越复杂,它提供的保证就越少
任何安全评估都应从侦察或信息收集开始
第十章 物理安全要求
10.1 站点与设施设计的安全原则
安全设施计划
安全设施计划需要列出组织的安全需求,并突出保障安全所使用的方法及技术
关键路径分析是一项系统性工作,用于找出关键应用\流程\运营以及所有必要支撑元素间的关系
技术融合指的是各种技术\解决方案\实用程序及系统,随事件的推移而发展\合并的趋势;
这通常会造成多个系统执行相似或冗余的任务,或是一个系统取代另一个系统的特殊功能;(可能会产生单点故障)
信息安全人员应参与站点与实施的涉及
站点选择
站点的选择应该综合考虑成本\位置及规模;优先考虑安全要求
最低限度要确保建筑物的设计,能承受较为极端天气条件的考验,并能阻止或迟滞明显的入侵企图
可见度
自身不可见,服务即时可达
自然灾害
设施设计
在开始施工前必须计划\设计好恰当的安全级别
CPTED(通过环境设计预防犯罪)
10.2 实现站点与设施安全控制
设备故障
老旧的硬件应安排定期进行更换或维修
维修时间的安排应基于每个硬件预先估计的MTTF(Mean Time To Failure, 平均故障时间)与MTTR(Mean Time To Repair, 平均恢复时间)
另一种度量方法时MTBF(Mean Time Between Failures, 平均故障间隔时间)
配线间
普通铜芯双绞线最大有效长度时100米
综合布线元素
接入设施(entrance facility)
分界点, 服务商的电缆连接到建筑物内部网络的接入点
设备间(equipment room)
建筑物的主布线间,通常与接入设施连接或相邻
骨干配线系统(backbone distribution room)
为设备间和通信间提供电缆连接,包括跨层连接
通信机房(telecommunications room)
也称为布线间,通过为组网设备和布线系统提供空间,来满足大型建筑中不同楼层和部分间的连接需要; 也充当骨干配线系统和水平配线系统间的连接点
水平配线系统(horizontal distribution system)
提供通信机房与工作区域间的连接, 通常包括:
布线
交叉连接模块
布线板以及硬件支持设施(电缆槽\电缆挂钩\导管)
配线间安全策略
不要使用配线间作为一般的储物区
配备充足的门锁,必要时采用生物因素
保持该区域整洁
该区域中不能存储易燃品
配备视频监控设备,监视配线间内的活动
使用开门传感器进行日志记录
钥匙只能由获得授权的管理员保管
对配线间进行常规的现场巡视以确保其安全
将配线间纳入组织的环境管理和监控中
服务器间与数据中心
服务器间与人相容性越差, 就越能提供保护
采用哈龙(Halotron)\热源(pyroGen)或者哈龙替代物作为火警探测及灭火系统\低温\低照明\狭窄的设备空间
服务器间应该位于建筑的核心位置;尽可能避免将服务器间设置在建筑物的一楼\顶楼或地下室
服务器间的墙壁应具备至少一小时的耐火等级
常用的访问控制技术
智能卡
智能卡中使用最多的多因素形式时PIN码
接近式读卡器
RFID
入侵检测系统
弱点: 电源与通信(心跳)
访问滥用
物理访问控制需要配备保安人员或其他监视系统,来防止滥用\伪装及捎带
发射安全
TEMPEST措施
法拉第笼\白噪声\控制区
介质存储设施
防止空白介质被植入恶意数据/防止介质残余数据被恢复
控制措施
将存储介质保存在上锁的柜子或保险箱里
介质存放在上锁的柜子里,并指定专人进行管理
建立登入/登出制度,跟踪库中介质的查找,使用与归还行为
可重用介质归还时,执行介质净化与清零过程(使用全零这样的无意义数据进行改写),清除介质中的数据残余
采用基于hash的完整性检查机制,来校验文件的有效性,或验证介质是否得到彻底净化,不再残留以前的数据了
对介质打上安全标签
证据存储
控制措施
使用与生产网络完全不同的专用存储系统
如果没有新数据需要存入,应让存储系统保持离线状态
关闭存储系统与互联网的连接
跟踪证据存储系统上的所有活动
计算存储在系统中所有数据的hash值
只有安全管理员与法律顾问才能访问
对存储在系统中的所有数据进行加密
受限区与工作区安全
每个工作区都应按照IT资产分级进行评估与分级
不同目的及用途的区域应分配不同的访问及限制级别
敏感隔间信息设施(Sensitive Compartmented Information Facility, SCIF)
基础设施与HVAC
不间断电源 UPS
充电式
变电式
浪涌保护器
柴油发电机
出现电力故障时, 如果故障出现在电表箱以外, 应该由电力公司来修理解决; 其他问题需要自己解决
危害
噪声
电磁干扰(Electromagnetic Interference, EMI)
无线电频率干扰(Radio-Frequency Interference,RFI)
温度\湿度与静电
温度
15-23
湿度
40%-60%
漏水\水灾
火灾预防\探测与消防
任何安全与保护系统的首要目标时保障人身的安全
火灾三要素
热量
水
氧气
二氧化碳\哈龙替代物
燃料
干粉\碳酸钠
火灾四阶段
早期-烟雾-火焰-炙热
数据中心的大部分火灾都是由于电源插座过载引起的
灭火器
A
普通燃烧物
水\碳酸钠
B
液态
二氧化碳\哈龙\碳酸钠
C
电气火灾
二氧化碳\哈龙
D
金属
干粉
火灾探测系统
固定温度探测
温度达到阈值触发机关
上升率探测
温度上升速度达到一定值
火焰驱动
依靠火焰的红外热探测
烟雾驱动
使用光电或辐射电离传感器
喷水消防系统
湿管系统
干管系统
集水系统
不适用于电子仪器环境
预动作系统
气体消防系统
不能用在有人员常驻的环境中
哈龙是一种有效的灭火用化合物,但是在500°左右会产生有毒气体
破坏
磁带 40°
内存78°
纸170°
物理安全中的安全控制
管理类
设施建造与选择
站点管理
人员控制
安全意识培训以及应急响应与流程
技术类
访问控制
入侵检测
警报
闭路电视监控系统(Closed-Circuit TelevisonCCTV)
监视
HVAC的电力供应以及火警探测与消防
现场类
围栏
照明
门锁
建筑材料
捕人陷阱
警犬与警卫
物理安全中的安全控制的顺序
吓阻
阻挡
监测
延迟
笔记
10.3 物理安全的实现与管理
边界安全控制
出入的方便性受到边界安全需要的制约, 访问与使用的需求也应支持边界安全的实现与运营
围栏(Fences),门(Gates),旋转门(Turnstiles),捕人陷阱(Mantraps)
门是围栏中可控的出入口, 吓阻级别的门在功能上必须等同于吓阻级别的围栏
旋转门是一种特殊形式的门, 其特殊性在于一次只允许一个人通过, 并且限制只能朝着一个方向转动
捕人陷阱通常是一种配备警卫的内\外双道门机构, 或是其他类型能防止捎带跟入的物理机关
照明
照明不应暴露保安,警犬,巡逻岗或是其他类似的安全警卫
照明不应干扰周围居民道路, 照明直径应与物理边界相近,并照亮物理边界
安全警卫与警犬
所有的物理安全控制,无论是静态的威慑,还是主动探测与监控机制,最终都需要人员进行干预,来阻止真实的入侵与攻击行为
内部安全控制
访客陪同
钥匙与密码锁
胸卡
动作探测器
红外\热量\波动\电容\光电\被动音频
入侵警报
阻止警报(Deterrent Alarms)
驱除警报(Repellant Alarms)
通知警报(Notification Alarms)
本地警报(Local Alarm System)
中心警报(Central Station System)
辅助站(Auxiliary Station)
二次验证机制
防止误报
环境与生命安全
人员安全是首要目标
居住者紧急计划(Occupant Emergency Plan, OEP)
隐私责任与法律要求
监管要求
笔记:
物理安全的目的是防护来自真实世界的威胁
需要制定灾难恢复计划或业务连续性计划,应对严重的物理安全威胁
4通信与网络安全
第十一章 安全网络架构和保护网络组件
11.1 OSI模型
封装/解封
封装是将每个层从上面的层传递到下面的层之前为每个层接受的数据添加头部, 也可能添加尾部;当消息被封装在每一层时,前一层的头和有效载荷组成当前层的有效载荷
数据从应用层下移到物理层时发生封装,数据从物理层到应用层向上移动时发生解封:流-段-包-帧-比特
OSI模型层次
物理层
功能
比特与数据帧的转换;
通过设备驱动控制吞吐率\处理同步\管理线路噪声和介质访问,并确定是采用数字信号\模拟信号还是光脉冲通过物理硬件接口传输或接收数据
工作设备
设备驱动程序
规范标准
EIA/TIA-232和EIA/TIA-449
X.21
高速串行接口(HSSI)
同步光纤网络(SONET)
V.24和V.25
数据链路层
功能
在数据链路层中,存在基于特定技术的协议,这些协议将数据包转换为格式正确的帧;格式化帧后,将其发送到物理层继续宁传输
工作设备
交换机
网桥
规范标准
串行线路互联网协议(Serial Line Internet Protocol,SLIP)
点对点协议(Point-Point Protocol, PPP)
地址解析协议(Address Resolution Protocol,ARP)
第二层转发(Layer 2 Forwarding ,L2F)
第二层隧道协议(Layer 2 Tunneling Protocol,L2TP)
点对点隧道协议(Point-to-Point Tunneling Protocol ,PPTP)
综合业务数字网(Integrated Services Digital Network,IDSN)
网络层
功能
给数据添加路由和寻址信息
网络层负责提供路由或传递信息
网络层负责管理错误检测和流量控制
工作设备
路由器
距离矢量(RIP)
维护目标网络的列表,以及以跳数度量的方向和距离度量(即到达目的地的路由器的数量)
链路状态(OSPF)
维护所有连接网络的拓扑图,并以此映射来去确定到目的地的最短路径
桥接路由器
规范标准
互联网控制消息协议(Internet Control Message Protocol,ICMP)
路由信息协议(Routing Information Protocol,RIP)
开放最短路径优先(Open Shortest Path First,OSPF)
边界网关协议(Border Gateway Protocol,BGP)
互联网组管理协议(Internet Group Management Protocol,IGMP)
互联网协议(Internet Protocol,IP)
互联网协议安全(Internet Protocol Security,IPsec)
网络数据包交换(Internet Packet Exchange,IPX)
网络地址转换(Internet Address Transaction)
IP简单密钥管理(Simple Key Management for Internet Protocols,SKIP)
传输层
功能
负责管理连接的完整性并控制会话
传输层控制如何寻址或引用网络上的设备,在节点之间建立通信连接并定义会话规则
会话规则指定每个段可包含多少数据,如何验证传输的数据的完整性,以及如何确定数据是否已经丢失
接收PDU并将PDU转换为段
会话规则通过握手过程建立
规范标准
传输控制协议(Transmission Control Protocol,TCP)
用户数据报协议(User Datagram Protocol,UDP))
顺序数据包交换(Sequence Packet Exchange,SPX)
安全套接字层(Secure Sockets Layer,SSL)
传输层安全(Transport Layer Security,TLS)
会话层
功能
负责建立\维护和终止两台计算机之间的通信会话;它管理对话规则或对话控制(单工\半双工\全双工),建立分组和恢复的检查点,并重传自上次验证检查点以来失败或丢失的PDU
规范标准
网络文件系统(Network File System,NFS)
结构化查询语言(Structured Query Language,SQL)
远程过程调用(Remote Procedure Call,RPC)
表示层
功能
负责将从应用层接收到的数据转化为遵循OSI模型的任何系统都能理解的格式
负责加密和压缩
规范标准
美国西悉尼交换标准码(American Standard Code for Information Interchange,ASCII)
扩展二进制编码十进制交换模式(Extended Binary-Coded Decimal Interchange Mode,EBCDICM)
标签图像文件格式(Tagged Image File Format, TIFF)
联合图像专家组(Joint Photographic Experts Group,JPEG)
动态图像专家组(Moving Picture Experts,MPEG)
乐器数字接口(Musical Instrument Digital Interface,MIDI)
应用层
功能
负责将用户应用程序\网络服务或操作系统与协议栈连接;
规范标准
超文本传输协议(Hypertext Transfer Protocol,HTTP)
文件传输协议(File Transfer Protocol,FTP)
文件打印后台程序(Line Print Daemon,LPD)
简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)
远程登录(Telnet)
普通文件传输协议(Trivial File Transfer Protocol,TFTP)
电子数据交换(Electronic Data Interchange,EDI)
邮局协议版本3(Post Office Protocol version 3,POP3)
Internet 消息访问协议(Internet Message Access Protocol,IMAP)
简单网络管理协议(Simple Network Management Protocol,SNMP)
网络新闻传输协议(Network News Transport Protocol,NNTP)
安全远程过程调用(Secure Remote Procedure Call,S-RPC)
安全电子交易(Secure Electronic Transaction,SET)
工作设备
应用层网关(协议转换工具)
11.2 TCP/IP模型
四层
应用层
应用层/表示层/会话层
Telnet:TCP23
FTP:TCP20/21
TFTP: UDP69
SMTP: TCP25
POP3: TCP110
IMAP: TCP143
DHCP: UDP67/68
HTTP:TCP80
SSL:TCP443
LPD:TCP515
SNMP:UDP161
X Window: TCP 6000-6063
NFS:TCP2049
传输层
传输层
TCP
面向连接的全双工
三次握手
客户端将SYN(同步)标记的数据包发送到服务器
服务器以SYN/ACK(同步和确认)标记的数据包响应客户端
客户端以ACK(确认)标记的数据包响应服务器
标志位
URG紧急
紧急数据
ACK确认
同步或关闭请求
PSH推送
需要立即将数据推送给应用
RST重置
立即断开TCP会话
SYN同步
用新的序列号请求同步
FIN完成
请求正常关闭TCP会话
IP协议头 0x06
UDP
无连接单工
IP 协议头 0x11
网络层
网络层
IP
子网划分
第一个二进制数字
0A/10B/110C/1110D/1111E
CIDR
255.255.255.0
/24C/16B/8A
ICMP
IP头 0x01
IGMP
ARP
链路层
数据链路层/物理层
TCP/IP是一个包含许多单独协议的协议栈
用于建立VPN的协议有PPTP\L2TP\SSH\OpenVPN(SSL/TLS VPN)\IPsec
多层协议
隐蔽通道通信机制
VLAN跳变攻击
11.3 融合协议
以太网光纤通道(Fibre Channel over Ethernet,FCoE)
网络数据存储解决方案
多协议标签交换(Multiprotocol Label Swithching,MPLS)
通过封装处理各种协议,高吞吐量高性能
Internet小型计算机系统接口(Internet Small Computer System Interface,ISCSI)
LAN网络存储
网络电话(Voice over IP,VoIP)
通过TCP/IP网络传输语音或数据的隧道机制
软件定义网络(Software-Defined Networking,SDN)
将基础设施层(硬件和基于硬件 的设置)与控制层(数据传输管理)分离
网络虚拟化
内容分发网络(Content Distribution Network,CDN)
分布式静态内容缓存
基于客户端的CDN-P2PCND-BitTorrent
11.4 无线网络
保护无线接入点
部署模式使用基础架构而非ad hoc模式
避免信道干扰
保护SSID
BSSID
基站MAC地址
ESSID
同一无线网络中涉及多个基站或接入点
ISSID
ad hoc 或对等模式下名称
不使用WAP协议,使用WPA2
WAP通过成为信标帧的特殊传输广播SSID,可能被无线嗅探器发现SSID
禁用SSID广播
进行现场调查
信号范围
非法接入
使用安全加密协议
WEP
基于PSK,不安全
WPA
基于TKIP,不安全
WPA2
基于CCMP,安全
WPA3
SAE,前向安全,防暴力破解
802.1X/EAP
企业认证服务
PEAP
受保护的可扩展身份验证协议(Protected Extensible Authentication Protocol,PEAP)
将EAP封装在提供身份验证和可能加密的TLS隧道中
LEAP
轻量级可扩展身份验证协议(Lightweight Extensible Authentication Protocol)
MAC过滤器
无法防御MAC地址伪造
TKIP协议
WEP算法改进
CCMP
AES-128
天线放置
天线类型
调整功率电平控制
WPS
Wi-Fi保护设置(Wi-Fi Protected Setup)
PIN或者,物理按钮触发
PIN存在暴力破解漏洞
可以在开启时添加终端,添加后关闭
使用强制门户
重定向用户到门户页面的进行身份认证
一般Wi-Fi安全程序
1.更改默认管理员密码
2.根据部署要修决定是否禁用SSID广播
3.将SSID更改为唯一的
4.如果无线客户端数量很少(20),启动MAC地址过滤并使用静态IP地址
5.使用静态IP,或预留配置DHCP(小型网络)
6.打开支持的最强的身份验证和加密方式,WPA2/WPA3
7.将无线视为远程访问,并使用802.1X管理访问
8.将无线视为外部访问,并使用防火墙将WAP与有线网络分开
9.将无线视为攻击者的入口点,并使用入侵检测系统(Intrusion Detection System,IDS)监控所有WAP到有线网络的通信
10.要求加密无线客户端和WAP之间的所有传输,使用VPN
无线攻击
战争驾驶
无线网络发现
战争粉化
重放
网络入侵检测系统(Network Intrusion Detection System,NIDS)
IV
初始化向量(Initialization Vector)太弱
恶意接入点
邪恶双胞胎
11.5 安全网络组件
网络访问控制(Network Access Control,NAC)
目标
减少/防止零日攻击
在整个网络中实施安全策略
使用标识执行访问控制
实现
接入前控制要求系统在允许与网络通信之前满足所有当前的安全要求
接入后控制允许和拒绝基于用户活动的访问,该用户活动基于预定义的授权矩阵
防火墙
记录事件
网络流量事件
重启防火墙
代理或服务崩溃或无法启动
更改防火墙配置文件
防火墙运行时的配置或系统错误
防火墙类型
静态数据包过滤防火墙
网络层
应用级网关防火墙
代理防火墙
更改源和目的地址
每种类型的应用程序都必须拥有自己唯一的代理服务器
应用层
电路级网关防火墙
会话层
socks 五要素
状态检查防火墙
传输层
基于会话上下文
深度数据包检测防火墙
应用层
下一代防火墙
多宿主防火墙
所有多宿主防火墙都应具有IP转发功能
堡垒主机在外网公开的设备,通过删除所有不必要的元素来加固
屏蔽主机是一个受防火墙保护的额系统,逻辑上位于专用网络内,代理所有流量到内部主机
防火墙部署架构
单层
两层
多接口防火墙
不同接口不同网络
多防火墙
不同防火墙不同网络
三层
端点安全
每个设备必须保持本地安全性
硬件的安全操作
冲突
两个系统同事将数据传输到仅支持单个传输路径的传输介质时
广播
单个系统想所有可能的接收者发送数据时
网络设备
中继器\集中器和放大器
物理层
两侧系同一域
集线器
物理层
同一域
调制解调器
模拟数字转换
网桥
将两个网络连接在一起
数据链路层
同广播域不同冲突域
交换机
2层 同广播域不同冲突域
3层不同广播域不同冲突域
路由器
连接类似的网络并控制两者之间的流量
网络层
不同域
桥路由器
三层不同域
二层同广播不同冲突
网关
连接不同网络协议的网络
应用层
不同域
代理
不跨协议转换的网关形式,连接使用相同协议的网段
不同域
LAN扩展器
远程访问的多层交换机,用于在广域网链路上连接远程网络
笔记
网络分段: 提升性能\减少通信问题\提供安全
11.6 布线\无线\拓扑\通信和传输介质技术
传输介质
同轴电缆(coax)
细网
10Base2
185米
粗网
10Base5
500米
缺点
弯曲超过其最大圆弧半径,造成中心导体断裂
使用50欧电阻器未正确端接同轴电缆的末端
未将端接的同轴电缆的至少一端接地
基带和宽带电缆
XXyyyyZZ
最大速度/基带或宽带/最大距离
双绞线
常见问题
使用错误类别的双绞线进行高吞吐量网络连接
部署双绞线长度超过其建议的最大长度100米
在具有显著干扰的环境中使用UTP
导线
铜线-经济
信号退户到开始影响数据的有效传输-衰减
5-4-3规则
任意两个节点之间, 最多可有五个段由四个中继器/集中器连接, 并且它仅表明可填充这五个段中的三个(即具有附加用户\服务器或网络设备连接)
此规则不适用于交换网络\桥接器或路由器的使用情形
网络拓扑
类型
环形
令牌环网-单向传输,一次只有一个系统可传输数据
总线
总线上的所有系统都可以同时传输数据
载波监听冲突避免
CSMACD
星型
采用集线器或交换机作为中心连接设备
网状
提供系统间的冗余连接
计算机和网络设备的物理布局和组织称为网络拓扑
无线通讯与安全
频段
3Hz~300Hz
扩频
使用多个频率载波
并行
跳频
串行
正交频分复用(Orthogonal Frequency-Division Multiplexing, OFDM)
手机
通过蜂窝电话提供商的网路进行通信,无论是语音\文本还是数据都不一定安全
使用特定的无线嗅探设备,通信数据可能会被截获
可使用伪基站进行中间人攻击
蓝牙
更改设备上的默认PIN
在不活动时,关闭蓝牙
RFID
仿造
窃听
NFC
中间人攻击
窃听
数据操纵
重放攻击
无线电话
频率扫描监听
移动设备
不存储不必要的信息
保持系统锁定和加密
局域网技术
以太网
允许多个设备通过相同的介质进行通信,但要求设备轮流通信并检测冲突和避免冲突
令牌环
令牌环使用令牌传递机制来控制哪些系统可通过网络介质传输数据,令牌在所有成员之间以逻辑循环行进
FDDI
光线分布式数据接口,是一种高速令牌传递技术
采用两个环,其流量方向相反
笔记:
协议是一组规则和限制,用于定义数据如何通过网络介质传输
第十二章 安全通信与网络攻击
12.1 网络与协议安全机制
安全通信协议
IPsec(Internet Protocol security)
传输模式
隧道模式
ESP
AH
Kerberos
单一登录解决方案
SSH
提供加密服务
充当VPN
信令协议(Signal Protocol)
安全远程过程调用(Secure Remote Procedure Call)
一种身份验证服务,可以防止非法代码在远程系统执行
安全套接字层(Secure Sockets Layer)
传输层安全(Transport Layer Security)
提供防篡改,放欺骗以及防窃听
支持单向身份验证
支持基于数字证书的双向身份验证
经常作为TCP包的原始载荷,也可用来封装所有类型的更高层协议载荷
可作为较低层次的协议,如第三层(网络层),充当VPN
身份验证协议
CHAP(Challenge Handshake Authentication Protocol)
应用于点对点协议连接
采用无法重放的挑战-应答对话进行验证
周期性地重复验证远程系统,对于用户透明
PAP(Password Authentication Protocol)
服务于PPP的标准化身份验证协议
使用明文传输用户名和密码
EAP(Extensible Authentication Protocol)
身份验证框架
12.2 语音通信的安全
VOIP (Voice over Internet Protocol)
SRTP(Secure Real-Time Transport Protocol,安全实时传输协议)
社会工程
欺骗与滥用
专用交换机(Private Branch Exchange,PBX) 安全
手机伪造
ESN(Electronic Serial Numbers,电子序列号)
MIN(Mobile Identification Numbers, 手机标识号)
12.3 多媒体合作
远程会议
是否使用了强身份验证技术
通信是否采用了开放协议或是加密通道
是否允许删除会议内容
用户活动是否进行审计与日志记录
即时通信
IM(instant Messaging)
数据包嗅探
隐私保护
12.4 管理邮件安全
邮件安全目标
提供不可否认性
消息只限制收件人可以访问(隐私与保密性))
维护消息的完整性
身份验证和验证消息源
验证消息的传递
对消息或附件中的敏感内容进行分级
可接受的邮件使用策略
邮件备份和保留策略
理解邮件安全问题
邮件本地明文
很少对发送源验证
存在DoS攻击风险
垃圾邮件
黑名单服务
使用挑战应答机制
邮件内容包含病毒木马
邮件附件过滤
邮件安全解决方案
安全/多用途互联网邮件扩展(Secure Multipurpose Internet Mail Extension,S/MIME)
提供公钥加密及数字签名
MIME对象安全服务(MIME Object Security Services,MOSS)
使用RSA\DES\MD5
隐私增强邮件(Privacy Enhanced Mail,PEM)
RSA\DES\X.509
域名关键字标识邮件(DomainKeys Identified Mail,DKIM)
通过验证域名标识,确定来自组织的邮件是否有效
良好隐私(Pretty Good Privacy, PGP)
对称密钥系统
SMTP网关的Opportunistic TLS(RFC3207)
基于TLS的SMTP
发件人策略框架(Sender Policy Framework,SPF)
防止垃圾邮件及邮件欺骗
传真机安全
措施
传真加密机
线路机密
活动日志
异常报警
关闭自动打印
删除副本
笔记
邮件协议
POP3
SMTP
邮件中继系统,应该对发送者进行验证防止垃圾邮件攻击
依据X.400标准进行寻址和消息处理
邮件服务器
Sendmail/Unix
Exchange/Windows
12.5 远程访问安全管理
远程访问安全计划
远程连接技术
蜂窝/移动通信,调制解调器,数字用户线路(DSL),综合业务数字网(ISDN),无线网络,尾行通信,有线调制解调器
传输保护
VPN,SSL,TLS,SSH,IPsec,L2TP
身份验证保护
PAP,CHAP,EAP,RADIUS,TACACS+
远程用户助手
远程访问安全措施
过滤器规则
基于用户标识,工作站标识,协议,应用,内容以及时间的访问控制
回叫及回叫ID
当收到远程用户发起的初始连接请求时,首先会断开连接,接着按照预先设定的电话号码回叫该用户
拨号上网协议
PPP(点对点协议)
在各种非局域网环连接上传输TCP/IP数据包
SLIP(串行线路互联网协议)
在异步串行电缆或拨号调制解调器中进行TCP/IP通信
需要使用静态IP,不支持压缩
中心化远程身份验证服务
TACACS+(Terminal Access Controller Access-Control System Plus)
TCP 49
RADIUS(Remote Authentication Dial-In User Service)
UDP 1812/TCP 2083
基于TLS
笔记
远程访问常见形式
使用调制解调器直接拨入远程访问服务器
在互联网上通过VPN接入网络
通过瘦客户端连接接入终端服务器系统
使用远程桌面服务,如Microsoft 的Remote Desktop\TeamViewer\GoToMyPC\Citirx的XenDesktop或VNC,接入位于办公区的个人电脑
使用基于云的桌面解决方案,例如亚马逊的Workspace
12.6 虚拟专用网
隧道技术
虚拟通道位于不同通信端上的封装实体与解封实体之间
点对点通信机制
VPN的工作机理
VPN连接两个独立的系统或网络
流量在源和目的段LAN不受保护,在VPN链路中受保护
常用的VPN协议
PPTP (不常用)
数据链路层
仅在IP网络中使用
初始化隧道协商过程不加密
可能泄露发送者和接收者IP地址
用户名和经过散列的密码
不支持中心化身份验证服务(RADIUS等)
单点
L2F (不常用)
可封装任何LAN协议
数据链路层
不提供加密
单点
L2TP
可封装任何LAN协议
数据链路层
通常采用IPsec作为安全机制
支持中心化身份验证服务
单点
IPsec (最常用)
仅在IP网络中使用
功能
AH身份分验证头
身份验证\完整性\不可否认性
ESP封装安全载荷
加密\保护传输数据安全性\有限的身份验证(工作在第三层)
可工作在传输模式(报文头不加密)和隧道模式(整个报文加密,添加新报文头)
多路
SSL/TLS
虚拟局域网 VLAN
在交换机上通过硬件实现的网络分段
常用于区分用户流量和管理流量
VLAN通讯无障碍,VLAN间需要路由
VLAN的划分可以基于MAC地址\IP子网划分的镜像\特定的协议\身份验证
12.7 虚拟化
虚拟软件
虚拟应用?
虚拟桌面
虚拟化网络
将硬件与软件的网络化组件,组合到单一的完整实体中;形成的系统能够通过软件来控制所有网络功能
SDN目标是将基础设施层(硬件及硬件设置)从控制层(数据传输管理的网络服务)中分离出来
SDN支持在SDN控制层对数据传输路径\通信决策树以及流量控制的虚拟化,而不必针对每台硬件进行修改
虚拟SAN是将多台独立的存储设备整合为单一的\能通过网络访问的存储容器
笔记
用于在单个计算机系统内存中创建一个或多个操作系统
优点
可扩展性
恢复方便
备份简捷
逃逸漏洞
将高敏感的系统和数据部署在不同物理机
及时更新补丁
检测现有环境所面新威胁的攻击\暴露及破坏指数
12.8 网络地址转换
私有IP地址
RFC1918
A类10.0.0.x-10.255.255.255
B类172.16.0.0-132.31.255.255
C类192.168.0.0-192.168.255.255
有状态NAT
PAT
静态与动态NAT
在静态模式下,特定的内部IP地址被固定映射到特定的外部IP地址
在动态模式下,通过NAT系统维护映射数据库 ?
NAT并不直接与IPsec兼容,因为IPsec修改了报文的头部;NAT-遍历(RFC3947)通过采用IKE的UDP封装支持IPsec VPN
自动私有IP分配
APIPA(Automatic Private IP Addressing)在动态主机配置协议(DHCP)失效时,继续为windows系统分配IP地址
169.254.0.1-169.254.255.254
笔记
PAT是将内部IP地址映射到外部IP地址及端口号
多层NAT网段不能相同
所有公网可达的路由器都会丢弃源地址或目的地址来自RFC1918定义地址的数据包
12.9 交换技术
电路交换
电路交换系统提供的是单会话永久物理连接
POTS/PSTN
分组交换
将信息分为很小的段,并通过中间网络将这些分组传送到目的地
虚电路
PVC(Permanent VIrtual Circuits,永久虚电路)
逻辑电路一直保持并时刻等待用户发送数据
SVC(Switched Virtual Circuits,交换式虚电路)
需要时,建立电路,结束后删除
在分组交换网络两个特定的缎带你之间的逻辑的电路
任何从端点A进入的分组,都会从端点B传出
12.10 WAN技术
WAN连接技术
线路类型
专用线路
一直打开,值连接两个端点
非专用线路
在需要时建立
标准调制解调器\DSL\ISDN都是非专用线路
IDSN(Integrated Services Digital Network)
基本速率接口
主要速率接口
X.25 (弃用)
永久虚电路
帧中继(淘汰)
PVC面向连接的工作在数据链路层的分组交换传输技术
ATM(淘汰)(Asynchronous Transfer Mode,异步传输模式)
PVC/SVC固定帧长
SMDS(Switched Multimegabit Data Service,交换式多兆位数据服务)
无连接分组交换
远程连接通信不频繁的LAN首选
同步数字系列与同步光纤网
SDH(Synchronous Digital Hierarchy,同步数字系列)
SONET(Synchronous Optical Network,同步光纤网)
使用同步时分复用技术(TDM)
专用协议
SDLC (Synchronous Data Link Control,同步数据链路控制)
永久物理连接
HDLC(High-Level Data Link Control,高级数据链路控制)
全双工串行同步连接
工作在数据链路层
拨号封装协议
PPP协议
所有拨号及大多数点对点连接,在本质上都是串行的
支持IP地址的分配与管理\同步通信的管理\标准化封装\多路复用\链路质量测试\错误检测以及特征或选项协商
笔记
ISP服务商选择
多服务商,保证安全
物理位置防止同时受损
运营商线路是否接入了同一个主干网
12.11 多种安全控制特征
透明性
确保对用户不可见 (可配置)
验证完整性
hash
传输机制
传输日志
记录源地址\目的地址\时间戳\识别码\传输状态\报文数量\消息大小等
传输错误检测
重传机制
12.12 安全边界
任何两个具有不同安全需求的区域\子网或环境的交界线
示例
客体不同安全等级之间
物理环境与逻辑环境之间
保护区域与非保护区域之间
物理环境的安全周边
将安全策略转换为真实的控制时,要分别考虑每个环境与安全边界,并由此归纳出可供选择的安全机制
12.13 防止或减轻网络攻击
Dos与DDos
防火墙\路由器\IDS,自动封锁IP\端口
服务供应商高防,协助
禁用外部系统的echo回复
在边界系统上禁用广播功能
阻止欺骗报文进入或流出网络
保持所有系统都能及时得到补丁更新
采用商业化的DoS应急/保护服务
窃听
物理访问安全
加密技术
一次性身份验证方法 (一次性面板/令牌装置 )
假冒/伪装
使用失窃或伪造的身份凭据通过身份验证机制
使用一次性密码及令牌身份验证系统 (如Kerberos)
重放攻击
一次性身份验证机制
顺序会话标识
修改攻击
数字签名
报文校验
地址解析协议欺骗
攻击工具
Ettercap\Cain&Abel\arpspoof
关键系统配置静态ARP映射表
监视ARP缓存的MAC-to-IP映射
使用IDS检测系统流量异常
DNS毒化\欺骗及劫持
只有获得授权才能更改DNS信息
限制分区传送并记录所有的特权DNS活动
同形异意攻击-相似域名
超链接欺骗
钓鱼攻击
假托
笔记:
通信安全的作用在于检测\预防甚至是纠正数据传输过程中的错误
5身份和访问管理
第十三章 管理身份和身份验证
13.1 控制对资产的访问
比较主体和客体
访问是将信息从客体传递到主体
主体始终是活动实体,接受被动客体的信息或来自被动客体的数据
CIA三性和访问控制
保密性
授权可访问,未授权不可访问
完整性
授权后修改数据
能够检测到未授权修改
可用性
有授权能访问,在特定时间
访问控制的类型
步骤
识别并验证主体
确定访问是否获得授权
根据主体的身份授予或限制访问权限
监控和记录访问尝试
预防
栅栏\锁\照明\CCTV\岗位轮换\职责分离\数据分类\渗透测试\加密\审计\防火墙\安全意识培训
试图阻止不必要或未经授权的活动发生
检测
运动探测器\蜜罐或密网\入侵检测系统\违规报告\用户监督和审查\事故调查
尝试发现或检测不需要的或未经授权的活动
纠正
终止恶意活动\重启系统\删除病毒
在发生意外或未授权活动后将系统恢复正常
威慑
锁\栅栏\安全标记 \警卫\摄像头
试图阻止违反安全策略,威慑控制取决于个人决定不采取不必要的行动
恢复
备份和还原\系统映象\服务器集群
尝试在安全策略违规后修复或恢复资源和功能,是纠正的更进一步
指示
安全按策略要求或标准\发布通知\逃生路线出口标志
试图指导\限制或控制主体的操作\以强制或鼓励遵守安全策略
补偿
实现其他控制措施目的的替代方案
按实现方式分类
管理访问控制
制度流程
逻辑/技术控制
软硬件机制
物理控制
可触摸装置
13.2 比较身份识别和身份验证
身份注册和证明
与实体绑定的额外验证信息
授权和问责
授权
基于已证实的身份授予对客体的访问权限
问责
在(尝试)访问客体时跟踪主体和记录
身份验证要素
你知道什么
口令\PIN
你拥有什么
智能卡 \工牌
你是谁?你做了什么
指纹\签名\击键动态
上下文感知
(时间\位置\设备;;)
口令
口令存储使用hash加盐32
创建强密码
有效期
密码复杂性
密码长度8
历史密码
密码短语
认知密码
社会工程学攻击
智能卡和令牌
智能卡
CAC/PIV
令牌
同步动态密码令牌
异步动态密码令牌
一次性密码生成器
两步身份验证
电子邮件挑战
短信验证码挑战
HOTP (HMAC-based One-Time Password )
TOTP
某个时间范围内有效
生物识别技术
视网膜扫描
最准确的生物识别身份验证形式
虹膜扫描
第二准确
生物特征因素误差评级
错误拒绝率
错误接受率
生物识别注册
多因素身份验证
使用两个或多个因素的任何身份认证
设备验证
SecureAuth工具
服务身份验证
基于口令的不适合应用服务,因为无法做定期修改与锁定机制
最好使用基于证书的认证方式
13.3 实施身份管理
单点登录 (Single Sign-On,SSO)
LDAP和集中访问控制
安全域是共享公共安全策略的主体和客体的集合
在域间建立信任以创建安全的桥梁并允许跨域访问
LDAP和PKI
公钥基础设施在将数字证书集成到传输中时使用LDAP
证书查询
Kerberos
密钥分发中心(KDC)
提供身份验证服务的可信第三方,Kerberos使用对称密钥加密来验证客户端和服务器;所有客户端和服务器都在KDC中注册,并未所有网络成员维护密钥
Kerberos身份验证服务
票据授予服务(TGS)
身份验证服务(AS)
票据授予票据 (TGT)
证明主体已通过KDC身份验证,并有权请求票据以访问其他客体;TGT是加密的,包括对称密钥\到期时间和用户IP
票据 (ST)
主体访问服务的凭据
账户数据库
通常在LDAP中
登录过程
用户在客户端输入用户名和密码
客户端使用AES加密用户名以传输到KDC
KDC根据已知凭据的数据库验证用户名
KDC生成将由客户端和Kerberos服务器使用的对称密钥;使用用户密码的散列对次密钥进行加密,同时生成带时间戳的TGT
KDC将加密的对称密钥和TGT发送到客户端
访问步骤
客户端将其TGT发送给KDC,并请求访问服务
KDC验证TGT,检查客户端是否有权限访问所请求的资源
KDC生成服务票据并将其发送给客户端
客户端将票据发送到托管资源的服务器或服务
托管资源的服务器或服务使用KDC验证票据的有效性
验证身份和授权后,Kerberos活动完成,服务主机和客户端建立通信
严格的时间要求
联合身份管理(FIM)和SSO
将组织内的用户身份与联合身份进行匹配
常用语言
安全断言标记语言SAML(Security Assertion Markup Language)
服务配置标记语言SPML(Service Provisioning Markup Language)
可扩展访问控制标记语言XACML(Extensible Access Control Markup Language)
基于属性的访问控制/基于角色的访问控制
XACML在软件定义网络应用程序中很受欢迎
OpenID连接
不需要共享凭据
Oauth
不需要共享凭据
脚本访问
使用自动化脚本模拟SSO登录
凭据管理系统
集成身份服务
管理会话
本地PC与在线应用
AAA协议
RADIUS
使用UDP协议,并对密码的交换进行加密,不会加密整个会话,但可使用其他协议来加密数据会话
RADIUS在网络访问服务器和共享身份验证服务器之间提供AAA服务,网络访问服务器是RADIUS身份验证服务器的客户端
TACACS+
将身份验证\授权和问责分离为单独的进程,如有必要,可将这些进程托管在三个单独的服务器上
加密所有身份验证信息
使用TCP/UDP端口49
Diameter (RADIUS升级版)
支持IP\移动IP\VoIP
使用TCP端口3868或流控制传输协议(Stream Control Transmission Protocol,SCTP) #*……*
支持IPsec 和TLS
笔记:
身份管理通常分为两类:集中式和分散式
13.4 管理身份和访问配置生命周期
访问配置
创建新账户并为其配置适当的权限
注册过程会创建新标识并确定系统执行身份验证所需的因素
注册过程中需要验证用户的实体身份,需要提供各种凭证
账户审核
定期审核非活动账户与特权账户
特权账户分为过度权限和蠕变权限,蠕变权限为工作过程中积累的权限
账户撤销
当员工处于任何原因离开阻止时,无比尽快停用其账户,包括员工请假时间
对于可能还需要的账户(访问加密数据等),不应立即删除
对于有回收机制的临时账户,不需要进行持续的监督
第十四章 控制和监控访问
14.1 比较访问控制模型
比较权限\权利和特权
权限:针对访问控制
权利:被允许的操作
特权:root
理解授权机制
隐式拒绝
非授权全拒绝
访问控制矩阵
以客体为主要点
能力表
以主题为主要点
约束接口
不同用户不同接口权限
依赖内容的控制
数据库视图-》综合多个基础表中的数据
依赖上下文的控制
根据用户上一步动作控制
知其所需
最小特权读
最小特权
依工作职能所需
职责和责任分离
敏感职能分为多个员工的职责
使用安全策略定义需求
安全策略确定了需要保护的资产\保护它们的安全解决方案以及应该达到的程度;但是不说明如何做到\如何实施;
实施纵深防御
总结访问控制模型
自主访问控制 (DAC)
每个客体都有一个所有者,可授予或拒绝其他任何主体的访问
基于角色的访问控制 (RBAC)
角色和组的使用
基于规则的访问控制
采用适用于所有主体的全局规则
基于属性的访问控制 (ABAC)
使用可包含多个属性的规则 ,将规则平等地应用于所有主体
强制访问控制 (MAC)
使用主体和客体标签
自主访问控制
RBAC是DAC的子集
Windows文件权限是基于RBAC的,使用ACL控制的
非自主访问控制
管理员采用管理整个环境的静态规则集中管理非自住访问控制,并可影响整体环境的更改
基于角色的访问控制
有助于阻止特权蠕变
基于规则的访问控制
具有适用所有主体的全局规则
防火墙
基于属性的访问控制
ABAC 高级的基于规则的访问控制,基于多元素
强制访问控制
分层环境
主客体按照等级进行划分,高等级可以访问低等级
分区环境
不同安全域相互隔离,与安全等级无关
混合环境
14.2 了解访问控制攻击
风险要素
风险是威胁利用漏洞导致诸如资产损害等损失的可能性
威胁是可能导致不良后果的潜在事件
漏洞是任何类型的弱点
识别资产
资产评估是指确定资产的实际价值,目标是确定资产的优先级
识别威胁
在确定资产并确定其优先级后,组织会尝试识别对有价值系统的任何可能威胁
威胁建模是指识别\理解和分类潜在威胁的过程
专注于资产
专注于攻击者
专注于软件
高级持续性威胁
识别漏洞
漏洞分析试图确定不同访问控制机制的优缺点,以及利用弱点的潜在威胁
常见的访问控制攻击
访问聚合攻击
将多条非敏感信息并将他们组合以获得敏感信息
密码攻击
字典攻击
暴力攻击
生日攻击
彩虹表攻击
通过使用预先计算的散列值的大型数据库来缩短此时间
加盐-盐是在对其进行散列之前添加到密码的一组随机位
嗅探器攻击
欺骗攻击
电子邮件欺骗
电话号码欺骗
社会工程攻击
网络钓鱼
鱼叉式网络钓鱼
网络钓鲸鱼
语音网络钓鱼
智能卡攻击
侧信道攻击
保护方法综述
控制对系统的物理访问
控制对文件的电子访问
创建强密码策略
散列和加盐密码
使用掩码屏蔽密码
部署多因素身份验证
使用账户锁定控制
使用上次登录通知
用户安全培训
6安全评估与测试
第十五章 安全评估与测试
15.1 构建安全评估和测试方案
安全测试
验证某项控制措施是否正常运行
包括自动化扫描\工具辅助的渗透测试\试图破坏安全的手动测试
安全测试应该定期执行
执行安全测试时需要考虑
安全测试资源的可用性
待测控制措施所保护系统及应用程序的重要性
待测系统及应用程序所含信息的敏感性
执行控制措施的机制出现错误配置的可能性
关乎安全的控制措施出现错误配置的可能性
系统可能遭受攻击的风险
控制措施配置变更的频率
技术环境下可能影响控制措施性能的其他变更
执行控制措施测试的难度及时间
测试对正常业务操作造成的影响
采用优先考虑风险的方法对系统进行严格的\例行的测试
安全评估
安全评估是对系统\应用程序或其他待测环境的安全性进行全面审查
在安全评估期间,由专业人员执行风险评估,识别出可能造成危害的安全漏洞,并根据需要提出修复建议
安全评估包括安全测试工具的使用,但不限于自动化扫描和手工渗透测试;还包括对威胁环境\当前和未来风险\目标环境价值的细致审查
联邦信息系统安全控制评价指南NIST SP 800-53A
规范是与待审计系统有关的文档
通常包括政策\规程\要求\详细及设计
机制是信息系统中用于满足规范的控制措施
机制可以基于硬件\软件或固件
活动是在信息系统中人员所采取的行动
这些行动可能包括执行备份,导出日志文件或审查账户历史记录
人员是执行规范\机制及活动的人员
安全审计
安全审计必须由独立审核员执行
审计是为了向第三方证明控制措施有效性而进行的评估
审计类型
内部审计
由组织内部人员执行
审计负责人直接上类似总裁\首席执行官汇报
外部审计
由外部审计公司执行
安永\德勤\普华永道\毕马威
第三方审计
第三方审计是由另一个组织,或以另一个组织的名义进行的审计
监管机构\合同签约方
认证业务标准声明SSAE16
Ⅰ类报告
描述被审计组织提供的控制措施,适用于某个时间点,不涉及对控制措施的实际测试
Ⅱ类报告
至少覆盖6个月的时间,包括审计员根据实际测试结果对这些控制措施的有效性所形成的意见,包括对控制措施的独立测试
审计标准
信息和相关技术控制目标COBIT
信息安全管理体系ISO 27001
笔记:
安全评估和测试方案是信息安全团队的基础维护活动
15.2 开展漏洞测试
漏洞描述
通用漏洞披露CVE
通用漏洞评分系统CVSS
通用配置枚举CCE
通用平台枚举CPE
可扩展配置检查表描述格式XCCDF
开放漏洞评估语言OVAL
漏洞扫描
网络发现扫描
TCP SYN扫描
向目标系统的每个端口发送设置SYN标志位的数据包,如果扫描器接收到设置SYN和ACK标志位的响应数据包说明TCP握手进入第二阶段,该端口开放
又称为半开放扫描,不返回ACK响应
TCP Connect 扫描
向某个端口创建全连接,适用于在没法进行半连接扫描时
TCP ACK扫描
发送设置ACK标志位的数据包,表明它属于某个开放连接;这种扫描可以擦汗给你是确定防火墙规则或防火墙方法
Xmas扫描
发送设置FIN\PSH\及URG标志位的数据包
nmap扫描工具
网络漏洞扫描
登陆扫描时最好使用只读权限
Nessus \QualysGuard\NeXpose\OpenVAS\Aircrack(针对无线网络)
Web应用漏洞扫描
深度的Web应用漏洞扫描仍需要定制的\专用的Web应用漏洞扫描器
执行扫描
首次开始执行Web漏洞扫描时,扫描所有应用程序;这种做法将检测到遗留应用程序的问题
任何新应用程序首次移植到生前环境前,必须进行扫描
代码变更引入生产环境前,必须扫描任何修改过的应用程序
定期扫描所有应用程序;如果资源有限,根据应用程序的优先级安排扫描
扫描工具
Nessus \Acunetix\Nikto\Wapiti\BurpSuite
数据库漏洞扫描
sqlmap
漏洞管理工作流程
检测
通常在扫描漏洞之后,第一次发行某个漏洞
验证
一旦扫描器检测到一个漏洞,管理员应该确认此漏洞,判断它是否为误报
修复
此后,验证过的漏洞需要加以修复;漏洞修复可能包括应用供应商提供的补丁\修改设备配置\执行规避漏洞的折中方法\安装Web应用防火墙及采取组织漏洞利用的其他控制措施
渗透测试
规划阶段包括测试范围和规则的协议,确保测试团队和管理人员达成共识,明确测试是经过授权的
信息收集和发现阶段结合人工和自动化工具来收集目标环境的信息没发现服务和端口
漏洞扫描阶段探测系统脆弱点,进行漏洞扫描及验证
漏洞利用阶段试图使用人工和自动化漏洞利用工具尝试攻破系统防线
报告阶段总结渗透测试结果,并提出改进建议
15.3 测试软件
代码审查与测试
代码审查
范根检查法
规划
概述
准备
审查
返工
追查
同行评审
团队走查
高级审查
自动化扫描
静态测试
缓冲区溢出
动态测试
模拟环境
模拟事务
安全测试
模糊测试
突变模糊测试
从软件实际操作获取输入值,然后操纵或变异输入值
zzuf工具
预生成模糊测试
设计数据模型,基于对软件所用数据类型的理解创建新的模糊输入
接口测试
应用编程接口API
为代码模块之间交互提供统一方法,并通过Web服务形式向外部公开
用户界面UI
包括图形界面和命令行界面
物理接口
存在于操作机械装置\逻辑控制器或其他物理设备的一些应用程序
误用例测试
测试覆盖率分析
测试覆盖率=已测用例数量/全部用例数量
标准
分支覆盖率
在所有if和else条件下,每个if语句是否已被执行
条件覆盖率
在所有输入集合下,代码中每个逻辑是否已被测试
函数覆盖率
代码中每个函数是否已被调用并返回结果
循环覆盖率
在导致代码执行多次\一次或零次的条件下,代码中每个循环已被执行?
语句覆盖率
测试期间,是否已运行过每行代码
网站监测
被动监测
在经网络传输或抵达服务器的过程中,通过捕获发送到网站的流量进行分析
真实用户监控RUM,是一种被动检测的变体,检测工具重组单个用户的活动,追踪其于网站的交互
主动监测
对网站执行伪造的事务活动,从而评估其性能
15.4 实施安全管理流程
日志审查
安全信息和时间管理工具SIEM
syslog 日志收集
NTP时间同步
GPOwindows组策略对象部署日志策略
eDiscovery进行日志审查
账户管理
要求系统管理员提供具有特权权限的用户列表及特权
要求特权审批机构提供授权用户的列表及其分配的权限
对比两份列表
或采取随机抽样的方式
备份验证
定期检查备份结果,确保可以正常备份及恢复
关键绩效和风险指标
遗留漏洞的数量
修复漏洞的时间
漏洞/缺陷重现
被盗用账户的数量
在移植到生产环境前扫描过程中监测到的软件缺陷数量
重复审计的结果
尝试访问已知恶意站点的用户
7安全运营
第十六章 安全运营管理
16.1 应用安全运营概念
知其所需和最小特权
知其所需
强制要求授予用户仅访问执行工作所需数据或资源的权限
最小特权
主体仅被授予完成工作所需的特权,而不再被授予更多特权
依赖于所有用户都具有明确定义的职务描述
职责分离
职责分离确保个体无法完全控制关键职能或系统
特权分离
建立在最小特权原则的基础上,并将其应用到应用程序和流程
管理员仅授予每个服务账户在应用程序中完成功能所需的权限
任务分解
个体不会被分配到两个利益相关的角色
双人控制
要求经过两个人批准后才能执行关键任务
知识分割的基本思想是将执行操作所需的信息或特权分配给两个或更多个用户
岗位轮换
又称职责轮换,可以同时起到威慑和检测的作用
强制休假
短时间内另一名员工接管此工作岗位进行同行评审
特权账户管理
监控特权账户可确保拥有这些权限的用户不会滥用权限,监控特权账户在采取预防性控制的情况下(最小特权,职责分离)可组织和检测仍然发生的违规行为
需要关注特权
访问审计日志
更改系统时间
配置接口
管理用户账户
控制系统重启
控制通信路径
备份和恢复系统
运行脚本/任务自动化工具
配置安全控制机制
使用操作系统控制命令
使用数据库恢复工具和日志文件
管理信息生命周期
生成或捕获
分类
区分敏感数据
存储
使用
归档
通常保存在场外
销毁或清除
NIST SP 800-88r1
服务水平协议
SLA
对供应商提出的可用性要求
处罚条款
MOU
双方共同努力的目标,无处罚条款
ISA
各方之间传输敏感数据的安全技术要求
关注人员安全
胁迫
出差
敏感数据
恶意软件和监控设备
免费WIFI
VPN
应急管理
安全培训与意识
16.2 安全配置资源
管理硬件和软件资产
执行日常资产清查
硬件库存
使用条形码\RFID
使用检查表清理系统
软件许可
许可证备份
不使用未经授权的软件
保护物理资产
管理虚拟资产
虚拟机
虚拟桌面基础架构(VDE/VDI)
软件定义网络
数据平面与控制平面分离
虚拟存储区域网络VSAN
管理云资产
服务模式
软件即服务SaaS
平台即服务PaaS
基础架构即服务IaaS
部署模型
公有云
私有云
社区云
混合云
介质管理
磁带
至少保留两份备份
磁带不应暴露在电梯\电机和一些打印机等设备产生的磁场中
防尘\防潮\防高低温\
传输安全\加密
移动设备
BYOD\CYOD
介质管理生命周期
可重复使用的介质受到平均故障时间MTTF影响
介质达到MTTF应该销毁
16.3 配置管理
基线
系统的初始配置,安全起点
使用镜像技术创建基线
笔记:
配置管理有助于保持系统安全一致的状态
16.4 变更管理
安全影响分析
请求变更
审核变更
批准/拒绝变更
测试变更
安排并实施变更
记录变更
版本控制
配置文档
负责人\系统主要目的功能\基线后的所有变更
笔记
变更管理可减少因未经授权修改导致的意外中断
变更管理应包含紧急变更流程
16.5 补丁管理和漏洞减少
系统管理
需要纳入管理的系统和设备范围,通用设备,物联网设备,移动设备等
补丁管理
评估补丁
测试补丁
隔离非生产系统测试
审批补丁
部署补丁
验证补丁已完成部署
通常部署和验证的非同一人
漏洞管理
漏洞扫描
漏洞评估
通常作为风险分析或风险评估的一部分执行
常见的漏洞和风险
管理层可选择接受风险而不是减轻风险;实施控制措施后仍存在的风险就是剩余风险,因剩余风险而产生的任何损失都是管理层的责任
第十七章 事件的预防和响应
17.1 事件响应管理
事件的定义
对机构资产的保密性、完整性或可用性产生负面影响的任何事态
本章-计算机安全事件,通常是指由攻击造成的事故
事件响应步骤
检测
入侵检测和预防系统
反恶意软件程序
扫描审计日志-特权操作
终端用户报告的异常事件
响应
事件响应小组在有重大安全事件发生时启用这个小组,事件响应计划阐明谁有权在什么情况下启用这个小组
内含证据的计算机不可关闭
抑制
限制事件的影响或范围
报告
高管负责人及执法部门及需知情人
恢复
恢复与重建
安全性至少要达到遭遇事件之前的水平
补救
根本原因分析通过剖析事件来判断事件起因
总结教训
反馈到检测环节
保护证据
编制总结报告提出改进建议
管理层将决定采纳哪些建议,并对因为自己没有采纳某项建议而依然存在的风险负责
17.2 落实检测和预防措施
基本预防措施
保持系统和应用程序即时更新
移除或禁用不需要的服务和协议
使用入侵检测和预防系统
使用最新版本反恶意软件程序
使用防火墙
执行配置管理和系统管理流程
了解攻击
僵尸网
嵌入式
移动设备
web应用
老旧系统
拒绝服务攻击
分布式拒绝服务
分布式反射性拒绝服务
SYN洪水攻击
不发送ACK响应
使用SYN cookie机制
缩短ACK等待时间
TCP复位攻击
伪造源IP地址发送FIN和RST标志
Smurf和Fraggle攻击
Smurf-ICMP伪造受害者IP发送ping请求
按照RFC 2644配置无此问题
Fraggle 在UDP7和19端口广播数据包
ping洪水
拦截ICMP通信流
死亡之ping
发送超大ping 数据包
泪滴
将数据报切分并打碎成碎片
LAND攻击
将受害者的IP地址即作为源IP地址也作为目标IP地址,发送SYN数据包
零日利用
攻击者最先发现的漏洞
供应商掌握漏洞的情况
供应商发布补丁
防御
最小化安装
入侵检测
蜜罐和填充单元
恶意代码
病毒
蠕虫
木马
宏病毒
逻辑炸弹
中间人攻击
嗅探攻击
代理攻击
DNS欺骗
ARP欺骗
蓄意破坏
间谍活动
入侵检测和预防系统
IDS
可以有效检测许多DoS和DDoS
可以识别来自外部以及内部的攻击(蠕虫等)
IPS
包含IDS功能,并具有阻止和预防入侵的功能
技术分类
基于知识检测和基于行为检测
监测网络通信流和检查日志
基于知识检测
基于签名检测或模式匹配检测,对已知攻击有效
基于行为检测
通过配置基线活动并将检测到的行为与之对比-可以发现新型攻击,但是容易出现误报.基线需要及时更新
SIEM系统
安全信息和事件管理系统
收集到的警报和触发通常与IDS和IPS发出的警报分开?
IDS响应
被动响应
主动响应
基于主机的IDS和基于网络的IDS
HIDS 监测一台计算机上的活动,其中包括进程调用以及系统\应用程序\安全措施和基于主机防火墙日志记录的信息
NIDS 通过传感器监测一个网络,在关键网络位置手机数据后传输给控制台或SIEM
通过RARP或反向域名系统查找攻击源
TLS加密通信和应用层加密会造成分析软件无法获得指纹信息,针对免杀操作可以采用加密的方式,但是主机安全防护如何免杀还需要考虑(基于动作的监测)
采用TLS解密器和交换机做端口镜像
入侵防御系统
串联接入
具体预防措施
蜜罐/密网
合法用户不会访问蜜罐
蜜罐和密网经常部署在虚拟系统上,容易重建
填充单元是入侵检测设备发现攻击后将流量转移到一个无实际价值的环境
警示
向用户和入侵者宣传基本安全策略
反恶意软件
用带最新签名文件并具备启发式能力的反恶意软件程序
只安装一中
白名单和黑名单
阻止未授权应用
防火墙
执行ACL规则,以隐式拒绝结束
沙箱
为应用程序提供安全边界
第三方安全服务
审计\渗透测试等
渗透测试
包含旨在找出弱点的漏洞扫描
确定一个系统抗攻击能力,以及应急响应能力
渗透测试被测系统有安全风险
渗透测试需要得到许可
渗透测试分黑白灰盒
保护报告
17.3 日志记录、检测和审计
日志记录和监测
日志记录技术
日志记录捕获体现了系统上发生的活动的事件、变化、消息和其他数据
常见的日志类型
安全日志
安全日志记录对文件、文件夹、打印机等资源的访问
系统日志
记录系统事件
应用日志
防火墙日志
不记录数据包的实际内容
代理日志
可控制允许用户方访问哪些网站
变更日志
变更日志可记录系统的变更请求、批准和实际变更
保护日志数据
将日志文件拷贝到一个中央系统中保护起来如SIEM
当日志不再使用时,必须将其销毁
按监测、分析、调查和报告违法活动所需要的程度,创建、保护和保留信息系统审计记录
确保单个信息系统用户的活动可悲唯一跟踪至这些用户本身,从而可就用户的行为追究责任
监测的作用
审计踪迹
记录用户动作和系统事件
监测和问责
监控记录的日志数据并跟踪到个人
监测和调查
监控记录的日志数据并重建事件发生的经过
监测和问题识别
监控记录的日志数据并识别事件发生的原因
监测技术
日志分析是一种详细和系统化的监测形式,这种检测形式通过分析日志信息找出趋势和模式以及异常、未经授权、非法和违反策略的活动。日志分析并不一定是对某一事件的响应,而是一项定期执行的任务
安全信息和事件管理 SIEM
综合日志收集、事件分析、资产管理等
抽样
剪切级
事件等级过滤阈值
其他监测工具
击键监测
通信流分析和趋势分析
网流检测,监测数据包流向而非数据包内容
出口监测
数据丢失预防DLP
基于网络的DLP
扫描所有外出数据
基于端点的DLP
扫描所有外拷文件(复印、打印)
隐写术
原始文件hash检测
水印
效果评价审计
审计的两个含义:日志审计和监测;合规检查评估
检查审计
访问审查审计
确认数据已被分类、用户清楚数据属于什么类别,确保有权授予访问权限的人员知道用户访问资格
用户权限审计
特权群组审计
高权限管理员组
两个管理员账号:普通、特权
安全审计和审查
补丁管理
漏洞管理
配置管理
变更管理
报告审计结果
报告内容
审计的目的、范围、发现
审计的时间、系统清单
问题、事件和情况
标准、准则和基线
原因、理由、影响和效应
建议的解决方案和防护措施
保护审计结果
分发审计报告
使用外部审计人员
笔记
将事件的影响降至最低
SP 800-61
准备、检测和分析、遏制根除和恢复、事件后活动
第十八章 灾难恢复计划
18.1 灾难的本质
自然灾难
地震、洪水、暴风雨、火灾、火山爆发等
人为灾难
火灾、恐怖行为、爆炸/煤气泄漏、电力中断、网络/公共设施和基础设施故障、硬件/软件故障、罢工/示威抗议、盗窃/故意破坏
18.2 理解系统恢复和容错能力
保护硬盘驱动器
RAID0
条带,无容错
RAID1
镜像,两个磁盘存储相同数据
RAID5
奇偶校验,使用三个或更多磁盘,相当于一个磁盘,包含奇偶校验信息
RAID10
条带镜像,至少需要4个,偶数个。
RAID可基于软件也可基于硬件
保护服务器
备份服务器,冗余镜像
保护电源
UPS、柴油发电
受信恢复
故障防护状态
应急开放状态
系统备份与恢复过程
手动恢复
自动恢复
无过度损失的自动恢复
包含修复过程
功能恢复
服务质量
宽带
延迟时间
抖动
数据包丢失
干扰
业务优先级
笔记:
增加系统应变能力和容错能力的技术控制会直接影响到可用性
系统恢复和容错能力的主要目标是消除单点故障SPOF
18.3 恢复策略
确定业务单元的优先顺序
按照业务优先级列出清单,并列出风险和成本评估,同时列出平均回复时间MTTR及相关回复目标和里程碑。以及最大可容忍终中断MTO
危机管理
员工培训
应急通信
工作组恢复
较大组织的拆分
可替代的工作站点
冷战点
温站点
不包含生产数据
热站点
平时可作为开发或测试环境
移动站点
服务局
多站点(云计算)
相互援助协议
MAA互惠协议,需要信任
数据库恢复
电子链接
通过批量传送的方式转移到远处备份点,需要考虑存储容量、通信带宽、数据可用
需要定期执行电子链接备份
远程日志处理
更快的传输方式,数据传输批量进行,更频繁,传输的为事务日志
远程镜像
18.4 恢复计划开发
紧急事件响应
操作清单应该按优先级排列
火灾响应清单
启动建筑物警报系统
确保有序撤离
离开建筑物后,使用移动电话呼叫119
确保受伤人员接受适当救护
启动组织的灾难恢复计划,以确保业务连续性
人员通知
联系方式
评估
滚动方式进行,由浅入深
备份和离站存储
备份方式
完整备份
增量备份
增量备份后,下次备份标记的文档
差异备份
差异备份不改变文档标记下次还备份
备份介质格式
物理特征
轮换周期
磁盘到磁盘D2D备份
虚拟磁带库VTL
最佳备份方法
空闲时间备份
足够的存储容量
连续的备份策略
定期测试恢复流程
磁带轮换
软件托管协议
源码获取协议
外部通信
公关
公用设施
联系信息和措施
物流和供应
恢复与还原的比较
恢复是将业务操作和过程还原至工作转态
还原是将业务设施和环境还原至可工作状态
笔记
需要考虑的文档
执行概要,提供对计划的高度概括
具体部门的计划
针对负责实现和维护关键备份系统的IT技术人员的技术指导
灾难恢复团队的人员清单
为重要灾难恢复团队成员准备的完整计划副本
18.5 培训\意识与文档记录
员工培训
灾难恢复计划和业务连续性计划快速变化,应该注意分发内容
应该保证足够数量的最新版的打印副本
18.6 测试与维护
通读测试
分发清单并审查
结构化演练
桌面推演
模拟测试
部分措施实操
并行测试
实操恢复过程
完全中断测试
真实演练
维护
灾难恢复计划应借鉴业务连续性计划并将它作为恢复工作的模版
笔记
每一种灾难恢复计划都必须定期进行测试
第十九章 调查和道德
19.1 调查
调查的类型
行政调查
内部调查\检查是否违反组织的政策
旨在识别操作出现问题的根本原因
犯罪调查
执法者\针对违法行为
必须满足超越合理怀疑的证据标准
民事调查
内部员工和外部顾问代表法律团队/解决双方纠纷
只需要证据能够说明调查结果是可信赖的
监管调查
政府机构/独立第三方//法律法规/行业标准
电子发现
信息治理
识别
保存
收集
处理
检查
分析
产生
呈现
证据
可采纳的证据
必须与确定事实相关
对本案来说是必要的
必须是合法获得
类型
实物证据
客观证据
文档证据
最佳证据规则
必须为原始文档
口头证据规则
口头<书面
言辞证据
基于证人的事实观察
证据链
描述\时间\位置\收集人员\环境
证据收集和司法取证
介质分析
网络取证分析
软件分析
硬件/嵌入式设备分析
调查过程
收集证据
收集证据的方法
自愿上交
法院/传票
搜查令
请求执法
调查可能使事件公开
无法私下调解
实施调查
不要对被破坏的实际系统实施调查,对备份,镜像进行调查
不要报复
向专家求助
约谈个人
约谈
审问
事故数据的完整性和保存
报告和记录调查
每项调查都应提交一份报告
目标
程序
收集的证据
调查的最终结果
与执法机构建立联系
笔记
分析团队章程手册: 调查范围\调查人员的权力\角色和责任\调查过程中必须遵守的制度
19.2 计算机犯罪的主要类别
军事和情报攻击
获取军事情报
商业攻击
获取商业机密
财务攻击
非法获得钱财和服务
恐怖攻击
制造恐怖气氛
恶意攻击
对受害者不满
兴奋攻击
脚本小子
19.3 道德规范
ISC^2的道德规范
保护社会\公益\必需的公信与自信\保护基础设施
行为得体\诚实\公正\负责和遵守法律
为委托人提供尽职的\胜任的服务
发展和保护职业
道德规范和互联网
CIA
8软件开发安全
第二十章 软件开发安全
20.1 系统开发控制概述
软件开发
编程语言
编译型和解释型
面向对象编程
消息(输入)\方法\行为(输出)\类\实例\继承\委托\多态性\内聚\耦合
保证
为确保在新应用程序中构建的安全控制机制在系统的整个生命周期内能正确地实现安全策略,管理员会使用保证过程?
避免和缓解系统故障
输入验证
核实用户输入
异常字符
在服务端验证
身份验证与会话管理
调试消息
故障防护(fail-secure)和应急开放(fail-open)
故障防护将系统置入高级别安全性,直至管理员诊断问题并将系统解锁
应急开放允许用户绕过安全控制
系统开发生命周期
概念定义
利益相关方确定项目用途以及系统大体需求
功能需求确定
确定系统的功能以及输入输出
控制规范的开发
安全性考虑
访问控制/数据保护/审计踪迹/可用性和容错
设计与评审
代码编写与审查
用户验收测试
维护和变更管理
生命周期模型
瀑布模型(扶梯模型)
允许回退一个阶段,纠正后续阶段发现的错误
螺旋模型
如果需求发生变化,允许回到计划编制阶段
敏捷软件开发
即时响应需求变化
软件能力成熟度模型SCMM
初始级
未定义
可重复级
有组织的重用代码,项目结果可预期
定义级
文档化的过程
管理级
定量衡量
优化级
过程改进
IDEAL模型
启动
变更的业务原因
诊断
分析
建立
计划
行动
学习
甘特图与PERT
PERT判断软件产品的大小并未风险评估计算标准偏差
变更和配置管理
变更控制
请求控制
变更控制
发布控制
配置管理
配置标识
记录配置
配置控制
修改配置满足配置策略
配置状态统计
记录授权更改
配置审计
DevOps方法
应用编程接口
调用服务,通常使用API密钥进行验证权限
需要通信保密
软件测试
分类
按照前提
白盒
黑盒
灰盒
按照形式
静态
动态
检查点
合理性检查
无效输入\不正确类型\越界值
代码仓库
服务水平协议
系统正常运行时间(百分比)
最大连续停机时间
高峰负荷
平均负荷
责任诊断
故障切换时间
软件采购
笔记
测试计划应该与产品设计一起开发
20.2 创建数据库和数据仓储
数据库管理系统的体系结构
层次式数据库(树状)和分布式数据库(多对多,无主键?)
关系数据库
键值
候选键
可用来唯一标识某一行
主键
从候选键中选择的一个键
外键
强制在两表之间建立关系,另一个表的主键
范式
第一范式\第二范式\第三范式
SQL
DDL 数据定义语言
DML 数据操纵语言
数据库事务
原子性
单个事务成功或失败不可拆分
一致性
运行环境一致
隔离性
独占对象
持久性
多级数据库的安全性
不同安全等级的数据混在一起产生数据库污染
部署可信前端
使用视图
并发性
锁定机制
解决的问题
丢失更新
脏读
其他安全机制
语义完整性
单元抑制
时间和日期标记
内容相关的访问控制
上下文相关的访问控制
多实例
分安全区域情况下
噪声
ODBC
多驱动集成
NoSQL
键/值
图形数据库
结点表示对象,边缘表示关系
网络图
文档存储
20.3 存储数据和信息
存储器的类型
存储器威胁
非法访问
隐蔽通道
20.4 理解基于知识的系统
专家系统
知识库
断言
推理引擎
机器学习
监督学习
使用标记数据进行训练
提供答案
无监督学习
使用未标记数据进行训练
不提供答案
神经网络
多层决策,权值学习,反馈
第二十一章 恶意代码和应用攻击
21.1 恶意代码
病毒
传播和破坏
病毒传播技术
主引导记感染
MBR病毒将系统重定向到被感染的引导扇区,在从合法引导扇区加载操作系统前将病毒加载到内存中
引导扇区病毒实际上感染合法的引导扇区,并在操作系统加载过程中被加载到内存中
文件程序感染
主要感染可执行文件
同伴病毒
game.exe/game.com
宏病毒
服务注入
注入可信系统进程中
容易受到病毒攻击的平台
windows/Android
反病毒机制
特征型反病毒软件
净化/隔离/删除
启发式反病毒软件
监控特权行为
病毒技术
复合病毒
多种传播技术
隐形病毒
绕过/破坏系统防护机制
多态病毒
变异技术
加密病毒
骗局
逻辑炸弹
定时炸弹/条件触发
特洛伊木马
蠕虫
自动传播
间谍软件与广告软件
零日(Zero-Day)攻击
21.2 密码攻击
密码猜测攻击
字典攻击
彩虹表攻击
社会工程学
对策
培训
21.3 应用程序攻击
缓冲区溢出
一些语言对变量的长度不强制实施固有的限制
检验时间到使用时间
后门
权限提升和rootkit
21.4 Web应用的安全性
跨站脚本
跨站请求伪造
SQL注入攻击
21.5 侦察攻击
IP探测
禁用Ping 探测
端口扫描
服务探测
漏洞扫描
21.6 伪装攻击
IP欺骗
会话劫持
0 条评论
下一页