¶
CBK1 安全与风险管理
安全控制措施可以是管理性的、技术性的或物理性的,并提供威慑性、预防性、检测性、纠正性、恢复性和补偿性保护。
COSO 内部控制—集成框架是一种治理模型,可防止公司环境中发生欺诈事件。
COBIT是一个控制目标的框架,适用于IT治理。
ISO/IEC 27001 是用于建立、实施、控制和改进信息安全管理体系的标准。
企业架构框架为特定利益相关者在开发架构视图中展示信息。
信息安全管理体系(ISMS)是一系列策略、流程和系统的集合,用于管理ISO/IEC27001 中概述的信息资产风险。
企业安全体系结构是业务体系结构的一个子集,描述当前和未来安全流程、体系以及子结构。是保证战略一致性的一种方式。
蓝图是将技术集成到业务流程中的功能性定义。
企业架构框架用于构建各个组织需求和业务驱动因素结构的最佳映射。
Zachman框架是企业架构框架,SABSA 是安全企业架构框架。
六西格玛用于识别流程中的缺陷,从而可持续改进和不断精简流程。
NIST SP 800—53 使用以下控制类别:技术性、管理性和操作性。
在执行正确的安全控制措施缓解特定风险前,必须评估成本、功能和有效性,并执行成本/效益分析。
OCTAVE是一种以团队为导向的风险管理方法,采用研讨会形式,通常适用于商业领域。
风险分析的主要目标如下:识别资产并为其分配价值,识别脆弱性和威胁,量化潜在威胁的影响,并在风险影响和保障成本之间提供经济平衡。
无法进行纯粹的定量风险分析,因为定性条目无法被精确量化。
知识分割和双重控制是职责分离的两个方法。
管理层必须定义安全管理的范围和目的,并提供资源支持,任命安全团队,委派责任并审计团队的调查结果。
安全治理是一个提供监督、可问责性和合规性的框架。
ISO/IEC 27004:2016是信息安全管理度量的国际标准。
NIST SP 800—55是信息安全绩效度量的标准。
业务连续性管理(Business Continuity Management,BCM)是管理BCP和DRP所有方面的方法。
业务连续性计划(Business Continuity Plan,BCP)包含一系列策略文档,这些文档提供了保证维护关键业务功能的详细过程,并有助于最大限度地挽救人员生命、确保业务持续运营以及保持业务系统正常运行。
BCP是一系列提供应急响应、扩展备份操作和灾难恢复的过程。
BCP应覆盖企业整个范围,每个组织有自己的详细连续性计划和应急计划。
BCP需要确定关键应用程序的优先级,并提供有效恢复的顺序。
如果没有制定和使用适当的BCP,管理人员可能要承担法律责任。
威胁可以是自然的、人为的或技术性的。
恢复计划的步骤包括启动项目、进行业务影响分析、制定恢复战略、制定恢复计划,以及实施、测试和维护计划。
项目启动阶段包括获得管理层支持、制定计划范围以及保证安全工作的资金和资源。
业务影响分析(BIA)是计划制定中最重要的第一步。需要收集、分析、解释并向管理层提供有关灾害业务影响的定性和定量数据。
ISO/IEC 27031:2011描述了业务连续性的信息和通信技术(ICT)准备的概念和原则。
ISO/IEC 22301 是业务连续性管理(BCM)的标准。
¶
CBK2 资产安全
数据聚合可能增加分级方案的敏感度水平。
NIST SP 800—88r1《介质脱敏指导原则》描述了清除数据残留的最佳实践。
处理状态数据是主存储设备(如RAM、内存缓存或CPU寄存器)中的数据。划定范围是指采用更广泛的标准并剔除无关或其他不需要的部分。
裁剪是指当组织在标准中对特定条款进行调整,以便能更好地满足组织的需求。数据泄露意味着数据的机密性已受到损害。
¶
CBK3 安全架构工程
手提式灭火器应放置在电子设备50英尺以内,并应每季度对其进行检查。
CPTED提供了三种主要策略,即自然访问控制、自然监视和自然区域加强。
系统架构是一种用于设计计算机系统,确保每个利益相关者的利益的正式工具。系统架构由不同的视图组成,视图是系统组件及其关系的表示。每个视图处理系统不同方面的问题(功能、性能、互操作性、安全性)。
ISO/IEC/IEEE 42010是一个国际标准,概述了如何使用系统架构及其描述语言。
操作系统可在以下架构中工作:一体化、层次化、微内核和混合微内核。
虚拟存储器结合了RAM和辅助存储组合,因此系统似乎具有更大块的存储器。安全机制越复杂,通常能提供的保证就越少。
进程需要进行隔离,这可通过分段内存寻址、对象封装、资源共享与时分复用、命名区分和虚拟内存映射来实现。
系统提供的安全级别取决于其安全策略的执行情况。
通用准则是为了提供全球公认的评估准则而制定的。
通用准则使用保护样板、安全目标和评级(EAL1至EAL7)为评估目标提供的安全保障。
ISO/IEC 15408 是用来评估 CC 框架下产品安全属性的国际标准。
进程隔离确保多个进程可同时运行,并且这些进程不会相互干扰或影响。TOC/TOU 表示检查时间和使用时间,这是一种异步攻击。
分布式系统是通过网络相互连接的多个计算节点的系统,它们交换信息来完成共同的任务。
云计算是使用共享的远程计算设备,以提供更高的效率、性能、可靠性、可扩展性和安全性。
密码学是一门通过将信息加密成不可读格式以对其保护的科学。
会话密钥是消息的发送方和接收方用于加密和解密目的的对称密钥。会话密钥只有在通信会话处于活动状态是安全的,通信会话结束后就销毁会话密钥。
公钥基础架构(PKI)是由程序、过程、通信协议和公钥密码学组成的框架,使分散在各处的人们能够安全地通信。
密钥管理是密码学中最具挑战性的部分之一。它涉及加密密钥的创建、维护、分发和销毁。
CPTED(通过环境设计来阻止犯罪)结合物理环境和社会学问题,降低犯罪率和对犯罪的恐惧。
对称密钥算法的例子包括DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES。
非对称密钥算法的例子包括RSA、ECC、Diffie-Hellman、El Gamal、Knapsack和DSA。
¶
CBK4 通信与网络安全
开放中继是配置为将电子邮件消息从任何源传输至任何目的地的SMTP服务。
SNMP使用代理和管理器。代理收集和保留面向设备的数据,这些数据存放在管理信息库中。管理器轮询代理,用社区字符串值进行身份验证。
三种主要的多路复用是统计时分复用、频分复用和波分复用。
实时传输协议(Real-time Transport Protocol,RTP)为通过IP网络传送音频和视频提供 标准化的数据包格式。它和RTP控制协议一起工作,提供带外数据统计和控制信息,以反馈QoS级别。
802.1 AR为设备提供唯一的ID,802.1AE在数据链路层提供数据加密、完整性和源验证功能。802.1AF为用于数据加密的会话密钥提供密钥协商功能。每个标准都提供具体的参数以工作在802.1XEAP—TLS框架内。
轻量级EAP由Cisco开发,是EAP和802.1 X第一个用于无线网络的实现。它使用预先共享的密钥和MS—CHAP来验证客户端和服务器的身份。
在EAP—TLS中,客户端和服务器彼此使用数字证书进行身份验证。客户端用服务器的公钥对随机值进行加密,生成一个前置主密钥,然后把它发送给服务器。
EAP—TTLS与EAP—TLS相似,但服务器必须使用数字证书来验证客户端的身份。客户端可使用其他任何EAP身份验证方法或遗留PAP或CHAP方法来验证服务器。
移动电话多种访问技术:1G(FDMA)、2G(TDMA)、3G(CDMA)和4G(OFDM)。
链路加密仅限于两个直接连接的设备,因此每次跳转都需要对消息进行解密(并可能要重新加密)。1. 点对点隧道协议是链路加密技术的一个示例。
端到端加密涉及源节点和目的节点,因此消息不由中间节点解密。传输层安全协议(TLS)是端到端加密技术的一个示例。
MIME是一个技术规范,指示如何传输多媒体数据和电子邮件二进制附件。
安全的多用途 Internet 邮件扩展(S/MIME)是使用加密和数字签名电子邮件以及 PKI提供安全数据传输的标准。
PGP是一个免费的电子邮件安全程序,它使用基于信任网的PKI。
S/MIME和PGP之间不兼容,因为前者使用集中式的、层次化的认证中心(CA),后者使用分布式的信任网络。
包过滤(屏蔽路由器)通过ACL实现,这是第一代防火墙。数据流量能按地址、端口和协议类型进行过滤。
帧中继和X.25是数据包交换的WAN技术,使用虚拟电路而非专用链路。
FDDI是LAN和WAN技术,通常在主干网中使用,采用令牌传递技术,并且具有冗余环以防主环出现故障。1. 令牌环802.5是较早的LAN实现,使用令牌传递技术。
以太网采用CSMA/CD,这意味着所有计算机竞争共享的网络线缆,侦听何时能发送数据,容易造成数据冲突。
ISDN具有BRI速率(使用两个B通道和一个D通道)和PRI速度(使用最多23个B通道)。ISDN技术支持语音、数据和视频。
PPP是用于通信连接的封装协议。PPP取代了SLIP,是通过串行线连接不同类型设备的理想选择。
802.15 标准概括了无线个人区域网(Wireless Personal Area Network,WPAN)技术, 802.16涉及无线MAN技术。
¶
CBK5 身份与访问管理
IdM目录包含所有资源信息、用户属性、授权配置、角色以及访问控制策略,以便其他IdM应用程序可通过一个集中式资源获取这些信息。
用户配置指的是为响应业务过程而创建、维护和注销存在于一个或多个系统、目录或应用程序中的用户对象和属性。
五种主要的访问控制模型:自主、强制、基于角色、基于规则和基于属性。
用户界面限制的方式主要有3种:菜单和shell、数据库视图以及物理接口限制。
访问控制列表与客体绑定,并列出客体可被哪些主体访问。
能力表与主体绑定,并列出主体可以访问哪些客体。
远程访问控制技术有RADIUS、TACACS+和Diameter。
行政性控制措施的示例包括安全策略、人员控制、监管结构、安全意识培训和测试。物理性控制措施的示例包括网络分段、边界安全、计算机控制、工作区域分隔和布线。技术性控制措施的示例包括系统访问、网络架构、网络访问、加密技术和协议以及审计。
单点登录能力可通过Kerberos、域和瘦客户端来实现。
Kerberos 用户收到一张TGT(票据授予票据),该票据允许用户请求通过TGS(票据授予服务)访问资源。TGS使用会话密钥生成新的票据。
击键行为持续监控是一种审计方式,该审计方式跟踪用户的每次击键记录。
客体重用可能会造成信息在无意识的情况下遭到泄露,因为在将介质分配给下一个主体之前未对其进行正确擦除。
信息可通过电磁波获得。对抗此类入侵的方法是TEMPEST、白噪声和控制区域。
Kerberos的弱点有:KDC存在单点故障;它容易遭受口令猜测攻击;会话和秘密密钥本地存储;KDC需要始终可用;并且必须管理秘密密钥。
网络钓鱼攻击是一种社交工程攻击,其目标是获取个人信息、凭证、信用卡号和财务数据。
联合身份是一种与其权利相关联的便携式身份,可跨业务边界使用,不需要同步或合并目录信息。
服务配置标记语言(SPML)由OASIS在XML框架的基础上开发,用于在合作组织之间交换用户、资源和服务配置信息。
服务配置标记语言(SPML)允许跨多个配置系统,实现与电子发布服务相关的自动化用户管理(账户创建、修改和撤销)和访问权限配置。
可扩展访问控制标记语言(XACML)既是一个应用于XML的说明性访问控制策略语言,也是一个用于描述如何解读安全策略的处理模型。
安全断言标记语言(SAML)允许用户在安全域之间共享身份验证与授权数据。
OpenID是一个开放的标准和协议,允许由第三方进行用户身份验证。
OAuth是一个开放标准,允许用户将一些网站资源授权给某个第三方,如联系人数据库。
OpenID Connect是基于OAuth 2.0协议构建的身份验证层,可实现透明身份验证和授权客户端资源请求。
简单对象访问协议(SOAP)是一种协议规范,用于在Web服务和网络环境中交换结构化信息。
面向服务的体系结构(SOA)环境允许在多个业务域的多个独立系统中之间使用一套可互操作的服务。
射频识别(RFID)是一种通过使用无线电波进行数据通信的技术。
¶
CBK6 安全评估与测试
在规划安全审计时,最重要的步骤是设定清晰的目标。
测试覆盖率是衡量一个特定测试或一组测试检查了系统多大部分的指标。
综合交易是模拟真实用户行为的脚本事件,允许安全专业人士系统地测试关键服务的性能。
误用用例是包括威胁角色和他们想要在系统上执行的各种任务的一个用例。
数据备份除非已验证可用于恢复数据,否则不应视为是可靠的。
安全培训是讲授一种或一组技能的流程,使人们能更好地履行特定职能。
安全意识宣贯向人们说明安全问题,以便他们能够识别问题,并能更好地应对。在信息安全环境中,社交工程是指操纵个人执行各种违反安全协议的行为的流程。
偷渡下载是一种自动攻击,人们访问恶意网站时即可触发。
关键绩效指标(KPI)衡量组织在指定时间点执行指定任务的有效性。关键风险指标(KRI)衡量执行指定的一个或一组行动的风险。
必须针对特定的读者撰写有效的报告。
管理评审是一个正式的会议。其间,高层领导确定信息安全管理系统能否有效地完成目标。
¶
CBK7 运营安全
处理敏感信息的主系统应该配置物理访问控制设备,以限制只有授权人员才能访问。
对资源的访问应限于授权人员、应用程序和服务,并应进行审计,以确保符合规定的策略。
应进行变更控制和配置管理,确保变更得到批准、记录、测试和正确实施。
涉及变更管理的活动包括请求变更、批准变更、记录变更、测试变更、实施变更以及向管理层报告。
应采用适当的容错机制来应对设备故障。
应持续更新防病毒程序和入侵检测系统(IDS)的特征库。
持续监测确保组织始终保持对信息安全、脆弱性和威胁的了解,以支持组织风险管理决策。
平均故障间隔时间(MTBF)是系统运行过程中固有故障之间的预计时间。
平均修复时间(MTTR)是指设备在修复故障后重新投入生产所需的预计时间。高可用性是指持续运行的系统、组件或环境。
灾难恢复的高可用性通常是备份、冗余、容错、集群和负载均衡等技术和流程的组合。
数据恢复和还原是通过电子保管、备份和复制技术实现的。
当灾难后返回到原始站点时,应首先回迁最不重要的组织单位。
运营连续性计划(Continuity of Operations Plan,COOP)侧重于在备用站点恢复组织(通 常是总部)的基本功能,并在恢复正常运营前履行这些职能长达30天。这个术语通常被美国政府用来表示BCP。
适度勤勉(或尽职,Due Diligence)要识别和分析风险;适度关注(或尽责,Due Care)意味着应始终采取谨慎的行动以减轻风险。
过失的要素包括:不履行法律认可的义务,不遵守适度关注原则,从而直接导致伤害或损坏。
证据的生命周期包括对证据的识别和收集,以及证据的存储、保存、运输、呈交法庭和归还证据所有者。
证据在法庭上被接受,它必须是相关的、完整的、充分的和可靠的。
安全信息和事件管理系统(SIEM)是一个软件平台,可将安全信息(如同资产清单)和安全事件(或会演变成事故)结合起来并以单一的、一致的、整体的方式呈现出来。
运营安全的主要方面包括资源保护、变更管理、硬件和软件管理、可信系统恢复、职责分离和最小特权。
近距离识别(Proximity Identification)设备可以是用户激活的(需要用户采取行动)或系统感知的(不需要用户采取行动)。
外部围栏既昂贵又不美观,但可提供人群控制并有助于控制对设施的访问。
脆弱性管理是识别脆弱性、确定对组织构成威胁的风险,并提供可将风险控制在可接受水平的周期性过程。
补丁管理是识别、获取、安装和验证产品以及系统补丁程序的过程。
出口流量持续监测(Egress Monitoring)用于跟踪或限制通过网络传输出去的信息。
¶
CBK8 软件开发安全
攻击面是攻击者所有可能入口的集合。减少攻击面就减少了攻击者攻陷系统的可能。
威胁建模是用于了解不同威胁如何实现,以及如何成功防御的系统化方法。
模糊测试指将随机数据发送给目标程序以触发失败。
零日脆弱性是目前尚未解决或没有解决方案的脆弱性。
ISO/IEC 27034标准涵盖下列事项:应用程序安全性概述和概念、组织规范框架、应用安全管理流程、协议和应用程序安全控制数据结构、案例研究以及应用程序安全性保障预测。
如果用户无权访问一组元素,但有权访问该组数据中一些单个元素时,会发生聚合。用户将这些单个元素的信息整合在一起,从而发现了整个组的数据元素信息,而这些信息本来应该在更高的敏感性水平上。这时就发生了聚合。
推理是从不明确的信息中获取信息的能力。
采用数据库分区、单元抑制和向数据库添加噪声等方式是防止推理攻击的常见方法。多实例化允许一个表中多个行具有相同主键可以组织推理。可通过安全水平或分类区分不同的实例。
宏病毒最常见,因为用于开发宏的语言易于使用,并且病毒可感染到处都有的微软Office产品。
多态病毒通过自身复制、修改副本的代码和属性试图逃避检测。蠕虫不需要通过宿主应用程序复制。
为评估已获取软件的安全性,除了内部或第三方测试,还需评估供应商的可靠性和成熟度。
对象请求代理(Object Request Broker,ORB)管理对象之间的通信,使管理对象在异构和分布式环境中可以交互。
Java安全机制采用沙箱技术,applet被限制访问用户的硬盘或系统资源。但程序员目,前已可编写越过沙箱机制的applet。
有三种主要类型的跨站点脚本(XSS)攻击:非持久化XSS(利用动态网站缺乏适当的输入或输出验证),持久化XSS攻击(攻击者将恶意代码加载到服务器上攻击访问该服务器的浏览器)和DOM(攻击者使用DOM环境修改客户端原始JavaScript)。
层次型数据库使用树状结构定义数据元素之间的关系。数据之间是父/子关系。
数据字典保存在一个中央存储库中,描述数据库中的数据元素和彼此之间关系。
开放网络应用程序安全项目(Open Web Application Security Project,OWASP)是一个致 力于帮助行业开发更安全软件的组织。
集成产品团队(Integrated Product Team,IPT)是一个由许多或所有的利益相关者群体代表组成的跨职能开发团队。
变更管理是有意识地规范对项目特性进行更改的一种系统性方法。变更控制是变更管理的组成部分,负责控制对系统特定的更改。
有多种SDLC方法:瀑布模式(顺序排列,要求每个阶段完成后下一个阶段才可开始)、V型模式(在每个阶段强调验证和确认)、原型模式(创建一个示例代码进行概念验证)、增量模式(一个软件在其开发阶段有多个开发周期)、螺旋模式(一个迭代过程,强调对每个迭代进行风险分析)、快速应用开发模式(结合原型和迭代开发过程加速软件开发过程)和敏捷模式(迭代和增量开发过程,鼓励团队协作、使用灵活和可适应的而不是严格的流程结构)。
软件配置管理(Software Configuration Management,SCM)的任务是通过使用授权、版 本控制、建立基线和审计等跟踪和控制软件的变化,目的是在软件的整个开发生命周期中维护软件的完整性和可追溯性。
数据建模是定义和分析支持业务流程的数据需求的流程,这些业务流程一般属于相关系统和软件应用程序范围。
多态性是不同的对象有相同的输入但反应不同。