导图社区 CISSP AIO 信息安全

CISSP AIO 信息安全

CISSP考点,配合ALL-IN-ONE书本使用,划重点考点,红色部分必须牢记,八个知识域全部攘括,目前最全的考点分析,适合梳理知识点,备考冲刺。由于导图内容太大，没有全部展开。绝对足够详细。

编辑于2022-10-27 09:29:52 广东

信息安全

UnC.W_ang

他的近期作品查看更多>>

三年级单词汇总
英语单词只能靠积累，分类，词缀，图片记忆都是方法。先做到能坚持。本脑图有助于帮助您熟悉知识要点，加强记忆。有需要的同学，可以收藏下哟。
CISSP AIO 信息安全
CISSP考点,配合ALL-IN-ONE书本使用,划重点考点,红色部分必须牢记,八个知识域全部攘括,目前最全的考点分析,适合梳理知识点,备考冲刺。由于导图内容太大，没有全部展开。绝对足够详细。
CISSP-AIO-软件安全开发
CISSP已过学员笔记，想通过考试必须记住这些，但不必太深入。对开发安全感兴趣的朋友可以拿来熟悉概念。也可深入了解，不过需要开发方面的书籍，记住这里只是知识框架。

CISSP AIO 信息安全

社区模板帮助中心，点此进入>>

UnC.W_ang

他的近期作品查看更多>>

相似推荐
大纲

论语孔子简单思维导图
- 48.4k
- 726
- 210
MindMaster
《傅雷家书》思维导图
- 100.0k
- 2.4k
- 1.0k
MindMaster
《童年》读书笔记
- 39.0k
- 899
- 308
MindMaster
《茶馆》思维导图
- 9.3k
- 174
- 38
MindMaster
《朝花夕拾》篇目思维导图
- 20.6k
- 1.1k
- 271
MindMaster
《昆虫记》思维导图
- 26.0k
- 729
- 250
MindMaster
《安徒生童话》思维导图
- 14.2k
- 238
- 64
MindMaster
《鲁滨逊漂流记》读书笔记
- 17.5k
- 517
- 159
MindMaster
《这样读书就够了》读书笔记
- 87.8k
- 8.6k
- 2.1k
Ethan
妈妈必读：一张0-1岁孩子认知发展的精确时间表
- 6.8k
- 364
- 54
Ethan

CISSP ALL IN ONE

8、软件安全开发

应用开发学习目标

软件开发生命周期安全

软件开发生命周期的方法

成熟度模型

运行和维护

变更管理

综合产品团队

开发环境中的安全控制

软件环境的安全(程序语言、库、工具箱、综合开发环境、运行时间)；

源代码级的安全弱点和漏洞

配置管理作为安全编码的重要组成

应用程序界面的安全

软件安全的效果

审计和日志的变更

风险分析和缓解(纠正性措施、测试和验证、回归测试)

用户接收测试

应用开发关注点

0、架构模式

三层架构

用户

前段

复杂中间件

数据仓库

错误跟踪和安全功能

客户端/服务器

客户端:用户接口,本地数据库操作、通信机制

服务端:执行和处理数据请求，返回结果

浏览器/服务器

1、环境控制V应用控制

多种控制手段的平衡

理解环境控制和应用控制的界限

2、安全性V功能性

软件功能和安全手段的平衡

功能需求、安全需求和安全机制的平衡

3、安全性V用户体验

通常成反比

4、安全功能V配置安全

默认安装无法保证安全性

配置安全未启用(应该默认拒绝访问)

未遵循最小安装原则

后期补丁安装

系统开发安全

SDLC

项目启动

明确需求，确定产品的基本安全目标

风险分析评估，评估威胁和脆弱性，估计不同安全对策的成本/收益比

风险管理

风险分析

需求分析

安全需求

项目开发和需求管理团队对现行以及可能的未来功能需求进行复杂的分析以确保新系统满足终端用户要求

项目组员还会审查项目初始阶段输出的文档，并根据需求加以修正和更新。

相对较小的项目而言，以上过程往往包含在在项目初始阶段。

安全需求也应该对应形成。(安全需求是在需求分析阶段确定，安全人员在需求阶段就要参与)

系统设计

软件开发作为系统设计的一部分

一般在系统设计时决定使用软件实施的功能而软件的验证必须要考虑所有为系统而设计的背景。软件验证包含确认符合所有软件规格说明已经确认所有软件要求可追溯到系统规格说明中。

一般在系统设计时决定使用软件实施的功能

而软件的验证必须要考虑所有为系统而设计的背景

软件验证包含确认符合所有软件规格说明已经确认所有软件要求可追溯到系统规格说明中。

考虑规格说明

软件和硬件的不同

软件是可以有分支，软件基于不同的输入能执行不同的命令，所以软件是复杂的；

软件不是实体的也就不会磨损

软件验证包含确认符合所有软件规格说明已经确认所有软件要求可追溯到系统规格说明中。

软件很容易和快速的改变

软件不是实体的也就不会磨损；

软件的开发程序应充分计划、控制以及进行记录，用于检测和矫正由于软件变更所带来的非预期结果

软件组件没有像硬件一样经常进行标准化以及可替换的。

软件组件没有像硬件一样经常进行标准化以及可替换的。 software components have not been as frequently standardized and interchangeable as hardware components

用于描述用户需求和系统内部行为的工具

包括系统与软件设计相关的所有活动。

设计系统架构，系统的输出和系统接口

建立数据输入，数据流和数据输出需求，以及一般基于公司的安全架构设计软件安全功能。

设计

数据设计

抽取数据设计和信息模型数据，转换为数据结构

体系结构设计

定义了主要结构和应用程序组件之间的关系

过程设计

将结构组件转换为描述性过程

安全设计方法

威胁建模(STRIDE)

攻击面最小化分析

净化输入输出

需要考虑的问题

后续阶段的工作分解结构(WBS)

产品的细节和实现产品的环境

产品的模块化合重要问题

软件开发和实施

主要工作

源代码已经生成、测试场景和测试用例也相应开发出发

开始实施单元和集成测试

程序和系统也开始文档化为了维护然后向验收性测试和产品转化

测试类型

单元测试

验证数据结构、编辑和边界条件

集成测试

验证组件是否按照设计规范中协同工作

系统测试

功能/性能

验收测试

确保代码满足客户的需求

回归测试

进行系统变更后会从新测试，以确保功能性、性能和保护级别

功能测试

性能测试

负载测试

压力测试

模糊测试(Fuzzing testing)

发送复杂/随机的数据给软件来引起软件的错误，主要用于识别缓存溢出、DOS、注入、验证错误以及其他可能导致软件死机、崩溃或发生各种错误。

脆弱性扫描(Vulnerability scanning)

通过自动化工具检查程序的主要错误，如强类型语言的错误、开发和配置错误、交易序列错误(transaction sequence faults)、映射出发条件(mapping trigger conditions)等，通常在扫描完后需要手工进一步的调查。

人工测试

通过人员的经验和直觉来分析程序，通常使用计算机技术来判断，测试人员能定位设计错误，如逻辑错误。包括渗透测试。

动态分析(Dynamic analysis)

动态分析是及时的分析正在运行的程序，一般是在静态分析之后，程序的基本问题都被解决完后执行。

环境分离，职责分离

验证(verification)

确保满足了产品规范(specfication)

确认(validation )

确保项目的主要目标得到满足

着重于如何使用和操作开发好的系统或应用程序

认证(Certification)

对一个IT系统的技术和非技术安全特性以及其防护措施安全评价，衡量特定设计的实施满足一套规定的安全需要的程度，为认可过程提供支持。

一个检查和估计安全控制的过程

外部独立的检查机构执行

确认对安全策略和标准的合规

鉴定或任何(Accreditation)

权威机构正式声明，某个IT系统已经得到批准，能够运行于特定的安全模式，该安全模式采用了满足可接受风险等级的一套规定的安全措施

管理层对系统认可

对风险的明确接受

迁移和修正

此阶段，系统从验收阶段转化到真实生产环境。

此阶段活动包括获取安全认可(security accreditation);

根据计划培训用户；

实施系统，包括含安装和数据转换；

如有必要，执行并操作。

运行/维护

正确配置安全环境

持续进行脆弱性测试，监控系统活动和审计事件(在维护阶段发现发现了漏洞，采用的行动是报告)

如果发生重大变更执行风险评估，并执行认证和鉴定过程(re-certification,re-accreditation)

处置disposal(第二章)

根据数据敏感程度，摧毁数据。

销毁方法

物理破坏

消磁

覆写

SELC系统工程生命周期(Systems Engineering Life Cycle)

需求分析，设计，实施，验证，运营 Requirements analysis,Design,Implementation,Verification,Operation

变更和配置管理

能力成熟度模型 (CMM)

1、初始(Ad hoc)

2、可重复(Repeatale)

3、自定义(Defined自定义)

4、已管理(Managed已管理，衡量指标)

5、优化(Optiminzing,持续改进)

能力成熟度模型集成 (CMMI)

1、3、5与CMM相同，2已管理，4、量化已管理

综合产品团队

Integreated Proudct and Process Development(IPPD)集成产品和流程开发

通过使用多科目团队同时集成所有必要获取活动来优化设计、制造和支持流程的管理技术

IPPD从产品概念到生产，包括现场支持，促进满足成本和绩效目标

IPPD的关键原则是集成产品团队(IPTs)的多学科协作模式

IPT

来自所有各职能科目的代表与Team Leader一起工作来构建成功和平衡的程序，识别并解决问题，妥善并及时的决策

小组成员不一定贡献100%的时间在项目上，一个成员可以在多个IPT团队。

IPTs的目的是指定团队决策基于来自所有团队的实时输入(e.g,项目管理、工程、制造、测试、逻辑、财务管理、采购和合同管理)也包括客户和供应商

ITPs的团队成员由项目经理级组成，包括来自企业和系统/子系统承包商的成员

典型IPT处于项目集级，例如，可能由以下功能学科组成：设计工程学、制造、系统的工程、测试和评估，分包、质量保证、培训、财务、可靠性、维修行、保障性、采购、合同管理、供应商和客户。

DevOps

从广义上讲，DevOps一种基于精益和敏捷原则的方法将业务属主和开发、运营和质量保证部门协作并以连续的方式交付软件，使业务能够更快地抓住市场机会和减少包括客户反馈的时间。当全面实施时，DevOps可以变成业务驱动的软件交付方法，是一种能够从注意一直到产品线所采取新的或者加强的业务能力方法，以一种有效的方式向用户提供价值并在客户参与能力建设时捕获反馈。为了做到这些，你不仅仅需要开发和运维团队的利益相关者参与。真实的DevOps方法包括业务线、从业者、管理人员、合作伙伴和供应商等。

概念

原则

有许多企业都采用本地化的方式来实施DevOps框架，包括IBM、Amazon、Google、Mircrosoft。

对类似成产系统进行开发测试

目的是允许开发和质量保障（QA）团队来对行为像生产系统样的系统进行开发和测试，这样他们能够知道应用在准备部属前如何行为以及如何良好执行。

以可重复、可靠流程进行部署

本原则允许开发和运维支持迭代的软件开发流程直到生产上线。自动化对于产生可迭代、频繁、可重复以及可靠的流程至关重要，这样组织就可以建立允许持续性和自动化的部署以及测试管线。频繁的部署允许团队自己测试部署流程，从而降低发布时部署失败的风险。

监控和验证运营质量

这个原则在生命周期早期开始监控，通过早起实施的自动化测试以及经常监控应用的功能和非功能特征来获取。每当应用被部署和测试，质量指标应被获得和分析。频繁监控可以提供关于生产环境中发生的运营和质量问题较早的告警。

扩大反馈回路

这个原则要求组织建立沟通渠道允许所有利益相关者可以访问并进行反馈。

软件开发模型

瀑布模型(waterfall)

制定计划、需求分析、软件设计、程序编写、软件测试、运行维护

螺旋模型

结构化编辑开发

迭代开发

原型模型

抛弃型

改进型

快速原型法

摸索模型

联合分析开发

快速应用开发(RAD)

重用模型

净室

组件型开发

敏捷开发

敏捷宣言

个体和互动高于流程和工具

工作的软件高于详尽的文档

客户合作高于合同谈判

响应变化高于遵循计划

Scrum

极限编程XP

Lean

编程语言概念 (搞类聚，低耦合)

结构化程序设计

自顶向下的分析设计；自底向上的逐步实施

面向用户的观点，严格区分工作阶段

缺点；开发周期长、开发过程繁琐和复杂审计比较困难，用户交流不直观

面向对象程序设计

类类（Class）定义了一件事物的抽象特点。通常来说，类定义了事物的属性和它可以做到的（它的行为）。举例来说，“狗”这个类会包含狗的一切基础特征，例如它的孕育、毛皮颜色和吠叫的能力。类可以为程序提供模版和结构。一个类的方法和属性被称为“成员”。我们来看一段伪代码：类狗开始私有成员: 孕育: 毛皮颜色: 公有成员: 吠叫(): 结束

采用类和对象两个部分组成

类Class

类Class定义了一个实物的抽象特点

类定义了实物的属性和它可以做到的(它的行为)一个类的方法和属性被称为“成员”

对象Object

对象(Object)是类的实例

系统给对象分配内存空间，而不会给类分配内存空间；类是抽象的，系统不可能给抽象的东西分配空间，对象是具体的

对象=属性+方法

属性：描述了对象的结构和状态特征

方法：对象能够执行的功能或过程

对象间通信的方法：消息传递

多态性 (Polymorphism)

封装最简单的理解就是包装，指隐藏对象的属性和实现细节，仅仅对外公开接口，即对象的内部状态对外界是透明的。

封装性 Encapsulation

意味着将对象信息隐藏

公有成员

私有成员

继承 (inheritance)

是一种由已存在的类创建一个或多个子类型的机制

软件体系结构

数据结构

对数据元素之间逻辑关系的表示

标量

链表

层次树

内聚和耦合 (高内聚，低耦合)

内聚

反应某个模块能够执行多少种不同类型的任务

内聚越高，就越容易对其进行更新和修改，而不会影响到与其它交互的其它模块

耦合

一个模块执行任务时需要进行多少交互

低耦合更加容易重复使用，修改时也不会影响其它模块

分布式计算

通过对象请求代理体系结构 (CORBA)

微软COM/DCOM模型

EJB

API

API是loT(Internet of Things)的连接器，允许设备互相链接

Representational State Transfer(REST)API

REST通过URL路径元素来解释系统的具体实体的； REST不是架构，但是构建Web顶层服务的架构类型； REST与机遇Web的系统通过简化URL进行通信而不是复杂的请求正文或者POST参数来请求系统特定项目； REST广泛应用；

REST安全专家使用建议

当组织部署Web应用时为API使用同样的安全机制，如果你在WEB前端过滤XSS，同样API也要如此；不要建立和实施你自己的安全方案，如使用经过同行审查和测试的框架或现有库；除非API是免费，仅读公共API，不要使用单个基于密钥的认证，需要加上密码要求；不要通过未加密的固态密钥；理想情况下，使用HMAC（hash-based message authentication code）因为足够安全，使用SHA-2或者以上的。

REST API的三种安全路径

Basic Authentication w/TLS：是三种最简单的一种方式，实施时不需要其他库；使用该协议使用Base64 （64进制），绝对不要在没有TLS加密的方式使用； Oauth 1.0a：三种协议中最安全的方式；使用加密签名，HMAC-SHA1；绝不通过有线传递令牌秘密； Oauth 2.0 ： Oauth2现有规格移除签名，不需要再使用加密算法来建立、生成和验证签名；所有的加密由TLS来处理；现在的库不想1.0那么多，所以使用是个挑战

典型的应用系统

Web安全 (评估和缓解基于Web系统的漏洞)

信息收集 (Information gathering)

安全评估从侦查或信息收集开始

针对Web环境的特定威胁

基于web的管理接口(Administrative interfaces)

鉴别和访问控制(Authentication and access control)

输入验证(Input validation)

路径/目录遍历（Path or directory traversal）：这个攻击又被成为“../”(dot dot slash),通过URL中插入几个“../”字符来回溯或遍历本不应该通过Web访问的目录；统一代码编码（Unicode encoding）： Unicode是一种行业标准，开发他的目的是为了以标准的编码格式来表示世界上的10万多个文本字符。Web服务器支持Unicode以支持不同的字符，在Unicode下，攻击者不用“../”来攻击，而使用Unicode的“%c1%1c, %c0%9v, and %c0%af”，这个请求可能绕过输入验证而被执行；网址编码（URL encoding）：是否曾发现在URL中的“空格”中展示“ %20 ”，实际上“%20”代表空格，因为在URL中禁止使用空格。攻击者发现他们可以以不同的方式表示字符，可能会绕过过滤并提出请求。缓冲区溢出（buffer overflow）：缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，使得溢出的数据覆盖在合法数据上，理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符，但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为"堆栈"。在各个操作进程之间，指令会被临时储存在"堆栈"当中，"堆栈"也会出现缓冲区溢出。. 客户端验证（Client-side validation）：指将指令发送到服务器之前在客户端进行验证，如果客户端作为唯一验证，可能会被攻击者劫持，插入恶意数据。 SQL注入、XSS。

应对

缓存溢出攻击

XSS跨站脚本攻击

SQL注入攻击

参数验证(Parameter validation)

会话管理(Session management)

数据库管理

数据库管理系统 (DBMS)

管理和控制数据访问的程序集

以一定的格式组织并存储数据、记录文件，允许用户存取、管理和更新

焦点：数据采集、存储、恢复

最关注完整性，其次是可用性，最后是保密性

元数据(metadata)

本质：有关数据的数据

有关数据源定义，目标定义，转换规则等相关的关键数据。

特点：

数据一致性

操作必须遵守每个数据的完整性策略，完成交易数据保持一致

数据共享

同一时刻可以有多个用户访问数据库，借助并发控制

数据恢复

若发生错误系或系统崩溃，系统可以恢复。检查在崩溃时候正处理的交易或者回滚，或者想钱已完成一次交易，维护数据的一致性

检查点是一种常见的恢复技术

安全控制

提供各种安全控制，以限制用户访问

确保有效途径或过程

压缩：压缩数据并节省存储空间和I/O的能力

重组：回收不用的空间

重构:添加和改变记录、数据、访问控制、磁盘配置、处理方法的能力

数据库语言

数据定义语言(DDL)，例如：CREATE、DROP、ALTER等语句

数据操作语言(DML), 例如：SELECT(查询)、INSERT(插入)、UPDATE(修改)、DELETE(删除)语句。

数据控语句(DCL)，例如：GRANT、REVOKE等语句。

事务控制语句(TCL), 例如：COMMIT、ROLLBACK等语句

数据库模型

层次数据库模型

逻辑树结构，由在逻辑树结构中相关联的记录和字段组成

树形结构包含许多分支，每个分支又具有许多叶子或数据字段

访问需要明确路径，不适合经常更改，适合于经查询查询

示例：轻量级目录访问协议LDAP、注册表结构

网状数据库模型

用有向图表示实体类型及实体间联系。类似于网状的冗余结构，非严格树形结构。

每个数据元素拥有多个父节点和子节点

与层次模型相比检索速度更快

关系数据库模型

特点：属性/字段(列)和元组/记录(行)

笛卡尔积的组合

主键和外键

主键能唯一标识一条记录

外键：如果一个表中的某个属性值与另一个表中的主键相匹配，并建立某种关系，那么这个属性就视为外键

关系完整性(RDBMS)

实体完整性 (Entity integrity)

每一条记录由主键值唯一确定

语义完整性 Semantic integrity

保证结构化规则和语义规则得到遵守，防止语义上不正确的数据进入数据库。可以通过规则约束的规则来实现。

(参照)引用完整性 (Referential integrity)

任何数据库记录都不能引用一个不存在的主键，如果一个包含有主键的记录被删除了，所有被引用的记录都必须删除掉。(外键)

数据字典

是一种描述数据元素及其关系的中心库，可存储数据用法、数据关系、数据来源和数据格式等关键信息

数据字典是一个控制数据库数据的集中管理部分，描述了数据元素和数据库间的交叉引用

描述数据元素定义、模式对象和引用键的集合

模式对象包括表、视图、索引、过程、函数和触发器

数据管理软件读取数据字典，确定是否存在，并检查特定用户进程的访问权限，还定义了对每个用户的视图权限设置

需要增加新记录、表、视图和模式时，更新数据字典

面向对象数据库模型

将面向对象编程中的对象数据模型与DBMS结合在一起，可存储图像、语音、视频等数据。

面向对象的数据库使用类来定义其对象的属性和过程

对象-关系数据库模型

数据库编程接口

开放数据库互连，ODBC

对象连接和想入数据库，OLEBD

ActiveX数据对象，ADO

Java数据库互连，JDBC

数据库漏洞和威胁

完整性 Integrity

回滚

终止当前实物，取消更改，恢复前一状态

提交

提交，终止当前事务，执行用户进行的修改，如果不能执行成功则回滚

保存点/检查点 check point

如果检测到测错误，用户可以返回相应的位置。

应对并发操作的威胁使用锁机制

聚合 Aggregation

一些信息片段分开时并不敏感，但放在一起就敏感。

解决办法

严格控制聚合函数的访问

禁止用户直接访问数据，可以通过视图方式

推理 Inference

解决办法

访问控制

基于内容相关的访问控制

基于上下文相关的访问控制

单元抑制 (Cell suppression)

用于隐藏特定单元的技术

数据库分割 (database partition)

将数据库分成不同部分

噪声和扰动 (noise and perturbation)

在数据库中插入伪造信息的技术

数据库视图

多实例 (MRDBMS)

建立具有相同主键和多个元组合由安全级别定义的实例之间的关系

死锁 (Deadlocking)

其它威胁

数据库

联机事务处理，OLTP

ACID原则

原子性(Atomictiy)

要么所有修改都提交，要么数据库回滚

一致性(Consistency)

循环数据库完整性，保证不同数据库中数据的一致性

隔离性(Isolation)

交易之间互不影响

持久性(Durability)

一旦提交无法进行回退

OLAP，联机分析处理

OLAP是数据库仓库系统的主要应用

适用于决策人员和高级管理人员

数据仓库和数据挖掘

为了实现信息检索和数据分析，将多个数据库或数据源组合成一个大的数据库

数据挖掘

分类：根据共同的相似性对数据分组

可能性：标识数据之间的相互依赖关系，并将可能性应用与他们之间的关系

专家系统

基于规则的编程

规则基于if-then逻辑单元

组成

推理机

推理机提供用户界面、外部文件、计划和程序访问能力

知识库

知识库包含特定问题或者领域相关的数据

专家系统通常被IDS用于自动审查安全日志

人工神经网络

基于人脑神经结构的电子模型

大脑以模拟的形式存储信息

当学习到某个事物并经常使用时，到信息存储单元的连接路径就会加强

神经网络被设定位拥有决策和学习能力，通过大量的试探和错误决策过程改善其功能

威胁

缓冲区溢出 Buffer Overflow

隐蔽通道 Convert Channel

计时(timing)

存储(Storage)

内存重用/对象重用 (Memory reuse/Object reuse)

社会工程学

陷门/后门 Trapdoor/Backdoor

欺骗攻击 (Spoofing attack)

web安全

故意破坏

用修改过的图片和标题替换合法图片和标题

认知及现实

金融欺诈

虚拟环境下的服务和交易的欺骗

特权访问

限制特权用户的访问

盗窃交易信息

盗窃知识产权

拒绝服务攻击

SAML

SAML安全断言(Security Assertion Markup Lauguage),

是一个基于XML的协议

是一个联合身份标准

用于在不同安全域传输身份验证和授权信息，可用于实现单点登录。类似于Kerberos依赖于KDC，SAML依赖于IDP(Identity provider) SAML有一项功能叫策略执行(Policy enforcement).

OAuth2.0

OAuth(开放授权)是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片，视频，联系人列表)，而无需将用户名和密码提供给第三方应用

原先的OAuth，会发行一个有效期非常长的token(典型的是一年有效期或者无有效期限制)，在OAuth2.0中，server将发型一个端有效期的access token和长生命期的refresh token，并且也限制access token的有效期

移动代码

7、安全运营

1、安全运营的基本概念

关键主题

维护运营弹性

When it comes to day-to-day operations, few things are more important than maintaining the expected levels of service availability and integrity. Organizations require critical services to be resilient. When negative events affect the organization, the operations staff is expected to ensure minimal disruption to the organization’s activities. This includes anticipating such disruptions and ensuring that key systems are deployed and maintained to help ensure continuity. They are also expected to maintain processes and procedures to help ensure timely detection and response.

关键业务有弹性保持连续性

制定有应急预案

实时监控和响应

保护有价值的资产

Security operations are expected to provideday-to-day protection for a wide variety of resources, including human and material assets. They may not be responsible for setting strategy or designing appropriate security solutions. At a minimum, they will be expected to maintain the controls that have been put into place to protect sensitive or critical resources from compromise.

提供各种资产的日常维护

保护资产不被破坏

控制系统账号

Under the current regulatory environment, there has been a renewed focus on maintaining control over users (subjects) that have access to key business systems. In many cases, these subjects have extensive or unlimited capabilities on a given system; these are privileges that could be misused or abused. Operations security will be expected to provide checks and balances against privileged accounts as well as maintain processes that ensure that there continues to be a valid business need for them.

维护用户访问关键业务系统的控制

提供各种账号(尤其是特权账号)的检查和平衡，确保这些账号成为合理的业务需求

有效管理安全服务

No security operations will be effective without strong service management and the processes that are put into place to ensure service consistency. These include key service management processe common to most IT services such as change, configuration, and problem management. It will also include security-specific procedures such as user provisioning and Help/Se rvice Desk procedures. In today’s security operations, there is also considerable focus on reporting and continuous service improvement practices.

IT服务的变更，配置和问题管理

安全相关程序，如用户配资和服务台程序

关注报告和服务持续改进实践

运营人员的要求

prudent man负责、谨慎、明智和有能力的人

适度谨慎 due care

采取了合理的防范保护措施

适度勤勉 due deligence

在日常管理中尽到责任

检查

收集信息做出正常决策

控制特权账号

对账号的数量和类型进行严格控制

小心监控系统的账号管理权限

服务账号

执行脚本的账号

Identity and access management,IAM身份和访问管理

The provisioning of users用户配置(provisioning开通)

managing their access across multiple systems管理跨多系统的访问权限

native access control systems本地访问控制系统

知所必需和最小特权(互为补充)

need to know 知所必须

基于工作或业务需要被授予最小知悉范围和访问权限

运营安全是关键

I east privilege 最小特权

要求用户或进程没有不必要的访问特权来执行工作、任务和功能

目标

限制用户和进程只访问必要的资源和工具来完成指定任务

限制

可访问的资源

用户可以执行的操作

使用组合角色管理账号

Efficient management of users requires the assignment of individual accounts into groups or roles. This will allow rights and privileges to be assigned to groups or a role as opposed to individual accounts When groups can be set up according to job functions within the organization, role-based access control (RBAC) can be used.

不同类型的账号

特权账号

Root or 内置管理账号

用于管理设备和系统全能默认账号

安全控制

更名尽可能的严格

默认密码要修改

Logs记录个人使用，root账号的行为

使用root账号远程登录时

会话应执行强加密和监控

使用多因子的身份验证方法

服务账号

Systems use a variety of accounts to provide automated services, such as Web servers, email servers, and database management systems.

由系统服务和核心应用所使用的特权访问

密码复杂并经常更换

有一个策略来回收和关闭已遭泄露账号

管理员账号

Systems use a variety of accounts to provide automated services, such as Web servers, email servers, and database management systems.

这些账号被分配给需要系统特权访问来执行维护任务的指定个人

这些账号应与用户的普通账号分开

账号密码应安全可靠的分发给个人

管理员应书面承认接受账号并遵守组织规则

账号不再使用应立即去除

所有的活动应该被审计

部署额外的日志系统

多因素认证

超级用户

这些账号权限由于工作所需授予超过普通用户权限但是不需要管理员权限的

超级用户可以在自己的桌面上安装软件

应书面承认接收账号并遵守组织规则，如签署安全协议书

普通或受限用户账号

使用用户最多

基于最小权限或知必须原则

职责分离(会导致合谋)

定义：将一个关键任务分成不同的部分，每个部分由不同的人来执行

导致同谋

进行欺诈需要多个共谋

目的

制约，减少故意破坏的几率

补充，减少无意的疏漏的错误的几率

原因

不同安全相关任务所需技能不同

将管理员任务分成多个角色以赋予不同的信任级别

防止安全相关功能委托一个角色或人员

系统管理员

最小权限

根据需要确定必要访问和应用

监控

行为被日志审计并发送到一个单独的审计系统中

防止欺诈行为

管理员如果没有勾结他人就没能力参与恶意活动

背景调查

岗位轮换

Job rotation ensures another individual must perform the original system administrator’s duties and also review their work.

操作员

工作职责

进行主机的日常操作，确保预定的工作有效进行和解决可能出现的问题

权限说明

操作员具有很高的权限，但低于系统管理员，这些权限可以规避系统的安全策略，应监控这些特权使用并进行日志审计

安全控制

最小特权

The systems operator often does not require access to every system and function in an organization. Determine what access is needed and apply accordingly.

监控

操作员的行动被记录并发送至不受操作员控制的一个独立系统中

职责分离

管理员如果没有勾结他人就没能力参与恶意活动

背景调查

安全管理员

作用：定义系统安全设置并协同管理员进行相关配置，提供一种权利制衡，为系统管理员提供审计和审查活动

主要职责

账号管理

敏感标签的分配

系统安全设置

审计数据的评审

IT帮助/服务台人员

提供一线支持

在需要时重置用户密码

进行监控和背景调查

普通用户

需要访问信息技术资源

监控特权

许可、适用性和背景调查

以下情况不应该被授予访问权限(如，基于IDS和防火墙日志，应立立即阻断某个IP的访问，但没有；调整时钟或删除日志等)

近期严重缺乏相关的判断力

有关角色的行为出现重复的高风险模式

角色的表现与非法活动有关

Account Validation账户验证

确定现有不活动账号(如，已离职/离岗人员账户、临时休假人员账号)

Job rotations岗位轮换

减少个人之间共谋活动的风险

双人操作(two mon rule)

现场互相监督

双重控制(Dual Control)

例如：通过知识分割实现

Mandotory vacations强制休假

强制员工休假，以便能识别潜在的欺诈行为，并且使工作轮换成为可能。

强制假期具有突然性，使欺诈者没有实践来掩饰欺诈痕迹；欺诈者为了避免他人发现其行为，可能长期主动放弃休假。

安全管理员与网络管理员

区别

网络管理员关注可用性及用户需要的功能和效率

但效率和功能常以牺牲安全为代价，注重安全常会降低效率，如采用杀毒软件扫描，部署防火墙、IDS等

安全管理员职责

1、实现和维护安全设备和软件 2、执行安全评估 3、创建和维修用户资料，实现和维护访问控制机制； 4、配置和维护强制性访问控制，环境中的标签； 5、为用户设置初始口令； 6、检查审计日志；

可问责(Accountability)

用户访问资源的权限必须给予适当控制，以避免授予过多权限导致对公司及其资源造成损害。

应当对用户访问和操作资源的行为进行监控、审计和日志记录。用户ID应包含在日志Routine

manner日志应常规记录，并定期分析，可通过自动方式和人工方式相结合的手段，当超过规定门限报警时，管理员给予及时分析处置。

错误警报门限(Clinpping levels)

定义

应设定某种错误发生次数的门限，超过此门限后相关行为将受到怀疑或禁止

作用

设置错误警报门限的目的是使用门限值、监控和审计的方式，及时发现问题防止更大损失发生

运营责任

操作安全目标：降低可能由非授权访问或滥用造成损失的可能性

管理层负责雇员的行为和职责

操作部门的人员负责确保系统收到保护并预期的方法下运行

操作部门目标：防止反复发生问题，将硬件和软件故障降低到可接受的级别以减少事故或破坏的影响

关注内容

不寻常或无法解释的事件；偏离标准，偏离标准的安全事件；不定期的初始程序加载(重启)关注无辜重启的设备；资产表示和管理，资产管理是指了解整个环境中的一切：硬件、固件、操作系统、语言运行时环境、应该程序以及不同的库；系统控制：确保指令在正确的上下文中执行；可信恢复：确保故障和操作中断不会破坏系统安全运行所需的机制和规程；输入和输出控制：应用程序的输入和输出有直接的关联关系，需要监控控制输入中的任务错误和可以行为；系统强化：金庸不需要的组件和服务；系统安全配置加固；远程访问安全：不得以明文方式传送命令和数据，应当使用SSH而不是telnet；应该在本地而不是远程管理；只允许少数管理员执行这种远程功能应对任何挂你活动实施强身份验证；禁止任何未授权人员访问。

软件许可控制

仅授权软件才可安装，禁止安装盗版软件

使用盗版软件或超授权数量、范围安装使用License是要追究法律责任的

应采取手段监控软件License使用情况

人身安全

Personnel are often the greatest assets when designing physical and environmental security Personnel are becoming more mobile and more concerned regarding their privacy be aware of privacy laws and expectations

Privacy 隐私

In most instances communication about the organization's privacy policies is key to ensuring privacy related complaints are minimized.

Travel 出行

Duress胁迫(属于社会工程)

Duress is a topic that relates to the concept of a person doing something or divulging something they normally would not under threat of harm. For example, an intruder may break into a data center and demand the receptionist cancel the alarm and tell the police it is a false alarm or the attacker will harm the receptionist. Scenario analysis can assist in determining the alternatives available and ensuring appropriate training and education can be conducted for individuals subject to duress

2、配置管理

目标

建立和维护产品、系统和项目整个生命周期的完整性

the product, system, or item that is being managed throughout its lifecycle within the organization.

配置管理适用于不同类别资产管理

物理资产(服务器、笔记本、平板)

虚拟资产例如：软件定义网络SDNs.虚拟SAN(vSAN)

应用 (例如：Web服务，软件即服务Saas)

系统，虚拟机(VMs)

云资产Cloud assets

作用

identifying configuration items for the software project识别软件产品的配置项

contorlling these configuration items and changes to them.控制配置项及其变更

recording and reporting status and change activity for these configuration items记录和报告配置项的状态和变更活动，同时开展审计

活动

1、识别将要置于配置管理下的配置项、组件及其相关工作。

2、建立和维持配置管理和变更管理系统来控制工作产品

3、建立和发布内部使用基线以及交付给客户的基线。

4、追踪配置项变更请求

5、控制配置项内容变更

6、建立和维持描述配置项的记录

7、执行配置审计来维持配置项的完整性。

可信恢复

目的

可信恢复的目的是确保在故障和运作中断情况下维护系统的安全和职能功能；为了实现上述目的，系统应该加入一系列机制使其在预先定义的故障或中断发生时能够保持安全状态；

类型

系统重启：以受控方式关闭系统，重启前数据仍然处于不一致状态，重启进入维护状态自动执行恢复，将系统带入到一致状态；

系统冷启动：自动化恢复机制无法将系统带入到一致状态，由管理员人工介入将系统从维护模式恢复到一致状态；(用于打败 defeat 攻击的启动方式)

系统崩溃后正确步骤

进入单用户或安全模式

修复问题并修复文件

确定关键的文件和操作

输入输出控制

一个应用的输入直接影响了输出的结果，因此应当监控输入存在错误或可疑的行为

应用程序应通过程序限定输入数据的类型并进行检查

系统强化

网络设备的物理控制措施

机柜上锁

大容量存储设备介质的控制

物理控制+技术控制

工作站的安全防护措施

做一个硬拷贝镜像，称做Gold Master(GM)母盘

应用系统的安全防护

关注脆弱性检测与修复

组件的安全防护

对组件进行恰当的配置

远程访问安全

远程访问是组织常用的运维方式，也是保障在灾难中得以恢复的重要手段，并可减少运维成本

运程访问是移动办公、出差等情况所选用的一种访问手段

风险

非授权访问、病毒和恶意代码引入等

安全措施

采用VPN技术进行网络安全接入

数据加密传输，即使使用VPN技术

采取强身份验证措施

关键设备本地管理，而非远程管理

限制远程访问的管理员数量到最小化

3、物理安全(第3章)

边界安全的实施和运行

物理安全的目的

控制对物理设施的访问，设施防护的第一道屏障

纵深防御(defense-in-depth)

如果一层机制失败，其他机制起作用

secure the weakest link保护最弱环节

门卫

物理保护措施最终都需要人员介入响应报警

安全人员可以对建筑物进行足部巡逻，或驻足于某一固定位置

通过检查员工的身份识别卡控制访问

威慑力强，但成本高

人员可靠性有限

Contract security can adapt staffing levels more easily than a proprietary system, as the need for staff rises and falls due to sudden or unexpected circumstances Contract security employees are seen as impartial because they are paid by an outside company to enforce a set of policies and are not as likely to deviate from procedures due to personal relationships or pressure.

选择保安时进行筛选，选择可靠的人员比较重要

4、安全资源配置

资产清单

跟踪硬件

1、品牌 2、型号 3、MAC地址 4、序列号 5、OS 或固件版本 6、位置 7、BIOS和其他硬件 8、分配的IP地址(如果可用) 9、组织资产管理的标签或条形码

跟踪软件

1、软件名称 2、供应商 3、密码或激活码 4、许可证类型和版本 5、许可证数量 6、许可证数量 7、许可证可一致性 8、组织软件库管理员或资产管理员 9、已安装软件的组织联系人 10、升级、完全或受限许可证

软件库和硬件库的安全作用

安全专家能迅速找到和减少与硬件类型和版本相关的漏洞

知道网络中硬件类型和位置能降低识别受影响设备的工作量

可以经扫描发现网络中未经授权的设备

维护配置清单

记录和追踪配置的变更能提供网络完整性和可用性的保障

定期检查确保非授权变更

变更管理

变更管理流程

Requests 请求

Proposed changes should be formally presented to the committee in writing. The request should include a detailed justification in the form of a business case argument for the change, focusing on the benefits of implementation and costs of not implementing.

Impoact Assessment 影响评估

Members of the committee should determine the impacts to operations regarding the decision to implement or reject the change.

Approval/Disapproval 批准/不批准

Requests should be answered officially regarding their acceptance or rejection.

Build and Test 构建和测试

Subsequent approvals are provided to operations support for test and integration development. The necessary software and hardware should be tested in a non-production environment. All configuration changes associated with a deployment must be fully tested and documented. The security team should be invited to perform a final review of the proposed change within the test environment to ensure that no vulnerabilities are introduced into the production system. Change requests involving the removal of a software or a system component require a similar approach. The item should be removed from the test environment and have a determination made regarding any negative impacts.

Notification 通知

System users are notified of the proposed change and the schedule of deployment.

Implementation 实施

The change is deployed incrementally, when possible, and monitored for issues during the process.

Validation 验证

The change is validated by the operations staff to ensure that the intended machines received the deployment package. The security staff performs a security scan or review of the affected machines to ensure that new vulnerabilities are not introduced. Changes should be included in the problem tracking system until operations has ensured that no problems have been introduced.

Documentation 记录

The outcome of the system change, to include system modifications and lessons learned, should be recorded in the appropriate records. This is the way that change management typically interfaces with configuration management.

紧急变更

得到口头授权

该有的测试和回退计划都要有

事后再补记录和补正式的授权

ECAB(紧急变更顾问委员会)

5、网络和资源可用性

保障可用性的手段

能够进行“热交换”的冗余硬件；

容错技术

Failover故障切换

负载均衡

服务级别协定SLA

What

SLA是一个描述业务/客户从IT部门获得服务水平的简单文档，展示服务测量指标、补救或如果达不到协议要求所遭受的惩罚

如果由于客户的原因导致SLA不到，则不应该受罚

SLA

IT承诺给业务部门或外部客户

OLA(Operational Level Agreements)操作级别协议

IT内部

uc支持合同

和供应商签订

Why

确保双方你理解要求

确保协议没有被有意或无意的曲解

不同的级别不同价格

协商的起点

关键部分

Service elements 服务元素

提供具体服务

服务可用性状态

服务标准(时间窗)

升级程序

各分职责

费用/服务权衡

Management elements 管理元素

测量标准和方法定义\报告流程\内容和频率\争议解决过程

SLA保持更新

供应商能力和服务需求变化

赔偿

供应商将不得不向客户支付由于担保违规造成的任何第三方费用

SLA 不能转让

如何验证SLA

测量指标

Service Availability 服务可用性

Defect Rates不良率

Technical Quality 技术质量

Security 安全

可用性指标举例

99%(which allows for over 7 hours of unplanned downtime per month 允许每月7小时中断)

99.9%（43.8 minutes per month 允许每月43.8分钟中断）

99.99%(4.4 minutes per month，允许每个月中断4分钟)

合适评审SLA

■ The clients business needs have changed (for example, establishing an e-commerce site increases availability requirements). ■ The technical environment has changed (for example, more reliable equipment makes a higher availability guarantee possible). ■ Workloads have changed. ■ Metrics, measurement tools, and processes have improved.

稳健的操作措施；

冗余和容错

设备备份

备件

冷备用

A cold spare is s a spare component that is not powered up but is a duplicate of the primary that can be inserted into the system if needed.

备件没有启动

和主设备一模一样

如果需要可以使用

一般在存储在主设备附件

不能用于非人工环境

暖备用

已经注入系统但是没有启用，除非有需要

热备用

注入系统并开机直到需要时唤醒

冗余系统

典型的冗余配置

主备对模式

主系统提供所有服务

被动系统监控主系统的问题

集群

两个或多个加入集群并同时提供服务

网络计算

另外一种负载均衡的大规模并行计算方法

网络计算不适合于需要保密的计算机，更加适合于财务建模、天气建模和地震建模等项目

电源备份

冗余(或双)电源供给

UPS

替代能源(如柴油发电机)

驱动器和数据存储

SAN和NAS

SAN存储区域网络

A SAN consists if dedicated block level storage on a dedicated network.SAN由专用网络上的专用块级存储组成

numerous Storage devices such as tape libraries，optical drives，and disk arrays许多存储设备，如磁带库、光盘驱动器和磁盘阵列

protocols like iSCSI to appear to operating systems as locally attached devices用iSCSI这样的协议，对操作系统中显示为本地链接的设备

large banks of disks are made avilable to multiple systems connecting to them via specialized controllers or via Internet Protocol （IP） networks通过专用控制器或IP网络连接到多个系统的大型磁盘库

NAS网络附加存储

一个 NAS 单元是一个将存储容量连接到网络的开放式系统计算机系统，可向网络中的其它设备提供基于文件的数据存储服务。 NAS 使用标准文件协议（如通用 Internet 文件系统 (CIFS) 和网络文件系统 (NFS)），允许 Microsoft Windows、Linux 和 UNIX 客户端通过 IP 网络访问文件、文件系统和数据库

允许网络服务器与网络客户分享他们的存储空间

file level instead of the block level文件级而不是块级

designed to simply store and serve files旨在简单地存储和提供文件

NAS还可用于为网络上的多个系统提供存储

RAID 廉价冗余磁盘阵列

用于提高冗余和或性能改进的技术，以逻辑的方式结合多个物理磁盘形式逻辑阵列。当数据保存时，信息会写入所有的驱动里

RAID 0

在不使用奇偶校验信息的情况下跨多个磁盘以条带方式写入文件。

提升读写速度

所有磁盘都可以并行访问

不提供冗余

RAID 1

此级别将所有磁盘写入从一个磁盘复制到另一个磁盘，以创建两个相同的驱动器。

数据镜像

冗余

Costly花钱多

RAID 2

更多是理论上的，较少在实践中使用

汉明纠错码

RAID 3 and 4

RAID 3 的字节级和RAID 4的块级校验

需要三个或更多驱动器才能实现。

条带化

奇偶校验盘

奇偶校验信息写在一个盘上

奇偶校验驱动器是阿格硫斯之踵，因为它可能成为瓶颈，通常会比其他驱动器更早出现故障。

RAID 5

于RAID 4相似

奇偶校验信息块分散在每个盘

条带化

较为常用

RAID 6

扩展了RAID 5的功能

计算两组奇偶校验信息。

RAID6 性能稍差

RAID 01 and RAID 10

一般来说，无论在速度还是冗余方面，RAID 1+0 都被认为在所有方面优于 RAID 0+1

在 RAID 0+1中，第一组磁盘将所有可用驱动器(RAID 0部分)上的数据条带化，这些驱动再器被镜像到另一组磁盘(RAID 1部分)

直接访问与顺序访问存储设备

直接访问与顺序访问的区别

直接访问存储设备时，任何位置可立即到达；顺序访问存储设备时，需要穿越当前位置与目标位置之间的距离才能到达目标；

磁带驱动器属于顺序访问存储设备；

多轨道磁带设备属于直接访问驱动器(DASD),将主要数据段的起始位置保存在磁带的特定点上和磁带驱动器的缓存中，允许磁带驱动器更迅速的到达某个轨道及轨道上的某个点；

冗余独立磁带阵列RAIT

使用磁带驱动器，而非磁盘驱动器；

保存大量数据时，磁带驱动器成本较低

相对磁盘，他的速度更慢；

database shadowing(实时)

用于数据库管理系统在多点的记录更新

用于远程的完整数据库拷贝

备份和恢复系统

Backup and recovery systems focus on copying data from one location to another so that it can be restored if it is needed

备份数据包括关键系统文件和用户数据

备份窗口

足够大

全备

不足够大

差备或增量备份

备份涉及生产系统拷贝数据到远程介质中

如将高密度磁带或存储到不同的地方

至少三个备份磁带

原站点

恢复单个故障系统

近战点

used only when the primary facility has suffered a more general failure and where the local tapes have been damaged

主站点遭受了普遍故障，且磁带已损坏

远程站点

异地站点

This provides assurance of a recovery in the event that the facility is destroyed in a catastrophe. The off- site location should be far enough away to preclude mutual destruction in the event of a catastrophe but not so far away as to introduce difficulties in transporting the media or retrieving it for recovery purposes. Unfortunately, the answer to offsite storage is a difficult challenge in areas prone to natural catastrophes.

离主站点的有段距离的安全位置

电子传送/电子跳跃/电子保险库

通过网络备份数据

主系统的变更传送到库服务器中

Electronic Vaulting阶段性的传送，不是实时的

存储库服务器

配置成类似于存储设备

与实时更新相反，文件的变更使用增量和差异备份方式传递到存储库

日志或交易记录

数据库管理系统使用的技术提供交易的冗余

When a transaction is completed, the database management system duplicates the journal entry at a remote location. The journal provides sufficient detail for the transaction to be replayed on the remote system. This provides for database recovery in the event that the database becomes corrupted or unavailable

人员编制弹性

避免关键人员的单点故障

足够的人员配置水平

适当的培训和教育

轮岗培训

平均故障时隔时间(MTBF)

Uptime

系统可用时间

平均修复时间(MTTR)

downtime

是指修复一台设备并使用重新投入生产预计所需要的时间

MTBSI=MTBF+MTTR

单点故障

防止某一台设备出现故障对整个网络造成负面影响

可信路径和故障安全机制

可信路径

为特权用户功能提供可信接口

提供确保是御用该路径的通信不会被链接或破坏的方法

典型措施

日志收集和分析、漏洞扫描、补丁管理和定期系统完整性检查

Fail-Safe 故障保障

发生故障时自动开启(如电源中断)

关注生命或系统安全

Fail-Secure 故障财物安全

发生故障时自动锁闭(如电源中断)

关注故障后以可控的方式阻止访问，当系统处于不一致状态时

6、资源保护措施

Operations can be impacted by a variety of threats. These threats may be caused by individuals or environmental factors. A security practitioner who is aware of common threats will be more prepared to propose or implement controls to mitigate or limit the potential damage

资源保护

有形和无形资产

设施防护

硬件

硬件需要适当的物理安全措施来维护所需要的机密性、完整性和可用性

操作员终端和工作中应限制访问

应限制设施的访问

应保护移动资产

打印设施应位于授权用户附件

网络装置属于核心资产应需要保护

保护措施通用流程

1、识别和评估风险

2、选择恰当的控制措施

3、正确的使用控制措施

4、管理配置

5、评估操作

非授权泄密

是一种值得关注的威胁

恶意软件的恶意活动以及恶意用户都会导致重要信息的丢失

破坏、中断和盗窃

不恰当的修改

防火墙(第4章)

入侵检测系统架构(第5章)

邮件防护--白名单、黑名单和灰名单

白名单

一列被列为“好的”发送者的邮件地址或IP地址等

黑名单

一列“坏”的发送者

灰名单

不能判断是好还是坏，灰名单会告诉邮件发送服务器快速的重新发送性的邮件

非盈利组织

非营利组织

追踪互联网垃圾邮件的运营和源头

为互联网提供实时有效的垃圾邮件保护

沙盒、反恶意软件、蜜罐和蜜网、第三方服务

Honeypots and Honeynets蜜罐系统和蜜网(属于检测性控制)

作为诱饵服务器收集攻击者或入侵者进行系统的相关信息

Sandboxing沙盒

软件虚拟化技术

让程序和进程在隔离的环境中运行

限制访问系统其他文件和系统

沙盒里发生的只在沙盒里发生(最小授权)

一项取代传统防病毒

可能检测到零天漏洞和隐藏的攻击

恶意软件会使用各种技术规避检测

Anti-malware 反恶意软件

installed on individual hosts,on systems 部署在单个主机和系统上

Unified Threat Management(UTM)安全网关

continual updates 持续更新病毒库(每天更新)

monitored to ensure they are still active and effective 通过监控来确保防病毒系统始终存活和有效

automatic scanning for new media and email attachments .部署介质和邮件附件自动扫描策略

Scanning should be scheduled and accomplished on a regular basis.扫描应给定期安排和实施

environmental checks 环境监测

Another evasive method is carried out through environmental checks. Malware authors can add novel, zero-day environmental checks related to the operating system and manipulate the return value as an evasive maneuver that forces vendors to patch their sandbox to catch it.

第三方服务Third-party Security Services

Dynamic application security testing 动态应用安全测试(DAST)

用于检测应用在运行状态中安全漏洞的状态

多数暴露的HTTP和HTML的问题，多基于WEB漏洞

有些为非Web协议和数据畸形

方法

动态应用安全测试是一项服务

具有爬虫能力来测试RIA(Rich Internet Applications)

HTML5. (使用Websockets)

具有爬虫能力并测试使用其他Web协议接口的应用

静态应用程序测试能力(SAST)

交互式安全测试

综合模糊测试

测试移动和基于云的应用程序

补丁和漏洞管理

补丁管理的目的

建立持续配置环境保护操作系统和应用的已知漏洞

The main objective of a patch management program is to create a consistently configured environment that is secure against known vulnerabilities in operating systems and application software.

很多时候厂商升级版本时不给出升级的原因和理由

■ http://cve.mitre.org The Common Vulnerability and Exposures database that provides the standard naming and numbering convention for disclosed vulnerabilities ■ http://nvd.nist.gov An online database of known vulnerabilities managed by the U.S. National Institute of Standards and Technology (NIST) ■ http://www.us-cert.gov -An online resource for a wide variety of information on known vulnerabilities and remediation options

补丁管理考虑的风险因素

是否通过管理层批准

是否遵从配置管理策略

是否考虑带宽利用率

是否考虑服务可用性

Centralized patch management补丁集中管理

是补丁管理的最佳实践

虚拟化技术使你更容易建立补丁测试实验室

一些控制措施可以减轻软件漏洞的影响，例如防火墙、IDS等，给我们预留测试补丁的时间

Reverse Engineering Patches逆向工程补丁

应对 0 day攻击

通过逆向工程供应商可以推出软件补丁

通过逆向工程使黑客更易利用最新的漏洞

取决于黑客和供应商应用逆向工程的速度

补丁管理步骤

安全专家需要判断是否是漏洞

是否需要升级补丁

基于风险决策

补丁的重要程度

管理层和系统属主来确定是否更新补丁

是否会影响到业务

更新补丁已经被测试以及残余风险被解决

安排更新

部署前通知用户

在夜间或周末更新

部署前备份服务器

更新完成后需要在生产环境中验证

可能会产生一些不可见问题

部署完成后确保所有适当的机器都被更新

记录所有变更

安全和补丁信息管理

关键部分

补丁管理是要知道关于安全问题和补丁发布两者的信息

知道与他们环境有关的安全问题和软件更新

建议专人和团队负责提醒管理员和用户的安全问题或应用的更新

Pacth Prioritization and Scheduling补丁优先级和作业安排

1、补丁生命周期(Pacth cycle)指导补丁的正常应用和系统和更新

cycle

时间或实践驱动

帮助应用的标准补丁的发布和更新

2、作业计划处理关键安全和功能补丁和更新

patch priority and scheduling urgency

Vendor-reported criticality(e.g.. high .medium,and low)

system criticality

importance of the applications and data the system

补丁测试

补丁测试的广度和深度

系统的关键度

处理的数据

环境的复杂度

可用性需求

可用资源

补丁测试流程开始于软件更新的获取和在生产部署后连续通过可接受性测试

补丁获取时需要进行验证

来源(soucre)校验

完整性(integrity)校验

数据签名

校验和

补丁校验完成后进行测试

测试环境尽可能的接近生产环境

可以用生产系统的子系统作为测试环境

补丁变更管理

变更对补丁管理的每一步都非常重要

修补应用程序应包含应急和回退计划

在变更管理方案中包含风险降低策略

变更管理方案中包含监控和可接受计划

证明补丁成功具体里程碑和可接受标准

允许关闭变更系统中更新

补丁安装和部署

补丁管理的部署阶段必须具有良好经验的管理员和工程师

安装和部署意味着生产系统的补丁和更新会真实实施

影响补丁部署的技术因素是工具的选择

工具选择

购买

自建

工具类型

agent-based

agentless systems

部署安全补丁

及时完成

可控和可预期

补丁审计和评估

常规审计和评估能衡量补丁管理成功和程度

两个问题

对于任何已知漏洞Bug什么系统需要修补？

系统是否更新真实的补丁？

关键成功因素

资产和主机管理

理想主机管理软件能声称报告

管理工具

Tivoli, UnicenterTG, or System Center Configuration Manager

系统发现和审计作为审计和评估流程的部分

漏洞管理系统

Sun Tzu once wrote, “If you know the enemy and know thyself, then you need not fear the result of a hundred battles.” The two principal factors needed for an organization to “know thyself” involve configuration management and vulnerability scanning.

脆弱性扫描

Vulnerabilities arise from flaws, misconfigurations (also known as weaknesses), and policy failures.

识别这些弱点

漏洞类型

系统缺陷

产品设计缺陷

缓冲区溢出

配置错误

配置错误导致系统容易收到攻击

策略错误

个人未能按照要求遵守或实施安全措施

基于主机的扫描

识别服务器上缺失的安全更新

识别可能表明系统受损的未经授权的软件或服务

应用安全扫描

数据库安全扫描

发现配置错误

7、事件管理(安全事故管理)

事件定义

时间是一个可被观察、验证和记录在案的消极事情

事故是给公司及其安全状况造成负面影响的一系列事件

事故响应：某些事情给公司造成影响并引发了安全违规，诸如此类应对问题成为事故响应或事故处理

事件响应或事件处理已经成为组织安全部门的主要职责

Computer Emergency Response Team Coordination Center (CERT/CC), AusCERT Forum of Incident Response Teams (FIRST), NIST British Computing Society Canadian Communications Security Establishment (CSE)),

通用框架

建立事件响应能力Creation of a response capability；

事件处理的响应Incident handling and response；

恢复和回馈Recovery and feedback

事件管理 (快速恢复)

包含人、技术和流程

指导所有与事件有关的活动并指导安全人员到一个预定义和预授权路径的解决方案

描述在事件中所包含的各方的角色和职责中所采取的活动。

managing an adverse event管理负面事件

Limiting the effect of an incident.限制一个事件的影响。

事件处理的策略、角色和职责

策略必须清晰、简明、并对事件响应/处理团队授权来处理任意和所有的事件

配备人员并经过良好培训的事件响应团队

虚拟团队

专职团队

混合模式团队

外包资源

事件处理过程中可能需要升级

响应团队的核心领域

legal department (in lieu of inhouse legal counsel, arrangements should be made with external counsel), human resources, communications, executive management, physical/corporate security, internal audit, IS security, and IT. 法律部门（内外部的法律顾问都可以）、人力资源、通信、高管、物理/企业安全、内部审计、IS安全以及IT部门等，也包括先关业务部门、系统管理员和任何能够辅助进行事件的调查和恢复的人员

团队建立好需要进行培训并保持最新的培训，需要耗费极大的资源

Once the team has been established, it must be trained and stay current with its training.

小心处理公共消息披露

流程

诊断

包含实践的检测、识别和通知等子阶段；

根据事件潜在风险级别进行归类，这受到事件类型、来源(内部事件还是外部事件)、增长速度、错误抑制能力的影响；

处理假阳性事件(false-positive)/误报时最耗时间的；

如果是真实事件，则需要进行分类(基于组织的需求)和分级(确定潜在风险的等级或事件的关键度)

调查

直接处理事件的分析、解释、反应和恢复；

调查涉及对相关数据的适当收集，收集的数据将在分析和随后的阶段中使用；

管理层必须确定执法部门是否参与调查，是否为起诉而收集证据，或者是否只修补漏洞；

遏制

遏制事件，降低事件的影响；

缓解的目的是阻止或减少事件的进一步损害，进而开始恢复和修复

适当的竭制措施为事故响应团队争取了对事件根本原因进行正确调查和判定的时间；

竭制策略(举例：从网络中切断并不远，控制受感染的主机)

竭制措施应该当基于攻击的类别、受事故影响的资产以及这些资产的关键程度；

进行数字取证以保存法庭证据

分析和追踪

在分析阶段收集更多的数据(日志、视频、系统活动等)，从而试图了解事件发生的根本原因，并确定事件的源头是内部还是外部，以及入侵者如何渗透的；

安全专家需要结合真正式的培训以及真实经验来作出适当的解释，往往没有足够的时间；

追踪往往与分析和检查并行，而且需要剔除错误线索或故意的欺负的源；

另外比较重要的是一旦根源被识别以及追踪到真正的源头时需要做什么。

恢复阶段

目的是使得业务得以恢复和运行、让受影响的系统恢复生产，并与其他活动一致

进行必要的修复工作，以确保此类事件不会再次发生；

恢复

根除

RCA根本原因分析

reviewing system logs, policies, procedures, security documentation, and network traffic capture if available to first piece together the history of the event that caused the incident

work backwards to detemine what allowed the event to happen in the first place.逆向工作来决定事件发生的原因，层层向前推演，直接发现根源

RCA can quickly cross boundaries between technical,cultural ,and organizational.RCA可迅速跨越技术、文化和组织之间的边界界限。

Remediation修复

from RCA are then reviewed by management for adoption and implementation根源分析被管理层评审，决定是否采纳和执行

问题管理Problem management

tracking that event back to a root cause and addressing the underlying problem跟踪该事件回到事件根源和解决的根本问题

addressing defects that made the incident possible or more successful.关于解决缺陷，使得该事件可能成功或更成功。

have a longer term view 需要更长的时间

incidents as they occur in the operational environment在操作环境中发生的事件的长期过程

track down the underlying defect because it may take specific conditions to be in place that may not occur frequently可能需要特定的条件，这个条件可能不回频繁发生。

Eradication is the proess of removing the threat根除是消除威胁的过程。(如果一个系统感染了病毒而无法正常工作，那么彻底杀毒将根除这个问题。)

将系统恢复或修复到一个已知的良好状态。

如果最后已知的映像或状态包含有实际造成事件的原因，那么恢复变得非常复杂，这种情况下，新得映像应该生成，并在应用移入生产环境前测试。

修复工作包括：组织敏感端口、禁用易受攻击的服务或功能、打补丁等。

报告和记录 (事件总结经验教训)

Policies and procedures 政策和程序必须定义

defined to determine how an incident is routed when criminal activity suspected.

Does the media or an organizations external affairs group need to be involved?媒体或组织的外部事物组需要参与吗？

Does the organizations Iegal team need to be involved in the review?组织的法律团队需要参与评审吗？

At what point does notification of the incident rise to the line management. 该事件在什么时间点应该上升到一线管理人，并通知中层管理人。

middle management,senior management ,the board of directors ,or the stakeholders?高层管理人？董事？股东的董事会？

What confidentiality requirements are necessary to protect the incident information?保护事件信息的保密性要求是什么？

what methods are used for the reporting?If email is attacked,how does that impact the reporting and notification proess?用于报告的方式是什么？如果电子邮件系统被攻击，那么如何启动报告和通知程序？手机，固化，应急联系人？

最重要也最容易忽视的阶段就是汇报和反馈阶段；

组织往往能在事件中学习甚多，并从错误走向成功；

汇报需要所有的团队成员，包含受事件影响的各个团队的代表；

优点就是该阶段能从收集有意义数据中开发或追踪响应团队的绩效；

测量指标可以决定预算配置、人员需求，基线、展示审慎和合理性；

难点在于产生对组织有意义的统计分析和指标。

监测/检测

(SIEM)安全信息事件管理系统

One disadvantage of system logs is that they provide a view into that single system系统日志的缺点是只能提供单个系统的视角，不能提供相关事件的涉及多个系统的日志和信息

provide a common platform for log collection,collation,and analysis in real time 提供一个公共平台，用于日志收集、整理、实时分析。

provide reports on historical events using log information from multiple sources提供使用来自多信息源并关于历史事件的报告

Log management systems are similar日志管理系统是类似的

combined with SIEM solutions结合SEIM解决方案

real time functions提供实时分析。

maintain a disciplined practice of log storage and archiving维护严格的日志存储和归档纪律

Modern reporting tools can also be used to transform security event information into useful business intelligence.当今的报告工具可以将安全事件信息转换为有用的业务智能

8、灾难恢复

策略

Recovery strategies are driven by the recovery time frame required by the function or application to be recovered.

制定恢复策略

恢复策略的选择必须符合组织需求

成本效益分析(CBA)

建立策略的初始费用

维护恢复策略决定方案的持续费用

方案定期测试的费用

通信相关的费用

实施备份存储策略

恢复时间目标(RTO) 恢复点目标(RPO)

Some organizations have begun tiering data based on its importance to the organization and frequency of use. The more time sensitive data is replicated offsite either synchronously or asynchronously to ensure its availability and its currency.

备份方法

全备

增量备份

差异备份 (差分备份)

恢复站点策略

Dual Data Center双数据中心(冗余站点)

The applications are split between two geographically dispersed data centers and either load balanced between the two centers or hot swapped between the two centers. The surviving data center must have enough head room to carry the full production load in either case.

使用该战略使得应用不能接受宕机影响组织

优势

停机时间非常短(分钟级/秒级)

易于维护

无需恢复

缺点

费用较高

需要冗余硬件、网络和人员

受限于距离

hot sites热站

优势

允许测试恢复策略

高可用性

站点可在数小时内恢复

缺点

内部热站比外部热站点更贵

外部热战存在软硬件兼容问题

Warm Site温站

A leased or rented facility that is usually partially configured with some equipment but not the actual computers. It will generally have all the cooling, cabling, and networks in place to accommodate the recovery, but the actual servers, mainframe, etc. equipment are delivered to the site at the time of disaster.

部分配置有一些设备但不是真实的计算机的租赁设施

天级的恢复

Cold Site冷战

冷站就是一个壳或数据中心，且地板上没有任何技术设施

All technology must be purchased or acquired at the time of disaster.

优势

低成本

用于较长的恢复

缺点

不能及时恢复

没有前期完成的测试工作

周级的恢复

mobile site移动站点

是内部配置适当电信装备和IT设备的可移动拖车或标准的集装箱，可以被机动拖放和安置在所需的备用场所，提供关键的应用服务，如电话交换功能等。

处理协议

Reciprocal agreements互惠协议

组织间用来分享宕机风险

在灾难发生时，每个组织承诺承担彼此的数据和处理任务

问题

组织承诺为他人保留空余处理能力或在其他组织宕机时降低处理能力

首先需要组织能够遵守这些协议

在行业或竞争对手间很难找到合适的合作伙伴

outsourcing外包

符合企业的成本效益需求

承担未知能力以及能够符合要求的风险

SAL协议能表明在一段时间内提供服务，但不能真正保障在灾难时提供保障

优点

按需服务

所有需求和执行责任都在第三方

较少的成本

缺点

更多主动测试和评估来确认能力保持情况

协议争论使得厂家不能执行

如果部署私有有系统将锁定厂商

如果频繁发生中断可能能力构建的费用更多

流程

DR areas

DR包括反应、人员、沟通、评估、恢复和培训

过程必须记录

组织级的持续测试策略

the board and senios management

测试策略和计划

包括使用BIA和风险评估(BCP)

识别关键角色和职责，建立组织业务连续性测试的最小要求，包括测试频率、范围和结果报告的基线要求

测试策略的变化依赖于组织的范围和风险场景

处理组织及其服务提供商的测试问题

内部系统的测试策略应在系统和数据文件被测试时包含所涉及的人员

计划文档化

记录应对各种事件的恢复

文档应存储在所有的恢复设施里

文档对技术恢复操作要足够详尽，有相关技能的人，首次执行仍可完成

每次测试恢复计划，根据需要进行更新

响应

事件发生后通报给集中通信团队

集中的号码

帮助服务台

技术操作中心

物理安全人员

监控人员

响应计划

建立紧急联系名单

评估团队

首先通知

确定事件是否需要升级

首个升级团队

事件所有者

事件响应者

建立通信渠道

conference call

建立内外部的可替代通信渠道

They communicate what the problem is, the current status of the problem, how long it should be before it is resolved, what is impacted, and if necessary, when the next update will be provided and how.

不要忘记一些服务的不可用

快递

水电服务

高管应急管理团队

由组织中的高级管理人员组成

不需要做作为初始响应的部分

为组织和业务的恢复负有全责

事件发生后位于指令中心

不需要管理日常运维

高管需要响应和协助需要他们指导的问题的解决

关注战略响应

Crisis Management vs,Crisis Leadership危机管理与危机领导

Manageing 管理

响应

短期

流程

狭窄

战术层次

Leading领导

期望

长期

原则

广泛关注

战略层次

应急管理团队

直接向指令中心汇报

具有监控灾难恢复团队，制定恢复和复原流程的职责

向高管汇报事件状态

制定支持恢复的决策

主要职能

■ Make a preliminary assessment of the damage. ■ Notify senior management on the current status, impact to organization, and plan of action. ■ Declare the disaster if necessary. ■ Initiate the plan during the emergency situation. ■ Organize and control the command centers as a central point of control of the recovery efforts. ■ Organize and provide administrative support to the recovery effort. ■ Administer and direct the problem management function.

灾难恢复团队

检索异地记载和异地存储的恢复信息

向异地站点报告

按优先级顺序执行恢复过程

按需向指挥中心沟通恢复情况

识别问题，并报告给管理团队以获取解决方案

建立恢复团队支持7*24小时全天候的班次

建立关键业务用户和人员联络

修复更换设备和必要的软件来恢复正常运营

指令中心

在紧急状况中用于通信和决策的中心

在灾难中，用于响应灾难配备应急响应文档以及其他所需资源

也包含处理财务问题的程序

初始响应计划

组织具有多个位置，则需要为每个业务站点准备一个计划

站点中有哪些关键业务或技术

为其准备恰当的恢复策略

谁是决策者

如果不能回到建筑物内，人们应该去哪

宣告灾难发生的流程

备份站点的位置

到达备份站点的位置

备份站点的工位分配

备份站点附近的酒店\交通服务和后勤服务

人事

很多计划的问题就是人力资源问题

灾难能够极大的影响到人员

灾难中组织在响应自己的需求外还需要关注相应团队家庭的艰难状况

支持团队成员的水平将由灾难本身的性质明确界定

将行政支持作为恢复团队的一部分

They do things no one else has the time to do - answering phones, sending communications as requested to communicate to recovery staff, making travel arrangements for recovery staff, ordering food at recovery locations, keeping minutes of the status meetings, making copies, arranging courier service, keeping track of the locations of employees, and similar administrative and personnel related functions

沟通

通知员工

在紧急状况中由责任管理团队直接联系应急联系名单中的成员

描述组织如何联系剩余成员

建立应急信息线

让员工了解发生的灾难信息

放在员工的工牌后面、冰箱贴

利益相关者

Employees and their families Contractors and business partners Facility and Site Managers Staff Managers (HR, IT, etc.) Senior Managers; Board of Directors Institutional investors and shareholders Insurance representativesSuppliers and Distributors CustomersGoverment Regulators and Politicians Competitors Unions Communities Industry activist groups Internet users or bloggers Media representatives 员工及其家庭承包商和商业伙伴设施和现场经理员工经理（HR、IT等）高级管理人员；董事会机构投资者和股东保险代理人供应商和销售商客户政府监管者和政治家竞争对手工会社区工业活动家团体网民或博主媒体代表

如何去说

在灾难恢复过程中，每个员工应向客户或厂商说的状况是一致的

企业应向所有利益相关者提供恢复状态的最新信息

诚实

精确

安全专家需要建立问题报告和管理流程

conference bridges

评估

在事件中，需要确定事件的影响

tiers or categorizations

Non-Incident 非事件

These events are typically caused by system malfunctions or human errors, which result in limited to minor disruptions of service. There is a short period of downtime and alternate processing or storage facilities are not required.

Incident事件

Events that cause an entire facility or service to be inoperative for a significant amount of time. These events require the enactment of the disaster recovery plan and reporting of information and status to senior management and may involve crisis management.

向管理层报告

Severe Incident严重事件

Significant destruction or interruption to an organizations mission, facility, and personnel. These events require the enactment of the DR plan and may involve the building of a new primary facility. These events require senior management reporting and crisis management.

需要向管理层报告

恢复

计划中最后一部分是关于主环境恢复以及迁移到正常运行(重建 reconstitution)

组织的其他部分关注与备份站点组织的复原

部分关注恢复到主设施生产环境所需要做的事情

复原主站点前需要联系法律部门和保险公司

在采取行动前拍照

迁移计划必须记录如何迁移的流程以及操作的细节

For example, an organization may be located in alternate sites for 15 months following the events of an earthquake and for two months following the events of a hurricane. After 9 weeks in the earthquake alternate site, an interim transition plan was executed where employees were distributed between two interim sites while the primary site was repaired and built out.

资产替换

与厂商协商提供设备构建或复原数据中心

提供培训

不管计划多好如果没人知道就不起作用

领导团队

知道危机管理

在灾难恢复中不是执行恢复而是领导组织回归正常

技术团队

知道执行恢复的程序

以及他们要去的后勤设施

雇员

撤离计划

将一部分BCP计划放到新人培训中

演练、评估和维护计划

testing strategy

业务线和支持职业部门展示业务连续性性测试目标获得的期望，符合BIA和风险评估

Expectations for business lines and support functions to demonstrate the achievement of business continuity test objectives consisitent with the BIA and risk assessment

A description of the depth and breadth of testing to be accomplished ;完成测试的深度和广度的描述

The involvement of staff technology,and facilities员工、技术和设施的范畴

Expecttations for testing internal and external interdependencies;内外依存度测试期望

An evaluation of the reasonableness of assumptions used in developing the testing strategy评价在开发测试策略中臆测的合理性

测试策略包含测试目标和范围

define what functions, systems, or processes are going to be tested and what will constitute a successful test

BCP/DRP每年至少测试一次

当重大变更发生时需要进行测试

测试目标刚开始可以简单逐渐增加复杂度、参与级别、职能以及物理位置

测试不要危及正常业务运行

测试展示在模拟危机下各种管理和响应能力，逐渐增加更多的资源和参与者

揭示不恰当之处以便修正测试程序

考虑偏离测试脚本插入意外事件、比如关键个人或服务的损失

包括足量所有类型交易确保恢复设施适当的能力和功能

测试策略包含测试计划

基于预定的测试范围和目标

包含测试计划评审程度

包含各种测试场景和方法的开发

测试计划

主测试计划应包含所有的测试目标

测试目标和方案的具体描述

所有测试参加者包括支持人员的角色

测试参与者的委派

测试决策制定者和后续计划

测试位置

测试升级条件和测试联系信息

DR测试

测试战略

测试范围和目标

通过测试验证RTO和RPO

测试策略

由高层制定

角色职责，频率、范围和报告结果

业务恢复和灾难恢复测试

business recovery业务恢复

关注测试业务线的运行

disaster recovery灾难恢复

关注技术部分连续性的测试

检查清单评审

BCP/DRP拷贝分发给每个关键业务部门的经理

请求他们评审适合他们部门的计划部分

桌面演练/结构化穿行演练测试

作为计划初始测试的工具

目标

确保来自所有领域的关键人员熟悉BCP/DRP

确保计划反应组织从灾难恢复过来的能力

特点

会议室演练，降低成本

排演演练/模拟演练(模拟测试的特点是模拟一个真实的灾难场景)

■ Attendance by all operational and support personnel who are responsible for implementing the BCP procedures; ■ Practice and validation of specific functional response capabilities; ■ Focus on the demonstration of knowledge and skills, as well as team interaction and decision-making capabilities; ■ Role playing with simulated response at alternate locations/facilities to act out critical steps, recognize difficulties, and resolve problems in a nonthreatening environment; ■ Mobilization of all or some of the crisis management/response team to practice proper coordination without performing actual recovery processing; ■ Varying degrees of actual, as opposed to simulated, notification and resource mobilization to reinforce the content and logic of the plan.

比桌面演练包含的内容更多

参加这选择具体的事件场景应用在BCP中

功能性测试

主要是确定如果人员应用BCP规定中的程序，关键系统是否能够在备用处理站恢复(DRP)

并行测试(DRP)

备用站点的运行结果和主站点的运行结果进行比对

完全中断/全面测试(DRP/风险最高)

切换到备用站点运行

更新和维护计划

任何团队都有义务参与变更控制流程

计划文档和所有相关程序每三个月检查一次

程序的正式审计每年至少一次

计划必须控制版本

从项目到方案

连续性计划方案是正在进行的流程

所有定义的任务都要与时俱进与现有环境保持一致

必须要有年度要求

emergency management organization (EMO)应急管理组织

正式的管理层响应流程

现场覆盖、支持和专业知识

涉及的领域

安全

系统

人力资源

组织沟通

合规性

风险和保险管理

组织应急计划

团队的职责

■ Responding to incidents and emergencies ■ Determining the extent of the impending or actual emergency situation ■ Establishing and maintaining communication with senior management ■ Communicating with employees and customers ■ Managing media communications, security, systems, facilities ■ Coordinating and integrating business continuity planners

应对时间和紧急情况

确定迫在眉睫或实际紧急情况的程度

与高级管理层建立并保持沟通

与员工和客户沟通

管理媒体通信、安全、系统、设施

协调和整合业务连续性规划师

The organizational emergency operations center（EOC）组织应急行动中心(EOC)

提供位置

不管EMO是否启动提供必要的资源管理组织的恢复

9、取证调查

名称解释

数字取证

computer forensics,digital forensics,and network forensics to electronic data discovery,cyber forensics and forensic computing计算机取证、数字取证和网络取证，电子数据发现、网络取证和取证计算。

基于有方法的、可验证的和审计的程序和协议

取证指南

Identifying Evidence 识别证据

正确识别犯罪场景、证据和潜在的证据容器； Correctly identifying the crime scene, evidence, and potential containers of evidence.

Collecting or Acquiring Evidence 搜集或取证据

秉承刑事罪证查验原则以及确保场景的污染和破坏保持最小，使用可靠和可重复的收集技术来展示证据或证据拷贝的精确性和完整性 Adhering to the criminalistic principles and ensuring that the contamination and the destruction of the scene are kept to a minimum. Using sound, repeatable, collection techniques that allow for the demonstration of the accuracy and integrity of evidence or copies of evidence

Examining or Analyzing the Evidence检查或分析证据

使用可靠的科学方法来确定证据的特征，进行个别证据对比以及事件重构 Using sound scientific methods to determine the characteristics of the evidence, conducting comparison for individuation of evidence, and conducting event reconstruction

Presentation of Findings展示证据

解释来自于基于事实的发现的检查和分析的输出以及以一种适合特定观众的格式进行阐述 Interpreting the output from the examination and analysis based on findings of fact and articulating these in a format appropriate for the intended audience (e.g., court brief, executive memo, report).

犯罪场景

形式原则

1、Identify the scene确定现场

2、Protect the environment保护环境

3、Identify evidence and potential sources of evidence确定证据和证据的潜在来源

4、Collect evidence收集证据

5、Minimize the degree of contamination降低污染度

环境

物理环境

server，workstation,laptop,smartphone,digital music device,tablet服务器、工作站、笔记本电脑、智能手机、数字音乐设备、平板电脑

处理相对简单relatively straightforword to deal with;

虚拟环境

e.g,.data on a cluster or GRID,or storage area networks(SANs)例如，集群或网格或存储区网络(SAN)上的数据

difficult to determine the exact location of the evidence or acquire the avidence.

动态证据

数据存在于动态的运行环境中

more difficult for the security professional to protect the virtual scene安全专业人员更难保护虚拟场景

动机，机会，和方式MOM

动机

谁，为什么

机会

何时，何地

方式

罪犯需要获得成功的能力

计算机犯罪行为

惯用的手法MO

罪犯使用不同的操作手法进行犯罪，这可以用于帮组表示各类犯罪

罗卡交换定律

认定罪犯在带走一些东西的时候会遗留下一些东西

General Guidelines G8

当处理数字证据是，必须应用所有通用取证和程序原则

抓取证据的行为不能改变证据

(e.g., United States National Institute of Standards and Technology (NIST), United States Department of Justice (DOJ)/ Federal Bureau of Investigations (FBI) Search and Seizure Manual, NIST SP 800-86: Computer Forensic Guidelines, SWGDE Best Practices for Computer Forensics, ACPO Good Practices Guide for Computer Based Evidence, IACIS forensic examination procedures).

当人员有必要访问院士数字证据时，这个人需要以此为目的的进行培训

所有与数字证据的扣押、访问、存储或传输有关的活动必须被完全记录、保留并在评审检查时可用。

当数字证据在某人身上时某人必须为所有关于数字证据的活动负责

任何负责抓取、访问、存储和传输数据证据的机构对符合这些原则负责、

证据收集和处理

证据保管链/监管链

其所指的是证据介质从最初的采集、标识，到运输、使用、中间的保管及最后的存放和归档，都要有明确记录(Document)、职责归属(Accountability),以确保原本的证据介质完全没有任何机会被污染(Contaminate)和篡改(Tamper)；

在整个证据的生命周期过程中，都是关于证据的处理的who，what，when，where,and low;

确保证据的真实性和完整性(authenticity and integrity),借助Hash(SHA-256)和数字签名；

访谈

调查过程中最为微妙的部分，就是证人和嫌疑人的访谈；

访谈前必须要审视策略、通知管理层以及联系公司法律顾问；

访谈过程不要单独一个，如果可能，录下整个访谈过程作为佐证；

理解取证程序

可被法庭接收的证据

证据分类

呈现方式分类

书面的

口头的

证人所作证词

计算机生成的

视觉或听觉的

犯罪过程中或犯罪刚结束时所捕获的事件

按影响力分类

最佳证据

原始合同

辅助证据

口头证据、原始文件的复印件

直接证据

证人的证词

基于证人五种感官收集的证据

决定性证据

间接证据

证实中间事实，中间事实可用于推论或认定另一事实的存在

确定性证据

支持行政据，用来帮助提供一个想法或观点

观点证据

专家证人提出的教育观点

一般证人只能对事实作证

传闻证据

法庭上陈述的口头或书面证据，是二手

证据特征

真实性或相关性

必须与调查结果有着适度的和切合实际的关系

完整性

证据必须呈现全部真相

充分性或可信性

必须有充分的说服力来使一个讲道理的人相信调查的真实性，证据必须有力，不容易被怀疑

可靠性或准确性

必须与事实一致。如果他是基于一个人的观点或是原始文件的复印件，那么证据就不是可靠的

计算机日志

前提是他们必须是在业务的规范过程中收集的，业务记录特列

大多数与计算机相关的文件被认为是传闻，即第二手证据

取证原则

调查的任何行动不得改变存储介质或数字装置中的数据；

访问数据的人员必须有资格这么做并有能力解释他们的行为

适用于第三方审计并应用于流程的审计痕迹或其他记录应被生成和保护，并精确的记录每个调查步骤

负责调查的人必须完全对确保以上提到的程序负责并遵守政府法律

关于人员抓取数据的行为不得改变证据

当有必要人员访问原始证据时，这个必须具有法律资格

与数字证据的抓取、访问、存储或传输有关的行为必须小心的记录、保存并可用于审计

当数字证据为某人持有时，这个人必须小心的记录、保存并可用于审计

当数字证据为某人持有时，这个人必须为证据所采取的行动完全负责

证据分析方式

介质分析：从信息介质中恢复信息或证据

网络分析：从使用的网络日志和网络活动中分析和检查作为潜在的证据

软件分析：分析和检查程序代码(包括源代码、编译代码和机器码)、利用解码和逆向工程技术、包括作者鉴定和内容分析等；

硬件/嵌入式设备分析：应包含移动设备的分析；

■ No actions performed by investigators should change data contained on digital devices or storage media. ■ Individuals accessing original data must be competent to do so and have the ability to explain their actions. ■ An audit trail or other record of applied processes, suitable for independent third-party review, must be created and preserved, accurately documenting each investigative step. ■ The person in charge of the investigation has overall responsibility for ensuring the above mentioned procedures are followed and incompliance with governing laws. ■ Upon someone seizing digital evidence, actions taken should not change that evidence. ■ When it is necessary for a person to access original digital evidence, that person must be forensically competent. ■ All activity relating to the seizure, access, storage, or transfer of digital evidence must be fully documented, preserved, and available for review. ■ An individual is responsible for all actions taken with respect to digital evidence while the digital evidence is in his or her possession.

几种计算机犯罪

salami攻击

供给者实施几个小型的犯罪，希望他们结合起来的较大犯罪不会引起人们的注意

数据欺骗(data diddling)

输入数据时做了手脚

密码嗅探

捕捉计算机之间发送的密码

IP欺骗

攻击者不想让其他人知道自己的真实地址，从而改变数据包IP地址，使其指向另一个地址。

垃圾搜索

翻看其他人的垃圾箱，以寻找丢弃的文件、信息和其他可用来对该人或公司不利的珍贵物品。

搭线窃听

一种被动攻击，用于窃听通信的工具可以是无线电话扫描器、无线电接收器、麦克风接收器、录音器、网络嗅探器等。

域名抢注

是指有人怀着用一个类似域名损害公司，或者进行敲诈勒索的目标，购买了一个域名。

6、安全评估与测试

基本概念

安全评估和测试

安全评估和测试包含广泛的现行和基于时间点的测试方法用于确定脆弱性及相关风险"Security Assessment and Testing" covers a broad range of ongoing and point-of-time based testing methods used to determine vulnerabilities and associated risk.

T&E的基本目标

T&E能衡量系统和能力开发进展

T&E的专长就是针对系统生命周期在开发过程提供系统强度和弱点的初期认知

为协助在开发、生产、运营和维护系统能力过程中的风险管理提供相应的知识

能够在部署系统之前识别技术的，操作的和系统缺陷以便开发适当的及时的纠正行为

T&E策略

测试和评估战略的内容是具有应用于获取/开发流程、所提供的能力要求以及技术驱动所需能力的功能

倾向于

管理风险所需认知

验证模型和仿真的经验数据

技术性能和系统成熟度的测试

运维效能，适应性和生产能力的确定

目标

识别、管理和降低风险

评估与测试策略 Assessment and Test Strategies

T&E策略

策略的作用

管理风险所需知识

验证模型和仿真的经验数据

技术性能和系统成熟度的测试

运维效能、适应性和生存能力的确定

系统工程师和安全专家

与主办单位一块建立或评价用于支持程序获取/开发的T&E策略；

提供能深度管理风险的T&E的方法；

监控T&E流程以及可能需要的变更

评价测试计划和程序是否适用于开发测试或运行测试，并提供建议；

进一步被希望理解获取/开发程序的背后的理由以用于建立和执行T&E策略；

期望理解T&E测试的具体活动，如互操作性测试；

企业需要建立工作小组

这个小组通常被称为T&E集成产品团队，由T&E专家、客户用户代表和其他利益相关组成；

T&E策略是活动文档，该小组负责在需要时进行更新

该小组需要确保T&E流程包含获取策略以及系统满足基于用于能力的操作要求

执行审计和取证调查

日志评审

A log is a record of the events occurring within an organization's systems and networks 日志就是发生在组织系统和网络中的事件记录。

日志与计算机安全有关

如路由日志分析有利于识别安全事故、策略违背、欺诈行为和操作问题等。

日志作用

auditing and forensic analysis, supporting internal investigations, establishing baselines, and identifying operational trends and long-term problems. 审计和取证分析，支持内部调查，建立基线，识别运营趋势和长期问题。

支持内部调查

建立基线

识别运行趋势以及发现长期问题

挑战

需要平衡有限的日志管理资源和持续产生的日志数据

日志的生产和存储

不同的日志来源

不一致的日志内容、格式以及时间戳等

日志数据的大量生成

需要保护日志的完整性、机密性和可用性

确保安全、系统和网络管理员定期有效的分析日志数据

日志管理的方针和程序

为建立和维护成功的日志管理活动，组织应开发执行日志管理的标准流程

定义日志需求和目标

开发清晰定义日志管理活动的强制要求和推荐要求

包括日志的生产，传递，存储，分析和废弃

集成和支持日志管理要求和推荐

管理层应提供必要的支持

日志需求和建议应与实施和维护日志所需的资源和细节分析技术一块生成

原始日志保护

将网络流量日志的拷贝发送到中心设备

优化日志管理Prioritize Log Management

优化日志需求，基于组织风险减少的感知以及执行日志管理所需资源和预期的时间。

建立日志管理的职责和角色

建立维护日志管理架构

日志管理架构包括硬件、软件、网络和介质用于生成、传输、存储、分析和处置日志

设计日志管理框架时应考虑管理框架现在和未来的需求以及整个组织的独立日志源

集中式日志服务器和日志数据存储

需要处理的日志数据量

网路带宽

在线和离线数据存储

数据的安全要求

员工分析日志所需的时间和资源

为所有员工的日志管理职责提供适当支持

disseminating information, providing training, designating points of contact to answer questions, providing specific technical guidance, and making tools and documentation available. 传播信息，提供培训，指定联络点以回答问题，提供具体的技术指导，并提供工具和文件。

系统管理员应该获得足够的支持

包括信息传播、提供培训、提供问题解答的联系点，提供具体的技术指南、提供相应的工具和文档等

标准日志管理流程

日志管理员职责

控制日志状态

监控日志轮转和归档流程

检查日志系统补丁，获得、测试及部署补丁

确保日志来源系统保持时钟同步

当策略或技术变更时，必要的话，重新配置日志

记录和报告日志异常

确保日志整合存储，例如安全信息和事件管理系统SIEM

日志管理流程

配置日志源，执行日志分析、启动对识别的认知的影响和管理日志的长期存储

日志来源

基于网络和基于主机的软件

防病毒软件

IPS和IDS系统

远程访问软件

Web代理

漏洞管理软件

验证服务器

路由器

防火墙

网络访问控制(NAC)/网络访问保护(NAP)服务器

操作系统时间和审计记录

基于应用

客户端请求和服务器响应

Client requests and server responses,which can be very helpful in reconstructing sequences of events and determining their apparent outcome. 客户端请求和服务器响应，这对于重构事件序列和确定它们的明显结果非常有帮助。

账户信息

Account information such as successful and failed authentication attempts, account changes (e.g., account creation and deletion, account privilege assignment), and use of privileges 账户信息例如成功和失败的身份验证尝试、帐户更改(例如，帐户创建和删除、帐户特权分配)以及特权的使用

使用信息

the number of transactions occurring in a certain period (e.g., minute, hour) and the size of transactions (e.g., email message size, file transfer size). 在一定时期内发生的事务的数量(例如，分钟，小时)和事务的大小(例如，电子邮件消息大小，文件传输大小)。

重要的操作活动

application startup and shutdown, application failures, and major application configuration changes 应用程序启动和关闭、应用程序故障和主要应用程序配置更改

挑战

日志的分布属性、日志格式的不一致以及日志的容量都构成日志管理的挑战

必须保护日志的完整性、机密性和可用性

组织还需要保护其日志的可用性

存档日志的机密性和完整性也需要保护。

系统和网络管理员

需要分析日志

无法有效进行日志分析

没有收到良好的培训

没有工具支撑

日志分析常常是响应型的reactive

许多日志分析需要实时或近乎实时的

关键实践

在全组织适当的优化日志管理

Prioritize log management appropriately throughout the organization An organization should define its requirements and goals for performing logging and monitoring logs to include applicable laws, regulations, and existing organizational policies. The organization can then prioritize its goals based on balancing the organization’s reduction of risk with the time and resources needed to perform log management functions. 在整个组织中适当地为日志管理设定优先级组织应该为执行日志记录和监视日志定义其需求和目标，以包括适用的法律、法规和现有的组织策略。然后，组织可以根据组织的风险减少与执行日志管理功能所需的时间和资源的平衡来确定其目标的优先级。

建立日志管理策略和程序

Establish policies and procedures for log management Policies and procedures are beneficial because they ensure a consistent approach throughout the organization as well as ensuring that laws and regulatory requirements are being met. Periodic audits are one way to confirm that logging standards and guidelines are being followed throughout the organization. Testing and validation can further ensure that the policies and procedures in the log management process are being performed properly. 建立日志管理的政策和程序政策和程序是有益的，因为它们确保在整个组织中采用一致的方法，并确保法律和法规要求得到满足。定期审计是确认整个组织遵循日志记录标准和指导方针的一种方式。测试和验证可以进一步确保日志管理过程中的策略和过程被正确地执行。

建立和维护安全日志管理基础设施

Create and maintain a secure log management infrastructure It is very helpful for an organization to create components of a log management infrastructure and determine how these components interact. This aids in preserving the integrity of log data from accidental or intentional modification or deletion and also in maintaining the confidentiality of log data. It is also critical to create an infrastructure robust enough to handle not only expected volumes of log data but also peak volumes during extreme situations (e.g., widespread malware incident, penetration testing, vulnerability scans). Organizations should consider using SIEM systems for storage and analysis. 创建和维护安全的日志管理基础设施对于组织来说，创建日志管理基础设施的组件并确定这些组件如何交互是非常有帮助的。这有助于维护日志数据的完整性，防止意外或有意的修改或删除，还有助于维护日志数据的机密性。创建一个足够健壮的基础设施也是至关重要的，它不仅能处理预期的日志数据量，而且还能在极端情况下(例如，广泛的恶意软件事件、渗透测试、漏洞扫描)达到峰值。组织应该考虑使用SIEM系统进行存储和分析。

为所有员工的日志管理提供适当的支持

Provide adequate support for all staff with log management responsibilities While defining the log management scheme, organizations should ensure that they provide the necessary training to relevant staff regarding their log management responsibilities as well as skill instruction for the needed resources to support log management. Support also includes providing log management tools and tool documentation, providing technical guidance on log management activities, and disseminating information to log management staff. 为所有负责日志管理的员工提供足够的支持在确定日志管理方案时，组织应确保向有关工作人员提供关于其日志管理职责的必要培训，并提供支持日志管理所需资源的技能指导。支持还包括提供日志管理工具和工具文档，提供日志管理活动的技术指导，并向日志管理人员传播信息。

合成交易VS真实交易 Synthetic Transactions VS Real Transactions

真实用户监控RUM

Web监控方法，旨在捕获或分析Web或应用上每个用户的每笔交易

又称为real-user measurement真实用户测量，real-user metrics真实用户指标or end-user experience monitoring(EUM)最终用户体验监控

Passive Monitoring被动监控的方式

relying on Web-monitoring services that continuously observe a system in action, tracking availability, functionality, and responsiveness. 依赖持续观察运行中的系统、跟踪可用性、功能和响应性的web监视服务。

依赖于Web监控服务持续获得系统活动，追踪其可用性、功能和敏感度

监控模式

自下而上Bottom-up forms

为重新重构用户体验而捕获服务端信息

自上而下Top-down client-side RUM

客户端RUM，能直接看到用户如何与应用进行交互以及体验方式

关注站点速度和用户的满意度，提供关于优化应用组件和提升所有的性能的深入视角。

合成交易

synthetic monitoring has been done with lightweight, low-level agents, but increasingly, it’s necessary for these agents to run full Web browsers to process JavaScript, CSS, and AJAX calls that occur on pageload. 合成监视已经通过轻量级、低级代理完成，但越来越多的情况是，这些代理需要运行完整的Web浏览器来处理页面加载时发生的JavaScript、CSS和AJAX调用。

proactive Monitoring 主动或预响应监控的方式

包含使用外部代理(agent)运行脚本交易的方式而不是web应用

这些脚本依照典型用户体验，如用户搜索、查看产品，登陆和支持等方式来评估用户体验

综合监控是轻量级和低水平的代理方式，但Web浏览器有必要运行发生在页面上处理javaScript，CSS，and AJAX调用。

并不追踪真是的用户会话

That means it’s more useful for alerting than often-noisy RUM data. 这意味着它在警报方面比经常发出噪音的RUM数据更有用。

在一个已知的位置以固定的时间间隔执行一组已知的步骤，其性能是可预测的。比RUM更适合评估站点可用性和网络问题。

Selenium

As applications get more complex, proxy metrics like load or server availability become less useful for measuring uptime. Running Selenium scripts against production is not a proxy measurement; it precisely measures uptime, providing full confidence that if the synthetic transactions are completing, the site is up and running. 随着应用程序变得越来越复杂，像负载或服务器可用性这样的代理指标在测量正常运行时间方面变得越来越没用。针对生产环境运行Selenium脚本并不是一种代理度量;它精确地度量正常运行时间，提供了充分的信心，即如果合成事务正在完成，那么站点已经启动并运行。

http://docs.seleniumhq.org

客户端完全可控 full control over the client

unlike the sandboxed Java Script powering RUM, the detail that can be garnered is impressive. 与支持RUM的沙盒Java脚本不同，可以获得的细节是令人印象深刻的。

不像沙盒JAVA脚本方式驱动的RUM，细节的获得可以更客观

微软系统中心操作管理软件

web站点监控

Website monitoring uses synthetic transactions to perform HTTP requests to check availability and to measure performance of a webpage, website, or Web application. 网站监控使用合成交易来执行HTTP请求，以检查可用性，并衡量网页、网站或Web应用程序的性能。

数据库监控

Database monitoring using synthetic transactions monitors the availability of a database. 使用合成事务的数据库监视监视数据库的可用性。

TCP端口监控

A TCP port synthetic transaction measures the availability of your website, service, or application. You can specify the server and TCP port for Operations Manager to monitor. TCP端口合成交易衡量您的网站、服务或应用程序的可用性。您可以指定Operations Manager要监视的服务器和TCP端口。

提升价值

7*24系统可用性监控 Monitor application availability 24*7

了解远程站点是否可达

理解第三方服务对业务应用系统造成的性能影响

监控SaaS应用的性能和可用性

测试使用SOAP，REST或其他Web服务的B2B Web站点

监控关键数据库的可用性

衡量服务级别协议SLAs

在低业务流量时段作为对真实用户监控的补偿

建立性能极限，进行性能趋势分析

代码评审和测试

导致漏洞的常见原因 Vulnerabilities are caused

Bad programming patterns such as missing checks of user-influenced data that can cause, e.g., in SQL injections vulnerabilities, Misconfiguration of security infrastructures, e.g., too permissible access control or weak cryptographic configurations, Functional bugs in security infrastructures, e.g., access control enforcement infrastructures that inherently do not restrict system access, Logical flaws in the implemented processes, e.g., resulting in an application allowing customers to order goods without paying. 糟糕的编程模式，例如缺少对受用户影响的数据的检查，这可能会导致SQL注入漏洞，安全基础设施的错误配置，例如，允许的访问控制或薄弱的密码配置，安全基础设施中的功能缺陷，例如，访问控制实施基础设施本身并不限制系统访问，实现过程中的逻辑缺陷，例如，导致应用程序允许客户无需付款就可以订购商品。

不恰当的编程模式，如缺少检查影响用户的数据，SQL注入(输入验证)

安全基础设施的误配：访问控制权限过大或脆弱的加密配置；

安全基础设施的功能错误：访问控制强制设施本身不限制系统的访问；

实施流程的逻辑错误：比如用户下订单而不用支付

常见软件漏洞 Common Software Vulnerabilities

不安全的组织交互(Insecure Interaction between Components)

These weaknesses are related to insecure ways in which data is sent and received between separate components, modules, programs, processes, threads, or systems. 这些弱点与在独立组件、模块、程序、进程、线程或系统之间发送和接收数据的不安全方式有关。

有风险的资源管理(Risy Resource Management)

The weaknesses in this category are related to ways in which software does not properly manage the creation, usage, transfer, or destruction of important system resources. 这一类的缺点与软件不能正确管理重要系统资源的创建、使用、转移或销毁有关。

漏洞百出的防御(Porous Defenses)

The weaknesses in this category are related to defensive techniques that are often misused, abused, or just plain ignored. 这一类别的弱点与经常被误用、滥用或完全被忽视的防御技术有关。

测试技术 Testing techniques

白盒(结构性测试/开箱测试)VS.黑盒测试(功能测试/闭箱测试)

black-box-testing, the tested system is used as a black box, i.e., no internal details of the system implementation are used. In contrast, white-box-testing takes the internal system details (e.g., the source code) into account. 黑盒测试，被测试的系统被用作黑盒，也就是说，没有使用系统实现的内部细节。相反，白盒测试考虑了内部系统的细节(例如，源代码)。

动态测试VS,静态测试Dynamic Testing vs. Static Testing

Traditionally, testing is understood as a dynamic testing, i.e., the system under test is executed and its behavior is observed. In contrast, static testing techniques analyze a system without executing the system under test. 传统上，测试被理解为一种动态测试，即，被测试的系统被执行，它的行为被观察。相反，静态测试技术在不执行被测试系统的情况下分析系统。

手工 vs.自动化 Manual Testing vs. Automated Testing

In manual testing, the test scenario is guided by a human, while in automated testing the test scenario is executed by a specialized application. 在手动测试中，测试场景由人工指导，而在自动测试中，测试场景由专门的应用程序执行。

规划和设计阶段 During P;anning and Design

Strictly speaking, a security review of the architecture and threat modeling are not security testing methods. Still, they are an important prerequisite for subsequent security testing efforts, and the security practitioner should be aware of the options available to them. 严格意义上说，架构和威胁模型的安全评审不是安全测试的方法。尽管如此，它们仍然是后续安全测试工作的重要先决条件，并且安全实践者应该了解可供他们使用的选项。

架构安全评审

manual review of the product architecture to ensure that it fulfils the necessary security requirements. 通过产品架构的人工评审方式来确认其满足必要的安全条件

先决条件：架构模型

优点：验证架构偏离安全标准

威胁建模Threat Modeling

structured manual analysis of an application specific business case or usage scenario. This analysis is guided by a set of precompiled security threats. 应用的具体业务用例或使用场景的结构化手工分析，通过预编译的安全威胁进行。

先决条件：业务用例或使用场景

识别威胁、及其影响以及具体到软件产品开发过程中的潜在控制措施。

a Benefits: Identification of threats, their impact, and potential countermeasures that are specific to the development of the software product. 优点:识别威胁、它们的影响，以及特定于软件产品开发的潜在对策。

STRIDE模型

应用开发阶段 During Application Development

Static Source Code Analysis(SAST) and Manual Code Review (静态代码分析和手动代码评审)

Analysis of the application source code for finding vulnerabilities without actually executing the application. 分析应用程序源代码以发现漏洞，而不实际执行应用程序。

为寻找弱点而不执行应用分析应用代码

先决条件：应用源代码

优点：检测不安全的编程、过时的代码库以及错误配置

Static Binary Code Analysis and Manual Binary Review(静态二进制代码分析和手工二进制审查)

Analysis of the compiled application (binary) for finding vulnerabilities without actually executing the application. In general, this is similar to the source code analysis but is not as precise and fix recommendations typically cannot be provided. 对编译后的应用程序(二进制)进行分析，以便在没有实际执行应用程序的情况下发现漏洞。通常，这与源代码分析类似，但不那么精确，而且通常无法提供修复建议。

对已编译的应用进行分析来发现弱点，并不执行应用。

不精准且不提供修复建议。

在测试环境中可执行 Executable in a Test Environment

手工或自动化渗透测试

像攻击者一样发送数据并发现其行为。

优点：在部署的应用上识别大量的弱点；

自动化漏洞扫描

Test an application for the use of system components or configurations that are known to be insecure. For this, pre-defined attack patterns are executed, and system fingerprints are analyzed. 测试应用程序是否使用已知不安全的系统组件或配置。为此，执行预定义的攻击模式，并分析系统指纹。

测试使用已知不安全系统组件或配置的应用。

设定预攻击模式，分析系统指纹

优点：检测已知漏洞

Fuzz Testing Tools模糊测试工具

Send random data, usually in larger chunks than expected by the application, to the input channels of an application to provoke a crashing of the application. 向应用程序的输入通道发送随机数据(通常以比应用程序预期的更大的块为单位)，从而引发应用程序的崩溃。

优点：检测至关重要的应用程序的崩溃(例如，由缓冲区溢出引起的)

发送随机数据(常常远比应用所期望的更大快)到应用输入渠道来引起应用的崩溃。

系统运行和维护中的测试

软件测试特点

推荐使用被动安全测试技术监测系统行为和分析系统日志

软件维护过程中，补丁的测试非常重要

补丁需要进行彻底的安全测试

软件测试有其限制，不可能100%测试完成

测试了所有程序功能和所有程序代码并不意味着程序就100%正确的!

测试计划和测试用例应尽可能早的在软件开发阶段进行开发

代码级别的测试Code-based testing

known as structural testing or “white-box” testing. It identifies test cases based on knowledge obtained from the source code, detailed design specification, and other development documents. 称为结构测试或“白盒”测试。它基于从源代码、详细的设计规范和其他开发文档中获得的知识来识别测试用例。

软件的安全测试一般起始于单元级别的测试和结束于系统级别的测试

结构化测试 (“白盒”测试/水晶盒测试)开箱测试

结构化测试主要是放在模块级别的测试;

结构化测试界别可以用呗测试的软件结构的百分比来作为指标来衡量

测试用例基于从源代码、细节设计规格说明和其他开发文档中获得的知识；

Common structural coverage 测试覆盖率(使用于白盒)

Statement Coverage语句覆盖率

This criteria requires sufficient test cases for each program statement to be executed at least once; however, its achievement is insufficient to provide confidence in a software product’s behavior 这个标准要求每个程序语句至少执行一次，有足够的测试用例;然而，它的成就不足以提供对软件产品行为的信心

Condition Coverage条件覆盖率

This criteria requires sufficient test cases for each program decision or branch to be executed so that each possible outcome occurs at least once. 这个标准要求执行每个程序决策或分支有足够的测试用例，以便每个可能的结果至少发生一次。

Multi-Condition Coverage多条件覆盖率

This criteria requires sufficient test cases for each condition in a program decision to take on all possible outcomes at least once. It differs from branch coverage only when multiple conditions must be evaluated to reach a decision. 这个标准要求程序决策中的每一个条件都有足够的测试用例，以至少一次承担所有可能的结果。只有当必须评估多个条件才能得出一个决策时，它才与分支覆盖不同。

Loop Coverage循环覆盖率

This criteria requires sufficient test cases to exercise all possible combinations of conditions in a program decision. 这个标准需要足够的测试用例来练习程序决策中所有可能的条件组合。

path Coverage路径覆盖率

This criteria requires sufficient test cases for each feasible path, basis path, etc., from start to exit of a defined program segment, to be executed at least once. Because of the very large number of possible paths through a software program, path coverage is generally not achievable. The amount of path coverage is normally established based on the risk or criticality of the-software under test. 这个标准要求对每个可行路径、基路径等，从定义的程序段的开始到退出，至少执行一次的足够的测试用例。由于通过软件程序的可能路径非常多，路径覆盖通常是无法实现的。路径覆盖的数量通常是基于被测试软件的风险或临界性而建立的。

Data Flow Coverage数据流覆盖率

This criteria requires sufficient test cases for each feasible data flow to be executed at least once. A number of data flow testing strategies are available. 这个标准要求对每个可行的数据流至少执行一次足够的测试用例。有许多数据流测试策略可用。

功能性测试或“黑盒”测试/闭箱测试 functional testing or blackbox testing

It identifies test cases based on the definition of what the software product (whether it be a unit (module) or a complete program) is intended to do. 测试用例基于软件产品具体要做什么来定义的它根据软件产品(无论是一个单元(模块)还是一个完整的程序)的目的定义来确定测试用例。

测试用例基于软件产品具体要做什么来定义的；

测试用例的主要挑战是预期用途和程序功能以及程序的内部接口；

功能性测试应用于任意级别的软件测试，从单元测试到系统级别的测试

软件功能测试 functional software testing

Definition-based or specification-based testing is also known as functional testing or “blackbox” testing. It identifies test cases based on the definition of what the software product (whether it be a unit (module) or a complete program) is intended to do. Functional and structural software test case identification techniques provide specific inputs for testing rather than random test inputs. 基于定义或基于规范的测试也被称为功能测试或“黑盒”测试。它根据软件产品(无论是一个单元(模块)还是一个完整的程序)的目的定义来确定测试用例。功能性和结构性软件测试用例识别技术为测试提供了特定的输入，而不是随机的测试输入。

Normal Case普通用例

Testing with usual inputs is necessary. However, testing a software product only with expected, valid inputs does not thoroughly test that software product. By itself, normal case testing cannot provide sufficient confidence in the dependability of the software product 使用常规输入进行测试是必要的。然而，只使用预期的、有效的输入来测试软件产品并不能彻底地测试该软件产品。就其本身而言，正常的用例测试不能对软件产品的可靠性提供足够的信心

Output Forcing输出要求

Choosing test inputs to ensure that selected (or all) software outputs are generated by testing. 选择测试输入，以确保所选(或所有)软件输出是通过测试生成的。

Robustness鲁棒性

Software testing should demonstrate that a software product behaves correctly when given unexpected, invalid inputs. Methods for identifying a sufficient set of such test cases include Equivalence Class Partitioning, Boundary Value Analysis, and Special Case Identification (Error Guessing). While important and necessary, these techniques do not ensure that all of the most appropriate challenges to a software product have been identified for testing. 软件测试应该证明，当给出意外的无效输入时，软件产品的行为是正确的。识别足够的测试用例集的方法包括等价类划分、边界值分析和特殊情况识别(猜测错误)。虽然这些技术很重要也很必要，但它们并不能确保对软件产品的所有最合适的挑战都已被识别出来进行测试。

Combinations of Inputs 输入组合

The functional testing methods identified above all emphasize individual or single test inputs. Most software products operate with multiple inputs under their conditions of use. Thorough software product testing should consider the combinations of inputs a software unit or system may encounter during operation. Error guessing can be extended to identify combinations of inputs, but it is an ad hoc technique. Cause-effect graphing is one functional software testing technique that systematically identifies combinations of inputs to a software product for inclusion in test cases. 首先确定的功能测试方法强调单个或单个的测试输入。大多数软件产品在其使用条件下使用多个输入。彻底的软件产品测试应该考虑软件单元或系统在运行过程中可能遇到的输入组合。错误猜测可以扩展为识别输入的组合，但这是一种特殊的技术。因果图是一种功能软件测试技术，它系统地识别软件产品输入的组合，以包含在测试用例中。

weakness弱点

很难将结构化和功能化测试的完成标准与软件产品的可靠性链接起来；

统计测试方法 statistical testing

Statistical testing uses randomly generated test data from defined distributions based on an operational profile (e.g., expected use, hazardous use, or malicious use of the software product). Large amounts of test data are generated and can be targeted to cover particular areas or concerns, providing an increased possibility of identifying individual and multiple rare operating conditions that were not anticipated by either the software product’s designers or its testers. 统计测试使用基于操作概要(例如，预期使用、危险使用或恶意使用软件产品)的定义分布随机生成的测试数据。生成了大量的测试数据，并且可以针对特定的区域或关注点，从而增加了识别单个和多个罕见的操作条件的可能性，这些条件是软件产品的设计者或测试人员所没有预料到的。

提供高结构化覆盖率

从基于运行环境(软件产品的预期使用，危险使用或恶意使用)定义的分布来生产随机数据；

生成大量测试数据并用于覆盖到特别领域或所关注的地方，提供增加识别单个和及其罕见的运行状况的可能性，这些运行状况没有被设计者和测试人员所预知。

软件变更测试

原因

调试发现的问题并进行纠正

新的或变化的需求。

发现设计的修改能更高效或有效实施

目的

变更已正确实施

未对其他部分造成不利影响

回归分析和测试

Regression analysis is the determination of the impact of a change based on review of the relevant documentation (e.g., software requirements specification, software design specification, source code, test plans, test cases, test scripts, etc.) in order to identify the necessary regression tests to be run. Regression testing is the rerunning of test cases that a program has previously executed correctly and comparing the current result to the previous result in order to detect unintended effects of a software change。 Regression analysis and testing 回归分析和回归测试能提供更好的保障。回归分析是基于对相关文档(例如，软件需求规格说明，软件设计规格说明，源代码，测试计划，测试用例，测试脚本，等等)的审查来确定变更的影响，以便识别需要运行的回归测试。回归测试是程序先前正确执行的测试用例的重新运行，并将当前的结果与先前的结果进行比较，以便检测软件变更的意外影响。回归分析与检验

回归分析和测试回归分析：确定变更的影响，基于相关文档(软件规格说明、设计规格、源代码等)的评审，也是为识别运用必要的回归测试；

回归测试：运用之前程序执行正确的测试用例，对比现有结果和以前的结果发现软件变化的非预期结果。

严格和完整的测试(V字模型)

Test procedures, test data, and test results should be documented in a manner permitting objective pass/fail decisions to be reach. 测试程序、测试数据和测试结果应该以一种允许客观通过/不通过决定的方式进行记录。

Unit(module or component)level testing单元测试

focuses on the early examination of sub-program functionality and ensures that functionality not visible at the system leve 关注子程序功能的早期检，该功能不在系统级别的检查测试中显现；

Integration Level Testing集成测试(测模块之间的接口)

focuses on the transfer of data and control across a program’s internal and external interfaces. 关注与数据传输和控制跨程序内外部接口

自上而下Top-Down

自下而上Bottom-up

三明治方法

System level testing系统测试

demonstrates that all specified functionality exists and that the software product is trustworthy. 证明所有指定的功能存在并且软件产品是值得信赖的。

安全和隐私（例如，加密功能，安全日志报告）

性能问题（例如，响应时间、可靠性测量）

压力情况下的反应（例如，最大载荷下的表现）

内外部安全特征的操作

复杂步骤的有效性

可用性Usability；

不同配置下的表现

文档的准确性

与其他软件的兼容性

验收测试

UAT（用户验收测试）

QAT（质量保证测试）

测试注意事项

系统测试将呈现在特定环境中如啊你看的产品的行为；

测试程序、测试数据和测试结果应以获得允许通过/失败决策的方法记录；

企业的软件产品是复杂的，软件产品的测试需要保持一致性、完整性、有效性；

软件维护任务和硬件维护不一样，硬件有预防性措施而软件没有；

需要有效验证变更；

其他维护任务

Software Validation Plan Revision软件验证计划修订

For software that was previously validated, the existing software validation plan should be revised to support the validation of the revised software. If no previous software validation plan exists, it should be established to support the validation of the revised software. 对于以前验证过的软件，应该修改现有的软件验证计划，以支持对修改后的软件的验证。如果以前不存在软件验证计划，则应该建立该计划来支持修改后的软件的验证。

Anomaly Evaluation异常验证

Software organizations frequently maintain documentation, such as software problem reports that describe software anomalies discovered and the specific corrective action taken to fix each anomaly. 软件组织经常维护文档，例如描述发现的软件异常以及为修复每个异常所采取的具体纠正措施的软件问题报告。

Problem Identification and Resolution Tracking问题识别和解决跟踪

All problems discovered during maintenance of the software should be documented. 在软件维护过程中发现的所有问题都应记录在案。

Proposed Change Assessment请求变更评估

All proposed modifications, enhancements, or additions should be assessed to determine the effect each change would have on the system. This information should determine the extent to which verification and validation tasks need to be iterated. 应评估所有建议的修改、增强或添加，以确定每个更改将对系统产生的影响。该信息应该确定验证和验证任务需要迭代的程度。

Task Iteration任务迭代

Documentation Updating 文档更新

Documentation should be carefully reviewed to determine which documents have been impacted by a change. 应该仔细检查文档，以确定哪些文档受到了更改的影响。

用例和误用例

用例Use case

abstract episodes of interaction between a system and its environment. A scenario is a description of a specific interaction between particular individuals. A use case abstracts scenarios that are instances of the same kind of interaction between a system and its actors. 一个系统和它的环境之间相互作用的抽象事件。场景是对特定个体之间特定交互的描述。用例对场景进行了抽象，这些场景是系统及其参与者之间同种类型交互的实例。

站在正常用户使用系统的角度的测试用例

误用例Misuse case

来自对系统会有恶意的人员视角的用例

正向测试方法Positive Testing

确定应用按照所期待的方式进行工作，如果在正向测试中发现错误则失败

负向测试Negative testing

确保应用可以妥善处理无效输入或非预期用户行为。

接口测试 Interface test

目的

主要经检查应用或系统开发的不同组件彼此是否同步

从技术层面接口测试主要用于确定不同功能诸如数据在系统的不同元素中是否按照设计进行传输

用用于确保软件的质量

渗透测试

应多有者的要求模拟攻击一个网络及其系统的过程

渗透测试类型屈居于组织机构、他的安全目标和管理层的目标

渗透测试报告应该提交给管理层

应签署授权测试范围的授权书（需要得到管理层的书面的授权）

步骤

1、发现，收集目标的相关信息Discovery

发现操作系统版本CentOS5.1

dig

DNS Footprinting 工具，发现阶段收集信息

2、枚举，执行端口扫描和资源标识方法

nbtstat属于enumeration 是在枚举阶段，不是下发现阶段

3、脆弱性勘探，在确定系统和资源中标识脆弱性

脆弱性分类

人为脆弱性

物理脆弱性

系统和网络脆弱性

4、利用，尝试利用脆弱性进行未授权访问

5、向管理层报告，向管理层提交报告和安全建议

分类

黑盒测试，零了解，渗透团队在不了解测试目标的情况下测试

灰盒测试，在了解一些于测试目标相关的信息上测试

白盒测试，了解目标的本质的基础上测试

渗透性测试团队分类

0知识

对目标一无所知

部分知识

知道目标的部分知识

全部知识

完全了解目标的情况

举例：战争拨号

从一系列电话号码中拨号寻找可用的调制解调器

有些组织仍然使用调制解调器用于通信设备

战争拨号是一种旨在避开防火墙和入侵检测系统IDS侵入组织网络的形式

战争拨号攻击包括通过比如访问试图获得组织的内部计算机和网络资源访问权，这给黑客入侵带来了便利性。

自我测试

管理员通过战争拨号方法测试组织内未经授权安装过的调制解调器，对组织中随意安装者进行在教育。

其他脆弱性类型

Kernel Flaws内核漏洞

内核层存在漏洞

对策：确保安全补丁到操作系统足够的测试后，即使部署在环境中保持尽可能效的漏洞窗口

Buffer overflows缓冲区溢出

对策：良好的编程实践和开发教育，自动扫描器的源代码，增强编程库，采用强语言类型不允许缓冲区溢出

Symbolic links 符号链接

黑客重新定向符号链接，从而达到非授权访问的目的。

对策：在编写程序（尤其是脚本）时，无法规避文件的完整路径

File descriptor attacks 文件描述攻击

文件描述符是许多操作系统用来表示进程中打开文件的数字，某些文件描述符数是通用的，对所有程序都有相同的含义。

如果程序不安全地使用文件描述符，可能会导致攻击者利用程序特权将意外的输入提供给程序，或导致输出到意外的地方。

对策：良好的编程实践和开发教育，自动化源代码扫描仪和应用程序安全测试

Race conditions 竞态条件 (多进程和多线程环境下)

在执行程序前未消除环境的脆弱性因素

会导致攻击者读取或写入意外数据或执行未经授权的命令

对策：良好的编程实践和开发教育，自动化源代码扫描仪和应用程序安全测试

File and directory permissions 文件和目录权限

不恰当的文件或目录权限

对策：文件完整性检查，还应检查预期的文件和目录的权限

收集安全流程数据 Collect Security Process Data

信息安全持续监控 Information security continuous mointoring ISCM

maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions. 保持对信息安全、漏洞和威胁的持续了解，以支持组织的风险管理决策。

ISCM

用于定义现行信息安全、漏洞和危险的意识用户支持组织信息安全风险决策；

用于支持跨组织的信息安全监控的任何努力和过程必须开始与高层领导定义的复杂ISCM策略

ISCM策略

是建立在清晰理解组织风险容忍度并帮助企业设置优先级和挂你整个组织的风险一致性；

包含度量指标来提供在所有组织层面的安全状态的真是含义；

确保所有安全控制的持续有效；

验证由组织实名/业务职能、国家法律法规、指南、指南标准所驱动的信息安全要求的符合性；

所有组织的IT资产都被告知并协助维护资产安全的可见性；

确保组织系统和环境变更的知识的控制；

保持威胁和脆弱性的意识。

NIST SP 800-137

联邦信息系统和组织的信息安全持续监控(ISCM)

特点

ISCM方案的建立收集依据预测量指标的数据，部分通过已实施的安全控制来利用信息变更内容。

组织官方定期收集和分析数据并在需要时为企业的每个领域管理风险；该流程包含整个组织，从高层领导提供治理和战略视角到个人开发、实施和运行单个系统来支持组织的核心使命和业务流程；组织的安全架构、运维安全能力和监控流程都将随时间不断改进和成熟，以更好响应动态威胁和脆弱性场景；

组织规范的风险监控不能有效的依靠单独的手工流程或单独的自动化流程来获得

当使用手工流程时，该流程以可重复和可验证的来启动一致性实施；自动化流程包括使用自动化支持工具，能使得持续性监控流程更具有成本性、一致性和效率。

开发ISCM策略流程

基于风险容忍度定义ISCM策略以维护资产的可见性、漏洞的意识、威胁信息的更新以及使命/业务影响

建立ISCM方案确定测量指标、状态监控频率、控制评估频率并建立ISCM技术架构

实施ISCM方案和收集用于测量、评估和报告所需的安全相关信息。尽可能的自动收集、分析和报告

分析所有收集的数据并报告发现，恰当的响应。有必要收集其他信息来澄清或补充现有监控数据

通过技术、管理和操作的活动来影响发现，这些活动包括消减活动或接受，转移、共享，或者避免、拒绝等。

评审和更新ISCM方案，调整ISCM策略和成熟的测量能力来增加资产的可见性和脆弱性意识，更多的启用组织信息安全架构并以数据驱动的控制，增加组织的弹性

测量指标Metrics

测量指标定义及内容

测量指标包含所有来自评估和监控并由自动化工具以及手工程序所产生的安全相关信息，并组织成有意义的信息来支持决策和报告要求

测量指标应由维持或改进安全态势的具体目标所驱动

测量指标开发系统级别的数据使得使命/业务背景或组织风险管理变的有意义

测量指标从不同时间获得的安全相关信息并带有不同级别的延迟

例子examples

The number and severity of vulnerabilities revealed and remediated ■ Number of unauthorized access attempts ■ Configuration baseline information ■ Contingency plan testing dates and results ■ The number of employees who are current on awareness training requirements ■ Risk tolerance thresholds for organizations ■ The risk score associated with a given 保持对信息安全、漏洞和威胁的持续认识，以支持暴露和纠正的漏洞的数量和严重性未经授权的访问尝试次数 ■配置基线信息 ■应急计划测试日期和结果 ■目前接受意识培训要求的员工人数 ■组织的风险承受阈值 ■与给定值相关的风险评分

测量指标建立原则NIST SP 800-137

NIST SP 800-137, Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations,

Security Control Volatility安全控制波动

Volatile security controls are assessed more frequently, whether the objective is establishing security control effectiveness or supporting calculation of a metric 对不稳定的安全控制进行更频繁的评估，无论其目标是建立安全控制的有效性还是支持度量的计算

System Categorizations/Impact Levels系统分类/影响水平

In general, security controls implemented on systems that are categorized as high-impact are monitored more frequently than controls implemented on moderate-impact systems, which are in turn monitored more frequently than controls implemented on low-impact systems 一般来说，在高影响系统上实施的安全控制比在中等影响系统上实施的安全控制受到更频繁的监控，中等影响系统又比低影响系统上实施的安全控制受到更频繁的监控

Security Controls or Secific Assessment Objects Providing Critical Functions 安全控制或特定评估对象所提供的关键功能

Security controls or assessment objects that provide critical security functions (e.g., log management server, firewalls) are candidates for more frequent monitoring. Additionally, individual assessment objects that support critical security functions are deemed critical to the system (in accordance with the Business Impact Analysis).7 提供关键安全功能的安全控制或评估对象(例如，日志管理服务器、防火墙)是更频繁监视的候选对象。此外，支持关键安全功能的单个评估对象被认为是系统的关键(与业务影响分析一致)

Security Controls with Identified Weaknesses已识别弱点的安全控制

Existing risks documented in security assessment reports (SARs) are considered for more frequent monitoring to ensure that risks stay within tolerance. 对安全评估报告(SARs)中记录的现有风险进行更频繁的监测，以确保风险保持在可承受范围内。

Organizational Risk Tolerance组织风险容忍度

Organizations with a low tolerance for risk (e.g., organizations that process, store, or transmit large amounts of proprietary and/or personally identifiable information (PII), organizations with numerous high-impact systems, organizations facing specific persistent threats) monitor more frequently than organizations with a higher tolerance for risk (e.g., organizations with primarily low- and moderate-impact systems that process, store, or transmit very little PII and/or proprietary information). 组织对风险的容忍度较低(例如,组织过程、存储或传输大量的专有和/或个人身份信息(PII),众多高影响力的组织系统,组织面临特定的持久威胁)监测比组织具有更高的风险容忍度更频繁(例如,组织主要是低收入和中度影响系统过程中,商店,或传输极少的PII和/或专有信息)。

Threat Information威胁信息

Organizations consider current credible threat information, including known exploits and attack patterns. 组织考虑当前可信的威胁信息，包括已知的漏洞和攻击模式。

Vulnerability Information漏洞信息

Organizations consider current vulnerability information with respect to information technology products when establishing monitoring frequencies. 各组织在建立监测频率时，会考虑与信息技术产品有关的当前脆弱性信息。

Risk Assessment Results风险评估结果

Results from organizational and/or system specific assessments of risk (either formal or informal) are examined and taken into consideration when establishing monitoring frequencies 组织和/或系统特定风险评估(正式或非正式)的结果被审查，并在建立监测频率时予以考虑

Reporting Requirements通报要求

Reporting requirements do not drive the ISCM strategy but may play a role in the frequency of monitoring. 报告需求不会推动ISCM战略，但可能在监视频率方面发挥作用。

变更因素

内部和第三方审计 Internal and Third-Part Audits

审计流程

1、确定目标，其他一切取决于目标

2、引入合适的业务部门领导，确保识别和解决业务需要

3、确定范围，因为不可能测试所有方面

4、选择审计团队，该团队可能包含内部人员或外部人员，具体取决于目标，范围，预算和可利用的专业知识。

5、规划审计，确保在预算内按时实现目标

6、执行审计，在坚守计划的同时记录任何偏差

7、记录结果，所产生的信息既有价值又是易变的。

8、将传达结果给合适的领导，以实现和维持强有力的安全态势。

审计要求

法律法规需求

如美国联邦信息安全法案(FISMA Federal information Security Management) 要求联邦机构每年至少对组织提供保护，但极少做到完全的保护或信息系统的风险管理

信息安全专家需要理解法律标准中所概述的要求以提供保护，但极少做到完全的保护或信息系统的风险管理。

信息安全专家必须确保恰当的范围和裁剪为目标系统在争取额的级别上获得适当数量的控制

业务驱动

组织为了集中核心竞争力、减少开支和更快的部署应用新的应用功能，不断将系统业务流程和数据处理外包给服务提供商。

组织常更新外包服务商的监控流程以及管理与外包的风险

内部审计(第一审计)

组织拥有自己的审计团队，以实现持续更近您的组织的安全态势

优点

他们熟悉组织内部的工作流程。

工作效率

能够很准确得找出最有问题的点

可以使审计工作更灵活，管理层可以不断变更审计需求让审计团队对应调整审审计方案

缺点

他们接触到的信息系统相对有限

存在利益冲突的可能性，妨碍客观性

外部审计(第二方审计)

业务伙伴或其代表进行审计。

履行合同

一旦合同执行，客户组织可以要求访问人员，地点和信息，核实服务提供商是否满足安全规定。

要点：

了解合同：审计范围基于合同。

安排内部和外部简报

内部简报安排在审计前

外部简报安排在审计结束

成对出行

确保审计组织有人伴随，避免误解。

保持友好

整个流程目标是形成信任。

第三方审计

优点

审计过很多种不同的信息系统，经验丰富

他们不知道目标组织内部的动态和政治。将会保持客观中立

缺点

成本高

你仍然需要处理增加的资源来组织他们并监督他们的工作及时签了保密协议。

缺乏对组织内部运作的了解。

合规

历史上，许多组织常借鉴Statement on Auditing Standards(SAS)70 Reports 审计准则说明以获得对外包活动的安慰，然而SAS 70关注财务报告内部控制ICOFR，而不关注系统可用心和安全

SAS70 报告已在2011退休，取而代之的是SOC(Service Organization Control)报告

Statement onAuditing Standards(SAS)70

■ Changes to core missions or business processes; ■ Significant changes in the enterprise architecture (including addition or removal of systems); ■ Changes in organizational risk tolerance; ■ Changes in threat information; ■ Changes in vulnerability information ■ Changes within information systems (including changes in categorization/ impact level); ■ Trend analyses of status reporting output; ■ New laws or regulations; and ■ Changes to reporting requirements. ■核心任务或业务流程的变化; ■企业架构中的重大变化(包括添加或删除系统); ■组织风险容忍度的变化; ■威胁信息的变化; ■漏洞信息的变化 ■信息系统内部的变化(包括分类/影响级别的变化); ■状态报告输出的趋势分析; ■新的法律法规;和 ■报告要求的变更。

Specifically on risk related to internal control over financial reporting(ICOFR) 财务报告内部控制

过去，多数组织使用外包服务要求SAS70报告，但是仅从财务角度出发，许多用户开始关注安全，可用性而后隐私；

SOC报告

SOC1报告

SOC1：报告需要服务提供商描述他的系统并定义控制目标和控制，这些与财务报告内部控制有关。

SOC1报告通常不覆盖那些与用户ICOFR报告无关的服务和控制

SOC1报告在2011年开始被许多服务商用于核心财务处理服务

SOC2/SOC3报告

一段时间内包含设计和运维有效性的报告

原则和准则具体定义安全性、可用性、机密性、处理完整性和隐私

提供超越财务报告内部控制(ICOFR)

可以基于服务提供商及其用户的需求，采用模块的方式便于SOC2/SOC3报告能够覆盖一个或多个原则

IT服务提供商没有影响或存在简介影响到用户的财务系统，则使用SOC2报告

SOC3报告一般用于向大范围用户通报其保障级别而不需要披露细节控制的测试结果。

审计管理控制

账号管理

添加账号

1、新员工应阅读并签署可接受使用政策(AUP)

2、通过审计员账号，确认员工遵守AUP的情况。

3、从人力资源部门调取新员工清单与IT部门在系统中开设员工账号进行对照，以确保两个部门沟通的有效性

4、策略还应明确账号过期时间，密码策略，用户可访问信息范围。

修改账号

使用特权账号的问题：

1、通常情况每个计算机用户账号都具有本地管理员权限，服务器管理维护人员具有与管理权限，均存在较大风险

2、账号的增加、删除、修改、均应严格控制并文档化

3、实施管理员权限分级管理

4、仅在必须时才使用特权账号，日常维护工作使用的账号

暂停账号

1、要暂停不再使用账号

2、从人力资源部获取短期，长期离岗离职人员清单，与IT系统账号，情况进行对比，删除长期离岗离职人员账号，并暂停短期内离岗离职用户账号使用前。

备份验证

数据类型

用户文件

存在多个版本和备份地点文件不一致的情况，以及有侼数据保留原则的情况

数据库

确保当需要时数据库备份能够恢复生产环境中

邮件数据

考虑到服务器存储空间有限，中大型邮件备份，邮件服务器应与电子取证手段相结合

验证方法

测试数据备份情况

分析组织可能面临的威胁各种场景

开发一个计划来测试每个场景中所有关键任务数据备份

利用自动化，最大限度地减少审计人员的工作量，确保测试定期发生

尽量减少数据备份测试计划对业务流程的影响，但不一定在同一个测试中。

记录结果，这样你就知道什么是工作，什么是需要工作的

修正或完善你记录得的任何问题。

灾难恢复和业务连续性

测试和修改业务连续性计划

测试类型

Checklist Test检查清单测试

BCP拷贝分发给每个关键业务部门经理

请求他们审计适合他们部门的计划部分

Structured Walk-Through Test 结构化穿行测试

作为计划初识测试的工具，但不是最好的测试方法

目标

确保来自所有领域的关键人员熟悉BCP

确保计划反应组织从灾难恢复过来的能力

特点

会议室联系，低成本

■ Attendance of business unit management representatives and employees who play a critical role in the BCP process; ■ Discussion about each person’s responsibilities as defined by the BCP; ■ Individual and team training, which includes a walk-through of the step-bystep procedures outlined in the BCP; and ■ Clarification and highlighting of critical plan elements, as well as problems noted during testing. ■业务单位管理代表和在BCP过程中起关键作用的员工的考勤; ■讨论BCP定义的每个人的职责; ■个人和团队培训，包括BCP中概述的一步一步的流程演练;和 ■澄清和突出关键的计划要素，以及测试过程中注意到的问题。

Simulation Test 模拟测试

比桌面演练包含的内容更多

参加者选择具体的时间场景应用在BCP中

Parallel Test并行测试

包含真是人员移动到别的站点力图按照DRP规定建立通信实施真是的恢复流程

主要是确定如果人员应用DRP规定中的程序，关键系统是否能够在备用处理站点恢复

Full-Interruption Test全中断测试

风险最高的测试

尽可能模拟真是的场景

不能影响业务

安全培训和安全意识培训

安全培训与安全意识宣贯的区别

安全培训是指教授一种技能或一套技能，使人们更好的执行特定功能的过程

安全意识培训是吧人们暴露在安全问题的过程中，以便他们能够认识到他们，并更好的应对他们

社会工程学

在信息安全的背景下，是操纵个人的过程，使特闷执行违反安全协议的行为。

Onlline Safety在线完全

网络钓鱼是通过数字通信进行的社会工程

一个驱动下载是一个自动攻击，只需访问恶意网站触发。

数据保护

文化

关键绩效和风险指标

关键绩效指标KPI

关键绩效指标KPI测量组织在一个给定的时间执行一个给定的任务的效率

关键风险指标KRI

测量执行给定动作集合所固有的风险

报告

技术报告

一个技术报告应该比一个自动扫描工具或一个普通清单的输出更多。

技术报告

威胁

脆弱性

脆弱性被利用的概率

影响程度

改进建议

行政摘要

呈给高级领导者的报告应简洁易懂，主要包括关键的调查结果和建议

最好将风险量化描述，量化风险的一种方法是用货币术语来表达风险。

管理评审

管理评审时高级组织领导者决定管理体系是否有效地实现其目标的正式会议。

管理评审前

管理评审应周期性开展，否则将使检查风险变主动为被动

会议的频率也应执行前一次评审的决定管所需时长同步

评审输入

一个关键的输入是相关审计的结果，包括外部和内部

除了使设审计报告可供审查，也有必要产生执行摘要，描述的主要发现，对组织的影响，以及建议的变化(如果有的话)，记住用上午语言写这些摘要

另一个输入是上次评审发现问题及整改情况的清单

客户评价

最后输入是基于所有其他输入的改进建议。

管理行动

高级领导考虑所有的输入信息，通常问一些有针对性的问题，然后决定批准，拒绝或推迟的建议。

高级管理层将决定是接受它的全部的建议，或接受意见但做细小改变，或拒绝意见，或要求ISMS团队重新收集更多支持数据或重新设计建议选项。

5、身份与访问管理

概念&作用

概念

目标：防范未授权的访问

非法用户对系统资源的使用

合法用户对系统资源的非法使用

概念：访问控制是一种安全手段，控制用户和系统如何与其它系统和资源进行通讯和交互

作用

保护机密性，完整性，可用性

机密性Confidentiality

防止敏感信息泄漏

完整性Integrality

非法篡改

未授权修改

内外信息一致性

可靠性Availability

可靠及时访问资源

访问控制步骤

标识Identification：提供标识信息的主体

宣传用户身份

要素

唯一性：在一个控制环境独一无二，便于稽核

非描述性：身份标识不应暴漏用户身份或职务

特点

访问控制第一步

唯一身份标识

可追溯的前提

鉴别/身份验证Authentication 核实标识信息

验证用户身份标识信息

知道什么？能记住的

口令/密码password

静态的，固定长度的

密码短语 passphrase

虚密码，通常比密码更长

认知密码 cognitive password

基于个人实施或判断的信息

实例

信用卡还款日期等信息

毕业学校或母亲姓氏

可以有多少个认知信息组合

拥有什么？

存储卡

存储信息，但不能处理

智能卡

包含微处理器和集成电路，具备信息处理能力

分类

接触式

表面具有金色封印

需要提供电源和数据I/O

非接触式

四周饶有天线

通过进入读卡器的电磁场提供电源

智能卡攻击

旁路攻击：非入侵式攻击，并且用于在不利用任何形式的缺陷或弱电的情况下找出与组建运作方式相关的敏感信息

智能卡具有更强的防篡改性

一次性密码OTP One-Time Password

也称为动态密码(Dynamic password)用于身份验证，只能用一次

防止重放攻击

实现：令牌

同步模式

计数器同步：用户按下令牌设备的按钮来启动一次性密码创建

时间同步：令牌和服务器必须具有相同时钟

异步模式

挑战/应答机制

优缺点

一旦用户ID和令牌设备被共享或窃取，则会被冒用

优点是不用记密码

示例：令牌设备

短信验证码

是什么，做了什么？

生理特征

面部扫描

扫描面部的属性和特征，包括骨骼，额头等信息

算法：区域特征分析算法

特点

精度低，速度快

识别率，拒认率较高

手型外形

人手的形状的集合特征，手指以及整个手型信息

包括：手掌和手指的长度，宽度和外形

手部拓扑

检查沿着整个手型及其弯曲部分的不同起伏形状

缺点：手型拓扑需要和手部外形组合使用

手掌扫描

手掌具有沟槽，脊状突起和折缝，唯一特征

包括：每个手指的指纹

指纹Fingerprints

指纹由一些曲线和分叉以及一些非常微小的特征构成

声音辨识

语音模式之间的差别

登记时要求说不同的单词，测试时需要将单词混杂要求复述

视网膜扫描

扫描眼球后方视网膜上的血管图案

虹膜扫描

虹膜是眼睛中位于瞳孔周围的一圈彩色部分

虹膜具有独特的图案，分叉，颜色，换装，光环以及皱纹

特点：虹膜识别是最精确的

行为特征Behavioral Traits

签名分析

签名的速度和方式，签名者握笔的方式

签名引起的物理移动会产生电信号，可以被当做生物测定

击键动作

动态击键获取输入具体短语时所产生的电信号

捕获动作的速度和运动

强验证 Strong authentication

双因素：三种类型中包含两种

三因素：三种类型都包含

三种鉴别方法的优缺点

知道什么：比较经济，但是容易被冒用

拥有什么：拥有访问设施或敏感区域，物品容易丢失

是什么，做了什么：基于物理特征和生物鉴定学，不容易被冒用

1类错误FRR：错误拒绝率，拒绝已授权的个人(假阳性)

2类错误FAR：接收本应被拒绝的冒名顶替者(假阴性)

交叉错误率(EER/CER):错误拒绝率和错误接受率的等值点

授权(Authorization) 确定主体对客体执行的操作

确定主体对客体执行的操作

访问准则

基于角色

基于组

基于物理位置和逻辑位置

基于时间段或时间间隔

基于事务类型

默认拒绝访问

知其所需

最小特权原则

稽核或审计Accountability可问责追踪用户活动的审计日志和监控

可追溯性/责任(可问责)

审计

安全审计

审计范围：系统级事件，应用程序及事件，用户级事件

审计内容：时间、地点、任务、发生什么

日志存储期限和大小

审计日志保护(日志的完整性)

日志服务器

一次性写入介质

日志的使用

手动检查

自动检查

日志的管理

击键监控

目的：审计某人和他的活动

访问控制应用

身份管理 Identity Management

遵循层次化的数据结构格式，基于X.500标准和协议(如LDAP)(LDAP:轻量级目录访问协议)

目录服务（DS）

允许管理员配置和管理在网络中出现的身份标识，身份验证、授权和访问控制

元目录

一次只与一个目录连接

元目录包含身份数据

虚拟目录

与多个数据源连接

指向驻留实际数据的位置

身份存储库

身份管理目录中大量信息存储遍布整个企业

web访问管理

提供单点登录等功能的前端控制软件

HTTP是无状态的

cookie和session来维护应用的状态

密码管理 password Management

密码同步

只维护一个密码，可以加强密码的强度

弱点：单点故障，如果获取密码可以访问所有资源

自助式密码重设

通过回答注册的问题，发送重置连接

辅助式密码重设

通过服务台进行身份验证后重置密码

单点登录 SSO

身份集中存储

一次验证多资源访问

弱点：单点故障，如果获取密码可以访问所有资源

SSO实例

Kerberos

身份认证协议

基于对称密码技术

分布式环境单点登录的一个实例

提供端到端的安全

提供完整性和机密性，不保证可用性

主要组件

密钥分发中心KDC

身份认证服务Autentication Service;AS

票证授予服务Ticket Granting Service，TGS

秘密密钥：在KDC与委托人之间进行共享(KDC上存储了密钥)

会话密钥：在两个委托人之间进行秘密共享，会话结束销毁

弱点：

KDC是一个单点故障

秘密密钥临时存储在用户工作站上

会话密钥驻留在用户工作站上

SESAME

使用对称和非对称密码技术

主要组件

特权属性服务器PAS Privileged Attribute Server

特权属性整数PAC，具有数据签名

PAC包括：主体的身份，对客体的访问能力，访问时间段以及PC生命周期

扮演与KDC类似角色

身份验证服务器AS Authentication Server

KryptoKnight

ticket-based

two-part authentication

不需要时钟同步，使用Nonce(一次性随机数)

SAML

基于Web的单点登录

是联合身份管理的标准

安全域：在共享同一的安全策略和管理的领域之间建立信任关系

IDP(身份提供方)

SA安全断言

账户管理

集中化账户管理，同步身份目录

流程化的身份管理审批创建过程

联合身份

多个单位共享用户信息

身份即服务IDaas /SaaS+IAM

基于云端的身份代理和访问管理服务Cloud-IAM

身份管理，访问控制，智能分析

可实现单点登录，联合身份，细粒度控制，服务集成等

访问控制标记语言

GML

SGML

HTML:超文本标记语言(Hypertext Markup Language)

标准通用标记语言（Standard Generalized Markup）

XML

SPML

服务配置标记语言(Provisioning开通)

SAML(实现记录web的sso) (Security Assertion安全断言)

一个基于XML的标准，用于不同的安全域(Security domain)之间交换认证和授权数据

IDP(Identity Provider)

如果IDP出现了问题则所有用户都会受影响

XACML

通过Web服务和其它应用程序，来实现用安全策略及访问权限来实现对资产管控

OpenID

OpenID是由第三方进行用户身份验证的开放标准

用户不需要记住像用户名和密码这样的传统验证标记。取而代之的是，他们只需要预先在一个座位OpenID身份提供者(Identity Provider,IDP)的网站上注册

OAuth

一个开放的标准(Open Authoriztion)

OAuth2.0使用令牌访问

访问控制模型 (授权)

自主访问控制模型 DAC

基于用户授权的

依靠对象所有者自主决定

类型

基于用户资源识别

直接面向用户进行限制

缺点：不安全

面临问题

木马

社会工程

强制访问控制模型 MAC

MAC依赖于安全标签

制定客户敏感标签(客体有分级Classification) 同时只允许高于客体级别的用户访问(主体有许可clearance)(固有属性)

只有管理员可以更改客体级别，而不是客体属主(Data owner)

安全级别较高的场合：军队/政府机构

基于角色访问控制模型 RBAC

又被称为：非自主访问控制Non-DAC(OSG中的定义是：只要不是DAC就是Non-DAC)

使用集中访问控制决定主客体的访问

建立在用户角色的基础上

特点

基于工作职责的权限分配

可以和组织结构关联

能够遵循最小特权原则

职责分离

用户或组对应角色，赋予角色某些权限

类别

核心RBAC

用户、角色、权限、操作和会话应根据策略进行定义和对应

层次化RBAC

角色关系定义了用户成员和权限集成

反应组织机构和功能描述

类型

有限层次

单角色继承

普通层次

多角色继承

受限RBAC

引入职责分离

RBAC中的静态职责分离

示例：会计和出纳

防止欺诈

RBAC中的动态职责分离

根据激活的会话中的角色，动态限制另外的职责分离权限

基于规则的访问控制 RuBAC

基于if x then y

使用特定的规则来指示主体和对象之间能发生什么以及不能发生什么。

基于规则的访问控制不一定是基于身份的

许多路由器和防火墙使用规则来确定哪些类型的数据包被允许进入网络并被拒绝

基于属性的访问控制 ABAC

新型的访问控制，解决RBAC的不足，每个资源和用户都赋予一系列属性，基于对用户属性的比较评估，比如时间，职务和位置，来确定该用户是否能访问某个资源。RBAC属于ABAC的特征

访问控制的方法

访问控制矩阵 Access Control Matrix

主体与客体访问关系的矩阵

访问能力表(矩阵中的行)

规定主体能够访问客体

采用票证、令牌或秘钥形式

示例：keberos的票证

访问控制列表ACL(矩阵中的列)

规定能够对其进行访问的主体

权限表

示例：防火墙、路由器的配置

基于内容的访问控制 content-dependent

对客体的访问取决于客体内容

示例：基于内容的过滤规则包过滤防火墙

基于上下文相关访问控制 context-dependent

基于上下文做出的访问决策

示例：状态检测防火墙

限制性用户接口

包括

菜单/外壳Shell

数据库视图(Create view)

物理限制接口(例如：ATM取款机键盘)

访问控制管理方式

方式

身份验证协议(第四章)

密码身份验证协议，PAP (Password Authentication Protocol)

挑战握手身份验证协议，CHAP (Challenge Handshake Authentication Protocol)

可扩展身份验证协议，EAP (Extensible Authentication Protocol)

集中式访问控制管理 (Centralized access control administration)

RADIUS

组合身份验证和授权

使用UDP

仅加密在RADIUS客户端和RADIUS服务器之间传送的密码

TACACS+

使用TCP

支持动态密码

使用AAA体系结构，分离身份验证、授权和审计

加密客户端和服务器之间的所有流量

Diameter

基本协议

扩展协议

构建在基本协议基础上，能够扩展多种服务，如VoIP等

分散式访问控制管理

一种方法控制对接近资源的人访问，以便更好地理解谁应该不应该访问某些文件，数据和资源。

对比

集中式访问控制存在单点故障，统一访问高效

分散式访问控制：根据用户授权，不存在单点，缺乏一致性

类别

管理控制

策略和措施

人员控制

监管结构

安全意识培训

测试

物理控制

网络分段

周界安全

计算机控制

区域隔离

布线

控制区

技术控制

系统访问

网络体系结构

网络访问

加密和协议

审计

问责：审计功能保证用户对自己的行为负责，确保安全策略的强制执行的安全，并可作为调查工具

访问控制监控

入侵检测系统 Intrusion Detection System 系统架构

按防护范围分类

基于网络入侵检测系统NIDS

实时监测网络流量，部署在分接器或交换机的调试端口或集线器上

基本主机入侵检测系统HIDS

实时监控主机审计日志，部署每个关键主机上(分析日志)

缺点

对主机操作系统侵害性很大

干扰正常系统处理，过度耗费CPU和内存

基于应用IDS

监控具体应用恶意行为的IDS

按防护原理分类

基于特征的IDS

特征匹配，类似于防病毒软件

基于签名的IDS

特征必须持续更新

只有先前确定的攻击签名被检测，不能发现新的攻击

分类：特征匹配、状态匹配

基于异常IDS

基于行为的系统，需要学习环境中的“常规”活动

能检测新的攻击

缺点

可能错误检测出系统中的一瞬间异常造成的非攻击事件

也叫基于行为或启发式

分类

统计异常

协议异常

流量异常

基于规则IDS

在专家系统中使用基于规则的程序IF/THEN

允许人工智能

规则越复杂，对软硬件性能要求越高

不能检测新的攻击

入侵响应

如果IDS检测到入侵

限制或组织系统流量

同时也与其它设备集成进行响应

比如规则注入到路由器，VPN网关，Vlan交换设备等

早期版本的IDS与防火墙集成，知道防火墙对可以流量实时拟定规则

在启动规则的过程中可能会影响正常业务

误报率要严格控制

告警和警报

IDS基本组件

1、传感器Sensor

部署检测机制

识别事件

产生适当提示(notification)

告知管理员

启动某项规则

2、控制和通信Control and communication

处理告警信息

发送邮件或文本信息

3、报警器Enunciator

确定谁能收到信息

保障及时的信息传递机制

IDS管理

雇佣一个技术知识渊博的人来选择，实施，配置，运行和维护IDS

定期更新系统新的攻击特征并评价预期行为特征

注意到IDS易受攻击并对其进行有效保护

攻击者可能会发起攻击禁掉IPS/IDS系统

区分IDS和IPS差异

IPS串行in-line

IDS旁路out-of-band

入侵防御系统IPS Intrusion Prevention System

IDS被动检测

IPS主动防御

蜜罐

蜜罐诱骗Enticement

是合法的

陷阱entrapment不是蜜罐

非法，不能作为证据

面临的威胁

针对口令攻击手段

电子监控

通过监听流量，捕获密码信息，进行重放攻击

访问密码文件

访问服务器上的密码文件

蛮力攻击/暴力破解

使用所有可能的字符，数据和组合来循环拆解密码

字典攻击

构造字典文件与用户的密码进行比较

社会工程

通过打电话重置密码或通过骗取密码

彩虹表

包括所有的散列格式密码

键盘记录

密码安全建议

密码检查器

测试密码强度的工具

密码散列与加密

密码生命周期

规定密码更改周期

记住历史的密码个数

限制登录次数

智能卡面临攻击

旁路攻击

差分功率分析Differntiial power analysis

查看发射频率

电磁分析electromagnetic analysis

查看发射频率

时序分析Timing analysis

计算以特定功能所需的时间

软件攻击

在智能卡中输入提取用户指令的信息

故障生成fault generation

通过一些环境组件来引起错误

包括：温度波动。改变输入电压，时钟频率

直接攻击

微区探查microprobing

使用针头和超生震动去除智能卡点路上的外部保护材料。直接连接智能卡ROM芯片来访问操作其中的数据

信息泄漏

第一章：社会工程

第三章：隐蔽通道

第八章：恶意代码

客体重用

对象分配前未清除内存位置，变量和寄存器

对象分配前未清除文件、数据表

辐射安全

法拉第笼的金属外壳，确保电子设备发射信号在一定范围内

白噪音：均匀频谱的随机电子信号，无法从电磁波中获取信息

控制区

设备表面使用特殊材料屏蔽电子信号

需要创建一个安全周界

授权过程问题

授权蔓延creep

因为工作或部门调动而获取越来越多的权限

网络钓鱼phishing

社会工程学一种攻击手段

创建于核发站点类似的web站点

网址转嫁pharming

DNS中毒

重定向到非法网址IP地址或网址

身份盗窃

4、通信与网络安全

网络基本概念

协议

决定系统如何在网络通信的规则标准集

对等层之间通信要遵守一定的规则，如通信内容，通信方式，这个规则称为协议。

分层

将网络互联任务，协议和服务分为不同的层

每一层都有自己的职责；每一层都有特定的功能，并且由那一层内工作的服务和协议来实现

没一层都有一个特殊的接口，允许与其他三层交互

与上层的接口通信

与下次的接口通信

与目标包地址接口中的相同层通信

封装

解封装

开放互联网参考模型OSI

应用层，7层

与用户最为接近的地方

提供文件传输，消息交换、终端会话以及执行应用程序的网络请求

包括：SMTP、HTTP、LPD、FTP、TELNET、TFTP、SFTP、RIP(底层用UDP)、BGP（底层用TCP）、SIP(会话初始协议)

表示层，6层

将信息变为所遵循OSI模型的计算机都能理解的格式

表示层关心数据的格式和语法，处理数据压缩的加密

典型的格式有：ASCII,ASN、JPEG、MPEG等。

会话层，5层

负责连个应用程序之间建立连接

管理管理主机之间的会话进程，负责建立、管理、终止进程间的会话。

典型的协议有：NETBIOS、PPTP(底层用TCP端口)、RPC等

传输层、4层

传输层提供了端对端数据传输服务，并且在两台通信计算机之间建立连接

会话层建立应用程序连接，传输层建立计算机系统之间的连接

典型的协议有：TCP,UDP,SPX等

数据单位为段(TCP段segment，UDP数据报datagram)

网络层，3层

负责对子网间的数据包进行路由选择。实现拥塞控制，网际互联等功能。

数据单位为数据包(包/分组packet)

典型的协议有：ipx、ip、icmp、igmp，IPsec等。

数据链路层、2层

数据链路层在不可靠的物理介质上提供可靠的传输。

作用有：物理地址寻址、数据的成帧、流量的控制、数据的检错、重发等。

典型的协议：SDLC、PPP、STP、帧中继、ARP/RAPP等。

数据单位为帧frame

物理层，1层

规定了激活、维持、关闭通信端点之间的机械特性，电气特性、功能特性以及过程特性

数据单位为比特(bit)

典型规范代表：EIA/TIA RS-232,RJ-45

TCP/IP模型

TCP:可靠的面向连接的协议

UDP:非面向链接的协议

IPv4和IPv6分别为32位地址和128位地址

套接字：由报头信息有源地址和目的地址里都还有源端口和目的地址里都还有源端口和目的端口(常用协议的端口号：) FTP:20/21 SSH:22 Telnet:23 SMTP:25 HTTP:80

传输类型

模拟Vs数字

模拟信号，即信号的波幅、频率、相位是连续变化的，传输速率低

数字信号：即信号是不连续的脉冲，不易失真，传输速率高

异步Vs同步

同步依靠时钟

异步依靠标志位

宽带和基带

将数字或模拟信号直接加到电缆中进行传输，信息不经过调制，使用电缆的整个信道，以太网属于基带网络。

将多路不同的信号通过调制到不同的“载波”频率上加载到电缆上，即整个电缆的带宽被划分到不同的信道，如同时支持话音、图像和数据传输，有线电视就是基于宽带的网络

局域网技术

网络拓扑

环形网络

总线型网络

星型网络

网状性拓扑

传输介质

局域网实现类型

以太网

由IEEE802.3标准定义

物理上星型，逻辑上总线

使用广播域和冲突域

采用CSMA/CD介质访问

Ethernet/IEEE802.3(同轴电缆上10Mbps)，FastEthernet双绞线上(100Bbps),GigabitEthernet(光纤或双绞线上1Gps)

令牌环

IEEE802.5标准

逻辑环，通常物理星型连接

每个节点都要再生信号

负载带宽可预测，4Mbps或16Mbps

FDDI

令牌传输网络，采用连个相反的环路，主环顺时针，副环逆时针，使用主动监控和新标

速度可达100mbps

典型用在LAN/WAN的骨干上

CDDI(铜缆分布式数据接口)工作在UTP上

介质访问技术

令牌传递

令牌环和FDDI技术采用

拥有令牌计算机具有通信的权利

CSMA

CSMA/CD

带有冲突检测的载波侦听多路访问

在以太网使用

CSMA/CA

带有冲突避免的载波侦听多路访问

在无线网络中所用，如802.11

广播域

广播是一种信息的传播方式，指网络中的某一设备同时向网络中所有

冲突域

布线

概念

数据吞吐率是经过压缩和编码之后

实际通过线缆的数据量

带宽可以视为管道

数据吞吐率则是通过管道的实际数据量

同轴电缆

同轴电缆有个铜芯，外面围绕着屏蔽层和地线

同轴电缆更抗电磁干扰

50欧姆线缆用户传送数字信号

70欧姆线缆用户传送告诉数字信号和模拟信号

同轴电缆能利用基带方法或带宽方法

双绞线

屏蔽双绞线，STP和双屏蔽双绞线，UTP

双绞线具有缠绕的铜线，缠绕是为了避免无线电频率干扰(串扰)

双绞线存在信号的衰减

UTP是最不安全的网络互联线缆

光纤(安全性最高) (比较FC SAN和 IP SAN) (通过检测光的衰减-是判断是否遭到窃听的方法之一)

多模光纤：中短距离

单模光纤：长距离

布线问题

噪声

衰减

串扰

线缆的的阻燃率

传输方法

单播

广播

组播

任播

局域网协议

地址解析协议，ARP

完成IP和MAC地址的解析

ARP表中毒

动态主机配置协议，DHCP

RARP

BOOTP

DHCP

Internet控制消息协议，ICMP

路由协议 (路由协议可以分为动态和静态。动态路由协议能够发现路线并构建一个自己的路由表，而静态路由表要求管理员手动配置路由器的路由表。)

单独网络成为自治系统AS

距离向量

RIP

ICRP

链路状态(建立了网络的拓扑数据库)

OSPF

路由器连接不同AS所使用的外部路由协议，通常被称为外联网关协议BGP

网络和安全设备

网络连接设备

中继器

工作在物理层

功能时接受并放大信号，将信号发送到所有端口

多个设备链接在同一个网段中增加了冲突和争用

网桥和交换机

数据链路层设备

交换机结合了集线器和网桥的技术

VLAN （逻辑网络分段）

减少冲突

提高了网络安全性

交换机收到数据的物理地址信息，如果找到目的端口直接发送给目的端口，无法确定端口则发给所有的端口

路由器

网络层设备

路由器将网络分割为不同的冲突域和广播域

网关

应用层设备

连接不同类型的网络，执行协议和格式的翻译

PBX

控制模拟和数据信号的数字交换设备

pbx的内部安全管理问题，例如窃听，话费等这些问题。

CDN

内容分发网络

一个经策略性部署的整体系统，包括分布式存储，负载均衡，网络请求的重定向和内容管理4个要件

SDN

软件定义网络

将网络设备上的控制权分离出来，由集中的控制器管理，无须依赖底层网络设备(路由器、交换机、防火墙)，屏蔽了来自地底层网络设备的差异

地址转换协议，NAT(NAT 不仅能解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机，在路由器，防火墙上实施)

静态映射

动态映射

端口映射

安全设备

防火墙

分类

包过滤防火墙 (第一代)

工作在网络层

难以防范对上层协议的攻击

应用代理防火墙 (第二代)

工作在应用层

监视应用协议，并且以自身的名义转发，通信双方没有直接的路由

第二代防火墙

电路级网关防火墙

工作在会话层

包过滤的应用代理的混合体

状态检测防火墙 (第三代)

所谓的“状态检测”是指检测TCP传输的连接状态或是UDP传输的虚连接状态（UDP是无连接的，所以状态检测防火墙会为UDP建立一个虚连接）。

工作在网络层、传输层、应用层

维护一个状态表，以跟踪记录每个通信道

为跟踪UDP或TCP的包

第三代防火墙

动态包过滤防火墙 (第四代)

ACL是动态的，连接结束后销毁

第四代防火墙

内核代理防火墙（第五代）

第五代防火墙

评估数据包，防火墙会建立动态的、定制的TCP/IP协议栈

下一代防火墙 (NGFW)

改进现有防火墙静态策略的的局限性

引入外部动态数据资源(例如策略服务器或AD)

开发一个程序保证在恰当的时间采用恰当的规则到达恰当的位置。

通过风险评估，确定防火墙部署位置，数量、数量和具体策略

防火墙体系结构

双宿防火墙

被屏蔽主机

被屏蔽子网(形成DMZ 安全性高)

UTM统一威胁管理

NGFW下一代防火墙

SIEM安全事件管理(第7章)

远程访问技术

AAA服务 Authentication验证， Authorization授权， Accounting问责/Auditing审计

RADIUS

Remote Authentication Dial In User Service,远程用户拨号认证系统，使用UDP协议

使用UDP协议

TACACS

Terminal Access Controller Access-Control System,终端访问控制器访问控制系统

使用UDP协议

TACACS+

双因素密码认证(允许使用动态密码)

使用TCP协议

Diameter

身份认证协议 Autherntication

密码身份验证协议，PAP

使用明文格式发送用户名和密码。（不安全）

PAP认证过程非常简单，二次握手机制

被认证方为发起方，可以做无限次的尝试(暴力破解)

只在链路建立的阶段进行PAP验证，一旦链路建立成功将不再进行验证检测。目前在PPPOE拨号环境中用的比较常见。

挑战握手身份验证协议，CHAP

挑战-应答机制进行身份验证

CHAP用于使用3次握手

传输哈希值进行验证

在链路建立初始化时这样做，也可以在链路建立后任何时间重复验证

CHAP通过增量改变标识和“challenge-value”的值抗重放攻击。

CHAP要求密钥以明文形式存在

企业要求既能防止重放，又是明文验证的方法？ (选PAP or CHAP EAP?)

(是一个可扩展的身份验证框架)可扩展身份验证协议，EAP

EAP-MD5

基于散列值进行弱身份验证

单向验证

服务器验证客户端

EAP-TLS

使用数字证书进行身份验证

双向验证

服务器端和客户端都需要数字证书

(注意：EAP-TTLS和PEAP只需要服务器端证书，客户端不需要证书)

PEAP

使用了TLS

EAP-TTLS

扩展了TLS功能

身份认证方法

call-back(回拨)

In a callback,the host system disconnects the caller and then dials the authorized telephone number of the remote terminal in order to reestablish the connection,Synonymous with dialback. 在回拨中，主机系统先断开呼叫者的连接，然后拨打远程终端的授权电话号码以重新建立连接。

综合业务数字网，ISDN

集成多种技术，包括电路交换，专线和数据包交换，在单一网上实现语音、时评和数据传输服务

Basic Rate Interface,BRI基本速率接口2B+D，即2个64Kbps数据通道+1个16Kbps控制通道

Primary Rate Interface,PRI基群速率接口23B+D，即23个64Kbps数据通道+1个64Kbps控制通道

专用线路

安全

价格贵

数字用户线路，DSL

对称DSL,SDSL

数据以相同的速率上行和下行，适用于双向高速传输的业务

高位率DSL，HDSL

需要两对双绞线，在常规通电话线上提供T1的速率

非对称DSL,ADSL

数据下行的速度比上行的速度更快，适用于家庭用户

IDSL

与交换中心较远的用户使用，128Kbps的对称速度

点对点隧道协议，PPTP

OSG 8: L2TP, PPTP 二层协议 AIO8, p.402 AIO8，p.568 CBK 4：第5层协议

工作在第5层会话层，为第二层服务

点对点连接

为客户/服务器连接而设计

把PPP帧封装进进行隧道传输

使用MPPE加密

L2F

由cisco在L2TP之前创建

与PPTP合并形成L2TP

提供安全的身份验证和加密

没有加密

L2TP

L2F和PPTP的混合

两台计算机之间的点对点连接

为了提高安全与IPSEC结合

L2TP：仅定义了控制消息的加密传输方式，并不对隧道中传输中的数据加密

IPSec

能够同时处理多个连接

提供安全身份验证和加密

工作在网络层

两种模式：隧道模式及传输模式

AH/ESP/ISAKMP/IKE等重要协议

AH(Authentication Header)

提供完整性

ESP(Encapsulating Security Payload)

提供机密性及完整性

SA(安全关联)

单向、安全关联、存储VPN参数

IKE(Internet Key Exchange)

密钥交换协议

ISAKMP

安全连接及密钥交换协商框架

SSL/TLS

提供应用层安全工作在传输层

前身为TLS(TLS1.0是SSL3.0的后续,也被称为SSL3.1)

易于实施和维护， --IPSEC VPN实现再网络层，比较复杂，TLS VPN实现在传输层，实现简单灵活 --相对而言，IPSEC VPN传输效率更高，TLS VPN传输效率较低。

MPLS

(多协议标签交换)MPLS将企业分布在不同地点的办事处及设备通过安全可靠、高效率的虚拟专用网络连接起来，实现数据、语音、视频传输或其他重要网络应用，兼具服务品质(QOS)保证。

MPLS VPN依靠转发表和分组的标签来创建一个安全的VPN，而不是依靠封装和加密技术。

VPN使用隧道协议确保数据传输中的机密性与完整性。

广域网

电路交换链接 (circuit switching)

基于传统的电话网络，是物理的，永久的连接

电话交换系统的一个实例是日常电话应用

一般使用拨号调制解调器的ISDM，适用于低带宽和备份应用，资源效率低

程控交换机

分组交换链接 (packet switching)

存储转发模式

多个系统共享，以分组方式传输，交换设备对其进行路由，在目的地重组，使用效率高

传统的分组交换：帧中继，X.25，internet

信元交换连接 (cell switching)

异步传输模式(ATM)

语音和视频传输载体

数据分片大小固定位53字节的信元

专用链路

T载波是专用线路，运载语音和数据信息

T1线路最高1.544Mbps

T3线路最高45Mbps

时分多路复用技术(TDM)

T1和T3逐渐被光纤取代

CSU/DSU

通道服务单元/数据服务单元

LAN与WAN之间数字信号转换

DSU将路由器、网桥等数字信号转换为能在电话公司的数字线路上传输的信号

CSU将网络直接连接到电话公司的线路

广域网虚电路 (Virtual circuit)

帧中继和X.25通过虚电路转发数据帧

交换虚电路像与客户实现约定可用带宽的专用电路方式工作，永久连接，用户数据持久传输

交换式虚电路需要拨号和连接的步骤，电路建立，数据传输，电路中断三个阶段

帧中继

在数据链路层上工作的WAN协议

用户帧中继继续连接的设备主要有两类

数据终端设备，DTE

通常是客户拥有的设备，如提供公司自己的网络和帧中继网络之间连通性的路由器和交换机

数据电路终端设备，DCE

服务提供商的设备是电信公司的设备，他在帧中继云团中完成实际的数据传输和交换

X.25

定义了设备和网络如何建立于维护连接

交换式兆位数据服务SMDC

一种高速分组交换技术

无连接协议

同步数据链路控制，SDLC

基于使用专用租用连接以及永久物理连接的网络

适用于大型主机远程通信，提供轮训介质访问技术

高级数据链路控制，HDLC

面向位的链路层协议

用于同步线路上的传输

高速串行接口，HSSI

将多路复用器和路由器联系至高速通信服务(ATM和帧中继)的接口

工作在物理层

多服务访问技术

电话系基于电路交换，语音因为中心的网络，即公共交换电话网络(PSTN)

7号信令系统控制建立连接，控制指令，撤销回话

会话初始化协议SIP，建立和测小呼叫会话，能够在TCP或UDP上工作的协议

VoIP 语音并不是通过电信运营商的传统电话网络 (语音网络)进行传输，而是将语音转化为IP数据包，基于IP网络传输的技术

H.323网关

ITU-T建议包括大量多美调通信服务

H323是处理视频，音频和数据包传输

SIP网关

VoIP安全问题及对策

法律合规

业务连续性的保障

IP电话

广域网复用技术

时分复用STDM

频分复用FDM

波分复用，WDM

密集波分复用，DWDM

无线技术

WAP

无线应用协议

基于WML无限标记语言，基于XML

WAP自己具有会话和传输协议以及无线传输层安全(WTLS)的传输层安全协议

匿名身份验证：无线设备和服务器彼此不进行身份验证

服务器身份验证：服务器对无线设备进行身份验证

双向客户端和服务器身份验证：无线设备和服务器互相进行身份验证

802.11

802.11a

最高达54Mbps速率

5GHz频率范围

802.11b

最高达11Mbps速率

2.4Ghz

802.11n

Qos

801.11g

20-54Mbps

2.4GHz频段

802.11i

继承了可扩展身份验证协议EAP

继承了消息完整性代码，MIC

暂时密钥完整性协议，TKIP(WPA)

每个数据帧都有不同的IV值

采用标准AES高级加密标准(WPA2)

Wi-Fi联盟吧这个使用pre-shared key的版本叫做【WAP-个人版】或【WAP2-个人版】(WAP-Personal or WPA2-Personal,) 用802.1X认证的版本叫做【WPA-企业版】或【WPA2-企业版】 (WAP-Enterprise or WPA2-Enterprise)

802.1X IEEE 802.1X是IEEE指定的关于用户接入网络的认证标准。 802,1X协议在用户/设备接入网络（可以是LAN,也可以是WLAN）之前进行验证，运行与网络的MAC层。

同身份验证架构和一个动态分发加密密钥的方法由三部分组成：请求者(无线设备)、身份验证者(AP)、身份验证服务器(RADIUS)

The supplicant is a clinet device(such as a laptop)that wishes to attach to the LAN/WAN. The authenticator is a network device ,such as an Ethernet switch or wireless access point; and the authentication server is typically a host running software supporting the RADIUS and EAP protocols 请求者是希望连接到LAN/WAN的客户端设备(如笔记本电脑)。验证者是网络设备，如以太网交换机或无线接入点;认证服务器通常是运行支持RADIUS和EAP协议的软件的主机

使用EAP认证

蓝牙，Bluetooth

蓝劫(Bluejacking)

向一台蓝牙设备主动发起消息。(无破坏行为)

bluesnarfing

扩频技术

跳频扩频，FHSS

使用FHSS算法决定使用的不同频率及其顺序

直接序列扩频，DSSS

正交频分多路复用，OFDM

无线局域网(WLAN) 安全/两种方式无线身份验证

开放系统身份验证(OSA)

只需要提供正确SSID即可

保护WLAN安全

需要无线设备证明有用密钥

WEP协议(Wired Equivalent Privacy)

采用RC4加密(不安全的，已过时)

IV初始向量size 24bit,容易攻破

WPA

TKIP(TKIP;Temporal Key Integrity Protocol 负责处理无线安全问题的加密部分。以解决WEP保护的网络中遇到的安全问题)

IV 128bit，更安全

WPA2(Wifi Protected Access 2)

CCMP代替TKIP

最安全

无线的攻击

war walking/driving/chalking

AP（Access Point）

防盗、天线的功率，防rouge AP,未经企业许可而私自接入企业网络中的无线路由器(wi-fi AP)

无线通信技术

卫星通信

单向网络，如数字电视

微信链接Internet，双向传输

900MHz

模拟FDMA

基本电话服务

1800MHz

TDMA

呼叫者ID和语音邮件

电路交换

仅文本

2GHz

CDMA

2Mbps(3.5G10Mbps)

会议呼叫和低质量视频

图形和格式化文本

数据包交换

40GHz和60Ghz

0FDM

远程呈现和高清视频

完整统一消息

本地IPV6

100Mbps

SIM卡 Subscriber Identity Moudule (3G/4G USIM: universal SIM)

网络互联服务和协议

域名服务，DNS

威胁

DNS缓存中毒

DNS缓存中毒攻击主要是针对递归解析方式工作并缓存非本域的解析结果的DNS服务器。

DNS安全

DNSSEC，加强DNS的身份验证机制

开发DNSSEC技术的目的之一是通过对数据进行“数字签名”来确保完整性

工控系统SCADA

数据采集和监控

ModBus,FieldBus协议

面临威胁

移动电话安全

电话具有摄像头和存储敏感信息

身份验证，可能存在伪基站

手机克隆

WLAN战争驾驶攻击

用来嗅探AP，并进行破解密码

间谍软件和广告软体

即时通讯 (最大风险，信息泄露)

假冒，认证等攻击

拒绝服务攻击(DOS)

利用tcp协议攻击

SYN Flood

攻击过程原理

SYN Flood 或称 SYN洪水、SYN洪泛是一种阻断服务攻击，起因于攻击者传送一系列的SYN请求到目标系统。用户和服务器之间的正常连接，正确执行3次握手。当客户端尝试与服务器建立TCP连接时，客户端和服务器在正常情况下交换一组信息，如下所示： 1.客户端将SYN同步信息发送到服务器并请求连接设置。 2.服务器响应客户端SYN-ACK响应请求。 3.客户端承诺ACK并建立连接。这是在所谓的TCP 3次握手中使用TCP传输协议的每个连接的基础。水槽洪水。攻击者发送许多数据包，但不向服务器发送“ACK”。因此，连接半开，吞下服务器资源。由于阻止服务攻击，合法用户尝试连接到服务器但被拒绝。 SYN Flood是一种众所周知的攻击，在现代网络中通常无效。这种类型的攻击仅在服务器收到SYN后才分配资源，但在本节中，它会在收到ACK之前生效。目前有两种SYN Flood攻击方式，但它与所有服务器都没有收到ACK的事实有关。恶意用户无法接收ACK，因为服务器向假IP地址发送SYN-ACK，跳过最后一条ACK消息或模拟SYN的源IP地址。在这两种情况下，服务器都需要时间来复制通知，这可能会导致简单的网络拥塞而无需ACK。如果这些半开放连接绑定服务器资源，则服务器可以向服务器排出大量SYN信息。如果为半开连接保留所有资源，则会阻止服务攻击，因为无法设置新连接（无论合法）。其他操作系统功能可能需要这种形式的资源，即使在某些系统上，即使停机也可能非常严重。 1996年用于分配半开放连接资源的技术通常包括相当短的队列（例如，8个空座位）。当连接完成或过期时（例如，3分钟后），您可以打开队列间隔。如果队列已满，则新的传入连接将失败。在上面的示例中，在发送总共8个数据包之前，所有新的传入连接都被阻止。这意味着每3分钟计算8个数据包，并阻止所有新的TCP连接。此阻止服务仅攻击少量流量。建议的措施包括SYN cookie和限制在特定时间段内从同一源请求的新连接数，但最新的TCP / IP堆栈没有上面提到的瓶颈因为它位于SYN Flood和其他基于通道的容量之间。攻击类型应该很少或没有区别。

tcp三次握手受到攻击

利用ICMP协议攻击

ping of death

发送畸形ICMP包(>64k)

Smuff

发送海量广播包导致死机 (Smurf攻击通过使用将恢复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致网络的所有主机都对次ICMP应答请求做出答复，导致网络阻塞。)

利用udp协议攻击

fraggle

发送海量udp的echo包

trardrop

UDP包重组时重叠导致死机

分布式拒绝服务DDOS

反射器，放大器攻击

流量牵引，清洗，回传

黑洞(流量被抛弃) /下水道路由(sinkhole)流量呗牵引到某个点再做进一步分析应对DDOS攻击的方法

3、安全工程

概念

CBK 安全工程领域包括用于设计、实施、监控和保障操作系统、设备、网络、应用安全的概念、原则、结构、标准，以及用于实现不同级别机密性、完整性、可用性控制措施。 1 依照安全设计原则执行和管理工程生命周期。依照安全设计原则执行和管理工程生命周期。 2 了解安全模型的基本概念。 3 依照信息系统安全标准挑选控制和对策。 4 了解信息系统的安全能力。 5 评价和抑制安全架构、设计和解决方案元素的脆弱性。 6 评价和抑制Web系统的脆弱性。 7 评价和抑制移动系统的脆弱性。 8 评价和抑制嵌入式设备和网络化物理系统的脆弱性。 9 应用密码技术。 10 把安全原则应用到场地和设施设计。 11 设计和执行设施安全。 All in One 安全架构设计（信息安全治理与风险管理部分体系架构）密码术物理和环境安全

安全架构

围绕着计算机安全的核心（ C.I.A ）从硬件、基础软件（操作系统）的设计源头系统的考虑、制定安全策略、搭建安全模型。

在系统生命周期中使用安全设计原则

系统工程生命周期

用于把用户需求转换为系统定义的跨学科的方法，通过一个迭代流程架构和设计一个有效的操作系统。

关键技术过程

需求定义

需求分析

架构设计

实施

集成

验证

确认

转移(上线)

关键管理过程

决策分析

技术规划

技术评估

需求管理

风险管理

配置管理

接口管理

技术数据管理

安全原则

NIST SP 800 -14

NIST SP 800 -14 《信息技术系统安全保护公认原则和实践规范》被广泛接受的信息技术系统安全原则与实践 ,规定了可供从机构层面视角管理信息技术安全的八条原则和十四项实践规范。 8个安全原则 14个安全实践

NIST SP 800 - 27

安全工程原则（从工程角度设计安全架构） IT系统生命周期的五个阶段：启动开发/采购执行（安装/调试）操作/维护处置（设备的移动、归档、丢弃、销毁、净化） 6大类别：安全基础基于风险提高弹性减少脆弱性围绕网络的设计 33个信息技术安全原则

Engineering Principles for Information Technology Security(A Baseline for Achieving Security)信息技术安全工程原理(达到安全的基线)

安全开发生命周期框架

Cisco Secure Development Lifecycle Microsoft's Trustworthy Computing Secure Development Lifecycle Center's for Medicare and Medicaid Services Technical Reference Architecure Standards Building Security in Maturity Model-11（ BSIMM-11）

BISMM

Build Security In(构建安全)

安全内置在整个开发过程中

ISO/IEC 21827:2008

系统安全工程-能力成熟度模型（SSE-CMM）针对提供安全工程保障的机构标识了业界应该普遍遵守的实践规范，没有制定具体流程。包括：整个生命周期，其中包括开发、操作、维护和退役方面的安全活动。整个安全机构，其中包括机构层面和工程层面的活动。与其他流程的交互，如系统、软件、硬件、人的因素、测试工程、系统管理、操作和维护等。与其他机构的交互，其中包括采购、系统管理、认证、认可和评估。

架构

企业安全架构

目标：表达了一个简单、长期的控制视图提供了一个统一的愿景整合已经存在的技术投入对于当前和未来的威胁和核心功能需求提供一个灵活的方法收益描述用于指导安全相关技术决策和方案的安全战略对IT架构师和管理层提供指导，使他们更好的做出安全相关投资和设计决策建立未来要达到的技术架构支持、驱动、扩展安全政策和标准整合行业标准和模型确保最佳安全实践被应用架构框架和实际架构是有区别的。每个组织的架构都不同原因在于它们有不同的业务驱动、安全和规定需求、文化和组织结构。

通用架构(企业架构、IT架构、安全架构)

ZACHMAN

架构模型的鼻祖

TOGAF

开发和运维架构的模型

SABSA

安全架构模型

安全架构开发方法

一个安全架构应该从描述一系列通用安全服务的概念模型开始（安全策略/安全模型 --安全要求/安全设计架构）通用的安全服务（通用安全控制原则：横向隔离、纵向访问、多层保护...）边界控制服务如：安全区域控制、防火墙、边界路由、代理服务，等访问控制服务如：身份识别、身份验证、单点登录、访问授权，等完整性服务如：防病毒、内容过滤、文件完整性检查、白名单、入侵防御系统，等密码服务如：加密服务、哈希、PKI/CA，等审计和监控服务如：日志、IDS、SEIMs，等信息安全的 C.I.A

获取和分析安全需求

从用户、业务部门获取 IT安全需求安全架构师明确IT安全原则、实施指南基于风险的需求分析功能性需求：保护对象、控制对象非功能性需求：性能、可靠性获得管理层批准

创建和设计安全架构

根据安全需求，选择适当的安全架构模型进行总体设计。设计原则：体现一种简单的长期控制观念； (战略性、持续改进) 为公用安全控制提供一个统一视角。（体系化、系统化）借用现有技术投资；（可实现性）针对当前和未来的威胁以及核心功能的需要提供一种灵活的应对方法。（有针对、适度性）

系统安全架构

企业架构和系统架构虽然有重叠之处，但它们还是有区别的。企业架构解决的是组织的结构，系统架构解决的是软件和计算机组件的结构。

通用系统组件

CPU

进程

一个独立运行的程序，有自己的地址空间 , 是程序运行的动态过程只能有限地与其它进程通信，由 OS 负责处理进程间的通信进程保护机制：对象封装、共享资源时分复用、命名区分、虚拟映射

线程

进程中的一小段相对独立的代码，可重用、可并发执行通常在一个进程中可以包含若干个线程，它们可以利用进程所拥有的资源。在引入线程的操作系统中，通常都是把进程作为分配资源的基本单位，而把线程作为独立运行和独立调度的基本单位。线程、进程主要区别：

虚拟机

进程的虚拟执行环境：指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。虚拟操作系统

多程序设计

程序：一组指令的有序集合。一个操作系统交叉执行多个程序（进程）或任务。解决主机和外转设备速度不匹配问题，为提高 CPU 的利用率。通过进程管理，协调多道程序之间的 CPU 分配调度、冲突处理及资源回收等关系。

多任务

任务：是一个抽象的术语,一般指由软件完成的一个活动。一个任务既可以是一个进程,也可以是一个线程。简而言之,它指的是一系列共同达到某一目的的操作。例如,读取数据并将数据放入内存中。这个任务可以作为一个进程来实现,也可以作为一个线程（或作为一个中断任务）来实现。一个操作系统同时执行多个程序（进程）或任务。实时多任务 (Real time) 、抢占式多任务 (Preemptive) 、协作式多任务 (Cooperative) Windows 2000, IBM OS/390, Linux….

多重处理

使用两个或两个以上的CPU 进行并行处理：多处理器 Multiprocessor, 2 种方式动态地为一个程序分配多个 CPU 多个CPU协同工作解决一个问题 ( 并行处理 )

多线程

通过生成不同指令集（线程）而同时执行多个活动的应用程序。

多线程更容易导致竞太条件攻击

TOC/TOU

保护机制-保护环

保护环：操作系统的一种保护机制以确保不同的进程之间不会互相干扰，对操作系统造成负面影响。环为进程执行的提供独立的环境，其作用相当于容器和壁垒，环与环之间隔绝，从而保障进程间的安全。不同的CPU架构决定环的多少。（越核心越重要，安全防护级别越高）另一种操作系统保护机制是

存储器

寄存器

CPU的一部分，由CPU在其处理期间集成和使用的小且临时的存储单元。如：通用寄存器、特殊寄存器、程序寄存器等。对寄存器的访问速度快于存储器存储器：内存。主要功能是存储程序和各种数据，并能在计算机运行过程中高速、自动地完成程序或数据的存取。

高速缓存

CACHE：高速缓冲存储器是存在于主存与CPU之间的一级存储器，量比较小但速度比主存高得多，接近于CPU的速度。不同的主板有不同的高速缓存器。 L1和L2级缓存常内置在处理器和控制器中。

随机存储器

RAM：任何存储单元的内容都能被随机存取，且存取时间和存储单元的物理位置无关。 DRAM、SDAM；SDRAM、DDR SDRAM ASLR（进程组件所用的地址是随机的）

只读存储器

ROM：存储的内容是固定不变的，只能读出而不能写入的半导体存储器。 PROM、EPROM、EEPROM、FLASH Memory 固件

辅助存储器

硬盘、CD、DVD、磁带（DLT/SDLT/DAT）

虚拟存储器

通过使用二级存储器(部分硬盘空间)来扩展内存(RAM)的容量，对未被执行的程序页进行处理虚拟存储器属于操作系统中存储管理的内容，因此，其大部分功能由软件实现。虚拟存储器的作用：分隔地址空间；解决主存的容量问题；程序的重定位虚拟存储器不仅解决了存储容量和存取速度之间的矛盾，而且也是管理存储设备的有效方法。有了虚拟存储器，用户无需考虑所编程序在主存中是否放得下或放在什么位置等问题。

针对存储的攻击

存储器泄露: 不正确的释放存储器（完善编码，使用内存回收机制）缓冲区溢出：数据超过被分配的存储器容量，CUP非受控运行溢出部分的内容。（编码规范、完整性检查）

缓存溢出攻击

基本输入输出/外设

CPU随时接受输入/输出（I/O）设备访问信号，通过中断机制进行控制。目的是保证外设的独立性。外设种类：块设备（磁盘）、字符设备（打印机、网卡、鼠标）中断种类：可编程I/O ：CPU向外设发送信息后等待答复中断驱动I/O ：外设向CPU发出中断请求，CPU处理后自动转向其他任务使用DAM的I/O ：直接访问存储器地址，外设不经过CPU直接访问存储器地址。分为映射前I/O、全面映射I/O。预映射式I/O(Premapped I/O)

操作系统

单层操作系统

所有的操作系统进程在内核模式下运行。

多层操作系统

所有的操作系统进程运行在内核模式的分层模型中。（0-3层内核空间）

微内核操作系统

关键操作系统进程在内核模式下运行，其余在用户模式运行，通过限制运行在内核中的进程数量使操作系统尽可能安全

混合微内核操作系统

单层和微内核的结合。所有操作系统进程在内核模式中运行，关键操作的微内核执行，其他使用客户端/服务器模式运行。

信息系统的安全能力

处理器状态

运行状态：operating state 执行指令解题状态：Problem state 执行应用程序仅执行非特权指令管理程序状态：Supervisor state 特权模式下执行程序可以访问整个系统，同时执行特权和非特权指令等待状态：Wait state 等待特定事件完成

安全内存管理

通过多种机制保证存储器（内存）的安全访问控制 4个控制机制：对象封装、共享资源分时复用、命名区分、虚拟映射

访问控制机制

身份识别、验证、授权、可追溯 reference监视（抽象机）

分层

操作系统访问隔离--操作系统保护环

数据隐藏

数据隐藏在不同的安全层级保持活动，把这些层级相互分离开来。这有助于防止一个安全层级的数据被在其他安全层级运行的流程看到。

抽象

抽象化是指从实体中去除特点以更清晰显示实体的本质属性。抽象化否定了用户了解实体运行细节的需要。他们只需掌握使用客体的正确语法和所示信息的性质就可以了。不知道实体真实情况

加密保护

通过加密技术把信息明文变为密文从而保护信息的机密性和完整性。

主机防火墙

防火墙及IDS的种类：基于主机的、基于网络的

审计和监控

监控系统的状态，发现问题通过审计事后检查，审计的基础是日志，要防止对日志的篡改。

虚拟化

虚拟机通常被隔离在一个沙箱环境中，若是受到感染，可迅速将其移除或关机，用另一台虚拟机取代。虚拟机：对硬件资源拥有有限访问权，因此可帮助保护主机系统和其他虚拟机。要求有强配置管理控制和版本控制，以确保需要时用已知好拷贝将其恢复。还要符合针对基于硬件系统提出的所有典型要求，其中包括防恶意软件程序、加密、HIDS、防火墙和打补丁。作用：隔离，不特别声明一般指虚拟操作系统

隔离

安全模型

状态机模型

状态机模型（State Machine Model）：安全的状态机模型是其他安全模型的基础，描述了一种无论处于何种状态都是安全的系统。状态（State）是处于特定时刻系统的一个快照，如果该状态所有方面都满足安全策略的要求，就称之为安全的。状态机可归纳为4个要素：现态、条件、动作、次态这样的归纳，主要是出于对状态机的内在因果关系的考虑 “现态”和“条件”是因 "动作"和"次态"是果状态转换/迁移：许多活动可能会改变系统状态，状态迁移总是导致新的状态的出现如果所有的行为都在系统中允许并且不危及系统使之处于不安全状态，则系统执行一个安全状态机模型：secure state model 一个安全的状态机模型系统，总是从一个安全状态启动，并且在所有迁移当中保持安全状态，只允许主体以和安全策略相一致的安全方式来访问资源。基于状态（主体、客体）进行控制，始终监控访问状态

信息流模型

在信息流模型中，数据被看作保存在独立的分割区间内，关注的是在独立的主体之间信息是否被允许或不允许访问。信息流模型用于防止未授权的、不安全的或者受到限制的信息流，信息流可以是同一级别主体之间的，也可以是不同级别间的。信息流模型允许所有授权信息流，无论是否在同一级别; 信息被限制在策略允许的方向流动。隐蔽通道某个实体以一种未经授权的方式接受信息的途径，这是一种没有受到安全机制控制的信息流定时(timing)：一个进程通过调节它对系统资源的使用,影响另外一个进程观察到的真实响应时间,实现一个进程向另一个进程传递信息。 • 存储(storage)：一个进程直接或间接地写一个存储单元,另一个进程直接或间接地读该存储单元。

无干扰模型

无干扰模型并不关心信息流，而是关心影响系统状态或者其他主体活动的某个主体的活动确保在较高安全级别发生的任何活动不会影响或者干扰在较低安全级别发生的活动。如果在较高安全级内的一个实体执行一项操作，那么它不能改变在较低安全级内实体的状态如果一个处于较低安全级的实体感受到了由处于较高安全级内的一个实体所引发的某种活动，那么该实体可能能够推断出较高级别的信息，引发信息泄漏基本原理为，一组用户(A)使用命令(C)，不被用户组(B)(使用命令D)干扰，可以表达成A, C:| B, D，同样，使用命令C的组A的行为不能被使用命令D的组B看到。关注隐蔽通道和推理攻击。

多级格子模型

Lattice 模型通过划分安全边界对 BLP 模型（机密性）进行了扩充，它将用户和资源进行分类，并允许它们之间交换信息，这是多边安全体系的基础。多边安全的焦点是在不同的安全集束（部门，组织等）间控制信息的流动，而不仅是垂直检验其敏感级别。建立多边安全的基础是为分属不同安全集束的主体划分安全等级，同样在不同安全集束中的客体也必须进行安全等级划分，一个主体可同时从属于多个安全集束，而一个客体仅能位于一个安全集束。在执行访问控制功能时，lattice模型本质上同BLP模型是相同的，而lattice模型更注重形成"安全集束"。BLP模型中的"上读下写"原则在此仍然适用，但前提条件必须是各对象位于相同的安全集束中。主体和客体位于不同的安全集束时不具有可比性，因此在它们中没有信息可以流通。

(点阵模型/晶格模型)最小上界和最大下界

基于矩阵的模型

访问控制矩阵是一个包含主体和客体的表，它关注在每个主体和客体之间一对一的关系。访问控制矩阵由两个维度。以主体为核心的功能表（主体绑定）：指定了某些主体对特定客体进行操作的访问权限以客体为核心的访问控制列表（客体绑定）：是一些主体被授权访问特定客体的权限列表。矩阵模型没有描述客体之间的关系。

安全模型的例子

Bell-Lapadula 模型

BLP模型特点 BLP属于强制访问控制模型，用于在政府和军事应用中实施访问控制。BLP当初设计出来用于规范美国国防部的多级安全 (MLS) 策略。 BLP是对安全策略形式化的第一个数学模型（相当严谨的、无歧义的），是一个状态机模型，用状态变量表示系统的安全状态，用状态转换规则来描述系统的变化过程。 Bell-lapadula模型的系统会对系统的用户（主体）和数据（客体）做相应的安全标记，因此这种系统又被称为多级安全系统，级别和模型用于限制主体对客体的访问操作，该模型用于加强访问控制的信息保密性。 Bell-lapadula使用主体，客体，访问操作（读，写，读/写）以及安全级别这些概念，当主体和客体位于不同的安全级别时，主体对客体就存在一定的访问限制。实现该模型后，它能保证信息不被不安全的主体所访问。 BLP: Bell-La Padula Model，即“no read up, no write down”，如下图所示：以下仅摘抄部分模型的定义： BLP模型的三项规则 Bell-lapadula有三条强制的访问规则：简单安全规则（simple security rule）：表示低安全级别的主体不能从高安全级别客体读取数据。星属性安全规则（star property）：表示高安全级别的主体不能对低安全级别的客体写数据。强星属性安全规则（strong star property）：表示一个主体可以对相同安全级别的客体进行读和写操作。所有的MAC系统都是基于Bell-lapadula模型，因为它允许在代码里面整合多级安全规则，主体和客体会被设置安全级别，当主体试图访问一个客体，系统比较主体和客体的安全级别，然后在模型里检查操作是否合法和安全。下图是对bell-lapadula模型的简要描述： 1）当安全级别为Secret的主体访问安全级别为Top Secret的客体时，简单安全规则（simple security rule）生效，此时主体对客体可写不可读（no read up）；对上能提供数据，但不能对上获取数据。（保证高密级的机密性） 2）当安全级别为Secret的主体访问安全级别为Secret的客体时，强星属性安全规则(strong star property)生效，此时主体对客体可写可读；同级可读可写（同级认为是被信任） 3）当安全级别为Secret的主体访问安全级别为unclassfied的客体时，星属性安全规则( star property)生效，此时主体对客体可读不可写(no write down)；对下获取下级的数据，不能为下级提供数据（避免数据非法泄露）在BLP模型中，用户只能在其自己的安全级别或更高的安全级别上创建内容（如，秘密研究人员可以创建秘密或绝密文件，但不能创建公共文件；不能下写）。相反，用户只能查看在其自己的安全级别或更低的安全级别的内容（如，秘密研究人员可以查看公共或秘密文件，但不能查看绝密文件；不能上读）。该安全模型针对访问控制，并被描述为：“下读，上写”。信息自下而上流入。 BLP模型的优缺点 BLP模型是最早的一种安全模型，也是最有名的多级安全策略模型。它给出了军事安全策略的一种数学描述，用计算机可实现的方式定义。它已为许多操作系统所使用。实现了允许低密高流入，禁止高密向低密流出。优点： ①是一个最早地对多级安全策略进行描述的模型； ②是一个严格形式化的模型，并给出了形式化的证明； ③是一个很安全的模型，既有自主访问控制，又有强制访问控制。 ④控制信息只能由低向高流动，能满足军事部门等一类对数据保密性要求特别高的机构的需求。总的来说，BLP模型“过于安全”。 ①上级对下级发文受到限制； ②部门之间信息的横向流动被禁止； ③缺乏灵活、安全的授权机制。不安全的地方： ①低安全级的信息向高安全级流动，可能破坏高安全客体中数据完整性，被病毒和黑客利用。 ②只要信息由低向高流动即合法（高读低），不管工作是否有需求，这不符合最小特权原则。 ③高级别的信息大多是由低级别的信息通过组装而成的，要解决推理控制的问题。

关注机密性

上不读，下不写

Biba模型

Biba模型是在bell-lapadula模型之后开发的，它跟bell-lapadula模型很相似，被用于解决应用程序数据的完整性问题。Bell-lapadula使用安全级别（top secret,secret,sensitive,等），这些安全级别用于保证敏感信息只被授权的个体所访问。Biba模型不关心信息保密性的安全级别，因此它的访问控制不是建立在安全级别上，而是建立在完整性级别上。 Biba模型能够防止数据从低完整性级别流向高完整性级别，跟Bell-lapadula一样，Biba模型也有三条规则提供这种保护：星完整性规则（*-integrity axiom）：表示完整性级别低的主体不能对完整性级别高的客体写数据简单完整性规则（simple integrity axiom）：表示完整性级别高的主体不能从完整性级别低的客体读取数据恳求属性规则（invocation property）：表示一个完整性级别低的主体不能从级别高的客体调用程序或服务。下图是对Biba模型的简要描述： Subject(主体) Object(客体) 1）当完整性级别为Medium Integrity的主体访问完整性级别为High Integrity的客体时，星完整性规则（*-integrity axiom）和恳求完整性规则（invocation property）生效，此时主体对客体可读不可写（no write up）,也不能调用主体的任何程序和服务；对上获取数据，但不能对上提供数据（低完整性不影响高完整性） 2）当完整性级别为Medium Integrity的主体访问完整性级别为Medium Integrity的客体时，此时主体对客体可写可读；同级可读可写。 3）当完整性级别为Medium Integrity的主体访问完整性级别为Low Integrity的客体时，简单完整性规则（simple integrity axiom）生效，此时主体对客体可写不可读(no read down)；对下能提供数据，但不能读取数据（通过读低完整性级别的数据会影响高完整性级别的数据）模型特点总结：解决完整性问题。能上读，不能上写（低完整性的数据会破坏高完整性的数据，可以看高完整性的数据），能下写，不能下读（避免读取了低完整性数据，而破坏高完整性的数据）

关注完整性

不下读，不上写

Clark-Wilson模型

Clark-Wilson模型简称CWM，是Biba模型之后开发的，专为商用设计，保护信息的完整性，其核心目的是为了防止合法用户做非法操作。完整性的目标是防止未授权的用户进行修改，防止授权用户进行不正确的修改，维护内部和外部的一致性。数据的完整性是指：如果数据满足给定的条件，则称数据处于一个一致性状态，在每次操作前和操作后，数据都必须满足这个一致性条件。系统的一个事务处理就是一系列操作，使系统从一个一致性状态转移到另一个一致性状态。数据操作的完整性是指：需要有人检查和验证事务处理是否被正确执行，一个事务需要两个或两个以上的不同的人来执行，如果要使用一个事务处理来破坏数据，必须有两个不同的人员犯错，或者他们合谋担保该事务处理已被正确实现。（职责分离）

中国墙模型(Brew and Nash:Chinese Wall)

Chinese Wall模型由Brewer和Nash提出，是一种同等考虑保密性和完整性的访问控制模型，主要用于解决商业应用中的利益冲突问题，它在商业领域的应用与BLP模型在军事领域的作用相当。与BLP模型不同的是，访问数据不是受限于数据的属性（密级），而是受限于主体已经获得了对哪些数据的访问权限。Chinese Wall模型的主要设计思想是将一些有可能会产生访问冲突的数据分成不同的数据集，并强制所有主体最多只能访问一个数据集，而选择访问哪个数据集并未受强制规则的限制。 Chinese Wall模型是应用在能存在利益冲突的组织中。最初是为投资银行设计的，但也应用在其它相似的场合。 Chinese Wall模型基于信息流模型，其安全策略的基础是客户访问的信息不会与目前他们先前支配的信息产生冲突。 Chinese Wall安全模型的两个主要属性：用户必须选择一个他可以访问的区域用户必须自动拒绝来自其它与用户所选区域的利益冲突区域的访问

Lipner模型

结合了Bell-LaPadula（机密性）模型和Biba模型（完整性）把客体分成数据与程序，定义了5种安全类别开发（D）：正在开发、测试过程中的生产程序，但是还未在实际生产中使用。生产代码（PC）：生产进程和程序生产数据（PD）：涉及完整性策略的数据系统开发（SD）：正在开发过程中的系统程序，但是还未在实际生产汇总使用软件工具（T）:由生产系统提供的程序。但是与敏感性或受保护数据无关定义了安全等级：审计管理（AM）：系统审计和管理功能所处的等级。系统低层（SL）：任意进程都可在这一等级上读取信息

Graham-Denning模型

创建允许主体在客体上操作的相关权限，定义了8个原始的保护权限。如何创建和删除主体和客体，如何分配具体的访问权限。

Harrison-Ruzzo-Ullman模型

涉及主体的访问权限以及这些权限的完整性，主体只能对客体执行一组有限的操作。说明一套有限操作如何可以用来编辑一个主体的访问权限。主要涉及主体的访问权限以及这些权限的完整性。

数据库安全(第八章)

数据仓库如果数据库服务器物理的或逻辑的边界被打破，非授权用户能够获取组织的所有数据。（数据库的访问控制）关注数据的备份与恢复（数据库的可用性）数据聚合（可用性）、数据推理（机密性）、数据挖掘（提升数据价值）大规模并行数据系统（分布式数据库性）大数据平台安全架构师面临的挑战：信任、隐私问题、通用安全分布式系统（防止从操作系统层面攻击数据库）典型的Client/Server，Peer to Peer系统，需要共享协议和接口挑战：协调资源、授权、漏洞控制数据库的可用性（容量、性能、备份）、数据的机密性、完整性数据的机密性、完整性（访问控制、事务处理）

云计算

三种服务模型

Saas

例如：在线翻译软件

Laas

类似传统的数据中心（IDC）出租主机、带宽、服务管理

Paas

提供了操作系统和开发平台

四种部署模型

私有云

社区云

公共区

混合云

五个基本特征

资源池

按需分配

远程访问

快速弹性

可衡量

云安全注意数据隔离

安全架构的弱点

系统的弱点

围绕信息系统的机密性、完整性、可用性进行风险分析（资产、脆弱性、威胁）

TEMPEST

系统放射是指无意中发射的电、机械、光学或声能信号，其中含有有关正被系统处理、保存或传输的信息的信息或元数据。 TEMPEST是一套标准，旨在屏蔽建筑物或设备，保护它们不被监听和被动放射收集企图侵扰白噪声（干扰）信息的机密性

状态攻击(竞争条件)

状态攻击亦称“竞态条件”，是一种试图利用系统处理多个请求过程的情况。攻击者通过利用系统不恰当的执行时序骗过安全策略升级自己的权限。

隐蔽通道

隐秘信道是为躲过信息系统访问控制和标准监测系统而隐藏起来的通信机制。 TCSEC可以识别两种隐秘信道：通过被保存对象进行通信的存储信道；（窃取主体访问授权--及时释放对象）修改事件之间相对时间的计时信道。（时间差--时间戳）抑制隐秘信道的唯一手段是信息系统的安全设计。安全架构师必须清楚隐秘信道的运行方式，力求在提出了相关要求的任何设计中把隐秘信道彻底消除。

中间件

用于把用户需求转换为系统定义的跨学科的方法，通过一个迭代流程架构和设计一个有效的操作系统。中间件是可使在一台或多台机器上运行的多个流程交互的连接软件。中间件服务其实是存在于操作系统上运行的应用与网络服务之间，处在一个网络节点上的分布式软件的集合体。中间件服务的主要目的是帮助解决许多应用连接和互操作问题。位于操作系统和应用业务系统之间，处理底层通讯、并发、接口调用等问题（底层访问对象的调用是控制重点）

大型机和瘦客户系统

大型机使用专用的处理器指令集、操作系统和应用软件。瘦客户端将其鼠标、键盘等输入传送到服务器处理，服务器再把处理结果回传至客户端显示。（用户权限，大机的性能、容量是控制重点）

服务器的弱点

远程连接配置管理业务连续性数据流控制

单点故障

应针对关键系统、流程和人员，以及支持性组件和依赖主系统或与主系统配套使用的子系统进行专门的风险分析对关键系统、设备、流程进行专门的风险分析

客户端的弱点

客户端：台式机、笔记本、client端应用、移动设备正版化访问控制防病毒设备防丢失敏感数据保护 Web浏览器的本地组件运行特性

软件和系统的漏洞与威胁

Web安全(第8章)

由于当前大部分应用都采用web的形式访问，因此对于保护web应用相关服务器就尤为重要。可采用的保护措施包括：系统加固、漏洞扫描、IDS/IPS、卸载不必要的文档和库、基于证书的强认证、采用应用防火墙防范SQL注入等。

移动系统的弱点

从90年的的PDA，2000年左右的BlackBerry，到后来Apple的iPhone，运行Android和Windows的智能设备，移动设备应用越来越广泛。从2010年以来，针对移动设备的恶意代码不断的被发现，并且呈现爆发式增长，随之而来移动设备面临的风险也逐年增加。来自于远程计算的风险可信客户端，谁在使用这个移动设备网络架构，管理和控制移动设备的基础设施在哪策略实施，不正确、不充分、强度较弱的安全控制丢失或被盗存有敏感数据的设备没有充分的控制来自于移动办公人员的风险管理平台和设备数量激增，每人有多个移动设备，设备平台类型多样化移动设备在家里及工作场所混用带来的数据方面的风险攻击移动设备的方式：SMS、WiFi、Bluetooth、Infra-red、Web browser、USB、Email client、Jail-broken Phone、第三方应用、操作系统漏洞、物理访问漏洞。攻击例子：短信劫持、伪造邮件、窃听通话、获取照片/视频、敏感文件、定位位置、获取缓存的口令等

嵌入式设备和网络物理设备的弱点

典型应用：智能家居、车联网、物联网、工业控制系统…… 涉及行业：制造业、医疗、交通、农业、能源、国防、应急管理、…… 关注两个方面：信息安全（不同于传统安全） and 互操作性集成和管理CPS的技术抽象化、模块化、可组合性基于系统工程的架构和标准自适应可预测分等级的混合控制多个物理模型和软件模型的集成分布的探测、通信和感知可诊断和可预测信息安全验证、确认、和认证自治和人员交互安全架构师应和从业者一起设计关注CPS安全的开发和集成方案。三个方面：风险评估、坏数据探测机制、设计系统的弹性和生存能力面对攻击 (APT) 监控和控制工业系统和关键基础设施的简单计算机被称之为工业控制系统（ICS）。被熟知的ICS类型包括： SCADA 系统（数据采集与监控系统 supervisory control and data acquisition systems）、 DCS （分布式控制系统 distributed control systems） ICT相关可参考的安全标准： Critical Infrastructure Protection(CIP) Cybersecurity Standard NIST IR 7268 智能电网信息安全指南 NIST SP800-39 管理信息安全风险 NIST SP800-82 工业控制系统安全指南

信息系统安全评估模型

安全架构开发完成后需要进行仔细地评估，确保其有效地关注了被记录的安全需求。一些安全评估模型已经被使用评估系统级别的安全架构，但对于评估ESA就有些困难。评估标准： TCSEC、ITSEC、CC 认证和认可认证：评定安全机制和评估安全效果的一种技术性审查。认证过程可采用控制评估、风险分析、验证、测试和审计技术来评估系统的适用性。认证的目标是为了确保系统、产品和网络能够适合客户的目的。认证过程及相应的文档可以指明产品的优点、缺点和有待改善的功能。认可：管理层正式接受认证过程中的调查结果。行业和国际安全实施指南 ISO27001、Cobit、PCI-DSS

产品评估模型

TCSEC(橘皮书)

该类安全等级能够提供审记的保护，并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。C1系统的可信任运算基础体制（Trusted Computing Base，TCB）通过将用户和数据分开来达到安全的目的。在C1系统中，所有的用户以同样的灵敏度来处理数据，即用户认为C1系统中的所有文档都具有相同的机密性。C2系统比C1系统加强了可调的审慎控制。在连接到网络上时，C2系统的用户分别对各自的行为负责。C2系统通过登陆过程、安全事件和资源隔离来增强这种控制。C2系统具有C1系统中所有的安全性特征。· C1 - 任意安全保护 · 识别和认证 · 分离用户和数据 · 自主访问控制（DAC）能够以个人为基础实施访问限制 · 所需的系统文档和用户手册 C2 - 受控访问保护 · 更细致的DAC · 通过登录程序进行个人问责 · 审计跟踪 · 对象重用 · 资源隔离 · 举一个系统例子是HP-UX B - 强制性保护（“Mandatory protection”） B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。B1系统满足下列要求：系统对网络控制下的每个对象都进行灵敏度标记；系统使用灵敏度标记作为所有强迫访问控制的基础；系统在把导入的、非标记的对象放入系统前标记它们；灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或I/O设备时，管理员必须指定每个通信通道和I/O设备是单级还是多级，并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。· B1 - 标记的安全保护 · 安全策略模型的非正式声明 · 数据敏感标签 · 对选定主题和对象的强制访问控制（MAC） · 标签出口能力 · 一些发现的瑕疵必须被移除或以其他方式减轻（不确定） · 设计规范和验证 B2 - 结构化保护 · 安全策略模型明确定义并正式记录 · DAC和MAC强制执行扩展到所有主体和客体 · 对隐蔽存储通道的出现和带宽进行分析 · 仔细构建保护关键和非保护关键元素 · 设计和实施可以实现更全面的测试和审查 · 认证机制得到加强 · 可信赖的设施管理提供管理员和运营商隔离 · 强加严格的配置管理控制 · 操作员和管理员角色是分开的。 · 举一个系统例子是Multics B3 - 安全域 · 满足参考监视器要求 · 结构化以排除对安全策略实施不重要的代码 · 旨在降低复杂性的重要系统工程 · 安全管理员角色定义 · 审计与安全有关的事件 · 自动即时入侵检测，通知和响应 · 用于用户认证功能的TCB的可信路径 · 可信系统恢复程序 · 对隐蔽定时通道进行分析以确定发生情况和带宽 · 这种系统的一个例子是XTS-300的前身XTS-300 A - 验证保护（“Verified protection”） A系统的安全级别最高。目前，A类安全等级只包含A1一个安全类别。A1类与B3类相似，对系统的结构和策略不作特别要求。A1系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。· A1 - 已验证设计 · 在功能上与B3相同 · 正式的设计和验证技术，包括正式的顶级规范 · 正式的管理和分配程序 · A1级系统的例子有霍尼韦尔的SCOMP，Aesec的GEMSOS和波音的SNS服务器。两个未评估的产品是LOCK平台和取消的DEC VAX安全内核。超越A1 · 系统架构表明参考监视器的自我保护和完整性要求已在可信计算库（TCB）中实施。 · 安全测试会自动从正式的顶级规范或正式的低级规范中生成测试用例。 · 形式规范和验证是在可行的情况下使用形式化验证方法将TCB验证到源代码级别的地方。 · 可信设计环境是TCB设计在只有可信（清理）人员的受信任设施中的地方。 Trusted Computer System Evaluation Criteria commonly called the "Orange Book" 美国可信计算机系统评价标准（TCSEC） TCSEC对我国信息安全工作的启示和影响

TCB(可信计算基)

引用监视器(抽象机)

安全内核(TCB的核心)

ITSEC(信息安全评估准则)

·E0级：该级别表示不充分的安全保证。 ·E1级：该级别必须有一个安全目标和一个对产品或系统的体系结构设计的非形式化的描述，还需要有功能测试，以表明是否达到安全目标。 ·E2级：除了E1级的要求外，还必须对详细的设计有非形式化描述。另外，功能测试的证据必须被评估，必须有配置控制系统和认可的分配过程。 ·E3级：除了E2级的要求外，不仅要评估与安全机制相对应的源代码和硬件设计图，还要评估测试这些机制的证据。 ·E4级：除了E3级的要求外，必须有支持安全目标的安全策略的基本形式模型。用半形式说明安全加强功能、体系结构和详细的设计、 ·E5级：除了E4级的要求外，在详细的设计和源代码或硬件设计图之间有紧密的对应关系。 ·E6级：除了E5级的要求外，必须正式说明安全加强功能和体系结构设计，使其与安全策略的基本形式模型一致。

通用准则 CC定义了作为评估信息技术产品和系统安全性的基础准则，全面地考虑了与信息技术安全性有关的所有因素，与PDR(防护、检听、反应)模型和现代动态安全概念相符合的，强调安全的假设、威胁的、安全策略等安全需求的针对性，充分突出保护轮廓。仍强调把安全需求划分为安全功能需求和安全保证需求两个独立的部分，根据安全保证需求定义安全产品的安全等级定义了7个评估保证级别(EAL)，每一级均需评估相关安全功能类。

PP(Protection Profile)

TOE(Target of Evaluation)

ST(Security Target)

EAL 1-7

功能检测

结构性测试及检查

系统化测试及检查

系统化设计，测试及审查

半形式化测试及检查

形式化查证、设计及测试

ISO/IEC 15408

密码学

术语和基本概念

密码学 Cryptology : 涉及隐藏、伪装或加密信息的科学。密码系统 Cryptosystem: 是指密码操作整体，其中包括软件、算法、协议、密钥和密钥管理功能。算法 Algorithm: 加密和解密流程的数学函数。（数学运算）密钥 Key：密码算法运算的输入。（运算参数）密钥空间 Key Space：一个密码算法或其他安全措施（如口令）中密钥可能值的总数。工作因子 Work Factor：击破一项保护措施所需要付出的时间和精力。（破解难度）明文 Plaintext/Cleartext：消息的天然格式。（明文是人类可读的）。密文 Ciphertext/Cryptogram：明文加密后得到的信息。（人不可理解其内容）。编码 Encoding：通过一种代码把一条消息转变成另一种格式的做法。（为了某种规范，通常用于确保消息的完整性而非保密性）。解码 Decoding：编码的逆向流程。加密 Encryption：系把消息从明文转变成密文的过程。解密 Decryption：系加密的逆向流程。替代 Substitution：用一个字母或字节替换另一个字母或字节的过程。（非原文）换位 Transposition：重排明文顺序以隐藏消息的过程。（原文打乱顺序）混淆（扰乱） Confusion：：通过混合（改变）各轮次加密过程中使用的密钥值形成。（使密文与密钥统计关系变得更加复杂，随机性替代）扩散 Diffusion：让明文中的每一位影响密文中的许多位，或者说让密文中的每一位受明文中的许多位的影响。（隐蔽明文的统计特性，随机性换位）雪崩效应 Avalanche Effect：密钥或明文哪怕发生一点微小变化，也会使得出的密文发生重大变化。这也是强散列算法的一个特点。初始向量 Initialization Vector：一种非保密二进制向量，在给密文块按顺序加密时用作初始化输入算法，引入附加密码方差，可提高安全性。（增加破解难度）同步 Synchronous：每个加密或解密请求都被立即处理。异步Asynchronous：加密/解密请求排队等待处理。可以利用硬件设备和多处理器系统来加快加密运算速度。哈希函数 Hash function：任意长度的输入，通过散列算法，变换成固定长度的输出，该输出就是散列值。（输出固定，输入不同输出不同，无法逆推）密钥汇聚 Key Clustering：不同的加密密钥从同一条明文消息生成相同的密文。密码分析 Cryptanalysis：试图破解密码技术。（分析算法、破解秘钥）碰撞 Collision：不同的信息散列值相同。数字签名 Digital Signatures：原文（明文或加密后的密文）经哈希算法得出散列值，该散列值用发送者私钥加密得出的散列值密文。（完整性、抗抵赖性）数字证书 Digital Certificate：电子文件，内含机构名称或个人姓名、公司地址、发放该证书的发证机构的数字签名、证书持有人的公钥、证书序号和到期日。证书颁发机构（CA） Certificate Authority：发放、撤销和管理数字证书的权威机构。注册机构（RA） Registration Authority：代表CA提供证书注册服务的机构，对用户身份进行验证。不可抵赖 Nonreputation：一项安全服务，保留了证据，使数据的发送者和接收者都不能否认自己参加过所涉通信。（分为原发不可抵赖，接收不可抵赖）对称的 Symmetric：加密、解密使用同一密钥。非对称的 Asymmetric：加密、解密使用不同密钥。（公钥、私钥。公钥可交换，私钥永远自己持有）

扩散Diffusion

Cryptology(密码学)

Cryptography(密码学，密码术)

Cryptanalysis(密码分析/密码破译)

密码学历史

手动时代

atbash

密码棒

凯撒密码

机械时代

现代

随着计算机的出现，加密方法和设备都得到了改善，密码学的成就也呈指数级增长。其中最为著名的是IBM开发的Lucifer，后来被美国国家安全局所采用和改进，最终形成了在1976年作为美国联邦政府标准的DES。计算机时代，大量的协议被设计，软硬件加密系统大量涌现，银行交易、通信、邮件等都是用了密码技术。密码破译者和密码分析学家的努力以及微处理器令人吃惊的数字处理能力不断地冲击市场，这加快的密码学的发展。

新兴技术

量子密码

密码系统

提供加密和解密的系统或产品称之为密码系统。密码系统使用加密算法（它决定加密过程的简单或复杂程度）、密钥、以及必要的软件组件和协议。算法是一组规则，它确定如何加密和解密。密钥是一个由一长串随机位序列构成的值。算法包含一个密钥空间，它由一定范围的值组成，这些值用于构造密钥。密码系统的强度（也称之为工作因数，即对攻击者破译一个密码系统所付出的努力和资源进行估计）源自于算法的复杂程度、密钥的机密度、密钥的长度、初始化向量以及他们如何在密码系统内协同工作。算法、密钥、软件、协议

加密的基本原理，手段

替代

其他字符替代原文字符。单字母表替代密码、多字母表替代密码、Playfair密码

换位(排列Permutation)

在换位密码中，所有字符都是混乱的，或者采取不同的顺序。密钥决定了字符移动到的位置。栅栏密码（The Rail Fence）（行列错位）

其它

滚动密码隐藏式密码

采用模块化数学以及用每个字母在字母表中的位置来表达每个字母，和密钥一起循环滚动计算。（公开书籍中的文字对应）

一次性密码本

1917年Gilbert Vernam提出的，被认为不可破译使用随机的替换值加密，在计算机中，使用随机的二进制位串和明文位串进行异或/同或操作（exclusive-OR, XOR ; exclusive-NOR, XNOR ）密文接收者必须有相同的一次性密码本密码本只使用一次密码本与明文消息长度一样密码本必须要安全的分发并在发送端和接收端都高度保护密码本必须由真随机值组成

隐写术

是一种将数据隐藏在另一种介质中以藏匿数据的方法。数据并未被加密而是被隐藏。要素：载体（如照片）、隐写介质（如JPEG）、有效载荷（信息）例子：The saying “The time is right”is not cow language , so is now a dead subject. 每第三个单词组成 The right cow is dead . 隐藏：藏头诗数字水印

按照明文的处理方法(对称式加密算法)

分组加密

消息被划分为若干分组，这些分组通过数学函数进行处理，每次一个分组。一个强密码具有两个属性：扰乱（通过替代实现），使密钥和密文之间的关系尽可能复杂。扩散（通过换位实现），单独一个明文位会影响到若干密文位。

流加密

将消息作为位流对待，并且使用数学函数分别作用在明文每一个位上。流密码使用密码流生成器，它生成的位流与明文位进行异或，从而产生密文。类似一次性加密，密钥流尽可能随机。（拉拉链）典型流加密：RC4（ WEP）

其它密码转换技术

初始向量（initialization vector,IV）与密钥一同使用，传输时不用加密。算法使用IV和密钥来提高加密过程的随机性。雪崩效应与扩散类似，算法输入值轻微的变化会引起输出值的显著变化明文加密之前对其进行压缩可以降低原始明文的长度明文加密之前对其进行填充目的是把明文的最后一个块增加到每一块需要的长度混合使用子密钥（subkey）和主密钥（masterkey）以限制密钥暴露时间密钥方案中是由主密钥生成子密钥的（密钥导出函数）

按照加密方法分类(密钥特点)

对称密码技术

对称密码技术：发件人和收件人使用其共同拥有的单个密钥 ,这种密钥既用于加密，也用于解密，叫做机密密钥(也称为对称密钥或会话密钥 )。能够提供信息机密性（没有密钥信息不能被解密）、完整性（被改变的信息不能被解密）的服务。对称式密码学又称：单钥密码学、秘密密钥密码学、会话密钥密码学、私钥密码学、共享秘钥密码学对称式加密算法相关概念 DES （数据加密标准）：分组式加密，算法源于 Lucifer ，作为 NIST 对称式加密标准； 64 位（有效位 56 位、校验 8 位），分组算法 3DES ： 128 位，分组算法 IDEA （国际数据加密算法）： 128 位，比 DES 快，分组算法 Blowfish ： 32-448 位，算法公开，分组算法 RC4 ：流密码，密钥长度可变 RC5 ：分组密码，密钥长度可变，最大 2048 位 Rijndael ： 128 位 /196 位 /256 位 AES （高级加密标准）： DES 升级版，算法出自 Rinjindael Safer ：分组算法 Skipjack ：分组算法

优点

用户只需记忆一个密钥，就可用于加密、解密；与非对称加密方法相比，加密解密的计算量小，速度快，简单易用，适合于对海量数据进行加密处理。

缺点

如果密钥交换不安全，密钥的安全性就会丧失。特别是在电子商务环境下，当客户是未知的、不可信的实体时，如何使客户安全地获得密钥就成为一大难题。如果用户较多情况下的密钥管理问题。N*(N-1)/2 密钥是双方共享的，不能提供抗抵赖性

带外传输

DES

源于IBM设计 Lucifer算法，原始算法是128位密钥和分组；美国国家安全局（NSA）将其修改为 64位分组的DEA（data encryption algorithm）；1978年美国国家标准委员会（ANSI）采纳为商用标准 DES的密钥64位，有效密钥匙 56位，加密16轮（看起来是8个字节64bit，但每个字节最高位被忽略） 1986年ANSI宣布不再支持DES为标准；1998年耗资25万美元的计算机在3天之内可以破解 DES，由于计算性能的持续增加，DES完全不能保护商业秘密 3DES成为DES新标准出现之前的替代算法；DES后来被NIST开发作为高级加密标准（AES）的Rijndael算法所替代 DES有 5种操作模式，每种模式都指定一种加密的运作方式。

ECB(电子密码本)模式

在 ECB 模式中，每块明文都是独立于其他块加密的。虽然这样做比较高效（可以并行执行多个数据块的加密）。但对相同明文块的加密总是产生相同的密文块，这为某些类型的密码分析攻击打开了方便之门。优点: 简单；有利于并行计算；误差不会被传送；缺点: 不能隐藏明文的模式；可能对明文进行主动攻击

CBC(密文分组链接)模式

在 CBC模式中，文本块是连续加密的，在加密当前明文块之前，用前一次块加密的结果修改当前明文块。这个过程改进了加密的一些特征但是由于其加密过程是连续的，CBC 方式不支持加密的并行化。

CFB(密文反馈)模式

在CFB模式中，先加密前一个块，然后将得到的结果与明文相结合产生当前块，从而有效地改变用于加密当前块的密钥。这里密钥的值是不断变化的，这个过程与流加密类似，但是性能则远不如流加密。与CBC方式一样，这里要使用一个初始化向量作为加密过程的种子。

OFB(输出反馈)模式

在OFB方式中，使用一个种子或IV来开始加密过程。加密种子后，将加密结果与明文块结合产生密文。之后被加密的种子再度被加密，如此重复此过程，直到遍及全部明文。同样，结果类似于流加密。

CTR(计数)模式

CTR模式与OFB模式非常类似，但它并不使用一个随机的唯一IV值来生成密钥流值，而是使用一个IV计数器，它随需要加密的每个明文分组而递增。两者的另一个区别是CTR模式中没有链接关系，因此单个数据分组的加密过程能够并行发生。

2DES

有效的密钥长度 112位工作因素和简单DES大致一样并不比DES安全

3DES

3DES 有效密钥168位， 48轮运算，这使得它对于差分密码分析有很强的抵御能力，但其性能较差。 3DES可以在不同的模式下运行 DES-EEE3：使用 3个不同的密钥（加密-加密-加密） DES-EDE3 ：使用 3个不同的密钥（加密-解密-加密） DES-EEE2：与DES-EEE3相同，但使用两个密钥，第1个和第3个使用相同密钥 DES-EDE2：与DES-EDE3相同，但使用两个密钥，第1个和第3个使用相同密钥

AES

1997年NIST开始征集AES算法，要求是分组算法，支持128、192、256密钥长度最终对决的5个算法是 MARS：IBM设计 RC6：RSA设计（分组）， Serpent：Ross Anderson等设计 Twofish： Bruce Schneier 灯设计 Rijindael：Joan Daemen和Vincent Rijmen设计最终 Rijindael中选，它支持密钥及分组可以为 128、192、256位 128位分租，10轮运算 192位分组，12轮运算 256位分组，14轮运算

CCMP

计数器模式密码块链消息完整码协议 (无线) CCMP它是基于使用CRT和CBC-MAC模式的AES的一个协议，由IETF RFC 3610定义，作为一个组件被包含在由IEEE定义的802.11i中使用。

IDEA

International Data Encryption Algorithm （国际数据加密算法）在1991年由Xuejia Lai 和 James Massey联合提出的。类似于DES，IDEA算法也是一种分组加密算法，64位分组算法，128位密钥，64位分组分为16个小块，每小块进行8轮运算，它设计了一系列加密轮次，每轮加密都使用从完整的加密密钥中生成的一个子密钥。比DES快且安全。

CAST

在1996年由Carlisle Adams 和 Stafford Tavares联合提出的。类似于DES，也是一种分组加密算法。CSAT-128，64位分组。密钥长度可以在40-128位之间，进行12-16轮运算。CAST-256，128位分组，密钥长度可为128、192、160、224、256位，进行48轮运算。（RFC 2612）

SAFER

由James Massey开发，并且是

Blowfish

是一个64位分组及可变密钥长度（32-448位）的对称密钥分组密码算法，可用来加密64比特长度的字符串。具有加密速度快、紧凑、密钥长度可变、可免费使用等特点，已被广泛使用于众多加密软件。

Twofish

由Bruce Schneier的Counterpane Systems设计的、未注册专利的、

RC4

是RSA三人组中的头Ronald Rivest在1987年设计的密钥长度可变（ 8-2048位）的流加密算法簇。之所以称其为簇，是由于其核心部分的S-box长度可为任意，但一般为256字节。该算法的速度可以达到DES加密的10倍左右，且具有很高级别的非线性。典型应用于SSL/TLS, 802.11 WEP 协议.

不安全

RC5

是1994由RSA公司的Ronald L. Rivest发明的，并由RSA实验室分析。它是参数可变的分组密码算法，三个可变的参数是：分组大小（16、32、64）、密钥大小（0-2040位）和加密轮数（0-255）。 RFC 2040 定义了RC5的四种工作模式：第一种是，原始的RC5块加密，类似于DES-ECB，RC5密码使用固定的输入长度使用一个依赖密钥的转换产生一个固定长度的输出块。第二种是，RC5-CBC，是RC5的块密码链接模式。它能处理长度是RC5块尺寸倍数的消息。第三种是，RC5-CBC-Pad，处理任意长度的明文，尽管密文将比明文长但长度至多长一个RC5块。第四种是，RC5-CTS密码是RC5算法的密文挪用模式，处理任意长度的明文且密文的长度匹配明文的长度。

对称密码技术应用

机密性

效率高，应用于大数据量信息信息加密

非对称密码技术

使用一对密钥：一个用于加密信息，另一个则用于解密信息两个密钥之间存在着相互依存关系：即用其中任一个密钥加密的信息只能用另一个密钥进行解密。其中加密密钥不同于解密密钥,公钥加密私钥解密，反之也可私钥加密公钥解密。密钥依据性质划分，将其中的一个向外界公开，称为公钥；另一个则自己保留，称为私钥。公钥(Public key)常用于数据加密（用对方公钥加密）或签名验证（用对方公钥解密），私钥(Private key)常用于数据解密（发送方用接收方公钥加密）或数字签名（用自己私钥加密）。机密性、完整性、抗抵赖性 Diffie-Hellman ：最早产生，计算离散对数，是一种密钥交换协定算法，不加密、不产生数字签名。 RSA：大素数分解，可加密，可签名 EI Gamal ：离散对数，可加密，可签名，最慢 ECC 椭圆曲线：计算离散对数，功能与 RSA：相似，更快 DSA：EI的变种，离散对数，不加密，可签名，比RSA慢背包：背包算法，可加密，可签名，已淘汰 DSS ：数字签名标准

优点

可以安全地交换公钥，保障了密钥的安全性。公钥交换，私钥自己保存，便于密钥的管理具有抗抵赖性。

缺点

计算量大，速度慢，不适合与海量数据加密。

Diffie-Hellman

第一个非对称密钥协商算法，重点解决密钥分发问题基于“有限域上的离散对数计算困难”的难题通信双方在不可信的网络上交换他们彼此的公钥，再在各自的系统上生成相同的对称密钥。最初的Diffie-Hellman算法容易遭受到中间人攻击，应对这种攻击的方法是在接受某人的公钥前进行身份验证。不提供加密、数字签名功能。

用于交换会话密钥解决了会话密钥hard-coding(硬编码)

RSA

是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。 RSA算法的安全性基于数论中分解大因数为原始质数的困难性，在已提出的公开密钥算法中，RSA是最容易理解和实现的，这个算法也是最流行的。攻击RSA的三种方法暴力破解数学攻击时间攻击

ECC

最初由Koblitz和Miller两人于1985年提出，其数学基础是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性。 ECC的特点效率高 160bit 相当于RSA 1024bit 210bit 相当于RSA 2048bit

EIGamal

基于Diffie-Hellman工作的离散对数计算可加密、可签名，速度最慢

背包算法(Merkle)

非对称密码技术应用

机密性

真实性和不可抵赖性

机密性、真实性和不可抵赖性

混合加密

对策与非对称密码技术结合保证机密性

消息完整性

有很多协议使用校验位和循环冗余校验（Cyclic Redundancy Check,CRC）函数来检测位流从一台计算机传送到另一台计算机时是否被更改。但校验位和循环冗余校验通常只能检测出无意的更改。如果消息被入侵者截获，在更改之后重新计算校验值，这样接收方永远也不会知道位流被篡改。为了实现这种保护，需要采用散列算法来检测有意或无意的对数据的未授权更改。

哈希函数

Hash（哈希）函数（也称为散列函数）：输入可以是任何长度消息，通过一个单向的运算产生一个

简单哈希函数

最简单的Hash函数把输入的消息分成固定长度的分组，然后XOR每一个分组，因此Hash值长度与分组大小相同。

MD5

在1992年由Ron Rivest在MIT开发。它是最广泛被采用的Hash算法，并在RFC 1321中被描述。MD5消息分组为512位，产生128位的散列值。 MD5被用于验证在犯罪调查中的数字证据的完整性，以及确保原始信息从被创建后未被篡改。 2004年8月17日美国加州圣巴巴拉国际密码学会议（Crypto’2004），来自山东大学的王小云做了破译MD5、HAVAL-128、 MD4和RIPEMD算法的报告，按照她的方法，数小时之内就可以找到MD5碰撞。这使目前电子签名的法律效力和技术体系受到挑战。

SHA-1

安全散列算法1(SHA-1)是由NSA设计的，并由NIST将其收录到FIPS 180-1（Federal Information Processing Standard）中，作为散列数据的标准，在1995年被发布，并在RFC 3174中被描述。它可产生一个160位的散列值。

sha-2/sha-3

256

224

384

512

针对哈希算法的攻击

碰撞问题(生日攻击)

基于同一种散列函数，如果有两个不同的消息，得到相同的消息摘要，则扰乱了散列函数应具备的规则，被称作碰撞（Collision）利用“生日攻击”(birthday attack)可以寻找碰撞一个房间中，最少应有多少人，才使至少有两人具有相同生日的概率不小于1/2？（答案是23人。概率结果与人的直觉是相违背的。）一个房间中，最少应有多少人，才能保证其中有一个人的生日与你的生日是一样的概率不小于1/2？（答案是253人。）

彩虹表

根据散列值重构原始消息发现另一个消息具有同样的散列值，或者发现任何消息对具有相同的散列值（瞎编原文得到相同散列）

密码分析

Side-Channel攻击是典型的密码分析的一个例子。攻击者不攻击算法而是算法的执行。彩虹表是另一个密码分析的例子。防止彩虹表攻击的一个方法是“Salted Hash”

完整性实现

哈希验证完整性

HMAC

CBC-MAC

密码分组链接解密 CBC 模式下，把明文分组，最后一组加密后密文最为MAC值和明文一起发送（完整性、身份验证）

CMAC

是CBC-MAC的一种变体，提供与 CBC-MAC相同的数据源认证和完整性，但在数学上更为安全。把密钥加密后得出散列值（有身份验证）

四种方法比较

数字签名

数字签名是指用户用自己的私钥对原始数据的哈希摘要(Hash digest)进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要。通过与自己用收到的原始数据产生的哈希摘要对照，以确认以下两点：信息是由签名者发送的（身份验证、不可抵赖性）信息自签发后到收到为止未曾信得过任何修改（完整性）数字签名标准：在1991年，NIST提议了一个为数字签名标准（Digital Signature Standard，DSS）的联邦标准 FIPS 186（使用SHA），它最近一次更新实在2013年，作为FIPS 186-4被发布，包括了DSA、RSA、ECC DSS有两种创建签名的方法DSA和RSA。与RSA不同，DSA只能用于数字签名，并且比RSA慢，RSA能够用于数字签名、加密以及密钥分发。

实现

不提供机密性

公钥基础设施PKI

PKI是由软件、通信协议、数据格式、安全策略等用于使用、管理、控制公钥密码体制的一套系统。它主要有三个目的：发布公钥/证书，证明绑定公钥的实体，提供一个公钥有效性的验证。

数字证书

PKI技术采用证书管理公钥，通过第三方的可信任机构认证中心CA (Certificate Authority)，把用户的公钥和用户的其他标识信息（如名称、email、身份证号等）捆绑在一起，在Internet网上验证用户的身份。公钥证书是以数字方式签名的声明，它将公钥的值与持有相应私钥的主体(个人、设备和服务)的身份绑定在一起。通过在证书上签名，CA可以核实与证书上公钥相应的私钥为证书所指定的主体所拥有。数字证书的格式是由CCITT X.509 国际标准所规定的，它包含了以下几点：证书拥有者的姓名证书拥有者的公钥公钥的有效期颁发数字证书的单位数字证书的序列号(Serial number) CA的名称，并用CA的数字签名签署该证书 CA所遵循的用来确定证书主体身份策略的标识符在证书中标识的密钥对(公钥及相关的私钥)的用法证书废止列表(CRL)的位置用CA的数字签名签署该证书 ITU-T X.509并非证书的惟一格式。例如，Pretty Good Privacy (PGP)安全电子邮件是依赖PGP所独有的一种证书。

CA中心

负责发放和管理数字证书的权威机构具体功能：接收验证 RA转发来的最终用户数字证书的申请。确定是否接受最终用户数字证书的申请-证书的审批。生成密钥对和证书向申请者颁发证书为签发的证书提供组织与责任的权威公证接收最终用户数字证书的查询、撤销产生和发布证书废止列表（CRL）密钥管理 (密钥备份、密钥恢复、密钥更新) 数字证书的归档密钥归档历史数据归档。

证书注册机构，不发放证书，验证证书申请人身份。(基础资料核实)

密钥管理过程

Kerckhoff原则

1883年，Auguste Kerckhoff 发表论文认为 “密码系统中唯一需要保密的是密钥 ” “算法应该公开” “太多的秘密成分会引入更多的弱点”

密钥管理方面的进展

XML Key Management Specification 2.0 （XKMS），包含两个部分 XML Key Information Service Specification （X-KISS） XML Key Registration Service Specification （X-KRSS） XKMS提供操控复杂的语法和语义从目录收回信息撤销列表验证信任链创建和处理金融机构的标准 ANSI X9.17描述了确保密钥安全的方法。职责分离。不能实现职责分离的要考虑补偿控制双人控制关注两个或以上人参与完成一个工作分割知识关注参与的每个人都是唯一的且是必须的

密钥的创建

要考虑可扩展性和密钥完整性采用自动化系统来创建密钥，不仅对用户透明也便于密钥策略实施工作因子与构成密钥的位的随机性水平有关伪随机数随机数生成器非对称密钥长度 1024位RSA密钥加密强度相当于80位的对称密钥 2048位RSA密钥加密强度相当于112位的对称密钥 3072位RSA密钥加密强度相当于128位的对称密钥 224位ECC密钥加密强度相当于112位的对称密钥密钥包装和密钥加密密钥（KEK） KEK是保护会话密钥的一个解决方案，用于密钥分发和密钥交换。使用KEK来保护会话密钥的过程被叫做密钥包装。如果使用对称密码来封装会话密钥，那么发送方和接收方需要使用同一个密码；如果使用非对称密码来封装会话密钥，发送方和接收方需要彼此的公钥。 SSL、S/MIME、PGP都是用KEK来保护会话密钥

密钥的分发

密钥交换可以采用“带外管理”（out of band），但其可扩展性较差一个可扩展的密钥交换方法是采用一个密钥分发服务器（KDC），存放所有人的公钥 KDC 用户与KDC共享的密钥，用于KDC和用户之间传输加密信息用户和应用资源通信的会话密钥，需要使创建，用完则删除

密钥存储与销毁

所有密钥都需要被保护防止被修改，所有会话密钥和私钥需要被保护防止被非授权暴露。密钥保护方法包括：可信的、防篡改的硬件安全模块，带密码保护的智能卡，分割密钥存储在不同地点，使用强口令保护密钥，密钥期限，等相关标准 NIST SP800-21-1 联邦政府实施密码学指南 NIST SP800-57 密钥管理建议简单的删除操作不能完全清除密钥，可能需要用不相关信息（如随机数、全为0或1）多次复写

证书替换成本和销毁

人员、设备规模大造成证书替换成本较高人员离职，人员岗位变更、丢失密钥等要注意撤销证书证书的生命周期

密钥恢复

从可信的目录或密钥注册的安全机构一种方法为多方密钥恢复。（密钥信封）密钥恢复涉及到个人隐私和法律问题

密钥托管

由第三方维护一个私钥或者用于加密信息的密钥的拷贝双方必须彼此信任，密钥提供的条件必须被清晰地定义

TPM(Trusted Platform Module)

1、存储、管理BIOS 开机密码以及硬盘密码

2、TPM 安全芯片可以进行范围较广的加密

3、加密硬盘的任意分区

密码应用学

能够提供的服务

机密性

真实性

完整性(散列值)

不可抵赖性(非对称加密)

链路加密

也称为在线加密，通常由服务商提供，如：卫星链路、T3、电话线路链路加密发生在数据链路层，加密沿某种特定通信通道传输的所有数据，攻击者得不到任何数据，为防止包嗅探和偷听提供了保护数据包在经过两端之间的每一台设备时都需要进行解密

加密所有信息，包括用户信息，数据包头部、尾部、地址和路由信息

端到端加密

数据包的头部、尾部、地址和路由信息未加密端到端加密发生在应用层端到端加密对中间通信设备是透明的，传输过程中始终保持加密状态

仅加密用户信息，不加密数据包头部、尾部、地址和路由信息

S/MIME

标准的邮件（多媒体邮件）安全协议，利用哈希算法和公钥与私钥的加密体系，对发信人和收信人进行身份识别，保证信件完整性和信件内容包括附件的机密性。

PGP

由Phil Zimmerman在1991年作为一个免费电子邮件保护程序设计，支持多种公钥和对称算法；使用可信Web的方式信任数字证书，即Web互相签名证书，形成一个信任社区；用户保存一个密钥环（key ring）文件，其中存储其他可信用户的公钥。机密性、完整性、真实性

HTTPS

是运行于SSL之上的http，SSL（Secure Sockets Layer）是嵌入在传输层上的安全协议，支持服务器和客户端的双向认证，保护数据机密性、完整性。 SSL通信过程可分为三个阶段：对等协商双方所支持的算法；基于证书的认证和基于公钥加密的密钥交换；基于对称密钥的加密传输。 TLS （Transport Layer Security）是SSL开源等价协议

SET

它是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。是基于信用卡在线支付的电子商务安全协议，目的是为了确保在Internet网站和银行之间传输信用卡结算信息时提供安全保证。

SSH

是一种隧道机制（协议），SSH应该代替Telnet、FTP、rlogin、rexec、rsh，以保证终端和远端通信信道安全性。两台计算机通过握手和 Diffie-Hellman 算法交换会话密钥，用于随后通信的加密。

Cooike

Cookies是用浏览器中保存的文本文件 Cookies可以用来记录用户的浏览习惯、或记录用户的选择，例如，购物网站普遍利用Cookie保存购物车内的数据 Cookies可能在线保存电子银行的认证信息，供服务器定时查询，以确保没有中间人攻击 Cookie 可能离线保存用户的账号和口令，此类信息最好由服务器加密后推送到浏览器，以保证安全对待Cookies应科学分析，盲目禁用会降低Web服务的便捷性安全性和便利性间取得平衡

IPSec(IKE进行密钥交换，可以使用ISAKMP的框架)网络层加密

在网络层提供安全信道，IPSec是开放的、模块化框架，提供非常灵活的安全保护功能，被广泛应用于构造VPN网关。

两种协议

在网络层提供安全信道，IPSec是开放的、模块化框架，提供非常灵活的安全保护功能，被广泛应用于构造VPN网关。

ESP

封装安全载荷（Encapsulating Security Payload，ESP）：完整性、真实性、机密性。适用于NAT环境下的完整性保护

ICV(Intergrity Check Value)（AH,ESP比较）

两种工作模式

传输模式

传输模式：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。有效载荷加密保护，数据包头未加密

隧道模式

隧道模式：整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。对数据包头和数据有效载荷都加密保护

安全联合(Security Association,SA)

是IPSec的关键，记录IPSec连接的配置信息，例如算法、密钥、密钥生命期、源IP地址； SA是单向的，即如果A和B是双工通信，A最少需要 2个SA 。 SA的检索通过SPI（安全参数索引，Security Parameter Index）实现，每个IPSec数据包头包含SPI以指示接收方使用正确的SA处理。每个传输节点都要经过加密/解密过程

DRM（Digital Right Management）

DRM被定义为一项宽泛的技术，用于对组织的数字媒体内容进行控制和提供保护。从保护的生命周期来看可以分为三个组件：内容创建，内容分发和维持，内容使用。 DRM当面面临的一个问题是标准化技术的缺乏。几种DRM解决方案在线保护 UKey 数字水印指纹

数字水印

密码的生命周期

三个阶段(密码/密钥的抗破解随时间下降)

强壮的

虚落的

缺乏抵抗力的

算法/协议治理

如何迁移存在的信息系统和密码学元素到新的平台，安全专家必须采取相应的治理过程确保这个过渡过程，相关的策略、标准、程序至少要关注：被批准的密码算法和密钥大小针对老的密码算法和密钥的过渡计划在组织内对于加密系统的使用程序和标准，要表明哪些信息有加密的需求密钥的生成、托管、销毁加密系统弱点或密钥丢失的事件报告算法可靠性、密钥强度、密钥管理方式

其他一些安全问题

知识产权保护与个人隐私国际出口控制法律强制安全专家需要理解密码如何被错误的使用给组织造成影响，进而采取适当的安全控制措施。一个典型的例子是 “ 密码时间炸弹 ” 。（密码时效性防护）

密码攻击方法

唯密文攻击

攻击者拥有若干消息的密文，每条消息都是使用相同的加密算法加密。攻击者目标是找出加密过程中使用的密钥。仅有密文，进行密码分析攻击

已知明文攻击

攻击者拥有一条或多条消息的明文和相对应的密文。例如某些文本有固定的格式、起始和结束语句。拥有明文和其对应的密文，进行密码分析攻击

选定明文攻击

攻击者选择特定明文发给受害者，待受害者加此明文发送出去后，再截获之。不同于已知明文攻击在于输入可以由攻击者来选定。可以选择明文并得到输出的密文，进行密码分析攻击

差分密码分析

攻击者查看对具有特定差异的明文进行加密并得到相应的密文，并分析这些差异的影响和结果。

线性密码分析

攻击者对使用相同密钥加密的几条不同消息执行已知明文攻击，再通过执行函数来确定使用分组算法的加密过程中利用某个特定密钥的最大概率。（研究分组规律）

旁路攻击

通过收集外部信息来分析密钥，例如收集CPU占用率、电磁辐射、总运算时间后，逆向分析运算过程来猜测密钥和算法。

错误分析

强行引入一个错误，获得一个错误结果，然后与一个正确的结果对比进而分析密钥和算法。

探测攻击

通过连接加密模块的电路，来访问和操纵其中的数据获取来获取信息。（硬件破解）

重放攻击

攻击者捕获了某种类型的数据（通常是身份验证信息）并重新提交已通过的身份验证的信息，欺骗接收设备误以为这是合法信息。

代数攻击

分析算法内使用的数学原理中存在的弱点，并利用其内在的代数结构。

频率分析

在简单的替换密码中，每个字母被替换成另一个字母，那么在密文中出现频率最高的字母就最有可能是E。频率分析法除了需要用到统计学外，也需要用到语言学，TH这两个字母连起来是最有可能出现的字母对。

逆向工程

通过进行逆向分析及研究，从而演绎并发现加密系统的弱点或算法运算的关键信息。

社会工程学

攻击者不采用任何技术性攻击，仅利用各种社会工程学攻击类型诱使人们提供加密密钥。（利用人性弱点）

攻击随机数生成器

RNG所产生的随机数如果可预测，攻击者就能够猜测到用于构成初始向量的随机数。（猜测初始向量）

临时文件

大多数的密码系统使用临时文件来执行计算，如果这些文件没有被删除或复写，可能会泄露信息给攻击者。

其它

因素攻击（针对 RSA ）、生日攻击（针对 Hash ）字典攻击、暴力破解、彩虹表

物理安全

物理安全涉及到与保护企业资源和敏感信息的实体有关的威胁、脆弱性、风险和防范措施。物理安全机制包括设施位置的设计和布局、环境组件、访问控制(物理) 、入侵检测（物理）以及电力和火灾防范、应急响应的敏捷性、培训等诸多方面。物理安全机制能够为人员、数据、设备、工具以及公司的许多其他资产提供保护。

场所和设施设计考虑

组织应当指定一个人或团队设计物理安全程序来防止运行中断和提供人员和信息资产的安全。（制定物理安全策略）在设计场地安全时，安全专家应该遵照一个标准程序评估包括：土地利用、场地规划、入口、车辆访问、停车、标牌、卸货区、控制访问区、照明、公共设施等。（安全策略内容）安全专家需要平衡众多的安全目标，识别那些必要的安全需求，再确定相应投入预算匹配安全目标。（识别物理安全防护目标，明确安全需求）在制定物理安全计划之前，首先应进行物理安全调查。选址

ATM取款机要关注物理安全，防止物理破坏

数据中心不要位于大楼的底层或顶层，应该处于大楼的核心层

安全调查

保护目标识别

威胁识别

自然环境威胁，如：洪水、地震、暴风雨、龙卷风、火灾、极端气候条件。支持系统威胁，如：停电、通信中断、其他自然资源（如水、蒸汽、汽油）中断等。人为威胁，如：未授权访问（内部和外部的）、爆炸、愤怒的员工所造成的毁坏、员工造成的错误和事故、故意破坏、欺诈、盗窃以及其他威胁。（有针对性）政治动机威胁，如：罢工、暴乱、恐怖攻击、爆炸等。（无针对性群体事件）威胁还可以分为内部威胁和外部威胁共谋是指两个或更多人联合实施的欺诈行为。针对共谋的控制类型是程序化保护机制，包括职责分离、雇佣前的背景调查、岗位轮岗以及监督等。

设施现状

评估现有设施的保护级别：（设施及其脆弱性）墙壁和天花板的建筑材料配电系统通信路径和类型〈铜线、电话、光纤）周围的危险材料需遵守的法律法规外围组件地形，与机场、髙速公路、铁路的距离，周围设备的潜在电磁干扰，气候，土壤，现有的棚栏、探测传感器、摄像头、障碍物依赖物理资源的运作活动，车辆通行，邻居 ……

物理安全计划

安全和便利性是天然的矛盾，在进不同的设计阶段应该时刻考虑便利性和可访问性，但是不应该为满足便利性而牺牲安全。

CPTED

CPTED （通过环境预防犯罪 Crime Prevention Through Environmental Design）：20世纪60年代提出，研究如何正确设计通过直接影响人类行为来减少犯罪的物理环境。主要观点是：对物理环境进行控制能够取得减少犯罪、降低犯罪恐惧感的行为性效果。它研究构成人类及其周围环境的组成部分，包括各种环境使用者的物质、社会和心理需求以及这些使用者和罪犯的可预测行为。通过合理的设施构造、环境组件和措施，能够为预防损失和犯罪提供指导。事例：建筑设施周边的植被不应该高于 2.5 feet ，这样就够不着窗户了。数据中心应该位于建筑设施中心 , 这样建筑设施中心的墙壁能够取代数据中心直接面对来自外部的破坏。街边布置 (长凳和桌子) 鼓励人们坐下来看看周边, 减少犯罪行为。企业周边环境陈设不应该存在可以潜藏入侵的位置。确保 CCTV能覆盖到所有视野让罪犯知道他们的行为会被逮住，而其他人能够知道环境是被监控的感到安全自然访问控制、自然监视、自然区域加固

与目标强化的区别

目标强化(Target Hardening )（不人性化）强调通过物理和人为障碍来拒绝访问传统的目标强化方法在环境的使用、享受以及艺术方面受到限制适用于监狱示例（保护某设施）： Target Hardening 通过传统方法：如锁、警报、门前监控，部署访问控制机制 CPTED 则通过设计一条不能从建筑物前面直接走到该设施门口的小道，当然也包括没有过高的树或者灌木丛能够阻挡该门的视线。大多数企业环境组合使用这两种方法。CPTED主要处理设施建设、其内部和外部的设计以及外围组件，如绿化和照明。目标强化方法适用于更加细化的保护机制，如锁和运动探测器。 CPTED 更人性化，更易于接受，和办公环境自然融合

自然访问控制

自然访问控制（Natural Access Control ）通过门、栅栏、照明甚至景观的布置、绿化等来自然引导人们的进出。设计缺乏躲藏或实施犯罪的场所，淸晰的视线和透明度可用于阻挡潜在的罪犯。 CPTED模型说明了如何创建安全区根据特定区域的人员及相关联的风险，一个环境的空间能够划分为各不相同的区域，这些区域可以被标记为控制区、限制区、公共区或敏感区，如图所示。每个区域都应当有一个必需的特定保护级别，这有助于指明需要设定的控制类型。

自然监视

通过有组织方式（保安）、技术方式（CCTV）以及自然方式（视野开阔、低矮的自然景观、升起的入口）. 目标在于：通过为观察者提供许多可以观察到犯罪分子的方法，让犯罪分子感到不适；同时提供一个开放的、精心设计的环境，让其他所有人感到安全舒适。自然监视以视野最大化方式利用和安置物理环境特征、员工通道和活动区域。充分暴露区域中人员

自然区域加固

建立强调或延伸公司物理影响范围的物理设计，让合法用户在那个空间具有归属感。可通过使用墙壁、栅栏、绿化、照明设备、标志、沾晰标记的地址以及装饰性的人行道来实现。鼓励活动支持，活动支持指的是为需要保护的区域而规划的活动。目标是为了建立一种专属社区感。执行这些措施还会让潜在的罪犯觉得他们不属于这个地方，他们的行为有被发现的危险，而且他们的违法行为不会被容忍或忽视。（强化同类归属、群防群策）

考虑要素

场所

可见性

周围地形建筑的标记和标志相邻建筑物的类型该地区人口（尽量减少关键建筑的暴露）

可达性

道路通行交通与机场、火车站和高速公路的接近程度（道路的顺畅性，事故发生后的救援问题）

周围地域及条件

犯罪率，骚乱、恐怖袭击与警察、医疗和消防机构的接近程度周围区域可能带来的危险（治安的良好性）

自然灾害

发生水灾、龙卷风、地震的可能性危险地形（泥石流等）（尽量远离自然灾害的多发地区）

建造

墙壁

材料〈木材、混凝土和钢材：|的阻燃性防火等级安全区域的加固

地板

承重等级材料（木材、混凝土和钢材）的阻燃性防火等级架空地板

天花板

窗户

门

材料（木材、压制板材、铝制品）的阻燃性防火等级，门和周围的墙壁及天花板也应提供相同的强度和防火等级对强行进入的抵抗性紧急出口标志布局上锁或受控的入口报警安全铰链断电开门（Fail-safe） VS 断电关门（Fail-secure）门的门栓、门框、铰链和材料应全部提供同样的强度和保护不同功能的门地下室门人员出入的门工业门车辆通行门防弹门

建筑材料

玻璃

内部分割

用于在区域之间建立障碍。这些分隔可用来划分不同的工作区域，但决不能用在内部有敏感系统和设备的保护区域中。隔离区域时注意吊顶的存在。在保护敏感区域时，不能只依赖这种内部分隔方式。

其它

入口

了解建筑的需求和入口类型非常重要，各种类型的入口包括：门、窗户、屋顶通道、太平门、烟囱和服务传输接入点。第二和第三入口也必须加以考虑，如通向建筑物其他部分和外围门的内门、电梯和楼梯间。底层的窗户应进行加固。太平门、通向屋顶的楼梯间、烟囱、通风管都是往往会被忽视的潜在入口。（不要忽视主入口外的其他入口的进出控制）

车库

地下车库要考虑两个主要威胁：犯罪和车辆撞到行人指示牌 CCTV 照明：停放车辆处10-12英尺烛光；人员和车辆通道15-20英尺烛光人员从地下车库通过电梯或楼梯只能到达大堂

通信

应考虑第二个电信运营商提供服务（冗余）应配有一个带有中继天线的无线电系统用于紧急情况

设施

对供水设备进行检测防止水污染存贮燃油设施距离建筑物至少100英尺以上设备设施距离卸货入口、正门入口、停车场等至少50英尺以上。

数据中心

数据中心不应在建筑物顶层或地下室；服务器和配线柜应位于建筑物的核心区域，不应位于建筑物顶层或地下室，且不能从公共区域直接进入。应根据所处理数据的敏感性及其需要的保护级别来执行相应的访问控制和安全保护措施。数据中心应有一个紧急断电开关，且可以连接灭火系统（如 FM-200 ）。便携式灭火器应位于设备附近，且应放在容易看到和拿到的地方。应当安装烟雾探测器和水灾传感器。水灾探测器应安装在地板下面和吊顶上面。数据中心内保持适当的温度和湿度相当重要。 HVAC系统的通风孔和通风管应以某种形式的护栏加以保护并且应该足够小；数据中心内气压必须为正气压。如果可能最好在数据中心使用一套与建筑物其他部分不同的电力系统。应从两个或更多的变电站接入两条或多条支线。数据中心需要有自己的后备电源，UPS及发电机。数据中心的门不能为空心门，门应该向外开而不能向内开；数据中心的墙上使用大型玻璃窗格，这种玻璃应采用防碎玻璃。数据中心应根据所处理数据的敏感性来执行相应的访问控制和安全保护措施。

数据中心内气压必须为正气压

计划大纲

一个组织的物理安全计划应涉及以下安全目标：通过威慑预防犯罪和破坏：栅栏、保安、警示标志等。通过使用延迟机制来减少损失：延缓对手行动的防御层，如锁、安全人员和屏障。犯罪或破坏检测：烟雾探测器、运动探测器、CCTV等。事故评估：保安检测到的事故的反应以及破坏级别的确定。响应措施：灭火机制、应急响应过程、执法通告、外部安全专家咨询。

实施物理安全计划

如果对于业务目的及安全目标缺乏透彻的理解，安全专家不可能做好他们的工作。在很多领域已经有很多的指南可以为安全专家设计和实施物理安全提供指导。 FEMA（联邦应急管理局）已经发布了风险管理系列指南，其中有很多涉及物理安全方面的指。寻找最佳实践

物理安全运行

数据中心

电力

问题

干扰

电磁干扰

Electromagnetic Interference (EMI) EMI是由火线、中线和地线之间的不平衡以及它们产生的磁场造成的。有传导干扰和辐射干扰两种。传导干扰是指通过导电介质把一个电网络上的信号耦合（干扰）到另一个电网络。辐射干扰是指干扰源通过空间把其信号耦合（干扰）到另一个电网络。

射频干扰

Radio Frequency Interference (RFI) 任何发射无线电波的设备都可能产生目前，荧光照明是建筑物内产生RFI的主要原因

波动

电压过高

尖峰，瞬间（Momentary）高压。多由雷电和闸刀闭合引起。浪涌，持续（Prolonged）高压。常见的电力故障，可使用过压保护器（surge protector）将过压通过接地（Ground）进行消散。

电压过低

衰变，瞬间低压，持续一个周期到几秒不等。电压过低，持续低压。可使用稳压器稳定电压。浪涌电流，启动负载时所需的电流初始浪涌。

供电中断

故障，瞬间停电。断电，长时间停电。需要使用备份电源提供电力。

保护

UPS

在线式

使用交流线电压为UPS充电使用时逆变器将直流输出变为交流调整电压供电始终流经UPS

后备式

正常情况不工作电源器断后开始运行拥有探测断电的传感器

电源线调节器

电力线调节器（Power line condition），消减电源频率、波幅和电压等方面的异常变化确保纯净的电力（Lean Power）供给。相关术语包括：消噪电路（noise suppression circuitry）：合理地接地、采用差分结构传输模拟信号、在电路的电源输出端加去耦电容、采用电磁屏蔽技术、模拟数字地分开、信号线两边走底线、地线隔离等；电涌保护器（surge protector）：可以有效地吸收突发的巨大能量，以保护连接设备免于受损；稳压器（voltage regulator）：是输出电压保持稳定。

备用电源

双路供电，保证所接电路为不同变电站或供电设备；发电机，应当定期检测，以保证它能够运行并达到预期的要求。

预防性措施和最佳实践

为每台设备配备一个浪涌保护器，以防止过离电流的破坏。按顺序关闭设备，这有助于避免因为电压变化而造成的数据丢失或设备损坏。使用电线监控器探测频率和电压幅度变化。使用稳压器保证电压稳定和电源的洁净。通过访问控制来保护配电盘、主电流断路器和变压器电缆。通过屏蔽线防止电磁感应现象。为较长电缆提供屏蔽。不要在荧光灯上面连接数据线或电源线。如果正在使用两芯电缆，那么应改用三芯电缆的适配器。不要将插座线和延长线彼此连接

防雷击

雷电击中某个接地系统会造成地电位或接地电位上升（GPR）。与这个接地系统连接，同时还进行有线通信的任何设备都极可能被这股寻求远程接地的输出电流毁坏。而在设备上工作的人员极易受伤，因为他们正处在输出电流的电流通路上。雷电击中造成的设备损伤有时不会马上显现。如果预算比较充裕，最佳工程设计就是给所有通信配备单一介质光纤电缆。显然，整个光纤电缆线路若是都未使用金属加强芯或金属护罩，那它将不导电，从而不再需要隔离。这是因为，光纤产品天生就是物理绝缘的。单一介质光纤电缆必须用PVC导管保护起来，以防啮齿动物啃咬。如果预算比较紧张，保护设备的工程设计解决方案是将有线通信与远程地面隔离。这可以通过使用光学隔离器或隔离变压器实现。这套装置组合在一起，安装在绝缘的机柜表面，称作高压绝缘接口（HVI）。HVI在接地电位上升（GPR）期间隔离设备，阻止任何电流从高电势接地系统流向低电势接地系统，可完全保护任何设备或在设备上工作的人员免受损害或伤害。避雷设备选用

电缆管理

入口设备：进线口是网络服务电缆进入或离开一个建筑物的点。它穿过建筑物墙壁连接入口设备。入口设备连接着公共和私人网络服务电缆，提供了中止主干电缆的手段。入口设备通常包括电气保护、接地和分界点。主干配线系统：主干配线系统连接入口设备、设备机房和通信机房。在多层的大楼中，主干配线系统由各楼层和多个通信机房之间的电缆和线路组成。在校园环境中主干配线系统由各大楼之间的电缆和线路组成。设备机房：设备机房为整个建筑物服务，其中装有网络接口、不间断电源、计算设备（如服务器、共享外设和存储设备等）以及电信设备（如PBX）。它可以与入口设备配套使用。电信机房：通信机房通常为一个楼层服务。通信机房为网络设备和电缆终端（例如交叉连接块和接线板）提供空间。它在主干电缆与水平配线系统之间充当主交叉连接。水平配线系统：水平配线系统把来自通信机房的信号分配给各个工作区。水平配线系统的组成是：电缆、交叉连接块、接线板、跳线、连接硬件、通路楼宇间系统、垂直系统、水平系统、区域内系统

环境

温湿度

大多数电子设备必须在一个温控环境下运行。温度过低会使机械装置运行缓慢或停止运行，温度过高则可能造成设备使用太多风扇电能并最终关闭。如果计算机内部的风扇没有被清理过或是发生堵塞，那么即使在温控环境下，设备内部的元件也会发生过热现象。如果设备过热，那么其元件就会膨胀或收缩，从而造成元件电子特性的改变，并导致它们的工作效率降低或破坏整个系统。温湿度控制环境温度过高会损坏电子设备或使其寿命缩短，温度过低会引起设备工作异常。计算机房的温度应该控制在21-23摄氏度（Centigrade）之间，也就是70-74华氏度（Fahrenheit)之间。环境湿度过高会造成电器触点腐蚀等问题，湿度过低会导致静电过高引起数据丢失和设备损坏。计算机房的湿度应该控制在45%-65% 之间。可以使用湿度记（hygrometer）监控环境湿度。

防静电

静电示例正常湿度，木材或聚乙烯树脂地板 -- 4000 伏没有防静电地毯，低湿度 -- 20,000 伏或更高防静电措施在数据处理区中铺设防静电地板。保证合适的湿度。将线路和插座正确接地。不要在数据中心铺地毯。如果有必要，那么铺防静电地毯。操作计算机系统内部元件时，应使用防静电臂套。

通风

闭环再循环空气调节系统（Closed-loop recirculating air conditioning system），可以对空气中的烟尘和有害气体进行过滤和清除。灰尘可能阻塞散热通道导致设备无法有效散热，有害物质和气体会沾染介质和腐蚀设备。正向加压（Positive pressurization），室内空气正压可以防止外部空气进入室内，减少了室内空气受到污染的可能性，在火灾发生时也有利于防止烟火进入室内。空调通风系统应该于火警消防系统相连，以便在发现火情时及时关闭以免烟火通过系统传播。灰尘可能堵塞用于为设备散热的风扇，从而影响设备的正常运行，必须对经空气传播的材料和颗粒浓度进行监控，使其维持在适当的水平。如果某些气体的浓度过高，那么会加速设备的腐蚀，引发性能问题，或者使电子设备出现故陣。虽然大多数磁盘驱动器都是密封的，但是其他存储设备可能受到空气传播污染物的影响。

散热

潜冷散热是指空调系统的除湿能力。这在典型舒适降温应用中非常重要，例如在办公大楼、零售商店和其他人员密集的设施里。潜冷散热着重于为在设施内工作或访问的人群保持舒适的温度和湿度平衡。这些设施往往由直接通往外面的门和相当多的出口供人出入。显冷散热是指空调系统散热的能力，效果由温度计衡量。数据中心产生的每平方英尺热量大于典型舒适降温建筑环境，同时还充斥着大量人员。多数情况下，数据中心对访问设置了限制，除了极少使用的紧急出口外，没有通道可以直达建筑物外面。

火灾

火灾的起火（Ignition）原因有多种，其中包括电器设备（Electric Devices and Wiring）发热、易燃物的不当堆放、未熄灭的烟头（Carelessly Discarded Cigarettes）以及纵火（Arson）。应该尽量使用不易引起火灾的低压设备以及防止过载的断路器（Overload Breaker）。火势的蔓延需要两个条件：可燃物（Fuel）和氧气（Oxygen）。在设施建设、维护和使用过程中应该减少可燃物（Combustible Materials）的聚集。有些建筑材料虽然不可燃（Noncombustible），但是在高温下强度会降低，这一特点应该引起注意。

火灾分类

A类火灾（Fire class A），普通可燃物（Common Combustibles）如纸张、木材引起的火灾，使用水或泡沫灭火剂。 B类火灾（Fire class B），液体如石油产品（Petroleum Products）引起的火灾，FM200, 二氧化碳、泡沫、或干粉灭火剂。 C类火灾（Fire class C），电（Electrical）火灾，如电子设备或电线， FM200, 二氧化碳或干粉（Dry Powder）灭火剂。 D类火灾（Fire class D），可燃金属（Combustible Metals）如镁、钠、钾火灾，使用干粉灭火剂。

预防

培训员工在遇到火灾时如何作出适当的反应，提供合适的灭火设备并确保它们能够正常使用，保证附近有方便的灭火水源，以及正确存放可燃物品。使用合适的抗燃建筑材料，采用提供屏障的防扩散措施来设计建筑设施，以将火情和烟雾限制在最小范围。这些防热或防火屏障包括各种抗燃以及外覆防火涂层的建筑材料。使用阻燃材料、避免过载发热、消防设施、培训、监控

检测

热激发

温度到达预先设定值温度升温速率

火焰激发

火焰跳动相关红外能量

烟激发

光探测（光电装置）探测强度取样

光探测(光电装置)

离子化型(速度最快)

探测器安装位置

悬挂天花板抬起的地板

扑灭

灭火原理(隔离燃烧物、隔绝氧气、降低温度、阻断化学反应)

水

适用于普通火灾，灭火机理是降低温度。

酸碱灭火剂

适用于普通火灾，灭火机理是降低温度。

二氧化碳

适用于电器和液体火灾，灭火机理是隔绝氧气。对人有害，适用于无人值守的（Unattended）区域。

气体灭火

适用于电器和液体火灾，灭火机理是干扰燃烧的化学反应（Chemical Combustion）。（注意对大气环境的污染）

灭火系统

便携式灭火器

便携式灭火器上印有标记，指明它应用于何种火灾，并且推荐用于扑灭哪种类型的火灾。便携式灭火器应当置于离电子设备50英尺以内的地方，而且还要靠近出口。灭火器上的标记应保持清晰，并且放在醒目的地方。它们应该安装在容易获取的位置，员工应该能够熟练地使用它们，而且还要定期对其进行检查。（数量）

喷淋系统

湿管

管道中一直存水，通过温控传感器控制喷水过程。缺点是有可能被冻结或冻裂造成无法使用或泄漏。

干管

管道中平时不存水，热或烟雾传感器触发然后水进入到通向喷头的水管中。报警器发出警报声，电源被切断后水才从喷头中喷洒出来。所以不会冻结，缺点是存在延迟。

预响应

提前作用式系统（preaction system）不在水管内储水，只是在水管内的高压气体压力降低时才放水，这与干管系统类似。压力降低时，水管里就会充满水，但不会立即放出来。直到喷头处的一个热熔解连接头熔化，水才会放出来。组合使用这两种技术的目的是让人们有更多时间响应误报或者可以通过其他方法处理的小火灾。

泛滥式

泛滥式系统(deluge system)的喷头总是打开的，这样在短时间内就能喷出大量的水。由于能够喷出太多的水，因此这种系统不能用于数据处理环境。

气体灭火

Halon

哈龙（Halon）灭火剂包含氯氟化碳（Chlorofluorocarbons, CFCs）会消耗大气臭氧层（Deplete Ozone Layer），并且在浓度（Concentration）高于10%的情况下对人体有害。高温还会造成其分解为更加有害的物质。根据《蒙特利尔议定书》全球已经禁止使用。

Aero-K

Aero-K是一种通过气体被释放的钾化合物喷雾。这个系统直到检测到火灾才开始加压，并且使用多重检测直至火灾被确认才释放。没有腐蚀性，对人体无害。

CO2(容易引起窒息)

FM-200(七氟丙烷)

FM-200的灭火机理和Halon相同，都是中断燃烧链，灭火速度极快，且无味、无污染，在设计浓度下可接受的毒性。

周边安全

设施访问控制

通过物理和技术方法控制人员出入，既保证正常地人员出入又要防止未经受权者进入设施。控制人员出入的措施不能妨碍在紧急情况下人员从设施中撤离。在部署访问控制措施之前应对不同区域的安全需求、人员和数据流动的特点、不同人员对各区域的访问需求和紧急情况等因素进行分析，确定不同安全级别的管理区域和入口控制点的位置。要注意除主通道以外的第二通道和送货通道的安全。

机械锁

组合锁

密码锁

设备锁

锁的强度

锁芯分级

人员访问控制

通过证件（Badge）识别来控制人员出入设施，包括：照片标识（Photo ID），带有照片的传统证件，由警卫人员（Guards）辨别证件的有效性。智能/存储卡（Smart/dumb card），包含有访问识别信息（Authentication Data）的磁卡（Magnetic Strip Card ）或C卡，通过阅读器（Reader）或／和其它交互方式与控制系统交换信息来判断证件的有效性。无线近距离阅读器（Wireless proximity reader），通过非接触的方式读取人员所佩戴证件中的信息来判断证件的有效性。生物识别技术见访问控制

尾随

常指未经授权的人尾随他人以达到非法进入设施的目的。要防止这种非法进入的情况发生，应该对警卫和员工进行培训使其养成良好安全意识（Security Awareness）和习惯。双重门设计能够有效防止尾随。

外部边界保护机制(非入口防护)

栅栏

边界安全控制可以是自然控制（山、河流）或人为控制（栅栏、照明、大门），景观美化则组合了这两种控制。栅栏（Fence）用于防御和遏制入侵者，但是存在造价高和不美观的缺点，不同高度的栅栏具有不同的用途： 3-4英尺，遏制闲散人员进入。 6-7英尺，不太容易翻越，给入侵者造成困难，有一定遏制作用。 8英尺以上并在顶端附加有带藜刺的铁丝网，保护能力较强，能够起到有效的遏制作用。关键区域应该采用这样的高度。栅栏部署时应考虑周边环境，如有利于攀爬的地形、地貌对其防御作用的影响；栅栏应定期检查和维护，防范自然腐蚀或人为破坏对其可靠性的影响。边界入侵检测和评估系统是一种栅栏，其线网上和栅栏底部装有传感器。PIDAS用于检测入侵者剪断或攀爬栅栏的企图。如果检测到入侵行为，那么传感器会发出报警。PIDAS非常敏感，经常会导致误报。

门

防夹（Entrapment）感应，能感应到物体被夹住；开启报警（Open Alarm），在开启过程中发出报警声音；在遭到破坏时发出警报。如需要，关键区域门的外观不引人注目（Noticeable）。故障生命安全（Fail-Safe），发生故障（如电源中断）时自动开启。故障财物安全（Fail-Secure），发生故障（如电源中断）时自动锁闭。紧急逃生栓（Emergency Panic Bars），紧急情况下从内部开门逃生的装置。

照明

物理监视

仅仅安装阻碍设施还无法达到保护设施、设备和人员所需的安全级别，还需要监视措施发现并处理异常（Abnormal）情况。监视措施包括：警卫（Guards），警卫及其巡逻（Patrol）是一种灵活有效的安全措施，不但能够发现异常情况，还可以进行的需要识别判断（Discriminating Judgment）的工作，如检查、盘问等。这种方式的缺点是费用高、可靠性、保护强度较低，所以需要与其它安全措施配合使用。警犬（Dogs），狗的感官比较灵敏（Keen Sense），经培训可担当探测和阻碍入侵者的工作，缺点是无法区分）合法与非法用户。

闭路电视

作用：威慑（Deterence）：使入侵者担心被抓获而放弃；检测（Detection）：发现入侵行为以便警卫采取行动；执行（Enforcement）：为抓获和惩罚入侵者提供证据。基本部件：摄像头传输器接收器录制系统监视器相关概念：云台焦距分辨率通光口径景深（光圈大景深浅、光圈小景深深）注意隐私保护问题

入侵检测系统

入侵检测器（Detecting Devices）用于感知环境发生的变化，检测器种类繁多，主要用于检测以下变化：光束声音和振动移动各种场电子电路入侵检测器（Detecting Devices）用于感知环境发生的变化，检测器种类繁多，主要用于检测以下变化：光束声音和振动移动各种场电子电路物理入侵检测，注意有效性和误报率

机电系统

入侵检测系统中使用的探测设备还包括：嵌入窗户等隔断设施中的电路（Electrical Circuits），当窗户破碎时会发出警报。安装在门窗上的微动开关（Contact Switches），门窗打开时会发出警报。入侵探测系统应该具有线路监控（Line Supervision）能力，包含备用电源系统，并在遭到破坏（如被切断电源或线路）时，能够发出警报。通常，入侵探测系统与警报系统集成。可以检测到电路（磁力开关、窗户上的金属箔片、压力垫）的变化或中断。

体积测量系统（声、光、温度、电磁、震动）

更加灵敏，因为它们能够检测环境的细微变化，如振动、微波、超声频率、红外线值以及光电变化。

邻近检测系统

也被称为电容检测器，通过在区域内发射和接收电磁场（Electromagnetic Field）发现入侵行为。

光电或光度检测系统

通过在区域内发射和接收光线发现入侵行为，适用于无窗的房间（Windowless Areas）。

被动红外检测系统（需要自动补偿背景温度的变化）

通过感知区域内的温度升高发现入侵行为。

声学检测系统

通过在区域发射和接收音频信号发现入侵行为。信号频率可以是微波、超声波和低频。误报问题

振动检测系统

通过感知区域内的震动发现入侵行为。误报问题

物理访问控制审计

与逻辑访问控制类似，对物理访问控制也应该进行日志记录（Logging）和定期审计（Audit），内容可以包括：访问的日期和时间（Data and Time）访问的出入位置（Location）访问用户的身份（User ID）访问是否获得成功（Result）对访问授权的更改情况（Privilege Change）审计和访问日志都是检测性的而不是预防性的。

应急计划测试与演练（至少每年演练一次）

制定一个疏散和应急响应计划应急程序员工培训执行情况每年至少演习一次（熟悉流程、评估有效性）应急计划管理主要元素: 关闭 Emergency system shutdown procedures 评估 Evacuation procedures 定期 Periodic equipment and systems tests 演练 Employee training, awareness programs, and periodic drills

2、资产安全

学习目标

对信息与相关资产进行分类分级

确定与保持所有者的职责和权限

保护隐私

确保合适的数据保留

确定数据安全控制

建立数据处理的要求

数据管理

数据管理最佳实践参考

制定数据策略，明确数据管理的策略目标和原则

清晰定义数据的角色和职责，包括数据提供者、所有者和管理者

数据管理流程中的数据质量控制流程，确认和验证数据的准确性

数据管理文件化，并描述每个数据集中的元数据

根据用户需求和用户使用，来规划和定义数据库

信息系统基础设施，数据存储，数据备份以及数据自身的更新策略

持续的数据审计，提供数据和资产的管理有效性和数据完整性

持续实施分层的数据安全控制，来保护数据安全

明确定义数据访问标准，对数据访问进行全面控制

数据策略 Data Policy

数据策略为企业或项目制定数据管理的长期战略目标

数据策略是一套高阶原则，为数据管理制定指导框架

数据策略来解决一些战略问题，比如数据访问，相关法律问题数据管理问题，数据管理责任，数据获取及其他问题

安全人员在制定数据策略时需要考虑的问题包括

成本

所有权和管理权

隐私

责任

敏感性

法律和策略要求

策略与流程

数据角色与责任

定义所有数据的角色

建立全生命周期的数据所有权

逐步建立数据可追溯性

确保数据质量和元数据的指标维持在一个基本水平上

数据所有权(Ownership)

信息生命周期：创建、使用、存储、传输、变更、销毁等

信息一旦创建，必须明确所有权责任。通常是创建、购买、或获取信息的人

所有者责任通常包括：

定义信息对于组织使用的影响

理解信息的替换成本

判断组织内网的人谁需要信息，以及在哪种环境下发布信息

了解在什么时候数据不在准确或不在需要，应当被销毁

数据所有者通常拥有数据的法律权限，包括知识产权和版权等

应当建立和文件化相关的策略

数据所有权、知识产权、版权

业务相关的法定义务和非法定义务，确保数据合规

数据安全、防泄漏控制，数据发布，价格、传播相关的策略

在数据发布前，与用户或客户签署备忘和授权协议，明确使用的条件

数据管理权Data Custodianship

数据管理者的责任主要包括

遵照数据策略和数据所有权指南

确保适当用户的访问权，以及维护适当级别的数据安全

基本的数据集维护，包括不限于数据存储和归档

数据集文档化，包括文档的更新

确保数据质量，以及数据集的验证，包括阶段性的审计来确保数据完整性

数据管理权限岗位相关的角色有

项目经理、数据经理、IS经理、IT专家、数据库管理员、应用开发者、数据采集或获取

数据质量 Data Quality

流程

数据质量原则应当在数据管理全生命周期中得到应用，从数据采集开始，任何一个阶段的数据质量损失都将导致数据可用性下降。

数据获取，并记录数据采集时间

数据化之前的数据操作(包括标签准备，数据分类拷贝等)

数据样本的识别和记录

数据的数字化

数据的文档化(获取和记录元数据)

数据存储和归档

数据发布和传播(包括纸质和电子发布，Web可访问数据库等)

使用数据(数据操作和分析等)

控制

质量控制(Quality Control)是基于内部的标准，流程和步骤来控制和监控质量QC根据数据产品结果来控制

质量保障(Quality Assurance)是基于外部标准来检查数据活动和质量控制过程，确保最终的产品满足质量要求，QA是数据全生命周期提供保障。

数据质量期望值的两个要素

1、不正确的数据记录的频率

2、数据记录中错误的重要性

数据质量的两个过程

Verification确认：检查是否与元数据匹配，保证准确性等，通常可以由不太熟悉数据的人进行。

Validation验证：评价是否达到数据质量目标，以及发生任何偏离的原因，通常由专业人士进行

提升

预防Prevention：错误预防主要在数据收集和数据录入数据库的阶段

纠正Correction：必不可少的手段

文件化Documentation：集成到数据库设计中

1、确保每个记录Record得到检查，以及对记录的任何变更

2、元数据记录

数据生命周期控制

数据生命周期

数据定义，数据建模，数据处理，数据库维护和数据安全

持续数据审计，来监控数据使用和数据有效性

归档，来确保维护有效性，包括定期快照，允许一旦出现数据或备份损坏，可以回滚到之前的版本

数据存储和归档

解决了数据保存问题

考虑的因素包括：服务器硬件和软件，网络基础设施，数据集的大小和格式，数据库的维护和更新，数据库的备份和恢复需求

数据归档(Data archiving)是将不再经常使用的数据移到一个单独的存储设备来进行长期保存的过程。

数据安全

针对数据安全的威胁行为包括：滥用、恶意攻击、无意错误、非授权访问，物理设备盗窃或损坏，自然灾害等

采用分层的安全架构，以及深度防御架构

不间断电源，服务器镜像(冗余)，备份，备份完整性测试

物理访问控制，网络访问控制，防火墙，敏感数据加密

软件补丁更新，事件响应，灾难恢复计划等

采用基于风险管理的方法

风险评估

风险降低

评价和评估

数据保留Retention

根据业务要求和法律要求来定制数据保留策略

数据保留策略定义的步骤

评估法定要求、法规义务、业务需求

进行记录和分级

决定保留周期和销毁方法

拟定数据保留策略

培训员工

进行数据保留检查和审计

定期更新策略

文档化策略、流程、培训、审计等

如何做数据保留

Taxonomy分类

做数据分类计划，涉及各种类别，包括功能、时间、组织机构等

Classification分级

按照数据敏感级别分级处理

Normalization标准化(范式化)

制定标准模式，使数据便于检索

Indexing索引

建立数据索引，方便对归档数据进行查询

保留什么数据

保留数据的决定必须是慎重的、具体的和可执行的。

我们只想保留我们决定保留的数据，然后确保我们可以执行保留

e-Discovery电子发现

Discovery of electronically stored information,ESI电子取证

The ElectroicDiscovery Reference Model,EDRM电子发现参考模型

标识；Identification

保存；Preservation

保存这些数据，以确保它不是偶然或常规销毁，同时遵守订单

收集；Collection

处理；Processing

处理以确保数据和元素都使用正确格式。

审查；Review

审查数据，以确保它是相关的

分析；Analysis

生产；Production

生产最终数据集给那些需要它的人

提交；Presentation

对外部受众的数据来证明或反驳索赔报告。

数据残留Remanence

Clearing 清除：通过一般的系统或如啊你就按回复工具无法恢复。特殊的实验室工具(数据取证的工具)可以恢复。

Overwriting覆写：使用程序对介子进行写操作以覆盖原有数据，通常进行三遍(>6变)

Purging，根除：任何技术都无法恢复

Destruction破坏：存储介质被破坏到常规设备无法读取

Media Destruction：介质销毁：最安全，物理破坏

化学方法：焚烧，腐蚀

物理破坏：碾碎Shred

形态转变：固体硬盘，液化和气化

对于磁性介质，提高温度以超越居里温度

Degaussing消磁：使用强磁场或电磁场消除磁介质(Magnetic Media)中的数据

磁盘消磁后就报废了

磁带消磁后还可以再用

Sanitizing(某些上下文里等同于Purging)

删除和格式化：是最不安全的方法(连Clearing都算不上，普通软件工具就可以恢复)

Encryption加密：加密数据使其没有相应密钥的情况下不可读

云存储的数据安全和数据残留问题：使用数据加密

数据生命周期安全控制

定义

伴随数据变化过程的安全控制措施

获取

获取的两种途径：复制和创建

数据能够使用前，先进行元数据设计与匹配然后该信息被索引以便于搜索并分配给一个或多个数据存储区

控制策略

当存储时，加密信用卡号及PII个人身份信息

对于敏感信息，设置严格的数据访问策略

设置数据回滚策略以便恢复数据到从前状态

尽量做到获取阶段措施到位，而非事后控制

使用

定义

不同访问级别的用户对数据进行读和改的操作

此阶段保护数据的CIA三性极具挑战

应确保仅恰当的人以授权的方式修改数据

保证内部一致性

确保修改数据的操作是可重复的

具有解决不一致的自动机制(如回滚机制)，防止因突然断电等导致数据不一致

信息的使用和聚合，将可触发信息分类、分级等变化。

归档

定义

当信息不在常规使用时，将对它归档处理

做好恰当的数据保留政策

防止数据的修改和非授权访问很长一段时间不被发现

数据备份的防护

安全的物理位置

数据加密

数据保留时长

太短，数据可能还有用

如数据操作失败或遭遇攻击，需要恢复数据

电子取证

太长，浪费数据保存成本也增加了相应的责任

备份与归档的区别

数据备份是当前使用的数据集的副本，用于从原始数据的丢失中恢复。备份数据通常变得不那么有用。

数据归档是不再使用的数据集的副本，但在需要保存以备将来使用。当数据被归档时，它通常从原来的位置移除，这样存储空间就可以在使用的数据中使用。

Disposal处理(处置)

定义

数据所有者确认数据不需要再被使用时，选择适当的处置手段

要点

数据确实被销毁

确保副本也被销毁

被正确销毁

数据恢复的花费高出数据本身价值

信息分级与资产管理

信息分级Classification

Classification分级，按照敏感度(机密性破坏)，比如Cofidential，Sensitive按照重要性(可用性被破坏损失的Impact影响度)

政府或军队

Top Secret

如果泄露，可能对国家安全造成严重损害

新武器蓝图，间谍卫星信息，间谍数据

Secret

如果泄露，可能丢国家安全造成严重损害

部队部署计划：部队战备信息

Confidential

仅适用于公司内部使用

根据信息自由法案或其他法律法规豁免披露的数据

未经授权的披露可能严重影响公司

Sensitive but unclassified（SBU）

小秘密，如果泄露，可能不会造成严重损害

医疗数据测试，成绩的答案。

Unclassified

数据不敏感或未分类

计算机手册和保修信息招聘信息

商业

Confidential

仅适用于公司内部使用

根据信息自由法案或其他法律法规豁免披露的数据

未经授权的披露可能严重影响公司。

商业秘密，医疗保健信息，编程代码，信息保持公司竞争力

Private

公司内使用的个人信息

未经授权的披露可能对人员或公司产生不利影响

工作历史，人力资源信息，医疗信息

Sensitive

需要特殊的预防措施，以确保数据的完整性和保密性，防止未经授权的修改或删除

要求高于普通保证的准备性和完整性

例子：财务信息，项目详细内容，利润收益和预测

Pulic

披露不受欢迎，但对公司或人员造成不利影响

分级控制

控制分类的选择取决于管理组及安全团队对相应类别信息的安全需求

对所有敏感的数据和程序进行严格的和粒度的访问控制

在存储和传输的同时对数据进行加密

审计和监视(确定需要什么级别的审计和多长时间的日志被保留)

职责分离(判断两个或更多的人必须参与访问敏感信息防止欺诈行为；定义相关程序)

定期审查(审查分类层次，数据和程序等相关内容，确保他们仍然与业务需求保持一致；数据或应用程序可能还需要重新分类)

备份和恢复程序(定义)

变更控制程序(定义)

物理安全保护(定义)

信息流动渠道(哪里敏感数据驻留，它如何在网络上传播)

妥善的数据处理程序，如切碎、消磁，等等(定义)

标记，标识和处理程序Marking(存储介质上)Labling系统里

数据分级程序

1、定义分级级别

2、指定将确定数据分级的标准

3、确定负责数据分类的数据所有者

4、确定负责维护数据及其安全级别的数据保管人

5、指示每个分级级别所需要的安全控制或保护机制

6、记录以前的分类问题的任何异常

7、指示可以用于将信息的托管转移到不同数据所有者的方法

8、创建一个程序定期审查分类和所有权，将对数据托管的任何更改进行传播

9、显示程序重新分类数据

10、将这些问题整合到安全意识计划中

责任的层级

高级管理者理解公司愿景，业务目标

下一层是职能管理者，其成员了解各自的部门如何工作，个人在公司内扮演什么角色，以及安全如何直接影响他们的部门

下一层是运营经理和员工。这些层更接近公司的实际运作。他们知道详细的技术和程序要求，系统以及如何使用系统的信息。

在这些层的员工了解安全机制集成到系统中，如何配置它们，以及他们如何影响日常生产力。

每一层级，都应该输入最好的安全措施，程序和选择的控制，以确保商定的安全级别提供必要的保护。

注意：高级管理层对组织安全最终负责。

数据管理角色

董事会，董事会的安全官员，数据所有者、数据托管、系统所有者，安全管理员，安全分析师，应用程序所有者、主管(用户管理)，变更控制分析师，数据分析师，流程，解决方案提供商、用户、产品线经理

Executive Management，执行管理层

CEO首席执行官官

负责确保组织在信息安全方面实施应有的谨慎和尽职调查

CFO首席财务长

此人负责预测和预算，以及向证券交易委员会(SEC)和你一相关者提交季度和年度财务报表的过程

CIO首席信息官

负责组织内信息系统和技术的战略使用和管理

CPO首席隐私保密官

负责确保客户，公司和员工数据保持安全，使公司远离刑事和民事法庭，并希望摆脱头条新闻

CSO首席安全官

负责了解公司面临的风险，并将这些风险降到可接受水平

这个角色的创建是安全行业"胜利"专栏的一个标识，因为这意味着安全最终视为一个商业问题

CSO的工作是确保企业不因安全问题的任何方式中断，超出了IT边界，涉及到业务流程。

法律问题，业务问题，创收和声誉保护。

CISO直接向CSO汇报

CISO应有更多的IT专业背景，他的业务范围比CSO要窄

Data owner数据所有者

通常是管理者，负责特定的业务部门，并最终负责保护和使用特定信息子集

数据所有者有数据due care责任，因此将负责任何疏忽行为，导致数据的损坏或泄露。

负责决定数据分级

负责确保必要的安全控制到位，定义每个分类和备份要求的安全要求。

批准数据的访问权

对违反数据安全策略的行为进行处置

指派负责日常维护：数据保护机制的数据保管员

Data Custodian数据保管者

负责维护和保护数据

实施和维护安全控制

执行定期备份数据

定期验证数据的完整性

从备份介质回复数据

保留记录的活动

实现公司的安全政策，标准和指南的要求，涉及到信息安全和数据保护。

System Owner 系统所有者

负责一个或多个系统，每个系统可以持有和处理由不同数据所有者拥有的数据。

负责将安全考虑纳入应用程序和系统采购决策和开发项目

负责确保必要的控制，密码管理，远程访问控制，操作系统配置等提供足够的安全性。

确保系统对漏洞进行适当评估

向事件响应团队和数据所有者报告任何系统

Security Administrator，安全管理员

负责在企业内实施和维护特定的安全网络设备和软件

注意区分安全管理员和网络管理员的职责

安全管理员注重网络的安全性

网络管理员关注保持网络持续可用

安全管理员负责创建性的系统用户账户，实施性的安全软件，测试安全补丁和组件，并发布性的密码。

安全管理员必须确保给用户的访问权限支持策略和数据所有者指令。

Supervisor,监督者

Also called user manager 用户经理

最终负责所有用户活动和由这些用户创建和拥有的任何资产

Change Control Analyst变更控制分析师

负责批准或拒绝对网络，系统或软件进行更改的请求。

确保更改不会引入任何漏洞，它已被适当测试，并且他被正确地执行。

需要了解各种变化如何影响安全性，互操作，性能和生产率

Data Analyst数据分析师

负责确保谁存储的方式和公司最有意义，复合需要访问人员工作需求

确保搭建的架构与公司的业务目标一致

用户

用户必须有必要的访问数据的水平

履行操作安全程序，以确保数据的保密性，完整性和可用性

Auditor 审计师

是定期检查每个人都在做他们应该做的事情，确保正确的控制到位，并正在保持安全。

资产管理概念

Inentory Management，库存管理：主要维护软硬件资产的状态；

Configuration Management配置管理(第7章)

配置管理可以基于配置项(CI)建立分类、组件、上下游、父子关系等

基于配置项进行变更控制，监控配置项的状态

配置管理库(CMDB):集中干你所有资产配置信息的库

IT Asset Management资产管理

增加了资产的财务视角：成本、价值、合同状态

资产的全生命周期管理：从采购到废止

物理、财务、合同全方位管理

资产管理与信息安全

资产管理是信息安全实施的基础，没有资产管理就无法了解信息安全事件。

资产管理驱动访问控制建设，如NAC网络访问控制

软件License管理：防止侵权，安全管理员应协助实施控制，并定期检查

设备生命周期安全管理

需求定义阶段：定义安全需求，安全成本是否合适、是否满足安全架构

获取与实施阶段：验证安全特性、安全配置、安全认证认可，设备入库

运行维护阶段：配置检查，漏洞评估、变更控制

废止阶段：数据安全、配置库更新

隐私保护与安全控制

隐私保护相关法律

隐私保护的基本要求

公正合法的获取：仅用于最原始的目的；合适的信息，不超过目标的信息；

准确并及时更新；主体可访问；保持安全；完成目标后删除

2012年欧盟发布了更全面的数据保护指引

欧盟与美国商务部签署“Safe Harbor”安全港协议，解决双方不一致的问题

2018 5 GDPR 通用数据保护条例

Data owner 数据所有者

间接或直接决定谁可以访问特定的数据

Data Processers数据处理者

关于隐私的关键问题是，这些个人了解什么是可以接受的行为的界限，以及知道但输一局意外或故意地以不符合适用政策的方式处理时应该做什么。

必须明确自己的义务和责任

必须有例行检查，一确保他们的行为复合所有使用的法律，法规和政策

Limits on Collection限制采集

各国制定了相关法律

除了适合的法律和法规外，组织收集的个人数据的类型，以及其生命周期的考虑，必须是明确的书面政策。

数据安全控制

Data at Rest，静态数据

针对存储数据的保护，包括备份磁带、异地存储、密码文件和其他敏感数据

风险

恶意用户可能通过物理或逻辑访问存储设备，获取敏感信息

推荐对策

制定并测试数据恢复计划

可移动设备和介质必须进行加密；包括笔记本，平板电脑，智能手机，可穿戴设备

选择合适的加密工具和算法，如AES加密

创建安全的口令

使用口令和密钥管理工具

可移动介质的位置，并进行跟踪管理

Data at Transit，动态数据

针对传输数据的保护，主要通过加密方法，防止截获如链路加密，端到端加密

风险

恶意用户可能截获或监控传输中的铭文数据

推荐对策

保密数据在任何网络上进行传输都必须加密，包括内网之间的传输

数据可以被Web访问时，必须采用安全加密协议，如TLS1.2/1.3

Email传输必须使用PGP或S/MIME并将数据通过加密软件加密做为附件

非Web数据应当采用应用级加密

无法采取应用级加密时，应当采用IPsec加密或SSH加密

应用和数据库之间通信应采用加密

设备之间传输敏感数据应当采用加密

DLP(Data Leak/loss Prevention) 数据防泄漏

定义

a suite of technologies aimed at stemming the loss of sensitive

瞄准防止企业敏感信息泄露的一套技术

部署DLP的有点

Protect critical business data and intellectual property Improve compliance Reduce data breach risk Enhance training and awareness: Improve business processes Optimize disk space and network bandwidth Detect rogue/malicious software

保护关键业务数据和知识产权

加强合规

降低数据泄露风险

加强培训和意识

改进业务流程

优化磁盘空间和网络带宽

检测流氓/恶意软件

三个关键目标

1. Locate and catalog sensitive information stored throughout the enterprise. 2. Monitor and control the movement of sensitive information across enterprise networks. 3. Monitor and control the movement of sensitive information on end-user systems.

将存储在整个契合的敏感信息进行定位和编程目录；

对整个企业敏感信息的移动进行监控和控制；

对终端用户系统敏感信息的移动进行监控和控制；

组织敏感信息的分类，存储位置和传输路径

Enterprises are often unaware of all of the types and locations of information they possess.

组织常没有认识到他们处理的信息的类型和位置，购买DLP方案时首先要了解敏感数据类型和系统间以及系统到用户的数据流；

分类Classifications，可以包括属性Categories,如隐私数据，财务数据和知识产权等；

一旦对数据进行适当的识别和分类，更深的分析流程来帮助进行主要数据和关键数据路径的定位；

需要关注企业数据的生命周期，理解数据的处理、维护、存储和处置等能揭示更深的数据存储和传输路径；

Data at Rest静态数据

寻找并识别具体文件类型，识别和记录信息存储的位置；

找到后，DLP打开并识别文件的内容

DLP使用爬虫系统，crawlers

Data in Motion(Network)动态数据

DLP solution

1.Passively monitor the network traffic 2. Recognize the correct data streams to capture 3. Assemble the collected packet 4. Reconstruct the files carried in the data stream 5. Perform the same analysis that is done on the data at rest to determine whether any portion of the file contents is restricted by its rule set

1、被动的检测网络流量

2、识别捕获的正确数据流量

3、组装所有手机的数据；

4、在数据流中进行文件重建

5、执行静态数据唐嫣的分析并确认文件内容任何部分是收到其规则限制的。

为检测企业网络数据移动，DLP方案使用特别的网络设备或内置技术有选择的捕获和分析网络流量

深度报文检测(deep packet inspection（DPI）技术，作为DLP的核心能力，DPI能够越过基本的包头信息阅读数据包载荷内容

DPI技术允许DLP检测传输中的数据确定内容，来源和目的地；

DLP有能力应对加密的数据(加具有加密密钥)，或者在检测前进行解密并在检测完后继续加密

Data in Use(EndPoint)使用中的数据

监控终端用户在他们的工作站上所采取数据移动行为

whether that would entail copying data to a thumb drive, sending information to a printer, or even cutting and pasting between applications. 是否需要将数据复制到闪盘、发送信息到打印机甚至是在应用间进行剪切和黏贴；

使用Agent完成任务

隐写术和水印技术

cover_medium + hidden_data + stego_key = stego_medium In this context, the cover_medium is the file in which you will hide the hidden_data, which may also be encrypted using the stego_key. The resultant file is the stego_medium (which will, of course, be the same type of file as the cover_medium). The cover_medium (and, thus, the stego_medium) are typically image or audio files.

Watermark

隐写术是一种信息隐藏技术，能将大量信息隐藏在图片和视频文件中；

信息隐藏包括隐蔽通道、在Web页面隐藏文本，隐藏可见文件、空密码；

安全基线、适用范围和裁剪

为系统建立最小的防护措施

企业可以根据自己的情况指定安全基线

Scoping and Tailoring范围与裁剪

通过范围定义和裁剪的方法，聚焦安全架构的重点

根据企业的需求，灵活应用各类标准和基线

保护其他资产

保护移动设备

清单所有移动设备，包括序列号，以便他们可以正确识别，如果他们被窃取，然后恢复。通过应用基线安全配置来强化操作系统

密码保护BIOS的笔记本电脑。

与各自的供应商注册所有设备，并在设备被盗时向供应商提交报告。如果被盗的装置发送修理后它是偷来的，它将被标记由供应商如果你有失窃报案。

飞行时随身携带，不要托运

从未离开移动设备无人值守，并把它在一个不起眼的携带情况。

加密设备上的所以数据

使用槽锁与电缆链接一台笔记本电脑

纸质文件

教育员工正确处理纸质文件

尽量减少纸记录的使用

确保工作区保持正解，并定期审计工作，确保敏感文件不外露。

把所有敏感的文件锁起来

禁止在家里做敏感的文件工作

标识的所有文件的分类级别，理想的情况下，还包括其所有者的名称和处置(例如，保留)指令。

在员工离开办公室时进行随机搜索，以确保敏感材料不被带回家。

摧毁多余的敏感文件使用碎纸机。对非常敏感的文件，考虑吧他们骚毁掉。

1、安全与风险管理

1、信息安全与风险管理基础

信息

定义

生命周期的处理方式

信息安全基本原则

机密性 Conifdentiality

确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体

完整性 Integrity

防止非授权篡改

防止授权用户不恰当修改信息

保持信息内部一致性和外部一致性

内部一致性：存储在系统的冗余信息要保持一致

外部一致性：存储在系统里的信息和外部真是情况报保持一致

可用性 Availability

确保授权用户或实体对信息资源的正常使用，不会被异常拒绝，运行其可靠而及时的访问信息

相反三元组 DAD

泄漏Disclosure

篡改Alteration

破坏Destruction

信息安全CIA的相关技术

机密性，C

数据加密(整个磁盘、数据加密)

传输数据加密(IPSec、SSL、TLS、PPTP、SSH)

访问控制(物理和技术控制)

完整性，I

哈希(数据完整性)：代码签名

配置管理(系统完整)

变更管理(过程完整)

访问控制(物理和技术控制)

软件数字签名

传输CRC检验功能(可以用于网络传输的多个层)

可用性，A

冗余磁盘阵列RAID

集群

负载均衡

冗余的数据和电源线路

软件和数据备份

磁盘映像

位置和场外设施

回滚功能

故障转移配置

安全控制分类

方式方法

管理性控制

制定策略、标准、措施和指导原则

风险管理

人员安全

安全意识培训

技术性控制 /逻辑性控制

实现和维护逻辑访问控制机制

密码和资源管理

身份标识和身份验证方法

安全设备

物理学控制

控制个人对设施和不同部门访问的措施(门禁，保安，锁)

保护设施的周边(栅栏，围墙，照明)

物理检测入侵

环境控制

作用

控制功能

预防性

威慑性

检测行

纠正性

恢复性

备份，BCP，DRP

补偿性

信息安全风险管理基础

治理，风险管理与合规GRC

Assurance鉴证

风险管理框架

2、安全治理与安全体系框架

安全管理参考框架

IT控制，COBIT

内部控制-整体框架，COSO 企业内部管理框架

定义了满足财务报告和披露目标的五类控制要素

控制环境

风险评估

控制活动

信息与沟通

监控

很多组织应对SOX404法案合规性的框架

IT服务管理，ITIL(最佳实践框架)

ITIL是IT服务管理最佳实践

IT服务管理标准(ISO/IEC20000)

五大阶段

服务战略

服务设计

服务转换

服务运营

持续服务改进

Zachman框架

企业架构鼻祖

TOGAF企业框架

ADM,开发和维护架构的模型

SABSA安全架构框架

安全控制参考，NIST SP800-53r5

CMM&CMMI 软件开发成熟度模型 &成熟度模型集成

能力成熟度模型CMM

初始Initial/Ad hoc

可重复Repeatable

已定义Defined

已管理Managed衡量指标

优化Optimizing持续改进

能力成熟度模型集成CMMI

初始Initial

已管理Managed

已定义Defined

量化已管理Quantitatively Managed

优化Optimizing

信息安全管理

信息安全成败的两个因素：技术与管理

ISO27001信息安全管理体系的标准

PDCA模型

计划，Plan:根据风险评估结果，法律法规要求，组织业务，运作自身需要来确定控制目标与控制措施

实施，Do:实施所选的安全控制措施。

检查，Check：依据策略，程序，标准和法律法规

措施，Act：针对检查结果采取应对措施，改进安全状况

信息安全方面的最佳实践组成的一套全面的控制集

2013版，14个域，35个人类，114个控制

信息安全绩效

ISO27004

信息安全风险管理

ISO27005

3、法律、道德、合规

计算机犯罪

计算机犯罪特点

调查取证比较困难，证据容易遭到破坏(第7章)