因需可知(need to know)和最小特权(least privilege)是任何安全的 IT 环境都要遵循的两个标准原则

1. 因需可知的访问

2. 最小特权原则

职责分离(Separation of duty，SoD)：和责任确保个体无法完全控制关键功能或系统

确保没有任何一个人可危及系统或系统安全，这种做法是必要的。相反，两人或更多人必须密谋或串通才能危害组织，这会增加这些人的风险。

职责分离策略形成一个制衡系统，其中两个或多个用户验证彼此的行为，并且必须协同 完成必要的工作任务

简单示例。电影院使用职责分离来预防欺诈行为。一个人售卖电影票，而另 一个人验票，禁止未购贾的人进入，如果一个人同时卖票和验票，此人可以允许人们无票进 入，或未给电影票却把收来的钱放入口袋

同样，组织经常把流程分解为多个任务或职责，并将这些职责分配给不同的人来预防欺 诈。例如，一人批准有效发票的支付，而其他人付款

执行职责分离的另一种方式是多个受信任个体分担安全或管理的功能及职能。当组织在多个用户之间分担管理和安全职责时，个人无法拥有足够的权限来规避或禁用安全机制

开发不能有运维权限，防止舞弊

双人控制(two-person control)（有时称为双人制）：要求经过两个人批准后才能执行关任务

例如，银行保险箱通常要求两把钥匙。银行员工掌管一把密钥，客户持有第二把密钥。

在组织内使用双人控制，可以实现同行评审并减少串通和欺诈的可能性。例如，组织可要求两人（如首席财务官和首席执行官）一起批准关键业务的决策。

知识分割(split knowledge)：将职责分离和双人控制的概念融入一个解决方案。其基本思想是将执行操作所需的信息或特权分配给两个或多个用户

岗位轮换（有时称为职责轮换）：是指员工进行岗位轮换，或和其他员工进行职责轮换

可实现同行评审、减少欺诈行为并实现交叉培训。交叉培训可减少环境对任何个体的依赖

岗位轮换可以充当威慑和检测机制，轮岗后欺诈行为会被接管工作职位的人发现

防止在岗位待久了，防止串通/合谋

许多组织要求员工强制休假一周或两周。这种做法提供一种同行评审形式，有助于发现欺诈和串通行为

也可充当威慑和检测机制，即使他人仅接管一两周某人的岗位，这也足以检测到违规行为

特权账户管理(Privileged Access Management，PAM)：解决方案限制特权账户的访问权限，或者检测账户是否使用了提升，使用JIT管理

特权账户：是指管理员账户或具有特定提升特权的账户

监控特权策略需要和其他基本原则相结合，例如最小特权原则和职责分离原则

访问审计可以检测特权的滥用

攻击者提升特权后常见操作

服务水平协议(service level agreement, SLA)：是组织与外部实体（如供应商）之间的协议。SLA 规定了绩效预期，并常包括针对未实现这些预期的供应商的惩罚条款

例如，许多组织使用云服务来租用服务器。供应商提供对服务器的访问服务，并对服务器进行维护以确保其可用

谅解备忘录(memorandum of understanding，MOU) ：谅解备忘录记录了两个实体合作达成共同目标的意愿。虽然 MOU 与 SLA 类似，但 MOU 不太正式，缺少处罚条款

当员工单独工作时，胁迫(duress) 系统非常有用

例如，一名警卫可能在下班后守卫一栋楼。如果一群人闯入大楼，该警卫可能无法独自阻止。但是，警卫可使用胁迫系统发出警报。

暗语，暗语培训

另一个安全问题是员工出差，因为犯罪分子可能会以出差员工为目标

敏感数据 ：理想情况下，出差时设备不应存储任何敏感数据。

恶意软件和监控设备：许多报道的案例讲述员工在国外出差时，系统被植入许多恶意软件。同样，我们亲耳听到一些人去国外出差后设备被植入物理监听设备的事

免费 Wi-Fi ： 在出差期间，免费 Wi-Fi 通常听起来非常诱人。但是，免费 Wi-Fi 很容易被 配置成捕获所有用户流量的陷阱

VPN（Virtual Private Network，虚拟专用网） ： 雇主应该访问虚拟专用网络(VPN)来创建安全连接。 VPN 安全连接可以访问企业内部网络中的资源，包括与工作相关的电子邮件。

应急管理计划及实践帮助组织在灾难发生后解决人员安全和安保问题

灾难可能是自然 的（如隄风、龙卷风或地震）或人为的（如火灾、恐怖袭击或网络攻击造成的大规模停电）

不管面临何种灾难，都应首先考虑人员安全。

如果组织有适当的培训和意识计划，那么更易于添加人员安全的主题

这些计划有助于确保员工了解胁迫系统、出差最佳实践、应急管理计划以及常见的关于人员安全的最佳实践。

在处理人员安全和安保事宜时，培训计划应该强调人员安全的重要性

数据所有者对数据担负最终组织责任。数据所有者可以是高管，如首席运营官(CEO)、总裁或部门主管

高级管理人员对其他资产（如硬件资产）负最终责任

管理服务器的IT 部门拥有这些服务器，而 IT 部门的高级管理人员承担保护责任。

关键在于通过识别资产所有者，组织还可识别出负责保护资产的人员

数据所有者通常将数据保护工作委托给组织中的其他人。例如，担任数据托管员角色的员工通常执行日常任务，如实施访问控制、执行备份和管理数据存储。

资产管理：是指管理有形资产和无形资产。资产管理通常从资产清单开始，要求跟踪资产， 并采取额外措施在整个生命周期内保护资产

许多组织使用自动配置管理系统(configuration management system, CMS)来帮助管理硬件资产。 CMS 的主要目的是配置管理，

1. 硬件资产清单

2. 软件资产清单

3. 无形资产清单

媒介管理是指为保护媒介及其存储数据而采取的步骤

媒介泛指任何可存储数据的设备。媒介包括磁带、光学介质（如 CD 和 DVD)、便携式 USB 驱动器、内部硬盘驱动器、固态驱动器和 USB 闪存驱动器。许多便携式设备，如智能手机，也属于这一分类

当媒介存储敏感信息时，应该将其存储在有严格访间控制的安全场所，防止因未经授权的访问造成数据泄露。

保管媒介的场所应具备温度和湿度的控制措施，防止因环境污 染造成数据丢失。

媒介管理还包括技术控制措施，以限制计算机系统对媒介的访问

正确的媒介管理可以直接解决保密性、完整性和可用性问题

1. 磁带媒介

2. 移动设备

3. 媒介管理生命周期

3个主要云服务模式

4 种云部署模型

可扩展性是指系统通过扩充附加资源来处理超出载荷的能力

例如，假设服务器配置16GB 的内存(RAM), 但服务器可以支持 64GB 的 RAM

关键点是弹性方法不需要通过关闭系统来添加资源。资源可以被－自动添加或删除以匹配需求，热插拔

包括添加更多带宽、磁盘空间，甚至更多服务器。

配置新系统是指安装和配置操作系统及所需的应用程序

配置系统的一个关键考虑因素是基于其使用情况对其进行加固。

加固措施

基线：是指起点。在配置管理背景下，基线是指系统初始配置

提及基线，一种简化方法就是配置列表

管理员通常会根据组织内不同系统的需求对基线进行修改。

许多组织使用镜像来部署基线

部署基线镜像的 3 个步骤

基线镜像可以确保系统所需安全设置总能正确配置，从而提高系统的安全性

缩减了系统部署和维护所需的时间，降低了总体维扩成本

组织通常会保护基线镜像，确保其不会被任意修改

镜像通常和其他基线自动化方法相结合

管理员可为组织的所有台式计算机创建一个镜像，然后使用自动化方法为特定类型的计算机添加其他应用程序、功能或设置

变更目的

变更管理控制提供了一种流程，以控制、记录、跟踪和审计所有系统变更

变更管理流程

变更类型

变更管理控制是 ISO 通用标准中一些安全保障要求(security assurance requirement, SAR)的强制性内容

在执行更改管理流程时，会为系统的所有变更创建文档

版本控制通常指软件配置管理所使用的版本控制

例如，应用程序的第一个版本标记为1.0 。经历第一次较小的更新后，版本标记为1.1; 在第一次重要更新后，版本标记为2.0 。这么做有助于追踪部署软件随时间的变更。

配置文档明确系统的当前配置。它明确了系统的负责人以及系统的目的，并列出了应用于基线的所有变更

值得强调的是，补丁和漏洞管理不仅适用于工作站和服务器，也适用于运行操作系统的 所有计算设备。

路由器、交换机、防火墙、打印机和其他设备（如统一威胁管理设备）等网络基础设施系统，均包含某种类型的操作系统。这些操作系统有些是基于思科的，有些是基于微软的，有些是基于Linux的

嵌入式系统：是指配备中央处理单元(CPU) 、运行操作系统以及安装一个或多个执行单一 或多个功能的应用程序的设备。例如相机系统、智能电视、家用电器（如防盗警报系统、无线 恒温器和冰箱）、汽车、医疗设备等。这些设备有时被称为物联网(IoT)

最后，如果组织允许员工在企业网络中使用移动设备（如智能手机和平板电脑），则也应 将这些设备纳入管理

补丁是纠正程序缺陷及漏洞，或提高现有软件性能的所有代码类型的总称。

补丁有时称为更新、快速修复(quick fix)和热补丁(hot fix）

补丁管理计划步骤

微软、奥多比和甲骨文公司在每月第二个周二定期发布补丁，这一天通常称为“周二补丁日 ”(Patch Tuesday)或周二更新日(Update Tuesday)

漏洞管理是指定期识别漏洞、评估漏洞并采取措施减轻漏洞相关的风险。

消除风险是不可能的，同样也不可能消灭所有漏洞

漏洞扫描器是测试系统和网络是否存在已知安全问题的软件工具

扫描器具备生成报告的功能，报告会显示发现的所有漏洞

漏洞通常使用“通用漏涸和披露”(CVE)字典来标识。CVE 数据库由 MITRE 维护

CVE-2020-0601 指示 Windows CryptoAPI(Crypt32.dll)存在漏洞

CVE 数据库使公司更容易创建补丁管理工具和漏洞管理工具，公司不必花费任何资源来 管理漏洞的命名和定义，而可以专注于检查漏洞系统的方法。