CISSP 第十一章 安全运营
安全运营
- 11.1 运营部门的角色
- 11.2 行政管理
- 11.2.1 安全和网络人员
- 11.2.2 可问责性
- 11.2.3 阈值级别
- 11.3 保证级别
- 11.4 运营责任
- 11.4.1 不寻常与无法解释的事件
- 11.4.2 偏离标准
- 11.4.3 不定期的初始化加载(即重启)
- 11.4.4 资产标识和管理
- 11.4.5 系统控制
- 11.4.6 可信恢复
- 11.4.7 输入与输出控制
- 11.4.8 系统强化
- 11.4.9 远程访问安全
- 11.5 配置管理
- 11.5.1 变更控制过程
- 11.5.2 变更控制文档化
- 11.6 介质控制
- 11.7 数据泄露
- 11.8 网络和资源可用性
- 11.8.1 平均故障间隔时间MTBF
- 11.8.2 平均修复时间MTTR
- 11.8.3 单点失败
- 11.8.4 备份
- 11.8.5 应急计划
- 11.9 大型机
- 11.10 电子邮件安全
- 11.10.1 电子邮件的工作原理
- 11.10.2 传真安全
- 11.10.3 黑客和攻击方法
- 11.11 脆弱性测试
- 11.11.1 渗透测试
- 11.11.2 战争拨号攻击
- 11.11.3 其他脆弱性类型
- 11.11.4 事后检查
11.1 运营部门的角色
运营安全包括物理和环境问题得到适当解决,如温度和湿度控制、介质重用、处理以及敏感信息的介质的销毁。
11.2 行政管理
行政管理是运营安全中非常重要的环节。
职责分离separation of duties、岗位轮换、最小特权、知其所需、强制休假mandatory vacation
11.2.1 安全和网络人员
安全管理员与网络管理员的职责不同,网络管理员更关注网络资源的可用性和性能。
安全管理员应执行的任务:
- 实现和维护安全设备与软件:安全设备的更新和升级
- 执行安全评估
- 创建和维护用户资料,实现和维护访问控制机制
- 配置和维护强制性访问控制MAC环境中的安全标签
- 为用户设置初始口令
- 检查审计日志
11.2.2 可问责性
用户的访问尝试和活动需要被适当地监控、审计和记录。
审计需要作为日常工作开展。
11.2.3 阈值级别
公司可以为某种类型的错误预定义门限,门限是违规活动的基线,在被认为可疑的活动发生之前允许一定数量的错误。如密码错误超过门限,账号被锁定。
IDS可以用于跟踪这些活动和行为模式。
11.3 保证级别
操作保证operational assurance:关注产品的架构、嵌入的特征和功能,使客户在使用产品时能够持续获得必要的保护级别。如:访问控制、审计和监控能力、隐蔽隧道分析等
生命周期保证life-cycle assurance:关注产品的架构及其如何开发和维护。如:设计规范、限制级别配置、单元和集成测试、配置管理、可信开发等
11.4 运营责任
运营安全包含了安全措施和对策,以保护资源、信息与驻留信息和资源的硬件。
目标是降低可能由非授权访问或滥用造成损失的可能性。
11.4.1 不寻常与无法解释的事件
事件管理:使用一款产品在网络中收集日志,这款产品能标识模式以及人类由于各种日志数据繁多而很容易遗漏的潜在恶意活动。
11.4.2 偏离标准
标准是确定设备是否存在问题的基线。
必要时,标准需要重新校准。
11.4.3 不定期的初始化加载(即重启)
初始化加载Initial Program Load,IPL
无故重启的计算机可能存在重大问题或被恶意者占有。
11.4.4 资产标识和管理
资产管理包括了解和更新硬件(系统与网络)和软件的详细目录。
资产管理指了解环境中的一切:硬件、固件、操作系统、语言运行时的环境、应用程序以及不同的库。
自动资产管理工具能够将预期配置与环境的实际状态进行比较。
11.4.5 系统控制
系统应采用某些机制来限制一些类型的指令的执行,以便只有当操作系统在特权或管理员状态中才能运行。
11.4.6 可信恢复
系统重启、紧急系统重启动、系统冷启动,是系统应对一级故障时的处理方式,保证系统没有进入不安全的状态。
系统崩溃后:1. 进入单用户或安全模式 2. 修复问题并恢复文件 3. 确证关键的文件和操作
安全关注:1. 引导顺序应当不能重新配置 2.不应避开在系统日志中写入动作 3.禁止系统被迫关闭 4. 禁止输入变更路线
11.4.7 输入与输出控制
ActiveX组件、插件、配置文件更新或设备驱动程序这类系统输入,在发布时最好有可信机构的签名。
11.4.8 系统强化
物理、行政、技术控制
11.4.9 远程访问安全
不得以明文形式传送命令和数据,应当使用SSH而不是Telnet
应当在本地而不是远程管理真正关键的系统
应当只允许少数管理员执行这种远程功能
应当对任何管理活动实施强身份验证
11.5 配置管理
11.5.1 变更控制过程
- 请求发生一个变更
- 变更的批准
- 变更的文档
- 测试和提交
- 实现
- 提交变更报告给管理层
公司应制定一个还原计划,该计划说明团队在实现变更前如何将系统恢复到其原始状态。
11.5.2 变更控制文档化
11.6 介质控制
- 防止未授权访问的控制(保护机密性)
- 清除:删除介质上的信息,使其通过物理取证的方式也无法恢复
净化介质的方法:归零、消磁、破坏 - 数据剩磁:指被擦除的信息剩余部分的物理表示法,这些剩磁可以使数据重组并恢复到可读形式
- 不包含敏感信息的,直接删除或重写问题
介质管理应该包含的属性和服务:
- 追踪(审计日志记录)
- 有效实现访问控制
- 追踪(本地或异地)备份版本的数量和位置
- 对介质变更的历史记录归档
- 确保环境条件不会危及介质的安全,介质库和其他任何保存信息参考副本的地方必须提供适当的物理环境
- 确保介质的完整性:介质(如CD DVD)都是有寿命的,在介质寿命到期前,信息需要转移到其他介质中,重要的信息应该有加密签名并定期检验签名内容
- 定期清查介质,以查看介质丢失或改变
- 执行安全处置活动
- 介质库中的信息应写明创建日期、保存期限、分类级别、创建人、销毁时间、名称和版本
11.7 数据泄露
11.8 网络和资源可用性
准备进行“热交换”的冗余硬件
容错技术
服务级别协议SLA
制定稳健的操作措施
11.8.1 平均故障间隔时间MTBF
Mean Time Between Failures,MTBF指一台设备的估计寿命。
11.8.2 平均修复时间MTTR
Mean Time To Repair,MTTR指修复一台设备并使其重新投入生产预计所需时间。
11.8.3 单点失败
single point of failure
防御方式:适当维护、经常备份或建立冗余
独立磁盘冗余阵列(Redundant Array of Independent Disks,RAID)为硬盘提供容错功能,并改善系统性能。
必须始终有效的信息(即MTTR=0)必须制作镜像或进行双控。
镜像与双控的区别:镜像,写入数据的两个物理位置依赖同一个控制器,存在控制器单点失败问题。双控,使用多个控制器。
防止单点失败的技术:
- 直接访问存储设备DASD:廉价磁盘冗余阵列RAID就是一种DASD
- RAID:独立磁盘冗余阵列,把几个物理磁盘组合起来,并将他们合并成逻辑阵列。读取数据性能明显提高。
提供容错服务的RAID,一定有奇偶校验,通过奇偶校验提供指令告诉RAID系统如何在硬盘上重建丢失的数据。 - 大规模非活动磁盘阵列MAID:支持存储数百兆兆位的数据,但主要执行写操作,寿命更长
- 独立冗余磁带阵列RAIT
- 存储区域网络SAN:提供冗余、容错、可靠性和备份能力,适合追踪兆兆字节数据的公司
- 群集clustering:提供可用性、负载均衡、冗余和故障切换
- 网格计算grid computing:一种负载平衡的大规模并行计算方法,但其中的节点没有集中的控制,不彼此信任,不使用敏感数据和对时效性要求高的应用程序。更适用于财务建模、天气建模和地震模拟等项目
11.8.4 备份
层次存储管理(Hierarchical Storage Management,HSM)提供持续的在线备份功能,速度较快的价值保存经常访问的数据,很少使用的文件则保存在速度较慢的设备或近线设备中。
11.8.5 应急计划
业务连续性计划BCP:如何在灾难发生后保证组织机构的正常运转
应急计划:处理对不能成为灾难的小型事故,包括电源中断、服务器故障等
11.9 大型机
大型机具有高可靠性和高可用性的特点,适用于必须始终保持有效的关键数据需求。
大型机的硬件旨在满足大规模的输入/输出要求,是通用大规模处理平台。
超级计算机属于一类特殊的大型机,为非常复杂的中央处理而制造。
11.10 电子邮件安全
对消息进行数字签名的电子邮件保护应用程序:可靠加密PGP、公钥基础设施PKI
11.10.1 电子邮件的工作原理
简单网络传输协议SMTP:作为电子邮件服务器之间的一种消息传送协议,用于消息交换寻址,SMTP像一个电子邮件消息传输代理。
邮件服务器常称为SMTP服务器。
Sendmail:Unix,存储维护路由电子邮件消息
Microsoft Exchange:Microsoft
GroupWise:Novell
-
邮局协议POP
邮件服务器通过POP存储和转发邮件,与SMTP协同工作,在邮件服务器间传送邮件。访问邮件服务器时,会自动下载所有消息,同时服务器中消息删除。 -
Internet消息访问协议IMAP
与POP不同的是,可以下载全部消息,也可以将消息保存在邮件服务器上的远程消息文件夹中,直至用户需要时进行下载。 -
电子邮件中继
转发中继应当正确配置,防止被利用发送垃圾邮件。如配置成wide open,邮件服务器就能用于接收任何邮件服务器消息并将他们发送给指定的接收方。一个公司的邮件服务器应当只能接收指向它的域的邮件,并且不能转发至其他的邮件服务器或域。
邮件服务器应使用防病毒和内容过滤应用程序。
11.10.2 传真安全
传真服务器是用于管理流入和流出的传真文档的系统,当传真服务器接收到一条传真时,通常将其路由至其指向的个人,但不打印出来,而是保持电子的形式。
传真加密器fax encryptor:一种批量数据链路加密机制,可以加密任何通过网络线缆或电话线的传真数据。
11.10.3 黑客和攻击方法
通过网络映射工具可以对操作系统进行指纹识别operating system fingerprinting,判断是哪些类型的操作系统(Unix、Windows)。
攻击方法:
找出什么系统在运行
运行了什么类型的操作系统并建立拓扑
对目标计算机进行端口扫描,以便了解运行的服务
决定使用什么类型的攻击方法
常用端口:80-HTTP,21-FTP,25-SMTP
- 浏览browsing:获得未授权访问,浏览和肩窥shoulder surfing
- 嗅探器network sniffer:监控经过其的流量。嗅探器通常是一个软件,安装嗅探器的计算机的NIC需工作在混杂模式下,就能看到网线上所有的流量,否则NIC只注意指向它们的流量。
- 会话劫持:可以用于伪造IP会话劫持的工具有Juggermaut和HUNT Project。避免会话劫持可使用一个要求在用户间进行相互身份验证的协议,如IPSec和Kerberos。
- Loki:最常用的隐蔽通道攻击,通过紧接着ICMP首部写入数据的方式与其他系统进行通信。
- 口令破解:John the Ripper、Crack和L0phtcrack都是强大的密码破解工具
- 后门:后门使攻击者不需要提供登录凭证或任何类型的身份验证即可访问计算机。用于后门远程控制的工具有Back Orifice、NetBus和SubSeven。
主机型IDS可以配置为检测可疑的端口活动来检测后门,因为后门要帧听某个特定的端口。
攻击方式:
- DDos
- 中间人攻击:使用数字签名和相互身份验证技术预防
- 邮件轰炸:使用电子邮件过滤和正确配置电子邮件中继功能预防
- 战争拨号:不公开设备的电话号码,对调制解调器和调制解调器池实现严格的访问控制
- 死亡之ping:攻击者向受害者发送过大的ICMP数据包,导致死机重启。给系统安装补丁,并对输入进行过滤以检测这种数据包
- 伪造的登录界面:使用主机型IDS检测
- 滴泪攻击:向受害者发送畸形的分片数据包,导致死机。给系统安装补丁,并对输入进行过滤以检测这种数据包
- 流量分析:通过监控网络流量查找信息。使用流量填充来掩饰流量模式。
- 擅自转换与强制消费:slamming,cramming,正确监控账单来预防。
11.11 脆弱性测试
11.11.1 渗透测试
测试可能是盲目的(测试人员只能利用公开实际,且网络人员知道将进行测试),双盲的(网络人员也不回收到测试通知)或有针对性的。
11.11.2 战争拨号攻击
允许攻击者和管理员通过拨打大量电话号码来搜索可用的调制解调器,并记录下调制解调器作出应答的号码。
11.11.3 其他脆弱性类型
- 内核缺陷:确保为操作系统及时安装补丁
- 缓冲区溢出:良好的编程实践和开发人员教育、自动化的源代码扫描器、改良的编程库以及防止缓冲区溢出的强类型语言
- 符号链接:必须编写程序和特定的脚本,确保无法绕开文件的完整路径
- 文件描述符攻击:良好的编程实践和开发人员教育、自动化的源代码扫描器、应用程序安全测试
- 竞态条件:良好的编程实践和开发人员教育、自动化的源代码扫描器、应用程序安全测试
- 文件和目录许可:即不适当的文件和目录权限。需要文件完整性检查器在被攻击者利用之前检测出这类问题。
11.11.4 事后检查
