[TOC]
考试
ISC 道德准则
- 保护社会、公共利益、必要的公共信任和信心、基础设施
- 行为得体、诚实、公正、负责和遵守法律
- 为委托人提供尽职的和胜任的服务工作
- 发展和保护职业声誉
方法
学习、理解、做题(应用)
联想法-生命周期法,每个事务都有其生命周期,要考虑全面
PDCA(戴明环)->计划、执行、检查、处理/改进
题型
考哪些内容
围绕安全8个方面进行考试:
安全和风险管理
资产安全
软件开发安全
安全评估和测试
网络与通信安全
安全运营
身份和访问控制
安全工程
安全最核心的就是安全与风险,在企业中保护最多的就是企业资产,资产一般都存储在系统中,系统的开发需要安全,系统开发完上线前需要进行安全测试和评估,系统上线需要跑在网络上,上线后需要进行持续的运营,对资产最有效的防护是访问控制,公司整体的安全建设需要一套安全工程建设。
第1--4 章:安全与风险管理。
第5 章:资产安全。
第6~10 章:安全架构和工程。
第11 章和第12 章:通信与网络安全。
第13 章和第14 章:身份和访问管理(IAM) 。
第15 章:安全评估与测试。
第16~19 章:安全运营。
第20 章和第21 章:软件开发安全。
D1 安全和风险管理:
安全相关概念
企业的目标->赚钱->业务
业务连续性管理(BCM)
BCP+BDR(灾难恢复)
业务连续性(BCP)
项目范围和计划
业务组织分析(进行复查)
选择BCP团队
资源需求
法律和法规要求
业务影响评估 (BIA business Impact Assessment)
确定优先级(MTD maxinum tolerable downtime MTO) RTO(Recovery Time objective 恢复时间目标)
风险识别
可能性评估
影响评估
资源优先级排序
连续性计划
策略开发
预备和处理(关键 - 保护人、建筑物/设施、基础设施)
计划批准和实施
计划批准(管理层参与)
计划实施
培训和教育
bcp文档化
企业为什么要做安全?
企业的目标其实是盈利,安全对大部分企业来说都没有办法盈利,所以从企业的角度来说,能不做就不做是可以理解的。
法律
刑法(维护国家和人民)、民法(个人和组织)、行政法(地方)
美国法典 -刑法和民法
计算机犯罪
1984年 计算机欺诈和滥用法案 (联邦利益所有计算机、罚款$5000)
1994年 CFAA修正案 第一次提出恶意代码是不合法的(关押违法者)、洲际贸易所有计算机
1996年 CFAA修正案《国家信息基础设施保护法案》,国际贸易、国家基础设施(铁路、电网)
1991年 联邦量刑指南 高级管理人员 应尽关心 承担个人责任(谨慎人原则),尽职审查 将对惩罚降到最低。
2002年 联邦信息安全管理法案FISMA, 合同商活动纳入监管、安全意识培训(计算机安全法案)
2014年 奥巴马 联邦信息现代化法案 FISMA, 网络安全责任集中到国土安全部(除外国防、情报),《网安安全增强法案》 要求NIST负责协调全国范围内的自发网络安全标准工作 800系列 http://csrc.nist.gov/publications/PubsSPs.html。
NIST SP 800-53 联邦信息系统和组织的安全和隐私控制。
NIST SP 800-171 保护非联邦信息系统和组织中受控的非分类信息
NIST 网络安全框架(CSF) 基于风险的框架
知识产权
版权
原创 保护时间 作者离世后 70年
受雇创造 第一次发表日期后95年,创造日起120年
1998年 数字千年版权法DMCA, 防止CD复制,违者 100w美元罚款和10年监禁,ISP对犯罪承担责任
商标
批准后 10年保护,无限延续。TM作为没有申请下来的商标
专利
申请日开始的20年
商业秘密
1996年 经济间谍法案,50w和15年监禁
许可
拆装、点击、确认
进出口
计算机可出口、加密技术不允许出口(商务部)
隐私法
宪法第四次修正 搜查必须有合理理由,是隐私权基础
1974年 隐私法案,限制联邦政府机构泄露隐私,只适用于政府
1986年 电子通信隐私法案 ECPA 将侵犯个人电子隐私的行为定义为犯罪,对手机通话的监听定义为非法,500美元和5年监禁
1994 通信执法协助法案 CALEA, 通信运营商 对法院判决的执法人员进行窃听
1996 经济间谍法案 财产定义扩大到专有经济
1996 健康保险流通与责任法案 HIPAA (医院、医生、保险公司及其他处理/存储个人信息)
2002 加州 SB 1386法案,成为第一个需要立即向个人告知已知或疑似个人身份信息泄露的州
2009 健康信息技术促进经济和临床健康法案 HITECH ,约束商业伙伴合作,商业伙伴协议(BAA),信息泄露通知到受影响的个人,超过500人,通知卫生与社会服务部门和媒体
2000 儿童在线隐私保护法 COPPA, 授权13岁,可删除
1999 Gramm-Leach-Bliley法案 GLBA 对金融行业(银行、保险公司、信贷)信息分享有监管要求
2001 爱国者法案 9.11后,政府监听授权的方式,政府通过传票获取用户活动的详细记录,计算机犯罪 20年监禁。
家庭教育权利和隐私法案 FERPA, 教育机构
GDPR 2018/5/25生效 遗忘权(允许删除),约束范围是以欧洲公民信息为依据,在欧洲外的企业处理欧洲公民信息,也受该法律约束。
罚款:2000万欧元或全球营业额的4%
数据泄露24小时通知官方
个人可访问和删除
安全港(2015年10月)和隐私盾,美国的商务部和联邦贸易委员会(FTC)认证的企业,提供安全港和隐私盾保护,免遭诉讼。 (7项要求,告知、45天内解决纠纷)
合规
PCI DSS 金融数据
SOX萨班斯 财务规范
威胁
安全的目标是什么
CIA是整个安全的指导思想与基本原则。
安全就是保护企业资产只能被授权用户访问
企业安全建设,利用自动化闭环落地安全规范和制度的过程,确保企业资产只能被授权用户访问。
安全框架
- COBIT 5 (控制)
-- 利益相关者
-- 对企业做到端到端
-- 使用单一的集成框架
-- 使用整合处理法
-- 把治理从管理中分出来 - ISO27002(ISO 17999) (管理)
-- ISO27000 概念
-- ISO27001 ISMS要求
-- ISO27002 实践措施
-- ISO27003 实施指南
-- ISO27004 衡量指南和指标框架
-- ISO27005 风险管理 - OSSTMM
- 过程管理开发,ITIL和CMMI
-- ITIL 用于IT服务管理的过程
-- CMMI 能力成熟度
--- 初始级
--- 可重复:
--- 已定义: 编写完整文档 明确地做了定义,并按需要不断地改进过程,而且采用评审的办法来保证软件的质量
--- 已管理: 每个项目都设定质量和生产目标
--- 优化: 组织的目标是连续地改进软件过程
策略/方针 (战略)
策略:高级管理者的声明
标准、基线、程序(战术)
标准: 支撑策略,强制执行
指南: 推荐的方式
基线: 提供了一个基点并确保了最低安全标准,映像/镜像 NIST 800-53(安全控制基线)
措施: 详细的、分步骤的任务
组织角色
高级管理者(策略的制定-自上而下)
安全专业人员
数据负责人
数据托管员
用户
审计
- 应尽关心和尽职审核
应尽关心
企业应该建立安全策略、标准、指南、基线、程序
尽职审核
企业应该保证所制定的策略得以实施并生效,以保证在出现问题时,可以尽可能免责
执行的过程
组织流程
变更管理
纵深防御(分层-串行)
风险、威胁、脆弱性、资产、暴露、威胁主体、威胁事件、攻击、破坏、控制措施
资产
什么是资产? 对企业有价值的东西都应该叫资产,包括有形的和无形的(敏感数据、处理他们的软硬件),个人的信息不应该属于资产
资产识别/数据分类
军事(4级 绝密、秘密、机密、未分类 ) 敏感未分类:税务局使用的个人税务数据SBU(sensitive but unclassfied )
商业分类(4级,机密/专用-商业秘密和保持竞争性、流程、私有-公司自己PII/PHI、敏感、公开)
PHI(protectd health information)
信息泄露公布网站 http://www.idtheftcenter.org/
分类的目的是为了便于管理(贴标签)/做安全控制, 标签->页眉、页脚、水印
资产/数据价值
不取决东西的大小,有些资产是无法用价值衡量,比如公众影响、效率提升
怎样评估价值
- 获得难易程度
- 购买时价值
- 泄露时影响
资产生命周期
静止资产(磁盘)、运作/传输的资产、使用中的资产(内存、寄存器)
收集-选择同意
传输-加密(HTTPS、SCP、SFTP、应用层二次加密)
存储-加密/备份/恢复
使用- 用户: 展示/确认时掩码, 内部: 访问权限最小化、可记录/追踪(审批)、DLP,大数据:脱敏、匿名(不可还原)、假名、去标识
共享/转让 - 合同约束
净化是确保所有非易失性存储器被移除
销毁-擦除(删除)、清理(不断进行写进行覆盖)、清除(清理升级版,可重复使用)、消磁(不能解决光盘、ssd)、销毁(最彻底的解决方案,确保数据是加密的)
保留时长- 3到7年
记录保留策略:确保数据在需要时保持可用,在不需要时销毁。审计踪迹数据需要保持足够长的时间以重构过去的事件,但组织必须确定他们要调查多久之前的事。
资产中的人
数据使用者:
数据控制者是一个控制数据处理流程的人或实体
管理员:
分配权限的能力->最小特权、知其所需原则,基于角色管理
托管员
正确存储和正确保护数据来帮助保护数据的完整性和安全性->备份、审计日志
资产的保护
加密、假名(去标识、无意义的替代,比如ID)、匿名(不能还原用户身份信息、不需要遵守GDPR约定,真正的匿名很难有可能存在推理陷阱)->数据屏蔽(交换单个列中的数据,以达到无法还原数据的目的)、列加密(涉及到隐私的列)、行加密(国家领导人的身体健康)
加密->密码学
密码学解决的是机密性、完整性、不可否认性、身份验证
密码学基础数学
布尔数学
只有两个值And
都为真,才是真OR
有一个为真,就是真NOT
取反XOR
有一个为真的时候才为真%
模运行,除数余数单向函数
公钥密码的基础None
随机变量、初始化向量(IV)零知识证明 -> 密门实例
不把具体内容告诉第三方,但可以证明你知道这个内容分割知识
一个事情分给多个人做的方案叫分割知识,密钥托管->N分之M理论代价函数
成本/收益,评价加密算法是否足够有效代码和密码
代码作用于单词或短语,密码作用于位
早期方案
- 凯撒密码、恺撒变换、变换加密、ROT3 -> 替换密码,固定方式A->D,解密是D->A
-- 破解 -> 唯密文攻击 频率分析
####### 移位/置换密码
明文必须是密钥的整数倍
A T T A C K E R
1 7 8 2 3 5 4 6
####### 替换密码
用一个不同字符替换明文消息的每个字符或位
凯撒密码 ROT3 ->密钥长度为1
C = (P + 3 ) mod 26
######## 多表替换 ->密钥长度为短语
多表替换系统的最著名的例子 Vigenere密码系统,抵御直接频率分析,但无法抵御周期分析的二阶式频率分析
######## 单次密本 (one-time pad / Vernam密码) ->密钥长度为明文长度
为明文消息中的每个字母使用一个不同的替换字母表
C =(P + K) mod 26
优势:使用得当,无法被破解
满足要求:
每个单次密本必须只使用一次
密钥必须至少与将被加密的消息一样长
物理交换密本
三种替换算法只是密钥长度不同
####### 运动密钥密码(running key cipher) 书密码
####### 块密码(block cipher)
现代密码算法都执行某类块密码
####### 流密码(stream cipher)
一次在消息或消息流的一个字符或一个位上运行
####### 混淆和扩散
混淆:明文和密钥之间有着极其复杂的关系,迫使攻击者只靠改动明文和分析结果密文来确定密钥
扩散:明文发生一点变化,密文发生很大变化
公开算法的主张->科克霍夫Kerckhoffs->不公开算法隐匿
加密算法:对称/秘钥/秘密密钥加密算法和非对称/公钥
对称:
密钥分发/管理是一个缺点,管理复杂 nX(n-1)/2
密钥必须经常重新生成
无法提供不可否认性
对称密钥加密发不提供不可否认性
算法缺乏可伸缩性
速度是快 1000到10000倍
####### DES
DES 64位块(实际有用的是56位密钥,其他8位是奇偶校验),分组->替代或交换
5中模式:
电子密码本(Electronic Code Book, ECB)
最简单 最不安全,可能导致相同明文得到相同密文,会暴露加密模式,不会影响其他分组密码块链接(cipher block chaining,CBC)
使用初始IV,每次明文与前一次密文进行XOR运算
不暴露加密模式,错误会传递密码反馈(Cipher feedback,CFB)
流模式的CBC,也需要IV输出反馈(Output Feedback,OFB)
创建种子值,不会传播错误计数器(counter,CTR)
不会传播错误,多个独立不在,适合平行计算
2DES 不安全,中间相遇,密钥可穷尽
####### 3DES 64(56,112,168)
2个或3个密钥运算三次DES
####### IDEA(国际数据加密算法) -> PGP
提高DES密钥,是用 128位密钥
####### BlowFish
BlowFish 可变密钥 32~448,增加了128,linux的Bcypt
####### RC5
可变块大小(32、64、128)
密钥 0~2040
####### Skipjack
密钥是80位,支持加密密钥托管(NIST,财务部)
####### AES(高级加密算法) 128(10轮)、192(12轮)、256(14轮) -> 微软bitlocker,EFS
加密敏感未分类的数据
Rijndael
Towfish -> 预白化处理/白化后处理
####### 密钥生命周期
- 分发
线下、DH交换、公钥加密 - 存储和销毁
分段存储
会话密钥:一次密钥
DH交换算法: Diffie和Hellman
代码和密码之间的主要区别是密码是在字符或位这种级别来改变数据,而不 是字级别
非对称(公平密码):
速度慢,密钥统一管理,一个人有两个密钥(公钥和私钥)
公钥加密系统方法会对密钥进行托管,在通信中使用的秘密密钥被分成两个或多个部分,每个部分被给予独立的第三方。
####### RSA 加密和签名
n = p * q (n是最大的)
Merkle-Hellman背包 另一种非对称加密算法,1984年证明不安全
####### E1 Gamal
基于DH的理论创建的公钥加密算法,无申请专利,但密文比明文长一倍,增加了网络开销
理论基础:标准离散对数
####### 椭圆曲线 ECC
椭圆曲线离散对数题是加密基础理论
DSA(只用于签名) -> 椭圆曲线ECC
综合对称和非对称的优缺点产生了数字信封的概念,用非对称加密对称密钥,对称密钥加密数据,统一进行发送,对方先用自己的私钥解密获得对称密钥,在对数据进行解密,获得明文,在速度上是折中方案。
签名算法:不能保证保密性
####### 数字签名标准
RSA、DSA(数字签名算法)、椭圆曲线ECC
散列函数选择SHA-3
####### PKI
RA/CA/证书(x509)
申请、颁发、注销(CRL,OCSP)
####### 密钥管理
算法公开、长度/随机、备份、防止泄密、轮换、销毁
HSM加密机->Yubikey,云HSM->IaaS
单向散列
相同消息生成相同消息摘要
可用于数字签名
md5 - 16 * 8 = 128
(做成 512-64 长度)
sha1 - 160
sha256 - 256
sha3 ->Keccak算法
HMAC ->
HAVAL -> 1024位块,产生128、160、192、224、256位散列值
应用
####### 便携设备
硬盘-bitlock,EFS,FileVault,VeraCrypt ->TPM
####### 电子邮件安全
PGP(pretty good protect)
商业版:RSA,IDEA,md5
免费版:DH,Carlisle Adams/Stafford Tavares(CAST)128,sha1S/MIME(secure/Multipurpose Internet Mail Extensions)
RSA,AES,3DES,X.509证书交换密码密钥
####### web应用
HTTPS -> SSL 对poodle攻击比较敏感(中间人,js),TLS
数据信封
####### 隐写术和水印
iSteg隐写工具
####### DRM(数字版权管理)
####### 联网
线路
链路加密 所有消息头、消息尾部、地址、路由器都需要加密,每个中继器都需要解密导致传输开销大,比较慢
端到端加密 只加密消息内容IPSec (4个SA)
互联网协议安全(IPsec)
VPN -> TLS/IPSEC(AH->身份认证和完整性,不可否认,鉴别和访问控制抵御重放,ESP->加密), L2TP(数链层)/IPSec
ESP有两种模式:
传输模式,只加密数据包载荷
隧道模式,加密包括报头在内的整个数据包,网关和网关的通信设计
SCP/SFTP -> 传输文件
SSH->管理控制
####### 无线联网
有线等效保密(Wired Equivalent Privacy ,WEP) 提供64和128位加密选项,802.11 WEP为可选部分
WiFi受保护访问(WPA),以执行临时密钥完整性性协议(TKIP)消除WEP密码缺陷
WPA2使用AES密码
提供的是,手机到AP之间的加密,到达有线后信息变成明文
密钥周期管理
创建密钥->分发密钥(传输密钥)->使用密钥/存储密钥(存储的位置,代码写死)->变更密钥(替换密钥往往是最难的,备份数据怎么变更)->密钥销毁
密码攻击
唯密文攻击:只有密文
已知明文:知道明文和密文
选择密文:选定密文知道明文
选择明文:知道任何明文对应的密文
差分密码:特定差异的明文进行加密而生成的密文对
线性密码:
中间相遇->两轮加密协议
中间人
代数攻击:对算法自身的脆弱性进行分析
生日攻击 ->碰撞
重放攻击
彩虹表
风险
最大的风险是人,人员生命周期管理:
招聘: 创建工作描述(职责描述、职责分离、工作描述、岗位轮换 - 串通、共谋、特权泛滥)
入职:背景调查、 NCA(非竞争协议)、保密协议
工作中:培训(安全意识的培训 办公用户、鼠标垫)、身份和访问控制、升职/调岗(特权泛滥)、强制休假、岗位轮换
离职流程: 关闭/禁用权限,离职面谈-确认遵守保密协议
隐私: SOX、HI、金融、GDPR、PCI DSS 与隐私相对的是 9.11 爱国者法规
风险管理(生命周期)
识别、分析、规避/转移的过程风险管理,目标将风险降到可以接受的范围
NIST SP 800-39 定义了三层风险管理:
- 组织层面: 关注整个业务风险
- 业务流程层面: 处理对组织的主要功能是有风险的
- 信息系统层面: 从信息系统的角度解决风险
参考的框架(NIST 800-37 RMF 6个部分)
信息分类、选择安全控制、实施安全控制、评估安全控制、授权信息系统和监视安全控制
风险分析 (管理层)
有哪些风险及影响、怎样进行规避、产出报告(成本/收益计算)上交管理层
检查环境中的风险
评估每个威胁事件发生的可能性和实际发生后造成的损失
评估各种风险控制措施的成本
风险防护措施的成本/收益报告并向高级管理层报告
风险评估
风险 = 威胁 * 脆弱性
定量分析: SLA = AV * EF(暴露因子), ALE = SLA * ROI (出现的可能性)
定性分析:
delphi技术 - 一个匿名的反馈和响应过程,用于在一个小组中匿名达到共识。
风险响应
降低、转移、威慑、补偿、接受风险
总资产=控制风险+残留风险(没有解决的风险)
防护控制收益 = 实施前ALE - 实施后ALE - ACE
威胁 * 脆弱性 * 资产价值 = 总风险(只是一种表示 不代表相成)
安全控制评估(SCA)
根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估。
威胁建模
- 关注的软件
- 关注数据
- 关注攻击者
威胁事件是对脆弱性的意外和有意利用
威胁建模框架
- 微软的关注攻击效果的 STRIDE (流程图 降维分析)
- OCTAVE 已资产为中心的方法
- PASTA(7个流程-基于风险)
- Trick(开源基于风险)
- VAST(敏捷开发)
方法
- 信任边界
- 数据流
- 输入流
- 特权账号
- 安全声明和定义
危害确认
D(危害)R(复现难度)E(利用难度)A(影响用户)D(被发现的难度)
供应链
ISO 28000:2007
知识产权
仿冒品方面的风险
恶意代码
未知谱系软件
控制措施
分类: 管理、技术、物理
能力: 预防、检测、纠正、威慑、恢复、补偿
AAAA: 身份标识、身份验证、授权、审计(记录)、记账(可问责)
概念: 隐藏(主体无法访问到客体)、隐匿(主体可以访问,但没有告诉主体是什么)、隐私(尴尬)
分层: 纵深防御
D3 安全工程
使用安全设计原则来实施和管理工程的过程
传递信任是一个严重安全问题
基础概念
进程限制(Confinement)->沙箱
界限(Bound)->用户和内核
隔离(isolation)->隔离是一个稳定的操作系统的重要组成部分
控制->强制访问控制(MAC)和自主访问控制(DAC)
MAC->是否许可一个访问由主体和客体的静态属性决定的
DAC->主体具有一些定义要访问的客体的能力,允许主体根据需要定义要访问的客体列表,基于主体身份,可以允许主体添加或修改对客体的访问规则
信任和保证
可信系统->指所有保护机制协同工作的系统,为许多类型的用户处理敏感数据,同时维护稳定和安全的计算环境。
保证->满足安全需求的可信程度
变化往往是安全的对立面,它经常会降低安全性。因此有重大变更后,需要重新评估系统。
建设生命周期和安全需求
需求(安全需求)、设计(安全模型)、开发(安全控制)、测试(安全评估)、上线、运营和退役
安全架构设计原则
根据一组充分考虑和定义的安全设计原则,减少风险
ISO/IEC 19249
五个框架原则:域隔离、分层、封装、冗余、虚拟化
五个设计原则:最小特权、攻击面最小化、集中参数验证、集中通用安全服务、为错误和异常处理做准备
CISSP的控制技术
身份认证和访问类,对主体验证、权限控制
信息的安全性,机密性、完整性、可用性
边界隔离类,边界和隔离机制,来限制访问、使用等行为的技术
审查类,进行监测、检测和分析的相关技术机制
系统架构
计算机硬件: cpu、memory、I/o、devices、bus
CPU
多任务:单核多任务系统能在任意给定时间处理多个任务或进程
多程序
多核:
多处理:多个CPU的系统,利用多个处理器的处理能力来完成多线程应用程序的执行
SMP(Symmetric Multiprocessing):不仅共享通用操作系统,还共享通用数据总线和内存资源
MMP(Massively parallel processing):支持科学家和数学家研究的计算操作
多进程
多线程:单个进程中执行多个并发任务
内核/用户->特权、监管、系统、内核(环保护)
保护机制
保护环->ring0,ring3
状态:就绪,等待,运行,监管(特权)、停止
系统安全模式
专有、系统高级、分割、多级
知其所需(need to know)是指一种访问授权方案
专用模式:
- 每个用户必须具有允许访问系统处理的所有信息的安全许可
- 每个用户必须拥有系统处理的所有信息的访问批准
- 每个用户必须有对系统处理的所有信息具有“知其所需”权限
系统高级模式:
- 用户->所有信息的有效安全许可
- 用户->所有信息的访问批准
- 用户->某些信息,有效的 知其所需 权限
分割模式:
与系统模式区别,不一定具有对系统上所有信息的访问批准
多级模式(受控安全模式):
许可、访问批准、知其所需
memory
BIOS存储在EEPROM芯片上,BIOS上的攻击成为phlashing
ROM,PROM,EPROM,EEPROM/UVEPROM(电可擦除)、闪存(边擦边写)
RAM:动态(电容器)和静态(触发器)(断电数据丢失)
寄存器
存储器寻址:寄存器、立即、直接、间接、基址+偏移
辅助存储器->指磁性、光学或基于闪存的介质
显示器
TEMPEST->安全,远程读取电子辐射这个过程称为Van Eck入侵
Meltdown(熔毁)和Spectre(幽灵)
内存错误,导致内存中残留数据处于未受保护的状态
Meltdown->非特权进程读取私有的系统内核内存中的数据
Spectre->从其他正在运行的应用程序中批量窃取内存中的数据
系统安全架构
TCSEC(可信计算机系统评价标准)
美国军方
可信计算基(TCB)->硬件、软件和固件
安全边界-> 假想的边界
引用监控器-> 抽象机,中介
安全内核->实现了引用控制器,包括硬件、软件和固件
彩虹系列中的橘皮书,强调的是机密性,共包括4类
A->已验证保护(最高级)
B->强制性保护
C->自主性保护
D->最小保护
ITSEC
欧洲,首次提出了机密性、完整性、可用性
正式被评估系统作为评估目标(Target Of Evaluation TOE)
CC(Common Criteria)
又名 ISO 15408
两个要素: 保护轮廓(PP)和安全目标(ST)
PP:要评估的产品(TOE)指定安全要求和保护"客户想要的安全"
ST(Security Targets, ST):安全声明,已实践的安全措施或是供应商的“我将提供的安全”声明
等级EAL(1~7)
安全模型
安全策略所需要的数据结构和技术,映射到信息系统的具体内容上,以数学和分析的理论表示,然后映射到系统的规范,编程开发
模型提供了一种形式化安全策略的方法。计算机可遵循这些规则来实现构成安全策略的基础安全概念、过程和程序。
安全令牌(Token)是与资源关联的独立客体,它描述资源的安全属性
能力(Capability)列表为每个受控客体维护一行安全属性信息
安全标签(Label)是第三种常见的属性存储类型,客体的永久部分。提供一种防止篡改的保护措施。
状态机模块
状态机模型描述了一个系统,它无论处于什么状态总是安全的。安全状态机:安全状态->安全状态
信息流模型
信息流模型基于状态机模型,Bell-LaPadula和Biba模型都是信息流模型。
信息流模型还可以通过明确排除所有非定义流动路径来解决隐蔽通道的问题。
非干扰模型
级联
反馈
连接:一个系统将输入发送到另一个系统,但也将输入发送到外部实体
Take-Grant模型
获取规则
创建规则
授予规则
删除规则
访问控制矩阵
主体和客体的表
Bell-LaPadula
知其所需(need-to-know):仅当特定工作任务需要这种访问时,才授予对特定客体的分类级别的访问权限
多级、算术、状态/信息流、访问的模式、机密性
- 简单安全规则(不能向上读)
- 星属性规则(不能向下写/限制属性)
- 强星属性规则
只能在一个等级读写 - 自主安全属性
控制矩阵->白名单 来打破上面的三条规则
Biba
信息流、多级别模型
关注数据的完整性
- 简单完整性 (不能向下读)
- 星完整性(不能向上写)
- 调用属性规则
主体不能调用/请求完整性级别更高的主体的服务
Clark-Wilson 模型
关注完整性
专注结构良好的事务处理(从一个一致状态转换为另一个一致状态的一系列操作)和职能划分,
访问客体只能通过接口进行访问
标准格式事务和职责分离
无干扰方式(onointerference)/Goguen-Meseguer
多级安全属性
处理隐蔽信道,分为:存储和计时
Brewer and Nash/Chinese wall模型
不能读取某个数据集的某个客体才能读另一个客体,防止访问有利益冲突的数据
基于先前的活动而动态改变的:数据隔离
安全控制和评估
安全需求
- 法规
- 威胁
- 风险评估
控制选择
ISO 27001->安全管理体系标准
ISO 27002 ->控制措施
安全能力
封闭/开放
内存保护
隔离、虚拟内存、分段、内存管理和保护环虚拟化
一个机器运行多个操作系统,管理技术:Type1 和 Type2可信平台模块
TPM -> 微控制器芯片
把硬盘从原始系统中拿走,则无法对其进行解密
硬件安全模块(HSM)
密钥保存智能卡
评估与缓解安全架构、设计和解决方案要素
系统评价方法
第1阶段-认证:
对 IT 系统以及为支持认可过程而制定的其他保护措施的技术和非技术安全功能的综合评估,从而确定特定设计和实施满足一组特定安全要求的程度
系统认证是对计算机系统各个部分的技术评估,以评估其与安全标准的一致性
评估所有控件,包括管理行的、技术性和物理性控制
验证过程与认证过程类似,因为它验证了安全控制。通过涉及第三方测试服务和得出广为信任的结果,验证可以进一步进行。通过鉴定环节表明管理层正式接受了该评估系统。
第2阶段-认可:
是管理层对系统整体安全和功能的充分性的正式认定.提交到管理层对报告进行决定是否可以接受。
邀请第三方来执行评价,批准印章(即系统符合所有基本标准)
鉴定是指定审批机构(DAA)正式声明:IT系统被批准在特定安全模式下使用规定的一套保障措施在可接受的风险水平下运行。
安全框架进行评估
TCSEC、ITSEC、CC
TCSEC(橘皮书)
授权用户无法受到约束
适用于不联网的独立系统
B类控制提供标签的
A类系统最高要求,处理绝密数据
红皮书
在网络环境中,阐述TCSEC,主要功能:保密性和完整性、拒绝服务问题
ITSEC
欧洲标准
ITSEC将评估中的系统称为评估目标(TOE)
解决了机密性、完整性、可用性
只需要对变更进行评估即可
CC
ISO 15408 信息安全技术安全评估标准
已经被CC验证过的系统,不需要重复验证
两个要素:保护范畴(Protection Profile,PP)和安全目标(Security Targets,ST)
PP->为要评估的产品指定安全要求和保护,客户想要的安全
ST->供应商在TOE内构建的安全声明 “我将提供的安全”声明
评估保证级别(Evaluation Assurance Level,EAL)
cc指南不包括现场评估,即人员、组织实践和过程或物理安全相关的控制,无电磁辐射,加密算法要求
ISO是全球标准制定组织,六个主要产品:国家标准、技术报告、技术规范、公开可用规范、技术勘误和指南
基于客户端和服务端系统
客户端:缺少安全认证机制
服务端:数据流控制方法
本地缓存:ARP(静态)、DNS、Internet文件缓存
数据库系统
主键、外键
行->基数,列->度
聚合->低等级事情汇集到一起
推理->可能是同级事情,推断出来的
SQLmap进行安全测试
分布式系统和端点安全
分布式系统是一个多台计算机共同完成任务的系统,主要问题:隐私问题、合规困难、开源与封闭式解决方案、开放标准的采用、云的数据是否切实地受到保护
虚拟机管理程序是创建、管理和操作虚拟机的虚拟化组件
虚拟机管理程序:
Type-I是原生或裸机管理程序。
Type-II是托管管理程序。
基础设施即服务(IaaS) 只有硬件无os等
平台即服务(PaaS) os层面
软件即服务(SaaS) 软件层面
私有云是企业内部网络中的云服务并与Internet隔离,仅内部使用
公有云是供公众访问的服务,通常通过Internet连接。
社区云是由一组用户或组织维护、使用和支付用于利益共享的云环境,例如协作和数据交换
云访问安全代理(Cloud Access Security Broker CASB)是一种实施安全策略的解决方案,云解决方案和客户组织之间实施适当的安全措施。
安全即服务(security as service,SECaaS)云提供商概念
网格计算是一种并行分布式处理形式,类似星型结构,存在中间节点故障,节点暴露等问题
对等网络(P2P)技术是网络和分布式应用程序解决方案,可在点对点共享任务和工作负载。主要问题:盗版、窃听、缺乏集中监管和过滤、带宽消耗
弹性是指虚拟化和云解决方案根据需要扩展或收缩的灵活性
快照是虚拟机备份,虚拟化不会降低os的安全,补丁需要
网格计算
一种并行分布式处理形式,最大的安全问题是每个工作包的内容可能会暴露给外界,不适用于私有、机密或专有数据
对等网络
对等网络(Peer to Peer,P2P)技术是网络和分布式应用解决方案。eg: VoIP、SKype、BitTorrent(用于数据/文件分发)和Spotify(用于流媒体音频/音乐分发)
P2P解决方案包括对盗版材料的感知诱导、窃听分布式内容的能力、缺乏集中控制/监督/管理/过滤以及服务消耗所有可用带宽的可能性
web系统的漏洞
SAML是一种基于XML的约定,用来组织和交换在安全域之间的用于认证与授权通信的详细信息,通常是web协议。基于web的sso(单点登录)方案
XSRF(Cross-site request forgery)跨站请求伪造 ->Zeus
CAPTCHA是一种区分人类和软件机器人的机制,另一种潜在的保护机制是向每个URL请求和会话建立添加随机化字符串(nonce)
嵌入式和物联网系统
嵌入式可能导致人员伤亡,保护的挑战是软件的安全性
物联网(IoT)->保护 身份验证、数据加密、数据/补丁更新,mirai病毒是IoT病毒的鼻祖
HVAC(Heating,Ventilation And Air Conditioning) 供暖、通风和空调管理
工业控制系统
工业控制系统(ICS)主要包括:可编程逻辑控制器(PLC)、分布式控制系统(DCS)、管理控制和数据采集(SCADA)
移动系统
应用安全方面的选项:密钥管理、地理位置标记、凭据管理、加密、身份认证、应用白名单,移动设备管理(MDM)
BODY(自带设备)数据所有权、隐私、入职/离职、法律问题、摄像头问题
虚拟桌面基础设施(VDI)是一种降低终端设备的安全风险和性能要求的方法
虚拟移动基础设施(VMI)是中央服务器上虚拟化
NFC(近场通信)和RFID(射频识别)
保护方案
- 网络分段
- 安全层
- 应用防火墙
- 手动更新
- 固件版本控制
- 包装器
- 监控
- 控制冗余和多样性
应用安全
- 密钥管理
- 凭据管理
- 身份验证
- 应用白名单
基本安全保护机制
- 技术机制
分层
抽象
数据隐藏
进程隔离
硬件分割 - 策略机制
最小特权
特权分离
问责制
常见的框架问题
隐蔽隧道->时间和存储
时间隐蔽通道 通过改变系统组件性能或以可预测的方式修改资源的时间来传达信息
存储隐蔽通道 将数据写入公共存储区域来传送信息,其中另一个进程可以读取它
维护陷阱/钩子
检验时间/使用时间(TOC/TOU)
增量攻击
-salami 非常小的位数进行攻击
电磁辐射->TEMPEST技术可防止EM辐射窃听,包括法拉第笼(外壳)、干扰或噪音发生器和控制区
物理安全
物理安全至关重要,是一切安全的基础
站点与设施设计的安全原则
关键路径分析:是一项系统性工作,用于找出关键应用、流程、运营以及所有必要支持元素间的关系
站点选择、可见度、自然灾害、设施设计(CPTED)、
CPTED:通过构建物理环境和周边设施,来降低甚至打消潜在入侵者的犯罪企图。
实现站点与设施安全控制 P321
控制的功能顺序:
威慑
阻挡
监测
延迟
SLA(Service-Level Agreement)
MTTF(Mean Time To Failure 平均故障时间)
MTTR(Mean Time To Repair 平均恢复时间)
MTBF(Mean Time Between Failures 平均故障间隔时间)
管理、技术与物理(现场)
- 管理类
设施建造与选择
站点管理
人员控制
安全意识培训
应急响应与流程 - 技术类物理安全控制
访问控制
入侵检测
警报
闭路电视监控系统(Closed-Circuit Television, CCTV)
监控
HVAC的电力供应
火警探测与消防 - 现场类
围栏
照明
门锁
建筑材料
捕人陷阱
警犬与警卫
配线间/中间布线设施
配线间通常位于不同楼层正对的上下方
普通铜芯双绞线线缆最长有效长度是100米
服务器/数据中心
智能卡
入侵检测
访问滥用->伪装,捎带(piggybacking)
发射安全->TEMPEST措施包括:法拉第笼、白噪音与控制区
介质存储设施
证据存储
受限区与工作区安全
墙与隔断->可防止无意的肩窥(shoulder surfing)或偷听行为
基础设施与HVAC
UPS
电力:
故障->瞬时断电
停电->完全失去电力供应
电压骤降(sag)->瞬时低电压
低电压(Brownout)->长时低电压
-
温度、湿度与静电
保持在华氏60~75(摄氏 15~23)
湿度 40%~60%