CISP—信息安全保障基础

0x00 前言

• CTF 加解密合集
• CTF Web合集
• 网络安全知识库
• 溯源相关
• CISP汇总

文中工具皆可关注 皓月当空w 公众号 发送关键字 工具 获取

0x01 信息安全概念

1.信息安全的定义

1.1 ISO 对安全的定义

为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然的活恶意的原因而收到破坏、更改、泄露。

1.2 狭义的安全

• 建立以IT技术为主的安全范畴

1.3 广义的安全

• 跨学科领域的安全问题
• 业务支撑
• 成本
  安全的根本目的是：保证组织业务可持续进行。（业务的可持续性）

1.4 安全理念

• 信息安全战略要服务与企业的业务战略（以业务为主）
• 信息安全管理是一个全生命周期管理
• 信息安全管理是一个整体管理过程，任何一个网络行为的参与者都是一个安全的主体，任何一个安全主体的失败都是整个安全的失败。
• 信息安全管理遵循成本效益原则
• 信息安全管理没有绝对安全，只有相对安全（或者说是动态安全）
• 信息安全管理是分级/分层实现的
• 信息安全管理遵循适度安全原则，安全是一种平衡
• 信息安全管理是一个动态管理的过程
• 三份靠技术，7分靠管理

1.5 信息安全问题的根源

• 内因：信息系统复杂性导致漏洞不可避免
• 外因：环境因素，人为因素

1.6 信息安全属性（CIA）

• 保密性
• 完整性
• 可用性

1.7 法律建设与标准化

适度安全：衡量成本

1.8 安全相关法律

• 网络安全法
• 数据安全法
• 个人信息保护法
• 关键信息基础设施保护条例
• 网络安全等级保护标准2.0

0x02 信息安全发展阶段

1.通信安全

• 传输过程加密

2. 计算机安全

• 数据处理&存储

3. 信息系统安全

关注信息系统整体安全

3.1 DIKW 数据模型

• Data
• information
• knowledge
• wisdom

3.2 安全措施

• 防火墙
• 防病毒
• 漏扫
• 入侵检测
• PKI（公钥基础设施）
• VPN

3.3 信息安全保障

美国

• 1996，DoDD（美国国防部）实现全面安全
• 国家网络安全组织倡议—>美国文件 （CNCI）
• CNCI 3道防线，12个任务

中国

• 2016年12月27日 我国发布了国家网络安全空间战略，网络安全主权成为国家安全的重要组成部分。

• 从2001年正式启动网络安全保证

• 2003年 27号文

  • 总体要求：积极防御，综合防范
  • 主要原则：技术与管理并重，正确处理安全与发展的关系

0x03 网络空间

• Cyberspace

1.核心思想

1.1 强调威慑

• 能力
• 决心
• 信服力

2.国内

将防御、威慑和利用结合成为三位一体的网络空间安全保障

3.物联网架构

• 感知
• 传输
• 支撑
• 应用

0x04 信息安全保障框架

1.PDR

• Protection 防护
• Deraction 检测
• Response 响应

1.1 思想

• 承认漏洞
• 正视威胁
• 采取适度防护，加强检测工作
• 落实响应
• 建立对威胁的防护

1.2 出发点

基于时间的可证明的安全模型

2.PPDR

• Policy

1.1 核心思想

所有的防护、检测、响应都是依据安全策略实施，强调动态

3.IATF

NSA 美国国家安全局，IATF没有成为国际标准

3.1 核心思想

纵深防御，多防线防护

3.2 三要素

• 人员：人是第一位的要素，也是最脆弱的
• 技术：实现信息保障的重要手段
  • 防护
  • 检测
  • 响应
  • 恢复
• 操作：主动的防御

3.3 四个焦点领域

• 保护网络和基础设施，三元
  • 进入
  • 离开
  • 驻留
• 保护区域边界
  • 区域边界：区域设备和其他网络设备的接入点
• 保护计算环境
  • 目标：网络和支持它的基础设施
• 支撑性的基础设施

4.安全原则与特点

4.1 安全原则

• 保护多个位置
• 分层防护
• 安全强健性

5.安全保障评估框架

5.1 信息系统

• 采集
• 处理
• 存储
• 传输
• 分发
• 部署

5.2 信息安全保障

通过信息系统的风险分析，制定安全策略，从技术、管理、工程和人员等方面提出信息安全保障，确保信息系统的保密性、完整性、可用性，将风险降低到可接受的程度。

5.3 概念和关系

• 客观证据
• 安全保障工作
• 信息系统
• 生命周期

5.4 ISPP 信息系统保护轮廓

相当于是一个保护环境

5.5 ISST 信息系统安全目标

系统的具体安全要求

6.评估模型

7.安全保障的解决方案

• 以风险评估和法规要求得出的安全需求为依据

可实施性

• 成本
• 进度
• 技术可实现
• 文件和管理的可接受性

8.安全架构

• SABSA
• Zachman
• TOGAF

8.1 SABSA

分层结构，六个层级

• 从安全角度定义业务需求
• 抽象逐层减少，细节增加
• 安全链条

生命周期：

• 战略规划
• 设计
  • 逻辑设计
  • 物理设计
  • 组件设计
  • 服务管理设计
• 实施
• 管理与衡量

other

欢迎大家关注我朋友的公众号 皓月当空w 分享漏洞情报以及各种学习资源，技能树，面试题等。

以上