CISSP-OSG-每章小结梳理

CISSP-OSG-每章小结

第1章. 实现安全治理的原则和策略

安全治理、安全管理和安全原则是安全策略和解决方案部署中的核心内容。它们定义了安全环境所需的基本参数及安全策略设计人员和系统实施人员为创建安全的解决方案必须实现的目标和宗旨。

安全的宗旨包含在CIA 三元组中：保密性、完整性和可用性。这三项原则被认为是安全领域最重要的原则。它们对组织的重要性取决于组织的安全目标和需求以及环境中安全受到的威胁程度。

CIA 三元组的第一个原则是保密性，即不向未经授权的主体泄露客体信息。安全机制提供了保密性，即对防御未经授权的主体访问数据、客体或资源提供了高度保障。如果存在对保密性的威胁，就可能发生未经授权的泄露。

CIA 三元组的第二个原则是完整性，即客体保持真实性且只被授权的主体进行有目的的修改。如果安全机制提供了完整性，那么它就高度保证数据、客体和资源不会由最初的受保护状态转变到非保护状态。客体在存储、传输或过程中都不应遭受未经授权的更改。因此，保持完整性意味着客体本身不被未经授权地更改，且管理和操作客体的操作系统和程序实体不受破坏。

CIA 三元组的第三个原则是可用性，这意味着授权主体被授予了实时与不间断地访问客体的权限。安全机制提供了可用性，即提供了对数据、客体和资源可被授权主体访问的高度保障。

可用性包括对客体的有效待续访问及抵御拒绝服务(DoS)攻击。可用性还意味着支撑性基础设施是可用的，并允许授权用户获得授权的访问。

在设计安全策略和部署安全解决方案时应该考虑和处理的其他与安全相关的概念和原则是隐私、标识、身份验证、授权、问责制、不可否认性和审计。

安全解决方案概念和原则的另一块内容是保护机制：分层、抽象、数据隐藏和加密。保护机制是安全控制的共同特征。并不是所有的安全控制都必须具有这些机制，但是许多保护控制通过使用这些机制提供了保密性、完整性和可用性。

安全角色决定谁对组织资产的安全负责。担任高级管理者角色的人员对任何资产损失负有最终的职责和义务，并定义安全策略。安全专业人员负责实现安全策略，用户负责遵守安全策略。担任数据所有者角色的人员负责对信息进行分类，数据托管员负责维护安全环境和备份数据。审计人员负责确认安全环境是否恰当地保护资产。

规范化的安全策略结构由策略、标准／基线、指南和程序组成。这些独立文档是任何环境中安全设计和实现安全的基本元素。

变更控制或变更管理是安全管理的另一项重要内容。安全环境的变更可能引入漏洞、重叠、客体丢失和疏忽，进而导致出现新的脆弱性。不过，可通过系统的变更管理来维护安全。这通常涉及与安全控制和安全机制相关的活动，包括广泛的计划、测试、日志记录、审计和监控。然后对环境变化进行记录来识别变更发起者，无论变更发起者是客体、主体、程序、通信路径还是网络本身。

数据分类是基于数据的保密性、敏感性或秘密性需求而对其进行保护的主要手段。在设计和实现安全系统时，以相同的方式处理所有数据是低效的，因为有些数据项比其他数据项需要更高的安全性。用低级别安全保护所有内容意味着敏感数据很容易被访问。用高级别安全保护所有内容又过于昂贵，并且限制了对未分类的、非关键数据的访问。数据分类用于确定为保护数据和控制对数据的访问而分配多少精力、金钱和资源。

安全管理计划的一个重要方面是正确实施安全策略。为保证效果，安全管理必须采用自上而下方法，上层或高级管理者负责启动和定义组织的策略。安全策略为组织架构内的较低级别提供指导。中层管理人员负责将安全策略落实到标准、基线、指南和程序。操作管理人员或安全专业人员实现安全管理文档中规定的配置。最后，最终用户遵守组织的所有安全策略。

安全管理计划包括定义安全角色、制定安全策略、执行风险分析以及要求员工接受安全教育。这些职责以制定的管理计划为指导。安全管理团队应制定战略计划、战术计划和操作计划。

威胁建模是识别、分类和分析潜在威胁的安全过程。威胁建模可当作设计和开发期间的一种主动措施被执行，也可作为产品部署后的一种被动措施被执行。这两种情况下，威胁建模过程都识别了潜在危害、发生的可能性、关注的优先级以及消除（或减少）威胁的手段。

将基于风险的管理理念应用到供应链是一种确保安全策略更加可靠与成功的手段，适合在所有规模的组织中运用。如果在没有考虑安全性的情况下进行收购和兼并，那么所收购产品的固有风险将在整个部署生命周期中一直存在。

第2章. 人员安全和风险管理的概念

在规划安全解决方案时，重要的是要考虑到这样一个事实，即人通常是组织安全中最薄弱的环节。无论部署了什么物理的或逻辑的控制措施，人都可以找到方法来规避、绕过或消除它们，或使控制措施失效。因此，为环境设计和部署安全解决方案时，必须将用户的因素考虑进去。安全的招聘实践、角色、策略、标准、指南、程序、风险管理、意识培训和管理计划都有助于保护资产。使用这些安全结构能在一定程度上防止人为威胁。

安全的招聘实践需要详细的职责描述。职责描述可作为选择候选人和评估他们是否符合职位的指南。可通过在职责描述中使用职责分离、工作责任和岗位轮换来维护安全。

为保护组织和现有的员工，需要有解雇策略。

解雇程序应包括有证人在场、归还公司财产、禁止网络访问、离职面谈和由人员护送离开公司。

第三方治理是可能由法律、法规、行业标准、合同义务或许可要求强制规定的监督制度。

实际的冶理方法可能有所不同，但通常包括外部调查员或审计人员。这些审计人员可能由监管机构指定，也可能是目标组织雇用的顾问。

识别、评估和阻止或减轻风险的过程称为风险管理。风险管理的主要目标是将风险降低到可接受的水平。可接受水平的确定取决于组织、资产价值和预算规模。设计和实施一个完全没有风险的环境是不可能的，但通过较少努力就显著降低风险却是可能的。风险分析是实现风险管理目标的过程，包括分析环境中存在的风险，评估每个风险发生的可能性和造成的损失，评估应对每个风险的各种控制措施的成本，创建防护措施成本／收益报告并提交给高层管理人员。

为成功实施安全解决方案，必须改变用户行为。这些改变包括改变常规工作活动乃至遵守安全策略中规定的标准、指南和程序。行为的改变包括用户完成一定层次的学习。常见有三种公认的学习层次：安全意识、培训和教育。

第3章. 业务连续性计划

每个依靠技术资源维待生存的组织都应制定全面的业务连续性计划，以确保在意外紧急情况下组织的持续运营。有许多重要概念构成了可靠的业务连续性计划实践的基础，包括项目范围和计划、业务影响评估、连续性计划以及计划批准和实施。

每个组织都必须制定计划和程序，以减轻灾难对持续运营的影响，并加快恢复正常运营。要确定业务面临的风险以及需要缓解的风险，必须与其他职能团队合作，从定性和定量两个角度进行业务影响评估。必须采取适当步骤为组织开发连续性战略，并知道如何应对未来的灾难。

最后，必须创建所需的文档，以确保计划有效传达给现在和未来的BCP 团队成员。此类文档应该包括连续性计划指南。业务连续性计划还必须包含对重要性、优先级、组织职责、紧急程度和时限的声明。此外，该文档还应包括风险评估、风险接受和缓解计划，包括重要记录程序、应急响应指南以及维护与测试计划。

第18 章将讨论如何制定下一步计划：开发和实施灾难恢复计划；其中包括使业务在灾难发生后保持运营所需的技术性控制措施。

第4章. 法律法规和合规

计算机安全必然需要法律团体的高度参与。在本章中，你了解了管理安全问题的法律，如计算机犯罪、知识产权、数据隐私和软件许可。

影响信息安全专业人士的法律主要有三类。刑法概述了严重侵犯公共信任的规则和制裁。民法为我们提供了进行商业处理的框架。政府机构利用行政法来颁布解释现行法律的日常法规。

管理信息安全活动的法律多种多样，覆盖了三种法律类别。有些是刑法，如《电子通信隐私法案》和《数字千年版权法》，违法行为可能导致刑事罚款和／或监禁。其他法律（如商标和专利法）是管理商业交易的民法。最后，许多政府机构颁布了影响特定行业和数据类型的行政法，如HIPAA 安全规则。

信息安全专业人员应该了解其行业和业务活动的合规要求。跟踪这些要求是一项复杂任务，应分配给一个或多个合规专家，他们会监控法律的变化、业务环境的变化以及这两个领域的交叉点。

仅担心自己的安全性和合规性是不够的。随着越来越多地采用云计算，许多组织现在与云供应商共享敏感信息和个人数据。安全专业人员必须采取步骤，确保供应商与组织自身一样慎重处理数据，并满足任何适用的合规性要求。

第5章. 保护资产安全

资产安全侧重于收集、处理信息和在信息的整个生命周期内对信息进行保护。它包括在计算系统上存储或处理的或通过网络传输的敏感信息的安全，以及在这些过程中使用的资产的安全。敏感信息就是组织需要保密的任何信息，它分为几种处于不同等级的类别。

资产安全化过程中的关键步骤是在安全策略或数据策略中定义分类标签。政府使用诸如绝密、秘密、机密和未分类等标签，非政府组织可以使用他们选择的任何标签，关键是要在安全策略或数据策略中定义标签。数据所有者（通常是高级管理人员）提供数据的定义。

组织采取具体步骤来标记、处理、存储和销毁敏感信息和硬件资产，这些步骤有助于防止因未经授权的泄露而导致的保密性丢失。此外，组织通常会制定特定的规则保留数据以确保在需要时可使用这些数据。此外，数据保留策略还可减少因长时间保存数据而带来的开销。

加密是保护数据保密性的主要方法。对称加密协议（如AES)可加密静态数据（存储在介质上）。传输加密协议通过在传输数据之前对其进行加密来保护传输中的数据。应用程序通过确保其正在使用的数据仅保存在临时存储缓冲区中来保证这些数据的安全性，并当应用程序不再使用这些数据时清除临时缓冲区。

处理数据时，各个部分扮演不同角色。数据所有者最终负责对数据进行分类、标记和保护。

系统所有者负责管理处理数据的系统。业务／任务所有者控制数据处理流程并确保系统能为组织创造价值。数据使用者通常是为组织处理数据的第三方实体。管理员根据数据所有者提供的准则授予对数据的访问权限。托管员负责日常数据的正确存储并保护数据。用户（常称为最终用户）访问系统中的数据。

欧盟通用数据保护条例(GDPR)要求保护隐私数据并限制数据传入或传出欧盟。数据控制者可雇用“第三方”来处理数据，在这种情况下“第三方”被称为数据使用者。数据使用者有责任保护数据的隐私，不得将数据用于除数据控制者指示外的其他任何目的。GDPR 中提到的两个主要安全控制措施是加密和假名。假名指用假的名称代替原始数据的名称。

安全基线提供一组安全控制措施，组织可将其作为安全基点。一些出版物（如NIST SP800-53)确定了安全控制基线。但这些基线并非适用于所有组织。取而代之的是，组织使用范围界定和按需定制技术来确定其安全基线应该包含哪些安全控制措施。

第6章. 密码学和对称秘钥算法

密码学家与密码分析者处于一场永不休止的竞赛之中，一方要开发更安全的密码系统，另一方则要设计出更先进的密码分析技术击败这些系统。

密码学最早可以追溯到古罗马凯撒时代，几千年来，密码学始终都是一个不断发展的研究课题。在本章，你学习了密码学领域的一些基本概念，基本掌握了密码学家常用的术语，同时了解了密码学早期使用的一些历史代码和密码。

本章还阐述了对称密钥加密法（通信参与方使用同一个密钥）和非对称密钥加密法（每个通信方都拥有一对公钥和私钥）之间的异同。

接下来分析了当前可供使用的一些对称算法以及它们的长处和短处。最后讨论了密码生命周期问题以及算法／协议管治在企业安全中扮演的角色。

下一章将延伸本章的论述，涵盖当代公钥密码算法。此外，下一章还将探讨用来击败两类密码系统的一些常用密码分析技术。

第7章. PKI和密码应用

非对称密钥加密法（或公钥加密）提供了一种极其灵活的基础设施，可为发起通信之前并不一定彼此相识的各方之间进行简单、安全通信带来极大方便。它还提供了消息数字签名框架，可确保消息的不可否认性和完整性。

本章探讨了公钥加密，这种方法为大量用户提供了一种可伸缩的密码架构。我们还描述了一些流行的密码算法，例如链路加密和端到端加密。最后介绍公钥基础设施，它通过发证机构(CA)生成数字证书，内含系统用户的公钥以及数字签名，而数字证书所依靠的是公钥加密法与散列函数的结合使用。

我们还介绍了密码技术在解决日常问题方面的一些常见应用情况。你学习了密码可以怎样用来保护电子邮件（通过PGP 和S/MIME)、Web 通信（通过SSL 和TLS) 、对等和网关到网关联网（通过IPsec 和ISAKMP) 以及无线通信（通过WPA 和WPA2) 。

最后，我们讨论了心怀歹意之人用来干扰或拦截两方之间加密通信的几种比较常见的攻击手段其中包括密码分析攻击、重放攻击、蛮力攻击、已知明文攻击、选择明文攻击、选择密文攻击、中间相遇攻击、中间人攻击和生日攻击。你若想挫败这些攻击，提供适当安全保护，你就要对它们了如指掌。

第8章. 安全模型设计和能力的原则

安全系统不是组装起来即可奏效，它们需要通过设计才能支待安全性。必须确保安全的系统根据其支待和实施安全策略的能力来判断是否安全。认证是对计算机系统的有效性进行评估的过程。认证过程是对系统实现其设计目标的能力的技术评估。一旦系统满意地通过了技术评估，组织的管理层就开始正式地接受系统。正式的接受过程就是鉴定。

整个认证和鉴定过程取决于标准评估准则。其中有几个标准是用来评估计算机安全系统的。

最早的TCSEC 是由美国国防部开发的。TCSEC 也称为橘皮书，提供了评估系统安全组件的功能和保证的准则。ITSEC 是TCSEC 指南的替代品，主要在欧洲国家使用。2005 年， TCSEC 被通用准则(CC)取代。无论你使用哪个标准，评估过程都要包括检查每个安全控制是否符合安全策略。系统强制执行“主体以良好行为访问客体＂的策略越好，安全级别就越高。

在设计安全系统时，创建安全模型通常会很有帮助，安全模型表明了系统用来实施安全策略的方法。本章讨论了几种安全模型。Bell-LaPadula 模型仅支持数据保密性。它专为军方设计，满足军事需求。Biba 模型和Clark-Wilson 模型解决了数据的完整性问题，并以各种不同的方式实现。在为商业应用程序设计安全基础架构时，这些模型通常作为基础的一部分。

对所有这一切的理解最终必须形成一个由预防、检测和纠正控制构成的有效的系统安全实现。这就是为什么必须还要知道访问控制模型及其功能的原因。这些模型包括状态机模型、Bell-LaPadula 模型Biba 模型、Clark-Wilson 模型、信息流模型、非干扰模型、Take-Grant 模型、访问控制矩阵模型以及Brewer and Nash 模型。

第9章. 安全漏洞威胁和对策

设计安全计算系统是一项复杂的任务，许多安全工程师把他们的全部职业生涯都献给了理解信息系统的最深层的工作并确保支待在当前环境中安全运行所需的核心安全功能。许多安全专业人员不一定需要对这些原则有深入的了解，但他们至少应该对这些基本原理有宽泛的理解，以推动增强组织内部安全性的过程。

这种理解始于对硬件、软件和固件的调查以及这些部分如何融入安全难题中。了解通用的计算机和网络组织、体系结构和设计的原理非常重要，包括寻址（物理的和符号的）、地址空间和内存空间之间的区别以及机器类型（真实、虚拟、多状态、多任务、多程序、多处理、多处理器和多用户）。

此外，安全专业人员必须充分了解运行状态（单一状态、多状态），操作模式（用户模式、监管模式、特权模式），存储类型（主存储、辅助存储、真实存储器、虚拟存储器、易失性存储器、非易失性存储器、随机存取、顺序存取）和保护机制（分层、抽象、数据隐藏、进程隔离、硬件分隔、最小特权原则、特权分离、问责制）。

无论一个安全模型多么复杂，都会存在攻击者可以利用的漏洞。有些缺陷，如缓冲区溢出和维护钩子，是由程序员引入的，而另外一些缺陷，如隐蔽通道，则是架构设计问题。重要的是要了解这些问题的影响，并在适当的时候修改安全体系结构以进行弥补。

第10章.物理安全要求

如果没有对物理环境的控制，采用再多的管理类或技术类／逻辑访问控制都徒劳无功。如果恶意的攻击者能够进入设施、接触设备，那么他可以为所欲为。

实现与维护物理安全有几个重要元素。其中的一个核心元素是选择或设计存放IT 基础设施、充当组织运营场所的建筑。首先要制定计划，列出组织的安全需求，强调实现这些安全需求的方法与机制。计划的制定要通过关键路径分析过程来完成。

用于管理物理安全的安全技术可以分为三大类：管理的、技术的和现场的。管理类物理安全控制包括设施建造与选择、场站管理、人员控制、意识培训以及应急响应及程序。技术类物理安全控制包括访问控制、入侵检测、警报、CCTV、监视、HVAC 、电力供应以及火灾探测与消防。物理安全的现场控制包括围栏、照明、门锁、建筑材料、捕人陷阱、警犬与警卫。

现有很多种类的物理访问技术，主要用于控制、监视以及管理对于设施的访问。功能覆盖从威慑到监测各个级别。例如围栏、门、旋转门、捕人陷阱、照明、安全保安、警犬、钥匙锁、密码锁、胸卡、动作探测器、传感器及警报。技术类控制经常作为访问控制手段来管理物理访问，主要包括智能卡／哑卡和生物鉴别技术。除访问控制以外，物理安全机制的形式还包括审计踪迹、访问日志与入侵检测系统。

配线间与服务器机房是需要保护的重要基础设施。经常用于放置核心网络设备及其他敏感设备。保护的手段包括各类门锁、监控、访问控制及常规的安全检查。

介质存储安全应具备存储库检出系统、上锁的柜子或保险箱以及可重用介质的净化措施。

物理访问控制及设施安全保护的一个重要方面，是保护环境的基本要素及人身安全。在任何情况及任何条件下，安全的首要目标是保护人。防止伤害是所有安全工作最核心的目标。此外，提供清洁的电源、管理环境也很重要。

火灾的探测与消防也不能忽视。在设计火灾探测与消防系统时，除了保护人的安全，还应将由火、烟雾、高温以及灭火剂造成的损失降到最小，尤其是重点保护IT 基础设施。

人的安全永远是第一位的。只有人员安全了才能考虑业务连续性问题。

第11章.安全网络架构和保护网络组件

在网络上设计、部署和维护安全性需要对网络涉及的技术有深入了解。这包括协议、服务、通信机制、拓扑、布线、端点和网络设备。

OSI 模型是评估所有协议的标准。了解OSI 模型的使用方式以及它如何应用于实际协议可以帮助系统设计人员和系统管理员提升安全知识。TCP/IP 模型直接从协议派生，并大致映射到OSI 模型。

大多数网络使用TCP/IP 作为主要协议。但是，可在TCP/IP 网络中找到许多子协议、支持协议、服务和安全机制。在设计和部署安全网络时，对这些不同实体的基本了解会很有帮助。

除路由器、集线器、交换机、中继器、网关和代理外，防火墙也是网络安全的重要组成部分。防火墙有几种类型：静态数据包过滤、应用级网关、电路级网关、状态检查、深度数据包包检测和下一代防火墙。

融合协议在现代网络中很常见，包括FCoE 、MPLS 、VoIP 和iSCSI。软件定义网络和内容分发网络扩展了网络的定义，并扩展了它的用例。可使用各种硬件组件来构建网络，其中最重要的是用于将所有设备连接在一起的布线。了解每种布线类型的优缺点是设计安全网络的一部分。

无线通信以多种形式发生，包括手机、蓝牙(802.15) 、RFID 、NFC 和网络(802.11）。无线通信更容易受到干扰、窃听、拒绝服务和中间人攻击。

最常见的LAN 技术是以太网。还有几种常见的网络拓扑：环形、总线、星形和网状。

第12章.安全通信与网络攻击

远程访问安全管理要求安全系统设计者按照安全策略、工作任务以及加密技术的要求，来考虑硬件及软件的使用。这也包括安全通信协议的使用。本地及远程连接的安全身份验证，是总体安全的非常重要的一个基础要素。

保持对通信路径的控制是确保网络、语音及其他形式通信的保密性、完整性及可用性的基础。大量攻击行为的目标是拦截、阻止或干扰数据的传输。幸运的是，也有相应的反制措施能够降低甚至消除很多这样的威胁。

隧道（或封装）是一种手段，就是将一种协议中的消息，用第二种协议在另外的网络或通信系统上进行传输。隧道技术能与加密技术结合使用，为传输的消息提供安全保护。VPN 就基于加密的隧道。

VLAN 是一种硬件支持的，在交换机中进行网络分段的技术。VLAN 用于在网络中进行逻辑分段，而不必改变物理网络拓扑。VLAN 还可用于流量管理。

远程办公（或远程连接）已成为商业计算的一个普遍特征。在任何环境部署远程访问能力时，必须重视并解决安全问题，以保护办公网络不因远程访问而出现安全问题。远程访问应该通过严格的身份验证后，才能获得访问权；身份验证方法有RADIUS 或TACACS+。远程访问服务包括Voice over IP(VoIP) 、应用流、VDI、多媒体合作与即时通信等。

NAT 在隐藏专用网络内部结构的同时，还能保证内部的多名用户可通过较少的公网IP 地址访问互联网。NAT 经常是边界安全设备的本地功能之一，如防火墙、路由器、网关及代理服务器。

在电路交换中，两个通信实体间建立专用的网络路径。分组交换中，消息或通信内容分为较小的分段（通常是固定长度，这取决于使用的协议与技术），再经过中间网络传送到目的地。

分组交换系统中有两种类型的通信：路径与虚电路。虚电路是分组交换网络中，两个特定端点间建立的逻辑路径或电路。虚电路的类型有两种：永久虚电路(PVC)与交换式虚电路(SVC) 。

WAN 链路（或长距离连接技术）可分为两大类：专线与非专用线路。专线连接的是两个特定端点并且也只有这两个端点。非专用线路则在需要数据传输时才建立连接。使用非专用线路的远程系统间可以建立连接。WAN 连接技术包括X.25 、帧中继、ATM 、SMDS 、SDLC 、HDLC 、SDH 、SONET 。

当需要为网络通信选择或部署安全控制时，应根据情况、能力及安全策略，对大量安全特性进行评估。安全控制应对用户透明。使用Hash 值及CRC 校验和来验证消息的完整性。记录序列用于确保传输的顺序完整。传输日志有助于检测通信滥用行为。

虚拟化技术用于在单个主机的内存中建立一个或多个操作系统。该技术支持在任何硬件上虚拟安装任何OS 。同样也支持在相同的硬件上，同时运行多个操作系统。虚拟化带来诸多好处，例如，能够根据需要启动单个服务器或服务，实时的可扩展性，以及根据应用需要运行合适的OS 版本。

基于互联网的邮件系统是不安全的，需要采取一些步骤来保证其安全。确保邮件安全，要提供不可否认、限制对授权用户的访问、确保完整性、验证消息源、验证传送过程，甚至需要对敏感内容进行分级。这些问题必须在安全策略中得到明确，并在现实中进行落实。常采用一些折中的使用策略、访问控制、隐私声明、邮件管理程序以及备份和保留策略。

邮件也是恶意代码的常见传播方式。过滤附件、使用杀毒软件、对用户进行培训都是抵御邮件攻击的有效方法。邮件垃圾与邮件洪水是一种形式的拒绝服务，通过过滤器及IDS 能够进行阻止。使用S/MIME 、MOSS 、PEM 及PGP 技术能提高邮件安全。

使用加密技术保护传输文档安全及防窃听，能够提高传真及语音的安全。对用户进行有效的培训是抵御社会工程的良策。

安全边界可以是不同安全区间的分界线，也可以是安全区与非安全区间分界线。这都需要在安全策略中得到明确。

通信系统易于受到多种攻击的威胁，这些攻击包括分布式拒绝服务、窃听、假冒、重放、修改、欺骗、ARP 攻击和DNS 攻击。幸运的是，有矛就有盾，每种攻击也存在相应的防范措施。PBX 欺骗与滥用以及电话飞客也是必须解决的安全问题。

第13章.管理身份和身份验证

CISSP 知识体系的第5 个域是“身份和访问管理”(IAM)。它涵盖授予或限制资产访问的管理、行政和实施方面。资产包括信息、系统、设备、设施和人员。访问控制根据主体和客体之间的关系限制访问。主体是活动实体（例如用户），客体是被动实体（例如文件）。

三种主要类型的访问控制是预防性、检测性和纠正性。预防性访问控制尝试在事件发生之前进行预防。检测访问控制尝试在事件发生后检测事件。纠正访问控制尝试在检测到事件后纠正问题。

控制通过管理、逻辑和物理手段实现。行政控制也称为管理控制，包括策略和程序。逻辑控制也称为技术控制，并通过技术实现。物理控制使用物理手段来保护客体。

四个主要访问控制元素是身份识别、身份验证、授权和问责。主体（用户）声明身份，例如用户名，并使用诸如密码的身份验证机制来证明身份。对主体进行身份验证后，授权机制会控制其访问权限，审计踪迹记录其活动，以便主体对其操作负责。

身份验证的三个主要因素是你知道什么（例如密码或PIN) ，你拥有什么（例如智能卡或令牌），以及你是谁（通过生物识别技术识别）。多因素身份验证使用多个身份验证因素，比使用任何单一身份验证因素更强大。

单点登录允许用户进行一次身份验证并访问网络中的任何资源，而不必再次进行身份验证。

Kerberos 是一种流行的单点登录身份验证协议，使用票据进行身份验证。Kerberos 使用主体数据库、对称加密和系统时间同步来发布票据。

联合身份管理是一种单点登录解决方案，可扩展到单个组织之外。多个组织创建或加入并同意在组织之间共享身份的方法。用户可在其组织内进行身份验证，不必再次进行身份验证即可访问其他组织的资源。SAML 是用于互联网上的SSO 的通用协议。

AAA 协议提供身份验证、授权和问责。流行的AAA 协议是RADIUS 、TACACS＋和Diameter。

身份和访问配置生命周期包括创建、管理和删除主体使用的账户的过程。访问配置(provisioning)包括创建账户的初始步骤，并确保为其授予对客体的适当访问权限。随着用户工作的变化，他们通常需要更改初始访问权限。账户审核流程确保账户修改遵循最小特权原则。当员工离开组织时，应尽快禁用账户，然后在不再需要时删除账户。

第14章.控制和监控访问

本章介绍许多与访问控制模型相关的概念。权限是指为对象授予的访问权限，并确定用户（主体）可对该客体执行的操作。权利主要是指对某个客体采取行动的能力。特权包括权利和权限。隐式拒绝确保拒绝访问客体，除非已明确授予主体访问权限。

访问控制矩阵是一个以客体为中心的表，包括客体、主体和分配给主体的权限。表中的每一行代表单个客体的ACL。 ACL 以客体为中心，并识别授予主体对任何特定客体的访问权限。能力表以主体为目标，并识别主体可访问的客体。

约束接口限制用户可根据其权限执行或查看的内容。依赖内容的控制基于客体内的内容限制访问。依赖于上下文的控制在授予用户访问权限之前需要特定的活动。

最小特权原则确保主体仅被授予执行其工作任务和工作职能所需的特权。职责分离通过确保将敏感职能分解为由两个或更多员工执行的任务来防止欺诈。

书面安全策略定义组织的安全要求，安全控制实施和执行安全策略。纵深防御策略在多个级别上实施安全控制以保护资产。

使用自主访问控制，所有客体都有所有者，并且所有者可完全控制客体。管理员集中管理非自主访问控制。基于角色的访问控制通常使用与组织层次结构匹配的角色或组。管理员将用户置于角色中，并根据工作或任务为角色分配权限。基于规则的访问控制使用适用于所有主体的全局规则。强制访问控制要求所有客体都有标签，访问权限基于主体拥有匹配的标签。

在评估访问控制攻击的潜在损失时，了解基本风险要素非常重要。风险是威胁可利用漏洞导致损失的可能性。资产评估确定资产的价值，威胁建模识别潜在威胁，漏洞分析识别漏洞。这些都是在实施控制以防止访问控制攻击时要理解的重要概念。

常见的访问控制攻击试图绕过身份验证机制。访问聚合是收集和聚合非敏感信息以尝试推断敏感信息的行为。

密码是一种常见的身份验证机制，有几种类型的攻击试图破解密码。密码攻击包括字典攻击、暴力攻击、生日攻击、彩虹表攻击和嗅探器攻击。侧信道攻击是对智能卡的被动攻击。

第15章.安全评估和测试

为确保组织安全控制措施在一段时间内保待有效，安全评估和测试方案在这方面起着至关重要的作用。这些控制措施可保护信息资产的保密性、完整性和可用性，不过，业务运营、技术环境、安全风险和用户行为的变化，都可能改变安全控制的有效性。安全评估和测试方案监控这些控制措施，并强调需要管理人员干预的变更。安全专业人员应仔细设计评估和测试方案，并在业务需求发生变化时对其进行修订。安全测试技术包括漏洞评估和软件测试。通过漏洞评估，安全专业人员执行各种测试，从而识别系统及应用程序的错误配置和其他安全缺陷。网络发现扫描通过探测开放端口来识别网络上运行的系统。网络漏洞扫描检测这些系统是否存在已知安全缺陷。Web 漏洞扫描探测Web应用程序的运行，检测是否存在已知漏洞。

因为软件处理敏感信息，并与关键资源进行交互，所以软件在所有安全体系结构中扮演关键角色。组织应该引入代码审查流程，从而在部署到生产环境之前对代码进行同行评审。严格的软件测试方案还包括静态测试、动态测试、接口测试和误用例测试，从而全面地评估软件 。

安全管理过程包括日志审查、账户管理、备份验证以及跟踪关键绩效和风险指标。安全管理人员运用这些流程来验证信息安全方案是否待续有效。这些流程可由不太频繁的正式内部审计和第三方执行的外部审计进行补充。

第16章.安全运营管理

几项基本的安全原则是所有环境下安全运营的核心。这些基本原则包括知其所需、最小特权、职责分离、岗位轮换和强制休假。这些基本原则相结合运用，有助于防止安全事件发生，并限制发生事件的影响范围。遵循这些安全原则，管理员和运维人员需要特定权限才能执行其工作。除了实施这些原则外，监控特权活动确保特权实体不会滥用其访问权限，这点也非常重要。

通过资源保护，介质及承载数据的其他资产在整个生命周期内受到保护。介质涵盖存储数据的任何设备，如磁带、内置存储器、便携式存储器(USB 、FireWire 和eSATA) 、CD 、DVD 、移动设备、存储卡和打印资料。采用组织可接受的方法，对存储敏感数据的介质进行标记、处理保管和销毁。资产管理从介质扩展到任何对组织有价值的资产--物理资产（如计算机）和购买的应用程序和软件密钥等软件资产。

虚拟资产包括虚拟机、虚拟桌面架构(Virtual Desktop Infrastructure, VDI)、软件定义网络(Software Defmed Network, SDN)和虚拟存储区域网络(Virtual Storage Area Network, VSAN)。虚拟机管理程序是管理虚拟组件的软件组件。因为虚拟机管理程序会增加额外的攻击面，所以虚拟机管理程序需要部署在安全环境下，并更新至最新补丁，这么做非常重要。此外，每个虚拟组件都需要独立更新。

云资产包括云中存储的所有资源。与云服务供应商谈判时，必须明白哪方负责维护和安全。

一般而言，云服务供应商对软件即服务（SaaS)资源负的责任最大，对平台即服务(PaaS)产品负的责任相对较小，对基础架构即服务(laaS)产品负的责任最小。在购买基于云的服务时，许多组织会使用服务水平协议(SLA) 。SLA 规定了性能期望，如果供应商不能满足期望， SLA 通常还包括处罚条款。

变更和配置管理是另外两个有助于减少业务中断的控制措施。配置管理确保系统以已知安全的和一致的方式部署。镜像是一种常见的配置管理技术，确保系统以已知基线启动。变更管理有助于减少因未授权变更导致的慈外中断，还可以预防变更降低系统的安全性。

补丁和漏洞管理流程协同工作，保护系统免受已知漏洞的影响。补丁管理保证系统已安装相关的最新补丁。漏洞管理不仅包括漏洞扫描来检查各种已知漏洞（包括未修补的系统），还涵盖漏洞评估。其中，漏洞评估是风险评估的一部分。

第17章.事件的预防和响应

CISSP 的“安全运营”域就如何响应事件列出7 个具体步骤。检测是第一步，可由自自动化工具执行，也可通过员工观察实现。安全人员就警报开展调查，以确定是否真有事件发生，如果确实发生了事件，下一步是做出响应。在抑制阶段，把事件遏制在一定范围之内是重要的一环。而在事件响应的所有阶段，把所有证据都保护起来也同样重要。安全人员可能需要根据相关法律或机构安全策略上报事件。在恢复阶段，系统将恢复完全运行，重要的是确保系统至少恢复到与受攻击之前一样的安全状态。补救阶段包括进行一次根本原因分析，往往还会提出如何防止事件再次发生的建议。最后，总结教训阶段回顾事件发生和响应的整个过程，以确定是否可从中总结什么经验教训。

有几项基本措施可预防许多常见的攻击。其中包括使系统和应用程序即时打上最新补丁，移除或禁用不需要的服务和协议，使用入侵检测和预防系统，使用配备了最新签名的反恶意软件程序，以及启用基于主机和基于网络的防火墙。

拒绝服务(DoS)攻击阻止系统处理或响应合法服务请求，通常攻击可通过互联网访问的系统。SYN 洪水攻击破坏TCP 三次握手，有时会耗尽资源和带宽。尽管SYN 洪水攻击在今天依然时有发生，但其他攻击往往只是旧攻击手段的变种而已。僵尸网经常被用来发动分布式拒绝服务(DDoS)攻击。零日利用攻击的是以前未知的漏洞。采用基本预防措施有助于防止零日利用攻击得逞。

入侵检测系统(IDS)等自动化工具通过日志监测环境，可在攻击发生时检测出它们，有些甚至可自动拦截攻击。IDS 采用的检测方法分两类：基于知识和基于行为。基于知识的IDS 利用一个攻击签名数据库来检测入侵企图，但是识别不了新的攻击方法。基于行为的IDS 系统先建立一条正常活动基线，然后对照这条基线来衡量活动以检测出异常行为。被动响应把活动记录下来，可就感兴趣项发出警报。主动响应则通过改变环境来拦截进行中的攻击。基于主机的系统安装在单个主机上对主机进行监测，而基于网络的系统安装在网络设备上对整个网络上的活动进行监测。入侵预防系统安放在承载通信流的线路上，可赶在恶意流量在到达目标系统之前把它们拦住。

蜜罐、蜜网和填充单元是防止生产网络发生恶意活动，把入侵者骗进来困住的有效工具。它们通常包含用来引诱攻击者的伪缺陷和假数据。管理员和安全人员还借助这些工具收集攻击者的证据，以供将来起诉他们之用。

最新的反恶意软件程序可预防许多恶意代码攻击。反恶意软件程序通常安装在互联网与内部网络相交的边界、电子邮件服务器以及每个系统上。限制用户安装软件的权限有助于防止用户无意间安装恶意软件。此外，教育用户了解各种类型的恶意软件以及犯罪分子欺骗用户的伎俩，可帮助他们避免有风险的行为。

渗透测试是检查所部署的安全措施以及机构安全策略的强度和效果的有用工具。渗透测试从评价或扫描漏洞或入手，然后尝试利用漏洞。渗透测试应该得到管理层批准，并且应该尽量安排在测试系统上进行而不是拿生产系统冒险。机构经常会雇用外部专家来执行渗透测试，并能控制提供给这些专家的知识量。零知识测试通常叫黑盒测试，全知识测试通常叫白盒测试或水晶盒测试，而部分知识测试通常叫灰盒测试。

日志记录和监测与有效的身份验证和鉴别机制配套使用时，可形成全面的问责体系。日志记录涉及把事件写进日志和数据库文件。安全日志、系统日志、应用程序日志、防火墙日志、代理日志和变更管理日志都是常见的日志文件类型。日志文件包含有价值的数据，应该严加保护，以确保它们不会被人篡改、删除或损坏。如果保护不力，这些数据会被攻击者设法篡改或删除，进而无法被接受为起诉攻击者的证据。

监测涉及实时检查日志以及日后将它们用到审计中。审计踪迹是通过把有关事件发生和事件发展过程的信息写进一个或多个数据库或日志文件而形成的记录，可用于重建事件、提取事件信息以及证明罪责或反驳指控。审计踪迹提供了检测性安全控制的一种被动形式，可起到与闭路电视监控系统或保安人员相同的威慑作用。此外，它们还可充当用于起诉犯罪分子的证据的基本信息。日志可能非常大，因此需要用不同方法来分析或缩减它们。抽样是用来分析日志的一种统计方法，而使用剪切级是涉及感兴趣项预定义阈值的一种非统计方法。

对于访问控制的效果，可用不同类型的审计和审查来进行评价。审计是指对环境进行的系统化检查或审查，旨在确保法规得到遵守以及检测出异常情况、未经授权事件或公然犯罪。访问审查审计确保对象访问和账户管理工作把安全策略落到实处。用户权限审计确保最小特权原则得到严格遵守。

审计报告阐明审计结果。这些报告应该受到保护并只分发给机构内数量有限的特定人员。

机构高管和安全专业人员需要掌握安全审计的结果，但如果攻击者得到审计报告，他们将能借助这些信息找出可供他们恶意利用的漏洞。

安全审计和审查的进行通常是为了确保控制按既定方针执行并取得预期结果。检查补丁管理、漏洞管理、变更管理和配置管理等方案是审计和审查的常规任务。

第18章.灾难恢复计划

灾难恢复计划是完整的信息安全计划的关键。DRP 作为业务连续性计划的一个有益补充，确保适当的技术控制到位，以保持业务运作，并在中断后恢复服务。

在本章中，你了解了可能影响业务的各类自然和人为灾害，还探索了恢复场所的类型和提高恢复能力的备份策略。

组织的灾难恢复计划是安全专业人员监管下最重要的一份文件，发生灾难时能为负责确保操作连续性的工作人员提供保障。在将主场所恢复到运行状态的同时，DRP能提供激活交替处理场所事件的有序序列。一旦成功开发DRP, 就要培养相应的使用人员，以确保准确记录，并定期检查以确保响应人员对计划有清晰的了解。

第19章.调查与道德

信息安全专业人员必须熟悉事件响应过程。这涉及收集和分析所需的证据，以便进行调查。安全专业人员应该熟悉证据的主要类别，包括实物证据、文档证据、言辞证据。电子证据往往通过对硬件、软件、存储介质和网络的分析来收集。通过适当的程序收集证据很有必要，不能改变原始证据，并应对证据链进行保护。

计算机犯罪被总结为几种主要的类别，每个类别中的犯罪行为有共同的动机和期望的结果。理解攻击者所寻找的内容，对于恰当地保护系统是很有帮助的。

例如，军事和情报攻击被用于获得秘密信息，通过合法的方式是无法获得这类信息的。除了目标为民用系统以外，商业攻击与军事和情报攻击差不多。其他类型的攻击包括财务攻击（盗打电话是财务攻击的一个例子）和恐怖攻击（在计算机犯罪中，这是一种用来中断正常生活的攻击）。最后是恶意攻击和兴奋攻击。恶意攻击的目的是通过销毁数据或运用使组织或个人感到困窘的信息进行破坏。兴奋攻击由缺乏经验的攻击者发起，进而使系统受到损害或被禁用。尽管他们通常缺乏经验，但是兴奋攻击可能会令你非常烦恼，并且付出高昂代价。

道德规范是指导个人行为的一组规则。实际上，从一般到特殊存在几种道德规范，安全专家可将它们作为指导准则，（ISC)2 将道德规范作为认证要求。

第20章.软件开发安全

数据是组织拥有的最有价值资源之一。因此，信息安全从业人员需要认识到，必须保护数据自身以及有助于处理数据的应用程序和系统。在充分了解相关技术的组织中，必须实现针对恶意代码、数据库漏洞和系统／应用程序开发缺陷的防护。

恶意代码给组织的计算资源带来威胁。这些威胁包括病毒、逻辑炸弹、特洛伊木马和蠕虫。

此时，你一定认识到了为这些有价值的信息资源设置充分的访问控制和审计踪迹的重要性。数据库安全性是一个快速增长的领域，如果数据库在安全责任中扮演重要角色，我们就应当花一些时间请教数据库管理员并学习相关知识。这是一项颇有价值的投资。

最后，在系统和应用程序开发过程中，为确保这些过程的最终产品与安全环境中的操作兼容可使用多种控制手段。这些控制手段包括进程隔离、硬件划分抽象和服务水平协议。始终应当在所有开发项目的早期计划编制阶段引入安全性，并在产品的设计、开发、部署和维护阶段持续进行监控。

第21章.恶意代码和应用攻击

应用程序开发人员有很多担心！随着黑客使用的工具和技术变得越来越复杂，由于复杂性和多个脆弱点，应用层越来越多地成为他们攻击的焦点。

恶意代码，包括病毒、蠕虫、木马和逻辑炸弹，利用应用程序和操作系统中的漏洞或使用社会工程学感染操作系统，以获得它们想要的资源和机密信息。

应用程序自身也可能包含许多漏洞。缓冲区溢出攻击利用缺少适当输入验证的代码改变系统内存中的内容。后门为以前的开发者和恶意代码的作者提供绕过正常安全机制的能力。rootkit为攻击者提供了一种简单方法来执行权限提升攻击。

许多应用程序正在转向Web, 从而制造新级别的漏洞。跨站脚本攻击允许黑客欺骗用户向不安全的站点提供敏感信息。SQL 注入攻击允许绕过应用程序控制直接访问和操纵底层数据库。

探测工具为攻击者提供了自动化工具，来确定后面要攻击的包含漏洞的系统。IP 探测、端口扫描和漏洞扫描都使用自动化方法来检测组织的安全控制中的薄弱点。伪装攻击使用隐形技术来模拟用户和系统。