[CISSP] [5] 保护资产安全
数据状态
1. 数据静态存储(Data at Rest)
指存储在磁盘、数据库、存储设备上的数据,例如:
- 硬盘、SSD
- 服务器、数据库
- 备份存储、云存储
安全措施
- 加密(Encryption):如 AES-256 加密磁盘和数据库数据
- 访问控制(Access Control):使用 RBAC(基于角色的访问控制)
- 数据完整性(Integrity Checks):哈希校验(SHA-256)
- 物理安全(Physical Security):限制数据中心访问
2. 数据传输中(Data in Transit)
指数据在网络上传输,例如:
- 电子邮件
- Web 浏览
- VPN 远程访问
- API 通信
安全措施
- 传输加密(Encryption in Transit):如 TLS(HTTPS)、IPSec VPN、SSH
- 网络安全(Network Security):使用 防火墙、入侵检测系统(IDS)、DLP
- 认证和完整性保护(Authentication & Integrity Checks):使用 数字签名、MAC(消息认证码)
3. 数据使用中(Data in Use)
指数据正在被处理、修改或访问,例如:
- 数据库查询
- 计算机内存处理
- 应用程序运行中的数据
安全措施
- 内存保护(Memory Protection):防止 RAM 泄露、进程间数据泄露
- 最小权限(Least Privilege):只允许必要的进程访问数据
- 数据清理(Secure Erase):防止敏感数据残留在缓存或内存中
- 防止进程注入(Process Injection Prevention):防止恶意代码访问数据
总结
| 数据状态 | 描述 | 安全措施 |
|---|---|---|
| Data at Rest | 存储中的数据 | 加密(AES)、访问控制、物理安全 |
| Data in Transit | 传输中的数据 | TLS(HTTPS)、VPN、网络安全 |
| Data in Use | 处理中数据 | 内存保护、最小权限、防进程注入 |
IAM
IAM(Identity and Access Management,身份与访问管理) 是信息安全的关键领域,旨在确保正确的实体(用户、设备、系统)能够在正确的时间访问正确的资源,同时防止未经授权的访问。
IAM 主要组成部分
1. 身份管理(Identity Management)
身份管理用于创建、维护和管理用户身份,包括:
- 身份注册(Identity Registration):用户如何加入系统(例如 HR 系统同步)
- 用户标识(User Identification):用户名、UID、数字身份
- 身份验证(Authentication):使用密码、OTP、指纹等方式确认用户身份
2. 访问控制(Access Control)
访问控制决定用户可以访问哪些资源,以及如何访问,包括:
- RBAC(Role-Based Access Control):基于角色的访问控制
- ABAC(Attribute-Based Access Control):基于属性的访问控制
- MAC(Mandatory Access Control):强制访问控制(通常用于军事安全)
- DAC(Discretionary Access Control):自主访问控制(文件权限管理)
3. 认证与授权(Authentication & Authorization)
- 身份验证(Authentication):确认用户是谁(如 MFA、密码、PKI)
- 授权(Authorization):确认用户是否可以执行某个操作(如 RBAC 权限分配)
4. 账户管理(Account Management)
- 生命周期管理(Account Lifecycle Management):创建、修改、禁用账户
- 最小权限原则(Least Privilege):用户只获得完成任务所需的最低权限
- JIT(Just-in-Time Access):临时权限提升,降低长期高权限账户的风险
| 技术 | 描述 |
|---|---|
| SSO(Single Sign-On) | 单点登录,允许用户使用一次认证访问多个系统 |
| MFA(Multi-Factor Authentication) | 多因素认证,提高安全性(密码 + 短信验证码 + 指纹) |
| LDAP(Lightweight Directory Access Protocol) | 目录服务协议,常用于用户管理(如 Active Directory) |
| OAuth 2.0 | 授权框架,允许第三方应用访问资源 |
| SAML(Security Assertion Markup Language) | 用于身份联合认证(Federated Identity) |
| OpenID Connect(OIDC) | 基于 OAuth 2.0 的身份认证协议 |
| Privileged Access Management(PAM) | 特权访问管理,控制管理员权限 |
DLP
1. DLP 保护的数据类型
PII(Personally Identifiable Information):个人身份信息(如身份证号、护照号、电话号码)
PHI(Protected Health Information):受保护的健康信息(如医疗记录、保险信息)
财务数据:信用卡号、银行账户信息
机密业务数据:知识产权、产品设计、源代码
受合规保护的数据:GDPR、HIPAA、PCI DSS 规定的数据
2.DLP 关键技术与策略
| 技术 | 描述 |
|---|---|
| 关键字匹配(Keyword Matching) | 通过预定义的关键字(如 “Confidential”)检测敏感数据 |
| 正则表达式(Regex) | 识别特定格式的数据(如信用卡号、身份证号) |
| 指纹(Fingerprinting) | 创建数据特征,识别类似文件 |
| 机器学习 | 通过 AI 识别异常数据流动 |
| 内容分析(Content Inspection) | 解析文件内容,识别敏感数据 |
| 行为分析(UEBA) | 监控用户行为,检测异常活动 |
3. DLP 主要应用场景
防止员工误发电子邮件(拦截包含敏感数据的邮件)
阻止 USB 设备复制数据(禁止将机密文件拷贝到 U 盘)
监控云存储(防止上传公司数据到 Google Drive、Dropbox)
防止打印敏感文件(监控打印任务,阻止泄密)
加密外发数据(邮件、文档自动加密)
Amazon AWS
AWS(Amazon Web Services)是全球领先的云计算平台,提供基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS),涵盖计算、存储、安全、网络、AI 等多个领域。
1. AWS 主要服务分类
| 服务 | 功能 |
|---|---|
| EC2(Elastic Compute Cloud) | 虚拟机计算实例 |
| Lambda | 无服务器(Serverless)计算 |
| ECS(Elastic Container Service) | 托管容器(Docker)服务 |
| EKS(Elastic Kubernetes Service) | 托管 Kubernetes 集群 |
| Lightsail | 简化的云服务器 |
存储(Storage)
| 服务 | 功能 |
|---|---|
| S3(Simple Storage Service) | 对象存储(数据加密、访问控制) |
| EBS(Elastic Block Store) | 块存储(EC2 挂载) |
| Glacier | 归档存储(长期存储数据) |
| FSx | Windows 文件系统 |
| EFS(Elastic File System) | 共享文件存储 |
数据库(Database)
| 服务 | 功能 |
|---|---|
| RDS(Relational Database Service) | 托管数据库(MySQL、PostgreSQL、SQL Server) |
| DynamoDB | NoSQL 数据库 |
| Redshift | 数据仓库 |
| Aurora | 高性能数据库 |
| ElastiCache | 缓存(Redis、Memcached) |
网络(Networking & Content Delivery)
| 服务 | 功能 |
|---|---|
| VPC(Virtual Private Cloud) | 虚拟私有云 |
| Route 53 | DNS 服务 |
| CloudFront | CDN(内容分发网络) |
| Direct Connect | 物理专线连接 AWS |
| API Gateway | API 代理和管理 |
安全与合规(Security & Compliance)
| 服务 | 功能 |
|---|---|
| IAM(Identity & Access Management) | 身份与访问管理 |
| AWS Shield | DDoS 保护 |
| AWS WAF(Web Application Firewall) | Web 防火墙 |
| CloudTrail | 记录 API 调用日志 |
| GuardDuty | 监控异常活动 |
| Security Hub | 安全可视化中心 |
| KMS(Key Management Service) | 密钥管理(加密服务) |
| AWS Secrets Manager | 保护 API 密钥、密码 |
2. AWS 安全威胁
AWS 作为云平台,也面临数据泄露、误配置、DDoS、API 滥用等安全风险:
S3 桶误配置(开放公网) → 数据泄露
IAM 过度授权 → 账户劫持
暴露 API 密钥 → 账号被滥用(挖矿、攻击)
DDoS 攻击 → 业务中断(AWS Shield 可缓解)
数据未加密 → 可能被窃取
总结
- AWS 提供 计算(EC2)、存储(S3)、数据库(RDS)、网络(VPC)、安全(IAM、WAF、GuardDuty) 等服务。
- IAM 负责身份与访问管理,推荐最小权限原则(Least Privilege)。
- DLP 保护数据泄露(S3 加密、EBS 加密、RDS 加密)。
- 日志 & 监控 采用 CloudTrail、GuardDuty、Security Hub。
- 遵循安全最佳实践,避免 S3 误配置、API 滥用、IAM 过度授权等问题。
HVAC
HVAC(供暖、通风和空调) 主要涉及物理安全(Physical Security) 和 环境控制(Environmental Controls),以确保数据中心和服务器设备在适宜的温度、湿度和空气质量下运行,防止过热、潮湿、静电或其他环境因素对 IT 设备的损害。
数据中心、服务器机房 需要严格的环境控制,以防止硬件故障、数据丢失、系统宕机。HVAC 负责温度控制、湿度管理、空气流通,确保 IT 设备处于最佳运行状态。
防止设备过热 - 服务器过热可能导致性能下降或硬件损坏。
防止静电放电(ESD) - 低湿度环境容易引发静电,损害计算机硬件。
控制空气污染 - 过滤灰尘、颗粒物,防止污染损坏设备。
保障人员健康 - 确保良好的空气流通,减少空气污染对工作人员的影响。
数据销毁
数据销毁是一个关键的安全实践,涉及确保敏感数据在不再需要时被完全删除,以防止未经授权的访问或恢复。数据销毁的目标是确保数据无法被恢复、读取或访问,即使是通过高级技术手段也无法恢复。
-
物理销毁:
- 对存储介质进行物理破坏,如粉碎硬盘、切割磁带或其他物理销毁方式,确保数据无法被恢复。
-
逻辑销毁:
- 通过软件工具执行数据擦除,确保数据无法通过简单的恢复工具还原。常见的工具有DBAN、Blancco等,采用符合行业标准的算法进行覆盖。
-
符合标准和规范:
- CISSP推荐遵循国际公认的标准,如DoD 5220.22-M(美国国防部数据销毁标准)或NIST 800-88(美国国家标准与技术研究院的标准),确保销毁过程满足安全要求。
-
分类数据销毁:
- 对不同类型的数据采取不同的销毁方法。例如,对于金融数据,可能需要进行更加严格的销毁措施。
数据销毁流程:
- 评估数据重要性: 确定数据是否需要销毁,以及销毁的程度。
- 选择适当的销毁方法: 根据数据的存储介质和敏感性选择合适的销毁方法。
- 执行销毁操作: 使用合适的工具或方法执行数据销毁。
- 验证销毁效果: 确保数据已经完全销毁,无法恢复。
- 记录销毁过程: 记录销毁操作的细节,以便审计和合规性检查。
DRM-数字版权管理
DRM(数字版权管理,Digital Rights Management)是一种技术和管理方法,旨在控制和保护数字内容的使用,防止未经授权的复制、分发和使用。它广泛应用于各种数字媒体领域,如音乐、电影、电子书、软件等,以确保版权所有者能够控制其内容的传播和使用。
DRM的主要目标:
- 保护版权: DRM可以防止未经授权的复制和分享,确保内容创作者和版权所有者能够保持对其创作的控制。
- 防止盗版: 通过对数字媒体进行加密和限制使用,DRM减少了盗版和非法分发的风险。
- 限制复制和共享: DRM通常通过限制内容的复制、打印、转发或下载来实现这些目标。
- 提供授权管理: DRM可以通过许可证、激活码或授权机制来限制用户访问或使用内容。
DRM的常见实现方式
-
加密: 使用加密算法保护数字内容,确保只有授权用户可以解密并使用内容。例如,某些音乐和电影文件可能会加密,只有通过合法购买或订阅才能解锁。
-
访问控制: 通过控制哪些用户或设备可以访问内容来限制非法使用。例如,只有登录了正确账户的用户才能观看某些视频或使用某个软件。
-
数字水印: 数字水印是一种隐秘地嵌入内容中的标记,用来追踪内容的来源。即使内容被复制或修改,水印仍然存在,可以帮助版权所有者追踪源头。
-
许可证管理: DRM系统会要求用户获取并验证许可证,才能访问或使用内容。许可证可能包含使用期限、复制次数或访问次数等限制。
-
设备绑定: DRM可以将内容与特定设备绑定,使得内容只能在特定设备上访问,防止用户在未经授权的设备上使用。
常见的DRM应用
- 音乐: 音乐流媒体平台(如Spotify、Apple Music)通常使用DRM来保护音乐内容,防止用户未经授权下载或分享歌曲。
- 电影和电视: 在线流媒体服务(如Netflix、Disney+)使用DRM来防止非法下载和分发视频内容。
- 电子书: 电子书平台(如Amazon Kindle、Adobe Digital Editions)利用DRM保护电子书,限制复制和转让。
- 软件: 软件开发商使用DRM防止软件盗版,要求用户输入序列号或使用激活码。
DRM的优缺点
优点:
- 保护版权和收入: DRM帮助保护创作者和出版商的收入来源,防止盗版。
- 控制使用: DRM可以精确控制用户如何使用、复制或共享内容。
缺点:
- 用户体验受限: DRM有时会限制用户在合法购买后享有的自由,例如限制在多个设备上播放内容,或限制内容的打印和复制。
- 兼容性问题: 不同的DRM技术可能导致不同平台和设备之间的不兼容,限制了内容的普及。
- 合法用途受限: 有时,DRM可能限制用户对已购买内容的合法使用,造成不便,例如无法在多个设备上共享或备份内容。
CASB-云访问安全代理
CASB(Cloud Access Security Broker,云访问安全代理) 是一种安全工具,位于用户与云服务之间,帮助组织管理和保护其云服务使用中的数据、用户行为和访问控制。CASB提供了多种功能,旨在确保云环境的安全性,减少风险并确保合规性,尤其是在使用多个云服务提供商时。
CASB的主要功能
-
访问控制:
CASB提供对用户和设备的访问控制,可以确保只有经过授权的用户才能访问特定的云应用程序或数据。通过集成身份验证和授权机制,CASB可以控制谁可以访问哪些云资源,以及何时和如何访问这些资源。 -
数据丢失防护(DLP):
CASB能够识别、监控并防止敏感数据泄露或不当存储,尤其是在云环境中。通过数据丢失防护功能,CASB帮助组织确保敏感数据(如个人识别信息、财务数据等)不被泄露、滥用或未经授权访问。 -
威胁检测:
CASB可以分析云服务中的用户行为,以识别异常活动(如数据下载异常、登录位置异常等),从而帮助发现潜在的安全威胁或违规行为。它通常结合机器学习和人工智能来发现不正常的活动模式。 -
合规性管理:
CASB帮助组织遵守行业规定和法律要求,如GDPR(通用数据保护条例)、HIPAA(健康保险流通与问责法案)等。它可以自动检查云应用程序是否符合这些标准,并帮助生成审计报告以支持合规性审计。 -
加密和数据保护:
CASB可以对存储在云中的敏感数据进行加密,以确保即使在云服务提供商遭到攻破的情况下,数据仍然是安全的。此外,CASB还可以控制数据的共享方式,限制某些数据的共享或导出。 -
统一的可见性:
CASB提供跨所有云应用程序的可见性,帮助组织了解所有云服务的使用情况、数据流动和安全状况。这对于管理多个云服务和避免“shadow IT”(未经批准的云应用使用)至关重要。
AUP-接受使用政策
AUP(Acceptable Use Policy,接受使用政策) 是一种组织内部的政策,旨在定义和规范员工、用户或客户在使用公司网络、系统、应用程序和互联网资源时的行为。AUP明确规定了哪些行为是允许的,哪些行为是禁止的,从而确保公司资源的合理使用、安全性以及合规性。
AUP通常适用于组织的IT基础设施、网络资源、互联网连接、电子邮件系统、软件使用等。它是网络安全和信息安全政策的一部分,帮助减少滥用、数据泄露、恶意软件传播等安全风险。
AUP的主要内容
-
允许的行为:
- 合法用途:用户应当仅用于工作相关的合法活动,禁止进行任何非法行为(如侵犯版权、传播恶意软件等)。
- 资源的合理使用:组织允许用户合理使用网络和系统资源,例如浏览网页、使用公司提供的工具和软件,但要确保不会浪费带宽或影响其他用户的使用。
-
禁止的行为:
- 滥用网络资源:例如,用户不得将公司网络用于非法下载、观看不当内容、游戏或其他娱乐活动。
- 未经授权的访问:禁止用户未授权访问公司资源、服务器、文件等。
- 恶意行为:禁止使用公司的网络进行恶意活动,如发送垃圾邮件、攻击其他计算机系统、实施网络钓鱼等。
- 破坏或更改系统配置:用户不得随意更改系统设置或删除/修改重要文件。
- 隐私侵犯:不得未经授权查看或共享其他人的私人信息、公司机密或客户数据。
-
使用设备和软件的规定:
- 安装软件:用户必须遵守公司的软件安装政策,不得随意安装未经批准的软件。
- 设备使用:明确定义哪些设备可用于访问公司网络(如个人设备、公司提供的设备),并规范其使用权限。
-
监控和合规性:
- 监控活动:AUP可能明确表示,公司有权监控员工的互联网使用、邮件通信和文件传输,以确保政策的执行。
- 合规性检查:确保员工理解并遵守相关的法律法规,例如数据保护法(如GDPR)、版权法等。
-
安全规定:
- 密码和身份管理:要求员工使用强密码,定期更改密码,并妥善保管。
- 网络安全:禁止用户连接不安全的网络、使用公共Wi-Fi等,尤其是在处理敏感信息时。
-
后果和处罚:
- 违反政策的后果:AUP中会详细说明违反政策的后果,可能包括警告、罚款、暂停使用权,甚至解雇。
- 法律责任:违反AUP的行为可能还会导致法律责任,特别是涉及到非法活动或对公司造成损害的行为时。
AUP的实施
- 培训和教育:员工和用户应定期接受AUP的培训,确保他们了解并遵守该政策。
- 签署协议:通常,员工在入职时需要签署AUP协议,承诺遵守相关规定。
- 定期审核:AUP应根据公司需求和技术变化进行定期审查和更新,确保它能够应对新出现的安全威胁和技术挑战。
AUP的重要性
- 保护公司资源:AUP有助于确保公司网络、数据和设备的安全,防止滥用和未经授权的使用。
- 减少安全风险:通过限制某些行为,AUP帮助减少恶意软件传播、网络攻击、数据泄露等安全风险。
- 确保合规性:AUP有助于公司遵守与数据隐私、知识产权等相关的法律法规,避免法律纠纷。
- 提高员工意识:AUP有助于教育员工理解网络安全、数据保护和合规性的基本要求,培养安全的使用习惯。
AUP的示例
一个典型的AUP可能包括以下条款:
- “不得使用公司网络或设备进行任何非法活动,包括但不限于侵权行为、诈骗、恶意软件传播等。”
- “员工应当保护其账户密码,确保不与他人共享,并定期更改密码。”
- “不得将公司资源用于个人娱乐或非工作相关活动,如在线播放视频、下载文件、玩游戏等。”
- “公司有权监控网络使用情况,并采取必要措施确保遵守AUP。”
总结
AUP是组织确保信息技术资源安全和合规使用的关键工具。它有助于管理公司网络和系统的使用行为,降低数据泄露、滥用和安全威胁的风险。通过明确行为规范、监控措施和处罚机制,AUP为组织提供了清晰的指导,帮助员工理解如何合法、安全地使用公司的IT资源。
EOL/EOS
EOL(End of Life,生命周期结束) 和 EOS(End of Support,终止支持) 是与软件、硬件和产品生命周期相关的重要术语,特别是在信息安全和IT管理中至关重要。
1. EOL(End of Life,生命周期结束)
EOL 指的是产品的生命周期正式结束,制造商不再生产或销售该产品。
EOL 影响
- 不再销售:产品不会再被制造或提供给新客户。
- 可能仍有支持:某些厂商可能在EOL后的一段时间内仍然提供基本的技术支持或安全更新。
- 客户需要迁移:用户应考虑升级到新的替代产品,以避免使用过时技术带来的风险。
示例
- Windows 7 于 2020 年 1 月 14 日进入 EOL,微软不再销售和推广 Windows 7,但部分企业用户仍可通过付费方式获得扩展支持(如 ESU,Extended Security Updates)。
- Cisco 设备型号 EOL:当某些网络设备达到 EOL,Cisco 不再提供销售,并鼓励客户升级到新型号。
2. EOS(End of Support,终止支持)
EOS 指的是厂商不再提供技术支持、安全更新或维护。
- 终止支持意味着即使产品仍然可以使用,也不会再有官方补丁、漏洞修复或技术支持,这会带来严重的安全风险。
- 在企业环境中,继续使用 EOS 产品可能会违反安全合规性要求(如 PCI DSS、GDPR)。
EOS 影响
- 安全风险增加:由于没有官方补丁,漏洞不会被修复,容易被黑客利用。
- 合规性问题:许多法规(如 GDPR、HIPAA)要求使用受支持的软件,否则可能面临法律责任。
- 兼容性问题:新应用、新硬件可能不再支持过时的软件或系统。
示例
- Windows Server 2012 EOS(2023 年 10 月 10 日):微软停止提供安全更新,用户需升级到更新的 Windows Server 版本。
- Adobe Flash Player EOS(2020 年 12 月 31 日):Adobe 不再提供支持,浏览器也停止运行 Flash 内容。
EOL vs. EOS 的区别
| 对比项 | EOL(生命周期结束) | EOS(终止支持) |
|---|---|---|
| 影响 | 停止生产和销售,但可能仍有支持 | 停止所有技术支持和安全更新 |
| 使用风险 | 可能还能获得支持,但逐渐减少 | 继续使用会有安全和合规风险 |
| 建议 | 开始规划迁移到新版本 | 强烈建议升级,避免安全威胁 |
如何应对 EOL 和 EOS
- 提前规划迁移
- 监控厂商的产品生命周期公告,提前做好替代方案。
- 升级到受支持版本
- 例如,从 Windows 7 迁移到 Windows 10 或 Windows 11。
- 寻找替代支持
- 某些厂商(如 Red Hat、Microsoft)可能提供付费扩展支持(ESU、LTS)。
- 加强安全措施
- 如果暂时无法升级,应限制网络访问、加强监控、使用额外的安全防护(如 WAF、防火墙)。
总结
- EOL(End of Life):产品不再销售,但可能仍有支持。
- EOS(End of Support):不再提供任何支持,存在安全风险,应尽快升级或更换。
- 最佳实践:监控 IT 资产生命周期,及时更新,降低安全风险和合规问题。