7安全运营
时间:2022-11-22 05:00:00
转载【CISSP第七章:安全操作 - Bypass - 博客园
7.1 操作部门的角色
prudent man、due care(按要求执行)VS due diligence(承担管理者责任)
应注意:负责任的行动降低了风险。
尽职尽责:采取所有必要的安全步骤,了解公司或个人的实际风险。
运行安全是在必要的安全水平上保持环境运行的持续维护行为。
运行安全涉及配置、性能、容错、安全、问责和验证管理,其目的是确保满足适当的操作标准和合规要求。
7.2行政管理
职责分离:确保一个独立行动的人无法通过任何方式危及公司的安全。高风险活动应分为几个不同的部分,并分配给不同的人。一旦发生欺诈行为,就会有共谋。
工作轮换:检测控制。可以揭露欺诈和合谋并确保不止一个人理解该职位的任务
最小特权及其需求:行政管理控制,只有足够的许可和权限在不超出范围的情况下履行其在公司的任务。
强制性休假:行政控制。最好是两周,以便有更多的时间发现欺诈证据
阈值级别clipping level:允许一定数量的错误活动发生前犯一定数量的错误
适当的安全控制和机制必须具有一定程度的透明度
7.3 保证级别
操作保证(operational assurance)注重产品的结构、嵌入式特性和功能,使客户在使用产品时能够持续获得必要的保护水平。eg分离、审计和监控访问控制机制、特权和用户程序代码、隐藏通道分析以及产品在不期望环境中运行时的可信恢复。
生命周期保证与产品结构及其如何开发和维护有关,eg设计规范、阈值级配置、单元及集成测试、配置管理及可信分配。
7.4 运营责任
不寻常或无法解释的事件
偏离标准
不定期加载初始程序(也称重启)
加载初始程序IPL,将操作系统的内核加载到计算机的主内存中
7.5 配置管理
配置管理有助于确保系统的整体安全和状态,稳定和可预测的方式运行
可信恢复
系统重启:释放资源,使计算机回到更稳定、更安全的状态。
紧急系统重启:系统故障发生在不受控制的情况下
冷启动系统:系统不能自动恢复到安全状态,需要人工干预。
输入输出控制
事务是原子性的,可以预防TOC/TOU一类攻击。
若一份报告不包含信息(无报告内容),则应包含无输出。
系统强化
管理和保护工作站的最佳方法是开发标准加固镜像(母盘GM)
公司应制定一个可接受的使用策略AUP,该策略说明用户能够安装什么软件,并告知用户公司将经常对环境进行检查
远程访问安全(真正关键的系统应该在本地而不是远程管理)
7.6 物理安全
人们广泛接受和采用的设施访问控制机制,如锁、廉价等。
密码锁开门延迟,意味着开门一段时间后报警响起。
生物特征识别、智能卡、身份证等人员访问控制,使用钥匙或提供进出卡并输入密码或PIN。
常见问题:混合piggybacking,未经授权的访问,由一个人使用他人的得未经授权的访问。
照明灯柱的距离不得超过8英尺,照明强度为2英尺烛光。
CCTV短焦距提供的视野通过同轴电缆传输更宽的信号
CCTV主要使用两种镜头:固定焦距镜头和变焦镜头 焦距短的广角镜头 远镜头焦距较长
景深:显示在监视器上的环境焦点,景深的大小取决于透镜孔径、聚焦物体的距离和镜头的焦距。随着透镜孔径的增加、物体距离的增加或镜头焦距的减小,景深也会增加。如果你想覆盖更大的区域,但不关注某些特定的物体,最好使用广角镜头和小透镜孔径。
手动光圈和自动光圈,手动光圈用于固定照明区域,自动光圈应当用在对光照不断变化的环境中,如室外场所。
栅栏、护柱、照明、监控设备、视频设备等外部边界保护机制
光束、声音和振动、移动、电子电路等入侵检测系统
机电系统可以检测到电路的变化或中断
光电系统可以检测光束的变化
被动红外系统PIR能够识别其监控区域中的能量
静电IDS产生静电场并监控电容变化,在物体的电容和电感之间产生平衡,常用于保护特殊物体,而不是大区域
邻近检测器or电容检测器运动探测器可以感知被监控区域电磁场的变化,不用于保护整个区域
波形移动探测器探测微波、超声波和低频率
巡逻警卫和保安
7.7 安全资源配置
配置是指为用户或用户群提供一种或多种信息服务所需的一系列活动
资产清单,如果你不清楚自己拥有什么,就很难去保护它
配置管理是在所有系统上建立并保持基线的程序
变更控制过程:请求发生一个变更—变更的批准—变更的文档—测试和提交—实现—提交变更报告给管理层
7.8 网络和资源可用性
“热交换”的冗余硬件、容错技术、服务级别协定(SLA,有助于服务提供商决定采用何种可用性技术)
平均故障间隔时间MTBF(Mean Time Between Failures):需要通过测定系统故障之间的平均时间来计算,了解设备大概何时需要检修,值越高价格更贵。
ps:平均故障间隔时间MTBF测试提示意味设备可修复;若无法修复,则使用平均无故障时间MTTF
平均修复时间MTTR(Mean Time To Repair):修复并使其重新投入生产预计所需的时间,如果值较高,考虑冗余。
容错能力是指系统遭受故障,但能持续运行的能力
单点故障:防御最佳方法、适当维护、经常备份以及建立冗余。
防止单点失败的技术:
独立磁盘冗余阵列(RAID):把几个物理磁盘组合起来,并将它们合并成逻辑阵列。
直接访问存储设备(DASD):廉价的RAID就是一种DASD
大规模非活动磁盘阵列(MAID)
独立冗余磁带阵列(RAIT):成本最低、速度比磁盘存储更慢
存储区域网络(SAN):包含大量存储设备,由一个高速专用网络和存储专用交换机连接起来,提供冗余、容错、可靠性和备份能力
群集 :负载均衡 冗余和故障切换,由一组服务器构成,其中的每台服务器都参与提供所需的处理服务
网格计算 适用于财务建模、天气,建模和地震模拟等项目,用于检验和破解算法,用于生成彩虹表
备份
层次存储管理(HSM):提供持续的在线备份功能,将硬盘技术与光盘或磁带结合起来,速度最快的介质保存经常访问的数据,很少使用的文件则保存在速度较慢的设备中。
应急计划只有在测试后才能被信任,组织进行演习,确保员工充分了解他们的职责以及如何履行这些职责。
BCP说明如何在灾难发生后保证组织的正常运作,考虑的是组织的存活能力,确保关键功能在灾难发生后仍能运行。应急计划则处理不能称为灾难的小型事故,eg电源中断、服务器故障、互联网通信连接中断或软件错误
7.9 预防措施
流程
1、了解风险
2、使用正确的风险控制
3、正确地使用控制
4、管理你的配置
5、评估操作
防火墙
入侵检测与防护系统:IDS只能检测和报告可疑的入侵,而IPS则能检测、报告和制止疑似入侵。
反恶意软件:杀毒软件,检测和消除恶意软件,包括病毒、蠕虫和木马。
补丁管理,补丁在退出之前需进行测试。
沙箱是一个应用程序的执行环境,将执行代码与操作系统隔离,以防止危害安全行为的发生,
蜜罐技术:欺骗攻击者相信是真实的生产系统,诱使对手对其进行攻击,通过监视被破坏的蜜罐,来观察和学习攻击者的行为。
黑洞通常是具有规则的路由器,在不知源头的情况下悄悄删除特定恶意的工具包
7.10 事故管理流程
1、检测
2、响应
3、缓解 目的是阻止或减少此事件造成进一步损害
4、报告
5、恢复
6、修复 确保组织再也不会出现这种攻击
7.11 灾难恢复
最高可承受的停机时间(MTD)
恢复时间目标(RTO):是业务流程在灾难发生后必须恢复到指定服务级别的最长时段,以避免与业务连续性中断相关的不可接受的后果
恢复点目标(RPO):最大可容忍的数据丢失量,用时间衡量
工作恢复时间(WRT):是在RTO已经超时后整个MTD值的剩余。RTO通常指使基础设施和系统恢复运行的时间,WRT指恢复数据、测试流程以及使所有事情活过来进行生产的时间
设施恢复:
完备场所(hot site):装备完全且经过适当配置的设施,它可以几个小时内投入运行使公司恢复生产。包含所有必须的个人电脑、服务器和通信的站点。
基本完备场所(warm site):部分配置,比完备场所低,并可在相对可接受的时间内投入运行
基础场所(cold site):只提供基本的工作环境(布线、空调、架空的地板、吊顶),通常是建筑框架,没有其他内容。
互惠协议/相互援助(reciprocal agreement):不是强制性的,较好的备选方案。 注意两家公司的软硬件兼容问题
冗余场所redundant site:一个设备和配置与主站点完全相同的场所,好处是完全的可用性、可即刻投入使用和受组织的完全控制。
移动完备场所/滚动完备场所:将一辆大型卡车或拖车的后部转变成一个数据处理或工作区域。
数据备份选择方案
操作系统的文件系统通过设定归档位来跟踪发生变化的文件,如果修改或建立一个文件,文件系统就将归档位设为1。
完全备份:归档位会被清除,即将它设为0 恢复过程一步完成,但时间长
差量备份:对最近完全备份以来发生变化的文件进行备份,不改变归档位。1-1(需要还原数据时,首先恢复完全备份,然后在此基础上应用最新的差量备份)
增量备份:对最近完全备份或增量备份以来发生改变的所有文件进行备份,将归档位设为0。还原数据时,首先恢复完全备份,然后在此基础上安装正确的顺序依次应用每个增量备份。
备份阶段,差量备份比增量备份需要的时间更长(恢复团队首先还原完全备份,再从较早的增量备份开始,按顺序逐步恢复增量备份,直至还原所有数据)
恢复阶段,差量备份需要的时间更短(首先恢复完全备份,在此基础上应用最新的差量备份)
电子备份解决方案
磁盘映像:使用映像组,数据以映像形式保存在两个或多个磁盘上。
电子传送(electronic vaulting):非实时,批量传送备份,在文件发生改变时进行备份,再定期将它们传送到一个异地备份站点
电子链接,一种为实现备份而向异地设施传输批量信息。
远程日志处理:实时发生,将日志或事物日志传送到异地设施,不传输实际文件,数据库恢复措施。
电子磁带传送:将数据备份到磁带上,运输到异地设施。
同步复制、异步复制
高可用性HA:提供冗余、容错和故障转移。
数据可通过备份磁带、电子传送、同步或异步复制、RAID进行恢复。
处理能力可通过群集、负载均衡、镜像、冗余、容错技术来恢复。
软件托管:由第三方机构保存源代码,约定只有在软件供应商倒闭而无法完成合约规定的责任或者供应商违反原始合约的情况下,客户才能访问源代码
7.12 保险
网络保险:一种新型保险项目,为安全事件造成的损失提供保险
业务中断保险:如果公司停业一段时间,保险公司将赔付指定的开支和损失的收入。
7.13 恢复与还原
重建团队:应当负责使备用站点投入运行。准备异地设施
救援团队:应当负责开始恢复原始站点。
当公司搬回原来的场所或搬进一个新场所,公司进入再造阶段,直到公司在它原来的主站点的新设施内恢复运作,公司才脱离紧急状态。
首先,应转移最不关键的功能。
灾难恢复培训的目的是对未来执行DR计划做好准备
操作连续性COOP,目的是确保各机构在遭遇灾难或者中断时仍能继续运行,用于公共部门。
7.14 调查
动机、机会和方式(Motive、Opeortunity、Means,MOM)
欲使证据可被法庭接收,证据必须是相关的、充分的、可靠的。证据必须是法律许可的,也就是说以合法方式获得,并且保管链未被破坏。
保管链是展示如何收集、分析、传输及保存证据,从而可呈现在法庭上,由于电子证据容易被修改,因此清晰定义的保管链能证明证据是可信任的。
Chain of custody:通过记录处理证据的每个人、收集或转移证据的日期/时间以及转移目的,跟踪证据在收集、保护和分析生命周期中的移动的过程。
数字取证中使用多重散列:一个散列被碰撞后,还有另外的散列可以防止失效
取证硬盘控制器(a forensie disk controller)具有四种功能。写阻塞,拦截发送到设备的写命令,并阻止它们修改设备上的数据。返回读操作所请求的数据、从设备返回访问重要信息以及从设备向取证主机报告错误。控制器不应该阻止读命令发送到设备,因为这些命令可能返回关键信息。
口头证据规则规定,当双方之间的协议以书面形式提出时,除非经书面修改,否则该协议被认为是完整的协议。最佳证据规则规定,如果一份文件有原始文件,则副本不予受理。
7.15 义务及其后果
下游责任:两家 公司应该确保它们的活动不会对合作伙伴产生负面影响
7.16 合规性
7.17 个人安全问题
人身安全高于所有其他问题
在紧急情况中确保人员安全的常用工具时场所紧急计划OEP(Occupant Emergency Plan)
重点题目:
1、独立磁盘冗余阵列RAID级别:用于防止单点失败
最常见的RAID级别为5级,
RAID 0:条带化,通过使用多个磁盘创建一个大的磁盘,只用于提高性能
RAID1:驱动器镜像,一次写入两个,一个发生故障,还有一个。完全容错能力
RAID2:汉明码奇偶校验,有一部分磁盘用于错误数据恢复
RAID3:字节级奇偶校验,字块级别,奇偶校验数据保存在一个驱动器
RAID4:分组级奇偶校验,数据块级,奇偶校验数据保存在一个驱动器
RAID5:间插奇偶校验,数据写入所有驱动器的磁盘扇区单元,奇偶校验也写入所有驱动器(没有采用专门的校验磁盘)写入数据的速度比单个磁盘进行写入操作稍慢
RAID6:双奇偶校验,增加容错功能
RAID10:条带化和镜像
硬件RAID是独立于平台的,速度更快
2、逃生门:设计为fail safe(断点开门,保证人身安全),fail security(断电关门,保证财产安全)。
3、取证调查,在犯罪没收电脑后,制作磁盘的镜像副本。
4、故意植入缺陷,诱骗攻击者,设置蜜罐通常被认为是一种诱骗工具(不是诱捕)。
5、演练:
检查清单(check list):各部门自行检查内部的计划正确性。
桌面演练(walk throught):各部门在一起讨论整体计划的正确性。
功能演练(function):对部分系统/业务进行中断。
并行演练(parallel):主备系统一起同时启动。
完全中断演练(full interruption),所有备用系统启用,所有主系统切换,完全模拟真实状态。
错题要点:
1、数据欺骗,计算机犯罪经常与内部人员有关,在涉及篡改数据之前暴露逻辑访问。
2、网络地址劫持,会对网络数据进行修改,网络地址嗅探,不会修改数据。
3、Salami techniques 意大利香肠术,雇员通过从多个账户划走少量的钱,存入资金到自己的银行账户。
4、Clipping level 限值水平,设置错误门限。
5、输入控制,输入或编辑的计数数据和时间戳与日期。输出控制,比如:确保打印的报告送达正确的用户,并在发放敏感文件前签署收据。
6、Loki attack exploits 洛基攻击利用一个隐蔽通道,基于icmp协议。
7、在入侵检测系统中,警报的组成部分:发生器、传感器、通讯装置。
8、two-man control 双人控制,相互审查和批准对方的工作。
9、clearing 擦除后的信息遇到键盘攻击,是不可恢复的, purging 清除后的信息在对实验室攻击是不可恢复。
错题总结:
1、配置管理
配置管理控制 审计和控制对可信计算基的任何更改
2、行政管理
限制操作人员的特定访问 会迫使雇员与其他雇员勾结,来访问未经授权的数据
3、操作安全
目的是防止资产威胁
要求对未经授权的人员访问实施物理安全控制
操作规程、备份和恢复、应急计划都是操作控制的例子
4、备份
关键问题:备份什么内容
5、网络嗅探
允许攻击者监控网络上传输的数据
利用计算机的网络接口截获其他计算机的报文
6、接近识别设备包括用户激活设备(要求用户执行动作,在读卡器上刷卡或输入代码)和系统传感设备(自动识别卡片的存在并与之通信)
操作安全中,可信路径提供到特权用户功能的可信接口
