1 运营部门的角色
prudent man、due care(按要求执行)VS due diligence(承担管理者责任)
应尽关注:执行了负责任的动作降低了风险。
应尽职责:采取了所有必要的安全步骤以了解公司或个人的实际风险。
运营安全是保持环境运行在一个必要的安全级别中的持续维护行为。
2 行政管理
职责分离:确保一个独立行动的人通过任何方法都无法危机公司的安全。一旦发生欺诈,必有共谋。
岗位轮换:检测性控制。确定欺诈活动。
最小特权和知其所需:行政管理类控制,仅有足够的许可和权限来履行他在公司的任务而不超出范围。
强制休假:行政管理控制。
3.物理安全
设施访问控制,如锁,廉价,被人们广泛接受和采用的访问控制机制。
密码锁是可编程键盘锁定设备,具有四种不同的功能集:
- 门延迟 --- 如果门保持打开状态一定时间,警报会响起。
- 密码覆盖 --- 一个易于记忆的紧急代码可以编程到键盘中。
- 万能密钥 --- 允许授权人员更改密钥代码。
- 被困报警 --- 如果一个人被困在里面,那么它可以通过预制的号码组合与保安或经常联系一边脱困。
- 锁的强度强度分为3级:
- ·1级 商业和工业。
- ·2级 重要的住宅区/次要的商业区。
- ·3级 居民/消费者。
- 锁内的锁芯主要分为3类:
- ·低度安全 不提供防撬或防钻能力(可用于以上3种级别的锁)。
- ·中度安全 提供一定的防撬能力(使用更牢固、更复杂的钥匙槽或凹槽组合,可用于以上3种级别的锁)。
- ·高度安全 通过不同机制提供防撬保护(仅用在1级和2级锁中)。
- 人员访问控制,如生物特征识别、智能卡、身份证、使用钥匙或者提供出入卡并输入密码或PIN。
- CCTV主要使用两种镜头:固定焦距镜头和变焦镜头 广角镜头,焦距短 远摄镜头焦距较长景深:在监视器上显示的环境的焦点部分,景深大小取决于透镜孔径、聚焦物体的距离以及镜头的焦距。透镜孔径的程度加大、物体距离增加或者镜头的焦距减小,景深也随之增加。如果希望覆盖较大的区域,但不聚焦某些特定物体,那么最好使用广角镜头和小透镜孔径。
手动光圈和自动光圈,手动光圈用于固定照明区域,自动光圈应当用在对光照不断变化的环境中,如室外场所。 - 外部边界保护机制,如栅栏、护柱、照明、监视设备、录像设备等
- 入侵检测系统,如光束、声音和振动、移动、电子电路等
- 巡逻警卫和保安
4 安全资源配置
- 配置是指为用户或用户群提供一种或多种信息服务所需的一系列活动
- 资产清单,如果你不清楚自己拥有什么,就很难去保护它
- 配置管理CM是在所有系统上建立并保持基线的程序
- 比较配置管理和变更管理
- 将在第8章中讨论的变更管理是一个业务流程,旨在规范业务活动(如项目)的变化。关注的是在远程连接到内部网络时,连接方式的变更或开发系统中的功能变更问题。尽管技术和安全人员要参与变更管理,但他们不负责变更管理。
- 配置管理是一种运营流程,是确保相应的控制能正确配置,且能正确响应相关威胁和运营环境。继续分析前面提到的两个例子,配置管理要知道如何对软件系统进行配置,从而将新功能与现有控制整合在一起。或者,知道如何更改这些控制以便能在实施新功能时维持同等水平的安全保护。
- 作为信息安全专家,应能领导配置管理的相关工作,但只参与变更管理流程即可。
- 变更控制过程:请求发生一个变更---变更的批准---变更的文档---测试和提交---实现---提交变更报告给管理层
可信恢复 :
- 系统重启:释放资源,使计算机返回到更加稳定和安全的状态。
- 紧急系统重启动:
- 系统冷启动:系统无法自动恢复到安全状态而需要人工干预。
输入与输出控制
- 事务是原子性,可防止TOC/TOU一类攻击。
- 如果一份报告中不含信息(无报告内容),那么应当包含"没有输出"。
系统加固
远程访问安全
5 网络和资源可用性
- "热交换"的冗余硬件、容错技术、服务级别协定(SLA)
- MTTF(Mean Time To Failure,平均无故障时间),指系统无故障运行的平均时间,取所有从系统开始正常运行到发生故障之间的时间段的平均值。MTTF=ΣT1/N
- MTTR(Mean Time To Repair,平均修复时间),指系统从发生故障到维修结束之间的时间段的平均值。MTTR=(T2+T3)/N
- MTBF (Mean Time Between Failure,平均失效间隔),指系统两次故障发生时间之间的时间段的平均值。MTBF =Σ(T2+T3+T1)/N
- 很明显:MTBF=MTTF+MTTR
- 单点故障:防御最佳方法、适当维护、经常备份以及建立冗余。
- 磁盘冗余阵列(RAID)
- RAID 0:条带化,通过使用多个磁盘创建一个大的磁盘,只用于提高性能
- RAID1:驱动器镜像,一次写入两个,一个发生故障,还有一个。
- RAID2:汉明码奇偶校验,有一部分磁盘用于错误数据恢复
- RAID3:字节级奇偶校验,字块级别,奇偶校验数据保存子一个驱动器
- RAID4:分组级奇偶校验,数据块级,奇偶校验数据保存子一个驱动器
- RAID5:间插奇偶校验 RAID6:双奇偶校验 RAID10:条带化和镜像
- 直接访问存储设备(DASD):廉价的RAID就是一种DASD
- 大规模非活动磁盘阵列(MAID)
- 独立冗余磁带阵列(RAIT):成本最低、速度比磁盘存储更慢
- 存储区域网络(SAN)
- 群集
- 网格计算
- 备份
- 层次存储管理(HSM):提供持续的在线备份功能
- 磁盘冗余阵列(RAID)
6 预防措施
- 流程:
- 1、了解风险
2、使用正确的风险控制
3、正确地使用控制
4、管理你的配置
5、评估操作
- 1、了解风险
- 防火墙
- 入侵检测与防护系统:IDS只能检测和报告可疑的入侵,而ips则能检测、报告和制止疑似入侵。
- 黑白名单
- 反恶意软件
- 脆弱性管理
- 补丁管理
- 杀向
- 蜜罐技术
- 出口流量持续监测
- 安全信息和事件管理SIEM
- MSSP外包服务
7 事故管理流程
1、检测
2、响应
3、缓解
4、报告
5、恢复
6、修复
8 调查
动机、机会和方式(Motive、Opeortunity、Means,MOM)
欲使证据可被法庭接收,证据必须是相关的、充分的、可靠的。证据必须是法律许可的,也就是说以合法方式获得,并且保管链未被破坏。
调查过程:识别、保存、收集、检查、分析、描述、决策
证据的生命周期包括:
- ·收集与识别
- ·存储、保护和运输
- ·法庭出示
- ·将证据返还给受害者或证据持有者
9 灾难恢复
最高可承受的停机时间(MTD)
恢复时间目标(RTO)
恢复点目标(RPO)
工作恢复时间(WRT)
设施恢复:
完备场所(hot site):装备完全且经过适当配置的设施,它可以几个小时内投入运行使公司恢复生产。包含所有必须的个人电脑、服务器和通信的站点。
基本完备场所(warm site)
基础场所(cold site):只提供基本的工作环境(布线、空调、架空的地板、吊顶),通常是建筑框架,没有其他内容。
互惠协议:不是强制性的,较好的备选方案。
数据备份选择方案
完全备份:归档位会被清除,即将它设为0
差异备份:对最近完全备份以来发生变化的文件进行备份,不改变归档位。1-1
增量备份:对最近完全备份或增量备份以来发生改变的所有文件进行备份,将归档位设为0
电子备份解决方案
磁盘映像:使用映像组,数据以映像形式保存在两个或多个磁盘上。
电子传送:非实时,批量传送备份,电子链接,一种为实现备份而向异地设施传输批量信息。
远程日志处理:实时发生,将日志或事物日志传送到异地设施,数据库恢复措施。
电子磁带传送:将数据备份到磁带上,运输到异地设施。
同步复制、异步复制
高可用性:提供冗余、容错和故障转移。
数据可通过备份磁带、电子传送、同步或异步复制、RAID进行恢复。
处理能力可通过群集、负载均衡、镜像、冗余、容错技术来恢复。
10 责任及其影响
DD 、DC
11 保险
网络保险:一种新型保险项目,为安全事件造成的损失提供保险
业务中断保险
12实施灾难恢复
重建团队:应当负责使备用站点投入运行。准备异地设施
救援团队:应当负责开始恢复原始站点。
当公司搬回原来的场所或搬进一个新场所,公司进入再造阶段,直到公司在它原来的主站点的新设施内恢复运作,公司才脱离紧急状态。
首先,应转移最不关键的功能。
13 人员安全问题
- OEP 场所人员紧急计划
- 胁迫
- 旅行
错题要点:
1、数据欺骗,计算机犯罪经常与内部人员有关,在涉及篡改数据之前暴露逻辑访问。
2、网络地址劫持,会对网络数据进行修改,网络地址嗅探,不会修改数据。
3、Salami techniques 意大利香肠术,雇员通过从多个账户划走少量的钱,存入资金到自己的银行账户。
4、Clipping level 限值水平,设置错误门限。
5、输入控制,输入或编辑的计数数据和时间戳与日期。输出控制,比如:确保打印的报告送达正确的用户,并在发放敏感文件前签署收据。
6、Loki attack exploits 洛基攻击利用一个隐蔽通道,基于icmp协议。
7、在入侵检测系统中,警报的组成部分:发生器、传感器、通讯装置。
8、two-man control 双人控制,相互审查和批准对方的工作。
9、clearing 擦除后的信息遇到键盘攻击,是不可恢复的, purging 清除后的信息在对实验室攻击是不可恢复。
知识点:
