[CISSP] [5] 保护资产安全

数据状态

1. 数据静态存储（Data at Rest）

指存储在磁盘、数据库、存储设备上的数据，例如：

硬盘、SSD
服务器、数据库
备份存储、云存储

安全措施

加密（Encryption）：如 AES-256 加密磁盘和数据库数据
访问控制（Access Control）：使用 RBAC（基于角色的访问控制）
数据完整性（Integrity Checks）：哈希校验（SHA-256）
物理安全（Physical Security）：限制数据中心访问

2. 数据传输中（Data in Transit）

指数据在网络上传输，例如：

电子邮件
Web 浏览
VPN 远程访问
API 通信

安全措施

传输加密（Encryption in Transit）：如 TLS（HTTPS）、IPSec VPN、SSH
网络安全（Network Security）：使用防火墙、入侵检测系统（IDS）、DLP
认证和完整性保护（Authentication & Integrity Checks）：使用数字签名、MAC（消息认证码）

3. 数据使用中（Data in Use）

指数据正在被处理、修改或访问，例如：

数据库查询
计算机内存处理
应用程序运行中的数据

安全措施

内存保护（Memory Protection）：防止 RAM 泄露、进程间数据泄露
最小权限（Least Privilege）：只允许必要的进程访问数据
数据清理（Secure Erase）：防止敏感数据残留在缓存或内存中
防止进程注入（Process Injection Prevention）：防止恶意代码访问数据

总结

数据状态	描述	安全措施
Data at Rest	存储中的数据	加密（AES）、访问控制、物理安全
Data in Transit	传输中的数据	TLS（HTTPS）、VPN、网络安全
Data in Use	处理中数据	内存保护、最小权限、防进程注入

IAM

IAM（Identity and Access Management，身份与访问管理） 是信息安全的关键领域，旨在确保正确的实体（用户、设备、系统）能够在正确的时间访问正确的资源，同时防止未经授权的访问。

IAM 主要组成部分

1. 身份管理（Identity Management）

身份管理用于创建、维护和管理用户身份，包括：

身份注册（Identity Registration）：用户如何加入系统（例如 HR 系统同步）
用户标识（User Identification）：用户名、UID、数字身份
身份验证（Authentication）：使用密码、OTP、指纹等方式确认用户身份

2. 访问控制（Access Control）

访问控制决定用户可以访问哪些资源，以及如何访问，包括：

RBAC（Role-Based Access Control）：基于角色的访问控制
ABAC（Attribute-Based Access Control）：基于属性的访问控制
MAC（Mandatory Access Control）：强制访问控制（通常用于军事安全）
DAC（Discretionary Access Control）：自主访问控制（文件权限管理）

3. 认证与授权（Authentication & Authorization）

身份验证（Authentication）：确认用户是谁（如 MFA、密码、PKI）
授权（Authorization）：确认用户是否可以执行某个操作（如 RBAC 权限分配）

4. 账户管理（Account Management）

生命周期管理（Account Lifecycle Management）：创建、修改、禁用账户
最小权限原则（Least Privilege）：用户只获得完成任务所需的最低权限
JIT（Just-in-Time Access）：临时权限提升，降低长期高权限账户的风险

技术	描述
SSO（Single Sign-On）	单点登录，允许用户使用一次认证访问多个系统
MFA（Multi-Factor Authentication）	多因素认证，提高安全性（密码 + 短信验证码 + 指纹）
LDAP（Lightweight Directory Access Protocol）	目录服务协议，常用于用户管理（如 Active Directory）
OAuth 2.0	授权框架，允许第三方应用访问资源
SAML（Security Assertion Markup Language）	用于身份联合认证（Federated Identity）
OpenID Connect（OIDC）	基于 OAuth 2.0 的身份认证协议
Privileged Access Management（PAM）	特权访问管理，控制管理员权限

DLP

1. DLP 保护的数据类型

PII（Personally Identifiable Information） ：个人身份信息（如身份证号、护照号、电话号码）
PHI（Protected Health Information） ：受保护的健康信息（如医疗记录、保险信息）
财务数据 ：信用卡号、银行账户信息
机密业务数据 ：知识产权、产品设计、源代码
受合规保护的数据：GDPR、HIPAA、PCI DSS 规定的数据

2.DLP 关键技术与策略

技术	描述
关键字匹配（Keyword Matching）	通过预定义的关键字（如 "Confidential"）检测敏感数据
正则表达式（Regex）	识别特定格式的数据（如信用卡号、身份证号）
指纹（Fingerprinting）	创建数据特征，识别类似文件
机器学习	通过 AI 识别异常数据流动
内容分析（Content Inspection）	解析文件内容，识别敏感数据
行为分析（UEBA）	监控用户行为，检测异常活动

3. DLP 主要应用场景

防止员工误发电子邮件 （拦截包含敏感数据的邮件）
阻止 USB 设备复制数据 （禁止将机密文件拷贝到 U 盘）
监控云存储 （防止上传公司数据到 Google Drive、Dropbox）
防止打印敏感文件 （监控打印任务，阻止泄密）
加密外发数据（邮件、文档自动加密）

Amazon AWS

AWS（Amazon Web Services）是全球领先的云计算平台 ，提供基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS），涵盖计算、存储、安全、网络、AI 等多个领域。

1. AWS 主要服务分类

服务	功能
EC2（Elastic Compute Cloud）	虚拟机计算实例
Lambda	无服务器（Serverless）计算
ECS（Elastic Container Service）	托管容器（Docker）服务
EKS（Elastic Kubernetes Service）	托管 Kubernetes 集群
Lightsail	简化的云服务器

存储（Storage）

服务	功能
S3（Simple Storage Service）	对象存储（数据加密、访问控制）
EBS（Elastic Block Store）	块存储（EC2 挂载）
Glacier	归档存储（长期存储数据）
FSx	Windows 文件系统
EFS（Elastic File System）	共享文件存储

数据库（Database）

服务	功能
RDS（Relational Database Service）	托管数据库（MySQL、PostgreSQL、SQL Server）
DynamoDB	NoSQL 数据库
Redshift	数据仓库
Aurora	高性能数据库
ElastiCache	缓存（Redis、Memcached）

网络（Networking & Content Delivery）

服务	功能
VPC（Virtual Private Cloud）	虚拟私有云
Route 53	DNS 服务
CloudFront	CDN（内容分发网络）
Direct Connect	物理专线连接 AWS
API Gateway	API 代理和管理

安全与合规（Security & Compliance）

服务	功能
IAM（Identity & Access Management）	身份与访问管理
AWS Shield	DDoS 保护
AWS WAF（Web Application Firewall）	Web 防火墙
CloudTrail	记录 API 调用日志
GuardDuty	监控异常活动
Security Hub	安全可视化中心
KMS（Key Management Service）	密钥管理（加密服务）
AWS Secrets Manager	保护 API 密钥、密码

2. AWS 安全威胁

AWS 作为云平台，也面临数据泄露、误配置、DDoS、API 滥用 等安全风险：
S3 桶误配置（开放公网） → 数据泄露
IAM 过度授权 → 账户劫持
暴露 API 密钥 → 账号被滥用（挖矿、攻击）
DDoS 攻击 → 业务中断（AWS Shield 可缓解）
数据未加密 → 可能被窃取

总结

AWS 提供 计算（EC2）、存储（S3）、数据库（RDS）、网络（VPC）、安全（IAM、WAF、GuardDuty） 等服务。
IAM 负责身份与访问管理，推荐最小权限原则（Least Privilege）。
DLP 保护数据泄露（S3 加密、EBS 加密、RDS 加密）。
日志 & 监控 采用 CloudTrail、GuardDuty、Security Hub。
遵循安全最佳实践，避免 S3 误配置、API 滥用、IAM 过度授权等问题。

HVAC

HVAC（供暖、通风和空调） 主要涉及物理安全（Physical Security） 和 环境控制（Environmental Controls） ，以确保数据中心和服务器设备在适宜的温度、湿度和空气质量下运行，防止过热、潮湿、静电或其他环境因素对 IT 设备的损害。

数据中心、服务器机房 需要严格的环境控制，以防止硬件故障、数据丢失、系统宕机 。HVAC 负责温度控制、湿度管理、空气流通，确保 IT 设备处于最佳运行状态。

防止设备过热 - 服务器过热可能导致性能下降或硬件损坏。
防止静电放电（ESD） - 低湿度环境容易引发静电，损害计算机硬件。
控制空气污染 - 过滤灰尘、颗粒物，防止污染损坏设备。
保障人员健康 - 确保良好的空气流通，减少空气污染对工作人员的影响。

数据销毁

数据销毁是一个关键的安全实践，涉及确保敏感数据在不再需要时被完全删除，以防止未经授权的访问或恢复。数据销毁的目标是确保数据无法被恢复、读取或访问，即使是通过高级技术手段也无法恢复。

物理销毁：
- 对存储介质进行物理破坏，如粉碎硬盘、切割磁带或其他物理销毁方式，确保数据无法被恢复。
逻辑销毁：
- 通过软件工具执行数据擦除，确保数据无法通过简单的恢复工具还原。常见的工具有DBAN、Blancco等，采用符合行业标准的算法进行覆盖。
符合标准和规范：
- CISSP推荐遵循国际公认的标准，如DoD 5220.22-M （美国国防部数据销毁标准）或NIST 800-88（美国国家标准与技术研究院的标准），确保销毁过程满足安全要求。
分类数据销毁：
- 对不同类型的数据采取不同的销毁方法。例如，对于金融数据，可能需要进行更加严格的销毁措施。

数据销毁流程：

评估数据重要性： 确定数据是否需要销毁，以及销毁的程度。
选择适当的销毁方法： 根据数据的存储介质和敏感性选择合适的销毁方法。
执行销毁操作： 使用合适的工具或方法执行数据销毁。
验证销毁效果： 确保数据已经完全销毁，无法恢复。
记录销毁过程： 记录销毁操作的细节，以便审计和合规性检查。

DRM-数字版权管理

DRM的主要目标：

保护版权： DRM可以防止未经授权的复制和分享，确保内容创作者和版权所有者能够保持对其创作的控制。
防止盗版： 通过对数字媒体进行加密和限制使用，DRM减少了盗版和非法分发的风险。
限制复制和共享： DRM通常通过限制内容的复制、打印、转发或下载来实现这些目标。
提供授权管理： DRM可以通过许可证、激活码或授权机制来限制用户访问或使用内容。

DRM的常见实现方式

加密： 使用加密算法保护数字内容，确保只有授权用户可以解密并使用内容。例如，某些音乐和电影文件可能会加密，只有通过合法购买或订阅才能解锁。
访问控制： 通过控制哪些用户或设备可以访问内容来限制非法使用。例如，只有登录了正确账户的用户才能观看某些视频或使用某个软件。
数字水印： 数字水印是一种隐秘地嵌入内容中的标记，用来追踪内容的来源。即使内容被复制或修改，水印仍然存在，可以帮助版权所有者追踪源头。
许可证管理： DRM系统会要求用户获取并验证许可证，才能访问或使用内容。许可证可能包含使用期限、复制次数或访问次数等限制。
设备绑定： DRM可以将内容与特定设备绑定，使得内容只能在特定设备上访问，防止用户在未经授权的设备上使用。

常见的DRM应用

音乐： 音乐流媒体平台（如Spotify、Apple Music）通常使用DRM来保护音乐内容，防止用户未经授权下载或分享歌曲。
电影和电视： 在线流媒体服务（如Netflix、Disney+）使用DRM来防止非法下载和分发视频内容。
电子书： 电子书平台（如Amazon Kindle、Adobe Digital Editions）利用DRM保护电子书，限制复制和转让。
软件： 软件开发商使用DRM防止软件盗版，要求用户输入序列号或使用激活码。

DRM的优缺点

优点：

保护版权和收入： DRM帮助保护创作者和出版商的收入来源，防止盗版。
控制使用： DRM可以精确控制用户如何使用、复制或共享内容。

缺点：

用户体验受限： DRM有时会限制用户在合法购买后享有的自由，例如限制在多个设备上播放内容，或限制内容的打印和复制。
兼容性问题： 不同的DRM技术可能导致不同平台和设备之间的不兼容，限制了内容的普及。
合法用途受限： 有时，DRM可能限制用户对已购买内容的合法使用，造成不便，例如无法在多个设备上共享或备份内容。

CASB-云访问安全代理

CASB（Cloud Access Security Broker，云访问安全代理） 是一种安全工具，位于用户与云服务之间，帮助组织管理和保护其云服务使用中的数据、用户行为和访问控制。CASB提供了多种功能，旨在确保云环境的安全性，减少风险并确保合规性，尤其是在使用多个云服务提供商时。

CASB的主要功能

访问控制：

CASB提供对用户和设备的访问控制，可以确保只有经过授权的用户才能访问特定的云应用程序或数据。通过集成身份验证和授权机制，CASB可以控制谁可以访问哪些云资源，以及何时和如何访问这些资源。
数据丢失防护（DLP）：

CASB能够识别、监控并防止敏感数据泄露或不当存储，尤其是在云环境中。通过数据丢失防护功能，CASB帮助组织确保敏感数据（如个人识别信息、财务数据等）不被泄露、滥用或未经授权访问。
威胁检测：

CASB可以分析云服务中的用户行为，以识别异常活动（如数据下载异常、登录位置异常等），从而帮助发现潜在的安全威胁或违规行为。它通常结合机器学习和人工智能来发现不正常的活动模式。
合规性管理：

CASB帮助组织遵守行业规定和法律要求，如GDPR（通用数据保护条例）、HIPAA（健康保险流通与问责法案）等。它可以自动检查云应用程序是否符合这些标准，并帮助生成审计报告以支持合规性审计。
加密和数据保护：

CASB可以对存储在云中的敏感数据进行加密，以确保即使在云服务提供商遭到攻破的情况下，数据仍然是安全的。此外，CASB还可以控制数据的共享方式，限制某些数据的共享或导出。
统一的可见性：

CASB提供跨所有云应用程序的可见性，帮助组织了解所有云服务的使用情况、数据流动和安全状况。这对于管理多个云服务和避免"shadow IT"（未经批准的云应用使用）至关重要。

AUP-接受使用政策

AUP（Acceptable Use Policy，接受使用政策） 是一种组织内部的政策，旨在定义和规范员工、用户或客户在使用公司网络、系统、应用程序和互联网资源时的行为。AUP明确规定了哪些行为是允许的，哪些行为是禁止的，从而确保公司资源的合理使用、安全性以及合规性。

AUP通常适用于组织的IT基础设施、网络资源、互联网连接、电子邮件系统、软件使用等。它是网络安全和信息安全政策的一部分，帮助减少滥用、数据泄露、恶意软件传播等安全风险。

AUP的主要内容

允许的行为：
- 合法用途：用户应当仅用于工作相关的合法活动，禁止进行任何非法行为（如侵犯版权、传播恶意软件等）。
- 资源的合理使用：组织允许用户合理使用网络和系统资源，例如浏览网页、使用公司提供的工具和软件，但要确保不会浪费带宽或影响其他用户的使用。
禁止的行为：
- 滥用网络资源：例如，用户不得将公司网络用于非法下载、观看不当内容、游戏或其他娱乐活动。
- 未经授权的访问：禁止用户未授权访问公司资源、服务器、文件等。
- 恶意行为：禁止使用公司的网络进行恶意活动，如发送垃圾邮件、攻击其他计算机系统、实施网络钓鱼等。
- 破坏或更改系统配置：用户不得随意更改系统设置或删除/修改重要文件。
- 隐私侵犯：不得未经授权查看或共享其他人的私人信息、公司机密或客户数据。
使用设备和软件的规定：
- 安装软件：用户必须遵守公司的软件安装政策，不得随意安装未经批准的软件。
- 设备使用：明确定义哪些设备可用于访问公司网络（如个人设备、公司提供的设备），并规范其使用权限。
监控和合规性：
- 监控活动：AUP可能明确表示，公司有权监控员工的互联网使用、邮件通信和文件传输，以确保政策的执行。
- 合规性检查：确保员工理解并遵守相关的法律法规，例如数据保护法（如GDPR）、版权法等。
安全规定：
- 密码和身份管理：要求员工使用强密码，定期更改密码，并妥善保管。
- 网络安全：禁止用户连接不安全的网络、使用公共Wi-Fi等，尤其是在处理敏感信息时。
后果和处罚：
- 违反政策的后果：AUP中会详细说明违反政策的后果，可能包括警告、罚款、暂停使用权，甚至解雇。
- 法律责任：违反AUP的行为可能还会导致法律责任，特别是涉及到非法活动或对公司造成损害的行为时。

AUP的实施

培训和教育：员工和用户应定期接受AUP的培训，确保他们了解并遵守该政策。
签署协议：通常，员工在入职时需要签署AUP协议，承诺遵守相关规定。
定期审核：AUP应根据公司需求和技术变化进行定期审查和更新，确保它能够应对新出现的安全威胁和技术挑战。

AUP的重要性

保护公司资源：AUP有助于确保公司网络、数据和设备的安全，防止滥用和未经授权的使用。
减少安全风险：通过限制某些行为，AUP帮助减少恶意软件传播、网络攻击、数据泄露等安全风险。
确保合规性：AUP有助于公司遵守与数据隐私、知识产权等相关的法律法规，避免法律纠纷。
提高员工意识：AUP有助于教育员工理解网络安全、数据保护和合规性的基本要求，培养安全的使用习惯。

AUP的示例

一个典型的AUP可能包括以下条款：

"不得使用公司网络或设备进行任何非法活动，包括但不限于侵权行为、诈骗、恶意软件传播等。"
"员工应当保护其账户密码，确保不与他人共享，并定期更改密码。"
"不得将公司资源用于个人娱乐或非工作相关活动，如在线播放视频、下载文件、玩游戏等。"
"公司有权监控网络使用情况，并采取必要措施确保遵守AUP。"

总结

AUP是组织确保信息技术资源安全和合规使用的关键工具。它有助于管理公司网络和系统的使用行为，降低数据泄露、滥用和安全威胁的风险。通过明确行为规范、监控措施和处罚机制，AUP为组织提供了清晰的指导，帮助员工理解如何合法、安全地使用公司的IT资源。

EOL/EOS

EOL（End of Life，生命周期结束） 和 EOS（End of Support，终止支持） 是与软件、硬件和产品生命周期相关的重要术语，特别是在信息安全和IT管理中至关重要。

1. EOL（End of Life，生命周期结束）

EOL 指的是产品的生命周期正式结束，制造商不再生产或销售该产品。

EOL 影响

不再销售：产品不会再被制造或提供给新客户。
可能仍有支持：某些厂商可能在EOL后的一段时间内仍然提供基本的技术支持或安全更新。
客户需要迁移：用户应考虑升级到新的替代产品，以避免使用过时技术带来的风险。

示例

Windows 7 于 2020 年 1 月 14 日进入 EOL，微软不再销售和推广 Windows 7，但部分企业用户仍可通过付费方式获得扩展支持（如 ESU，Extended Security Updates）。
Cisco 设备型号 EOL：当某些网络设备达到 EOL，Cisco 不再提供销售，并鼓励客户升级到新型号。

2. EOS（End of Support，终止支持）

EOS 指的是厂商不再提供技术支持、安全更新或维护。

终止支持意味着即使产品仍然可以使用，也不会再有官方补丁、漏洞修复或技术支持，这会带来严重的安全风险。
在企业环境中，继续使用 EOS 产品可能会违反安全合规性要求（如 PCI DSS、GDPR）。

EOS 影响

安全风险增加：由于没有官方补丁，漏洞不会被修复，容易被黑客利用。
合规性问题：许多法规（如 GDPR、HIPAA）要求使用受支持的软件，否则可能面临法律责任。
兼容性问题：新应用、新硬件可能不再支持过时的软件或系统。

示例

Windows Server 2012 EOS（2023 年 10 月 10 日）：微软停止提供安全更新，用户需升级到更新的 Windows Server 版本。
Adobe Flash Player EOS（2020 年 12 月 31 日）：Adobe 不再提供支持，浏览器也停止运行 Flash 内容。

EOL vs. EOS 的区别

对比项	EOL（生命周期结束）	EOS（终止支持）
影响	停止生产和销售，但可能仍有支持	停止所有技术支持和安全更新
使用风险	可能还能获得支持，但逐渐减少	继续使用会有安全和合规风险
建议	开始规划迁移到新版本	强烈建议升级，避免安全威胁

如何应对 EOL 和 EOS

提前规划迁移
- 监控厂商的产品生命周期公告，提前做好替代方案。
升级到受支持版本
- 例如，从 Windows 7 迁移到 Windows 10 或 Windows 11。
寻找替代支持
- 某些厂商（如 Red Hat、Microsoft）可能提供付费扩展支持（ESU、LTS）。
加强安全措施
- 如果暂时无法升级，应限制网络访问、加强监控、使用额外的安全防护（如 WAF、防火墙）。

总结

EOL（End of Life）：产品不再销售，但可能仍有支持。
EOS（End of Support） ：不再提供任何支持，存在安全风险，应尽快升级或更换。
最佳实践：监控 IT 资产生命周期，及时更新，降低安全风险和合规问题。