CISP考前知识点整理

信息安全保障

信息安全保障基础

信息安全的定义

“为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露”
安全的根本目的是保证组织业务可持续性运行

信息安全的问题根源

内因：信息系统复杂性导致漏洞的存在不可避免
外因：环境因素、认为因素

信息安全的特征

系统性、动态性、无边界、非传统

信息安全属性

基本属性（CIA）
保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）
其他安全属性
真实性、可问责性、不可否认性、可靠性

信息安全视角

国家视角
网络战、国家关键基础设施保护、法律建设与标准化
企业视角
业务连续性管理、资产保护、合规性
个人视角
隐私保护、社会工程学、个人资产安全

信息安全发展阶段

通信安全阶段
20世纪，40-70年代
主要关注传输过程中的数据保护
安全威胁：搭线窃听、密码学分析
核心思想：通过密码技术解决通信保密，保证数据的保密性和完整性
安全措施：加密
计算机安全阶段
20世纪，70-90年代
主要关注于数据处理和存储时的数据保护
安全威胁：非法访问、恶意代码、脆弱口令等
核心思想：预防、检测和减小计算机系统(包括软件和硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果。
安全措施：通过操作系统的访问控制技术来防止非授权用户的访问
信息系统安全阶段
20世纪，90年代后
主要关注信息系统整体安全
安全威胁：网络入侵、病毒破坏、信息对抗等
核心思想：重点在于保护比“数据”更精炼的“信息”
安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等
信息安全保障阶段
1996年，DoDD 5-3600.1首次提出了信息安全保障
关注信息、信息系统对组织业务及使命的保障
信息安全概念延伸，实现全面安全
我国信息安全保障工作
- 总体要求：积极防御，综合防范
- 主要原则：技术与管理并重，正确处理安全与发展的关系
网络安全空间阶段
互联网已经将传统的虚拟世界与物理世界相互连接，形成网络空间
新技术领域融合带来新的安全风险
- 工业控制系统
- “云大移物智”

核心思想：强调“威慑”概念
将防御、威慑和利用结合成三位一体的网络空间安全保障

信息安全保障新领域

工业控制系统
- 基本结构
  数据采集与监控系统（SCADA）
  分布式控制系统（DCS）
  可编程逻辑控制器（PLC）
- 安全威胁
  缺乏安全防护
  系统安全可控性不高
  缺乏安全管理标准和技术
- 安全架构
  管理控制：一是风险评价，二是规划，三是系统和服务采购，四是认证、认可和安全评价
  操作控制：人员安全、物理和环境保护、意外防范计划、配置管理、维护、系统和信息完整性、媒体保护、事件响应、意识和培训
  技术控制：识别和认证、访问控制、审计和追责、系统和通信保护
云计算
- 安全风险
  数据管理和访问失控的风险
  数据管理责任和风险
  数据保护的风险
- 安全架构
  云计算安全是一个交叉领域，涵盖物理安全到应用安全
  云计算安全覆盖角色：云用户、云提供者、云承载者、云审计者、云经纪人
  云计算安全服务体系三层架构
  - 安全云基础设施服务
  - 云安全基础服务
  - 云安全应用服务
- 虚拟化安全
  虚拟化安全和云计算中核心的安全问题
  确保虚拟化多租户之间的有效隔离
物联网
- 基本概念
  “信息社会的基础设施”
  物联网的核心和基础仍然是互联网
  其用户端延伸和扩展到了任何物品与物品之间
- 技术架构
  感知层、传输层、支撑层、应用层
- 安全威胁
  感知层：网关节点被控制，拒绝服务；接入节点的标识、识别、认证和控制
  传输层：拒绝服务攻击、欺骗
  支撑层：来自终端的虚假数据识别和处理、可用性保护、人为干预
  应用层：隐私保护、知识产权保护、取证、数据销毁
大数据安全
- 概念
  大数据是指传统数据架构无法有效处理的新数据集
- 价值
  趋势分析
- 大数据安全
  数据的生命周期安全，数据收集阶段、数据存储阶段、数据使用阶段、数据分发阶段、数据删除阶段
  技术平台安全
移动互联网
- 安全问题
  系统安全问题
  移动应用安全问题
  个人隐私泄露问题
- 安全策略
  政策管控
  APP分发管控
  加强隐私保护要求

信息安全保障框架

基于时间的安全模型

PDR模型

PDR模型
P，保护，Protection
D，检测，Detection
R，响应，Response
PDR模型思想
承认漏洞，正视威胁，采取适度防护、加强检测工作、落实响应、建立对威胁的防护来保障系统的安全
出发点：基于时间的可证明的安全模型
- 任何安全防护措施都是基于时间的，超过该时间段，这种防护措施是可能被攻破的
- 当Pt>Dt+Rt，系统是安全的
局限性
Pt、Dt、Rt很难准确定义
Pt：攻击者发起攻击时，保护系统不被攻破的时间；Dt：从发起攻击到检测到攻击的时间；Rt：从发现攻击到做出有效响应的时间。

PPDR模型

PPDR模型
P，策略，Policy
P，保护，Protection
D，检测，Detection
R，响应，Response
核心思想
所有的防护、检测、响应都是依据安全策略实施
数据法则
- Pt（防护时间、有效防御攻击的时间）
- Dt（检测时间、发起攻击到检测到的时间）
- Rt（反应时间、检测到攻击到处理完成时间）
- Et（暴露时间）
全新定义
及时的检测和响应就是安全，如果Pt<Dt+Rt那么，Et=(Dt+Rt)-Pt，Et越小就越安全
PPDR模型则更强调控制和对抗、考虑了管理的因素，强调安全管理的持续性、安全策略的动态性等
PPDR

信息安全保障技术框架（IATF）

美国国家安全局（NSA）制定
核心思想：深度防御
三个要素：人、技术、操作

四个焦点领域

保护网络和基础设置
- 骨干网可用行
- 无线网络安全框架
- 系统高度互联和虚拟专用网
保护区域边界
- 病毒、恶意代码防御
- 防火墙
- 人侵检测
- 远程访问
- 多级别安全
保护计算环境
- 使用安全的操作系统和应用软件
- 主机入侵检测系统、防病毒软件
- 主机脆弱性扫描、补丁加固
- 安全配置
- 文件完整性保护
- 数据备份
支撑性基础设施
- 密钥管理基础设施（KMI）
- 检测和响应基础设施

安全原则

保护多个位置
分层防御
安全强健性

特点

全方位防御、纵深防御将系统风险降到最低
信息安全不纯粹是技术问题，而是一项复杂的系统工程
提出“人”这一要素的重要性，人即管理

信息系统安全保障评估框架

信息系统保护轮廓（ISPP）- 提出保障需求
信息系统安全目标（ISST）- 提出保障方案
生命周期

计划组织
开发采购
实施交付
运行维护
废弃

保障要素

管理
工程
技术
人员

评估模型

企业安全框架

舍伍德商业应用安全架构

六个层级

背景层（业务视图）
概念层（架构视图）
逻辑层（设计视图）
物理层（建设视图）
组件层（实施者视图）
运营层（服务和管理视图）

生命周期
SABSA生命周期

SABSA生命周期

Zachman框架

开放群组架构框架（TOGAF）

网络安全监管

网络安全法律体系建设

计算机犯罪

计算机犯罪特点

多样化
复杂化
国际化

计算机犯罪趋势

从无意识犯罪到有组织犯罪
从个体损害向国家威胁发展
跨越计算机本身的实施能力
低龄化成为法律制约的难题

我国立法体系

立法是网络空间治理的基础工作
我国采取多级立法机制

网络安全法

网络安全法出台背景

2015.6.26 第15次人大一审
2016.6.28 第21次人大二审
2016.10.31 第24次人大三审
2016.11.7 发布

《网络安全法》基本概念

网络、网络安全
网络空间安全
关键信息基础设施
网络运营者
个人信息
网络数据

网络安全法主要结构 - 7章79条

网络安全法

第一章总则
明确网络空间主权原则
第二章网络安全支持与促进
建立和完善网络安全标准体系建设
统筹规划，扶持网络安全产业(产品、服务等)
推动社会化网络安全服务体系建设
鼓励开发数据安全保护和利用技术、创新网络安全管理方式
开展经常性网络安全宣传教育
支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流
第三章网络运行安全
明确要求落实网络安全等级保护制度
明确网络运营者的安全义务
明确网络产品、服务提供者的安全义务
明确一般性安全保护义务
关键信息基础设施保护
明确我国实行网络安全审查制度
2017年05月02日中央网信办正式发布《网络产品和服务安全审查办法（试行）》，并于2017年6月1日同《网络安全法》一同实施
第四章网络信息安全
重视对个人信息保护
规范信息管理
确定信息管理中相关职责
2017年05月02日国家互联网信息办公室正式发布《互联网新闻信息服务管理规定》（国信办1号令），于6月1日同《网络安全法》一起实施
同日国家互联网信息办公室一并发布《互联网信息内容管理行政执法程序规定》（国信办2号令），于6月1日同《网络安全法》一起实施
第五章监测预警与应急处置
工作制度化、法制化
第六章法律责任
对违反《网络安全法》的行为，第六章规定了民事责任、行政责任、刑事责任
附则

网络安全相关法规

行政法相关法规
民法相关法规
刑法相关法规

出售或者提供公民个人信息罪、非法侵入计算机信息系统罪、网络服务渎职罪等

其他网络安全相关法规及条款

国家安全法
保密法
电子签名法
反恐怖主义法
密码法

国家网络安全政策

国家网络空间安全战略

七种新机遇

信息传播的新渠道
生产生活的新空间
经济发展的新引擎
文化繁荣的新载体
社会治理的新平台
交流合作的新纽带
国家主权的新疆域

六大严峻挑战

网络渗透危害政治安全
网络攻击威胁经济安全
网络有害信息侵蚀文化安全
网络恐怖和违法犯罪破坏社会安全
网络空间的国际竞争方兴未艾
网络空间机遇和挑战并存

发展战略目标

和平、安全、开放、合作、有序

四项原则

尊重维护网络空间主权
和平利用网络空间
依法治理网络空间
统筹网络安全与发展

九大任务

坚定捍卫网络空间主权
坚决维护国家安全
保护关键信息基础设施
加强网络文化建设
打击网络恐怖和违法犯罪
完善网络治理体系
夯实网络安全基础
提升网络空间防护能力
强化网络空间国际合作

《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号

总体方针和要求
- 坚持积极防御、综合防范的方针
- 全面提高信息安全防护能力
- 重点保障基础信息网络和重要信息系统安全
- 创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全
主要原则
- 立足国情，以我为主，坚持技术与管理并重
- 正确处理安全和发展的关系，以安全保发展，在发展中求安全
- 统筹规划，突出重点，强化基础工作
- 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系

网络安全等级保护相关政策

《中华人民共和国计算机信息系统安全保护条例》规定了计算机系统实现安全等级保护
《GB 17859》正式细化等级保护要求，划分五个级别
《关于信息安全等级保护工作的实施意见的通知》规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发
网络安全法明确我国实行网络安全等级保护制度

网络安全道德准则

道德约束

道德的概念

一定社会或阶级用以调整人们之间利益关系的行为准则，也是评价人们行为善恶的标准

道德和法律

道德没有严谨的结构体系，法律是国家意志统一体系，有严密的逻辑

道德约束

道德约束是建立在完善的法律基础上
惩戒性条款的管理制度是组织内部建立职业道德约束的有效手段之一
培训与教育是不可或缺的增强员工道德意识的途径

职业道德准则

著名的计算机职业伦理守则

美国计算机学会职业伦理守则、英国计算机学会伦理守则、计算机伦理十诫

CISP职业道德准则

维护国家、社会和公众的信息安全
诚实守信，遵纪守法
努力工作，尽职尽责
发展自身，维护荣誉

信息安全标准

信息安全标准基础

标准的定义

为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件

标准类型

国际标准、国家标准、行业标准、地方标准

标准化的定义

为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动

标准化的基本特点

标准化是一个活动
标准化的对象可以概括为：物、事、人
标准化是一个动态的概念
标准化是一个相对的概念
标准化的效益只有应用后才能体现

标准化的工作原则

简化、统一、协调、优化

标准化组织

国际化标准组织
国际标准化组织（ISO）、国际电工委员会（IEC）、国际电信联盟（ITU）及国际电信联盟远程通信标准化组织（ITU-T）、Internet工程任务组（IETF）
国家标准化组织（美国）
美国国家标准化协会（ANSI）、美国国家标准技术研究院（NIST）

我国信息安全标准

中国国家标准化管理委员会

是我国最高级别的国家标准机构

全国信息安全标准化技术委员会（TC260)

TC260

我国标准分类

GB 强制性国家标准一经颁布必须贯彻执行，违反则构成经济或法律方面的责任
GB/T 推荐性国家标准自愿采用的标准，共同遵守的技术依据，严格贯彻执行
GB/Z 国家标准指导性技术文件
由于技术发展过程中或其他理由，将来可能达成一致意见指导性技术文件
实施后3年内必须进行复审

基础类标准

安全术语类、测评基础类、管理基础类、物理安全类、安全模型类、安全体系架构类

技术与机制

密码技术、鉴别机制、授权机制、电子签名、公钥基础设施、通信安全技术、涉密系统通用技术要求

管理标准

涉密服务、安全控制与服务、网络安全管理、行业/领域安全管理

测评标准

密码产品、通用产品、安全保密产品、通用系统、涉密通信系统、通信安全、政府安全检查、安全能力评估

网络安全等级保护标准族

等级保护标准体系

安全等级类：主要对如何进行信息系统定级做出指导
GB/T22240-2008 《信息安全技术信息系统安全保护等级保护定级指南》
各类行业定级准则
方法指导类：对如何开展等级保护工作做了详细规定
GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》
GB/T25070-2010《信息系统等级保护安全设计技术要求》等
状况分析类：对如何开展等级保护测评工作做出了详细规定
GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》
GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程指南》等
基线要求类：分技术类、管理类和产品类等标准，分别对某些专门技术、管理和产品的进行要求
例如：GB/T22239-2008 《信息安全技术信息系统安全等级保护基本要求》、GB/T20271-2006《信息系统通用安全技术要求》、GB/T21052-2007《信息系统物理安全技术要求》

等级保护标准体系

等级保护实施流程

定级、备案、安全建设和整改、等级测评、监督检查

等级保护标准发展

信息安全管理

信息安全管理基础

信息安全管理体系（Information Security Management System，ISMS）

基于风险评估和组织的风险接受水平

信息安全管理的作用

信息安全管理是组织整体安全管理重要、固有组成部分
信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用
信息安全管理能预防、阻止或减少信息安全事件的发生

对组织的价值

对内
对外

信息安全风险管理

风险

风险定义：事态的概率及其结果的组合
风险构成：威胁源、威胁行为、脆弱性、资产、影响
风险处置方法：减低风险、转移风险、规避风险、接受风险

风险

风险管理的价值

安全措施的成本与资产价值之间的平衡

常见风险管理模型

内部控制整合框架（COSO报告）
ISO31000
COBIT
ISMS

信息安全风险管理基本过程

四个阶段

背景建立
- 风险管理准备：确定对象、组建团队、制定计划、获得支持
- 信息系统调查：信息系统的业务目标、技术和管理上的特点
- 信息系统分析：信息系统的体系结构、关键要素
- 信息安全分析：分析安全要求、分析安全环境
风险评估
- 风险评估准备：制定风险评估方案、选择评估方法
- 风险要素识别：发现系统存在的威胁、脆弱性和控制措施
- 风险分析：判断风险发生的可能性和影响的程度
- 风险结果判定：综合分析结果判定风险等级
风险处理
- 现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以
- 处理目标确认：不可接受的风险需要控制到怎样的程度
- 处理措施选择：选择风险处理方式，确定风险控制措施
- 处理措施实施：制定具体安全方案，部署控制措施
批准监督
- 批准：是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定
- 持续监督：是指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险

两个贯穿

监控审查
沟通咨询

信息安全管理体系建设

信息安全管理体系建设成功的因素

PDCA过程

管理学常用的过程模型

P（Plan）：计划
D（Do）：实施
C（Check）：检查
A（Act）：行动

按照PDCA 进行循环，大环套小环，持续改进
PDCA是27001定义的过程方法

文档化

体系文件分类

一级文件方针、策略
二级文件制度、流程、规范
三级文件使用手册、操作指南、作业指导书
四级文件日志、记录、检查表、模板、表单

文件控制

建立、批准发布、评审与更新、文件保存、文件作废

信息安全管理体系最佳实践

结构

14个类别、35个目标、113个控制措施

描述方式

控制类、控制目标、控制措施、实施指南

信息安全管理体系度量

测量的概念

根据多个因素选择合理的测量方法

测量的目的

帮助管理层识别和评价不符合和无效的控制措施
帮助组织展示与组织信息安全管理体系的符合程度，并能产生管理评审过程的输入

27004测量模型

业务连续性

业务连续性管理

业务连续性（BC）

业务连续性（Business Continuity, BC）是组织对事故和业务中断的规划和响应，使业务可能在预先定义的级别上持续运行的组织策略和战术上的能力

业务连续性管理（BCM）

BCM（Business Continuity, BC）是找出组织有潜在影响的威胁及其对组织业务运行的影响，通过有效响应措施保护组织的利益、信誉、品牌和创造价值的活动，并为组织提供建设恢复能力框架的整体管理过程

BCM与组织机构
BCM应为业务战略服务
BCM是风险管理框架的补充，主要考虑业务中断的影响
BCM的生命周期
需求、组织和管理程序的确定
业务分析，确定关键业务流程和关键因素
制定业务策略
开发并执行业务持续计划(BCP)
意识培养和建立
计划演练

业务连续性计划（BCP）

业务连续性计划（Business Continuity Planning，BCP）是一套基于业务运行规律的管理要求和规章流程，能够使一个组织在突发事件面前迅速做出反应，以确保关键业务功能可以持续，而不造成业务中断或业务流程本质的改变
建立在对组织机构各种过程的风险评估之上

组织管理

理解业务组织
充分了解组织的体系结构及其组成部分
清晰每个业务流程及相互依赖关系
建立BCP团队
负责人、团队成员
评估BCP资源
购买和部署冗余设备、办公用品等
BCP开发过程，BCP测试、培训、和维护过程中的人力资源
BCP的合规性要求
法律法规合规性、合同的合规性

业务影响分析

提供量化度量以确定投入资源的优先顺序

工作内容
确定业务优先级
风险分析
可能性分析
度量标准
- 恢复时间目标（RTO），RTO=0业务未中断
- 恢复点目标（RPO），RPO=0数据未丢失

风险分析

识别并分析组织所面临的重大风险

风险要素识别

威胁分析、可能性分析、影响分析

BCP的制定

确定业务连续性计划要处理的风险及采取的措施

四种风险处置方式

风险降低、风险转义、风险规避、风险接收

信息安全应急响应

组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施。

信息安全事件与应急响应

信息安全事件分类

有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他安全事件
网络攻击事件：拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件、其他网络攻击事件

信息安全事件分级

参考要素
信息系统的重要程度、系统损失、社会影响
安全事件定级四级（GB/Z 20986—2007）
特别重大事件（I级）、重大事件（II级）、较大事件（III级）、一般事件（IV级）

信息安全应急响应组织

国际应急响应组织：计算机应急响应协调中心（CERT/CC）
国家应急响应组织：国家计算机网络应急技术处理协调中心（CNCERT/CC）

组织机构应急响应组织架构
应急响应领导小组、应急响应技术保障小组、应急响应专家小组、应急响应实施小组、应急响应日常运行小组

网络安全应急响应预案

应急响应预案

包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施、附件

应急演练

演练方式
桌面演练、模拟演练、实战演练
演练深度
数据级演练、应用级演练、业务级演练

信息安全应急演练的操作流程

应急事件通报、确定应急事件优先级、应急响应启动实施、应急响应时间后期运维、更新现有应急预案

计算机取证与保全

准备、保护、提取、分析、提交

信息安全应急响应管理过程

第一阶段：准备——让我们严阵以待
第二阶段：检测——对情况综合判断
第三阶段：遏制——制止事态的扩大
第四阶段：根除——彻底的补救措施
第五阶段：恢复——系统恢复常态
第六阶段：跟踪总结——还会有第二次吗

灾难备份与恢复

灾难备份与恢复基础

度量标准

RTO（Recovery Time Objective）
RTO是指灾难发生后，从IT系统崩溃导致业务停顿开始，到IT系统完全恢复，业务恢复运营为止的这段时间长度。RTO用于衡量业务从停顿到恢复的所需时间。
RTO=0业务未中断
RPO（Recovery Point Objective）
IT系统崩溃后，可以恢复到某个历史时间点，从历史时间点到灾难发生的时间点的这段时间长度就称为RPO。RPO用于衡量业务恢复所允许丢失的数据量。
RPO=0数据未丢失

灾难恢复组织

领导组、规划实施组、日常运行组

国家灾备政策及相关标准

27号文首次提出灾备概念，《国家信息化领导小组关于加强信息安全保障工作的意见》
重要信息系统灾难恢复指南:指明了灾难恢复的工作流程、等级划分和预案的制定框架
《GB/T 20988-2007》，规定了灾难恢复工作流程、灾难恢复等及方案设计、预案、演练
《灾难恢复中心建设与运维管理规范》，指出了灾备中心建设的全生命周期、灾备中心的运维工作

灾难恢复相关技术

存储技术

直接附加存储（DAS）
直接连接在各种服务器或客户端扩展接口下的数据存储设备，依赖计算机，是硬件堆叠，不带操作系统
优点：适用物理位置分散情况、容易实现打容量存储，性能较高、实施简单
缺点：对服务器依赖性强，占用服务器资源、扩展性较差、资源利用率低、可管理性差
存储区域网络（SAN）
专用网络、效率高、扩展方便
成本高、实施复杂、难度大
采用高速光纤通道，对速率、冗余性要求高
使用iSCSI存储协议，块级传输
大多数磁盘阵列系统使用
网络附加存储（NAS）
直接通过网络接口将存储设备与网络相连实现数据存储的机制
有独立IP地址，操作系统等
优点:易于安装和管理、不占用服务器资源、跨平台
不足:性能相对较差，因为数据传输使用网络，可能影响网络流量、甚至可能产生数据泄漏等安全问题

备份技术

备份方式
完全备份、增量备份、差异备份
备份介质
硬盘、磁带

冗余磁盘阵列

冗余磁盘阵列（ RAID）

RAID-O（条带）：提高了磁盘子系统的性能，但不提供容错能力
RAID-1（镜像）：磁盘一对一镜像，确保数据不丢失
RAID-5（奇偶校验）：三块以上磁盘，其中一块作为校验信息，允许第一磁盘损坏
RAID-10（RAID1+0或条带镜像）：至少4个磁盘，每个镜像中至少一个驱动器可以运行就可以继续运行；任何镜像中两个驱动器都损坏了，则整个阵列无法运行

备用场所

冷站：只有空间、无人管理
温站：硬件、软件、运行、无人管理
热站：空间、硬件、软件、运行、人员运维
镜像站：完全复制原主站–代价最大
移动站

灾难恢复策略

国际标准SHARE78

0级：无异地备份
1级：简单异地备份
2级：热备中心备份
3级：电子传输备份
4级：自动定时备份
5级：实时数据备份
6级：数据零丢失

我国灾难恢复等级

《重要信息系统灾难恢复指南》

7个要素
数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、技术支持能力、运行维护管理能力、灾难恢复预案
六个等级
第1级基本支持
第2级备用场地支持
第3级电子传输和部分设备支持
第4级电子传输及完整设备支持
第5级实时数据传输及完整设备支持
第6级数据零丢失和远程集群支持

组织常用的灾难恢复策略

数据容灾（首要前提）、系统容灾（基本基础）、应用容灾（主要关键）

容灾恢复管理过程

灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理

安全工程与运营

系统安全工程

系统安全工程基础

采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全的过程

良好安全工程的四个方面
策略、机制、保证、动机
三同步
同步建设、同步规划、同步适用

系统安全工程理论基础

系统工程思想

系统工程不是基本理论，也不属于技术实现，而是一种方法论

霍尔三维结构
时间维（阶段、过程）、逻辑维（工作、步骤）、知识维（专业、行业）

项目管理方法

项目过程控制：启动、计划、执行、控制和收尾

质量管理体系

国际标准ISO9000系列：机构、程序、过程、总结

能力成熟度模型（CMM）

工程实施组织的能力成熟度等级越高，系统的风险越低
CMM为工程的过程能力提供了一个阶梯式的改进框架
初始级、可重复级、已定义级、已管理级、优化级

系统安全工程能力成熟度模型（SEE-CMM）

获取组织（系统、产品的采购方）–甲方选取乙方
工程组织（系统开发和集成商）–帮助乙方做的更好
认证评估组织–监理评估

SSE-CMM体系结构

SSE-CMM的作用

获取组织（系统、产品的采购方）–甲方选取乙方
工程组织（系统开发和集成商）–帮助乙方做的更好
认证评估组织–监理评估

域维

基本实施（Base Practice，BP）
过程区域由BP组成
BP是强制实施
过程区域（Process Area，PA）
过程区域是过程的一种单位，每个过程区域包含一组集成的基本实施（BP）
过程类
工程过程类、组织过程类、项目过程类

能力维

通用实践（Generic Practice，GP）
管理、度量和制度方面的活动，可用于决定所有活动的能力水平
公共特征（Common Feature，CF）
由通用实践（GP）组成的逻辑域
能力级别
由公共特征（CF）组成的过程能力水平的级别划分，0-5共6个级别

SSE-CMM的安全工程过程

风险过程

PA04 评估威胁

BP.04.01 识别由自然因素所引起的有关威胁
BP.04.02 识别由人为因素所引起的有关威胁
BP.04.03 制定评判威胁的测度单位
BP.04.04 评估威胁源的动机和能力
BP.04.05 评估威胁事件出现的可能性
BP.04.06 监控威胁的变化

PA05 评估脆弱性

BP.05.01 选择识别和描述系统脆弱性的方法、技术和标准
BP.05.02 识别系统存在的脆弱性
BP.05.03 收集与脆弱性特征有关的数据
BP.05.04 对脆弱性进行综合分析，评判脆弱性或脆弱性组合可能带来的危害
BP.05.05 监控脆弱性的变化

PA02 评估影响

BP.02.01 对运行、业务或任务指令进行识别、分析和优先级排列
BP.02.02 识别系统资产
BP.02.03 选择用于评估影响的度量标准标识度量标准以及(若需要)度量标准
BP.02.04 转换因子之间的关系
BP.02.05 识别影响
BP.02.06 监控影响中发生的变化

PA03 评估安全风险

BP.03.01 选择风险所依据的方法、技术和准则
BP.03.02 识别威胁/脆弱性/影响三者之间的组合(暴露)
BP.03.03 评估与每个暴露有关的风险
BP.03.04 评估域风险相关的总体不确定性
BP.03.05 按优先级对风险进行排列
BP.03.06 监控风险的变化

工程过程

PA10 确定安全需求

BP.10.01 理解用户的安全需求
BP.10.02 识别适用的法律、策略、标准、外部影响和约束性
BP.10.03 识别系统用途，以确定其安全关联性
BP.10.04 描绘系统运行的安全视图
BP.10.05 定义高层的安全目标
BP.10.06 定义安全相关需求
BP.10.07 达成安全协议

PA09 提供安全输入

BP.09.01 理解安全输入需求
BP.09.02 确定安全约束和需要考虑的问题
BP.09.03 识别安全解决方案
BP.09.04 分析工程可选方案的安全性
BP.09.05 提供安全工程指南
BP.09.06 提供运行安全指南

PA01 管理安全控制

BP.01.01 建立安全职责
BP.01.02 管理安全配置
BP.01.03 管理安全意识、培训和教育大纲
BP.01.04 安全服务及控制机制的管理

PA08 监控安全态势

BP.08.01 分析事件记录
BP.08.02 监控变化
BP.08.03 识别安全突发事件
BP.08.04 监控安全防护措施的有效性
BP.08.05 审核安全态势
BP.08.06 管理对安全突发事件的响应
BP.08.07 保护安全监视的记录数据

PA07 协调安全

BP.07.01 定义协调目标
BP.07.02 识别协调机制
BP.07.03 促进协调
BP.07.04 协调安全决定和建议

保证过程

PA11 验证和证实安全

BP.11.01 识别验证和证实的目标
BP.11.02 定义验证和证实方法
BP.11.03 执行验证
BP.11.04 执行证实
BP.11.05 提供验证和证实的结果

PA06 建立保证论据

BP.06.01 识别保证目标
BP.06.02 定义保证策略
BP.06.03 控制保证证据
BP.06.04 分析证据
BP.06.05 提供保证论据

SSE-CMM的安全工程能力

14322

过程能力（Process Capability）：对过程控制程度的衡量方法，采用成熟度级别划分
过程能力的作用：

衡量组织达到过程目标的能力
成熟度高，达到预定的成本、进度、功能和质量目标的就越有把握
成熟度低，成本、进度、功能和质量都不稳定

安全运营

安全运营概述

建立机制对信息系统运行状况进行监控，对运行中的问题进行分析，发现问题的根源并协调资源进行解决以实现安全目标
信息安全运营更多的是面向组织机构的业务，与传统的IT运营相辅相成、互为依托、共享资源与信息

安全运营参考标准

COBIT：IT控制和IT度量评价
ITIL：IT过程管理、强调IT支持和IT交付
ISO27000：IT安全控制

安全运营管理

安全漏洞（Vulnerability）

安全漏洞也被成为脆弱性，
漏洞是信息系统中必然存在的安全问题，对漏洞进行管理是保障信息系统安全的重要工作
漏洞管理工作：漏洞检测、漏洞评估

补丁管理

主要步骤：评估补丁（较为重要）、测试补丁（较为关键）、批准补丁（常与变更管理联动）、部署补丁（人工、自动）、验证补丁（伴随跟进的过程）

变更管理

变更管理的过程：提交变更申请、审核变更申请、批准变更申请、实施变更、报告组织领导层

配置管理

定义和控制服务与基础设施的部件，并保持准确的配置信息

事件管理

事件管理流程涉及运营的整个生命周期，包括IT事件和安全事件

信息内容安全

内容安全基础

内容安全需求

内容来源可靠：数字资源来源可靠，借助数字版权管理技术，对其加以控制。
信息泄露：敏感信息泄露控制
非法信息：不良信息传播控制

数字版权

数字版权管理相关技术

数字版权管理(Digital Rights Management,DRM)
用于保护数字作品的版权的一种方式，从技术上防止数字媒体的非法复制和非法使用，确保最终用户在得到授权后才能使用的数字媒体。
主要采用的技术
数字水印、版权保护、数字签名、数据加密
DRM六大功能
数字媒体加密、阻止非法内容注册、用户环境检测、用户行为监控、认证机制、付费机制和存储管理

数字版权保护措施

数字对象标识符（Digital Object Identifier，DOI）系统
数字版权唯一标识符DCI（Digital Copyright Identifier）体系

信息保护

信息的泄漏途径

个人隐私信息泄露、组织机构的敏感信息泄露

组织信息保护

技术措施、管理措施

网络舆情

社会工程学与培训教育

社会工程学

利用人性弱点（本能反应、贪婪、易于信任等）进行欺骗获取利益的攻击方法
永远有效的攻击方法
人是最不可控的因素

培训教育

信息安全评估

针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程

安全评估基础

风险评估工作内容

确定保护的对象（保护资产）是什么？它们直接和间接价值？
资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？
资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？
一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？
组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度。

风险评估的价值

信息安全风险评估是信息安全建设的起点和基础
信息安全风险评估是信息安全建设和管理的科学方法
风险评估实际上是在倡导一种适度安全
保护网络空间安全的核心要素和重要手段

安全评估标准

ISO 15408==GB/T 18336

可信计算机系统评估标准（TCSEC）

美国政府国防部（DoD）标准
TCSEC经常被称为橙皮书

基本目标和要求
策略、问责、保证、文档
分级
D-最小保护、C-选择保护、B-强制保护、A-验证保护

信息技术安全评估标准（ITSEC）

将安全概念分为功能与功能评估两部分
功能准则：在测定上分F1-F10共10级
评估准则：分为6级

FC（联邦（最低安全要求）评估准则

引入了“保护轮廓（PP）”这一重要概念

保护轮廓包括
功能部分、开发保证部分、测评部分

供美国政府用，民用和商用

信息技术安全评估通用标准（CC）

目前最全面的信息技术安全评估准则，GBT18336
将评估过程分“功能”和“保证”两部分
CC强调将安全的功能与保障分离，并将功能需求分为九类63族，将保障分为七类29族
评估保证级（EAL）有七个级别

关键概念
评估对象（Target of Evaluation，TOE），作为评估主体（产品、系统、子系统等）的IT产品及系统以及相关的指导性文档。
保护轮廓（PP），满足特定用户需求的、一类TOE的、一组与实现无关的安全要求。
安全目标（Security Target，ST），作为指定的TOE评估基础的一组安全要求和规范。

意义、优势、局限性
通过评估有助于增强用户对于IT产品的安全信心
促进IT产品和系统的安全性
消除重复的评估
优势
国际标准化组织统一现有多种准则的努力结果;
已有安全准则的总结和兼容，是目前最全面的评价准则;
通用的表达方式，便于理解
灵活的架构，可以定义自己的要求扩展CC要求
局限性
CC标准采用半形式化语言，比较难以理解;
CC不包括那些与IT安全措施没有直接关联的、属于行政性管理安全措施的评估准则，即该标准并不关注于组织、人员、环境、设备、网络等方面的具体的安全措施;
CC重点关注人为的威胁，对于其他威胁源并没有考虑;
并不针对IT安全性的物理方面的评估(如电磁干扰);
CC并不涉及评估方法学;
CC不包括密码算法固有质量的评估。

信息系统等级保护测评标准

测评过程
测评准备、方案编制、现场测评、报告编制

安全评估实施

风险评估相关要素

资产

风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的

威胁

可能导致对系统或组织危害事故的潜在起因，分为人为因素和环境因素

脆弱性

漏洞

信息安全风险

人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
信息安全风险只考虑那些对组织有负面影响的事件

安全措施

保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制

残余风险

采取了安全措施后，信息系统仍然可能存在的风险

风险评估途径与方式方法

风险评估途径

基线评估、详细评估、组合评估

风险评估方式

自评估：由组织自身发起，组织自己实施或委托第三方实施
检查评估：由被评估组织的上级主管机关或业务主管机关发起

风险评估方法

基于知识的分析方法
定量分析
- 基础概念
  暴露因子（Exposure Factor, EF）:特定威胁对特定资产造成损失的百分比，或者说损失的程度。
  单一预期损失（single Loss Expectancy, SLE）:也称作SOC（Single Occurrence Costs）,即特定威胁可能造成的潜在损失总量。
  年度预期损失（Annualized Loss Expectancy, ALE）：或者称作EAC（Estimated Annual Cost），表示特定资产在一年内遭受损失的预期值
- 计算公式
  年度损失预期值（ALE） = SLE x 年度发生率（ARO）
  单次损失预期值（SLE） = 暴露因素（EF）x 资产价值（AV）
定性分析
目前采用最为广泛的一种方法
可能性（5级）X 影响（5级）

风险评估基本过程

风险评估准备

确定风险评估的目标、确定风险评估的范围、组建适当的评估管理与实施团队、进行系统调研、确定评估依据和方法、制定风险评估方案

风险识别

资产识别、威胁识别、脆弱性识别

风险分析

计算安全事件发生的可能性、计算安全事件发生后造成的损失、计算风险值

风险结果判定

评估风险的等级、综合评估风险状况

风险处理计划

对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划，管理措施、技术措施

残余风险评估

在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。

风险评估文档

信息系统审计

审计原则与方法

审计流程

计划：确定审计的目标和范围
现场工作和文件：收集数据并进行访谈以帮助分析潜在风险
问题发现和验证：潜在问题清单并验证
开发解决方案：与客户合作制定解决每个问题的行动计划
报告起草和执行
问题跟踪

审计技术控制

脆弱性测试、渗透测试、战争驾驶、其他漏洞类型、日志、合成交易、滥用用例测试、代码审查、接口测试

审计账户管理控制

账户管理、备份验证、灾难恢复和业务连续性、安全培训和安全意识培训、关键绩效和风险指标

审计报告

SAS70、SOC

信息安全支撑技术

密码学

密码学基本概念

密码学的发展历史

古典密码
基于算法，代替密码、置换密码、代替和置换相结合
近代密码
基于机械
现代密码
基于密钥，算法公开、密钥保密
公钥密码
基于公钥，私钥保密

基本保密通信模型

对称密码算法

特点：加密密钥和解密密钥相同，或实质上等同

典型算法

DES:密钥长度64b，仅56位有效，共加密16轮
3DES：密钥长度128b，共加密48轮
AES：密钥长度128b=10轮；192b=12轮；256b=14轮

优点与不足

优：高效（使用置换形式加密）
缺：安全交换密钥问题及密钥管理复杂

非对称密码算法/公钥密码算法

公钥密码使得发送端和接收端无密钥传输的保密通信成为可能！

特点：公钥和私钥

私钥加密+公钥解=鉴别
公钥加密+私钥解=加密数据

典型算法

DH（密钥交换协议）
RSA(主)
ECC

优点与不足

优：解决密钥传递问题、密钥管理简单、提供数字签名等其他服务
缺：计算复杂、耗用资源大

其他密码服务

哈希函数（HASH）

完整性校验
主要算法：MD5=128位、SHA-1=160位、SHA-256=256位
性质：不可逆；结果唯一；哈希前不论长度，哈希后生成同等长度的值；碰撞性
MAC（消息认证码），带着密钥的哈希

数字签名

哈希和鉴别（私钥加密+公钥解=鉴别）构成
作用：不可伪造性、不可否认性、消息完整性

公钥基础设施

CA（认证权威）、RA（注册权威）、CRL（黑名单认证）：LDAP标准、OCSP（在线认证）

身份鉴别

概念

作用
作为访问控制的一种必要支持，访问控制的执行依赖于确知的身份
作为数据源认证的一种方法
作为审计追踪的支持

鉴别系统的构成：验证者、被验证者、可信赖者
鉴别的类型：单向鉴别、双向鉴别、第三方鉴别

鉴别的方式

基于实体所知（知识、密码、PIN码等）
- 优缺点
  实现简单、成本低、提供弱鉴别
- 面临威胁
  暴力破解、木马窃取、线路窃听、重放攻击
基于实体所有（身份证、钥匙、智能卡、令牌等）
基于实体特征（指纹，笔迹，声音，视网膜等）
双因素、多因素认证

kerberos体系

基于对称密码算法为用户提供安全的单点登录服务

单点登录概念
1、单一身份认证，身份信息集中管理，一次认证就可以访问其授权的所有网络资源
2、单点登录实质是安全凭证在多个应用系统之间的传递或共享
单点登录的安全优势
1、减轻安全维护工作量，减少错误
2、提高效率
3、统一安全可靠的登录验证

Kerberos协议的优点

1、避免本地保存密码及会话中传输密码
2、客户端和服务器可实现互认

运行环境构成

密钥分发中心（KDC）
系统核心，负责维护所有用户的账户信息
由AS和TGS两个部分构成
认证服务器（AS:Authentication Server）
票据授权服务器（TGS:Ticket Granting Server）
应用服务器
客户端

其他概念

票据许可票据（TGT)、服务许可票据（SGT）

Kerberos认证过程-三次通信

第一次：获得票据许可票据（TGT）
第二次：获得服务许可票据（SGT）
第三次：获得服务

AAA协议

定义：认证、授权和计费（Authentication、Authorization、Accounting，AAA）
常见AAA协议：RADIUS协议、TACACS+协议、Diameter协议

访问控制

基本概念

定义：为用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理，防止对信息的非授权篡改和滥用

访问控制作用

保证用户在系统安全策略下正常工作
拒绝非法用户的非授权访问请求
拒绝合法用户越权的服务请求

访问控制模型

定义：对一系列访问控制规则集合的描述，可以是非形式化的，也可以是形式化的

自主访问控制

自主访问控制模型（DAC）

访问控制列表（客体：ACL）
访问能力表（主体：CL）
权能列表（Capacity List）

优点
根据主体的身份和访问权限进行决策
具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体
灵活性高，被大量采用
缺点
安全性不高
信息在传递过程中其访问权限关系会被改变

强制访问控制模型（MAC）

BLP（Bell-LaPadula）模型

安全级
密级（>=）：绝密、机密、秘密、公开
范畴（包含）：军事，外交，商务…..
安全级之间支配关系（密级高于或等于、范畴包含）
例如L=<机密，{外交，商务}>，L’=<秘密，{商务}>，则L支配L’
安全策略
简单安全规则（向下读），*-规则（向上写），增加机密性

Biba模型

完整级：安全级和范畴
安全级：极为重要，非常重要，重要，……
范畴：军事，外交，商务…..
完整级存在支配关系
与BLP类似，安全级高于或等于，范畴包含
安全策略
向上读：主体可以读客体，当且仅当客体的完整级别支配主体的完整级
向下写：主体可以写客体，当且仅当主体的完整级别支配客体的完整级
增加完整性

Clark-Wilson模型

由计算机科学家David D. Clark和会计师David R. Wilson发表于1987年
确保商业数据完整性的访问控制模型，侧重于满足商业应用的安全需求

Clark-Wilson模型的访问控制策略
每次操作前和操作后，数据都必须满足这个一致性条件

Chinese Wall模型

基于角色访问控制模型（RBAC）

RBAC模型四种类型

RBAC0，基本模型，规定了所有RBAC的基本内容，四种要素，用户(U)、角色(R)、会话(S)和权限(P)
RBAC1：包含RBAC0，加入安全等级及角色继承关系
RBAC2：包含RBAC0，加入约束条件，例如财务和会计不能为同一人
RBAC3：结合了RBAC1、RBAC2

特权管理基础设施

PKI

“你是谁”
身份与公钥绑定
身份鉴别（护照）
RCA-CA-RA，LDAP，CRL

PMI

“你能做什么”
身份（角色）与角色（属性、权限）绑定
授权管理（签证）
SOA-AA-ARA，LDAP，ACRL

物理与网络通信安全

安全物理

自然灾害（地震、雷击、暴雨、泥石流等）
环境因素（治安、交通、人流及经营性设施风险）
设备安全、介质安全、传输安全

OSI模型

应用层（数据）

应用层

主要设备：NGFW
常见端口：telnet：23、ssh：22、dns：53、https：443、smtp：25、pop3：110、rdp：3389、ftp：20/21、Oracle：1521、radius：1812/1813、qq：4000/8000

表示层

会话层

数据流层

传输层

涉及协议：TCP、UDP

网络层

主要设备：路由器
涉及协议：IP、ICMP
保障机密性与完整性

数据链路层

主要设备：交换机
涉及协议：MAC、PPP、ARP

物理层

分层的优点

各层间相互独立
降低复杂性
促进标准化工作
协议开发模块化

OSI安全体系结构

五类安全服务

鉴别服务、访问控制服务、数据完整性服务、数据保密性服务和抗抵赖服务

八种安全机制

加密、数据签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制和公正

TCP/IP协议安全

TCP/IP协议结构（4层）

应用层

主要协议：

FTP、HTTPS、SSH等

安全问题

拒绝服务：超长URL链接
欺骗：跨站脚本、钓鱼式攻击、cookie欺骗
窃听：数据泄漏
伪造：应用数据篡改
暴力破解：应用认证口令暴力破解等

传输层

主要协议

TCP（传输控制协议）
提供面向连接的、可靠的字节流服务

三次握手建立连接

四次握手断开连接

UDP（用户数据报协议）
提供面向事务的简单不可靠信息传送服务

TCP包头

端口号范围：0-65535 （查看本地开放的端口号：netstat -an netstat -antpl）
源端口号：客户端进程随机产生，一般是从50000开始
目标端口号：一般是服务器固定的如：mysql：3306
序列号sseq：TCP为每个字节都进行了编号
确认号ack：通过ack确认每个字节是否收到，判断是否需要重传
控制位
- SYN：请求建立连接位
- FIN：请求断开连接位（finish）
- RST：重置位，强制对方断开连接，释放会话
- PSH：推送位，推送数据到应用层，为1时代表有应用层数据
- ACK：确认位，该位为开关，为1时，ack号有效，为0时，ack号无效
- URG：紧急位，为1时，代表有紧急数据必须马上推送到第一层，需要与紧急指针配合
窗口大小：通知对方自己的缓存接收能力，可以实现流控制
校验和：校验整个TCP段

安全问题

拒绝服务：syn flood/udp flood/Smurf
欺骗：TCP会话劫持
窃听：嗅探
伪造：数据包伪造

互联网络层

核心协议：IP

IP包头

IP报头

1、源IP 目标IP
2、首部长度：20-60（因为三层包头长度不固定）
3、总长度：代表了345层的整体长度（超过1500就要分片）
4、标示符：区分不同的数据流（同一个流中的所有的分片的标示符相同）
5、段偏移量：决定一个分片在数据流中的先后顺序（伪造修改这个字段实现泪滴攻击）
6、TTL：生存周期（防止一个数据包在网络上无限循环）
范围 0-255 每经过一个路由器都会减1，为0时，被路由器丢弃
7、协议号：6代表上层是TCP协议、17代表上层是UDP协议
8、优先级与服务类型提供3层的QoS

安全问题

拒绝服务：分片攻击（teardrop）/死亡之ping
欺骗：IP源地址欺骗
窃听：嗅探
伪造：IP数据包伪造

网络接口层

主要协议

ARP、RARP

安全问题

损坏：自然灾害、动物破坏、老化、误操作
干扰：大功率电器/电源线路/电磁辐射
电磁泄漏：传输线路电磁泄漏
欺骗：ARP欺骗
嗅探：常见二层协议是明文通信的
拒绝服务：mac flooding，arp flooding等

TCP-IP协议族分层结构

基于TCP-IP协议族的安全架构

下一代IPV6协议：自行了解

无线通信安全

蓝牙通信安全

安全威胁

保密性威胁：密钥生成基于配对的PIN
完整性威胁：未授权设备实施的中间人攻击
可用性威胁：拒绝服务
非授权连接

蓝牙安全应用

蓝牙设备选择：技术上应具备抵抗以上威胁的能力
蓝牙设备使用：企业应用应建立管理要求

无线局域网安全协议-WEP

共享密钥认证
提供功能
开放式认证系统

无线局域网安全协议-WPA、WPA2

WPA（802.11i草案）
WPA2(802.11i正式)

802.11i运行四阶段

发现AP阶段
802.11i认证阶段
密钥管理阶段
安全传输阶段

WAPI无线安全协议

WAPI的安全优势
双向三鉴别（服务器、AP、STA）
高强度鉴别加密算法
构成
WPI，用于保护传输安全
WAI，用于用户身份鉴别

安全措施

加密、认证及访问控制
访客隔离
安全检测措施

RFID通信安全

安全威胁

针对标签攻击：数据窃取、标签破解及复制
针对读写器的攻击：拒绝服务、恶意代码
针对无线信道的攻击：干扰、嗅探

安全防护

重要的RFID标签（例如用于身份鉴别），支持Kill和休眠的标签
涉及资金的应用使用在线核查方式
使用高安全加密算法的标签

典型网络攻击防范

欺骗攻击

通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术

DNS欺骗

IP欺骗

ARP欺骗

ARP协议特点：无状态，无需请求可以应答
ARP实现：ARP缓存

拒绝服务攻击

让被攻击的系统无法正常进行服务的攻击方式

拒绝服务攻击方式

利用系统、协议或服务的漏洞
目标系统服务资源能力
混合型

典型攻击

SYN Flood
伪造虚假地址连接请求，消耗主机连接数
UDP Flood
利用UDP协议实现简单、高效，形成流量冲击
Teardrop
构造错误的分片信息，系统重组分片数据时内存计算错误，导致协议栈崩溃
分布式拒绝服务攻击（DDoS）

拒绝服务攻击的防御

管理防御
业务连续性计划（组织共同承担，应对DoS攻击）
协调机制（运营商、公安部门、专家团队）
技术防御
安全设备（防火墙、抗DoS设备）
增强网络带宽
自身强壮性（风险评估、补丁、安全加固、资源控制）
监测防御
应急响应（构建监测体系）

网络安全防护技术

边界安全防护

防火墙

作用
控制：在网络连接点上建立一个安全控制点，对进出数据进行限制
隔离：将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护
记录：对进出数据进行检查，记录相关信息
主要技术
静态包过滤
应用代理
状态检测
部署位置
可信网络与不可信网络之间
不同安全级别网络之间
两个需要隔离的区域之间
部署方式
单防火墙（无DMZ）部署方式
单防火墙（DMZ）部署方式
双防火墙部署方式

网闸(安全隔离与信息交换系统)

外部处理单元、内部处理单元、中间处理单元
断开内外网之间的会话（物理隔离、协议隔离）
同时集合了其他安全防护技术

其他边界安全防护技术

IPS（Intrusion Prevention System）、防病毒网关、统一威胁管理（Unified Threat Management，UTM）

检测与审计

入侵检测系统

入侵检测系统的作用
主动防御，防火墙的重要补充
构建网络安全防御体系重要环节
入侵检测系统功能
发现并报告系统中未授权或违反安全策略行为
为网络安全策略的制定提供指导
分类
网络入侵检测
主机入侵检测
检测技术
误用检测：也称为特征检测，可能出现漏报
异常检测：可能出现误报

安全审计系统

接入管理

VPN：虚拟专用网络（Virtual Private Network,VPN）

VPN实现技术
- 隧道技术
  二层隧道：PPTP、 L2F、L2TP
  IPSEC
  SSL
密码技术

网络准入控制

计算环境安全

操作系统安全

操作系统安全机制

操作系统安全目标

标识系统中的用户和进行身份鉴别
依据系统安全策略对用户的操作进行访问控制，防止用户和外来入侵者对计算机资源的非法访问
保证系统自身的安全和完整性
监督系统运行的安全性

实现目标的安全机制

标识与鉴别、访问控制、权限管理、信道保护、安全审计、内存存取保护、文件系统保护等

Windows

Windows系统的标识
安全主体（账户、计算机、服务等）
安全标识符（Security Identifier，SID）
Windows系统用户信息管理
存储在注册表中，运行期锁定
操作权限system，依靠系统服务进行访问
示例：Windows密码散列值（LM-Hash）
身份鉴别
- 远程鉴别
  SMB、LM、NTLM
- 本地鉴别
Windows的访问控制
访问控制列表(ACL),仅NTFS文件系统支持
访问令牌（包含SID和特权列表），以用户身份运行的进程都拥有该令牌的一个拷贝
权限管理
用户帐户控制（UAC），标准受限访问令牌&完全访问令牌
安全审计
Windows日志（系统、应用程序、安全）
应用程序和服务日志（IIS日志等）

linux

Linux/Unix系统的标识
安全主体：用户标识号（User ID）root=0、普通用户从500开始
Linux系统用户信息管理
- 用户帐号文件(/etc/passwd)
  使用不可逆DES算法加密的用户密码散列（早期）
  文本格式、全局可读
- 影子文件(/etc/shadow)
  存储存放用户密码散列、密码管理信息等
  文本格式，仅对root可读可写
Linux下的访问控制
需要文件系统格式支持
权限类型：读（r）、写（w）、执行（x）（ UGO管理机制）
- 文件：读、写、执行、拒绝访问
- 目录：读、写

权限表示方式：模式位

Linux访问控制

权限管理
限制对root使用，su及sudo命令
Suid位：任何用户执行文件运行权限都为文件所有者的权限
安全审计
连接时间日志、进程统计、错误日志、应用程序日志

信道保护

正常信道保护、隐蔽信道的发现和处理

内存保护与文件系统保护

内存保护
进程间/系统进程内存保护
段式保护、页式保护和段页式保护
文件系统保护机制
访问控制列表
加密
- Windows(EFS、Bitlocker)
- Linux(eCryptfs)

操作系统安全配置要点

安全补丁

最小化部署

远程访问控制

开发端口、远程连接限制

账户策略及密码策略

密码设置一般性原则
严禁使用空口令和与用户名相同的口令
不要选择可以在任何字典或语言中找到的口令
不要选择简单字母组成的口令
不要选择任何和个人信息有关的口令
不要选择短于6个字符或仅包含字母或数字
不要选择作为口令范例公布的口令
采用数字、字母、特殊符号混合并且易于记忆
密码策略（避免弱口令）
密码必须符合复杂性要求
密码长度最小值
强制密码历史
帐号锁定策略（应对暴力破解）
帐户锁定时间
帐户锁定阈值
重置帐户锁定计数器

安全审计

日志设置
日志项、存储空间、访问权限
日志服务器

其他安全设置

安全增强软件（防病毒、主机入侵检测、安全加固软件等）
针对操作系统特性的设置
- Windows关闭共享、自动播放功能
- Linux中默认创建文件权限等

信息收集与系统攻击

信息收集

收集哪些信息

信息系统相关资料
域名、网络拓扑、操作系统、应用软件、相关脆弱性
组织相关资料
组织架构及关联组织、地理位置细节、电话号码、邮件等联系方式、近期重大事件、员工简历
其他可能令攻击者感兴趣的任何信息

公开信息收集

方向
- 快速定位
  某开源软件xxxx.jsp脚本存在漏洞，Google 搜索“xxxx.jsp”可以找到存在此脚本的Web网站
- 信息挖掘
  定点采集、隐藏信息、后台入口
防范
信息展示最小化原则，不必要的信息不要发布

网络信息收集

方向
正常服务（如whois）
系统功能：Ping、tracert
防范
部署网络安全设备（IDS、防火墙等）
设置安全设备应对信息收集（阻止ICMP）

系统及应用信息收集

方向
服务旗标、欢迎信息、端口扫描、TCP/IP协议指纹识别
防范
修改默认配置（旗标、端口等）、减少攻击面

缓冲区溢出

基础概念

堆栈、指针、寄存器

攻击原理

利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变

危害

最大数量的漏洞类型
漏洞危害等级高

缓冲区溢出攻击过程

防范

用户
补丁、防火墙
开发人员
编写安全代码，对输入数据进行验证
使用相对安全的函数
系统
缓冲区不可执行技术
虚拟化技术

恶意代码防护

恶意代码基础

定义

恶意代码，是指能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码。指令

类型

二进制代码、脚本语言、宏语言等

表现形式

病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等

恶意代码传播方式

文件传播

感染文件、移动介质

网络传播

网页、电子邮件、即时通讯、共享、漏洞

软件部署

逻辑炸弹、预留后门、文件捆绑

恶意代码的预防技术

增强安全策略与意识

减少漏洞

补丁管理、主机加固

减轻威胁

防病毒软件、间谍软件检测和删除工具、入侵检测/入侵防御系统、防火墙、防病毒网关等

恶意代码检测技术

特征码扫描

工作机制：特征匹配
病毒库（恶意代码特征库）
扫描（特征匹配过程）
优势
准确(误报率低)
易于管理
不足
效率问题（特征库不断庞大、依赖厂商）
滞后（先有病毒后有特征库，需要持续更新）

行为检测

工作机制：基于统计数据
恶意代码行为有哪些
行为符合度
优势
能检测到未知病毒
不足
误报率高
难点：病毒不可判定原则

恶意代码分析技术

静态分析、动态分析

恶意代码的清除

感染引导区型恶意代码的清除

修复/重建引导区

文件依附型恶意代码的清除

附着型：逆向还原（从正常文件中删除恶意代码）
替换型：备份还原（正常文件替换感染文件）

独立型恶意代码的清除

内存退出，删除文件

嵌入型恶意代码的清除

更新软件或系统
重置系统

基于互联网技术的防御

恶意代码监测与预警体系

蜜罐、蜜网

恶意代码云查杀

分布式计算

应用安全

Web应用安全

HTTP(超文本传输协议)工作机制-请求响应模式

HTTP协议安全问题

信息泄漏（明文传输数据）
弱验证（会话双方没有严格认证机制）
缺乏状态跟踪（请求响应机制决定http是一个无状态协议）

Web服务端软件安全问题

服务支撑软件安全问题
软件自身安全漏洞
软件配置缺陷
应用软件安全问题

Web应用的安全问题

SQL注入

原理
程序没有对用户输入数据的合法性进行判断，使攻击者可以绕过应用程序限制，构造一段SQL语句并传递到数据库中，实现对数据库的操作
SQL注入的危害
数据库信息收集、操作数据库、控制操作系统
SQL注入的防御
白名单：限制传递数据的格式
黑名单：过滤
部署防SQL注入系统或脚本

跨站脚本攻击

原理
由于程序没有对用户提交的变量中的HTML代码进行过滤或转换，使得脚本可被执行，攻击者可以利用用户和服务器之间的信任关系实现恶意攻击
危害
敏感信息泄露、账号劫持、Cookie欺骗、拒绝服务、钓鱼等
防范
不允许HTML中脚本运行
对所有脚本进行严格过滤

其他

失效的验证和会话管理
不安全的对象直接引用
跨站请求伪造（CSRF）
不安全的配置管理
不安全的密码存储
错误的访问控制
传输保护不足
未经验证的网址重定向
不恰当的异常处理
拒绝服务攻击

Web安全防护技术

Web应用防火墙、网页防篡改

电子邮件安全

POP3/SMTP协议工作机制

简单的请求响应模式

安全问题

信息泄漏（用户帐号密码、邮件内容）
邮件伪造（社会工程学攻击）
垃圾邮件

安全解决方案

使用SSL保护会话、安全邮件协议、安全策略

其他互联网应用安全

远程接入、域名系统、即时通信

数据安全

数据库安全措施

用户标识与鉴别、授权与访问控制、数据加密、安全审计

数据库安全防护

检查、监控、审计；构建深度防御体系；安全特性检查；运行监控；安全审计

数据防泄露

软件安全开发

软件安全开发生命周期

软件生命周期模型

瀑布模型

最早出现的软件开发模型

核心思想
按工序将问题简化
将功能的实现与设计分开
不足
没有对开发周期后期发现错误做出相应的规定

瀑布模型

迭代模型

瀑布模型的小型化应用、完整的工作流程

降低风险
增量开支的风险
产品无法按期进入市场的风险
加快开发进度
任务清晰
需求更容易随需而变

迭代模型

增量模型

融合了瀑布模型和迭代模型的特征
本质上是迭代，每个增量发布一个可操作产品

增量模型

快速原型模型

快速原型模型又称原型模型，它是增量模型的另一种形式；它是在开发真实系统之前，构造一个原型，在该原型的基础上，逐渐完成整个系统的开发工作

螺旋模型

兼顾快速原型的迭代的特征以及瀑布模型的系统化与严格监控
引入了其他模型不具备的风险分析，使软件在无法排除重大风险时有机会停止，以减小损失
构建原型是螺旋模型用以减小风险的途径

螺旋模型

快速原型模型

软件危机与安全问题

软件危机

第一次“软件危机”- 20世纪60年代
根源：日益庞大和复杂的程序对开发管理的要求越来越高
解决：软件工程
第二次“软件危机”- 20世纪80年代
根源：软件规模继续扩大，程序数百万行，数百人同时开发，可维护性难
解决：面向对象语言-C++/java/c#
第三次“软件危机”- 21世纪头十年
根源：软件安全
解决：软件安全开发生命周期管理

软件缺陷普遍存在

千行代码缺陷数量
普通软件公司：4～40
高管理软件公司：2~4
美国NASA软件：0.1
CMMI分级（5级）

CMMI分级标准

软件安全问题

软件安全问题产生原因

内因
软件规模增大,功能越来越多,越来越复杂
软件模块复用，导致安全漏洞延续
软件扩展模块带来的安全问题
外因
互联网发展对软件安全的挑战
开发环境和开发人员对软件安全的挑战
- 开发者缺乏安全开发的动机
- 开发者缺乏相关知识
- 缺乏安全开发工具

软件安全保障

贯彻风险管理的思想

安全不必是完美无缺的，但风险必须是可管理的
树立对软件安全控制的信心，该信心是通过保障活动来获取的

通过在软件开发生命周期各阶段采取必要的、相适应的安全措施来避免绝大多数的安全漏洞

软件安全开发覆盖软件整个生命周期

软件安全问题越早解决成本越低

软件安全开发生命周期模型

安全开发生命周期（SDL）

七个阶段
培训、要求、设计、实施、验证、发布、响应
十七项必需的安全活动

微软SDL阶段定义

CLASP（OWASP）综合的轻量应用安全过程

用于构建安全软件的轻量级过程，由30个特定的活动(activities)和辅助资源构成的集合
针对这些活动给出了相应的指南、导则和检查列表
基于角色的安排

软件能力成熟度集成模型（CMMI）

CMMI(软件能力成熟度集成模型)

SAMM（OWASP）软件保证成熟度模型

提供了一个开放的框架，用以帮助软件公司制定并实施所面临来自软件安全的特定风险的策略

SAMM总体结构

BSI系列模型（Gary McGraw等）

软件安全的三根支柱
风险管理：策略性方法
接触点：一套轻量级最优工程化方法，攻击与防御综合考虑
安全知识：强调对安全经验和专业技术进行收集汇总，对软件开发人员进行培训，并通过安全接触点实际运用

BSI(Building Security IN)
使安全成为软件开发必须的部分
强调应该使用工程化的方法来保证软件安全
BSI成熟度模型（BSIMM）
对真实的软件安全项目所开展的活动进行量化
构建和不断发展软件安全行动的指南

BSI（Building Security IN）内建安全模型

软件安全需求及设计

威胁建模

定义

威胁建模是了解系统面临的安全威胁，确定威胁风险并通过适当的缓解措施以降低风险，提高系统安全性的过程

成因

帮助在设计阶段充分了解各种安全威胁，并指导选择适当的应对措施
对可能的风险进行管理
可以重新验证其架构和设计
有助于软件的受攻击面降低

威胁建模流程

确定对象
确定要保护和评估的目标（资产）
识别威胁
识别每一个可能面临的威胁
评估威胁
评估威胁风险值
评估被利用和攻击发生的概率
评估攻击后资产的受损后果，并计算风险
消减威胁
重新设计并排除这个威胁
使用标准的威胁消减技术
发明新的消减方法
根据安全Bug标准来确定是否可接受风险
把威胁作为漏洞记录下来，以后再想办法消减

STRIDE模型

威胁	名称	受影响的安全属性
S	Spoofing（哄骗）	可鉴别性
T	Tampering（篡改）	完整性
R	Repudiation（抵赖）	不可抵赖性
I	Information Disclosure（信息泄露）	机密性
D	Denial of Service（拒绝服务）	可用性
E	Elevation of Privilege（权限提升）	授权

软件安全需求分析

软件安全需求分析
以风险管理为基础，建立“威胁”分析计划
建立软件安全需求定义，确保软件安全需求定义正确
安全需求应文档化
安全需求分类
安全功能需求
安全保障需求
需求分析的要点
安全需求进行有效定义
不仅考虑系统功能，还要考虑系统不应该做什么
功能需求、安全需求、安全目标要达到平衡
需求分析过程
系统调查
定性分析系统的脆弱点和可能遭受的安全威胁
脆弱点和安全威胁的定量分析
需求的确定

软件安全设计

软件系统的每一项需求，都应该在软件安全设计阶段认真考虑

安全概要设计阶段

安全体系结构设计、各功能块间的处理流程、与其他功能的关系、安全协议设计、安全接口设计等

安全详细设计阶段

模块设计、内部处理流程、数据结构、输入/输出项、算法、逻辑流程图等

安全设计的主要活动

详细风险评估、控制措施选择、安全技术实现、安全设计评审

安全设计原则

最小特权原则、权限分离原则、最少共享机制原则、完全中立原则、心理可接受原则、默认故障处理保护原则、经济机制原则、不信任原则、纵深防御原则、保障最弱环节原则、公开设计原则、隐私保护原则、攻击面最小化原则

软件安全防御

分析软件攻击面

分析产品功能的重要性（是否必须）
分析从哪里访问这些功能（本地&远程）
分析访问权限（匿名&经过认证）

降低攻击面

作用
攻击面越小，安全风险越小
实现
取消不需要的功能
增加对功能的安全防护

降低攻击面策略

重要等级为低的功能：攻击面大，取消该功能
重要等级为中的功能：攻击面大，设置为非默认开启，需要用户配置后才予以开启
重要等级为高的功能：攻击面大，关闭或限制一些接口方式，增加一些安全的保证措施或技术

软件安全实现

安全编码原则

验证输入

范围
对所有输入数据进行检查、验证及过滤
验证时间
最初接收数据时
（第一次）使用数据时
常见输入源
命令行、环境变量、文件、网络

避免缓存溢出

外部数据比目标空间大
是一个非常普遍而且严重的问题

溢出后果
攻击者可以使远程服务程序或者本地程序崩溃
攻击者可以设计溢出后执行的代码
解决办法
填充数据时计算边界
使用没有缓冲区溢出问题的函数，strncpy、strncat、C++中std:string
使用替代库
基于探测方法的防御
非执行的堆栈防御

程序内部安全

程序内部接口安全、异常的安全处理、最小化反馈、避免竞争条件、安全使用临时文件

安全调用组件

常见
底层的操作系统、数据库、网络服务（WEB、DNS）、可重用的库
安全的方式
检查组件文档，搜索相关说明
使用经过认可的组件
尽可能不调用外部命令，如果不得已要调用，必须严格检查参数
正确处理返回值
保护应用程序和组件之间传递的数据

禁用不安全函数

使用更为安全的替代函数

软件安全编译

确保编译环境的安全

使用最新版本编译器与支持工具
使用编译器内置防御特性
可靠的编译工具

确保运行环境的安全

将软件运行环境基于较新版本的系统

代码安全审核

通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性，报告源代码中可能隐藏的错误和缺陷

源代码审核方式

人工审核
费时费力、容易遗漏
工具审核
速度快，自动；可升级知识库

软件安全测试

软件测试

定义

使用人工和自动化的手段来运行或测试某个系统的过程，其目的在于检验它是否满足规定的需求或是弄清预期结果与实际结果之间的差异

基本概念

测试用例
测试覆盖率度量指标
测试的信条

软件测试方法

单元测试、集成测试、系统测试
黑盒测试、白盒测试、灰盒测试
静态测试、动态测试

代码走查、代码审查、代码评审

回归测试
验收测试

软件安全测试

定义

确定软件的安全特性实现是否与预期设计一致的过程
有关验证软件安全等级和识别潜在安全缺陷的过程
查找软件自身程序设计中存在的安全隐患，并检查应用程序对非法侵入的防范能力

分类

功能性安全测试、对抗性安全测试

安全测试方法

模糊测试

也称Fuzzing测试，一种通过提供非预期的输入并监视异常结果来发现软件故障的方法
非常有效的漏洞挖掘技术，已知漏洞大部分都是通过这种技术发现的

特性
方法学、随机值、大量测试用例、查找漏洞或可靠性错误
模糊测试过程
生成大量的畸形数据作为测试用例；
将这些测试用例作为输入应用于被测对象；
监测和记录由输入导致的任何崩溃或异常现象；
查看测试日志，深入分析产生崩溃或异常的原因
影响模糊测试效果的关键因素
测试点、样本选择、数据关联性、自动化框架、异常监控与异常恢复、分析评估

渗透测试

通过模拟恶意攻击者进行攻击，来评估系统安全的一种评估方法

优点
找出来的问题都是真实的，也是较为严重的
缺点
只能到达有限的测试点，覆盖率较低
流程

渗透测试流程框架

渗透测试要点
测试目的、测试人员、安全问题
一定要有授权

静态源代码审核

软件安全测试思路

充分了解软件安全漏洞、评估软件安全风险、拥有高效的软件安全测试技术和工具

软件安全交付

软件供应链安全

供应链安全概念

目前软件安全开发生命周期中新的威胁，涉及到软件的代码编写、代码编译、软件分发、软件更新

代码编写：共享库
代码编译：被污染的编译软件
软件分发/更新：污染源头

供应链安全应对策略

代码编写安全：安全流程覆盖到引入的第三方代码中
代码编译安全：可靠的编译软件获取方式
软件发布及更新安全：官方渠道、发布验证

软件安全验收

正式的验收流程
安全纳入到验收考虑中

软件安全部署

软件安全部署的重要性：提供软件部署所需要的文档和工具
软件加固
软件安全配置