第五章信息资产的保护(信息安全)
* 通过评估对信息资产的设计、实施、检测以及物理访问控制来保证信息资产的CIA
机密性confidentiality
完整性integrity
可用性availability
* 信息安全管理包括制定合理的信息安全方针与策略、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训等一系列工作,通过在安全方针策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、业务持续性管理、符合法律法规要求等领域建立管理控制措施。
* 三分技术,七分管理
* 安全管理,包括:政策、控制、流程
* 信息安全目标:
1、保证储存在计算机系统上的信息的完整性
2、保护敏感信息的机密性
3、遵守保护个人数据隐私的责任与义务
4、保证信息系统的持续可用性
5、保证符合法律、法规的要求
* 信息安全关键因素:
1、高级管理层的承诺与支持:政策与措施能够有效贯彻;得到有效的资源保证;跨部门之间问题的协调
2、信息安全政策与程序:
安全政策:描述组织具有哪些重要的信息资产,说明这些信息资产如何被保护的计划,详细描述对员工安全意识与技能要求,列出被组织禁止的行为;
安全程序:为确保信息安全管理活动的有效性,信息安全管理体系程序通常要求形成文件。实施控制目
标与控制方式的安全控制程序;覆盖信息安全管理体系的管理与运作的程序
3、组织:明确组织中信息资产的保护责任和完成特定的安全流程的责任
4、安全意识与教育
5、监督与符合性审核
6、应急处理与响应
* 管理:安排正确的人做正确的事
* 信息是经过整理的,有意义的数据
* 保护的内容:用于存储、检索、传输和处理信息资产的过程和流程进行评估,以确定信息资产是否得到充分保护
* ISO27002告诉信息安全需要做什么
* ISO27001告诉信息安全怎么做,建立信息安全管理体系ISMS
* 因为有风险所以要建立控制
* PDCA PLAN计划、DO执行、CHECK检查、ACTION处理 戴明环
* ISO27000等同于国家GB/T22080标准
* 信息安全管理的关键要素:
高层管理的承诺与支持
信息安全政策:组织纲领性的方向性文件,由高层发布
信息安全程序:具体制度、流程,由中层管理层发布
* 5W1H 是对选定的项目、工序或操作,都要从原因(何因why)、对象(何事what)、地点(何地where)、时间(何时when)、人员(何人who)、方法(何法how)等六个方面提出问题进行思考。
* 安全制度分层:
组织策略(文件,有法可依)
程序、流程(文件,有法可依)
操作手册(文件,有法可依)
记录(有据可查)
* 制度一定要形成体系,通过PDCA循环起来
* 信息安全组织:明确组织中信息资产的保护责任和完成特定的安全流程的责任、员工的安全意识、教育
* 监督和审计:监督高层的,监控审计的过程。没有审计检查,制度就不可能落实;
* 信息资产管理:识别与定义、对组织的相关价值、位置、安全或分类风险、所属资产组、资产所有者、指定保管人员。首先必须识别与定义信息资产。
* 采用分类方案并赋予信息相应的敏感性级别,并在此基础上形成规范化的数据管理策略与方法,可以有效的管理信息资产。
* 对计算机信息的物理访问与逻辑访问应当建立在“知所必需”的基础上,按照最小授权原则和职责分离原则来分配系统访问权限,并形成书面文件,作为信息安全的重要文件加以管理。
* 员工和部门的变更,恶意代码的攻击,或者无意造成的“授权延伸”都可能影响访问控制的有效性
* 生产数据导入测试环境需要进行脱敏操作;
* 信息资产分类:数据与文档、书面文件、软件资产、实物资产、人员、服务(计算、通讯、制冷、照明、动力、空气等)
* 首先到全部资产,然后分类,然后分级。以此为根据定义访问控制,避免欠保护或者过保护;
* 信息资产分级由信息资产所有者定义;
* 系统访问控制分为:
逻辑访问控制:网络、系统、数据库、应用
物理访问控制:控制人员进出敏感区域。
* 访问控制的原则:
所有的访问都必须申请与授权
知所必需
最小授权:赋予的权限不能超出完成工作所需要的权限
职责分离
安全管理员实施安全控制
阶段性进行检查
* 访问控制类型
强制性访问控制:强制实施组织中有关信息共享的安全政策或安全规则的机制。系统管理员
自主性访问控制:由数据的所有者决定谁可以访问数据。
* 组织可以选择使用严格的强制性访问控制方式或灵活的自主性访问控制方式,这需要通过对客体的重要性及敏感性进行分析判断,并根据组织制定的资源分类和标识标准进行实施
* 信息安全管理的关键成功因素:
高级管理层的支持
方针制定
程序制定
意识培养
组织架构
人员教育
* 为阻止非授权的拷贝,打印文档应该限制在现场使用;
* 人员离职,系统账户应停用;
* 应急处理响应步骤:
计划与准备——检测——启动——评价——限制——根除——响应——恢复——关闭处理流程——事件后续检查——事件总结
* 针对社会工程的攻击的方法:不断进行信息安全意识教育与培训
签名字符串是什么* 网络钓鱼、DNS中毒,是社会工程学攻击
的一种方法
* 审计师需要审核IT系统架构的各个安全层面,他们包括:网络层、操作系统层、数据库层和应用系统层。
* 访问控制过程(3A):身份识别,发放ID,提交ID,识别,授权,记账日志;审计
* 信息系统审计师在实施网络安全评估与访问控制审核时,应鉴证组织所有可能的访问路径都已经被正确的识别出来,并采取了相应有效的控制措施;
* 可审计性——记账日志
* 操作系统的访问控制基于文件的权限,用户:人;
* 数据库的访问控制基于各个层级:字段、表、库,用户是:人、应用;
* 身份识别与验证(ID & Password)是多数系统的第一道防线;
*身份识别与验证技术分为三类:
单因素技术:口令
双因素技术:ID卡
生物测定技术:指纹
* 一次性口令是双因素的身份验证技术
* 生物测定的三个量化指标:
错误拒绝率(FRR):合法用户被错误的拒绝
错误接受率(FAR):非授权用户被错误的接受
平均错误率(EER):当错误拒绝率与错误接受率相等时的比率。平均错误率越低,表示测量设备越有效。
* Kerberos是单点登录的典型应用,用票据(特定的数据包)进行认证。
1、所有的通讯必须加密;
2、用户只要登录后,再访问其他服务器都不需要再次认证;
3、基于对称密钥加密。
* KDC,AS,TGS
* 域信任也用Kerberos
* 用户权限:能访问什么资源,能做什么
* 授权原则:决定什么人能访问什么资源
* 访问控制:主体、客体、权限 通过矩阵表来显示 横轴—主体;纵轴—客体。
* 访问控制的方式:
分布式:认证机制分布在各个结点上或者本地
集中式:所有的用户在一个点进行认证
* VPN缺点:被加密的流量能够隐藏非授权活动和恶意代码。解决办法:用VPN集中器(VPN服务器)终结所有VPN流量到一个端点(DMZ区),在网络其他部分不接受VPN流量
* 对系统日志的控制措施:
严格限制安全管理员对系统日志的访问;
用数字签名和一次性写入入设备保存日志
认证、加密控制日志的机密性
每日打印与审批日志
阶段性检查日志
* 对控制的主体与客体制定命名规则;
* 磁带应垂直存放,避免酸性环境
* 虚拟化管理终端可能在未授权的情况下访问虚拟机的用户信息;
* 无线网的安全需求:真实性、防抵赖、可追踪性、网络可用性
* 网络攻击分为:主动攻击、被动攻击
* 防火墙种类
包过滤防火墙:
状态检测防火墙:针对TCP链路状态,配置非常复杂
应用层防火墙
* 防火墙类型
屏蔽主机防火墙
双穴主机防火墙
屏蔽子网防火墙/非军事区(DMZ)
* IDS的分类 (特征分析—准确率较高,统计分
析,神经网络;以进程驻留后台方式运行)
基于网络入侵检测:安装在需要保护的网段中,监视网段中传输的各种数据包
基于主机的入侵检测:安装在被保护的主机上,检测网络实时连接以及系统审计日志;
* IPS入侵防护——纠正性控制
* IPS串行在网络中;IDS并行在网络中。
* IDS组件:传感器、控制台、分析模块、用户界面
* 蜜罐:提前发现;分散攻击者注意
1、调查入侵者来源;
2、考察用于防护的安全措施是否有效。
* 加密实现:机密性、完整性、身份认证、不可抵赖
* 加密:密钥(最重要)、算法(可公开)
* 加密系统的强度,取决于密钥的保密性强弱;
* 密钥越长,安全性越好,密钥空间越大;
* 加密破解:
唯密文破译
以知明文破译(需要知道密文)
选择明文
* 对称密钥算法比非对称密钥算法快10倍到100倍
* 对称密钥:DES\3DES\
* 两两对发密钥 N*(N-1)/2
* 非对称算法:公钥、私钥
*非对称算法:RSA大素数分解\ECC椭圆曲线\Diffie-Hellman
* ECC的特点:更强的加密能力、更小的计算能力,缩短长度
* 加密技术应用(数字信封)
用对称加密算法进行大批量的数据加密
每次产生一个新的随机密钥
使用非对称加密算法传递随机产生的密钥
* 常用哈希函数:
MD5:目前已经不安全
SHA-1
* 单向哈希值
* 哈希函数:输入一个长度不固定的字符串,返回一串定长度的字符串,即哈希值。单向哈希函数用于产生信息摘要。如果输入的字符串发生任意改变,哈希值就一定会改变。信息摘要可被视为一份长文件的数字指纹;
* 数字签名的目的:数据的完整性、身份鉴别、不可抵赖性
* 认证中心(CA)系统包括:安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器;
* 注册机构RA:
证书注册管理与维护
* CA要对证书进行签名,发放和管理数字证书的权威机构;
* 加密技术在OSI协议中,除了物理层,其他所有层均可实现加密,其中在应用层,加密最容易实现;在
网络层和传输层的加密对于大多数应用是透明的,加密成本相对较高,但影响到所有应用系统间的通讯;在数据链路层的加密主要用于保护信息在局域网上的传输。
* IPSec特点(网络层)
机密性
完整性
真实性
抗重性
* IPSec有隧道模式和传输模式
* IPSec的AH数据包头实现完整性但不加密,替换IP数据包头;
IPSec的ESP数据包头实现完整性并且加密,整个IP数据包被ESP加密;
* SSH安全通道协议:保护Telnet和FTP服务;
* SSL保证信息的真实性、完整性和保密性,提供交易的不可否认性:HTTPS
* 应用系统对加密体系的使用:
1
、甲准备好明文;
2、对明文哈希,得到信息摘要;
3、甲用自己私钥对信息摘要加密得到甲的数字签名,并将其附在数字信息上;
4、甲随机产生一个机密密钥(对称密钥),并用此密钥对要发送的信息加密,形成密文;
5、甲用乙的公钥对机密密钥加密,将加密后的机密密钥以及密文发送给乙;
6、乙用自己的私钥对机密密钥解密;
7、乙用机密密钥对密文解密,得到明文及数字签名;
8、乙用甲的公钥对甲的数字签名解密,得到信息摘要;
9、乙对明文进行哈希,得到新的信息摘要;
10、乙用新的信息摘要与解密的信息摘要对比,如果一致,则收到的信息是安全的,没有被修改过。
2012年10月29日
* 审计师永远只是站在边上看、观察,不能插手企业事务;
* 病毒必须依附于另外一个程序,蠕虫不需要寄生;木马是特洛伊
* 被动攻击:窃听、流量、网络分析
* 30多威胁 战争拨号、驾驶、漫步、粉迹
* 坏事发生前是预防控制:移动设备进公司前扫描
* 坏事发生时能控制检查:日志
* 坏事发生后控制纠正:备份
* need to do----need to know
* 所有部门的主管,是本部门的数据的所有者;
* 审计就是证明控制存在或者是证明控制不存在;
* 防病毒软件即使特征库已经更新或者管理员申明及时更新,但仍然要与厂家的最新特征库进行对比;
* VoIP应对带宽能力进行基线管理,以确定数据流量的目前水平,并在必要的时候调整,或定义服务质量(QOS);
* 某些国家禁止使用VoIP:海湾国家、朝鲜等
* VoIP需要保护两种资产:数据和语音; SBC类似防火墙,基于VoIP协议,可过滤
* PBX是一种复杂的基于计算机的电话交换设备,甚至连厂家都不能完全了解其风险;
* PBX的风险:窃取服务(费用欺诈),信息泄露,数据修改,非授权使用,拒绝服务,流量分析(被动攻击)
* PBX风险的防范:关闭远程访问功能,只在必须使用的时候临时开启
* 审计的书面策略、流程与标准必须经高级管理层批准
* 离职员工应立即撤消其所有权限,最好是冻结而不是删除(以备后续审计使用)
* 利用恰当的审计技术,对访问路径的各种控制进行测试。首先必须将各种路径识别出来。
* 审计逻辑访问:
熟悉信息系统环境:查阅网络TOP图;
记录访问路径:设备或PC,网络通信软件,事务处理软件,应用软件,数据库管理系统,访问控制软件
与系统人员会谈
审核访问控制软件的相关报告
审核应用系统操作手册
* 系统口令文件应是加密为无意义内容,不可以是明文;
* 特权用户的账户不能被锁死,可以采取改名(不可被猜出含义),并将日志
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论