CISSP-D7-运营安全

CISSP-D1-安全与风险管理
CISSP-D2-资产安全
CISSP-D3-安全架构与工程
CISSP-D4-通讯与网络安全
CISSP-D5-身份与访问控制
CISSP-D6-安全评估和测试

D7：运营安全

一、运营安全概述： D7-1～3

二、操作安全实践： D7-4～6

三、灾难备份与恢复： D7-7～9

D7-1-安全事件调查和取证

1、计算机犯罪行为

• 犯罪中的动机、机会和方式（motive、opportunity，and means，MOM）

• 计算机犯罪调查员必须了解技术

• 罗卡交换原则

  罗卡定律（英文：Locard exchange principle, Locard’s theory），也称罗卡交换定律，是法国法医学家、犯罪学家艾德蒙·罗卡（Edmond Locard）创建的，其理论在于“凡两个物体接触，必会产生转移现象”（with contact between two items, there will always be an exchange）。其用于犯罪现场调查中，行为人（犯罪嫌疑人）必然会带走一些东西，亦会[留下]一些东西。即现场必会留下微量迹证。

2、计算机取证和适当的证据收集

• 取证人员必须掌握与犯罪行为所设计的电子数据的恢复、身份验证和分析有关的专业技能
• 数字证据
• 必须进行相应的记录
• 取证团队需要有专门的工具

3、事故调查员

• 必须知晓其他人通常忽略的可疑或反常活动
• 进行的各种评估
  • 网络分析
    • 流量分析
    • 日志分析
    • 路径追踪
  • 介质分析
    • 磁盘镜像
    • 时间分析（修改、访问、创建）
    • 注册分析
    • 松弛空间分析
    • 隐藏的秘密信息
  • 软件分析
    • 逆向工程
    • 恶意代码审查
    • 漏洞审查
  • 硬件/嵌入式设备分析
    • 专用设备攻击点
    • 固件恶化专用内存检查
    • 嵌入式操作系统、虚拟软件和虚拟化管理层分析

4、取证调查的过程

• 标识
• 保存
• 收集
• 检查
• 分析
• 呈现
• 决定

5、法庭上可接收的证据

• 需要证据保管链的原因： 出示日志及所有证据，并且他们未以任何方式被损坏
• 一个问题是用户对隐私权的期望
• 证据的生命周期
  • 收集
  • 标识
  • 存储
  • 保管
  • 运输
  • 法庭出示
  • 返回受害者或者所有者
• 应对寻求法律顾问的帮助

6 、监视、搜索、查封、访谈和审讯

• 监视类型
  • 物理监视和计算机监视
• 在搜索和查封之前。执法机构必须拥有适当的原因，并且从法官或法庭处申请一张搜查许可证
• 访谈可能只在与法律顾问磋商后才会进行
• 审讯的目的是获得用于审判的证据

D7-2-行政管理和责任

• 运营安全设计配置、性能、蓉错、安全性以及问责和验证管理，其目的在于确保适当的操作标准与合规性要求得到满足

  行政管理是运营安全中个非常重要的环节。行政管理的一个方面是处理人员问题，包括职责分离和岗位轮换。职责分离的目标是确保一个独立行动的人通过任何方法都无法危及公司的安全。高风险的活动应该划分为几个不同的部分并指派给不同的人。通过这种方式，公司没有必要对某个人过度信赖，一旦发生了欺诈行为，那么一定有人共谋犯案，这也就意味着不止一个人卷进了欺诈活动。因此，职责分离是一种防御性措施，如果某人想要做违反策略的事情，那么他必须与其他人共谋。

• 了解行政管理中涉及的人员

  • 网络管理员
    网络管理员应当努力确保网络和资源的高可用性极性能，并为用户提供他们请求的功能

  • 安全管理员

    • 安全管理员应当处在一个与网络人员不同的需求链中。以确保安全不会被忽视或处于较低的优先级

    • 安全管理员的任务：

      • 实现和维护安全设备与软件
      • 知行安全评估
      • 创建和维护用户资料，实现和维护访问控制机制
      • 配置和维护强制访问控制（MAC）环境中的安全标签
      • 管理口令策略
      • 检查审计日志

• 理解他们的责任

  • 可问责性
    • 确定是否确实发生违规
    • 系统和软件的重新配置是否有必要
    • 有助于捕获那些超出确定范围之外的活动
    • 审计需要作为日常工作开展，需要有人负责检查审计和日志事件
  • 阀值级别
    • 为某些类型的错误预定义门限
    • 门限是违规活动的基线
    • 这条基线被称为一个阀值级别或限值级别
  • 运营责任
    • 研究任何不寻常或者无法解释的事件
    • 偏离标准以及网络上其他奇怪的或异常的条件
    • 不定期的初始程序加载（重启）

D7-3-安全资源配置

1、理解资产清单的作用

• 保护我们的信息系统最重要的是要知道我们在防护什么
• 跟踪硬件
• 跟踪软件

2、控制相应的系统所包含的软件的最佳做法

• 应用白名单
• 使用母盘
• 执行最低权限原则
• 自动扫描

3、了解什么是配置管理

• 配置管理–是我们所有系统上建立并保持基线的程序

4、理解变更流程和文档化

• 变更控制过程
  • 请求发生一个变更
  • 变更的批准
  • 变更的文档
  • 测试和提交
  • 实现
  • 提交变更报告给管理层
• 变更控制文档化。以便将来的审查

5、了解云配置的相关概念

• 云配置是为了用户或用户群提供一种或多种新型云资产时所需要的一系列活动
• 云计算一般分为是那种类型：IaaS PaaS SaaS

D7-4-配置项管理

1、理解为什么要做配置项管理

2、掌握配置项管理的主要方法

3、可信恢复

• 当一个操作系统或应用程序崩溃或死机时，不应让系统处于任何类型发不安全状态
• 系统奔溃后应采取的正确步骤
  • 进入单用户或安全模式
  • 修复问题并恢复文件
  • 确证关键的文件和操作
• 在可信恢复进程中应该正确应对的安全问题
  • 引导顺序应当不能重新配置
  • 不应避开在系统日志中写入动作
  • 应当禁止系统被迫关闭
  • 应禁止输入变更路线

4、输入与输出控制

• 组织必须实施前面所提到的所有控制，使他们继续可以预测的安全的方式运行，从而确保系统、应用程序以及总体环境的可操作性
• 输出能安全到达目的的措施有：
  • 加密散列或更好的消息认证码（数字签名哈希）应用于确保关键文件的完整性
  • 输出应明确标注。以表示数据的敏感程度或分类。
  • 创建输出后，必须对它实现适当的访问控制，无论它是什么格式（纸质文件、数字、磁带）
  • 如果一份报告中不含有信息（无报告内容）那么应当包含“没有输出”

5、系统强化

• 确保那些传输重要信息的网络物理组件的安全
• 管理与保护工作站的最好办法是开发标准加固镜像。母盘
• 删除环境不需要的组件
• 使用最保守的设置进行配置
• 制定一个可接受的使用策略。防止为授权用户在环境中安装为授权软件

6、 远程访问安全

• 为利用远程访问的优势而不必承担无法接受的风险，公司必须实施可靠的远程管理

D7-5-预防措施

了解常用预防措施

1、防火墙

防火墙通过执行规则来操作，在操作上的挑战是如何准确的跟踪当前的规则集，并制定一个程序来确定添加、修改或删除的规则，需要一个假话来定期评估防火墙防御的有效性

2、入侵检测与防御系统

主机的入侵检测系统（HIDS）网络入侵检测系统（NIDS）和无线入侵检测系统（WIDS）基于规则或异常，或者两者混合，与其他任何检测系统一样，重要的是采取步骤使IDS或OPS降低差错率减少错误的最重要步骤是将系统基线化。进行广泛的配置管理

3、反恶意软件和布丁管理

反恶意软件-杀毒软件旨在用来检测和消除恶意软件，包括病毒蠕虫和木马

布丁管理是为长跑和系统识别获取安装验证补丁

补丁管理的一种方法是使用分散的或非托管的模型

集中式补丁管理被认为是安全操作的最佳实践

4、沙箱和蜜罐

沙箱是一个应用程序多执行环境，它将执行代码与操作系统隔离，以防止危害安全行为的发生

蜜罐是一种被开发出来的装置。目的是为了欺骗攻击者相信他是一个真实的生产系统。诱使对手对其进行攻击，然后通过监视被批还的蜜罐，来观察和学习攻击者的行为

蜜罐的整个网络都旨在吸引攻击者

D7-6-事件响应和安全监测

1、什么是网络杀伤链

一个七个阶段都入侵模型：

• 侦查
  对手对你的组织产生兴趣。将其作为目标。并开始蓄意收集信息以寻找漏洞
• 武器化
• 传送
• 漏洞攻击
• 安装
• 命令与控制
• 在目标内的行动

2、理解事件响应策略

• 为什么要做事故响应策略
• 事故响应策略和事故管理包括什么
  • 一个事件响应团队
  • 一套标准措施，事故处理应急与灾难恢复计划紧密相关，并应称为公司灾难恢复计划的一部分
  • 事故处理还应该与公司的安全培训及认知计划紧密联系。以确保此类不幸不会发生
  • 应当详细说明如何报告一起事故。

3、理解事件响应流程

七个阶段

• 检测
• 响应
• 缓解
• 报告
• 恢复
• 修复
• 学习

4、掌握事件监测方法

• 日志和监控
  • 日志技术
  • 通用日志类型
    • 安全日志
    • 系统日志
    • 应用程序
    • 防火墙日志
    • 代理日志
    • 变更日志
  • 保护日志数据
  • 角色监控
  • 监控技术
• 出口监控
  • 数据泄露保护
  • 隐写术
  • 水印
• 审计和评估有效性
  • 检验审计
  • 访问审查审计
  • 用户权限审计
  • 特权组审计
  • 高级别管理组
  • 双重管理员账号
  • 安全审计和审查
  • 报告审计结果
  • 保护审计结果
  • 发布审计报告
  • 使用外部审计师

D7-7-系统恢复和容错能力

1、理解MTB和MTTR

• 平均故障间隔时间（MTBF）
• 平均修复时间（MTTR）

2、掌握防止单点故障的方法

• 独立磁盘冗余整列（RAID）
• 直接访问存储设备（DASD）
• 大规模非活动磁盘整列（MAID）
• 独立冗余磁带整列（RAIT）
• 存储区域网络（SAN）
• 集群
• 网格计算

3、了解备份相关技术

• 软件备份和硬件备份时网络可用性的两个主要组成部分
• 层次存储管理（HSM）
  层次存储管理提供持续的在线备份功能，它将硬盘技术与更低廉、更缓慢的光盘或磁带库结合起来。

D7-8-灾难恢复计划

1、了解业务恢复相关内容

• 需要的角色
• 需要的资源
• 输入和输出机制
• 工作流程步骤
• 需要的完成时间
• 与其它流程的链接

2、3种异地设施恢复

• 完备场所（hot site）
• 基本完备场所（warm site）
• 基础场所（cold site）

3、互惠协议

• 建立异地备用设施的另一种方式是与另一家公司签订互惠协议，相互援助

4、冗余场所

• 冗余场所（redundant site）
• 滚动完备场所（rolling hot site）
• 多处理中心（multiple processing center）

5、供给和技术恢复

• 网络和计算机设备
• 语音和数据通讯资源
• 人力资源
• 设备和人员的运送
• 环境问题
• 数据和人员安全问题
• 供给
• 文档记录

6、了解硬件和软件备份和恢复的方法

• 硬件备份
  • 服务器、用户工作站、路由器、交换机、磁带备份设备、集线器
• 软件备份
  • 应用程序、使用工具、数据库和操作系统

7、文档和其他

• 缺少文档工作，灾难发生时没有人知道怎么恢复业务
• 人是最常被忽略的资源之一
• 在灾难发生后应该尽快为终端用户提供一个工作环境

8、掌握数据备份和恢复的方法

• 完全备份
• 差量过程
• 增量过程
• 现场和异地两处保留备份
• 从头开始备份或重新构建数据

9、掌握设施备份和恢复的方法

• 电子备份解决方案
  • 磁盘映像
  • 电子传送
  • 远程日志处理
  • 异步复制
  • 同步复制
  • 高可用（HA）

D7-9-灾难恢复计划测试和其他

1、掌握灾难恢复计划测试方法

• 通读测试
• 结构化演练
• 模拟测试
• 并行测试
• 完全中断测试

2、了解如何维护灾难恢复计划

• 灾难恢复计划是一份灵活的文档，随着组织需求的变化必须对灾难恢复计划进行修改以符合变化的需求

3、了解通过保险降低灾难影响损失的相关内容