CISP培训笔记.docx
《CISP培训笔记.docx》由会员分享,可在线阅读,更多相关《CISP培训笔记.docx(24页珍藏版)》请在冰点文库上搜索。
CISP培训笔记
2015-8-10PPT信息安全保障10’
信息安全保障
1、中办27号文《国家信息化领导小组关于加强信息安全保障工作的意见》室信息安全保障工作的纲领性文件
2、信息的安全属性CIA:
保密性、完整性、可用性
3、信息安全的范畴:
信息技术问题、组织管理问题,社会问题,国家安全问题
4、信息安全特征:
系统性、动态性,无边界性、非传统性(最终保障业务的安全)
5、信息安全问题根源:
(信息战士和网络战士是最严重的)
内因,过程复杂、结构复杂、应用复杂
外因,人(个人威胁、组织威胁、国家威胁)和自然
6、信息安全发展阶段
通信安全COMSEC,信息窃取,加密,保证保密性、完整性
计算机安全COMPUSEC,操作系统技术
信息系统安全INFOSEC,防火墙、VPN、PKI公钥基础设施、
信息安全保障IA,技术、管理、人员培训等
网络空间安全/信息安全保障CS/IA,防御、攻击、利用,强调威慑
7、传统信息安全的重点是保护和防御;信息安全保障是保护、检测和响应,攻击后的修复
8、信息安全保障模型
PDR防护--检测--响应,安防措施是基于时间的,给出攻防时间表,假设了隐患和措施,不适应变化,时间
PPDR策略--防护--检测--响应,突出控制和对抗,强调系统安全的动态性
9、信息安全保障技术框架IATF,深度防御的思想,层次化保护,人、技术、操作,关注4个领域:
本地的计算机环境
区域边界
网络和基础设施
支撑性技术设施
10、信息系统:
每一个资质中信息流动的总和,含输入输出、存储、控制、处理等。
11、信息系统安全保障,从技术、管理、工程、人员方面提出保障要求
12、信息系统安全保障模型GB/T20274
保障要素4:
技术、管理、工程、人员
生命周期5:
规划组织、开发采购、实施交付、运行维护、废弃
安全特征3:
保密性、完整性、可用性
13、信息系统安全保障工作阶段
确保信息安全需求、设计并实施信息安全方案、信息安全测评、检测与维护信息安全
14、我国信息安全保障体系
建立信息安全技术体系,实现国家信息化发展的自主可控
信息安全保障实践
1、现状
美国CNNI《国家网络安全综合倡议》,3道防线
1、减少漏洞和隐患,预防入侵
2、全面应对各类威胁,增强反应能力,加强供应链安全低于各种威胁
3、强化未来安全环境,增强研究、开发和教育,投资先进技术
2、我国的信息安全保障战略规划,信息安全分:
基础信息网络安全、重要信息系统安全和信息内容安全
3、信息安全保障工作方法,信息系统保护轮廓ISPP(所有者角度考虑安保需求),信息系统安全目标ISST,从建设方制定保障方案
4、确定信息系统安全保障的具体需求:
法规符合性、风险评估、业务需求(只放前2个也对)
5、信息安全测评对象:
信息产品安全测评、信息系统安全测评、服务商资质、信息安全人员资质测评
6、信息系统安全测评标准
过程测评标准:
GB/T20274
产品安全测评标准:
CCGB/T18336
信息安全管理体系ISMS
1、ISMS信息安全管理体系,按照ISO27001定义,基于业务风险的方法
2、信息安全管理体系建设
规划与建立、实施和运行、监视和评审、保持和改进
3、ISMS的层次化文档结构
一级文件,顶层文件,方针、手册
二级文件,信息安全管控程序、管理规定性文件,管理制度、程序、策略文件
三级文件,操作指南、作业指导书、操作规范、实施标准等
四级文件,各种记录表单,计划、表格、报告、日志文件等
4、ISMS方法:
风险管理方法、过程方法
5、风险管理方法
风险评估是信息安全管理的基础,风险处理时信息安全管理的核心,风险管理是信息安全管理的根本方法,控制措施是风险管控的具体手段
6、控制措施的类别
从手段来看,分为技术性、管理性、物理性、法律性等控制措施
从功能来看,分为预防性、检测性、纠正性、威慑性等控制措施
从影响范围来看,常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域
7、PDCA循环,戴明环
特点:
按顺序进行,组织每部分及个体也可使用,适用任何活动
8、ISO/IEC27000标准族共7个
27001信息安全管理体系要求,14个领域,新版的变动
27002信息安全控制措施实用规则,11个控制类,内容安全和风险评估不属于
27004信息安全管理测量,度量指标
9、常见的管理体系标准
ISO27001定义的信息安全管理系统ISMS,国际标准
信息安全等级保护,公安部提出
NISTSP800,适用美国联邦政府和组织
10、管理者是实施ISMS的最关键因素
11、ISMS建设
P阶段8步:
确立边界和方针1-2、风险评估3-6、获得高层认可,编制适用性声明7-8
D阶段7步:
制定风险处理计划,实施培训和教育计划
C阶段5步:
审计和检查
A阶段2步:
实施纠正和预防,沟通和改进
信息安全控制措施
1、安全方针
是陈述管理者的管理意图,高层承诺,是一级文件,具体的产品选型,技术实现问题不在方针中体现
2、信息安全组织:
内部组织、外部各方
3、资产管理:
资产负责和信息分类,信息分类按照信息的价值、法律要求、对组织的敏感程度进行分类
4、员工只要违反了规定,不论是否知悉,就要接受处罚
5、符合性
符合法律要求、符合安全策略和标准及技术符合性、信息系统审核考虑
6、任用的终止:
终止职责、资产的归还、撤销访问权
7、人身安全是物理安全首要考虑的问题
8、TEMPEST抑制和防止电磁泄露
9、机房建设,下送风,上排风
10、备份是为了保证完整性和可用性
11、电子商务服务,抗抵赖
12、日志,管路员读权限;系统员,写权限
13、信息安全管理手册是一级文件,SOA适用性声明是一级文件,信息安全策略是一级文件,不描述具体操作的都是二级文件
14、网闸,多功能安全网关,实现网络物理隔离
15、测试数据不需备份;生产数据不能做测试,脱敏处理才可以;测试完成后对平台和数据彻底清除
16、程序源代码需访问控制,不得随意更改
17、不鼓励对商用软件包进行变更,除非获得厂方的合法支持;不包括开源,
外包软件开发:
源代码托管,第三方管理,不得使用,为了防止开发方倒闭
信息安全标准化
1、国际标准、国家标准、行业标准、地方标准
2、标准化特点:
对象是共同的、可重复的实物;动态性;相对性;效益来自标准使用
3、标准化原则:
简化原则、统一化、通用化、系列化
4、国家标准代码,GB/Z在实施后3年内必须进行复审,结果为延长3年或废止
GB强制性国家标准
GB/T推荐性国家标准
GB/Z国家标准化指导性技术文件
5、ISO的机构包括TC技术委员会、SC分技术委员会、WG工作组、特别工作组
6、IEC国际电工委员会,和ISO成立JCT1联合技术委员会
7、ISO/IECJCT1SC27(分技术委员会),下设5个工作组,对口中国TC260(CISTC,信息安全标准化TC)。
TC485(全国通信标准化TC)
8、IETFInternet工程任务组,贡献RFC系列
9、SAC国家标准化管理委员会,国家质监总局管理
10、采标
等同采用IDT,内容无变化,审核人由国外改为国家
修改采标MOD
非等效采标NEQ
11、我国的信息安全标准
基础标准、技术与机制标准、管理标准、测评标准、密码技术标准、保密技术标准
技术与机制:
标识与鉴别、授权与访问控制、实体管理、物理安全
12、TCSEC美国安全评测标准
低到高D、C(C1\C2)、B(B1\B2\B3)A
B1开始强制访问控制
,B2开始隐蔽信道控制
13、ITSEC欧洲的评测标准FC美国联邦标准
14、CC标准GB/T18336信息技术安全性评估准则,
主要框架取自ITSEC和FC,不涉及评估方法学,重点关注人为威胁,定义了保护轮廓PP和安全目标ST,PP创建安全要求集合,ST阐述安全要求,详细说明一个TOE评估对象的安全功能
CC分3部分,18336.1/.2/.3简介和一般模型;认证级别,即评估保证级EAL由低到高为7个级别。
目标读者:
TOE(评估对象)的客户,TOE的开发者,TOE的评估者,其他读者
组件是构成CC的最小单元
评估对象,涉及产品、系统、子系统
包:
满足一组确定的安全目的而组合在一起的一组可重用的功能或保证组件,如EAL
15、《信息安全等级保护管理办法》等级保护标准族的5级划分
2级以上到公安机关备案,3级开始对国家安全造成损害
定级指南:
受侵害的客体,客体的侵害程度
定级、备案、安全建设整改、等级测评、检查
16、NISTSP800,应用于美国联邦政府和其他组织,6个步骤
17、
信息安全风险管理
1、风险是威胁源利用脆弱性造成资产不良的可能性,发生概率和产生后果。
风险三要素:
资产、威胁、脆弱性
2、风险的构成5方面
起源(威胁源)、方式(威胁行为)、途径(脆弱性)、受体(资产)、后果(影响)
3、信息安全风险只考虑对组织有负面影响的事件
4、风险管理范围和对象:
信息、信息载体、信息环境
5、风险管理是识别、控制、消减和最小化不确定因素的过程,风险只能消减,不能消除
6、《关于开展信息安全风险评估工作的意见》
7、国办要求一次等保测评2个报告
等保测评报告(公安部)和风险评估报告(国家信息安全测评中心发布的模板)
8、IS风险管理的主要内容,4阶段、2贯穿
背景建立、风险评估、风险处理、批准监督;监控审查、沟通咨询
a)背景建立四个阶段
风险管理准备:
确定对象、组建团队、制定计划、获得支持、
信息系统调查:
信息系统的业务目标、技术和管理上的特点
信息系统分析:
信息系统的体系结构、关键要素
信息安全分析:
分析安全要求、分析安全环境
b)风险评估
要素识别:
威胁识别、脆弱性识别、识别已有的控制措施
c)风险处理-处置方法,(注意顺序)
接受风险、
降低风险(安全投入小于负面影响价值的情况下采用)、
规避风险、
转移风险
d)批准监督
批准,残余风险可接受,安措能满足业务的安全需求;监督,环境的变化
e)监控审查和沟通咨询需贯穿整个阶段,监控过程有效性、成本有效性、审查结果有效性和符合性
9、信息安全风险管理主要内容
a)风险评估形式
自评估为主,自评估和检查评估相互结合、相互补充
国企以自评估为主,自评估、检查评估都可以委托第三方继续
b)风险评估方法
定性风险分析方法,定量风险分析方法,半定量风险分析方法
i.定性分析
矩阵法,根据后果的可能性和影响作交叉
ii.定量分析
1)评估资产AV
2)确定单次预期损失额SLE,一种风险带来的损失,暴露系数EF
SLE=AV*EF
3)确定年发生率ARO,一年中风险发生的次数
4)年度预期损失ALE
ALE=SLE*ARO
5)安全投资收益ROSI
ROSI=实施前的ALE–实施后的ALE–年控制成本
iii.半定量分析
相乘法,在矩阵法上改进,影响和可能性赋值后相乘
c)风险评估实施流程
风险评估准备:
计划、方案、方法工具、评估准则等
风险要素识别:
资产、威胁、脆弱性识别与赋值,确认已有的安措
风险分析:
如下公式
风险结果判定:
评估风险的等级,综合评估风险状况
10、
信息安全法律框架
1、人大颁布法律,宪法、刑法、国家安全法、
国务院--行政法规,地方人大--地方性法规;地方人民政府--规章(条例、办法)
2、刑法-286、286、287条
285:
侵入,3年以下
286:
破坏,
287:
利用计算机进行犯罪,
3、《治安管理处罚法》,未构成犯罪,15天--1月
4、《国家安全法》,
5、《保守国家秘密法》,国家保密局出版,国家秘密:
,可以不受时间约束,但需制定解密条件。
涉密人员,脱密期自离岗之日算
绝密30年
机密20年
秘密10年
泄露国家机密就是犯罪,无故意、过失之分
国家秘密:
国家安全和利益,一招法定程序确定,一定时间内限一定范围人员知道的
6、《电子签名法》,第一步信息化法律,属于电子签名专人所有;由其控制;电子签名的任何改动都能够被发现;数据电文内容和形式的任何改动能够被发现
7、《计算机信息系统安全保护条例》,行政法规,公安部主管相关保护工作。
8、《商用密码管理条例》,涉及国家秘密,技术属于国家秘密,不对个人使用密码使用进行约束,国家密码管理委员会
9、《信息自由法》
10、《国家信息化领导小组关于加强信息安全保障工作的意见》27号文,提出5年内的保障体系,主要原则
11、2级以上系统备案,3是
12、CISP职业道德
a)维护国家、社会和公众的信息安全
b)诚实守信,遵纪守法
c)努力工作,尽职尽责
d)发展自身,维护荣誉
应急响应与灾难恢复
1、应急响应组织有5个功能小组:
领导小组、技术保障小组、专家小组、实施小组和日常运行小组
2、CERT计算机应急响应组,美国的。
FIRST事件响应与安全组织论坛
3、CNCERT国家计算机网络应急技术处理协调中心
4、信息安全事件7类,4个级别,1-4,特别重大事件,重大事件,较大事件,一般事件。
分级3要素:
信息系统的重要程度,系统损失,社会影响;
5、应急响应的6个阶段
准备、确定资产和风险,编制响应计划,
检测、确认事件是否发生
遏制、限制影响范围
根除、依据计划实施根除
恢复、
跟踪总结
6、计算机取证5步骤
准备、保护、提取、分析、提交
7、应急响应计划的几个阶段
a)应急响应需求分析
b)应急响应策略的确定
c)编制应急响应计划文档
d)应急响应计划的测试、培训、演练和维护
8、DRP灾难恢复计划、DCP灾难恢预案、BCM业务连续性管理
9、BCP业务连续性计划,包含:
业务恢复计划、运行连续性计划COP、事件响应计划IRP、应急响应计划ERP、人员紧急计划OEP、危机沟通规划CCP、灾难恢复计划
10、RPO恢复点目标,系统和数据必须恢复到的时间点要求,代表数据丢失量
11、RTO恢复时间目标,系统从停顿到恢复的时间要求,
12、备份、备份数据的测试,是恢复的基础
13、灾难恢复规划
a)灾难恢复需求分析:
风险分析RA、业务影响分析BIA、确定恢复目标
b)灾难恢复策略制定:
制定恢复策略
c)灾难恢复策略实现:
实现策略
d)灾难恢复预案的制定和管理,落实和管理
14、灾难恢复级别,由低到高分6级,1最低,7个资源要素
第1级:
基本支持
第2级:
备用场地支持
第6级:
数据零丢失和远程集群支持
15、灾难恢复—存储技术
DAS直接附加存储、NAS网络附加存储、SAN存储区域网络
16、灾难恢复—备份技术
全备份、增量备份(仅备份数据)、差分备份(全备后的增备,数据和文件)
17、备份场所
冷站(有空间,基础设施,无设备),温站(包含部分或所有的设备、资源),热站(包含了所有设备)
18、数据备份系统
备份的范围、时间间隔、技术和介质、线路速率及设备的规格
19、教育、培训和演练
在灾难来临前使相关人员了解灾难恢复的目标和流程,熟悉恢复操作规程
20、根据演练和演习的深度,可分为
数据级演练,应用级演练,业务级演练等
21、说道
ISO27001:
2013
信息安全工程
1、CMM能力成熟度模型,面向工程过程的方法,定义了5个成熟度等级
初始级、可重复级、已定义级、已管理级、优化级
2、信息安全工程解决的是“过程安全”问题
3、信息安全建设必须同信息化建设“同步规划、同步实施”,“重功能、轻安全”,“先建设、后安全”都是信息化建设的大忌
4、系统工程思想,方法论,钱学森提出,涵盖每一个领域
霍尔三维结构,时间维、知识维、逻辑维
5、项目管理,有限资源下,对项目的全部工作进行有效管理
6、信息安全工程实施,5个阶段
发掘信息保护需求、定义系统安全要求、设计系统安全体系结构、开发详细安全设计、实现系统安全
7、需求阶段要建立确认需求,实施阶段不要确认需求
8、信息安全工程监理模型
3个组成:
监理咨询阶段过程、监理咨询支撑要素、管理和控制手段、
管理和控制手段:
质量控制、进度控制、成本控制、合同管理、信息管理、组织协调
9、SSE-CMM系统安全工程能力成熟度模型,强调过程控制,评估方法SSAM
帮助获取组织选择合格的投标者
帮助工程组织改进工程实施能力
帮助认证评估组织获得评估标准
10、SSE-CMM体系结构,两维模型
a)横向“域”维,表示需执行的安全工程过程;由过程区域PA构成。
基本实施BP构成过程区域PA(22个)再构成过程类(安全工程过程类、组织管理过程类、项目管理过程类),安全工程类描述安全直接相关的活动
b)纵向“能力”维,表示执行域维中各PA的能力成熟度级别,由公共特性CF组成。
通用实施GP构成公共特征CF再构成能力级别(6个级别,0-5),
0未实施
1非正规执行,个人的成熟角度上
2计划与跟踪,项目成熟的角度上,带执行的都是2级的(计划、规范化、跟踪、验证执行)
3充分定义,组织层面的成熟
4量化控制
5持续改进
11、信息安全工程过程类
a)11个PA,分成风险过程4(评估威胁、评估脆弱性、评估影响、评估安全风险)、工程过程5(确定安全需求、提供安全输入、管理安全控制、监控安全态势、协调安全)、保证过程2(验证和证实安全、建立保障论据)
b)保证过程是指安全需要得到满足的信任程度,验证和证实安全为建立保证
论据提供支撑
12、数据采集方法:
问卷、访谈、证据复审;
13、SSAM评估过程:
规划、准备、现场、报告
安全漏洞与恶意代码
1、漏洞的定义
存在于评估对象(TOE)中违反安全功能要求的弱点(1999年,ISO/IEC15408(GB/T18336)
2、业务数据不是漏洞的载体,漏洞本身不会产生危害
3、漏洞发现
静态漏洞挖掘(不运行,有源代码)、动态漏洞挖掘(运行)
动态挖掘:
模糊测试、动态污染传播
4、补丁分类:
文件类型方面(源代码形式、二进制形式),内存角度(文件补丁、内存补丁)
5、恶意代码
病毒:
可感染,传播性,非独立性
蠕虫:
可感染,独立型,
木马:
非传染性,独立型
后门:
非传染,C/S,B/S
6、冲击波(MSBlaster)感染后,不能正常浏览网页,系统不断重启,右击功能失效
7、震荡波感染后,系统倒计60秒重启
8、随系统启动而加载、随文件执行加载
9、注册表
HK_Localmachine
HK_CurrentUser
10、恶意代码检测技术
特征码扫描、沙箱技术、行为检测
11、病毒不感染txt文档
12、蜜罐、蜜网
13、士大夫
软件安全开发
1、SDL安全开发生命周期,将软件开发生命周期分为7个阶段(培训、要求、设计、实施、验证、发布、响应),17项安全活动。
2、MiniFuzz是动态分析工具
3、SSF软件安全框架:
监管、信息/情报、SSDL接触点、部署
4、CLASP综合的轻量应用安全过程
5、SAMM4个核心业务功能:
治理、构造、验证、部署,4个成熟度级别0-3
6、安全设计阶段尤为重要
7、所有的验证工作须放在服务器端,
8、STRIDE建模
S假冒身份/欺骗标识T篡改数据
R抵赖I信息泄露
D拒绝服务E权限提升
9、EIP指令指针寄存器,栈是由程序自动生成的
10、缓冲溢出解决方法
编码避免缓冲区溢出、使用替代的安全函数或库函数、使用更新更安全的编译环境、非执行的堆栈防御
11、代码审核
12、Coverity审核CFortify审java
13、渗透测试是授权的,入侵是非授权的
14、日志的相关概念
15、浏览
16、
安全攻击与防护
1、嗅探、监听、钓鱼属于被动攻击手段
2、黑客攻击的最后动作:
清除痕迹
3、端口号
DNS53,url查询时使用UDP53,DNS域传送使用TCP53
FTP21,TCP协议
HTTP80,TCP
TELENT23,TCP
SMTP25,TCP
POP3110,TCP
SNMP161\162,UDP
4、集成化的漏洞扫描器
▪Nessus
▪ShadowSecurityScanner
▪eEye的Retina
▪InternetSecurityScanner
▪GFILANguard
专业web扫描软件
▪IBMappscan
▪AcunetixWebVulnerability
数据库漏洞扫描器
▪ISSDatabaseScanner
▪oscannerOracle数据库扫描器
▪Metacoretex数据安全审计工具
5、ARP欺骗实现的重要原因
无状态、无需请求可以应答,以ARP缓存实现
6、拒绝服务攻击
SYNFlood、UDPFlood、Teardrop、Pingofdeath(smnp协议)、Smurf、Land
7、SQL注入在服务器端执行,因对用户的输入合法性没有进行过滤
8、SQL注入防御:
白名单、黑名单、部署防SQL注入系统或脚本
9、跨站脚本在浏览器上执行,攻击浏览器
10、日志状态代码描述
拒绝服务攻击
攻击通信方式:
双向通信方式、单向通信方式、间接通信方式
11、私有IP
A类10.0.0.0–10.255.255.255
B类172.16.0.0–172.31.255.255
C类.192.168.0.0–192.168.255.255
12、ICMPflood是ping风暴攻击,单纯向受害者发送大量ICMP回应请求消息
13、DOS工具
Trinoo分布式DOS工具
14、BotNET傀儡网络,IRC协议,端口TCP6667
15、蠕虫的攻击手段,缓冲区溢出攻击、格式化字符串攻击、拒绝服务攻击、弱口令攻击
16、方法
鉴别与访问控制
1、鉴别类型
单项鉴别(输密码)、双向鉴别(证书)、第三方鉴别
2、鉴别系统的组成
被验证者P;验证者V;可信赖者TP,参与鉴别
3、鉴别的方法
基于你所知道的(口令、挑战-应答)、
基于你所拥有的(物品,如磁卡,IC卡)、
基于你的个人特征(笔记、虹膜、指纹、人脸、语音)
双因素、多因素认证(银行卡取款是多因素)
4、硬件存储器加密,不保存任何明文
5、软件通过双因素认证支持DES对称加密、3DES非对称加密和RSA等密码算法
6、错误的拒绝率可以最大化防止侵入
7、CER交叉错判率,错误的拒绝率和错误接受率构成
8、访问控制:
针对越权使用资源的防御措施
9、访问控制模型:
自主访问控制、强制访问控制、基于角色的访问控制
10、访问控制的过程:
鉴别、授权
11、用户
升级会员 