《cisa笔记第五章信息资产保护》由会员分享,可在线阅读,更多相关《cisa笔记第五章信息资产保护(17页珍藏版)》请在金锄头文库上搜索。
1、CISA 笔记第五章信息资产保护笔记第五章信息资产保护 第五章信息资产的保护(信息安全) * 通过评估对信息资产的设计、实施、检测以及物理访问控制来保证 信息资产的 CIA 机密性 confidentiality 完整性 integrity 可用性 availability * 信息安全管理包括制定合理的信息安全方针与策略、风险评估、控 制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训 等一系列工作,通过在安全方针策略、组织安全、资产分类与控制、 人员安全、物理与环境安全、通信与运营安全、访问控制、系统开发 与维护、业务持续性管理、符合法律法规要求等领域建立管理控制措 施。 * 三
2、分技术,七分管理 * 安全管理,包括:政策、控制、流程 * 信息安全目标: 1、保证储存在计算机系统上的信息的完整性 2、保护敏感信息的机密性 3、遵守保护个人数据隐私的责任与义务 4、保证信息系统的持续可用性 5、保证符合法律、法规的要求 * 信息安全关键因素: 1、高级管理层的承诺与支持:政策与措施能够有效贯彻;得到有效 的资源保证;跨部门之间问题的协调 2、信息安全政策与程序: 安全政策:描述组织具有哪些重要的信息资产,说明这些信息资产如 何被保护的计划,详细描述对员工安全意识与技能要求,列出被组织 禁止的行为; 安全程序:为确保信息安全管理活动的有效性,信息安全管理体系程 序通常要求形
3、成文件。实施控制目标与控制方式的安全控制程序;覆 盖信息安全管理体系的管理与运作的程序 3、组织:明确组织中信息资产的保护责任和完成特定的安全流程的 责任 4、安全意识与教育 5、监督与符合性审核 6、应急处理与响应 * 管理:安排正确的人做正确的事 * 信息是经过整理的,有意义的数据 * 保护的内容:用于存储、检索、传输和处理信息资产的过程和流程 进行评估,以确定信息资产是否得到充分保护 * ISO27002 告诉信息安全需要做什么 * ISO27001 告诉信息安全怎么做,建立信息安全管理体系 ISMS * 因为有风险所以要建立控制 * PDCAPLAN 计划、DO 执行、CHECK 检查
4、、ACTION 处理戴明环 * ISO27000 等同于国家 GB/T22080 标准 * 信息安全管理的关键要素: 高层管理的承诺与支持 信息安全政策:组织纲领性的方向性文件,由高层发布 信息安全程序:具体制度、流程,由中层管理层发布 *5W1H是对选定的项目、工序或操作,都要从原因(何因 why) 、 对象 (何事 what) 、 地点 (何地 where) 、 时间 (何时 when) 、 人员(何 人 who) 、方法(何法 how)等六个方面提出问题进行思考。 * 安全制度分层: 组织策略(文件,有法可依) 程序、流程(文件,有法可依) 操作手册(文件,有法可依) 记录(有据可查)
5、* 制度一定要形成体系,通过 PDCA 循环起来 * 信息安全组织: 明确组织中信息资产的保护责任和完成特定的安全 流程的责任、员工的安全意识、教育 * 监督和审计:监督高层的,监控审计的过程。没有审计检查,制度 就不可能落实; * 信息资产管理:识别与定义、对组织的相关价值、位置、安全或分 类风险、所属资产组、资产所有者、指定保管人员。首先必须识别与 定义信息资产。 * 采用分类方案并赋予信息相应的敏感性级别, 并在此基础上形成规 范化的数据管理策略与方法,可以有效的管理信息资产。 * 对计算机信息的物理访问与逻辑访问应当建立在“知所必需”的基 础上,按照最小授权原则和职责分离原则来分配系统
6、访问权限,并形 成书面文件,作为信息安全的重要文件加以管理。 * 员工和部门的变更, 恶意代码的攻击, 或者无意造成的 “授权延伸” 都可能影响访问控制的有效性 * 生产数据导入测试环境需要进行脱敏操作; * 信息资产分类:数据与文档、书面文件、软件资产、实物资产、人 员、服务(计算、通讯、制冷、照明、动力、空气等) * 首先找到全部资产,然后分类,然后分级。以此为根据定义访问控 制,避免欠保护或者过保护; * 信息资产分级由信息资产所有者定义; * 系统访问控制分为: 逻辑访问控制:网络、系统、数据库、应用 物理访问控制:控制人员进出敏感区域。 * 访问控制的原则: 所有的访问都必须申请与授
7、权 知所必需 最小授权:赋予的权限不能超出完成工作所需要的权限 职责分离 安全管理员实施安全控制 阶段性进行检查 * 访问控制类型 强制性访问控制: 强制实施组织中有关信息共享的安全政策或安全规 则的机制。系统管理员 自主性访问控制:由数据的所有者决定谁可以访问数据。 * 组织可以选择使用严格的强制性访问控制方式或灵活的自主性访 问控制方式,这需要通过对客体的重要性及敏感性进行分析判断,并 根据组织制定的资源分类和标识标准进行实施 * 信息安全管理的关键成功因素: 高级管理层的支持 方针制定 程序制定 意识培养 组织架构 人员教育 * 为阻止非授权的拷贝,打印文档应该限制在现场使用; * 人员
8、离职,系统账户应停用; * 应急处理响应步骤: 计划与准备检测启动评价限制根除响应 恢复关闭处理流程事件后续检查事件总结 * 针对社会工程的攻击的方法:不断进行信息安全意识教育与培训 * 网络钓鱼、DNS 中毒,是社会工程学攻击 的一种方法 * 审计师需要审核 IT 系统架构的各个安全层面,他们包括:网络层、 操作系统层、数据库层和应用系统层。 * 访问控制过程(3A) :身份识别,发放 ID,提交 ID,识别,授权, 记账日志;审计 * 信息系统审计师在实施网络安全评估与访问控制审核时, 应鉴证组 织所有可能的访问路径都已经被正确的识别出来, 并采取了相应有效 的控制措施; * 可审计性记账
9、日志 * 操作系统的访问控制基于文件的权限,用户:人; * 数据库的访问控制基于各个层级:字段、表、库,用户是:人、应 用; * 身份识别与验证(ID Password)是多数系统的第一道防线; *身份识别与验证技术分为三类: 单因素技术:口令 双因素技术:ID 卡 生物测定技术:指纹 * 一次性口令是双因素的身份验证技术 * 生物测定的三个量化指标: 错误拒绝率(FRR) :合法用户被错误的拒绝 错误接受率(FAR) :非授权用户被错误的接受 平均错误率(EER) :当错误拒绝率与错误接受率相等时的比率。平均 错误率越低,表示测量设备越有效。 * Kerberos 是单点登录的典型应用,用票
10、据(特定的数据包)进行认 证。 1、所有的通讯必须加密; 2、用户只要登录后,再访问其他服务器都不需要再次认证; 3、基于对称密钥加密。 * KDC,AS,TGS * 域信任也用 Kerberos * 用户权限:能访问什么资源,能做什么 * 授权原则:决定什么人能访问什么资源 * 访问控制:主体、客体、权限通过矩阵表来显示横轴主体; 纵轴客体。 * 访问控制的方式: 分布式:认证机制分布在各个结点上或者本地 集中式:所有的用户在一个点进行认证 * VPN 缺点:被加密的流量能够隐藏非授权活动和恶意代码。解决办 法: 用 VPN 集中器 (VPN 服务器) 终结所有 VPN 流量到一个端点 (D
11、MZ 区) ,在网络其他部分不接受 VPN 流量 * 对系统日志的控制措施: 严格限制安全管理员对系统日志的访问; 用数字签名和一次性写入入设备保存日志 认证、加密控制日志的机密性 每日打印与审批日志 阶段性检查日志 * 对控制的主体与客体制定命名规则; * 磁带应垂直存放,避免酸性环境 * 虚拟化管理终端可能在未授权的情况下访问虚拟机的用户信息; * 无线网的安全需求:真实性、防抵赖、可追踪性、网络可用性 * 网络攻击分为:主动攻击、被动攻击 * 防火墙种类 包过滤防火墙: 状态检测防火墙:针对 TCP 链路状态,配置非常复杂 应用层防火墙 * 防火墙类型 屏蔽主机防火墙 双穴主机防火墙 屏
12、蔽子网防火墙/非军事区(DMZ) * IDS 的分类(特征分析准确率较高,统计分 析,神经网络;以进程驻留后台方式运行) 基于网络入侵检测:安装在需要保护的网段中,监视网段中传输的各 种数据包 基于主机的入侵检测:安装在被保护的主机上,检测网络实时连接以 及系统审计日志; * IPS 入侵防护纠正性控制 * IPS 串行在网络中;IDS 并行在网络中。 * IDS 组件:传感器、控制台、分析模块、用户界面 * 蜜罐:提前发现;分散攻击者注意 1、调查入侵者来源; 2、考察用于防护的安全措施是否有效。 * 加密实现:机密性、完整性、身份认证、不可抵赖 * 加密:密钥(最重要) 、算法(可公开)
13、* 加密系统的强度,取决于密钥的保密性强弱; * 密钥越长,安全性越好,密钥空间越大; * 加密破解: 唯密文破译 以知明文破译(需要知道密文) 选择明文 * 对称密钥算法比非对称密钥算法快 10 倍到 100 倍 * 对称密钥:DES3DESSSF33AES * 两两对发密钥N*(N-1)/2 * 非对称算法:公钥、私钥 *非对称算法:RSA 大素数分解ECC 椭圆曲线Diffie-Hellman * ECC 的特点:更强的加密能力、更小的计算能力,缩短长度 * 加密技术应用(数字信封) 用对称加密算法进行大批量的数据加密 每次产生一个新的随机密钥 使用非对称加密算法传递随机产生的密钥 *
14、常用哈希函数: MD5:目前已经不安全 SHA-1 * 单向哈希值 * 哈希函数:输入一个长度不固定的字符串,返回一串定长度的字符 串,即哈希值。单向哈希函数用于产生信息摘要。如果输入的字符串 发生任意改变,哈希值就一定会改变。信息摘要可被视为一份长文件 的数字指纹; * 数字签名的目的:数据的完整性、身份鉴别、不可抵赖性 * 认证中心(CA)系统包括:安全服务器、注册机构 RA、CA 服务器、 LDAP 目录服务器和数据库服务器; * 注册机构 RA: 证书注册管理与维护 * CA 要对证书进行签名,发放和管理数字证书的权威机构; * 加密技术在 OSI 协议中,除了物理层,其他所有层均可实
15、现加密, 其中在应用层,加密最容易实现;在网络层和传输层的加密对于大多 数应用是透明的,加密成本相对较高,但影响到所有应用系统间的通 讯;在数据链路层的加密主要用于保护信息在局域网上的传输。 * IPSec 特点(网络层) 机密性 完整性 真实性 抗重性 * IPSec 有隧道模式和传输模式 * IPSec 的 AH 数据包头实现完整性但不加密,替换 IP 数据包头; IPSec 的 ESP 数据包头实现完整性并且加密,整个 IP 数据包被 ESP 加 密; * SSH 安全通道协议:保护 Telnet 和 FTP 服务; * SSL 保证信息的真实性、完整性和保密性,提供交易的不可否认性:
16、HTTPS * 应用系统对加密体系的使用: 1 、甲准备好明文; 2、对明文哈希,得到信息摘要; 3、甲用自己私钥对信息摘要加密得到甲的数字签名,并将其附在数 字信息上; 4、甲随机产生一个机密密钥(对称密钥) ,并用此密钥对要发送的信 息加密,形成密文; 5、甲用乙的公钥对机密密钥加密,将加密后的机密密钥以及密文发 送给乙; 6、乙用自己的私钥对机密密钥解密; 7、乙用机密密钥对密文解密,得到明文及数字签名; 8、乙用甲的公钥对甲的数字签名解密,得到信息摘要; 9、乙对明文进行哈希,得到新的信息摘要; 10、乙用新的信息摘要与解密的信息摘要对比,如果一致,则收到的 信息是安全的,没有被修改过。 2012 年 10 月 29 日 * 审计师永远只是站在边上看、观察,不能插手企业事务; * 病毒必须依附于另外一个程序,蠕虫不需要寄生;木马是特洛伊 * 被动攻击:窃听、流量、网络分析 * 30 多威胁战争拨号、驾驶、漫步、粉迹 * 坏事发生前是预防控制:移动设备进公司前扫描 * 坏事发生时能控制检查:日志 * 坏事发生后控制纠
