CISA注册信息系统审计师学习笔记：第五章——信息资产的保护

双盲测试也称为零知识测试。指测试中不向渗透测试人员透漏任何信息，也不向目标组织发出任何警告一双方都对测试“一无所知”。这是测试相应能力的最佳方案，因为目标会像真实攻击一样的做出反应。盲测也称黑盒测试。指测试中不向渗透测试人员透漏任何信息，并迫使其依靠公开信息。此测试将模拟真实攻击，但目标组织知道这是在进行测试。针对性测试也称为白盒测试。指测试中向渗透测试者提供信息，并且目标组织也知道在进行测试活动。在某些情况下，还会向测试人员提供一个权力受限的账户作为操作起点。外部测试指渗透测试人员尝试从目标网络外部（通常是互联网）向目标的网络外围发起攻击。

蜜罐是一种计算机系统，专门建立用来吸引那些试图渗透他人计算机系统的人员并使其落入陷阱。蜜罐这一概念来源于入侵者的行为。适当设计和配置的蜜罐可提供用于攻击系统的方法的数据。这些数据随后用来改进可抑制未来攻击的措施。陷阱门能够创建漏洞，使未经授权的代码有机会植入系统。流量分析是一种被动攻击。

Pharming攻击会利用DNS服务器的漏洞。将流量重新定向到未授权的网站，为了避免这种攻击，需要消除可能会造成DNS中毒的所有已知漏洞，DNS的旧软件版本易受此类攻击，应进行补丁处理。

信息资产所有者（被问责安全措施）负责定义信息资产的重要性程度。在应用程序内部实时信息安全机制是数据保管员的责任，实施访问规则也是数据保管员的责任。为数据提供物理和逻辑安全措施是安全管理员的责任。

发现病毒感染第一步先断网。

社会工程利用人性的弱点来获取信息访问权限。通过增强员工的安全意识，可能会减少社会工程事故的数量。

通过对网络组件（例如，链路、路由器或交换机）建立某种形式的重复形成冗余以防止丢失、延迟或数据重复，从而对组件通信故障/错误进行控制。

网络钓鱼使用伪装成合法服务器的服务器、减轻网络钓鱼风险的最好方法是教育用户，让其注意可疑互联网通信，并且在得到验证之前不要相信这些通信，用户需要足够的培训识别可疑网页和电子邮件。

数字证书中包含公钥，可对有关公钥所有者的信息进行识别。相关的私钥由所有者机密地持有。这些证书一般有值得信任的机构验证，目的是将个人身份与公钥关联起来，电子邮件的机密性和完整性以公钥和私钥加密实现，由受信第三方验证数字证书即可保证发送者的不可否认性。对称式秘钥加密法使用单一通关短语来加密和解密消息。尽管这种加密类型很强大，但它却承袭了需要以安全方式共享通关短语这样一个问题。消息分类算法是一种设计哈希功能以验证消息/数据完整性的方法，消息分类算法不提供机密性和不可否认性。

数字签名：计算所传输数据的哈希值或摘要或者对其进行加密需要客户端（接收者）的公钥，称为消息签名或数字签名。接收者执行相同的流程，在使用自己的私钥将数据解密后，将收到的哈希值与使用收到的数据计算出的哈希值进行比较，如果哈希值相同，则结论是接收到的数据具有完整性，且来源通过验证。使用发送者的私钥加密哈希值这一概念提供了不可否认性，因为只能使用发送者的公钥解密哈希值，而接收者并不知道发送者的私钥。简言之，在使用密钥对的情况下，任何可通过发送者公钥解密的数据之前必须使用其私钥加密，这样可确认发送者，即不可否认性。数字签名可以提供消息的完整性和不可否认性，但是，由于使用发送者的公钥进行数字签名解密的，机密性无法保证。

非对称加密算法：以接收者/发送者的公钥加密消息可以保证消息仅有接收者读取，接收者以其私钥解密。发送者的不可否认性通过发送者以其私钥对信息加密来实现。通过发送者以其私钥标记来实现真实性。不可否认性与发送者而非接收者相关。

在申请实体及其公钥之间建立关联是注册机构的职能。该职能不一定要由CA（认证颁发机构）履行；因此可以将该职能授权给其他机构。吊销和暂停以及发布和分配用户认证是用户认证生命周期管理流程中的职能，必须由CA执行。生成及分配CA公钥是CA密钥生命周期管理流程的一部分，因此无法授权。

消息摘要：将加密哈希算法应用到整个消息可解决消息完整性问题。使用发送方的私钥加密消息摘要可解决不可否认性。使用对称密钥加密消息，然后使用接收方的公钥对密钥进行加密，可最有效地解决消息的可靠性和接收方的不可否认性。

PKI（公钥基础架构）是数字认证和加密密钥对的管理构架。可接受的数字签名具有如下性质：对于其用户是唯一的；能够验证；仅售其用户控制；与数据之间的关联方式是，如果数据改变则数字签名无效。DES（数据加密标准）是最常见的私钥加密系统。DES不能解决不可否认性问题。MAC（消息验证代码）是整个消息在密码系统传递后计算得到的加密值。发送者在传输之前附上MAC，接收者随后从新计算MAC并将其与发送的MAC进行比较。如果两个MAC不相等，则说明消息在传输过程中被更改；这与不可否认性无关。PIN（个人标识码）是一种密码（即分配给个人的私密号码），通过与一些其他识别手段结合使用来验证个人身份。

通过使用发送者私钥来签署消息，接收者可使用发送者公钥来验证其真实性。通过使用接收者公钥来加密消息，只有接收者可以使用自己的私钥来解密消息。接收者私钥是保密的，因此，发送者并不知道。

公钥（非对称）加密系统需要更大的密钥（1,024位），而且设计密集且耗时的计算。相比之下，对称加密要快得多，但依赖于密钥交换过程的安全性。要同事利用这两个系统的优势，可以使用公钥法来交换对称会话密钥，然后将其用作双方之间的密钥来加密/解密发送的信息。

CA（认证颁发机构）的主要活动是颁发认证，负责颁发数字认证，以及分发、生成和管理公钥，CA的主要作用是检查拥有认证的实体身份和确认所颁发认证的完整性。数字认证是一种电子文档，表明公钥持有者是持有者所宣称的人员，这些认证可负责数据认证，因为其用于确定发送特定消息的人员。

CPS（认证实施准则）是基于政策的PKI的指引部分。CRL（证书撤销清单）是在认证的预订截止日期前已调用认证的列表。CP（证书政策）设置的要求随后由CPS实施。PDS（PKI公开声明）涵盖了担保、时效和义务等多个法律上束缚各方的关键条目。

目录服务器向应用程序提供其他用户的认证。对通过网络传输的信息进行加密和存储CRL（证书撤销清单）是安全服务器的职责。

铅酸蓄电池会排出氢气，氢气检测仪是通风系统失效的一种补偿性控制措施。所有电池房都应安装氢传感器和适当的通风系统。

电压调节器可以防止短期电源波动，防止硬件遭遇电涌。电源线调节器可用于弥补电力供应的高峰和低谷，并将电力流量的峰值减小至机器所需的值。

一般认为具有自动断电系统的喷水设备是很高效的，因为可将其设定为自动释放而不会对生命造成威胁，而且水很环保。火器必须是干式的，以防止泄露危险。卤化物气体是有效且高效的灭火方法，因为它不会威胁人的生命安全，而且可以设定为自动释放，但是它会破坏环境而且很昂贵。使用水是可以接受的方法，但为了防止泄露，管道应该是空的，所以选择完整系统并不可行。二氧化碳被公认为符合环保要求的气体，但因为它会威胁生命，所以在工作地点不能设定为自动释放，从而导致效率偏低。FM-200被认为是气态灭火应用中使用的清洁剂，比灭火器速度快。

安置活动地板的主要目的是将电源线缆和数据线缆安装在地板下面。

基于神经网络的IDS（入侵检测系统）可以监控网络上常见的活动和通信流量，并且会创建一个数据库。神经网络可用于解决需要大量输入变量的问题。最常见的问题是误报检测，基于统计的IDS最常见。IDS先考虑放置，再考虑配置。IDS缺点：IDS不能检测加密流量中的攻击。

屏蔽子网防火墙可提供最佳保护免受互联网攻击。屏蔽路由器可以使商用路由器或具有路由功能且能基于地址、端口、协议、接口等允许或避免网络间或节点间通信的节点。应用级网关（最高等级和颗粒度的控制）是要进行通信的两个实体间的中介器，也称为代理网关，应用级（代理）不仅在数据包级工作，还在应用级工作，屏蔽对数据包级、地址和端口进行控制，但不查看数据包的内容。数据包过滤器路由器检查在互联网和公司网络之间传送的每个数据包或数据的头。

网络防火墙（保证二网分离，代理服务器也是防火墙的一种）被突破后，IDS（入侵检测系统）将成为网络防火墙之后的下一道防线。防病毒程序、个人防火和VLAN（虚拟局域网）配置是更加靠后的防线。

数据分析类是根据需要执行和按需要知密原则来定义访问规则时的必备步骤，数据所有者负责定义访问规则；因此，确立所有权是数据分类的第一步。重要性分析是数据保护的必备步骤，该步骤采用数据分类的输入内容。访问定义在数据分类之后完成，而数据字典的输入内容是数据过程中进行准备的。

实施访问控制的第一步IS资源的库存，这是分类的基础。只有先确定资源的分类，才能完成资源的标记。只有资源的分类有意义，才能创建访问控制列表（ACL）。

日志管理工具，旨在从多个日志文件聚集事件，把它们存储在脱机状态下，用来出具相关的许多报告，并回答基于时间的查询。SIEM（安全事件信息管理）产品有一些类似的功能，它从日志文件关联相关的事件，但它是在线的，通常不存储许多个星期的历史记录并以此出具审计报告，一个关联引擎是一个SIEM产品的一部分，它倾向于发掘联网的关联事件。一个ETL（摘录、转换、导入系统）是一个商务智能系统的一部分，专门用于提取或生产经营数据，转换或加载数据到一个中央储存库，ETL不关联数据和出具生产报告，通常它没有读取日志文件格式的提取方式。

内容过滤代理服务器能有效地监控用户对互联网站点的访问并阻止其访问未经授权的网站。反向代理服务器可用于实现企业站点的安全远程连接，但不能控制员工的Web访问。防火墙是用来阻止未经授权的入站网络流量的。客户端软件实用工具可用于阻止不当内容，但在大量PC上安装需要维护额外的软件。

纵深防御是指使用不同类型的安全机制，做到相互备用。

路由器配置和规则不当会产生受到拒绝服务器攻击（DoS）的风险。通常，在发动拒绝服务攻击前，黑客会使用自动端口扫描软件来获取攻击对象的相关信息，使用Ping命令发送大小超过65KB的数据包且没有加入分段标志会造成拒绝服务。重放攻击只是再次发送相同的数据包。社会工程是利用最终用户的漏洞，而缓冲区溢出攻击是利用编写的代码。

IP冒充将利用IP协议中的源路由选项。通过启用此选项，攻击者可以插入一个伪造的源IP地址。包将按照源路由字段中的信息在网络中传输，绕过每个路由器中的逻辑，包括动态和静态路由。防火墙要在这种情况下删除包。

远程启动（如无盘工作站）是一种防御病毒的方法，可通过硬件实施。行为拦截程序，是一种检测技术，而非防御措施，也是基于硬件的。

信任网是适用于小组通信的密钥分配方法。它可以确保相当好的保密性（PGP）并在组内分配用户公钥。密钥分配中心是适用于机构大型团体内部通信的分配方法，它会为每个会话分配对称密钥。认证颁发机构是受信任的第三方，能够确保认证所有者的真实性。这对于大型团体和正规通信很有必要。Kerberos（K8s）身份认证系统扩展了密钥分配中心的功能，它通过生成“许可证”来定义各个用户有权访问的联网计算机设施。

要授予临时访问网络权限，SSH-2隧道是最好的方法。该隧道具有审计功能并允许限制特定访问点。

URL缩短服务已被黑客用来欺骗用户、传播恶意软件，如网络钓鱼。IP欺骗用来更改传输控制协议/互联网协议（TCP/IP）数据包，而非HTTP协议中的源IP地址。

事件钓鱼是有针对性的钓鱼攻击，以最近发生的事件为基准。通常混合钓鱼用和伪造的电子邮件一起还使用了跨站点的脚本。社交工程是一种操作别人执行动作或者泄露信息的方法，任何一种社会工程攻击都可通过安全意识培训得到最佳控制。鱼叉式钓鱼是发送虚假电子邮件给对一个组织的具体个人，但通常不是与特定的事件相关。

嗅探：获取权限和密码。

被动攻击的示例有：网络分析、窃听和流量分析。主动攻击包括穷举攻击、伪装、数据包重放、消息修改、通过互联网或基于Web的服务进行未经授权访问、拒绝服务攻击、拨号渗透攻击、电子邮件炸弹和垃圾邮件，以及电子邮件欺骗。

战争驾驶技术是指通过携带具有无线配备的计算机在建筑周围驾驶或步行来定位和访问无线网络。战争拨号技术是指通过拨打定义范围内的电话号码，以期收到调制解调器的应答来访问计算机或网络。

中间人攻击可使双因素认证、安全套接字层SSL失效。

异步攻击是基于操作系统的攻击，与检查点重新启动有关。

如果程序不对输入程序的数据长度进行检查，则可能发生缓冲区溢出利用。攻击者能够发送超过缓冲区长度的数据，并用恶意代码重写程序的一部分。解决问题的对策是正确编程和良好的编码习惯。

成功攻击系统的第一步是收集信息。

系统资源的命名约定对有效管理安全控制来说非常重要。命名约定可以按一定方式来制定，使以相同高级限定词开头的资源受一条或多条通用规则控制。这可以减少充分保护资源所需的规则数量，从而简化安全管理和维护工作。减少充分保护资源所需的规则数可允许应用程序对资源和文件进行分组，从而使访问更加方便。

低EER（相等错误率）是低FRR（误拒绝率）和低FAR（误接受率，风险较高）的综合结果。EER越低，说明生物识别控制设备有效。

Kerberos是一种用于客户服务器端用程序的网络身份认证协议，用于将数据库的访问权限限制为授权的用户。有效性检测和多模式生物识别是针对欺骗和模拟攻击的控制措施。数据库交易的前/后图像记录是坚持性控制，与Kerberos这种预防性控制刚好相反。

双因素认证：pin+智能卡等。

双门安全系统可解决尾随风险。

光纤电缆的特征和数据传输的方法使得物理上接入电缆是十分困难的，提供了加强的安全性。与光纤相比双绞线所能承载的带宽有限。光纤电缆与双绞线相比更容易折断并且困难，需要更多的时间去安装。双绞线与光纤相比更容易受干扰。干扰可能会导致性能的下降和潜在的连通性降低。

如果题干问的磁介质的数据不可恢复性删除，那么消磁最彻底。如果题干问的存储介质的数据不可恢复性删除，那么选择物理破坏为最佳（有些存储介质非磁介质）。

贝叶斯过滤法对消息采用统计模型，方式是先对消息中的每个单词实施频率分析，然后再整体评估消息。因次，如果整条消息在正常范围内，则将忽略可疑的关键字。

如果哈希总和于预期不同，则说明消息被修改过，这是一个完整性测试。哈希是单向且不可逆的。使用接收者的公钥标记消息能够保证机密性，是用发送者的私钥标记消息能够保证其不可否认性和真实性。

互联网协议安全工作是基于两个数据包ESP（封装安全负载）和AH（头验证）。为了保护数据ESP加密数据并且存储他们在一个封装安全负载包组件中。AH管理验证过程，不是数据的安全。

安全超文本传输协议（HTTPS）重定向用户到安全的端口，在应用层提供数据加密。安全套接层（SSL，已构建在所有主流浏览器和web服务器中，使用对称密钥加密消息）在OS模型的传输层提供加密，通常被使用在web上加密从客户端到服务器端或服务器到服务器的数据会话。安全外壳（SSH）是被执行在传输层。 IP安全（IPSec）仅提供网络层的加密。

AES（高级加密标准）的加密最强，并能內数据提供最好的保护。通常认为，恢复被AES加密的数据在计算机上是不可能的，因此AES是加密最敏感数据的最佳选择，AES是一种公共算法，支持大小介于128位到256位的密钥，它不仅可以提供良好的安全性，而且能保证各种计算机平台的运行效率和多功能行。DES（数据加密标准）容易受到穷举攻击并被公开破解过，因此试用DES加密数据不能保证数据免遭未经授权的泄漏。MD5（消息摘要5）不能对数据进行加密，而是会使数据经历一个不可逆转的数学过程。因此MD5不能用来加密USB驱动器上的数据。SSH（安全外壳）协议可用来建立安全、加密的命令行壳会话，通常用于远程登录。尽管SSH可以加密会话期间传输的数据，但不能加密静态数据，包括USB驱动器上的数据。

RSA和椭圆曲线加密这两种加密方法均支持数字签名，可用于公钥加密和分配，且强度相似。但椭圆曲线计算速度更快。

检索技术可实现窃听，因此其允许未经授权的数据访问。

数据欺骗涉及在将数据输入计算机之前对其进行更改。由于不需要多少技术知识并且发生在计算机安全系统保护数据之前，因此被大量滥用。对于数据欺骗，只有一些补偿控制手段。

逻辑尾随是指尝试通过具有权限的某人获取访问权限，例如通过电子方式连接到授权的电信链路，以尽可能截获信号的行为。可通过加密信息防止该行为。

不应使用SSID（服务集标识符），因为黑客会将WLAN与已知组织关联起来，这会增加他们的攻击动机，SSID禁用处理不能用来进行访问控制。WEP （有线等效加密）安全机制已被证明有大量可被利用的弱点，最近开发的WI-Fi网络安全存取协议（WPA）和Wi-Fi网络安全存取协议2（WPA2）标准代表了更加安全的身份认证和加密方式，在无线接入点安装SNMP（简单网络管理协议）实际上会增大安全漏洞。如果一定需要SNMP，那么应部署比起早期版本更强大的SNMP V3身份认证机制。

GSM（全球移动通信）技术的固有安全特性与VPN形结合使用是最适当的。

使用VLAN（虚拟局域网）对VoIP通信进行划分能有效保护VoIP基础设施免受基于网络的攻击（DDoS）、潜在窃听和网络通信问题（有助于确保正常运行时间）。

在以太网交换机中有一个称为ARP（地址解析协议）缓存的数据表，其中存储着介质访问控制（MAC）与IP地址之间的映射关系。在正常运行期间，以太网交换机只允许定向通信在参与会话的端口之间流动，没有其他端口能看到该通信。但是，如果ARP缓存被ARP投毒攻击有意破坏，则一些以太网交换机便会放任定向通信“淹没”交换机的所有端口，这样攻击者就可以监控平常对其连接端口不可见的通信，并借此窃听VoIP（IP语音）通信。

会话边界控制器提高访问网络和核心部分的安全性。在访问网络中，该控制器隐藏用户的真实地址，并提供一个受管理的公共地址。可以对此公共地址进行监控，从而最大限度地减少扫描和DoS攻击的机会。会话边界控制器在维护防火墙效能时，允许对防火墙之后的客户端进行访问。在核心部分中，会话边界控制器保护用户和网络。该控制器隐藏网络拓扑和用户的真实地址，也可以监控带宽和服务质量。

通过RBAC（基于角色的访问控制）技术可最好地解决授权问题。RBAC易于管理，并能在大型Web环境（包括VoIP实施）中执行强大而有效的访问控制。

创建防火墙策略：在确定了应用程序，下一步是要找出与网络应用程序有关的漏洞（弱点）。下一步是分析应用程序流量，并展示了如何创建一个矩形的每个类型的流量将受到保护。

减少企业内部攻击：对个人的相关背景，犯罪记录和信贷记录的调查将有助于识别高风险的候选人，但是最好的控制是除了初始的过滤之外，还应该持续性的监控员工的各种行为。