- 岗位轮换(防串通,防滥用)
- 交叉培训(A/B 角色)
- 员工评估:针对关键角色进行全面评估,针对其他员工抽查
- 审查员工,早期发现可能对安全造成风险的行为
- 不满的员工
- 强制休假(强制审查,一般表示有不好的行为发生)
5. 离职
- 禁用、删除用户账号
- 撤销证书
- 取消访问代码权限
- 解雇过程需要安全部门和 HR 参与,尊重员工的同时降低风险,离职面谈需要重申之前签署的安全协议
第三方人员管理
- 签署 SLA,SLA 需要包含安全改进相关的内容(保密相关仍然需要签署 NDA,SLA 不能满足)
- 使用 VMS 供应商管理系统
合规策略
在人员层面,合规=员工是否遵循公司的策略。
合规是一种行政或管理形式的安全控制。
隐私策略
隐私内容包含:
- 未授权访问个人可识别信息(PII),例如电话号、地址、IP 等
- 未经授权的个人机密信息访问
- 未经同意的监视
要遵照法律要求保护和存储隐私数据:
- HIPAA 健康保险流通与责任法案
- SOX 萨班斯-奥克斯利法案
- FERPA 家庭教育权利和隐私法案:学生相关的数据
- GDRP 通用数据保护条例
风险管理 - 关注资产
风险管理的目标:将风险降至可接受的水平。
绝对安全的环境是不存在的,需要平衡收益/成本,安全性/可用性。
风险来自很多方面,可能是非 IT 的灾难,比如自然灾害等。
风险管理包含两大部分:
- 风险评估/风险分析:基于价值/性质分析每个系统的风险
- 风险响应:使用成本/收益的方式评估风险控制措施
风险相关的术语解释
- 资产:可以是业务流程或者使用到的任何事物,可以是有形的也可以是无形的
- 资产估值 AV:资产对应的货币价值,综合重要性、使用情况、成本、支出等元素得出
- 威胁:可能导致资产破坏、变更、泄露等的行为
- 威胁主体:主体利用威胁来危害目标
- 威胁事件:对脆弱性的意外和有意利用
- 威胁向量(Threat Vector):攻击者为了伤害目标而使用的路径和手段,比如 Wifi、物理访问、社会工程学等
- 脆弱性:资产中的弱点,使威胁能够造成损害的缺陷、漏洞、疏忽,可以是技术上的,也可以是管理逻辑上的
- 暴露:资产丢失暴露的可能性
- 风险:
- 风险=威胁*脆弱性
- 风险=损害的可能性*损害的严重程度
- 攻击:威胁主体进行的脆弱性利用尝试
- 破坏:成功的攻击
1. 风险分析
风险分析的目标是:确保只部署具有成本效益的措施。
定性风险分析 - 基于定性的更容易分析
基于分级来进行。基于场景,而非计算,依赖经验和判断。
- 场景:针对单个威胁的描述
- 通常比较概要,限制在一页纸,方便参与的人分配等级
- 威胁如何产生
- 对组织带来的影响
- 可能的防护措施
- Delphi 技术:匿名的反馈和响应
- 对于每个反馈,参与者通过数字消息匿名写下反馈,最后汇总给风险分析小组,重复这个过程直至达成共识
定量风险分析
几个关键词:
- AV 资产价值
- EF 暴露因子:潜在的损失,EF 仅表示单个风险发生时对整体资产价值造成的损失(比如硬件故障带来的损失),以百分比计算
- SLE 单一损失期望(Single Loss Expectancy):SLE = AV * EF
- ARO 年发生率
- ALE 年度损失期望
ALE = ARO * SLE = ARO * AV * EF
定性分析和定量分析的对比
| 特征 | 定性分析 | 定量分析 |
|---|---|---|
| 使用数学计算 | 否 | 是 |
| 使用成本/收益分析 | 可能 | 是 |
| 需要估算 | 是 | 有时 |
| 支持自动化 | 否 | 是 |
| 涉及大量信息 | 否 | 是 |
| 客观的 | 较少 | 较多 |
| 依赖于专家意见 | 是 | 否 |
| 耗费的时间 | 一般 | 多 |
| 提供有用的意义和结果 | 是 | 是 |
2. 风险响应
风险响应的形式:
- 风险缓解:最常用,通过实施防护措施、安全控制来减少脆弱性,阻止威胁。比如加密和防火墙
- 风险转让:购买服务、保险等。可以转让风险,但无法转移责任
- 风险威慑:比如实施审计、监控、警告 banner、安保人员等
- 风险规避(risk avoidance):灾难避免,比如关闭重要系统以降低安全风险
- 风险接受:可以接受安全风险,通常意味着保护成本>资产价值
- 风险拒绝:不接受但是可能发生,不应该有
残余风险处理(除已经防护的,剩下的风险):
- 定期进行评估
风险控制的成本和效益
几个关键词:
- ACS ( annual cost of the safeguard)年度防护成本
- ALE 年度损失期望
- 实施措施前的 ALE
- 实施措施后的 ALE
防护措施对公司的价值=实施措施前的 ALE-实施措施后的 ALE-ACS
安全控制分类
按照方式:
- 管理行政类:数据分类、背景调查、工作说明书、审查、监督、培训
- 技术/逻辑类:IPS、防火墙、IAM、加密
- 物理类:门禁、锁、保安、看门狗、围栏、物理环境入侵检测等
按照作用:
- 预防性控制:部署预防控制以阻止非预期的或未经授权的活动发生,身份认证、门禁、报警系统、岗位轮换、IPS、培训等
- 威慑控制:锁、保安等,可能和预防性的重叠
- 检测控制:保安、IPS 、审查
- 补偿控制:另一种控制手段的补充或增强,比如主要手段是防止删除,补偿手段是存在备份可恢复
- 纠正:例如杀毒、阻止入侵行为、备份恢复等,将环境从非预期的活动中进行恢复
- 恢复性控制:纠正的扩展,不像纠正是单一的行为,恢复性可能更复杂,安全策略被破坏后,恢复控制尝试修复或恢复资源、功能和能力
- 指令式/指示控制:比如通知、公司标准等,强制或鼓励主体遵守安全策略
安全控制评估 SCA
Security Control Assessment
根据基线或可靠性期望对安全机制的正式评估。可作为渗透测试报告的补充。
目的:确保安全机制的有效性。评估组织风险管理过程中的质量和彻底性,生成已部署安全措施的优缺点报告。
对应的标准为 NIST SP 800-53 Rev5,信息系统和组织的安全和隐私控制。
风险管理成熟度模型 RMM
Risk Maturity Model
RMM 5 个级别:
- 初始级 (ad hoc):混乱的状态
- 预备级(Preliminary):初步尝试遵守风险管理流程,但是每个部门执行的风险评估不同
- 定义级(Defined):在整个组织内使用标准的风险框架
- 集成级(Integrated):风险管理集成到了业务流程中,风险是业务战略决策中的要素
- 优化级(Optimized):侧重于实现目标,而不是被动响应
风险管理框架 RMF
Risk Management Framework,被 NIST SP 800-37 Rev2 定义。
风险框架用于评估、解决和监控风险的指南或方法。
1+6个循环的阶段:先进行准备,准备上下文和优先级(优先处理哪些系统)
- 分类:根据对损失影响的分析,对信息及系统进行分类
- 选择:选择合适的控制手段,可以将风险降到可接受水平
- 实施:实施上面描述的控制
- 评估:确保控制实施到位(也就是检查)
- 授权:在确定风险可接受的基础上,授权上线(类似于认可)
- 监控:持续监控系统,保证控制的有效性
安全培训 SAET
Security Awareness, Education, and Training Program
意识
- 建立对安全认知的最小化通用标准或基础
- 教学、视频、海报、媒体等
培训
- 培训是指教导员工执行他们的工作任务和遵守安全策略
- 定期的培训,加强人员安全意识
- 最好是强制的培训
教育
- 教育是一项更详细的上作,用户学习的内容比他们完成其工作任务实际需要知道的内容多得多
- 教育可能是获取资格认证的培训,或者和晋升相关的教育
改进
- 培训完成后需要做的
- 制定改进计划、下一步计划
有效性评估
- 考试
- 审查事件日志,了解违规发生率
业务连续性计划 BCP
**BCP 和业务中断有关。**关注上层,以业务流程和运营为主。
**DRP 容灾恢复计划 - 和数据恢复有关。**更具细节,描述站点恢复、备份和容错等技术。
BCP 四个阶段:
- 项目范围和计划
- 业务影响分析 BIA
- 连续性计划
- 计划批准和实施
1. 项目范围和计划
- 首要职责,组织分析:了解部门职责
- 选择 BCP 团队:包括业务、法务、IT、安全、公关、财务、高层代表等
- 资源需求:有人员需求和财务需求(购买软硬件)
- 法律和法规要求
2. 业务影响分析 BIA
目的:识别关键业务功能及这些功能相关的 IT 资源,分析中断的影响。
支持定量分析和定性分析,BCP 通常喜欢使用定量分析,从而忽略定性分析,BCP 团队应该对影响 BCP 过程的因素进行定性分析。
1, 确定优先级
定量分析:
- 确定资产价值 AV
- 确定 MTD 最大容忍中断时间
- RTO 应该始终小于 MTD(MTD = RTO + 业务确认的时间 WRT)
2, 风险识别
识别自然风险和人为风险:
- 暴雨、累计、地震、火山、流行病等
- 恐怖袭击、火灾、互联网终端等
3, 可能性评估
确定每种可能性发生的概率,确定 ARO 年发生率。
4, 影响分析
年损失期望 ALE
ALE = SLE *ARO = AV * EF * ARO
5, 资源优先级排序
3. 连续性计划
- 策略开发:
- 目标、范围、需求
- 基本的原则和指导方针
- 职责
- 预备和处理:
- 制定具体的流程和机制来减轻风险
- 人员优先
- 建筑设施的保护,比如加固,或者备用站点
- Infra 保护,包括冗余设施,物理性的加固(UPS 及防火等)
4. 计划批准和实施
- 计划批准:计划得到上层的认可,展示业务领导对于业务连续性的承诺,在其他人员眼中更具重要性和可信度
- 计划实施:
- 培训和教育:培训的目的是让相关的人熟悉其职责,以及操作步骤
5. BCP 文档
- 文档化可以防止执行时偏离
- 文档包含重要性声明
- 优先级声明
- 组织职责声明:重申组织对业务连续性计划的承诺
- 紧急程度和时间限制要求(时间表)
- 风险评估的内容
- 风险接受、风险缓解的内容,比如哪些风险可接受,哪些风险不可接受需要采取缓解措施
- 重要记录:标识
- 应急响应指南
- 定期维护
- 测试和演练
法律法规
知识产权 IP - 保护创作者
保护创作者,软件属于知识产权。
作品在创作的那一刻即拥有版权。
仅有源代码属于知识产权,代码使用的逻辑不属于知识产权。
《数字千年版权法》DMCA
受保护的类型:
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
cn/img_convert/769b7e13b39771b3a6e4397753dab12e.png#pic_center)
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-uYuz1YAw-1712478071393)]
560
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
