CISP 相关知识点梳理

最新推荐文章于 2024-09-27 10:17:32 发布

喃喃不爱说话

最新推荐文章于 2024-09-27 10:17:32 发布

阅读量1.8w

点赞数 39

分类专栏：云计算&网络安全知识学习文章标签： CISP

本文链接：https://blog.csdn.net/qq_29406309/article/details/84588453

版权

云计算&网络安全知识学习专栏收录该内容

15 篇文章 19 订阅

订阅专栏

全面解析信息安全领域，涵盖国家、企业及个人视角，深入探讨信息安全保障、风险评估与管理、业务连续性、系统安全工程、密码学、PKI、访问控制、无线通信安全、计算环境安全、恶意代码防护、Web应用安全及安全软件开发。

摘要由CSDN通过智能技术生成

第一章

1.1 信息安全保障基础

v信息安全视角

§了解国家视角对信息安全关注点（网络战、关键基础设施保护、法律建设与标准化）相关概念；

§了解企业视角对信息安全关注点（业务连续性管理、资产保护、合规性）相关概念；

§了解个人视角对信息安全关注点（隐私保护、个人资产保护、社会工程学）相关概念；

信息安全的属性:

基本属性：CIA 保密性、完整性、可用性。

其他属性：真实性、可问责性、不可否认性、可靠性。

v我国信息安全保障工作

§总体要求：积极防御，综合防范

§主要原则：技术与管理并重，正确处理安全与发展的关系

1.2基于时间的PDR与PPDR模型

P2DR比PDR多了一个 Policy策略，Pt防护时间，Dt 检测时间，Rt响应时间，Et，收到攻击后的暴露时间。

1.3 ITAF 信息保障技术框架（IATF）

美国国家安全局（NSA）制定，为保护美国政府和工业界的信息与信息技术设施提供技术指南
核心思想：“深度防御”
三个要素：人、技术、操作
四个焦点领域

保护网络和基础设施：
保护区域边界：{v区域边界：区域的网络设备与其它网络设备的接入点被称为“区域边界”。目标：对进出某区域（物理区域或逻辑区域）的数据流进行有效的控制与监视。
方法：病毒、恶意代码防御，防火墙，入侵检测，远程访问，多级别安全}
保护计算环境：【如何保护计算环境? 使用安全的操作系统, 使用安全的应用程序，主机入侵检测，防病毒系统，主机脆弱性扫描，文件完整性保护】
支持性基础设施 {v目标：为安全保障服务提供一套相互关联的活动与基础设施。如PMI密钥管理基础设施，检查响应基础设施。}

1.4 信息系统安全保障评估框架

信息安全保障评估体系 --概念关系理解图

信息系统安全保障评估模型

以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息安全的安全特征：信息的保密性、完整性和可用性特征，从而达到保障组织机构执行其使命的根本目的

1.5 舍伍德的商业应用安全架构

SABSA 生命周期：战略与规划→设计→实施→管理与测量

	资产（什么）	动机（为什么）	过程（如何）	人（谁）	地点（何地）	时间（何时）
背景层	业务	业务风险模型	业务过程模型	业务组织和关系	业务地理布局	业务时间依赖性
概念层	业务属性配置文件	控制目标	安全战略和架构分层	安全实体模型和信任框架	安全域模型	安全有效期和截止时间
逻辑层	业务信息模型	安全策略	安全服务	实体概要和特权配置文件	安全域定义和关系	安全过程循环
物理层	业务数据模型	安全规则、实践和规程	安全机制	用户、应用程序和用户接口	平台和网络基础设施	控制结构执行
组件层	数据结构细节	安全标准	安全产品和工具	标识、功能、行为和访问控制列表（ACL）	过程、节点、地址和协议	安全步骤计时和顺序
运营层	业务连续性保障	运营风险管理	安全服务管理和支持	应用程序和用户管理与支持	站点、网络和平台的安全	安全运营日程表

第三章

3.3. 信息安全管理体系建设

应用信息安全风险管理（ISO/IEC 27005）实现信息资产管理的理解。

3.4 信息安全管理体系度量

ISMS 测：信息安全管理体系最实践
了解ISO 27002要求的14个控制章节——控制措施结构

27004定义的测量模型

3.3 信息安全管理体系建设 -四级文档化建设

3.3 网络安全道德准则：

CISP职业道德准则

维护国家、社会和公众的信息安全
诚实守信、遵纪守法
努力工作，尽职尽责
发展自身，维护荣誉

第二章：网络安全监管

2.1 计算机犯罪

计算机犯罪的特点:多样化、复杂化、国际化
计算机犯罪的趋势：从无意识到有组织、从个体侵害到国家威胁、跨越计算机本身的实施能力、低龄化成为法律制约难题

2.2. 网络安全法

网络安全法主要内容：

第一章，明确网络空间主权原则，明确了管理体制及职责分工，明确了特定情况下的境外适用效力。

第二章，支持与促进

建立和完善网络安全标准体系建设
统筹规划，扶持网络安全产业（产品、服务等）
推动社会化网络安全服务体系建设
鼓励开发数据安全保护和利用技术、创新网络安全管理方式
开展经常性网络安全宣传教育
支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。

第三章，网络运行安全

落实网络安全等级保护制度。明确网络运营者的安全义务（内部管理、技术措施、数据安全、身份管理、应急预案、安全协助义务），明确网络产品、服务提供者的安全义务（强制标准、告知补救、安全维护、个人信息系保护。）关键信息基础设施保护（数据境内留存问题：个人信息及出境范围，50万个人信息、1000GB，7重大领域数据），明确我国实行网络安全审查制度。

第四章，网络信息安全

重视对个人信息的保护、规范信息管理。
同期发布了《互联网新闻信息服务管理规定》（国信办1号令）;《互联网信息内容管理行政执法程序规定》（国信办2号令）

2.3网络安全等级保护标准族（待补充）

《关于信息安全等级保护工作的实施意见的通知》 GB 17859正式细化等级保护要求，划分五个级别；1级免测、2-5级分别对应一般、严重、重大危害，5级涉密处理。

2.4其他法规

2.4.1 27 号文安全保障意见

2003年， 7月中国信息化领导小组 《关于加强信息安全保障意见》 中办发 27号文件。

文件明确了加强信息安全保障工作的总体要求，提出了加强信息保障公揍的主要原则。

总体要求：坚持积极防御、综合防范的方针，全面提高…… 重点保障基础信息网和重要信息系统。保障和促进信息化发展，保护公共利益，维护国家安全。

主要原则:立足国情，以我为主，坚持管理及技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹协调，突出重点，强化基础性工作；明确国家、企业、和个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。

2.4.2 网络空间安全战略

2010年5月奥巴马· 美国提出《国家安全战略2010》从国家安全角度对网络空间的战略布局和网络信息安全提出了明确的要求，2011年美国先后出台了《网络空间国际战略》《网络空间行动战略》

2016年12月我国发布了《国家网络空间安全战略》明确了网络空间是国家的疆域，网络空间主权是国家主权的重要组成部分。

6大挑战: 总结了网络空间面临：“网络渗透危害政治、网络攻击威胁经济安全、网络有害信息侵蚀文化安全、网络恐怖与违法犯罪破坏社会安定、网络空间的战争方兴未艾、网络空间机遇与挑战并存”6大挑战。

战略目标：提出了在总体国家安全观指导下，贯彻落实创新、协调、绿色开放、共享的发展理念，增强风险意识和危机意识，统筹国内国际两个大局，统筹发展安全两件大事，积极防御，有效应对，推进网络空间和平、安全、开放、合作、有序，维护国家主权、安全、发展利益，实现建设网络强国的战略目标。

4项基本原则： 尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展。

9大任务：坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作。

2.5 书上的其他法规

《中华人民共和国保密法》提出了绝密、绝密、秘密三个级别。

《密码法》（草案）密码分为核心密码、普通密码和商用密码。

第三章风险管理

一，风险

风险：事态的概率及其结果的组合; 基于风险的思想是所有信息系统安全保障工作的核心思想！

风险是客观存在
风险管理是指导和控制一个组织相关风险的协调活动，其目的是确保不确定性不会使企业的业务目标发生变化
风险的识别，评估和优化

风险管理相关要素及关系3.2.1

1.1风险五要素

风险的构成包括五个方面：起源（威胁源），方式（威胁行为），途径（脆弱性），受体（资产）和后果（影响）

1.2风险各要素之间的关系

二，安全风险管理基本过程3.2.3

来自GB / Z 24364“信息安全风险管理指南”; 4个过程，两个贯穿

2.2风险评估

3.2.1风险评估途径

§基线评估

§详细评估

§组合评估

3.2.2风险评估方式

§自评估与检查评估

§ 自评估为主，自评估和检查评估相互结合，互为补充

§自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持

3.2.3风险评估的常用方法

知识基于分析
基于模型分析
定量分析：数据基于概率计算的方式
定性分析：逐个分析的

定量分析：八度方法（可选择的关键资产弱点威胁评估方法）

基本概念
暴露因子（Exposure Factor，EF）：特定威胁对特定资产靠损失的百分比，或者说损失的程度。
单一预期损失（single Loss Expectancy，SLE）：也称作SOC（Single Occurrence Costs），即特定可能威胁造成的潜在损失总量
年度预期损失（年度损失预期，ALE）：或者称作EAC（估计年度成本），表示特定资产在一年内遭受损失的预期值。

计算步骤
首先，识别资产并为资产赋值
通过威胁状语从句：弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0％〜100％之间）
计算特定威胁发生的频率，即ARO

计算公式：定量风险分析的一种方法就是计算年度损失预期值（ALE）计算公式如下：
年度损失预期值（ALE）= SLE X年度发生率（ARO）
单次损失预期值（SLE ）=暴露因素（EF）X资产价值（AV）

定量评估计算案例

§ 计算由于人员疏忽或设备老化对一个计算机机房所造成火灾的风险。

§ 假设：

• 组织在3 年前计算机机房资产价值100 万，当年曾经发生过一次火灾导致损失10 万;

• 组织目前计算机机房资产价值为1000 万;

• 经过当地状语从句：消防部门沟通以及组织历史安全事件记录发现，组织所在地及周边在5 年来发生过3 次火灾;

• 该组织额定的财务投资收益比的英文30％

§ 由上述条件可计算风险组织的年度预期损失及罗格列酮，为组织提供一个良好的风险管理财务清单。

据历史数据获得EF：
10万÷100万×100％= 10％
根据EF计算目前组织的SLE
1000万×10％= 100万
根据历史数据中ARO计算ALE
100万×（3÷5）= 60万
此时获得年度预期损失值，组织需根据该损失衡量风险可接受度，如果风险不可接受则需进入一步计算风险的处置成本及安全收益; ROSI
=（实施控制前的ALE） - （年控制成本）
组织定义安全目标，假如组织希望火灾发生后对组织的损失降低70％，则，实施控制后的ALE应为：
60万×（1- 70％）= 18万
年控制成本=（60-18）×30％= 12.6万
则：罗格列酮= 60-18-12.8 = 29.4万
至此，组织通过年投入12.6万获得每年29.4万的安全投资收益。

风险分析：国标20984推导过程。

区分知识点：SSE-CMM风险的调查和量化过程过程类似，但是不相同。

4风险处理的4种方式：

降低，规避，转移，接受四种方式。

5，风险相关文档CISP 6.2.4

准备文档

“风险评估方案”关于阐述风险评估的目标，范围，人员，评估方法，评估结果等形式和实施进度。

“风险评估程序”明确评估目的，职责，过程，相应的文档要求，以及实施本次评估所需要的资产，威胁，脆弱性识别和判断依据。

“资产识别清单”根据组织资产分类方法，明确资产责任人和部门。

过程文档

“资产清单”，“威胁列表”，“脆弱性列表”，“已有安全措施确认列表”

结果文档

“风险计算列表”根据已经制定的风险分级准则，对所有风险计算结果进行等级处理，形成“风险程度等级列表”。

“风险评估报告”汇总各项输出文档：“风险程度等级列表”，综合评价风险状况，形成“风险评估报告”

“风险处置计划”描述评估结果中不可接受的风险，指定风险处理计划，选择适当的控制目标及安全措施，明确责任，进度，资源，并通过对参与风险的评价以确定所选择安全措施有效性的“风险处理计划”

三，ISMS信息安全管理体系

1，背景建立

确认风险管理的对象状语从句：范围，确立实施风险管理的准备，进行相关信息的调查和分析。背景是建立在业务需求的基础上，通过有效的风险评估和国家，地区，行业相关法律法规及标准约束下获得背景依据。

包括风险管理准备，信息系统调查，信息系统分析，信息安全分析4个阶段。

§ 风险管理准备：确定对象，组建团队，制定计划，获得支持

§ 信息系统调查：信息系统的业务目标，技术和管理上的特点

§ 信息系统分析：信息系统的体系结构，关键要素

§ 信息安全分析：分析安全要求，分析安全环境

2，风险评估

风险评估的目的是通过风险评估的结果，来获得信息安全需求，信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。

包括风险评估准备，风险要素识别，风险分析，和风险结果4个阶段。

§ 风险评估准备：制定风险评估方案，选择评估方法

§ 风险要素识别：发现系统存在的威胁，脆弱性和控制措施

§ 风险分析：判断风险发生的可能性和影响的程度

§ 风险查询查询结果判定：综合分析结果判定风险等级

3，风险处置

风险处理是为了将风险始终控制在可接受的范围内。

§ 现存风险判断：判断信息系统中哪些风险可以接受，哪些不可以

§ 处理目标确认：不可接受的风险需要控制到怎样的程度

§ 处理措施选择：选择风险处理方式，确定风险控制措施

§ 处理措施实施：制定具体安全方案，部署控制措施

常见的风险处置方式包括：降低，规避，转移和接受四种。

4，批准监督

5，监控检查

6，沟通咨询

——————

v风险评估准备是整个风险评估过程有效性的保证

组织实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。

v风险评估准备工作：

确定风险评估的目标
确定风险评估的范围
组建适当的评估管理与实施团队
进行系统调研
确定评估依据和方法
制定风险评估方案
获得最高管理者对风险评估工作的支持

v确定风险评估的目标

根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理上的不足，以及可能造成的风险大小。

v确定风险评估的范围

风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。

残余风险评估：

v实施安全措施后对措施有效性进行再评估

在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施

第四章，业务连续性

4.1 概念

BC 业务连续性，（Business Continuity, BC）是组织对事故和业务中断的规划和响应，使业务可能在预先定义的级别上持续运行的组织策略和战术上的能力

BCM 业务连续性管理，是找出组织有潜在影响的威胁及其对组织业务运行的影响，通过有效响应措施保护组织的利益、信誉、品牌和创造价值的活动，并为组织提供建设恢复能力框架的整体管理过程。是一项综合管理流程，由业务驱动，集合了技术、管理的一体化动态管理流程。

BIA业务影响分析

BCM的生命周期 6个阶段：
①需求、组织和管理程序的确定 ②业务分析，确定关键业务流程和关键因素 ③制定业务策略

④开发并执行业务持续计划，⑤意识培养和建立，⑥计划演练

4.2 灾备

4.2.1 灾备方式：

灾难备份的3种方式备份方式从快到慢增量、差异、完全备份

那么按照恢复数据的从快到慢，顺序依次是：完全、差异、增量

DAS、 SAN、 NAS 三种存储技术的概念及特性。

DAS 直接附加存储

§优点：性能较高、实施简单；§ 缺点：对服务器依赖性强，占用服务器资源、扩展性较差、资源利用率低、可管理性差。

SAN 网络附加存储

§优点专用网络、效率高、扩展方便 §缺点：成本高、实施复杂、难度大

NAS 网络附加存储

§优点：易于安装不是和管理、不占用服务器资源、跨平台

§不足：性能相对较差，因为数据传输使用网络，可能影响网络流量、甚至可能产生数据泄漏等安全问题

4.2.2 灾备指标：

恢复点目标（RPO）不为0 损失可能是缓慢发生的。
定义：灾难发生后，系统和数据必须恢复到的时间点要求
代表了当灾难发生时允许丢失的数据量
恢复时间目标（RTO） 可为0 瞬间回复，或热备存在。
定义：灾难发生后，信息系统和业务功能从停顿到必须恢复的时间要求
代表了企业能容忍的信息系统和业务功能恢复的时间

4.2.3 灾备相关法规

27号文首次提出灾备概念。
重要信息系统灾难恢复指南：指明了灾难恢复的工作流程、等级划分和预案的制定框架
GB/T 20988-2007，规定了灾难恢复工作流程、灾难恢复等及方案设计、预案、演练
《灾难恢复中心建设与运维管理规范》，指出了灾备中心建设的全生命周期、灾备中心的运维工作

4.2.4 灾备策略及灾难恢复规划的管理过程

策略制定：明确需要哪些灾难恢复资源、各项灾难恢复资源的获取方式，以及对各项灾难恢复资源的具体要求
策略实现

选择和建设灾难备份中心
实现灾难备份系统技术方案
实现专业技术支持能力
实现运行维护管理能力

灾难恢复规划的管理过程

4.3 应急

4.3.1 信息安全事件 7类 4级

GB/Z 20986-2007 中，分有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件7个基本类别，每个类别下有若干子类。

分级：四级（GB/Z 20986—2007）
特别重大事件（I级）重大事件（II级）较大事件（III级）一般事件（IV级）

国际应急响应组织：计算机应急响应协调中心（CERT /CC）
国家应急响应组织：国家计算机网络应急技术处理协调中心（CNCERT /CC ）

4.3.2应急响应

组织架构图：领导组→技术保障组→专家组→实施组→日常运行组

应急响应管理 6（+2）个步骤：准备、（汇报）、检测、遏制、根除、（验证）恢复、跟踪总结。

应急演练：

演练方式：桌面演练、模拟演练、实战演练
演练深度：数据级演练、应用级演练、业务级演练

4.3.3 计算机取证：

关键点：获得授权、准备介质、准备工具、保障安全完整，第三方在场监督。

第五章：

5.1 系统安全工程

霍尔三维模型时间维、逻辑维、知识维

质量管理 ISO 9000规范质量的4个方面

机构：标准明确规定了为保证产品质量而必须建立的管理机构及职责权限
程序：对组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系和操作检查程序，并使之文件化
过程：质量控制是对生产的全部过程加以控制，是面的控制，不是点的控制
总结：不断地总结、评价质量管理体系，不断地改进质量管理体系，使质量管理呈螺旋式升

系统安全工程能力成熟度模型 SSE-CMM

作用：帮助甲方、乙方、第三方。

能力维（Capability Dimension）， 0-5 6个值；GP通用实践→CF公共特征→能力级别

域维（Domain Dimension）基本构成是BP→ 22个PA → 3个过程类

BP强制实施是指：每当执行一个BP，所在PA里的BP全部执行一遍；每当执行一个PA，PA中的BP全部执行一遍。

域维的三个过程类中，工程类11个PA，组织和项目管理类11个。

其中，工程类的11个PA 又分 风险过程、工程过程、保证过程3个子过程（顺序不能错），关系如下：

风险过程：PA04、PA05、PA02→PA03

工程过程：PA10→PA09→PA01 →PA08 ;PA07

保证过程：PA11+? →PA06

5.2 安全运营

漏洞概念：也称脆弱性。漏洞是存在于评估对象（TOE）中的，在一定的环境条件下可能违反安全功能要求的弱点（ISO/IEC15408）

安全运营参考标准

§COBIT:IT控制和IT度量评价

§ITIL: IT过程管理、强调IT支持和IT交付

§ISO27000:IT安全控制

5.3 内容安全需求

内容盗版： 内容来源可靠，借助数字版权管理技术，对其加以控制。
内容泄露： 敏感内容泄露控制
非法内容：不良内容传播控制

5.4 社工

第六章

6.1 CC标准

我国在2008年等同采用《ISO/IEC 15408：2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准，标准编号为GB/T 18336。

CC的局限性：

CC标准采用半形式化语言，比较难以理解；
CC不包括那些与IT安全措施没有直接关联的、属于行政性管理安全措施的评估准则，即该标准并不关注于组织、人员、环境、设备、网络等方面的具体的安全措施；
CC重点关注人为的威胁，对于其他威胁源并没有考虑；
并不针对IT安全性的物理方面的评估（如电磁干扰）；
CC并不涉及评估方法学；
CC不包括密码算法固有质量的评估。

6.2 GB/T18336评估过程

了解 GB/T 18336 结构、作用及评估的过程;

理解评估对象（TOE）、保护轮廓（PP）、安全目标（ST）、评估保证级（EAL）等关键概念；

6.2.1 结构：

A 评估对象（Target of Evaluation，TOE）
作为评估主体（产品、系统、子系统等）的IT产品及系统以及相关的指导性文档。
B 保护轮廓（PP）
满足特定用户需求的、一类TOE的、一组与实现无关的安全要求。
C 安全目标（Security Target，ST）
作为指定的TOE评估基础的一组安全要求和规范。

6.2.2. 关系：

TOE引用CC标准，描述评估对象；

PP保护轮廓（客户要的）；ST安全目标（产品具备的特性）引用 TOE

EAL 是 GB/T 18336 预先定义的一些保证包，是评估保障要求的基线集合。

6.2.4 过程：

6.2 风险评估

6种方式：

1）自评估、2）检查评估；（自评估为主，自评估和检查评估相互结合、互为补充）

3）基于知识的分析方法、4）基于模型的分析方法、5）定量分析、6）定性分析（矩阵表）。

定量分析公式

年度损失预期值（ALE） = SLE x 年度发生率（ARO）

单次损失预期值（SLE） = 暴露因素（EF）x 资产价值（AV）

风险评估的途径：基线评估、详细评估、组合评估。

6.3 信息系统审计

6.3.1信息系统审计工作流程

6.3.2 审计技术控制

脆弱性测试
渗透测试
战争驾驶
其他漏洞类型
日志
合成交易
滥用案例测试
代码审查
接口测试

第7章信息安全支撑技术

7.1密码学

转轮机：古典密码学。

对称密码算法：DES、3DES、AES 、IDEA 特征：高效、管理复杂

非对称密码算法：RSA、ECC、 ElGamal SM2

特征：解决密钥传递问题、密钥管理简单、提供数字签名等其他服务；缺点：计算复杂、耗用资源大

其他算法：MD5、hash、SHA-1（加密哈希）数学性质：单向性、弱抗碰撞性、强抗碰撞性

数字信封：对称公钥加密明文、非对称加密二次加密。收到后逆序解封。

奇怪的SM家族：SM1 对称算法 128位、SM2 非对称、SM3哈希算法256位、SM4对称、SM5对称、SM7对称、SM9非对称。

（2 9 非对称、1、3、4、5、7 对称、3是哈希。）

7.2 PKI 和PMI

7.2.1 PKI：

终端→RA→CA→CRL库

数字证书格式国际标准X.509（还有PKIX、S/MIME、SSL、 TLS、IPsec）

7.2.3PMI

与应用相关的授权服务管理，以证书行书给出用户和权限的关系。

PMI的主要功能

对权限管理进行了系统的定义和描述
系统地建立起对用户身份到应用授权的映射
支持访问控制等应用
PMI是属性证书、属性权威、属性证书库等部件的集合体，用来实现权限和属性证书的产生、管理、存储、分发和撤销等功能

§SOA:信任源点

§AA:签发属性证书

§ARA:证书签发请求

§LDAP:属性证书发布查询

7.3 身份鉴别

7.3.1 实体“所知”、实体“所有”、实体“特征” 及常见权问题

7.3.2 Kerboros 单点登录

结构：密钥分发中心（KDC）、 AS 服务器、 TGS 服务器。可以跨域。

7.2.3 认证授权和计费：

TACACS+ 应用传输控制协议（TCP），而 RADIUS 使用用户数据报协议（UDP）。

RADIUS 从用户角度结合了认证和授权，而 TACACS+ 分离了这两个操作。

7.4 访问控制模型

7.4.2 强制访问控制模型： (MAC）
主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体
特点：

安全属性是强制的，任何主体都无法变更
安全性较高，应用于军事等安全要求较高的系统

BLP模型：多级访问，保密性；

安全策略：简单安全规则（向下读） *-规则（向上写）强制*规则既读又写

Biba 模型：多级安全模型，强调完整性

§向上读：主体可以读客体，当且仅当客体的完整级别支配主体的完整级

§向下写：主体可以写客体，当且仅当主体的完整级别支配客体的完整级

Clark-Wilson 模型

确保商业数据完整性的访问控制模型，侧重于满足商业应用的安全需求

7.4.3 基于角色的访问控制模型：RBAC

RBAC0，基本模型，规定了所有RBAC的基本内容，四种要素，用户(U)、角色(R)、会话(S)和权限(P)
RBAC1：包含RBAC0，加入安全等级及角色继承关系
RBAC2：包含RBAC0，加入约束条件，例如财务和会计不能为同一人
RBAC3：结合了RBAC1、RBAC2

第8章

8.1 OSI 模型:

7层：物理→数据链路（帧）→网络（包）→传输（报文）→会话 →表示→应用层。

数据封装：自应用层← 物理层；数据解封：物理层→引用层。

5种安全服务：鉴别服务、访问控制、数据保密性服务、数据保证性服务、抗抵赖服务。

8种安全机制：加密、数字签名、访问控制、数据完整性、认证交换机制、业务流填充、路由控制、公证。

8.2 TCP/IP协议

应用层→传输层→互联网层→网络接口层。

8.2.1 各层主要协议及安全问题

1）网络接口层

主要协议：ARP / RARP

安全问题

损坏：自然灾害、动物破坏、老化、误操作
干扰：大功率电器/电源线路/电磁辐射
电磁泄漏：传输线路电磁泄漏
欺骗：ARP欺骗
嗅探：常见二层协议是明文通信的
拒绝服务：mac flooding，arp flooding等

解决方案：物理介质、物理安全保护。 PPTP L2TP PP L2F 协议；设备驱动与准入协议。

2）互联网层：核心协议是IP

IPv4 安全但是资源少；IPV6的包头是简化的；PIV9 中国自主研发的资源少、又安全。

安全问题：

拒绝服务：分片攻击（teardrop）/死亡之ping
欺骗：IP源地址欺骗
窃听：嗅探
伪造：IP数据包伪造

补充解决方案： IPsec（AH）、 IPsec（ESP）

3)传输层

安全问题：

拒绝服务：syn flood/udp flood/Smurf
欺骗：TCP会话劫持
窃听：嗅探
伪造：数据包伪造

解决方案：SSL TLS

4）应用层

安全问题：

拒绝服务：超长URL链接
欺骗：跨站脚本、钓鱼式攻击、cookie欺骗
窃听：数据泄漏
伪造：应用数据篡改
暴力破解：应用认证口令暴力破解等

解决方案： S/MIME 、PEM、 SSH 、S-HTTP、 SFTP、 X.509 、DNS安全拓展。

8.3 无线通信安全

无线技术蓝牙技术 RFID通信安全

WAP\WAP2 \WAPI

WP2安全性更高，802.11i 四阶段：发现AP阶段、802.11i认证阶段、密钥管理阶段、安全传输阶段；

WAPI的构成： WAI，用于用户身份鉴别；WPI，用于保护传输安全
WAPI的安全优势：双向三鉴别（服务器、AP、STA）；高强度鉴别加密算法

8.4 网络安全防护技术

入侵检测系统 IDS、防火墙、安全隔离及交换系统、VPN

入侵检测系统的局限性：

对用户知识要求较高，配置、操作和管理使用较为复杂
网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要
高虚警率，用户处理的负担重
由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果
在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响

防火墙：能提供NAT，为内部地址管理提供灵活性，隐藏内部网络

状态防火墙、应用防火墙。可与IDS组合使用

可以配置：网络层地址（IP地址）、传输层地址(端口) 、协议类型等；不能防病毒。

防火墙的部署方式

单防火墙（无DMZ）部署方式非军事区，适用外网
单防火墙（DMZ）部署方式军事区，内网
双防火墙部署方式搭接组合

虚拟专用网络（Virtual Private Network,VPN）
利用隧道技术，在公共网络中建立一个虚拟的、专用的安全网络通道
VPN实现技术：隧道技术

二层隧道：PPTP、 L2F、L2TP
IPSEC
SSL

第9章计算环境安全

9.1 操作系统安全

9.1 操作系统安全目标

标识系统中的用户和进行身份鉴别
依据系统安全策略对用户的操作进行访问控制，防止用户和外来入侵者对计算机资源的非法访问
监督系统运行的安全性
保证系统自身的安全和完整性

9.2 实现目标的安全机制
1）标识与鉴别、2）访问控制、3）最小特权管理、4）信道保护、5）安全审计、6）内存存取保护、7）文件系统保护等

1）标识与鉴别

Windows系统的标识
安全主体（账户、计算机、服务等）
安全标识符（Security Identifier，SID）
安全主体的代表（标识用户、组和计算机账户的唯一编码）
范例：S-1-5-21-1736401710-1141508419-1540318053-1000
Linux/Unix系统的标识
安全主体：用户标识号（User ID）

Windows系统用户信息管理：
存储在注册表中，运行期锁定；操作权限system，依靠系统服务进行访问

Linux系统用户信息管理：用户帐号文件(/etc/passwd)

2）访问控制

Windows的访问控制

访问令牌（包含SID和特权列表），以用户身份运行的进程都拥有该令牌的一个拷贝
访问控制列表(ACL),仅NTFS文件系统支持

Linux下的访问控制

需要文件系统格式支持
权限类型：读、写、执行（ UGO管理机制）
权限表示方式：模式位

3）安全审计

Windows系统的安全审计

Windows日志（系统、应用程序、安全）
应用程序和服务日志（IIS日志等）

Linux系统的安全审计

连接时间日志
进程统计
错误日志
应用程序日志

4）内存保护

进程间/系统进程内存保护
段式保护、页式保护和段页式保护

5）文件系统保护机制

访问控制列表
加密
Windows(EFS、Bitlocker)
Linux(eCryptfs)

6）操作系统安全配置

安装：分区设置；安全补丁&最新版本；官方或可靠镜像（Md5校验）
最小化部署：明确需要的功能和组件，不需要的服务和功能都关闭
远程访问控制：开放端口、远程连接的限制

7）账户及密码策略

账户策略及密码策略
管理员更名并给予安全的口令
好的口令特点：自己容易记、别人不好猜
密码策略（避免弱口令）
密码必须符合复杂性要求
密码长度最小值
强制密码历史
……
帐号锁定策略（应对暴力破解）
帐户锁定时间
帐户锁定阀值
重置帐户锁定计数器

9.2 恶意代码防护

9.2.1 什么是恶意代码

§《中华人民共和国计算机信息系统安全保护条例》第二十八条：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码 (1994.2.18)

§恶意代码，是指能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码。指令

恶意代码类型：二进制代码、脚本语言、宏语言等

恶意代码表现形式：病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等

9.2.2 恶意代码相关特征

恶意代码传播方式：

文件传播：感染、移动介质
网络传播：网页、电子邮件、即时通讯、共享、漏洞
软件部署：逻辑炸弹、预留后门、文件捆绑

恶意代码的防御技术

增强安全策略与意识
减少漏洞：补丁管理、主机加固
减轻威胁：防病毒软件、间谍软件检测和删除工具、入侵检测/入侵防御系统、防火墙、路由器、应用安全设置等

恶意代码分析技术:

A 静态分析
不实际执行恶意代码，直接对二进制代码进行分析
文件特性，如文件形态、版本、存储位置、长度等
文件格式，如PE信息、API调用等
B 动态分析
运行恶意代码并使用监控及测试软件分析
本地行为：文件读写、注册表读写等
网络行为：远程访问、调用等

恶意代码的清除：

感染引导区：修复/重建引导区
感染文件
附着型：逆向还原（从正常文件中删除恶意代码）
替换型：备份还原（正常文件替换感染文件）
独立文件：内存退出，删除文件
嵌入型：更新软件或系统、重置系统

9.3 Web应用安全

HTTP\HTTPS、 SQL注入、跨站脚本安全；Web防火墙、网页防篡改等技术。

第10章安全软件开发

10.1 安全软件开发模型

SDL SAMM BSI CMM

10.2 软件全需求及设计

威胁建模：微软STRIDE模型

威胁	安全属性	定义	举例
Spoofing（哄骗）	可鉴别性	模仿其他人或实体	伪装成microsoft.com或ntdll.dll。
Tampering（篡改）	完整性	修改数据或代码	修改硬盘、DVD或网络数据包中的DLL
Repudiation（抵赖）	不可抵赖性	声称没有执行某个动作	“我没有发送过那封电子邮件”，“我没有修改过那个文件”，“亲爱的，我确实没有访问过那个网站！”
Information Disclosure（信息泄露）	机密性	把信息披露给那些无权知道的人	允许某人阅读Windows源代码；公布某个Web网站的用户清单。
Denial of Service（拒绝服务）	可用性	拒绝为用户提供服务	使得Windows或Web网站崩溃，发送数据包并耗尽CPU时间，将数据包路由到某黑洞中。
Elevation of Privilege（权限提升）	授权	获得非授权访问权	允许远程因特网用户执行命令，让受限用户获得管理员权限。

10.3 安全软件开发过程：

10.3.1 安全需求分析

过程：建立在风险分析的基础上。

系统调查
定性分析系统的脆弱点和可能遭受的安全威胁
脆弱点和安全威胁的定量分析
需求的确定

10.3.2 软件安全设计

概要设计、详细设计
详细风险评估、控制措施选择、安全技术实现、安全设计评审

10.3.3 安全设计原则 11个

最小特权原则
权限分离原则
最少共享机制原则
完全中立原则
心理可接受度原则
默认故障处理保护原则
经济机制原则
不信任原则
纵深防御原则
保护最薄弱环节原则
公开设计原则
隐私保护原则
攻击面最小化原则

10.3.4 软件安全实现

1）安全编码原则

了解验证输入、避免缓冲区溢出、程序内部安全、安全调用组件、禁用有风险的函数等通用安全编程准则；

2）源代码审核

统计证明，在整个软件开发生命周期中，30%至70%的代码逻辑设计和编码缺陷是可以通过源代码审核来发现的。
人工审核：费时费力、容易遗漏
工具审核：速度快，自动、可升级知识库

10.3.5 软件安全测试：模糊测试、渗透测试

1）模糊测试
也称Fuzzing测试，一种通过提供非预期的输入并监视异常结果来发现软件故障的方法
黑盒测试，不关心被测试目标的内部实现，而是利用构造畸形的输入数据引发被测试目标产生异常，从而发现相应的安全漏洞.

强制软件程序使用恶意/破坏性的数据并进行观察结果的一种测试方法：不够强壮的程序会崩溃、编码良好的程序正常运行。

模糊测试的关键点

测试点：数据通道入口、可信边界点
样本选择：选择覆盖面广、便于测试的多个样本
数据关联性：智能模糊测试
自动化框架
异常监控与异常恢复
分析评估

2）渗透测试

通过模拟恶意攻击者进行攻击，来评估系统安全的一种评估方法
从攻击的角度测试软件系统是否安全
使用自动化工具或者人工的方法模拟攻击者的输入，找出运行时刻目标系统所存在的安全漏洞
优点：找出来的问题都是真实的，也是较为严重的
缺点：只能到达有限的测试点，覆盖率较低

深度防御战略 3个核心要素

4个焦点领域

IATF的特点及其他安全原则

10.3 软件安全实现 - 10.3.1 安全编码原则 13条

最小特权原则
权限分离原则
最少共享机制原则
完全中立原则
心理可接受度原则
默认故障处理保护原则
经济机制原则
不信任原则
纵深防御原则
保护最薄弱环节原则
公开设计原则
隐私保护原则
攻击面最小化原则

N个模型

软件可维护性度量，

7个质量特性：可理解性，可测试性，可修改，可靠性，可移植性，可使用和效率其中可理解性和可测试性互相促进。

软件开发

10.1.3软件开发生命周期模型

1，微软SDL 7个阶段17个安全服务

培训→需求→设计→实施→验证→发布→响应

3，CMMI软件能力成熟度模型，美国国防部资助，卡耐基梅隆大学软件工程所建立，共5个1级，初始级，2可管理级3，定义级，4，量化管理级5优化管理级 - -

4，SAMM目前由OWASP组织作为开放项目来维护，3个成熟度一个0起点.109个活动映射72个安全活动

4个核心业务功能：治理，构建，验证，部署。

5，BSI系列认为软件安全有3个支柱：风险管理，软件安全接触点和安全知识。

安全接触点，从“白帽子”，“黑帽子”两个角度出发，提出了7个工作接触点（方法），以在软件开发生命周期的每一个阶段尽可能避免和消除漏洞。

6，各软件开发生命周期模型对比图

二，其他架构模型

2.1风险管理模型CISP 3.3

COSO报告内部控制整合框架 - 风险管理模型

3个目标：财务报告可靠性，经验效率和效果，合规性
5个管理要素：内制环境，风险评估，控制活动，信息与沟通，监控

ISO31000管理风险模型
为所有与风险管理相关的操作提供最佳实践结构状语从句：指导
COBIT管理风险模型
为信息系统-状语从句：技术的治理及控制过程提供最佳实践
组件：框架，流程描述，控制目标，管理指南，成熟度模型

2.2常见企业安全架构CISP 1.4

舍伍德商业应用安全架构SABSA（Sherwood应用商业安全架构）

	资产（什么）	动机（为什么）	过程（如何）	人（谁）	地点（何地）	时间（何时）
背景层	业务	业务风险模型	业务过程模型	业务组织和关系	业务地理布局	业务时间依赖性
概念层	业务属性配置文件	控制目标	安全战略和架构分层	安全实体模型和信任框架	安全域模型	安全有效期和截止时间
逻辑层	业务信息模型	安全策略	安全服务	实体概要和特权配置文件	安全域定义和关系	安全过程循环
物理层	业务数据模型	安全规则，实践和规程	安全机制	用户，应用程序和用户接口	平台和网络基础设施	控制结构执行
组件层	数据结构细节	安全标准	安全产品和工具	标识，功能，行为和访问控制列表（ACL）	过程，节点，地址和协议	安全步骤计时和顺序
运营层	业务连续性保障	运营风险管理	安全服务管理和支持	应用程序和用户管理与支持	站点，网络和平台的安全	安全运营日程表