安全运营管理涉及保护资产、遵循最小权限原则、实施安全配置、使用日志记录和审计、应对灾难恢复和事件响应。重要概念包括知其所需访问、最小特权原则、职责分离、介质管理、补丁管理、入侵检测和预防系统。同时,监控和审计对于发现和预防威胁至关重要。此外,训练员工识别和应对安全事件、制定灾难恢复计划以及维护系统更新和备份策略是保障业务连续性的关键。
安全运营管理
应用安全运营概念
安全运营实践的主要目的是保护资产,包括信息、系统、设备和设施。
知其所需和最小特权
任何安全IT环境需要准许的两个标准原则分别是知其所需和最小特权原则。这两个原则通过限制对资产的访问来帮助保护有价值的资产
1、知其所需访问
知其所需原则强制要求授予用户仅访问执行工作所需数据或资源的权限,主要目的是让信息保持秘密状态。
2、最小特权原则:
最小特权原则规定,主体仅被授予完成工作所需的特权,而不再被授予更多特权。对于数据,是指写入、创建更改或者删除数据的能力,限制和控制这些特权可保护数据的保密性和完整性。
最小特权通常侧重于保证用户权限受到限制,但也适用于其他主体,例如应用程序或者进程。
实施知其所需和最小特权时原则时,员工需要考虑的附加概念有权利、聚合和信任传递
权利:权利是指授予用户权限的数量。通常在首次分配账户时指定,,即创建账户时,管理员会为账户设置合适数量的资源,其中包括权限。
聚合:在最小特权的上下文中,聚合是指用户随时间收集的权限数量。如,如果员工从一个部门调动到另一个部门时,那么如果不及时撤销原先的部门权限,则意味着这个员工将同时拥有两个部门的权限
信任传递:两个安全域之间的信任关系,允许一个域的主体访问另一个域的对象。信任传递可将信任关系传递到子域,在最小特权原则下检查这些信任关系很重要。
职责分离:
职责分离确保个体无法完全控制关键职能或者系统。确保没有任何一个人可以破坏系统或者安全,这种做法事必要的,相反,两人以上必须密谋或者串通才能危害组织,这会增加这些人暴露的风险。
职责分离策略形成一个制衡系统,其中两个或者多个用户验证彼此行为,并且必须协同完成必要的工作任务。职责分离策略有助于减少欺诈,因为它迫使两人或者多人之间串通来执行未授权的活动。
1、特权分离:
特权分离建立在最小特权原则的基础上,并将其应用到应用程序和流程,特权分离策略需要使用细化的权限。管理员应授予每个账户在应用程序中完成功能所需的权限,这种做法遵循了特权分类的策略。
2、任务分解
任务分解目标是确保个人未拥有过多的系统访问权限(进而可能引发利益冲突),当任务被适当分解时,没有任何一个员工可进行欺诈、犯错或者掩盖。
萨班斯-奥克斯利法案(SOX)特别强调任务分解策略,SOX适用于所有向美国证券交易委员会SEC注册了股票或者债务证券的上市公司。
任务分解策略最常见的实施方式是确保安全工作任务与组织内的其他工作任务分离。,如负责审计、监控和审查安全的人员没有承担与审计、监控和审查目标相关的运营工作任务。
任务分解控制矩阵
3、双人控制
双人制要求经过两个人批准后才能执行关键任务。在组织内使用双人控制可以实现同行评审,并且减少串通和欺诈的可能性。
知识分隔是将职责分离和双人控制的理解融入一个解决方案,基本思想是将执行操作所需的信息或者特权分配给两个或者跟多个用户
岗位轮换
岗位轮换可进一步控制和限制特权功能。岗位轮换作为一种安全控制措施,可实现同行评审,减少欺诈并且实现交叉培训,交叉培训可减少环境对任何个体的依赖。岗位轮换可同时起到威慑和检测的作用。
强制休假
这种做法提供一种同行评审形式,有助于发现欺诈和串通行为
特权账户管理
特权账户管理确保员工没有超出所需权限,并且不会滥用这些权限。
监控特权账户需要与其他基本原则结合起来,例如最小特权和职责分离
监视提升权限的使用还可检测到高级持续性威胁攻击活动,
管理信息生命周期
安全控制需要在整个生命周期内对信息进行保护。
生成或者捕获:数据可由用户、系统或者被捕获(例如用户从互联网下载文件并且流量通过边界防火墙时)
分类:最主要考虑的是确保敏感数据能够依据分类进行适当识别和处理。除了从外观上标记系统,组织还经常设置壁纸和评报程序,清晰的显示系统处理数据的级别。
存储:数据主要存储在磁盘上,员工应该定期备份有价值的数据。敏感数据也应该采用加密手段进行保护,敏感信息的备份保管在现场的一个位置,副本保管在场外的另一个位置,物理安全方法可以保护备份免遭盗窃,环境控制措施可以保护数据避免因环境污染而造成数据丢失
使用:使用指数据在网络中使用或者传输,
归档:数据有时需要归档、从而遵守要求数据保留的法律或者法规
销毁或清除:当数据不再需要时,应以不可恢复的方式进行销毁,
服务水平协议
SLA是组织与外部实体之间的协议,规定了性能预期,如果供应商无法满足这些预期,SLA通常包含处罚条款
mou谅解备忘录、互连安全协议ISA。
关注人员安全
1、胁迫
警卫可以使用胁迫系统发出警报、简单胁迫系统只有一个发送遇险呼叫的按钮,监控人员接收到遇险呼叫后,根据设定程序做出响应。安全系统通常包含暗语或者短语
2、出差
另一个安全关注是员工出差,由于犯罪分子可能在出差时对组织员工下手。培训员工在出差途中的安全实践、可提高其安全意识,预防安全事故。
电子设备的风险:
敏感数据、恶意软件和监控设备。
免费WiFi:在出差期间免费WiFi通常诱人,但是免费WiFi可以迅速设置成一个捕获所有用户流量的陷阱。
应急管理:
应急管理计划及实践帮助组织在灾难发生后处理人员安全问题
安全培训与意识
实施安全意识培训计划非常重要,帮助员工了解胁迫系统,出差最佳实践应急管理计划以及一般性安全和安保最佳实践。
安全配置资源
安全运营的另一个要素是在整个生命周期中配置和管理资源。
组织运用各种资源保护技术,保证资源可安全的配置和管理。例如台式计算机通常使用镜像技术进行部署,确保系统以已知的安全状态启动。变更管理和补丁管理技术保证系统依据所需变更进行更新,
管理硬件和软件资产
硬件指IT资源,如计算机,服务器,路由器,交换机以及外围设备。
1、硬件库存
在设备生命周期中使用数据库和库存应用程序来实施资产清查,并且跟踪硬件资产。例如条形码系统可以打印条形码,并且贴在硬件设备上。员工定期使用条形码阅读器扫描所有条形码,验证组织是否仍然掌控着这些硬件。
当设备使用寿命结束时,员工很容易忽视其存储的数据,因此使用检查表来清理系统通常非常有用,检查表包含对系统内各类介质的净化步骤,净化对象包括系统内置硬盘,非易失性存储器,以及CD、DVD和USB闪存驱动器等可移动介质。
2、软件许可
组织会支付软件费用,并且通常使用许可秘钥来激活软件。激活过程往往需要通过互联网连接许可服务器,防止使用盗版软件。如果许可秘钥泄漏到外部,可能导致组织内使用的许可秘钥失效,监测软件许可合规来边法律纠纷问题。
软件许可还指确保系统不安装未经授权的软件,许多工具可以远程检查系统,检测系统详情,例如,微软SCCM是一种可以查询到网络上所有系统的服务器产品。
configmgr除了识别操作系统和应用程序之外,还可以根据预定义的要求来保证客户端处于健康状态,例如运行反病毒软件或者特定的安全设置
保护物理资产
物理资产范围远超IT硬件,包括所有的物理资产,例如组织建筑以及所含内容,保护物理安全资产的方法包括护盾、路障、上锁的门、警卫、闭路电视监控系统等。
管理虚拟资产
由于可以节省大量成本,组织不断使用越来越多的虚拟化技术,虚拟化技术不仅局限于服务器,软件定义一切sdx:是指一种运用虚拟化计划来实现软件替换硬件的趋势
虚拟机VM:作为客户操作系统在物理服务器上运行
虚拟桌面基础架构VDI;虚拟桌面基础架构有时称为虚拟桌面环境VDE,将用户桌面作为虚拟机托管在物理服务器上。
软件定义网络SDN:SDN将控制平面与数据平面分离,控制平面使用协议来决定发送流量的位置,而数据平面包含决定是否转发流量的规则
虚拟存储区域网络VSAN:san是一种专用的高速网络,可托管多个存储设备,
虚拟化主要软件组件是虚拟机管理程序hypevisor、虚拟机管理程序管理虚拟机VM、虚拟数据存储和虚拟网络组件。作为物理服务器上的附加软件层,虚拟机管理程序相当于一个额外的攻击面,如果攻击者可以威胁到物理主机,那么攻击者可能访问物理服务器上托管的所有虚拟系统。
管理云资产
云资产包括组织使用云计算技术访问的所有资源。
资产责任包括维护资产,确保资产维持正常运行,并使系统和应用程序更新到最新补丁。
软件即服务SaaS:软件即服务模型通常提供可通过web浏览器访问的功能齐全的应用程序。
平台即服务PaaS:为用户提供一个计算平台,包括硬件,操作系统和应用程序。
基础架构即服务iaaS:为用户提供基本的计算资源,这些资源包括服务器,存储有些情况下还包括网络资源。
云部署模型也会影响云资产的责任分配:
公有云提供可供任何用户租用或者租赁的资产,资产由外部CSP托管,服务水平协议可以有效的确保CSP在组织可接受服务水平上提供云服务
私有云部署模型适用于单个组织的云资产,组织可以使用自有资源创建和托管私有云
社区云为两个或者更多组织提供云资产,资产可以由一个或者多个组织拥有和管理
混合云指两个或者更多云的组合,与社区云模型类似,维护责任根据资产托管者和正在使用的服务模型进行分配。
介质管理
介质管理是指为保护介质及其存储数据而采取的步骤。介质繁殖任何存储数据的设备。
当介质存储敏感信息时,应该将其存储在配备严格访问控制的安全场所,防止未经授权访问造成数据泄露,此外,保管介质的场所应控制温度和湿度,防止因环境污染造成数据丢失
介质管理还包括技术控制措施,来限制计算机系统对设备的访问。
正确的介质管理直接解决保密性、完整性和可用性问题。当正确标记、处理和保管介质时,这种方法可防止未经授权的泄露,未经授权的修改和未经授权的破坏。
企业版闪存驱动器还包括其他管理方案,允许管理员远程管理设备,例如,管理员可以集中重置密码,激活审计以及更新设备。
1、磁带介质:
最为最佳实践,组织至少保留两份数据备份,就地维护一份副本以备不时之需,并且将第二份副本保存在异地的安全位置
磁场可作为消磁器接触或损坏磁带存储的数据,为此,磁带不应暴露在电梯,电机和一些打印机等设备产生的磁场中。
2、移动设备:
cyod策略:许多组织向用户发放移动设备或者实施自选设备策略,,管理员使用移动设备管理MDM系统注册员工设备,MDM系统可以监视和管理设备,并且保证这些设备能够持续更新
常见控制措施:加密,屏幕锁定,全球定位,和远程擦除
3、介质管理生命周期
可重复使用的介质会受到平均故障时间mttf的影响,一旦备份介质达到平均故障时间,就应该将其销毁,磁带存储数据的密级将决定介质销毁的方法,在达到寿命时,一些组织首先对高密级的磁带进行消磁,然后存放起来,最后进行销毁,磁带通常在散装粉碎机或者焚烧炉中进行销毁。
配置管理
配置管理有助于确保系统从安全一致的状态部署,并且在整个生命周期内保持安全一致的状态,基线和镜像通常用于系统部署
基线
基线是指起点,在配置管理背景下,基线是指系统初始配置,管理员通常在部署系统后修改基线,从而满足不同需求。不过,当部署在配置安全基线的安全环境时,系统更可能保持安全,如果组织有合适的变更管理计划,更是如此。
使用镜像技术创建基线
镜像通常与其他基线自动化方法相结合,即管理员可以为组织的所有台式计算机创建统一的系统镜像,然后使用自动化方法为特定类型的计算机增加其他应用程序,功能或者设置。
变更管理
在安全环境下部署系统是一个良好开端,
变更管理的主要目标是保证变更不会导致意外中断,变更管理流程确保相应人员在变更实施前对变更进行审核和批准,确保有人对变更进行测试和记录。
未经授权变更可能直接影响CIA三元组中的A即可用性,
安全影响分析:
变更管理流程帮助员工执行安全影响分析。在生产环境中实施变更之前,专家会评估变更,从而识别所有的安全影响。
变更管理控制提供一种流程,实现控制,记录,跟踪和审计所有系统变更
变更管理流程:
1、请求变更
2、审核变更
3、批准/拒绝变更
4、测试变更
5、安排并且实施变更
6、记录变更
紧急情况下,管理员仍需要记录变更,
在执行更改流程时,会微系统的所有变更创建文档,如果员工需要撤销变更,这些文档可以提供一系列信息,如果员工需要在其他系统上实施相同的变更,则文档还提供变更需要遵循的路线图或者流程。
变更管理控制通过防止引发以外损失的未经授权变更从而提高组织环境的安全性
版本控制:
版本控制通常指软件配置管理所使用的版本控制。
配置文档:
配置文档明确了系统的当前配置。明确了哪些人负责系统,明确了系统的目的,并且列举了基线之后的所有变更。
补丁管理和漏洞减少
补丁管理和漏洞管理过程协同工作,帮助保护组织防御新出现的威胁。补丁管理可确保系统已安装合适的补丁,而漏洞管理帮助验证系统能否防御已知威胁的攻击。
系统管理
补丁管理
补丁是纠正程序缺陷及漏洞或提高现有软件性能的所有代码类型的总称。软件可以是操作系统或者应用程序。
有效的补丁管理计划:
评估补丁:对补丁进行评估,确认是否适合自己维护的系统
测试补丁:管理员应尽可能在隔离的非生产系统上测试补丁,确定其是否适用于自己维护的系统。
审批补丁:管理员测试补丁,并且确认补丁是安全的
部署补丁:经过测试和审批,管理员可以着手部署补丁。
验证补丁已完成部署:部署补丁后,管理员会定期测试和审计系统,确保系统以保持更新状态。
漏洞管理
漏洞管理是指定期识别漏洞、评估漏洞并且采取措施减轻漏洞相关的风险,
1、漏洞扫描
漏洞扫描器是测试系统和网络是否存在已知安全问题的软件工具。攻击者使用漏洞扫描器来检测系统和网络的脆弱点。例如补丁或者弱密码。
2、漏洞评估
漏洞评估通常包含漏洞扫描的结果,但是漏洞评估会做更多工作,例如,年度漏洞评估可能会分析过去一年所有的漏洞扫描报告。从而确定组织是否正在修复漏洞
常见的漏洞和风险
漏洞通常使用“通用漏洞和披露”CVE字典来标识,cve字典提供了漏洞标识的标准规约,mitre维护cve数据库
cve漏洞数据库使公司更容易创建补丁管理工具和漏洞管理工具,他们不必花费任何资源来管理漏洞的命名和定义,而可以专注于检查漏洞系统的方法。
事件的预防和响应
事件响应管理
事件响应的主要目标是将机构受到的影响降至最低限度‘’
事件的定义
事件是指会对机构资产的保密性、完整性或者可用性产生负面影响的任何事态,这些定义涵盖了各种事态,如直接攻击、飓风地震等自然灾害
计算机安全事件通常是指由攻击造成的事故,或者由用户的恶意或蓄意行为造成的事件。
事件响应步骤:
有效的事件响应管理分若干步骤或者阶段进行。
检测、响应、抑制、报告、恢复、补救、总结教训
1、检测
入侵检测防御系统
反恶意软件
自动化工具定期扫描审计日志
最终用户有时会检测非常规活动
2、响应
检测并且证明确有事件发生的下一步是响应,响应行动会因事件严重程度的不同而各异,
内含证据的计算机不可关闭,计算机一旦关机,易失的随机存取存储器ram中的临时文件和数据便会丢失。只要系统保持通电,犯罪取证专家就能通过工具恢复临时文件和易失ram中的数据,不过,如果有人关掉计算机或者拔掉电源,这些证据便会丢失。
3、抑制
抑制措施旨在遏制事件的发展。
4、报告
报告是旨在本单位通报所发生的事件,并将情况上报机构外的相关部门和官员。
5、恢复
调查人员从系统收集了所有适当证据后,下一步是恢复系统,或使其返回完全正常工作状态。小事件或许只要重启系统就可以,但是一次重大事件可能要求彻底重建系统,包括从最近的备份中恢复所有数据。
6、补救
在补救阶段,安全人员先是对事件进行分析研究,搞清楚是什么因素或事件发生,然后采取措施防止事件再次出现,,根本原因分析通过剖析事件来判断事件起因。
7、总结教训
回顾事件发生和响应的整个过程,以确定是否可以从中总结什么经验教训。例如回顾事件响应行动中需要改进的方面,如,如果响应小组耗费很长时间才把事件遏制住,则分析研究要尝试找出原因。
落实检测和预防措施
理想情况是,机构可以通过落实预防措施来完全避免事件发生
基本预防措施
保持系统和应用程序即时更新:
移除或禁用不需要的服务和协议
使用入侵检测和预防系统
使用最新版本反恶意软件程序
使用防火墙
执行配置管理和系统管理程序
了解攻击
1、僵尸网
僵尸网中的计算机就像是机器人,多个僵尸在一个网络中形成一个僵尸网,他们会依照攻击者的指令做任何事情。,僵尸牧人通常会在僵尸网指示僵尸发起涉及面很广的各种攻击、发送垃圾邮件和钓鱼邮件,或者将僵尸网出租给其他犯罪分子
有许多方法可以用来保护系统不被拉进僵尸网,采用纵深防御战略,实现多层次安全保护才是最好的办法,
对用户开展教育是抵御僵尸网感染的一种极其重要的手段。
许多恶意软件感染是基于浏览器的,用户上网浏览时,系统便会受到感染,保持浏览器及其插件即时更新是一种重要的安全实践规范。
2、拒绝服务攻击
拒绝服务攻击组织系统处理或者响应对资源和对象的合法访问或者请求。dos攻击的一种常见形式是向服务器传送大量数据包,致使服务器不堪重负而瘫痪。dos攻击可导致出现系统崩溃、系统重启、数据损毁、服务被拦截等多种情况。
分布式反射型拒绝服务攻击drdos是dos的一种变异形式,借助一种方法来反射攻击,并不直接攻击受害者,而是操纵通信流或者网络服务,致使攻击从其它来源反射回受害者,域名系统中毒攻击和smurf攻击就是例子
3、SYN洪水攻击
它破坏传输控制协议TCP用来启动通信会话的标准的三次握手。通常,客户端向服务器发送一个SYN同步包,服务端向客户端回应一个SYN/ACK同步/确认包,客户端随后将ACK确认包返回给服务器,这样形成的三次握手可建立一个通信会话,使这两个系统用于传输数据,直到会话被FIN结束或者RST复位包终止。
在SYN洪水攻击中,攻击者发出多个SYN包,但是绝不用ACK包完成连接
一个攻击者发出了3个SYN同步包,而服务器对每个SYN包都作出了回应,服务器在等待ACK包的过程中为每次请求都保留了系统资源,服务器通常最长等待ACK包3分钟,然后才会放弃尝试中的会话--不过管理员可以调整这个时间。
3个不完整的会话不会带来什么大问题,然而攻击者会向受害者发送成千上万个SYN包,每个不完整的会话都会消耗资源,直到系统崩溃,攻击者一这样的方式消耗可用的内存和处理能力,使受害者系统慢如蜗牛或者干脆崩溃。
限制许可开放会话的数量并不能起到有效防护的作用,因为一旦达到极限,便会拦截来自合法用户的会话请求。
利用SYN cookie是组织这种攻击的一种方法,阻止这种攻击的另一种手段是多段服务器等待ACK的时间。
TCP复位攻击
TCP复位攻击是操纵TCP会话的另一种攻击手段,会话通常会被fin结束或者RST复位包终止,攻击者可以在RST包中假造源IP地址并且切断活跃会话。
4、Smurf攻击和Fraggle攻击
Smurf攻击:ping用ICMP检查与远程系统的连接,正常情况下,ping向一个系统发送一个回声请求,而该系统用一个回声回复回应,但是在Smurf攻击中,攻击者以广播形式把回声请求发送给网络上的所有系统并且假造源IP地址。所有这些系统都会用回声回复应答假造的IP地址,从而用通信流把受害者淹没。Smurf攻击通过路由器发送定向广播,形成一个放大网(也叫Smurf放大器)。放大网上的所有系统随后都攻击受害者,1999年发布的RFC2644修改了路由器的标准默认值,使路由器不再转发定向广播通信流。
Fraggle攻击与Smurf攻击类似,但Fraggle攻击所利用的不是ICMP,而是在UDP端口7和端口19上的UDP数据包,Fraggle攻击利用欺骗性受害者IP地址广播和UDP数据包,结果造成网络上的所有系统都向受害者发送通信流,情形与Smurf攻击一样。
5、ping洪水
ping洪水攻击用ping请求淹没受害者,这种攻击以ddos攻击形式通过一个僵尸网内的僵尸发起时,会非常奏效,如果成千上万个系统同时向一个系统发送ping请求,这个系统会在回应这些ping请求的过程中忙乱不堪。根本抽不出时间去响应合法请求。当前针对这种攻击的一个常用办法是拦截ICMP通信流,
6、死亡之ping
利用了超大的ping数据包,ping包通常只有32位或者64位,但不同的操作系统还允许使用其他大小的ping包,死亡之ping攻击将ping包的大小改到64KB以上,超出许多系统的处理能力,一个系统收到ping包若大于64KB,必然会出问题。由于补丁和更新包消除了漏洞,死亡之ping如今很少存在
7、泪滴
在泪滴攻击中,中记者以一种方式将通信流分割成碎片,使系统无法将数据包重新组合到一起,大数据包通过网络发送时,通常会被分解成较小的片段,接收系统收到后再将数据包片段重新组合秤原始状态,然而泪滴攻击会把这些数据包打碎,致使系统无法恢复。
8、land攻击
攻击者把受害者的IP地址即用作源IP,也用作目标IP地址,以这种方式向受害者发送欺骗性SYN包。LAND攻击诱骗系统不断回复自己,最终导致系统冻结、崩溃或者重启
9、零日利用
指利用别人还不知道的漏洞攻击
攻击者最先发现漏洞、供应商掌握漏洞的情况,供应商发布补丁。
10、恶意代码
恶意代码是指在计算机上执行有害、未经授权或未知活动的任何脚本或者程序。
恶意代码以多种形式存在,其中包括病毒、蠕虫、木马、内含破坏性宏的文档和逻辑炸弹。
许多专业人士认为偷渡式下载是使用的最普遍的方式之一
偷渡式下载是在用户不知情的情况下把代码下载并安装到用户系统上。攻击者篡改网页上的代码,用户访问时,代码在用户的系统上下载并且安装恶意软件,不需要用户知情或者同意。
11、中间人攻击
一名恶意用户在进行通信的两个端点之间从逻辑上占据一个位置的情况,就是发生了中间人攻击,中间人攻击,分为两种类型,一种类型是复制或嗅探两个通信参与方之间的通信流。
另一种类型是攻击者将自己定位在通信线路上,充当通信的存储转发或代理机制。
中间人攻击的技术要求远高于许多其他攻击,因为攻击者既要在客户端面前装扮服务器,又要在服务器面前装扮客户端,中间人攻击往往需要多重攻击配合,例如:攻击篡改路由信息和DNS值,获取并且安装加密证书,经破解后进入加密隧道,或者伪造地址解析协议查找--这些都是中间人攻击的组成部分
12、蓄意破坏
员工蓄意破坏是指员工对自己供职的机构实施破坏的一种犯罪行为。
13、间谍活动
间谍活动指收集机构专有、秘密、私有、敏感或者机密信息的恶意行为。
抵御间谍活动的对策是严格控制对所有非公开数据的访问,对新应聘者进行彻底审查以及有效跟踪所有员工的活动。
入侵检测和预防系统
入侵检测系统IDS 入侵检测和防御系统IPS
1、基于只是检测和基于行为检测:
IDS通过监测网络通信流和检查日志来主动监视可疑活动。IDS可以通过传感器或者代理监测网络中的路由器和防火墙。
基于知识检测使用了与反恶意软件程序所用签名定义类似的签名,基于行为检测不使用签名,而将活动与正常表现基线进行对比,从中找出异常行为,许多IDS把这两种方法结合到一起使用
基于知识检测:也叫基于签名检测或模式匹配检测,是最常用的检测方法。与反恶意软件程序必须定期更新反恶意软件程序供应商提供的新签名一样,IDS数据库必须定期用新攻击签名更新,大多数IDS供应商都提供自动更新签名的方法
基于行为检测:也叫统计入侵检测,异常检测和基于启发检测。基于行为的IDS用基线、活动统计数据和启发式评估技术将当前活动与以前的活动进行比较,以找出潜在事件。异常分析提升了IDS的能力,如登录尝试,正常工作时间以外的登录或者程序活动
基于行为的IDS的主要缺点是在于它经常会发出大量假警报。
2、SIEM系统
许多IDS和IPS将收集来的数据发送给安全信息和事件管理系统,SIEM系统也可从网络中许多其他来源收集数据,可以实时监测通信流,还能对潜在攻击进行分析并发出通知。
3、IDS响应
尽管基于知识的IDS和基于行为的IDS以不同方式检测事件,但是他们都使用警报系统,IDS检测到一个事件后会触发警报,然后它会以另一种被动或者主动的方法做出响应。
被动响应:通知可以通过电子邮件、文本或者短信或弹窗消息发给管理员。
主动响应:典型的响应包括修改ACL以拦截基于端口、协议和源地址的通信流,甚至包括切断特定电缆线段的所有通信。如果一个主动IDS被安放在承载通信流的线路上,它就是IPS,如果它不是被安放在承载通信流的线路上,那它就不是真正的IPS
4、基于主机的IDS和基于网络的IDS
基于主机的IDS监测一台计算机或主机HIDS,NIDS基于网络的IDS通过观察网络通信流模式监测网络。另一个不太常用的类别是基于应用的IDS,这是基于网络的IDS的一种特殊类型。
基于主机的IDS:HIDS监测一台计算机上的活动、检查事件的详细程度往往超过nids,并且能精确定位被攻击破坏的具体文件。它还可跟踪攻击者用过的进程
HIDS优于NIDS的一点是,HIDS能检测到NIDS检测不出来的主机系统异常情况。
基于网络的IDS:NIDS监测并且评估网络活动,从中找出攻击或异常事件。
交换机经过配置后可以把所有通信流全部映射到IDS所使用的特定端口
NIDS通常通过执行反向地址解析协议RARP或者反向域名系统来查找发现攻击源
5、入侵预防系统IPS
是一种特殊类型的主动响应IDS,可赶在攻击到达目标系统之前将其检测出来并且加以拦截。
具体预防措施
1、蜜罐/密网
蜜罐是为充当陷阱引诱入侵者入内而创建的单个计算机,密网则是两个或者多个连接在一起嫁妆网络的蜜罐。
伪缺陷:是指有意植入系统,旨在引诱攻击者的假漏洞或看起来很薄弱的缓解。
了解填充单元:当idps检测到入侵者时,入侵者会被自动转移到填充单元,填充单元具有真实网络的外观和感觉。,填充单元是一个模拟环境,用假数据爱保持入侵者的兴趣,这一点与蜜罐很像,但是idps把入侵者转移到一个填充单元中,而对于这种变化,入侵者毫不知情。
2、警示
警示向用户和入侵者宣传基本安全方针策略,警示提出,任何在线活动都将接受审计,处于监测之下,警示往往还会提醒用户,哪些是受限活动,
3、反恶意软件
抵御恶意代码的最重要保护手段是使用带最新签名文件并具备启发式能力的反恶意软件程序。,如今大多数反恶意软件程序窦娥能够在不需要用户介入的情况下一天检查几次更新。
在每个系统上安装反恶意软件程序的多管齐下方式除了过滤互联网内容以外,还有助于保护系统免受任何来源的感染。例如,每个系统的最新反恶意软件程序可以检测和拦截任何员工USB闪存盘上的病毒。
系统通常只安装一种反恶意软件应用程序,系统若是安装多个反恶意软件应用程序,它们可能会互相干扰,有时还会导致系统问题。此外多种扫描程序挤在一起,还会消耗过多系统资源。
4、白名单和黑名单
使用白名单和黑名单是一种有效的预防措施,可阻止用户运行未经授权应用程序。白名单用一份列表标识得到授权可在系统上运行的程序,而黑名单则用一份列表标识没有得到授权,不可在系统上运行的应用程序。
白名单不包含恶意软件程序并将阻止恶意软件运行,有些被名单表示用散列算法创建散列的应用程序,但是,如果应用程序感染了病毒,病毒会有效改变散列值,因此这种白名单也会阻止受感染应用程序运行
5、防火墙
防火墙通过过滤通信流保护网络。
基本防火墙根据IP地址、端口和一些带协议编号的协议过滤通信流
第二代防火墙增加了额外的过滤功能,例如应用层网关防火墙可根据特定应用需求过滤通信流,而电路级网关防火墙则根据通信电路过滤通信流,第三代防火墙也叫状态检查防火墙和动态包过滤防火墙根据通信流中的状态过滤通信流
下一代防火墙集多种过滤功能于一身,形成一种统一威胁管理UTM设备,它包含防火墙的传统功能,例如包过滤和状态检查,同时还能执行包检查技术,这使它可识别并且拦截恶意通信流,下一代防火墙还能对照定义文件和白名单和黑名单过来吧恶意软件,它还包含入侵检测和入侵预防功能。
6、沙箱
沙箱为应用程序提供安全边界,可防止应用程序与其他应用程序交互。反恶意软件应用程序借助沙箱技术测试未知应用程序,如果一个应用程序有可疑表现,沙箱技术可防止该应用程序感染其他应用程序或操作系统。
7、第三方安全服务
有些机构将安全服务外包给第三方,即本单位以外的个人或者机构,其中可能包括许多不同类型的服务,例如审计,渗透测试等。
8、渗透测试
渗透测试的内容可能包括漏洞扫描,端口扫描,包嗅探,dos攻击和社会工程技术
渗透测试是侵入性的,会对系统的可用性造成形象,因此安全专业人员必须得到机构高管的书面批准,
定期进行渗透测试是评估机构所用安全控制效果的好办法,渗透测试可以揭示,哪些方面补丁没打够或者安全参数设定不充分,哪些方面在形成新的漏洞。
渗透测试目的
1)确定一个系统能在多大程度上忍受攻击
2)识别员工实时检测和响应攻击的能力
3)识别可用来降低风险的额外控制
零知识团队进行的黑盒测试:除了域名。公司地址等公开信息外,其他一无所知
全知识团队进行的白盒测试:可以全权访问目标环境的所有方面
部分知识团队进行的灰盒测试:对目标有一定程度了解的部分知识团队进行灰盒测试,但是未被授予访问所有信息的权限。
日志记录、监测和审计
日志记录和监测:
日志记录和监测结合到一起,机构将可跟踪、记录和审查活动,从而形成一个全面问责体系
1、日志记录技术
日志记录是将有关事件的信息写进日志文件或数据库的过程,日志记录体现了系统上发生的活动的事件、变化、消息和其他数据
如果机构没有采用安全身份鉴别流程,用户很容易被别人冒名顶替
2、常见日志类型
安全日志:记录对文件、文件夹、打印机等资源的访问
系统日志:记录系统事件,例如系统何时启动关闭,如果攻击者能够关闭一项检测系统活动的服务,那么他们访问系统,而没有日志可以把他们的行为记录在案
应用日志:记录有关具体应用程序的信息。应用程序开发人员可以选择应用日志记录哪些内容
防火墙日志:防火墙日志可记录与到达防火墙的任何通信流相关的事件,不记录数据包的实际内容
代理日志:提高用户访问互联网的效率,还可控制允许用户访问哪些网站
变更日志:记录系统的变更请求,批准和实际变更
日志记录通常是操作系统以及大多数应用程序和服务本身就具备的性能。
3、保护日志数据
通常的做法事将日志文件拷贝到中央系统如SIEM中保护起来,即便攻击者篡改或损坏了原始文件,安全人员依然可以利用文件副本查询事件的来龙去脉。当日志不再使用时,必须将其销毁
4、监测的作用
加强问责制、帮助开展调查和排除基本故障
1)审计踪迹
是在将有关事件和事发情况的信息保存到一个或多个数据库或日志文件中时创建的记录。
2)监测和问责
监测是一项必要功能,可确保行事主体能对自己行为和活动负责。
3)监测和调查
审计踪迹可令调查人员能够在事件发生很久以后重建事件。系统应该对照一个可信的中央公共时间服务器同步自己的时间,这可确保所有审计日志都为所记录的事件记录了准确和一致的时间。
4)监测和问题识别
审计踪迹可就所记录的事件为管理员提供有用的细节。除恶意攻击外,审计踪迹还记录系统故障,操作系统bug和软件错误
5、监测技术
监测是指检查日志信息以找出特定内容的过程。现有运行管理软件可以出售,用于在整个网络中主动对系统进行安全,健康和性能监测,这些软件可以自动查找表明有攻击或未经授权访问等问题出现的可疑或者异常活动。
1)安全信息和事件管理
这些工具可在全吉沟范围内对系统上发生的事件进行实时分析,他们包含安装在远程系统上的代理,用于监测被称为警报触发因素的特定事件。触发因素出现时,代理会将事件穿发给中央检测软件
2)抽样
抽样也叫数据提取,是指从庞大数据体重提取特定元素,构成有意义的整体表述或归纳的过程,抽样是数据压缩的一种形式,它允许安全人员只在啊审计踪迹中查看一小部分数据样本,便可从中收集到有价值的信息。
3)剪切级
剪切是一种非统计抽样,它只选择超过剪切级的事件,而剪切级是预先定义好的一个事件阈值,在事件达到这个阈值之前,系统忽略事件。
相对而言,统计抽样更可靠,在数学上更有说服力
4)其它监测工具
虽然日志是与审计使用的主要工具,但是可供机构使用的一些其他工具也值得在这里提一提。例如:闭路电视监控系统CCTV可自动将事件记录到磁带上以供日后查看
其他工具还包括:击键监测,通信流分析监测,趋势分析监测和预防数据丢失的监测。
击键监测:击键监测是记录用户在物理键盘上的击键的动作行为。
通信流分析和趋势分析:是检查数据包流动而非数据包实际内容的监测形式。这种监测有时也叫网流监测,可推断出大量信息,例如主通信路由,备份通信路由,主服务器的位置,加密通信流的来源,网络支持的通信流流量,通信流的典型流向,通信频率等等
出口监测
是指对外出通信流进行监测,以防止数据外泄,即未经授权将数据发送到机构之外。
高级攻击者通常会加密后才把数据从网络向外发送,这种做法可以挫败一些试图监测数据外泄的常用工具,而哪些监测从网络发出的加密数据量的攻击,也有可能被击败
1、数据丢失预防
数据丢失预防DLP旨在监测和组织数据外泄企图
基于网络的DLP:扫描所有外出数据,从中查找特定数据
基于端点的DLP:可扫描保存在系统上的文件,也可扫描发送给外部设备的文件。例如机构的基于端点的DLP可防止用户把敏感数据拷贝到USB闪存盘或把敏感数据发送给打印机。
高级持续威胁通常在将通信流出网络之前对其进行加密
隐写术
隐写术是将一条消息嵌入一份文件的做法。例如人们可在一个图片文件中修改几个位,用来嵌入一条消息,图片上的这点变化不会被一般人察觉,但知情人却能从中把消息提取出来
如果原始文件和怀疑有消息隐藏的文件都在手里,则可以通过给这两个文件创建散列,从而进行对比,如果对比不一样,则说明问题存在
水印
水印是将图像或者图案不显眼的镶嵌到纸张上的做法。这项技术常用在货币上,以挫败制造假币的企图。数字水印是隐藏在数字文件当中的标记。,从出口监测角度看,DLP系统可检测到未加密文件中的水印,DLP系统从这些水印中识别出敏感数据后,会阻止传输并向安全人员发出警报。
效果评价审计:
许多机构都制定强力,有效的安全策略,但是,仅仅策略到位并不意味着员工都知道或会遵守这些策略,很多时候,机构会希望通过审计整个环境来评价安全策略和相关访问控制的执行效果。
审计是指对环境进行系统化检查或者审查,以确保法规得到遵守并且查找出异常情况,未经授权事件乃至犯罪行为。
审计员负责测试和证明,机构制定了执行安全策略或者法规的流程和规程,这些规程可适当满足机构的安全需要。整个审计工作在审计员主持下展开
审计时指借助审计日志和检测工具对活动进行跟踪。
1、检查审计
安全的IT环境在很大陈顾上依靠审计,由审计发挥检测性安全控制的作用,发现和弥补漏洞,访问控制语境下有两项重要审计:访问审查审计和用户权限审计
与规划和维护安全的许多其他方面一样,安全审计也常常被视为应尽关心的关键要素。,不进行审计,难免会让人觉得管理层没有尽到应尽的责任
2、访问审查审计
许多机构定期进行访问审查和审计,以确保对象访问和账户管理工作将安全策略落到实处。这些审计证明,用户并不需要过多权限,账户收到了适当管理
3、用户权限审计
用户权限是指用户被授予的权利。
最小特权原则可以确保用户只拥有执行任务所不可缺少的权限,不会更多。
4、特权群组审计
许多机构通过划分群组来执行基于角色的访问控制模型,对拥有高级权限的群组(例如管理员组)的成员进行资格上的限制非常重要,确保群组成员只在必要时才使用他们的高权限账号也同样重要。
1)高权限管理员组
许多操作系统都有特权组,例如administrator组。用户权限审查通常要对任何特权群组的成员资格进行审查。对该组成员资格的监测和审计可以找出未经授权的添加者。
利用自动化方法监测特权账号的成员资格,使添加未经授权用户的企图自动归于失败是完全可能的。
2)两个管理员账号
许多机构要求管理员保持两个账号,一个供他们日常活动使用,另一个有额外的特权,用于管理工作,这样可以降低与特权账号相关的风险
审计可以验证管理员对特权账号的使用是否恰当,,如果管理员不断使用管理员账号,而极少使用常规用户账号,审计可将此标记为明显违反策略的行为。
安全审计和审查
安全审计和审查有助于确保机构适当执行安全控制。
补丁管理:补丁管理审查确保有补丁可用之后尽快对其进行评估
漏洞管理:漏洞管理审查评审确保漏洞扫描和评价依照既定准则定期进行。
配置管理:系统可通过定期接受审计来确保原始配置保持不变。
变更管理:变更管理审查可以确保变更依照机构变更管理策略的规定执行。
报告审计结果
1、保护审计结果:
审计报告包含敏感信息,应该给他们分配一个分类标签,只允许拥有足够权限的人员接触,这其中包括机构高级执行官以及参与编制报告或者负责解决报告所提问题的安全人员。
有审计人员正在开展审计工作的情况往往需要通告全机构,目的是让所有员工了解机构高层领导积极采取措施维护安全的态度。
2、分发审计报告
审计员完成审计报告后,会依照安全策略文件的规定将报告分发给指定接收方。如果审计报告包含有严重安全违规或性能问题的信息,报告将提交给更高层领导,供他们审查报告内容,发出通知并且指派响应人员解决问题
3、使用外部审计人员
许多机构选择雇佣外部安全审计人员进行独立审计。
此外一些法律法规也要求由外部放进行审计,外部审计所表现出来的客观程度是内部审计无法达到,它们会以一种全新的外部视角来审视内部策略,实践规范和规程。
机构受到最终审计报告后,内部审计人员还要对报告进行审查,根据报告内容向机构高管提供建议,机构高管负责决定采纳哪些建议并且指派内部人员具体落实。
灾难恢复计划
灾难恢复计划DRP是面向业务BCP演习的技术补充,包括了终端发生后尽快阻止终端并促进服务恢复的技术控制。
灾难的本质
灾难恢复计划围绕组织正常运营中断后,如何控制事件导致的混乱局面,并且恢复到正常工作秩序。DRP应当被设置为尽可能自动执行,还应当尽可能设计成在灾难期间不需要决策,应该对必要的人员进行培训,使得他们在灾难发生时承担起响应的责任和义务。
自然灾难
1、地震
2、洪水
3、暴风雨
灾难恢复专家应当定期访问相关气象服务网站,以便在播报前就能了解到造成危害的大西洋和太平洋风暴,从而在灾难来临前就开始对暴风雨逐步做出响应
4、火灾
5、其他地区性事件:如:火山爆发,季风,海啸,雪崩泥石流等
人为灾难
1、火灾
2、恐怖行为
3、爆炸/煤气泄漏
4、电力中断
5、网络、公共设施和基础设施故障
6、硬件/软件故障
7、罢工/示威抗议
8、盗窃/故意破坏
理解系统恢复和容错能力
增加系统应变能力和容错能力的技术控制会直接影响到可用性,系统恢复和容错能力的主要目标是消除单点故障(SPOF)
容错能力是指系统在发生故障的情况下仍然可以继续运行的能力,容错能力是通过增加冗余容错组件实现的,如廉价磁盘冗余阵列RAID中的额外磁盘或者故障转义集群配置中的额外服务器。
系统恢复能力指的是系统在发生负面事件时仍然保持可接受的服务水平的能力
保护硬盘驱动器
在计算机中添加容错和系统恢复组件的常见方法是使用RAID。RAID包括两个或以上磁盘,即使其中一个磁盘损坏,大多数RAID也能继续运行。
RAID-0:也称为条带,它使用两个或者以上磁盘,提高了磁盘子系统的性能,但是不能提供容错能力
RAID-1:也称为镜像,使用两个磁盘,每个磁盘保存相同的数据,如果一个磁盘损坏,另一个磁盘让然保存完整的数据,这样在一个磁盘损坏后,系统仍能继续运行,系统可能会在不需要人工干预的情况下继续运行,也可能需要手动配置以使用没有损坏的磁盘,这取决于使用的硬件以及损坏的驱动器。
RAID_5:也叫作奇偶校验,使用三个或者更多磁盘,相当于一个磁盘,其中包含奇偶校验,如果一个磁盘损坏,磁盘阵列会继续运行,但是速度会慢一些。
RAID-10:也被称为RAID1+0或者条带镜像,是在条带配置上再配置两个或者以上的镜像,至少需要4个磁盘,也可以更多,增加磁盘数以偶数计。,即使多个磁盘损坏,但是只要每个镜像中有一个驱动器是好的,那就能继续运行。例如三个镜像集,m1,m2,m3则共有6个磁盘,如果m1,m2,m3中分别只有一个驱动器坏了,该阵列将继续运行,如果某个镜像集两个驱动器都坏了,如M1的两个驱动器,则整个阵列将无法继续运行。
容错与备份不同,有时,管理者可能会因为备份磁带的价格问题转而考虑用RAID进行备份
RAID可基于软件,也可以基于硬件,基于软件的系统需要操作系统管理阵列中的磁盘,这会降低系统的整体性能,但是相对便宜一些,因为不需要磁盘以外的其他硬件,基于硬件的磁盘阵列系统通常更有效,更可靠,虽然基于硬件的磁盘阵列更昂贵,但当使用这种阵列以增加某些关键组件的可用性时,收益大于成本。大多数基于硬件的阵列支持热插拔,不必关机就可以更换损坏的磁盘,冷插拔的RAID要求系统关机后才能更换损坏的驱动器
保护服务器
可通过故障转移集群将容错功能天机到关键服务器中,故障转移集群含有两个或者以上的服务器,如果其中一台服务器出现故障,集群中的其他服务器可通过称为故障转移的自动化过程接管其负载。
保护电源
可为不间断电源UPS、发电机或他们两者提供容错能力。一般情况下,不间断供电电源提供5到30分钟的短时间供电,而发电机可以提供长期电力。使用UPS的目的是为完成系统的逻辑性关闭提供足够时间,或在发电机提供稳定电源前维持电力供应。如果灾难涉及面很广,将出现燃料供应的巨大需求,如果你与供应商签订合同,则更可能及时收到燃料。
授信恢复
授信恢复保证系统在发生故障或者崩溃后,能够还原到之前的状态,根据故障的类型,还原可以分为自动还原和管理员手动敢于还原。,无论那种还原方式,系统都应该被预置,以确保还原的安全性。
系统可被预置成在损坏后处于故障防护状态或者应急开放状态,处于故障防护状态的系统会在故障发生时保持防护状态,禁止所有访问,应急开放系统会在发生故障时保持开放状态,授权所有访问,,对二者的选择取决于故障后更注重系统的安全性还是可用性
恢复过程的两个要素可以确保可信解决方案的实施,
1、失败准备:除了可靠的备份解决方案外,还包括系统恢复以及容错方法
2、系统恢复的过程:系统必须重新启动到单用户,非特权状态
恢复过程与系统恢复能力以及容错能力相关:
1、手动恢复
2、自动恢复:对于至少一种类型的系统故障,系统能自动执行授信恢复
3、无过度损失的自动恢复:这类似于自动恢复,对于至少一种类型的系统故障,系统能自动执行恢复过程。
4、功能恢复:支持功能恢复的系统能自动恢复某些功能
服务质量
QoS服务质量控制能够保护负载下的数据网络的完整性,许多因素有助于提升最终用户体验的质量,服务质量对这些要素进行管理,从而创造出能够满足商业需求的环境。
有助于服务质量提升的一些因素如下:
宽带:可供通信的网络容量
延迟时间:数据包从源到目的地所需的时间
抖动:不同数据包之间的延迟变化
数据包丢失:一些数据包在源和目的地之间传送的过程中可能丢失,需要重传
干扰:电噪声、故障设备等因素可能会损坏数据包的内容。
除了控制这些因素外,服务质量系统往往优先考虑某类业务,其中包括干扰容忍度较小或者有较高业务需求的业务,例如:QoS设备可能设置为,行政会议室的视频流优先于实习生电脑的视频流
恢复策略
应该以下面这种方式设计灾难恢复计划:即使正式的DRP团队成员未到达现场,灾难现场的第一位员工仍能有组织的立即开始恢复工作。
除了提高响应能力外,购买保险也能减轻经济损失。
确定业务单元的优先顺序
为尽可能有效的恢复业务运营,必须精心设计灾难恢复计划,从而最先恢复优先级别最高的业务单元,必须识别和优化重要业务功能,定义灾难或错误发生后想恢复哪个功能或以什么样的顺序恢复
要完成这一目标,DRP团队必须首先标识业务单元,并且决定他们的优先顺序,在业务功能方面也是如此。有了BIA业务影响评估,便可使用生成的文件作为优先级任务的基础。
作为最低要求,这个任务完成后的结果应该是一张业务单元优先级列表
MTTR平均恢复时间
MTO最大可容忍中断
危机管理
如果灾难来领,与之斗争的最好方法是启用灾难恢复计划。对于公司中最先可能注意到发生了紧急情况的人,应该对他们进行完整的灾难恢复措施培训,让他们知道适当的统治措施和立即响应机制
应急通信
重大灾难很容易曝光,如果组织无法与外部保持联系,即使向外部告知恢复情况,公众很容易感到害怕并且往坏处想,进而认为组织无法恢复正常。,灾难期间,组织内部进行沟通也非常重要,这样员工就知道他们应该做些什么,例如:是回去工作,还是向另一个地点汇报情况
工作组恢复
在设计灾难恢复计划时,记住目标是让工作组恢复到正常状态并且重新开始他们在日常工作地点的活动是非常重要的。
有时为不同的工作组开发独立的恢复设施是最佳选择,例如:如果有几家子公司分布在不同地点,并且执行的任务与你所在办公室的工作组类似,那么可能希望临时安置这些工作组到其他地点工作,
可替代的工作站点
灾难恢复计划中最重要的要素之一是:在主要工作站点无法使用时选择可替代的工作站点
选择替代工作站点时,一定要确认该场所远离主站点,避免与主站点一起受到同一灾难的影响,但不能太远,最好是在一天的车程内
1、冷战点
冷战点只是备用设施,它有足够大的地方开展组织的运营工作,并有适当的电子和环境支持系统。冷战点可能是仓库,空的办公大楼或者其他类似的建筑物,然而,站点内没有预先安装计算设施,并且没有可供使用的网络通信线路。
冷战点主要优点是便宜,没有需要维护的计算基础设备,如果站点未使用就没有通信费用,冷战点从启用到正式投入使用的时间,通常需要数个星期,因此及时完成恢复过程是不太可能的。
2、热站点
热站点与冷战点恰好相反,这种类型的建筑中具有固定的被维护的备用工作设施,并且附带完备的服务器,工作站和通信线路,准备承担主站的运营职责,主站点服务器上的数据会定期或者持续复制到热站点中对应的服务器上,从而确保热站点中所有的数据都是最新的。
认真的奶奶提供的灾难恢复程度是非常好的,同时成本也是最高的。
减少费用两种方式
1、使用外部承包商管理的共享热站点设施
2、把热站点作为开发或测试环境
温站点:
温站点结余热站点和冷战点之间,是灾难恢复专家可选择的中间场所。这种站点往往包含快速建立运营体系所需的设备和数据线路,温站点一般不包括生产数据,使温站点完全处于运营状态的主要要求是将合适的备份介质送到温站点,并且在备用服务器上还原。灾难发生后,重新激活温站点至少需要12小时,这并不意味着能在12小时内激活的站点就是热站点,然而大多数热站点的却换时间都在几秒或者几分钟内,完成交接时间也很少超过一个或者两个小时
移动站点:
对于传统的恢复站点而言,移动站点属于非主流的替代方案,他们通常由设备齐全的拖车或其他容易安置的单元组成。这些场所拥有为维持安全计算环境需要的所有环境控制系统。
服务局:
服务局是出租计算时间的公司,服务局拥有大量的服务器群,通常也有大量工作站,任何组织都可与服务局签署合同,从而使用他们的处理能力,访问可以是联机的,也可以是远程的。
云计算
许多组织现在把云计算作为首选的灾难恢复选项,IaaS基础设施即服务提供商,如亚马逊AWS,以脚底成本提供服务,希望保留自己数据中心的公司,可以选择使用这些服务作为备份服务提供商,在云存储准备运行的镜像是经济实惠的,在云站点激活前能节省大部分运营成本。
相互援助协议
相互援助协议MAA协议也称为互惠协议,在灾难恢复的文学作品中非常流行,但是在真实世界中很少被实施。在MAA下,两个组织承诺在灾难发生时通过共享计算设施或其他技术资源彼此援助。
数据库恢复
创建远程数据库内容备份的三种主要技术手段:
1、电子链接
在电子链接这种情况中,数据库备份通过批量传送的方式转移到远处的某个场所,可能有相当会见的延迟,如果启用恢复站点,技术人员需要从电子链接中检索适当的备份数据,并恢复到即将投入使用的生产服务器上
无论哪一种类备份场景,一定要定期测试电子链接设置,测试备份解决方案的一种好方法是让灾难恢复人员进行一次突击测试,要求他们从某一天开始还原数据
2、远程日志处理
远程日志处理以一种更快的方式传输数据,数据传输仍然以批量方式进行,但是更频繁,通常每小时或者更短时间一次。与电子链接不同,在数据库备份文件被转移时,远程日志处理设置传输数据库事务日志的副本,其中包括从上次批量传输依赖发生的事务。
远程日志处理与电子链接类似,传输到远程站点的事务日志不是应用于实施数据库服务器,而是使用备份设备进行维护,
3、远程镜像
远程镜像是最先进的数据库备份解决方案,也是最昂贵的
恢复计划开发
根据组织的规模大小和参与DRP的人员数量,维护集中针对不同读者的不同类型的计划稳当是一个不错的主意。需要考虑的文档类型如下:
1、执行概要,提供对计划的高度概括
2、具体部门的计划
3、针对负责实现和维护关键备份系统的IT技术人员的技术指导
4、灾难恢复团队的人员清单
5、为重要灾难恢复团队成员准备的完整计划副本
紧急事件响应
灾难恢复计划中应当包含重要人员在识别出灾难或灾难即将来临时应立即遵守的简单清晰的指令。
人员通知
灾难恢复计划中还应该包括一份人员名单,以便在发生灾难时进行联络。
通知清单应该提供给所有可能对灾难做出响应的人员,这样做能够迅速通知到主要人员,许多公司用电话树形式组织他们的通知清单,即书上的每一个成员联系下面的人,这样就把通知任务分散到团队的成员之中,而不是靠一个人拨打多个电话,如果选择适用电话树通知方案,一定要添加安全网,让每条链中的最后一个人联系第一个人,确保整个链条上的人都被通知到了,这能让你放心,证明灾难恢复团队的激活正在顺利进行中
评估
当灾难恢复团队抵达现场时,他们的首要任务之一就是评估现状,这通常以滚动方式进行
备份和离站存储
灾难恢复计划尤其是技术指南应该完整的说明组织要求的备份策略。
完整备份:完整备份存储着受保护设备上包含的数据的整个副本,无论归档为如何设置,完整备份都会复制系统中的所有文件,一旦完整备份完成,每个文件的归档位都会被重置、关闭或者设置为0
增量备份:增量备份只复制那些自最近一次完整备份或者增量备份依赖修改过的文件,增量备份只复制归档位被打开、启用或设置为1的文件,一旦增量备份完成,被复制的文件的归档位都会被重置,关闭或者设置为0
差异备份:差异备份复制那些自最近一次完整备份以来修改过的所有文件,差异备份只复制归档位被打开,启用或设置为1的文件,不过与完整备份和增量备份不同的是,差异备份过程不改变归档位。
要根据创建备份所需的时间作出权衡:差异备份的还原时间段,但所需时间比增量备份长。
大多数组织采取的备份策略都会使用多种备份,并有介质循环使用计划。这允许备份管理人员充分访问备份数据以满足用户的请求,并在尽量减少购买备份介质支出的同时提供容错能力。
1、备份介质格式:
物理特征和轮换周期是有价值的备份解决方案应当跟踪和管理的两个因素,物理特征是使用中的磁带驱动器的类型,它定义了介质的物理形状,轮换周期是备份的频率和受保护数据的保留时间。
2、磁盘到磁盘D2D备份
磁盘存储变得越来越便宜,现今,驱动能力已经开始用百万兆字节TB来测量,磁带和光盘已无法应付数据量的要求,很多企业在灾难恢复策略中应用磁盘到磁盘备份方式
采用完整的磁盘到磁盘备份方法的组织,必须确保地理多样性,一些磁盘需要异地保存,许多组织通过租用托管服务来管理远程备份位置。
3、最佳备份方法
无论采用哪种备份解决方案、介质或方法,都必须解决一些常见的辈分问题,例如:备份和还原活动可能庞大而缓慢,这样的数据移动会显著影响网络性能,在工作时间内更是如此。,因此备份应当被调度在空闲时间如晚上进行。
在定期备份的情况下也就是说每隔24小时进行一次备份,总有可能存在自备份依赖的数据丢失现象,墨菲定律表明服务器在成功备份之后不会立即崩溃,而往往在下一次备份开始前发生,为避免定期备份存在的问题,需要部署某些实时连续的备份形式,如RAID,集群或者服务器镜像
最后,需要记住测试组织的恢复流程
4、磁带轮换
备份常用的集中磁带轮换策略包括:祖父-父亲-儿子GFS策略、汉诺塔策略以及六磁带每周备份策略
可通过人工实现这些策略,也可使用商用备份软件或全自动分层存储管理HSM系统来自动实现这些策略
软件托管协议
软件托管协议是一种特殊的工具,可以对公司起到保护作用:避免公司受软件开发商的代码故障的影响,以便为产品提供足够的支持,还可以防止出现由于软件开发商破产而造成产品失去技术支持的情况。
如果组织依赖定制开发或小公司开发的软件,可能需要考虑开发这类协议,将其作为灾难恢复计划的一部分。
外部通信
在灾难恢复期间,很有必要与组织外部不同实体间进行通信,需要联系供应商提供物资,以便在需要时他们能够支持灾难恢复工作。
公用设施
组织要依靠一些公用设施来提供自身基础设施的关键要素,如电力、水、天然气和管道服务等。因此,灾难恢复计划中应该包括联系信息和措施,以解决这些服务在灾难发生过程中出现的问题。
物流和供应
灾难恢复操作过程中有关物流的问题是值得关注的,因此,会突然面临调拨大量人员、设备和供应物资到备用恢复场所的问题
恢复与还原的比较
有时区分灾难恢复任务和灾难还原任务是很有用的,在灾难恢复工作要花费很长时间时,这尤为重要,在灾难恢复团队被指派执行和维护回复场所工作时,一直救助团队被指派还原场所的运营能力,应当依据组织的需要和灾难的类型来分配这些任务。
恢复和还原是不同的概念,恢复涉及将业务操作和过程还原至工作状态,还原涉及将业务设施和环境还原至可工作状态
灾难恢复团队成员可操作的时间范围很短,他们必须尽可能迅速的应用DRP和还原IT能力。
抢救团队必须确保新的IT基础设施的可靠性,通过将最小关键任务进程返回至被还原的原有场所,进而对重构的网络进行压力测试,抢救团队就可实现这个目标。
培训、意识与文档记录
1、对全体新员工进行定向培训
2、对第一次担任灾难恢复角色的员工进行基本培训
3、对灾难恢复团队的成员进行详细的复习培训
4、对所有的其他员工进行简要的复习培训
DRP应该被视为极其敏感的文档,并且只在分隔和知其所需的基础上提供给个人,参与计划的人员应当完全理解角色,但是不必知道或者访问整个计划。当然,确保DRP团队关键成员和高级管理人员知晓整个计划和理解实现细节是必不可少的。不必让每位参与者都了解所有内容。
测试和维护
通读测试
是最简单的,但是也是最重要的一种测试,在这类测试中,只需要向灾难恢复团队成员分发灾难恢复清单的副本,并要求他们审查,
结构化演练
灾难恢复团队聚集在一间大会议室中,不同的人扮演灾难发生时的不同角色,通常,确切的灾难情景只有主持人知道,在会上向团队成员描述具体情况,然后成员通过参考他们的假话对特定的灾难进行讨论,进而得出适当的响应办法
模拟测试
与结构化演练类似,模拟测试向灾难恢复团队成员呈现情景并且要求他们做出适当的相应措施,与前面讨论的测试不同,其中某些响应措施随后会被测试,这种测试可能会终端非关键的业务活动并且使用某些操作人员
并行测试
标识下一个层次的测试,涉及将实际人员重新部署到替换的恢复场所并实施场所启用过程。被重新部署到该场所的员工,以灾难实际发生时的方式履行他们的灾难恢复职责,唯一的差别在于不会终端主要设施的运营,这个场所仍然处理组织的日常业务
完全中断测试
与并行测试的操作方式类似,但涉及实际关闭主场所的运营并将其转移至恢复场所,这类测试有很大的风险,因为他们要停掉主站点的操作,并且转移到恢复站点
维护
灾难恢复计划是一份灵活的文档,随着阻止需求的变化,必须对灾难恢复计划进行修改以适应这些变化。通过使用组织好的和协调一致的测试计划,我们会发现灾难恢复计划中的需要修改的地方
调查和道德
本章节主要探讨计算机犯罪是否已经发生的调查过程,并且在适当的时候收集证据。
调查:
违背正确的步骤可能会侵犯被调查者的公民权利。并导致诉讼失败,甚至导致被调查者采取合法的抵抗措施
调查的类型
1、行政调查
行政调查属于内部调查,它检查业务问题或是否违反组织的政策,可作为技术故障排除工作的一部分或支持其他管理过程,如人力资源纪律程序。
操作型调查对信息收集标准是比较宽松的,因为目标仅是完成内部业务目标,所以不倾向找到证据,除了解决操作问题,操作型调查需要执行旨在识别操作出现问题的根本原因分析。执行根本原因分析师为了找出修复措施,以防再次发生类似事件。安全专业人员应与调查发起人以及他们的法律团队商量,以确定行政调查适当的证据收集、处理和保留指南
2、犯罪调查
犯罪调查通常由执法者进行,是针对违法行为进行的调查,犯罪调查的结果是指控犯罪和在刑事法庭上起诉。
3、民事调查
民事调查通常不涉及执法,而涉及内部员工和外部顾问代表法律团队的工作。他们会准备必要的证据来解决双方之间的纠纷。
4、监管调查
政府机构在他们认为个人或者企业可能违法时会执行监管调查,监管调查范围比较广泛,几乎总由政府工作人员执行。
5、电子发现
发现过程应该用纸质档案和电子记录及电子发现的过程促进电子信息披露的处理
1、信息治理:确保信息系统针对将来的发现有良好的组织
2、识别:当组织相信起诉很有可能时,要指出电子发现请求信息的位置
3、保存:确保潜在的发现信息不会收到篡改或者删除
4、收集:将敏感信息收集起来用于电子发现过程
5、处理:过滤收集到的信息并进行无关信息的粗剪,减少需要详细检查的信息
6、检查:检查剩下的信息,确定哪些信息是敏感的请求,并且移除律师与客户之间保护的信息
7、分析:对剩余的内容和文档执行更深层次的检查
8、产生:用需要分享他人的信息标准格式产生信息
9、呈现:向证人、法院和其他当事方展示信息
证据
1、可采纳的证据
证据必须与确定事实相关、证据要确定的事实对本案来说是必要的,证据必须有法定资格,这意味着证据必须合法获得,通过非法搜查获得的证据不具备法定资格,是不被采纳的。
2、证据的类型
在法庭上可以使用的证据有三种,实物证据,文档证据以及言辞证据,每一种证据都有稍许不同的额外可接纳要求
实物证据:也被称为客观证据,包括那些可能会被带上法庭的物品。计算机犯罪中,实物证据可以包括没收的计算机设备,如带有指纹的键盘,或者黑客计算机的键盘。
文档证据:包括所有带上法庭用于证明事实的书面内容。这种证据类型也必须经过验证。
下列两种额外的证据规则被特别应用于文档证据:
最佳证据规则声明:原始证据副本或说明(被称为次要证据)不会被接受为证据
口头证据规则声明:当双方的协议以书面形式记载下来时,书面文档被假设包含所有协议条款,并且口头协议不可修改书面协议。
如果文档证据满足必要,有作证能力以及关联要求,并且符合最佳证据和口头证据规则,就可能被法庭采纳。
证据链:
像所有类型的证据一样,实物证据必须在提交法庭之前满足关联、必要和有作证能力的要求。此外,实物证据必须经过验证。
处理证据的每个人都必须签署监管日志链,以表明直接负责处理证据的时间以及交予监管链中的下一个人的时间。
言辞证据:言辞证据十分简单,是包括证人证词的证据,证词既可以是法庭上的口头证词,也可以是记录下来的书面证词。言辞证据不得是所谓的传闻证据,证人不可能证实其他人在法庭外告诉他的内容。
证据收集和司法取证
收集数字证据是一个复杂的过程,应由专业司法技术人员进行
介质分析:介质分析师计算机取证分析的一个分支,涉及识别和提取存储介质中的信息。
介质包括:磁介质、光学介质,存储器,用于介质分析的技术可能包括从物理磁盘的未分配扇区恢复已删除文件。对连接到计算机系统的存储介质的活动分析,以及对存储介质的取证镜像的静态分析。
网络取证分析:调查人员常对发生在网络上的安全事件感兴趣,由于网络数据的波动性,事件很难重建,除非是在事件发生时有意记录,否则事件记录并不会被保存。
网络取证分析师的任务是收集不同来源的信息,并将他们关联起来,然后完成一份尽可能全面的网络构图
软件分析:网络取证分析是也会对软件及其活动进行检查,某些情况下,当内部人员被怀疑时,网络取证分析师可能会要求对软件代码进行审查,以寻求后门,逻辑炸弹或其它漏洞,
硬件/嵌入式设备分析:网络取证分析师还要对硬件和嵌入式设备中的内容进行分析,
调查过程
当启动计算机安全调查时,首先应召集一只有能力的分析师团队,以协助调查,该团队应该根据组织现有的事件响应策略进行操作,同时应给予该团队一份章程手册。
收集证据
通常,没收设备,软件或者数据进行适当的调查没收证据的方式很重要,没收证据必须以适当方式进行,有三种基本选择:
第一、拥有证据的人可能自愿上交,但是很少有犯罪的当事人交出不利于他们的证据
第二、可让法院发出传票或法庭命令,迫使个人或者组织交出证据,然后由执法部门送达传票
第三、是搜查令,只有当你必须获得证据又不想惊动证据所有者或者其他人时,才可使用此选项
在调查期间所有新员工签署协议同意搜索和获取任何必要证据是常见的。可将同意提供作为雇佣协议的一个条款。
1、请求执法
在调查中首先要做出判断是:是否请求执法机构介入,这实际上是一个相当复杂的决定,应当涉及资深管理官员。
2、实施调查
如果选择不请求执法机构的协助,那么应当遵守合理的调查原则,以确保调查的准确和公平:
永远不要对破坏的实际系统实施调查,
永远不要试图反击并对犯罪进行报复。
如有疑问,最好向专家求助,如果不希望执法机构介入,就联系在计算机安全调查领域具有丰富经验的私人调查公司
3、约谈个人
事故调查期间,有必要与可能掌握相关信息的人员进行谈话。如果只是为了获取有助于调查的信息,那么这种谈话被称为约谈,如果怀疑某人涉嫌犯罪并希望收集在法庭上可用的证据,那么这种谈话被称为审问。
4、事故数据的完整性和保存
无论证据的说服力如何,如果在证据收集的过程中发生变更,就会被法院驳回,一定要确保维护所有证据的完整性,在进行数据收集前要了解什么是数据的完整性。
报告和记录调查
你所进行的每一项调查都应该提交一份最终报告,记录调查的目标,程序,收集的证据以及调查的最终结果,报告的正式程度将根据组织的政策和程序以及调查的性质而有所不同。
准备正式文件非常重要,因为它为升级和潜在的法律行动奠定了基础。
计算机犯罪的主要类别
攻击计算机系统有很多种方式,攻击计算机系统的动机也有很多种,
军事和情报攻击、商业攻击、财务攻击、恐怖攻击、恶意攻击、兴奋攻击
1、军事和情报攻击
主要用于从执法机关或者军事和技术研究机构获得秘密和受限的信息。这些信息的暴露可能使研究泄密,中断军事计划甚至威胁国际安全,收集军事信息或其他敏感信息的攻击常是其他更具破坏性攻击的前兆
2、商业攻击
商业攻击专门非法获取公司的机密信息。这种信息对公司经营非常关键,或者一旦泄露便可能损害公司的形象。
3、财务攻击
财务攻击用于非法获得钱财和服务,这是人们经常在新闻中听到的计算机犯罪类型。
4、恐怖攻击
恐怖攻击实际上存在于社会的很多领域,对信息系统的日益增长的依赖是的信息系统对于恐怖分子越来越具有吸引力。计算机恐怖攻击的目的可能是控制电厂,通信或造成电力中断。很多这样的控制和管理系统都是计算机化的,容易受到恐怖分子的攻击。
5、恶意攻击
恶意攻击可对组织或者个人造成破坏,破坏可能是信息的丢失或者信息处理能力的丧失,也可能是组织或者个人名誉受损。
安全策略应当解决心怀不满的员工可能发起的潜在攻击,例如:员工一旦被解雇,就应该立即终止这名员工所有的系统访问权限,这将大大降低恶意攻击的可能性,删除当前未使用的账户,以免他们会用在未来的攻击中,认真应对系统漏洞进行监控和评估,是应对大多数恶意攻击的最佳措施
7、兴奋攻击
兴奋攻击通常由菜鸟发起,缺乏自己设计攻击能力的攻击者通常智慧下载一些程序进行攻击。这些攻击者通常被称为脚本小子,因为他们智慧使用其他人的程序或者脚本发起攻击。
道德规范
ISC的道德规范
包含一个序言和4条标准的简单准则
到的规范的序言:
1、社会安全和福利、公益、对委托人的责任,以及要遵守的其他要求,还有需要去遵守的要求,这些是要遵守的行为的最高道德标准
2、因此,严格遵守这些标准是认证考试的要求
道德规范的标准
保护社会、公益、必须的公信与自信、保护基础设施
行为得体、诚实、公正、负责和遵守法律
为委托人提供尽职的、胜任的服务
发展和保护职业
道德规范和互联网
下列行为不道德
试图获得为授权访问Internet资源的权利
破坏Internet的正常使用
通过这些行为耗费资源
破坏以计算机为基础的信息的完整性
危害用户的隐私权
计算机道德规范十条戒律
1、不准使用计算机危害他人。
不准妨碍他人的计算机工作
不准窥探他人的计算机文件
不准使用计算机进行偷盗
不准使用计算机作伪证
不准私自复制未付费的专用软件
不准在未被授权或未适当补偿的情况下使用他人的计算机资源
不准盗用他人的知识产品
必须考虑编写程序或所涉及系统的社会后果
必须总是以确保关心和尊重同事的方式使用计算机
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
