CISSP官方教材最完备精华笔记 卫剑钒 本笔记遵循CC协议,署名-非商业性使用-相同方式共享 说明 本PPT是作者在对OSG书第7版的精华摘取和总结提炼。 精华涵盖了OSG书所有值得了解和记忆的知识点。 通过该精华笔记,以及OSG练习题,我一次性顺利通过CISSP考试。 本人公众号:微月人话 本人微信:weijianfan 说明 本笔记绝大多数内容,主要来自OSG书。 少部分内容来自AIO。 更少部分内容来自本人查看其他资料后的理解和整理。 本笔记涵盖的知识点,应考已经比较充分。 但考题中的确有OSG和AIO中都没有的东西。 PPT标注OSGT的,表明知识点来自OSG题,是OSG书中没有的。 部分内容会反复出现,原因是OSG中即是如此,本PPT忠于原书结构。 领域1-安全和风险管理 第1章 通过原则和策略的安全治理 1、常见的机密性保护措施:加密、流量填充、访问控制、身份认证、数 据分类、人员培训。 2、如果缺乏完整性,机密性也无法被维护。 3、机密性的相关概念还有:敏感性、自主性(自主决策是否披露信息)、 隐蔽性(concealment)是覆盖、混淆、干扰;隐藏性(seclusion)是把 信息放在一个偏僻的位置;隔离性。 4、完整性:应该禁止未授权的修改操作,禁止授权了的主体执行了未授 权的修改操作,比如操作失误(删文件、更改配置、脚本错误)其实是 破坏了完整性,虽然授权了,但做了未授权的事。 5、完整性保护应该让客体内外保持一致,破坏完整性的事:病毒、逻辑 炸弹、漏洞、后门等等。要对各种活动进行记录,这样可以对完整性进 行监控。 5、完整性保护应该让客体内外保持一致,破坏完整性的事:病毒、逻辑 炸弹、漏洞、后门等等。要对各种活动进行记录,这样可以对完整性进 行监控。 6、保护完整性措施:访问控制、身份认证、入侵检测、加密(让他不好 改)、散列、接口限制、人员培训。 7、可用性:对可用性的破坏事件(不当行为或者失误):意外删除文件, 资源分配不足,软硬件使用过度、客体分类不对或贴错标签(贴错了, 所以不可用)。 8、任何用户(包括管理员)的不当行为都可能破坏可用性,比如:对安 全策略的疏忽,对安全控制的配置不正确。 9、缺乏完整性和机密性,就无法维护可用性。 10、身份标识同时开启了可问责性。 11、什么是3A:认证、授权、可问责性(审计)。但实际上它指的是 5 个元素:身份识别、身份认证、授权、审计和可问责性。 12、只有支持可问责性,才能够正确实施组织的安全策略。(前提是认 证、日志等等都是准确的,不能只是简单的口令认证,有相应的通知和 警告、证据确凿,要让法庭相信你的证据) 13、不可否认性是可问责性不可缺少的部分。(通过数字证书、会话ID、 事务日志、访问控制机制等等建立) 14、审计或监控(monitoring)是实施可问责性的程序化方式。 15、审计不仅记录主体及其客体的活动,而且还记录核心系统的活动。 比如系统崩溃可能表明存在bug或入侵企图。 16、日志文件为重建事件、入侵和系统故障的历史提供了审计踪迹 (audit trails)。 17、信息安全保护方法: 分层(连续分层/深度防御/多个实体防御) 抽象(分类管理) 数据隐藏(data hiding/访问控制) 加密 18、顾名思义,数据隐藏(data hiding)通过将数据置于主体不可访问或 无法看到的存储空间,从而防止主体发现或访问数据。比如: 不让未授权的访问者访问数据库; 限制分类级别较低的主体访问级别较高的数据也属于这种情况; 阻止应用程序直接访问硬件。 在安全控制和程序设计中,数据隐藏通常是一个关键要素。 19、安全是商业运行问题,是组织流程,而不只是 IT 怪才在幕后所谋之 事。使用安全治理这个术语就是为了强调这一点,这意味着安全是需要 整个组织同时进行管理和控制的,而不只是在 IT 部门。 20、安全管理计划(planning)目的是确保安全策略的适当创建、实现和 实施。 20、安全管理计划将安全功能和组织战略、目标、任务、愿景相结合, 它采用自上而下的方法,上层制定策略,中层制定标准、基准、指导方 针和程序,底层也即操作层实现配置,用户遵守策略。(安全管理计划 可以理解为安全规划、安全计划。) 21、安全管理计划必须要得到高级管理者(senior manager,也即单位领 导)的批准。否则就不易成功。 22、开发和实现安全策略,证明高层对安全问题实现了due care和due diligence,减少他们的过失和责任。 23、安全管理是一个业务运行问题,而不是一个IT管理问题,安全管理 团队应该独立于其他所有部门,团队由CSO(首席安全官)领导,CSO直 接向高层汇报,增加自主权,避免权力斗争。 24、战略计划可以5年,战术计划可以1年,操作计划是短期的(经常更 新,培训计划、系统部署计划)。 25、安全治理由治理委员会或至少董事会进行,这群人应该是有影响力 的专家。 26、变更管理的目标是确保任何变更都不能降低或危及安全性。而且能 回滚。 变更管理是涉及软硬件所有生命周期的,并更总是处于控制之下。 27、变更操作需要测试,变更前要通知用户,变更的影响要加以分析, 变更要经过变更审批委员会CAB批准 28、数据分类的7个步骤:明确职责,明确标准,分类加标签,记录例外 并加入评估标准,选择安全控制,指定解除分类过程,制定流程让大家 都知道。 29、绝密(top secret)、秘密(secret)、机密(confidential)、非机密 (unclassified),如果泄露分别对应grave 、critical、serious damage。所 有分类的信息都免受信息自由法案限制。 30、商业/私营部门的分类有三种:机密/专有数据(confidential/ proprietary)、隐私(private,偏个人)、敏感(泄漏后对公司有负面影 响)、公开。 31、proprietary data是公司的专有数据,泄漏后会对组织的竞争力产生灾 难性后果(drastic effects )。 32、决策都是高层管理者作出的,安全专家在本质上是工程师,能制定 和实现安全策略,能设计和实现安全解决方案。 33、数据所有者(owner)负责对信息分类,一般会将数据管理的任务委 派给数据管理员(custodian),数据管理员负责CIA保护,备份、存储、 确认完整性、部署安全解决方案。 34、审计人员的角色可以分配给安全专家和受过培训的用户。 35、COBIT(Control objectives for Information and related technology)信 息及相关技术控制目标,定义了用于正确管理IT并确保IT满足业务需求的 控制目标。五个原则: 1、满足利益相关者需求 2、端到端覆盖(全面覆盖所有流程和职能) 3、单一集成框架(红绿灯) 4、整体方法(把公司当一个整体来考虑,不能头痛医头) 5、把治理从管理中分离出来。 36、COSO(Committee of Sponsoring organizations )是企业治理模型, COSO更多面向战略层面,COBIT则更关注操作层面。 Cobit是满足众多COSO目标的一种方式。 37、ISO27002取代了ISO 17799 39、安全策略的类型: 规章式的(regulatory,必须遵守的规章制度) 建议式的(讨论可接受的行为和活动以及违背的后果,大多是建议性 的) 信息式的(比如有的文档仅仅告知了安全目标、安全需求) 40、安全策略不针对特定个体,而是针对角色。可接受的使用策略 (acceptable use policy,AUP)定义了可接受的行为和期望的行为,不遵 循的话会受到惩罚。 42、标准为硬件、软件、技术和安全控制方法定义了统一协调的强制性 要求。标准是战术文档,定义了达到安全策略的步骤或方法。 43、基准(baselines)定义了安全性的最低级别。没有达到基准应该排 除在生产系统之外。 44、指南(guidelines)提供了如何实现标准和基准的建议。并且能够作 为专家和用户的操作指南。是非强制性的。 45、安全程序(procedures)是step by step的How-to。主要是保障业务流 程的完整性。 46、策略在顶端,然后是标准,基线,指南,最底层的是程序。 47、威胁建模这个行为是主动(proactive)的,但一旦部署实施,就成 为被动(reactive)措施。 48、微软SDL的SD3+C:secure by Design、Default、Deployment and Communication。 49、并不是所有的威胁都可以在设计阶段(这是主动的威胁建模)发现, 还是需要被动式的威胁建模(渗透测试,代码审查、模糊测试等),然 后再打补丁,被动方法看似捷径,但从成本上和有效性上讲,不如主动 式。 50、识别威胁的结构化方法(以下一种或多种): 关注资产(资产估值)、 关注攻击者(识别攻击者及其代表的威胁,但可能会有新的威胁)、 关注软件(关注开发编码带来的威胁) 51、微软的STRIDE威胁分类:Spoofing(欺骗)、Tampering(篡改)、 Repudiation、Information disclosure(如代码注释信息、调试信息泄漏)、 DoS(永久DOS能破坏数据和固件)、Elevation。 52、威胁建模的分解(reduction)分析的5个关键点:信任边界、数据流 路径、输入点、特权操作、安全立场(安全策略、安全基础、安全假设) 53、威胁排序:三种方法:概率*潜在损失 ;高/中/低;DREAD系统 概率*损失,都是从1到10排序,1是最低,10是最高。结果从1到100, 100是最严重的风险。 高中低、高级别的要立刻解决,中级别的最终也要解决但不用那么 急,低优先级的要评估一下,如果成本太高威胁很小,也可以不解决。 DREAD系统:对每种威胁回答5个问题:潜在破坏(Damage potential)、再现性(Reproducibility)、可利用性(Exploitability)、受 影响用户(Affected user)、可发现行(Discoverability)(攻击者发现弱 点有多难?),对这些问题的回答标注H/M/L或3/2/1,即可得到一个威 胁优先级表。 54、把安全风险考虑到采购策略中:外部实体要在他们的业务操作中体 现出安全性意识。 第2章 人员安全和风险管理概念 1、在任何安全解决方案中,人都是最薄弱的环节。 2、职责分离可以看作是最小特权原则(知所必需)的应用,阻止一个人 搞破坏的能力,也能够防止共谋(两人或多人共同完成的负面活动); 比如数据库、防火墙、用户账户、文件管理、网络管理都由不同的管理 员来负责。 3、岗位轮换:可以提供知识冗余,避免员工不在岗导致的停工或效率降 低;一个人在特定岗位时间越长,特权可能越来越多,岗位轮换可以减 少伪造、偷窃、阴谋破坏和信息滥用的风险,如果滥用,很容易被另一 位了解该工作的员工发现。 4、工作描述很重要,不仅仅在签雇佣协议时使用,还应该在组织的整个 生命周期内维护,有助于职责分离,有助于审计(可以在强制休假时开 展)。要定期审计工作描述,查看相对应的工作描述和特权和实际工作 的偏差。 5、一个工作描述的职责和另一个工作描述的职责要尽可能不覆盖 (overlap),不能出现偏移和侵占(drift or encroach)的情况。 6、雇佣员工时的背景调查包括:获得候选人的工作和教育历史记录;检 查证明材料;与候选人的同事、邻居和朋友进行会面;向公安局和政府 机关调查候选人的拘捕或违法活动记录;通过指纹、驾驶执照和出生证 明来认证身份;面试。此外还可以采用测谎仪、药检、性格测试/评估等 形式。 7、很多组织对申请人进行在线背景调查和社交网络账户复审,如果一个 潜在的员工在社交网站发送不适当的材料,就会减分。通过查看一个人 的网络身份,很快收集到这个人的态度、智力、忠诚、常识、勤奋、诚 实、尊重、坚定性、遵守社会准则以及企业文化等方面的大致情况。 8、雇佣新员工时,应该签署雇佣协议。协议文档说明了组织的规则和限 制、安全策略、可接受的使用和行为准则、详细的工作描述、破坏活动 及其后果、要求员工胜任工作所需的时间。其中,很多条目都是独立的 文档。 9、除了雇佣协议,还有一个保密协议(NDA,NonDisclosure Agrement), 还有个竞业禁止协议(NCA,NonCompete Agreement),但在法庭上, 如果NCA妨碍员工获得适当的收入,则NCA无效,但这个诉讼威胁和可能 漫长的官司足够吓人。 10、解雇员工要用不公开和尊重人的方式,终止合同时要有一名证人 (高层管理者或者安保人员)在场。然后被护送离开建筑物,回办公座 位收拾个人物品的时候也要有安保陪同。要交还各种证件和卡片(包括 停车证)。通知解雇前或者解雇谈话的同时就禁用或冻结账号。 11、通知所有安全人员和监控出入口的人员,被解雇的员工只能在安全 人员的护送下再次进入工作场所。要提醒被解雇员工NDA协议,安排新 员工进驻工位,允许此解雇信息给媒体。 12、使用任何类型的第三方服务时,SLA都很重要,约定各种指标(系统 运行时间、最长停机时间、最大负载、平均负载、故障响应、故障转移 (failover)时间),包括财务和合同补救措施。这是降低风险 (reduction)或回避风险(avoidance)的重要部分。明确期望和惩罚。 13、隐私主要是指那些能定位到主体的信息,未授权访问个人机密信息 是不允许的,被未同意或未知晓的监控、检查也是不允许的。 14、PII(personal Identifiable information,个人身份信息)就是能让人追 溯到源头的人或涉及人的数据项(电话号码、邮件地址、名字等等), 但MAC和IP这些不是PII。 15、HIPAA、2002年的萨班斯法案(SOX)、PCI-DSS对隐私都有要求,必 须要在组织的安全策略中有个说法。 16、安全治理、企业治理、IT治理的目标都是维持业务流程并追求增长 和弹性。 17、第三方治理一般由法规和标准做管理要求,由外部人员(被管理组 织(比如银监会)指定的审计人员或自己找的顾问)实施的治理,重点 是验证合规性。要开放全面的文档交换。 18、风险管理的目的是把风险降低到一个可以接受的级别。 19、风险分析包括:分析环境中的风险,评估风险发生的可能性和造成 的损失,对资产进行评估,并做优先级分类,评估风险对策的成本,制 作报告提交上级管理者。 20、威胁(Threats) 就是可能会带来不良后果的事情(occurrence); 21、威胁主体(agent)可能是人(黑客、员工、误操作)、软硬件(病 毒、bug、设备故障)、网络、自然界。 22、脆弱性(Vulnerability )是客体中的弱点或者措施的缺乏。 23、威胁事件(event)是脆弱性的意外或有意利用:火灾、地震、系统 故障、人为错误。 24、暴露(exposure)描述了一资产损失的种可能性,当存在脆弱性, 又存在能利用这种脆弱性的威胁,威胁事件就可能发生。(其实就是风 险) 26、安全的目标就是消除脆弱性、阻碍(block)威胁。防护措施 (safeguard, or countermeasure)就是消除脆弱性和防范威胁的。 27、攻击就是威胁主体对脆弱性的利用。 28、破坏(breach)就是安全机制被绕过的事情。 当攻击和破坏结合时, 就会发生渗透。 29、风险评估和分析应该由团队来做,人员要尽可能多样性,有助于彻 底识别威胁和风险。通常是请人来做。 30、风险评估是上层管理者的事,评估结果和决策要得到他们的理解和 批准,表明他们应尽关注。上层管理者得决定哪些风险可以接受哪些不 能接受。 31、定量的风险是定位到美元的。定性的是主观的和无形的价值。纯粹 的定量是不可能的,大多数使用混合的风险评估方法。 32、定量风险分析的6个步骤: 1.列出资产清单和分配资产价值 AV 2.研究每项资产,生成威胁列表,计算暴露因子EF、计算单一损失期望 SLE (exposure factor single loss expectancy) SLE= EF*AV 3.计算年发生率ARO (annualized rate of occurrance) 4.计算年度损失期望ALE ALE=ARO*SLE 5.研究每个威胁的对策,再计算ARO和ALE EF可能不变,因为对策失效后EF可能不变,ARO一般都会降低 6.针对每个资产分析每个对策成本/效益分析 (cost/benefit) 比如:资产的价值是 200000 美元,并且针对特定威胁的 EF 为 45%, 那么这个资产的威胁的 SLE 就是 90000 美元。 33、使用防护措施前ALE1-防护后ALE2-防护措施年度成本ACS(annual cost of safeguard)= 价值 ALE1-ALE2-ACS > 0 ? 如果为负就不用保护。 34、成本/效益分析是非常重要的因素,但并非唯一因素。高级管理部 门的人员甚至 IT 职员,应当负责通过获取数据和信息来确定最佳的安全 决策。其他因素包括:实际成本、安全预算、措施与现有系统的兼容性、 IT职员的技能/知识水平、产品的可用性、政治问题、合作关系、市场趋 势、流行趋势、市场推广、合同和偏爱。 35、定性分析采用场景(scenarios)方法,场景是对单个主要威胁的书 面描述。描述的重心集中在威胁是如何产生的及其对组织、IT 基础设施 和特定的资产会产生什么影响。 36、定性分析采用很多种技术,比如自由讨论、Delphi 技术、故事板 Storyboarding、焦点组Focus groups 、调查问卷、Checklist、一对一的会 议、面谈。 37、Delphi技术,是一种简单的匿名反馈过程,反复直到达成一致意见。 38、风险分析的结果包括: 所有资产的完整且详细的评估; 所有威胁和风险、发生概率以及一旦发生的损失范围的详细列表。 针对每个威胁的防护措施列表,标明其有效性和ALE。 每个防护措施的成本/效益分析。 39、对待风险的方法: 降低reduce or mitigate,也是潜在的规避avoidance,删除FTP协议,搬 家防飓风 转让assign or transfer 购买保险、外包 接受accept 这种情况要“书面签字”,谁决策谁签字谁负责,是否接 受依据风险容忍和风险偏好 拒绝reject or ignore 这是一种未尽due care的做法 实现了对策以后,仍然存在的风险是剩余风险。(尤其是选择了接受 风险而不加保护的风险) 40、总风险(威胁*脆弱性*资产价值 = ARO*EF*AV)- 控制间隙 = 剩余 风险 41、对策(countermeasure),对策成本应该小于对策的收益;应该让 攻击者的成本大于成功后的收益; 42、对策不应该基于“security by obscurity”,对策应该提供fail-safe(考 虑人员安全) and/or fail-secure(考虑仍然保持安全)选项。 43、深度防御的最外层是物理性控制,然后是逻辑/技术控制,然后是行 政管理控制,最核心要保护的是资产。(物防、技防、人防) 44、控制的类型有 威慑(deterrent,安全培训、安全标识、保安) 预防(preventive,围墙、锁、加密、IPS) block 检测(detective,工作轮换、蜜罐、IDS) 补偿(compensating,附加的或增强的安全措施,比如用传输加密增强 安全性,比如没有智能卡的时候先用令牌) 纠正(corrective,重启、删除病毒等将系统还原的方法)、纠正是还 原系统的操作 恢复(recovery,备份和恢复、容错、集群)要恢复的是业务,是冗余 措施的作用体现 指令(疏散路线、监督、培训、安全策略要求,强制或鼓励主体遵循 安全策略) 45、NIST的风险管理框架RMF:六个步骤:1、分类信息系统;2、选择 安全控制;3、实施安全控制;4、评估安全控制;5、授权信息系统;6、 监控安全控制;然后,如有必要,重复。 46、风险分析的最后一项关键任务就是风险报告,并需要呈现给利益相 关方。 47、安全意识在整个组织上建立起对安全的理解的共同的基线和基础。 需要不断培训,需要不断更新。 48、为了管理安全功能,必须采取安全治理,执行风险评估以驱动安全 策略的实施是最明显、最直接的安全功能管理的例子。 49、安全必须可度量(measurable),可度量的安全意味着安全机制功 能的多个方面能提供明确收益,需要测量很多指标,来观察安全措施带 来的收益。 第3章 业务连续性计划(BCP) 业务连续性计划(Business Continuity Planning, BCP)涉及对组织各种过 程的风险评估,还有在发生风险的情况下为了使风险对组织的影响降至 最小程度而制定的各种策略、计划和措施。 1、BCP涉及风险评估以及发生风险时而制定的各种策略、计划和措施。 2、BCP关注在基础设施和资源减少及受限的情况下,维持关键工作任务 的能力的持续性,如果BCP失败,连续性受到破坏,则进入灾难模式,将 采用灾难恢复计划DRP。 BCP和DRP首先考虑的都是人。 3、BCP的4个主要步骤: 1、项目范围和计划编制; 2、业务影响评估BIA; 3、连续性计划(包括批准和实施); 4、文档化。 (一)项目范围和计划编制方面: 先由先头部队做业务组织分析(确定关键组织和人),然后创建 BCP团队(一堆人,领导协调),然后评估可用资源、分析法律法规。 (1)业务组织分析;由先头部队完成,主要是确定参与BCP编制的部门 及人员。此时BCP团队尚未组建。 分析的内容:对业务组织进行分析,确认哪些部门和哪些人,对BCP过 程是至关重要的(stake), 结果:负责关键业务的运营部门、IT部门以及其他保障工厂、站点的维 护部门、操作部门、保养部门、高层、非常重要的关键个人 这个分析结果可以帮助选择BCP团队,而BCP团队一成立,第一件事就 是审查并修正这个分析结果。 (2)组建BCP团队;这个团队里包括核心业务部门代表、重要支持部门 (上一阶段分析发现的)的代表、IT代表、懂BCP的安全代表、法律代表、 高层代表,人才要多样化,关系要协调。都认为自己部门和业务重要, 这时候就需要平衡,需要领导来协调。而且注意领导在应急计划中应该 有due diligence的活。 (3)评估可用资源;团队需要资源来实施4个步骤,BCP的测试、维护、 培训都需要人、软硬件。灾难来袭时,BCP实现需要大量的资源,包含大 量的人力。 (4)法律和法规分析;各种法律和法规对应急情况下的持续运营都提出 了要求。而且要考虑是否违反了对别人提供服务的SLA。所以要法律顾问 进来是非常重要的,而且要全程参与,包括测试和维护阶段。这里的合 规还包含了业务领导的尽职问题。 注意一点:在许多组织中,IT和/或安全部门]被指定对业务连续性计划负 有专门的责任。运营部门和其他支持部门在计划编制过程中没有发言权, 甚至都不知道它的存在,直至灾难发生或即将来临。这是一个致命的缺 陷!所以一定要组建一个BCP团队。 (二)业务影响评估(BIA,business impact assessment) BIA确定业务优先级,确定MTD、RTO,识别对这些业务资源的风险 (定性分析),威胁的可能性(ARO)、可能的影响(确定ALE),最后 将定量分析和定性分析结合起来确定资源分配的优先级。 BIA提供一些定量化的方法用于确定要保护资源的优先级;定量决策: 适用数字和公式作出决定,用美元表示。定性决策:考虑情感、信心、 员工稳定性以及其他,用高中低之类的方法表示。 (1)确定业务优先级。第一个BIA任务是确定业务优先级,并且按重要 性排序。开会讨论重要性。为了定量分析,应该列出组织资产清单,并 且给出每个资产的AV以备后用;为每个业务确定一个最大允许中断时间 (MTD/MTO,maximum tolerable downtime/maximum tolerable outage),然后确定恢复时间目标RTO。RTO要小于MTD。 (2)风险识别。这个部分其实是纯粹的定性分析,只是识别一下。可能 性和损害都先不考虑。另外别忘了云服务商的影响,可以派一个人去看, 也可以查看供应商雇佣的审计事务所出具的评估报告,SOC-1(服务组织 控制)报告主要针对财务,如果想核查安全、隐私、可用性,要看SOC-2、 SOC-3,美国会计师协会(AICPA)建立和维护这些报告的标准。 (3)可能性评估。主要是确定ARO。 (4)影响评估。尝试确定每种风险对业务产生的影响,要确定EF、SLE、 ALE。暴露因子是指,一次大火会造成70%的建筑物被损坏,那么暴露因 子就是70%。 (5)确定业务连续性资源分配的优先级。其实就是优先解决哪些风险, 主要根据风险的定量分析和定性分析结合起来分析,这可是个技巧。你 必要与BCP团队和代码表高级管理层的人员坐在一起,将定量和定性两个 列表合并成一个优先级列表。一家防火公司肯定要把火灾的风险排在高 优先级,要不然太没面子。 (三)连续性计划(不仅仅是编制计划,其实里面包括了实现) 这个阶段专注于连续性策略开发(结果就是根据BIA决策是否接受一些 风险、风险缓解措施)、计划制定,主要是设计预备和处理(预备人、 建筑物、基础设施,强化它们、冗余它们),计划批准、计划实现、培 训教育。最后是维护。 (1)策略开发。策略开发为BIA和连续性计划之间架起桥梁,BCP团队根 据定量和定性的资源优先级确定事项优先列表,参考MTD并确定处理或 接受哪些风险。比如埃及不考虑暴风雪风险。 (2)预备和处理(provisions and processes),预备和处理是整个业务连 续性方案的重要部分。在这个任务中,BCP 团队设计了具体的过程和机 制,将在策略开发阶段缓解被认为不可接受的风险。下列三种资产类型 必须通过预备和处理来保护:人、建筑物/设施、基础设施。人是最有 价值的资产,人的安全要优先于商业目标。要考虑灾难时的食宿和办公 环境。 1、必须确保组织内部的人在紧急事件发生前、发生期间和发生后都是 安全的。一旦达到这些目标,你就要提供provisions允许员工处理他们的 BCP 和操作任务。 2、对于建筑物和设施,要强化(harden)现有设施(办公设备、制造 车间、操作中心、仓库、维修站等),要能够抵御策略开发阶段定义的 风险。比如像修补漏屋顶这种简单的,也可能像安装飓风遮蔽物和防火 墙一样复杂。 3、在不可能强化设施的时候,需要明确灾难时能提供的备选站 (Alternative site)。这时候涉及到灾难恢复了。 4、对于基础设施(服务器、网络等),要物理强化系统(Physically Hardening Systems ,如防火、UPS),也要提供冗余的预备系统 (Alternative Systems) 。哪些是基础设施?服务器、工作站和各站点之 间的通信连接。BCP 必须说明如何保护这些系统,从而抵御策略开发阶 段所确定的风险。 5、基础设施组件还包括运输系统、电网、金融系统、供水系统等。 (3)计划批准。资深管理人员的批准和参与是整个BCP工作成功的关键。 如果可能,让董事长、CEO之类的领导批准。 (4)计划实现。一旦得到高级管理层的批准,就应当推动并开始实现计 划。BCP 团队应该共同开发一个实现计划,这个计划利用特定的资源, 从而尽可能迅速地实现“预备和处理”的目标。在完全部署所有这些资 源之后,BCP 团队应当监督恰当的 BCP 维护程序。 (5)培训和教育。计划直接和间接涉及的所有人都应当接受培训,了解 整个计划和个人职责。候补人员(B角)也要接受培训。 (四)BCP文档化 你的BCP方法论都要记录在纸上,提供历史记录,助于理解,助 于发现缺陷,助于参考。 (1)目标:在第一次BCP团队会议或会议之前就决定,比如连续工作, 连续停机不能超过15分钟等等。 (2)重要性声明:通常是一封信,发给员工,表明BCP的重要性(消耗 大量资源),由高管签发。通常由CEO 或类似级别领导来签名,这样就 会在组织内有很大的影响和执行力。 (3)优先级声明:指的是业务优先级,要声明这是BCP的产物并仅仅体 现紧急情况下所反映的业务操作连续性的重要性,否则引争端。 (4)组织职责声明:可能并入重要性声明中,反映了“业务连续性是所 有人的职责”,也来自高管。 (5)紧急和时间声明(The statement of urgency and timing ):声明了 BCP实现的重要性,概述了实现BCP的时间表,这由BCP团队决定,上层 同意。 (时间表通常应该单列在一个文档中,或者和这个紧急声明在一起。) (6)风险评估:包括AV、EF、ARO、SLE、ALE等,要定期更新。 (7)可接受的风险/风险缓解。包含策略开发部分的结果,描述所有风 险,并对可接受的风险描述原因,对不可接受的描述风险缓解措施。业 务管理者要对风险接受有一个正式文档。 (8)重大记录计划(vital records program):首先要识别重大记录(非 常重要的业务记录),坐下来好好想想,把所有重大记录找出来,然后 在系统中找出它们,描述这些内容备份在哪里,以及如何恢复。“执行 重大记录计划最大的挑战之一,通常首要的是识别重大记录。” (9)应急响应指南(guideline)概述了组织和个人对于紧急事件立即响 应的职责。给所有人看,主要是让首先发现紧急事件的员工可以激活BCP 步骤,如立即响应程序(比如防火程序)、通知清单(打电话给谁)、 在等BCP团队来的时候,首先发现人员可以做的二级响应。 (10)维护:BCP团队不应该解散,而是应当定期讨论BCP、复审BCP测 试的结果;组织任务和资源如果发生了激烈变动,需要重新开始BCP。所 有旧的BCP版本都应该销毁避免混淆;将BCP内容放在工作描述中会很好。 (11)测试和演习:BCP应该有一个测试和演习(比如防火演习),这能 保证BCP是最新的,能确保所有人都接受了充分培训,从而在灾难发生时 他们可以履行职责。 第4章 法律、法规和合规性 1、在美国,政府各级别机构通过代表建立刑法(criminal law);在联邦 一级,众议员和参议院使刑法法案变成联邦的法律(在跨州案件中生 效)。所有联邦和州的法律都必须遵守宪法。 2、民法(civil law)管理不属于犯罪但需要公正的仲裁者来解决个人之 间和组织之间的纠纷。民法不会关押人,但可能会有严厉的经济处罚。 3、行政法(administrative law)以政策、规章、制度的方式管理机构的 日常运作,行政法必须遵守民法和刑法,也必须遵守宪法并接受司法审 查(judicial review)。行政法被颁布在CFR中(Code of Federal Regulations)。 4、应该学习的重要一课是:知道何时向法律专家咨询。 5、美国于1984年首先制定了计算机欺诈和滥用法案(CFAA,computer fraud and abuse act),对联邦计算机系统造成恶意损失超过1000美元的 行为,修改医疗记录的,买卖密码的,不经授权访问只能由政府使用的 计算机的,未授权访问了机密信息和财务信息的。1986年进一步修正, 金融机构使用的计算机也不能未授权访问。1994年,CFAA进一步修正。 6、1998年,制定了数字千禧年版权法案(DMCA,Digital Millennium Copyright Act),主要保护CD和DVD不被复制(对重复罪行最高100万美 元,10年徒刑)。非营利性机构(图书馆和学校)不在此列。而且为提 供互联网服务的运营商提供安全港保护。 7、无形资产被总称为知识资产(IP),随着很多公司从制造商向服务商 的转变,知识产权越来越重要,有一大堆的法律来保护所有者的权利。 四种主要类型:版权、商标权、专利权、商业秘密 8、版权(copyright):防止创作者的作品遭到未经授权的复制。(文学 /软件、音乐、戏剧、舞蹈、绘画/雕刻、电影、录音、建筑),注意 软件属于文学作品,但只保护软件的代码,不保护软件背后的思想和过 程。外观是否保护还有争议。版权保护的是构思的特定表达。 9、版权的所有权是创作者的,但员工的作品是被“租用”的(“for hire”,work for hire)。 10、版权保护时间是作者死后70年。work for hire或者匿名作品的保护时 间是第一次出版日期后95年或者制作日期后120年,取两者中短的。 11、商标(trademark):商标是单词、口号(slogan)和标志语(logo), 用于标识某家公司的产品或服务,主要是避免市场发生混乱。 12、与版权的保护一样,为了获得法律的保护,商标不需要正式注册。 如果在公众活动期间使用了商标,那么你会自动受到相关商标法的保护, 并可以使用TM符号表示想要保护作为商标的单词或口号。 13、如果想让别人正式认可,要在美国专利和商标局(USPTO,U.S. Patent and Trademark office)注册,律师会尽职的搜索排除障碍,注册需 要一年多时间,拿到证书后就可以用圈R标记。商标不能和其他商标类似, 在公示期间别人可以质疑;商标不应该带有描述性;商标准许期10年, 到期后可以再续10年。可以通过intent to use,事先注册一些并不用的商 标。 14、专利权(patent):20年的保护,在此期间发明者有独家使用发明 的权力。专利结束后,所有人可以使用,专利的三个要求:新的、有用 的、不能是obvious的。主要用于保护硬件设备和制造过程,但也有涉及 软件程序的(也就是这块没有适当的保护)。 15、商业秘密(trade secrets):版权和专利都会公开工作或发明的细节。 而且都是有限时间的保护。所以商业秘密自己想法保守,并且和授权访 问的人签署不泄漏协议NDA。源代码如果是商业秘密,不要让别人知道。 1996年颁布的经济间谍法案保护这类商业秘密。 16、许可证(license)有4种类型: 合同(contractual)许可证协议写在合同里。 收缩性薄膜(shrink-wrap)包装许可证,写在软件包装外面的协议,撕 开收缩薄膜包装就表明承认了条款。 单击通过(click-through)许可证,安装过程中要求点击一个按钮,表 示阅读过并且同意遵守。 云服务许可协议。将单机通过许可证推向极致。 17、统一计算机信息处理法案UCITA为shrink-wrap和click-through提供了法 律支持。还要求生产者为用户提供选择,在完成安装过程之前可以拒绝 协议条款,并能受到全额退款。 18、美国公民隐私权的基础是美国宪法的第四修正案:人们保护其人身、 房屋、证件(paper)和财物(effects)不受无理搜查和没收的权利不应 当违反,并且这些违反行为不应得到授权批准,但是那些可能性很大的 原因、受到誓词或证词支持的、特别描述的需要搜查的地方和需要逮捕 或扣押的人或物品除外。 19、1974年的隐私法案(privacy act of 1974),在没有得到当事人书面 同意的情况下,不能向他人或机构泄漏隐私信息。 20、1986年的电子通信隐私法案(Electronic Communication Privacy Act, ECPA)应用于监视邮件和语音,ECPA使得对蜂窝电话的监听非法。侵犯个 人的电子隐私是一种犯罪行为,禁止非授权的监视电子邮件和语音邮箱。 21、1994年的通信协助执法法案(Communication Assistance for Law Enforcement,CALEA)对ECPA修正,CALEA要求运营商允许执法人员窃听。 22、1996年的健康保险流通与责任法案HIPAA,要求医院、医师、保险公 司和其他处理个人医疗隐私信息的组织采取严格的安全措施。 23、2009年的经济和临床健康的卫生信息技术法案(Health Information Technology for Economic and Clinical Health, HITECH)修订了HIPAA。 24、2000年,儿童联机隐私保护法案(Children's Online Privacy Protection Act,COPPA)对关心孩子或有意收集孩子信息的网站提出了一系列要求, 必须发送隐私通知,清楚说明收集信息的类型和用途。必须向父母提供 机会,复查任何从他们孩子那里收集到的信息。如果孩子的年龄小于 13 岁,那么在收集信息前,父母必须对有关孩子信息的收集做出可证实的 允许。 25、2001年,USA PATRIOT爱国者法案,扩大了执法机构的能力,官方可 以一次性获取对某人的一揽子通信监听授权。 26、子女教育权利和隐私法案(Family Educational Rights and Privacy Act, FERPA),父母和学生有权检查教育机构保存的教育记录,有权要求改正 不正确的记录,或者在记录中声明没有修改的内容。学校不能不经书面 许可而发放学生记录的个人信息,某些特定的情况除外。 27、工作场所的隐私:员工在使用公司设备的时候没有隐私,公司有书 面说明告知这些,登录界面有警示。 28、PCIDSS是一个非法律但有合同义务的合规要求,一共12点:要装防 火墙、不用默认口令、保护持卡人数据、加密传输、杀毒、开发安全的 系统、限制对持卡人数据的访问、访问系统要经过标识和认证、限制物 理访问、监控访问、定期安全测试、对所有人宣传信息安全策略。 29、组织要经受合规性审计,要么通过标准的内部或外部审计,要么通 过监管及其代理。除了这些正式的审计,组织经常把合规遵从报告发送 给内部或外部股东。 领域2-资产安全 第5章 保护资产的安全 1、资产安全的第一步是对资产进行分类和标记。 2、PII除了可以识别个人的那些信息,还包括出生日期、出生地、娘家姓、 医疗信息、教育信息、金融信息、就业信息。我看简历上的大多数信息 都算。 3、组织有责任保护PII,如果遭到泄露,要通知个人。 4、PHI是个人健康有关信息,健康保险流通与责任法案(HIPAA)保护 PHI。雇主一般提供和补充医疗策略,也都会有PHI,也要保护PHI。 5、专有数据(proprietary data)指的是帮助组织保持竞争优势的数据。 代码、技术方案、流程制度、商业秘密都是。 6、政府数据分类:top secret(给国家安全带来grave damage), secret(serious damage),confidential(damage),unclassified(这类 可以通过信息自由法案(freedom of information act,FOIA来申请查阅) 7、商业分类:confidential/proprietary,private,sensitive(这个比 unclassified和public强),public 比如: 机密或专有:索尼攻击后,攻击者发布了几个电影的未发布版本。 私有:攻击者发布了索尼公司 30 000 多名员工的薪资信息,包括 17 位高管数百万美元的薪水。 敏感:攻击者发布了一份被解雇或终止合同的所有员工的电子表格。其 中包括终止的原因和每个员工终止合同的成本。他们还发布了几封电子 邮件,包括尴尬的评论。 8、组织至少应该标记(label)和加密比较敏感的邮件。比如: 公开:明文; 敏感:加密; 隐私:加密、保持加密、只能给组织内收件人; 机密:加密、保持加密,组织内收件人、只有收件人可看被转发者不 能看,只能打开不能保存,不能拷贝粘贴,不能打印。 9、发送者给邮件加分类标签的好处是,DLP可以方便帮助防护。 10、数据状态:在静止、传输以及使用过程中,都需要保护,保护数据 的最好方法是加密,此外还有身份认证和授权控制。 静止的数据可以加密; 传输的数据可以加密; 使用中的数据是指应用程序正在用的,一旦用完立刻从内存中清空。 11、管理敏感数据:标记(marking or labeling)、管理、存储、销毁、 保留。 12、标记:物理标签、红色U盘复制机密数据、水印、标题、脚注、专用 文件夹,桌面背景、警示语、对文件做技术手段的标注可以方便DLP检测。 13、例如,一些组织大量购买红色的 USB 闪存盘,员工只能把机密数据 复制到该盘上。技术安全控制中心用通用唯一识别符(UUID)来识别这 些闪存盘,进而执行安全策略。DLP 系统能阻止用户将数据拷贝到其他 USB 设备上,并且能确保当用户将数据复制到这样的设备时,数据会被 加密。 14、非保密数据也做标记的话,会显得更严谨,会防范无心的疏忽失误。 15、许多组织都禁止介质降级,与其净化数据,还不如买新的。系统也 是,一旦处理过绝密数据,就几乎不可能再标记为非机密系统。 16、存储:AES256是强大的加密。 17、物理防范措施包括将硬盘放在保险箱、保险柜、安全室内等等。任 何敏感数据的价值都大于存储介质的价值,可以买点贵的安全USB。 18、所有的消除、清除、净化过程都要小心,很可能因为人为操作失误 无法正常执行任务,消除完了一定要验证是否成功了。 19、硬盘、软盘、磁带是可以通过消磁来删除数据剩磁的。但SSD固态硬 盘没有数据消磁,所以消磁无效。而且没有什么很好的方法确保能删除 SSD上的文件,最好的方法就是粉粹成尺寸2mm以下的颗粒。 20、擦除(Erasing)就是删除操作。 消除(clearing or overwritting),就是拿字符来覆盖,比如一种方法 是将某个字节写一遍,取反再写一遍,然后随机数再写一遍。这可以防 止传统恢复工具,但实验室或取证技术仍然有可能恢复。另外磁盘的 spare、bad区域是写不到的,SSD也不一定总能消除干净。 清除(purging),多次重复的消除(clearing),并结合去磁等 方式,让设备可以再次使用,用已知方法无法恢复原有数据,但不是绝 对可靠的。美国政府不会考虑采用任何的清除方法来清除绝密数据。标 记为绝密数据的介质将始终保留最高机密,直到被摧毁。 解除分类(declassification):基本同上,在非机密的情况下,采 用清除(purge)的方法,让设备可以reuse。为了规避风险,许多企业不 解除分类任何介质。 净化(santization):是一种组合式的方式,当一台计算机被处置 时,净化确保所有的非易失性存储器已被去除或被破坏,系统在任何驱 动器中都不含CD/DVD 光盘,且内部硬盘(硬盘驱动器和 SSD)Have been purged, removed, and/or destroyed。可以破坏(destruction)也可以 不破坏介质。 消磁(degaussing):用强大磁场将磁介质(磁盘磁带软盘)的 磁场区域重新排列,仅对磁介质有效。对CD、DVD、SSD固态硬盘无效 (最好是粉碎机来破坏,粉粹到2毫米)。对磁带这样做最好,对硬盘而 言,不是很推荐,因为不确定数据是否被消除干净。 销毁(destruction):介质生命周期最后阶段,这是santization的 最安全方法。可以是焚烧、破碎、粉粹、解体、腐蚀、溶解等等。 21、当企业捐赠或出售二手电脑设备时,他们通常会remove并destroy存 储设备,而不是用purge,因为purging并不是很可靠。 22、保留资产(retaining asset):包括记录保留、介质和系统保留(硬 件保留到被净化)、人员保留(主要是保留他的知识,通过NDA不让他 泄漏)。许多组织要求保留审计日志3年或者更长。保留时间越长,成本 就越高。 23、BitLocker使用了AES,它是基于TPM(可信平台模块)的磁盘驱动器 加密。 24、微软的加密文件系统(EFS)使用AES对文件和文件夹加密。AES支持 128、192、256位。 25、美国政府同意用AES加密top secret。 26、3DES使用112位或者168位密钥。微软的Onenote用的是3DES。 27、Blowfish是Bruce Schneier开发的,密钥长度从32位到448位,Linux的 bcrypt基于Blowfish,用来加密password,bcrypt还用了128位的salt来防止 彩虹表攻击。 28、2014年,谷歌发现SSL容易受到POODLE攻击(贵宾犬攻击,针对 SSL3.0,获取通信内容),所以基本上都禁用了SSL,而使用TLS。 29、IPSec(网际安全协议)通常和L2TP结合起来做VPN。 30、L2TP本身是个位于2层的隧道协议,使用IP(使用UDP)、FR、X.25、 ATM等网络,一般承载明文。L2TP的认证只限CHAP,但一般不用此认证, 而是使用上面承载的PPP协议的认证方式完成认证(EAP、PAP、CHAP 等)。 31、L2TP(Layer 2 Tunnel Protocol)是PPTP的后续版本(集合了PPTP和 L2F(也是一种隧道协议)的优点)。对于使用IP的情况,实际上是 PPPoverIP,L2TP使用UDP1701端口。 32、可以把L2TP数据放在Ipsec里面完成数据加密,相当于L2TP是上层应 用。 Ipsec[IP[UDP[L2TP[PPP[IP]]]]]], PPP用来获得内网IP。L2TP主要用来 承载PPP。使用UDP 4500是为了方便穿越NAT。实际运用的一个例子:IP/ UDP(4500)/ESP/UDP(1701)/L2TP/PPP/IP/TCP/HTTP 33、ISAKMP:在没有NAT设备的环境中用UDP500,IKE协商的时候都用的 是UDP 500。 在有NAT设备的环境中用UDP4500。(在协商时,发现了自 己在NAT设备之后的一方立即要将协商端口从500改为4500,源和目的端 口都是4500) 35、GRE工作在IP层上,协议号47,和TCP(6)、UDP(17)、ICMP(1) 工作在同一层。 Ipsec的ESP用的是协议号50,也在这一层。GRE一般不 穿越NAT。 36、PPTP是一个隧道协议(point to point tunneling protocol ),自身不提 供认证,先通过TCP 1723端口建立隧道,然后上面跑GRE,再跑PPP。 PPTP[GRE[PPP[IP]]], 37、SSH包括安全拷贝SCP和SFTP。 38、下面对数据角色做职责定义,在NIST SP 800-18中定义。 39、数据所有者是数据的最终责任人,通常是首席执行官、总裁或者部 门主管,他们定义分类,贴标签,制定用户行为规则(AUP),向系统 所有者提出安全要求和安全控制,决定谁可以使用系统以及其权限。 40、NIST SP 800-18中定义的行为规则(rules of behavior),也即 acceptable usage policy (AUP) ,定义了个体的责任和预期行为,以及违反 的后果,个体需要定期告知他们已经了解、理解和同意。 41、系统所有者(system owner)和数据所有者可能是一人,也可能不 是一人,如不同的部门主管,确保系统中数据的安全性。和数据所有者 要沟通,通过交流确保数据在存储、传输和运行时的安全。 系统所有者的责任: 开发安全计划(Develops a system security plan):开发和信息所有者、系 统管理者、功能终端使用者相一致的系统安全计划 维持安全计划并部署运行、对用户开展安全培训,如行为规则说明 (或是 AUP)。 当系统发生重大变化时,更新系统安全计划。 协助定义、执行和评估通用安全控制。 42、业务/任务所有者(bussiness/mission owner):通常是业务部门 的,也可能和系统所有者是同一个人。举例来说,销售部门可能是业务 所有者,但是信息技术部门和软件开发部门可能是系统所有者。业务所 有者负责确保系统能够给组织提供价值。然而,信息技术部门有时会过 度热情,执行安全控制,而不考虑业务的影响或其任务。 43、组织通常执行信息技术管理方法,如信息及相关技术的控制目标 (COBIT)。这些方法帮助业务所有者和任务所有者根据业务或任务需求 平衡安全控制要求。 44、数据处理者,是为数据控制者干活的人,比如:公司作为数据控制 者将工资单制作外包出去,那这个外包公司就是数据处理者,处理者有 责任保密,不能将数据用做他用。 45、GDPR的前身是欧盟数据保护指令(The EU Data Protection Directive, DPD),限制将数据传输至欧盟以外。美国商务部(The US Department of Commerce )据此执行安全港程序。GDPR于2018年5月25日生效。 46、7条安全港原则:任何组织都要告知个人收集和使用数据的目的 (Notice);要给个人提供选择的机会(Choice);在通知和选择的基础 上才能向其他组织传输数据(Onward transfer);组织要采取安全措施 保护数据(Security);完整性:组织不能把数据用作Notice和Choice之外 的他用,应采取措施确保数据reliable。(Data integrity);个人可以使用 组织持有的信息,信息不对的话,个人能够更新和删除(Access);组 织必须执行这些原则(Emforcement)。 47、7条原则:通知、选择、向前转移、安全、完整、访问、执行。 48、数据管理员(administrators),主要是分配权限的,不一定拥有全 部特权,通常采用基于角色的访问控制模型来非配权限,也即将用户账 户添加至群组,然后授予群组权限。OSG test:有时也干数据保管员的事。 49、数据保管者(Custodians):数据所有者将每天的任务委托给保管者。 保管者协助保护数据的安全性和完整性,定期备份。这通常是信息技术 部门的人(这人也有可能是分配权限的数据管理员)。 50、基线提供了一个起点,确保最低安全标准。基线的一个例子就是操 作系统镜像(Image)。基线要周期性的检查,确保维持在安全状态。举 例:微软组策略可以周期性地检查系统,调整设定以和基准线相匹配。 51、基线可以审视和裁剪(scoping and tailoring), 审视(范围)是指只选择那些适用的控制。例如,如果一个系统不允 许任何两人在同一时间登录,就不需要应用并发会话控制。 裁剪(定制、修订)则会修改某个具体的基线控制,使其与组织使命 (mission of the organization )相适应。例如,组织可能在本地办公使用 一组基线,但可能并不适用于远程办公点电脑。在这种情况下,组织可 以调整基线,并对远程电脑采取补偿安全控制。 52、在选择基线时,要考虑外部标准和要求。不处理信用卡交易的组织 不需要遵守 PCI DSS。 53、NIST SP 800-53把安全控制做了个基线, P-1:优先级最高:是基本的安全实践。 领域3-安全工程 第6章 密码学与对称密码算法 1、凯撒密码无非就是A换成D,称为ROT3密码或C3密码(cipher),字母 替代(是一种shift cipher,也是substitution,这个属于混淆confuse)。 2、只有公钥体系才提供不可否认性。 3、data at rest怕偷窃,data in motion(on the wire)怕窃听。 3、Kerchoff原则就是算法应当公开,所有密钥应当保密。可以归纳为 “敌人知道了这个体系”(the enemy konws the system),公开后可以 暴露更多算法上的弱点。这个原则反对security through obscurity (这是 早期的思想:试图通过隐匿实现安全)。 4、cryptography (密码术)and cryptanalysis(密码分析学) are commonly referred to as cryptology.(密码学) 5、分割知识(split knowledge):将信息或权限在多个用户间分配,任 何一个人没有足够权限危害安全性。最佳示例:密钥托管(escrow), 在密钥丢失和损坏时取出备份,M of N控制,就是至少M个代理一起工 作才能取出密钥,比如3 of 8 control。 6、工作函数(work function):密码系统的强度/安全性和工作函数成 正比,攻破密码系统的工作量就是工作函数,工作函数应该和受保护资 产的值匹配,大于受保护资产的时间价值即可。 7、code和cipher不一样,编码是表示词汇和短语的符号,保密或者不保 密,比如执法机构的通信“10系统”,间谍说“鹰着陆了”。密码则是 针对单个的字符和比特。 8、换位密码(transposition)(就是位置打乱,还是那些字符。这个属 于扩散。属于Diffusion。):比如apple换成elppa,再比如柱状换位 (columnar transposition)(非常有名,但有几个固有的弱点,容易受到 密码分析人员的攻击,现代不采用),用密钥attacker(按顺序对应 17823546)对信息“thr fighters will strike the enemy bases at noon”,加密 后TETEE FWKMT IIEYN HLHAO GLTBO TSESN HRRNS ESIEA。 9、替代密码(substitution),凯撒密码就是替代密码:加密:C=(P+3) mod 26 解密:P=(C-3)mod 26; 很多替代密码更复杂,比如Vigenere密码。明文M=m1m2…,密钥 K=k1k2..kd, 密文C=c1c2....,则加密Ci=(mi+ki)mod 26,解密 Mi=(Ci-ki+n) mod 26 虽然能够防范直接的频率分析,但容易遭受二阶形式的频率分析。 10、一次一密(one time pads,一次性填充),C=(P+K)mod 26,也被称 为vernam密码(贝尔实验室发明者名字),如果运用得当,它是一个不 可破解的加密方案。关键在于随机(而不要像Soviet密钥那样,其生成方 式被美国人发现了)。而且要做好物理保护。 11、本质上,凯撒密码、vigenere、vernam,区别只在于密钥的长度,分 别是1个字符、1个词、和消息一样长。 12、滚动密钥密码(Running key ciphers),也被称为书籍密码,加密密 钥与消息本身一样长,一般从书籍中选取。 13、密码学算法,依靠两种基本的操作:混淆和扩散。混淆(confuse): 明文和密钥的关系很复杂,难以通过更改明文和查看密文来判断key,换 位(Diffusion):明文的改变会引起多处变化,“替代”引入了混 淆,“换位”引入了扩散。substitution introduces confusion and the transposition introduces diffusion,所以,有的算法,先替换,然后再换 位。 14、对称密钥算法依赖于共享的秘密,称为secret key cryptography或者 private key cryptography。注意这里private key这个术语,指的是shared private key,不要和公钥体制中的私钥搞混了。 15、对称密钥的弱点:密钥分发需要预建立好的安全通道(经常是离 线)、未实现不可否认性,可扩展性(scalable)不好,大用户组的密钥 对太多,每当成员离开用户组时,所有涉及这个成员的密钥都要抛弃。 加密速度快,比非对称的速度高1000倍到10000倍。公钥算法和对称密钥 算法的优缺点互补。 16、对称密钥通常情况下,只提供机密性。而公钥算法还可以提供完整 性(主要通过签名实现)、身份认证和不可否认性。公钥算法不需要预 先的安全链接,一开始就可以安全通信。 17、DES是1977年发布的。在2001年被AES取代。DES有5种操作模式: ECB,CBC,CFB,OFB,CTR 电子密码本(electronic codebook,ECB,安全性最差) 密码分组链接(cipher block chaining,CBC,传播错误) 密码反馈(Cipher Feedback,CFB,流密码,传播错误,加密不能并 行,解密可以并行) 输出反馈(Output FeedBack,OFB,流密码,不传播错误,加解密都不 能并行) 计数模式(Counter,CTR,不传播错误,适合并行计算) 18、DES每次处理64位的明文,使用密钥的长度是56位(另外8位是奇偶 信息)。使用16轮加密,都是通过XOR完成的。 19、ECB的安全性最差,因为相同的明文分组会加密产生相同的密文。这 样时间长了,就会把所有的可能记录下来查字典破译。ECB模式仅仅适用 于很少量的数据加密。 20、CBC模式,每个分组在加密前,先和前一个密文分组异或。解密后也 和前一密文再异或。CBC还有一个IV,它是和第一个分组异或的。 21、IV要发给接收方,可以明文放在密文最前面,也可以用ECB保护。 CBC模式要考虑错误传播,一个分组在传输中被破坏,会影响下一个分组。 加密不可并行,解密可以并行。 22、CFB模式,是流密码形式的CBC,对IV或前一块密文加密后产生密钥, 直接和本块明文异或产生本块密文。(每次加密可以是8位(取前8位即 可),也可以是64位)。 之所以称为流密码,关键在于它的加密方式 为“异或”。 23、OFB模式,也是流密码,但并不是像CFB那样将密文加密产生密钥, 而是将前一块的流密钥加密后产生本块的流密钥。这种方式不传播错误, OFB的加密和解密都不能并行。 24、计数模式,使用简单计数器,加密后作为密钥。和OFB一样,不传播 错误。很适合并行计算。 25、3DES,有4种版本: 可以是EEE或EDE,密钥可以是2个或3个。 EEE3:E(K1,E(K2,E(K3,P))) EDE3:E(K1,D(K2,E(K3,P))) EEE2:E(K1,E(K2,E(K1,P))) EDE2:E(K1,D(K2,E(K1,P))) 后两种的密钥的有效长度为112位。 还有一种EDE1,事实上只 是向后兼容而已。这4种模式的安全性是一样的。 26、人们试过2DES,发现这种不安全。 27、IDEA(国际数据加密算法),来学嘉和瑞士学者联合推出的,主要 是针对DES密钥长度不够而开发的,对64位分组操作,IDEA密钥为128位。 PGP中使用了IDEA。 28、Blowfish(豚鱼),是Bruce Schneier发明的,仍然是对64位分组操作, 密钥是变长的,从32位到448位。速度比DES和IDEA都快。没有许可限制, 自由使用。 29、Skipjack由FIPS185(联邦信息处理标准)即EES(托管加密标准)批 准使用,对64位分组操作,密钥80位。也有4种操作模式。美国政府很快 接受了 Skipjack,并且提供支持 Clipper 和 Capstone 高速加密芯片的密 码学程序,这些芯片是为重要商业应用而设计的。NIST(国家标准和技 术协会)和财政部(Treasury)持有重建密钥的一部分信息。执法部门可 以找他们获得密钥。Skipjack 和 Clipper 芯片还没有被密码学团体普通接 受,这是因为它的托管程序由美国政府控制。 30、2000年10月,NIST宣布Rijndael成为DES的替代标准,12月,美国商 务部批准了FIPS197,要求使用AES对所有未分类的但敏感的数据进行加 密。 31、AES算法分组128位,使用128、192、256三种密钥强度(分别10轮、 12轮、14轮),最初的Rijndeal分组大小可以和密钥长度相等。 32、Twofish由Bruce Schneier发明,也是分组密码,处理128位数据,密 钥变长:1~256位,最大256位(16轮)。有两种独特的技术, prewhitening,postwhitening,加密前和加密后进行单独的与子密钥的异 或。 33、1976年,Diffie-Hellman算法发布,是密码学的一次大的进步。 Richard和Sue约定两个大数p(质数)和g(整数),1<g<p,这两个数 可以公开 Richard选择r,计算R=g^r mod p, See选择s,计算S= g^s mod p, 然后互相发R,S,但r,s要保密 Richard计算出K=S^r mod p和Sue计算出来的K=R^s mod p是一样的,也 就是共享的私有密钥了。 34、对于对称密钥而言,永远不要将加密密钥和加密数据存放在一个系 统中,对于敏感的密钥,可以考虑两个不同的人分别持有密钥的一半 (split knowledge)。 35、两种主要的密钥托管的途径:一是公平密码系统(Fair cryptosystems),密钥被分成两个或多个部分,每个部分都被交给相互 独立的第三方,法院需要时,向所有第三方要密钥。二是使用托管加密 标准EES,这种方法向政府提供解密密文的技术手段,是Skipjack的基础。 36、由于摩尔定律的存在,处理器最终能达到猜测密钥的计算能力。所 以密码是有生命周期的,安全专家需要选择安全协议(TLS、SSL)、安 全算法(AES、3DES)以及密钥的长度。如果设计的密码系统用来保护计 划将在下周执行的商业计划,就无须担心10 年内可以破解的风险。如果 要保护那种可能用于建造核弹的机密信息,那就需要在今后 10 年里一 直维护这个机密。 第7章 PKI和密码学应用 1、1977年,Ronald Rivest、Adi Shamir和Leonard Adleman提出了RAS算法, 算法申请了专利并成立了RSA公司。 选两个大质数p和q,n = p * q, 选择一个e,e<n, e和(p-1)(q-1)互质, 找到一个数d,使得(ed-1)mod(p-1)(q-1)=0, 公钥就是e和n,私钥就是d。 C=P^e mod n, P=C^d mod n 2、Merkle-Hellman背包算法,也是基于因式分解操作的难度,依赖于超 增序列(super-increasing set)的集合论组件,1984年被破解,不安全。 3、下面三种非对称密码系统的不同密钥长度可以提供相同的保护:RSA: 1088位,DSA:1024位,椭圆曲线:160位, (AIO:ECC用到手持设备 中比较省资源一点。) 4、El Gamal博士在1985年发表了文章,阐述DH算法背后的数学原理可以 扩展到整个公钥加解密系统中,他是公开发布的,没有申请专利(和RSA 不同),主要缺点是加密后消息的长度加倍。 5、1985年,两位数学家(一个来自华盛顿大学,一个来自IBM)独立的 提出了椭圆曲线密码系统ECC。解决椭圆曲线的离散对数问题比解决RSA 的质数因数分解和El Gamal的标准离散对数问题还要困难,所以其密钥长 度会比较短,1088位RSA强度相当于160位密钥的ECC强度。 6、RSA公司对散列函数的5个基本要求,输入值任意长度、输出值长度固 定、计算容易、单向的、不会发生冲突。SHA、MD2、MD4、MD5都是定 长的。 7、HAVAL(Hash of Variable Length)是变长散列,是MD5的修改版,使 用1024位的分组,产生128、160、192、224、256位的散列值。 8、SHA-1和SHA-2都是NIST开发的(FIPS 180)。SHA-1生成160位的消息 摘要,处理512位的分组,明文不够512就会被填充。 9、SHA-2有四个变种:SHA-224、SHA-256、SHA-384、SHA-512。后面那 个数就是散列的长度,前两个处理512位的分组,后两个处理1024位的分 组。 10、2012年,美联邦政府宣布选择Keccak作为SHA-3标准,仍然处于草案 形式。 11、MD2是Ronald Rivest与1989年开发的,128位分组输入,生成128位消 息摘要,后被证明不是单向函数。 12、MD4是1990年Rivest MD2的增强版,需要填补信息以确保信息的长度 减去448后能被512整除(信息比特位长度mod 512 = 448,这样,如果是 16位的消息,就要用432比特的附加数据填充),分组处理产生128位摘 要。被人在1996年发现可以在一分钟内找到冲突,所以不安全。 13、1991年,Rivest发布MD5,有同样的填充需求,128位的输出。近年 来的密码分析攻击已经证明 MD5 协议会产生冲突,这表明它不是一种 单向函数。特别地,Aijien Lenstra 和其他一些人在 2005 年证明了使用不 同的公钥能够创建两个具有相同 MD5 散列的数字证书。 14、数字签名就是用自己的私钥加密消息的摘要。不提供机密性,只提 供完整性和不可否认性。 15、HMAC保证了完整性,但不提供不可否认性(因为用共享的对称密钥 加密)。 16、数字签名标准(DSS)在FIPS 186-4中提出,指定美国联邦政府批准 的所有数字签名算法都要用SHA-2散列函数,加密算法有三种: DSA(数字签名算法)、RSA算法、椭圆曲线数字签名算法ECDSA。 17、还有两种数字签名算法:Schnorr算法、Nyberg-Rueppel算法。知道 名字即可。 18、数字证书就是个人公钥的被认可副本。如果是被可信CA颁发的,人 们就信任这个公钥。数字证书的格式为国际标准X.509(尚不是正式标准, 是事实标准,各厂商实现略有差异),里面有版本号、序列号、签名算 法标识符(CA用的签名算法)、发布者姓名(CA的身份标识)、有效期、 主体的名字、主体的公钥。 19、 X.509版本3支持证书扩展,出了上述内容外,可以定制其他变量。 20、证书授权机构CA,主要有symantec、GlobalSign、Comodo、 GoDaddy、Entrust、Geotrust等;如果浏览器信任一个CA,就会自动信任 该CA颁发的所有证书。 21、注册授权机构RA,在证书发布之前帮助CA验证用户的身份。 22、证书路经验证(Certificate Path Validation,CPV),从原始起点至相 关服务器或者客户端的证书路经中的每个证书都应当考虑是否有效与合 法。 23、证书从生成到撤销的过程: 注册:携带身份标识文件前往CA的代理处,一旦身份验证通过, 你就提供公钥,CA就给你证书。 验证:使用时,对方会验证CA的签名,而且要检查确保证书没有 公布在CRL中。最重要的是:证书中确实包含了需要让人信任的数据,比 如名字。 撤销:CA会因为以下原因撤销证书:证书所有者丢失了私钥、 证书被错误发放(身份信息没有被正确验证),主体名字发生变化了, 主体的组织机构不再和主体关联。 24、有两种技术验证证书是否被撤销:CRL,包含证书的序列号以及撤销 的时间,需要定期下载,所以会有一段时间的延迟。联机证书状态协议 (OCSP):这种方式可以提供实时证书验证,实时向OCSP服务器发送 OCSP请求。 25、关于对称密钥管理:密钥长度、真随机、密钥过一段时间要换、备 份密钥(以防密钥损坏)。 26、1991年,PGP出现,结合了“web of trust”概念,有两个版本,商业 版本使用RSA/IDEA/MD5。免费版本使用DH/CAST(128位加密)/SHA-1。 27、安全多用途互联网邮件扩展(Secure Multipurpose Internet Mail Extensions,S/MIME)看上去要成为事实上的标准,outlook、thunderbird、 Mac OS X Mail都支持。使用X.509/RSA/AES/3DES,主流的桌面软件都支 持S/MIME,但基于web的邮件系统都不支持(需要浏览器扩展)。 28、SSL的一个主要过程是浏览器创建一个对称密钥,用服务器的公钥加 密后发给服务器。2014年,由于贵宾犬POODLE攻击,很多机构完全放弃 了对SSL3.0的支持。TLS获得了SSL3.1的昵称。 29、隐写术(steganography)通常在图像或wav文件内嵌入秘密消息。 iSteg是一个免费工具,能在图片上嵌入信息。 30、数字版权管理(DRM)普遍失败,因为用户把它看成一种Intrusive和 Obstrutive。比如在音乐中使用DRM主要是订阅服务,例如Napster和 Kazaa,订阅结束后,用户无法访问已下载音乐。用户更喜欢DRM-free。 在音乐、电影、电子书、游戏、文档等方面都有相应的DRM技术。 31、所有DRM方法都有一个致命缺陷,访问内容的设备必须获得解密密 钥,如果密钥出现在终端用户这里,用户总是有机会获得密钥。Adobe的 ADEPT(数字体验保护技术)保护电子书,使用AES加密并使用RSA保护 AES密钥。Kindle也有自己的加密技术。 32、对于文档保护而言,DRM方案主要控制如下权限:阅读、修改、去 水印、下载、打印、截图。这些权限可以授予、撤销、可以在过期后自 动失效。 33、网络加密有两种:链路加密、端到端加密(end to end),关键差异 在:对于链路加密,包含头、尾的所有数据被加密。所以在每一跳都要 解密和加密。端到端加密不加密头、尾、地址和路由信息;端到端是OSI 模型中较高层次的加密,链路加密是底层加密。SSH就是个很好的端到端 加密的例子,这组程序提供了FTP、Telnet、rlogin的加密可选方案。 34、尽管IPSec一般被用于连接两个网络,但也可以被用于连接两个单独 的计算机。IPSec不规定所有的实现细节。IPSec主要被用于VPN,可以工 作在运输模式或隧道模式中,通常和L2TP一起使用。 35、AH提供消息完整性和不可否认性。ESP提供机密性和完整性。都可以 防重放。ESP可以在没有AH的情况下使用,但AH几乎不会单独使用。 36、传输模式下,包头不加密,只加密有效载荷,为peer to peer通信设 计。在隧道模式下,整个数据包都会被加密,外面加新包头,这种模式 为网关间通信而设计。 37、创建安全关联SA后就会有IPSec通道,SA代表会话,并记录和会话相 关的参数,而且仅代表一个单向的连接,如果要双向通信,就需要两个 SA。如果希望使用AH和ESP的双向通道,就需要4个SA。 38、IPSec的最大优点来自于能够在每个SA的基础上过滤和管理通信,可 以管理客户端和网关之间的SA上,规定哪些协议可以使用IPSec通道。没 有SA,就没有安全通道。 39、网络安全关联密钥管理协议(ISAKMP)通过协商、建立、修改和删 除SA为IPSec提供后台的安全支持服务。ISAKMP在RFC2408中提出,主要 实现4个目标: 身份认证、建立SA、密钥建立、防止遭受威胁(重放和拒绝服务攻 击)。 40、ISAKMP没有定义任何密钥交换协议的细节,也没有定义任何具体的 加密算法、密钥生成技术或者认证机制。这个通用的框架是与密钥交换 独立的,可以被不同的密钥交换协议使用。ISAKMP报文可以利用UDP或 者TCP,端口都是500,一般情况下常用UDP协议。 41、IKE是一种混合型协议,由RFC2409定义,包含了3个不同协议的有关 部分:ISAKMP、Oakley和SKEME。IKE和ISAKMP的不同之处在于:IKE真正 定义了一个密钥交换的过程,而ISAKMP只是定义了一个通用的可以被任 何密钥交换协议使用的框架。 42、WEP提供64位和128位的加密选项,有显著的缺陷。 43、WEP的缺点: 1.本身没有防重放的能力。 2.使用CRC作为认证码并不能起到很好的防篡改能力。 3.初始向量IV长度为24位,并且通常是通过计数器实现的,所以IV经常 会会重复。 4.RC4密钥调度算法存在缺陷,使得该加密算法存在弱密钥,由于IV附 加在密钥SK前面做为RC4的密钥输入,攻击者可以等待一个由IV产生的弱 密钥,并进而攻击获得SK。 44、WPA是一个临时的解决方案,使用WEP的硬件,但软件变了,加密 算法使用临时密钥完整性协议(TKIP),消除了WEP的密码学弱点。 45、在WPA2中,AES替换了TKIP。 46、需要记住的是,WPA 并不提供端到端的安全解决方案。WPA 只对笔 记本电脑和最近的无线接入点之间的传输数据进行加密。一旦传输数据 到达有线网络,数据就会被解密。 47、WPA被设计为与802.1x身份认证服务器进行交互。主要是可以通过 802.1x的认证建立起密钥。 48、IEEE802.1x为有线和无线网络中的身份认证和密钥管理提供架构,客 户端运行称为supplicant的软件,与身份认证服务器通信,通过后,交换 机和AP就允许客户端访问网络。WPA与802.1x身份认证服务器交互。 49、WPA2 有两种风格:WPA2 个人版和 WPA2 企业版。WPA2 企业版需 要一台具有 IEEE 802.1X 功能的 RADIUS 服务器。 没有 RADIUS 服务器的用户可以使用 WPA2 个人版。 50、密码学攻击:几种方法: 分析攻击:关注算法本身的逻辑性 实现攻击:利用实现的弱点,关注对软件代码的利用。 统计攻击:利用统计弱点(比如并非真随机数、浮点错误,以及底 层硬件或操作系统的漏洞) 蛮力攻击:穷举爆破。可以利用彩虹表,可以用一些专用硬件。 51、密码分析的一些类型: 仅知密文时,一般会搞频率分析。E、T、O、A、I、N频率最高,比如 移位密码不改变频率,如果其他字母频率高,很可能是置换密码。 已知明文(known plaintext),分析者有一些密文及其明文。 但不 能选任意密文。 选定密文(chosen ciphertext),选定密文可以得其明文。 选定明文(chosen plaintext),选定明文可以得其密文。 52、中间相遇攻击(meet in the middle)导致2DES被攻破。 53、生日攻击也被称为冲突攻击,攻击者可以在通信中篡改明文,但维 持原有签名的有效性。 第8章 安全模型的原则、设计和功能 1、主体是访问资源的用户或进程,客体是用户和进程要访问的资源。 2、封闭式系统很难和别的系统集成,但更安全。 3、开放式系统集成起来较容易,但由于开放,存在许多发动攻击的入口 点和方法,也会引起更多的关注,共享的知识和经验也更多。 4、闭源的程序即可是开放式系统(MAC),也可以是封闭式系统。开源 也可能是封闭系统,关键看是不是开放接口。 5、确保CIA的几种技术: 限制(confinement):限制进程只能在确定的内存地址和资源中读取 和写入数据,也即沙箱。可以在操作系统里面做限制,也可以在应用里 面做(sandboxie)、或虚拟机hypervisor里面做(VirtualBox) 界限(bounds): 每个进程都可能在用户级或内核级,可以由操作 系统实施逻辑界限,也可以从物理上将进程和进程的内存区域隔开,这 昂贵但安全。 隔离(Isolation):通过将进程限制在界限里,就实现了隔离。防止 某个程序访问只属于另一个应用程序的内存或资源。操作系统提供中间 服务如剪贴板。 6、强制访问控制MAC(Mandatory Access Control)是根据主体和客体的 静态特性来定义是否可以访问的,比如RBAC就是MAC的一种:规则型访 问控制(Rule-Based Access Control,RBAC)在规则中说明了哪种主体可 以访问哪种客体。 7、自主访问控制(Discretionary Access Control):在一定的限制下,主 体具有定义访问客体的能力。 8、MAC和DAC都限制主体对客体的访问。访问控制的主要目的是:通过 阻止授权或未经授权主体的未授权访问,从而确保数据的机密性和完整 性。 9、可信(Trust)和保证(Assurance):安全性一旦被设计,就要被工 程(engineered)、实现、测试、审计、评估(Evaluated)、认证 (Certified,第三方测评)和最终认可(Accredited)。 可信(Trust)是指所有保护措施可以协同工作以便用户能在一个稳定 和安全的环境下处理敏感数据。 保证(Assurance)是指满足安全需求的信心度(degree of confidence),必须被不断的维持、更新和重新验证(reverified)。 10、关于验证(Verification)与确认(Validation)有人说,验证是功能测试, 确认是验收测试(集成测试)。 11、变化是安全的对立面,并且常常降低安全性,无论何时发生变化, 都要对系统重新评估。 12、可信计算基:美国国防部DoD的橘皮书将TCB描述为硬件、软件和控 制方法的组合。TCB是完整信息系统的一个子集,应当尽量小。 TCB是系统信任的(遵守和实施安全策略的)唯一部分。 13、TCB负责控制对系统的访问,TCB提供访问TCB内部或外部资源的方 法。TCB的责任是确保系统的行为在任何情况下都是遵从安全策略的。 14、操作系统的内核由软件、硬件和固件组成,因此从某种意义上说, 内核就是 TCB。然而,TCB 还可能包括其他组件,如能够直接与内核进 行交互的可信命令、程序和配置文件。可信路径(musted path)是用户 或程序与内核之间通信通道。比如chmod,可以理解为环0,1,2。 15、安全边界(perimeter)将TCB和其他部分隔开(这是一个概念上的边 界),TCB要与系统的其他部分通信时必须建立安全的通道,这被称为可 信路径(trusted paths)。系统通过可信路径向用户交付高级别的安全性 (B2及较高级别要求使用可信路径)。 16、引用监控器是TCB的访问控制执行者,处于主体和客体之间,在准许 进行任何访问控制之前,TCB的引用监控器都验证主体的凭证是否满足访 问客体的需求,这个引用监控器也是一个概念,并不是一个实际的系统 组成部分。TCB可以选用任意的他想要的安全模型。 17、共同工作从而实现引用监控器功能的 TCB 中组件的集合被称为安全 内核。安全内核的目的是使用适当的组件实施引用监控器的功能和抵抗 所有已知的攻击。安全内核使用一条可信路径与主体进行通信,并且还 可以作为所有资源访问请求的中间人,只允许那些与系统应用的适当访 问规则相匹配的请求。 18、状态机模型,该模型描述了一个无论何时总是处于安全状态(满足 安全策略的要求)下的系统,基于有限状态机(Finite State Machine, FSM)。 下一状态=F(输入,当前状态),如果每个状态都是安全的,那么系 统就是安全状态机。 19、信息流模型,BLP(Bell-LaPadula)和Biba模型都是信息流模型。不 管主体和客体是不是在一个分类级别上,信息流模型都可以防范未授权 的信息流。 通过排除所有未定义的信息流途径,可以防范隐蔽通道。 20、无干扰模型(Noninterference model),这个模型松散地建立在信息 流模型的基础上,说的是位于高安全级别的主体A的动作不应当影响低安 全级别主体B的动作,甚至不引起主体B的注意,其实更关注的是,A的行 为不能影响低安全级别的系统状态,否则,B将会演绎推导出高分类级别 的信息,这会涉及到隐蔽通道的问题。可以用这种模型设计防范木马。 21、信息流模型可能是构建在多个系统上,系统之间组合论有三种形式: 级联(cascading)、反馈(feedback)、挂接(hookup),(向多个系 统发送输入) 22、Take-Grant模型,采用有向图指示权限如何转移,简单的说, 1、具有授权资格的主体可以向另一个主体或客体授予其所拥有的其他 任何权限。 2、具有获得权限能力的主体可以从另一个主体获得权限。 23、访问控制矩阵:由主体和客体组成的表,指示了每个主体可以对每 个客体执行的动作。矩阵的每一行都是功能列表,每一列都是访问控制 列表。 24、从管理上看,只使用功能列表是很恐怖的,如果去除了一个特定客 体,就要改动每个主体的功能列表。可以理解为: 只有功能列表,删人简单,删东西麻烦。只有ACL,删东西简单,删 人麻烦。 25、下图这种访问控制矩阵,适用于自主访问控制DAC,通过简单对主 体分类(自己、同组、所有人),就可以构造强制性或规则型矩阵,系 统可以快速判断主体是否得到授权。 26、BLP模型:DoD在1970年代开发了Bell-LaPadula模型,BLP是多级安全 (multilevel )策略的首个数字模型,专注于维护客体的机密性,适用于 军事组织。 缺点:BLP并没有说明完整性和可用性方面的内容。也没有涉及隐蔽通 道问题。 27、BLP模型以状态机概念和信息流模型为基础。还采用MAC和格子型概 念。格子型访问控制也是信息流通用类别,也是解决机密性问题。 28、BLP(不能上读下写) 属性:简单安全属性:不能上读(不能读取较高敏感级别的信息)。星 安全属性:不能下写(不能往较低敏感度级别的客体上写信息,比如在 非机密文档中写下了绝密备注)。自主安全属性:系统使用访问控制矩 阵来实施自主访问控制。 29、BLP有个例外,就是“受信任的主体”(trusted subject)不受星安全 属性的约束。因为受信任主体被定义为“即使可能出事也不会出事”的 主体,这在对客体解除分类或降低分类时有用(比如clearing)。 30、对于商业组织(非军事组织)来说,完整性比机密性更重要,由 Biba和Clark-Wilson开发了Biba模型,就是保护数据的完整性的。 31、Biba(不能下读上写) 属性:简单完整性属性:不能下读。星完整性属性:不能上写。 (注意简单属性是读,星属性是写)。可以把完整性想成空气的纯净级 别。 缺点:不解决机密性和可用性问题,没有防止隐蔽通道。OSGT:只关 注客体不受外部威胁,假定内部威胁已经被有计划的控制。 32、记忆:BLP不上读下写,Biba不下读上写。 33、Clark-Wilson模型从设计上比Biba更适合商业模型,C-W模型并不使用 格子型结构,也不使用状态机,而是使用“主体/程序/客体”这样的三 元组,主体只能通过程序访问客体,使用两条原则:良好的事务处理、 职责分离。C-W模型保护完整性。 34、主体只能通过使用程序、接口或访问门户来访问客体。接口对可以 对客体做什么和不可以对客体做什么施加了特定的限制。这有效地限制 了主体的能力。这被称为约束接口。如果程序设计正确,那么三元组关 系就提供了保护客体完整性的方法。 35、约束数据项(constrained data item,CDI)是模型要保护的数据项; 非约束数据项UDI是不受安全模型保护的数据项; 完整性验证过程IVP扫描CDI并确定其完整性; 转换过程(Transformation Procedure,TP)是允许更改CDI的唯一过程。 通过TP限制对CDI的访问形成C-W的主干,C-W使用安全标签授予对客体 的访问权限,但是只能通过转换过程和受限接口模型完成,接口向不同 分类的主体展示不同的信息(比如用户没有某个功能的权限,菜单上就 看不见或者变灰)。Clark-Wilson模型的设计使其成为一种适于商用的优 秀模型。 36、Brewer and Nash模型(也叫Chinese Wall模型),主要致力于解决利 益冲突,如果A公司和B公司存在竞争,C公司的人可以访问A公司的数据, 但因此就不能访问B公司的数据。中国墙模型就像是在冲突安全域之间竖 起了墙,如果一个主体正在访问某个安全域,那它就不能访问属于相同 冲突类的其他安全域。 37、OSGT:Brewer and Nash模型的目的:访问控制可以基于用户以前的 活动而动态改变,所以这也是一种状态机模型。比如:管理员对系统中 的大量数据拥有完全的访问控制,然而,在对任何数据项采取行动时, 管理员对冲突数据的访问都会被暂时阻止。一旦任务完成后,管理员的 访问将返回到完全控制。 38、Goguen-Meseguer 模型是一个完整性模型,尽管它不如 Biba 和其他 模型有名。实际上,这个模式被称作非干涉概念理论的基础,通常当某 人讲非干涉模型时,他们实际指的是 Goguen-Meseguer 模型。 39、Sutherland 模型是一个完整性模型。它的重点是预防对完整性支持的 干扰。 40、Graham-Denning 模型关注主体和客体在创建和删除时的安全性。 41、购买信息系统的人,通常只愿意考虑已经正式评估(evaluation)了 的系统,评估通常是雇佣第三方来执行的。测评的结果是看系统达到什 么标准,并给一个认证标志(seal of approval)。一般有两步,第一步是 测试和评估看是否满足了使用所需的安全标准,第二步是对系统的设计 和实际的功能性能比较,并决定是否采用这个系统。OSGT:把第三方的 这种保证称为*Verification*。注意了,Verification是对标检查的。 42、DoD在80年代推出了用于评估计划购买的信息系统的可信计算基评 估标准(TCSEC),即彩虹系列(最早是橘皮书,后来添加了其他颜色), 已经被废除。 43、90年代,欧盟的ITESC在TCSEC的基础上被开发出来,后来都被通用 准则(CC)所代替。TCSEC的最高保护级别是A1级,A1系统被设计用于 处理绝密数据。 A1级(已验证级别) B3、B2、B1级(强制性保护) C2、C1级(自主性保护) D级(最小化保护) 44、TCSEC的问题: 1、它考虑控制用户对信息的访问,但没有控制用户一旦获取权限后, 如何对信息处理。 2、重点完全在于机密性。 3、并不仔细处理人员、物理和过程化的策略问题或防范措施。 4、橘皮书本质上并不处理网络连接问题,尽管之后的红皮书处理。 45、ITSEC将正在评估的系统作为评估目标(target of Evaluation,TOE), 主要是评估系统的“功能性”和“保证”(也即系统的可信赖程度)。 1、ITSEC除了机密性,还关注完整性和可用性; 2、ITSEC并不依赖TCB的概念; 3、ITSEC在系统发生变化后不要求新的正式评估,而是只是维护评估目 标(而TCSEC要求发生变化的系统都要重新评估)。 46、通用准则CC(Common Criteria)是全球性的标准,要认识到,即使 是最高的CC等级,也不等同于系统绝对安全。 47、CC的主要目标: 1、增加购买者对划分等级的产品的安全性的信心; 2、消除重复评估; 3、使安全评估更有效率; 4、使评估遵循高且一致的标准; 5、推动评估发展; 6、评估TOE的功能性和保证。 48、CC基于两个关键元素:保证轮廓(Protection Profiles,PP)和安全目 标(Security Targets,ST), 1、PP指定了TOE的安全需求和保护(客户的“I want”), 2、ST指定了TOE内建的安全声明(供应商的“I will provide”), 3、将PP与ST比较,最接近的就是客户要购买的。 49、CC有三部分: 1、第一部分是介绍和一般模型描述(Introduction and General Model) 2、第二部分是安全功能需求(Security Functional Requirement) 3、第三部分是安全保证(Security Assurance) 50、CC评估保证级别: EAL1 功能测试 Functionally tested EAL2 结构测试 Structurally tested EAL3 系统地测试和检查 Methodically tested and checked EAL4 系统地设计、测试和回顾 Methodically designed, tested, and reviewed EAL5 半正式设计和测试 Semi-formally designed and tested EAL6 半正式验证、设计和测试 Semi-formally verified, designed, and tested EAL7 正式验证、设计和测试 Formally verified, designed, and tested 51、CC的缺点: 1、没有包含对原位置安全性(security in situ)的评估,也就是说不涉 及与人员、组织的实践和措施或物理安全相关联的控制; 2、也没有解决对电磁辐射的控制; 3、不存在明确的对密码学算法强度的等级评定。 52、除了通用的CC标准,还有行业和国家安全实施指南,比如PCI-DSS, 再比如ISO系列标准。 53、正式评估过程(主要在竣工验收时用)分为两个阶段:认证 (Certification)和鉴定(Accreditation,认可)。认证过程给鉴定过程提 供支持。 54、认证(Certification)是对IT系统的技术和非技术安全特性以及其他 防护措施的综合评估。主要是对系统的每个部分进行技术性评估,看与 安全标准是否一致。选择好标准后,要测试软件、硬件、配置(这些内 容一旦有变,认证都会无效),物理控制、技术控制、行政管理控制都 要被评估到(认证是一个全面的考察过程)。这可以不是第三方做的。 55、管理部门通过鉴定(Accreditation)过程来接受(acceptance)一个 系统,管理层将认证结果(也即系统的安全能力)和组织的需求进行比 较,如果确定系统符合组织的要求,那么就通过鉴定。鉴定由指定许可 机构(Designated Approving Authority,DAA)作出的正式声明,鉴定一 旦完成,管理层就正式接受系统了(包括它的安全性和风险)。鉴定是 请外部专家的,领导参加,全体认可的。 56、认证和鉴定是不断重复的过程,系统只要更改了配置,就要进行重 新的认证,安全策略应当明确什么样的情况需要重新认证,并列出认证 的有效时间。 57、有两种政府标准适用于计算机系统的认证和鉴定:一、国防部标准 是:风险管理框架RMF,它取代了国防部信息保障认证认可过程DIACAP 和国防部信息技术安全认证认可过程DITSCAP;二、其他所有政府行政部 门是:国家安全系统委员会策略Committee on National Security Systems Policy (CNSSP) 58、RMF和CNSSP都分为4个阶段:1:定义 2:验证(verification) 3:确认 (validation) 4:后鉴定(post accreditation),针对三种类型: system(evaluate某个系统) site(含它所在的自包含物理位置) type(评估分布在许多不同位置的系统) 60、TPM(Trusted Platform Module)即是一个通用的名称,具体到一个场 景来说,也就是主板上的加密处理芯片,主要存储和处理密钥,实现基 于TPM的全盘加密。 61、硬件安全模块(hardware security module,HSM)存储密钥,加密, 签名,通常是附加的一个硬件适配器,TPM可以看作是一种HSM。很多 系统使用HSM存储证书;ATM和POS终端有专用的HSM;兼容DNSSEC的 DNS服务器使用HSM提供密钥和区域文件(zone file)存储。 第9章 安全脆弱性、威胁和措施 1、更多的复杂性意味着存在更多漏洞的区域。 2、多任务(multitasking)不代表多处理(Multiprocessing),多处理有 多个处理器,可以是对称的多处理(Symmetric Multiprocessing,SMP) 或者大规模并行处理(Massively Parallel Processing,MPP),SMP的多个 处理器共享操作系统、数据总线和内存(以前是多CPU,现在是双核、四 核处理器),MPP系统有数百个处理器,每个处理器都有自己的操作系 统、总线和内存。 3、多程序(Multiprogramming)和多任务非常相似,是一种执行多个进 程的方式,在大型机中使用,需要特别编写的软件。 而多任务在windows和linux等个人计算机操作系统上使用,由操作系 统自动协调多任务。 4、多线程(Multithreading)允许在单个进程中执行多个并发任务,主要 是为了避免频繁的上下文切换带来的过大开销。一个进程中线程间转换 之需要40~50条指令,而进程到进程的转换开销为1000条指令,而且还 需要转换大量内存空间。 5、word的每个文档是一个线程。SMP可以向每个处理器发送一个线程去 执行。 6、单一状态处理器一次只在一个安全级别运行,多态处理器可以同时在 多个安全级别运行。 7、1963年至1969年间Bell实验室、MIT和GE合作设计和建设的Multics, 导致产生了复杂程度较低的Unix,并且带来了保护环的概念,现在一般 是4环,Multics设计的是7环。 环0是内核, 环1是OS组件, 环2是I/O驱动程序和系统实用程序, 环3是用户级程序。 环0~2在特权模式(监管模式)下运行,环3在用户模式下运行。 8、进程如果在就绪状态,如果CPU可用,就会转入运行状态(也称问题 状态);运行状态如果时间片到期进入就绪状态; 等待状态在等待某种资源(也即因为某些原因阻塞); 进程要求高特权(环3以上)时进入监管状态; 进程结束或者发生错误或者资源不可满足进入停止状态。 7、美国政府为处理分类信息的系统指派了4种被批准的安全模式:专用 模式、系统高级模式、分隔模式、多级模式。 8、专用模式(dedicated):访问系统用户都有要访问所有信息的级别 (clearance),被批准可以访问所有,need to know全部信息。 比如:过去设计的许多军事系统都只处理一种安全级别(比如 secret),这些系统就工作在专用安全模式之下。要访问系统上的任何数 据或所有数据,就要求每个使用该系统的用户都拥有最高许可级别。 9、系统高级模式(system high):访问系统用户都有要访问所有信息的 级别(clearance),虽然可以访问所有,但这次只能访问need to know的 信息。 比如:这台计算机上只有秘密级别,要求每个使用该系统的用户都拥 有最高许可级别。然而,尽管一个用户也是秘密级的,但如果没有与特 定客体对应的“知其所需”,那么他仍然可能会受到限制。 10、分隔模式(Compartmented):访问系统用户都有要访问所有信息 的级别(clearance),被批准只能访问部分,且这次只能访问need to know部分信息。 比如:如果系统中保存有秘密和绝密信息,那么所有用户必须至少拥 有绝密许可才能访问该系统。 11、多级模式(Multilevel Secure):访问系统的用户有不同的级别 (clearance), 被批准访问所需部分,need to know部分信息。又称 受控安全模式(controlled security mode)。 比如:如果一个系统允许同时处理两个或几个信息分类级别,但并非 所有用户都拥有访问系统处理的全部信息所需要的许可或正式批准,那 么表示该系统在多级安全模式(multilevel security mode)。BLP就是多级 安全模型的一个示例。OSGT:同时处理多个级别。 12、这四种模式的处理多许可级别数据(process data from multiple clearance levels,PDMCL)的能力是不同的,前两者无此能力,后两者有 此能力。 13、理解:被批准访问所有,就是说从总体上(长期)来说,所有信息 都可以访问的。但对于单次来说,只能访问need to kown的。而后两种模 式,一个用户本来就不被允许访问所有的。 14、处理器本身支持两种模式:用户模式(CPU在这种模式下只能执行 部分指令)和特权模式(可以执行CPU所支持的完整指令,也叫监管模式、 系统模式、内核模式)。 15、ROM就是出厂时被烧入(burned in)的只能读但不能写的存储器, 通常放一些bootstrap信息,包括自检程序(POST,power-on self-test)。 16、PROM(可编程只读存储器)本质上和ROM一样,一旦被烧入就不能 再改,但PROM出厂时不烧,允许用户稍后烧入。用于需要定制功能的硬 件开发。 17、EPROM(Erasable PROM,可擦写可编程只读存储器),EPROM芯片 上有个小窗口,用紫外线照射时就可以擦除。 18、EEPROM(电可擦除),通过芯片引脚上的电压来擦除。一擦就整个 芯片被擦。 19、闪存(Flash Memory),是EEPROM的衍生概念,非易失存储介质, 电子擦除和重写。可以按块(block)或页(page)来擦。最常见是NAND 闪存。 20、RAM(随机存取存储器,和顺序存取的磁带等设备相对应),可读 可写,有电才能保存。有real memory(实际存储器或主存储器)和cache memory。 21、高速缓存RAM能提高性能,1级缓存和2级缓存在主板上不同的芯片 中, 计算器先到1级缓存里去找想要的数据。 1级缓存缓存2级缓存里的内容, 2级缓存缓存主存储器里面的内容, 主存储器通常缓存磁盘里面的内容。 22、高端的打印机包含非常大的 RAM 高速缓存,这样操作系统可以快 速假脱机一项作业给打印机,并且随后可以忘记这个打印作业,也不必 等待打印机对所有的请求产生输出结果。打印机可以预处理来自主板高 速缓存的信息,从而释放计算机和操作系统继续执行其他任务。 23、RAM有两种, 动态RAM由电容器保持电荷,由于可能放电,需要CPU花费时间刷新其 内容。 静态RAM不需要刷新,而且速度快,但比DRAM贵。 24、寄存器为CPU的算术逻辑单元ALU提供可以直接访问的存储位置。 25、寻址: 寄存器寻址:数据直接在寄存器里,比如直接从“寄存器1”里读取值。 立即寻址:事实上是引用数据的方法,比如“将寄存器1中的数与2相加”; 直接寻址:direct,要访问的存储器的实际地址提供给CPU; 间接寻址:indirect,存储器地址中包含了另一个存储器的地址; 基址+偏移量寻址:某个寄存器中的数值作为基址,然后加偏移量,得到存 储位置。 18、辅助存储器:磁介质、光学介质、FLASH这些不能由CPU直接获取数 据的存储。比主存储器(RAM)要便宜。 19、虚拟存储器由操作系统负责管理,最常见的类型是页面文件,包含 先前在内存中但近期并未使用的数据,操作系统访问页面文件中的地址 时,会看页面驻留在内存中还是被交换到磁盘中。主要缺点是:交换数 据时进行分页操作的速度相对较慢,微秒级的内存,毫秒级的磁盘,数 量级差3个。 20、存储器的安全问题:像DRAM和SRAM,断电后仍然有一段时间可能 保存电量。有一种冻结存储器芯片延迟数据衰减的攻击。 21、SSD在净化(sanitization)时有独特的问题,SSD有个损耗级别机制 (wear level),损耗大的块,会把自己的数据拷贝到损耗小的块,然后 自己被标识为“不存活“,那么,对于SSD而言,Zero wipe就不会有效, 就会有漏的数据。 22、HDD、SDD这类设备容易被盗,所以加密保护会比较好。 23、显示器的问题在于可以通过TEMPEST技术探测到电子辐射(Van Eck 辐射)。CRT辐射多,液晶辐射少。但对显示器的最大风险仍然是肩窥和 长焦相机。 24、打印机的安全风险: 1、打印出来的东西更容易被拿走; 2、共享打印机可能忘记或没有及时取回被人偷窥到; 3、打印机的本地存储数据; 4、打印机为了方便访问往往不是设计为安全系统。 25、键盘和鼠标都容易受到TEMPEST技术的监控,也可以被物理的监听 器装在键盘内部截获击键,无线鼠标和键盘的无线信号也能被截获。 26、系统中存在调制解调器往往是安全管理员最苦恼的问题之一。调制 解调器允许用户在网络内创建非受控的访问点。如果配置不正确,外部 人员可以突破保护机制直接访问网络资源。最糟糕的是,内部用户可以 使用它将数据泄漏到组织外部。 27、除非是出于商业原因而必须使用调制解调器,否则应当在组织的安 全策略中,考虑禁止使用调制解调器。安全管理人员应当了解所有调制 解调器在网络中的物理位置和逻辑位置,并确保它们被正确配置和给予 适当的保护措施以阻止非法使用。 28、旧式的外围设备没有自动配置和即插即用功能,手动配置涉及以下 三种操作: 存储映射I/O(memory mapped I/O),中断IRQ,直接内存访问DMA。 29、存储映射I/O:通过映射,CPU通过读取映射存储位置,实际上从相 应的设备中读取输入(这是因为在设备通知输入可用时,会在系统级自 动复制至这些存储位置)。同样,通过写入映射存储位置,实际上可以 将输出发送至相应的设备(在 CPU 通知输出可用时,在系统级将这些存 储位置的输出自动复制至相应设备)。从配置的角度看,确认只有一台 设备映射到某个特定的存储地址范围以及这个存储地址范围只用于处理 设备 IO 是非常重要的。从安全性的角度看,对映射存储位置的访问应当 由操作系统居间调停,并且应当得到正确的授权和访问控制。 30、中断IRQ:当某个设备希望为CPU提供输入时,会在为其指派的IRQ上 发送信号,较新的符合PnP的设备可以共享单个中断,较老的不行。从安 全性的角度看,只有操作系统能够在足够高的特权级别间接访问 IRQ, 以便防止篡改或意外的错误配置。 31、直接内存访问DMA,设备直接写内存,不需要CPU协助,设备通过 DMR线通知CPU希望读写RAM,CPU授权由设备来控制总线并向RAM读写 数据,设备写完后,再通过DACK线通知CPU该过程结束。常用于硬盘、 光驱、显卡等与RAM的大量数据传输。从安全角度看,只有操作系统才 能调停DMA的分配以及DMA的使用。 32、固件(firmware):在主板上的BIOS算一种固件,用于启动计算机和 从磁盘加载操作系统,BIOS存储在EEPROM上,BIOS的升级称为“Flashing the BIOS” 33、很多硬件设备(如打印机、调制解调器)需要一些处理能力,以便 减少操作系统自身的负担,这些迷你操作系统放在设备的固件芯片中, 通常也是EEPROM。 34、基于客户端的攻击(Client-Based):一般情况下,当讨论攻击时, 攻击的主要目标是服务器或服务器端组件。客户端或客户端集中攻击的 目标是客户机本身或客户机上的进程。 35、客户端攻击的一个常见例子是,恶意网站将恶意的移动代码(如 applet)通过脆弱的客户端浏览器传送到客户端。客户端攻击可以发生在 任何通信协议上,而不只是 HTTP。另一类基于客户端的潜在漏洞,是本 地缓存中毒的风险。 36、关于客户端安全,applet准许服务器向客户端发送执行代码,要确保 这些代码是安全的,并能正确的屏蔽恶意活动。常见的两类:Java applet 和ActiveX控件。 Java applet是简短的Java程序,为了防止Java applet窃取信息,有沙箱会 控制其内存访问。 ActiveX是微软的产品,只能运行在IE上,不受沙箱的限制,它对 Windows 操作系统环境具有全部的访问权限,并且可以执行很多特权操 作。 许多安全管理员禁止从可信站点之外的所有站点下载任何ActiveX内容。 37、ARP缓存投毒,是攻击者伪造回应ARP进入客户端的ARP缓存(10分 钟),或者通过木马在本地使用命令创建永久性的静态ARP,这样,客户 端传输的数据流将发送给非预期的其他系统。 38、DNS缓存投毒,有很多种方法,包括主机投毒、攻击DNS服务器,攻 击缓存DNS服务器、给客户端错误的DNS服务器、DNS查询欺骗等等。 主机投毒主要是对hosts文件进行操作。 对授权DNS服务器攻击的目的是修改FQDN原始记录(Fully Qualified Domain Name)。但这个难度大,很快会被发现。 大多数攻击者将目光转向缓存DNS服务器,比如那个著名的Kaminsky DNS漏洞。 给客户端一个假的DNS服务器,提供域名查询服务。 DNS查询欺骗,是向客户端发送虚假的响应,而真的答复被丢弃。 防范措施:打补丁、安装IDS、审计DNS日志、查看DNS日志、DHSP 日志、防火墙日志、交换机日志、路由器日志发现异常。 39、和数据库安全相关的若干概念包括聚合、推理、数据挖掘、数据仓 库和数据分析。 40、聚合(aggregation)用来收集大量的低安全级别低价值的信息,结 合起来产生高安全级别高价值的信息。 41、推理(inference)和聚合类似,但需要利用人的推理能力,不是简 单的数据聚合。 42、对推理攻击的防范方法: 与聚合类似,最好防范是对赋予个人用户的特权保持持续警惕。 此外,数据的故意混淆可能被用来防止对敏感信息的推理。例如,如 果会计只能够检索到100 万人的工资信息,那么将不可能获得任何有关 员工个人的有用信息。 最后,可以使用数据库分区帮助降低这些攻击。 43、数据仓库(data warehouses )存储多个数据库汇总来的信息,并包 括历史信息,然后用专业分析技术来做数据挖掘,发现历史数据中潜在 的信息。 44、数据字典是和数据库相关的关键信息,包括类型、源、格式、关系 等等,是一种具体级别的元数据。 45、元数据是关于数据的数据。 46、大数据是指那些已经变得非常大的数据集合,传统分析和处理手段 效率低下。并行数据处理将一个大的任务划分为更小元素,然后将每个 元素分发到不同的子处理系统进行并行计算。 47、云计算通常被认为是基于互联网的计算,处理和存储是通过网络连 接而非在本地进行,相关概念:SaaS、PaaS、IaaS 48、网格计算是并行分布处理的一种形式,它松散地把大量的处理节点 组合在一起,为实现某个大的计算目标而工作,某个成员处于空闲时, 加入一个网格组,下载任务然后开始计算并提交结果,比如需求外星生 物、预测天气、解决素数问题。由于网格计算项目大都开放,每个成员 可以保存工作包的副本并检查内容,所以网格项目不关注机密性。 49、点对点(Peer-To-Peer)技术是网络和分布式应用的解决方案,用于 点对点见共享任务和工作负载,与网格的区别:没有中央管理系统。比 如Skype、BT、Spotify(流媒体/音乐发行),主要涉及盗版、被监听、缺 乏中央管理、消耗带宽等问题。 50、工业控制系统(ICS)包括集散控制系统(DCS)、可编程逻辑控制 器(PLC)和数据采集与监控系统(SCADA)。 industrial control system(ICS) distributed control systems (DCSs) programmable logic controllers (PLCs), supervisory control and data acquisition(SCADA) 51、DCS(distributed control systems)用在车间,以集中的方式收集局 部的状态和性能数据,并向局部控制器发送命令。 52、PLC (programmable logic controllers)是有效的单用途或专门用途的 数字计算机。它们通常被部署用于各种工业机电自动化操作,如大规模 的数字灯光显示控制系统(如体育场内或拉斯维加斯大道上的巨型显示 系统)。 53、SCADA(supervisory control and data acquisition) 系统可以作为独立 的设备使用,也可与传统 IT 系统组成网络。大多数 SCADA 系统以最小 的人机接口设计。通常,它们使用机械按钮和旋钮,使用简单的液晶屏 接口。 54、SCADA、PLC、DCS 单元和它们的最小人机接口的静态设计,应该防 止系统陷入危险或被修改。然而,这些工业控制设备很少集成安全。 Stuxnet 首次在位于核设施的 SCADA 系统中放置了rootkit。许多 SCADA 厂商已经开始实施解决方案来改进他们的安全。 55、XML攻击用来伪造信息发送给访客。XML攻击日益关注的一个领域是 安全断言标记语言SAML,SAML通常用来提供基于Web的SSO解决方案。 攻击者伪造SAML通信或者窃取访问者令牌,就可以绕过认证并获得对网 站的未授权访问。 56、OWASP是一个非营利性的安全项目,目的在于提高WEB的应用程序 的安全性。 57、15英尺范围(4.57米)内的人都可以听到你说话。 58、便携移动设备(手机、PAD)丢失后,远程擦除的问题,小偷可能 不让联网;可能会被反删除工具恢复;所以还是应当对设备加密。 59、锁定:Lockout,类似于账户锁定,当用户未能提供他们的凭据并多 次重复尝试时,账户或设备被禁用(在一段时间内锁定)或直到管理员 清除锁定标志。 60、在移动设备上,设备制造商把操作系统和预装应用与用户的程序与 数据分开,采用存储分隔(storage segmentation)。 此外,还可进一步把公司的和个人的分开。 61、移动设备管理MDM的目标是提高安全性、提供监测、远程管理、支 持和故障排除。 62、大多数移动设备并不安全,即使有一个强大的口令,仍可通过蓝牙、 无线或USB访问该设备。 63、密钥存储的最佳选择是可插拔硬件和可信平台模块TPM,但手机和 平板电脑很少提供这些选择。 64、锁屏:screen locks,并不是真正的安全操作,因为锁屏可能有变通 办法:如通过紧急呼叫功能访问电话应用程序;如果黑客通过蓝牙、无 线或 USB 电缆等方式连接到设备上,锁屏就不一定真的能保护设备。 65、凭证(credential)管理就是指把用户名和密码(或者其他多因子) 存储并管理起来。 66、支持GPS的移动设备,拍照时会嵌入时间信息和地理信息 (Geotagging),小心别人根据你上传的照片得知你什么时候在哪里。 67、应用控制(Application control):应用控制是一种设备管理解决方 案,可以限制设备上应用的安装,也可被用来强制安装特定的应用或执 行某些应用的设置,以支持安全基线或保持其他形式的合规性。在BYOD 中用得比较少。 68、用户需要了解他们使用BYOD的好处、限制和后果,签署BYOD策略, 参加培训。 69、BYOD策略应该关注备份,不管是单一的备份,还是把个人数据与公 司数据分开的备份。擦除数据时,也有这个问题,总之要做好数据隔离。 70、BYOD策略还应该考虑设备故障时谁负责维修,补丁管理、反病毒管 理、取证时没收设备,员工可能需要同意对他们移动设备的跟踪和监控。 71、员工应该将BYOD设备视为公司财产。在工作中,首要目标是完成生 产任务。一些环境不允许使用相机,要明确说明。 72、应用白名单是禁止未授权软件能够被执行的安全选项。白名单也被 称为默认拒绝或隐含拒绝。在应用安全中,白名单阻止任何或所有软件, 除非它们在预先批准的例外名单中。(而黑名单是典型安全设备立场的 重要违背)。OSGT:这个用的不多。 73、静态系统(又名静态环境,Static environment)是一组不改变条件、 事件和周边的环境。静态系统一旦被理解,就不应该再让人产生惊讶。 这个系统被设计为保持不变。比如老式的大型机只支持单一任务、游戏 机、早期的车辆系统等。 74、五种基本的安全技术机制:分层法、抽象、数据隐藏、进程隔离、 硬件分隔。 1、分层法(layering)把最敏感的功能放在中心,逐渐扩大的同心圆代 表敏感度较低的功能,类似操作系统的保护环。居住在大楼中低租金的 公寓内,就不能乘坐电梯到达租金更贵的楼层。不同的层只能通过特定 的接口进行通信(比如用户层通过系统调用访问内核),接口用于维护 完整性,内层不了解也不依赖外层,每层都不受其他层的影响和篡改。 2、抽象(abstraction),属于面向对象中的“黑箱”原则,即认为用 户没有必要知道对象的工作细节,只知道使用正确的语法获取返回结果 即可。对象组也即角色赋权,也使用了这种抽象原则。分类也是抽象。 3、数据隐藏(data hiding)是多级安全的一个重要特征,它确保在某 个安全级别的数据对于运行在不同安全级别的进程是不可见的。 4、进程隔离(process Isolation)要求操作系统为每个进程的指令和数 据提供不同的内存空间。组织某一进程读区或写入属于另一个进程的数 据。可以阻止未授权的访问,也能保护进程的完整性。虚拟机也可以看 成是这种隔离原则的体现。 5、硬件分隔(hardware segmentation),类似进程隔离,但是使用硬 件来分隔,较为少见,通常被限制在国家安全实现中。 75、可问责性是任何安全设计中的一个重要组成部分,很多安全要求较 高的系统都有针对个人特权操作的审计设施, 如paper-and-pen visitor logs和无法修改的审计跟踪。 76、隐蔽通道是使用设计、开发、管理者都没有意识到信道传送信息, 所以完全游离在安全控制措施之外。 比如时间隐蔽通道(通过改变资源的性能或时间来传达信息)。 存储隐蔽通道(将数据写到其他进程可以读到的公共区域来传达信 息)。 77、系统突然崩溃,接着又重新恢复,这个过程就可能存在两个失去安 全控制的机会,因为有的系统关机过程中会卸载安全控制,刚开机时也 还没有加在安全控制。 所以,可信恢复的概念产生,就是确保系统在安全控制失效的情况下 不发生任何访问活动,或者一直保持安全控制在线。 78、维护钩子(Maintenance hooks)是开发人员才知道的系统入口,也 被称为后门。必须禁止这些入口点,并通过审计日志来发现这些访问行 为。 79、增量攻击(incremental attacks)以缓慢的、渐进的增量方式发生, 数据欺骗(data diddling)和salami攻击就是这样。 1、数据欺骗攻击者在数据进入系统之前、中途、之后,恶意的修改数 据。 2、salami攻击就像切一小片香肠,攻击者系统化的削减账户(比如1分 钱1分钱地偷)。所以要通过适当的职责分离和对代码的控制,才能阻止 这种攻击。像员工正式通报这种攻击,也有助于防止salami攻击。 80、编程中最大的缺陷:缓冲区溢出。 81、TOC是检查时间,也即主体检查客体状态的时间,TOU是使用时间, 是在程序访问客体的时间,在TOC和TOU之间,攻击者可能用另外一个客 体替换原先的客体。检查时间到使用时间(TOCTTOU)攻击通常被称为 竞争条件(race conditons)。一个经典例子是,数据文件在被身份验证 后和读取之前被替换,这是一种状态攻击,攻击一个系统状态过渡到另 一个状态之间的时差、数据流控制。 82、消除电磁辐射的最容易方法是,1.电缆屏蔽或放入导管。2.物理安全 控制未授权人员和设备过于靠近设备和电缆。 83、使用法拉第笼使得任何电磁信号都不能进出其包围的区域。干扰或 噪声发生器则让攻击方难以检出某个信号,前提是干扰器不能干扰设备 的正常操作,这可以通过控制区来限制干扰。 例如:如果只在办公场所的几个房间内使用无线连接,就可以使用信 号法拉第笼将这些房间包围起来,然后在控制区外放置噪声发生器,这 样,房间内可以正常使用无线连接,房间外不能使用无线连接,也不能 偷听。 第10章 物理安全需求 1、物理控制是第一道防线,人员是最后一道防线。 2、关键路径分析是一种系统性的工作,用于鉴别确定关键任务、过程、 操作以及所有必要支持之间的关系。比如,一个电子商务服务器依赖于 网络、硬件、存储、电源、空调等等。 3、对资产的保护很大程度上取决于场所(site,站点)的安全性,容易 遭受暴乱、打劫、非法闯入、野蛮破坏、高发案的区域显然不适合做场 所,场所还要能防自然灾害,能应对极端的天气,能阻拦明显的非法闯 入企图,要防振动,要评估非法闯入容易借助的树木、灌木或人为因素。 4、可视性(visibility):周围地形如何,如果有人骑车和步行靠近,能 否发现?附近的情况要考虑:附近有居民区吗?最近的消防队、医院和 警察局在哪里?有化工厂、收容所、大学、建筑工地等独特的潜在危险 吗? 5、环境设计预防犯罪(Crime Prevention Through Environmental Design, CPTED),也被称为安全架构(secure architecture),通过结构化的物理 环境和周围环境,在潜在的罪犯做出任何犯罪行为之前影响其个人决定。 它研究如何正确设计通过直接影响人类行为而减少犯罪的物理环境。 6、CPTED 和目标强化是两种不同的方法。目标强化(target hardening) 强调通过物理和人工障碍(报警器、锁、栅栏等)来拒绝访问。 最佳的途径往往是:先通过 CPTED 方式构建一个环境,然后根据需要 在设计上应用目标强化组件。 • 7、CPTED措施:(来自AIO) 1.设施周围的树篱和花架不得高于2.5英尺,这样就不会被其他人利用爬上窗 口; 2.数据中心应位于设施中央,这样设施的墙壁就能缓解任何外来力量的破坏, 而不必由数据中心来承受; 3.街道陈设物(长椅和桌子)鼓励人们坐下来观察周围发生的一切,这阻碍 了犯罪活动; 4.企业的厂区不应包含树林覆盖的区域或其他入侵者可以隐藏的地方; 5.保证以全景方式安装 CCTV 摄像头,从而使犯罪分子知道自己的行为将会被 拍摄下来,其他人则知道环境受到彻底监控,因而更有安全感。 6.由于明显缺乏躲藏或实施犯罪的场所,因此清晰的视线和透明度可用于阻 挡潜在的罪犯。 7.停车场车库内的楼梯间和电梯可能使用玻璃窗,而不是金属墙壁,以便人们在 这种可见性更强的环境中感到更加安全。 8.停在车库内的每排汽车都采用矮墙和建筑立柱(而不是实心墙壁)隔开,以允 许步行者查看车库内发生的活动。 9.护柱指矮小的柱子,常用于阻止车辆通行,从而保护建筑物或行走在人行道上 的行人不会受到车辆的伤害。它们也可以用于引导步行者。 10.甬道两边有令人赏心悦目的花草,这是CPTED设计要你沿着甬道的方向走。 11.在城镇和城市中,会有一些区域专供人们遛狗,有一些野餐桌供人使用,还 有厕所、公园以及供人们运动(棒球、足球)的场所。所有这些都让当地人有生 活在一个集体之中的感觉,有家的味道。这有助于人们认识谁是当地人、谁是外 来人、什么行为正常和什么行为不正常。如果人们感觉他们生活在自己熟悉的邻 里之间,他们便更有胆量挑战可疑行为和保护当地区域。这些措施还会让潜在的 罪犯觉得他们不属于这个地方,他们的行为有被发现的危险,而且他们的违法行 为不会被容忍或忽视。 8、震动要小,要有空气正压,防止有害烟尘进入,液体也要正向流动。 内部隔断要延伸至天花板楼板并且有与墙体相当的强度。在频繁发生震 动的地方,要安装支架,吸收震动的影响。 9、对物理安全的安全控制也是分为物理的、技术的、行政的, 物理的包括围墙、照明、锁(即便是电子锁、生物识别)、陷阱、 狗、警卫, 技术的包括CCTV、HVAC(空调)、监控、入侵检查、报警等, 行政的包括选址、站点管理、人员管理、意识培训、应急响应规程。 10、设计环境物理安全时,记住顺序:先是阻拦(Deterence,威慑), 然后拒绝(Denail)、然后检测(Detection),然后延缓(Delay)。 11、现场替换备件如果不可行,与硬件供应商签订SLA非常必要。要制定 替换和修理时间表,以平均无故障时间(Mean Time to Failure,MTTF), 平均修复时间(Mean time to Repair,MTTR)为基础,一定要在MTTF之 前进行替换。 平均故障间隔时间(Mean Time Between Failure),是首次故障后,在 发生故障的平均间隔时间。如果MTTF和MTBF相似,厂家往往只列出 MTTF。 12、配线间的安全策略: 不要把配线间做存储区; 要有足够多的锁,钥匙授权管理; 整洁,视频监控,纳入环境监控; 定期物理检查; 使用开门传感器并log进入记录。 13、机房要在建筑物的核心位置,避免放在底层、顶层和地下室。远离 水、气和污水管道,防止管道泄漏带来的风险。机房墙壁要能防1小时的 火。 14、证据存储(Evidence storage)主要用于企业内部调查或执法调查, 可能涉及: 专用的存储系统、不与互联网相连、 计算HASH值、加密数据、 跟踪存储系统的活动, 限制安全管理员和法律顾问的访问。 15、对设施内所有地方的进入要求不应该同等对待(分区),从地板到 天花板之间的全封闭墙壁被用于分隔不同敏感度和机敏性的区域。 AIO:许多建筑物都有吊顶,这意味着内部分隔不能延伸到真正的天花 板(只能到达吊顶处)。入侵者能够掀开天花板,然后爬过隔板。 16、智能卡(Smartcards )是信用卡大小的身份证、员工证或安全通行 证,卡上具有磁条、条形码或植入的集成电路芯片(IC卡)。 智能卡包含了经过授权的可以被用于身份识别和或身份认证目的的持 卡人信息。 某些智能卡甚至具有处理信息的能力或被用于在内存芯片上存储一定 数量的数据。 大多数情况下,智能卡需要多因子配置,防止智能卡被盗或丢失后被 冒名替代。最常见的用于智能卡的多因子认证要求使用 PIN。 17、接近式读卡机(Proximity reader):无源设备改变了由读卡机产生 的电磁场,读卡机能检测到这种改变: 无源设备(没有电,只有小磁场,超市里贴的磁条) 场源设备(是电子设备,由EM场产生供电,挥卡进门)。比如交通 卡。 发送应答器(有电源,如车钥匙或车库开门系统) 18、为了阻止物理访问控制的滥用、伪装和尾随,还必须部署保安人员 或其他监控系统。 滥用包括敞开安全门、绕过锁或访问控制。 伪装是指使用其他人的安全 D 获得进入某座设施的权限。 尾随是指跟随着某个人通过受到安全保护的门或通道,而自己并没有 接受身份识别或身份认证。 19、即使是物理访问控制,审计跟踪和保持访问日志也非常有用。它们 可能需要保安人员手工建立,也可能是在有足够的自动化访问控制机制 (例如,智能卡和某些接近式读卡机)的情况下自动生成。 20、最简单的入侵检测系统是在入口点使用干触点开关,在门或窗被打 开时开始检测工作。 入侵检测要连接入侵警报器才有用。可靠的入侵检测和警报系统都需 要有能保证24小时可用的备用电池。 为了防止通信线路被截断,要求有监控线路的心跳传感器,一旦无法 检测到心跳信号,就报警。 21、UPS将电力提供给与之相连的设备,通过UPS的直通,维持连续和平 稳的电力供应。在主要电源出现故障时提供持续的电力供应。 22、带有电涌保护(surge protector)的配电盘(power strips)也是一种 防护,通过保险丝(fuse)的熔断(blow)来保护设备不受功率剧烈变 化带来的损害,但是保险丝熔断后电力就会中断,所以并不如UPS。 23、发电机是电源的替换和后备方案。 24、电源术语: 故障(fault)电力短暂消失;中断(blackout)电力完全消失; 电压不足(sag)短暂的电压不足;脉冲(spike)短暂高电压; 降压(brownout)较长时间电压不足;电涌(surge)较长时间高电 压; 启动功率(inrush)电源启动时的电涌;瞬时现象(transient)短暂的 线路噪声干扰; 平稳(clean)平稳的电流;接地(ground) 25、ANSI标准允许电力来源和设施电表之间可以降压8个百分点,墙壁插 座和设施电表之间可以有3.5个百分点的降压,这都是标准之内的,不能 标记为brownout 26、计算机房的温度应该保持在摄氏15度到23度之间(华氏60~75度)。 湿度应该维持在40%到60%之间,湿度太高会侵蚀,太低会产生静电。 27、水的问题:漏水和水灾。只要有可能,就要将放置服务器的房间和 重要计算机设备远离任何水源或传输管道。 在关键任务系统的地板周围安装水检测电路。水检测电路具有警报装 置。 为了将紧急事件减到最少,一定要熟悉关闭阀门和排水装置的位置。 应该对所在区域处理暴雨或水灾的设施的能力进行评估。这些设施是 位于小山,上还是山谷中?是否有足够的排水装置?放置服务器的房间 是位于地下室还是在一层? 28、起火三角形:燃料、高温、氧气,三角形内部是化学反应。这四个 元素去掉一个,就能灭火。 29、水能抑制高温 苏打酸和其他干粉能抑制燃料供应 二氧化碳抑制氧气供应 哈龙替代物(哈龙*)和其他非易燃气体能干扰化学反应或抑制氧气供 应(捕捉游离基和破坏火焰接触面)。 记忆:哈龙把氧气都吞了,哈龙还能干扰化学反应。 30、数据中心的大多数火灾都是由配电插座过载导致的。 31、灭火器分类:(必考) 级别 火灾类型 A B C D 灭火材料 普通易燃品 水、苏打酸(干粉或液态) 液体 二氧化碳、哈龙*、苏打酸 (不能用水,因为液体会浮在水的表面,而且会导致燃烧液体飞溅) 电的 二氧化碳、哈龙* (不能用水,因为会触电) 金属 干粉 (金属燃烧会产生氧气,所以不使用气体抑制类) 32、起火有4个阶段,开始、冒烟、火焰、高温。越早检测到火,就越容 易使用相应的抑制物灭火,损失就越小。开始阶段只存在空气电离(不 冒烟)。 32、每个人都应该熟悉他们所在设施的灭火机制,都应该熟悉他们工作 地点至少两条安全撤离通道,都应该接受培训,都知道灭火器的位置和 使用方法。培训应该包含心肺复苏(CardioPulmonary Resuscutation, CPR)、紧急关闭程序、约好的会合地等等。 33、防火检测:四类: 固定温度检测:设定好的温度检测,触发灭火装置,触发器是花洒头 部的金属或塑料的可融化部件。 温度上升比率检测。 火焰激发系统(根据火焰的红外线能量触发)。 烟感(根据放射性电离的感应)。 34、在人性化的环境中,放水。在无人居住的机房,释放气体。 35、四种放水系统: 湿管道系统(wet pipe,总是充满了水); 干管道系统(dry pipe,里面有压缩的空气,灭火装置触发后,空气泄 漏后会打开水阀); 洪水系统(deluge system)是干管道的一种,管道比较粗,不适合电子 设备环境; 预先响应系统(preactio nsystem)是干湿混合的,平时是干的,通过 热感烟感检测到初期火灾后,管道中充水,花洒头融化后喷水。如果花 洒头融化前火被熄灭,则管道被手工排空又成为干的,也即洒水头触发 前可以人工干预。 36、预先响应系统是最适合计算机和人都存在的环境的水系统。基于水 的灭火系统的常见故障是人为错误,比如水源被关闭,没有火的时候触 发放水。 37、气体释放系统比水系统更有效。但不应当部署在有人的环境中(因 为会没有氧气),气体介质为二氧化碳、哈龙或FM-200(哈龙替代物)。 38、哈龙的问题是高温(华氏900度)会变成有毒气体,除此之外,它还 会破环臭氧。可以用哈龙替代物或者低压水雾替代哈龙,水雾可以降温, 但不适合电子设备。 39、火灾引起的破坏主要是烟和热,烟对大多数存储设备造成损坏,热 会损坏所有电子设备(华氏175度(摄氏80度)损坏CPU和RAM)。灭火 介质会引起电路短路、加快侵蚀,导致设备无法使用。 40、建筑物边界(perimeter)安全控制:栅栏(fence)、大门、旋转门 (turnstiles)、陷阱(mantrap) 41、栅栏(fence)包括地上的画线、铁丝网、水泥墙、激光防线。3~4 英尺(1.2m)高可以防范随意(Casual)的进入,6~7英尺(2.1m)已 经难以攀越,阻止大多数入侵者,但意志坚定者除外;8英尺高带铁丝网 可以阻止下了决心的入侵者。(1 英尺=12 英寸=0.3048 米) 42、大门是栅栏上受控的出入点,大门的阻挡程度和栅栏应当一致,大 门关闭后,不提供任何的脆弱性,门应当尽量少,保安操作门,没有保 安时,用狗和CCTV。 43、旋转门每次只能进一个人,而且是单方向转动,要么进、要么出。 旋转门是一个安全的Revolving Door(十字形旋转门)。 44、陷阱的目的是牵制主体,直至其身份得到确认和验证。认证后内部 的门才打开,如果没有得到授权,两个门都关,警卫会把来人送走或带 走。陷阱体现了delay的特性。陷阱会有防捎带(piggybacking)和尾随 (tailgating)的特性。 45、照明是最常用的边界安全控制形式,防范随意的入侵者、闯入者、 小偷、在黑暗中作祟的人。 46、照明不应该照亮保安、狗、岗哨。照明不要给居民、道路、铁路、 机场带来麻烦。照明不要强光反射干扰保安和狗。 47、最终都要依靠人的介入来阻止实际的入侵和攻击,保安部署在边界 内外,监视进出口,监视显示器,保安的真正优势在于能够对任何环境 作出反应。 48、但不是任何环境都适合部署保安,不是所有保安都值得信赖,他们 会受伤、生病、请假、受到社会工程学攻击,他们更注重自我保护,保 安的费用很高。 49、看门狗可以替代保安,作为deterrent和detection的形式,狗是非常 有效的,但喂狗的费用很高,还会带来保险和责任要求。 50、内部安全:主要是控制来访者,通常会有护送者陪着给访问者,监 视他们的进出入和活动。 如果没人跟着,就需要使用钥匙、密码锁、徽章、运动探测器、入侵 警报。 51、锁是身份标识(identification)和身份认证机制的强硬标识(A lock is a crude form of an identification and authorization mechanism)。 锁本身作为验证设备对进出进行授权和限制,锁通过钥匙验证了你的 身份然后让你进入。 52、有钥匙表明有授权,使用钥匙的锁叫预置锁(preset lock),预置锁 是最常见和最廉价的物理访问控制设备。 53、可编程锁或密码锁比预置锁提供了更多的控制,这些锁可能采用键 盘、智能卡、密码设备的数字或电子控制。 54、比如:电子访问控制(EAC)锁包括三个元素:保持门关闭的电磁体, 读卡机验证后让电磁体失效,闭门感应器让电磁体重新生效。 55、员工证(badges,徽章)、身份证(Identification card)或安全 ID(security ID)都是物理身份标识,badges经常包括照片、个人信息、 磁条,帮助保安核实信息。考虑刷卡进门,员工证既被用于身份标识, 又可以被用于身份认证。 56、运动探测仪用于感知物体运动,类型有很多,比如红外线、热能、 波形(发射高频微波并对反射波监测)、电容(对电场、磁场变化进行 监测)、光电(在昏暗的房间内使用)、音频(对声音监测)等。 57、闭路电视(CCTV)使得一个保安能够从一个中央位置立刻监控许多不 同的区域,即CCTV增加保护的可见性。CCTV并不作为主要的检测工具, 因为需要支付高额费用给坐在那里的人观看屏幕。CCTV是预防措施,审 查(即看录像)是检测措施。 58、入侵警报: 威慑警报(deterrent),可能会采用额外的加锁、关门等,使得进一 步入侵更难。 排斥警报(repellant)使用汽笛或钟声这样的声音,并会将灯打开。主 要是让入侵者气馁(discourage)。 通知警报:对入侵者缄默,但会记录数据并通知管理员、保安和执法 机构。 59、警报按照所在地方分类:本地警报广播信号(120分贝以下),警报 系统必须受到保护,警报附近有安全团队和保安。 集中式警报:本地不报警,通过信号通知远程集中式监控。 辅助警报系统能够通知消防、警察和医院来及时响应。 60、现实世界中,部署多层物理访问控制,最外层是照明,整个周边都 被清楚照亮,灯光区域内,有栅栏或墙,特定控制点有出入口,这些地 方有门、旋转门、陷阱,通过CCTV和安保人员监控。每个关口都要求鉴 别和认证。比如:照片是鉴别,看照片就是认证。最敏感的资源和系统 只有最高特权的人可以访问,并且要位于建筑物的中央。 61、不论何种情况下,保护人员生命安全是最重要的方面。人永远是重 中之重,许多组织采取人员紧急计划(Occupant Emergency Plan,OEP) 指导和协助在灾难发生时维持人员生命安全。OEP不解决IT问题或业务连 续性问题,BCP和DRP才解决那些。 领域4-通信和网络安全 第11章 网络安全架构与保护网络组件 1、上层协议栈(应用层、表示层、会话层)中的报文被称为数据流(Stream), 在传输层,TCP的称为段(segment),UDP的称为数据报(datagram), 网络层称为数据包(Packet),数据链路层称为帧(Frame), 物理层称为Bit。 2、物理层从数据链路层接收帧,把帧转化为通过物理连接介质传送的比 特。还负责接收来自物理连接介质的比特,并将比特转换为数据链路层 所使用的帧。 3、物理层涉及的电气规范、协议和接口标准: EIA/TIA-232(449)、X.21、高速串行接口HSSI、 同步光网络SONET、V.25/V.35。 主要控制同步、噪音、吞吐率、介质访问等。 4、物理层(第一层)的硬件设备主要包括网络接口卡(NIC)、集线器 (hub)、中继器(repeater)、集中器(concentrator)、放大器 (amplifier)。 5、数据链路协议负责将IP包转换为可以进行传输的适当格式,帧格式如 以太网IEEE 802.3,令牌环802.5,ATM、光纤分布式接口FDDI、铜线分布 式接口CDDI。 6、数据链路层内驻留的协议:串行线路网络协议(SLIP)、点对点协议 (PPP)、ARP(将IP解析为MAC)、RARP、L2F、L2TP、PPTP、ISDN。 7、数据链路层的网络硬件设备包括交换机和桥。 8、数据链路层包含两个子层,逻辑链路控制(LLC)子层和MAC子层。 并不是考试的关键。 9、MAC地址用16进制表示的6字节(48比特), 如00-13-02-1F-58-F5 前三个字节表示制造商,是组织唯一标识符(OUI,由IEEE控制的), 后三个字节由供应商控制。 为了向IPv6做准备,MAC也有从48位转换到64位的举动。 10、网络层负责提供路由和尽力传送,也有错误检测和通信控制(traffic control)。 三个最被认可的非IP协议是:IPX(Novell)、AppleTalk和 NetBEUI(微软的)。 微软已经将NetBEUI工作于TCP/IP之上,然后支持SMB(Sever Message Block)协议,也被称为通用互联网文件系统(Common Internet File System,CIFS)。 11、非IP协议是罕见的,大多数防火墙无法对这些协议的数据包头、地 址和有效载荷进行内容过滤。 12、网络层的协议:RIP、OSPF、BGP、IP、ICMP、网络组管理协议 (IGMP)、IPSec、IPX、NAT、网络简单密钥管理协议(SKIP) 13、工作在第三层的硬件设备包括路由器和桥式路由器。 14、路由器基于速度、跳数、优先级等信息决定了数据包传输的最佳逻 辑路径。 路由器使用IP地址来指导数据包的传输。 桥式路由器主要在第三层工作,必要时在第二层工作,是一种先尝试 路由、失败时默认桥接的设备。 15、路由协议主要有两个类别,距离矢量和链路状态。 距离矢量路由协议维护目的网络以及距离和跳数的列表(RIP、BGP、 IGRP)。实现还是管理都比较简单。收敛速度慢,报文量大。 链路状态路由维护一张所有连接网络的拓扑图(OSPF)。每个路由器 需要有较大的存储空间,计算工作量大。 16、距离矢量路由协议:每个路由器都不了解整个网络拓扑,它们只知 道与自己直接相连的网络情况,并根据从邻居得到的路由信息更新自己 的路由。 距离矢量协议无论是实现还是管理都比较简单。缺点:收敛速度慢,报 文量大,占用较多网络开销。 17、链路状态路由协议:每台路由器使用Hello协议来发现其链路上的所 有邻居,将每个邻居的相关信息(包括邻居ID、链路类型和带宽)打包 成链路状态数据包(LSP),并向邻居发送LSP。最终,每台路由器会在 本地数据库中存储邻居发来的LSP的副本。有了这个数据库,就可以使用 最短路径优先(SPF)算法来计算通向每个网络的首选(即最短)路径。 缺点:每个路由器需要有较大的存储空间,用以存储所收到的每一个 节点的链路状态分组。计算工作量大,每次都必须计算最短路径。 18、传输层负责管理连接的完整性并控制会话,主要通过建立逻辑连接, 实现了分段、排序、错误检查、流量控制,错误纠正、复用和网络服务 优化。 传输层的协议:TCP、UDP、SSL、TLS、SPX(顺序数据包交换) 19、会话层负责在两台计算机偏应用层面之间建立、维护和终止通信会 话。 所谓会话,就是有上下文需要被保存和使用的,在各个层次上都有会 话的概念。 会话层是在应用和应用之间建立起了连接。传输层是在计算机到计算 机之间建立起了连接。 会话管理对话控制(单工、半双工、全双工),建立checkpoint,并重 传上一次检查点以来失败的PDU。 包括这些协议:NFS、SQL、RPC。 20、表示层在数据中添加通用的结构和格式化规则,比如编码、数据格 式(音视频)、加密、压缩。 协议比如ASCII、EBCDIC、TIFF、JPEG、MPEG、MIDI等。 21、应用层:HTTP、FTP、SMTP、Telnet、TFTP、IMAP、SNMP、S-RPC、 SET、LPD(打印机后台程序) 22、网关工作在应用层,主要是用作协议转换。应用防火墙也在应用层。 23、TCP/IP模型仅由4层组成,应用层(5~7)、传输层(4)、网际层 (3)、网络接入层(1~2)。除非专门指出,默认讨论的是OSI模型。 24、TCP/IP设计目的是便于使用而不是安全,因此容易遭到攻击。 25、除了使用PPTP、L2TP和IPsec的VPN,还有一种提供协议级别安全性 的方法是采用TCP包装(TCP wrapper),TCP包装是基于端口的访问控制, 通过用户ID或系统ID限制对端口的访问,起到基本防火墙的作用。 Tcp_wrapper本质上是一种标准的Unix安全工具,是unix守护程序inetd的 一个标准插件。通过它对各项服务的劫持把关,管理员实现了对inetd提 供的各种服务进行监控和过滤。 26、前1024个端口(0~1023)是知名端口。1024~49151是软件注册端 口,注册到IANA。49152~65535是随机、动态、私有端口。 27、TCP通过三次握手建立一个会话。C->S: SYN S->C: SYN/ACK C->S: ACK 结束会话需要四次挥手:C->S: FIN S->C: ACK S->C:FIN C->S: ACK 。 另外一种中断会话的方法是RST包。 28、TCP较大的窗口,允许更快的数据传输速度。连接不可靠时,就会用 比较小的窗口。在发送窗口的所有数据包未接收完的情况下,不会发送 任何确认数据包。 29、TCP报头的长度为20字节~60字节,主要有16位源端口(2字节)、 16位目的端口(2字节)、32位序列号、4位数据偏移量、8位标志、16位 窗口大小、16位校验和、16位紧急指针和可变的各种32位的选项。 30、TCP的标识位有SYN、ACK、FIN、RST、URG、PSH等。IP包头中,表 示TCP的值为6。 31、使用嗅探器前,要有授权,否则视为安全违规行为。 32、UDP不提供错误纠正,不使用序列,不使用流量控制,不使用会话, 不可靠,系统开销很低,速度快。音视频等实时流式通信经常使用UDP。 33、UDP报头的长度为8个字节,源端口(2字节)、目的端口(2字节)、 报文长度(2字节)、校验和(2字节)。IP包头中,UDP的值为17。 34、IPv4使用32位寻址(4字节),IPv6使用128位寻址(16字节),IPv6 新功能包括域地址、自动配置(就不需要DHCP和NAT了)、QoS等。 35、IP等级(classes):A类子网支持16 777 214台主机,B类支持65534 台主机,C类支持254台主机,D类为多播,E类保留。 OSG书上没有的知识点: IPv6地址为128位长(16字节),但通常写作8组,每组2个字节。例 如:2001:0db8:85a3:08d3:1319:8a2e:0370:7344,如果四个数字都是零, 可以被省略。例如:2001:0db8:85a3:0000:1319:8a2e:0370:7344等价于 2001:0db8:85a3::1319:8a2e:0370:7344 遵从这些规则,如果因为省略而出现了两个以上的冒号的话,可以压 缩为一个,但这种零压缩在地址中只能出现一次。 IPv4 地址可以很容易的转化为IPv6格式。如果IPv4的一个地址为 135.75.43.52(十六进制为0x874B2B34),它可以被转化为 0000:0000:0000:0000:0000:0000:874B:2B34或者::874B:2B34。同时,还可 以使用混合符号(IPv4-compatible address),则地址可以为::135.75.43.52。 36、A类地址的127段留给环路地址,但事实上只用了一个地址。 37、子网划分的一种表示方法是无类别域间路由CIDR(Classless InterDomain Routing),采用掩码位表示,如172.16.1.1/16代替255.255.0.0. 38、ICMP(网络控制报文协议)用于确定网络的健康状况,ping、 traceroute、pathping等工具用了ICMP,经常被基于带宽的拒绝服务所利 用, ping of death发送大与65535字节的包 smurf通过欺骗对目标网络产生大流量 ping flood是基本的DoS攻击 IP包头表示ICMP的值为1。 39、注意,当UDP目的端口不可用时,对方会发一个ICMP类型3的报文回 来,表明目的不可达。(因为UDP自身没有手段发送错误) 40、IGMP(网络组管理协议)允许多播。IP包头中表示IGMP的值为2。 41、常见端口 SMTP:25 POP3:110 IMAP:143 DHCP,67、68 TFTP的端口为69 NFS:2049 SNMP:使用UDP 161、162(Trap) LDP:515 42、IMAP比POP3更安全,也是邮件客户端的协议,能从邮件服务器取包 头,能够远程直接从服务器删除邮件。 43、协议的分层,FTP可以在一个只允许HTTP的环境下绕过限制: [Ethernet[IP[TCP[HTTP[FTP]]]]] Loki这种工具可以将TCP封装在ICMP里面: [Eth[IP[ICMP[TCP[HTTP]]]]] 多层协议的缺点:允许隐蔽信道、绕过过滤机制、网络边界被逾越 (多层VLAN标签导致跨越VLAN),好处:灵活、不同层次合作。 44、DNP3(分布式网络协议)是 CISSP CBK 专门提出的与多层协议相关 的内容。DNP3类似TCP/IP,有链路层和传输层,主要用于电力和水利行 业的使用,包含子站计算机、远程终端单元(RTU、嵌入式)、智能电子 设备(IED)和SCADA主站(控制中心)。 45、某些NIC支持MAC地址变化,大多数现代OS也支持这一点(在内存中 变化)。 46、汇聚协议(converged protocol),汇聚协议是把专有协议融合到像 TCP/IP这样的标准协议上。好处是复用现有的网络基础设施,成本低。比 如:FCoE(Fibre channel over Ethernet),在以太网上封装光纤通道FC协 议,让SAN存储设备的FC请求和数据可以通过以太网连接来传输,而无需 专门的FC结构,从而可以在以太网上传输SAN数据。FCoE这种架构下,只 是用了TCP/IP的第二层及以下,光纤通道替换了IP。 47、MPLS(多协议标签交换)是一种高吞吐率高性能的网络技术,传输 数据时基于最短路径标签而不是基于更长的网络地址,节省了基于IP的 路由过程。MPLS可以和多种协议封装。 48、iSCSI,是基于IP的网络存储标准,是FC的低成本替代方案。 49、VoIP是在TCP/IP上传输语音,已经取代或具备取代PSTN的潜力。VoIP 还支持视频。 50、SDN的概念旨在把控制层(网络的数据传输管理)和基础设施层 (即硬件)分离。从中央位置编程,网络设备可以标准化和通用化(白 盒交换机)。数据的传输路径、通信决策树以及流量控制都在SDN层处 理,而不是由每个设备的硬件来计算。 51、CDN(内容分发网络)通过分布式数据主机提供多媒体性能质量, 提供低延迟、高性能和高可用性,CDN是一种地理和逻辑负载均衡的结 果。一般都是基于地理,但基于客户的CDN也是可能的(P2P就是这样), 最被广泛认可的P2P CDN是BitTorrent。 52、无线网络之所以不安全,主要是因为最终用户和组织缺乏知识以及 设备制造商提供的不安全默认配置。 53、当电子移动时就会发生泄露。电子运动产生电磁场。如果能读到电 磁场的话,可以在其他地方再次创造,以便复制电子流。这种形式的电 子窃听听起来像科幻小说,但却是科学事实。美国政府从 20 世纪 50 年 代一直以来都在 TEMPEST 项目下研究电磁泄漏安全。 54、802.11是IEEE关于无线网络通信的标准,802.11X用来泛指整个协议 族,但注意千万不要和802.1x混淆了,后者是认证技术。 802.11(2M) 802.11a(54M) 用5G 802.11b(11M) 用2.4G 802.11g(54M) 用2.4G 802.11n(200M) 用2.4G和5G,n有两种频率 802.11ac(1G) 用5G 55、部署无线网络时,要部署基础设施模式(Infrastructure mode)而不 是ad hoc模式(或称P2P模式),后者意味着任意两个无线设备都可以互 相通信。前者意味着AP只是一个接入点。 56、基础设施模式也有好几种形式: 独立模式(stand alone)不提供有线资源,仅仅提供无线hub; 有线扩展模式提供有线网络接入; 企业扩展模式是指多个AP连接巨大的物理区域到一个有线网络; 桥接模式通常在有线桥接不方便时,比如在两个建筑物之间使用专用 的无线桥接器把网络连接起来。 57、SSID有两种,扩展服务集标识符ESSID(extended service set ID, ESSID),基本服务集ID(Basic service set ID,BSSID), ESSID是无线基站或WAP的名称(也即基础设施模式)。 BSSID是ad hoc模式或称P2P模式的名称。 在基础设施模式下运行时,BSSID是ESSID基站主机的MAC地址,用来区 分一个扩展无线网络下的多个基站。 58、无线信号可以有多个信道,美国有11个频道,欧洲有13个,日本有 17个。相邻信道中的无线信号会互相干扰。 59、出于安全考虑,SSID应该禁用以保持私密性。但即便如此,攻击者 可以用无线嗅探器发现客户端和WAP之间的SSID,所以并不是真正的安 全机制。应该使用WPA2这种真正的认证+加密的解决方案。 60、执行现场勘测(Site Survey):用于发现不需要无线接入的物理环境 区域。调查在环境中部署无线接入点所需的信号强度。这项任务通常包 括携带便携式无线设备进行现场行走观察,留意无线信号的强度,并据 此在建筑图上进行标注。响应地,还会最大限度地减少或消除不允许无 线接入位置(公共区域、跨楼层、其他房间或建筑外)的无线信号。 61、IEEE802.11定义了验证客户端的方法: 开放系统(Open System Authentication,OSA)、OSA就是不用认证 共享密钥认证(Shared Key Authentication,SKA),SKA有WEP、WPA、 WPA2。 62、WEP提供和有线等级别的安全性,能够防止嗅探,防止非授权访问。 预定义静态的共享密钥,使用HASH提供完整性保护。 在WEP中,知晓密钥就可以加密通信,同时也是一种基本的身份认证, 没有密钥就进不了网络,目前,可以在不到一分钟时间就破解WEP。 WEP使用RC4流密码算法,但RC4在设计上和实现上有缺陷,WEP的弱 点在于使用静态的公共密钥和薄弱的IV(初始向量)。 63、WPA被设计用来替代WEP,基于TKIP或LEAP(轻量级可扩展认证协议, 是Cisco专有的,用于替代TKIP)加密体系,本来是临时的,但后来一直 在使用。 64、WPA的缺点:一方面,WPA所使用的单个静态口令容易遭受暴力猜 解,另一方面,LEAP和TKIP都能用不同的技术破解,所以WPA不提供长 期可靠的安全。 65、802.11i是专门用来代替WEP的,但WPA这个名字已经被使用了,所 以802.11i没法再用这个计划中的名字,只能叫WPA2了,而实际上,这是 完全不同的技术。 66、802.11i或WPA2实现了类似IPSec的概念。使用CCMP协议替代了TKIP, CCMP也即计数器模式密码块链接消息认证码协议(counter mode cipher block chaining message authentication code protocol,也即(Counter CBCMAC Protocol)),是基于AES加密,Counter模式实现了加密,CBC-MAC 实现了完整性认证。目前看来,尚无实际的攻击能破坏WPA2。 67、 可以这样认为: WPA = IEEE 802.11i draft 3 =IEEE802.1X/EAP+WEP(选择性项目)/TKIP WPA2 = IEEE 802.11i = IEEE 802.1X/EAP+WEP(选择性项目)/TKIP/CCMP 68、如果基站有外部的全向天线,通常应该垂直定位。全向天线, omnidirectional atena,标准的直杆天线,垂直于天线本身收发信号,也 被称为基础天线或橡胶天线(rubber duck)。 69、如果使用定向天线,则是专注于某个方向收发信号,如Yagi天线,类 似传统的屋顶电视天线,再如cantenna天线、面板天线、抛物线天线。 定向天线应该指向所需要的区域。设计安全网络时,工程师可以选择 定向天线,以避免在不希望的区域提供广播信号。 70、使用强制门户(captive portals):将新连接的无线WEB客户端重新 定向到强制门户访问控制页面。也被用来显示使用策略、隐私策略和跟 踪策略。用户必须同意才能进入网络。 71、一般的wifi安全措施还包括: Change the default administrator password. Disable the SSID broadcast. Change the SSID to something unique. 客户端较少时,启用MAC过滤; 使用静态IP; 使用802.1x; 使用防火墙把无线网和有线网隔离起来; 使用IDS监控无线网到有线网的流量; 在无线客户端和WAP之间使用VPN加密。 72、通常,添加WPA2和IPSec VPN这样的加密层次,使无线链路降低高达 80%的有效吞吐量。此外,如果离基站较远,或者存在干扰,将进一步 减少有效吞吐量。 73、有一个技术的合集,通常称为战争驾驶(wardriving),用于发现使 用中的无线网络。攻击者可以发现隐藏的SSID,活动的IP,有效的MAC, 然后用专门的破解工具,试图会话劫持或者中间人攻击。 74、内部网(Intranet)是专有网络(Private network),外人不可访问。 外部网(Extranet)是互联网和内部网之间的中间网络,外部网里面的服 务可以供给合作伙伴使用,供公共消费的外部网被标记为DMZ区。 75、网络隔离(segment)的目的: 1、提高性能(经常通信的在一个网段) 2、减少通信(减少广播风暴) 3、提高安全性(隔离数据流,需要用户接入认证) 分隔的手段主要是VLAN、路由器、防火墙。私有局域网、intranet、 extranet、DMZ都是网络隔离的类型。 76、网络接入控制(NAC)的目标: 1、预防/减少0-day攻击(别人进不来) 2、加强网络通信的安全策略 3、使用身份认证完成入网 802.1x用于实现NAC,但802.1x事实上只是NAC的一部分。 NAC有进入前评估和进入后评估,前者说的是装了补丁和杀毒软件才能 更新,后者是基于其行为可以拒绝访问。 77、大多数防火墙提供基本的入侵检测。除了记录网络通信活动,还要 记录: 1、防火墙的启动 2、无法启动的代理或服务 3、崩溃或重启动的代理或服务 4、防火墙配置文件的更改 5、防火墙运行时配置错误或系统错误 防火墙故障往往是人为错误和不当配置造成的。 78、防火墙有4种:静态包过滤防火墙、应用级网关防火墙、电路级网关 防火墙、状态检测防火墙。 1、静态包过滤防火墙:第一代防火墙,在第3层工作。关注源目地址 和端口。容易受到虚假数据包的欺骗。 2、应用级网关防火墙:也称代理防火墙,每个数据包都要经过检查和 代理,性能不强,是第二代防火墙,在第7层工作。 3、电路级网关防火墙:在会话层(第5层)工作,使用socks(socket secure)协议(说是电路级(circuit-level),其实是个通信电路的比喻, 是在会话层),只基于通信电路的终点(源目地址、服务端口号)来许 可或转发,仍被视为第二代防火墙。 4、状态检测防火墙:对网络通信的状态进行监测,比应用级网关防火 墙更有效,视为第三代防火墙,通常在第3层和第4层工作。 79、多宿主防火墙,至少有多个接口, 堡垒主机(屏蔽主机)只是位于专用网络和不可信网络之间的防火墙 系统。 屏蔽子网(DMZ)和屏蔽主机的概念相似,位于两个路由器之间,所 有入站通信都定向到堡垒主机,只有堡垒主机代理的通信才能通过第二 个路由器进入专用网络。 80、防火墙部署的体系结构:可以看到,DMZ既可以位于一个防火墙的 一个接口上,也可以在两个串联的防火墙之间。对于三层部署,中间那 个事务处理子网,里面放的是web应用服务器。这种最安全。注意Twotier的两种形式,Three-Tier的两种形式。 81、终端安全:“终端设备要为自己的安全负责”。 82、关于冲突和广播 冲突域是指域内成员如果同时发送数据信号,就会冲突(冲突域外部 的就不会冲突)。 广播域是指一个成员发送广播信号,域内所有成员都收到(广播域外 部的就不会收到)。 83、第二层设备(及以上)可以分隔冲突域,但仍可在相通的广播域。 第三层设备(及以上)可以分隔广播域和冲突域。 84、Repeaters、Concentrators、Amplifiers都工作在第1层,这些设备两侧 都位于相同的冲突域和广播域。hub集线器也工作在第1层,两侧也都在 相同的冲突域和广播域。 85、调制解调器后来被ISDN、DSL modem、cable modem、wireless等形式 所替代,这些现代设备其实都已经是做路由器了。 86、桥工作在第2层,作用是将两个网络连接在一起,目的是使用相同的 第2层协议(即便是不同第1层),使用不同速率的桥可以缓存数据包, 然后把数据包转发到较慢的网络,这成为存储转发设备。桥的两侧在相 同的广播域,但冲突域不同。 87、交换机工作在第2层,如果交换机有路由功能,也可在第3层工作 (可在VLAN之间路由)。 广播只能在一个VLAN中。第2层交换机两侧可以位于同一广播域(考虑 VLAN)。但冲突域不同。 第3层交换机,其两侧的系统位于不同的广播域和冲突域。 88、路由器工作在第3层,两侧属于不同的广播域和冲突域。桥式路由器 (Brouter)主要工作在第3层,尝试路由如果失败就工作在第2层。如果 工作在第3层,两侧就不同的广播域和冲突域,如果工作在第2层,两侧 就相同的广播域不同的冲突域。桥式路由器连接使用相同协议的网段。 89、网关工作在第7层,连接使用不同协议的网络。代理是一种不要在协 议之间转换的网关,代理能够充当中介、过滤、缓存、NAT/PAT。 90、LAN扩展(LAN extenders)是通过WAN连接远距离网络,经销商通常 不愿意说WAN,原因是WAN有点复杂了。 91、网络故障的最常见原因是线路故障或配置错误。 92、同轴电缆(coaxial cable)已经被双绞线(低廉而且安装简便)替代。 同轴电缆中心是一根铜线被绝缘物质包着、然后被导电编织屏蔽物包着、 然后被最外面绝缘皮包着的东西,需要50欧姆网段终结器,有粗缆 (10Base5,可扩展到500米距离,10M吞吐率)和细缆(10Base2,扩展 到185米,10M吞吐率)两种。 93、双绞线由4对线缆组成,包在PVC绝缘皮内。如果里面有一层金属箔 纸片,那就是屏蔽双绞线(STP,shield twisted-pair),可以防范EMI,如 果没有就是UTP。 94、UTP就是10Base-T(3类线10M)、100Base-T(5类100M,5e类线 1000M)、1000Base-T(6类线1G),7类线能到10G(短距离内),(1 类线主要适用于语音和调制解调器的,2类用于大型主机、4类用于令牌 环)。这些现在都是过时的技术。T代表双绞线,然后距离为100米。 95、双绞线里面的铜线是成对绞在一起的,这样可以免受外部无线电和 电磁干扰, 线缆中的每个线对都以不同的程度进行缠绕(也就是每英寸距离内进 行缠绕),这样当信号在一对线上传递时,就不会交错到另一对线上。 缠绕得越紧(每英寸进行的缠绕越多),那么对内部和外部干扰以及 串扰的屏蔽也就越强,因此吞吐的能力也就越大(也就是说,具有更大 的带宽)。 96、双绞线的常见问题: 使用错误的线类型(category)来完成高吞吐连接; 双绞线长度超过了最大长度100米(T就是100米); 在干扰大的情况下错误使用了UTP(而没用STP)。 97、铜线对电流存在电阻,所以长了以后会有信号强度衰减问题;传输 速率越高,衰减越严重,所以高速要用短线;距离长了可以使用中继器 或集中器,连续使用的中继器不能多于4个;阻燃线缆在燃烧时不会释放 毒烟; 89、光线传输的是光脉冲,速率快,几乎不会收到窃听和干扰。然而安 装困难、价格昂贵。 98、网络几种拓扑:环形(ring)、总线型(bus)、星型(star)、网状 型(mesh)。 99、环形用的是令牌,令牌绕着环走,谁有令牌谁能传输数据,数据和 令牌也都是按照环来绕,每个节点都看看是不是给自己的数据,不是就 放行,直到目的地,收取数据,继续绕行令牌。会出现单点故障的问题, 容错机制就是反向运行的双环。 100、总线型(Bus)拓扑所有系统可以同时传输数据,会导致冲突,所 以要侦听,如果侦听到通信,就会等待片刻再侦听。没有通信时才传输 数据。物理上的总线结构已经很少使用,因为容易出现断网,而且两端 要有终结器。总线拓扑分为两种,线型和树形。 101、星型拓扑(Star)采用了集中式连接设备,可以是一个hub或者交 换机,hub会成为单点故障。 102、以太网基于总线技术,虽然物理上是星型的,但是集线器设备实际 上是逻辑总线连接设备。 令牌环是基于环的技术,它可以通过使用多站访问部件 (Multistation Access Unit, MAU)被部署为一个物理的星型拓扑结构,同 时以内部的设备形成逻辑环连接。 103、网状型拓扑(Mesh Topology)的冗余性很好。 104、无线通信。无线电的频率从3hz到300Ghz,由于900M、2.4G、5G频 率是免执照的,所以这几种频率在无线产品中是最常见的。 105、跳频扩频(Frequency Hopping Spread Spectrum,FHSS)不断改变所 使用的频率,不是以并行形式使用可用频率,而是使用串行方式不断改 变频率,可以最小化干扰。 直接序列扩频(Direct Sequence Spread Spectrum,DSSS)以并行方式同 时使用所有可用频率,提供了更高的数据吞吐率,使用碎片码(chipping code )的编码机制重构数据,抗干扰能力也强。 正交频分复用(Orthogonal Frequency-Division Multiplexing,OFDM)采 用了更紧密压缩的多载波调制技术,已调制信号是正交的,因此不会导 致相互干扰。所以,OFDM 需要的带宽更小,却能够提供更大的数据吞 吐率。 106、蜂窝电话(Cell Phone) 第一代是模拟技术 2G是数字技术(GSM、TDMA、CDMA), 2.5G(GPRS) 3G(W-CDMA、TD-CDMA、EDGE) 3.5G(HSPDA) 4G(LTE,WiMAX) 107、蜂窝电话的关键问题: 可以被窃听,所以传输的语音、文本、数据都不一定是安全的, 基站可以被伪造,被中间人攻击。 蜂窝电话连接互联网和办公网,成为办公内网潜在的网桥。 108、我们不可能从运营商那里获得真正的端到端保护,美国的通信协助 法律实施法案(CALEA)授权,只要有warrant,电信公司必须能够允许 窃听语音和数据通信。即便链路加密,中间也要解开成明文供窃听。 109、无线应用协议(Wireless Application Protocol,WAP)不是一个标准, 而是一个功能行业驱动的协议栈。使用WTLS来实现类似TLS的功能。注意, 不要和无线接入点里面的WAP相混淆。 110、蓝牙使用2.4Ghz的频率,问题是4位的PIN码并不安全(更不要说默 认的0000)。 111、Bluejacking使得攻击者可以给你的设备发送类似SMS的消息。 Bluesnarfing能够在你不知情的情况下配对你的设备,访问你的联系人 列表、你的数据、甚至是你的通话。 snarf:vt.很快地吃喝,贪婪地吃喝 Bluebugging可以让黑客远程控制你的设备,可以打开你的麦克风进行 音频监控。 112、幸运的是,蓝牙通常只具有 30 英尺(10米)的限定范围,不过某 些设备在 100 米之外也能够运作。 113、蓝牙使用了加密,但并不是动态加密,可以破解;蓝牙适合非敏感 的活动。 114、只要有可能,最好修改设备的默认 PIN。不要使设备停留在发现模 式,在没有活动使用时总是关闭蓝牙。 115、无绳电话(cordless phone)使用的是免执照频率,信号极少加密, 容易被窃听。使用频率扫描仪即可窃听。 116、不在移动设备上保存敏感信息是十分重要的。在公共场合应该谨慎 的使用手机谈论。 117、LAN技术有三种类型:以太网、令牌环、FDDI。 以太网是共享介质的广播技术,支持全双工通信。 令牌环已经很少使用。 FDDI是一种使用两个环的高速令牌传递技术,两个环使用相反的方向 传输。常用作大型企业网络的主干,双环设计允许实现自愈,一旦有网 段坏掉,可以用剩下的内环和外环建立单个环。在快速以太网和千兆以 太网出现之前经常用在校园环境里。铜线版为CDDI,容易被干扰和窃听。 118、长距离传输或存在干扰时,数字信号比模拟信号更可靠。模拟通信 通过频率、幅度、相位、电压来传输信号,数字通信使用非连续的电子 信号或开关脉冲。 同步通信依赖时钟,适合高速传输,异步通信依赖停止位、开始位来 界定,适合少量数据的传输。 119、LAN介质访问技术: CSMA(Carrier-Sense Multiple Access)载波侦听多路存取,如果侦听发现 介质没有被使用,就传输通信数据,这种技术只是侦听,并不解决冲突, 如果发生冲突,就不成功。 CSMA/CA(Collision Avoidance)带有冲突避免的载波侦听多路存取,如果 侦听发现介质没有被使用,主机会向主系统请求特权,通过特权来避免 冲突,AppleTalk和802.11使用这个。 CSMA/CD(Collision Detection)带有冲突检测的载波侦听多路存取,侦听 介质是否可用,发送数据同时也侦听冲突,如果冲突就发送一个停发信 号,然后所有主机都会停止数据传输,每台主机都会等待一个随机的时 间再发。以太网使用了这个技术,但这会损失40%左右的潜在吞吐量。 120、LAN介质访问技术: 令牌传递,如FDDI使用此技术。 轮徇,这是主从配置的,一个系统为主系统,需要轮徇各从系统是否 需要传输数据,如果需要,就授予特权,SDLC使用这个。 轮徇时可以给某个系统更高的优先权, 比如轮徇顺序:1,2,1,3,1,4 121、EAP(可扩展认证协议)是一个认证框架,允许新的认证技术与现 有的技术兼容。PEAP(受保护的可扩展认证协议)通过TLS隧道封装EAP。 第12章 安全通信和网络攻击 1、一些常见的安全通信协议: IP简单密钥管理(Simole Key Management for Internet Protocol, SKIP),与IPSec相结合,在1998年被IKE替代。所以在第3层工作。 软件IP加密(swIPe),也在第3层工作; 安全远程过程调用(S-RPC)防止在远程系统上未经授权的情况下执行 代码;应用层的协议。 安全套接字(SSL)面向会话,提供机密性和完整性,使用40位密钥或 128位密钥。 安全电子交易(SET)的基础是RSA和DES,没有被互联网广泛接受。 2、传输层安全(TLS)类似SSL,支持单向认证,如果使用数字证书,则 支持双向认证,通常是TCP包头后的第一层数据。 TLS还能加密UDP,还能加密SIP,SIP和VoIP有关。 3、TLS可以被用在第三层作为VPN,这就是openVPN的原理。OpenVpn是 开源软件,技术核心是虚拟网卡,使用openssl实现。 4、身份认证协议也有很多,以下这三种(CHAP、PAP、EAP)最初都是 用在拨号PPP连接上,现在很多连接都用这些协议与其他较新的协议。 挑战握手身份认证协议(Challenge Handshake Authentication Protocol,CHAP)是 在PPP链接上使用的一种身份认证协议,CHAP对用户名密码加密,通过挑战响应 防重放攻击,并且可以定期对远程系统认证,这个活动对用户透明。 密码身份认证协议(Password Authentication Protocol,PAP)也适用于PPP的标 准身份认证协议,PAP以明文形式传递用户名密码,不提供加密。 可扩展身份认证协议(Extensible Authentication Protocol,EAP)是一种身份认 证架构,可以支持自定义身份认证的安全解决方案,如智能卡、令牌和生物测定 学。 受保护的可扩展认证协议(PEAP)将EAP封装在TLS里面。EAP假设信道已经被 保护,PEAP实施自己的安全措施。PEAP可以应用在wifi的WPA和WPA2上。PEAP 优于LEAP,LEAP可以被Asleap破解。 5、VoIP将语音封装成IP数据包,在实现上,有些系统是纯明文的,也有 是被加密的。 黑客攻击方式:呼叫ID可能被伪造(类似垃圾邮件);管理系统和电 话本身容易遭受OS攻击和DoS攻击;中间人攻击;被窃听。 6、公司里面的人容易受到社会工程学攻击,人类的特点:对别人的基本 信任、懒惰、忽略差异、心不在焉、遵从命令、以为别人知道很多、愿 意帮助人、害怕受训斥等等。 7、要知道如何应对只有语音的沟通:语音显得奇怪、不恰当、意外时, 要谨慎。 应该要求对方提供身份证明,比如要身份证号码; 回叫(callback)授权,服务器会打到预定义号码上获得授权; 明确语音通信中可以讨论什么; 如果有人在电话中要秘密信息,要询问他为什么要这些信息,并在此 验证其身份,而且要报告给安全管理员; 永远不要通过只有语音的方式分发密码; 安全的销毁办公室文档,尤其是里面含有IT基础设施及安全机制的相关 信息。 8、飞客(Phreaker)滥用电话系统,攻击PBX系统用于躲避收费和隐藏 自己的身份。对PBX安全改善是直接拨入系统访问(Direct Inward System Access,DISA),主要是给用户分配access code,但这很危险,黑客一旦 知道,就会滥用,拨入公司然后打免费的长途电话。 9、飞客工具:有色盒, 黑盒:操纵电线的电压,窃取长途服务。 红盒:模拟硬币投入电话机的声音,通常是小录音机。 蓝盒:模拟2600Hz的拨号音,哨子或录音。 白盒:双音多频(DTMF)生成器,也就是拨号面盘,可以是自制的, 也可以是电话修理人员用的。 记忆:黑电压、红录音机、蓝哨子、白音频。 10、IM的问题:容易遭窃听,缺乏本地安全功能,通过文件传输感染病 毒,用户经常容易被社会工程学攻击。 11、电子邮件:客户端通过POP3或者IMAP收邮件,通过SMTP发邮件。 大多数电邮系统依赖X.400标准addressing和message handling。SMTP不要 做成开放中继代理,容易成为垃圾邮件发送者的目标。 12、电子邮件安全性的目标:提供不可否认性、提供机密性(使得只有 意定读者才能读)、维护完整性、邮件源的身份认证、验证邮件的传送 过程、对内容和附件进行分类,邮件的备份和保管。这些安全策略都应 该由高级管理人员批准。 13、无论是被授权的还是未被授权的,没有任何人可以访问他人的个人 电子邮箱(指的是前台进入,而不是审计人员在后台查看)。 14、用户应该了解电子邮件是否是保密的通信,电子邮件如果备份和存 档,也要让用户知道,如果审计人员查看电子邮件是否违规,也要通知 用户,否则用户会非常恼火。一些公司保存3个月,一些公司保存数年。 15、电子邮件的源地址欺骗是轻而易举的,可以在源头修改,也可以在 传输的任何位置修改,另外还可以连接邮件服务器的SMTP端口将邮件直 接传送到该服务器上的用户收件箱(特快专递)。 16、电子邮件安全性解决方案:S/MIME,MOSS,PEM,DKIM,PGP 17、安全多用途互联网邮件扩展(S/MIME)通过公钥加密和数字签名提 供安全性,通过数字证书提供身份认证,通过公钥密码学标准PKCS提供 加密。MIME是指Multipurpose Internet Mail Extensions。 18、S/MIME提供两种类型的邮件:签名邮件(signed messages)和安全 封装邮件(secured enveloped messages),前者提供完整性和发送者身 份认证,后者提供完整性、机密性和发送者身份认证。 19、MIME对象安全服务(MOSS),使用MD2、MD5、RSA、DES,提供 身份认证、机密性、完整性。 20、隐私增强邮件(PEM),使用RSA、DES、X.509提供身份认证、完整 性、机密性和不可否认性。 21、域名密钥识别邮件标准(DKIM),域名服务器提供域名机构的公钥, 发送方服务器在电子邮件的头部插入DKIM-Signature签名,接收方通过 DNS查询得到公钥后验证。显然,这可以防范虚假的邮件地址后缀, DKIM允许一个机构对邮件负责(当然它不是用来认证发送者的)。 22、良好隐私(PGP)使用多种加密算法对文件和电子邮件进行加密。 PGP是商业产品、OpenPGP是一个正在开发的标准,GnuPG遵从这个标准 而且被FSF(Free Software Foundation )支持。 23、传真的安全性:传真也可以被截获,并且容易被偷听,如果记录下 完整的传真通信,就可以在另一台传真机重放,从而得到文档。 可以使用传真加密器(在传真机内部加密)、链路加密、行为日 志、异常报告。 24、传真的安全性:自动打印的传真打出来没取走被他人看到,文件上 如果加上Confidential、private反而会激发他人的好奇心,所以一定不要 自动打印。 避免让传真机把已打印图像存在内存里。考虑将传真系统和电子邮件 系统结合,不打印纸质件而是发邮件给接收者。 25、远程访问的要求:访问前应该严格认证;只有确有必要的人才允许; 加密; 26、远程访问带来的问题:远程工作者的电脑可能不安全、有毒、没打 补丁。 27、拨号协议:PPP是全双工协议,工作在2层,是一种封装协议,用在 各种非LAN的连接上传输TCP/IP包,比如在调制解调器拨号连接上、ISDN、 VPN、FR上。PPP提供多种通信服务,包括IP地址分配、复用、差错检测、 压缩等等,PPP可以采用多种认证协议来认证,PPP是SLIP的替代协议, 上层可以支持IP和IP外的其他LAN协议(如IPX、DECnet)。(SLIP较旧, 只支持IP协议,只支持半双工、没有身份认证、不能差错检测,需要静 态IP,不支持压缩。) 28、远程的身份认证协议:RADIUS、TACACS+。RADIUS主要是查看拨号 用户的登录凭证。 TACACS有三种版本,TACACS、XTACACS(扩展)、TACACS+。 TACACS有身份认证和授权功能; XTACACS将身份认证、授权和可问责相分离; TACACS+增加了双因素认证能力。 29、大多数VPN都使用了加密,但VPN未必一定要加密。 30、VPN提供机密性和完整性,但并不保证可用性。隧道就是封装而已, 在通信两端封装和拆装,在不可信的中间网络上建立起虚拟的路径。 31、隧道技术无所不在,每当使用TLS访问网站的时候,其实明文WEB数 据就通过隧道技术装入TLS会话。对于VoIP来说,就是语音装入了互联网 隧道。 32、隧道技术的问题:开销大,效率变低;是点对点机制,所以没有考 虑对广播信号的处理;监控流量变的困难。 33、PPTP、L2F、L2TP在第2层工作。PPTP只用在IP网络中,L2F和L2TP可 以封装任何LAN协议。 34、PPTP(点到点隧道协议)是从PPP开发出来的封装协议,封装PPP包, 使用CHAP、MS-CHAP、PAP、EAP、SPAP等协议完成身份认证(这些也是 PPP支持的身份认证协议)。PPTP最初的隧道协商过程不加密,可能被截 获用户和散列密码,PPTP不支持TACACS+和RADIUS;PPTP常常被L2TP替 代。 35、L2F不提供加密,很快被L2TP取代。 36、L2TP其实是PPTP和L2F的组合,缺乏内置的加密方案,所以经常和 IPSec结合,L2TP支持TACACS+和RADIUS。 37、IPSec既是一个独立的VPN协议,又是L2TP的安全机制。主要有身份 认证头AH和封装安全有效载荷(ESP), AH提供完整性、数据源认证(来自于对IP包头的认证)、防重放,当 认证头使用非对称数字签名算法(如RSA)时,AH还可以提供不可否认 性; ESP提供机密性、完整性、有限的数据源认证(认证尾里,如果隧道模 式含有IP包头的信息)、防重放。 38、AH和ESP都可以用传输模式和隧道模式。 39、传输模式中,不对IP包头加密,AH头或ESP头在原来的IP头后面; 40、隧道模式中,对整个IP数据包都加密了,然后外面有个新的IP包头, 然后才是AH头或ESP头,然后是原先的IP头。 41、AH头里的序列号用来防重放,里面的MAC用来认证这个IP包的完整 性,包括IP数据和IP包头的部分内容。 42、ESP头对ESP头部后面的数据加密,认证的范围也仅限数据,不包括 IP包头(除非用隧道模式),ESP在有效载荷后面还有一个认证报尾,用 来做完整性检查(对ESP头、有效载荷,ESP尾),报尾也是被加密的。 43、虚拟局域网(VLAN)在网络上进行逻辑隔离而不改变其物理拓扑。 默认情况下,交换机上的所有端口都属于VLN#1,同一个网络上可以有多 个VLAN。 不同VLAN之间可以通过路由功能支持或拒绝。路由可以由外部的路由 器提供或者三层交换机提供。 默认情况下,不同VLAN是不通的。也可以设为都通的,对指定的 VLAN拒绝。VLAN可以防止广播风暴。 44、私有VLAN(Private VLAN or port-isolated VLAN)可以让一个私有 VLAN里面的成员互相通信,可以仅仅通过预定的出口上行,而不能和其 他端口通信(这在宾馆里面有用)。也即VLAN里面再划分PVLAN。 45、记住:“默认拒绝、允许例外”不仅仅是一条防火墙规则,而且是 一条安全通用准则。 46、虚拟化的好处:实时的可扩展性、出现问题时,几分钟内可以被备 份替换、安装更容易和快速。云计算是一种终极的虚拟化形式。 47、虚拟化应用程序,它的部署方式让它误以为在和一个完整的主机操 作系统进行交互,例如应用程序带着足够它使用的VM、docker、运行在 linux上的windows应用。 48、虚拟桌面这个术语有三种可能: 远程桌面 虚拟应用的扩展(做出来的一个像真的一样的桌面,无需双启动或虚 拟化的整个操作系统) 扩展桌面(延伸到显示器以外) 49、SDN旨在从控制层分离基础设施层,消除了IP寻址、子网、路由的传 统网络概念,从中心位置编程,不再从单一供应商采购设备。 50、SAN是一种网络技术,将多个单独的存储设备组合成单一综合的网络 访问存储容器。 虚拟SAN(或称软件定义存储)是一种虚拟网络上或SDN上的SAN虚拟 重构。 51、安全专家提到的NAT其实是PAT。从定义上看, NAT是把一个内部的IP地址映射为一个外部的IP地址。 端口地址转换(PAT)将一个内部的IP映射为一个外部的IP和端口号。 因此,理论上,一个IP可以支持内部65535个内部客户端。当然,适当 的比率是100:1,NAT工作在第3层。 52、可以对已经NAT的网络再进行NAT,前提是新的NAT子网不能使用相 同的地址范围。 53、所有公共可访问的路由器会丢弃源或目的IP地址是私有(private)IP 地址范围的包。也即在RFC1918里面定义的: 10开头的A类地址(1个) 172.16到172.31开头的B类地址(16个) 192.168开头的C类地址(255个) 54、静态NAT是指特定的内部IP地址永久映射到特定的外部IP地址。 动态NAT允许多个内部客户端使用较少外部IP,动态分配。NAT常常与 代理服务器或代理防火墙结合。 55、由于NAT更改了数据包头,所以NAT并不直接和IPSec相容,某些版本 的NAT被设计为在NAT上支持IPSec。 56、APIPA(Automatic private IP Addressing),自动私有IP地址寻址,是 一项windows功能,APIPA为每个失败的DHCP客户端指派了位于169.254开 头的B类地址,这允许这些客户端在同一个广播域内通信。 57、WAN使用专线和包交换技术, 专线技术包括租用线路以及PPP、SLIP、ISDN、DSL等等。 电路交换 包交换技术包括X.25、FR、ATM、SDLC、HDLC(高级数据链路控 制)。虚电路。PVC,SVC。 包交换技术使用虚拟电路代替了专用的物理线路。虚拟电路只有需要 的时候才会建立,所以极为经济有效。 58、交换技术:电路交换、分组交换、虚电路。 59、电路交换:在两个通信方之间会创建一条专用的所谓“固 定”(permanent)的物理路径,在一次会话中,通信双方的物理连接不 变。再次通信时,可能组装一条不同的路径。这种情况下,延迟是固定 的,是面向连接的。PSTN是电路交换的示例。最近10到15年来,实际上 很少存在电路交换,在数据和语音通信中,更多的是分组交换。 60、分组交换:数据被分为若干小段(往往长度为固定分组),每个数 据段都有自己的头部,头部包涵源和目的信息。它不依赖于特定的物理 连接,这种通信在物理层上是无连接的。 61、虚电路:虚电路是在分组交换网上,给两个端点间创建的逻辑路径 或电路,说白了,就是面向连接的分组交换。 分为两种,永久虚电路(permanent virtual circuit,PVC)和交换虚电路 (switched virtual circuit,SVC)。 PVC预先建立好并一直存在,等待用户发送数据。SVC则更像是拨号连 接,使用前建立好,数据传输完成后拆除。 但是,不管哪种虚电路,一个数据包的实际路径可能与同一会话中其 他数据包的传输路径不同,也就是说,对于虚电路来说,端点A和B之间 可能存在多条路径,但进入A的数据包最终都会传输到B。 62、专线(dedicated line ,also called a leased line or point-to-point link ) 是一种长期保留给客户使用的线路(可以考虑裸光纤、T1、E1、SDH、 MSTP等,不是分组交换的),非专线是一种在发生数据传输前需要建立 连接的线路(SVC)。银行租用的ATM线路是分组的,但应该是PVC的, 63、为了使用专线,必须部署两个冗余连接,想要得到更大的冗余,还 要购买来自两个不同的电信公司的服务,还要保证他们没有共享相同的 主干。如果没有财力部署第二专线,那么可以考虑非专线的DSL或线缆调 制解调器连接。(从电话总机(分配节点)开始,DSL线路的最大传输局 路大约为1000米。)还可以考虑卫星连接,卫星通信应该加密,否则任 何人都能够截获卫星通信。 64、WAN连接技术:WAN交换机、专门的路由器提供了公司和运营商之 间的所需接口。运营商网络存在多种类型,如X.25、FR、ATM、 SMDS(这是无连接的分组交换)。 65、X.25使用的是PVC,是FR的前身,二者的运作方式几乎一摸一样。 66、FR也使用PVC,是一种使用分组交换技术在通信终端之间建立虚电路 的第二层连接机制。和X.25不同的是,FR支持一个WAN载波上跑多个PVC。 承诺信息速率CIR是运营商向客户保证的最小带宽,是帧中继的重要概念。 客户拥有DTE(类似交换机),运营商拥有DCE。 67、ATM是信元交换WAN通信技术。信元长度固定为53字节。属于面向 连接的分组交换,可以用PVC或者SVC。对于ATM专线而言,应该就是 PVC。 68、MSTP(Multi-Service Transfer Platform)是基于SDH(同步数字体系) 的多业务传送平台,可以同时实现TDM、ATM、以太网等业务的接入。 MSTP专线只需要在接入层配置MSTP设备(配备了从SDH映射到以太网的 板卡),网络内部可以利用已有的SDH传送网。MSTP是基于SDH的,从 现状看,城域网仍以SDH设备为主。 69、SDH带宽只有固定的几种:2M(外联专线用的多)、155M、622M、 2.5G等等,MSTP速率上比较灵活。 70、SDH/SONET协议是物理层协议(layerl),主要负责在物理层介质上传送 字节数据。IP协议是无连接的协议,属于网络层协议(layer3)。PPP在 layer2,PPP over SONET/SDH草案,实现IP over SONET/SDH技术。IP over SONET/SDH技术通过PPP帧数据包映进SONET/SDH帧结构净负荷区。 71、WAN还有3种额外的技术用来支持不同的设备:SDLC、HDLC、HSSI, SDLC用在专线上,为大型机提供连通性,使用轮徇技术,工作在第2 层。SDLC即同步数据链路控制。 HDLC是对SDLC的改进,也使用轮徇技术,此外,还提供流控、差错检 测与校正,工作在第2层。HDLC即High Level Data Link Control protocol,高 级数据链路控制协议。 HSSI定义了路由器和复用器(在一条线路上传输多种信号)如何连接 FR,定义了电气特性,工作在第1层。HSSI即高速串行接口(High-Speed Serial Interface) 72、Dos有三种,针对流量的、状态耗尽的、应用层的(cc)。针对DoS 的一些对策:防火墙、IDS检测并阻断、与服务商保持良好沟通请求过滤、 禁用ping、禁用广播、阻断伪造包、保持更新最新补丁、使用Cloud Flare 这种商用保护服务。 73、假冒/伪装(Impersonation/masquerading),这和欺骗(spoofing) 不一样,欺骗仅仅是声称身份但没有凭证,假冒/伪装 是有凭证的(偷 来的凭证)。 74、ARP欺骗,位请求的IP地址提供假的MAC,对付手段:使用静态ARP 映射、监控ARP缓存中的MAC-IP映射、使用IDS检查异常。交换机监听并 记录DHCP,及时发现虚假的ARP包;交换机维持绑定的IP-MAC对,发现 异常的丢弃之;交换机丢弃冒充网关的帧。 75、DNS投毒(poisoning)更改的是DNS系统,不管是哪一级的。 DNS欺骗(spoofing)发送虚假的响应,并抑制真的响应。 DNS劫持(Hijacking)的一种方法是,发送一个自己掌握的域名,并在 自己掌握的DNS域名服务器上,侦听到本地DNS服务器(为真正客户端服 务的,黑客意欲破坏的)发出DNS请求包的序列号和源端口地址,然后 发送下一个真实请求的伪造响应给本地DNS服务器,关键是猜测伪造序 号和目的端口地址。解决办法是升级DNS到域名系统安全扩展 (DNSSEC)。 1、ISDN用户―网络接口有两种接口结构,即BRI和PRI。 2、BRI (Basic Rate Interface):基本速率接口,提供2个64kbit/s速率的信道 和1个16kbit/s速率的信道,也即是2个B信道和1个D信道,总共144kbit/s 的信息通路。B信道是用来传送语音和数据等用户信息的通路。D信道是 用来传送信令信息和低速分组数据的信道。BRI是大部分用户所用的接口。 用户可以在这种接口上接入最多达8个的各种类型终端,进行语音、数据 和图像等多种业务的通信。 3、PRI也称为主速率接口(Primary Rate Interface),为客户提供的连接 具有 2 至 23 个 64 Kbps 的 B 信道和一个 64 Kbps 的 D 信道。因此, PRI 最小为 192 Kbps,最大可以达到 1.544 Mbps。不过需要记住的是, 因为包含不能用于实际数据传输的 D 信道(至少在大多数正常的商业应 用中情况如此),所以这些数字指的是带宽而不是数据吞吐量。 4、T1: 1.544M,T3: 44.736; E1: 2.108M,E3: 34.368 领域5-身份和访问控制 第13章 管理身份和认证 1、资产可以包括信息(数据,包括文件和数据库)、系统、设备、设施、 人。 2、访问控制的类型:预防(Preventive Access Control)、检测 (detective)、纠正(corrective)、威慑(deterrent)、恢复 (recovery)、指引(directive)、补偿(compensation)。 3、预防性Preventive:试图阻碍未授权活动发生。主要包括围墙、锁、 陷阱、灯、警报、生物扫描、职责分离、岗位轮换、数据分类、渗透测 试、加密、审计、CCTV、智能卡、callback、安全策略、意识培训、反病 毒、防火墙,IPS。 4、检测性detective:试图检测。保安、移动探测仪、CCTV、岗位轮换、 强制休假、审计跟踪、蜜罐、IDS、违规报告、监管检查、事故调查。 5、纠正性corrective:发生未授权操作后,将系统还原。比较简单:删除 或隔离病毒、重启系统、能修改环境阻止攻击的IDS。 6、威慑性deterrent:主要是吓阻,和预防性有点像,但威慑性主要是威 慑人不去做,预防性则实际阻止人做不成。比如:意识培训、锁、围墙、 安全徽章、保安、陷阱、摄像头。 7、恢复性recovery:出现违反安全策略的情况后可以修复或还原资源, 比如备份和还原、系统镜像、服务器集群、反病毒软件。 8、指令性directive:指示、限制主体,从而强制或鼓励主体遵从安全策 略,比如安全策略需求和标准、张贴通告、疏散标志、监控、监督和规 程。 9、补偿性compensation:在主控制不可用时提供备选方案。比如在新员 工还没有领到智能卡的时候,让他们先用硬令牌。 10、另外一种分类方法:物理的、逻辑\技术的、行政的。 11、身份标识(Identification,有翻译叫鉴定的)是主体声称某个身份的 过程。比如输入用户名、刷卡、挥令牌、说一段话、将脸、手、手指靠 近扫描设备。 12、认证的一条核心原则就是所有的主体必须有唯一的身份。 13、身份标识和认证总是放在一起,第一步提供身份标识,第二步就是 身份认证。 14、用户获得身份的过程就是注册过程。比如新员工来了,人事部门就 会给他们创建用户ID,注册时也会涉及到录指纹。注册过程中可能需要 对身份进行额外的认证。 15、授权是依据主体的身份授予其客体访问权限。可问责性是指审计发 现问题时主体要为自己的行为负责,可问责机制主要靠审计。 16、认证有三种因素: 类型1:你知道什么:密码、PIN、passphrase; 类型2:你拥有什么:智能卡、硬令牌、记忆卡、USB; 类型3:你是什么:生物特征,包括签名和击键力度。 另外还有一种因素:“你的位置是什么”,通常联合其他因素使用。 要求用户输入密码和PIN并不能算多因素身份认证,因为这两种都属于 一种身份认证因素。 17、常见的密码策略:最长使用时间、密码复杂性、密码长度(特权的 要15个字符以上,一般的要大于8字符,超过12字符可以应付大多数)、 密码历史(不让用以前的)、最短密码使用期限(Minimum password age,防止来回换)。 18、认知密码(Cognitive Password)是一系统问题,系统可以用这个做 身份认证,但主要是密码重置时使用。 认知密码的缺点是答案可能会被被别人知道。最好的认知密码系统允 许用户自己创建问题和答案。 19、智能卡包含一个微处理器,内部有一个或多个证书,用于非对称加 密,使用时插入智能卡阅读器。既可以做身份识别(identification),也 可以做身份认证,由于可能会被别人拿走,所以智能卡通常再加一个因 素,要求PIN码或用户名密码。 20、令牌(这里指的就是硬令牌)上都有一个显示器,使用一次性动态 密码,显示6位到8位号码。有两种, 一种是基于时间的同步动态密码令牌(每隔60秒变一次) 一种是基于递增计数器的异步动态密码令牌,这种是用一次变一次 有的令牌还会让用户可以在令牌上输入服务器给出的nonce,然后用算 法生成password。缺点是电池没电了没法用。 21、生物识别:指纹、脸部扫描、 视网膜扫描(Retina):眼睛后方的血管图案,非常精确,能区分同卵 双胞胎,最不为人接受,因为会泄漏高血压和妊娠情况,旧的扫描方式 是吹气,现在用红外光; 虹膜(Iris):关注瞳孔周围的有色区域、人的一生中虹膜相对不变, 缺点是无法对同卵双胞胎区分,高品质图像可以欺骗扫描器;精度会受 到灯光变换的影响。 手掌扫描(Palm Scans),用近红外光扫描手掌的静脉模式,不需要接 触扫描仪; 手形(Hand Geometry):用于识别手的物理尺寸,很少单独使用; 心跳脉搏模式(Heart/Pulse Patterns):这也是辅助性措施; 声纹(Voiceprint):很少单独使用,声音模式识别主要区分不同的声 音,而语音识别做的是从声音中提取信息。 22、签字动力学(Signature dynamics),依赖于笔的压力、笔划方式、 笔划长度及提笔时间。 23、击键模式(Keystroke patterns)分析抬指时间(击键的间隔)和按 压时间(按住的时间),这种方式容易产生重大偏差,一只手击键,手 部冰冷、站着、手指受伤等等都会影响。 24、类型1错误:FRR(False Rejection Rate,错误拒绝率); 类型2:FAR(False Acceptance Rate,错误接受率); 调节灵敏度的时候,过于灵敏,FRR变高,不灵敏时,FAR变高,他俩 的交叉点在CER(crossover error rate),CER越低越好。没有必要把灵敏 度设在CER的水平,因为组织是有策略的,可能就是宁可错杀也不能放过。 25、生物识别注册:注册时会存储生物识别因素,这被称为基准轮廓 (reference profile)或基准模版(reference template),注册时间超过两 分钟是不可接受的,如果生物特征会变(语调、头发、签字模式),就 需要定期进行重新登记。主体接受识别时间为6秒或更短。 26、设备认证就是认证设备,可用在BYOD安全策略中。比如需要识别某 个设备是否允许连接网络,主要使用设备指纹:设备注册时,通过设备 OS及版本、浏览器、浏览器字体、插件、时区、屏幕分辨率、Cookie设 置、HTTP头等方式,这些特征可能会变化,但这种方法还是比较成功的。 27、集中式身份认证(访问控制)管理开销小,分布式身份认证(访问 控制)在一致性维护上比较困难。 28、单点登录(Single Sign-On,SSO)的主要缺点是,一旦账户被破解, 就会很糟糕。 29、安全域是共用一个安全策略的主客体的集合。信任关系是域和域之 间的桥梁,允许一个用户从一个域访问另一个域中的资源。 30、Kerberos的名字源于希腊神话,一只长有三个头的狗名为Kerberos, 它守卫着通往阴间的大门,它的脸朝内,目的是防止逃跑而不是进入。 31、kerberos 5给用户提供单点登录解决方案,依赖的是对称加密密钥, 使用AES,完成机密性和完整性。 32、Kerberos中有票据授予服务器(Ticket-Granting Service,TGS)和身份 认证服务器(Authentication Service,AS),AS和TGS可以都在KDC这台机 器上,KDC维护着所有的密钥,TGS可以在其他的机器上,也就是说可能 KDC上只有AS。 33、客户C最终从服务器V获得所需的服务。C需要向V提供服务票据 (Service Ticket,ST),ST票据是一小段用共享密钥加密的数据。确保登 录凭证、会话密钥这些内容不会明文传输。 34、AS提供对客户的认证,如果认证成功,AS颁发TGS票据,记作TGT , 客户可以拿着这个TGT向TGS索取ST。TGS验证TGT无误后,查看访问控制 矩阵,如果C有访问V的权限,就给C颁发ST。TGT用AS和TGS之间的密钥 加密,ST用TGS和V之间的密钥加密。TGT和ST都有特定的寿命,到期时间 就记录在票据中,一旦票据到期,就要申请新的票据。 35、C不仅要传输票据,还需要发送额外的信息来证明自己确实是票据的 合法拥有者。这个信息就是认证符(authenticator),它用会话密钥加密, 包含了用户名和时间戳。会话密钥从哪里来呢?从用户口令衍生或者由 TGS给,在票据中有(但C读不到票据的内容,因为用C不知道的Key加密 了)。 AS发给C票据中,有C和TGS之间的会话密钥Key-C-TGS,虽然C解不开票 据,但这个会话密钥Key-C-TGS本身可由C从用户口令衍生(散列)而得。C 发给TGS的认证符由K(C,TGS)加密的。 TGS发给C票据中,含有C和V之间的会话密钥Key-C-V,这个票据是用 TGS和V之间的密钥加密的,C解不开。但Key-C-V也会由TGS给C发一份, 由Key-C-TGS加密,C发给V的认证符由Key-C-V加密。 36、客户C登录工作站所位于的域后,输入用户名密码,加密后传给AS用 来认证自己,AS会返回一个TGT给客户,这个认证过程在整个登录期间 (从登入到登出)只发生一次。然后,客户需要服务时,向TGS发送这个 TGT,从TGS获得一个ST,在登录期间,根据所需服务种类的需要,每种 服务会发生一次,如客户需要FTP服务时,会向TGS要一张FTP服务票据。 最后,C向V发送ST,V确认无误后,向C提供服务,这个过程在登录期间, 会发生多次,如客户一天中,多次检查收取邮件时,每次都会提供票据 ST。 37、Kerberos所有的系统在5分钟内要同步时间。Kerberos会存在单点故 障,就是KDC(含AS和TGS)会出现故障; KDC被破解,所有密钥就都破解;KDC离线,主体无法使用。 OSG书上描述的过程: Kerberos 登录过程如下: (1) 用户将用户名和密码键入客户端。 (2) 客户端使用 AES 加密用户名,然后传输至 KDC。 (3) KDC 使用已有证书的数据库来认证用户名。 (4) KDC 产生一个同步密钥,用于客户端和 Kerberos 服务器间的通信。它 用用户密码的散列值加密。KDC 也生成一个有加密时间戳的授予票证 (TGT)。 (5) KDC 然后传输加密过的同步密钥和加密过的带有时间戳的 TGT 给客 户端。 (6) 客户端安装 TGT,一直使用直至期满。客户端也使用用户的散列解 密对称密钥。 然后客户端使用服务的时候: (1) 客户端将其 TGT 发送回 KDC,同时请求访问某个服务器或服务。 (2) KDC 认证 TGT 的有效性并查看其访问控制矩阵,从而认证用户是否 拥有能够访问所请求资源的足够权限。 (3) KDC 生成一个服务票据,然后将它发送至客户端。 (4) 客户端发送票据至服务器或服务主机。 (5) 服务器或服务主机通过 KDC 认证服务票据的有效性。 (6) 一旦认证了用户身份与授权,Kerberos 活动就完成了。服务器或服 务主机随后建立与客户端的会话,从而开始进行通信或数据传输。 40、联合身份管理(Federated Identity Management)解决的是多个组织 通过一个方法共享彼此的身份,用户登录一次后,可以访问这一联盟中 任何组织的资源。联合身份系统常使用SAML(安全声明标记语言)或者 SPML(服务配置标记语言,Services Provisioning Markup Language)。 SAML 是互联网上流行的 SSO 语言。 41、超文本标记语言HTML,可扩展标记语言XML实现了数据本身的描述, 比如:<Exam Results>Passed</Exam Results> 42、SAML是基于XML的,主要用于联合组织之间交换认证和授权(AA) 信息的,常用于SSO。 43、SPML是也基于XML,主要用于联合SSO的用户信息交换,配置用户、 资源和服务。SPML基于DSML(目录服务标记语言), DSML以XML格式显示基于LDAP的目录服务信息。 (DSML: Directory Services Markup Language)。 SPML涉及到Requesting Authority, Provisioning Service Point, and Provisioning Service Target 44、LDAP标准实际上是在X.500标准基础上产生的一个简化版本。 LDAP, tcp 389,udp 389;LDAPS:tcp 636, udp 636。 45、对于LDAP而言,不安全的全局服务目录为3268,安全的全局目录服 务为3269。(OSG test) 46、访问控制标记语言(XACML)使用XML定义访问控制策略,实现基 于角色的访问控制RBAC。XACML在软件定义网络应用中已经越来越流行 起来。Extensible Access Control Markup Language 。 47、单点登录技术不可用时,可以用登录脚本自动化发送登录凭证,但 应该将这些明文信息加密存储。 48、KryptoKnight是IBM开发的一个基于Ticket的认证系统,与Kerberos类 似,但使用对等认证而非第三方认证,从未流行也不会再流行。 49、另外还有一个不被使用的欧洲安全多环境应用系统(SESAME)是一 个基于Ticket的认证系统,它被开发出来是为了解决 Kerberos 的缺点。 然而,SESAME 并没有解决 Kerberos 的所有问题。新一代的 Kerberos 和 多家供应商的实施都绕过了 SESAME,最终解决了 Kerberos 最初版本的 所有问题。 50、OAuth(公开认证)和OpenID(基于json的REST风格)是应用网络 SSO的较新的例子,谷歌支持OAuth,被设计与HTTP协作。 OpenID可以与OAuth连同使用,也可以单独使用。 51、身份即服务(IDaaS)是一个第三方服务,在客户访问那些基于云的 SaaS时特别有用,比如谷歌的箴言“一个谷歌账号登录所有谷歌产品” 52、AAA提供认证、授权和可问责性。常见的协议有RADIUS、TACACS+、 Diameter 53、远程认证拨号用户服务器(RADIUS)主要用于远程连接的身份认证。 可以为多个远程访问服务器(可理解为RADIUS的客户端)提供AAA服务。 用户访问ISP,ISP访问RADIUS。RADIUS使用UDP,只加密password,不加 密会话,但可以使用附加协议加密会话(TLS,TCP)。OSG tets 54、TACACS是为了替代RADIUS而产生的,思科后来推出了XTACACS,将 其作为一项专有协议,这两者都使用UDP,现在都不怎么用了。现在又 有了TACACS+,并作为一个开放协议。(这也是思科的) TACACS+把认证、授权、可问责性分为独立的流程,可以在三台独立的 服务器上部署; TACACS+还可以加密所有的认证信息而不是只加密password;而且使用 的是TCP 49端口(不再是UDP 49了) 55、Diameter是RADIUS的增强版本,支持多种协议,包括传统IP、移动IP、 VoIP等等,使用TCP端口3868(而不是像Radius那样使用UDP),支持 IPsec和TLS加密,不保留向Radius的向后兼容。 56、身份管理的生命周期:开通、审核和撤销。 57、开通(Provisioning)就是开通账号及相应的权限,初始创建称为注 册(enrollment)或登记(registration),比如:一个人被公司录用,HR 做完初步身份鉴定后,给IT部门发送创建账户的请求。组织如果使用的 群组,那么将用户加入群组,用户就有了群组的权限,新员工培训时会 告知账户使用策略,并要求员工遵守安全规则。大多数的账户的维护工 作是权限变更。 58、应定期检查账户,确保不活跃的账户被禁用以及员工没有过多的特 权。 “过度特权”(excessive privilege)是指用户有超出其工作任务所需的 特权 “蠕变特权”(Creeping privileges)是指用户账户随工作角色和工作任 务的不断变化而逐渐积累特权。蠕变也叫Aggregation。 蠕变会导致过度,这两种情况都违反了最小特权原则。 59、账号撤销:人事专员应该了解那些员工即将终止雇佣关系,在离职 面谈时,就要禁用(disable,冻结)账户。不这样做的话,即使离职员 工不采取恶意行动,其他员工发现密码也会使用该账户。一般情况下, 账户禁用30天后会自动注销。许多系统可以设置账户的自动终止期,这 对临时员工和短期员工十分有用。 第14章 控制和监控访问 1、访问控制技术包括:自主访问控制DAC、强制访问控制MAC、基于角 色的访问控制Role-BAC,基于规则的访问控制Rule-BAC。 D是指 discretionary 2、许可(Permission)、权限(Right)、特权(Priviledge), Permission是指许可他做(或者clearance),是许可你访问一个客体, 并且决定你可以对这个客体做什么,比如是可以读还是写。 Permissions refer to the access granted for an object and determine what you can do with it. Right是他有能力做。(你会读文件) Privilege是两者的结合。 3、授权机制:基本原则是*隐式拒绝*(Implicity deny),所有权限都是 显式授予。 4、ACL专注于客体,功能表(能力表,capability)专注于主体。 5、限制接口(constrained interface)使用接口限制用户可以看什么可以 做什么。通过隐藏菜单或着暗的颜色。 6、基于内容的控制,(content-dependent)一个例子:数据库视图。 7、上下文相关的控制(context-dependent):两个例子:如果不完成购 买过程,就不能得到数字商品;如果在允许时间之外访问资源,会被拒 绝。 8、深度防御就是通过多层访问控制来提供多层安全:最外层物理访问控 制、中间层逻辑/技术访问控制,最里层为行政管理访问控制。结合起 来能够提供强大的防御。 9、DAC:访问控制基于客体owner的自由决定,比如文件的所有者可以 准许或拒绝其他主体访问,常常使用ACL来实现DAC,owner可以改ACL。 在DAC环境下,管理员可以很轻松的suspend(挂起,用户度假时)和 disable(禁用,用户离职时)用户的权限。(就把DAC环境想象成Linux 环境) 10、任何不是可自由支配的模型都是非自主访问控制模型,包括基于规 则的、基于角色的、基于格子的。 11、基于角色的:经常用群组来实现,有助于实施最小特权原则,防止 特权蠕变。因为管理群组相比管理一个个用户要轻松容易。人事变动频 繁的环境更需要这个。 12、在Role-BAC中,和DAC不一样,因为主要是管理员在把用户添加到角 色和组中,并不是owner在做,而且管理员也不是直接面对用户,他主要 面对群组。 13、基于任务的访问控制(TBAC),和role-BAC相似,每个用户被分配 一系列任务,重点是基于任务来做访问控制,而不是基于用户。 14、rule-BAC模型使用一套规则,确定可以做什么不能做什么,包括给予 主体访问客体的权限,它的一个独特特征是:它们是适用于所有主体的 全局规则(global rules that apply to all subjects)。 15、rule-BAC的常见例子是防火墙,防火墙只允许符合规则的通过。和 MAC的区别是,MAC需要标签,但rule-BAC不需要标签。 16、rule-BAC的一个高级实现是基于属性的,即attribute-based access control (ABAC) ,使用包含多个属性的规则的策略,SDN网络用的就是 ABAC模型,SD-WAN用于实现流量策略,比如“经理可以使用平板电脑 或智能手机访问互联网”,这对ABAC有改善,ABAC适用于所有主体,但 ABAC可以更具体。 17、MAC是强制访问控制,依赖于分类标签的使用。MAC模型通常被称 为基于格子的模型(Lattice-based),如下图:用户如果要访问Lenti数据, 不仅需要提供机密标签,还要提供Lenti标签,但拿有敏感数据标签的用 户可以访问带有敏感标签的任何数据。注意,这种MAC使得可以让高级 别的主体不能访问低级别的客体。 17、MAC模型中使用以下三类: 分层环境(Hierarchical ):高安全等级可以访问低安全等级。BLP就是 这种。 隔间区分环境(Compartmentalized ):一个安全域和另一个安全域之 间没有关系,都位于单独的隔间。 混合环境(Hybrid ):既有等级的概念,又有隔离,上图这种就是混 合环境的例子。 18、资产的实际价值受许多无形因素的影响,客户对商家的信任便是其 中之一。 19、SD3+C指的是:Secure by design, Secure by Default, Secure in Deployment and Communication. 20、威胁建模方法:专注资产:是要是识别资产以及对资产的威胁,专 注攻击者:主要是识别潜在的攻击者,挑战是,可能没有被认为是威胁 的新的攻击者会出现;专注软件:对于开发软件的组织,应该考虑针对 软件的潜在威胁。 21、用户知道不使用简单的密码,通常是从安全培训中受益。 22、SHA-3使用512位。(其实我觉得就是SHA-2) 23、彩虹表通过预先计算的大型的散列数据库减少暴力破解时间,但彩 虹表是不带盐的。使用4种字符类型的14个字符的彩虹表大约是7.5GB 24、防范嗅探的方法:1、数据包加密,2、使用一次性密码,3、对路由 器和交换机加物理保护,防止有攻击者在这些设备上安装嗅探器,4、有 些IDS能发现嗅探器,主要是根据嗅探器处于混杂模式的特点发一些特殊 的包来观察反映情况,比如ping、arp等,再比如看起响应速度判断对方 是不是在嗅探和处理大量的网络包。 25、偷渡式下载(Drive-by download)是指用户浏览网站时,在不知情 的情况下自动安装了恶意软件。主要是利用浏览器或插件程序的漏洞。 CryptoLocker会对硬盘驱动中的所有数据加密。 26、鱼叉式钓鱼(Spear Phishing)是一种针对特定用户组的钓鱼方式。 捕鲸(Whaling)是钓鱼的一种形式,目标是高层人员和高管,比如公司 的CEO和总裁。高管收到邮件说要被法院传讯,包含了一个链接,说获取 关于传讯的更多信息,点击链接,会让安装一个浏览器插件才能读取文 件。下载恶意软件后记录击键获得不同网站的登录凭证。 27、零日漏洞是程序供应商还不知道或者还没有发布漏洞补丁。 28、语音钓鱼(Vishing)使用VoIP或电话系统,给用户打自动电话,向 用户解释关于信用卡账户的相关问题,让用户告知信用卡号、有效期和 背后的安全码。攻击者会把来电模拟成来自有效的金融机构。Vishing就 是电信诈骗。 29、智能卡攻击(smartcard attack),智能卡包含微处理器,读卡器的 电磁线圈会激励智能卡产生电能发送数据(也即向卡片供电),智能卡 可能遭受旁路攻击(Side-channel attacks),这是非侵入的攻击,通过分 析智能卡发送给读卡器的信息,可以监控芯片的功耗,来获取信息。或 者通过处理时间来获取信息,或者试图引发错误,通过提供很少的电力 来观测可能的结果。 30、拒绝服务攻击的物理防方式,就是攻击者拔掉服务器的网线。 31、关于安全性的一句名言是:“如果攻击者无限制地对计算机进行物 理访问,攻击者就会拥有它”(if an attacker has unrestricted physical access to a computer, the attacker owns it. ),比如攻击者可以对身份认证 服务器进行物理访问,就可以在短时间内盗取密码并线下破解。 32、账户锁定控制有利于防止在线密码攻击。超过某个阀值(clipping levels)就会采取行动,比如用户发生5次错误输入,就会锁定账户。 33、许多系统会显示上一次成功登录的时间、日期和地点。可以让用户 觉察到是不是有别人登录了自己的账户。 34、“知其所需”(need to know)和“最小特权”(least privilege)经 常混为一谈,唯一的区别在于,最小特权还包括在系统上的操作权限 (right),need to konw主要体现在业务语境下,最小特权主要着眼点是 技术权利。 OSG test: 1、字典攻击、暴力攻击、中间人攻击、虚假登陆页面,这些都是对访问 控制机制的威胁,但拒绝服务攻击和钓鱼不是。 2、CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网 站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同, XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来 利用受信任的网站。 3、例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户 Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消 息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交 的链接,并将此链接作为图片src。如果Bob的银行在cookie中保存他的授 权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将 提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了 这次事务。 4、XSS 是实现 CSRF 的诸多途径中的一条,一般习惯上把通过 XSS 来实 现的 CSRF 称为 XSRF。CSRF 的全称是“跨站请求伪造”,而 XSS 的全称 是“跨站脚本”。它们都是属于跨站攻击——不攻击服务器端而攻击正 常访问网站的用户,CSRF 顾名思义,是伪造请求,冒充用户在站内的正 常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份 (包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的 方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求。 5、XSS更偏向于方法论,CSRF更偏向于一种形式,只要是伪造用户发起 的请求,都可成为CSRF攻击。 6、生物识别中,如果错误的把指纹认为是另一个客户,是类型2错误, 如果错误拒绝了一个合法客户,是类型1错误。 7、带外身份验证是指使用电话或短信这样的方法认证用户。 8、OpenID是去中心化的网上身份认证系统。用户只需要预先在一个作为 OpenID身份提供者(identity provider, IdP)的网站上注册。任何网站都可 以使用OpenID来作为用户登录的一种方式,任何网站也都可以作为 OpenID身份提供者。你的网站地址(URI)就是你的用户名,而你的密码 安全的存储在一个 OpenID 服务网站上(你可以自己建立一个 OpenID 服 务网站,也可以选择一个可信任的 OpenID 服务网站来完成注册)。 9、登录一个支持 OpenID 的网站非常简单。只需要输入你注册号的 OpenID 用户名,然后你登录的网站会跳转到你的 OpenID 服务网站,在 你的 OpenID 服务网站输入密码(或者其它需要填写的信息)验证通过 后,你会回到登录的网站并且已经成功登录。除了一处注册,到处通行 以外,OpenID 给所有支持 OpenID 的网站带来了价值—共享用户资源。 10、OpenID强调 认证 authentication OAuth强调 授权 authorization 11、LDAP的SASL模式提供安全身份验证。 The Simple Authentication and Security Layer (SASL) for LDAP provides support for a range of authentication types, including secure methods. 领域6-安全评估和测试 第15章 安全评估和测试 1、安全测试(Testing)包括自动扫描、渗透测试、手动测试。 2、安全评估(Assessment)是对系统、应用或其他测试环境的综合评价。 安全评估包含安全测试工具(漏扫、渗透),也包括彻底审核(review) 威胁环境、当前和未来面临的风险和目标环境的价值。安全评估的产物 是一份评估报告。安全评估以非技术的语言描述评估结果,以具体建议 作为结论。 3、安全审计和安全评估类似,但必须由独立的审计员执行。测试和评估 都是给内部看的,审计的目的就是给第三方看的,阅读对象可能是董事 会、政府和监管人员和其他第三方。 4、审计分两种:内部审计和外部审计。 内部审计:首席审计执行官向总裁、CEO进行直接汇报,也可以直接向 董事会汇报。 外部审计:由外部审计公司执行,这些审计的外部效度很高(degree of external validity),也即通用程度较高。 5、信息安全专家通常被要求参加内部和外部审计,主要是提供相关信息, 接受面谈,提供文档,审计员有得知所有信息的权利,主管安全的工作 人员应该依从,如有需要咨询管理层。 6、漏洞扫描3种类型,网络发现、网络漏洞、WEB漏洞。 7、网络发现:TCP SYN扫描(半开放扫描)、TCP连接扫描(全连接,之 所以不用效率更高的半开扫描,是因为没有搞半开扫描的权限)、TCP ACK扫描、Xmas扫描(把FIN、PSH、URG标识都打开了) 8、网络扫描常见工具nmap,扫描结果:开放、关闭、过滤(无法确定 开放或关闭,因为防火墙有干扰) 9、网络漏扫会有假阳性FP和假阴性FN。可以使用Nessus漏洞扫描器工具。 10、WEB漏扫,会扫出SQL注入、XSS、XSRF(跨站请求伪造)等等。仍 然可以使用Nessus。在新系统上线前和新代码进入生产之前都应该做。 PCIDSS要求每年进行一次Web漏扫,或者安装WAF。 11、渗透测试常常使用Metasploit工具,该工具使用一门脚本语言允许自 动执行常见的攻击。 白盒测试需要提供目标系统的详细信息,使得攻击者节省很多侦查步 骤。 黑盒测试不提供任何信息,灰盒测试会得到部分信息。 渗透测试的报告要注意对漏洞数据的保存和发送。 12、最正式的代码评审过程称为Fagan检查(发汗),有6个步骤: Planning(计划)、Overview(概览)、Preparation(准备)、 Inspection(检查)、Rework(返工)、Follow-Up(后续行动) 13、正式的Fagan检验通常只存在于高度受限的环境中,其中代码如果有 缺陷可能产生灾难性影响。 14、大多数公司不使用Fagan这么严格的方法,他们做代码审查,一般的 做法包括: 在会上,开发人员过一遍代码,其他成员评审; 高级开发人员手工审查,上生产前签字确认; 上生产前,用自动审查工具过一遍。 15、动态测试包括使用综合事务(synthetic transactions )验证系统的性 能,这些是已知预期结果的脚本事物。比较结果有偏差就表明有Bug。 16、模糊测试(Fuzz testing)是一种专门的动态测试技术,产生大量不 同类型的输入,压到极限并发现以前未被发现的缺陷。模糊测试监控程 序的性能、崩溃、溢出或其他不可知结果。 17、模糊测试有两种: 变异模糊测试(Mutation/Dumb Fuzzing),主要是把以前的输入做一 些变化,改变字符或添加字符串。 智能模糊测试(Generational /Intelligent Fuzzing )开发数据模型并创 建新的模糊输入, zzuf工具可以将变异模糊测试自动化,自动将文本做一些变化。 18、接口测试:主要有三种接口测试: API测试(向外公开应用编程接口的服务要测试,比如restful接口); 用户界面(UI)测试,包括图形界面和CLI; 物理接口。 19、对于一些已知的风险,比如经常有一些黑客通过更改银行账户ID来 获取他人账号信息的,软件测试人员会使用误用案例测试(misuse case testing )或滥用用例测试(abuse case testing )来评估他们的软件对这 些已知风险的脆弱性。 20、测试覆盖率=已经测试的用例数/总用例数,准确计算覆盖率很难的, 因为总用例数需要穷举所有可能,所以解释覆盖率时要了解这些数都是 怎么来的。(总用例数:total number of use cases) 21、信息安全管理人员应该定期审查日志,以确保特权用户不滥用特权。 尤其是信息安全团队的人,很有可能接触到用户隐私。 22、账户管理审核可能是信息安全管理人员或内部审计师的职责,通常 要对高特权账户进行审核,一种方法: 1、管理人员要求管理员提供特权用户列表及其被授予的特权,管理人 员会在旁边看着,以防管理员做手脚。 2、管理员要求特权批准机构提供授权用户的列表。 3、对比两个列表发现问题。 24、由于没有时间对所有用户进行检查,此时可以抽样,如果在抽样中 没有发现问题,就认为它们代表所有账户。注意:只有随机抽样才是有 效的! 25、管理人员要定期检查数据备份的执行有效性:检查方法包括:审核 日志、检查散列值、对系统或文件进行实际恢复。 26、安全管理人员要持续监视关键性能指标和风险指标,比如漏洞数、 漏洞修复时间、受攻击数等等,识别了这些关键安全度量(key security metrics )后,管理人员就希望开发一个仪表盘来显示和时常观看。 OSG test: 1、突变测试(mutation testing) , 或称作突变分析、程序突变,它是用于 衡量软件测试的质量。突变测试对程序的源代码做小的改动,如果测试 代码没有觉察到这种小改动带来的错误,就说明这个测试是有问题的。 举例:正常程序:if (a < 0) Assert.fail(); 突变测试:a=-1;if (a < 0) Assert.fail(); 执行代码后没有抛出assertion,表明有问题。 2、Nikto是扫描web服务器的最佳选择。 THC Hydra:密码暴力破解。 Ettercap:中间人攻击。 3、OpenAVS是开源的漏扫,Nessus是闭源的;Nmap主要是扫端口的; MBSA是微软的基线安全分析器,microsoft baseline security analyzer 4、服务组织报告SSAE-16 SOC在2010年取代了SAS-70报告, SOC type 1 report only covers a point in time SOC type 2 跨度至少6个月, SSAE基于ISAE 3402(International Standard on Assurance Engagements),鉴证业务国际准则第3402号。 5、SOC1仅关于财务控制方面的,SOC2向业务合作伙伴、监管机构提供 组织的CIA,SO3能向更广的受众提供有关组织的服务运营的CIA报告。 SOC 1 reports report on controls over financial reporting SOC 2 reports cover security, availability, integrity, and privacy for business partners, regulators, and other similar organizations in detail that would not typically be provided to a broad audience. SOC 3 reports are intended to be shared with a broad community, often with a website seal, and support the organization’s claims about their ability to provide integrity, availability, and confidentiality. 6、WPA2的企业模式用radius,多次尝试后可能会被锁定,所以用 aircrack-ng进行口令攻击很难成功! Aircrack是破解WEP/WPA/WPA2加密的主流工具之一,现在排名第一。 Aircrack-ng套件包含的工具可用于捕获数据包、握手验证。可用来进行 暴力破解和字典攻击。 7、windows缺省不支持syslog 8、合成监测(synthetic monitoring,又称综合测试,又称主动监测 proactive)。其语境是测试,综合测试使用模拟的或者录制的交易,观 察系统在时间性、功能性上是否满足要求。所以,会监控数据库的性能、 网站的性能,会做流量捕获。 9、被动监控(Passive monitoring)监控的是实际交易,相当于查看生产 中实际发生的问题。 10、TCP SYN是半开扫描,需要高权限。TCP连接扫描不需要。 11、ITIL通常不用于审计。 12、安全内容自动化协议SCAP(Security Content Automation Protocol)是 用于安全缺陷和安全配置信息的开源规范。注意和漏洞、基线管理、配 置检查相关。 13、蓝牙主动扫描可以测出蓝牙PIN码的长度,可以测试蓝牙设备工作在 什么模式下。 14、函数、语句(statement,比如c=a+b)、branch分支,if条件,这些 都是覆盖测。 15、Nmap only scans 1000 TCP and UDP ports by default, including ports outside of the 0–1024 range of “well-known” ports. 16、XST攻击利用HTTP trace或track方法,并通过XSS,窃取用户的cookie。 17、TCP,控制位:字段长为 8 位,从左到右分别为 CWR、ECE、URG、ACK、PSH、RST、 SYN、FIN。这些控制标志也叫做控制位。 CWR:CWR 标志与后面的 ECE 标志都用于 IP 首部的 ECN 字段,ECE 标志为 1 时,则通 知对方已将拥塞窗口缩小; ECE:若其值为 1 则会通知对方,从对方到这边的网络有阻塞。在收到数据包的 IP 首部 中 ECN 为 1 时将 TCP 首部中的 ECE 设为 1.; URG:该位设为 1,表示包中有需要紧急处理的数据,对于需要紧急处理的数据,与后 面的紧急指针有关; ACK:该位设为 1,确认应答的字段有效,TCP规定除了最初建立连接时的 SYN 包之外 该位必须设为 1; PSH:该位设为 1,表示需要将收到的数据立刻传给上层应用协议,若设为 0,则先将 数据进行缓存; RST:该位设为 1,表示 TCP 连接出现异常必须强制断开连接; SYN:用于建立连接,该位设为 1,表示希望建立连接,并在其序列号的字段进行序列 号初值设定; FIN:该位设为 1,表示今后不再有数据发送,希望断开连接。 18、CVSS:通用漏洞评分系统 19、代码走查 code review,这三种都可以 : A. Email pass-around B. Over the shoulder C. Pair programming 20、S/MIME的加密邮件附件用P7S格式。 21、物理上的electronic access control就是电子锁,它解决了分配钥匙的 问题。 领域7-安全运营 第16章 管理安全运营 1、安全运营的目标时保障资产安全,主要是发现威胁和漏洞,然后赶紧 实施控制,以降低资产的风险。 主要注意:定期的安全检查和审计,如果你表现出了Due Care和Due diligence,出事时你的责任就会减少。 2、最小特权原则的基本假设:每个人都有明确的工作描述,因为没有工 作描述的话,就不知道用户需要什么样的特权。 3、最小特权主要考虑的是:需要给一个人他干活的权限,但只能给他最 小的干活的权限。职责(duty)分离的关注点在作案。最小特权 (privilege )的关注点在权限。 4、特权授予(Entitlement)通常是在第一次开通(first provisioning )账 户的时候所赋予的权限,也即创建账户的时候就分配资源和特权(采用 最小特权原则)。 5、用户可能在多个部门任职时,产生特权聚合(Aggregation)的问题, 所以在他们转部门的时候应该收回前一个部门的特权。 6、在两个安全域中,非传递信任(nontransitive trust)实施了最小特权 原则(并在某一时刻授予信任给单个域),如果是可传递信任(transitive) 的情况下,一定要检查好其信任关系。 非传递信任:两个安全域可能在同一个组织也可能在不同的组织之 间,非传递信任允许一个域中的主体访问另一个域中的客体。 传递信任:扩展了两个安全域以及它们的所有子域之间的信任关系。 在最小特权环境中,检查这些域的信任关系非常重要,尤其是在不同 的组织间创建域。 7、职责分离(separation of duties and responsibilities)的三种应用:特 权分离、职责划分、双人控制 8、特权分离(separation of privilege)的概念建立在颗粒化的权限和许可 上,能应用到user and service accounts。 每个服务有一个非人的账户(比如ftpserver),该账户有自己的特权, 这个特权仅仅满足其实现程序所需的功能。 9、职责分离(segregation of duties)确保没有单个人能控制作案,如果 想做案,需要两人或更多人共谋,这增加了被发现的风险。职责分离后, 多个主体可以互相校验操作,并且必须一起完成必要的工作。 比如,一人卖票一人查票,就能防范卖票的将钱收入自己口袋而不发 票,除非合谋。 再如,一人批准账单,另一人执行实际的付款,如果某人控制整个批 准和付款,他就容易批准伪造的发票来欺骗公司。 职责分离是一个人不能干两件事,双人控制是两个人干一件事。职责 分离容易导致勾结(因为本来不用勾结就能作案的)。 10、2002年的萨班斯-奥克斯利法案(SOX)适用于所有的上市公司(对 美国),SOX明确要求职责划分,这个法案是对很多公司金融丑闻的一种 响应。 11、最常见的职责分离是将安全指责从其他职责分离出来,也就是说, 负责审计、监控和安全审查的个人没有其他操作职责。否则可能监守自 盗。 12、下图是一个基本的职责划分控制矩阵,可以看出,安全管理员和所 有岗位互斥(除了补丁验证可以稍带做一下),应用程序员、数据库管 理员、数据库服务器管理员,互斥;预算分析员、收款账户、付款账户, 互斥;补丁部署和补丁验证,互斥。 11、双人控制(Two-Person control),主要是一个操作所需的特权和知 识,被人为的分隔成两个部分,比如开一个箱子需要两把钥匙。 再比 如公司两个人(CFO和CEO)来批准关键业务决策。 12、岗位轮换可以提供并行审查、减少欺骗、促进交叉培训。交叉培训 使得环境很少依赖任何单个个体。这个既是威慑,又是检测机制。 13、强制休假提供并行互审,有助于检测欺诈和共谋,该策略确保接替 工作至少一个星期。既是威慑,也是检测机制。 14、任何有高特权的管理员账户都应该被监控,对以下特权操作要当心: 访问审计日志、更改系统时间、管理用户账户、重启系统、 控制通信路径、备份和恢复系统、使用数据库恢复工具和log files、 配置接口、配置安全机制、使用操作系统control commands、运行脚本 /自动化工具。 15、使用自动化的工具监视这些特权操作,当管理员执行以上活动时, 要记录日志并send an alert, 审计时要看这些特权是否被滥用。 16、对于分类,除了系统的外部标记外,处理机密数据的系统必须有壁 纸和屏幕保护,目的是清晰的表明系统在处理机密数据。 17、服务级别协议(SLA)是组织和外部实体间的一份协定,SLA保证了 对性能被满足的期望,如果供应商满足不了期望会受到惩罚。 18、除了SLA外,还常常使用备忘录协议(memorandum of understanding ) 或者互联安全协议(Interconnection security agreement ),MOU记录了 两个实体朝着共同目标在一起工作的意图。MOU是非正式的,且不包含 对某个合作方不负责时的处罚。 ISA用来确定双方如何建立、维持和断开链接的信息,也会规定要使用的 Minimum的加密方法。 19、如果火灾导致电力故障,安全门自动解锁还是继续锁住,如果公司 认为资产比人的价值高,就会锁住,如果公司认为人比机器重要,就会 让安全门处于解锁状态。fail-secure Vs fail-safe(fail-open) 20、员工可以使用胁迫系统(Duress system)报警,简单的胁迫系统仅 仅需要按一下按钮就能发出求救信号。监控机构可能会给求救人员打电 话或发送一条文本信息,保安可能是不小心按的,就说一切OK,然而如 果犯罪分子控制了保安,保安需要发送密语。 21、员工旅游时,要在开门前检查敲门人的身份,如果房间包含免费的 食物,要给前台打电话确认酒店是否提供了该项服务。 22、管理硬件的方法,可以使用条形码、也可以使用无线射频识别 (RFID)标签。 23、SAN是含有多个存储设备的专用高速网络,价格居高不下,VSAN通 过虚拟化绕过了这些复杂性。 24、如果攻击者能够破解物理机,就可以访问托管在物理服务器上的虚 拟系统。许多虚拟化工具可以对虚拟机定期快照,以便及时进行数据恢 复。 25、如何界定消费者和云服务提供商(CSP)的界限?对于SaaS,消费者 不管理任何基于云的资产;对于Paas,消费者管理应用程序,CSP负责主 机和基础设施;对于IaaS,消费者维护操作系统和应用程序,CSP维护基 础设施,确保消费者获得系统。 26、基于云的资产。私有云可以用自己的资源创建,也可以从第三方租 赁资源并按照服务模型(IaaS、PaaS、IaaS)分隔维护要求,社区云 (community cloud )为两个或多个组织提供云资产,职责分工取决于谁 host资产和服务。混合云部署模型包括两个或两个以上的云组合。 27、Imation销售的IronKey闪存驱动器内置了多个保护级别,有多种认证 机制,确保只有授权用户可以访问驱动器上的数据,并且内置了机密功 能,如果被丢失,可以远程拒绝所有访问、禁用或自毁设备。 28、磁带因为腐蚀而容易损坏,最佳方法就是保存至少两份,一份onsite, 一份在安全的位置。 29、对于磁带介质: 为防止新介质设备沾染灰尘和污垢,应保持他们在原始密封包装内直 到使用; 避免将介质暴露在极端温度下、避免阳光、水分、潮湿; 不使用已经暴露在灰尘、污垢中以及摔落的介质; 运送时应在有温度控制的车辆中; 磁带应该适应24小时后再使用; 备份设备从出发点到异地的全程应当采取安全措施。 30、偷了手机后,贼会第一时间移除SIM卡,当把卡放回手机以获取数据 时,他们会在法拉第笼屏蔽室内操作,这些技术阻碍了远程擦除信号, 如果没有收到擦除已经成功的短信回复,数据就可能已经泄漏。 31、一些磁带会提示我们它可以重复使用250次或在理想条件下能保存30 年,我们要监控备份错误, 当磁带开始产生错误时,技术人员应停止使用。一旦备份介质达到其 MTTF,就要进行销毁。可以将其消磁,然后存储直到销毁(使用破碎机 或焚烧炉)。 32、消磁不能清除SSD内的数据,擦除命令也不能完全清楚数据,所以许 多组织直接销毁SSD,而不是仅将内容清除。 33、配置管理有助于确保系统处于安全一致的状态,使用的一种方法是 基线。基线是一个起点,是一个系统的启动配置(starting configuration),基线与检查列表同时产生,脚本和工具常用来实现基线, 使用自动方法可以减少手动基线的潜在错误。比如微软的组策略,可以 自动将组策略推到域中的所有计算机。 34、许多组织使用镜像来创建基线,管理员在计算机上安装操作系统和 所需的应用程序,测试一切OK后,然后用镜像制作软件创建Image,并存 在镜像服务器或介质中。然后根据需要将镜像部署到其他系统中。当用 户的系统损坏时,可以在几分钟内重新部署镜像。 35、镜像经常和自动化方法结合起来,先用镜像打个底,然后根据不同 部门的需要,用自动化的方法额外安装其他应用程序。 36、美国政府和微软合作,制作了美国政府配置基线USGCB,包括几个 不同的操作系统镜像。因为美国政府发现很多安全问题都是由于windows 系统配置错误引发的。 37、变更管理的主要目标时确保变更不会导致中断,变更管理流程要求 适当的人员在实施前审查和批准变更方案,并做记录。未授权的变更直 接影响到可用性。 38、变更管理过程提供控制、文档化、跟踪和审计所有的变更。 变更管理过程常见任务:请求变更、审查变更、批准/拒绝变更、计划和 实施变更(是有时间计划的)、文档化变更(通常需要改变配置管理文 档),文档化有利于回滚Reverse,而且有利于在其他系统上实现相同的 变更。 38、版本控制,主要是开发人员要注意,如果不能用版本控制系统来控 制变更,就会因为变更导致网站瘫痪。 39、配置文档确定当前系统的配置,定义了系统负责人和系统目标,并 且列出了所有应用于基线的变更。如今,这些信息都存储在数据库中, 但当断电时可能有些麻烦。 40、补丁管理, 1、评估补丁,当供应商发布补丁后,要先评估补丁是否适用 (Windows服务器没有开DNS功能就不要打DNS补丁); 2、测试补丁、确定补丁不会带来副作用; 3、批准补丁;用到变更管理过程。 4、部署补丁(很多组织采用自动化的方法部署补丁); 5、确认补丁已经部署。 41、由于微软经常在每月的第二个星期二发布补丁,所以有“补丁星期 二”的说法;攻击者如果发现有组织没有修补补丁,就会逆向补丁并利 用漏洞,所以有“漏洞星期三”之说。 42、发现漏洞后,管理层可以选择接受风险,施加控制后仍然存在的任 何风险都是剩余风险,剩余风险产生的任何损失是管理层的责任。 43、漏洞管理程序的两个常见要素是例行漏洞扫描(技术性的)和定期 脆弱性评估(涵盖更多的东西),注意:术语漏洞评估有时被用来表示 风险评估,狭义上的漏洞评估往往是风险评估的一部分,许多渗透测试 以漏洞评估开始,渗透测试经常包括社会工程学。也即漏洞评估并不仅 仅是技术性扫描,还包括审查(reviews)和审计(audits)。 43、漏洞评估通常包含漏洞扫描结果,但真正的评估将涵盖更多的东西。 例如,每年的漏洞评估可能会分析过去一年中的所有漏洞扫描报告,以 确定组织是否正在修复漏洞。如果在每一份漏洞扫描报告_上都有相同的 漏洞,我们脑海中就会自然而然产生一个问题,为什么这个漏洞没有被 修复? 44、MITRE维护CVE漏洞库,www.cve.mitre.org,创始人是MIT的研究工程 师。网站和MIT没有关系,是从美国政府获得资金维护漏洞库。CVE为漏 洞管理提供了便利。 45、纵观本章,主要讲了一些基本的运营原则,比如知其所需、最小特 权、职责和责任分离、岗位轮换、强制休假等等,然后讲了介质管理, 然后延伸到资产管理,包括虚拟资产,然后讲变更管理、配置管理、补 丁管理、漏洞管理。总的看下来,就是对人的管理、固定资产的管理、 系统的管理。 第17章 事件预防和响应 1、事件(incident)是任何对资产的CIA三性有负面影响的事情(Event), 在ITIL里面说“对IT服务来说,非计划的中断或质量降低”,而计算机安 全事件通常是指攻击结果,或指对用户来说是恶意行动的结果。 2、常见的安全事件:网络入侵企图、DoS企图、恶意软件发现、未经授 权的访问、违反安全策略的行为。 3、事件响应的步骤,检测、响应、缓解、报告、恢复、修复、经验教 训。 DRM-RRRL 4、事件响应不应包括对攻击者的反击。对别人发动攻击往往适得其反而 且非法,1是可能导致攻击的升级,攻击者会因为怨恨而周期性的攻击; 2、可能殃及无辜。 5、检测:仅仅从自动化工具那里收到警告,不能判定安全事件的发生。 IT人员需要调查确定他们是否为真实事件。IT专家是事件的第一响应者, 他们第一批到达现场。如果确认是安全事件,就开始响应。 6、响应:许多组织有指定的团队,CIRT或CSIRT(计算机(安全)事件响 应小组),只有重大的安全事件才激活该团队,小case一般不激活此团 队,《事件响应计划》会描述什么条件下激活这团队。 7、在处理事件的过程中,计算机不应该被关闭,因为要保护所有的数据 作为证据,如果计算机断电,临时文件和RAM中的数据将丢失,专家本 可以用专用工具提取数据的。 8、缓解:目标是限制事件的影响范围,如果发现受感染机器正在发数据, 可以禁用网卡或拔网线。(一旦略微缓解,立刻报告) 9、报告:报告包括组织内部和外部,轻微的事件不需要报告给CEO,但 严重的要报告到高层。根据法律,如果PII数据泄漏,必须报告,包括通 知受影响的个人。严重的安全事故,要考虑报告给官方机构。 10、许多事件没有报道,因为它们不被确认为事件,这是专业知识不够 的结果。应该确保人员有相关的培训。 11、恢复:收集了证据后,就是恢复系统到正常状态,可能重启就行, 可能需要重建,尤其是怀疑有恶意代码或代码被修改时,需要重建,重 建系统最重要的是确保配置正确。要查看配置管理和变更管理的相关文 档。 12、修复:要找到真正原因和根本原因,实施安全措施(比如打补丁), 可能要设计新的安全控制,以防再次发生。 13、经验教训:事件响应团队要写一份报告,会有一些相应的建议,管 理层决定哪些予以实施,哪些拒绝,但拒绝后的遗留风险由管理层负责。 14、部署预防性措施(Implementing preventive measures):基本的做法: 保持系统和应用程序更新; 删除不必要的服务; 使用IDS/IPS; 使用最新的反恶意软件; 使用防火墙。 15、理解攻击。无论何种形式,只要让系统无法执行正常活动的,都可 以被认为是DoS。DDoS通常使用僵尸网络。DRDoS是分布式反射拒绝服务, 采用反射方法,不直接攻击受害者,而是反射回来自其他来源,域名投 毒和smurf攻击都是这样。 16、SYN泛洪,攻击者只发SYN,而受害者发了SYN/ACK后等不到后续的 ACK包,通常等3分钟后放弃(管理员可以调这个时间,在一定程度上减 缓攻击)。注意通常每个SYN包都会有不同的源地址。 17、SYN Cookie是一种防御方法,它的原理是在接收到SYN包后,返回 SYN/ACK包时,不分配资源,而是根据这个SYN包的状态信息(主要是 源目IP-port信息和时间信息)做MAC得到一个cookie,这个cookie就作为 SYN/ACK包的初始序列号。当客户端返回ACK包时,服务器根据包头信 息计算cookie,与返回的确认序列号(cookie + 1)进行对比,如果相同,则 是一个正常连接,然后,分配资源,建立连接。 18、TCP重置攻击是通过FIN或RST数据包断开会话活动。 19、smurf通过伪造ICMP包来攻击,攻击者将Echo Request作为广播发给 网上的所有系统,并伪造源IP地址,所有的Echo response就会到这个被伪 造的IP上。这是一种放大(amplify )。已经很少见了。因为按RFC2644正 确配置路由后,路由器不能转发定向广播,网络便不能放大。防火墙也 往往拒绝ICMP,许多服务器能防止利用ICMP的任何攻击。 20、fraggle攻击类似smurf攻击,使用UDP的端口7和19,也是发UDP广播 报,用伪造的源IP,试图用大量响应攻击受害者。 21、ping泛洪:给受害者洪水般的ping请求,使用DDoS僵尸网络时效果 很明显,常见处理方式是阻断ICMP流量。 22、僵尸网络(Botnets),僵尸网络有4万台计算机很常见,过去,控制 百万计的系统也很常见。防范被感染为僵尸: 1、反恶意软件定期更新;2、补丁定期更新;3、浏览器及插件定期更 新。 两个僵尸网络:Gameover Zeus、Simda、Esthost(DNSChanger,更改 用的DNS设置指向恶意DNS服务器),这些都是著名的大型的僵尸网络。 23、死亡Ping主要用的是超大Ping包,一般Ping包是32~64字节,死亡 Ping用的是64KB的包。现在,这种攻击已经不奏效,补丁都打上了。 24、泪滴攻击,以一种无法重新组包的方式分割数据包,旧系统无法处 理这种情况,就会崩溃。现在没问题了,都打上补丁了。属于拒绝服务 攻击。 25、land攻击,使用受害者的IP同时作为源和目的IP,发送伪造SYN包, 使得系统不断对自己应答,会导致系统freeze, crash, or reboot,系统只要 过滤源目相同的IP就可以了。 26、零日漏洞:供应商不知情,所以并没有开发或发布补丁。即便知道 了漏洞,如果没有开发出来补丁(一般要几天或者几个月),也是零日 漏洞,因为公众不知道。如果发布了补丁但没有打,这不叫零日漏洞, 这叫没打补丁。 27、蜜罐和填充单元使得管理员有机会观察攻击并可能揭示使用零日漏 洞攻击的原理。 28、恶意代码是不必要的、未授权的或未知活动的脚本及程序,目前最 流行的方式是偷渡时下载,大多偷渡式下载(Drive-by download)利用 的是未安装补丁的系统的漏洞。其他方式包括电子邮件附件、USB闪存感 染等等。 29、安装恶意软件的另一种流行方式是使用付费的安装(Pay-perinstall),罪犯让网站挂恶意软件(伪装成反恶意软件),然后看多少人 安装,就给网站多少钱(每次安装从13美分到30美元不等)。 30、战争拨号(War dialing)是通过调制解调器去大规模拨打电话,通过 检测计算机载波音,来发现接受入站连接的的系统,新的战争拨号技术 使用VoIP拨号,除了发现调制解调器外,还可以检测传真机、语音信箱、 拨号音、人声,Metasploit纳入了WarVOX这个战争拨号软件。因为有些 组织仍然提供了员工外出时远程通过modem接入组织的系统。对策:强 身份认证;不存在未授权的调制解调器;回叫安全机制;限制协议;记 录呼叫日志。组织也可以使用战争拨号技术来发现组织内部未经授权私 自安装的调制解调器。 31、蓄意破坏(sabotage)发生在员工自身怀疑将被无故解雇或被解雇 仍然对系统有访问权的情况。 32、间谍(Espionage)的目的是向竞争对手或其他感兴趣组织(如境外 机构)披露或出售信息。反间谍活动:严格控制所有的非公开数据,严 格筛选新员工,有效跟踪所有员工的活动。 33、IPS具有IDS的所有功能,而且还可以采取额外的措施来阻止或防止入 侵,经常会看到入侵检测和防御系统的结合(IDPS)。有两大类,基于 知识的,和基于行为的。许多IDS使用两者相结合的方法。 基于知识的:需要签名,也就是特征库(signature database ),要定 期更新签名。特点是只对已知攻击有效。 基于行为的,将活动和正常性能的基线做对比,检测异常。 34、对于基于行为的检测:一开始要先建立正常活动的基线,积累足够 多了(一个星期即可建立起来),然后就可以检测恶意的。比如流量激 增、多次失败的登录尝试、工作时间以外的登录等等。这可以被认为是 专家系统或者伪人工智能系统。缺点是有大量的False Alert或称False Positive。 35、IDS的响应也分两种,被动响应Passive Response,主动响应Active Response,前者只是记录报警而已,后者会改变环境来阻止入侵(修改 ACL)。可以在防火墙前后各放一个被动式IDS,以检查防火墙的有效性, 通过对比IDS警报,来看看防火墙阻挡了那些攻击类型。 主动IDS可以说就是IPS,但要求是串接的才是。如果不是串接,就不是 IPS。 36、许多24小时的网络运营中心NOC都有中央监控屏幕,IDS警报会显示 在一个屏幕上。 37、主机型IDS(HIDS)监视单个计算机的活动,包括进程调用和日志 (包括系统、应用、安全、主机防火墙的)。主要优势是可以检测到主 机系统上的异常。安装HIDS的行为并不常见,主要是贵、消耗系统资源、 降低系统性能。 38、网络型IDS通过使用远程传感器来收集关键网络位置的数据,以检测 大型网络,传感器将数据发送到中央管理控制台。传感器一般接在镜像 端口上,思科交换机镜像端口叫SPAN端口(Switched Port Analyzer)。 39、NIDS通常能检测到攻击和将要发生的攻击,但往往不能提供有关攻 击成功的信息。 39、黑暗网络Darknets,在IDS语境下,黑暗网络指的是使用已分配、不 使用的IP地址的网络及其中用于捕获流量的设备,由于这段IP地址并不被 使用,所以不应该有人知道这段IP,也不会有人访问,一旦有访问,要 么是配置错误,要么就是非法的流量。 40、两个联网的蜜罐就是蜜网,蜜罐可以延迟入侵者的侵入时间,可以 放一些足以乱真的假文件,攻击者在蜜罐里面花费时间越长,管理员调 查的时间就越多,很多安全专家认为蜜罐能够有效防范零日攻击。通常 将蜜罐和蜜网放在虚拟网络里,可以用快照。 41、关于蜜罐,有个引诱(Enticement)和诱捕(Entrapment)的问题, 只要不是积极唆使访问者访问蜜罐然后控诉其入侵,就行,否则就是非 法诱捕。 42、伪漏洞通常被用在蜜罐中,用来迷惑攻击者,让他们以为成功穿透 系统。但并不是真的漏洞。蜜罐包含了伪漏洞和伪数据,都是为了诱惑 攻击者。 43、填充单元(Padded cell)与蜜罐类似,当IDS检测到入侵者时,会把 入侵者自动转移到填充单元,这里有实际的网络布局,但入侵者不能执 行任何恶意活动,也不能访问任何机密数据。可以理解为网络的模拟环 境。 44、警告框将基本的策略准则通知给用户和入侵者,提示他们将会被审 计和监控,措辞很重要,由于未授权用户也能看到,所以要写上“禁止 非法入内”(no trespassing )之类的话。也就是说,对授权和非授权用 户都通知到,如果有非授权活动,将被起诉。 45、反恶意软件(anti-malware)以前将注意力放在病毒上,现在扩展到 木马、蠕虫、间谍软件和rootkit等。一个系统上只安装一个反恶意软件, 否则会互相干扰。 46、有许多方法防范恶意软件,有的防火墙有内容过滤能力(病毒防火 墙),有的邮件服务器能过滤恶意代码。 47、用户的权限就是恶意应用的权限,用户权限很低的时候,连安装软 件都不可以。所以最小特权原则是有帮助的。 48、kim给larry发了个笑话,带毒,要教育kim,用公司网络发笑话是不 对的,larry也要教育,打开与工作无关的附件也不对。 49、白名单和黑名单都可以有效阻止未经授权的应用程序,iOS就是一个 典型的白名单例子,只能从苹果商店安装应用。但越狱的iOS设备,可以 对操作系统进行根级别的访问。 50、下一代防火墙有统一威胁管理(unified threat management ,UTM) 将几种防火墙的过滤功能结合了起来,包括包过滤防火墙、状态监测、 识别恶意流量、识别恶意软件、IDS/IPS。 51、如果组织外包了服务,那么组织应该向外部表明,这些第三方外包 公司,也是遵守安全要求的。比如PCI DSS会要求组织保证外包也能遵守 PCI DSS。换言之,组织不能外包责任。 52、做渗透测试(简称pentest)的时候,要避免业务中断,做测试前, 得到高级管理层的批准是非常重要的(很多人坚持书面批准,写明风 险)。如果可能,在测试系统上作渗透测试,避免影响生产。 53、渗透测试的目的:确定系统对攻击的容忍度;识别员工检测和响应 攻击的能力;识别可以增加的控制措施(比如加个WAF)。 54、内部员工在没有授权的情况下做pentest,组织可能会将他们的行为 视为非法攻击。 55、渗透测试类型:零知识黑盒测试,全知识白盒测试,部分知识灰盒 测试(比如只是知道网络结构和一些配置细节)。 56、白盒(又称水晶盒、透明盒)了解系统版本和打补丁情况,知道所 有配置,能访问源码, 白盒能更经济,更有效定位漏洞,发现漏洞时间也会比较短。 57、全知识团队(比如安全管理人员)有时候往往会有盲点,不会全面 测试每一种可能性。黑盒和灰盒会测得比较充分。 58、渗透测试经常使用社会工程学技术。教育往往是缓解这类攻击的最 有效方法。 59、测试报告是敏感信息。报告概述具体的漏洞、漏洞如何利用、建议。 60、道德黑客(Ethical Hacking)就是白帽子,就是合法搞渗透测试的人, 了解网络安全并知道如何破解安全性,却不为自己牟利的人,道德黑客 永远停留在法律允许范围内。道德黑客使用了黑客的原始含义。 61、日志将活动(event)记录到日志文件或数据库中,将日志(logging) 和监控(monitoring)联合起来,可以提供安全的可问责性。 62、识别和认证(identification and authentication )是可问责性的先决条 件,否则有人冒充Darril删除文件,Darril可能就会面临错误指控。 63、通常的日志类型:安全日志、系统日志、应用程序日志、防火墙日 志、代理日志、变更日志 安全日志:记录对资源的访问,如文件、文件夹、打印机等,访问、修改、删 除文件时,安全日志都能够记录下来。 系统日志:系统、服务的开启、关闭等等,主要是怕有人在系统停机和重启之 间,可能会用光盘或U盘启动系统作案,或者把服务关了作案。 应用程序日志:开发人员可以选择在应用程序日志中做哪些记录。 防火墙日志:允许的流量或阻止的流量都可以记录。防火墙日志一般不记录数 据包的实际内容。 代理日志:主要是代理服务器的日志,代理日志记录了哪些用户访问了哪些网 站,用了多长时间。 变更日志:记录变更请求、批准和系统的实际变更。作为DRP(灾难恢复计 划)的一部分,变更日志很有用,灾难恢复时使用变更日志,有助于将系统还原。 64、日志功能通常都是操作系统的自带功能,可以让绝大多数应用系统 和服务使用。对于特权账户的活动(event),一定要记录。 65、保护日志文件免受未授权的访问和修改很重要(否则证据就没 了!)。可以在中央系统上存储日志的副本,对日志文件的备份也很重 要,可以保存一年、三年、甚至可以无限期保存。不需要时,应及时销 毁。如果法规要求保存一年,就绝不要保存十年,否则浪费时间和精力。 66、“监控”使得员工能积极遵守安全策略,意识到日志能够记录活动 的用户,不太会尝试绕过安全控制。所以说,审计跟踪是一种威慑手段。 67、审计踪迹(Audit Trails),主要是日志中的记录,通过查看这个,安 全专业人员重建导致事件的条件和系统状态。 68、日志的时间戳很重要,网络时间协议NTP服务器就很重要,系统应该 和NTP同步。 69、一些日志文件可以捕获应用程序崩溃时的内容,比如转储文件 (crash dump file)可以帮助诊断问题。 70、日志分析应该是周期性的任务(而不是出了事才看),可以检测潜 在的问题,可以手动看,也可以用自动化工具来分析。 71、有很多应用程序可以监控网络上的系统,比如SIEM、SEM、SIM,指 的是安全信息和事件管理。这些工具为组织提供了系统事件的实时分析。 监控网络流量,读取日志,也可能需要装很多代理。使用数据挖掘技术。 72、还有一些监控工具可以跟踪系统的版本信息、是否打了补丁、有无 安装未授权软件等等。类似青藤云安全。 73、统计学抽样(Statistical sampling)使用精确的数学函数从大量数据 中抽取有意义信息,允许审计人员快速地从审计跟踪中确定重要的问题; 统计学抽样是建立在科学的基础上的,可以通过抽样比较准确的反映真 实情况。虽然也有不真实的风险。 74、阀值级别(Clipping Levels),是一种非统计抽样(nonstatistical sampling),它只选择超过阀值平均值的事件,如果事件未达到此阀值, 系统就会忽略该事件。比如阀值设为30分钟内有5次或5次以上失败登录 时才发布警报。其实这可理解为一种超出基线就处罚异常的报警。注意: 非统计抽样是任意抽样,审计程序有自由裁定权(discretion)。这种方 法不能提供整体数据的精确代表值,可能会忽略未达到阀值的事件。然 而这更便宜、更容易实现。 75、由于日志太大了,可以用抽样的方法。统计抽样则是在统计了的情 况下再进行的抽样调查,更可靠更精确。非统计抽样要依靠专家来判断 是否有问题。这两种方法都被认为是用来概括大量数据的有效方法。 76、其他监控:除了日志,CCTV也是一种监控工具。击键监控是监控用 户在物理键盘上进行击键的行为。视频录屏可以执行可视化监控。只有 在极端环境下,击键监控才能实际作为一种审计和分析用户活动的方法。 77、其他监控:许多击键监控的组织都通过雇佣协议、安全策略和登录 警告标题来通知经过授权或未经授权的用户存在这样的监控措施。 78、其他监控:流量分析和趋势分析也都是监控的形式,他们对数据包 的流(而不是内容)进行检查,也被称为网络流量监测。如果有一名员 工的账户发送大量的电子邮件给别人,就可能表明该员工的系统中木马 了。 79、出口监控(Egress monitoring),监控出战的流量,防止数据泄漏。 DLP就是干这个的,主要有两种,基于网络的和基于终端的。 基于网络的DLP:对不加密的流量有深层次检测能力(rar),但对于加 密的,就没有办法了,APT攻击都会加密后再传输的。 基于终端的DLP:可以防止用户把敏感数据复制到USB闪存中。也可以 阻止对某些含关键字的文档的拷贝和打印,可以做的很多,比如终端安 全平台、保密监管平台。 80、隐写术(steganography)在文件中嵌入信息,如果有一个可疑文件 的源文件,就可以检测隐写术。组织可以定期检测很少变化哈希值的内 部文件,如果发现内部员工发出文件的哈希值和原始文件的不一样,就 说明可能含有隐藏信息。 81、水印(watermarking),数字水印是一种在数字文件中秘密嵌入的标 记。比如电影数字拷贝每个副本都有一个不同的标记,可以追踪是谁盗 版了电影。DLP能检测到水印,如果从水印中识别到敏感信息,就会阻止 并向安全人员发出警报。 82、审计是一种针对环境的有条理的审查方式。审计人员负责测试和验 证安全策略或法规的具体落实和相关的过程、程序,通过检查使它们满 足组织的要求,并且还验证工作人员是否遵循这些过程。审计有两重含 义,一个是审计日志和使用监控工具跟踪活动,一个是检查或评估 (Inspection or Evaluation)。 83、明确并坚持审计频率是很重要的,通常按照风险的大小来决定审计 的频率(审计是需要时间和成本的,所以对特权账号的审计频率会高一 些)。 84、不执行审计,就是管理层没有Due Care;审计可以由内部人员做, 也可以由外部做。 85、有关访问控制的审计有两大类,一种是访问审查审计(Access review audit),一种是用户权限审计(user entitlement audit)。 访问审查审计:检查访问和账户管理是否符合安全策略,比如检查一 个有较高权限的用户确实是由于工作需要,检查数据是否已经分类,用 户是否知晓分类,用户是否知道自己为什么有高权限,检查用户确保他 们没有过多的权限(clearance)。 用户权限审计:检查用户是否被授予过多的特权(具体的操作特 权)。 86、要对高级别管理组进行审计(High-level administrator group),看是 不是有不该在里面的人,可以通过自动化工具监视特权的执行(比如添 加用户),可以通过检查审计踪迹来查看是谁干的。要查看在删除一个 高权限用户这方面,有没有制定流程。 87、许多组织要求管理员拥有两个账户(Dual administrator accounts), 一个作为日常使用,一个拥有特权。因为如果有恶意软件感染,用户登 录特权后,恶意软件就可以使用该账户的特权,如果管理员只用工作时 间的十分之一使用特权账户,那么被恶意软件感染的机会就会少。审计 员也可以验证管理员是否适当地使用特权账户,因为按道理他应该用十 分之一的时间登录特权账户,这很容易查�闯隼础� 88、注意:管理员账户的密码要更长,一般人的口令要8个字符,那管理 员的最少要为15个字符。 89、安全审计至少要看这几个方面:补丁管理、漏洞管理、配置管理、 变更管理。 90、审计报告要包含:审计目的、审计范围、发现问题、具体细节(问 题、事件、条件)、标准和基线、原因、影响、建议的解决方案。 91、审计报告通常包含敏感信息,所以要有一个分类标签,可以访问这 个报告的人:高层管理人员、创建报告的人、负责更正的人。 可以修 改为只给相关的人看相关的内容,高级管理人员可以只看简洁的概述或 总结。 92、审计报告完成后,要按照安全策略,将报告提交给指定的接收人, 并且经常需要接收人签字。如果其中含有严重安全违规问题或履职问题 时,员工需要将其升级到更高层次的领导。 93、当问题严重到不能等到最终报告一起汇报的时候,审计师可以发临 时报告。 94、审计师一旦完成审计调查,通常会召开退出会议(exit conference )。 在退出会议上陈述发现的问题并讨论,以寻找解决方法。会议结束后离 开房间后才会向组织提交最终的审计报告,以保障审计报告是不受干扰 和胁迫的。 95、组织收到最终报告后,内部审计人员对其进行审查,并据此向高级 管理层提出建议,高级管理层负责选择哪些建议可以采纳,最终由内部 人员实施。 第18章 灾难恢复计划 1、灾难恢复计划DRP从BCP中止时开始,当灾难发生时,业务连续性计 划无法防止业务中断时,灾难发生,灾难恢复计划开始生效。 2、停止、阻止或中断组织执行工作任务的任何事件都被视为灾难。 3、每天在美国,至少有1000幢建筑物发生火灾。 4、全世界的BCP/DRP团队能够从纽约大停电(纽约以及美国东北部和 中西部遭遇了大停电)中得到如下教训: 1、确保作为替代的站点与主站点有足够远而不至于收到相同的灾难。 2、灾难往往不会伴随着预先告警。 5、一种人为的灾难形式,可能是罢工或劳工危机。如果大部分员工在同 一时间罢工,怎么办。要能够解决这个问题。 6、小偷可能偷空调、管道、电源子系统、铜,这种威胁也很讨厌。 7、理解系统恢复和容错能力: 单点故障(Single poiint fault)是指能让整个系统崩溃的组件(单磁 盘、单数据库)。 容错能力(Fault tolerance)是指系统在发生故障的情况下仍然继续运 行的能力(RAID)。 系统恢复能力(system resilience)是指系统发生不利事件时保持可接 受服务水平的能力。 发生故障后,容错能力能够使故障转移到其他服务器上,而系统恢复 能力能够在系统修复后,重新返回原服务器。 8、 RAID-0:也称条带。使用两个或两个以上的磁盘,提高性能,不提供 容错能力。RAID 0提高存储性能的原理是把连续的数据分散到多个磁盘 上存取,每个磁盘执行属于它自己的那部分数据请求。这种数据上的并 行操作可以充分利用总线的带宽,提高磁盘整体存取性能。 RAID-1:也称镜像,使用两个磁盘。 RAID-5:奇偶校验,也叫具有奇偶校验的磁盘条带化(disk striping with parity)。使用三个或更多磁盘,相当于一个磁盘,其中包好奇偶检 验信息,最多允许一磁盘损坏,此时也将继续运行,但速度会变慢。 RAID-10:也被称为RAID 1+0 或条带镜像,在RAID-0的基础上再配置两个 或两个以上的镜像(RAID-1)。使用至少4个磁盘,磁盘添加数为偶数。 9、容错和备份不同,即便有容错,也要做备份。因为灾难性的硬件故障, 可能会破坏一个磁盘阵列。 10、RAID可基于软件、也可基于硬件。大多数基于硬件的阵列支持热交 换,在不断电的情况下更换损坏的硬盘。 11、对于数据库而言,DB1和DB2是配置在故障转移集群(fail over cluster) 中的两台数据库服务器,如果DB2检测到DB1损坏,集群将会自动切换 (fail over)到DB2。 12、使用UPS的目的是为了完成系统的逻辑性关闭提供足够的时间。并且 提供电涌(surge)保护。 13、spike是激增,sag是下滑,surge是长时间维持高压(电涌), brownout是长时间处于低压。噪音称为瞬变Transient。 14、只要发电机有燃料,就能依靠发电机获得稳定电力。 15、可信恢复(Trusted Recovery)保证系统在发生故障后,系统仍然至 少和以前一样安全。系统恢复可以是自动的也可以是手动的。系统应该 被设计为fail-secure或fail-open状态,选择取决于系统故障后安全性重要 还是可用性重要。(考虑防火墙、电子锁故障时的两种不同模式)。 16、服务质量(QoS),主要考虑因素:带宽、延迟、抖动(Jitter,不 同包的延迟不一样)、丢包、干扰(引发错数据)。 17、当灾难发生时,灾难恢复计划应该几乎能够几乎全自动起到作用并 开始为恢复操作提供支持。即使正式的DRP团队还未到场,灾难现场的第 一位员工能够以有组织的方式立刻开始恢复工作。 18、购买保险也能够减少经济损失,一定要购买足够责任范围的保险, 以便能够从灾难中恢复过来。简单的定额责任范围可能不足以包括实际 的更换成本。 19、有价凭证保险(Valuable paper insurance)责任范围为记名的 (inscribed)、打印的和书面的文档与手稿,以及其他打印的业务记录提 供了保护。不过,这种保险的责任范围并不包括对钞票和印刷的安全证 书的损坏。 20、恢复策略(recovery strategy)中的几个内容:确定业务单元的优先 顺序、危机管理、应急联络、工作组恢复、可替代的工作站点、相互援 助协议、数据库恢复。 21、确定业务单元的优先顺序:为了尽可能最有效地恢复业务运营,优 先级别最高的业务单元要能被最先恢复。DRP团队必须识别和优化重要业 务功能,定义想恢复哪个功能或以什么顺序恢复。优先级评定这个工作 在BCP里面已经做过BIA(业务影响评估)工作,所以BIA可以作为以评定 优先级任务的基础。这个任务的结果是一张简单的业务单元优先级列表。 22、在试图开始完全恢复工作之前,在组织内最好先恢复最高优先级业 务单元 50%的运营能力(因为并不是这个业务单元里的所有任务都是最 高的优先级别),然后继续恢复优先级别较低的业务单元,使之达到最 小限度的运营能力。 23、危机管理:对于公司中很可能首先注意到发生了紧急情况的个人 (也就是保安、技术人员等)应该对他们进行完整的灾难恢复措施培训, 并且让他们知道适当的通知措施和立即响应机制。惊恐的员工想到的只 是迅速逃离。要进行连续的灾难恢复培训。比如培训所有的员工在发现 火灾时,启动防火警报装置或与应急办公室联系。 24、应急联络:当灾难来袭时,组织能够在内部与外部之间进行通信是 很重要的。如果组织无法与外部保持联系,公众很容易感到害怕并往最 坏处想。灾难期间,组织内部进行沟通也是很重要的,这样员工就知道 他们应该做些什么,例如:是回去工作,还是向另一个地点汇报情况? 灾难可能毁了通信系统,要事先想好怎么做。 25、工作组恢复(workgroup recovery):在设计DRP时,记住最重要目 标是让工作组恢复到正常状态并最终使他们可以在日常办公地点工作。 很容易把工作组恢复变为次要目标,并认为灾难恢复纯粹是 IT 人员的工 作。比如可以先把工作组安排在临时的办公场所,等条件具备时再搬回 来。 26、可替代的工作站点:DRP最重要的要素之一是:在主要的工作站点无 法使用时选择可以替代的工作站点。几类站点:冷站点、温站点、热站 点、移动站点、服务局以及多站点。 27、选择任何可替代的工作站点时,一定要确认该场所远离主站点,从 而使其不会与主站点一起受到相同灾难的影响。但是也要近一些,至少 在一天内能开车到达那里。 冷战点(cold):可以是大的仓库、空的办公楼,没有计算机,没有 网。可能会有一些待用的电信链接(需要时就启用)。整体启动冷战点 需要数个星期。 温站点(warm):包含计算机和网络,但一般不含数据,需要使用时 要恢复数据。激活温站点需要至少12个小时。而热站点只要几秒或几分 钟。可以选择外包商提供的共享的温站点。 热站点(hot):有计算机和网络,主站点上的数据会被定期的复制到 热站点上。(如果数据还不是完全复制的,那么可以手动强制复制、也 可以把备份磁带搬到热站点,实在不行,只能丢失部分数据了)。 要确认热站点和主站点提供了相同级别的技术和物理安全控制。可以 选择外包商提供的共享的热站点。冷战点、温站点都可以外包。 移动站点(mobile):由设备齐全的拖车或其他容易重新装置的单元组 成。可以找专门的供应商联系提供服务。移动站点一般被配置为冷战点 或者温站点。一般不配为热站点。 服务局(service bureaus):服务局可以租借计算机时间,你可以在那 里或者远程的使用他们的服务器、工作站甚至是桌面,但出现灾难时, 要注意到可能存在资源竞争(服务局可能超卖了)。 云计算:公司可以保留自己的数据中心,但同时用IaaS服务作为备份。 这是经济实惠的。 28、备件库:一个选项是利用“内部”(in house)替换,备件存放在不 同但是很近的位置(比如城里另一端的某个仓库)。如果出现硬件故障, 可以立即取出。另一个选项是与供应商的 SLA 类型约定,从而在发生灾 难时能够提供快速的响应和交付。然而,即使与供应商签署了 4、12、 24 或 48 小时的替换硬件合同,他们也不一定是靠谱的,不要仅仅依赖 他们。 29、相互援助协议(Mutual AssistanceAgreement, MAA)也被称为互惠协 议,在灾难恢复的文学作品中非常流行,但是在真实世界的实践中很少 被实施。在 MAA 下,两个组织保证在灾难发生时通过共享计算设施或 其他技术资源彼此相互援助。缺点:MAA 很难强制实施。协议参与各方 要彼此信任,当真的出现灾难时,非受害方可能会拒绝履行协议。受害 方只能通过法律手段取得赔偿;相互合作的组织的地理位置应该相对接 近,以便于不同场所之间员工的交通便利。但是,地理位置靠近意味着 两个组织很可能遭受相同的威胁;出于对机密性的考虑,经常会阻止公 司将自己的数据放置在其他公司手里。除去这些需要关心的问题,对于 组织来说,MAA 可能是一种很好的灾难恢复解决方案。 30、数据库恢复:电子链接、远程日志处理、远程镜像三种方法。 电子链接,电子传送:Electronic Vaulting,数据库备份通过大数据量 (Bulk)传送的方式被传送到某个场所。AIO:电子传送在文件发生改变 时进行备份,传输并不实时进行,而是批量传送备份。公司可以选择每 小时、每天、每周或每月将发生改变的所有文件都传送到备份设施。注 意从灾难宣布到数据库准备好,这是会有时间延迟的,和供应商签合同 时,注意要考察服务的书面定义,包括存储容量、线路带宽,恢复数据 库的时间等等。要定期测试。电子传送可以使用在热站点上也可以仅仅 是备份数据的场所。 远程日志(Remote jouraling):数据仍然批量传输,但更频繁,每小 时一次或者更短。传输数据库事务日志的副本到备份服务器上。包括从 上次批量传输以来发生的事务。 远程镜像(Remote Mirroring):最先进、最好,很贵,应该是TC这样的 解决方案。热站点常用。 31、恢复计划开发(recovery plan development),建立业务单元优先级 和合适的恢复场所的办法后,就该起草实际的灾难恢复计划了。维护几 种针对不同读者的文档是一个不错的主意: 管理层(包括公关人员)看的概览式文件; 适用于某个部门的计划; 针对IT技术人员的技术性指南; DR团队人员要使用的检查清单(checklist); 为DR最关键成员准备的全套副本。 32、紧急响应(Emergency response),DRP中包含紧急响应,也即重要 人员在识别出灾难或灾难即将来临时应立即遵守的、简单但内容全面的 指令。根据灾难的性质、对事件做出响应的人员种类,以及在需要撤离 设施和/或关闭设备之前可用的时间,这些指令千差万别。例如,对于大 规模火灾的指令,就比预计48 小时后着陆的飓风袭击的指令更加简明。 记住一条重要的设计原则:对清单的任务进行优先级安排,最重要的任 务应当放在第一位!级别越低的条目,在撤离之前未被完成的可能性就 越大。 33、人员通知:DRP中应该还有一份人员列表以便联系。通常都是DRP团 队重要成员和整个组织内执行关键灾难恢复任务的人员。每一个角色还 有一个后备联系人,以防主要联系人联系不上。 34、许多公司用“电话树”的形式组织他们的通知清单,即树上的每一 个成员联系他下面的人,这样就把通知任务分散到团队的成员之中,而 不是只靠一个人拨打许多电话。注意一定要添加安全网。让每个链中的 最后一个人联系第一个人,以确定整个链条上的人都被通知到位。 35、 当灾难恢复团队到达现场时,他们的首要任务之-就是评估现状。 这通常以旋转的方式进行:第一响应者进行非常简单的评估、分类活动 并启动灾难响应。随着事件的发展,更加详细的评估将用于衡量灾难恢 复工作的有效性以及资源分配的优先级。 36、DRP(尤其是技术指南)应该完整地说明组织的备份策略。实际上, 这是任何业务连续性计划和灾难恢复计划中最重要的要素之一。有三种 备份: 完整备份:一旦完整备份完成,the archive bit on every file is reset, turned off, or set to 0. 增量备份(Incremental):只备份最近一次完整备份或增量备份以来 被修改过的文件。只复制哪些Archive bit turned on, enabled, or set to 1的 文档。一旦增量备份完成,归档比特重置。 差异备份(differential):备份哪些自从最近完整备份以来被修改过的 文件,只复制哪些Archive bit turned on, enabled, or set to 1的文档。和增 量备份的区别是,差异备份不改变归档比特。 增量备份和差异备份之间最重要的差异在于:如果组合使用完整备份 和差异备份,那么只需要还原两个备份,也就是最近的完整备份和最近 的差异备份; 如果组合使用完整备份和增量备份,那么就需要还原最近的完整备份 以及之后的所有增量备份。 要根据创建备份所要求的时间做出权衡:差异备份的还原时间短,但 是生成时间比增量备份长。 37、备份介质的保存,一份在主中心或附近,另一份要在离站offsite的位 置。 38、大多数组织采用一种以上的备份策略,并有介质循环使用计划。39、 比较常用的一种备份策略是:每个周末进行一次完整备份,每天晚上进 行增量备份或差异备份。具体的备份方式和备份流程取决于组织的容错 要求。 39、对于已知的计算灾难而言,备份可能是最少实践和最容易忽视的预 防措施。 40、磁盘存储变得越来越便宜。磁带和光盘已无法应付数据量的要求。 现在很多企业将磁盘到磁盘(D2D)备份方式应用于灾难恢复策略。基 于云的备份解决方案更具成本效益。 41、备份显著影响网络的性能,所以应该被调度在空闲时间如晚上进行。 42、请记住测试组织的恢复流程。企业往往出现的事实就是备份软件报 告备份成功而恢复尝试却失败,然而检测到有问题时已经太晚了。这是 备份失败的最大原因之一。 43、磁带轮换(Tape Rotation):几种磁带轮换策略包括: 祖父-父亲-儿子(Grandfather-Father-Son, GFS)策略、 汉诺塔策略 六磁带每周备份(每周六盒,Six Cartridge Weekly)策略。 这些策略相当复杂,尤其在使用很大的磁带组时更是如此。可以通过 使用一支铅笔和一本日历来人工实现这些策略,也可以通过使用商用备 份软件或全自动分层存储管理(Hierarchical Storage Management, HSM, 注意不要和硬件安全模块HSM弄混淆了)系统来自动实现这些策略。 HSM 系统是自动化的机械备份换带机,由 32 或 64 个光学或磁带备份设 备组成。 44、软件托管协议(Software Escrow arrangement):避免公司因为软件 开发商由于种种原因(比如破产)不能为产品提供支持的情况,从而将 其作为灾难恢复计划的一部分。 45、在软件托管协议下,软件开发商将应用程序源代码的副本提供给独 立的第三方组织。然后,第三方用安全的方式维护源代码副本备份的更 新。用户和开发商之间的协议具体说明了什么是“触发事件”,如开发 商满足服务级别协议(SLA)条款失败或开发商公司破产。 46、当触发器事件发生时,第三方会向用户释放应用程序源代码的副本。 用户可以通过分析源代码来解决应用程序的问题或实现软件的升级。 46、灾难恢复计划中必须包括数量充足的与外部联络的渠道,以便满足 公司的运营需求。通常,在灾难期间由 CEO 不适宜作为发言人。应当雇 用和培训媒体联络人员来做此事。 47、恢复和还原(Recovery and Restoration),恢复的是业务(大致能开 展工作即可),这个时间很短,DR团队必须在MTD/RTO时间内恢复。 而同时,抢救(salvage)团队要还原的是全部能力,必要时是还原至原 始位置。MTD(Maximum Tolerable Downtime) 48、只有全部正常操作都返回至被还原的原有场所后,才能宣告紧急状 态结束。DRP应当指定确定何时返回原有场所的标准,并指导DR团队和 抢救团队的有序交接。 49、培训、意识与文档。培训会根据公司中的职位和角色的不同而不同。 可以考虑下面的培训: 对全体新员工进行定向(Orientation)培训。 对第一次担任新的灾难恢复角色的员工进行基本培训。 对灾难恢复团队的成员进行详细的复习性培训。 对其他所有员工进行简要的意识提醒式培训(可以作为会议的一部分 完成培训或通过像电子邮件的时事通讯这样的介质发送给所有员工)。 50、灾难恢复计划还应该进行完整的文档记录。一定要实现必要的文档 记录过程,并在计划发生改变后修改文档。 51、DRP 应当被视为极其敏感的文档,并且只在有分类和“需知”的基 础上提供给个人。参与计划的人员应当完全理解其角色,但是不必知道 或访问完整的计划。当然,确保 DRP 团队关键成员和高级管理人员知晓 整个计划和理解高级?实现细节。完全不必让每位参与计划的人员都了 解所有的内容。 52、确保在主要场所和替代场所都有足够数量的打印副本,并且是最新 的。 53、每一种灾难恢复计划都必须定期测试。5种主要的测试类型:通读测 试、结构化演练、模拟测试、并行测试、完全中断测试。 通读测试(Read-through Test):最简单也最重要,让DR团队成员通读和审查 DRP,这还可以让他们定期复习自己的职责和知识,可以审查过时的信息,可以 识别已经走了的人。OSGT:Checklist review 结构化演练(Structured Walk-through):也即桌面推演,在一个大会议室里, 不同的人扮演不同的角色。 模拟测试(Simulation Test):与结构化演练类似。但其中某些响应措施随后 会被测试。可能涉及中断某些业务,并要求某些人员做操作。 并行测试(Parallel Test):parallel test,涉及将实际人员部署到恢复场所并启 用措施。以灾难实际发生时的方式执行他们的灾难恢复职责。唯一的差别在于主 要设施的运营不会被中断。 完全中断测试(Full-interruption Test):关闭主场所,将业务转移到恢复场 所,这安排起来极其困难,而且管理层也不太愿意。 54、DRP文档的维护:微小的变化经常会通过一系列的电话交谈或电子邮 件而进行,然而重大的变化可能需要整个灾难恢复团队进行一次或几次 会议商讨。 55、要应用正式的变更管理,在IT 基础设施发生更改时能够更新和检查 所有DRP文档。 56、通过常规的演练来确保 DRP 的所有元素都被正确地使用,确保所有 职员经过培训,确保新员工尽快了解相应的工作。 第19章 事件(Incidents)和道德规范 1、所有信息安全专家迟早都会遇到需要调查的安全事件(incident )。 2、操作型调查的首要目标是解决业务问题,比如web服务器发现性能问 题,要识别出现问题的根本原因,找出修复措施,防止类似事件再次发 生。 3、刑事犯罪调查通常由法律执行者进行,是针对违法行为进行的调查。 调查的结果是指控犯罪和控诉,案件必须满足超越理性怀疑(beyond a reasonable doubt,BRD)的证据标准,必须遵循严格的证据收集和保存 过程。(BRD是指排除合理怀疑,这里的怀疑是说怀疑疑犯并没有罪。 毋庸置疑) 4、民事调查(Civil investigation)通常不涉及执法,涉及内部员工和外部 顾问。他们会准备证据来解决双方之间的纠纷。民事调查并不遵循BRD 标准,只要能说明调查结果可以信赖就行,收集证据并不那么严格。 5、监管调查。在政府机构认为个人或企业违反法律时会执行,他们选取 地点,执行相适应的标准程序取证。 6、业务调查,又叫操作性调查,主要是为了解决业务问题,比如调查一 个一个WEB服务器不工作了,通常不涉及证据,主要是找到根本原因。 当然有可能过渡到另一种类型的调查。 6、电子发现(electronic discovery):在诉讼过程中,任何一方有责任保 留与案件相关的证据,并在控诉双方之间分享。这个发现过程应用纸质 档案,电子记录及相应的电子发现(eDiscovery)过程。包含9个步骤: 信息治理(信息被良好的组织)、识别(定位信息)、保存(确保不受 篡改)、收集(收集起来)、处理(粗剪)、检查(检查是否响应了请 求,去掉那些律师和客户之间保护的信息)、分析(深入分析内容和上 下文)、制作(按照响应的格式制作)、呈现(向当事方展现)。 Information Governance 、Identification、Preservation、Collection 、 Processing 、Review 、Analysis 、Production 、Presentation 7、证据:要成为可接纳的证据,必须满足3个要求。relevant,material, competent 1、证据必须是可以用来确定一个事实的。(relevant)客观性。 2、这个事实必须是和案件相关的。(material,that is,related)关联 性 3、证据必须要有法定资格。也即必须合法获得。非法搜查而得的证据 是不可接受的。(competent)合法性 8、法庭上可以用的证据类型:实物证据、文档证据、口供(证词、言词 证据)。实物包括带指纹的键盘、硬盘、DNA;文档包括计算机日志等。 9、文档证据适用两个规则:最佳证据规则、口头证据规则。 最佳证据(best evidence rule )指的是要提供原始文档,拷贝不算。 口头证据规则(parol evidence rule )指的是书面的协议也就是所有协 议,不认可其外的什么口头协议。 文档证据满足这两条,加上前面那三条,就会被法庭采纳。 10、为了确认这个物品就是涉案物品,必须建立证据链(chain of evidence,也被称为监管链(Chain of custody))。这涉及所有处理证据 的人,包括收集原始证据的警员、处理证据的证物技术人员以及在法庭 上使用证据的律师。对证据的位置必须从被收集的时刻到出现在法庭上 的时刻进行完整记录,以确保是同一证据。这需要对证据进行彻底标记, 每个人都要签署名字、记录谁在特定的时间接触过这个证据,以及要求 接触证据的原因。 11、言辞证据:证词既可以是法庭上的口头证词,也可以是记录存储的 书面证词。证人必须宣誓同意讲真话。证人必须记得证词的根据。证人 可以基于自己的直接观察来证明或驳斥某个断言的口头言辞。大多数证 人的言辞证据都被严格地限定为基于证人的事实观察的直接证据。不过, 如果法庭认为证人是特定领域的专家,那就不应采用这种方法。在这种 案件中,证人可以基于其他存在的事实及其个人的专业知识来提供专家 观点。 12、言辞证据不得是所谓的传闻(hearsay)证据。证人不可能证实其他 人在法庭外告诉他的内容。没有经过系统管理员验证的计算机日志文件 也可能被认为是传闻证据。 12、计算机证据国际组织(IOCE)概述了收集数字证据人员应该遵循的6 个原则: 遵循程序,包括通用的司法和程序原则; 不能修改证据; 有必要使用原始数字证据时,接受培训; 收集、访问、存储、转移证据相关的活动都应该完整的记录和保留; 应当对数字证据所做的所有行为负责; 任何机构在收集、访问、存储、转移证据时都要遵守上述原则。 13、在分析数字证据时,最好使用副本。例如,当对硬盘驱动器上的内 容进行调查时,制作驱动器镜像,并将原始驱动器密封在证据袋中,然 后使用镜像进行调查。 14、存储介质分析技术可能包括从物理磁盘的未分配扇区恢复已删除的 文件。 15、网络分析时,取证分析员(forensic analysts )的任务是收集不同来 源的信息,并将它们关联起来,然后完成一份尽可能全面的网络活动构 图。 16、软件分析时,取证分析员(forensic analysts )的任务是对软件代码 进行审查,以寻找后门、逻辑炸弹或其他安全漏洞。 17、硬件/嵌入式设备分析,取证分析员(forensic analysts )的任务是 对硬件和嵌入式设备的内容进行分析。 18、当启动计算机安全调查时,应该首先召集一支有能力的分析师团队, 明确调查范围、目标、权利、责任、守则。调查过程包括请求执法、实 施调查。 19、请求执法(Calling in law enforcement):在调查中必须做出的首要 决定是:是否要请求执法机构介入。这实际上是一个相当复杂的决定, 应当涉及资深管理官员。请外部专家有很多好处,因为外部专家确实很 牛逼的。但不利因素是:调查更公开化,可能给公司带来麻烦。而且执 法机构一定要采取遵从第四修正案和其他合法要求的调查方式,而如果 公司自我实施私下调解,则不需要这么做。 20、第四修正案:主要是关于搜查证(search warrant)的,“人们的人 身、房屋、文件和财产具有受保护而不被不合理地搜查和获取的权利, 在没有获得法律许可的情况下,这个权利不可剥夺。但是基于很可能的 原因,在誓言或确认的支持下,特定的场所会被搜查,人员或物品会被 逮捕或扣押。” 21、这个要求的例外规定有很多,如个人同意搜查、明确的犯罪证据或 威胁生命的紧急情况迫使进行搜查。基于可能动机的许可证发放,必须 有罪行已经发生的证据、搜查会进一步发现证据,才能这么做。搜查的 范围也应该很明确。如果不能遵守以上条款,证据就会无效,罪犯也可 能就“He got off on a technicality.” 22、实施调查:永远不要直接在已经被破坏的实际系统上实施调查。要 将系统脱机,进行备份,并且使用备份进行事件的调查;永远不要试图 “反黑”并对犯罪进行报复。否则,可能会无意中攻击无辜的第三方, 并且发现自己会受到计算机犯罪的指控;如果有疑问,那么就请求专家 的协助。如果不希望请求执法机构的协助,那么就联系一家在计算机安 全调查领域具有特殊经验的私人调查公司;调查初期对人最好不要像审 犯人那样,要采用非正规的口头会谈、约谈(Interview),当嫌疑犯被 确定时,才可以使用审问技术对他们进行盘问(Interrogation)。 23、约谈和审问是一种专门的技巧,并且应当只由训练有素的调查人员 进行。不恰当的方法可能会损害执法部门成功起诉嫌疑人的能力。此外, 许多法律都涉及对人员的限制或拘留。如果打算进行私下审问,那么就 必须严格地遵守这些法律。在进行任何约谈之前,要和律师商讨对策。 24、任何违反了一个或多个安全策略的个人都被认为是攻击者。获取军 方情报的攻击都是专业人员进行的,他们掩盖攻击痕迹也非常彻底。商 业攻击就是工业间谍活动;金融攻击/财务攻击(︎︎ ︎Financial attack)是 为了钱或者是免费打电话;恐怖攻击是为了控制电厂、控制电信或造成 电力中断;怀恨攻击(Grudge attack)通常来自于不满,经常就是现在 或以前的员工(尤其是最近被解雇的人),希望组织不能正常运作。 25、兴奋攻击(Thrill Attack)基本上就是脚本小子,缺少技能,容易导 致服务中断,可能会破坏数据,但主要动机是攻破一个系统,然后以此 为跳板,或者篡改别人的网页,以此炫技。 26、“黑客行动主义”常常将政治和黑客快感结合在一起,组织松散的 群体,叫个Anonymous之类的名字,用Low Orbit Ion Cannon这样的小工 具,制造大规模的拒绝服务攻击。 27、Event事件是任何发生的事(occurrence ),Incident算故障或事故, 是对CIA有负面影响的事件。事故没有被报告的最常见原因是他们从未被 发现。每天都有很多违反安全策略的事,事故也便随即而来。 28、如今,美国大多数州的法律都要求:如果组织的事故涉及特定的个 人标识信息(信用卡号、社会保险号和驾照号),那么就必须通知相关 人员。 29、扫描本身可能不一定违法,但这个证据应该收集下来,因为后续的 行为大约就是违法的了,防火墙记录这些被丢弃的包需要很多存储空间, 好在存储还比较便宜。 30、组建事故响应团队时,要有功能交叉的人,团队成员可能包括:高 层管理部门代表(办公厅)、信息安全专业人员、法律代表(法律局)、 公共联络的代表(政研室)、工程师代表(网络和系统)。 31、事故响应的三个过程: 1. 检测和确认Detection and identification 2. 响应和报告Response and reporting 3.恢复和补救Recovery and remediation 32、事故响应的第一个行动应该是致力于限制和阻止进一步的暴露和破 坏。注意:保持受害系统的运行状态,不要关机,关机会毁坏RAM中的 内容,从而破坏证据。 33、关于搜集证据:就内部调查而言,很容易通过自愿交出方式收集到 绝大多数证据。通常在某位高级管理人员的支持下,你会被授权得到调 查所需的组织内的任何资源。其次,可以让法院发出一张传票或法令, 强迫个人或组织交出证据,并由执法部门强制执行传唤。但这种做法也 会惊动某些人导致他更改证据。最后,可以选择申请搜查证。必须通过 合理可信的强烈怀疑使法官同意采取这样的行动。 34、还可以采取另一个步骤,以便确保恰当没收属于组织的设备的行为。 让所有新员工签署协议,使其同意在调查期间可搜寻和没收任何必要的 证据,这已经变得越来越常见。 35、事故响应过程的最后一个阶段是召开“经验教训总结”(lesson learned)会议。 36、在事故发生之前,很有必要与适当的执法代理机构建立良好的关系。 可预先确定一名联系人作为组织与执法部门的联络人员。两点好处:首 先,能够让执法部门从联络人那里了解组织的想法;其次,允许联络人 与执法人员建立良好的工作关系。 37、(ISC)2即International Information Systems Security Certification Consortium,其道德规范提供CISSP的行为准则,包含一个序言和4个准则。 这是CISSP必须签字同意遵守的。 38、序言:社会安全和福利、公益、对委托人的责任,对相互需求的负 责,我们均应遵守,且被视为遵守最高的道德行为标准。因此,严格遵 守这些标准是获取证书的条件。 The safety and welfare of society and the common good, duty to our principals, and to each other requires that we adhere, and be seen to adhere, to the highest ethical standards of behavior. Therefore, strict adherence to this Code is a condition of certification. 39、道德规范包括如下准则:(社会责任、正直守法、尽职胜任、发展 职业) 保护社会、公共利益与基础设施,赢得必要的公众信心与信任。安全专业人员 具有很大的社会责任。我们担负着确保自己的行为使公众受益的使命。 行为得体、诚实、公正、负责和遵守法律。对于履行我们的责任来说,诚实正 直是必不可少的。如果组织、安全团体内部的其他人或一般公众怀疑我们提供的 指导不准确,或者质疑我们的动机,那么我们就无法履行自己的职责。 为委托人提供尽职的、胜任的服务工作。尽管要对整个社会负责,但是也会对 专门对雇用我们来保护其基础设施的人负责。我们必须确保为组织提供无偏见的、 完全胜任的服务。 发展和保护职业。这个职业也在不断变化。作为安全专业人员,我们必须确保 掌握最新的知识并且贡献到社会的公共知识体系中。 40、互联网顾问委员会(Internet Advisory Board,IAB)考虑到互联网发 展中出现的滥用情况,于1989年1月发布了“道德规范和互联网(Ethics and the Internet)(RFC 1087)”,这份声明被认为是不道德行为的概括 列表。主要有:试图未经授权访问Internet;破坏Internet正常使用;浪费 资源的行为(人、容量、计算机);破坏信息完整性的;危害用户隐私 的。 41、计算机道德规范协会(Computer Ethics Institute)在1992年制定了10 条戒律: 1) 不准使用计算机危害他人。harm 2) 不准妨碍他人的计算机工作。Interfere 3) 不准窥探他人的计算机文件。snoop 4) 不准使用计算机进行偷盗。 5) 不准使用计算机作伪证。bear false witness. 6) 不准私自复制未付费的专用软件。 7) 不准未被授权使用他人的计算机。 8) 不准盗用他人的知识产品。 9) 必须考虑所编写程序或所设计系统的社会后果。 10) 必须总是以确保关心和尊重同事的方式使用计算机。 此外,还有一个可供参考的道德准则是通用可接受系统安全准则(GASSP, Generally Accepted System Security Principles) 领域8-软件开发安全 第20章 软件开发安全 1、编程人员不易在解释型代码中插入恶意代码,因为终端用户可以看到 代码。 2、第 1 代语言(IGL):机器语言;2GL:汇编语言;3GL:编译语言 (如C);4GL试图接近于自然语言,包括数据库使用的SQL;5GL允许编 程人员创建使用可视接口的代码。 3、对于OOP模型,子类可以有父类的所有方法,并且有额外的特定方法。 4、高内聚就是内部关系紧密团结,松耦合就是和别人的交互很简单。内 聚cohesion,Cohesion describes the strength of the relationship between the purposes of the methods within the same class. 5、为了确保在软件的安全策略和机制能够在系统的整个生命周期内被正 确实现,可使用保证过程(Assurance Procedures),它通过正规化的过 程,在系统生命周期内构建信任。TCSEC称之为生命周期保证。 6、注意要对用户的输入做验证,检测不寻常的字符。应该在服务器端作 输入验证,浏览器的代码容易受到用户的操纵,因此很容易被绕开。 7、在大多数软件系统中,故障防护(fail-secure)状态是恰当的,因为 能够防止未授权访问。微软的Blue-screen-of-Death,可以理解为failsecure,虽然他是STOP错误。 8、一旦出现Fail-secure,编程人员就应当考虑接下来发生的活动。可能 的选项是:停留在此状态,或者自动重启系统。前者要求管理员人工重 启系统,后者不要求人工干预。 9、在有限的一些环境中,实现应急开放(fail-open)的故障状态可能更 为合适。这种方式有时适用于多层安全系统中较低层的组件。应急开放 系统的使用应当极为谨慎。必须明确验证用于该模式的业务要求。需要 确保能够采用其他适当的控制来保护组织的资源。所有安全控制都采用 fail-open的情况是极为罕见的。 10、维护安全性经常要权衡用户友好性和功能性。三角形,每个角是一 个性。 11、系统开发生命周期:概念定义(Conceptual Defination )、需求确定、 控制规格说明(Control specifications development )、设计审查、代码审 查、用户验收、维护变更。 12、概念定义(Conceptual Defination)是一个简要的摘要,由利益相关 方协商的,规定了项目用途和大体需求,使外行在短时间内对项目具备 高度概括性的理解,定期阅读此声明有助于团队重新瞄准自己的目标。 13、控制规格说明,是在项目早期就把适当的控制设计在系统中。需要 记住的是,将安全性设计到系统中不是一次性过程,并且必须主动进行。 14、许多较为成熟的工程学科(例如,土木工程、机械工程和电子工程) 从业者认为软件工程根本不是工程学科。他们坚持认为软件工程仅仅是 一些混沌过程的组合,有时由于某种原因经过管理成为可工作的解决方 案。实际上,在目前的开发环境中出现的一些软件工程只是依靠“胶带 和铁丝网(“duct tape and chicken wire.”)”组合在一起的编码。 15、瀑布模型:最初是由 Winston Royce 在 1970 年开发的,有 7 个开 发阶段。在每个阶段完成时,项目会进入下一个阶段。现代的瀑布模型 准许开发返回到先前的阶段,从而纠正在后续阶段发现的错误。这被称 为瀑布模型的反馈循环特征(feedback loop characteristic)。 16、螺旋模型:1988 年,TRW 的 Barry Boehm 提出了一种替代的生命周 期模型,允许瀑布类型处理过程多次反复。封装了许多迭代的其他模型 (也就是瀑布模型),所以被称为元模型或“模型的模型”。螺旋模型 为瀑布模型受到的主要批评提供了一个解决方案,也就是说,如果技术 需求和客户需求发生变化,需要改进系统,就允许开发人员返回到计划 编制阶段。 17、敏捷开发:17 位敏捷开发方法的先驱在 2001 年聚集在一起,制作了一 份名为“敏捷开发宣言”:“我们正在发现更好的方法以开发软件,通过这 样做和帮助他人这样做。通过这项工作,我们可以获得以下价值:个体与交 互重于过程和工具;有效的软件重于完整的文档;客户合作重于合同谈判; 响应变更重于遵循计划;也就是说,虽然有价值的条目在右边,但我们更重 视条目的左边。” 18、敏捷宣言的12条原则: 1、最高优先级是早期和持续交付有价值的软件; 2、欢迎不断变化的需求甚至是开发后期;利用变化为客户取得竞争优势; 3、在几星期到几个月的时间里以较短的时间频繁提供能用的软件; 4、业务人员和开发人员每天都要在一起工作; 5、要激发个人,给他们所需要的环境和支持,并且相信他们能够完成 这项工作; 6、传递信息最有效率和最优效果方法是面对面交谈; 7、可用的软件是首要的度量标准; 8、敏捷过程促进可持续开发,出资人、开发者和用户应该无限地保持 同一步调; 9、持续关注技术的卓越性和良好的设计,这能提高敏捷度; 10、简单:最大化精简工作量的艺术,是最重要的; 11、最好的架构、需求和设计源于自组织团队。 12、在团队内部定期思考如何变得更有效,并按这样来修正及优化自 身的行为。 19、Carmnegie Mellon 大学的软件工程学院(SEI)提出了软件能力成熟 度模型(Software Capability Maturity Model,缩写为 SW-CMM. CMM 或 SCMM),这种模型主张所有从事软件开发的组织都依次经历不同的成 熟阶段。 1、初始级,无组织无定义; 2、可重复级,开始有组织的重用代码(同类项目期望有相同的结果);有:需 求管理、项目计划编制、软件项目跟踪和监督、软件转包合同管理、软件质量保 证、软件配置管理。 3、定义级,按照一系列正式的、文档化的软件开发过程操作;有:组织过程 Focus、组织过程定义、培训计划、综合的软件管理、软件产品工程、团体之间 的协调和对等复审。 4、管理级:定量衡量。有:定量处理管理和软件质量管理 5、优化级。 注意:在可重复级阶段,出现基本的生命周期管理过程。 有: 缺陷预防、技术变更管理和过程变更管理。 20、SEI还开发了IDEAL模型:1、启动Initiating; 2诊断Diagnosing;3、建 立Establishing;4;行动Acting;5学习Learning; 1、 启动,列出变更的业务原因,提供支持,以及准备好恰当的基础设 施。 2、诊断,分析组织的当前状态,给出一般性建议。 3 、建立,采用诊断阶段的一般建议,制定行动计划。 4、行动,开发解决方案、测试、改进和实现解决方案。 5、 学习。组织必须不断分析其努力的结果,从而确定是否已实现期望 的目标,必要时建议采取新的行动,使组织重返正轨。 21、甘特图就是现实不同时间,项目和计划的相互关系。 22、计划评审技术(Program Evaluation Review Technique, PERT)is a project-scheduling tool,这种工具被用于在开发中判断软件产品的大小, 并且为风险评估计算标准偏差(Standard Deviation, SD)。PERT 将估计的 每个组件的最小可能大小、最可能的大小以及最大可能大小联系在一起。 PERT 被用于直接改进项目管理和软件编码,以便开发更有效的软件。随 着编程和管理能力得到改善,软件的实际生成大小应当更小。 23、在软件开发、质量保证和技术运维这些主要的 IT 职能之间存在脱节 的情况。这些职能,通常配备给不同类型的个人,并且还位于不同的组 织,通常彼此冲突。DevOps 方法通过将三种职能集中在一个操作模型 中来解决这些问题。传统方法导致很少发布,或许每年一次,但使用 DevOps 模型的组织通常每天部署代码多次。甚至可以每天部署几十甚至 几百次。 24、测试软件时也应职责分离。也即应当指定编程人员以外的人员进行 软件测试,从而避免利益冲突。第三方测试允许更广泛和更彻底的测试, 并且能够防止由于编程人员的偏见和爱好而影响测试结果。 25、测试也是白盒、黑盒、灰盒,灰盒是流行的软件验证方式,主要是 从用户的角度评估软件,也是分析输入输出,但测试人员会访问源代码, 并使用源代码帮助软件测试,但一般不分析程序的内部工作原理。 26、静态测试:通过分析源代码或编译的应用程序来评估软件的安全性, 不需要运行软件。通常使用自动化工具来检测bug,如缓冲区溢出。 27、动态测试:在运行时环境中评估软件的安全性,测试人员通常无法 访问基础的源代码。比如使用 Web 应用程序扫描工具来检测是否存在跨 站脚本、SQL 注入或 其他缺陷。在生产环境下的动态测试应始终仔细考 虑以避免意外中断服务。 28、代码仓库(code repositories ):它们作为开发人员放置源代码的中 心存储点。如 GitHub、Bitbucket 和 SourceForge还提供了版本控制、错 误跟踪、Web 托管、发布管理和支持软件开发的通信功能。 29、一定注意,不要在公共代码仓库中包含敏感信息,尤其是 API 密钥。 30、SLA里经常含有: 系统正常运行时间(如总工作时间的百分比) 最大连续停机时间(以秒 1 分钟为单位等) 高峰负荷(peak load)、 平均负荷(average load)、 诊断责任 (Responsibility for diagnostics) 故障切换时间(Fail-over time) 31、SLA通常还包括财务和其他合约商讨好的补救措施。例如,如果关键 线路中断超过 15 分钟,服务提供商可能同意放弃该线路上的所有费用一 周。 32、在 SaaS 环境中,大多数安全责任由供应商负责,但是组织的安全人 员也不能逃脱责任。他们负责监控供应商的安全,包括审计、评估、漏 洞扫描和旨在验证供应商是否保持适当控制的其他措施。 33、数据库管理系统(DBMS):注意有两种重要的DBMS体系结构:层 次式数据模型、分布式数据模型。 34、层次式数据模型将关联的记录和字段组合为一个逻辑树结构。这会 导致一个“一对多”数据模型,其中的每个节点可能不具有子节点,也 可能具有一个或多个子节点,但是都只具有一个父节点。最常用的层次 模型实现为LDAP模型。这种模型也用在 Windows 注册表结构和不同的文 件系统中使用,不过较新的数据库产品通常不采用该模型。 35、分布式数据模型将数据存储在多个数据库中,但用户的角度看,将 数据库理解为单个实体。每个字段都具有许多子字段和父字段。因此, 分布式数据库的数据映射关系是多对多。分布式数据库系统与集中式数 据库系统相比,具有如下基本特征:物理分布性、逻辑整体性、站点自 治性、分布透明性。 36、基本上大家都在使用关系型数据库RDBMS。关系数据库是由行和列 组成的平面二维表。关系数据库的主要构件是表(也被称为关系),每 个表都包含一组相关的记录。例如,某个销售数据库可能包含: Customers 表,包含组织中所有客户的联系信息。Sales Reps 表,包含组 织中销售人员的身份信息。Orders 表,包含每个用户所下订单的记录。 37、关系中行的数量叫做基数(cardinality),列的数量叫做度 (degree)。关系的域(domain)是一组属性可以采用的允许值。下图 说明了 Customers 表的示例。 上表基数为3,度为8. 38、主键:从候选键中选出的用来唯一标识表中记录的键被称为主键。 (候选键是可以唯一标识表中记录的属性的集合)。每个表都只有一个 主键,RDBMS 强制实施了主键的唯一性。在上图所示的Customers 表中。 CompanyID 很可能就是主键。 39、外键:被用于强制在两个表之间建立关系(也称为参照完整性, referential integrity)。参照完整性确保:如果一个表包含一个外键,那 么这个外键在另一个表中是主键。上图中的Sales Rep字段是外键,它是 Sales Reps表中的主键。 40、所有关系数据库都使用结构化查询语言(SQL),每个 DBMS 供应 商实现的 SQL 版本略有不同 (如 Microsoft公司的Transact-SQL和Oracle公 司的PL/SQL),但是都支持一个核心特性集。SQL最主要的安全特性是授 权粒度。这意味着 SQL 允许能通过表、行、列,甚至是些情况下单独的 单元来限制用户访问。 41、SQL本身被分为两个截然不同的组件:数据定义语言(DDL),允许 创建和更改数据库的结构(称为schema),数据操纵语言(DML),允 许用户与模式内包含的数据交互。 42、数据库开发人员致力于创建组织有序的、有效的数据库。为此,开 发人员定义了若干被称为范式(Normal form)的组织级别。使数据库表 遵从范式的过程被称为规范化(Normalization)。最常见的三种形式是: 第一范式 1NF、第二范式2NF、第三范式3NF,都是为了:减少表中的冗 余,消除错误放置的数据、执行其他许多清理性任务。范式是渐进的, 换句话说,要采用2NF格式,首先必须遵从1NF格式;要采用3NF 格式, 首先必须采用2NF 格式 43、数据库事务:可以显式和隐式地使用,确保数据执行的完整性。作 为一个组的这些SQL指令要么全部成功,要么全部失败。事务的一部分成 功而另一部分失败的情况不能出现。比如: BEGIN TRANSACTION UPDATE accounts SET balance = balance + 250 WHERE account_ number = 1001; UPDATE accounts SET balance = balance - 250 WHERE account_ number 2002 END TRANSACTION 44、一个事务成功完成时,也即这个事务被提交给数据库(commited), 这就不能取消了(undone)。(除非冲正的需要再来一笔交易。)事务 的提交可以是显式地使用COMMIT 命令;可以是隐式的,也就是成功到 达事务结束进行提交。 45、如果必须在中间中止事务,可以显式地使用 ROLLBACK 命令进行回 滚操作,也可以是硬件或软件故障引起的隐式回滚。当一个事务被回滚 时,数据库会将自身还原至这个事务开始前的状态。 46、所有的数据库事务都具有 4 个必需的特征,即ACID:原子性 (atomicity)、一致性(consistency)、隔离性(isolation)以及持久性 (Durability)。 47、原子性:要么全有要么全无。一致性:数据库的规则不能破坏,比 如主键唯一。隔离性:一个事务更改相同数据前,必须等前一个事务结 束。持久性:一旦提交给数据库就会被存储起来。 48、以下是几个DBMS安全特性:多级安全性、视图、并发性控制、语义 完整性、时间特性、细粒度控制(内容相关控制、单元抑制)、上下文 控制、多实例(polyinstantiation)、噪声和扰动(Noise and perturbation)。 49、要求多级安全(multilevel security)时,将不同分类级别和或“知其 所需’ 需求不同的数据混合在一起被称为数据库污染(Contamination), 这是一个重大的安全风险。通常,管理员会通过部署可信前端(trusted front end)给旧式的或不安全的 DBMS 添加多级安全性。 50、视图(views):实现多级安全性的另一种途径是使用视图。视图能 够被用于整理来自多个表的数据、聚合记录、限制用户访问特定的属性 或记录。视图被存储为 SQL 语句而不是被存储为数据表。这样可以显著 减少所需的数据库空间,允许视图违反应用于数据表的规格化规则。当 然,从复杂的视图中检索数据的时间要明显长于从表中检索数据的时间。 51、并发性控制:并发性或编辑控制(Concurrency or Edit control)是一 种预防性的安全机制,这种机制试图使数据的完整性和可用性受到保护。 并发性使用“锁定”功能允许已授权用户更改数据,同时拒绝其他用户 查看或更改数据元素。注意,审计工具可以利用并发性跟踪字段的变化。 52、语义完整性(semantic integrity):语义完整性确保用户的动作不会 违反任何结构上的规则。它检查存储的所有数据类型都位于有效的域范 围内,确认系统遵守唯一性约束。 53、时间和日期标记,常常出现在分布式数据库系统中。在每个更改事 务上添加时间标记,然后将这些更改分发或复制至其他数据库成员时, 所有变化会应用于所有成员,而且是按照正确的时间顺序实现变化。 54、细粒度控制:有两个示例: 内容相关的访问控制(content dependent):重点基于要访问对象的内 容或有效载荷进行控制。因为必须在逐个访问对象的基础上做出决定, 所以内容相关的访问控制增加了处理开销。 单元抑制(Cell suppression):对单独的数据库字段或单元隐藏或强加 更安全的约束。 55、上下文相关的访问控制(context dependent):任何单个元素本身 看上去无关紧要,但是在较大的上下文环境中就会表露出这是不是可以 允许。 56、示例:“Julio 有权访问文件吗?” 对于内容相关访问控制:系统检查 ACL 并返回响应:“Julio 能够访问 这个文件,但是只能执行读操作。” 对于上下文相关访问控制:系统检查:Julio 进行了其他哪些访问尝 试?这个请求是否不符合安全请求的顺序?这个请求是否在系统允许的 访问时间内(上午 8:00~下午 17:00) 提出?如果上述问题的答案都与一 组事先设置的参数相符,那么 Julio 就能够访问文件 A;否则,他就不能 访问文件 A。 57、多实例(polyinstantiation):在一个表中有两行或更多行具有相同 的主键元素!在不同分类级别的用户使用时返回不同的数据行,常常被 用作防范推理攻击。 58、比如:一个数据库表中包含巡逻舰艇的位置(通常都是秘密级信 息),如果一艘特殊的舰艇正在暗中执行到达绝密位置。如果数据库管 理员简单地将其位置分类更改为绝密,那么秘密级用户在不能查询这艘 舰艇的位置时就会知道发生了一些不正常的事情。如果应用多实例方法, 表中可能会插入两个记录。第一条属于绝密级分类,将反映这艘舰艇的 实际位置,并且只对属于绝密安全级的用户可用。第二条记录属于秘密 级,指出舰艇正在进行例行巡逻,并且向属于秘密安全级的用户显示这 一内容。 59、噪声和干扰(Noise and perturbation):DBMS 中插入错误的或欺骗 的数据,从而重定向或阻挠信息机密性攻击。在使用此技术时,必须非 常小心,确保插入数据库中的噪声不会影响业务操作。 60、开放数据库互连(ODBC)是一种数据库特性,允许应用程序与不同 数据库类型通信。ODBC 扮演了应用程序和后端数据库驱动程序之间代理 的角色,使应用程序编程人员能够自由创建解决方案,而不必考虑后端 的数据库系统。 61、主存就是RAM;辅存就是硬盘、磁带、CD等;虚拟内存使用辅存模 拟主存,如用硬盘模拟RAM;虚拟存储器用主存模拟辅存,比如供操作 系统使用“RAM盘”,在RAM中模拟C盘,那叫一个快,但断电后不恢复。 62、在敏感的环境下,如果怕攻击者绕过操作系统直接访问物理存储介 质如硬盘,可以使用加密文件系统的方法。 63、隐蔽存储通道(Covert storage channels ): 不同分类级别的用户,可以通过共享内存或者硬盘,偷偷传输敏感的 数据; 可以通过操纵磁盘的可用空间或文件的大小,在安全级别间偷偷传送 信息。 64、专家系统:专家系统试图具体化人类在某个特殊学科累积的知识, 一些研究已经表明,专家系统常常能够做出比人类的常规决策更好的决 定。每个专家系统都有两个主要的组件:知识库和推理引擎。 65、知识库(knowledge base)以一些列的if then对人类专家的知识进行 编码: 如果飓风是 4 级或更高级别的风暴,那么洪水-般会达到海拔 20 英尺高。 如果飓风的风速超过了每小时 120 英里,那么木质结构的建筑物将被毁坏。 如果是在飓风季节末期,那么飓风在到达海岸时会变得更强。 在实际的专家系统中,知识库将包合成百,上千个如上所示的断言。 66、推理引擎(inference engine)使用逻辑推理和模糊逻辑技术的组合 对知识库的信息推理做出结论。仍然以飓风为例,用户通知专家系统4 级飓风已经接近海岸,风速为平均每小时 140 英里。推理系统基于知识 做出撤离建议。 67、专家系统的优劣完全取决于知识库和推理引擎的决策制定算法,优 点是不受情绪影响,在紧急事件、股票交易等场景下表现出色,贷款机 构采用专家系统作出信用决策,而不是贷款主管自言自语说:“好,虽 然 Jim 一直没有准时付账,但是他看起来是个相当不错的人。” 68、模糊逻辑(fuzzy logic):与利用“黑白”数据归类的代数方式或集 合论的严格数学相比,这种技术的设计更接近于人类的思维模式。通过 替换使用模糊的界限,模糊逻辑允许算法思考控制人类思维的“灰度梯 度”。专家系统通过下列 4 个步骤或阶段使用模糊逻辑:模糊化、推理、 合成以及逆模糊化。 69、神经网络:典型的神经网络涉及很多层次的合计(Summation),每 一层的合计都需要加权信息以反映在决策制定过程中的相对重要性。权 值的确定可以在培训阶段实现,在这个阶段,网络被提供正确决策已知 的输入信息。这个算法随后进行这些决策的逆向工作,从而为计算链中 的每个节点确定正确的权值。这种活动被称为 Delta 规则或学习规则。 通过使用 Delta 规则(Delta rule or learning rule ),神经网络就能够从经 验中学习知识。 70、决策支持系统(Decision Support System, DSS)是一种知识型应用, 它分析业务数据,并且以更容易做出业务决策的形式提供给用户,比如 以图形方式提供信息,并链接概念和内容并指导操作者。决策支持系统 更多被视为信息型应用而不是操作型应用。DSS 常常被知识型员工(例 如服务台人员或客户支持人员)和销售服务人员(例如电话推销员)所 使用。很多DSS还有专家系统做支持。 71、专家系统、神经网络都在计算机安全领域有很多应用。比如:可以 帮助管理员对大量的日志记录和审计跟踪数据进行分析。 第21章 恶意代码与应用攻击 1、病毒4 种常见的传播技术:主引导记录感染、文件感染、宏感染和服 务注入。 2、主引导记录病毒(Master Boot Record, MBR):是已知的最早的病毒 感染形式。这些病毒攻击MBR(在硬盘、软盘或CD/DVD等可启动介质上), 这是在启动过程中加载操作系统的部分。由于 MBR 非常小(通常只有 512 字节),所以病毒将主要的代码存储在存储介质的其他部分。在系 统读取受感染的 MBR 时,病毒会引导系统读取并且执行在另一个地方存 储的代码,从而将全部的病毒加载到内存中执行。 3、文件程序感染病毒:感染可执行文件,并且在操作系统试图执行这些 文件时被触发。病毒可能只是对可执行程序进行了少许改动,也可能替 换了整个文件。一般的病毒不使用隐形或加密这样障眼法技术,通过比 较感染前后的文件特性(如大小和修改日期)或散列值,常常可以很容 易地检查出这种病毒。 4、同伴病毒(companion virus):同伴病毒依靠基于 Windows 的可执 行文件 com、exe 和bat这个先后顺序的操作。例如,硬盘上有一个名为 game. exe 的程序,那么同伴病毒可能会使用名字 game. com。如果你简 单地键入“game“,那么操作系统将执行这个病毒文件 game. com,而不 是实际要执行的文件 game. exe。所以,在命令行工具下执行文件,要避 免快捷方式并且使用具体的文件名。 5、宏病毒:最早出现在 20 世纪 90 年代中期,它采用拙劣的技术感染 Microsoft Word文档(使用VBA脚本语言编写恶意代码)。1999 年, Melissa 病毒通过 Word 文档传播,利用 Microsoft Outlook 中的安全漏洞 进行复制。在 2000 年初,臭名昭著的 I Love You 病毒很快步其后尘, 也利用相似的漏洞进行传播。 6、服务注入病毒:病毒将自己注入到操作系统的可信运行进程中,如 svchost.exe、winlogin.exe 和 explorer. exe。所以能够绕防病毒软件的检 测。一个防护办法是确保允许读取Web内容的所有软件(如浏览器、媒 体播放器、helper)打上最新的安全补丁。 7、反病毒软件的措施:能清除病毒就杀毒清除;发现有病毒却不知道怎 么杀,就隔离它;如果安全策略不允许隔离,或者文件太危险超过阈值, 就删掉它。 8、许多防病毒软件使用基于启发式的机制检测潜在的恶意软件感染。这 些方法分析软件的行为,寻找病毒活动的迹象,例如试图提高特权级别、 掩盖踪迹,以及更改不相关的或操作系统的文件。 9、Tripwire 被设计用于警示管理员发生未授权的文件修改,常常被用来 检测对 Web 服务器的破坏和类似的攻击。对关键的系统可执行文件被修 改,Tripwire也能提供某些病毒感染的警告。这通过维护系统所有文件的 散列值数据库来实现。 10、新类型的病毒为了挫败反病毒软件,使用狡猾的技术逃避检测,复 合病毒、隐形病毒、多态病毒和加密病毒。 复合病毒:使用多种传播技术,比如感染文件+感染MBR。 Multipartite Viruses 隐形病毒:Stealth viruses ,通过对操作系统的实际篡改来欺骗反病毒 软件,比如覆盖MBR后,随后通过修改操作系统的访问功能,当反病毒 软件包向操作系统请求读MBR时,给他一个正常的。 多态病毒:Polymorphic virus,病毒在传播时会修改自己的代码。导致 每次感染新的系统时病毒的特征(也称签名)略有不同。目的是通过连 续改变特征使得特征型反病毒软件包失效。然而,反病毒软件供应商已 经能够都能够检测出已知的多态病毒。但就是生成这个特征会花费供应 商较长的时间,导致多态病毒有更长的时间肆虐。 加密病毒:很像多态病毒,但不是通过改变代码来生成不同的特征,而 是在每个感染时都使用不同的密钥,使得主代码在每个系统上都呈现出 完全不同的样子。加密病毒使用一个很短的、被称为病毒解密程序的代 码段,这个代码段包含必要的密码学信息,由于这个指示特征,加密病 毒也容易被最新的反病毒软件包识破。 11、骗局(hoax)是一种无聊的资源浪费,总是通过邮件说有一个传闻 中的所谓“病毒”,说让大家小心一种很厉害的新病毒,其实根本没事。 Good Times这种所谓的“病毒”从1994年就出现了,直到今天还在传播。 12、逻辑炸弹:是感染系统并且在达到一个或多个满足的逻辑条件(例 如,时间、程序启动、Web 站点登录等)前保持休眠状态的恶意代码对 象。大多数逻辑炸弹被软件开发人员编入用户定制的应用程序中,有些 人的目的是在被突然解雇时破坏公司的工作。 13、流氓杀毒软件:这类软件欺骗用户安装它,声称是一个防病毒包, 通常伪装成一个弹出广告,并模仿成安全警告的外观和感觉。一旦用户 安装软件,就会窃取个人信息或提示用户付款以“更新”流氓杀毒软件。 所谓“更新”只是禁用木马而已。 14、勒索软件:感染目标计算机,然后使用加密技术来加密存储在系统 上的文档、电子表格和其他文件,并使用只有恶意软件创建者知道的密 钥。接下来弹出警告要求支付赎金。最著名的是Cryptolocker。 15、蠕虫:不需要任何人为干预就可以传播自己。2001年夏天,Code Red 蠕虫对未安装补丁程序的IIS之间快速传播,它随机选择成百上千的IP 地址,查看这些主机是否运行存在漏洞的IIS版本。任何被找出的系统都 很快被破坏。然后破坏本地Web服务器上的HTML页面,将其改为: Welcome to http: / /www. Worm. Com! HackedBy Chinese! 并向系统植入一 个逻辑炸弹,这个逻辑炸弹将向 IP 地址 198.137.240.91 发起拒绝服务攻 击,该地址是白宫主页的Web 网站服务器。反应敏捷的政府 Web 站点 管理员在实际攻击发生之前便改变了白宫的 IP 地址。Code Red利用的IIS 漏洞的安全补丁早在前一个月左右就已由 Microsoft 发布。如果安全管理 员迅速地安装了这个补丁,那么 Code Red 将会是一种失败的病毒。 16、RTM与互联网蠕虫:1988年11月,计算机专业学生Robert Tappan Morris制造的一个恶意蠕虫被意外地释放到了互联网上并传播破坏了大 量的系统,蠕虫利用Unix的4个安全漏洞进行传播:Sendmail 调试模式漏 洞:这个漏洞准许蠕虫通过向远程系统上的 Sendmail 程序发送特殊的、 包含蠕虫代码的破坏性电子邮件来传播自己,远程系统在处理邮件时就 会被感染;密码攻击:使用字典攻击,通过使用一个有效系统用户的用 户名和密码来试图获得对远程系统的访问权服;finger漏洞:finger存在 一个缓冲区溢出漏洞,使得嬬虫能够进行传播;信任关系:在感染系统 后,蠕虫分析了网络中该系统与其他系统之间存在的信任关系且试图通 过可信路径传播。Morris只为其犯罪行为受到轻微控诉。根据1986年的 计算机违法犯罪法案(Computer Fraud and Abuse Act,CFAA),他被判 三年缓刑 、400 小时的社区服务、一万美元的罚款。Morris的父亲 Robert Morris当时是NSA下属国家计算机安全中心NCSC的主管。 17、震网(Stuxnet)蠕虫:2010年年中在互联网上出现,这种高度复杂 的蠕虫使用各种高级技术来传播,包括多个零日漏洞。震网病毒使用以 下传播技术:在本地网络上搜索未受保护的管理共享系统;利用零日漏 洞攻击 Windows 服务器上的服务和打印机后台处理程序;使用默认的数 据库密码连接系统;使用共享的 USB 设备进行传播。它实际上是在寻找 西门子制造的控制器系统,据称是用于生产核武器材料的系统,发现后, 它会执行一系列旨在摧毁连接到西门子控制器离心机的动作。震网标志 恶意代码世界里的两个主要演变:使用蠕虫对设施造成严重的物理损坏, 以及在国家之间的战争中使用恶意代码。 18、间谍软件(Spyware)会监控你的动作,并且向暗中监视你活动的远 程系统传送重要的细节。例如,将你的银行用户名和密码传送给间谍软 件的创作者。 19、广告软件(adware)与间谍软件极为相似,只是具有不同的目的。 广告软件使用多种技术在被感染的计算机上显示广告。最恶毒的广告软 件可能会监控你的购物行为并将你重定向至竞争者的 Web 站点。 20、注意:广告软件和恶意软件的作者通常利用流行的Web 浏览器第三 方插件来传播,他们发现插件已经具有强大的用户基础,这些插件被授 予权限在他们的浏览器内运行和或获取他们的信息。然后他们用原始插 件代码补充恶意代码。 21、反病毒:至少要在三个关键区域考虑反病毒是非常明智的:客户端、 服务器、内容过滤器(是指对入站和出站以及web流量进行内容过滤) 22、大多数反病毒软件都是特征型过滤器,所以,从病毒出现到能够发 现有一个延迟。针对这个问题,有两种常用的解决方案: 1.使用完整性检查软件(如Tripwire)扫描文件系统中意外的更改并定 期报告。 2.应当严格地维护和实施访问控制,从而限制恶意代码破坏数据和在网 络上传播的能力。 23、下列三种额外的技术能够防止受到活动内容内嵌的恶意代码的感染: Java沙箱技术:为 applet 提供了一个隔离的环境,在这个环境中, applet 不需要访问关键的系统资源就能够安全地运行。 ActiveX 控件签名技术:利用数字签名来确保代码的来源可信。 操作系统级别的应用程序白名单:要求管理员指定批准的应用程序。仅 允许已知的良好应用程序运行。 24、零日漏洞最大的问题是:厂商出补丁慢、用户打补丁慢。 25、口令攻击:口令猜测、字典攻击。口令猜测表中815个口令中有300 个名字,其中70%是女性的名字。字典攻击有很多工具:JohntheRipper、 Cain& Abel、Ophcrack、Brutus、THC Hydra、L0phtCrack、Pwdump 和 RainbowCrack。每个工具都有专门的不同的操作系统和密码类型。 26、攻击者用John the Ripper把字典文件每个词汇都加密,然后在密码文 件中查找与加密字典相匹配的加密值。查找到某个匹配时,John the Ripper程序会报告用户名和密码(明文形式)。 27、社会工程学:攻击者常常可以通过与计算机用户、办公室中的饶舌 者和行政管理人员的“闲谈”获得敏感的个人信息。此外,攻击者有时 可以获得敏感的网络拓扑图或配置数据。 28、过分热心的管理员最常见错误是建立一系列强密码,并且将它们分 发给用户(并且禁止用户改变这个密码!),这是一个听起来十分安全 的策略。然而,用户在收到像 lmfOA8ft这样的密码时,他们将要做的第 一件事是将密码写在便签上并将其粘贴在计算机键盘的下面。这下可好! 29、很多版本的Unix和Linux都使用影子密码文件/etc/shadow. 这个文件包 含每个用户的实际加密密码,但是除了管理员外,任何人都不能访问这 个文件。公共可访问的文件/etc/passwd只是包含用户名的列表,它并不 包含发起字典攻击所需的必要数据。 30、防止缓冲区溢出漏洞:用户输入的值的长度不能超过任何存放它的 缓冲区的大小;不能输入类型无效的值(例如,将一个字符输入到一个 数字型变量中);不能超出参数范围(例如,用“也许”来回答结果只 能为“是”或“否的问题)。绝大多数缓冲区溢出漏洞都通过补丁来缓 解,软件供应商或操作系统供应商提供。 31、TOCTOU是时间性漏洞,是指计算机系统的资料与权限等状态的检查 与使用之间,因为某特定状态在这段时间已改变所产生的软件漏洞。不 要在check和Use之间留太多时间,避免你检查时他是有效的,但在他真 正使用的时候,他的权限是不对的。比如在这个时间中,他的权限被管 理员修改了,或者攻击者把自己的ID改成这个ID。这本质上是一种race condition问题,Check就是赋权的时候,用户被赋权后,有可能发生了变 化,Use时已经突破了预期的权限。 32、后门:后门是没有被记录到文档中的命令和接口,本来是在开发和 调试过程中,方便程序开发人员调试用的。但在生产中仍然留下后门, 一是可以在故障时方便排错,二是偷看敏感数据。除了开发商做的后门, 许多恶意代码创建后门,允许远程访问受感染的系统。如果后门未被记 录到文档中,就很麻烦!因为开发人员可能会离开公司,那么他们就可 以利用后门访问系统或搞破坏。 33、攻击者权限提升:最常见方法之一是通过使用 rootkit。rootkit 可以 从互联网上免费获得,能够利用各种操作系统的已知漏洞。攻击者经常 通过使用密码攻击或社会工程学攻击获得普通的系统用户账号,然后使 用 rootkit 将他们的访问权限提高到 root(或系统管理员)级别。所以 要经常打补丁。 34、跨站脚本(XSS)的原理:当 Web 应用程序包含“反射”式输入类 型时,就容易出现跨站脚本(XSS)攻击。例如Web 应用程序只包含一个 请求输入name的文本框,然后返回页面“Hello, name’,如果攻击者输入 下面的文本:Mike<SCRIPT>alert('hello')</SCRIPT>。XSS 攻击的关键在于能 够将表单输入嵌入一个链接。恶意攻击者可以创建一个链接,他也确实 是First Bank Web的站点,也能通过有效的SSL认证,但这个站点随后会执 行恶意攻击者在表单输入中嵌入的脚本。 34、XSS最典型的一个场景:通过XSS脚本让用户点击,然后让用户把自 己的cookie,以及其中的sessionID发给攻击者的服务器,然后攻击者就可 以获取受害者会话了。持久性XSS通常是存储在数据库或其他任何地方 (如论坛、留言板、意见簿等),攻击者的论坛帖子中有恶意JavaScript 脚本,其他用户浏览这些帖子时,它们的浏览器会执行攻击者的 JavaScript。 35、防御跨站脚本攻击:必须执行输入验证。最基本的做法是:一定不 允许用户在可反射输入字段中输入<SCRIPT>标记。这种做法并不能完全 解决问题,总有一些巧妙的方法来绕过。最佳的解决方案应当是:首先 确定许可的输入类型,然后通过验证实际输入来确保其与指定模式匹配。 例如,一个允许用户输入年龄的文本框,那么应当只接受一到三位数字 作为输入。 36、SQL注入攻击:比如一段业务逻辑在后台是:SELECT * FROM transactions WHERE account_ number = ' <number> ‘,<number>是客户在 Web 表单中输入的账户号码。如果应用程序并不执行输入验证,用户完 全可以插入自己的SQL代码。 例如用户的账户号码为 145249, 那么可以输入下面的语句: 145249'; DELETE * FROM transactions WHERE 'a'='a 应用程序组合起来后,删掉了所有记录! 37、SQL注入防御方法:输入验证;限制用户特权;使用存储过程。 限制用户特权:Web服务器使用的数据库账户应当具有尽可能最小的 权限集。如果账户只具有SELECT权限,那么DELETE命令就会失败。 使用存储过程:使用存储过程,SQL语句驻留在数据库服务器上并且仅 仅可由数据库管理员修改。调用存储过程的 Web 应用程序可以传递参数, 但不改变 SQL 语句的基本结构。 38、侦查攻击(Reconnaissance attck):IP探测、端口扫描、漏洞扫描。 Nmap 工具是一个用来对 IP 和端口进行扫描的最常见工具,漏洞扫描有 许多比较流行的工具,包括 Nessus、OpenVAS、Qualys、Core Impact 和 Nexpose。 39、垃圾搜寻(dumpster diving):文件不要轻易扔进垃圾箱,比如,特 殊部门员工的生日列表可能被用于社工攻击;随便丢弃的U盘可能有重要 数据;著名的社会工程师Kevin Mitnick曾经被允许使用公司的简报作为攻 击的关键组件。他很快注意到包含新员工列表的部分,并且意识到这些 人是最合适的受害者:这些新员工在接到来自“高层”对机密信息的电 话请求时都会十分热情。 40、针对垃圾搜索的防御:为主要部门购买碎纸机。将垃圾保存在一个 安全的地方,直到收拾垃圾的人到来。这些小细节的培养需要经历漫长 的过程。 41、伪装攻击(Masquerading attack):主要有:IP欺骗、会话劫持。 42、你会惊奇地发现 IP 欺骗非常有效。系统管理员应该在每个网络边界 进行过滤,至少符合下列标准: 具有内部源 IP 地址的包不能从外部进入网络。 具有外部源 IP 地址的包不能从内部离开网络。 具有私有 IP 地址的包不能从任何一个方向通过路由器(除非被允许作 为内部配置的一部分)。 这三条简单的过滤规则能阻止绝大多数的 IP 欺骗攻击并大大提高网络 的安全性。 43、会话劫持攻击:攻击者中途拦截已授权用户与资源之间通信数据的 一部分,然后使用劫持技术接管这个会话并伪装成已授权用户的身份。 下面列出了一些常见的技术: 1.捕获受害者客户端与服务器之间身份认证的详细信息,并使用这些信 息伪装成客户端的身份; 2.中间人攻击:在客户端与服务器建立合法连接时作为中间人,然后断 开服务器与客户端的连接 3.使用没有正常关闭连接的用户的 cookie 数据访问 Web 应用程序。 防御:使用防重放身份认证技术、应用程序控制措施(如在一段适当 的时间内使 cookie 数据过期)。 结 束! 卫剑钒 2018.12.16