v信息安全视角
§了解国家视角对信息安全关注点(网络战、关键基础设施保护、法律建设与标准化)相关概念;
§了解企业视角对信息安全关注点(业务连续性管理、资产保护、合规性)相关概念;
§了解个人视角对信息安全关注点(隐私保护、个人资产保护、社会工程学)相关概念;
信息安全的属性:
基本属性:CIA 保密性、完整性、可用性。
其他属性:真实性、可问责性、不可否认性、可靠性。
v我国信息安全保障工作
§总体要求:积极防御,综合防范
§主要原则:技术与管理并重,正确处理安全与发展的关系
P2DR比PDR多了一个 Policy策略,Pt防护时间,Dt 检测时间,Rt响应时间,Et,收到攻击后的暴露时间。
美国国家安全局(NSA)制定,为保护美国政府和工业界的信息与信息技术设施提供技术指南
核心思想:“深度防御”
三个要素:人、技术、操作
四个焦点领域
信息安全保障评估体系 --概念关系理解图
信息系统安全保障评估模型
以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息安全的安全特征:信息的保密性、完整性和可用性特征,从而达到保障组织机构执行其使命的根本目的
SABSA 生命周期:战略与规划→设计→实施→管理与测量
|
|
资产(什么) |
动机(为什么) |
过程(如何) |
人(谁) |
地点(何地) |
时间(何时) |
| 背景层 |
业务 |
业务风险模型 |
业务过程模型 |
业务组织和关系 |
业务地理布局 |
业务时间依赖性 |
| 概念层 |
业务属性配置文件 |
控制目标 |
安全战略和架构分层 |
安全实体模型和信任框架 |
安全域模型 |
安全有效期和截止时间 |
| 逻辑层 |
业务信息模型 |
安全策略 |
安全服务 |
实体概要和特权配置文件 |
安全域定义和关系 |
安全过程循环 |
| 物理层 |
业务数据模型 |
安全规则、实践和规程 |
安全机制 |
用户、应用程序和用户接口 |
平台和网络基础设施 |
控制结构执行 |
| 组件层 |
数据结构细节 |
安全标准 |
安全产品和工具 |
标识、功能、行为和访问控制列表(ACL) |
过程、节点、地址和协议 |
安全步骤计时和顺序 |
| 运营层 |
业务连续性保障 |
运营风险管理 |
安全服务管理和支持 |
应用程序和用户管理与支持 |
站点、网络和平台的安全 |
安全运营日程表 |
应用信息安全风险管理 (ISO/IEC 27005) 实现信息资产管理的理解。
ISMS 测: 信息安全管理体系最实践
了解ISO 27002要求的14个控制章节——控制措施结构
27004定义的测量模型
3.3 信息安全管理体系建设 -四级 文档化建设
CISP职业道德准则
计算机犯罪的特点:多样化、复杂化、 国际化
计算机犯罪的趋势 :从无意识到有组织 、从个体侵害到国家威胁 、跨越计算机本身的实施能力 、低龄化成为法律制约难题
网络安全法主要内容:
第一章,明确网络空间主权原则,明确了管理体制及职责分工,明确了特定情况下的境外适用效力。
第二章,支持与促进
第三章 ,网络运行安全
落实网络安全等级保护制度。明确网络运营者的安全义务(内部管理、技术措施、数据安全、身份管理、应急预案、安全协助义务),明确网络产品、服务提供者的安全义务(强制标准、告知补救、安全维护、个人信息系保护。) 关键信息基础设施保护(数据境内留存问题:个人信息及出境范围,50万个人信息、1000GB,7重大领域数据),明确我国实行网络安全审查制度。
第四章,网络信息安全
重视对个人信息的保护、规范信息管理。
同期发布了 《互联网新闻信息服务管理规定》(国信办1号令);《互联网信息内容管理行政执法程序规定》 (国信办2号令)
《关于信息安全等级保护工作的实施意见的通知》 GB 17859正式细化等级保护要求,划分五个级别;1级免测、2-5级分别对应 一般、严重、重大危害,5级涉密处理。
2.4.1 27 号文 安全保障意见
2003年, 7月中国信息化领导小组 《关于加强信息安全保障意见》 中办发 27号文件。
文件明确了加强信息安全保障工作的总体要求,提出了加强信息保障公揍的主要原则。
总体要求:坚持积极防御、综合防范的方针,全面提高…… 重点保障基础信息网和重要信息系统。保障和促进信息化发展,保护公共利益,维护国家安全。
主要原则:立足国情,以我为主,坚持管理及技术并重;正确处理安全与发展的关系,以安全保发展,在发展中求安全;统筹协调,突出重点,强化基础性工作;明确国家、企业、和个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
2.4.2 网络空间安全战略
2010年5月 奥巴马· 美国提出《国家安全战略2010》从国家安全角度对网络空间的战略布局和网络信息安全提出了明确的要求,2011年美国先后出台了《网络空间国际战略》《网络空间行动战略》
2016年12月 我国发布了《国家网络空间安全战略》明确了网络空间是国家的疆域,网络空间主权是国家主权的重要组成部分。
6大挑战: 总结了网络空间面临:“网络渗透危害政治、网络攻击威胁经济安全、网络有害信息侵蚀文化安全、网络恐怖与违法犯罪破坏社会安定、网络空间的战争方兴未艾、网络空间机遇与挑战并存”6大挑战。
战略目标:提出了在总体国家安全观指导下,贯彻落实创新、协调、绿色开放、共享的发展理念,增强风险意识和危机意识,统筹国内国际两个大局,统筹发展安全两件大事,积极防御,有效应对,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。
4项基本原则: 尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展。
9大任务:坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作。
《中华人民共和国保密法》 提出了绝密、绝密、秘密三个级别。
《密码法》(草案) 密码分为核心密码、普通密码和商用密码。
一,风险
风险:事态的概率及其结果的组合; 基于风险的思想是所有信息系统安全保障工作的核心思想!
风险管理相关要素及关系3.2.1
1.1风险五要素
风险的构成包括五个方面:起源(威胁源),方式(威胁行为),途径(脆弱性),受体(资产)和后果(影响)
1.2风险各要素之间的关系
二,安全风险管理基本过程3.2.3
来自GB / Z 24364“信息安全风险管理指南”; 4个过程,两个贯穿
2.2风险评估
3.2.1风险评估途径
§基线评估
§详细评估
§组合评估
3.2.2风险评估方式
§自评估与检查评估
§ 自评估为主,自评估和检查评估相互结合,互为补充
§自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持
3.2.3风险评估的常用方法
知识基于分析
基于模型分析
定量分析:数据基于概率计算的方式
定性分析:逐个分析的
定量分析:八度方法(可选择的关键资产弱点威胁评估方法)
基本概念
暴露因子(Exposure Factor,EF):特定威胁对特定资产靠损失的百分比,或者说损失的程度。
单一预期损失(single Loss Expectancy,SLE):也称作SOC(Single Occurrence Costs),即特定可能威胁造成的潜在损失总量
年度预期损失(年度损失预期,ALE):或者称作EAC(估计年度成本),表示特定资产在一年内遭受损失的预期值。
计算步骤
首先,识别资产并为资产赋值
通过威胁状语从句:弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%〜100%之间)
计算特定威胁发生的频率,即ARO
计算公式:定量风险分析的一种方法就是计算年度损失预期值(ALE)计算公式如下:
年度损失预期值(ALE)= SLE X年度发生率(ARO)
单次损失预期值(SLE )=暴露因素(EF)X资产价值(AV)
定量评估计算案例
§ 计算由于人员疏忽或设备老化对一个计算机机房所造成火灾的风险。
§ 假设:
• 组织在3 年前计算机机房资产价值100 万,当年曾经发生过一次火灾导致损失10 万;
• 组织目前计算机机房资产价值为1000 万;
• 经过当地状语从句:消防部门沟通以及组织历史安全事件记录发现,组织所在地及周边在5 年来发生过3 次火灾;
• 该组织额定的财务投资收益比的英文30%
§ 由上述条件可计算风险组织的年度预期损失及罗格列酮,为组织提供一个良好的风险管理财务清单。
据历史数据获得EF:
10万÷100万×100%= 10%
根据EF计算目前组织的SLE
1000万×10%= 100万
根据历史数据中ARO计算ALE
100万×(3÷5)= 60万
此时获得年度预期损失值,组织需根据该损失衡量风险可接受度,如果风险不可接受则需进入一步计算风险的处置成本及安全收益; ROSI
=(实施控制前的ALE) - (年控制成本)
组织定义安全目标,假如组织希望火灾发生后对组织的损失降低70%,则,实施控制后的ALE应为:
60万×(1- 70%)= 18万
年控制成本=(60-18)×30%= 12.6万
则:罗格列酮= 60-18-12.8 = 29.4万
至此,组织通过年投入12.6万获得每年29.4万的安全投资收益。
风险分析:国标20984推导过程。
区分知识点:SSE-CMM风险的调查和量化过程过程类似,但是不相同。
4风险处理的4种方式:
降低,规避,转移,接受四种方式。
5,风险相关文档CISP 6.2.4
准备文档
“风险评估方案”关于阐述风险评估的目标,范围,人员,评估方法,评估结果等形式和实施进度。
“风险评估程序”明确评估目的,职责,过程,相应的文档要求,以及实施本次评估所需要的资产,威胁,脆弱性识别和判断依据。
“资产识别清单”根据组织资产分类方法,明确资产责任人和部门。
过程文档
“资产清单”,“威胁列表”,“脆弱性列表”,“已有安全措施确认列表”
结果文档
“风险计算列表”根据已经制定的风险分级准则,对所有风险计算结果进行等级处理,形成“风险程度等级列表”。
“风险评估报告”汇总各项输出文档:“风险程度等级列表”,综合评价风险状况,形成“风险评估报告”
“风险处置计划”描述评估结果中不可接受的风险,指定风险处理计划,选择适当的控制目标及安全措施,明确责任,进度,资源,并通过对参与风险的评价以确定所选择安全措施有效性的“风险处理计划”
三,ISMS信息安全管理体系
1,背景建立
确认风险管理的对象状语从句:范围,确立实施风险管理的准备,进行相关信息的调查和分析。背景是建立在业务需求的基础上,通过有效的风险评估和国家,地区,行业相关法律法规及标准约束下获得背景依据。
包括风险管理准备,信息系统调查,信息系统分析,信息安全分析4个阶段。
§ 风险管理准备:确定对象,组建团队,制定计划,获得支持
§ 信息系统调查:信息系统的业务目标,技术和管理上的特点
§ 信息系统分析:信息系统的体系结构,关键要素
§ 信息安全分析:分析安全要求,分析安全环境
2,风险评估
风险评估的目的是通过风险评估的结果,来获得信息安全需求,信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。
包括风险评估准备,风险要素识别,风险分析,和风险结果4个阶段。
§ 风险评估准备:制定风险评估方案,选择评估方法
§ 风险要素识别:发现系统存在的威胁,脆弱性和控制措施
§ 风险分析:判断风险发生的可能性和影响的程度
§ 风险查询查询结果判定:综合分析结果判定风险等级
3,风险处置
风险处理是为了将风险始终控制在可接受的范围内。
§ 现存风险判断:判断信息系统中哪些风险可以接受,哪些不可以
§ 处理目标确认:不可接受的风险需要控制到怎样的程度
§ 处理措施选择:选择风险处理方式,确定风险控制措施
§ 处理措施实施:制定具体安全方案,部署控制措施
常见的风险处置方式包括:降低,规避,转移和接受四种。
4,批准监督
5,监控检查
6,沟通咨询
——————
v风险评估准备是整个风险评估过程有效性的保证
组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。
v风险评估准备工作:
v确定风险评估的目标
v确定风险评估的范围
残余风险评估:
v实施安全措施后对措施有效性进行再评估
BC 业务连续性,(Business Continuity, BC)是组织对事故和业务中断的规划和响应,使业务可能在预先定义的级别上持续运行的组织策略和战术上的能力
BCM 业务连续性管理 ,是找出组织有潜在影响的威胁及其对组织业务运行的影响,通过有效响应措施保护组织的利益、信誉、品牌和创造价值的活动,并为组织提供建设恢复能力框架的整体管理过程。是一项综合管理流程,由业务驱动,集合了技术、管理的一体化动态管理流程 。
BIA业务影响分析
BCM的生命周期 6个阶段:
①需求、组织和管理程序的确定 ②业务分析,确定关键业务流程和关键因素 ③制定业务策略
④开发并执行业务持续计划,⑤意识培养和建立,⑥计划演练
4.2.1 灾备方式:
灾难备份的3种方式 备份方式从快到慢 增量、差异、完全备份
那么按照恢复数据的从快到慢,顺序依次是:完全、差异、增量
DAS、 SAN、 NAS 三种存储技术的概念及特性。
DAS 直接附加存储
§优点:性能较高、实施简单;§ 缺点:对服务器依赖性强,占用服务器资源、扩展性较差、资源利用率低、可管理性差。
SAN 网络附加存储
§优点专用网络、效率高、扩展方便 §缺点:成本高、实施复杂、难度大
NAS 网络附加存储
§优点:易于安装不是和管理、不占用服务器资源、跨平台
§不足:性能相对较差,因为数据传输使用网络,可能影响网络流量、甚至可能产生数据泄漏等安全问题
4.2.2 灾备指标:
恢复点目标(RPO)不为0 损失可能是缓慢发生的。
定义:灾难发生后,系统和数据必须恢复到的时间点要求
代表了当灾难发生时允许丢失的数据量
恢复时间目标(RTO) 可为0 瞬间回复,或热备存在。
定义:灾难发生后,信息系统和业务功能从停顿到必须恢复的时间要求
代表了企业能容忍的信息系统和业务功能恢复的时间
4.2.3 灾备相关法规
4.2.4 灾备策略及灾难恢复规划的管理过程
策略制定:明确需要哪些灾难恢复资源、各项灾难恢复资源的获取方式,以及对各项灾难恢复资源的具体要求
策略实现
灾难恢复规划的管理过程
4.3.1 信息安全事件 7类 4级
GB/Z 20986-2007 中,分有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件7个基本类别,每个类别下有若干子类。
分级:四级(GB/Z 20986—2007)
特别重大事件(I级) 重大事件(II级) 较大事件(III级) 一般事件(IV级)
国际应急响应组织: 计算机应急响应协调中心(CERT /CC)
国家应急响应组织:国家计算机网络应急技术处理协调中心(CNCERT /CC )
4.3.2应急响应
组织架构图:领导组→技术保障组→专家组→实施组→日常运行组
应急响应管理 6(+2)个步骤:准备、(汇报)、检测、遏制、根除、(验证)恢复、跟踪总结。
应急演练:
4.3.3 计算机取证:
关键点:获得授权、准备介质、准备工具、保障安全完整,第三方在场监督。
霍尔三维模型 时间维、逻辑维、知识维
质量管理 ISO 9000规范质量的4个方面
机构:标准明确规定了为保证产品质量而必须建立的管理机构及职责权限
程序:对组织的产品生产必须制定规章制度、技术标准、质量手册、质量体系和操作检查程序,并使之文件化
过程:质量控制是对生产的全部过程加以控制,是面的控制,不是点的控制
总结:不断地总结、评价质量管理体系,不断地改进质量管理体系,使质量管理呈螺旋式升
作用:帮助 甲方、乙方、第三方。
能力维(Capability Dimension), 0-5 6个值;GP通用实践→CF公共特征→能力级别
域维(Domain Dimension)基本构成是BP→ 22个PA → 3个过程类
BP强制实施是指:每当执行一个BP,所在PA里的BP全部执行一遍;每当执行一个PA,PA中的BP全部执行一遍。
域维的三个过程类中,工程类11个PA,组织和项目管理类11个。
其中,工程类的11个PA 又分 风险过程、工程过程、保证过程3个子过程(顺序不能错),关系如下:
风险过程:PA04、PA05、PA02→PA03
工程过程:PA10→PA09→PA01 →PA08 ;PA07
保证过程:PA11+? →PA06
漏洞概念:也称脆弱性。漏洞是存在于评估对象(TOE)中的,在一定的环境条件下可能违反安全功能要求的弱点(ISO/IEC15408)
安全运营参考标准
§COBIT:IT控制和IT度量评价
§ITIL: IT过程管理、强调IT支持和IT交付
§ISO27000:IT安全控制
内容盗版: 内容来源可靠,借助数字版权管理技术,对其加以控制。
内容泄露: 敏感内容泄露控制
非法内容:不良内容传播控制
我国在2008年等同采用《ISO/IEC 15408:2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准,标准编号为GB/T 18336。
CC的局限性:
了解 GB/T 18336 结构、作用及评估的过程;
理解评估对象(TOE)、保护轮廓(PP)、安全目标(ST)、评估保证级(EAL)等关键概念;
6.2.1 结构:
A 评估对象(Target of Evaluation,TOE)
作为评估主体(产品、系统、子系统等)的IT产品及系统以及相关的指导性文档。
B 保护轮廓(PP)
满足特定用户需求的、一类TOE的、一组与实现无关的安全要求。
C 安全目标(Security Target,ST)
作为指定的TOE评估基础的一组安全要求和规范。
6.2.2. 关系:
TOE引用CC标准,描述评估对象;
PP保护轮廓 (客户要的);ST安全目标(产品具备的特性)引用 TOE
EAL 是 GB/T 18336 预先定义的一些保证包,是评估保障要求的基线集合。
6.2.4 过程:
6种方式:
1)自评估、2)检查评估;(自评估为主,自评估和检查评估相互结合、互为补充)
3)基于知识的分析方法、4)基于模型的分析方法、5)定量分析、6)定性分析(矩阵表)。
定量分析公式
年度损失预期值(ALE) = SLE x 年度发生率(ARO)
单次损失预期值(SLE) = 暴露因素(EF)x 资产价值(AV)
风险评估的途径:基线评估、详细评估、组合评估。
6.3.1信息系统审计工作流程
6.3.2 审计技术控制
转轮机:古典密码学。
对称密码算法:DES、3DES、AES 、IDEA 特征: 高效、管理复杂
非对称密码算法:RSA、ECC、 ElGamal SM2
特征:解决密钥传递问题、密钥管理简单、提供数字签名等其他服务; 缺点:计算复杂、耗用资源大
其他算法:MD5、hash、SHA-1(加密哈希) 数学性质: 单向性、弱抗碰撞性、强抗碰撞性
数字信封:对称公钥加密明文、非对称加密二次加密。收到后逆序解封。
奇怪的SM家族:SM1 对称算法 128位、SM2 非对称、SM3哈希算法256位、SM4对称、SM5对称、SM7对称、SM9非对称。
(2 9 非对称、1、3、4、5、7 对称、3是哈希。)
7.2.1 PKI:
终端→RA→CA→CRL库
数字证书格式 国际标准X.509(还有PKIX、S/MIME、SSL、 TLS、IPsec)
7.2.3PMI
与应用相关的授权服务管理,以证书行书给出用户和权限的关系。
PMI的主要功能
PMI是属性证书、属性权威、属性证书库等部件的集合体,用来实现权限和属性证书的产生、管理、存储、分发和撤销等功能
§SOA:信任源点
§AA:签发属性证书
§ARA:证书签发请求
§LDAP:属性证书发布查询
7.3.1 实体“所知”、实体“所有”、实体“特征” 及常见权问题
7.3.2 Kerboros 单点登录
结构:密钥分发中心(KDC)、 AS 服务器、 TGS 服务器。 可以跨域。
7.2.3 认证授权和计费:
TACACS+ 应用传输控制协议(TCP),而 RADIUS 使用用户数据报协议(UDP)。
RADIUS 从用户角度结合了认证和授权,而 TACACS+ 分离了这两个操作。
7.4.2 强制访问控制模型: (MAC)
主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体
特点:
安全属性是强制的,任何主体都无法变更
安全性较高,应用于军事等安全要求较高的系统
BLP模型:多级访问,保密性;
安全策略: 简单安全规则(向下读) *-规则(向上写) 强制*规则 既读又写
Biba 模型:多级安全模型,强调完整性
§向上读:主体可以读客体,当且仅当客体的完整级别支配主体的完整级
§向下写:主体可以写客体,当且仅当主体的完整级别支配客体的完整级
Clark-Wilson 模型
确保商业数据完整性的访问控制模型,侧重于满足商业应用的安全需求
7.4.3 基于角色的访问控制模型:RBAC
7层:物理→数据链路(帧)→网络(包)→传输(报文)→会话 →表示→应用层。
数据封装:自应用层← 物理层;数据解封:物理层→引用层。
5种安全服务:鉴别服务、访问控制、数据保密性服务、数据保证性服务、抗抵赖服务。
8种安全机制:加密、数字签名、访问控制、数据完整性、认证交换机制、业务流填充、路由控制、公证。
应用层→传输层→互联网层→网络接口层。
8.2.1 各层主要协议及安全问题
1)网络接口层
主要协议:ARP / RARP
安全问题
解决方案:物理介质、物理安全保护。 PPTP L2TP PP L2F 协议;设备驱动与准入协议。
2)互联网层:核心协议是IP
IPv4 安全但是资源少;IPV6的包头是简化的;PIV9 中国自主研发的 资源少、又安全。
安全问题:
补充解决方案: IPsec(AH)、 IPsec(ESP)
3)传输层
安全问题:
解决方案:SSL TLS
4)应用层
安全问题:
解决方案: S/MIME 、PEM、 SSH 、S-HTTP、 SFTP、 X.509 、DNS安全拓展。
无线技术 蓝牙技术 RFID通信安全
WAP\WAP2 \WAPI
WP2安全性更高,802.11i 四阶段:发现AP阶段、802.11i认证阶段、密钥管理阶段、安全传输阶段;
WAPI的构成: WAI,用于用户身份鉴别 ;WPI,用于保护传输安全
WAPI的安全优势: 双向三鉴别(服务器、AP、STA) ;高强度鉴别加密算法
入侵检测系统 IDS、 防火墙、安全隔离及交换系统、VPN
入侵检测系统的局限性:
防火墙:能提供NAT,为内部地址管理提供灵活性,隐藏内部网络
状态防火墙、应用防火墙。可与IDS组合使用
可以配置: 网络层地址(IP地址)、传输层地址(端口) 、协议类型等;不能防病毒。
防火墙的部署方式
虚拟专用网络(Virtual Private Network,VPN)
利用隧道技术,在公共网络中建立一个虚拟的、专用的安全网络通道
VPN实现技术 :隧道技术
9.1 操作系统安全目标
9.2 实现目标的安全机制
1)标识与鉴别、2)访问控制、3)最小特权管理、4)信道保护、5)安全审计、6)内存存取保护、7)文件系统保护等
1)标识与鉴别
Windows系统的标识
安全主体(账户、计算机、服务等)
安全标识符(Security Identifier,SID)
安全主体的代表(标识用户、组和计算机账户的唯一编码)
范例:S-1-5-21-1736401710-1141508419-1540318053-1000
Linux/Unix系统的标识
安全主体:用户标识号(User ID)
Windows系统用户信息管理:
存储在注册表中,运行期锁定;操作权限system,依靠系统服务进行访问
Linux系统用户信息管理 :用户帐号文件(/etc/passwd)
2)访问控制
Windows的访问控制
Linux下的访问控制
3)安全审计
Windows系统的安全审计
Linux系统的安全审计
4)内存保护
5)文件系统保护机制
6) 操作系统安全配置
7)账户及密码策略
9.2.1 什么是恶意代码
§《中华人民共和国计算机信息系统安全保护条例》第二十八条:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码 (1994.2.18)
§恶意代码,是指能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码。指令
恶意代码类型:二进制代码、脚本语言、宏语言等
恶意代码表现形式:病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等
9.2.2 恶意代码相关特征
恶意代码传播方式:
恶意代码的防御技术
恶意代码分析技术:
A 静态分析
不实际执行恶意代码,直接对二进制代码进行分析
文件特性,如文件形态、版本、存储位置、长度等
文件格式,如PE信息、API调用等
B 动态分析
运行恶意代码并使用监控及测试软件分析
本地行为:文件读写、注册表读写等
网络行为:远程访问、调用等
恶意代码的清除:
感染引导区: 修复/重建引导区
感染文件
附着型:逆向还原(从正常文件中删除恶意代码)
替换型:备份还原(正常文件替换感染文件)
独立文件:内存退出,删除文件
嵌入型:更新软件或系统、重置系统
HTTP\HTTPS、 SQL注入、跨站脚本安全;Web防火墙、网页防篡改等技术。
SDL SAMM BSI CMM
威胁建模:微软STRIDE模型
| 威胁 |
安全属性 |
定义 |
举例 |
| Spoofing(哄骗) |
可鉴别性 |
模仿其他人或实体 |
伪装成microsoft.com或ntdll.dll。 |
| Tampering(篡改) |
完整性 |
修改数据或代码 |
修改硬盘、DVD或网络数据包中的DLL |
| Repudiation(抵赖) |
不可抵赖性 |
声称没有执行某个动作 |
“我没有发送过那封电子邮件”,“我没有修改过那个文件”,“亲爱的,我确实没有访问过那个网站!” |
| Information Disclosure(信息泄露) |
机密性 |
把信息披露给那些无权知道的人 |
允许某人阅读Windows源代码;公布某个Web网站的用户清单。 |
| Denial of Service(拒绝服务) |
可用性 |
拒绝为用户提供服务 |
使得Windows或Web网站崩溃,发送数据包并耗尽CPU时间,将数据包路由到某黑洞中。 |
| Elevation of Privilege(权限提升) |
授权 |
获得非授权访问权 |
允许远程因特网用户执行命令,让受限用户获得管理员权限。 |
10.3.1 安全需求分析
过程:建立在风险分析的基础上。
10.3.2 软件安全设计
10.3.3 安全设计原则 11个
10.3.4 软件安全实现
1)安全编码原则
2)源代码审核
10.3.5 软件安全测试:模糊测试、渗透测试
1)模糊测试
也称Fuzzing测试,一种通过提供非预期的输入并监视异常结果来发现软件故障的方法
黑盒测试,不关心被测试目标的内部实现,而是利用构造畸形的输入数据引发被测试目标产生异常,从而发现相应的安全漏洞.
强制软件程序使用恶意/破坏性的数据并进行观察结果的一种测试方法:不够强壮的程序会崩溃、编码良好的程序正常运行。
模糊测试的关键点
2)渗透测试
深度防御战略 3个核心要素
4个焦点领域
IATF的特点 及其他安全原则
10.3 软件安全实现 - 10.3.1 安全编码原则 13条
N个模型
软件可维护性度量,
7个质量特性:可理解性,可测试性,可修改,可靠性,可移植性,可使用和效率其中可理解性和可测试性互相促进。
软件开发
10.1.3软件开发生命周期模型
1,微软SDL 7个阶段17个安全服务
培训→需求→设计→实施→验证→发布→响应
3,CMMI软件能力成熟度模型,美国国防部资助,卡耐基梅隆大学软件工程所建立,共5个1级,初始级,2可管理级3,定义级,4,量化管理级5优化管理级 - -
4,SAMM目前由OWASP组织作为开放项目来维护,3个成熟度一个0起点.109个活动映射72个安全活动
4个核心业务功能:治理,构建,验证,部署。
5,BSI系列认为软件安全有3个支柱:风险管理,软件安全接触点和安全知识。
安全接触点,从“白帽子”,“黑帽子”两个角度出发,提出了7个工作接触点(方法),以在软件开发生命周期的每一个阶段尽可能避免和消除漏洞。
6,各软件开发生命周期模型对比图
二,其他架构模型
2.1风险管理模型CISP 3.3
COSO报告 内部控制整合框架 - 风险管理模型
3个目标:财务报告可靠性,经验效率和效果,合规性
5个管理要素:内制环境,风险评估,控制活动,信息与沟通,监控
ISO31000管理风险模型
为所有与风险管理相关的操作提供最佳实践结构状语从句:指导
COBIT管理风险模型
为信息系统-状语从句:技术的治理及控制过程提供最佳实践
组件:框架,流程描述,控制目标,管理指南,成熟度模型
2.2常见企业安全架构CISP 1.4
舍伍德商业应用安全架构SABSA(Sherwood应用商业安全架构)
|
|
资产(什么) |
动机(为什么) |
过程(如何) |
人(谁) |
地点(何地) |
时间(何时) |
| 背景层 |
业务 |
业务风险模型 |
业务过程模型 |
业务组织和关系 |
业务地理布局 |
业务时间依赖性 |
| 概念层 |
业务属性配置文件 |
控制目标 |
安全战略和架构分层 |
安全实体模型和信任框架 |
安全域模型 |
安全有效期和截止时间 |
| 逻辑层 |
业务信息模型 |
安全策略 |
安全服务 |
实体概要和特权配置文件 |
安全域定义和关系 |
安全过程循环 |
| 物理层 |
业务数据模型 |
安全规则,实践和规程 |
安全机制 |
用户,应用程序和用户接口 |
平台和网络基础设施 |
控制结构执行 |
| 组件层 |
数据结构细节 |
安全标准 |
安全产品和工具 |
标识,功能,行为和访问控制列表(ACL) |
过程,节点,地址和协议 |
安全步骤计时和顺序 |
| 运营层 |
业务连续性保障 |
运营风险管理 |
安全服务管理和支持 |
应用程序和用户管理与支持 |
站点,网络和平台的安全 |
安全运营日程表 |
3.4信息安全管理体系度量
开放群组架构 TOGAF(开放式组架构框架)
6.3信息系统审计
信息系统审计报告标准SAS70 和SOC ;
v SAS70
v SOC
