CISSP-D7安全运营

D7：安全运营

一、运营安全概述：D7-1~3

二、操作安全实践：D7-4~6

三、灾难备份与恢复：D7-7~9

D7-1-安全事件调查和取证

计算机犯罪行为

罗卡交换原则(Locard’s Principle of Exchange)也提供便于定形的信息，该原则认定罪犯在带走一些东西的时候会遗留下一些东西。这个原则是刑事学的基础。即使在完全数字化的犯罪现场中，罗卡交换原则也能够发现谁可能是犯罪者。

计算机取证和适当的证据收集

• 取证人员必须掌握与犯罪行为所涉及的电子数据的恢复、身份验证和分析有关的专业技能。• 数字证据。• 必须进行相应的记录。• 取证团队需要专门的工具。

事故调查员

必须知晓其他人通常忽略的可疑或反常活动

进行的各种评估

网络分析

流量分析

日志分析

路径追踪

介质分析

磁盘镜像

时间分析（修改、访问、创建）

注册分析

松弛空间分析

隐藏的秘密信息

软件分析

逆向工程

恶意代码审查

漏洞审查

硬件/嵌入式设备分析

专用设备攻击点

固件和专用内存检查

嵌入式操作系统、虚拟软件和虚拟化管理层分析

取证调查的过程

标识

保存

收集

检查

分析

呈现

决定

法庭上可接受的证据

需要证据保管链的原因：出示日志及所有证据，并且它们未以任何方式被损坏

一个问题是用户对隐私权的期望

证据的生命周期

证据的生命周期包括：收集和标识存储、保管和运输法庭出示将证据返还给受害者或所有者

应对寻求法律顾问的帮助

监视、搜索、查封、访谈和审讯

监视类型

物理监视和计算机监视

在搜索和查封之前，执法机构必须拥有适当的原因，并且从法官或法庭处申请一张搜查许可证

访谈可能只在与法律顾问磋商后才会进行

审讯的目的是获得用于审判的证据。

D7-2-行政管理和责任

运营安全涉及配置、性能、容错、安全性以及问责和验证管理，其目的在于确保适当的操作标准与合规性要求得到满足。

行政管理是运营安全中个非常重要的环节。行政管理的一个方面是处理人员问题，包括职责分离和岗位轮换。职责分离的目标是确保一个独立行动的人通过任何方法都无法危及公司的安全。高风险的活动应该划分为几个不同的部分并指派给不同的人。通过这种方式，公司没有必要对某个人过度信赖， 一旦发生了欺诈行为，那么一定有人共谋犯案，这也就意味着不止一个人卷进了欺诈活动。因此，职责分离是一种防御性措施，如果某人想要做违反策略的事情，那么他必须与其他人共谋。

了解在行政管理中涉及的人员

网络管理员

网络管理员应当努力确保网络和资源的高可用性及性能，并为用户提供他们请求的功能。

安全管理员

安全管理员应当处在一个与网络人员不同的需求链中，以确保安全不会被忽视或处于较低的优先级。

安全管理员的任务：

实现和维护安全设备与软件

执行安全评估

创建和维护用户资料，实现和维护访问控制机制

配置和维护强制性访问控制（MAC）环境中的安全标签

管理口令策略

检查审计日志

理解他们的责任

可问责性

确定是否确实发生违规

系统和软件的重新配置是否有必要

有助于捕获那些超出确定范围之外的活动

审计需要作为日常工作开展，需要有人负责检查审计和日志事件。

阈值级别

为某些类型的错误预定义门限

门限是违规活动的基线

这条基线被称为一个阀值级别或限值级别(clipping level)

运营责任

研究任何不寻常或无法解释的事件

偏离标准以及网络上其他奇怪的或异常的条件

不定期的初始程序加载（重启）

D7-3-安全资源配置

理解资产清单的作用

保护我们的信息系统最重要的是要知道我们在防护什么。

跟踪硬件

跟踪软件

控制相应的系统所包含的软件的最佳做法：

•1. 应用白名单。

•2. 使用母盘。

•3.执行最低权限原则。

•4. 自动扫描。

了解什么是配置管理

• 配置管理（CM）是在我们所有系统上建立并保持基线的程序。

理解变更流程和文档化

变更控制过程

(1)请求发生一个变更(2) 变更的批准(3) 变更的文档(4) 测试和提交 (5) 实现(6) 提交变更报告给管理层

变更控制文档化，以便将来的审查。

了解云配置的相关概念

• 云配置是为用户或用户群提供一种或多种新型云资产时所需的一系列活动

• 云计算一般分为三种类型的服务：基础设施即服务（IaaS）、平台即服务（PaaS）以及软件即服务（SaaS）

D7-4-配置项管理

理解为什么要做配置项管理

掌握配置项管理的主要方法

可信恢复

• 当一个操作系统或应用程序崩溃或死机时，不应让系统处于任何类型的不安全状态

• 系统崩溃后应采取的正确步骤

（1）进入单用户或安全模式

（2） 修复问题并恢复文件

（3） 确证关键的文件和操作

• 在可信恢复进程中应该正确应对的安全问题

引导顺序（C：、A：、D：）应当不能重新配置

不应避开在系统日志中写入动作

应当禁止系统被迫关闭

应禁止输入变更路线

输入与输出控制

• 组织必须实施前面提到的所有控制，使它们继续以可预测的、安全的方式运行，从而确保系统、应用程序以及总体环境的可操作性。

输出能安全到达目的地的措施有：

1. 加密散列或更好的消息认证码（即数字签名哈希）应用于确保关键文件的完整性。2. 输出应明确标注，以表示数据的敏感度或分类。3. 创建输出后，必须对它实现适当的访问控制，无论它是什么格式（纸质文件、数字、磁带）。4. 如果一份报告中不含有信息（无报告内容），那么应当包含\"没有输出\"。

系统强化

• 确保那些传输重要信息的网络物理组件的安全。• 管理与保护工作站的最好方法是开发标准加固镜像，有时也被称为母盘（GM）• 删除环境不需要的组件• 使用最保守的设置进行配置• 制定一个可接受的使用策略（AUP），防止未授权用户在环境中安装未授权软件

远程访问安全

• 为利用远程访问的优势而不必承担无法接受的风险，公司必须实施可靠的远程管理

D7-5-预防措施

了解常用预防措施

防火墙

• 防火墙通过执行规则来操作• 在操作上的挑战是，如何准确地跟踪当前的规则集，并制定一个程序来确定添加、修改或删除的规则• 需要一个计划来定期评估防火墙防御的有效性

入侵检测与防御系统

• 主机的入侵检测系统（HIDS）、网络入侵检测系统（NIDS）和无线入侵检测系统（WIDS）• 基于规则或异常的，或者是两者混合的• 与其他任何检测系统一样，重要的是采取步骤使IDS或IPS降低差错率• 减少错误的最重要的步骤是将系统基线化• 进行广泛的配置管理

反恶意软件和补丁管理

• 反恶意软件（俗称杀毒软件）旨在用来检测和消除恶意软件，包括病毒、蠕虫和木马• 补丁管理是“为产品和系统识别、获取、安装、验证补丁”• 补丁管理的一种方法是使用分散的或非托管的模型• 集中式补丁管理被认为是安全操作的最佳实践

沙箱和蜜罐

• 沙箱是一个应用程序的执行环境，它将执行代码与操作系统隔离，以防止危害安全行为的发生。• 蜜罐是一种被开发出来的装置，目的是为了欺骗攻击者相信它是一个真实的生产系统，诱使对手对其进行攻击，然后通过监视被破坏的蜜罐，来观察和学习攻击者的行为。• 蜜网的整个网络都旨在吸引攻击者

D7-6-事件响应和安全监测

了解什么是网络杀伤链一个七个阶段的入侵模型：

侦查

对手对你的组织产生兴趣，将其作为目标，并开始蓄意收集信息以寻找漏洞

武器化

有足够详细的信息作为装备，对手决定进入你的系统的最佳方法，开始准备并测试将用以攻击你的武器。

传送

在这一阶段，网络武器被传送到你的系统中。在95%的公布案例中都通过电子邮件进行传送，以链接到恶意网站的形式出现。

漏洞攻击

恶意软件会在你的网络中的CPU中运行。当目标用户点击链接、打开附件、访问网站或插入U盘时，恶意软件都可能会被启动。也可能（在个别情况下）是恶意攻击的结果。无论如何，攻击者的软件正在你的系统中运行。

安装

大多数恶意软件都分阶段传送。首先，在上一步中存在破坏系统的漏洞。其次，一些其他的软件被安装到目标系统中以确保持久性，理想状态下具有良好的隐形能力。

命令与控制

一旦完成了软件的前两个阶段（攻击和持久留存），大部分恶意软件会“回拨”攻击者，通知其已攻击成功，并请求更新与指示。

在目标内的行动

最终，恶意软件已准备好按照设计宗旨肆意妄为。也许目的是窃取知识产权并将其发送到海外服务器。或者，也许这些努力只是大规模攻击的最初阶段，所以恶意软件会随着被攻击的系统转移。无论是哪种情况，这时候攻击者已经赢了。

理解事件响应策略

• 为什么要做事故响应策略？

许多公司在成为网络犯罪的受害者之后毫无头绪，不知道该找谁或者该做些什么。因此，所有公司都应当制订一个事故响应策略，以规定谁具有启动事故响应的权利，并且在事故发生之前建立支持性措施。这个策略应当由法律部门和安全部门管理。这两个部门应该协同工作，确保技术安全问题和与犯罪活动有关的法律问题都能有效得到解决。

• 事故响应策略和事故管理包括什么？

一个事件响应团队；一套标准措施，事故处理应与灾难恢复计划紧密相关，并应成为公司灾难恢复计划的一部分；事故处理还应该与公司的安全培训及认知计划紧密联系，以确保此类不幸不会发生；应当详细说明如何报告一起事故；

理解事件响应流程事件管理流程中的七个阶段：

检测

响应

缓解

报告

恢复

修复

学习

掌握事件监测的方法

日志和监控

日志技术

通用日志类型

安全日志

系统日志

应用程序

防火墙日志

代理日志

变更日志

保护日志数据

保护日志文件免受未授权的访问和修改是很重要的。在中央系统上存储日志的副本来保护日志的方法很常见。日志管理策略都规定了备份保留时间。

角色监控

监控技术

日志分析是监测过程中一种详细且系统化的模式， 日志分析能够分析监测记录信息的趋势、模式， 还能够分析未授权的、非法的、违反策略的活动。日志分析不一定是对事件的响应， 而是一项周期性的任务，可以检测潜在的问题。安全信息和事件管理(Security Information and Event Management， SIEM)，用集中式应用程序来自动监控网络上的系统。审计跟踪指的是一些记录， 它们在关于事件和突发事件的信息被存储在一个或多个数据库或日志文件中时被创建出来。抽样或数据抽取是为了构建有意义的整体表示法或概述， 而从大量的数据中提取元素的过程。阀值是一种非统计抽样。它只选择超过阀值平均值的事件， 阀值平均值是事件的预定义阔值。击键监控是记录用户在物理键盘上进行击键的行为。流量分析和趋势分析都是监控的形式， 它们对数据包的流(而不是数据包的实际内容)进行检查。

出口监控

数据泄露保护（DLP）

隐写术

水印

审计和评估有效性

检验审计

访问审查审计

用户权限审计

特权组审计

高级别管理组

双重管理员账号

安全审计和审查

报告审计结果

保护审计结果

发布审计报告

使用外部审计师

D7-7-系统的恢复和容错能力

理解MTBF和MTTR

平均故障间隔时间（MTBF）

是我们期望一台设备能可靠运行的估计时间。通常需要通过测定系统故障之间的平均时间来计算。

平均修复时间（MTTR）

是指修复一台设备并使其重新投入生产预计所需的时间。对于冗余队列中的硬盘来说，MTTR是指实际产生和发现故障后有人替换坏硬盘冗余队列并完成在新硬盘上重写信息之间的时间间隔。

掌握防止单点故障的方法

独立磁盘冗余阵列（RAID）

直接访问存储设备（DASD）

大规模非活动磁盘阵列（MAID）

是一种最近才进入中型存储设备（数百兆兆位）市场的产品。MAID 的适用范围相对特殊（可能非常广泛），它支持存储数百兆兆位的数据，但主要执行写操作。

独立冗余磁带阵列（RAIT）

与RAID类似，但使用的是磁带驱动器而非磁盘驱动器。

存储区域网络（SAN）

集群

网格计算

网格计算是另外一种负载平衡的大规模并行计算方法，它类似于群集，但使用的是可随机加入和离开网格的、松散糯合的系统。

了解备份的相关技术

软件备份和硬件备份时网络可用性的两个主要组成部分

层次存储管理（HSM）

层次存储管理（HSM）提供持续的在线备份功能，它将硬盘技术与更低廉的、更缓慢的光盘或磁带库结合起来。

D7-8-灾难恢复计划

了解业务恢复相关内容

需要的角色

需要的资源

输入和输出机制

工作流程步骤

需要的完成时间

与其他流程的连接

3种异地设施恢复

完备场所

完备场所(hot site) 这是一个租用设施，它已经配置妥当，在几个小时内就可以投入运行。完备场所唯一缺乏的资源是数据(数据要从一个备份站点检索得到)和处理数据的人员。

基本完备场所

基本完备场所(warm site) 这是一个租用设施，只进行了部分配置，使用了一些设备(如HVAC)和基础设施组件，但并非实际的计算机。换句话说，基本完备场所通常是一个没有配备昂贵设备(如通信设备和服务器)的完备场所。

基础场所

基础场所(cold site) 这是一个租用设施，它提供基本的环境、电源线路、空调、管道和地板，但不提供设备或其他服务。基础场所基本上就是一个空的数据中心。

互惠协议

• 建立异地备用设施的另一种方式是与另一家公司签订互惠协定(reciprocal agreement)，也称为相互援助

冗余场所

• 冗余场所(redundant site)，即一个设备和配置与主站点完全相同的场所，并且将其作为一个冗余环境

• 另一种设施备份选项为滚动完备场所(rolling hot site)或移动完备场所，这种方法将一辆大型卡车或拖车的后部转变成一个数据处理或工作区域

• 多处理中心(multiple processing center)是可供组织机构选择的另一种备份方案

供给和技术恢复

网络和计算机设备

语音和数据通信资源

人力资源

设备和人员的运送

环境问题（HVAC）

数据和人员安全问题

供给（纸张、表格、线缆等）

文档记录

了解硬件和软件备份和恢复的方法

硬件备份

服务器、用户工作站、路由器、交换机、磁带备份设备、集线器

软件备份

应用程序、实用工具、数据库和操作系统

文档和其他

• 如果缺少必要的文档工作，那么在灾难发生时，就没有人知道如何利用这一切来恢复业务。• 人是最常被忽略的资源之一• 在灾难发生后，应该尽快为终端用户提供一个工作环境

掌握数据备份和恢复的方法

完全备份

差量过程

增量过程

现场和异地两处保留备份

从头开始备份或重新构建数据

就是对所有数据进行备份，并将其保存在某种存储介质上。在完全备份过程中，归档位会被清除，即将它设为0。

差量过程(differential process)对最近完全备份(last full backup)以来发生改变的文件进行备份。需要还原数据时，首先恢复完全备份，然后在此基础上应用最新的差量备份。差量过程并不改变归档位的值。

增量过程(incremental process)对最近完全备份或增量备份以来发生改变的所有文件进行备份，并将归档位设为0。需要还原数据时，首先恢复完全备份，然后在此基础上按照正确的顺序依次应用每个增量备份。

掌握设施备份和恢复相关方法

电子备份解决方案

磁盘映像

电子传送

远程日志处理

异步复制

同步复制

高可用性（HA）

D7-9-灾难恢复计划测试和其他

掌握灾难恢复计划测试方法

通读测试

通读测试是其中一种最简单的测试， 但也是最重要的一种测试。在这种测试类型中， 只需向灾难恢复团队成员分发灾难恢复清单的副本，并要求他们审查清单。

结构化演练

结构化演练进一步进行了测试。在这种经常被称为\" 桌面练习\" 的测试类型中，灾难恢复团队成员聚集在一间大会议室中， 不同的人在灾难发生时扮演不同角色。

模拟测试

模拟测试与结构化演练类似。模拟测试为灾难恢复团队成员呈现情景并要求他们产生出适当的响应措施。与前面讨论的测试不同， 其中某些响应措施随后会被测试。这种测试可能涉及中断非关键的业务活动并使用某些操作人员。

并行测试

并行测试表示下一个层次的测试， 并涉及将实际人员重新部署到替换的恢复场所和实现场所启用措施。被重新部署到该场所的员工， 以灾难实际发生时的方式执行他们的灾难恢复职责。唯一的差别在于主要设施的运营不会被中断， 这个场所仍然处理组织的日常业务。

完全中断测试

完全中断测试与并行测试的操作方式类似， 但涉及实际关闭主场所的运营井将其转移到恢复场所。出于很明显的原因， 完全中断测试安排起来极其困难。

了解如何维护灾难恢复计划

• 灾难恢复计划是一份灵活的文档，随着组织需求的变化， 必须对灾难恢复计划进行修改以符合变化的需要。

了解通过保险降低灾难影响损失的相关内容

• 承担全部风险往往非常危险，因此我们需要购买保险• 网络保险(cyber insurance)是一种新型的保险项目• 业务中断保险(business interruption insurance)