下载文档原格式
网络安全框架与体系结构设计随着互联网的快速发展,网络安全问题变得越来越突出和重要。
为了确保信息的安全和保护网络系统免受攻击,设计和实施一个可靠的网络安全框架和体系结构变得尤为关键。
本文将讨论网络安全框架和体系结构的设计原则和要点,并提出一种可行的设计模型。
一、网络安全框架设计原则1. 综合性:网络安全框架应当综合考虑信息安全、系统安全、物理安全等多个方面,确保全面对抗各种潜在威胁。
2. 灵活性:安全框架应具备一定的灵活性和可扩展性,以适应不同规模、不同类型的网络系统需求。
3. 完整性:安全框架应包含完整的安全措施和机制,从预防、检测、响应到恢复全方位保护网络。
4. 可持续性:安全框架应是一个长期可持续的体系,能够适应不同阶段的技术变革和安全需求的变化。
5. 节约性:安全框架设计应该经济合理,避免过度依赖高昂的硬件和软件设备,应尽可能发挥现有资源的最大效用。
二、网络安全体系结构设计要点1. 安全策略与政策:在设计网络安全体系结构时,必须制定适当的安全策略与政策,以规范各项安全措施的实施和运行。
2. 预防措施:网络安全体系结构的核心是预防措施,包括访问控制、身份验证、数据加密等手段,以保护网络免受非法入侵和威胁。
3. 检测与监控:除了预防,网络安全体系结构还应该包含有效的漏洞探测和实时监控机制,及时发现和应对潜在威胁。
4. 响应与应对:当网络遭受攻击或发生安全事件时,网络安全体系结构应能够及时响应和应对,快速隔离、恢复网络系统。
5. 安全教育与培训:设计网络安全体系结构还需包含相应的安全教育与培训措施,提高员工和用户的安全意识和技能,共同维护网络安全。
三、网络安全框架与体系结构设计模型基于以上原则和要点,我们提出一种网络安全框架与体系结构设计模型,具体包括以下几个方面:1. 安全边界划分:在设计网络安全体系结构时,首先需要划定安全边界,将网络系统划分为内部网络和外部网络。
内外网络之间采取严格的访问控制措施,以确保内部网络相对独立和安全。
图5-1安全机制设置的位置第 5章 安全体系结构5.1 系统安全体系结构5.1.1 可信系统体系结构概述图5-1 安全机制设置的位置图5-2 安全机制复杂性和安全保障的关系5.1.2定义主体和客体的子集5.1.3可信计算基5.1.4安全边界图5-3 可信部件和非可信部件间通信的接口控制5.1.5 基准监控器和安全内核5.1.6 安全域图5-4 可信级和安全域的关系5.1.7资源隔离5.1.8安全策略5.1.9最小特权5.1.10分层、数据隐蔽和抽象5.2网络安全体系结构5.2.1 不同层次的安全5.2.2网络体系结构的观点图5-5 网络体系结构不同层次的安全防护5.3OSI 安全体系结构5.3.1OSI 安全体系结构的 5 类安全服务 1. 鉴别2. 访问控制3. 数据机密性4. 数据完整性5. 抗否认5.3.2OSI 安全体系结构的安全机制1. 特定的安全机制2. 普遍性安全机制5.3.3 三维信息系统安全体系结构框架 图 5-6 信息系统安全体系结构框架5.4 I SO/IEC 网络安全体系结构5.4.1ISO/IEC 安全体系结构参考模型 1. 安全维2.安全层图5-7 安全维应用到安全层3.安全面图5-8 反映不同网络活动类型的安全面5.4.2 安全体系结构参考模型的应用表5・3应用安全维到基础设施安全层、最终用户安全面模块1:基础设施安全层、管理安全面表5・2应用安全维到基础设施安全层.控制安全面模块2:基础设施安全层、控制安全面续表表5・4应用安全维到服务安全层、管理安全面模块4:服务安全层、管理安全面表5・3应用安全维到基础设施安全层、最终用户安全面模块4:服务安全层、管理安全面表5・5应用安全维到服务安全层.控制安全面表5・6应用安全维到服务安全层、最终用户安全面表5・7应用安全维到应用安全层、管理安全面模块7:应用安全层、符理安全面续表表5・8应用安全维到应用安全层.控制安全面5.5本章小结习题1. 下面是几种对TCB 的描述,正确的是()A.来自橘皮书,和固件有关B.来自橘皮书,由操作系统实施的安全机制C.来自橘皮书,是系统的保护机制D.在安全环境中系统描述安全机制的级别2.下面()的存储提供最高安全。
计算机网络安全体系结构设计随着计算机网络技术的不断发展和普及,网络安全问题也越来越受到人们的关注。
计算机网络安全体系结构的设计是保障网络安全的重要手段之一。
本文将从计算机网络安全体系结构的概念和原则、核心技术和应用案例等方面进行论述,从而帮助读者更好地认识和理解网络安全体系结构设计的重要性。
一、计算机网络安全体系结构的概念和原则计算机网络安全体系结构是一种保障网络安全的设计方案,它包含了网络安全的基本理念、安全策略和安全机制等。
其主要原则包括全面性、完整性、可靠性、灵活性和维护性等。
全面性是指安全体系结构必须对网络的所有方面进行保护,包括网络的硬件设施、软件系统、用户信息等。
完整性是指通过对网络进行多层次的安全防护,保证网络系统不受到任何未经授权的修改和损坏。
可靠性是指网络安全体系结构的保护机制必须具有高效、稳定、可靠的特性,可以在防止安全攻击的同时不影响网络的正常运行。
灵活性是指网络安全体系结构必须具有较高的适应性,根据实际情况进行灵活的调整。
维护性是指网络安全体系结构必须能够方便地进行升级、维护和管理,以便及时发现和解决网络安全问题。
二、计算机网络安全体系结构的核心技术计算机网络安全体系结构的核心技术包括加密技术、认证技术、防火墙技术和入侵检测技术等。
加密技术是指对网络传输的信息进行加密,在传输过程中保护信息的机密性和完整性。
常用的加密技术包括对称加密和非对称加密等。
认证技术是指在网络中对用户进行身份验证,以确定用户是否合法。
常用的认证技术包括用户ID和密码、数字证书、生物识别技术等。
防火墙技术是指通过对网络流量进行过滤和限制,阻止外部攻击进入内部网络。
主要包括基于硬件的防火墙和基于软件的防火墙两种。
入侵检测技术是指监测和分析网络流量,发现并防止恶意攻击。
主要包括基于特征识别的入侵检测和基于行为分析的入侵检测。
三、计算机网络安全体系结构的应用案例计算机网络安全体系结构的应用案例主要包括网络边界安全、服务安全、应用安全和数据安全等。
操作安全是关于为保持一个网络、计算机系统、应用程序和环境运转,并运行在一个安全和受保护的方式下所发生的一切事情。
它包括确保人员、应用程序和服务器仅拥有访问他们所需要的资源的权限,并通过监控、审计和报告控制实施监督。
操作是在网络己开发并得到实现后才产生的。
这包括一个运行环境的持续维护和那些每天或每周应该发生的行为,这些行为实际上是日常事务,确保网络和个人计算机持续、正确、安全地运行。
操作安全包括确保人员、应用程序、设备和整个环境的安全得到合理、充分的保障。
操作安全包括确保人员、应用程序、设备和整个环境的安全得到合理、充分的保障。
公司和公司中的高级主管很多时候都有法律义务来确保资源是受保护的、确保安全措施是适当的,还要确保安全机制己被测试过,可以担保它们仍能提供必要的保护等级。
操作安全包括确保物理和环境问题得到适当解决,如温度和湿度控制、媒介重用、处理及包含敏感信息的媒介的销毁。
总体而言,操作安全涉及配置、性能、容错、安全性、稽核和检查管理,其目的在于确保适当的操作标准和合规性要求得到满足。
行政管理是操作安全中一个非常重要的环节。
行政管理的一个方面是处理人员问题,包括职责分割和岗位轮换。
职责分割(Separation of Duties)的目的是确保一个独立行动的人通过任何方法都无法危及公司的安全。
组织应建立一个完整的职位列表,说明与每个职位有关的任务和责任。
岗位轮换(Job Rotation)意味着在某个公司里很多人执行同一个岗位的任务,这使得这个公司挺有不止一个人理解一个特定职位的任务和责任,这样在某个人离开了公司或不在的情况下便能提供后备人员。
岗位轮换也能帮助确定欺诈行为,因此被认为是一种侦测类的控制。
最小特权(Least Privilege)和须知(Need-to^Know)也是应该在操作环境中执行的行:政类控制。
最小特权意味着个人应该仅有足够的许可和权限来履行他在公司的任务而不超出范围。
最小特权和须知存在共生关系,每个用户应该对他被允许访问的资源有须知。
1.安全管理基础概念1.标识组织的所有信息资产2.分析安全风险3.定义安全的重要性,随时有警觉的心4.对安全管理有实施的计划2. 安全所要具备的要素1、CIAC 机密性避免资产被未经过授权的人存取包括授权的和非授权的A 可用性及时而稳定的获取资源I 完整性避免未经授权的人做修改和经授权的人做未经允许的修改3.IT安全需要1.功能面(防火墙的功能就是过滤)2.确保功能可以达到(通过Log file也确定是否正确)3.首先定义安全策略()4.安全考量1.技术面2.组织架构3.公司文化4.管理5.业务运营6.风险5.安全政策成功因素1.最重要的是高层主管支持2.与工作相融合不能有冲突的部分3.思考以下部分(业务流程、技术流程呢个、管理流程)4.具体的实现(隐私权()、身份管理(对主管进行调查确信可信任)、应用程序、基础架构、管理)6.安全问题解决思考1.不同的需求都考虑在范围内2.ERP->VPN->CRM(客户关系管理)->ERP3.必须要求一致性7.实施安全政策1.软硬件配置标准(例如防毒、防火墙)2.变更(例如文件的销毁,用户的注册等等)3.基线(最小的安全等级和一致性、例如windows 2003必须打哪些补丁)以上三个都有强制性4.可有可无的标准(TCSEC和ITSEC规划等等他们的差别是TCSEC主要是系统、ITSEC 加入网络)8.如何做好安全管理1.定义角色和责任1.一起定义角色和责任(最高层主管、信息安全专家、owners(拥有者)、管理员、用户)2.雇佣人员事要注意(验证员工的工作履历、验证员工学历、签署合约、对高层进行背景调查)3.离职慎重处理(有两种情况第一个是自愿离职可以给一定缓冲时间、第二个是公司开除不要留任何缓冲时间)4.工作方面的事项(重要的工作项目要分工(避免私下串通)、定期工作轮换(舞弊的安全问题)、强制性休假)5.确保公司一定程度的安全(内部和外部的审计、高层做不定期的抽查以及安全措施和改进的地方、渗透测试、安全意识宣传(让公司了解安全重要)、技能培训、更深入的培训(让他们知道什么是密码学))2. 分级制度1.重要性(标识重要资产、等级高的进行保护、增加企业的优势、保护法律诉讼文件、根据等级来进行优先恢复减小公司损失)2.方向(公务类别、竞争对手有关的类别、公司财务有关的类别)3.谁来实施分级(拥有者来进行分级:足够的知识、要了解法律要求、讲求一直性、分级标准定义、加密和解密还有过期性(销毁程序等))4.注意事项(贴上警告标签、定期严查重要的资料例如备份、资料删除的时候要注意是否被彻底删除干净、遵循适当的删除策略)3.风险管理和分析1.风险管理目的(找出威胁来源,让风险做到可以接受的)2.风险如何形成(威胁和弱点共同存在)例如公司没有安装防火墙就属于公司的弱点,网络上的黑客就是对公司的威胁,如果黑客利用公司的弱点进行攻击成功,那么就有一个风险3.风险分析重要性(在企业内部标识风险,及时做好防御措施、考虑法律法规)4.新的威胁的产生(新的技术、文化的改变、新产品的出现)5.成功关键要素(1.高层主管的支持、2.成立风险评估小组、3.寻找人员加入小组)6.公司现有状况可以做到的程度7.风险分析类型(定量(数字化)、定性(情景以高中低来进行划分))CISSP复习笔记-第2章信息安全治理与风险管理2.1 安全基本原则2.1.1可用性(availability)∙确保授权的用户能够对数据和资源进行及时的和可靠的访问∙措施:回滚、故障切换配置∙反面:破坏(destruction)2.1.2 完整性(integrity)∙保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改∙措施:配置管理(系统完整性)、变更控制(进程完整性)、访问控制(物理的和技术的)∙反面:篡改(alteration)2.1.3 机密性(confidentiality)∙确保在数据处理的每一个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息披露∙措施:访问控制(物理的和技术的)∙反面:披露(disclosure)∙肩窥(shoulder surfing),社会工程(social engineering)2.2 安全定义∙脆弱性(vulnerability):缺少安全措施或采用的安全措施有缺陷∙威胁(threat):利用脆弱性带来的潜在危险∙风险(risk):威胁主体利用脆弱性的可能性以及相应的业务影响∙暴露(exposure):造成损失的实例∙控制(control)或对策(countermeasure):消除或降低潜在的风险2.3 控制类型∙按类型分:管理控制(软控制)、技术控制(逻辑控制)、物理控制∙按功能分o威慑性(deterent):威慑潜在攻击者o预防性(preventive):避免意外事件的发生o纠正性(corrective):意外事件发生后修补组件或系统,例如计算机映像o恢复性(recovery):使环境恢复到正常的操作状态,例如数据备份o检测性(detective):帮助识别以外活动和潜在入侵者o补偿性(compensating):提供可替代的控制方法2.4 安全框架2.4.1 ISO/IEC 27000系列∙组织安全规划的必要组成部分∙英国标准7799(British Standard 7799,BS7799)∙信息安全管理体系(Information Security Management System,ISMS)∙ISO/IEC 27000:世界上从全盘考虑的安全控制管理的最佳行业实践o戴明环:计划-执行-检查-处理,Plan-Do-Check-Action,PDCA2.4.2 企业架构框架∙汇总安全规划中所列出的要求,并将之集成到公司现有业务结构中2. Zachman框架∙John Zachman开发,用于定义和理解商业环境∙二维模型o横向为5W1H:什么(数据)、如何(功能)、哪里(网络)、谁(人)、何时(时间)、为何(动机)o纵向为不同的视角:计划人员、所有者、设计人员、建设人员、实施人员、工作人员3. 开放群组架构框架(The Open Group Architecture Framework,TOGAF)∙开放群组(Open Group)开发,用于定义和理解商业环境∙业务架构、数据架构、应用程序架构、技术架构4. 面向军事的架构框架∙美国国防部架构框架(Department of Defense Architecture Framework,DoDAF)∙英国国防部架构框架(British Ministry of Defense ArchitectureFramework,MoDAF)5. 企业安全架构∙舍伍德的商业应用安全架构(Sherwood Applied Business SecurityArchitecture,SABSA):风险驱动的企业安全架构,将安全映射到商业计划,与Zachman框架相似∙满足服务水平协议(Service Level Agreement,SLA)2.4.3 安全控制开发∙关注要落实到位的控制目标,以达成安全规划和企业架构所列出的目标∙信息及相关技术的控制目标(Control Objectives for Information and related Technology,CobiT):一组控制目标集,用来作为IT治理的框架,由ISACA和ITGI开发,分成4个领域o计划和组织(plan and organize)o获得与实现(acquire and implement)o交付与支持(deliver and support)o监控与评价(monitor)∙SP 800-53:由NIST开发的用于保障美国联邦系统安全的控制集2.4.4 COSO框架∙发起组织委员会(Committee Of Sponsoring Organizations)1985年开发,用来处理财务欺诈活动并汇报,应对萨班斯-奥克斯利法案(Sarbanes-Oxley Act,SOX)2.4.5 流程管理开发∙安全控制是工具,流程是如何使用这些工具∙信息技术基础设施库(Information Technology Infrastructure Library,ITIL):IT服务管理的最佳实践的事实标准∙六西格玛:摩托罗拉开发,目标是在生产过程中识别和消除缺陷∙能力成熟度模型集成(Capability Maturity Model Integration)2.7 风险评估和分析2.7.6 定量(Quantitative)分析∙自动风险分析:减少风险分析任务的手动难度,进行快速计算∙单一损失期望(Single Loss Expectany,SLE)∙暴露因子(Exposure Factor,EF)∙资产价值×EF=SLE∙年发生比率(Annualized Rate of Occurrence)∙年度损失期望(Annual Loss Expectancy)∙SLE×ARO=ALE∙因为数据本身多少会有一些主观性,因此无法做到完全客观∙不确定性:对估计缺乏信心的程度2.7.7 定性(Qualitative)分析∙Delphi技术:匿名投票∙定性和定量的目标都是评估公司面临的实际风险并给出威胁的严重程度等级(severity level),注意与定性分析给出的风险评级区分开2.7.8 保护机制∙实现防护措施前的ALE - 实现防护措施后的ALE - 防护措施每年的成本= 防护措施对公司的价值2.7.10 总风险与剩余风险∙威胁×脆弱性×资产价值=总风险∙总风险×控制间隙=剩余风险∙总风险-对策=剩余风险2.7.11 处理风险∙转移:买保险∙规避:终止引入风险的活动∙缓解:把风险降低至可接受的级别∙接受2.8 策略、标准、基准、指南和流程∙策略:高级管理层(或是选定的董事会和委员会)制定的一个全面声明,它规定安全在组织机构内所扮演的角色,分规章性策略、建议性策略、指示性策略∙标准:强制性的活动、动作或规则,可以为策略提供方向上的支持和实施∙基准:所需要的最低保护级别∙指南:没有应用特定标准时向用户、IT人员、运营人员及其他人员提供的建议性动作和操作指导∙流程:为达到特定目标而应当执行的详细的、分步骤的任务2.9 信息分类∙商业公司:机密(confidential)、隐私(private)、敏感(sensitive)、公开(public)∙军事机构:绝密(top secret)、秘密(secret)、机密(confidential)、敏感但未分类(Sensitive But Unclassified,SBU)、未分类(unclassified)2.11 安全指导委员会2.11.2 数据所有者∙对特定信息的子集和应用负最终责任2.11.3 数据看管员∙负责数据的保护与维护工作2.11.17 人员安全∙职责分离:预防性管理措施∙岗位轮换:检测性管理措施∙强制休假:检测性管理措施CISSP复习笔记-第2章信息安全治理与风险管理2.1 安全基本原则2.1.1可用性(availability)∙确保授权的用户能够对数据和资源进行及时的和可靠的访问∙措施:回滚、故障切换配置∙反面:破坏(destruction)2.1.2 完整性(integrity)∙保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改∙措施:配置管理(系统完整性)、变更控制(进程完整性)、访问控制(物理的和技术的)∙反面:篡改(alteration)2.1.3 机密性(confidentiality)∙确保在数据处理的每一个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息披露∙措施:访问控制(物理的和技术的)∙反面:披露(disclosure)∙肩窥(shoulder surfing),社会工程(social engineering)2.2 安全定义∙脆弱性(vulnerability):缺少安全措施或采用的安全措施有缺陷∙威胁(threat):利用脆弱性带来的潜在危险∙风险(risk):威胁主体利用脆弱性的可能性以及相应的业务影响∙暴露(exposure):造成损失的实例∙控制(control)或对策(countermeasure):消除或降低潜在的风险2.3 控制类型∙按类型分:管理控制(软控制)、技术控制(逻辑控制)、物理控制∙按功能分o威慑性(deterent):威慑潜在攻击者o预防性(preventive):避免意外事件的发生o纠正性(corrective):意外事件发生后修补组件或系统,例如计算机映像o恢复性(recovery):使环境恢复到正常的操作状态,例如数据备份o检测性(detective):帮助识别以外活动和潜在入侵者o补偿性(compensating):提供可替代的控制方法2.4 安全框架2.4.1 ISO/IEC 27000系列∙组织安全规划的必要组成部分∙英国标准7799(British Standard 7799,BS7799)∙信息安全管理体系(Information Security Management System,ISMS)∙ISO/IEC 27000:世界上从全盘考虑的安全控制管理的最佳行业实践o戴明环:计划-执行-检查-处理,Plan-Do-Check-Action,PDCA2.4.2 企业架构框架∙汇总安全规划中所列出的要求,并将之集成到公司现有业务结构中2. Zachman框架∙John Zachman开发,用于定义和理解商业环境∙二维模型o横向为5W1H:什么(数据)、如何(功能)、哪里(网络)、谁(人)、何时(时间)、为何(动机)o纵向为不同的视角:计划人员、所有者、设计人员、建设人员、实施人员、工作人员3. 开放群组架构框架(The Open Group Architecture Framework,TOGAF)∙开放群组(Open Group)开发,用于定义和理解商业环境∙业务架构、数据架构、应用程序架构、技术架构4. 面向军事的架构框架∙美国国防部架构框架(Department of Defense Architecture Framework,DoDAF)∙英国国防部架构框架(British Ministry of Defense ArchitectureFramework,MoDAF)5. 企业安全架构∙舍伍德的商业应用安全架构(Sherwood Applied Business SecurityArchitecture,SABSA):风险驱动的企业安全架构,将安全映射到商业计划,与Zachman框架相似∙满足服务水平协议(Service Level Agreement,SLA)2.4.3 安全控制开发∙关注要落实到位的控制目标,以达成安全规划和企业架构所列出的目标∙信息及相关技术的控制目标(Control Objectives for Information and related Technology,CobiT):一组控制目标集,用来作为IT治理的框架,由ISACA和ITGI开发,分成4个领域o计划和组织(plan and organize)o获得与实现(acquire and implement)o交付与支持(deliver and support)o监控与评价(monitor)∙SP 800-53:由NIST开发的用于保障美国联邦系统安全的控制集2.4.4 COSO框架∙发起组织委员会(Committee Of Sponsoring Organizations)1985年开发,用来处理财务欺诈活动并汇报,应对萨班斯-奥克斯利法案(Sarbanes-Oxley Act,SOX)2.4.5 流程管理开发∙安全控制是工具,流程是如何使用这些工具∙信息技术基础设施库(Information Technology Infrastructure Library,ITIL):IT服务管理的最佳实践的事实标准∙六西格玛:摩托罗拉开发,目标是在生产过程中识别和消除缺陷∙能力成熟度模型集成(Capability Maturity Model Integration)2.7 风险评估和分析2.7.6 定量(Quantitative)分析∙自动风险分析:减少风险分析任务的手动难度,进行快速计算∙单一损失期望(Single Loss Expectany,SLE)∙暴露因子(Exposure Factor,EF)∙资产价值×EF=SLE∙年发生比率(Annualized Rate of Occurrence)∙年度损失期望(Annual Loss Expectancy)∙SLE×ARO=ALE∙因为数据本身多少会有一些主观性,因此无法做到完全客观∙不确定性:对估计缺乏信心的程度2.7.7 定性(Qualitative)分析∙Delphi技术:匿名投票∙定性和定量的目标都是评估公司面临的实际风险并给出威胁的严重程度等级(severity level),注意与定性分析给出的风险评级区分开2.7.8 保护机制∙实现防护措施前的ALE - 实现防护措施后的ALE - 防护措施每年的成本= 防护措施对公司的价值2.7.10 总风险与剩余风险∙威胁×脆弱性×资产价值=总风险∙总风险×控制间隙=剩余风险∙总风险-对策=剩余风险2.7.11 处理风险∙转移:买保险∙规避:终止引入风险的活动∙缓解:把风险降低至可接受的级别∙接受2.8 策略、标准、基准、指南和流程∙策略:高级管理层(或是选定的董事会和委员会)制定的一个全面声明,它规定安全在组织机构内所扮演的角色,分规章性策略、建议性策略、指示性策略∙标准:强制性的活动、动作或规则,可以为策略提供方向上的支持和实施∙基准:所需要的最低保护级别∙指南:没有应用特定标准时向用户、IT人员、运营人员及其他人员提供的建议性动作和操作指导∙流程:为达到特定目标而应当执行的详细的、分步骤的任务2.9 信息分类∙商业公司:机密(confidential)、隐私(private)、敏感(sensitive)、公开(public)∙军事机构:绝密(top secret)、秘密(secret)、机密(confidential)、敏感但未分类(Sensitive But Unclassified,SBU)、未分类(unclassified)2.11 安全指导委员会2.11.2 数据所有者∙对特定信息的子集和应用负最终责任2.11.3 数据看管员∙负责数据的保护与维护工作2.11.17 人员安全∙职责分离:预防性管理措施∙岗位轮换:检测性管理措施∙强制休假:检测性管理措施CISSP复习笔记-第3章访问控制3.1 访问控制概述∙主体:用户、程序、进程∙客体:计算机、数据库、文件、目录、窗口、打印队列、接口、设备(一般不将程序或进程视为客体)3.3 身份标识、身份验证、授权与可问责性∙确保可问责性的唯一方法是主体能够被唯一标识,并且主体的动作被记录在案3.3.1 身份标识与身份验证∙三种因素可用于身份验证o某人知道的内容:密码、PIN、认知密码、图形验证码o某人所拥有的物品:钥匙、证件、tokeno某人的身份:基于物理特征,生物测定学(biometrics)∙强(双因素)身份验证:至少包含三种因素中的二种∙安全身份o唯一性:每个用户必须具有用于问责的唯一IDo非描述性:任何凭证都不应当表明账户的目的o签发:上述元素由权威机构提供,用于证明身份∙一对一:验证/认证(verification/authentication),一对多:识别(identification)身份管理(Identity Manageme,IdM)∙目录o基于X.500标准和某种协议,例如轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)o Windows环境会登入域控制器(Domain Controller,DC),它的数据库中运行一个层次化的活动目录服务(Active Directory,AD)o问题:由于不是使用必要的客户端软件创建,因此无法管理许多遗留设备和应用程序∙目录在身份管理中的角色o所有资源信息、用户属性、授权资料、角色、潜在的访问控制策略及其他内容都存储在目录中o元目录:从不同的来源收集必要信息并将它们保存在一个中央目录内,需要定期与身份存储库同步o虚拟目录:与元目录相似,可以替代元目录,虚拟目录中没有数据,只是只想驻留实际数据的位置∙Web访问管理(Web Access Management,WAM)o用户与基于Web的企业资源之间的主要网关o通常WAM工具还提供单点登录功能3.3.2 密码管理∙密码同步∙自助式密码重设∙辅助式密码重设∙遗留单点登录∙账户管理∙用户指配(user provisioning):为响应业务过程而创建、维护、删除存在于一个或多个系统、目录、应用程序中的用户对象与属性∙用户资料更新∙联合身份(federated identity):以在两个或多个地点链接一名用户的独特身份为基础,因而不需要同步或合并目录信息,是公司和客户能更加方便地访问分布式资源1. 访问控制和标记语言∙服务供应标记语言(Service Provisioning Markup Language,SPML):允许驻留在一个组织或者多个组织上的应用程序之间交换供应数据,允许用户算理,允许位于不同平台上的服务供应集成和互操作∙可拓展访问控制标记语言(Extensible Access Control Markup Language,XACML):用来向Web服务和其他企业应用程序提供的资产表述安全策略和访问权限2. 生物测定学∙误拒率(False Rejection Rate,FRR):1类错误,误报率∙误受率(False Acceptance Rate,FAR):2类错误,漏报率∙交叉错误率(Crossover Error Rate):FRR=FAR,也称相等错误率(Equal Error Rate)∙指纹:曲线、分叉、微小特征∙手掌扫描:沟槽、脊状突起、折缝∙手部外形:手掌和手指的长度、宽度、外形∙视网膜扫描:眼球后方视网膜上血管的图案,类似测眼压,用户体验最差∙虹膜扫描:图案、分叉、颜色、环状、光环、皱纹,光学部件必须放置于合适的位置,以保证阳光没有照入光圈中∙动态签名:签名过程中引起的物理移动转换成电信号∙动态击键:输入具体短语时产生的电信号∙声纹:不同人语音模式存在的微小差别∙面部扫描:骨骼结构、鼻梁、眼眶、额头、下颚形状∙手形拓扑:整个手形及其弯曲部分的不同起伏形状3. 密码∙限幅级别(clipping level):登陆失败次数的上限5. 一次性密码(One-Time Passwd,OTP)∙同步令牌:基于时间或计数器,令牌和身份验证服务器必须共享用于加密和解密的相同安全密钥∙异步令牌:基于挑战/响应机制8. 存储卡∙门禁卡,磁条卡9. 智能卡∙本身包含微处理器和集成电路∙接触式:银行卡;非接触式:公交卡∙不容易被复制、篡改3.3.3 授权1. 访问准则∙基于组、基于物理或逻辑位置、基于时间段或时间间隔、基于事务5. Kerberos∙一个身份验证协议∙20世纪80年代中期作为MIT的“Athena”项目的一部分设计出来∙Windows 2000及以上操作系统的默认身份验证方法∙分布式环境中单点登录的一个示例,异构网络的一个实际标准∙使用对称密码学∙容易遭受密码猜测攻击∙主要组件o密钥分发中心(Key Distribution Center,KDC):保存了所有用户和服务的秘密密钥,Kerberos环境内最重要的组件,提供身份验证服务以及密钥分发功能o委托人(Principal):KDC为每个委托人提供一个账户,并与之共享一个秘密密钥,可以是用户、应用程序或网络服务o票证授予服务(Ticket Granting Service,TGS):发放服务票证(Service Ticket,ST)o身份验证服务(AuthenticationService,AS):发放票证授予票证(Ticket Granting Ticket,TGT)o域(Realm):在一个域内KDC对于所有用户、应用程序和网络服务来说都是可信任的身份验证服务器∙身份验证过程:参考16. SESAME(Secure European System for Application in a Multi-vendor Environment)∙使用对称和非对称密钥∙目的是拓展Kerberos的功能和弥补它的缺陷3.4 访问控制模型3.4.1 自主访问控制(Discretionary Access Control,DAC)∙资源的所有者能够指定哪些主体能够访问该资源∙身份型∙最常用方法:访问控制列表(Access Control List,ACL)∙大多数操作系统基于DAC模型∙反面:非自主访问控制(Non-discretionary Access Control,NDAC),通过中央授权来决定哪些主体可以访问对应的客体3.4.2 强制访问控制(Mandatory Access Control,MAC)∙安全标签:也称敏感度标签,绑定在主体和客体上o分类:遵循层次化结构,如秘密、绝密、机密等o类别:与部门或项目等对应起来∙系统接收到一个队客体的访问请求时,根据你主体的安全许可、客体的分类以及操作系统的安全策略做出决策,主体安全许可必须大于等于客体的分类3.4.3 角色型访问控制(Role-Based Access Control,RBAC)∙集中管理的控制方式∙雇员流动性高的公司最适合使用的访问控制系统∙非自主访问控制的一种3.5 访问控制技术和方法∙规则型访问控制(rule-based access control):不一定是身份型的∙限制性用户接口:数据库视图,只在键盘上提供某些键∙访问控制矩阵(access control matrix)o功能表:特定主体对所有客体的访问权限,矩阵中的行o访问控制列表:所有主体对特定客体的访问权限,矩阵中的列3.6 访问控制管理3.6.1 集中式访问控制管理∙AAA:Authentication,Authorization,Audit∙密码身份验证协议(Password Authentication Protocol,PAP)∙挑战握手身份验证协议(Challenge Handshake Authentication Protocol,CHAP)∙可拓展身份验证协议(Extensible Authentication Protocol,EAP)∙远程身份验证拨号用户服务(Remote Authentication Dial-In UserService,RADIUS)∙终端访问控制器访问控制系统(Terminal Access Controller Access Control System,TACACS)o TACACS:身份验证和授权过程组合在一起o拓展TACACS(Extended TACACS,XTACACS):身份验证、授权和审计过程分开o TACACS+:采用拓展双因素用户身份验证的XTACACS∙Diameter:解决漫游、移动IP、PPP以太网、VoIP及传统AAA协议无法跟上的其他技术3.9 访问控制实践∙客体重用:将先前包含一个或多个客体的介质重新分配给主体,介质要先擦除、消磁∙发射安全:阻止入侵者通过侦听设备从电磁波中获取信息,例如TEMPEST技术3.10 访问控制监控3.10.1 入侵检测系统(Intrusion Detection System,IDS)∙网络型IDS(Network-based IDS,NIDS)∙主机型IDS(Host-based IDS,HIDS)∙特征型IDS:模式匹配,状态匹配∙异常型IDS:统计异常型,协议异常型,流量异常型,规则型3.11 对访问控制的几种威胁∙字典攻击∙蛮力攻击o战争拨号(wardialing):使用大量电话号码,以试图找到一个调制解调器来获得未授权访问∙登陆欺骗∙网络钓鱼o网址嫁接(pharming):实施DNS中毒(DNS poisoning)攻击,将受害者重定向至一个看似合法的、其实是伪造的Web站点o鱼叉:专门针对特定人的钓鱼CISSP复习笔记-第4章安全架构和设计4.2 系统架构∙ISO/IEC 42010:2007:IEEE推荐的软件密集型系统架构描述4.3 计算机架构4.3.1 中央处理单元(Central Processing Unit,CPU)∙算术逻辑单元(Arithmetic Logic Unit,ALU)∙控制单元∙通用寄存器:用于保存变量和临时结果∙特殊寄存器o程序计数器o栈指针o程序状态字(Program Status Word,PSW):保存各种不同的条件位,其中一个条件位指出CPU应在用户模式(问题状态),还是在特权模式(内核模式(kernel mode)或监管模式(supervisor mode))工作∙地址总线(address bus):CPU通过地址总线与RAM和其他I/O设备建立连接∙数据总线(data bus):读/写的数据被放在数据总线上4.3.2 多重处理∙多核CPU的对称模式和非对称模式4.3.3 操作系统架构1. 进程管理∙协调式多任务处理(cooperative multitasking):要求处理器自愿地释放所使用的资源∙抢占式多任务处理(preemptive multitasking):操作系统能否控制进程使用某一资源的时间∙进程:拥有各自的存储器空间、栈和程序计数器∙中断:进程通过中断知道何时能与CPU通信∙可屏蔽中断(maskable interrupt):分配给不是十分重要的事件,程序可以选择是否忽略∙不可屏蔽中断(non-maskable interrupt):程序无法忽略2. 线程管理∙线程:当进程有具体活动需要操作系统执行时而生成的指令集3. 进程调度∙死锁:两个进程互相需要对方当前占用的资源才能完成任务4. 进程活动∙采用以下方法可以实施进程隔离o对象封装:APIo共享资源的时分复用o命名区分:PIDo虚拟地址空间映射(virtual address space mapping)5. 存储器管理∙CPU寄存器>高速缓存器>主存储器>(交换空间>)磁盘存储∙基寄存器(base register)和界限寄存器(limit register)确定进程地址空间4.3.4 存储器类型1. 随机存取存储器(Random Access Memory,RAM)∙动态RAM(Dynamic RAM,DRAM):使用电容和晶体管,电容中的数据必须不断进行动态刷新,位值才不会莫名其妙地消失,刷新需要时间,因此比静态RAM 慢∙静态RAM(Static RAM,SRAM):不使用电容、只用晶体管,在RAM芯片中占更大面积,比DRAM快、比DRAM贵。
CISSP知识点汇总CISSP(Certified Information Systems Security Professional)是国际上最为著名的信息安全认证之一,广泛应用于网络安全和信息系统安全领域。
CISSP考试要求全面了解和掌握信息安全的各个方面,包括安全管理、网络安全、应用安全、密码学、风险管理等。
以下是CISSP考试的一些重要知识点的汇总:1.安全管理:包括安全策略、安全计划、风险管理、安全意识培训、安全政策和程序等。
2.风险管理:包括风险评估、风险处理、风险监控和风险报告等。
3.安全体系结构:包括安全模型、安全架构、安全组织和安全配置等。
4.安全技术:包括网络安全、主机安全、应用程序安全、数据库安全和身份认证等。
5.密码学:包括对称加密算法、非对称加密算法、数字签名、哈希算法和公钥基础设施等。
6.网络安全:包括防火墙、入侵检测与防御系统、虚拟专用网络和网络协议安全等。
7.主机安全:包括操作系统安全、物理安全和主机配置安全等。
8.应用程序安全:包括应用程序开发安全、输入验证和访问控制等。
9.数据库安全:包括数据库管理安全、数据库备份和恢复以及数据加密等。
10.身份认证:包括单一登录、双因素认证和多因素认证等。
11.可信计算:包括安全操作系统、虚拟化技术和可信计算基础设施等。
12.安全策略与计划:包括安全策略的制定、实施和审查等。
13.安全评估与测试:包括渗透测试、漏洞评估和安全审计等。
14.安全意识与培训:包括安全意识培训和安全文化建设等。
15.反应与恢复:包括安全事件响应、灾难恢复计划和安全监测等。
这些知识点仅仅是CISSP考试的一部分,考试还包括更多关于信息安全管理和实践的内容。
CISSP的知识点非常广泛,考生需要全面掌握各个方面的内容,并且能够将其运用到实际工作中。
为了成功通过CISSP考试,考生需要进行广泛的学习和准备,并且掌握正确的学习方法和技巧。
国际信息系统安全专业CISSP认证课程大纲第一章安全和风险管理安全基本原则安全定义控制措施类型安全框架反计算机犯罪法律的难题网络犯罪的复杂性知识产权个人隐私保护数据泄露方针、策略、标准、基线风险管理威胁建模风险评估与分析供应链风险管理风险管理框架业务连续性和灾难恢复人员安全安全治理道德第二章资产安全信息生命周期数据分级管理责任层级资产留存策略隐私保护保护资产数据泄露第三章安全架构与工程系统架构计算机架构操作系统系统安全架构安全模型系统评价认证和认可开放式系统和封闭式系统系统安全工控安全威胁回顾密码编码术的背景密码学的定义与概念密码运算类型加密方法对称密码系统的种类非对称密码系统的种类消息完整性公钥基础架构密码技术应用对密码技术的攻击设计场所与基础设施安全场所安全设计过程内部支持系统第四章通信与网络安全网络架构原则开放系统互联参考模型TCP/IP模型传输介质无线网络网络基础网络协议和服务网络组建内联网和外联网城域网广域网通信信道远程连接网络加密网络攻击第五章身份与访问管理访问控制概述安全原理集成身份即服务身份表示、身份验证、授权与可问责性访问控制机制访问控制方法和技术身份与访问权限配置生命控制物理与逻辑访问访问控制实践访问控制持续监测访问控制面临的威胁第六章安全评估与测试评估、测试、和审计策略审计技术控制措施审计管理控制措施报告管理评审和批准第七章运营安全运营部门的角色行政管理物理管理安全资源配置网络与资源的可用性预防与检测事故管理流程调查灾难恢复责任及其影响保险实施灾难恢复人员安全问题第八章软件开发安全构建良好代码软件开发生命周期软件开发方法论能力成熟度集成模型变更管理开发环境的安全性安全编码编程语言与概念分布式计算移动代码Web安全数据库管理恶意软件评估获取软件的安全性。
网络安全框架与体系结构设计在当今信息化社会中,网络安全问题日益凸显。
为了保护重要信息和个人隐私,网络安全框架和体系结构设计变得至关重要。
本文将探讨网络安全框架的定义、要素和设计原则,并介绍网络安全体系结构的设计流程和关键步骤。
一、网络安全框架的定义和要素网络安全框架是指在网络环境中保护信息系统和网络资源免受未经授权的访问、破坏和利用的组成部分和结构。
它包括以下要素:1. 规范和政策:制定适用于组织的网络安全规范和政策,例如访问控制、密码策略和数据备份策略等。
2. 人员:拥有熟悉网络安全知识和技能的专业人员,负责实施和管理网络安全措施。
3. 技术:采用适当的硬件和软件技术,例如防火墙、入侵检测系统和加密算法等,来保护网络和信息系统。
4. 流程和程序:制定网络安全相关的操作流程和程序,例如事件响应、风险评估和漏洞管理等,以确保网络安全的运行。
二、网络安全框架的设计原则在设计网络安全框架时,需要遵循以下原则:1. 综合性:网络安全框架应该综合考虑组织的业务需求、法律法规和技术标准等因素,确保全面的安全保护。
2. 分层次:将网络安全划分为物理层、网络层和应用层等多个层次,针对每个层次制定相应的安全策略和措施。
3. 预防性:采取预防性措施,防范网络攻击和安全漏洞的发生,例如加密通信、访问控制和安全审核等。
4. 实时性:网络安全框架应具备实时监测和响应的能力,及时识别和应对网络安全威胁。
5. 灵活性:网络安全框架应具备灵活性,能够根据不同的业务需求和威胁情况进行调整和优化。
三、网络安全体系结构的设计流程和关键步骤网络安全体系结构的设计流程通常包括以下几个关键步骤:1. 需求分析:根据组织的业务需求和安全目标,确定网络安全的需求和功能。
2. 系统设计:基于需求分析,设计网络安全的系统结构和模块,包括网络边界、内部安全区域和用户访问控制等。
3. 技术选型:选择适当的网络安全技术和产品,例如防火墙、入侵检测系统和加密算法等。
CISSP要点-第五章安全体系结构和设计
两个系统可以有完全相同的硬件、软件和应用程序,但却会因为建立在不同的安全策略和安全模型之上而提供不同的保护级别。
CPU包括一个控制单元,它控制指令和数据执行的时序;还包含一个ALU(算术逻辑单元),它执行算术功能和逻辑操作。
逻辑单元),它执行算术功能和逻辑操作。
绝大多数系统都使用保护环(Protection Ring)进程的特权级别越高,则运行编号越小的保护环中,它就能访问全部或者大部分的系统资源。
应用程序运行在编号越大的保护环中,它能访问的资源就越少。
操作系统的进程运行在特权或监控模式中,应用程序运行在用户模式中,也称为“问题”状态。
次级存储(Second Storage)是永久性的,它可以是硬盘、CD-ROM、软驱、磁带备份或者U盘。
虚存(Virtual Storage)由RAM和次级存储所构成,系统因此看起来具有很大一块存储器。
当两个进程试图同时访问相同的资源,或者一个进程占据着某项资源而且不释放的时候,就发生了死锁情况。
安全机制着眼于不同的问题,运行于不同的层次,复杂性也不尽相同。
安全机制越复杂,它能提供的保险程度就越低。
并不是所有的系统组成部分都要处于TCB范围内;只有那些直接以及需要实施安全策略的部件才是。
这些部分要位于安全边界内。
构成TCB的组成部分有硬件、软件、固件。
因为它们都提供了某种类型的安全保护功能。
安全边界(Security Perimeter)是一个假想的边界线,可信的部件位于其中(那些构成TCB的部件),而不可信的部件则处于边界之外。
引用监控器(Reference Monitor)是一个抽象机,它能确保所有的主体在访问客体之前拥有必要的访问权限。
因此,它是主体对客体所有访问的中介。
安全内核(Security Kernel)是实际落实引用监控器规则的机制。
安全内核必须隔离实施引用监控器概念的进程、必须不会被篡改、必须被每次访问企图调用,而且必须小到足以能正确地测试。
安全域(Security Domain)是一个主体能够用到的全部客体。
进程需要进行隔离,这可以通过内存分段寻址、对象封装、共享资源时分复用、命名区分和虚拟映射来做到。
系统提供的安全水平取决于它落实安全策略的程度有多大。
多级安全系统能受理属于不同类别(安全等级)的数据,具有
不同访问级(安全等级)的用户都能够使用该系统。
应该赋予进程最小的特权,以便使其具有的系统特权只够履行它们的任务,没有多余。
有些系统在架构上提供不同层次的功能,这称为分层。
这就将进程进行了分离,为单个进程提供了更多的保护。
数据隐藏用于处于不同层次上的进程之间存在多层访问控制。
进程只需要知道如何通过彼此的接口进行通信
安全模型(Security Model)将安全策略的抽象目标映射到计算机系统的术语和概念上。
它给出安全策略的结构,并且为系统提供一个框架。
封闭式系统通常为制造商或供应商所有;而开放式系统则允许更多的互操作性
Bell-LaPadula模型只解决机密性的要求,Biba和Clark-Wilsoll则解决数据完整性的要求。
状态机模型处理一个系统能够进入的不同状态。
如果一个系统开始是在一个安全状态下,在该系统中发生的全部活动都是安全的,那么系统就决不会进入一个不安全的状态。
格子(Lattice)模型给主体的授权访问提供了上界和下界。
信息流安全模型不允许数据以一种不安全的方式流向客体。
Bell-LaPadula模型有一条简单安全规则,意思是说,主体不能从更高级别读取数据(不能向上读)。
特性规则的意思是说,主体不能向更低级别写数据(不能向下写)。
强星特性规
则是指一个主体只能在同一安全等级内读和写,不能高也不能低。
Biba模型不允许主体向位于更高级别的客体写数据(不能向上写),它也不允许主体从更低级别读取数据(不能向下读)。
这样做是为了保护数据的完整性。
Bell—LaPadula模型主要用在军事系统中,Biba和Clark.Wilson模型则用于商业部门。
Clark—Wilson模型要求主体只能通过应用程序访问客体;该模型还说明如何为职责分割提供功能性,并要求在软件内进行审计任务。
如果系统在一个专属安全模式中运行,那么系统只能处理一级数据分级,所有的用户都必须具有这一访问级,才能使用系统。
分段的(Compartmented)和多级的(Multilevel)安全模式让系统能够处理划入不
同分类级别上的数据。
可信(Trust)意味着系统正确地使用其全部保护机制来为许多类型的用户处理敏感数据。
保险(Assurance)是你在这种信任关系中具有的信心水平,以及保护机制在所有环境中都能持续正确运行。
在不同评测标准下,较低的评定级别评审的是系统性能及其测试结果,而较高的评定级别不但考察这一信息,而且还有
系统设计、开发过程以及建档工作。
橘皮书(Orange Book)也称为可信计算机系统评测标准(TCSEC),制定该标准是为了评测主要供军用的系统。
它的用途已经扩展到评测其他类型的产品。
在橘皮书中,D组表示系统提供了最小的安全性,它用于被评测,但不能满足更高类别标准的系统。
在橘皮书中,C组涉及自主保护,B组涉及强制保护(安全标签)。
在橘皮书中,A组意味着系统的设计和保护水平是能够验证核实的,它提供了最高水平的安全性和可信度。
在橘皮书中,C2级要求客体重用保护和审计。
在橘皮书中,B1级是要求有安全标签的第一个级别。
在橘皮书中,B2级要求所有的主体和设备具有安全标签,必须有可信路径和隐蔽通道(Covert Channel)分析,而且要提供单独的系统管理功能。
橘皮书主要涉及独立的系统,所以还编写了一系列书籍,涵盖了安全领域内的其他方面;这些书籍称为彩虹系列(Rainbow Series)。
ITSEC分别评测系统的保险程度和功能性,而TCSEC将两者合到了一个级别中。
通用准则(Common Criteria)的制定提供了一个得到公认的评测标准,而且现如今还在使用·它将TCSEC、ITSEC、
CTCPEC和联邦标准(Federal Criteria)的各部分结合了起来。
通用准则使用了保护样板(Protection Profile)和从EAL1--EAL7的级别。
认证是对系统或产品及其安全部件的技术评测。
鉴定(Accreditation)是管理层正式批准和接受系统所提供的安全保障。
隐蔽遁道(Covert Channel)是一条非计划中的通信路径,它传输数据的方式违反了安全策略。
隐蔽遁道有两种类型:计时隐蔽通道和存储隐蔽通道。
隐蔽计时通道(Covert Timing Channel)使得进程能够通过调制它对系统资源的使用来向其他进程传递信息。
隐蔽存储遥道(Coven Storage Channel)使得进程能够把数据写入存储介质,从而让其他进程能够读取到它。
维护陷阱,是用来让程序员迅速进入应用,维护或者增加功能。
后门应该在应用投入使用之前删除,否则它会造成严重的安全风险。
执行域是CPU执行指令的地方。
操作系统的指令是以特权模式执行的,而应用的指令是以用户模式执行的。
进程隔离确保了多个进程能够并发运行,进程不会彼此互相干扰,或者影响彼此的存储段。
只有需要全部系统特权的进程才会位于系统的内核中。
TOC/TOU代表time-of-check和time—of-use,这是一类异步攻击。
Biba解决了完整性的第一个目标,即防止未经授权的用户进行修改。
Clark—Wilson解决了完整性的所有三个目标:防止未经授权的用户进行修改、防止授权的用户进行不恰当的修改,以及维护内外的一致性。
在Clark—Wilson模型中,用户只能通过程序访问和操控客体。
它使用访问三元组,即主体、程序、客体。
