CISA高分考生复习笔记知识要点.docx
《CISA高分考生复习笔记知识要点.docx》由会员分享,可在线阅读,更多相关《CISA高分考生复习笔记知识要点.docx(19页珍藏版)》请在冰豆网上搜索。
![CISA高分考生复习笔记知识要点.docx](https://file1.bdocx.com/fileroot1/2023-2/13/63a840f7-8b82-412d-a77e-19b751caac94/63a840f7-8b82-412d-a77e-19b751caac941.gif)
CISA高分考生复习笔记知识要点
TASKSTATEMENTS
1.评估逻辑访问控制的设计,部署和监控,以确保信息资产的CIA
2.评估networkinfrastructure的安全性
3.评估环境控制
4.评估物理访问控制
5.评估存储,retrieve,传递和处理机密信息资产的过程和流程
KnowledgeSTATEMENTS
1.安全的设计,部署和监控的技术
2.逻辑访问控制
3.逻辑访问架构(SSO,用户识别,身份管理)
4.攻击手段和技术
5.安全事件响应
6.挽留过和internet安全设别,协议和技术:
SSL,SET,VPN,NAT
7.IDS,IPS,Firewall的部署,操作,配置和维护
8.加密算法技术,
9.PKI
10.病毒检测工具和控制技术
11.安全测试和评估工具
12.环境保护实践和设备
13.物理安全系统和实践
14.VoIP
15.机密信息资产的生命周期保护
16.手动,无线设备的控制和相关风险。
信息安全管理的重要性
1.信息安全的目标CIA
一、信息安全管理的关键要素
1.IS安全不仅仅是一种机制,同样反应的是企业的文化。
Ø高层支持
Ø策略和流程
Ø组织
Ø安全意识和交易
Ø监控和合规性
Ø事件处理和响应
二、信息安全管理角色和职责
1.ISsecuritysteeringcommittee:
不同管理层的人员足赤回忆
2.Eexcutivemanagement:
对信息资产保护、发布和维护信息安全策略框架负责
3.securityadvisorgroup:
需要由bussiness人员设计,检查组织的安全计划,想CSO提供安全建议,以及向业务部门沟通安全项目是否符合业务需要
4.CPO首席隐私官
5.CISO首席信息安全官
6.processowner:
确保适当的安全措施与机构的策略一致,并得到维护
7.informationassetownersanddataowner:
8.users
9.externalparties
10.securityadministrator:
staff级别的而为之,提供适当的物理和逻辑安全项目
11.securityspecialists、advisor
12.ITdevelopers
13.ISauditor:
独立性assurance
三、信息资产的目录和分级
1.信息资产分级将安全与业务目标有效结合起来,减少风险,节省成本
2.classification应该根据机构规模尽量简化。
3.data是核心的信息资产,dataclassification应该定义:
Øowner
Øaccessrights(needtoknow)
Ølevelofaccesstobegranted
Ø决定访问权限和级别的人
Ø谁审批访问需求
Ø安全控制的范围和深度
4.数据分级应该考虑CIA,还有隐私和合规等事务。
四、Systemaccesspermission
1.物理或逻辑系统访问应该基于一个书面的NEED-TO-KNOW的基础,这个基础是基于最小授权和职权分离的合法的业务需求。
2.逻辑安全下的信息技术资产可以分为:
networks,platforms,databases和applications
3.信息owner应该书面授权对信息的访问
4.对访问的授权情况应该定期检查,检查应该与HR流程结合。
5.非组织雇员的访问活动同样需要合规性控制
五、MAC,DAC
1.MACs强制访问控制:
缺省实施,不受用户或者dataowner的控制
2.DACs可以由用户或者dataowner来配置和更改
3.MAC比较的是信息资源的sensitivity和访问实体的securityclearance安全许可。
MACs是禁止性的prohibitive,任何没有例外管理的都要禁止。
只有管理员可以更改。
4.DACs,dataowner决定访问权限,DACs不允许超越MACs。
5.
六、隐私管理事务,IS审计师的角色
1.privacy必须从一开始就要进行关注,执行privacyimpactanalysis
2.IS审计师为管理成的隐私合规提供合理保证
Ø识别理解合规要求
Ø检查个人数据的管理合规性
Ø验证是否采用恰当的安全措施
Ø检查管理层的隐私策略。
七、信息安全管理的关键成功因子
1.管理层对安全培训的有力支持
2.基于风险的资产识别、风险评估
八、信息安全和外部parties
1.对customer,thirdparty等的控制
2.为防止未授权访问,所有打印的文档必须在站访问
3.建立DRMdigitalrightsmanagement来限制对文档的复制,打印等
4.若信息安全管理外包,则相关协议应该定义第三方如何保证安全要求。
5.要考虑第三方无法提供服务时的应急处理(replacementserives)
九、HR安全和thirdparties
1.通过恰当的jobdescription来落实安全责任
2.入职调查
3.基于安全角色签订协议,含保密协议等
4.根据公司安全策略来书面定义雇员合同,第三方的用户的安全责任
5.与合同方和第三方签订的协议中应该包含背景调查的内容backgroundverificationchecks
一十、Computercrimeandexposure
1.计算机犯罪造成的影响:
ØFinancialloss
ØLegalrepercussions
ØLossofcredibilityofcompetitiveedge
ØBlackmail、industrialespionage、organizedcrime
ØDisclosureofconfidential,sensitiveorembarrassinginformation
ØSabotage怠工
2.犯罪分子类型
ØHackerscrackers
ØScriptkiddies
ØCrackers
ØEmployees
ØISpersonnal
ØEndusers
ØFormeremployees
ØInterestedoreducatedoutsiders
ØParttimeandtemporarypersonnel
ØThirdparties
ØAccidentialignorant
3.计算机是犯罪对象图:
DoS,hacking
4.计算机是犯罪的subject:
DDoS,virus
5.计算机是犯罪工具:
fraud,未授权访问,phishing,安装keyloggers
6.计算机symbolizes犯罪:
社会工程
7.一般的攻击机制和技术
ØAltertionattack:
篡改工具破坏数据的完整性,对策使用加密哈希
ØBotnets僵尸网络
Ø暴力破解:
ØDoS
●Smurfattack:
误配置的网络设备允许通过广播地址发送到特定网段的所有hosts
●Pingflood:
●SYNFlood:
●Teardropattack:
发送损毁的IPfragments
●Peertopeerattack:
●PDoSphlashing:
伤害的是硬件,
●应用层级的flood攻击:
✓bufferoverflow,
✓暴力破解,
✓带宽饱和型flood攻击,
✓bananaattack(将客户端发送的消息重定向回客户端),
✓pulsingzombie:
✓nuke:
损坏的ICMP包发送给受害目标
✓DDoS
✓Reflectedattack:
✓Unintentionalattack
Ø拨号渗透攻击,waidialing
ØEavesdropping
ØEmailBombingandspamming
ØEmailspoofing
ØFlooding
ØInterruptattack
ØMaliciouscodes
●Logicbombs
●Trapdoors
●Trojanhorses
Ø中间人攻击
ØMasquerading伪装
ØMessagemadificaiton
ØNetworkanalysis
ØPacketreplay
ØPhishing钓鱼:
包括社会工程,linkmanipulation,和websiteforgery
●Spearphishing:
●Pharming:
将流程或网页重定向到一个boguswebsite。
防病毒以及防间谍软件不能阻止pharming
●社会工程学
ØPiggybacking
ØRaceconditions:
TOC/TOU攻击:
竞争状态由于nonatomic,deadlockfailure造成。
需要良好的编程和管理来控制
ØRemote维护工具
ØResourceenumerationandbrowsing:
资源穷举,其中browsing攻击时使用手动搜索的方式来耗尽资源
ØSalami攻击把末尾删掉
ØRoundingdown:
把末尾数减小
ØSpam:
uce,junkemail垃圾邮件:
使用贝叶斯过滤来控制
ØTrafficanalysis
Ø通过WWW的非授权访问
Ø病毒,蠕虫,间谍软件
ØWardriving战争驾驶
ØWarwalking
ØWarchaclking
一十一、安全事件处理和响应
逻辑安全
一、逻辑安全exposures
1.生物认证技术:
✓FRR第一类错误拒绝率
✓FAR第二类错误接受率
✓EER
✓FER错误注册的比例
✓Retina的FAR比例最低,成本高,用户接受度低
2.SSO单点登录
✓Kerberos-分布式环境中使用
二、授权事务
3.ACL
4.逻辑安全管理:
集中式,分布式
5.远程访问安全
6.audittrail分析的工具
✓auditreductiontools
✓trend/variance-detectiontools
✓attack-signature-detectiontools
✓
网络基础设施安全
一、LAN安全
1.LAN由于管理员经验,难以标准化管理等问题。
二、C/S安全
三、无线安全威胁和风险处置
四、Internet威胁和安全
1.passive攻击
2.active攻击
3.偶然性
4.防火墙安全系统
✓包过滤:
简单操作,性能稳定
✓应用防火墙:
app-level每个应用服务使用一个代理,circuit-level:
一个应用代表所有服务。
性能差,规模性受制约
✓状态检测防火墙:
难以管理
5.防火墙部署架构
✓Screened-hostfirewall
✓Dual-homedfirewall
✓DMZ
6.火墙的局限
✓认为有了火墙就不需要内部的控制了
✓拨号路由的使用可以绕过火墙
✓火墙配置不当
✓对火墙的概念不明确
✓为定期监控火墙
✓策略未日常维护
✓火墙智能抵御网络层的攻击,对应用层面的攻击,例如:
SQL注入,bufferoverflow等都不能阻止。
7.硬件防火墙速度快,但是不灵活;软件防火墙慢,但是灵活且有多种功能,最好使用appliance,不是一般意义上的服务器,可以内置加固的OS,不易遭到攻击。
8.IDS系统HIDS,NIDS,包含的类型:
✓基于特征的
✓基于统计的
✓Neuralnetwork神经网络:
有自学功能
9.IPS
10.honeypots,honeynets
五、加密
1.加密系统的关键因子:
加密算法,key,keylength
2.有效的加密系统以来algorithmstrength,secrecyanddifficultyofcompromisiongakey。
3.因特网上的多数加密交易依靠的是一个组合:
public/privatekeys,secretkeys,hashfunctions,digitalcertificates来实现机密性,消息完整性,认证和抗抵赖。
4.对称加密sysmetrickeycryptographicsystems:
ØDES:
blockcipher使用64bitsblock,其中56bit用于加密,DES的keyspace很容易被破解。
ØAES:
128-256bits的key,
Ø对称加密的优点:
只需要记住一个key,可以快速加密bulkdataencrption
Ø缺点:
如何传递key,不能用于签名
5.非对称加密publickeycryptographicsystems
ØRSA:
RSA的加密性与因式分解难度相关
ØECC:
多用于无线网络,移动设备。
ECC需要更少的运算power,可以在每个bit上提供更多的安全性。
6.Quantum加密:
量子加密依靠的是随机性和对称key的安全FENFA
7.AES:
key长度分为128,192,256,
8.数字签名
ØSHA-1,MD2,MD4,MD5都是messagedigest的算法。
是one-way功能的。
Ø时间戳和hash用于阻止replay攻击
Ø数字签名和公钥加密容易遭到中间人攻击
9.数字信封:
对称key加密message,sessionkey用receiver的公钥加密
10.PKI:
ØDigitalcertificate:
用户的publickey+用户身份信息
ØCertificateauthority:
CA签名所有的公钥
ØRegistrationauthorityRAverify用户的请求
ØCertificaterevocationlist:
维护已经不使用的证书的清单
ØCertificationpracticestatement:
是一个详细的规则集合用于管理CA的运行
六、加密系统的应用
1.SecuresocketslayerSSL和transportlayersecurityTLS.
ØSSL是一个session/connection层的协议。
在因特网上广泛用于webserver和browser之间的通信。
ØSSL提供终端认证和通信隐私性。
一般情况下只有server得到认证,而client没有认证。
Mutual认证需要客户端配置PKI.
ØSSL在application和tcp传输层之间运行,通常和HTTP结合使用形成HTTPS,HTTPS用于加固网页的安全性,HTTPS使用publickeycertificates来核实终端的身份。
ØSSL可以提供twoway例如B2B,也可以是onewayconsumerprocess,顾客核实虚拟网店的身份
ØSSL提供机密性,完整性,认证和抗抵赖
2.S/HTTP
Ø应用层协议,传递个人消息或者网页,使用https:
//.指引message到一个安全的端口,而不是默认的网页端口地址。
这个协议使用SSL的特点,但是不是一个会话层协议
3.IPSec
Ø网络层协议,建立VPNstransport模式(ESP,数据加密),tunnel模式(ESP+packet、报尾加密+AH)
Ø无论在使用哪种模式建立IPSec会话,securityassociationsSAs应该使用。
SAs定义安全参数,例如:
加密算法,key,初始向量,key的lifespan等。
SA通过一个32bit的securityparameterindesSPI建立。
SPI是一个唯一标识符,用于确保发送端的主机参考特定用于接收端的安全参数。
ØIPSes可以使用ISAKMP/Oakley这个非对称加密来增强安全性。
这个协议可以使用key的管理,公钥协商,建立/更改/删除SA
4.SSH:
Ø是一个C/S程序,开启一个安全加密的命令行shell会话。
SSH使用强加密来保护数据。
SSH用于加固telnet和Ftp服务,在应用层执行。
5.SECUREMultipleinternetmailextensionsS/MIME安全邮件协议:
认证sender和receiver,核实消息完整性,确保message内容的隐私,也包括附件的隐私
6.secureelectronictransactionsSET由VISA,mastercard等信用卡组织开发,用于加固支付交易。
SET是应用层协议,使用第三方的PKI
七、加密的风险和密码保护
1.key的保密性最重要
2.key的随机性也是一个关键因子
八、virus病毒
1.病毒是self-propagete自我繁殖的,附着到另外的程序上。
病毒可以是非恶意也可是恶意的。
一般攻击4类计算机
Ø可执行的程序文件
Ø文件字典系统
ØBoot和系统区域
ØDatafiles
2.worms蠕虫,不能物理上将自己附着到另外ide程序上,一般是利用OS的安全漏洞。
3.病毒和蠕虫的控制:
Ø需要部署防病毒程序,一是有强健的策略和流程,二是要有技术手段。
4.防病毒软件类别:
ØScanner扫描器:
扫描memory,disk-bootsectors,executables,datafiles以及commondfiles,需要定期升级
●Virusmasksorsignatures
●Heuristicscanners启发式扫描:
可能产生一个比较高的false-positive错误率
ØActivemonitors:
不能分辨用户请求和程序/病毒请求,需要有用户的confirmactions。
ØIntegrityCRCcheckers完整性校验码检查:
计算一个未感染病毒的程序的二进制码,存放在数据库文件中,这个数字叫做cyclicalredundancycheckCRC,后续扫描中,当这个程序被调用,先计算一个数字和CRC做比较。
对新文件不能识别
ØBehaviorblockers行为阻止器:
关注于检测可疑的行为,大多数基于硬件的防病毒系统都是这个概念
ØImmunizers免疫器:
5.防病毒软件部署战略
Ø用户服务器或者workstation层面:
安装软件程序定期扫描,手动扫描,持续扫描
Ø公司网络层面viruswalls:
病毒扫描软件用于防火前技术的整合部分。
称为viruswalls。
扫描输入的数据流。
Viruswalls通常工作在以下层级
●Smtpprotection
●HTTPprotection
●FTPprotection
九、VOICEOVERIPVoIP
1.IP电话,也被称为VoIP..VoIP使用packetswitching技术,因需传递数据。
VoIP在长途电话上节省费用。
2.VoIP组件:
callprocessors,callmanagers,gateways,routers,firewallsandprotocols
3.VoIP安全事务:
VoIP需要保护数据和音频两种资产。
加固VoIP的关键是将用于data网络的安全机制,用于模拟现在使用在PSTN上的安全级别
4.VoIP最关键要考虑其可用性,需要有备份通信设施。
对IP电话和其支持设备的防护水平要等同于计算机系统;例行安装补丁,防病毒;划分单独的VlAN,许多情况下使用sessionbordercontrollerSBCs来保护VoIP数据流的安全性。
这个类似于防火墙。
一十、PBXPRIVATEBRANCHEXCHANGE
1.对PBX的安全性控制不到位,容易造成tollfraud,机密信息或者财产的失窃,收入损失以及法律责任。
2.现在的软件PBX提供了很多通信性能,这个新特性使得入侵者利用PBX入侵更容易。
3.今天使用的PBX的特性包括
ØPBX包含至少两天电话新
Ø使用数字电话将voice和数据进行整合
4.PBX使用如此广泛的一个原因是:
节省话费成本,也可以在内部使用短号来呼叫。
5.PBX风险:
ØTheftofservices
ØDisclosureofinformation
ØDatamodification
ØUnauthorizedaccess
ØDenialofservice
ØTrafficanalysis
6.PBX是复杂的计算机系统,他的安全性与一般的OS安全性不同点在于:
Ø外部访问控制:
PBX需要外部厂商的远程维护,而不是一般OS要求本地管理员安装补丁进行维护。
这样就需要远程维护端口和被外部访问
ØFeaturerichness:
PBX的管理特性和conference功能丰富,可能被攻击者利用。
7.PBX的另外的安全漏洞:
Ø不受控制的directinwarddialDID线路,直接内部呼叫,可以是外部party申请一个本地的dialtone,免费打长途
Ø系统访问控制机制缺失
Ø长途电话对某些号码的拨打,例如热线,手机号等控制缺失
Ø传真,modem等特殊号码未控制
Ø没有开启注册calls的选项,
8.PBX审计:
9.PBX系统加固
Ø配置,加固专用的管理端口
Ø控制DID,防止外部人员申请dialtonelocally。
Ø长途电话拨打的系统访问控制
Ø控制长途电话的拨打电话的号码范围
Ø控制传真,modemhaoma
Ø启动registercall的选项,确保使用calltrackinglogs
Ø对PBX的硬件也要加以保护,要antitamper防止篡改。
10.remoteaccess:
控制风险:
回拨机制,认证的scrutiny和适当的认证
11.带外维护。
MOS
12.特殊的制造商特性
ØDatabaseupload/downloadutilities
ØDabaseexamine/modifyutilities
ØSoftwaredebugger/updateutilities
13.
审计信息安全管理框架
一、审计信息安全管理框架
1.检查书面策略,流程和准则
2.逻辑访问安全策略
3.正式的安全意识和培训
4.dataowership
5.dataowner
6.datacustodians
7.securityadminis