CISA笔记第五章.docx

CISA笔记第五章.docx

《CISA笔记第五章.docx》由会员分享，可在线阅读，更多相关《CISA笔记第五章.docx（22页珍藏版）》请在冰豆网上搜索。

CISA笔记第五章

一、第五章信息资产保护（31%）

资产的三个属性CIA（confidentiality、Integrityandavailability）机密性、完整性、可用性。

1目标

评价信息资产安全控制措施的设计、实施和监测以及物理访问控制从而保证信息资产的CIA。

1、逻辑访问的设计、实施和监测。

2、评价网络基础设施的安全性，以保证网络所传输信息的机密性、完整性和可用性及授权使用。

3、评价环境控制的设计、实施和监督，以保证信息资产得到了充分的保护。

4、评价物理访问控制。

5、评价存储、检索、传送和处置机密信息资产的过程与程序。

2知识要点

1.设计、实施和监督信息安全的技术

1）评估威胁与风险

2）敏感性分析

3）隐私影响分析

2.对用户访问授权的系统功能和数据的行为进行识别、鉴定及限制的逻辑访问控制技术。

1）动态口令

2）挑战相应机制

3）菜单限制

4）定义安全轮廓

3.逻辑访问安全结构

1）单点登录

2）用户识别策略

3）身份管理

4.攻击方法和技术

1）黑客

2）身份伪装

3）特洛伊木马

4）拒绝服务

5）垃圾邮件

5.对安全事件的监督与响应

1）事件升级程序

2）紧急事件响应团队

6.网络和internet安全设备、协议和技术

1）SSL

2）SET

3）VPN

4）NAT

7.入侵检测系统和防火墙的配置、实施、运行和维护

8.加密技术

1）AES

2）RSA

9.公钥基础设施PKI的各组成部分

1）CA

2）RA

3）数字签名

10.病毒检测工具和控制技术

11.安全测试和评估工具

1）渗透测试

2）脆弱性扫描

12.环境保护实务和设备

1）灭火设备

2）冷却系统

3）漏水传感器

13.物理安全系统和实务

1）生物测定技术

2）访问识别智能卡

3）加密锁

4）身份标识

14.数据敏感性分类方案

1）公开

2）机密

3）隐私

4）敏感数据

15.语音通讯安全

1）Voiceoverip

16.存储、检索、传送和处置机密信息资产的过程与程序

17.与使用移动和无线设备相关的控制与风险

1）PDA

2）USB设备

3）蓝牙设备

3知识点描述

3.1符合组织业务要求的目标：

1、保证存储在计算机系统上的信息完整

2、保护敏感信息的机密性

3、遵守保护个人数据隐私的责任与义务

4、保证信息系统的持续可用性

5、保证符合法律、法规的要求

3.2信息安全管理的角色与职责：

1、信息安全委员会（IS）securitycommittee：

由不同级别的代表定期开会，讨论制定公司的信息安全方针、策略及程序。

正式会议应当确定授权调查范围、会议记录、会后的行动方案。

2、执行经理层：

负责对所有信息资产保护，政策框架的发布与维护。

3、安全专家咨询顾问：

负责检查组织的安全计划。

其组织中的成员不仅来自于信息部门也来自于业务部门。

安全顾问应向首席安全官提供一些安全问题的见解以及业务部门进行沟通从而确定安全计划是否符合业务部门的目标。

4、首席隐私官：

有公司一位高级官员承担，负责对信息安全策略的说明与强制实施，从而保护员工及客户的隐私信息。

5、首席信息安全官：

有一位高级公司官员担任，负责对信息安全策略饿说明与强制实施，从而保证公司的信息资产。

他比首席安全官负责的范围更广，首席安全官只负责组织内的物理安全。

6、过程所有者：

保证所采用的信息安全措施与组织的政策一致，并对安全控制措施进行维护，。

7、用户：

遵守信息安全政策所指定的程序，包括阅读并遵守相关安全政策，保护系统登录ID与口令的安全，用户终端屏幕在不用时需要加以锁定，对可以的违反安全的事件要及时报告，为保护物理安全，采取以下措施：

锁门、保护好钥匙、不泄露电子锁密码、对不熟悉的访问者保护警觉。

8、遵守适用的法律与规则

9、遵守隐私保护政策

3.3信息安全管理的关键成功因素

针对不同的管理层次设计不同的培训内容。

1、普通用户：

加强信息安全意识的培训。

2、应用开发人员：

技术安全培训。

3、管理人员：

了解信息安全管理到底能为组织业务带来多大的贡献。

3.4信息安全与外部团体

任何外部各方对组织信息处理设施的访问、对信息资产的处理和通讯都应予以控制。

在外部各方访问前，组织需要进行风险评估；当组织从外部获得产品和服务时，或组织向外提供产品和服务时，也要进行风险评估，以确定安全影响和控制要求。

组织要与外部各方就采取的控制措施达成一致，并在正式的合同中进行明确定义。

外部团体可能包括：

Ø服务提供商：

ISP、网络提供商

Ø专业服务团体，网络安全服务、IT运维和支持服务等

Ø客户

ØIT设备外包和运行外包方，如IT系统、呼叫中心运营等

Ø管理与业务咨询顾问、审计师

Ø开发人员和服务交付人员

Ø清洁工、餐饮人员及其他外包服务支持人员

Ø临时人员、学生实习及其他短期聘用人员

可签订保密协议以帮助降低与外部团体相关的风险。

3.5识别外部团体相关的风险

关于外部方访问的风险识别应考虑：

1.外部团体访问信息处理设施：

Ø物理访问，例如进入办公室、机房、档案室；

Ø逻辑访问：

访问组织数据库，信息系统；

Ø组织和外部团体之间的网络连接，例如：

固定连接、远程访问；

Ø现场访问还是非现场访问；

2.所涉及信息的价值和敏感性，及对业务运行的关键程度；

3.为保护不希望被外部团体访问到得信息所需的控制措施；

4.与处理组织信息有关的外部团体人员；

5.能够识别组织或成员如何被授权访问、如何进行授权验证、多长时间需要在确认；

6.外部团体在存储、处理、传送、共享和交换信息过程中所使用的不同的方法和控制措施；

7.外部团体需要时无法访问，输入或接受不正确的或误导的信息的影响；

8.处理信息安全事件和潜在破坏的惯例、程序，和当发生信息安全事件时外部团体持续访问的条款和条件；

9.应考虑与外部团体有关的法律法规要求和其他合同责任；

10.这些安排对其他利益相关人可能造成什么影响。

3.6信息资产清单和分类

管理层应当维护一份详细的信息资产列表，然后才决定对资产采取什么样的保护。

组织根据需要，可以对资产的机密性、完整性和可用性进行赋值，最终用户和安全管理人员可以根据资产分类标准进行风险评估，并作为决定授权与访问权限的依据。

信息资产清单包括：

1）对资产的识别与定义

2）对组织的相关价值

3）位置

4）安全或风险分类

5）所属资产组

6）资产所有者

7）指定的保管人员

资产分级表：

分级类型

定性分级程度

相对较粗的分级

高中低

详细分级

可忽略、低、中、高、非常高

更详细的分级

0、1、2、……10

数据资产分类需定义：

1）信息资产的所有者

2）谁有访问权限，访问什么内容

3）被授予的访问级别

4）谁负责决定访问权限与访问级别

5）访问需要得到什么样的批准

6）安全控制的深度与广度

当决定谁有权利访问生产数据、测试数据和应用程序时，对数据的分类就显得格外重要，例如应用系统开发人员与系统人员不能具有访问生产数据的程序和权利；其他人员要访问生产数据和程序，需要得到数据所有者的授权，授权原则是根据数据分类级别及“知所必需”的原则。

P314

3.7系统访问许可

1、定义：

逻辑访问：

通过一定的技术方法去控制用户可以利用什么样的信息、程序、实务，修改什么样的信息与数据。

物理访问：

可以限制人员进出敏感区域，如机房设备区、存储介质区、数据中心、办公区等

2、控制手段：

逻辑访问：

内置在操作系统中、通过单独的访问控制软件进行调用、内置在应用系统、数据库和网络控制设施中。

物理访问：

胸牌、内存卡、门锁、防护墙、生物测定设备。

3、建立方法

（1）建立标准，应按照最小授权原则和职责分离原则来分配

（2）授权，用户访问能力一般是由安全管理员按照一系列既定规则来实施的，这些规则定义了用户/组以什么样的级别访问资源，组织信息系统的访问授权应当基于知所必需的原则

（3）审核，保证授权规则在组织中一直是有效的

3.8强制性访问控制与自主性访问控制

强制性访问控制：

是一种强制实施组织中有关信息共享的安全政策或安全规则的机制要求对组织安全政策与规则的遵守是强制性的。

自主性访问控制：

是一种有数据所有者自定义共享信息访问规则的机制。

用户可以自主定义。

3.9隐私管理事项与审计师的角色

IS审计师审计隐私评估，评估包括：

1.识别与组织业务流程有关的、可确认的个人信息；

2.记录对个人可确认信息的收集、使用、泄露和破坏等事宜；、

3.为现有的隐私事项建立了可确认性的责任制度；

4.是基于对隐私风险和控制措施的理解，制定正式政策、运维实施和系统设计决定的基础。

3.10处理与客户有关的安全问题

3.11处理第三方协议中的安全问题

3.12人力资源安全与第三方团体

1.安全职责应于任用前在适当的岗位描述、任用条款和条件中指出；

2.所有要任用、承包方人员和第三方人员的候选者应充分的审查，特别对敏感岗位的成员。

3.使用信息处理设施的员工、承包方人员和第三方人员应签署关于他们安全角色和职责的协议。

人员筛选

任用条款和条件

任用中

任用终止或任用变更

侧小访问权

3.13计算机犯罪与暴露风险

3.14安全事件的处理与响应

计算机安全事件可能会造成信息机密性丧失、完整性的破坏、拒绝服务、对系统的非授权访问、对系统的滥用与损害等，典型的安全事件包括病毒攻击、内部人员以及外部组织的入侵等。

为了降低安全事件的危害，从安全事件中吸取教训，组织应当具备应急响应能力，应急处理与响应一般有以下步骤：

1.计划与准备

2.检测

3.启动

4.评价

5.限制

6.根除

7.响应

8.恢复

9.关闭处理流程

10.事件后续检查

11.事件总结

组织应当为安全事件处理与响应建立组织与管理措施，协调与统一安全时间处理的角色与责任，包括以下方面：

1.与业务流程负责人进行沟通的协调人员；

2.对事件响应能力进行监督的主管；

3.管理单个事件的经理

4.负责检测、调查、牵制和恢复安全事件的专家；

5.协调进行安全事件调查的业务专家；

6.业务单位负责人出面协调与联络

IS审计师保证应急响应队伍能积极主动地协助用户降低由于安全故障引起的风险，同时帮助用户预防安全事件的发生，还应当确保组织建立了正式的书面应急计划，对常见的、与安全相关的事件有明确的反映程序。

需要及时反应的安全事件有：

1.病毒的传播；

2.对WWW页面的篡改；

3.对组织通告的滥用；

4.对审计踪迹非授权访问的报警；

5.来自入侵检测系统的安全攻击报警；

6.对硬件与软件的盗窃；

7.系统管理员口令被盗窃；

8.对物理安全的侵害；

9.在PC上发现间谍软件，诽谤信息；

10.司法取证调查。

3.15逻辑访问

不充分的逻辑访问控制增加了暴露风险可以带来的潜在损失。

3.15.1逻辑访问暴露风险

技术型暴露是来自于意外事件或者有目的对逻辑访问控制弱点进行利用这两种类型；技术性暴露风险是指对网络、操作系统、数据库及应用系统四个层面的数据、软件进行的非授权操作。

常见的攻击方法和技术有：

3.15.1.1修改攻击Alteration-Attack

指非授权的修改从而影响数据或代码的完整性，如软件开发生命周期阶段或在程序的二次开发阶段对代码进行非授权的修改。

3.15.1.2僵尸网络Botnets

是指采用一种或多种传播手段，将大量主机感染病毒、木马和留下后门，从而在控制着和被感染主机之间所形成的一个可一对多的控制网络。

3.15.1.3暴力破解brute-forceattack

利用字典生成器生成超级字典，或直接利用暴力破解工具，进行不断地猜测及测试，直到得到一组可以登录系统的帐号和密码为止。

3.15.1.4拒绝服务攻击Denialofserviceattack

攻击者远程操纵大量被其控制的计算机，在某一时间对目标服务器同时发出大量服务请求，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪，而停止向正常用户提供网络服务。

3.15.1.5拨号穿透攻击Dial-inpenetrationattacks

也叫战争拨号，是一种自动拨号程序，用来侦测出哪个号码是用来联机上网的。

3.15.1.6窃听eavesdropping

包括在网络中种植木马程序、通过硬件或软件工具，截获在通讯线路上传输的数据、利用通信设备在工作过程中产生的明文方式传输数据，入侵者透过窃听可以获得很多敏感信息。

3.15.1.7电子邮件炸弹与垃圾攻击emailbombing/spamming

指的是用伪造的IP地址和电子邮件地址向同一信箱发送成千上万封内容相同的垃圾邮件，致使受害人邮箱被炸。

3.15.1.8电子邮件欺骗emailspoofing

攻击者佯称自己为系统管理员，给用户发送邮件要求用户修改口令活在附件中加载病毒或木马程序。

3.15.1.9洪泛攻击

是DOS中的一种，通过向一个网络发送服务广播巨量的数据包，造成网络和服务中断，广播包会堵塞主机的存储缓冲区从而影响正常的链接请求。

3.15.1.10中断攻击

攻击者执行恶意的操作使操作系统去调用并执行一个特定的系统命令。

3.15.1.11特洛伊木马Trojanhorse/backdoors

指一些带有恶意的、欺诈性的代码隐藏于已授权的计算机程序；当程序启动时也启用这些隐藏的代码。

典型的例子是浏览器在浏览一些恶意网站时，木马程序被下载到访问者的计算机上，木马可自动嗅探用户口令，也能使远程入侵者控制用户计算机，获得计算机中信息或执行二进制文件，并可能以此为跳板发起对其他计算机的攻击。

3.15.1.12逻辑炸弹

是指在满足特定的逻辑条件时按某种不同的方式进行，对目标系统实施破坏的计算机程序。

在正常条件下检测不到这种炸弹，但如果特定的逻辑条件出现将会启动炸弹程序，破坏计算机功能或数据。

3.15.1.13陷阱门trapdoors

将XX的非法出口置入操作系统或应用系统程序中，以允许执行特殊指令。

陷阱门的存在是因为程序员在编写代码时，插入一段特殊的、可以允许他们绕过系统安全控制的代码，程序员这么做是为了在开发过程方便对系统的调试和维护操作，一般在开发工作结束前，应当把这些代码删除。

3.15.1.14中间人攻击Man-in-the-middlAttack

攻击者插入到两个合法设备之间，通过截取并操纵两个设备之间的通讯过程来获得对蓝牙设备的非授权访问。

3.15.1.15身份伪装

伪装成系统可识别的合法人员的身份，访问敏感的信息或计算机网络资源。

3.15.1.16消息修改

攻击者从网络上扑捉到消息，并进行非授权修改和删除，改变其中的序列号，然后对捕捉到得信息延迟发送。

3.15.1.17网络分析networkanalysis

黑客使用踩点方法取得完整的网络安全结构信息。

在这个阶段，黑客可能使用多项技术及工具，以取得内部网络的信息。

3.15.1.18包重放

3.15.1.19数据泄露（dataleakage）

敏感信息从计算机数据泄露出去，打印到纸上的数据信息、计算机磁盘、磁带被窃或被拷贝从而造成数据泄露。

数据的泄露可以不留痕迹，因此很难察觉。

3.15.1.20计算机病毒Virus

计算机病毒是指人为且故意置入计算机的程序，它可自行复制并感染其他计算机中的程序，通过计算机磁盘的共用，通信线路数据的传输或对软件、硬件的质检操作都有可能感染病毒。

分为良性病毒和恶心病毒。

良性病毒：

对源程序不做修改，一般只是进入内存，侵占一部分内存空间，消耗CPU资源，对系统危害较小。

恶性病毒：

会对计算机的软硬件进行恶意攻击，使系统遭到不同程序的破坏。

分为两类，依赖于主程序的病毒，可独立存在的病毒。

3.15.1.21计算机蠕虫Worms

蠕虫是一种破坏性程序，可破坏计算机内数据或是使用大量计算机及通信资源，但不能像计算机病毒那样自行复制，比如“红色代码”“尼姆达”等为蠕虫病毒，他们利用微软视窗操作系统的漏洞，计算机感染这一蠕虫后，会不断利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

3.15.1.22间谍软件/恶意软件Spyware/mALWARE

恶意软件类似于计算机病毒，例如键盘记录器和系统分析器等，它们能分析敏感数据。

3.15.1.23关闭计算机computershutdown

通过直接连接或远程连接到系统的终端或微机关闭计算机。

只有知道系统管理员口令的用户才能启动系统那个关闭进程。

控制措施：

在主机操作系统参数中设置只有通过机房的某一控制台发出的指令才能关闭计算机，或通过强认证技术来严格认证系统管理员身份。

3.15.1.24战争驾驶wardriving

针对无线网络的一种新的攻击方式，黑客携带配有802.11无线网络卡及GPS装置的笔记型计算机，开着车四处寻找没有防护措施的无线局域网进行攻击。

或破解加密控制得到访问控制权限。

3.15.1.25战争漫步

战争漫步除了不使用车辆外，与战争驾驶非常接近，潜在的黑客手持设备或PDA在附近漫步以获取无线网络信息。

目前已经出现了若干用于这类迷你设备的免费黑客软件。

3.15.1.26战争粉迹

指在墙角、墙面等处用粉笔标记处一系列的符号，以指出附近的无线访问点。

这些标记是用来指出热区，即可为其他计算机用户用来免费滴无线连接互联网，战争粉迹最早是由来自于美国的失业游民发明的，他们利用粉笔标记来指示哪一个家庭友好。

3.15.1.27尾随法piggybacking

指尾随合法用户进入限制区，或者采取技术性手段，非法用户利用合法的通信连接进入计算机截取或修改传输中的信息。

3.15.1.28异步攻击Asynchronousattacks

多任务操作系统一般是通过异步执行功能为各种运行的程序提供服务。

3.15.1.29去尾法roundingdown

在一个计算机处理的交易中，将交易发生后计算出的金额中小数点后的余额删去一部分，并转入某个XX的账户，因为金额微小而往往不被注意。

色粒米技术Salamitechnique

类似于去尾法的舞弊行为，这种方法与去尾法的差异是：

去尾法是去除分的一部分，例如123.39，实施后为123.34，而色粒米技术是将尾数去掉或进位，如实施后为123.30或123.40.

3.15.1.30社会工程学

社会工程需利用人的薄弱点，通过欺骗手段而入侵计算机系统的一种攻击方法。

典型攻击手段有：

电话欺骗、垃圾搜寻Dumpsterdiving，肩窥shouldersurfing，防御社会工程最有效的办法就是在组织中不断进行安全意识教育与培训，使其了解社会工程的类型与风险，提高员工的安全防范意识，这种意识还要推广到信息系统有访问权限的第三方合作伙伴中。

3.15.1.31网络钓鱼phishing

IS审计师要检查组织是否建立了防范网络钓鱼意识与措施，

1.指导和教育用户提高对欺骗性电子邮件的识别和处理能力，使用户能谨慎地关闭那些值得怀疑的网页；

2.可以运用垃圾邮件处理工具对它进行隔绝，例如对web和电子邮件进行过滤；

3.建议公司定期对DNS进行扫描，以检查是否存在一个与公司已注册的相类似的域；

4.在公司发出的电子邮件中启动数字标识，可以指导用户对合法的商业邮件和恶意的垃圾邮件进行识别；

5.通过加入antiphishing.org分享如何处理这类问题的许多想法和思路。

3.15.1.32网络嫁接pharming

Pharming也是社会工程中的一种，它有入侵DNS的方式，将使用者引导到伪造的网站上，因此又称为DNS下毒。

DNS功能为将网站的IP地址转换为网址。

一旦DNS被入侵，使用者便经DNS的IP转换，不知不觉的被“引导”到一个伪造的网站，并让黑客有机会窃取个人的机密资料。

3.16熟悉组织的IT环境

IS审计师要有效地评估组织中的逻辑访问控制，必须充分理解组织的IT环境，以判断哪些是组织的高风险区域，哪些环节需要进行重点审核，并对审计活动进行有效规划与设计，审计师需要审核IT系统架构的各个安全层面，包括，网络层、操作系统层、数据库层和应用系统层。

3.17逻辑访问路径

3.17.1.1常规进入点

进入组织前端或后端系统的常规进入点与组织的网络与通讯基础设施相关，通过对系统进入点的管理可以控制对信息资源的访问。

常用的系统访问模式如下：

网络连接P330

3.18防火墙类型

防火墙总体来讲可分为三种类型：

包过滤防火墙，应用级防火墙、状态监测防火墙。

路由器包过滤防火墙

3.19加密

3.19.1私钥加密体系

私钥加密体系基于对称加密算法（symmetricencryption），对称加密是指发件人和收件人使用共同拥有的单个密钥，这种密钥即用于加密，也用于解密。

对称密钥是加密大量数据的一种有效的方法。

对称密钥算法：

3.19.1.1DES加密标准

最常用的私钥加密系统，以64bit位为分组对数据加密，其中8bit是奇偶校验，有效密钥长度为56bit。

目前DES已不再被认为是较强的加密算法，因为DES的密钥空间已经可以被大型计算机在一个相对较短的时间进行强力破解，例如一个民间团体利用56个小时破解了一个DES的56位密钥。

3.19.1.2AES加密标准

由美国国家标准与技术研究所NIST在2002年建立的高级数据加密标准AES。

AES是一个新的可用于保护电子数据的加密算法，是一个迭代的，对称密钥分组的密码，它可以使用128、192和256位密钥，并且勇于128位分组加密和解密数据。

新的AES将取代DES，称为对称加密体系的事实上的标准。

它是目前可获得的最安全的加密算法之一。

目前还没有已知的攻击可以在一个可接受的时间内破解AES。

私钥加密体系缺点：

如果密钥变换不安全，密钥的安全性就会丧失，如何使客户安全滴获取密钥成为一大难题。

网上资料：

　私钥加密算法使用单个私钥来加密和解密数据。

由于具有密钥的任意一方都可以使用该密钥解密数据，因此必须保护密钥不被XX的代理得到。

私钥加密又称为对称加密，因为同一密钥既用于加密又用于解密。

私钥加密算法非常快（与公钥算法相比），特别适用于对较大的数据流执行加密转换。

通常，私钥算法（称为块密码）用于一次加密一个数据块。

块密码（如RC2、DES、TripleDES和Rijndael）通过加密将n字节的输入块转换为加密字节的输出块。

如果要加密或解密字节序列，必须逐块进行。

3.19.2公钥加密体系

公钥加密体系是加密密钥和解密密钥为两个不同密钥的加密算法。

公钥密码算法不同于私钥密码算法，它使用了一对密钥：

一个用于加密信息，另一个用于解密信息，通信双发无需事先交换密钥就可以进行保密通信。

其中加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道。

这两个密钥之间存在着相互依存的关系：

即用其中任一个密钥加密的信息只能用另一个密钥进行解密。

若以公钥作为加密密钥，以用户私钥作为解密密钥，则可以实现多个用户加密的信息只能由一个用户解读。