最新CISP培训笔记.docx

1、最新CISP培训笔记2015-8-10PPT 信息安全保障 10信息安全保障1、中办27号文国家信息化领导小组关于加强信息安全保障工作的意见室信息安全保障工作的纲领性文件2、信息的安全属性CIA：保密性、完整性、可用性3、信息安全的范畴：信息技术问题、组织管理问题，社会问题，国家安全问题4、信息安全特征：系统性、动态性，无边界性、非传统性（最终保障业务的安全）5、信息安全问题根源： （信息战士和网络战士是最严重的）内因，过程复杂、结构复杂、应用复杂外因，人（个人威胁、组织威胁、国家威胁）和自然6、信息安全发展阶段通信安全COMSEC，信息窃取，加密，保证保密性、完整性计算机安全COMPUSEC

2、，操作系统技术信息系统安全INFOSEC，防火墙、VPN 、PKI公钥基础设施、信息安全保障IA，技术、管理、人员培训等网络空间安全/信息安全保障CS/IA，防御、攻击、利用，强调威慑7、传统信息安全的重点是保护和防御；信息安全保障是保护、检测和响应，攻击后的修复8、信息安全保障模型PDR 防护-检测-响应，安防措施是基于时间的，给出攻防时间表，假设了隐患和措施，不适应变化，时间 PPDR 策略-防护-检测-响应，突出控制和对抗，强调系统安全的动态性9、信息安全保障技术框架IATF，深度防御的思想，层次化保护，人、技术、操作，关注4个领域： 本地的计算机环境 区域边界 网络和基础设施 支撑性技

3、术设施10、信息系统：每一个资质中信息流动的总和，含输入输出、存储、控制、处理等。11、信息系统安全保障，从技术、管理、工程、人员方面提出保障要求12、信息系统安全保障模型 GB/T 20274保障要素4：技术、管理、工程、人员 生命周期5：规划组织、开发采购、实施交付、运行维护、废弃 安全特征3：保密性、完整性、可用性13、信息系统安全保障工作阶段确保信息安全需求、设计并实施信息安全方案、信息安全测评、检测与维护信息安全14、我国信息安全保障体系 建立信息安全技术体系，实现国家信息化发展的自主可控信息安全保障实践1、现状 美国CNNI国家网络安全综合倡议，3道防线 1、减少漏洞和隐患，预防入

4、侵 2、全面应对各类威胁，增强反应能力，加强供应链安全低于各种威胁 3、强化未来安全环境，增强研究、开发和教育，投资先进技术2、我国的信息安全保障战略规划，信息安全分：基础信息网络安全、重要信息系统安全和信息内容安全3、信息安全保障工作方法，信息系统保护轮廓ISPP（所有者角度考虑安保需求），信息系统安全目标ISST，从建设方制定保障方案4、确定信息系统安全保障的具体需求：法规符合性、风险评估、业务需求（只放前2个也对）5、信息安全测评对象：信息产品安全测评、信息系统安全测评、服务商资质、信息安全人员资质测评6、信息系统安全测评标准过程测评标准： GB/T 20274产品安全测评标准：CC G

5、B/T 18336信息安全管理体系ISMS1、ISMS信息安全管理体系，按照ISO 27001定义，基于业务风险的方法2、信息安全管理体系建设规划与建立、实施和运行、监视和评审、保持和改进3、ISMS的层次化文档结构一级文件，顶层文件，方针、手册二级文件，信息安全管控程序、管理规定性文件，管理制度、程序、策略文件三级文件，操作指南、作业指导书、操作规范、实施标准等四级文件，各种记录表单，计划、表格、报告、日志文件等4、ISMS方法：风险管理方法、过程方法5、风险管理方法风险评估是信息安全管理的基础，风险处理时信息安全管理的核心，风险管理是信息安全管理的根本方法，控制措施是风险管控的具体手段6、

6、控制措施的类别从手段来看，分为技术性、管理性、物理性、法律性等控制措施从功能来看，分为预防性、检测性、纠正性、威慑性等控制措施从影响范围来看，常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域7、PDCA循环，戴明环特点：按顺序进行，组织每部分及个体也可使用，适用任何活动8、ISO/IEC 27000标准族 共7个27001 信息安全管理体系要求，14个领域 ，新版的变动27002 信息安全控制措施实用规则，11个控制类，内容安全和风险评估不属于27004 信息安全管理

7、测量 ，度量指标9、常见的管理体系标准ISO 27001定义的信息安全管理系统ISMS , 国际标准信息安全等级保护 ， 公安部提出NIST SP800 ，适用美国联邦政府和组织10、管理者是实施ISMS的最关键因素11、ISMS建设P阶段 8步：确立边界和方针1-2、风险评估3-6、获得高层认可，编制适用性声明7-8D阶段 7步：制定风险处理计划，实施培训和教育计划C阶段 5步：审计和检查 A阶段 2步：实施纠正和预防，沟通和改进信息安全控制措施1、安全方针是陈述管理者的管理意图，高层承诺，是一级文件，具体的产品选型，技术实现问题不在方针中体现2、信息安全组织：内部组织、外部各方3、资产管理

8、：资产负责和信息分类，信息分类按照信息的价值、法律要求、对组织的敏感程度进行分类4、员工只要违反了规定，不论是否知悉，就要接受处罚5、符合性符合法律要求、符合安全策略和标准及技术符合性、信息系统审核考虑6、任用的终止：终止职责、资产的归还、撤销访问权7、人身安全是物理安全首要考虑的问题8、TEMPEST 抑制和防止电磁泄露9、机房建设，下送风，上排风10、备份是为了保证完整性和可用性11、电子商务服务，抗抵赖12、日志，管路员 读权限；系统员，写权限13、信息安全管理手册是一级文件，SOA适用性声明是一级文件，信息安全策略是一级文件，不描述具体操作的都是二级文件14、网闸，多功能安全网关，实现

9、网络物理隔离15、测试数据不需备份；生产数据不能做测试，脱敏处理才可以；测试完成后对平台和数据彻底清除16、程序源代码需访问控制，不得随意更改17、不鼓励对商用软件包进行变更，除非获得厂方的合法支持；不包括开源，外包软件开发： 源代码托管，第三方管理，不得使用，为了防止开发方倒闭信息安全标准化1、国际标准、国家标准、行业标准、地方标准2、标准化特点：对象是共同的、可重复的实物；动态性；相对性；效益来自标准使用3、标准化原则：简化原则、统一化、通用化、系列化4、国家标准代码，GB/Z在实施后3年内必须进行复审，结果为延长3年或废止GB 强制性国家标准GB/T 推荐性国家标准GB/Z 国家标准化指

10、导性技术文件5、ISO的机构包括TC技术委员会、SC分技术委员会、WG工作组、特别工作组6、IEC 国际电工委员会，和ISO成立JCT1联合技术委员会7、ISO/IEC JCT1 SC27（分技术委员会），下设5个工作组，对口中国TC260（CISTC，信息安全标准化TC）。TC485（全国通信标准化TC）8、IETF Internet工程任务组，贡献RFC系列9、SAC 国家标准化管理委员会，国家质监总局管理10、采标等同采用IDT，内容无变化，审核人由国外改为国家修改采标MOD非等效采标NEQ11、我国的信息安全标准基础标准、技术与机制标准、管理标准、测评标准、密码技术标准、保密技术标准

11、技术与机制：标识与鉴别、授权与访问控制、实体管理、物理安全12、TCSEC 美国安全评测标准低到高 D、C（C1C2）、B（B1B2B3）AB1开始强制访问控制，B2开始隐蔽信道控制13、ITSEC欧洲的评测标准 FC美国联邦标准14、CC标准 GB/T 18336 信息技术安全性评估准则，主要框架取自ITSEC 和FC，不涉及评估方法学，重点关注人为威胁，定义了保护轮廓PP 和安全目标 ST，PP创建安全要求集合，ST阐述安全要求，详细说明一个TOE评估对象的安全功能CC分3部分，18336.1 /.2 / .3 简介和一般模型；认证级别，即评估保证级EAL由低到高为7个级别。目标读者：TO

12、E（评估对象）的客户，TOE的开发者，TOE的评估者，其他读者组件是构成CC的最小单元评估对象，涉及产品、系统、子系统包：满足一组确定的安全目的而组合在一起的一组可重用的功能或保证组件,如EAL15、信息安全等级保护管理办法等级保护标准族的5级划分2级以上到公安机关备案，3级开始对国家安全造成损害定级指南：受侵害的客体，客体的侵害程度定级、备案、安全建设整改、等级测评、检查16、NIST SP 800，应用于美国联邦政府和其他组织，6个步骤17、信息安全风险管理1、风险是威胁源利用脆弱性造成资产不良的可能性，发生概率和产生后果。风险三要素：资产、威胁、脆弱性2、风险的构成5方面起源（威胁源）、

13、方式（威胁行为）、途径（脆弱性）、受体（资产）、后果（影响）3、信息安全风险只考虑对组织有负面影响的事件4、风险管理范围和对象：信息、信息载体、信息环境5、风险管理是识别、控制、消减和最小化不确定因素的过程，风险只能消减，不能消除6、关于开展信息安全风险评估工作的意见7、国办要求一次等保测评2个报告等保测评报告（公安部）和风险评估报告（国家信息安全测评中心发布的模板）8、IS风险管理的主要内容 ，4阶段、2贯穿背景建立、风险评估、风险处理、批准监督 ； 监控审查、沟通咨询a)背景建立四个阶段风险管理准备：确定对象、组建团队、制定计划、获得支持、信息系统调查：信息系统的业务目标、技术和管理上的特

14、点信息系统分析：信息系统的体系结构、关键要素信息安全分析：分析安全要求、分析安全环境b)风险评估要素识别：威胁识别、脆弱性识别、识别已有的控制措施c)风险处理-处置方法，（注意顺序）接受风险、降低风险（安全投入小于负面影响价值的情况下采用）、规避风险、转移风险d)批准监督 批准，残余风险可接受，安措能满足业务的安全需求；监督，环境的变化e)监控审查和沟通咨询需贯穿整个阶段，监控过程有效性、成本有效性、审查结果有效性和符合性9、信息安全风险管理主要内容a)风险评估形式自评估为主，自评估和检查评估相互结合、相互补充国企以自评估为主，自评估、检查评估都可以委托第三方继续b)风险评估方法定性风险分析方

15、法，定量风险分析方法，半定量风险分析方法i.定性分析矩阵法，根据后果的可能性和影响作交叉ii.定量分析1)评估资产 AV2)确定单次预期损失额SLE ，一种风险带来的损失，暴露系数EFSLE = AV * EF3)确定年发生率ARO，一年中风险发生的次数4)年度预期损失ALEALE = SLE *ARO5)安全投资收益ROSI ROSI = 实施前的ALE 实施后的ALE 年控制成本iii.半定量分析相乘法，在矩阵法上改进，影响和可能性赋值后相乘c)风险评估实施流程风险评估准备：计划、方案、方法工具、评估准则等风险要素识别：资产、威胁、脆弱性识别与赋值，确认已有的安措风险分析：如下公式风险结果

16、判定：评估风险的等级，综合评估风险状况10、信息安全法律框架1、人大颁布法律，宪法、刑法、国家安全法、国务院-行政法规，地方人大-地方性法规；地方人民政府-规章（条例、办法）2、刑法-286、286、287条285：侵入，3年以下286：破坏，287：利用计算机进行犯罪，3、治安管理处罚法，未构成犯罪，15天-1月4、国家安全法，5、保守国家秘密法，国家保密局出版，国家秘密：，可以不受时间约束，但需制定解密条件。涉密人员，脱密期自离岗之日算绝密 30年机密 20年秘密 10年泄露国家机密就是犯罪，无故意、过失之分国家秘密：国家安全和利益，一招法定程序确定，一定时间内限一定范围人员知道的6、电子

17、签名法，第一步信息化法律，属于电子签名专人所有；由其控制；电子签名的任何改动都能够被发现；数据电文内容和形式的任何改动能够被发现7、计算机信息系统安全保护条例，行政法规，公安部主管相关保护工作。8、商用密码管理条例，涉及国家秘密，技术属于国家秘密，不对个人使用密码使用进行约束，国家密码管理委员会9、信息自由法10、国家信息化领导小组关于加强信息安全保障工作的意见27号文，提出5年内的保障体系，主要原则11、2级以上系统备案，3是12、CISP职业道德a)维护国家、社会和公众的信息安全b)诚实守信，遵纪守法c)努力工作，尽职尽责d)发展自身，维护荣誉应急响应与灾难恢复1、应急响应组织有5个功能小

18、组：领导小组、技术保障小组、专家小组、实施小组和日常运行小组2、CERT计算机应急响应组，美国的。FIRST事件响应与安全组织论坛3、CNCERT国家计算机网络应急技术处理协调中心4、信息安全事件7类，4个级别，1-4，特别重大事件，重大事件，较大事件，一般事件。分级3要素：信息系统的重要程度，系统损失，社会影响；5、应急响应的6个阶段准备、确定资产和风险，编制响应计划，检测、确认事件是否发生遏制、限制影响范围根除、依据计划实施根除恢复、跟踪总结6、计算机取证5步骤准备、保护、提取、分析、提交7、应急响应计划的几个阶段a)应急响应需求分析b)应急响应策略的确定c)编制应急响应计划文档d)应急响

19、应计划的测试、培训、演练和维护8、DRP灾难恢复计划、DCP灾难恢预案、BCM业务连续性管理9、BCP业务连续性计划，包含：业务恢复计划、运行连续性计划COP、事件响应计划IRP、应急响应计划ERP、人员紧急计划OEP、危机沟通规划CCP、灾难恢复计划10、RPO恢复点目标，系统和数据必须恢复到的时间点要求，代表数据丢失量11、RTO恢复时间目标，系统从停顿到恢复的时间要求，12、备份、备份数据的测试，是恢复的基础13、灾难恢复规划a)灾难恢复需求分析：风险分析RA、业务影响分析BIA、确定恢复目标b)灾难恢复策略制定：制定恢复策略c)灾难恢复策略实现：实现策略d)灾难恢复预案的制定和管理，落

20、实和管理14、灾难恢复级别，由低到高分6级，1最低，7个资源要素第1级：基本支持第2级：备用场地支持第6级：数据零丢失和远程集群支持15、灾难恢复存储技术DAS直接附加存储、NAS网络附加存储、 SAN存储区域网络16、灾难恢复备份技术 全备份、增量备份（仅备份数据）、差分备份（全备后的增备，数据和文件）17、备份场所冷站（有空间，基础设施，无设备），温站（包含部分或所有的设备、资源），热站（包含了所有设备）18、数据备份系统备份的范围、时间间隔、技术和介质、线路速率及设备的规格19、教育、培训和演练在灾难来临前使相关人员了解灾难恢复的目标和流程，熟悉恢复操作规程20、根据演练和演习的深度，可

21、分为数据级演练，应用级演练，业务级演练等21、说道ISO 27001：2013信息安全工程1、CMM能力成熟度模型，面向工程过程的方法，定义了5个成熟度等级初始级、可重复级、已定义级、已管理级、优化级2、信息安全工程解决的是“过程安全”问题3、信息安全建设必须同信息化建设“同步规划、同步实施”，“重功能、轻安全”，“先建设、后安全”都是信息化建设的大忌4、系统工程思想，方法论，钱学森提出，涵盖每一个领域霍尔三维结构，时间维、知识维、逻辑维5、项目管理，有限资源下，对项目的全部工作进行有效管理6、信息安全工程实施， 5个阶段发掘信息保护需求、定义系统安全要求、设计系统安全体系结构、开发详细安全设

22、计、实现系统安全7、需求阶段要建立确认需求，实施阶段不要确认需求8、信息安全工程监理模型3个组成：监理咨询阶段过程、监理咨询支撑要素、管理和控制手段、管理和控制手段：质量控制、进度控制、成本控制、合同管理、信息管理、组织协调9、SSE-CMM 系统安全工程能力成熟度模型，强调过程控制，评估方法SSAM帮助获取组织选择合格的投标者帮助工程组织改进工程实施能力帮助认证评估组织获得评估标准10、SSE-CMM体系结构，两维模型a)横向“域”维，表示需执行的安全工程过程；由过程区域PA构成。基本实施BP 构成 过程区域PA（22个）再构成 过程类（安全工程过程类、组织管理过程类、项目管理过程类），安全

23、工程类描述安全直接相关的活动b)纵向“能力”维，表示执行域维中各PA的能力成熟度级别，由公共特性CF组成。通用实施GP 构成 公共特征CF 再构成 能力级别（6个级别，0-5）， 0 未实施1 非正规执行，个人的成熟角度上2 计划与跟踪，项目成熟的角度上，带执行的都是2级的（计划、规范化、跟踪、验证执行）3 充分定义，组织层面的成熟4 量化控制5 持续改进11、信息安全工程过程类a) 11个PA，分成风险过程4（评估威胁、评估脆弱性、评估影响、评估安全风险）、工程过程5（确定安全需求、提供安全输入、管理安全控制、监控安全态势、协调安全）、保证过程2（验证和证实安全、建立保障论据）b)保证过程是

24、指安全需要得到满足的信任程度，验证和证实安全为建立保证 论据提供支撑12、数据采集方法：问卷、访谈、证据复审；13、SSAM评估过程：规划、准备、现场、报告安全漏洞与恶意代码1、漏洞的定义存在于评估对象（TOE）中违反安全功能要求的弱点（1999年，ISO/IEC15408（GB/T18336）2、业务数据不是漏洞的载体，漏洞本身不会产生危害3、漏洞发现静态漏洞挖掘（不运行，有源代码）、动态漏洞挖掘（运行）动态挖掘：模糊测试、动态污染传播4、补丁分类：文件类型方面（源代码形式、二进制形式），内存角度（文件补丁、内存补丁）5、恶意代码病毒：可感染，传播性，非独立性蠕虫：可感染，独立型，木马：非传

25、染性，独立型后门：非传染，C/S，B/S6、冲击波（MSBlaster）感染后 ，不能正常浏览网页，系统不断重启，右击功能失效7、震荡波感染后，系统倒计60秒重启8、随系统启动而加载、随文件执行加载9、注册表HK_LocalmachineHK_CurrentUser10、恶意代码检测技术特征码扫描、沙箱技术、行为检测11、病毒不感染txt文档12、蜜罐、蜜网13、士大夫软件安全开发1、SDL安全开发生命周期，将软件开发生命周期分为7个阶段（培训、要求、设计、实施、验证、发布、响应），17项安全活动。2、MiniFuzz是动态分析工具3、SSF软件安全框架：监管、信息/情报、SSDL接触点、部署

26、4、CLASP综合的轻量应用安全过程5、SAMM 4个核心业务功能：治理、构造、验证、部署，4个成熟度级别 0-36、安全设计阶段尤为重要7、所有的验证工作须放在服务器端，8、STRIDE建模S 假冒身份/欺骗标识 T篡改数据R抵赖 I信息泄露D拒绝服务 E权限提升9、EIP指令指针寄存器，栈是由程序自动生成的10、缓冲溢出解决方法编码避免缓冲区溢出、使用替代的安全函数或库函数、使用更新更安全的编译环境、非执行的堆栈防御11、代码审核12、Coverity 审核C Fortify审java13、渗透测试是授权的，入侵是非授权的14、日志的相关概念15、浏览16、安全攻击与防护1、嗅探、监听、钓

27、鱼属于被动攻击手段2、黑客攻击的最后动作：清除痕迹3、端口号DNS 53 ，url查询时使用UDP53，DNS域传送使用TCP53FTP 21 ，TCP协议HTTP 80 ,TCPTELENT 23 ,TCPSMTP 25 , TCPPOP3 110，TCPSNMP 161162 ，UDP4、集成化的漏洞扫描器NessusShadow Security Scanner eEye的Retina Internet Security ScannerGFI LANguard 专业web扫描软件IBM appscanAcunetix Web Vulnerability数据库漏洞扫描器ISS Databa

28、se Scanneroscanner Oracle数据库扫描器Metacoretex 数据安全审计工具5、ARP欺骗实现的重要原因无状态、无需请求可以应答，以ARP缓存实现6、拒绝服务攻击SYN Flood 、UDP Flood、Tear drop、Ping of death（smnp协议） 、Smurf、Land7、SQL注入在服务器端执行， 因对用户的输入合法性没有进行过滤8、SQL注入防御：白名单、黑名单、部署防SQL注入系统或脚本9、跨站脚本在浏览器上执行，攻击浏览器10、日志状态代码描述拒绝服务攻击攻击通信方式：双向通信方式、单向通信方式、间接通信方式11、私有IPA类 10.0.0

29、.0 10.255.255.255B类 172.16.0.0 172.31.255.255C类. 192.168.0.0 192.168.255.25512、ICMP flood是ping风暴攻击，单纯向受害者发送大量ICMP回应请求消息13、DOS工具Trinoo 分布式DOS工具14、BotNET傀儡网络，IRC协议，端口TCP 666715、蠕虫的攻击手段，缓冲区溢出攻击、格式化字符串攻击、拒绝服务攻击、弱口令攻击16、方法鉴别与访问控制1、鉴别类型单项鉴别（输密码）、双向鉴别（证书）、第三方鉴别2、鉴别系统的组成被验证者 P ；验证者V ；可信赖者TP，参与鉴别3、鉴别的方法基于你所知

30、道的（口令、挑战-应答）、基于你所拥有的（物品，如磁卡，IC卡）、基于你的个人特征（笔记、虹膜、指纹、人脸、语音）双因素、多因素认证（银行卡取款是多因素）4、硬件存储器加密，不保存任何明文5、软件通过双因素认证支持DES对称加密、3DES非对称加密和RSA等密码算法6、错误的拒绝率可以最大化防止侵入7、CER交叉错判率，错误的拒绝率和错误接受率构成8、访问控制：针对越权使用资源的防御措施9、访问控制模型：自主访问控制、强制访问控制、基于角色的访问控制10、访问控制的过程：鉴别、授权11、用户等级（主体）信息等级（客体），能读12、用户等级（主体）信息等级（客体），能写13、访问控制模型的组成：主体、客体、访问控制实施、访问控制决策14、访问控制模型a)DAC自主访问控制模型：矩阵模型，行是访问权限，列式操作权限。访问控制表ACL（在客体），集中式系统、访问能力表CL（在主体），分布式系统。优缺点