0x00 前言

安全基础架构中主要的安全目标和宗旨通常是指三元组CIA,保密性,完整性和可用性

0x01 保密性

什么是保密性?

保密性是指为保障数据、客体或资源保密状态而采取的措施。

保密性的主要目的是?

阻止或最小化未经授权的数据访问。

什么情况下可能会违反保密性

  • 恶意攻击
  • 人为错误,用户或者管理员的不当行为
  • 安全策略配置有误。

有哪些控制措施可以增强或者有利于保密性

  • 加密
  • 填充网络流量
  • 严格的访问控制
  • 严格的身份认证程序
  • 数据分类
  • 充分的人员培训

什么是填充网络流量

就是正常数据里填充一些无用的信息,其实用混淆这个词来形容会更好一点。

什么是敏感性

敏感性是指信息的特征,这些特征的数据一旦泄露就会导致伤害或者损失。比如一些比较重要的数据,身份id,password,生物特征等,实际上对应的就是密级,针对不同的密级有不同的处理手段和方法。

什么是判断力

判断力是一种决策行为,操作者可影响或控制信息泄露,以将伤害或损失程度降到最低。

这里的判断力实际上对应的是风险评估能力,就是可以通过现况来分析判断出可能存在的风险,通过对风险的管控从而达到降低伤害或者损失的目的。

什么是关键性

信息的关键成都是关键性的衡量指标,关键性和敏感性应该是息息相关的,都代表了数据的重要程度。

0x02 完整性

什么是完整性

完整性是保护数据可靠性和正确性的概念。

完整性的目的

防止了未经授权的数据更改,预防故意和恶意的未经授权的活动以及授权用户的误操作。

如何校验完整性

  • 防止未经授权的主体进行修改
  • 防止授权主体进行的未经授权的修改
  • 权限逻辑清晰

0x03 可用性

什么是可用性

可用性意味着授权主体被授予实时的,不间断的客体访问权限。

可用性面临的问题

  • 人为因素
  • 恶意攻击
  • 环境因素
  • 硬件因素

0x04 DAD&真实性&不可否认性和AAA服务

什么是DAD

DAD三元组由 泄露(disclosure)、修改(alteration)、破坏(destruction)组成。代表CIA三元组中安全保护的失败的情况。

什么是AAA?

AAA服务是所有安全环境中的一个核心安全机制。三个A分别代表身份认证(authentication),授权(authorization)和记账(accounting)

实际上这三个字母代表了五个不同的内容:

  • 标识 声明的身份
  • 身份认证,认证身份
  • 授权 对身份授权
  • 审计 记录系统和主体相关的事件喻活动日志
  • 记账 通过日志来做合规

0x05 保护机制

1.常见的保护机制有?

  • 纵深防护
  • 抽象
  • 数据隐藏
  • 加密

0x06 安全控制框架

什么是COBIT的刘哥关键原则

  • 为利益相关方创造价值
  • 采用整体分析法
  • 动态地治理系统
  • 把治理从管理中分离出来
  • 根据企业需求量身定制
  • 采用端到端的治理系统

0x07 威胁建模

STRIDE

  • 欺骗 Spoofing
  • 篡改 Tampering
  • 否认 Reputation
  • 信息泄露 information Disclosure
  • 拒绝服务 DoS
  • 权限提升 Elevation of privilege

0x08 其他问题

什么是安全治理?

支持、定义和指导组织安全工作相关的实践集合。
安全治理是将组织内所使用的安全流程和基础设施从外部来源获得的只是和见解进行比较。

什么是ITIL

一套用于IT服务管理的最佳实践框架,由英国政府开发,最后成为国家框架。

什么是CIS

互联网安全中心提供操作系统、影院公程序和硬件安全配置指南。

什么是CSF

NIST网络安全框架,为关键基础设施和商业组织设计。主要特点是随着时间推移支持和改进安全。

什么是尽职审查

在正确等时间采取正确的行动。

什么是ATO

ATO是操作授权。

补充

CISSP

CISSP,全称为Certified Information Systems Security Professional,是国际上最具影响力和广泛认可的信息系统安全管理证书之一。CISSP证书由国际信息系统安全认证机构(ISC)2颁发。

CISSP证书旨在验证和证明持有人在信息安全领域具备高水平的知识、技能和经验。持有CISSP证书的专业人士被认为是全球范围内企业、机构和政府部门中最佳的信息安全顾问和专家。

CISSP培训课程和考试涵盖了信息安全的8个核心领域,包括安全与风险管理、资产安全、安全工程、通信与网络安全、身份与访问管理、安全评估与测试、安全操作与事件响应、软件开发安全。考试通常包括250道多选题,需要在6小时内完成。

持有CISSP证书的人可以在信息安全领域的各个职位上发挥重要作用,包括信息安全经理、安全工程师、风险分析师、安全顾问等。此外,CISSP证书也被广泛用于企业招聘中,作为评估候选人信息安全能力的重要标准。

值得注意的是,取得CISSP证书需要满足一定的工作经验要求,并且持有人需要定期参加继续教育并重新认证,以保持其证书的有效性和专业水平。