章节目录
操作安全概述
1.内涵:系统在运维阶段长期维持在符合要求的安全状态,在日常活动中使用PDC(防止、发现、更正问题)手段
2.安全原则:适度勤勉原则(证明自己完成了安全工作)
注:区分适度谨慎(Due care)和适度勤勉(Due diligence)
适度谨慎:一般性原则,干一些有安全风险的事时,应该有能力意识到这些风险(风险评估能力),并采取合理明智的防范措施去处理风险环节。
适度勤勉:遵循上面这种原则的具体方法要求。(法律要求等)
控制类型(从作用上划分)
指导型控制
1.定义:对信息系统相关活动提出要求和建议
2.只有在得到认可并被严格执行的条件下才能起到作用
防御型控制
1.从技术上减少恶意事件发生的可能性
2.不容易控制好防御的度
检测型控制
态势感知等检测手段
矫正/恢复型控制
1.恢复:将事故现场还原到事故发生前
2.矫正:亡羊补牢,防止事故再次发生
其他控制类型
操作人员管理
最小特权
职务分离
1.将一个任务分成多个不同的部分,每个部分由不同的人执行
2.双人控制(two-man control)也是一种职务分离
工作轮滑
1.一种防止共谋的防御型安全措施(也有说是检测措施的)
2.一个人担任某个职位的时间不能过长
强制假期
1.一种检测型控制,具有强制性和突然性
2.强制假期期间对休假人的前期工作进行审计,以便发现问题
操作人员角色分离
1.防止将所有安全相关功能委托给一个人
2.不同人物需要的安全技能不同
3.将管理员任务分成多个角色以赋予不同信任级别
可信设施管理
1、TCSEC的B2到A1中的一项重要保证需求
2.B2中要求管理员和操作员功能分离
3.B3中要求系统管理员的安全相关和非安全相关的功能分离
4.可不可行要看情况,有些企业业务经常变更,这种分离会显得自找麻烦。
控制台日志审计
1.要确保日志的完整性
①只读介质(很少用了)
②通过堡垒机间接登录主机
2.提高日志审查人员的能力
3.操作主管人员进行检查控制台日志的情况
安全保障措施
运作保障
1.访问控制
2.特权和用户程序代码分离
3.审计和监视能力
4.隐蔽信道分析:往往通过一个资源矩阵的方式,监视资源的异常使用情况,防止隐蔽信道的发生
5.可信恢复
(1)发生故障(技术原因)和运行中断(操作原因)时恢复到系统状态是好的时期
(2)在什么时间点、用什么介质进行备份
(3)桔皮书将故障分为状态转换故障(网断了、内存不够了等)、TCB故障(系统崩了)、介质故障
系统恢复的方式
1.人工恢复:也需要机遇自动备份来实现
2.自动恢复:无需人工介入
3.无损自动恢复:在自动恢复的基础上增加减少数据损失、符合成本效益的机制
4.功能恢复:过于理想,系统自动回复到正常状态
系统重启的类型
1.系统重引导:正常方式受控地关闭系统
2.紧急系统重启:系统崩了,以非受控方式关闭系统(比较严重的状态,不希望发生)
3.系统冷启动:不属于可信恢复的范围了。自动化程序无法解决系统问题,需要人工介入将系统从维护模式恢复到一致状态。(压力最大,工作中应尽量避免冷启动的情况发生)
生命周期保障
裁减水平配置:在日志管理当中,将不重要信息裁减掉,只留下关键信息
可信分发:在软件(靠签名来保障等)、硬件传输过程中,避免被篡改的情况发生。
配置管理的目的
围绕变更管理的一系列管理称为配置管理
1.所有的变更要在确定的、受控的环境中进行
2.有可靠的回馈机制减少变更产生故障带来的损失
配置管理的任务
变更控制的方法
1.常规变更:以前做过的,不需要重新讨论变更可行性的,由变更控制负责人授权。
2.重大变更:要召集变更控制委员会进行讨论决定
3.紧急变更:属于重大变更,但是没时间进行讨论,由相关负责人授权,事后由变更控制委员会确认
基线
在基线形成后,基于基线的变更都不能随意进行
配置控制委员会
具有广泛的代表性,所有相关部门都应该选出人员参与
安全事件处理
安全事件的定义
三种安全事件
1.内部人员在使用IT系统过程中出现的问题(最常见)
2.客户使用产品中遇到的问题
3.总部服务于分部的安全人员的机制
安全事件的分类
1.拒绝服务
2.非法入侵
3.有害代码
等
事件处理机制的目标
1.首要:及时发现已经发生过的安全事件,减少给我们造成的损害
2.其次:预防未来可能发生的损害
事件处理的准备
1.建立正式、规范的事件响应和处理政策(应急预案),并落实
2.建立集中式的快捷、安全、方便、有效的报告和信息发布体系(类似119/110这种)
3.建立能力全面、责任明确、具有广泛代表性的事件响应团队。
事件处理的生命周期
0.总流程
甄别(发现)、调查、控制(遏制)、追踪清除、恢复、事后分析
1.事件处理的第一步:
确定事件的甄别(Triage)标准,包括分类定义(什么级别的时间)、排序方法(事件处理的优先级)等
2.最重要:事件处理过程,也被称为事件响应升级过程(一开始对于事件的判别不全面,后续可能需要向更高级别领导报告)
出了事故隐瞒不报是最严重的违规行为
事件处理的检测和分析
事件处理的第二步:调查
事件处理的控制、清除和恢复
事件处理的第三步:控制(遏制)
初步调查是为“控制”提供信息,详细调查是为“清除和恢复”提供信息
事件处理的善后工作
事后分析会议:定责、处分等
计算机取证
取证核心任务:防止证据灭失或者污染(要及时关机)
1.及时关机的方法从取证角度讲,拔电源是更好的方式(有条件在关机前进行内存转储更好)
2.关机之后,在案件终结之前,机器不准从原有介质启动。应该用取证工具制作的引导介质,引导系统用镜像的方式把系统空间中的信息转储出来(不是拷贝)。而后封存原有设备
一种说法:在取证过程中要想办法使原有介质处于只读状态√
证据的形式
1.直接证据:证人证言等
2.实物证据
3.文书证据:信息(写在纸上、存在计算机里的都算)
4.展示证据:通过科学方式做出的证明(弹道分析等)
司法证据类型(与美国法律有关)
略
对证据的要求
相关性、可靠性(不被篡改)、合法性(是否陷害、诱捕)、
诱捕中的一个常见系统:蜜罐。通常用来分析攻击者的攻击技术,而不用来取证。
证据保管链
证明证据可靠性的一系列的文档记录,在时间上环环相扣。
证据链显示:谁获得了证据、什么证据、什么地点时间获取到的、谁保护了证据、谁控制和使用了证据
冗余技术
廉价磁盘冗余阵列RAID
1.RAID是一种可以提高硬盘性能和可靠性的技术
①条带(striping):例如1个字节有8比特,分别写到8块硬盘上,这样读写效率都得到了提升。是一种提高硬盘性能的技术
②校验(parity):除了记录数据之外,还记录数据的校验值。是一种提高硬盘可靠性的技术
2.RAID1-6的考点
(1)RAID0只有条带,没有其他技术,因此只能提高性能
(2)RAID1使用了特殊的方法:镜像。提高硬盘可靠性的技术,缺点是成倍地消耗硬盘。
(条带是把一个数据分成多份存在不同硬盘上,镜像是把数据复制成完全一样的两份)
(3)RAID2-6都是使用条带和校验的综合技术
(4)RAID2-4,区别在于条带颗粒度粗细不一样,2使用的比特级条带、最细,3使用的字节级,4使用块级(若干字节)
颗粒度越细,使用的硬盘就越多
(5)RAID5也是用块级条带,但校验值是分布式的,2-4的校验值是存在专门的校验盘当中(存在瓶颈和单点的问题)。因此RAID5成本比较低、可靠性比较高,是最常用的RAID
(6)RAID6在5点基础上增加了第二种校验技术,进一步增加了可靠性
(7)RAID10就是RAID0+RAID1,条带提高性能,镜像提高可靠性
3.RAID新分类
防故障磁盘系统:发生故障后,数据不会丢
容错磁盘系统:数据不会丢,同时数据访问不会停
容灾磁盘系统:把硬盘组件放在不同地理位置,用光纤组成局域网
电子跳跃(电子链路)
解决异地备份问题的一种办法
远程日记(日志)
日志在一起是一种数据库备份的手段,记录每一笔明细。例如数据库一个月备份一次,在中间发生的交易以日志形式存储,这样在恢复的过程中可以先恢复上一次的备份,再填入本月发生的每一笔交易日志。
注:远程日记不一定是实时的记录
远程磁盘复制的两种工作方式
1.同步复制
镜像:实时的,在写操作时要同时向主服务器和备份服务器写,两边都写完才算完成。因此对链路的要求、技术实现要求较高,可靠性强
2.异步复制
投影:定期、批量的。对链路要求较低
负载均衡
本地负载均衡用于容错,全局负载均衡用于容灾
备用设施的类型
热站点:随时可以接替关键业务,成本很高
冷站点:只有一个空机房
温站点:目前主要类型,基于冷热之间的比较灵活的机房
移动站点:移动通信车
冗余站点:镜像站点
互惠协议:两个单位之间,一个出问题了搬到另一家去,是最不可靠的备份站点类型
多处理中心:将处理任务分布到一个机构的多个不同容灾数据处理中心,某个中心发生灾难时,其他中心可以接替该中心的处理工作。
服务中心:能不能去IDC中心去建立灾备