Web Security Notes S2

突击

背,就硬背。

2020-12-09 11:14:09
0000-00-00 00:00:00
1040

科学精神 怀疑、批判、创新、求实。

三严要求 “严肃的科学精神”、“严谨的工作作风”、“严格的贯标流程”。

🌟 业务应用相似性安全域 :指同一安全区域内的信息系统的 业务应用或系统功能 相似。例如一个银行的各个支行。

信息安全测评

指测评人员在系统工程思想的指导下,遵照国家有关标准、规范和流程,通过设计各种测评案例,对一个信息系统的安全性能和功能进行“标准符合性”论证的过程。

主机安全测评

主机安全现场检查:身份鉴别,自主访问控制,强制访问控制,安全审计,剩余信息保护,入侵防范,恶意代码,资源控制。

主机安全测试:身份鉴别,自主访问控制,强制访问控制,安全审计。

网络安全测评

(1)结构安全和网段划分:既要防外,又要防内。

(2)网络访问控制:设置各种网络设备端口。

(3)拨号访问控制:规定对单个用户拨号访问的检查,查看网络内每一个用户是否有权使用拨号访问设备。

(4)网络安全审计:与主机类似。

(5)边界完整性检查:设置边防检查站对边界来往人员进行管理检查,对形形色色的非法越境人员进行监控。

(6)网络入侵防范:与主机类似。

(7)恶意代码防范:与主机类似。

(8)网络设备防护:与主机“身份鉴别”类似。

应用安全测评

(1)身份鉴别

(2)访问控制

(3)安全审计

(4)剩余信息保护

(5)通信完整性

(6)通信保密性

(7)抗抵赖   ※新的测评项

(8)软件容错  ※新的测评项

(9)资源控制

信息安全风险

人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件发生及其对组织造成的影响。

资产价值

即资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。

资产识别 是科学定级的主要依据。

威胁和威胁识别定义

威胁:指可能导致对系统或组织危害的事故潜在起因。

威胁识别:指分析事故潜在起因的过程。

威胁赋值

威胁赋值 的依据是 对各种威胁发生的频率进行统计

在进行威胁识别的时候,需要综合考虑以下三个方面:

(1)历史记录:以往安全事件报告中出现过的威胁及其频率的统计。

(2)现场取证:实际环境中通过检测工具及各种日志发现的威胁及频率统计。

(3)权威发布:近一两年来国际国内权威组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警报告。

技术和管理

技术脆弱性:各种技术层面的漏洞。

管理脆弱性:可以分为结构脆弱性(信息安全管理体系不完备)和操作脆弱性(各种管理制度虽然完整,但并没有真正得到贯彻执行)。

脆弱性赋值的依据

(1)脆弱性对资产的暴露程度:如弱口令、结构脆弱性。

(2)脆弱性利用的难易程度:要成功利用该脆弱性,攻击者所需要具备的技术实力有多高。如果管理非常完善,即使该脆弱性非常容易被利用,但给予它的赋值也可以适当降低。

(3)脆弱性的流行程度:公认的高危漏洞(可从CVE数据库中查询)。应对该脆弱性严重程度赋予较高的等级。

赋值时,与资产赋值和威胁赋值类似,采用分级的方式:由高到低依次赋值:很高(5级)、高、中等、低、很低(1级)。

风险分析

指依据国家有关标准对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行分析和评价的过程。

它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

应急响应计划

应急响应的基础是计划的准备:由应急响应需求分析和应急响应策略确定,需求分析和策略的确定是建立在风险评估的基础之上,并围绕着组织的业务战略来展开的。包括风险评估业务影响分析制定应急响应策略三部分内容。

应急响应的依据是计划的编制:将这些需求和策略细化成应急响应的各项措施,也就是编制应急响应计划文档。

应急响应的核心是计划的实施:参与人员要按照计划进行培训、演练(实战)和更新。

RTO和RPO的确定是一个综合衡量各种因素的过程,包括业务重要性恢复难度恢复成本等因素。

应急响应流程

  1. 事件通告(信息通报、信息上报、信息披露)
  2. 事件定级
  3. 应急启动
  4. 应急处置(恢复顺序、恢复任务、恢复流程)
  5. 后期处置(信息系统重建、应急响应总结/事故总结)