应用安全治理：业务有需求，保障业务

靠什么说服领导做安全？靠业务案例或商业论证，做这个事情的投入和不做这个事情的损失

安全是自上而下：从领导开始指定策略、中层根据策略制定标准、操作人员根据标准执行配置需求，最终用户按照组织政策遵守、执行。

ITIL：

变更管理：正常变更、紧急变更、标准变更           原则：                                                           1、未经授权的变更零容忍                                   2、原则上没有回退方案的变更不允许审批通过     

所有的变更都是针对于配置项的变更。

数据分类：根据数据的秘密性、敏感性、机密性等需求来保护数据的方式。                                      **为什么要进行数据分类？ 按照成本效益的方式对数据进行保护。

管理员就是执行者   决策跟管理员没关系

最小特权原则：使用者只有使用权限并且受到限制

减少安全风险三个方面：完整性>可用性

1、机密性(Confidentiality):限制未授权主体访问不能访问的数据资源，不发生未授权泄露。

维护机密性方式：确保不会出现未授权访问、保障措施包括加密、严格的访问控制。

破坏机密性方式：窃取密码文件、社工、端口扫描、偷听、嗅探攻击。

2、完整性(Integrity)：在使用或传输过程中，没有被未经授权的修改或未经授权的篡改。

维护完整性方式：只有经过授权的用户才能访问资源。

破坏完成性的方式：病毒、逻辑炸弹、未授权访问、恶意篡改。

3、可用性(Availability)：经过授权的主体被及时准许和不间断地访问客体。

维护完可用性方式：提供冗余度、维持可靠的备份及避免数据丢失或破坏。

破坏可用性方式：设别故障、软件错误、Dos攻击、通信中断等。 

4、IAAAA  (identification+authentication+authorization+auditing+accounting):*身份标识*、*身份认证*、授权、审计、可问责性及不可否认性

基于系统安全需求选择控制措施

1、彩虹系列：

TCSEC  分类和所需功能

适用于没有互联的独立系统

最小化保护：D 不满足安全要求。  最低化保护

自主性保护：

C1  通过用户ID或用户组

C2  管理用户权限 介质清除

强制性保护：

B1 标签式

B2结构化  职责分离

B3安全域

已验证保护

A1：开发时每次都要评估和验证

2、橘皮书

只适用于未连接到网络的独立计算机

3、绿皮书 主要管密码

ITSEC 和TCSEC

TCSEC几乎只关注机密性；任何变化都要重新进行评估

ITSEC 欧洲安全标准，除了机密性还关注了完整性和可用性；在变化之后不要求进行新的正式评估，而是只维护评估目标

通用准则 CC--common criteria

安全需求划分为安全功能需求和安全保证需求两个独立部分，根据安全保证需求定义安全产品的安全等级

通用准则的认可

保护轮廓PP：安全需求

安全目标ST：供应商提供的安全目标

将PP与选定供应商的TOE中的各种ST进行比较，最接近或最匹配的就是客户要购买的。

通用准则的结构

• 介绍
• 安全功能需求
• 安全保证：

EAL

分7个级别

• EAL1：功能测试
• EAL2：结构测试
• EAL3：系统地测试和检查
• EAL4：系统地设计、测试和回顾
• EAL5：半正式设计和测试
• EAL6：半正式验证、设计和测试
• EAL7：正式验证、设计和测试

单元测试（功能）--集成测试（结构）--系统测试（检查和设计）--UAT(验收测试)

CC局限性：没有涉及人员问题；没有对密码算法强度进行评估

认证：   Certification  

整个评估过程中的第一个阶段是认证

认证是对IT系统的技术和非技术安全特性异界其他防护措施的综合评估，这能够支持鉴定过程，从而确定特定设计和实现满足一组指定安全要求的程度。

鉴定--Accreditation ，认可  授权

鉴定通过后授权，鉴定由第三方

认证由所在组织实施，才可信

万用的公式：

Plan        D o      Check     A         循环过程

定义      测量         控制         管理        双向循环

认证和鉴定系统：分4阶段

阶段1、定义

阶段2：验证 认证

阶段3：确认 认可 鉴定结果

阶段4：后鉴定 维护SSAA、系统操作、bian'geng

资产安全  第一步是对资产进行分类和标记，资产清单

owner 说了算

定义敏感数据个人身份信息

名字 性别 是公开的  ；但与其它个人信息结合

受保护的健康信息（Protected Health information PHI）属个人隐私信息

定义敏感数据专有数据：面向企业，可以保持企业竞争力的数据。软件代码、产品的技术计划、内部流程、知识产权或商业秘密

依靠  保密协议和竞业协议

政府数据分类：绝密、保密、机密和非机密。

敏感信息是指任何未公开或分类的信息。

非政府的数据分类：机密或专有机密、私有、敏感、公开四类

数据分类的准则

保护最好方式是加密

访问控制：多因素安全认证和授权机制 并于加密结合

Data Loss Prevention (DLP)

让员工高度重视信息安全意识；

培训

1.11 将基于风险的管理概念运用到供应链

风险管理运用到供应链

第三方的评估和监控服务

威胁建模

识别威胁

STRIDE威胁分类：

S 电子欺骗spoofing

Tampering篡改 破坏完整性，未经授权修改

Repudiation 否认

information disclosure信息披露：

DOS拒绝服务 影响可用性

Elevation of privilege 权限提升

PASTA 记住步骤顺序

分七阶段--2个定义3个分析 建模  及分析管理

第一阶段：风险分析目标（DO）的定义

第二阶段：技术范围（DTS）的定义

第三阶段：应用程序分解和分析

第四阶段：威胁分析（TA）

第五阶段：弱点和漏洞分析（WVA）

第六阶段：攻击建模和模拟（AMS）

第七阶段：风险分析与管理（RAM）

威胁建模

执行减低分析：

oscp

1.9 理解与运用风险管理的概念

风险risk：信息资产遭到损坏并给企业带来负面影响的潜在可能性；

可能发生或不发生的不确定性

外部的叫威胁

内部的叫漏洞：弱点、漏洞  脆弱性

risk management  ：

管理风险就是管理有价值的资产

风险=威胁*脆弱性

防护措施：是消弱或消除风险的唯一方法。

攻击是威胁主体对脆弱性的利用。

风险元素相互关系：围绕资产--威胁--脆弱性--暴露-风险--防护措施-资产assets

识别威胁和脆弱性：

定性分析 高中低

定性风险评估：小组讨论（delphi方法--消除偏见，主要是匿名、多轮、趋同）检查列表checklist、问卷、人员 访谈interview、调查survey等

定性比定量准确性稍好但精确性不够。定量分析相反。定性分析没有定量分析繁多的计算负担，但却要求分析者具备一定的经验和能力。

风险威慑：安全摄像机、实施审核、警告标语、强身份验证等

规避风险：risk  avoidance ；风险规避是选择风险低于默认

风险拒绝：侥幸心理

剩余风险：管理层选择接受而非去缓解的风险。

总风险=威胁*脆弱性*资产价值

剩余风险：总风险-控制间隙=剩余风险

控制类型--威慑  部署威慑性访问控制是为了吓阻出现违反安全策略的情况。摄像头

控制类型-预防性措施：事先预防性，最符合成本效益原则

控制类型-检测性：审计

控制类型-补偿性，，比如人少无法职责分离，就每周定期审核检查、明文传输后使用vpn

控制类型-纠正  DRP，备份恢复 等属事后，

1、人是信息安全的关键因素；

主要措施：对工作申请者背景调查；

签署雇佣合同和保密协议

加强在职人员的安全管理

严格控制人员离职程序：还资产、删除或禁用用户的账号；

职责分离  SOD   防止共谋、防伪造、偷窃、反腐败

工作职责：最小特权

岗位轮换：两个作用--知识冗余类型；人员流动可以防伪造、数据更改、偷窃阴谋破坏和信息滥用的风险。防止共谋

成为斜杠青年，减少焦虑。

 强制性休假：

供应商、顾问和承包商控制：

SLA 包括4个大方面--管理层面：

1、可用性：99.998%

2、性能/容量：cpu占有率、负载均衡、压力测试、

3、连续性：RTO/RPO等

4：安全方面：攻击响应、恢复时间、多久根治、每年多少次

其他方面：参照itil里的问题、故障解决、变更、配置管理等相关流程。

 合规性：符合或遵守规则、策略、法规、标准或要求的行为。

隐私：

组织必须执行隐私的策略； 

如果有隐私，必须有强大的控制措施，比如加密、访问控制等chu'zh

体系文件：

1、ITIL 3/ 4 itsm/ISO20000

2、dev test 开发测试流程：cmmI

3、BCM: ISO22301：商业银行业务连续性指4引

4、ISO 31000 

密码学（10道题）

1、一次性密码本（OTP）:密文和明文一样长度

默认最安全的

2、密钥 key

3、对称加密  进行大批量加密 ，速度快

4、公钥：可以公开的

私钥：隐藏的 私钥解开公钥

用对方的公钥加密实现了机密性

用自己的私钥加密实现了身份验证，不可否认性

对称加密用的最多的是AES

ECC速度快、密钥短、消耗资源少

对非恶意更改采取CRC冗余验证

散列值具有唯一性 散列函数为不可逆，单向的

SAML(必考）

推理是需要根据人的判断

聚合是低等级信息汇聚

paas=iass+操作系统+服务

SaaS最大的安全问题：在云上的信息是否被利用，你不会知道；性能问题（SLA）；

核心业务不能上云

点对点网络（会考）P2P 盗版网络 若发现措施：重新安装操作系统

可信平台模块

容错：添加额外的磁盘至原来的磁盘阵列里

避免单点故障

彩虹系列  橘皮书

TCSEC（美国）   B2结构化  

绿皮书 管密码 

ITSEC  是欧洲的

CC (ISO 15468)

保护轮廓：保护的需求 PP（安全功能需求）

安全保证需求（安全目标）ST

EAL  （评估保证级别）必考

功能 结构 系统测试  系统设计 半测 半验 正式验证

鉴定(认可）本质是授权 第三方机构

认证进行技术评估

定义——测量——控制——管理（改进）

认证和鉴定系统

定义——验证——确认——鉴定（认可）

 可信基

信息流模型 （必考）  

bell模型 解决机密性 用于军事环境

biba模型  解决完整性 用于军事环境

未分类  敏感  机密 秘密 绝密 

做规划设计时采用访问控制矩阵

CW模型 用于商业环境

多层面实现数据的完整性

封闭系统更加安全    

对访问界限对进程进行限制，进程在隔离状态中运行

自主访问控制 DAC

强制访问控制 MAC   

销毁敏感数据

擦除（Erasing）删除

消除（Clean / overwriting）比擦除相关安全

清除（Purging） 介质清除工具

净化（sanitization）脱敏

净化包含物理损坏、介质清除工具是个总称

消磁对CD\DVD\SSD不起作用

清除云上的数据，如何清除干净  只能采取加密的方式

静态数据 ：需进行加密

传输数据：MSN是明文的传输方式 加shell（安全壳）明文变密文

定界：选择最佳安全标准

定制：裁剪，优化改进

先固化——优化

AES加密 高级加密标准（256位）

加密的密码与解密的密码为同一个密钥

传输中的数据加密采用VPN

HTTPS  TLS替代SSL

SSH替代TELNET  SSL（加密传输 ）

可用性：对于老旧设备，定期做数据转录及迁移

什么可以绕过防火墙

1、猫 modem

2、无线AP

端点DLP保护性强

数据保留：三个问题

保存什么数据

1、数据处理者   培训和审计

2、数据残留（100%会考）纸张也属于介质

光盘、磁带粉碎

硬盘 删除硬盘的数据不靠谱会被取回   格式化也不安全

格式化 

覆盖：用1，0覆盖硬盘中的1,0

消磁

物理损坏最安全

介质清除工具：SSD硬盘（芯片级硬盘）