应用安全治理原则

为什么组织要做安全？ 只有业务上发起需求，目标是维持业务流的稳定性

考点：商业论证（业务案例）： 说服领导要投入安全资源要靠业务案例（商业论证），不做这个有什么损失

安全管理计划最有效的方式： 自上而下

公司高级管理层为安全负责，所以制定组织的安全策略

最终用户遵守并执行就可以

考点：变更管理（2-3道题）源自于IT服务管理（ITIL）

变更管理流程分类：

1. 正常变更（normal），提交变更记录，变更影响分析，审批节点

审批需要分级分类分层，变更之前要Build and Test （变更之前做一次测试）

重大变更需要做一次回顾，哪些地方好，哪些地方不足

2. 紧急变更（emergency）：例如勒索病毒，并不能按照正常变更流程走，但仍然必须获得授权，并且先测试，再上生产（尤其是打补丁）

3.标准变更： 高频率，预授权，低风险

变更原则：

1. 未经授权的变更0容忍（负责基础设施的人员）

2. 没有回退方案的变更是不允许审批通过的

配置管理： 

1.变更和配置管理之间是什么关系？ 

所有的变更都是对配置项的改动

CMDB记录所有的变更、故障记录

数据分类： 

Public、Internal、Confidential、Restricted Use

数据分类的目的是1. 为了按照成本效益的方式对数据进行保护；2. 如果数据是机密的，那存储数据的设备也需要是机密的；

数据分类的步骤： 

1.确定管理人员并定义他们的职责

2.指定如何对信息进行分类和标记的评估标准

3.为每个资源进行分类和添加标签（数据所有者主导这个步骤，但必须有监督人员进行检查，数据的访问控制权限也由owner说了算）。

。。。

安全角色和责任： 

高级管理层，对所有的策略问题签字

安全专家：制定和实现安全策略

数据Owner： 最终数据保护的管理者

数据管理员： 执行者，完成上级任务，数据备份、存储

用户： 遵守组织信息安全政策，最小特权原则

审计人员： 做检查和测试、内部控制措施是否落实，审计证据可靠性，第三方提供的报告最具说服力；

考点，应尽关注，应尽职责（Due Diligence）

应尽关注，其实是对管理层的要求

应尽职责，注重执行、落地

CIA（考点）

机密性，完整性，可用性哪一个重要？ 

取决于组织对安全的目标，先判断组织是什么类型的企业：

对于电子商务公司而言， 可用性最重要

对于军事机构等单位，机密性最重要

对于医疗研究等单位，隐私最重要

机密性考点

（必考）机密性： 保护敏感信息，采用访问控制，加密，数据标签分类分级，确保数据不会被未授权泄漏

（必考）硬盘加密使用TPM芯片是最安全的--win11 

静止数据-U盘 windows bitlocker

加密属于预防性控制措施（事情发生之前的措施）

VPN-防止网络信息传输过程中被窃取

TLS，SSL（HTTPS）

SSH，对比Telnet（不加密）

完整性考点： 

对于银行而言，完整性最重要

完整性，确保信息不会未经授权的篡改、修改

如果黑客已经入侵，最担心的是完整性

组织如果中了勒索病毒，是否要交赎金？ 

备份（online、offline--磁带备份，相对而言比较安全）

散列（数据完整性），MD5值 --也叫哈希验证

配置管理（系统完整性） ，ITSM

变更控制（流程完整性）

软件数字签名

CRC冗余校验，针对非恶意的篡改

可用性考点： 

对于电商平台等商业组织，可用性最重要（7*24）

系统挂起--对可用性产生了影响

对于应用而言，一般通过集群（Cluster/冗余/容错）保障服务

Cluster两种方式 Active-Active，Active-Standby

冗余的概念（足够有钱）：

电中断了怎么办（UPS）

网络中断了（双网络）

DC被烧了怎么办（同城灾备，相距50KM）

地震怎么办（异地灾备，几百公里以上）

容错的概念：

系统层面，两个服务器实时镜像

破坏可用性的方法：DOS攻击，设备老化、删库跑路，几乎所有的不可事件都是由变更引起的；

可用性解决方法： 

故障切换配置

回滚

独立磁盘冗余阵列

RAID 0： 一块硬盘

RAID 1：  两块硬盘，同时写入，所以允许坏一块硬盘

RAID 5：  三块硬盘起步，第三块硬盘写入冗余校验值，所以只允许同时坏一块硬盘

RAID 6：  四块硬盘起步，其中两块硬盘写入冗余校验值，所以允许同时坏两块硬盘

RAID 10：Raid 1+ Raid 0，两边一模一样的镜像，所以允许同时坏一半硬盘

（重要）IAAAA概念： 

身份标识/识别（Identification）

身份认证：输入用户名/密码，多因素认证（手机验证码）

授权： 可以访问什么，不能访问什么

审计：审计的目的是进行追责，是否有修改，删除日志的权限

可问责性/不可否认性，可问责性依赖于身份认证过程的强度

应用安全治理：业务有需求，保障业务

靠什么说服领导做安全？靠业务案例或商业论证，做这个事情的投入和不做这个事情的损失

安全是自上而下：从领导开始指定策略、中层根据策略制定标准、操作人员根据标准执行配置需求，最终用户按照组织政策遵守、执行。

ITIL：

变更管理：正常变更、紧急变更、标准变更           原则：                                                           1、未经授权的变更零容忍                                   2、原则上没有回退方案的变更不允许审批通过     

所有的变更都是针对于配置项的变更。

数据分类：根据数据的秘密性、敏感性、机密性等需求来保护数据的方式。                                      **为什么要进行数据分类？ 按照成本效益的方式对数据进行保护。

管理员就是执行者   决策跟管理员没关系

最小特权原则：使用者只有使用权限并且受到限制

减少安全风险三个方面：完整性>可用性

1、机密性(Confidentiality):限制未授权主体访问不能访问的数据资源，不发生未授权泄露。

维护机密性方式：确保不会出现未授权访问、保障措施包括加密、严格的访问控制。

破坏机密性方式：窃取密码文件、社工、端口扫描、偷听、嗅探攻击。

2、完整性(Integrity)：在使用或传输过程中，没有被未经授权的修改或未经授权的篡改。

维护完整性方式：只有经过授权的用户才能访问资源。

破坏完成性的方式：病毒、逻辑炸弹、未授权访问、恶意篡改。

3、可用性(Availability)：经过授权的主体被及时准许和不间断地访问客体。

维护完可用性方式：提供冗余度、维持可靠的备份及避免数据丢失或破坏。

破坏可用性方式：设别故障、软件错误、Dos攻击、通信中断等。 

4、IAAAA  (identification+authentication+authorization+auditing+accounting):*身份标识*、*身份认证*、授权、审计、可问责性及不可否认性

基于系统安全需求选择控制措施

1、彩虹系列：

TCSEC  分类和所需功能

适用于没有互联的独立系统

最小化保护：D 不满足安全要求。  最低化保护

自主性保护：

C1  通过用户ID或用户组

C2  管理用户权限 介质清除

强制性保护：

B1 标签式

B2结构化  职责分离

B3安全域

已验证保护

A1：开发时每次都要评估和验证

2、橘皮书

只适用于未连接到网络的独立计算机

3、绿皮书 主要管密码

ITSEC 和TCSEC

TCSEC几乎只关注机密性；任何变化都要重新进行评估

ITSEC 欧洲安全标准，除了机密性还关注了完整性和可用性；在变化之后不要求进行新的正式评估，而是只维护评估目标

通用准则 CC--common criteria

安全需求划分为安全功能需求和安全保证需求两个独立部分，根据安全保证需求定义安全产品的安全等级

通用准则的认可

保护轮廓PP：安全需求

安全目标ST：供应商提供的安全目标

将PP与选定供应商的TOE中的各种ST进行比较，最接近或最匹配的就是客户要购买的。

通用准则的结构

• 介绍
• 安全功能需求
• 安全保证：

EAL

分7个级别

• EAL1：功能测试
• EAL2：结构测试
• EAL3：系统地测试和检查
• EAL4：系统地设计、测试和回顾
• EAL5：半正式设计和测试
• EAL6：半正式验证、设计和测试
• EAL7：正式验证、设计和测试

单元测试（功能）--集成测试（结构）--系统测试（检查和设计）--UAT(验收测试)

CC局限性：没有涉及人员问题；没有对密码算法强度进行评估

认证：   Certification  

整个评估过程中的第一个阶段是认证

认证是对IT系统的技术和非技术安全特性异界其他防护措施的综合评估，这能够支持鉴定过程，从而确定特定设计和实现满足一组指定安全要求的程度。

鉴定--Accreditation ，认可  授权

鉴定通过后授权，鉴定由第三方

认证由所在组织实施，才可信

万用的公式：

Plan        D o      Check     A         循环过程

定义      测量         控制         管理        双向循环

认证和鉴定系统：分4阶段

阶段1、定义

阶段2：验证 认证

阶段3：确认 认可 鉴定结果

阶段4：后鉴定 维护SSAA、系统操作、bian'geng

资产安全  第一步是对资产进行分类和标记，资产清单

owner 说了算

定义敏感数据个人身份信息

名字 性别 是公开的  ；但与其它个人信息结合

受保护的健康信息（Protected Health information PHI）属个人隐私信息

定义敏感数据专有数据：面向企业，可以保持企业竞争力的数据。软件代码、产品的技术计划、内部流程、知识产权或商业秘密

依靠  保密协议和竞业协议

政府数据分类：绝密、保密、机密和非机密。

敏感信息是指任何未公开或分类的信息。

非政府的数据分类：机密或专有机密、私有、敏感、公开四类

数据分类的准则

保护最好方式是加密

访问控制：多因素安全认证和授权机制 并于加密结合

Data Loss Prevention (DLP)

让员工高度重视信息安全意识；

培训

1.11 将基于风险的管理概念运用到供应链

风险管理运用到供应链

第三方的评估和监控服务

威胁建模

识别威胁

STRIDE威胁分类：

S 电子欺骗spoofing

Tampering篡改 破坏完整性，未经授权修改

Repudiation 否认

information disclosure信息披露：

DOS拒绝服务 影响可用性

Elevation of privilege 权限提升

PASTA 记住步骤顺序

分七阶段--2个定义3个分析 建模  及分析管理

第一阶段：风险分析目标（DO）的定义

第二阶段：技术范围（DTS）的定义

第三阶段：应用程序分解和分析

第四阶段：威胁分析（TA）

第五阶段：弱点和漏洞分析（WVA）

第六阶段：攻击建模和模拟（AMS）

第七阶段：风险分析与管理（RAM）

威胁建模

执行减低分析：

oscp

1.9 理解与运用风险管理的概念

风险risk：信息资产遭到损坏并给企业带来负面影响的潜在可能性；

可能发生或不发生的不确定性

外部的叫威胁

内部的叫漏洞：弱点、漏洞  脆弱性

risk management  ：

管理风险就是管理有价值的资产

风险=威胁*脆弱性

防护措施：是消弱或消除风险的唯一方法。

攻击是威胁主体对脆弱性的利用。

风险元素相互关系：围绕资产--威胁--脆弱性--暴露-风险--防护措施-资产assets

识别威胁和脆弱性：

定性分析 高中低

定性风险评估：小组讨论（delphi方法--消除偏见，主要是匿名、多轮、趋同）检查列表checklist、问卷、人员 访谈interview、调查survey等

定性比定量准确性稍好但精确性不够。定量分析相反。定性分析没有定量分析繁多的计算负担，但却要求分析者具备一定的经验和能力。

风险威慑：安全摄像机、实施审核、警告标语、强身份验证等

规避风险：risk  avoidance ；风险规避是选择风险低于默认

风险拒绝：侥幸心理

剩余风险：管理层选择接受而非去缓解的风险。

总风险=威胁*脆弱性*资产价值

剩余风险：总风险-控制间隙=剩余风险

控制类型--威慑  部署威慑性访问控制是为了吓阻出现违反安全策略的情况。摄像头

控制类型-预防性措施：事先预防性，最符合成本效益原则

控制类型-检测性：审计

控制类型-补偿性，，比如人少无法职责分离，就每周定期审核检查、明文传输后使用vpn

控制类型-纠正  DRP，备份恢复 等属事后，

1、人是信息安全的关键因素；

主要措施：对工作申请者背景调查；

签署雇佣合同和保密协议

加强在职人员的安全管理

严格控制人员离职程序：还资产、删除或禁用用户的账号；

职责分离  SOD   防止共谋、防伪造、偷窃、反腐败

工作职责：最小特权

岗位轮换：两个作用--知识冗余类型；人员流动可以防伪造、数据更改、偷窃阴谋破坏和信息滥用的风险。防止共谋

成为斜杠青年，减少焦虑。

 强制性休假：

供应商、顾问和承包商控制：

SLA 包括4个大方面--管理层面：

1、可用性：99.998%

2、性能/容量：cpu占有率、负载均衡、压力测试、

3、连续性：RTO/RPO等

4：安全方面：攻击响应、恢复时间、多久根治、每年多少次

其他方面：参照itil里的问题、故障解决、变更、配置管理等相关流程。

 合规性：符合或遵守规则、策略、法规、标准或要求的行为。

隐私：

组织必须执行隐私的策略； 

如果有隐私，必须有强大的控制措施，比如加密、访问控制等chu'zh

体系文件：

1、ITIL 3/ 4 itsm/ISO20000

2、dev test 开发测试流程：cmmI

3、BCM: ISO22301：商业银行业务连续性指4引

4、ISO 31000 

密码学（10道题）

1、一次性密码本（OTP）:密文和明文一样长度

默认最安全的

2、密钥 key

3、对称加密  进行大批量加密 ，速度快

4、公钥：可以公开的

私钥：隐藏的 私钥解开公钥

用对方的公钥加密实现了机密性

用自己的私钥加密实现了身份验证，不可否认性

对称加密用的最多的是AES

ECC速度快、密钥短、消耗资源少

对非恶意更改采取CRC冗余验证

散列值具有唯一性 散列函数为不可逆，单向的

SAML(必考）

推理是需要根据人的判断

聚合是低等级信息汇聚

paas=iass+操作系统+服务

SaaS最大的安全问题：在云上的信息是否被利用，你不会知道；性能问题（SLA）；

核心业务不能上云

点对点网络（会考）P2P 盗版网络 若发现措施：重新安装操作系统

可信平台模块

容错：添加额外的磁盘至原来的磁盘阵列里

避免单点故障

彩虹系列  橘皮书

TCSEC（美国）   B2结构化  

绿皮书 管密码 

ITSEC  是欧洲的

CC (ISO 15468)

保护轮廓：保护的需求 PP（安全功能需求）

安全保证需求（安全目标）ST

EAL  （评估保证级别）必考

功能 结构 系统测试  系统设计 半测 半验 正式验证

鉴定(认可）本质是授权 第三方机构

认证进行技术评估

定义——测量——控制——管理（改进）

认证和鉴定系统

定义——验证——确认——鉴定（认可）

 可信基

信息流模型 （必考）  

bell模型 解决机密性 用于军事环境

biba模型  解决完整性 用于军事环境

未分类  敏感  机密 秘密 绝密 

做规划设计时采用访问控制矩阵

CW模型 用于商业环境

多层面实现数据的完整性

封闭系统更加安全    

对访问界限对进程进行限制，进程在隔离状态中运行

自主访问控制 DAC

强制访问控制 MAC   

销毁敏感数据

擦除（Erasing）删除

消除（Clean / overwriting）比擦除相关安全

清除（Purging） 介质清除工具

净化（sanitization）脱敏

净化包含物理损坏、介质清除工具是个总称

消磁对CD\DVD\SSD不起作用

清除云上的数据，如何清除干净  只能采取加密的方式

静态数据 ：需进行加密

传输数据：MSN是明文的传输方式 加shell（安全壳）明文变密文

定界：选择最佳安全标准

定制：裁剪，优化改进

先固化——优化

AES加密 高级加密标准（256位）

加密的密码与解密的密码为同一个密钥

传输中的数据加密采用VPN

HTTPS  TLS替代SSL

SSH替代TELNET  SSL（加密传输 ）

可用性：对于老旧设备，定期做数据转录及迁移

什么可以绕过防火墙

1、猫 modem

2、无线AP

端点DLP保护性强