-
Notifications
You must be signed in to change notification settings - Fork 1
/
Copy pathCISP课程笔记-2021.09.05-线上.txt
316 lines (224 loc) · 9.04 KB
/
CISP课程笔记-2021.09.05-线上.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
信息安全管理的理念:
1.信息安全战略要服务于企业的业务战略
2.信息安全管理是一个全生命周期管理
3.信息安全管理是一个整体管理,任何一个网络行为的参与者都是一个安全的主体,而任何一个安全主体的失败都将导致安全的整体失败。
4.信息安全管理要遵循成本效益原则
5.信息安全管理没有绝对安全,只有相对安全
6.信息安全管理是分级/分层来实现的
7.信息安全管理要遵循适度安全原则,过分的安全性和没有安全性一样是有害的,安全就是一种平衡,平衡点,安全间隙
8.信息安全管理是一个动态管理过程
9.人是信息安全管理中最活跃的因素,同时也是最薄弱的环节。
10.在信息安全管理中三分靠技术,七分靠管理,而且技术永远都不能取代管理。
11.技术不能解决所有问题
12.信息安全管理遵循木桶理论(短板效应)
13.信息安全管理遵循新木桶理论(不同要素之间的紧密结合)
14.信息安全管理要自上而下贯彻执行,自下而上得到满足
15.信息安全管理是一个一把手工程
16.信息安全管理是一个全员参与工程
17.信息安全管理遵循流程化管理方式
18.信息安全战略要服务于企业的业务连续性战略
5*8、7*8 、7*16、7*24
复杂性:投资大、周期长、参与人员众多、跨领域、有明确的质量要求
信息安全的基本属性:
1.保密性/机密性:确保信息不要暴露给未经授权的实体或者进程
授权:授予特定用户具有特定的权限
加密:数据加密-EFS、通讯加密-VPN\SSH\SSL
2.完整性:只有得到允许的人才能修改数据,而且可以判别出数据是否已经被篡改
数字信封、数字签名
3.可用性:得到授权的实体在需要时可以访问数据,即攻击者不能占用全部的资源而阻碍授权者的工作。
Clustering、Backup、UPS
未雨绸缪
亡羊补牢
DIKW:Data->Information->Knowledge->Wisdom
赛博空间
安全需求的来源:
1.法律法规
2.风险评估
信息是关于客观事实的可以通讯的知识,具有如下特征:
1.信息是客观世界中各种事物的特征的反应
2.信息是可以进行交换的,而且随着交换而增值
3.信息是可以形成知识的
信息安全管理的国际标准:ISO 27001
质量管理的国际标准:ISO 9000
IT服务管理的国际标准:ISO 20000
风险管理的国际标准:ISO 31000
IT服务管理的最佳实践是ITIL 4
ISO 27001:2005
ISO 27001:2013 2015.10
ISO 27001:2013 14个控制域、35个控制目标、114个控制措施
BS 7799-1 ISO 27002
BS 7799-2 ISO 27001
标准的采用方式:
1.等同采用
2.等效采用
风险的基本属性:
1.风险发生的概率-P
2.风险一旦发生所带来的影响/后果-V
风险的特征:
1.随机性
2.相对性
风险要素
1.资产:任何对IT交付有影响的资源
2.脆弱性:资产本身固有的缺陷
3.威胁:对脆弱性的利用
4.风险:脆弱性和威胁的组合
5.控制措施:对风险的应对方案/方法
沟通的要素:
1.沟通要有目标
2.沟通要有对象
3.沟通要有内容
4.沟通要有反馈
沟通的方向
1.向上沟通:要共识
2.向下沟通:要落实
3.水平沟通:要支持/协调
戴明环:PDCA改进循环,是一个闭环系统,没有终点,有如下特征:
1.自加固
2.自修正
3.自适应
文档化:清晰的表述
一级文件定目标
二级文件定措施
三级文件看执行
四级文件看结果
全部备份是备份的基础
两地三中心建设方案
方法论具有普适性原则
约束:任何影响项目成功的因素
三重约束(传统):时间+成本+质量
三重约束(新):时间/成本+质量+范围
PMBOK:项目管理知识体系指南-PMI
十大知识领域: 人力资源管理=资源管理+相关方管理
质量管理:质量规划、质量保证、质量控制
质量管理全过程控制
过程质量决定产品质量
产品质量反应过程质量
质量管理没有终点,对质量而言没有最好,只有更好
规划和跟踪是管理特征的体现
量化是精细化管理的特征
精细化管理:
1.不能测量就不能控制
2.不能控制就不能改进
3.不能改进就不能生存
零日漏洞
变更管理:可控性
配置管理:一致性
社工库攻击
思想决定意识,意识决定行为,行为决定习惯
所有安全措施的基石都是教育
1.首次加入组织时加以培训
2.定期接受最新的培训
风险评估以自评估为主,自评估和检查评估相结合,互相补充。
定性分析:主观、宏观
定量分析:客观、微观
战略由组织高层制定
战略的特征:
1.牵引性
2.全局性
3.长期性
审计:对管理的管理
ENIGMA--恩尼格玛
模仿游戏
对称式加密:加密的密钥<=>解密的密钥
加密算法的分类:根据对数据的处理方式
1.序列加密/流加密:对比特流中的每个比特位分别进行加密
2.分组加密/块加密:把比特流分成若干块,然后分别对每块进行加密
非对称式加密:
每个用户都有一个密钥对,即公钥和私钥,其中公钥是公开的,而私钥是机密的,只有用户本人拥有。密钥必须配对使用,如果用一个用户的公钥加密,那么只有该用户的私钥才能进行解密,反之亦然。
公钥加密、私钥解密,确认收件人:数字信封
私钥加密、公钥解密,确认发件人:数字签名
公钥:名字
私钥:身份证号码
证书:身份证
CA-验证中心:公安局
Windows系统中NTFS分区下的EFS加密属于非对称式加密
hash(apoiupqouwepoiruqwer)=wiwiwiwi
hash(qpoiupqouwepoiruqwer)=adadadad
LDAP-轻型目录访问协议,基于TCP/IP
实体特征:唯一性、稳定性
ARP:地址解析协议,IP->MAC
ARP缓存生存时间是120s
网络中数据传输的方式:
1.广播:1->所有
2.多播:1->多
3.单播:1->1
面向连接的协议:可靠的服务
非面向连接的协议:不可靠的服务
IP地址的分类
A:1-126
B:128-191
C:192-223
D:224-239 多播通讯
E:240-254 科学研究
127.*.*.*:Loopback Address,回环测试地址
169.254.*.*:APIPA,自动私有IP地址
DHCP:动态主机配置协议
公有IP地址:在Internet上使用的IP地址,A、B、C三类
私有IP地址:在Intranet上使用的IP地址
A:10.*.*.*
B:172.16.*.*-172.31.*.*
C:192.168.*.*
TCP三次握手
误用检测:模式匹配
异常检测:统计分析
IDS的部署方式:旁路部署、不影响性能
IPS的部署方式:串联部署、影响性能
IPS=IDS+Firewall
联动:不同产品的协同配合
安全系统(OS/DBMS/APP)的特征:
1.身份验证:强制性登录
2.访问控制:分级访问
3.审计:不可抵赖性
4.机密性
5.完整性
SID:安全标识符,在Windows系统中是基于SID,而不是基于名字来识别对象的,SID在创建该对象时产生,SID一旦被使用就永远都不会重复。
SID尾数值500只分配给内置管理员
Windows系统中用户账号信息的物理位置:
%systemroot%\system32\config\SAM
内置管理员可以把非内置管理员从管理员组删除,而非内置管理员不能把内置管理员从管理员组删除。
审计的步骤:
1.首先启用审核策略
2.对具体的资源设置审核
管理员账号(administrator)的管理策略
1.改名,设置复杂密码
2.创建陷阱账号:名为administrator账号,并设置超复杂密码,禁用该账号
密码的组成:
1.大写字母
2.小写字母
3.数字
4.特殊字符
复杂密码:包括上述4项中的3项
Windows系统中账号锁定策略对administrator不生效,对administrators组的其他成员生效。
Windows系统中账号锁定策略只能保护针对非内置管理员的穷举法攻击
$共享是基于管理的目的而创建的,仅供administrators组的成员使用。
数据完整性:
1.实体完整性--行
2.区域完整性--列
3.参考完整性
4.自定义完整性
瀑布式:规模较小、周期较短、需求明确
迭代式:需求频繁变更
增量模型/增量并发模型:周期短、规模大
原型模型:需求不明确
V模型
开发阶段:需求分析、概要设计、详细设计、编码阶段
测试阶段:验收测试、系统测试、集成测试、单元测试
xp_cmdshell使用的注意事项:
1.必须在master数据库下执行
2.必须具有sysadmin角色
SQL 2000中缺省情况下xp_cmdshell是启用的
SQL 2005及后续产品中xp_cmdshell是禁用的
sp_helpdb
create database shanght
drop database shanght
exec master..xp_cmdshell 'dir c:\'
exec master..xp_cmdshell 'md c:\test'
exec master..xp_cmdshell 'rd c:\test'
exec master..xp_cmdshell 'net user'
exec master..xp_cmdshell 'net user hacker 1234 /add'
exec master..xp_cmdshell 'net user hacker'
exec master..xp_cmdshell 'net localgroup administrators hacker /add'
exec master..sp_dropextendedproc 'xp_cmdshell'
exec master..sp_addextendedproc 'xp_cmdshell','xplog70.dll'
渗透测试在业务的非高峰期执行