论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 72 篇帖子 ]  前往页数 1, 2, 3, 4, 5  下一页
作者 内容
 文章标题 : CISSP培训文字记录
帖子发表于 : 2012-11-14 16:11 
离线
新手

注册: 2012-10-07 09:22
最近: 2013-10-12 15:44
拥有: 118.00 安全币

奖励: 1 安全币
在线: 734 点
帖子: 14
以下文字记录是我这两天学习一份台湾CISSP培训视频时记录下来的。因为我听课的时候很容易走神,效率不高,另外这份视频中讲师每讲一句都停顿2秒钟,很不习惯,一直在边上等,于是我就边学习边敲下来了,以后便于复习要点,顺便贴出来方便大家。
培训视频是按照PPT讲解的,本来层次是很分明的,但文字记录下来就完全是另外一回事了,大家姑且看看。
需要视频的留下邮箱,视频已上传到qq中转站
第一章:安全管理的基本認知
安全管理所必须具备的基本认知,可分为八个项目进行探讨
1、安全管理的基础概念
如果要做好安全管理的话,必须先清楚四个主要的概念:
a、对于企业内部组织内部的信息资产要能清楚的分辨出来,这样的话才知道要对那些资产做好安全管理的动作
b、对于风险的分析要有足够的认知,这样所分析出来的资料才会对我们有帮助
c、必须知道安全的重要性为何,这样的话才能随时保持警觉的心
d、对于分析的管理要有足够的认知
2、安全所要具备的要素
一个安全的环境必须具备三个要素
可用性、想要使用系统的时候可以使我们及时而稳定地获得资源
完整性、避免信息资产被未经授权的人修改或被授权的人进行未经允许的修改
机密性、避免信息资产被未经授权的人存取,其中含有恶意和非恶意的情况
3、信息安全的需求
信息安全的需求分为两种
强调信息资产的功能面,例如Firewall防火墙的主要功能就是在做packet filter封包的过滤
确保信息资产功能可以达到,例如我们可以通过logFile记录档的方式了解fireWall防火墙是否在正常地运作
因此任何信息安全的需求一定都是先定义出安全策略,所有与信息安全有关的东西都是建立在安全策略上面
4、安全的考量
任何安全上的考量不要只是从技术面来考量,必须从全方面进行安全考量,全方面的安全考量包含组织的架构、企业的文化、管理面、业务面、风险面等等,都是我们进行安全考量时必须要纳入考量的部分
5、安全政策成功的因素
如果要把安全政策做好的话,首先一定要得到高阶主管的支持
除了一定要得到高阶主管的支持之外,在制定安全政策的时候,必须要与职场的工作融合,不可以有冲突的问题发生
因此,要与职场工作融合的话,必须要考量三个部分去指定安全政策
业务的流程
技术的流程
管理的流程
因此要执行好这三个部分的安全政策时,必须从五个层面去做考量
第一个层面:隐私权,员工在进入公司的时候,公司会要求员工签署一份合约,表示公司有权力监视员工所有的网络通讯内容,以防止公司的信息资产泄漏出去
第二个层面:身份管理,针对公司内部拥有重要职务的员工或是主管,必须要进行身家调查,以确保这些员工和主管是公司可以信任的
第三个层面:应用程序,
第四个层面:基础架构的建立
第五个层面:管理
6、安全性问题的解决方法的考量
在规划安全性问题的解决方法时,必须将不同的需求都纳入要考量的范围
不管是针对将公司所有的作业流程整合到单一系统,让整体运作效率提升的ERP企业资源规划,或者是针对CRM客户关系管理、以及针对VPN虚拟私有网络方面等等,都要纳入安全性问题解决方法的考量范围内
不过,在解决安全性问题的方法时,必须讲求一致性,不管是针对ERP、CRM或者VPN都要建议一致性的解决方法
7、如何有效实施安全政策
想要有效的实施安全政策的话,主要可分为四个要素
其中下面三个要素都具备了强制性,也就是一定要遵守并且实施
Standards指的是软硬件配备相关的标准机制,例如指定某个品牌的杀毒软件或指定某个品牌的防火墙系统
Procedures指的是要有一定得程序才能进行修改的动作,例如文件的销毁和使用者注册的动作都必须经过一定得程序才能执行
Baselines告诉员工最少要具备的安全等级而且必须要讲求一致性,例如要求公司内所有windows2000的系统一定要更新到service pack4等级才可以
Guidelines这个要素是唯一没有要求强制的,只是建议可以怎么样去做而已,例如可以参考美国政府制定的TCSEC可信任的电脑评估准则来指定公司里面电脑环境的安全等级,或者是参考欧盟政府制定出来的安全标准ITSEC,借此让公司里面
电脑环境的安全等级达到一定得程度的安全标准
TCSEC和ITSEC之间的差别,因为早期并未发展到网络的环境,所以TCSEC只要是偏向于系统方面,只重视评估产品的安全性,并未考虑到网络的部分,ITSEC考虑了网络和系统这两方面的安全
8、如何做好安全管理
在安全管理方面可分为三个部分
第一个部分,定义出每个人的角色以及责任,要定义每个人的角色和责任有五个注意事项
一、每个人的角色和责任要一起定义出来,这样才知道谁做错了,责任要归属给谁。因此每个人角色的区分大致可分为五种
a、公司里面最高阶的主管
b、信息安全人员,否则维护公司网络系统的安全
c、拥有者,针对每个信息资产要负最后的责任,而这些人有可能是最高阶的主管或者是行政人员,也就是一些对信息方面不是很了解的人员
d、管理员,可以把他想成IT人员,协助拥有者处理有关信息系统方面的问题
e、使用者,运用公司里面的资产从事信息工作的人员
二、除了要给予每个人的角色和责任之外,公司在雇佣人员时也是很重要的,所有人员在雇佣的时候主要可分为四个步骤
a、验证员工所提供的工作履历是否有造假的嫌疑
b、验证员工所提供的学历是否
c、让员工签署合约,表示公司有权力可以监视员工所有的网络通讯,避免员工泄露公司的机密
d、对更高阶的主管必须要进行身家调查,因为职位越高的主管一定知道公司更多机密的资料,所以一定要进行身家调查,避免高阶主管泄露了公司的机密
三、除了员工雇佣的时候要做好调查外,员工在离职的时候也要慎重的处理
员工在离职的时候可以分为两种处理的方式
a、当员工是自愿离职,也就是员工没有不良的行为,在这种情况下,我们应给与员工一定得时候做好交接的事项,然后办理离职手续
b、当员工被解雇的时候,例如发现员工有泄露公司机密,在这种情况下,我们应当立即关闭员工所使用的系统,让员工无法透过网络与外面联络,并且请员工马上离职,不用再做交接的事项
四、在工作方面必须注意到哪些事项,可以分为三个项目
a、重要的工作项目一定要做好分工,也就是要分很多人来一起做这个工作,避免有私下串通的安全问题
b、定期工作轮调,当员工的工作有一定的时间之后,必须要定期将员工的工作项目做调换,主要是为了避免有舞弊的安全问题
c、强制性的休假,因为有的时候员工是在不知道和无心的状态下让自己的工作出来差错,而强制性的休假就是要让员工重新做检讨,避免影响了公司的安全性
五、确保公司网络系统具备一定程度的安全
要确保公司网络系统具备一定程序的安全时,可以透过六种方式
a、集合,定期做集合,解释公司网络系统的安全有哪里需要做改进的地方
b、由高阶主管不定期的抽查,解释安全的报告,以及所做的安全措施有没有哪里有安全的漏洞和需要改进的地方
c、直接请外部人员进行渗透测试,也就是对公司进行网络攻击的方式,了解公司目前网络系统的安全程度够不够安全
d、做安全意识的宣传,让公司的人员了解信息安全的重要性,可以利用录音带和荧幕保护程序的方式标示一些安全标语等等
e、做技能的训练,让相关的信息人员指导如何去设定以及管理Server
f、做更深入的教育训练,比如了解什么是密码学,也就是让相关的信息人员去探讨相关资讯的原理
第二个部分,做好分级制度
要做好分级制度的话,必须要了解四个层面
一、分级制度的重要性,主要可以分为五点
a、实施分级的制度,是因为公司里面并不是所有的信息资产是有价值的
b、知道层级之后才能加强保护等级高的信息资产
c、可以增加企业的优势
d、除了公司的信息资产外,在法律上文件也是要保护的对象
e、发生灾难的时候,可以根据等级的高低来决定救援的优先顺序,也即是等级高的资产先做救援恢复的动作,减少公司的损失
二、分级制度的方向,可以分为三个方向
a、依据员工在公司所使用的公务类别来做分级的方向
b、与公司的竞争对手有关的信息资产来做分级的方向
c、与公司财务有关的信息资产来做分级的方向
三、基本上是由谁来做分级的制度
分级的制度一般是由拥有者来做,也就是要对信息资产要负起最终的责任的人,比如公司的高阶主管,因此负责做分级制度的拥有者,必须具备五个条件
a、拥有者要有足够的知识
b、拥有者要知道相关法律的要求
c、拥有者在做分级时要讲求一致性
d、拥有者在做分级的时候要将分级的标准定义出来
e、拥有者在做分级制度的时候,只有定义出机密是不够的,也要能做解密,比如机密的资产过了多久的时间后,就不具备机密性,以及销毁的条件和程序
四、分级制度的注意事项
将信息资产分级之后,有四个注意事项,必须在做好分级制度之后随时做解释,这样才能让分级制度发挥应用的功能
a、针对重要以及敏感的信息资产,要给与相关的标示或是贴上警告的标签
b、定期检查重要的资料有没有暴露的迹象
c、资料删除的时候要注意资料有没有彻底地被删干净
d、删除资料的时候一定要遵循适当的程序
第三个部分,风险的管理和分析
分析管理和分析可以分为以下七个项目来做说明
一、风险管理的目的:风险管理最终的目的就是要将威胁的来源找出来,然后将风险降到一个可以接受的程序
二、风险是如何形成的:要形成风险的话,就必须要威胁和弱点共同存在,这样才会形成风险,如果只有威胁或者只有弱点存在的话,就不会是风险,例如公司的网络环境并没有安装任何的防护措施比如防火墙之类的设备,这就是公司的弱点,那么网络上的黑客就是对公司的威胁。如果网络上黑客没有利用公司的弱点攻击公司的话,这样就不能算是风险。所以当网络上的黑客利用了公司的弱点攻击公司的话,这样风险才会存成立。相反地,公司架设的防火墙以及做了很多的安全措施让公司的网络环境没有任何的弱点时,因此当黑客在攻击公司无法成功的时候,这样的情形也不能算是公司的风险
三、风险分析的重要性:是为了在企业内将风险标示出来,让我们可以及时做好防护的措施,不过在做风险分析的时候,还必须考虑到现实法律以及法规的要求才行。
四、新的威胁产生,在做风险分析的时候还必须考虑新的威胁的产生,这些新的威胁产生的原因主要可以分为三种
a、新的技术出来
b、文化的改变
c、新产品的出现,例如日新月异的手机或PDA造成攻击的手法越来越多,因此新的威胁就回一直产生出来
五、风险分析成功的关键要素
可以分为三种:
a、获得高阶主管的支持,不管做什么事都是一样的
b、成立一个风险评估小组,主要就是专门去评估风险
c、寻找人员加入风险评估小组
六、风险管理的效益,可分为两种
a、可以成为要在哪个环境下盖机房的依据
b、可以根据现有的状态了解公司目前可以做到的安全程度
七、风险分析的类型
a、定量分析,把所有要分析的威胁和风险数字化,例如公司的web Server每年会给带来100万的收入,所以web Server就有100万的价值,因此,当公司的Web Server被攻击的时候,可能就会让公司损失掉100万的收入,所以讲风险定量分析后就可以清楚的了解风险的严重性
b、定性分析,主要是将情景的方式来衡量,将可能会产生出来的风险以高中低的方式来定义风险的危险性,但要耗费大量的人力以及时间,例如公司的web Server遭遇攻击的几率比较高时,我们就可以将webServer定义为高风险,如果公司的数据库遭遇攻击的几率比较低时,我们就可以将数据库定义为低风险。


--------本帖迄今已累计获得37安全币用户奖励--------


最后由 atomgj 编辑于 2012-11-16 17:44,总共编辑了 1 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-14 16:13 
离线
新手

注册: 2012-10-07 09:22
最近: 2013-10-12 15:44
拥有: 118.00 安全币

奖励: 1 安全币
在线: 734 点
帖子: 14
访问控制系统与方法论——PART1
访问控制系统最主要重视的就是机密性这个安全要素,因此访问控制系统与方法论可分为六个项目来做说明:
第一个项目:什么是访问控制
访问控制是为了控制企业组织里面所有与存取有关的东西,所以访问控制的目的就是为了避免不适当的威胁和弱点发生,将威胁降低到最低可以接受的程度
第二个项目:访问控制的原则
主要可以分为两个重要的原则,
第一个原则:将重要的工作分给很多人去做,这是为了避免只有一个人做这份重要工作时,很容易被他人收买并且做不正当的存取行为
第二个原则:给足够的权限,不要过多,避免发生获得授权的人做未经授权的修改,例如:A使用者获得人事部门的授权拥有可以读取人事部门机密资料的权限;但是A使用者并不能拿人事部门的权限去读会计部门的机密资料,因为这样的话就发生了获得授权的人做未经授权的事情。
第三个项目:访问控制会面临到的威胁
访问控制所会面临到的威胁,我们列举八种场景的威胁来作说明:
一、DOS:拒绝服务的攻击主要的目的就是让公司的系统无法正常的提供服务,例如黑客可能会使用大量的ping封包,攻击公司的webServer,造成webServer的网络频宽拥塞,当网络上client端要连线到web server时,就会发生连线忙碌中而无法正常连线到web Server的情形
二、Mobile Code 主要是透过IE浏览器从网络上下载小程序,但是不见得是有恶意的程序,而这个动作就称为mobile code,例如使用IE浏览器下载java applet
三、Malicious SoftWare,例如Viruses病毒对系统会造成一定程度的破坏;Trojan Horses木马,在系统内部植入后门程序,让系统产生安全上的漏洞;worms可以自我复制,并利用email的功能到处复制,造成大范围的系统受到感染
四、Password Crackers 密码破解的方式可以分为两种:a、使用暴力破解的方式将这组密码所有可能的组合方式一一排列测试,这是非常耗费时间的一种方式,b、使用字典破解的方式,将现有的单词分别拆开了组合和测试,
五、Sniffer使用监听程序抓取网络上的资料
六、Dumpster Diving到垃圾桶里去翻资料,这关系到公司在销毁资料的时候有没有将资料彻底的销毁干净,如果没有的话,公司的资料就会很容易被泄露出去
七、Social Engineering 社会工程,就是利用人性的心理达到所要的目的,像是伪装成公司某个主管透过电话的方式向信息人员打听账号密码的信息
八、Theft偷窃,也就是将公司的设备偷走,直接就造成公司在财务上以及资料上的损失
第四个项目:访问控制使用的相关技术以及工具
访问控制所使用的相关技术和工具可分为两个部分
一、访问系统:
访问系统主要可分为三个架构
1、如何借着有效的身份管理技术来管理好身份账号
这是因为一个新人在申请账号的时候要花很多的时间,所以有效的身份管理技术就是为了解决申请账号的时候所花掉的时间:
例如新进员工进入公司一直到可以使用系统的时候需要经过一些繁杂的申请流程之后,才有办法申请到账号去使用系统:第一个步骤,新进员工进入公司后,需要填写一张可以让他使用系统的申请表,然后将他要使用系统的请求送给部门主管批示;第二个步骤,部门主管收到新进员工要使用系统的请求后,会依据员工要担任的职位看要给新进员工什么样的权限,再将请求送出做资格的审核;第三个步骤:负责审核的人员收到新进员工的请求后会去审核新进员工申请使用系统的资格符不符合公司的要求,如果资格符合后,就会将新进员工的请求送给IT部门;第四个步骤:IT部门收到新进员工的请求后,就会将请求转给管理员;第五个步骤:管理员收到请求后,就会建立新进员工的账号并且设定权限;最后第六个步骤:新进员工就会拿到使用者账号,然后就可以开始使用公司的系统。
不过这是在一切很顺利的情况下才申请到账号的过程。因此在第一个步骤新进员工将要使用系统的请求送出后,可能会有发生请求的文件被主管压住而未作处理,造成申请账号的时间延后;在第二个步骤,主管可能会发现新进员工写的表格有误之后就会让新进员工重新再填写一份;在第三个步骤,在审核的过程中可能会发现新进员工的填写项目不正确,或者是填写的资料不完整时,就会要求新进员工将资料做修正;在第四个步骤,可能会发生管理员休假而无法帮新进员工建立账号,造成新进员工申请账号的时间又要多等待几天。
因此,当申请账号的流程变复杂时,就会产生出一些问题,产生出来的问题主要可以分为三个问题:
a、造成公司生产力的下降
b、人员越来越多之后,错误的几率也会变多
c、如果只有一个系统管理的时候,会有单一失效问题,也就是当这台系统发生故障时,直接造成公司里面所有员工的账号无法正常使用
所以要做好身份管理的原因是有两个需求:
a、解决一个人要记很多账号密码的问题
b、解决人多的时候管理变复杂的问题
因此要解决这些需求的话,就要使用有效的身份管理技术
身份管理的技术就是为了让管理变得流畅
所有有效的身份管理技术主要可以分为六种:
第一种、使用Directories目录服务的功能做账号集中管控的机制,主要目的是让公司内部的人使用,例如透过LDAP协议,做使用者账号的识别以及验证,不过使用目录服务功能有个缺点:就是无法与旧系统的机器做整合,如windows95或windows98系统
第二种:使用Web Access Management 的功能做管理,主要也是使用Directories目录服务的功能来管理,只是用在web的环境里面,主要的目的是提供给公司外部的人使用,例如外部的Client端会先连接到前段的Web Server做验证,等待前端Web Server验证正确,身份没问题之后,Clinet端可以连接到后端的Web Server存取资源
第三种:使用Password Management进行密码集中式的管理,密码集中式管理的目的就是要让管理员到任何一台电脑的位置上修改密码的时候,其他电脑的密码也会一起做修改的动作,这样做就会让IT信息人员在管理电脑的时候可以有效的提高效率
第四种:使用Single Sign-On单点登录的功能做管理。使用SSO的主要目的是针对公司内所有使用传统的旧系统,让他们之间可以彼此互相做沟通
第五种:使用Account Management账号管理的系统,让整个建立账号的流程可以自动化
第六章:使用Profile Update的系统做管理,它可以提供一个好的方式更新个人的资料,比如电话或是生日一些比较不机密的资料
2、如何确定使用者的身份以及验证
在介绍如何确定使用者的身份及验证之前,先说明这四个名词之间的差异性:
identification 识别 主要是打入账号告诉系统我是谁
authentication 认证 主要是打入密码告诉系统我的身份是正确的
authorization 授权 通过验证之后,系统就会授权给你
accountability 可问责性,指的是责任归属的问题
了解了这四个名词之后,要开始来介绍如何确定使用者的身份及验证,以下会分三个项目来做介绍:
第一个项目:身份识别的类型,可分为两种:UserID,比如输入使用者的名词或是使用者的识别号码 第二种:使用PIN卡的方式,比如员工的识别卡和工作证之类的
第二个项目:身份识别的注意事项,主要可以分为三点:
a、账号不能和别人分享使用
b、账号的命名要有规则方便记忆
c、从账户名称上面的意思不能看出使用者的身份职位,以避免成为大家首要攻击的对象
第三个项目:鉴别的类型,可分为三种
a、who am I?我是谁,指的就是输入密码的意思,这种方式属于静态的密码,不过所输入的密码在加密的时候必须具有one-way hashing的特性,所谓one-way hashing的特性指的是我们设定了一组密码为12345 经过加密后会变成%&……*&……不规则的编码,但是这些不规则的编码无法还原成12345
b、What Do I have?指的是我们拥有什么卡,像是金融卡或者是识别卡之类的,这种方式是属于动态的密码。动态密码的特性是One-time password也就是密码只能使用一次,以后每次登录的时候都要变换密码,比如比较常见的one-time password的设备就是使用Token令牌的方式。
Token又可以分为两种类型:
1、非同步的Token:例如第一个步骤使用者会先传输一个请求给authentication server,表示要做登录的动作,第二个步骤,AS收到登录者的请求后后,会传输一组challenge number的号码给使用者,第三个步骤,使用者将收到的Challenge number的号码和Token的PIN码一起输入到token里面;第四个步骤:token收到challenge number和PIN码之后,会显示出这一组登录的密码是12345;第五个步骤:使用者将12345输入电脑里面然后将这组密码12345传送给AS,第六个步骤:AS收到使用者登录的密码12345之后会做验证,当验证通过后,使用者就可以登录到系统里面,这就是非同步token的运作流程
2、同步的Token:指的是系统和token会在一定得误差范围内变动密码,所以使用者只要输入token上面显示的密码就可以登录系统了
另外,除了token之外,市面上还可以见到有两种类型的卡
1、Member Cards 在这里存的是使用者的识别资料,只能存储资料而不能处理资料,因此使用者只要将卡插入就可以做登录的动作,例如我们所使用的金融卡,他是以磁条卡的方式来做感应,不过使用磁条卡的方式时,有一个风险就是很容易被伪造
2、Smart Cards 智能卡,这种卡主要是可以做运算的功能,例如在卡的上面安装一个芯片卡,这个卡可以存储资料以及可以做运算功能甚至可以做加密的动作,所有就会拥有比较高的安全性
不过这两种类型的卡都有一个固定的缺点,就是一定要有读卡机之后才可以使用这两种卡
c、Who are you?你是谁,指的就是通过生物特征的方式来做验证,告诉系统你是谁,因此生物特征的主要功能就是要讲求精确性以及处理的速度,也就是使用者注册的时候两分钟就要处理完毕,常见的生物特征辨识有六种:
1、fingerprint 指纹辨识,是接受程度最高的辨识方法
2、retina pattern 视网膜辨识、利用每个人的视网膜来做主要的辨识特征
3、voice pattern 声纹辨识、利用每个人的声音特性来做voice pattern
4、hand geometry 手型辨识、利用手的几何形状来做主要的手型辨识特征
5、palm scan 手掌心辨识、利用每个人的手掌心来做辨识特征
6、facial recognition 脸部辨识、利用每个人的脸部来做辨识特征

3、访问控制的服务,可以分为两个项目
第一个项目:访问控制服务的角色,主要可分为两种:
a、subject 专门请求服务的主体是主动的,也就是俗称的Client端
b、object 专门提供服务的主体是被动的,也就是俗称的Server端
主体和客体之间的访问关系主要是透过security kernel做控制;
例如subject要访问object的时候,第一个步骤,subject会先将请求送给security kernel,security kernel来决定subject可不可以访问object 第二个步骤,当security kernel收到subject的请求后,会去依据policy访问原则的设定来决定subject在object上面可以做什么样的访问权限 第三个步骤,如果security kernel检查出subject的身份是可以全控制的,那subject就可以再object上行使全控制的权限做任何的访问动作
第二个项目:访问控制服务的方式,可以分为六种
a、Single Sign-ON 单点登录,当企业有很多系统有很多系统要使用的时候,就可以使用SSO,只要打一次账号密码,就可以访问所有的资源。例如当client端要访问公司各个server资源的时候,第一个步骤,client端只要输入一次使用者的账号以及密码,送给authentication server做验证,这也是SSO的好处,只要记得一组密码就可以了,第二个步骤,authentication server收到client端的使用者账号和密码后,就会开始做身份验证的动作,最后第三个步骤,authentication server验证client端的账号密码成功后,client端就可以使用公司内部所有server的资源。
不过使用SSO有一个确定,就是当authentication server故障后,会发生单一失效的问题,造成client端无法访问公司内部所有server的资源
b、Kerberos的验证,所谓kerberos的验证,是当网络上的client端要使用系统的时候,是由kerberos在做彼此的沟通,等kerberos验证通过后,client端就可以使用系统的资源。虽然kerberos的验证在网络上传递资料的时候有做加密的动作,但资料到client端的时候是不做加密的动作的,而kerberos整个验证的过程对使用者来说是完全感觉不到的,因此针对kerberos的部分分为两个项目来做说明
第一个项目 kerberos验证的流程,是完全是有key distribution center
....
....


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-14 16:16 
离线
新手

注册: 2012-10-07 09:22
最近: 2013-10-12 15:44
拥有: 118.00 安全币

奖励: 1 安全币
在线: 734 点
帖子: 14
访问控制系统与方法论——PART2
第一个项目 kerberos验证的运作流程,都是由key distribution center KDC这台Server全权做kerberos验证的动作。所以KDC这台Server主要扮演两个角色,第一个角色,authentication server AS主要是用来做鉴别的功能,确定使用者的身份。AS这台Server在系统架设完成后,就是事先与Clinet端交换Secret Key,主要是为彼此之间的沟通做加密,但是有一个缺点就是 AS是以明码的方式在交换Secret key,所以还是会有安全上的问题。第二个角色 Ticket Granting Server TGS主要是用来做沟通的功能,也就是Client端要拿到Ticket Granting Server TGS所发放的Ticket Granting Ticket TGT与其他的Server 沟通,简单的说TGT就像是门票一样,Client端要拿着TGT这张门票才能与Server之间做沟通,并且存取Server 的资源。因此就来看KDC整个验证的过程:架设Client要存取File Server的资源时,第一个步骤,Client要输入使用者的账号和密码,然后将这些账号密码的信息送给AS做身份验证,第二个步骤,传输使用者的账号密码信息时,Client端是使用Sercet Key将这些账号密码的信息做加密,然后传输给AS,第三个步骤:AS收到Clinet端传来的账号信息后,会去验证Client端的身份有没有问题,第四个步骤,AS确定Client端的身份没有问题后,TGS就会发行TGT这张门票给Client端,第五个步骤,传输TGT这张门票的过程中,一样会使用secret key将这张门票加密起来,因为这里面含有Client端所有的验证信息,所以要加密起来,然后再传输给Client端,最后,Client端就会拿TGT这种门票与File Server进行沟通,这样的话,Client端就可以存取File Server 的资源。
那么了解了Kerberos的运作流程之后,第二个项目要知道Kerberos有哪些注意的事项:Kerberos的注意事项主要分为两个项目:第一个项目:Kerberos加密的方式,只有使用Syemetric Cryptography对称加密算法,所谓对称式加密算法指的就是使用同一把金锁,再做加密和解密的动作,所以当这把金锁被黑客拿到后,就会有安全上的问题。第二个项目:为了让kerberos的加密更安全,只有让secret key经过一段时间后就做更改,借此增加kerberos加密的安全性,
c、SESAME,它也是单一登录的方式,SESAME是同时使用对称式和非对称式加密算法,这样的加密方式比kerberos安全。所谓Asymmetric cryptography非对称式加密指的就是使用两把不同的金锁来做加密和解密的动作,这样的安全性会比较高
d、Directory目录服务,提供一个以名称的方式来管理公司的信息系统
e、Diskless Workstations无盘工作站,这样的方式可以不用做Client端的访问控制
f、Security Domian主要是使用同一个规则及管理的方式,来保护网域内的资讯,因此透过Security Domain的方式,可以去控制subject存取的动作,例如高安全等级的subject可以正常地存取高安全级别的domian,如果高安全等级的subject要存取低安全级别的domain,也可以正常的做存取;假设Subject是低安全等级的话,一样可以存取低安全等级的domain,但是低安全等级的subject要存取高安全等级的domain的话,就会被拒绝掉,也就是说低安全等级的subject只能存取低安全等级的domain。
二、访问资料:那么了解了存取系统使用的相关技术以及工具外,要介绍第二个部分:存取资料
存取资料的类别可以分为四种,
1、Mandatory Access Control 强制性存取,简称为MAC,通常是用在军方的系统上,所以MAC访问的规则主要是由两个角色来制定:第一个角色owner拥有者主要是负责定义使用者需要使用那些权限,第二个角色System Administrator系统管理员,主要是负责设定owner拥有者指定给使用者的权限
2、Discretionary Access Control 自主性存取,简称为DAC,运用一些特点的规则来限制使用者的存取,所以DAC主要是由owner拥有者来决定哪一个使用者可以存取资源。因此DAC存取规则的执行主要可以分为五种方式:第一种方式:Access Control Lists ACLS访问控制列表,由ACLs来控制那些使用者可以存取object,第二种方式:Rule Based Access Control 依照规则的方式决定授权的行为。第三种方式:Role Based Access Control 依照角色的方式决定授权的行为,也即是用群组给与权限的观念,例如我们可以将jason这个使用者加入到role A这个角色里面,再设定role A这个角色存取资料的权限,这样的话只要将使用者加入到role A中,就可以有存取这份资料的权限,因此就不需要再去对每个使用者设定存取的权限。 第四种方式:Content-Dependent Access Control 主要是用档案的内容来决定使用者是否可以存取,第五种方式:Constrained User Interface提供有限的操作环境限制使用者的操作,例如提款机的操作环境,只有几个固定的按键,可以让使用者操作而已
3、Centralized Access Control集中式控管,也就是由中央来控制存取的权限,安全性高但是会有单一失效的问题
4、Decentralized Access Control 分散式控管,指的是谁靠近资源就由谁来控制存取的权限。例如peer to peer的软件,就是使用分散式控管的方式,依据使用者连线到最近的server,并由这台server来控制存取的权限。
除了了解存取资料的类别之外,还必须知道如何安排时间处理重要文件,例如我们将机密等级的资料安排在白天的时间做销毁的动作,将比较不机密的资料安排在晚上的时间做销毁的动作,所以处理重要文件时就是要用时间来做区隔的意思
第五个项目:如何确保存取控制的功能有效的实施,可以进入两种设备来侦测:
第一种设备:Intrusion Prevention System IPS主要是防止入侵事件的发生,例如IPS在安装的时候,是安装在gateway端的位置,当IPS发现攻击的行为时,就可以直接将攻击的行为挡掉,可以达到立即阻绝的效果。简单的说,我们可以把IPS想成和Access Control有关,也就是以什么样的行为可以通过,什么样的行为不可以通过的设定方式
第二种设备:Intrusion Detection System IDS主要是侦测入侵事件的发生,也就是只看攻击事件有无发生而已,不做任何的防护动作,例如IDS在安装的时候,是安装在Switch底下的位置,并不是安装在Gateway的位置。当IDS发现攻击的行为时,就会发出警告的讯息,可是当IDS发现攻击的行为时,通常公司内部电脑已经遭受到攻击了,因此并不能真正有效的阻击攻击事件的发生,所以IDS主要是看有无发生攻击的事件而已,然后发出警告,并不会做任何的防护动作。
因此IDS可以分为七种类型:
1、NetWork-Based IDS NIDS 主要是侦测封包有无攻击的行为,例如NIDS会分析http packet封包有无异常的情况发生,如果http 封包的流量有异常现象的话,NIDS就会发出警告讯息,但是这样的方式很难去定义什么是有异常的情形,所以失败的几率会比较高
2、Host-Based IDS HIDS 属于主机型的IDS,主要是安装在主机上进行侦测,例如HIDS会分析event logs的记录资料有无可疑的行为发生,如果event logs的记录资料有发现可疑行为的话,HIDS就会发出警告讯息
3、Pattern Matching IDS 辨识的方式是要时常去下载攻击特征的资料,就跟传统的杀毒软件要去更新病毒包是一样的意思,所谓攻击特征的资料是对已知的资料去做判断,所以误判的几率比较高,并且常会将政策的行为当成攻击的行为,或者是将攻击的行为当成正常的行为
4、Stateful Matching IDS 辨识的方式是先收集数个封包来判断是否有攻击的行为,这样的侦测方式有三个特点:第一个特点只能辨识已知的攻击行为,第二个特征:会造成误判的问题,第三个特征:必须要定期更新攻击特征的资料
5、Statistical Anomaly-Based IDS 主要是以行为来判断攻击的事件,就是针对正常行为偏离正常行为的话,就判断为攻击的行为,但是很难去定义什么事正常的行为,所以这种方式很难去做到
6、Protocol Anomaly-Based IDS 是针对protocol做判断,这种判断方式可以判断出未知的攻击行为,但是管理员必须要对protocol的特性够了解才行
7、Traffic Anomaly-Based IDS 是针对流量做判断,看网络上流量有没有偏离正常的行为,像是大量的封包或是出现不明的封包。
那么了解了IDS其中类型之外,还有四个项目必须要注意:
1、如何判断anomelies 异常的行为事件:Anomalies异常的行为事件主要可以分为四项:
第一项:检查记录档的记录,看看有无可疑的使用者多次登录系统失败
第二项:奇怪的时间差,主要是看有没有可以的使用者在不正常的时间登录系统,像是下班的时间或者是凌晨的时间,
第三项:不正常的错误信息,或是发现荧幕出现不应出现的信息,就必须警惕是否发生了攻击的事件
第四项:不正常的系统关机或是重启,也就是发现系统在不应该关机或重启的时间时,就必须警惕是否发生了攻击事件
2、了解IDS发现入侵时,如何做回应。回应的方式可以分为五种:
第一种:IDS发现入侵事件后,将封包挡掉
第二种:将异常显示在荧幕上
第三种:发出警告告诉管理员现在的系统已经遭受到攻击
第四种:发出邮件到管理员的信箱,告诉管理员现在的系统已经遭受到攻击
第五种:必须先安装蜂鸣器,当IDS发现攻击时,就会发出警报声
3、如何管理好IDS,让IDS发挥出一定的效果
要管理好IDS,让IDS可以发挥出一定效果的话,就要定期更新攻击特征的资料,这样才能检测出新的攻击行为
4、审计事件的类型:所谓审计事件就是针对一份由事件显示器的记录资料,检查有没有异常的行为出现。因此审计事件的类型可以分为三种:
第一种:要检查网络连线方面的记录资料
第二种:要检查系统方面的记录资料
第三种:要检查应用程序方面的记录资料
第六个项目:如何在人员的方面做好访问控制。可以分为三个层面
第一个层面:定期检查audit审计的资料
第二个层面:使用security analyzer tools安全分析工具帮系统做弱点扫描,了解系统的弱点在哪,并作适当的修正或更新:例如微软的Baseline Security Analyzer分析工具就可以对系统做弱点扫描的动作
第三个层面:请外面的人来公司做peneration tests渗透测试,下面就针对渗透测试的部分分为四个项目作说明: 第一个项目:渗透测试的类型,可分为三种:
第一种:雇佣的人对公司的网络资讯在都不知道的情况下做攻击的动作
第二种:雇佣的人对公司的网络资讯在知道一些的情况下做攻击的动作
第三种:雇佣的人对公司的网络资讯在完全知道的情况下做更深入的检查动作
第二个项目:要了解渗透人员所写的报告文件对公司有何帮助。对公司的帮助可以分为两点:
第一点:发现弱点之后,讨论有何解决的方法
第二点:渗透测试完成之后,看看IDS会不会发现攻击的行为
第三个项目:渗透测试攻击的模式,可以分为五种:
第一种:从远端攻击,例如渗透测试人员直接透过网络的方式对公司进行攻击的动作,看看公司有没有安全上的漏洞
第二种:从内部攻击,例如渗透测试人员直接在公司内部网络的位置上对公司进行攻击的动作,看看公司有没有安全上的漏洞
第三种:在网络上寻找公开的资讯,透过这些资讯进行攻击,例如透过google看看能不能找到一些公开的资讯,然后再利用这些公开的资讯对公司进行攻击
第四种:让IT人员在不知道的情况下,渗透测试人员与稽核人员合作,一起进行攻击,这样的话就可以了解IT人员对危机的处理效率
第五种:由公司内部组一个团队与外部人员合作,一起进行攻击,但是这样的方式只有一定的成效,因为当中牵扯到人情的包袱,可以会造成缺少的部分未能完全指出来的情形
第四个项目:渗透测试攻击的方式,可分为四种
第一种:针对应用程序进行攻击测试
第二种:使用Denial of Services DoS的方式进行攻击,让公司无法正常提供服务,例如渗透测试人员可能会使用大量的ping封包攻击公司的web server,造成web Server的网络频宽拥塞,当网络上的client端要连线到公司的web server时,就会发生连线忙碌中,而无法正常连线到web Server的情形,然后再检视有无应对的措施
第三种:针对wireless access point 无线AP进行测试,看看有没有可疑的人偷偷连线到AP上面
第四种:Social engineering社交工程,渗透测试人员可能伪装成公司的主管,看看能不能从IT人员的身上骗到使用者的账号及密码。


--------本帖迄今已累计获得30安全币用户奖励--------


最后由 atomgj 编辑于 2012-11-18 16:09,总共编辑了 1 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-14 17:35 
离线
顶级用户

注册: 2010-07-02 16:46
最近: 2014-09-17 22:21
拥有: 7,804.00 安全币

奖励: 131 安全币
在线: 12631 点
帖子: 1386
求视频分享,谢谢!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-14 23:09 
离线
高级用户

注册: 2008-03-28 09:24
最近: 2018-05-12 23:12
拥有: 20,169.00 安全币

奖励: 1299 安全币
在线: 7054 点
帖子: 147
staryang01 写道:
求视频分享,谢谢!


+1
:D :D :D


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-14 23:23 
离线
新手

关注按钮

注册: 2008-05-03 18:50
最近: 2013-10-28 01:23
拥有: 769.30 安全币

奖励: 1 安全币
在线: 1868 点
帖子: 18
+1 哈哈


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-15 10:39 
离线
新手

注册: 2012-10-07 09:22
最近: 2013-10-12 15:44
拥有: 118.00 安全币

奖励: 1 安全币
在线: 734 点
帖子: 14
最近QQ中转站里放满了东西,等下载完清空后上传视频,届时分享


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-15 14:30 
离线
新手

注册: 2012-11-15 10:16
最近: 2012-11-15 14:30
拥有: 1.00 安全币

奖励: 0 安全币
在线: 22 点
帖子: 2
求视频分享,谢谢!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:CISSP培训文字记录
帖子发表于 : 2012-11-27 15:21 
离线
新手

关注按钮

注册: 2012-11-27 15:21
最近: 1970-01-01 08:00
拥有: 0.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 5
为什么这几天论坛访问都超慢,基本上登不上去?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-27 15:22 
离线
新手

关注按钮

注册: 2008-05-03 18:50
最近: 2013-10-28 01:23
拥有: 769.30 安全币

奖励: 1 安全币
在线: 1868 点
帖子: 18
micro_clark@hotmail.com,谢谢分享。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-27 16:09 
离线
中级用户

注册: 2005-09-13 14:29
最近: 2013-08-23 15:58
拥有: 438.80 安全币

奖励: 0 安全币
在线: 1351 点
帖子: 124
发个视频来看下吧 cailj@163.com


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-27 16:10 
离线
初级用户

注册: 2012-11-07 09:56
最近: 2013-02-02 10:01
拥有: 778.00 安全币

奖励: 30 安全币
在线: 499 点
帖子: 43
djp003@163.com
求视频分享,谢谢!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-27 16:43 
离线
新手

注册: 2007-10-12 22:05
最近: 2012-11-27 16:43
拥有: 2.00 安全币

奖励: 0 安全币
在线: 18 点
帖子: 4
辛苦了. afoe@163.com 求视频分享,谢谢!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-27 18:21 
离线
中级用户

关注按钮

注册: 2011-02-09 11:21
最近: 2016-06-14 22:21
拥有: 2,134.00 安全币

奖励: 76 安全币
在线: 1837 点
帖子: 76
楼主真是好人,llzhe2002@163.com 求视频分享,多谢。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP培训文字记录
帖子发表于 : 2012-11-28 09:09 
离线
新手

关注按钮

注册: 2012-03-07 08:50
最近: 2013-12-01 15:46
拥有: 2,114.00 安全币

奖励: 6 安全币
在线: 1952 点
帖子: 7
这个还真的是满期待的,也还请麻烦发我下,zjfzjf5@126.com,谢谢。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 72 篇帖子 ]  前往页数 1, 2, 3, 4, 5  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012