安全运营
一.運(yùn)營(yíng)基礎(chǔ)概念
1.關(guān)鍵主題
1)維護(hù)運(yùn)營(yíng)彈性
關(guān)鍵業(yè)務(wù)有彈性,保持連續(xù)性,制訂有應(yīng)急預(yù)案,實(shí)時(shí)監(jiān)控和響應(yīng)
2)保護(hù)有價(jià)值的資產(chǎn)
提供各種資產(chǎn)的日常維護(hù)
保護(hù)資產(chǎn)不被破壞
3)控制系統(tǒng)賬號(hào)
對(duì)各種帳號(hào)(尤其是特權(quán)帳號(hào))的檢查,平衡用途
4)有效管理安全服務(wù)
IT服務(wù)的變更、配置和問(wèn)題管理
安全配置流程控制,如用戶配置和服務(wù)臺(tái)程序
關(guān)注報(bào)告和服務(wù)持續(xù)改進(jìn)實(shí)踐
2.行政管理
2.1.職責(zé)分離
定義:將一個(gè)關(guān)鍵任務(wù)分成不同的部分,每個(gè)部分由不同的人來(lái)執(zhí)行。
一種防御性措施;減少故意破壞的機(jī)率,實(shí)現(xiàn)互相制約;減少無(wú)意的疏漏和錯(cuò)誤的機(jī)率,實(shí)現(xiàn)互補(bǔ)。
1)系統(tǒng)管理員
系統(tǒng)日常管理
2)操作員
工作職責(zé):進(jìn)行主機(jī)的日常操作,確保預(yù)定的工作有效進(jìn)行和解決可能出現(xiàn)的問(wèn)題 。
權(quán)限說(shuō)明:操作員具有很高的權(quán)限,但低于系統(tǒng)管理員,這些權(quán)限可以規(guī)避系統(tǒng)的安全策略,應(yīng)監(jiān)控這些特權(quán)使用并進(jìn)行日志審計(jì)。
3)安全管理員
作用:定義系統(tǒng)安全設(shè)置并協(xié)同管理員進(jìn)行相關(guān)配置,提供一種權(quán)利制衡,為系統(tǒng)管理員提供審計(jì)和審查活動(dòng)
主要職責(zé)
賬號(hào)管理
敏感標(biāo)簽的分配
系統(tǒng)安全設(shè)置
審計(jì)數(shù)據(jù)的評(píng)審
幫助/服務(wù)臺(tái)人員
提供一線支持
在需要時(shí)重置用戶密碼
進(jìn)行監(jiān)控和背景調(diào)查
4)普通用戶
需要訪問(wèn)信息技術(shù)資源
2.2.崗位輪換
解決單點(diǎn)故障,檢測(cè)性控制,當(dāng)崗位輪換后,可以有時(shí)間和空間檢測(cè)上一任的情況,是減少合謀的最佳方法。
2.3.最小特權(quán)和“知其所需”
2.4.強(qiáng)制休假
2.5.人員管理
1)運(yùn)營(yíng)人員的要求負(fù)責(zé)、謹(jǐn)慎、明智和有能力的人
2)安全管理員與網(wǎng)絡(luò)管理員:
關(guān)注方向不同
實(shí)現(xiàn)和維護(hù)安全設(shè)備與軟件
執(zhí)行安全評(píng)估
創(chuàng)建和維護(hù)用戶資料,實(shí)現(xiàn)和維護(hù)訪問(wèn)控制機(jī)制
配置和維護(hù)強(qiáng)制訪問(wèn)控制措施(MAC)環(huán)境中的安全標(biāo)簽
管理口令策略
檢查審計(jì)日志
2.6.特權(quán)帳號(hào)
1)Root or內(nèi)置管理員帳號(hào)
用于管理設(shè)備和系統(tǒng)全能默認(rèn)賬號(hào)
安全控制
更名盡可能的嚴(yán)格
默認(rèn)密碼要修改
Logs記錄個(gè)人使用 root賬號(hào)的行為
使用root帳號(hào)遠(yuǎn)程登錄時(shí)
會(huì)話應(yīng)執(zhí)行強(qiáng)加密和監(jiān)控
使用多因子的身份驗(yàn)證方法
2)服務(wù)帳號(hào)
由系統(tǒng)服務(wù)和核心應(yīng)用所使用的特權(quán)訪問(wèn)
3)管理員帳號(hào)
被分配給需要系統(tǒng)特權(quán)訪問(wèn)來(lái)執(zhí)行維護(hù)任務(wù)的指定個(gè)人
應(yīng)與用戶的普通賬號(hào)分開(kāi)
賬號(hào)密碼應(yīng)安全可靠的分發(fā)給個(gè)人
管理員應(yīng)書(shū)面承認(rèn)接收賬號(hào)并遵守組織規(guī)則
賬號(hào)不再使用應(yīng)立即去除
所有的活動(dòng)應(yīng)該被審計(jì)
部署額外的日志系統(tǒng)
多因素認(rèn)證
4)超級(jí)用戶
賬號(hào)權(quán)限由于工作所需授予超過(guò)普通用戶權(quán)限但是不需要管理員權(quán)限的
超級(jí)用戶可以在自己的桌面上安裝軟件
應(yīng)書(shū)面承認(rèn)接收賬號(hào)并遵守組織規(guī)則,如簽署安全協(xié)議書(shū)
2.7.特權(quán)賬號(hào)管理
1)控制特權(quán)賬號(hào)
對(duì)帳號(hào)的數(shù)量和類(lèi)型進(jìn)行嚴(yán)格控制
監(jiān)控系統(tǒng)的帳號(hào)管理權(quán)限
實(shí)施身份和訪問(wèn)管理(IAM)
知所必需和最小特權(quán)(互為補(bǔ)充)
need to know 知所必需
Least privilege 最小特權(quán)
2)監(jiān)控特權(quán)
許可、適用性和背景調(diào)查
帳戶驗(yàn)證(Account Validation)
崗位輪換(Job rotations)
雙人操作(two man rule)
強(qiáng)制休假(Mandatory vacations)
2.8.可問(wèn)責(zé)性
用戶訪問(wèn)資源的權(quán)限必須給予適當(dāng)控制,以避免授予過(guò)多權(quán)限導(dǎo)致對(duì)公司及其資源造成損害。
應(yīng)當(dāng)對(duì)用戶訪問(wèn)和操作資源的行為進(jìn)行監(jiān)控、審計(jì)和日志記錄。用戶ID應(yīng)包含在日志中
3.日常運(yùn)營(yíng)
1)運(yùn)營(yíng)責(zé)任
操作安全目標(biāo):降低可能由非授權(quán)訪問(wèn)或?yàn)E用造成損失的可能性。
管理層負(fù)責(zé)雇員的行為和職責(zé)。
操作部門(mén)的人員負(fù)責(zé)確保系統(tǒng)受到保護(hù)并在預(yù)期的方法下運(yùn)行。
操作部門(mén)的目標(biāo):防止反復(fù)發(fā)生問(wèn)題,將硬件和軟件故障降低到可接受的級(jí)別以減少事故或破壞的影響。
2)關(guān)注內(nèi)容
查看不尋常或無(wú)法解釋的事件:例如不斷出現(xiàn)計(jì)算機(jī)斷網(wǎng)。
偏離標(biāo)準(zhǔn):與原有的標(biāo)準(zhǔn)設(shè)計(jì)(負(fù)載特高、特低),進(jìn)行偏差評(píng)估,推動(dòng)是否被攻擊。
不定期的初始程序加載/重啟:例如計(jì)算機(jī)頻繁重啟。
資產(chǎn)表示和管理:了硬件、固件、操作系統(tǒng)、語(yǔ)言運(yùn)行時(shí)環(huán)境、應(yīng)用程序以及不同的庫(kù)。
系統(tǒng)控制:確保指令在正確的上下文中執(zhí)行。
可信恢復(fù):確保故障和操作中斷不會(huì)破壞系統(tǒng)安全運(yùn)行所需的機(jī)制和規(guī)程。
輸入和輸出控制:應(yīng)用程序的輸入和輸出有直接的關(guān)聯(lián)關(guān)系,需要監(jiān)控輸入中的任務(wù)錯(cuò)誤和可以行為。
系統(tǒng)強(qiáng)化:禁用不需要的組件和服務(wù)。
系統(tǒng)安全配置加固。
遠(yuǎn)程訪問(wèn)安全:不得以明文方式傳送命令和數(shù)據(jù),盡量本地管理,控制范圍。
3)保證級(jí)別
a)操作保障
關(guān)注產(chǎn)品的體系結(jié)構(gòu)、嵌入的特征和功能。在產(chǎn)品評(píng)估中, 產(chǎn)品具有使用戶持續(xù)獲得所需安全的產(chǎn)品特性;
操作系統(tǒng)保障示例:訪問(wèn)控制機(jī)制、 特權(quán)和用戶程序代碼分離、審核和監(jiān)視能力、 隱蔽通道分析、可信恢復(fù);
b)生命周期保障
關(guān)注產(chǎn)品如何開(kāi)發(fā)和維護(hù), 全生命周期各階段滿足標(biāo)準(zhǔn)規(guī)范
示例:涉及規(guī)范、限制級(jí)別配置、 單元和集成測(cè)試、配置管理以及可信分發(fā)
4)軟件許可控制
授權(quán)軟件安裝,禁止安裝盜版軟件 ,控制授權(quán)。
5)人身安全
Privacy 隱私
Travel 出行
Duress 脅迫 (屬于社會(huì)工程)
6)錯(cuò)誤警報(bào)門(mén)限(Clipping levels)
定義:應(yīng)設(shè)定某種錯(cuò)誤發(fā)生次數(shù)的門(mén)限, 超過(guò)此門(mén)限后相關(guān)行為將受到懷疑或禁止。
作用:設(shè)置錯(cuò)誤警報(bào)門(mén)限的目的是使用門(mén)限值、 監(jiān)控和審計(jì)的方式,及時(shí)發(fā)現(xiàn)問(wèn)題防止更大損失發(fā)生
二.物理安全
1.基本概念
設(shè)施防護(hù)的第一道屏障
2.設(shè)施訪問(wèn)控制/出入控制
1)訪問(wèn)控制機(jī)制
鎖和鑰匙:提供的延遲時(shí)間應(yīng)與周?chē)O(shè)備的防入侵能力保持一致
電子卡訪問(wèn)系統(tǒng)
人員配置
2)物理屏障
柵欄
高度
3-4英尺:僅能阻止無(wú)意進(jìn)入者
6-7英尺 :被認(rèn)為是不可能爬上去
8英尺:頂端帶刺的鐵絲,往內(nèi)防止內(nèi)部逃脫;向外防止外部進(jìn)入雙柵欄是比較高的防護(hù)級(jí)別。
邊界入侵檢測(cè)和評(píng)估系統(tǒng)(PIDAS柵欄):由柵欄和傳感器組成
門(mén):防盜
墻:防火普通1小時(shí),紙質(zhì)介質(zhì)的位置2小時(shí)
窗戶:防盜
受保護(hù)的通風(fēng)口
車(chē)輛障礙
護(hù)柱:能防止建筑物最直接的威脅
3)入侵檢測(cè)
周界探測(cè)器
機(jī)電系統(tǒng):檢測(cè)到電路的變化或中斷
光電系統(tǒng):檢測(cè)光束的變化
被動(dòng)紅外系統(tǒng):熱波變化
聲學(xué)檢測(cè)系統(tǒng)
波形檢測(cè)系統(tǒng)
紅外傳感器(Infrared Sensors)
主動(dòng)紅外探測(cè):設(shè)備會(huì)發(fā)出紅外線
被動(dòng)紅外探測(cè):感測(cè)人的溫度,如果環(huán)境溫度會(huì)變化, 需要能夠自動(dòng)溫度調(diào)節(jié)補(bǔ)償
微波(Microwave)
同軸應(yīng)變敏感電纜(Coaxial Strain-Sensitive Cable)
時(shí)間域反射器(TDR)系統(tǒng)(Time Domain Reflectometry (TDR) Systems)
視頻內(nèi)容分析和運(yùn)動(dòng)路徑分析(Video Content Analysis and Motion Path Analysis):使用復(fù)雜算法允許CCTV系統(tǒng)來(lái)檢測(cè)入侵
4)評(píng)估
安保人員
視頻監(jiān)控系統(tǒng)
5)響應(yīng)
入口安保檢查
物理保護(hù)措施最終都需要人員介入響應(yīng)報(bào)警
安全人員可以對(duì)建筑物進(jìn)行足部巡邏,或駐足于某一固定位置
通過(guò)檢查員工的身份識(shí)別卡控制訪問(wèn)
威懾力強(qiáng),但成本高
執(zhí)法機(jī)構(gòu)
6)威脅
警示標(biāo)識(shí)
照明
起到威懾作用,對(duì)攻擊人員產(chǎn)生不安全感
重要區(qū)域,照明燈柱局里不超過(guò)8英尺,強(qiáng)度不超過(guò)2英尺燭光
照明燈光應(yīng)該朝向外側(cè),使安全人員處于相對(duì)黑暗中
為某個(gè)區(qū)域提供一組燈光稱(chēng)為連續(xù)照明
在停電情況下需要考慮應(yīng)急照明
7)環(huán)境設(shè)計(jì)
通過(guò)環(huán)境設(shè)計(jì)讓攻擊者感到不適
自然加固、自然訪問(wèn)控制、自然監(jiān)視
8)人員管理
避免尾隨
三.安全資源配置
1.資產(chǎn)清單
跟蹤硬件、軟件變化
2.方法
應(yīng)用白名單
使用母盤(pán)
執(zhí)行最低權(quán)限原則
自動(dòng)掃描
軟件庫(kù)和硬件庫(kù)的安全作用
安全專(zhuān)家能迅速找到和減少與硬件類(lèi)型和版本相關(guān)的漏洞
知道網(wǎng)絡(luò)中硬件類(lèi)型和位置能降低識(shí)別受影響設(shè)備的工作量
可以經(jīng)掃描發(fā)現(xiàn)網(wǎng)絡(luò)中未經(jīng)授權(quán)的設(shè)備
維護(hù)配置清單
記錄和追蹤配置的變更能提供網(wǎng)絡(luò)完整性和可用性的保障
定期檢查確保非授權(quán)變更
四.網(wǎng)絡(luò)和資源可用性
1.保障可用性的手段
1)冗余硬件
2)容錯(cuò)技術(shù)
3)服務(wù)級(jí)別協(xié)定(SLA)
服務(wù)級(jí)別協(xié)議是指提供服務(wù)的企業(yè)與客戶之間就服務(wù)的品質(zhì)、水準(zhǔn)、性能等方面所達(dá)成的雙方共同認(rèn)可的協(xié)議或契約。
4)穩(wěn)健的操作措施
2.單點(diǎn)故障的解決方法
RAID技術(shù)
直連存儲(chǔ)(DAS)
大規(guī)模非活動(dòng)磁盤(pán)陣列(MAID)
獨(dú)立冗余磁盤(pán)陣列
存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)
群集
3.備份
軟件備份和硬件備份。
層次存儲(chǔ)管理:熱數(shù)據(jù)使用SSD,冷數(shù)據(jù)使用SATA。
4.應(yīng)急計(jì)劃
應(yīng)急計(jì)劃主要處理小型事件,例如電源中斷、服務(wù)器故障等。
應(yīng)急計(jì)劃只有在測(cè)試后才能被信任。
5.預(yù)防措施
5.1.步驟
保護(hù)措施通用流程
1)識(shí)別和評(píng)估風(fēng)險(xiǎn)
2)選擇恰當(dāng)?shù)目刂拼胧?br />
3)正確的使用控制措施
4)管理配置
5)評(píng)估操作
5.2.措施
1)防火墻
采用應(yīng)用或軟件解決方案代替?zhèn)鹘y(tǒng)防火墻功能的同時(shí),還包含了其他重要功能
通過(guò)風(fēng)險(xiǎn)評(píng)估,確定防火墻部署位置、數(shù)量和具體策略
2)入侵檢測(cè)系統(tǒng)
根據(jù)風(fēng)險(xiǎn)情況部署和調(diào)整入侵檢測(cè)系統(tǒng)
3)郵件防護(hù)
通過(guò)白名單、黑名單和灰名單技術(shù)
4)沙盒、 反惡意軟件、 蜜罐和蜜網(wǎng) 、第三方服務(wù)
蜜罐系統(tǒng)和蜜網(wǎng) (Honeypots and Honeynets):屬于檢測(cè)性控制,作為誘餌服務(wù)器收集攻擊者或入侵者進(jìn)行系統(tǒng)的相關(guān)信息。
沙盒(Sandboxing):軟件虛擬化技術(shù),讓程序和進(jìn)程在隔離的環(huán)境中運(yùn)行,限制訪問(wèn)系統(tǒng)其他文件和系統(tǒng)。
反惡意軟件(Anti-malware):部署在單個(gè)主機(jī)和系統(tǒng)上,持續(xù)更新病毒庫(kù),環(huán)境監(jiān)測(cè)
第三方服務(wù)(Third-party Security Services): Dynamic application security testing (DAST),用于檢測(cè)應(yīng)用在運(yùn)行狀態(tài)中安全漏洞的狀態(tài),多數(shù)暴露的HTTP和HTML的問(wèn)題,多基于WEB漏洞 ,有些為非Web協(xié)議和數(shù)據(jù)畸形。
5)補(bǔ)丁和漏洞管理
a)補(bǔ)丁管理的目的:建立持續(xù)配置環(huán)境保護(hù)操作系統(tǒng)和應(yīng)用的已知漏洞
威脅:在補(bǔ)丁發(fā)布后,系統(tǒng)修復(fù)前,有空擋期,攻擊者對(duì)補(bǔ)丁進(jìn)行逆向工程發(fā)現(xiàn)漏洞,發(fā)起攻擊。
b)補(bǔ)丁管理考慮的風(fēng)險(xiǎn)因素
是否通過(guò)管理層批準(zhǔn)
是否遵從配置管理策略
是否考慮帶寬利用率
是否考慮服務(wù)可用性
c)補(bǔ)丁集中管理:最佳實(shí)踐,可自動(dòng)更新。
自動(dòng)更新的問(wèn)題
必須需要管理員權(quán)限,違反最低權(quán)限原則
配置變更管難度加大
會(huì)占用帶寬,產(chǎn)生阻塞
可能導(dǎo)致系統(tǒng)崩潰
d)補(bǔ)丁管理步驟
判斷是否是漏洞,是否需要升級(jí)補(bǔ)丁
基于風(fēng)險(xiǎn)決策,是否會(huì)影響到業(yè)務(wù)
補(bǔ)丁的重要程度
確定是否更新補(bǔ)丁
更新補(bǔ)丁已經(jīng)被測(cè)試以及殘余風(fēng)險(xiǎn)被解決
更新完成后需要在生產(chǎn)環(huán)境中驗(yàn)證
部署完成后確保所有適當(dāng)?shù)臋C(jī)器都被更新
記錄所有變更
e)補(bǔ)丁變更管理
修補(bǔ)應(yīng)用程序應(yīng)包含應(yīng)急和回退計(jì)劃
在變更管理方案中包含風(fēng)險(xiǎn)降低策略
變更管理方案中包含監(jiān)控和可接受計(jì)劃
f)補(bǔ)丁安裝和部署
補(bǔ)丁管理的部署階段必須具有良好經(jīng)驗(yàn)的管理員和工程師
安裝和部署意味著生產(chǎn)系統(tǒng)的補(bǔ)丁和更新會(huì)真實(shí)實(shí)施
影響補(bǔ)丁部署的技術(shù)因素是工具的選擇
6)漏洞管理系統(tǒng)
脆弱性掃描:識(shí)別這些弱點(diǎn)
漏洞類(lèi)型
系統(tǒng)缺陷
配置錯(cuò)誤
策略錯(cuò)誤
6.可信路徑和故障安全機(jī)制
為特權(quán)用戶功能提供可信接口
可信恢復(fù)
目的:可信恢復(fù)的目的是確保在故障和運(yùn)作中斷情況下維護(hù)系統(tǒng)的安全和職能功能。
為了實(shí)現(xiàn)上述目的,系統(tǒng)應(yīng)該加入一系列機(jī)制使其在預(yù)先定義的故障或中斷發(fā)生時(shí)能夠保持安全狀態(tài)。
類(lèi)型
系統(tǒng)重啟:以受控方式關(guān)閉系統(tǒng),重新引導(dǎo)前不一致的數(shù)據(jù)已得到矯正,數(shù)據(jù)結(jié)構(gòu)實(shí)際上處于一致?tīng)顟B(tài);
緊急系統(tǒng)重啟動(dòng):以非受控方式關(guān)閉系統(tǒng),重啟前數(shù)據(jù)仍然處于不一致?tīng)顟B(tài),重啟進(jìn)入維護(hù)狀態(tài)自動(dòng)執(zhí)行恢復(fù),將系統(tǒng)帶入到一致?tīng)顟B(tài);
系統(tǒng)冷啟動(dòng):自動(dòng)化恢復(fù)機(jī)制無(wú)法將系統(tǒng)帶入到一致?tīng)顟B(tài),由管理員人工介入將系統(tǒng)從維護(hù)模式恢復(fù)到一致?tīng)顟B(tài); (用于挫敗 defeat 攻擊的啟動(dòng)方式)
系統(tǒng)崩潰后正確步驟
進(jìn)入單用戶或安全模式
修復(fù)問(wèn)題并恢復(fù)文件
確定關(guān)鍵的文件和操作
系統(tǒng)恢復(fù)控制
提供確保使用該路徑的通信不會(huì)被攔截或破壞的方法
故障保障(Fail-Safe)
發(fā)生故障時(shí)自動(dòng)開(kāi)啟(如電源中斷)
關(guān)注生命或系統(tǒng)安全
故障財(cái)物安全(Fail-Secure)
發(fā)生故障時(shí)自動(dòng)鎖閉(如電源中斷)
關(guān)注故障后以可控的方式阻止訪問(wèn),當(dāng)系統(tǒng)處于不一致?tīng)顟B(tài)時(shí)
五.事故管理
1.基本概念
一種對(duì)惡意技術(shù)威脅作出響應(yīng)的恢復(fù)計(jì)劃
目標(biāo):緩解事故所造成的破壞,并防止進(jìn)一步破壞
通用做法:檢測(cè)問(wèn)題,確定原因,解決問(wèn)題,記錄過(guò)程
事故和事件的區(qū)別
事件是一個(gè)可被觀察、驗(yàn)證和記錄在案的消極事情
事故是給公司及其安全狀態(tài)造成負(fù)面影響的一系列事件
2.步驟
1)檢測(cè)
發(fā)現(xiàn)問(wèn)題
2)響應(yīng)
收集資料,找到問(wèn)題根源
3)緩解
目的是阻止或減少事件造成進(jìn)一步傷害,進(jìn)而你可以開(kāi)始恢復(fù)和修復(fù)。
先緩解主要資產(chǎn),再緩解次要資產(chǎn)
措施應(yīng)該根據(jù)攻擊類(lèi)型、被事件影響的資產(chǎn)及其重要性來(lái)確定
遏制策略:例如從網(wǎng)絡(luò)中切斷病毒源、控制受感染的主機(jī)
4)報(bào)告
報(bào)告的內(nèi)容包括:
事件摘要
指示
相關(guān)事件
采取的行動(dòng)
所有的證據(jù)的監(jiān)管鏈
影響評(píng)估
事件處理者的身份與評(píng)論
接下來(lái)要采取的步驟
5)恢復(fù)
恢復(fù)系統(tǒng)可用
6)修復(fù)
配置永久的措施
7)學(xué)習(xí)
總結(jié)經(jīng)驗(yàn)
問(wèn)題管理
六.災(zāi)難恢復(fù)
1)預(yù)防性措施與恢復(fù)戰(zhàn)略的區(qū)別:
預(yù)防性是不僅降低公司經(jīng)歷災(zāi)難的可能性,同時(shí)減輕破壞程度,對(duì)災(zāi)難本身進(jìn)行緩解
恢復(fù)戰(zhàn)略是災(zāi)難發(fā)生后用于保護(hù)公司的方法,利用提供備用場(chǎng)所,對(duì)災(zāi)難本身沒(méi)有啥改變
業(yè)務(wù)流程恢復(fù):是一組相互關(guān)聯(lián)的步驟,它通過(guò)特定的決策活動(dòng)完成具體的任務(wù),可重復(fù)終點(diǎn)和起點(diǎn)
2)數(shù)據(jù)備份方案:完全備份、增量備份、差異備份
歸檔位:操作系統(tǒng)的文件系統(tǒng)通過(guò)設(shè)定歸檔位來(lái)跟蹤發(fā)生變化的文件。
3)電子備份解決方案:
磁盤(pán)映像(disk duplexing):基于磁盤(pán)
電子傳送(electronic vaulting):在文件發(fā)生改變時(shí)進(jìn)行備份,再定期傳送到另一個(gè)地點(diǎn),不是實(shí)時(shí)
電子鏈接:一種實(shí)時(shí)備份到異地設(shè)施批量傳送方法
遠(yuǎn)程日志處理(remote journaling):離線數(shù)據(jù)傳輸方法,只將日志或事務(wù)處理日志傳送到異地,不傳送實(shí)際文件,通過(guò)日志可重建丟失的數(shù)據(jù),實(shí)際為數(shù)據(jù)被增刪改的記錄,實(shí)時(shí)發(fā)生
4)流程
溝通
評(píng)估
恢復(fù)
培訓(xùn)
演練、評(píng)估和維護(hù)計(jì)劃
5)恢復(fù)與還原計(jì)劃
業(yè)務(wù)連續(xù)性計(jì)劃通用結(jié)構(gòu)
起始階段
目標(biāo)明確
概念概述
角色與團(tuán)隊(duì)定義
任務(wù)定義
啟動(dòng)階段
通告步驟
收集評(píng)估
計(jì)劃啟動(dòng)
恢復(fù)階段
轉(zhuǎn)移到備份站點(diǎn)
對(duì)于恢復(fù)的定義一般指轉(zhuǎn)移到備份站點(diǎn)
重建恢復(fù)
恢復(fù)步驟
再造階段(reconstittution phase)
當(dāng)公司開(kāi)始搬回原來(lái)的場(chǎng)所或搬進(jìn)一個(gè)新設(shè)施時(shí)
還原到原來(lái)
測(cè)試環(huán)境
轉(zhuǎn)移操作
附錄
聯(lián)系方式
其他計(jì)劃類(lèi)型
圖表
系統(tǒng)需求
七.調(diào)查取證
1)動(dòng)機(jī)、機(jī)會(huì)和方式(MOM)
動(dòng)機(jī):誰(shuí),為什么
機(jī)會(huì):何時(shí),何地
方式:罪犯需要獲得成功的能力
2)調(diào)查人員進(jìn)行的各種評(píng)估
網(wǎng)絡(luò)分析
路徑跟蹤
介質(zhì)分析
軟件分析
3)步驟
標(biāo)識(shí)
保存
收集:應(yīng)為原始數(shù)據(jù)創(chuàng)建兩個(gè)副本:一個(gè)主鏡像,保存在庫(kù)中的控制鏡像; 一個(gè)工作鏡像,用于分析和證據(jù)收集。兩個(gè)副本進(jìn)行時(shí)間標(biāo)記,以說(shuō)明被收集的時(shí)間。為了確保原始數(shù)據(jù)不被更改,須為文件和目錄創(chuàng)建消息摘要
檢查
分析
呈現(xiàn)
決定
4)證據(jù)收集和處理
保管鏈
一個(gè)歷史記錄,展示如何收集、分析傳輸及保持證據(jù),證明證據(jù)的可信
所有證據(jù)必須貼上信息標(biāo)簽,指出誰(shuí)對(duì)其進(jìn)行保護(hù)及確認(rèn)
證據(jù)的價(jià)值依賴(lài)于來(lái)源的真實(shí)性和能力
證據(jù)須具有真實(shí)性、完整性、充足性和可靠性
訪談
調(diào)查過(guò)程中最為微妙的部分,就是證人和嫌疑人的訪談;
訪談前必須要審視策略、通知管理層以及聯(lián)系公司法律顧問(wèn);
訪談過(guò)程不要單獨(dú)一人,如果可能,錄下整個(gè)訪談過(guò)程作為佐證;
5)取證程序
a)證據(jù)分類(lèi)
呈現(xiàn)方式分類(lèi)
書(shū)面的
口頭的
計(jì)算機(jī)生成的
視覺(jué)的或聽(tīng)覺(jué)的
按影響力分類(lèi)
最佳證據(jù):原始合同
輔助證據(jù):口頭證據(jù)、原始文件的復(fù)印件
直接證據(jù):證人的證詞,基于證人五種感官收集的證據(jù)
決定性證據(jù)
間接證據(jù):證實(shí)中間事實(shí),中間事實(shí)可用于推論或認(rèn)定另一事實(shí)的存在
確定性證據(jù):支持行證據(jù),用來(lái)幫助提供一個(gè)想法或觀點(diǎn)
觀點(diǎn)證據(jù):專(zhuān)家證人提出的教育觀點(diǎn),一般證人只能對(duì)事實(shí)作證
傳聞證據(jù):法庭上陳述的口頭或書(shū)面證據(jù),是二手的
b)證據(jù)特征
真實(shí)性或相關(guān)性:必須與調(diào)查結(jié)果有著適度的和切合實(shí)際的關(guān)系
完整性:證據(jù)必須呈現(xiàn)全部真相
充分性或可信性:必須有充分的說(shuō)服力來(lái)使一個(gè)講道理的人相信調(diào)查的真實(shí)性,證據(jù)必須有力,不容易被懷疑
可靠性或準(zhǔn)確性:必須與事實(shí)一致。如果他是基于一個(gè)人的觀點(diǎn)或是原始文件的復(fù)印件,那么證據(jù)就不是可靠的
c)取證原則
調(diào)查的任何行動(dòng)不得改變存儲(chǔ)介質(zhì)或數(shù)字裝置中的數(shù)據(jù);
訪問(wèn)數(shù)據(jù)的人員必須有資格這么做并有能力解釋他們的行為;
適用于第三方審計(jì)并應(yīng)用于流程的審計(jì)痕跡或其他記錄應(yīng)被生成和保護(hù),并精確的記錄每個(gè)調(diào)查步驟;
負(fù)責(zé)調(diào)查的人必須完全對(duì)確保以上提到的層序負(fù)責(zé)并遵守政府法律;
關(guān)于人員抓取數(shù)據(jù)的行為不得改變證據(jù);
當(dāng)有必要人員訪問(wèn)原始證據(jù)時(shí),這個(gè)必須具有法律資格;
與數(shù)字證據(jù)的抓取、訪問(wèn)、存儲(chǔ)或傳輸有關(guān)的行為必須小心的記錄、保存并可用于審計(jì);
當(dāng)數(shù)字證據(jù)為某人持有時(shí),這個(gè)人必須為證據(jù)所采取的行動(dòng)完全負(fù)責(zé)。
澳大利亞計(jì)算機(jī)取證通用指導(dǎo)原則
對(duì)原始數(shù)據(jù)的處理或訛誤保持最小化;
記錄所有動(dòng)作并解釋變化;
遵循證據(jù)的5個(gè)原則(可接受、可靠、完整、準(zhǔn)確、有說(shuō)服力);
處理和/或證據(jù)超出自己的知識(shí)、技能和能力時(shí),尋求更有經(jīng)驗(yàn)的人的幫助;
遵循組織結(jié)構(gòu)的安全策略,并獲得管理支配取證調(diào)查的書(shū)面許可;
盡可能快速、準(zhǔn)確得捕獲系統(tǒng)的一個(gè)鏡像;
為在法庭上作證準(zhǔn)備;
區(qū)分你的動(dòng)作優(yōu)先順序,從易失證據(jù)直至永久證據(jù);
不要再可能成為證據(jù)的系統(tǒng)上運(yùn)行任何程序;
在管理取證調(diào)查時(shí)具備道德和誠(chéng)意,并且不試圖進(jìn)行任何破化。
d)證據(jù)分析方式
介質(zhì)分析:從信息介質(zhì)中恢復(fù)信息或證據(jù);
網(wǎng)絡(luò)分析:從使用的網(wǎng)絡(luò)日志和網(wǎng)絡(luò)活動(dòng)中分析和檢查作為潛在的證據(jù);
軟件分析:分析和檢查程序代碼(包括源代碼、編譯代碼和機(jī)器碼)、 利用解碼和逆向工程技術(shù)、包括作者鑒定和內(nèi)容分析等;
硬件/嵌入式設(shè)備分析:應(yīng)包含移動(dòng)設(shè)備的分析;
e)計(jì)算機(jī)犯罪:計(jì)算機(jī)促進(jìn)和協(xié)助的非法行為,不管計(jì)算機(jī)是犯罪目標(biāo)、犯罪工具還是與犯罪有關(guān)的證據(jù)存儲(chǔ)。
八.義務(wù)及其后果
1)定義
職責(zé):通常指某一方的義務(wù)和預(yù)期的活動(dòng)責(zé)任
義務(wù):可以有一套規(guī)定好的動(dòng)作或更廣泛、開(kāi)放的路徑
可問(wèn)責(zé)性:使一方對(duì)某些動(dòng)作或非動(dòng)作負(fù)責(zé)的能力
近因:自然而然和直接導(dǎo)致一個(gè)結(jié)果出現(xiàn)的行為或者疏忽,是導(dǎo)致一個(gè)事物出現(xiàn)的明顯或表面的原因,是導(dǎo)致某一特定結(jié)果出現(xiàn)的直接的起決定作用的原因
2)應(yīng)盡職責(zé)和應(yīng)盡關(guān)注
適度勤勉/應(yīng)盡職責(zé)(due diligence)
指公司對(duì)所有可能的缺陷和脆弱性都進(jìn)行了適當(dāng)?shù)恼{(diào)查
收集必要信息以便做出最佳決策
在日常管理中盡到責(zé)任
做了該做的工作,社會(huì)責(zé)任問(wèn)題
適度謹(jǐn)慎/應(yīng)盡關(guān)注(due care)
采取了合理的防范保護(hù)措施
公司應(yīng)該做的、視圖阻止安全違規(guī)的努力
公司采取合理的步驟來(lái)確保在發(fā)生安全違規(guī)時(shí)通過(guò)適當(dāng)?shù)目刂苹驅(qū)Σ邷p輕所受的破壞
對(duì)于發(fā)生的事件,采取了措施
只有實(shí)行了應(yīng)盡職責(zé)(數(shù)據(jù)收集),才會(huì)有應(yīng)盡關(guān)注(審慎的行動(dòng))的發(fā)生
例子:在涉及安全違約行為時(shí)會(huì)產(chǎn)生很多方面的花費(fèi): 業(yè)務(wù)損失、響應(yīng)活動(dòng)、顧客和合作伙伴告知等。需要通過(guò)履行應(yīng)盡職責(zé)來(lái)了解這些成本,從而公司可以履行應(yīng)盡關(guān)注
3)上游責(zé)任(downstream liability)
兩家公司都應(yīng)保證他們的活動(dòng)不會(huì)影響任何一方
例子:例如A公司與B公司互聯(lián),A公司沒(méi)有實(shí)施檢查和處理病毒機(jī)制,A公司感染病毒后,影響到B公司,B公司可以起訴A公司
特別聲明:
1.以上所有描述內(nèi)容部分參考鏈接/文獻(xiàn)未逐一列出,若有侵權(quán),請(qǐng)及時(shí)告知,有則改之無(wú)則加勉。
2.以上僅是學(xué)習(xí)過(guò)程的總結(jié),相信有很多理解偏差的地方,特別希望指出,給予幫助,更新知識(shí)體系,共同進(jìn)步。
<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false">
來(lái)自為知筆記(Wiz)
總結(jié)
- 上一篇: vtep-ctl 兩個logic 交换机
- 下一篇: linux(centos8):使用cgr