tushanpeipei的博客

一、安全教育安全取决于个人的行为。一个用户有意或无意的失误可以完全破坏许多安全控制，使一个组织面临不可接受的风险。安全培训计划有助于保护组织免受这些风险。安全教育计划通常包括两个重要组成部分：安全培训(Security Trainning) 为用户提供他们需要的详细信息，以保护组织的安全。安全培训需要投入大量的时间和注意力;安全意识(Security Awareness) 目的为了提醒员工他们已经学过的安全课程。与安全培训不同的是，它不需要投入时间坐下来学习新的材料；相反，它使用海报、视频、电子邮件

一、数据匿名化(Data anonymization)许多组织试图保护自己免受个人信息意外泄露的一种方式是，在将数据集放在云端或另一个服务提供商那里之前，从数据集中删除所有识别信息。去除身份识别是指通过数据集，删除可能具有个人身份的数据的过程。例如，我们肯定希望删除姓名、身份证和其他明显的识别信息。然而，简单的数据去标识化往往不足以完全保护信息。其原因是，我们经常可以将看似无害的字段结合起来，以唯一地识别一个人。卡内基梅隆大学的一项研究分析了去识别数据集中通常保留的三个字段：邮政编码(在美国会更为具体)

一、法律和合规风险(Legal and compliance risks)每当我们与敏感信息打交道时，我们会遇到一些法律和法规，这些法律和法规对我们存储、处理和传输这些信息的方式进行管理。在处理敏感数据时，需要弄清楚的第一件事是哪些具体的法律和法规适用于我们。虽然这乍听起来很简单，但哪些司法管辖区有权监管数据的问题实际上相当复杂，合规风险会影响一个组织的风险态势。例如，某人在美国有一家公司，他们所有的业务都位于加利福尼亚州。在这种情况下，很明显，加利福尼亚州的法律适用于他们。但如果该公司有一个位于纽约的

一、安全政策框架(Security policy framework)我们需要明确的书面指导，以帮助与业务领导人和用户以及彼此就安全期望和责任进行沟通。在某些情况下，我们制定了组织中每个人都必须遵守的强制性规则，而在其他情况下，我们只是提供建议。这些角色中的每一个都需要稍微不同的沟通。这就是安全政策框架发挥作用的地方。大多数安全专家认识到一个由四种不同类型的文件组成的框架：政策、标准、指南和程序(Policies, Standards, Guidelines, and Procedures)。安全

一、管理供应商关系(Managing vendor relationships)供应商在每个组织的信息技术运作中发挥着重要作用。无论是从外部供应商那里简单地购买硬件或软件，还是从战略合作伙伴那里提供云计算服务，供应商在提供我们为客户提供的IT服务方面都是不可或缺的。安全专业人员必须仔细注意管理这些业务伙伴关系，以保护其组织的信息和IT系统的保密性、完整性和可用性。这个过程被称为进行供应商尽职调查(Conducting vendor due diligence)。也许最重要的经验法则是，我们应该始终确保供应

一、风险处理方案一旦我们完成了对组织的风险评估，就会留下一个需要我们注意的风险的优先次序列表。风险管理(Risk management)，或风险处理(Risk treatment)，是系统地分析对每个风险的潜在反应的过程，并实施战略来适当地控制这些风险。无论我们管理的是什么风险，都有四个基本选择来处理这种情况。我们可以进行风险规避(Risk avoidance)，风险转移(Risk transference)，风险缓解(Risk mitigation)，或风险接受(Risk acceptance)。当

一、风险评估(Risk assessment)在网络安全领域，风险是必然的。网络安全专业人员有很多工作要做。解决这些风险中的每一个都需要时间和金钱。因此，网络安全专业人员需要对这些风险进行优先排序，以便将这些宝贵的资源用在能产生最大安全效果的地方。这就是风险评估发挥作用的地方。风险评估是根据风险发生的可能性和对组织的预期影响，对组织面临的风险进行识别和分流的过程。 首先，我们需要一种大家都承认的说法。在日常生活中，人们经常交替使用Threat, Risk, and Vulnerability这些术语，但这

一、开展调查在他们的工作过程中，信息安全专业人员经常发现自己参与了不同类型的调查。在某些情况下，这些调查是由安全团队领导的，以应对可疑或实际的安全事件。在其他情况下，调查可能是由另一个小组领导的，而安全专业人员被要求提供证据和专业知识。有四种主要的调查类型，经常涉及网络安全专业人员。它们是业务或行政调查、刑事调查、民事调查和监管调查(Operational or administrative investigations, Criminal investigations, Civil investigat

一、记录安全信息(Logging security information)系统监控产生了大量的数据输出，网络安全分析人员在试图进行日志审查时，必须涉猎这些数据。幸运的是，监控技术为我们提供了自动处理这些工作的方法。日志文件来自各种不同的来源，这些数据来源中的每一个都包含可能对事件响应有用的信息:网络日志，特别是NetFlow数据，告诉我们网络上相互通信的系统以及它们交换的信息量。这对于识别参与安全事件的系统至关重要。同样，DNS日志提供了关于网络名称查询的信息，提供了关于哪些系统可能与外部系统进行

一、MITRE ATT&CK外部框架帮助我们更好地理解我们所面临的威胁环境。其中一个被广泛使用的框架是MITRE的ATT&CK框架。MITRE公司是一个非营利性的智囊团，在各种公共和私人伙伴关系中进行研究和开发。网络安全是他们的重点领域之一。几十年来，MITRE在推动我们领域的技术水平方面一直发挥着作用。他们的研究工作之一是开发Adversarial Tactics, Techniques & Common Knowledge或ATT&CK框架。这个ATT&CK

一、建立一个事件响应程序(Incident response program)二、创建一个事件响应小组(Incident response team)三、事故通信计划(Incident communications plan)四、事故鉴定(Incident identification)五、升级和通知(Escalation and notification)六、缓解(Mitigation)七、抑制技术(Containment techniques)八、事故的消除和恢复(Incident era

一、Ping和traceroute1.pingPing命令允许我们检查一个远程系统是否可以访问。它使用ICMP工作。发起ping的系统向目标系统发送一个ICMP Echo Request包。然后，远程系统通过发回一个ICMP Echo Reply来响应这个ping请求。当对我们到对ping请求的成功响应时，就知道这两个系统之间的网络连接是正常的。Ping在Windows、Mac和Linux操作系统上的作用是一样的，只需要输入ping命令，然后输入想ping的系统的IP地址或域名即可。主要注意点是，并不

一、移动设备连接方法(Mobile connection methods)为了确保移动设备的安全，网络安全专家需要了解移动设备可能获得数据和连接到其他系统上的资源的各种方式。目前有相当多的连接技术，每一种都有不同的用途。如下是几个重要的技术：蜂窝网络(Cellular networks) 在世界各地的大多数城市和郊区使用。蜂窝网络覆盖了相当大的区域，一个塔台能够为20英里或更远的设备提供服务。蜂窝网络是根据其提供的服务的世代来评定的。而且它们的编号是按照能力的递增顺序排列的。我们不再经常看到1G、2G

一、拒绝服务攻击(Denial of service attacks)CIA三要素描述了信息安全的三个目标，即保密性、完整性和可用性。攻击者使用的大多数攻击技术都集中在破坏数据的保密性或完整性上。攻击者最常见的动机是窃取敏感信息，如信用卡号码或身份证号码，或以未经授权的方式改变信息。然而，有些攻击的重点是破坏系统的合法使用。与其他攻击不同，这些攻击针对的是CIA三要素中的可用性(Availability)。我们把这些攻击称为拒绝服务的DoS攻击。拒绝服务攻击是一种使系统或资源对合法用户不可用的攻击。它

一、了解无线网络今天使用的最常见的无线标准是Wi-fi。Wi-fi实际上是一套由电气和电子工程师协会（IEEE）管理的标准，它描述了无线设备如何相互通信和与无线接入点通信的技术细节。使用标准是绝对必要的，因为如果没有标准，无线设备就不会说同样的语言。标准化使任何Wi-Fi设备能够与世界各地的任何Wi-Fi网络一起工作。Wi-fi的工作原理是用无线电发射器和接收器(Radio transmitters and receivers) 取代有线网络的电线和电缆。每个支持Wi-Fi的设备都包含一个无线电收发器，

一、TLS与SSL数字证书允许在其他不受信任的网络上安全交换公共加密密钥。运输加密技术，如运输层安全(Transport Layer Security)或TLS，使用这些数字证书来促进公共网络上的安全交流。如下是两个系统想要建立一个受TLS保护的加密会话的过程：首先，客户端向服务器发送一个请求，要求服务器启动一个安全会话。这个请求包括一个客户端所支持的密码套件(Cipher suites) 的列表。现在，重要的是要理解，TLS只是使用其他加密算法的协议。TLS本身不是一种加密算法，因此我们不能用TL

一、限制网络访问(Restricting network access)安全专业人员面临的主要任务之一是限制对网络的访问。在控制对网络的访问时，管理员通常有两个主要目标：首先，他们想把不需要的远程用户完全挡在网络之外。这一目标被称为边界安全(Perimeter security)，它使用防火墙技术，通过访问控制列表或ACL将不需要的流量挡在外面。用于实现这一目标的防火墙可能来自不同的供应商。一些比较常见的供应商包括思科、Palo Alto和Check Point。第二，安全管理员希望将物理网络访问限

一、路由器、交换机和网桥(Routers, switches, and bridges)1.交换机路由器、交换机和网桥，是这些网络的核心构建模块。网络工程师使用交换机来连接设备和网络。交换机是看起来很简单的设备，如这里所示的设备，包含大量的网络端口。交换机可能非常小，只有8个或更少的端口，也可能相当大，有500个或更多的端口。这里显示的交换机是一个96端口的交换机。交换机通常被隐藏在配线间和其他安全地点内。一些设备通过使用有线网络连接到交换机端口。许多其他设备不使用电线，而是依赖基于无线电的无线网络

一、安全区域(Security zones)设计良好的网络使用防火墙，根据系统的安全级别将其归入网段。典型的边界防火墙有三个网络接口，因为它们将三个不同的安全区连接在一起。1.Untrusted Zone或Internet Zone一个接口连接到互联网或另一个不受信任的网络。这是受保护的网络和外部世界之间的接口。一般来说，当由更受信任的网络上的系统发起时，防火墙允许许多不同种类的连接出到这个网络，但它们阻止大多数向内的(Inbound)连接尝试，只允许那些符合组织安全策略的连接。2.Trusted

一、介绍TCP/IPTCP/IP是一个首字母缩写。它代表着传输控制协议(Transmission Control Protocol)，TCP，互联网协议(Internet Protocol)，IP。TCP和IP是构成所有现代网络的两个主要协议。1.IPIP协议负责网络间的信息路由，同时，它也用在我们家里和办公室的网络上。IP协议的主要职责是提供一个被称为IP地址的寻址方案，以唯一的方式识别网络上的计算机，并将信息以数据包的形式从其源头传递到正确的目的地。IP被称为网络层协议(Network layer

一、Shell与脚本环境(Script environment)网络安全分析师经常需要深入到系统的内部工作，而在命令行(Command-line)上做这件事往往比使用图形化工具要容易得多。Shell环境提供了对这些命令行的直接访问，管理员可以在那里向操作系统输入命令.Shell环境还为管理员提供了创建脚本的能力，这些脚本包含预先写好的代码，用于执行操作系统的命令。这些shell脚本的编程是为了让大量的常规管理工作实现自动化。Secure Shell或SSH，允许我们通过加密连接访问远程Linux系统。S

一、工业控制系统(Industrial control system)工业控制系统(Industrial control systems)或ICS系统是控制工业生产和运作的设备和系统。它们包括监控电力、天然气、水和其他能源基础设施和生产运营的系统，以及控制制造工厂、工业设施、物流运营和其他关键基础设施要素的系统。我们会发现ICS系统有各种各样的现代应用，包括作为建筑和设施自动化系统、工作流程自动化系统和流程自动化系统使用。黑客们喜欢以工业控制系统为目标，原因有很多：首先，对ICS系统的成功攻击会产生巨

一、变更管理(Change management)信息技术正处于不断变化的状态，网络安全专业人员必须了解变化管理在保护一个组织方面所起的作用。变化是一件好事。进步来自于变化，而组织每天都在变化。当涉及到信息技术时，组织需要采取措施，以确保变化实现业务目标，而不扰乱运营。这就是变更管理发挥作用的地方。变更管理流程确保组织遵循一个标准的流程来申请、审查、批准和实施对信息系统的变更。他们的目标是最大限度地减少因变更而中断正常IT服务的概率和影响。 这包括对提议的变更的安全影响的评估。用于变更管理的标准工具

一、数据加密(Data encryption)加密是用于保护敏感信息的最常见的控制手段之一。当我们对一个文件或其他形式的数据进行加密时，可以让其的纯文本形式，使用数学算法，用加密密钥将其转化为一个没有相应解密密钥的人无法阅读的版本。这使得敏感信息有可能被加密，并存储在不安全的地方或通过不安全的网络传输。如果加密强度足够，信息就会保持安全。我们通常使用专门的软件对信息进行加密。例如，可用于Windows、Mac和Linux系统的AES加密软件包实现了加密文件。例如，Linux系统上使用AES Crypt来

一、操作系统安全(Operating system security)安全管理员通常负责配置操作系统以满足组织的安全控制要求。这项配置工作可能包括所有类型的终端设备，从笔记本电脑和服务器到智能手机和平板电脑。这是一项极其重要的责任，因为攻击者可以利用一个端点设备的安全漏洞，然后利用这个权限进入整个网络。1.限制资源访问任何操作系统都有许多不同的安全设置，我们可以自定义这些设置以满足自己的组织的安全需求。其中之一是限制用户对管理资源的访问，因为这种级别的管理访问往往会导致安全问题的发生。Windows通

一、云端防火墙的考虑(Cloud Firewall considerations)在基础设施即服务环境中，网络安全组取代了防火墙的位置，就客户而言，对网络进行分割。网络安全组在OSI模型的网络的会话和传输层工作，就像传统防火墙一样。云服务提供商肯定会实施和维护防火墙作为其网络安全计划的一部分，但他们不能将这些防火墙直接暴露给客户。如果他们这样做了，隔离就会受到损害，因为用户可能会编写防火墙规则，影响属于其他用户的系统或破坏整个环境的安全。相反，云服务提供商为用户提供了创建网络安全组(Network s

一、云活动和云参考架构国际标准化组织在其文件ISO 17789中公布了一个云参考架构。该文件列出了一个通用的术语框架，帮助云服务提供商、云服务客户和云服务合作伙伴就角色和责任进行沟通。需要注意的是，云计算参考架构的概念是一个有用的框架，但它们只是一个起点。我们应该自由地使用任何对自己的组织有意义的术语和框架。参考架构定义了不同的云计算活动，这些活动是云生态系统中不同组织的责任。云服务客户的责任。 参考架构说，客户的活动是使用云服务、执行服务试验、监控服务、管理服务安全、提供计费和使用报告、处理问

一、云计算资源(Cloud compute resources)云计算的基本构件是构成亚马逊、微软、谷歌和其他云计算供应商提供的云平台的基础设施服务(Infrastructure services)。我们从云中可用的计算资源开始，探索几种不同的方法来利用云中的计算基础设施，主要方式是通过创建和管理虚拟服务器。这些服务器运行云数据中心，利用云所拥有的优势，包括实例的创建和实例之间的动态资源分配。使用AWS创建EC2实例如下：EC2，是一个缩写，代表弹性计算云，它是亚马逊的虚拟服务器服务。https://

一、虚拟化(Virtualization)虚拟化是云计算基础设施背后的驱动力。仅仅几十年前，企业计算还局限于数据中心和它的大型机的世界。数十名计算专业人员小心翼翼地照料着这个非常宝贵的资源，作为组织的电子神经中心。然后在20世纪80年代和90年代，企业IT景观发生了巨大的变化。我们从单体主机的世界转移到客户机/服务器(C/S)计算的新环境。这一转变带来了巨大的好处。首先，它把计算能力放在桌面上，允许用户直接在他们的机器上执行许多操作，而不需要访问大型机。集中式计算也通过允许使用专用服务器来实现特定功能而

一、什么是云(Cloud)云计算是指通过网络在远程位置向客户提供计算服务的任何情况。现在这个定义很宽泛，它包含了许多不同类型的活动。当我们访问自己的Gmail账户时，正在使用云计算。谷歌正在通过互联网为我们提供电子邮件服务。我们不需要知道或关心使Gmail工作的大量技术基础设施，只需打开网络浏览器并访问该网站。所有的技术都对我们来说都是透明的。当你在亚马逊网络服务中建立一个服务器时，你也在利用云计算。亚马逊呈现给你的似乎是你自己的服务器，但实际上，它是在一个巨大的亚马逊数据中心与许多其他客户共享的硬件上

一、灾难复原(Disaster recovery)业务连续性规划是为了在灾难面前保持企业的正常运转，但它们并不总是奏效。有时，连续性控制会失败，或者灾难的规模超过了组织继续运营的能力。这就是灾难复原开始的地方。灾难复原是业务连续性活动的一个子集，目的是在中断后尽快恢复企业的正常运作。 灾难复原计划可能包括让组织暂时恢复工作的即时措施，但在组织完全恢复正常之前，灾难复原工作并没有结束。灾难复原计划可能是由环境性的自然灾害，如飓风，或人为的灾难，如勒索软件攻击所引发的：灾难的来源可能是组织内部的，如数据中

一、业务连续性规划(Business continuity planing)业务连续性规划(Business continuity planing或BCP)是网络安全行业的核心职责之一。业务连续性工作是一系列活动的集合，目的在使企业在面对困境时保持运转。而这种困境可能是小规模的事件，如单一的系统故障或灾难性的事件，如地震或龙卷风。业务连续性的重点是保持业务运行。正因为如此，业务连续性规划有时被称为Continuity of operations planning或COOP。业务连续性是一个核心安全概念，

一、数据生命周期数据生命周期可以理解为数据在一个组织内所经历的过程的有用方法。它涵盖了从数据首次被创建到最终被销毁的所有过程。在生命周期的第一阶段，创建，组织产生新的数据，无论是在内部系统中还是在云端。创建阶段还包括对现有数据的修改；生命周期的第二个阶段是存储。在这个阶段，组织将数据放入一个或多个存储系统。同样，这些存储系统可以是在企业内部，也可以是在云服务提供者那里；下一个阶段，使用，是数据的积极使用发生的地方。用户和系统在这个阶段查看和处理数据；在第四阶段，共享，数据通过一个或多个共享机制

一、场地和设施设计(Site and facility design)网络安全专业人士必须确保其控制下的设施的物理安全。这包括限制对这些设施的访问，对寻求进入的员工进行认证，以及跟踪进入该网站的承包商和其他访客。我们先讨论一些必须保护的不同类型的设施：1.数据中心这些安全设施包含了所有的服务器、存储和其他运行业务所需的计算资源。数据中心的访问必须受到严格限制，以防止资源和信息的潜在盗窃。任何进入数据中心的人都有能力对业务造成重大损害和破坏。 并非所有的服务器都保存在相对安全的托管数据中心内。一些企业只

一、了解账户和权限管理账户管理是信息安全专业人士的基本职责之一。这包括设计强大的流程，实施最小特权和职责分离的原则，实施工作轮换计划，并管理整个账户生命周期。最小特权原则指出，一个人应该只拥有履行其工作职能所需的最低限度的必要权限；职责分离原则指出，执行敏感行动应该需要两个人的合作；工作轮换(Job Rotation)计划，目的在定期将人们从一个工作岗位转移到另一个工作岗位。这种方式有明显的人事方面的好处，为团队提供多样化的经验，使他们能够体验到组织运作的许多不同方面。它也有安全方面的好处，即减少

一、了解什么是授权(Authorization)授权是授予用户访问资源的最后一步。一旦一个人成功地认证了一个系统，授权就决定了这个人在该系统上访问资源和信息的权限，有许多不同的授权方法。首先，让我们来谈谈授权的两个一般原则，它们可以带来强大的安全性：第一条是最小特权原则（the principle of least privilege）。这个原则指出，一个人只应该拥有完成其工作职责所需的最小权限。最低权限的重要性在于两个原因。首先，最小特权将内部攻击的潜在损害降到最低。如果一个员工变成了恶意的，他们所

一、认证因素(Authentication factors)一旦我们向一个系统表明了自己的身份，接下来就必须证明它。这就是认证发挥作用的地方。数字系统提供了许多不同的认证技术，使用户能够证明他们的身份。我们将看一下三种不同的认证因素：Something you know：第一个认证因素是”你知道的东西“，这最常见的认证因素。通常情况下，基于认知(Knowledge-based)的认证是以密码的形式出现的，用户在认证过程中记住并输入到系统中。用户应该选择由尽可能多的字符组成的强密码，他们应该结合多个类别

一、身份识别(Identification)、认证(Authentication)、授权(Authorization)和计费(Accounting)作为安全专业人员，我们所做的最重要的事情之一是确保只有经过授权的个人才能访问我们保护下的信息、系统和网络。访问控制过程包括三个步骤，包括身份证明(Identification)、认证(Authentication)、授权(Authorization)：身份识别，用户对自己的身份进行声明。试图获得访问权限的人在这一步上没有提供任何证据，只是做出来一个声明，这

一、TLS和SSL数字证书允许在其他不受信任的网络上安全交换公钥。传输加密技术，如传输层安全(Transport Layer Security或TLS)，使用这些证书来促进公共网络的安全通信。让我们通过描述两个系统希望建立一个受TLS保护的加密会话时所遵循的过程来探索TLS：首先，客户端向服务器发送一个请求，要求服务器启动一个安全会话。这个请求包括一个客户端所支持的密码套件的列表(cipher suites)。我们需要知道是，TLS只是一个使用其他加密算法的协议。TLS本身不是一种加密算法。因此，

一、暴力破解(Brute force attacks)暴力破解是针对加密系统的最简单的攻击形式。在暴力破解中，攻击者只是反复猜测加密密钥，直到他们偶然发现该密钥的正确值，然后获得加密信息的权限。当然，猜测并不容易，如果暴力破解成功的话，也需要很长的时间才能完成。暴力破解的攻击者只需要有一个加密文本，并使用其中的文本进行尝试，所以也被称为已知密码文本攻击(ciphertext attack)。以旋转密码的例子，它只是将字母表中的每个字母移动一定的位置。例如，一个移位为一的密码将As改为Bs，Bs改为Cs