# 網路防禦要點 (NDE)
# Module 01
#### 網絡安全依賴於三個主要的安全要素:
:::success
- 網絡安全控制:網絡安全控制是應該適當配置和實施的安全功能,以確保網絡安全。這些是任何安全系統學科的基石。這些安全控制共同工作,根據身份管理允許或限制對組織資源的訪問。
- 網絡安全協議:網絡安全協議實施安全相關的操作,以確保數據在傳輸過程中的安全和完整性。網絡安全協議確保了通過網絡傳遞的數據的安全。它們實施了限制未經授權用戶訪問網絡的方法。安全協議使用加密和密碼技術來維護通過網絡傳遞的消息的安全性。
- 網絡安全設備:網絡安全設備是部署在保護計算機網絡免受不需要的流量和威脅的設備。這些設備可以分為主動設備、被動設備和預防設備。它還包括統一威脅管理(UTM),它結合了所有設備的功能。
:::
#### 網絡防禦
:::info
- 網絡防禦的目標是防止和減輕各種類型的威脅。不同類型的未經授權或非法活動可能包括中斷、損壞、利用或限制對網絡或計算資源的訪問,以及從中竊取數據和信息。單純實施大量安全措施並不能保證網絡安全。例如,許多組織認為在網絡上部署防火牆,或多個防火牆,就足以保護其基礎設施免受各種威脅。然而,攻擊者可以繞過這些安全措施來獲取系統訪問權限。因此,重要的是要確保全面的網絡防禦,以防止和減輕各種類型的威脅。全面的網絡防禦的目標是部署持續和深度防禦的安全措施,其中包括預測、保護、監控、分析、檢測和響應未經授權的活動,例如未經授權訪問、誤用、修改、服務拒絕,以及網絡中的任何降級或中斷,以及保證網絡的整體安全。組織依靠信息保證(IA)原則來實現深度防禦安全。
:::
#### Information Assurance(IA)
:::warning
- 信息保證(IA)原則作為組織安全活動的促進者,用於保護和防禦其網絡免受安全攻擊。它們有助於在威脅警報或檢測時採取適當的對策和應對行動。因此,網絡運營者必須使用IA原則來識別敏感數據,並對可能對網絡產生安全影響的事件進行反制。IA原則幫助他們識別網絡安全漏洞,監控網絡以檢測任何入侵企圖或惡意活動,並通過減輕漏洞來保護網絡。
:::
#### 為了實現深度防禦的網絡安全,網絡防禦活動應該解決以下信息保證(IA)原則
:::danger
- 資訊機密性(Confidentiality):確保僅授權的用戶能夠訪問敏感資訊,並防止未經授權的訪問。僅允許授權使用者訪問、使用或複製信息。認證對於機密性至關重要。如果未經授權的使用者訪問了受保護的信息,則意味著機密性遭到了侵犯。
- 資訊完整性(Integrity):確保資訊在傳輸和存儲過程中不被未經授權的修改或篡改。不允許在沒有適當授權的情況下對數據進行修改、刪除或損壞。這個信息保證原則還依賴於身份驗證來正常運作。
- 資訊可用性(Availability):確保網絡和相關資源隨時可用,以滿足組織需求。保護存儲敏感數據的信息系統或網絡的過程,以便在用戶要求訪問時為他們提供訪問。
- 非否認性(Non-repudiation):確保在通信過程中的交互雙方不能否認他們的行為或通信內容。用於驗證數字簽名的傳輸完整性,從其發源地到其到達地點。非否認性通過驗證數字簽名來自預期的一方,從而授予對受保護信息的訪問。
- 資訊真實性(Authenticity):確保資訊的來源是可信的,並能夠驗證資訊的真實性。認證是一個授權用戶的過程,通過比較提供的憑證與驗證服務器上授權用戶數據庫中的憑證,來授予對網絡的訪問權限。它保證了通過網絡傳輸的文件或數據是安全的
:::
#### 網絡中用於識別和預防威脅和攻擊的安全防禦技術主要分為四大類:
:::success
1. 預防性方法:預防性方法主要包括能夠輕鬆預防目標網絡中的威脅或攻擊的方法或技術。在網絡中主要使用的預防性方法包括:
- 訪問控制機制,如防火牆。
- 准入控制機制,如NAC和NAP。
- 加密應用,如IPSec和SSL。
- 生物識別技術,如語音或面部識別。
2. 反應性方法:反應性方法是預防性方法的補充。這種方法處理預防性方法可能未能避免的攻擊和威脅,例如DoS和DDoS攻擊。為了確保網絡的安全,必須同時實施預防性和反應性方法。反應性方法包括安全監控方法,如IDS、SIMS、TRS和IPS。
3. 回顧性方法:回顧性方法檢查網絡中攻擊的原因。這些方法包括:
- 故障查找機制,如協議分析器和流量監控器。
- 安全取證技術,如CSIRT和CERT。
- 過程分析機制,包括風險和法律評估。
4. 主動性方法:主動性方法包括用於通知對目標網絡未來攻擊進行反制的決策的方法或技術。威脅情報和風險評估是可用於評估組織可能面臨的未來威脅的方法的示例。該方法可以促進預防性安全行動和措施的實施,以對抗潛在事件。
:::
## 網絡安全控制的管理安全控制
:::info
- 管理安全控制是確保組織安全性的管理限制、操作和責任程序以及其他控制措施。管理安全控制中規定的程序確保了各級人員的授權和身份驗證。
- 管理安全控制的組成部分包括:
- 法規框架合規性
- 安全政策
- 員工監控和監督
- 信息分類
- 職責分離
- 最小特權原則
- 安全意識和培訓
:::
## Physical Security Controls(物理安全控制)
:::warning
- 適當的物理安全控制可以降低組織內的攻擊和風險。物理安全控制提供對組織的信息、建築物和所有其他實物資產的物理保護。
- 物理安全控制分為以下類別:
- 預防控制:用於防止未經授權或不受歡迎的訪問資源。包括訪問控制,如圍欄、鎖、生物識別和人員陷阱。
- 威懾控制:用於阻止違反安全政策。包括訪問控制,如保安人員和警告標誌。
- 檢測控制:用於檢測未經授權的訪問嘗試。包括訪問控制,如閉路電視和警報器。
:::
## Technical Security Controls(技術安全控制)
:::danger
- 技術安全控制用於限制對組織中設備的訪問,以保護敏感數據的完整性。
- 技術安全控制的組件包括:
- 系統訪問控制:系統訪問控制用於根據數據的敏感性、用戶的淨空水平、用戶權利和許可權來限制對數據的訪問。
- 網絡訪問控制:網絡訪問控制為網絡設備(如路由器和交換機)提供各種訪問控制機制。
- 認證和授權:認證和授權確保只有具有適當特權的用戶可以訪問系統或網絡資源。
- 加密和協議:加密和協議保護通過網絡傳輸的信息,保護數據的隱私性和可靠性。
- 網絡安全設備:網絡安全設備,如防火牆和入侵檢測系統(IDS),用於過濾和檢測惡意流量,從而保護組織免受威脅。
- 審計:審計指的是跟踪和檢查網絡中設備的活動。這種機制有助於識別網絡中的弱點。
:::
## Network Security Protocols(網絡安全協議)
:::success
- 在網絡、傳輸和應用層有各種安全協議。這些協議幫助組織加強其數據和通信的安全性,以防範不同類型的攻擊。
- 在傳輸層工作的安全協議如下:
- 傳輸層安全性(TLS):TLS協議為兩個通信方之間的數據提供安全性和可靠性。
- 安全套接字層(SSL):SSL協議為客戶端和服務器之間的通信提供安全性。
- 在網絡層工作的安全協議如下:
- Internet協議安全性(IPSec):IPSec協議在數據傳輸期間對數據包進行身份驗證。
- 在應用層工作的安全協議如下:
- Pretty Good Privacy(PGP)協議:PGP協議為網絡通信提供了加密隱私和身份驗證,增強了電子郵件的安全性。
- S/MIME協議:常被稱為安全/多用途互聯網郵件擴展。S/MIME協議為電子郵件提供了安全性。
- 安全HTTP:安全HTTP為在全球資訊網上傳輸的數據提供了安全性。
- 超文本傳輸安全協議(HTTPS):HTTPS協議被廣泛用於互聯網上的網絡通信安全。
- Kerberos:Kerberos是一種客戶端-服務器模型,用於在計算機網絡中對請求進行身份驗證。
- RADIUS:RADIUS協議為遠程訪問服務器提供了集中式身份驗證、授權和記賬(AAA)功能,使其能夠與中央服務器通信。
- TACACS+:TACACS+為網絡通信提供了身份驗證、授權和記賬(AAA)服務。
:::
## Remote Authentication Dial-in User Service遠程身份驗證撥入用戶服務(RADIUS)
:::info
- RADIUS代表遠程身份驗證撥入用戶服務。它是由Livingston Enterprises開發的一種網絡協議,為遠程訪問服務器提供了與中央服務器通信的集中式身份驗證、授權和記賬(AAA)功能。RADIUS採用了客戶端-服務器模型,通過使用UDP或TCP作為傳輸協議在OSI模型的應用層上運作。RADIUS協議是遠程用戶身份驗證的事實標準,並在RFC 2865和RFC 2866中有所記載。
- RADIUS中的身份驗證步驟如下:
1. 客戶端通過向服務器發送訪問請求數據包來初始化連接。
2. 服務器接收來自客戶端的訪問請求,並將其憑證與存儲在數據庫中的憑證進行比較。如果提供的信息匹配,則服務器向客戶端發送一個access-accept消息,並附帶access-challenge以進行額外的身份驗證;否則,它將發送一個access-reject消息。
3. 客戶端向服務器發送一個accounting-request,以指定已接受的連接的計費信息。
- RADIUS計費步驟如下:
1. 客戶端向服務器發送一個計費請求,以指定已接受的連接的計費信息。
2. 服務器接收此消息並發送一個計費響應消息,該消息表明網絡已成功建立。
- RADIUS協議是一種AAA協議,可在移動網絡和本地網絡上工作。它使用密碼驗證協議(PAP)、挑戰-握手驗證協議(CHAP)或可擴展驗證協議(EAP)來對與服務器通信的用戶進行身份驗證。RADIUS AAA協議的組件包括:
- 存取客戶端
- 存取服務器
- RADIUS代理
- RADIUS服務器
- 用戶帳戶數據庫
- RADIUS消息被發送為UDP消息,並且在RADIUS數據包的UDP有效載荷部分中僅允許一個RADIUS消息。RADIUS消息由RADIUS標頭和其他RADIUS屬性組成。
:::
## TACACS+(Terminal Access Controller Access Control System Plus)
:::warning
- TACACS+是由思科開發的一種協議。它源自TACACS協議,與RADIUS不同,TACACS+對AAA進行了分離。它主要用於設備管理。
- TACACS+加密了客戶端和服務器之間的整個通信,包括用戶的密碼,從而保護免受竊聽攻擊。它是一種客戶端-服務器模型方法,其中客戶端(用戶或網絡設備)請求與服務器的連接,服務器通過檢查其憑證來對用戶進行身份驗證。
#### TACACS+的身份驗證:
- 身份驗證示例,其中一個筆記型電腦用戶正在連接到一個網絡附加存儲(NAS,路由器)。 TACACS+身份驗證涉及以下步驟:
- 步驟1:用戶發起身份驗證連接。
- 步驟2:路由器和用戶交換身份驗證參數。
- 步驟3:路由器將參數發送給服務器進行身份驗證。
- 步驟4:服務器根據提供的信息回應REPLY消息。
:::
## Kerberos
:::danger
- Kerberos是一種用於在計算機網絡中驗證請求的網絡身份驗證協議。它基於客戶端-服務器模型,使用加密技術和“票證”機制來證明用戶在非安全網絡上的身份。
- Kerberos協議消息保護網絡免受重放攻擊和竊聽。它通常在對試圖訪問服務器的用戶進行身份驗證時使用公鑰加密。
- Kerberos協議包括以下步驟:
- 步驟1:用戶將自己的憑證發送給驗證服務器。
- 步驟2:驗證服務器對用戶的密碼進行哈希處理,並將憑證與活動目錄數據庫中的憑證進行驗證。如果憑證匹配,則驗證服務器(包括票證授予服務(TGS))將TGS會話密鑰和票證授予票證(TGT)發送回用戶以創建會話。
- 步驟3:一旦用戶被驗證,他們將TGT發送給服務器或TGS請求服務票證以訪問服務。
- 步驟4:TGS驗證TGT並向用戶授予服務票證,該票證包括一個票證和一個會話密鑰。
- 步驟5:客戶端將服務票證發送給服務器。服務器使用其密鑰解密來自TGS的信息,並對客戶端進行身份驗證。
:::
## Pretty Good Privacy(PGP)
:::success
- Pretty Good Privacy(PGP)是一種應用層協議,用於為網絡通信提供加密隱私和身份驗證。PGP是一個加密和解密計算機程序,用於在通信過程中提供保密性和驗證。PGP增強了電子郵件的安全性。
- PGP的工作原理如下:
- 每個用戶都有一個公共加密密鑰和一個私有密鑰。消息在使用公共密鑰加密後發送給另一個用戶。接收者使用其私有密鑰解密消息。
- PGP壓縮消息,從而增加了消息在網絡中的安全性。
- PGP創建一個僅使用一次的會話密鑰。它使用會話密鑰以及加密算法加密消息。會話密鑰使用接收者的公鑰進行加密。
- 使用接收者的公鑰加密的會話密鑰和加密的消息一起發送給接收者。
- PGP有兩個版本:
- RSA算法
- Diffie-Hellman算法
- PGP從用戶的名稱和簽名創建一個Hash值,以加密發件人的私鑰。接收者使用發件人的公鑰來解密Hash值。
:::
## Secure/Multipurpose Internet Mail Extensions 安全/多用途互聯網郵件擴展(S/MIME)
:::info
- 安全/多用途互聯網郵件擴展(S/MIME)用於發送數字簽名和加密的消息。它允許您對電子郵件消息進行加密並對其進行數字簽名,以確保消息的保密性、完整性和不可否認性。
- S/MIME提供了加密安全服務,例如:
- 身份驗證
- 消息完整性
- 不可否認性
- 隱私
- 數據安全
- S/MIME確保電子郵件的安全性,已被包含在不同網絡瀏覽器的最新版本中。它使用RSA加密方法,並提供有關消息中的加密和數字簽名的詳細信息。
- S/MIME協議需要確保從CA或公共CA獲得證書。該協議使用不同的私有密鑰進行簽名和加密。
:::
## Secure Hypertext Transfer Protocol安全超文本傳輸協議(S-HTTP)
:::warning
- 安全超文本傳輸協議(S-HTTP)確保了在全球資訊網上的安全數據交換。它是HTTPS(SSL)的一種替代方案。它實現了應用層級的安全性,提供了消息的加密和數字簽名。S-HTTP通過使用證書驗證用戶並提供許多加密算法和操作模式來進行驗證。它還確保了個別消息的安全傳輸,而SSL則在兩個實體之間建立了安全連接,從而確保了整個通信的安全性。S-HTTP使用客戶端-服務器協議來確定用戶端-服務器通信的安全條件。它允許客戶端發送證書以驗證用戶。許多Web服務器支持S-HTTP協議,這使它們可以在不需要任何加密的情況下進行通信。
:::
## Hypertext Transfer Protocol Secure超文本傳輸安全協議(HTTPS)
:::danger
- 超文本傳輸安全協議(HTTPS)是一種用於確保網絡通信安全的協議。它使用TLS和SSL等協議來確保數據的安全傳輸。HTTPS確認網站的驗證,並保護了通過互聯網傳遞的消息的保密性和可靠性。
- 它可以防範中間人攻擊,因為數據是通過加密通道傳輸的。
- HTTPS主要使用SSL來保護任何網站,從而使用戶更容易訪問該網站。SSL具有以下優點:
- 它在數據交換期間加密機密信息。
- 它保留了證書擁有者的詳細信息記錄。
- CA在發放證書時會檢查證書的擁有者。
- 它通常用於保密的在線交易中。
:::
## Transport Layer Security傳輸層安全協議(TLS)
:::success
- 傳輸層安全協議(TLS)提供了在通信方之間的保密性和可靠性之外的數據安全通信。
- 以下是安全TLS連接的屬性:
- 它使用對稱加密來確保客戶端和服務器之間通信的數據的保密性和可靠性。
- 它使用公鑰加密來驗證通信應用程序。
- 認證碼可以保持數據的可靠性。
- TLS由兩個協議組成:
- TLS記錄協議:該協議使用加密方法提供安全性。
- TLS握手協議:該協議在通信之前對客戶端和服務器進行身份驗證,從而提供安全性。
:::
## Secure Sockets Layer(SSL)
:::info
- 安全套接層(SSL)是一種用於在兩個通信應用程式之間(如客戶端和伺服器)提供安全驗證機制的協議。SSL需要可靠的傳輸協議,如TCP,用於數據的傳輸和接收。
- 任何高於SSL的應用層協議,例如HTTP、FTP和telnet,都可以在SSL之上形成一個透明的層。SSL充當加密算法和會話金鑰之間的仲裁者。它還在傳輸和接收數據之前驗證目標伺服器。SSL將應用協議的完整數據加密,以確保安全性。
- SSL協議還通過三個基本屬性提供“通道安全”:
- 私密通道:在使用簡單的握手協議定義了一個秘密金鑰後,所有消息都會被加密。
- 身份驗證通道:對話的服務器端始終加密,而客戶端端點可選地進行身份驗證。
- 可靠通道:消息傳輸進行完整性檢查。
- SSL使用了對稱和非對稱身份驗證機制。公鑰加密用於驗證伺服器、客戶端或兩者的身份。一旦身份驗證完成,客戶端和伺服器可以創建對稱金鑰,使它們能夠快速通信和傳輸數據。SSL會話負責執行SSL握手協議,以組織伺服器和客戶端的狀態,從而確保協議的一致性。
:::
## Internet Protocol Security網際網路協定安全(IPsec)
:::warning
- 網際網路協定安全(IPsec)確保在IP網絡上進行安全通信。它在通信模型的網絡層工作,利用加密安全服務來確保通信的安全。它允許在通信過程中對IP數據包進行身份驗證。IPsec應用於虛擬私有網絡和遠程用戶訪問。它用於一對主機、一對安全閘道器或安全閘道器和主機之間。它包括兩種安全服務,即身份驗證標頭(AH)和封裝安全有效載荷(ESP)。AH允許對發送方進行身份驗證,而ESP則允許對發送方和數據進行身份驗證以及加密。
- IPsec提供網絡級對等體身份驗證的安全通信,確保數據的來源身份驗證,並確保數據的完整性、數據的保密性(加密)以及重放攻擊的防護。
:::
# Module 02
- 存取控制原則、術語和模型。用於識別、認證和授權使用者訪問關鍵資產和資源的各種方法和技術。
## Access Control 存取控制
:::danger
- 存取控制是限制組織資源對使用者訪問的一種方法。實施存取控制的關鍵方面是維護信息的完整性、保密性和可用性。
- 存取控制功能使用識別、認證和機制來識別、認證和授權要求訪問特定資源的使用者。存取權限確定了對系統和其他資源進行訪問時向使用者提供的批准或權限。
- 存取控制機制涉及的一般步驟如下:
- 步驟1:用戶在登錄系統時提供他們的憑證/身份識別。
- 步驟2:系統根據提供的憑證/身份識別(如密碼、指紋等)與數據庫驗證用戶。
- 步驟3:一旦識別成功,系統允許用戶訪問系統。
- 步驟4:系統僅允許用戶執行已經授權的操作或訪問已經授權的資源。
:::
### Access Control Terminologies 存取控制術語
:::success
- 以下術語用於定義特定資源上的存取控制:
- 主體(Subject):主體可以是試圖訪問對象的用戶或進程。主體是在系統上執行某些操作的實體。
- 對象(Object):對象是對施加存取限制的明確資源。對對象實施的存取控制進一步控制用戶執行的操作。對象的例子包括文件或硬件設備。
- 參考監視器(Reference Monitor):參考監視器監視基於某些存取控制規則施加的限制。它在主體對對象執行某些操作的能力上實施一組規則。
- 操作(Operation):操作是主體對對象執行的動作。試圖刪除文件的用戶是操作的一個例子。在這裡,用戶是主體,刪除動作是操作,文件是對象。
:::
### Access Control Principles 存取控制原則
:::info
- 存取控制原則詳細描述了用戶的存取權限級別。通過實施存取控制流程,可以確保進程和資源的安全性。存取控制流程應基於以下原則。
- 職責分離(SoD): 職責分離涉及將授權流程分解為各種步驟。在每個步驟中,將不同的特權分配給請求資源的個別主體。這確保沒有單個個體有權執行所有功能;同時,單個個體也無法訪問所有對象。這種分工確保了一個人不會對更大的流程負責。例如,只授予Web服務器管理員權限來配置Web服務器,而不授予其他服務器管理員權限的權限。
- Need-to-know 需知原則:根據需知存取控制原則,僅提供執行特定任務所需的信息訪問權限。
- 最小權限原則(POLP):最小權限原則(POLP)將需知原則延伸到系統訪問控制。換句話說,POLP要求僅提供員工所需的知識水平訪問權限,即既不多也不少。它幫助組織防範惡意行為,提高系統穩定性和安全性。
- 最小權限原則(POLP)僅向那些需要訪問和資源的用戶提供訪問權限。所授予的權限取決於請求訪問的用戶的角色和責任。POLP 中涉及兩個基本原則:低權限和低風險。根據這些原則,用戶需要在限定的時間內使用有限數量的資源完成任務。這種方法降低了未經授權訪問系統資源的可能性。
:::
### Access Control Models 存取控制模型
:::warning
- 存取控制模型是提供預定義框架以實現必要存取控制水平的標準。存取控制模型指定了主體如何訪問對象。
- 強制存取控制:強制存取控制(MAC)確定了用戶的使用和訪問策略。只有具有對資源的訪問權限的用戶才能訪問該資源。MAC適用於被標記為高度機密的數據。管理員根據操作系統和安全內核施加MAC。它不允許最終用戶決定誰可以訪問信息。
- 以下是MAC的優點和缺點:
- 它提供了高水準的安全性,因為網絡防禦者確定了訪問控制。
- MAC政策減少了錯誤的機會。
- 根據MAC,操作系統會標記和標籤傳入的數據,從而創建外部應用程序控制策略。
- MAC的示例包括安全增強型Linux(SELinux)和可信Solaris。
:::
### Discretionary Access Control 自由存取控制
:::danger
- 自由存取控制(DAC)確定了對象的所有者所採取的訪問控制,以決定對該對象的主題的訪問控制。DAC也被稱為需知存取模型。擁有者所做的決定取決於以下措施:
- 文件和數據所有權:確定了用戶的訪問策略
- 訪問權限和權限:涉及擁有者設置對其他主題的訪問特權
- 所有者可以向任何特定用戶或一組用戶提供或拒絕訪問權限。 DAC的屬性包括以下內容:
- 對象的所有者可以將所有權轉移給另一個用戶。
- 訪問控制阻止多次未經授權的對該對象的訪問嘗試。
- DAC防止未經授權的用戶查看文件大小、文件名、目錄路徑等詳細信息。
- DAC使用訪問控制列表來識別和授權用戶。
- 缺點:DAC需要維護訪問控制列表和用戶的訪問權限。 DAC的示例包括UNIX、Linux和Windows存取控制。
:::
### Role-Based Access Control 基於角色的存取控制
:::success
- 在基於角色的存取控制(RBAC)中,存取權限是根據系統確定的存取策略而設置的。存取權限超出了用戶的控制範圍,這意味著用戶無法修改系統創建的存取策略。確定基於角色的存取控制的規則如下:
- 角色分配:必須將特定角色分配給用戶,以使其能夠執行交易。
- 角色授權:用戶需要進行角色授權,以達到特定的角色。
- 交易授權:交易授權允許用戶僅執行其已被授權的交易。
:::
### Rule-based Access Control 基於規則的存取控制(RB-RBAC)
:::info
- 權限是根據管理員定義的一組規則動態分配給用戶角色。
:::
### Logical Implementation of DAC, MAC, and RBAC
:::warning
- 在 Windows 操作系統(OS)中,使用者帳戶控制(UAC)功能實現了強制存取控制(MAC)安全模型。它限制只有具有管理員權限的使用者才能安裝應用程式軟體。換句話說,沒有管理員權限的使用者無法在系統上安裝任何應用程式。
- 存取控制(Access Control)的邏輯實作包括三種主要模型:Discretionary Access Control(DAC)、Mandatory Access Control(MAC)和 Role-Based Access Control(RBAC)。
1. Discretionary Access Control(DAC):這種模型是基於擁有者對資源的控制權,擁有者可以自行決定資源對於其他主體的存取權限。DAC又稱為需要知道的存取模型,它取決於以下措施:
- 檔案和資料擁有權:決定使用者的存取策略。
- 存取權限和權限:擁有者設定對其他主體的存取特權。
- 擁有者可以授予或拒絕對任何特定使用者或使用者群體的存取權限。
2. Mandatory Access Control(MAC):這種模型是基於系統所定義的存取政策,使用者只有在擁有特定許可權的情況下才能存取資源。MAC 適用於標記為高度機密的數據,系統管理員根據操作系統和安全核心實施 MAC。
- MAC 的優點包括提供高水平的安全性,幫助減少錯誤的機會,並通過對進入數據進行標記和標籤來創建外部應用程式控制政策。
3. Role-Based Access Control(RBAC):這種模型是基於系統所設定的存取規則,使用者無法修改系統所建立的存取策略。RBAC 的規則包括以下幾點:
- Role-Based Access Control(RBAC):這種模型是基於系統所設定的存取規則,使用者無法修改系統所建立的存取策略。RBAC 的規則包括以下幾點:
- 角色授權:使用者需要執行角色授權才能獲得特定角色。
- 交易授權:交易授權允許使用者僅執行獲得授權的交易。
- RBAC 的邏輯實施:Just Enough Administration(JEA)
- 在 Windows 中,Just Enough Administration(JEA)管理框架實現了 RBAC,用於限制遠程 PowerShell 會話中 IT 管理員的權限。使用 JEA,可以為非管理員運行特定命令、腳本和可執行文件實現細粒度的存取控制。
- RBAC 的邏輯實施:Windows Admin Center(WAC)
- Windows Admin Center(WAC)是一個工具,用於配置 RBAC 以管理服務器。角色的概念基於 JEA,可以向非管理員授予所需的權限。
:::
## Identity and Access Management 身份和訪問管理(IAM)
:::danger
- 身份和訪問管理(IAM)負責在正確的時間將正確的個人提供給正確的訪問權限。它為組織的客戶或員工提供基於角色的訪問控制,以訪問企業內部的關鍵信息。它包括允許監控電子或數字身份的業務流程、政策和技術。IAM 產品為系統管理員提供工具和技術,用於根據企業中個人用戶的角色來調節對系統或網絡的用戶訪問(即創建、管理和刪除訪問)。組織通常更喜歡使用一體化的身份驗證實現,該實現可以擴展到身份聯合。這是因為身份聯合包括具有單一登錄(SSO)和集中式活動目錄(AD)帳戶的 IAM,用於安全管理。
- 組織應確保 IAM 框架的數據正確性,以確保其正常運作。IAM 框架可以分為四個領域,即身份驗證、授權、用戶管理和中央用戶存儲庫/身份存儲庫。所有的 IAM 組件都歸類在這四個領域之下。
- 身份管理(IDM)框架的主要責任是管理被應用程序和訪問管理系統訪問的共享身份存儲庫。
:::
## User Identity Management 用戶身份管理(IDM)
:::success
- 識別涉及確認訪問網絡的用戶、進程或設備的身份。用戶識別是網絡和應用程序中最常用的用於驗證用戶的技術。用戶有一個唯一的用戶ID,有助於識別他們。身份管理涉及在其存儲庫中存儲和管理用戶屬性。在這裡,用戶存儲庫是一個數據庫,其中存儲了與用戶身份有關的屬性。
- 認證過程包括驗證用戶ID和密碼。用戶需要提供這兩個憑據才能訪問網絡。網絡管理員根據用戶ID提供訪問控制,例如用戶名、帳戶號碼等,並根據需要向各種其他服務授權。
:::
## User Access Management 用戶訪問管理(AM): Authentication 身份驗證
:::info
- 身份驗證涉及驗證用戶在嘗試連接到網絡時提供的憑據。在允許用戶訪問網絡中的資源之前,有線和無線網絡都要對用戶進行身份驗證。典型的用戶身份驗證包括用戶ID和密碼。其他形式的身份驗證包括使用數字證書驗證網站並比較產品及其標籤之間的關係。
- 與身份驗證過程相關的因素如下:
- 用戶在嘗試登錄系統或網絡時應該知道的信息,例如用戶名、密碼等。
- 用戶在嘗試登錄系統或網絡時應持有的信息,例如一次性密碼令牌、員工ID卡等。
- 用戶在嘗試登錄系統或網絡時應使用其生物特徵,例如視網膜掃描、指紋掃描等。
- 常用的身份驗證方法包括:
- 密碼身份驗證
- 智能卡身份驗證
- 生物識別身份驗證
- 雙因素身份驗證
- 單一登錄(SSO)身份驗證
:::
## Password Authentication 身份驗證類型
:::warning
- Password Authentication 密碼身份驗證
- 在密碼身份驗證中,用戶需要提供用戶名和密碼來證明他們在系統、應用程序或網絡中的身份。這些信息會與數據庫/Windows AD中的授權用戶列表進行匹配。一旦匹配成功,用戶就可以訪問系統。
- 用戶密碼應該遵循標準的密碼創建實踐,包括使用字母、數字和特殊字符的組合,並且長度應大於8個字符(因為長度較短的密碼容易被猜測)。
- 密碼身份驗證容易受到暴力破解或字典攻擊的威脅,例如,一個人嘗試可能的字符組合來猜測密碼,或者在網絡傳輸數據時使用“數據包嗅探器”來捕獲明文數據包。
- Smart Card Authentication 智慧卡身份認證
- 組織使用智慧卡技術來確保強大的身份認證。智慧卡可以存儲密碼文件、身份驗證令牌、一次性密碼文件、生物特徵模板等。這種技術與另一個身份驗證令牌一起使用,從而提供多因素身份驗證。這使得有效的邏輯訪問安全得以實現。這種技術應用於 VPN 身份驗證、電子郵件和數據加密、電子簽名、安全的無線登錄和生物特徵身份驗證等方面。
- 智慧卡由一個小型的電腦芯片組成,用於存儲用戶的個人信息以進行身份識別。這些卡片插入機器進行身份驗證,並輸入個人身份識別號碼(PIN)以處理卡片上的身份驗證信息。智慧卡還有助於存儲公鑰和私鑰。
- 智慧卡身份認證是一種基於加密學的身份認證技術,比密碼身份認證提供了更強大的安全性。使用智慧卡的主要優勢在於它消除了從計算機中竊取憑證的風險,因為憑證存儲在卡片的芯片中。然而,智慧卡的微芯片中只能存儲有限量的信息。
- 智慧卡的優勢:
- 高度安全的技術:智慧卡技術使用有效的加密和身份驗證方法,從而提高了卡片的安全性。
- 方便攜帶:智慧卡便於攜帶,用戶只需知道卡的PIN即可。
- 減少用戶欺騙的機會:智慧卡使用戶能夠存儲指紋等生物特徵信息,從而使組織能夠識別其員工。
- 智慧卡的缺點:
- 易丟失:由於智慧卡體積小,丟失的機會很高。
- 安全問題:丟失智慧卡會對擁有者的信息和身份造成巨大風險。
- 生產成本高:由於智慧卡具有微芯片和其他加密技術,它們的生產成本較高。
- Biometric Authentication 生物特徵身份認證
- 生物特徵識別技術是一種用於驗證人的技術,它識別人類的特徵。最常用的生物特徵識別技術包括指紋掃描、視網膜掃描、面部識別、DNA 和語音識別。
- 生物特徵身份認證包括以下步驟:
- 讀取器掃描生物特徵數據
- 軟體將掃描到的信息轉換為數位形式,並將其與存儲在數據庫中的生物特徵數據進行比較
- 如果兩個數據匹配,則確認用戶的真實性並允許許可。
- 生物特徵識別中使用的不同類型的識別技術如下:
- 指紋掃描:根據手指上的紋路進行驗證和識別。這些紋路取決於區別每個用戶指紋的脊和微小特徵點。
- 視網膜掃描:根據視網膜血管的獨特模式進行比較和識別用戶。
- 虹膜掃描:根據用戶一個或兩個眼睛的虹膜圖像進行比較和識別。每個人的虹膜模式都不同。
- 靜脈結構識別:根據用戶的靜脈產生的模式進行比較和識別。每個人的靜脈流動情況不同,因此產生的模式也不同。
- 面部識別:根據圖像或視頻源中的面部特徵進行比較和識別一個人。
- 語音識別:根據語音模式或語音模式進行比較和識別一個人。
- 優勢:
- 與密碼或用戶名相比,篡改生物特徵數據更加困難。它們無法使用社會工程學技術進行共享或盜竊。生物特徵身份驗證需要用戶在場,這降低了未經授權訪問的可能性。
- 缺點:
- 如果生物特徵信息被泄露,更改生物特徵因素將變得困難。
- 視網膜掃描和靜脈結構掃描可能會引發隱私問題。視網膜掃描和靜脈結構掃描信息可能會意外地透露醫療狀況。
- Two-factor Authentication 雙因子認證
- 雙因子認證是一種系統在兩個步驟中確認用戶身份的過程。用戶可以使用物理實體,如安全令牌作為其中一個憑證,另一個憑證可以包括安全代碼。
- 雙因子認證依賴於三個因素:
- 擁有的東西
- 知道的東西
- 是什麼身分
- 因素“是什麼身分”是雙因子認證的最佳伴侶,因為它被認為是最難仿造或篡改的。
- 例如:銀行卡 - 用戶在訪問銀行卡時需要刷卡並輸入PIN碼。在這裡,銀行卡是物理實體,PIN碼是安全代碼。
- 雙因子認證的優點包括降低身份盜竊和網絡釣魚的機會。然而,這種兩步驟流程存在一些缺點。在某些情況下,用戶將不得不等待組織向其發放物理令牌。接收令牌的延遲導致用戶長時間等待訪問其私人數據。
- 身份評估取決於知識、擁有和固有因素。在這些因素中,固有因素難以改變,因為它們取決於人類的特徵。
- 在雙因素認證過程中有許多組合可用。最常見的組合有:
- 密碼和智慧卡
- 密碼和生物特徵
- 密碼和一次性密碼(OTP)
- 智慧卡和生物特徵
- 在不使用令牌的情況下進行的雙因素認證稱為無令牌認證。它們可以快速在網絡上實施。
- Single Sign-on (SSO) Authentication 單一登錄(SSO)身份驗證
- 正如其名,它允許用戶使用單一的用戶名和密碼訪問多個應用程序。SSO將用戶的憑證存儲在SSO策略伺服器中。單一登錄的一個示例是Google應用程序。用戶可以使用單一的用戶名和密碼組合訪問所有Google應用程序。將Google視為中央服務。這個中央服務為在中央服務中的任何應用程序首次登錄的所有用戶創建一個cookie。當用戶嘗試訪問中央服務的其他應用程序時,由於已經創建了cookie,因此無需再次輸入憑證。系統使用已創建的cookie檢查憑證。
- SSO的優點:
- 減少重新驗證的機會,從而提高生產力。
- 消除了釣魚的可能性。
- 由於集中式數據庫,提供了更好的應用程序管理。
- 有助於帳戶的生命周期管理。由於有單一的真相來源,帳戶的供應和取消供應變得簡單。
- 無需記住多個應用程序或系統的密碼。
- 減少輸入用戶名和密碼的時間。
- SSO的缺點:
- 丟失憑證對中央服務的所有應用程序都會產生很大影響,因為它們都變得不可用。
- 與所有應用程序相關的身份驗證存在許多漏洞問題。
- 它在多用戶電腦上是一個問題,需要實施某些安全策略來確保安全性。
:::
## User Access Management 用戶訪問管理(AM): Authorization 授權
:::danger
- 授權是指在網絡上提供訪問資源或執行操作的許可權過程。系統可以決定多用戶系統上用戶的特權和訪問權限。授權機制可以允許管理員為用戶創建訪問權限,並驗證為每個用戶創建的訪問權限。
- 根據組織的需求,授權可以採取不同的形式。
- 集中式授權
- 當對每個資源個別實施授權過程變得困難時,集中式授權的需求應運而生。它使用一個中央授權數據庫,該數據庫允許或拒絕用戶訪問,並且訪問的決定取決於中央單元創建的策略。這使得用戶在訪問不同平台時可以輕鬆進行授權。集中式授權單元易於管理,成本較低。一個單一的數據庫為所有應用程序提供訪問權限,從而實現了有效的安全性。集中式數據庫還提供了一種輕鬆且廉價的方法,可以將應用程序添加、修改和刪除到集中式單元中。
- 分散式授權
- 分散式授權為每個資源維護單獨的數據庫。該數據庫包含被允許訪問特定資源的所有用戶的詳細信息。分散式授權過程使用戶還可以向其他用戶提供訪問權限。這增加了使用分散式方法的用戶的靈活性水平。然而,分散式授權涉及到一些問題,包括級聯和循環授權。
- 隱式授權
- 隱式授權間接地提供對資源的訪問權限。通過對主要資源進行授權,用戶可以獲得對所請求資源的訪問權限。例如,請求網頁的用戶有權訪問主頁以及與主頁相關的所有頁面。因此,用戶可以間接訪問與主頁相關聯的其他鏈接和文檔。隱式授權提供了更高級別的細粒度控制。
- 顯式授權
- 顯式授權為每個資源請求維護單獨的授權詳細信息。這種技術比隱式技術更簡單。然而,它需要大量的存儲空間來存儲所有授權詳細信息。
:::
## User Access Management 用戶訪問管理(AM): Accounting 會計
:::success
- 用戶會計涉及跟踪用戶在網絡上執行的操作。它記錄了用戶訪問網絡的時間、方式和誰訪問了網絡。這包括驗證用戶訪問的文件以及對文件或數據進行的更改或修改等功能。它有助於識別授權和未授權的操作。帳戶數據可用於趨勢分析、數據泄露檢測、法醫調查等。
:::
# Module 03
- 網絡安全控制、管理控制
## Regulatory Frameworks Compliance 監管框架合規
:::info
- 監管框架合規是一套指導方針和最佳實踐,旨在組織遵循,從而滿足其監管需求,改進流程,提高保護水平,並根據所維護的行業和數據類型實現其他任何目標。組織通常需要遵守某種類型的安全監管規定。遵守監管框架是政府和私人機構之間合作的結果,以鼓勵對網絡安全進行自願/強制性改進。監管合規性防止組織遭受巨額罰款或成為數據侵犯的受害者。大多數組織需要遵守多個監管框架。
- 決定哪個框架、政策和控制最符合組織的合規目標是一項困難的任務。同時,監管框架合規性具有不斷發展的特性,因為組織環境始終在變化。通常,這些指南由以下人員利用:
- 內部審計師和其他利益相關者,他們評估組織所需的控制措施;
- 外部審計師,他們評估組織所需的控制措施;
- 其他/第三方(私人/政府),如重要客戶和投資者,在與組織合作之前評估風險。
- 監管框架:在一個框架下,組織必須記錄其政策、標準以及程序、實踐和指南。這些方面各有不同的目的,因此不能合併成一個文件。監管框架的例子包括支付卡行業——數據安全標準(PCI-DSS)的第3要求:保護存儲的持卡人數據。
- 政策是處理組織行政網絡安全的高層次聲明。這些政策由組織的高級管理人員利用。組織需要至少制定一項政策。政策被視為業務指令,具有自上而下的管理。一些政策的例子包括電子郵件和加密政策。它們通常概述以下內容:
- 安全角色和責任
- 需要保護的信息範圍
- 保護信息所需的控制描述
- 支持政策的標準和指南的引用
- 標準包括具體的低層次強制性控制或與實施特定技術相關的控制,這些控制對於執行和支持政策、確保業務安全的一致性非常有用。正如之前所指出的,這包括密碼政策,例如用於密碼複雜性的密碼標準,或加密政策,其中包括數據加密標準(DES)、高級加密標準(AES)和Rivest–Shamir–Adleman算法。
- 程序、實踐和指南
- 程序或標準操作程序(SOP)包括逐步指導,用於實施由多個政策、標準和指南定義的控制,例如安全的Windows安裝程序或數據加密程序。
- 指南包括建議,但非強制性控制,以及一般性陳述、行政指示或最佳實踐,用於支持標準或在沒有標準的情況下作為參考。指南和最佳實踐是可以互換使用的。這些變化是依賴環境的,必須比標準和政策更經常地進行審查。例如,一個標準可能會規定密碼應該是八個或更多字符,而支持的指南可能會說明遵循密碼過期和數據加密指南也是一個最佳實踐。
- 組織為何需要合規
- 對組織而言,信息安全合規應該是一個必須的要求,而不是一個選擇,因為投入合規的金錢、時間和努力價值遠高於風險成本。
- 監管框架合規性為組織帶來的好處包括:
- 改善安全性:IT安全規定和標準通過滿足基本的監管要求來改善組織的整體安全性。這些基本要求確保了一致的數據安全性。
- 減少損失:改善安全性可以防止安全漏洞,否則可能導致損失、維修成本、法律費用或巨額罰款。
- 維護信任:數據泄露會導致公司失去聲譽和顧客的信任。合規性使客戶相信組織,認為他們的信息是安全的。
- 增加控制:隨著控制的增加,組織的安全性也會增加,例如防止員工犯錯、實施強大的憑證系統和加密系統,或者監控外部威脅。
- 確定應遵循的監管框架
- 組織必須進行自我評估,以確定最適用於其的監管框架。這種合規評估包括確定現有控制環境與組織要求之間的差距。然而,這是一項具有挑戰性的任務,組織應該充分了解自身的需求和功能,以理解哪些控制適合其大小和複雜性。在評估合規性時,組織必須考慮以下事項:
- 金融機構信函
- 國家標準與技術出版物
- 行業實施指南和建議,例如國際標準如ISO 27002或國家標準與技術框架以增強網絡安全
- 注意網絡犯罪、新的漏洞利用和新的趨勢,以確定可能存在大範圍的漏洞。
- 例如,以下表格顯示了不同的監管框架以及哪些組織會受到監管框架的範圍約束。
| Regulatory Framework | Organizations within Scope |
| -------- | -------- |
| Health Insurance Portability and Accountability Act (HIPAA) | Any company or office that deals with healthcare data, including, but not limited to, doctor’s offices, insurance companies, business associates, and employers |
| Sarbanes Oxley Act | U.S. public company boards, management, and public accounting firms |
| Federal Information Security Management Act of 2002 (FISMA) | All federal agencies must develop a method of protecting information systems |
| Gramm Leach Bliley Act (GLBA) | Companies that offer financial products or services to individuals such as loans, financial or investment advice, or insurance |
| Payment Card Industry Data Security Standard (PCI-DSS) | Companies handling credit card information |
| 監管框架 | 受監管範圍的組織 |
| -------- | -------- |
| 健康保險可攜性和負責任法案(HIPAA) | 任何處理醫療數據的公司或辦公室,包括但不限於醫生辦公室、保險公司、商業合作夥伴和雇主 |
| 薩班斯-奧克斯法案 | 美國上市公司的董事會、管理層和上市會計師事務所 |
| 2002年聯邦信息安全管理法(FISMA) | 所有聯邦機構都必須制定保護信息系統的方法 |
| 格拉姆-利奇-布萊利法(GLBA) | 向個人提供金融產品或服務的公司,如貸款、金融或投資建議或保險 |
| 支付卡行業數據安全標準(PCI-DSS) | 處理信用卡信息的公司 |
- 選擇如何遵守監管框架
- 當組織確定了其框架後,就需要正確解釋其監管要求。然後,必須分析和解釋收集到的信息,以確定這些信息與組織的服務相關。接下來,討論和整理組織在解釋已確認的合規信息時遇到的所有內部/外部人員的含糊不清、不確定性和問題。評估並確定適當的合規要求順序,例如可能違反的重要影響和風險。將被認為是首要重要和核心的合規要求與僅僅重要的合規要求分開/分組;最後,對於組織的運作而言,被視為相關但次要的合規要求。
- 基於監管要求,組織需要建立適當的政策、程序和安全控制來組織其信息安全。例如,以下表格顯示了一些PCI-DSS的監管要求。
| | PCI-DSS |
| -------- | -------- |
| Regulatory requirements | PCI–DSS requirement No 1.1.1:“A formal process for approving and testing all network connections and changes to the firewall and router configurations.” PCI–DSS Requirement No 1.2.1: “Restrict inbound and outbound traffic to that which is necessary for the cardholder data environment, and specifically deny all other traffic.” |
| Policies, procedures, and controls to satisfy the requirements | Provision for detecting all unauthorized network connections to/from an organization’s IT assets |
| | PCI-DSS |
| -------- | -------- |
| 監管要求 | PCI-DSS要求1.1.1:“對所有網絡連接和防火牆及路由器配置的更改進行批准和測試的正式流程。” PCI-DSS要求1.2.1:“將進出卡持有人數據環境的流量限制為必要的流量,並明確拒絕所有其他流量。” |
| 滿足要求的政策、程序和控制 | 提供檢測所有未經授權的對/從組織IT資產的網絡連接的條款 |
| | PCI-DSS |
| -------- | -------- |
| Regulatory requirements | PCI–DSS requirement no 1.1.6: “Documentation and business justification for use of all services, protocols, and ports allowed, including documentation of security features implemented for those protocols considered to be insecure.” |
| Policies, procedures, and controls to satisfy the requirements | Provision for looking insecure protocols and services running on systems |
| | PCI-DSS |
| -------- | -------- |
| 監管要求 | PCI-DSS要求1.1.6:“對所有允許使用的服務、協議和端口進行文件化和業務理由,包括對那些被認為是不安全的協議實施的安全功能的文件化。” |
| 滿足要求的政策、程序和控制 | 提供檢查系統上運行的不安全協議和服務的條款 |
| | PCI-DSS |
| -------- | -------- |
| Regulatory requirements | PCI–DSS requirement no 1.3.1: “Implement a DMZ to limit inbound traffic to only system components that provide authorized publicly accessible services, protocols, and ports.” PCI–DSS Requirement No 1.3.2: “Limit inbound Internet traffic to IP addresses within the DMZ.”PCI–DSS Requirement NO 1.3.5: “Do not allow unauthorized outbound traffic from the cardholder data environment to the Internet.” |
| Policies, procedures, and controls to satisfy the requirements | Provision for checking how traffic is flowing across the DMZ to/from the internal network |
| | PCI-DSS |
| -------- | -------- |
| 監管要求 | PCI-DSS要求1.3.1:“實施DMZ以將入站流量限制為僅限於提供授權的公開訪問服務、協議和端口的系統組件。” PCI-DSS要求1.3.2:“將入站互聯網流量限制為DMZ內的IP地址。” PCI-DSS要求1.3.5:“不允許從持卡人數據環境向互聯網發送未經授權的出站流量。” |
| 滿足要求的政策、程序和控制 | 提供檢查流量在DMZ內/外的內部網絡上下流動情況的條款 |
| | PCI-DSS |
| -------- | -------- |
| Regulatory requirements | PCI–DSS requirement no 5.1: “Deploy anti-virus software on all systems commonly affected by malicious software (particularly personal computers and servers).” PCI–DSS requirement no 5.3: “Ensure that anti-virus mechanisms are actively running and cannot be disabled or altered by users, unless specifically authorized by management on a case-by-case basis for a limited time period.” |
| Policies, procedures, and controls to satisfy the requirements | Provision for detecting malware infection when anti-virus protection is disabled on the machines |
| | PCI-DSS |
| -------- | -------- |
| 監管要求 | PCI-DSS要求5.1:“在所有常受惡意軟件影響的系統上部署防病毒軟件(尤其是個人電腦和伺服器)。” PCI-DSS要求5.3:“確保防病毒機制正在主動運行,且不能被用戶停用或修改,除非在有限的時間內由管理層進行逐案授權。” |
| 滿足要求的政策、程序和控制 | 在電腦上禁用防病毒保護時檢測惡意軟件感染的條款 |
:::
## Payment Card Industry Data Security Standard 支付卡行業數據安全標準(PCI DSS)
:::warning
- 支付卡行業數據安全標準(PCI DSS)是一個專有的信息安全標準,適用於處理主要借記卡、信用卡、預付卡、電子錢包、自動取款機(ATM)和銷售點(POS)卡的組織。該標準提供了堅固而全面的標準和支持材料,以增強支付卡數據安全性。這些材料包括一系列規範、工具、測量和支持資源的框架,幫助組織確保卡持有人信息的安全處理。PCI DSS適用於參與支付卡處理的所有實體,包括商家、處理商、收單行、發卡行和服務提供商,以及存儲、處理或傳輸持卡人數據的所有其他實體。PCI DSS包括一系列最低要求,用於保護持卡人數據。支付卡行業(PCI)安全標準委員會已經開發並維護了PCI DSS要求的高水平概述。
- PCI Data Security Standard – High Level Overview (PCI數據安全標準 - 高水平概述)
- 建立和維護安全網絡
- 安裝和維護防火牆配置以保護持卡人數據
- 不要使用供應商提供的系統密碼和其他安全參數的默認值
- 保護持卡人數據
- 保護存儲的持卡人數據
- 加密在開放的公共網絡上傳輸的持卡人數據
- 維護弱點管理
- 使用並定期更新防病毒軟件或程序
- 實施強大的訪問控制措施
- 按業務需要限制對持卡人數據的訪問
- 為每個有電腦訪問權限的人分配唯一的ID
- 限制對持卡人數據的物理訪問
- 定期監視和測試網絡
- 追蹤和監控對網絡資源和持卡人數據的所有訪問
- 定期測試安全系統和流程
- 維護信息安全政策
- 維護一項涵蓋所有人員的信息安全政策
- 未能滿足PCI DSS要求可能導致罰款或終止支付卡處理特權。
:::
## Health Insurance Portability and Accountability Act 健康保險便利性與責任法案(HIPAA)
:::danger
- HIPAA隱私規則為涵蓋實體及其業務聯繫人持有的個人可識別健康信息提供了聯邦保護,並賦予患者一系列關於該信息的權利。同時,隱私規則允許披露為了患者護理和其他必要目的所需的健康信息。
- 安全規則為涵蓋實體及其業務聯繫人指定了一系列行政、物理和技術保護措施,以確保電子保護健康信息的機密性、完整性和可用性。
- 國民權利辦公室實施了HIPAA的行政簡化法案和規則,如下所述:
- 電子交易和代碼集標準
- 交易是涉及信息在兩個方之間特定目的的電子交換。 1996年的《健康保險可移植性和責任法案》(HIPAA)將某些類型的組織指定為涵蓋實體,包括健康計劃、醫療保健結算所和某些醫療提供者。 在HIPAA法規中,衛生與公共服務部(HHS)部長採納了某些標準交易,用於醫療數據的電子數據交換(EDI)。 這些交易包括索賠和對遭遇信息、付款和支付建議、索賠狀態、符合資格、註冊和退註、轉介和授權、福利協調和保費支付。 根據HIPAA,如果涵蓋的實體電子進行了其中一個採納的交易,則必須使用採納的標準, ASC、X12N或NCPDP(某些藥局交易)。 涵蓋的實體必須遵守每個交易的內容和格式要求。 每個以電子方式開展業務的提供者必須使用相同的醫療保健交易、代碼集和識別符。
- 隱私規則
- HIPAA隱私規則建立了國家標準,以保護人們的醫療記錄和其他個人健康信息,並適用於通過電子方式進行某些醫療交易的健康計劃、醫療結算所和醫療提供者。 該規則要求採取適當的保護措施來保護個人健康信息的隱私。 它對未經患者授權可能對此類信息進行的使用和披露設定了限制和條件。 該規則還賦予患者對其健康信息的權利,包括檢查並獲得其健康記錄的副本以及要求更正的權利。
- 雇主識別號標準
- HIPAA要求每個雇主都有一個標準的全國號碼,用於識別它們在標準交易中的身份。
- 雇主識別碼標準
- 根據HIPAA法案,每個雇主都需要擁有一個標準的全國性編號,用於標識他們在標準交易中的身份。
- 國家提供者識別碼標準(NPI)
- 國家提供者識別碼(NPI)是HIPAA行政簡化標準的一部分。NPI是分配給受保護的醫療保健提供者的獨特識別號碼。所有受保護的醫療保健提供者以及所有健康計劃和健康照顧結算中心都必須在根據HIPAA採用的行政和財務交易中使用NPI。NPI是一個10位的、無智能化的數字識別符號(10位數字)。這意味著這些數字不包含有關醫療保健提供者的其他信息,例如他們居住的州或醫學專業。
- 執行規則
- HIPAA執行規則包含了與合規性和調查相關的規定,以及對HIPAA行政簡化規則違反的民事罰款的強制執行,以及有關聽證會的程序。
:::
## Sarbanes Oxley Act 薩班斯-奧克斯法案(SOX)
:::success
- 2002年頒布的《薩班斯-奧克斯法案》旨在通過提高公司披露的準確性和可靠性來保護公眾和投資者。該法案並未解釋組織應該如何存儲記錄,但描述了組織必須存儲的記錄及其存儲期限。該法案強制採取了幾項改革措施,以加強企業的責任感、改善財務披露,並打擊企業和會計舞弊。
- SOX的主要要求和條款分為11個標題:
- 標題一:公共公司會計監管委員會(PCAOB)
- 標題一包含九個部分,建立了公共公司會計監管委員會,以獨立監管提供審計服務(“審計師”)的公共會計事務所。它還創建了一個中央監督委員會,負責註冊審計服務、定義遵守審計程序和程序的具體流程、檢查和監管行為和質量控制,以及強制執行SOX的具體規定。
- 標題二:審計師獨立性
- 標題二包含九個部分,建立了外部審計師獨立性的標準,以限制利益衝突。它還涉及新的審計師批准要求、審計合夥人輪換和審計師報告要求。該標題限制了審計公司為同一客戶提供非審計服務(如咨詢)的行為。
- 標題三:企業責任
- 標題三包含八個部分,要求高級管理人員對公司財務報告的準確性和完整性承擔個人責任。它定義了外部審計師和公司審計委員會之間的互動,並具體規定了公司高級管理人員對公司財務報告的準確性和有效性負責。它列舉了公司高級管理人員行為的具體限制,並描述了對不遵守規定的特定失利以及民事處罰。
- 標題四:增強財務披露
- 標題四包含九個部分。它描述了對財務交易的增強報告要求,包括離帳交易、虛擬數字和公司高管的股票交易。它要求建立內部控制以確保財務報告和披露的準確性,並要求對這些控制進行審計和報告。它還要求及時報告財務狀況的重大變化,以及證券交易委員會或其代理人對公司報告進行特定的增強審查。
- 標題五:分析師利益衝突
- 標題五只包含一個部分,討論了幫助恢復投資者對證券分析師報告的信心的措施。它確定了證券分析師的行為準則,要求他們披露任何可知的利益衝突。
- 標題六:委員會資源和權限
- 標題六包含四個部分,定義了恢復投資者對證券分析師的信心的做法。它還界定了證券交易委員會對對證券專業人士的譴責或禁止的權限,並定義了禁止個人作為經紀人、顧問或交易商從事相關行業的條件。
- 標題七:研究和報告
- 標題七包含五個部分,要求總會計師和證券交易委員會進行各種研究並報告其發現。所要求的研究和報告包括公共會計事務所合併的影響、信用評級機構在證券市場運作中的作用、證券違規行為、執法行動,以及投資銀行是否協助埃恩勒恩、Global Crossing和其他公司操縱盈利和掩蓋真實財務狀況。
- 標題八:公司和刑事詐欺責任
- 標題八,也被稱為“2002年公司和刑事詐欺責任法”,包含七個部分。它描述了對財務記錄操縱、破壞或更改,或妨礙調查的具體刑事處罰,同時也為告發者提供了某些保護。
- 標題九:白領犯罪刑罰加強
- 標題九,也稱為“2002年白領犯罪刑罰加強法案”,包含六個部分。這一標題增加了與白領犯罪和陰謀有關的刑事處罰。它建議加強判刑指南,並將未簽署公司財務報告視為刑事罪行之一。
- 標題十:公司稅務申報
- 標題十只包含一個部分,規定首席執行官應該簽署公司的稅務申報。
- 標題十一:公司詐欺責任
- 標題十一包含七個部分。第1101條建議將標題命名為“2002年公司詐欺責任法案”。它將公司詐欺和記錄篡改定為刑事罪行,並將這些罪行與具體的懲罰聯繫在一起。它還修改了判刑指南並加強了懲罰。這樣做使美國證券交易委員會能夠暫時凍結“大型”或“不尋常”的交易或支付。
:::
## Gramm-Leach-Bliley Act (GLBA)
:::info
- 格拉姆-利奇-布莱利法案(GLB法案或GLBA)是美國的一項聯邦法律,要求金融機構解釋它們如何分享和保護客戶的私人信息。該法案要求金融機構——提供消費者貸款、金融或投資建議、保險等金融產品或服務的公司——向其客戶解釋其信息共享做法,並保護敏感數據。GLBA的目標是促進金融信息在機構和銀行之間的轉移,同時通過具體的安全要求明確個人的權利。
- 在這方面,關鍵點包括:
- 保護金融機構及其服務提供商持有的消費者個人財務信息是GLBA的金融隱私規定的關鍵要點。公司應向消費者提供隱私通知,解釋GLBA的信息共享做法,而消費者可以限制其信息的共享。
- 如果組織違反了GLBA,則
- 每次違規最多可處以不超過10萬美元的民事罰款;
- 組織的高管和董事每次違規最多可處以不超過1萬美元的民事罰款,並對此承擔個人責任;
- 該組織及其高管和董事還可能面臨最高五年的罰款或監禁,或者兩者兼施。
- GLBA的頂級信息保護要求包括:
- 金融隱私規則要求在與消費者建立關係後向其提供隱私通知;
- 保障規則要求組織制定書面信息安全計劃,描述其保護客戶非公開信息(NPI)的流程和程序。
- GLBA的安全和加密要求包括:
- 組織應建立相關的標準,涉及客戶記錄和信息的行政、技術和物理安全;
- 組織應實施加密以降低信息泄露或篡改的風險,例如,強大的密鑰管理實踐、可靠的可靠性,以及保護加密通信端點。
:::
## General Data Protection Regulation (GDPR)
:::warning
- GDPR(General Data Protection Regulation)是世界上最嚴格的隱私和安全法律。儘管它是由歐洲聯盟(EU)起草和通過的,但只要它們針對或收集與歐盟內的人有關的數據,它就對任何地方的組織施加義務。
- 這項法規於2018年5月25日生效。 GDPR將對違反其隱私和安全標準的行為徵收嚴厲的罰款,罰款金額可達數百萬歐元。
- 通過GDPR,歐洲在越來越多的人將個人數據交給雲服務且違規事件每天都在發生的時候,表明其對數據隱私和安全的堅定立場。該法規本身非常廣泛、影響深遠,並且在具體細節方面相對輕微,使得GDPR合規對於中小企業(SMEs)尤其是一項艱鉅的任務。
- GDPR數據保護原則:
- GDPR包括在第5.1-2條中概述的七項保護和責任原則:
- 合法性、公平性和透明性:處理必須對數據主體合法、公平和透明。
- 目的限制:您必須為了明確向數據主體指定的合法目的而處理數據。
- 數據最小化:您應該只收集和處理為了指定目的而絕對必要的數據量。
- 準確性:您必須保持個人數據的準確性並保持最新。
- 存儲限制:個人數據應以可識別數據主體的形式進行存儲,並且在數據被處理的目的所必要的時間內不得超過。
- 完整性和保密性:個人數據應以確保適當的安全性的方式進行處理。
- 責任:數據控制者有責任證明符合上述所有原則的GDPR合規性。
:::
## Data Protection Act 2018 (DPA)
:::danger
- 《2018年數據保護法》制定了英國的數據保護法律框架。它更新並取代了1998年的《數據保護法》,於2018年5月25日生效。它於2021年1月1日根據《歐洲聯盟(退出)法案2018》的規定進行了修訂,以反映英國在歐盟之外的地位。
- 《DPA》是一項法案,旨在就個人信息處理進行規範,並在某些與信息相關的法規下提供信息專員的職能; 旨在提供一個直接行銷實踐守則; 並提供相關目的。
- 《DPA》還為執法機構制定了單獨的數據保護規則,擴大了數據保護的範圍,例如國家安全和防禦,並概述了信息專員的職能和權力。
- 保護個人數據
- 《DPA》對於個人數據的處理保護個人,具體表現為:
- 要求個人數據在合法和公正的基礎上進行處理,基於數據主體的同意或其他指定的基礎
- 賦予數據主體有權獲取有關個人數據處理的信息,並要求更正不準確的個人數據
- 賦予專員職責,賦予擁有該職位的人監督和執行其條款的責任。
- 在執行《GDPR》、適用的《GDPR》和這部法案下的職能時,專員必須考慮到確保個人數據得到適當水平的保護的重要性,並考慮到數據主體、控制者和其他人的利益以及一般公眾利益的問題。
:::
## ISO Information Security Standards(ISO 資訊安全標準)
:::success
- ISO/IEC 27001
- ISO/IEC 27001 正式規範了資訊安全管理系統(ISMS),這是一套涉及資訊安全風險管理的活動。ISMS 是一個全面的管理框架,通過它,組織可以識別、分析和解決其資訊安全風險。ISMS 確保安全安排能夠隨著安全威脅、漏洞和業務影響的變化而不斷調整,這是 ISO27k 靈活的風險驅動方法與例如 PCI–DSS 相比的關鍵優勢,尤其在這樣一個動態變化的領域中。
- ISO/IEC 27002
- ISO/IEC 27002 適用於所有類型的組織,包括各種規模的商業企業(從個體經營者到跨國巨頭)、非營利組織、慈善機構、政府部門和準自治機構,或者任何依賴於信息並處理信息的組織。具體的信息安全風險和控制要求可能在細節上有所不同,儘管有共同點——例如,大多數組織都需要處理與其員工以及承包商、顧問和外部信息服務供應商有關的信息安全風險。
- ISO/IEC 27003
- ISO/IEC 27003 指南指導設計符合 ISO/IEC 27001 的資訊安全管理系統(ISMS),並引導進行 ISMS 實施項目的啟動。它描述了從開始到實施項目計劃制定的 ISMS 規格和設計過程,涵蓋了實施前的準備和計劃活動。
- ISO/IEC 27004
- ISO/IEC 27004 關注於與信息安全管理相關的測量,這些測量通常被稱為“安全度量”。
- ISO/IEC 27005
- 該標準提供了信息安全風險管理的指南,支持 ISO/IEC 27001 中指定的一般概念,旨在協助基於風險管理方法滿意地實施信息安全。
- ISO/IEC 27006
- ISO/IEC 27006 是指導認證機構對其客戶的信息安全管理系統(ISMS)進行 ISO/IEC 27001 審核的正式過程的認證標準,以確認其符合性或註冊。該標準中列出的認證過程保證了由認證組織發出的 ISO/IEC 27001 證書的有效性。
- ISO/IEC 27007
- ISO/IEC 27007 為具有認證資格的認證機構、內部審核員、外部/第三方審核員等提供指導,對其 ISMS 進行 ISO/IEC 27001 審核(即對管理系統是否符合該標準進行審核)。ISO/IEC 27007 反映並大致參照了 ISO 19011,即用於審核質量和環境管理系統的 ISO 標準——“管理系統”是將其與 ISO27k 標準聯繫起來的共同因素。它提供了額外的 ISMS 特定指導。
- ISO/IEC TR 27008
- 該標準為所有審核員提供指南,涉及通過基於風險的方法選擇的 ISMS 控制(例如,如在適用性聲明中提供)的信息安全管理。它支持信息安全風險管理過程以及 ISMS 的內部、外部和第三方審計,通過解釋 ISMS 與其支持控制之間的關係。它提供了如何驗證所需 ISMS 控制程度的指導。此外,它支持任何使用 ISO/IEC 27001 和 ISO/IEC 27002 滿足保證要求的組織,並為信息安全治理提供了戰略平臺。
- ISO/IEC 27010
- 此標準提供有關在行業部門和/或國家之間跨越邊界共享有關信息安全風險、控制、問題和/或事件的指導,特別是涉及“關鍵基礎設施”的情況。
- ISO/IEC 27011
- 這個電信行業的ISMS實施指南是由ITU電信標準化部門(ITU-T)和ISO/IEC JTC1/SC 27共同開發的,其相同的文本分別以ITU-T X.1051和ISO/IEC 27011發表。
- ISO/IEC 27013
- 該標準提供了基於ISO/IEC 27001:2005(ISMS)和ISO/IEC 20000-1:2011的集成信息安全和IT服務管理系統的實施指南。
- ISO/IEC 27014
- ISO/IEC JTC1/SC 27與ITU-T合作制定了一個專門旨在幫助組織管理其信息安全安排的標準。
- ISO/IEC TR 27015
- 這是一項指南,旨在幫助金融服務機構(例如銀行、保險公司和信用卡公司)使用ISO27k標準實施ISMS。儘管金融服務部門已經在風險和安全標準方面負有廣泛的責任(例如ISO TR 13569“銀行信息安全指南”、SOX和巴塞爾II/III),但由SC 27制定的ISMS實施指南反映了ISO/IEC 27001和27002,以及各種通用安全標準,例如信息和相關技術的控制目標(COBIT)和PCI–DSS要求。
- ISO/IEC TR 27016
- 此標準幫助管理層了解ISO27k ISMS的信息安全在財務方面的影響,以及政治、社會、合規性和其他可能影響組織的影響,這些影響共同影響組織需要投資保護其信息資產的程度。
- ISO/IEC 27017
- 此標準提供有關雲計算信息安全方面的指導,推薦並協助實施一個雲專用的信息安全控制,補充ISO/IEC 27002和其他ISO27k標準中的指導。
- ISO/IEC 27018
- 此標準提供指導,旨在確保雲服務提供商(如亞馬遜和谷歌)提供合適的信息安全控制,以保護其客戶的客戶的隱私,並保護委託給他們的個人身份信息。此標準將由ISO/IEC 27017所跟隨,該標準涵蓋了雲計算的更廣泛的信息安全角度,除了隱私。
:::
## Advantages of Security Policies(安全政策的優勢)
:::info
1. 增強數據和網絡安全:組織根據其網絡實施政策,增強了其數據安全性。當在網絡上與其他系統共享信息時,它有助於保護。
2. 風險減輕:通過實施和部署安全政策,降低了來自外部來源的風險。如果員工嚴格遵守政策,組織幾乎不太可能丟失數據和資源。
3. 監控和控制設備使用和數據傳輸:儘管員工正在全面實施政策,管理員應定期監控系統中的流量和外部設備的使用。應定期對傳入和傳出的流量進行監控和審計。
4. 網絡性能更好:當安全政策正確實施且網絡定期受到監控時,不會存在不必要的負載。系統中的數據傳輸速度提高,整體性能得到提升。
5. 快速應對問題和降低停機時間:政策的部署和實施使在解決網絡問題時能更快速地做出反應。
6. 減輕管理壓力:當政策得到實施時,管理角色的壓力減輕。組織中的每個員工都必須遵守每項政策。如果發生這種情況,管理人員將不太擔心對網絡的潛在惡意攻擊。
7. 降低成本:如果員工正確遵守政策,則每次入侵的成本以及對組織的影響都會降低。
:::
## Characteristics of a Good Security Policy
:::warning
1. 簡潔明確:安全政策需要簡潔明確,這確保了在基礎設施中的輕鬆部署。複雜的政策難以理解,員工可能因此無法實施。
2. 可用性:政策必須寫得清楚明白,並且設計得易於在組織的各個部門中使用。寫得好的政策易於管理和實施。
3. 經濟可行:組織必須實施經濟可行且能提高組織安全性的政策。
4. 易於理解:政策必須易於理解和遵循。
5. 現實可行:政策必須基於現實。在政策中使用虛構的項目只會對組織造成損害。
6. 一致性:在實施政策時,組織必須保持一致性。
7. 過程容忍性:程序性政策應該對雇主和員工友好。
8. 遵守網絡和法律法規:任何實施的政策都必須遵守有關網絡法律的所有規定和法規。
:::
## Key Elements of Security Policy(安全政策的關鍵元素)
:::danger
1. 清晰的溝通:在設計安全政策時,溝通必須清晰。溝通不暢將導致不良結果。同時,某些政策對用戶或網絡可能不可行。保持溝通渠道清晰。
2. 簡明清晰的信息:向開發人員提供有關創建網絡政策的任何信息都必須清晰易懂。未能做到這一點將損害網絡安全的期望。
3. 確定的範圍和適用性:範圍確定了必須涵蓋、隱藏、保護或公開的項目,以及如何保護它們。網絡政策涉及從物理安全到個人安全的各種問題。
4. 可以依法執行:安全政策必須符合法律的執行要求。在政策違反的情況下應該實施懲罰。政策制定時必須明確討論違規的處罰。
5. 確認責任範圍:網絡政策必須確認員工、組織和第三方的責任。
6. 提供足夠的指導:一個好的網絡政策必須適當地引用其他政策;這有助於指導和重新定義政策的範圍和目標。
:::
## Contents of a Security Policy(安全政策實施的內容)
:::success
1. 高層級安全要求:這包括在實施安全政策時系統的要求,其中包括紀律安全、防護安全、程序安全和保證安全。安全要求包括實施安全政策所需的所有系統要求。這些要求進一步分為四類:
- 紀律安全要求:針對需要保護的各種組件採取的行動,如計算機安全、運營安全、網絡安全、人員安全和物理安全
- 防護安全要求:所需的保護措施,如存取控制、惡意軟件保護、審計、可用性、保密性、完整性、加密、識別和身份驗證的保護措施
- 程序安全要求:存取策略、責任制、業務連續性和文檔
- 保證安全要求:與各種標準、認證和授權的合規性一起使用的政策
2. 基於需求的政策描述:政策描述主要集中在安全紀律、防護措施、程序、業務連續性和文檔上。該政策的每個子集描述了系統架構元素如何執行安全。
3. 安全操作概念:該概念界定了安全政策的角色、責任和功能。它聚焦於任務、通訊、加密、用戶和維護規則、閒置時間管理、私有領域與公共領域、共享軟件規則和病毒防護政策。
4. 將安全執行分配給架構元件:該政策將計算機系統架構分配給程序中的每個系統。
:::
## Typical Policy Document Content(典型政策文件內容)
:::info
- 文件控制是一種程序,用於存儲、修改、管理、分發和跟蹤政策文件。
- 文件位置是存儲政策文件的地點。
- 修訂歷史允許查看對政策進行的更改歷史以及誰進行了這些更改;它還允許恢復到以前的政策。
- 版本號確保所有對政策的更改/更新都能正確跟踪。
- 批准確保政策從開始到完成都按正確的方式獲得批准。
- 分發確保政策在整個過程中得到正確傳達。
- 文檔歷史包含有關政策的重要信息的文檔。
- 安全政策概述提供了有關政策需要解決的問題的背景信息。
- 目的是對政策需要制定的原因進行詳細解釋。
- 範圍包括有關政策涵蓋的人和事物的信息。
- 定義界定了政策中使用的術語。
- 角色與責任為員工和管理層定義了角色和責任。
- 目標受眾包括政策面向的用戶和客戶。
- 政策是對政策的各個方面進行陳述。
- 制裁和違規定義了客戶和用戶必須遵循的允許/拒絕過程。
- 相關標準、政策和流程包括一套與使用的政策相關或相關的標準、政策和流程。
- 聯繫信息包括在政策制裁和/或違規的情況下應聯繫的人員信息。
- 更多信息的來源包含了用於創建政策的附加信息和來源。
- 術語表/缩寫詞列出了政策中使用的各種術语和缩寫詞。
:::
## Types of Information Security Policies(資訊安全政策的類型)
:::warning
- 在組織中,政策對於資訊安全的規劃、設計和部署至關重要。這些政策提供了處理問題和技術的措施,可以幫助用戶實現其安全目標。該政策還解釋了組織中軟體或設備的功能。
- 信息技術企業部署的安全政策包括:
- 企業資訊安全政策(EISP):
- EISP確定了組織的範圍,並為其安全政策提供了方向。這些政策通過提供意識形態、目的和方法,為組織提供支持,以創建一個安全的企業環境。它建立了一個用於開發、實施和管理安全程序的方法。這些政策還確保滿足所提議的信息安全框架要求。EISP的示例包括應用程序策略、網絡和網絡設備安全策略、安全策略審計、備份和恢復策略、系統安全策略以及伺服器策略。
- 特定問題安全策略(ISSP):
- ISSP通過指南指導受眾使用基於技術的系統。這些政策解決組織中特定的安全問題。這些安全政策的範圍和適用性完全取決於問題的類型和所使用的方法。它規定了必要的技術以及預防措施,如用戶訪問授權、隱私保護以及技術的公平和負責任使用。ISSP的示例包括遠程訪問和無線策略、事件響應計劃、密碼策略、個人設備策略、用戶帳戶策略以及互聯網和網絡使用策略。
- 系統特定安全政策(SSSP)
- SSSP在配置或維護系統時指導用戶。這些政策的實施重點是組織中特定系統的整體安全。組織通常會制定和管理這類政策,包括系統維護的程序和標準。組織使用的技術也應包含在系統特定的政策中。它涉及技術的實施和配置以及用戶行為。SSSP的示例包括DMZ政策、加密政策、可接受使用政策、安全雲計算政策、入侵檢測和預防政策以及存取控制政策。
:::
Sign in with Wallet
Connect another wallet