安全運營
11.1 運營部門的角色
運營安全包括物理和環境問題得到適當解決,如溫度和溼度控制、介質重用、處理以及敏感信息的介質的銷燬。
11.2 行政管理
行政管理是運營安全中非常重要的環節。
職責分離separation of duties、崗位輪換、最小特權、知其所需、強制休假mandatory vacation
11.2.1 安全和網絡人員
安全管理員與網絡管理員的職責不同,網絡管理員更關注網絡資源的可用性和性能。
安全管理員應執行的任務:
- 實現和維護安全設備與軟件:安全設備的更新和升級
- 執行安全評估
- 創建和維護用戶資料,實現和維護訪問控制機制
- 配置和維護強制性訪問控制MAC環境中的安全標籤
- 爲用戶設置初始口令
- 檢查審計日誌
11.2.2 可問責性
用戶的訪問嘗試和活動需要被適當地監控、審計和記錄。
審計需要作爲日常工作開展。
11.2.3 閾值級別
公司可以爲某種類型的錯誤預定義門限,門限是違規活動的基線,在被認爲可疑的活動發生之前允許一定數量的錯誤。如密碼錯誤超過門限,賬號被鎖定。
IDS可以用於跟蹤這些活動和行爲模式。
11.3 保證級別
操作保證operational assurance:關注產品的架構、嵌入的特徵和功能,使客戶在使用產品時能夠持續獲得必要的保護級別。如:訪問控制、審計和監控能力、隱蔽隧道分析等
生命週期保證life-cycle assurance:關注產品的架構及其如何開發和維護。如:設計規範、限制級別配置、單元和集成測試、配置管理、可信開發等
11.4 運營責任
運營安全包含了安全措施和對策,以保護資源、信息與駐留信息和資源的硬件。
目標是降低可能由非授權訪問或濫用造成損失的可能性。
11.4.1 不尋常與無法解釋的事件
事件管理:使用一款產品在網絡中收集日誌,這款產品能標識模式以及人類由於各種日誌數據繁多而很容易遺漏的潛在惡意活動。
11.4.2 偏離標準
標準是確定設備是否存在問題的基線。
必要時,標準需要重新校準。
11.4.3 不定期的初始化加載(即重啓)
初始化加載Initial Program Load,IPL
無故重啓的計算機可能存在重大問題或被惡意者佔有。
11.4.4 資產標識和管理
資產管理包括瞭解和更新硬件(系統與網絡)和軟件的詳細目錄。
資產管理指了解環境中的一切:硬件、固件、操作系統、語言運行時的環境、應用程序以及不同的庫。
自動資產管理工具能夠將預期配置與環境的實際狀態進行比較。
11.4.5 系統控制
系統應採用某些機制來限制一些類型的指令的執行,以便只有當操作系統在特權或管理員狀態中才能運行。
11.4.6 可信恢復
系統重啓、緊急系統重啓動、系統冷啓動,是系統應對一級故障時的處理方式,保證系統沒有進入不安全的狀態。
系統崩潰後:1. 進入單用戶或安全模式 2. 修復問題並恢復文件 3. 確證關鍵的文件和操作
安全關注:1. 引導順序應當不能重新配置 2.不應避開在系統日誌中寫入動作 3.禁止系統被迫關閉 4. 禁止輸入變更路線
11.4.7 輸入與輸出控制
ActiveX組件、插件、配置文件更新或設備驅動程序這類系統輸入,在發佈時最好有可信機構的簽名。
11.4.8 系統強化
物理、行政、技術控制
11.4.9 遠程訪問安全
不得以明文形式傳送命令和數據,應當使用SSH而不是Telnet
應當在本地而不是遠程管理真正關鍵的系統
應當只允許少數管理員執行這種遠程功能
應當對任何管理活動實施強身份驗證
11.5 配置管理
11.5.1 變更控制過程
- 請求發生一個變更
- 變更的批准
- 變更的文檔
- 測試和提交
- 實現
- 提交變更報告給管理層
公司應制定一個還原計劃,該計劃說明團隊在實現變更前如何將系統恢復到其原始狀態。
11.5.2 變更控制文檔化
11.6 介質控制
- 防止未授權訪問的控制(保護機密性)
- 清除:刪除介質上的信息,使其通過物理取證的方式也無法恢復
淨化介質的方法:歸零、消磁、破壞 - 數據剩磁:指被擦除的信息剩餘部分的物理表示法,這些剩磁可以使數據重組並恢復到可讀形式
- 不包含敏感信息的,直接刪除或重寫問題
介質管理應該包含的屬性和服務:
- 追蹤(審計日誌記錄)
- 有效實現訪問控制
- 追蹤(本地或異地)備份版本的數量和位置
- 對介質變更的歷史記錄歸檔
- 確保環境條件不會危及介質的安全,介質庫和其他任何保存信息參考副本的地方必須提供適當的物理環境
- 確保介質的完整性:介質(如CD DVD)都是有壽命的,在介質壽命到期前,信息需要轉移到其他介質中,重要的信息應該有加密簽名並定期檢驗簽名內容
- 定期清查介質,以查看介質丟失或改變
- 執行安全處置活動
- 介質庫中的信息應寫明創建日期、保存期限、分類級別、創建人、銷燬時間、名稱和版本
11.7 數據泄露
11.8 網絡和資源可用性
準備進行“熱交換”的冗餘硬件
容錯技術
服務級別協議SLA
制定穩健的操作措施
11.8.1 平均故障間隔時間MTBF
Mean Time Between Failures,MTBF指一臺設備的估計壽命。
11.8.2 平均修復時間MTTR
Mean Time To Repair,MTTR指修復一臺設備並使其重新投入生產預計所需時間。
11.8.3 單點失敗
single point of failure
防禦方式:適當維護、經常備份或建立冗餘
獨立磁盤冗餘陣列(Redundant Array of Independent Disks,RAID)爲硬盤提供容錯功能,並改善系統性能。
必須始終有效的信息(即MTTR=0)必須製作鏡像或進行雙控。
鏡像與雙控的區別:鏡像,寫入數據的兩個物理位置依賴同一個控制器,存在控制器單點失敗問題。雙控,使用多個控制器。
防止單點失敗的技術:
- 直接訪問存儲設備DASD:廉價磁盤冗餘陣列RAID就是一種DASD
- RAID:獨立磁盤冗餘陣列,把幾個物理磁盤組合起來,並將他們合併成邏輯陣列。讀取數據性能明顯提高。
提供容錯服務的RAID,一定有奇偶校驗,通過奇偶校驗提供指令告訴RAID系統如何在硬盤上重建丟失的數據。 - 大規模非活動磁盤陣列MAID:支持存儲數百兆兆位的數據,但主要執行寫操作,壽命更長
- 獨立冗餘磁帶陣列RAIT
- 存儲區域網絡SAN:提供冗餘、容錯、可靠性和備份能力,適合追蹤兆兆字節數據的公司
- 羣集clustering:提供可用性、負載均衡、冗餘和故障切換
- 網格計算grid computing:一種負載平衡的大規模並行計算方法,但其中的節點沒有集中的控制,不彼此信任,不使用敏感數據和對時效性要求高的應用程序。更適用於財務建模、天氣建模和地震模擬等項目
11.8.4 備份
層次存儲管理(Hierarchical Storage Management,HSM)提供持續的在線備份功能,速度較快的價值保存經常訪問的數據,很少使用的文件則保存在速度較慢的設備或近線設備中。
11.8.5 應急計劃
業務連續性計劃BCP:如何在災難發生後保證組織機構的正常運轉
應急計劃:處理對不能成爲災難的小型事故,包括電源中斷、服務器故障等