20、安全运维知识解析

最新推荐文章于 2025-09-10 15:51:35 发布

rice5

最新推荐文章于 2025-09-10 15:51:35 发布

阅读量68

点赞数

CC 4.0 BY-SA版权

分类专栏： CISSP备考指南：实战测试解析文章标签：安全运维渗透测试系统恢复

本文链接：https://blog.youkuaiyun.com/rice5/article/details/149797517

CISSP备考指南：实战测试解析专栏收录该内容

26 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

安全运维知识解析

1. 渗透测试相关

1.1 渗透测试流程

渗透测试人员安装额外工具后，通常会利用这些工具获取更多访问权限。之后，他们可以进一步提升权限、搜索新目标或数据，并再次安装更多工具，以便深入基础设施或系统。

1.2 渗透测试报告

渗透测试报告通常不包含评估期间捕获的特定数据，因为报告读者可能无权访问所有数据，报告泄露可能给组织带来额外问题。常见的渗透测试报告内容包括发现的问题列表、风险评级和修复指导。

2. 系统架构与恢复

2.1 故障转移集群

存在一种故障转移集群示例，其中 DB1 和 DB2 都配置为数据库服务器。在任何给定时间，只有一个作为活动数据库服务器运行，另一个则随时准备在前者出现故障时承担责任。虽然该环境可能使用不间断电源（UPS）、磁带备份和冷站点作为灾难恢复和业务连续性控制手段，但图中并未展示这些。

2.2 系统恢复方式

手动恢复 ：系统不会自动进入安全状态，需要管理员手动恢复操作。
自动恢复 ：系统能够针对一种或多种故障类型自行恢复。
无过度损失的自动恢复 ：系统不仅能针对一种或多种故障类型自行恢复，还能防止数据丢失。
功能恢复 ：系统可以自动恢复功能流程。

恢复方式	特点
手动恢复	需管理员手动操作
自动恢复	可自行应对部分故障
无过度损失的自动恢复	恢复且保数据
功能恢复	自动恢复功能流程

3. 安全原则与策略

3.1 最小特权原则

在分配用户权限时，应遵循最小特权原则。默认情况下不授予任何访问权限，然后根据用户的工作职责给予必要的权限。例如，只读、编辑和管理员权限应根据业务需求分配，而非默认授予。

3.2 职责分离原则

职责分离原则用于确保一个人不会同时获得可能产生潜在冲突的两项特权。例如，不应让一个用户同时具备创建新账户和授予管理权限的能力，这两项操作应分配给不同的用户。

3.3 两人控制原则

在涉及敏感操作时，如访问加密密钥，应采用两人控制原则，即需要两个独立授权的人员同时操作。同时，也应遵循最小特权和纵深防御原则，但这些原则适用于所有操作，并非特定于敏感操作。应避免依赖安全机制的保密性来保障系统或流程安全的“通过模糊实现安全”原则。

4. 安全监控与检测

4.1 网络监控技术

蜜罐：设置有意漏洞的系统，用于诱使攻击者。
蜜网：由多个蜜罐组成的网络，为入侵者创造更复杂的探索环境。
暗网：未使用的网络地址空间段，正常情况下不应有网络活动，可用于轻松监控非法活动。
警告横幅 ：一种法律工具，用于通知入侵者他们无权访问系统。

4.2 日志与记录分析

Netflow 记录 ：包含网络上每个通信会话的条目，可与已知恶意主机列表进行比较。
入侵检测系统（IDS）日志 ：只有在流量触发 IDS 时才会创建日志条目，相比之下，Netflow 记录涵盖所有通信，更有可能包含相关信息。
认证日志和 RFC 日志 ：不包含任何网络流量记录。

5. 安全事件与响应

5.1 安全事件定义

任何试图破坏组织安全或违反安全政策的行为都属于安全事件。例如，对服务器进行未经授权的漏洞扫描违反了安全政策，可能对系统安全产生负面影响，因此属于安全事件。而完成备份计划、记录系统访问和更新防病毒签名等属于日常操作，不违反政策或危及安全，属于事件而非安全事件。

5.2 事件响应阶段

事件响应过程包括多个阶段，其中检测阶段涉及接收警报并验证其准确性。缓解阶段则专注于采取行动控制事件造成的损害，包括限制事件的范围和有效性。

5.3 灾难恢复测试

灾难恢复测试有多种类型：
- 清单审查 ：团队成员各自审查灾难恢复清单内容，并提出必要的更改建议，是干扰性最小的测试类型。
- 桌面演练 ：团队成员聚集在一起，在不更改信息系统的情况下演练场景。
- 并行测试 ：团队实际激活灾难恢复站点进行测试，但主站点仍保持运行。
- 完全中断测试 ：团队关闭主站点，确认灾难恢复站点能够处理常规操作，是最彻底但干扰性最大的测试。

graph LR
    A[清单审查] --> B[桌面演练]
    B --> C[并行测试]
    C --> D[完全中断测试]

6. 云计算与服务模式

6.1 混合云环境

存在一种结合了公共云和私有云服务的场景，这属于混合云环境。

6.2 云服务类型

软件即服务（SaaS） ：供应商管理物理基础设施和完整的应用程序栈，为客户提供对完全托管应用程序的访问权限。
基础设施即服务（IaaS） ：供应商负责硬件和网络相关职责，如配置网络防火墙、维护虚拟机管理程序和管理物理设备。客户负责在其虚拟机实例上打补丁。
平台即服务（PaaS） ：客户提供应用程序代码，供应商在自己的基础设施上执行这些代码。

7. 证据与法律相关

7.1 证据类型

实物证据 ：可以实际带入法庭作为证据的物品，如硬盘、武器和带有指纹的物品。
文件证据 ：书面物品，可能是有形的，也可能是无形的。
证人证言 ：由掌握相关信息的证人提供的口头证词。
口头证据规则 ：当协议以书面形式呈现时，书面文件被视为包含协议的所有条款。

7.2 证据可采性

在法庭上提供的证据必须与确定争议事实相关、对当前案件有实质性影响且获取方式合法。证据不一定必须是有形的，证人证言就是一种可以在法庭上提供的无形证据。

8. 数据备份与恢复

8.1 备份方式

全量备份 ：在特定时间备份服务器上的所有文件。
差异备份 ：备份自上次全量备份以来修改的所有文件。

8.2 备份介质轮换方案

有多种备份介质轮换方案，如祖父/父亲/儿子方案、汉诺塔方案和六周磁带方案等，这些方案在平衡介质重用和数据保留方面各有特点。

9. 网络攻击与防范

9.1 常见网络攻击

SYN 洪泛攻击 ：攻击者向系统发送大量 SYN 数据包，但不响应 SYN/ACK 数据包，试图用半开放连接淹没被攻击系统的连接状态表。
DNS 放大攻击 ：攻击者向第三方 DNS 服务器发送虚假请求，使用伪造的目标系统源 IP 地址。由于使用 UDP 请求，无需三次握手，攻击数据包经过精心设计，能从短查询中引发冗长响应，目的是生成足够大且数量众多的响应，以淹没目标网络或系统。
中间人攻击 ：攻击者设法插入用户和合法网站之间的连接，在转发双方流量的同时窃听连接。

9.2 防范措施

防火墙 ：许多防火墙内置了防 SYN 洪泛攻击的功能，能代表受保护系统响应 SYN 请求。当远程系统通过继续三次握手证明是合法连接时，其余 TCP 会话将被放行；若证明是攻击，防火墙会采用适当的缓解技术处理额外负载。
沙箱技术 ：运行程序时使用沙箱可以提供安全隔离，防止恶意软件影响其他应用程序或系统。通过适当的工具，还可以观察程序的行为、所做的更改以及可能尝试的通信。

10. 其他安全要点

10.1 设备与服务相关

变压器故障 ：属于人造电气组件故障，而洪水、泥石流和飓风等属于自然灾害。
射频识别（RFID）技术 ：是一种在设施内跟踪物品的经济有效方式，相比之下，使用 Wi-Fi 实现相同目的成本更高。

10.2 道德规范

(ISC)2 道德准则仅适用于该组织的信息安全专业人员会员。遵守该准则是获得认证的条件之一，违反准则的个人可能会被吊销认证。(ISC)2 会员若发现违反准则的行为，需按照道德投诉程序报告可能的违规行为。

10.3 数据处理与管理

数据生命周期 ：对于包含敏感数据的硬盘，物理销毁、签订带有认证的适当合同和安全擦除是合理的处理选项。重新格式化硬盘可能会留下残留数据，不是处理敏感数据硬盘的好选择。
数据选择方法 ：从大量记录中选择记录进行进一步分析的两种主要方法是抽样和剪辑。抽样使用统计技术选择代表整个数据集的样本，剪辑则使用阈值选择超过预定义阈值的记录，这些记录可能对分析师最有价值。

10.4 安全配置与管理

基线配置 ：是配置安全系统和应用程序的起点，包含符合组织安全政策所需的安全设置，可根据具体实施需求进行定制。
变更日志 ：包含有关批准变更和变更管理过程的信息，变更管理的审计跟踪可在变更日志中找到。

10.5 安全策略实施

最小特权原则应用 ：从非管理员用户中移除管理权限是最小特权原则的一个示例，即个人应仅拥有完成工作所需的特权。
特权访问审查 ：特权访问审查是组织安全计划的关键组成部分，应在具有特权访问权限的用户离开组织或更换角色时，以及定期进行。

10.6 其他安全措施

软件托管协议 ：软件托管协议将软件包的源代码副本交由独立第三方保管，若供应商停止运营，第三方将把代码交给客户。
假期制度防欺诈 ：大多数安全专业人员建议员工至少休一周，最好两周的假期，以增加发现欺诈行为的可能性，因为员工在休假期间无法继续掩盖欺诈行为。
出口过滤 ：出口过滤用于扫描出站流量，检查是否存在潜在的安全政策违规行为，包括目标地址为私有 IP 地址、广播地址的流量，以及源地址伪造不属于组织的流量。
质量服务（QoS） ：路由器和其他网络设备上的 QoS 功能可以对特定网络流量进行优先级排序，QoS 政策定义了哪些流量具有优先级，流量将根据政策进行处理。
应用白名单 ：使用允许应用程序的白名单可以确保用户只能运行预先批准的应用程序，相比之下，维护不允许应用程序的黑名单几乎是不可能的任务。
胁迫代码 ：对于银行、珠宝店等可能面临攻击者胁迫员工执行操作的组织，通常会使用胁迫代码词，让他人知道员工是在受威胁的情况下执行操作。

11. 安全运维工具与技术

11.1 系统配置管理工具

System Center Configuration Manager (SCCM) 能够让管理员评估 Windows 工作站和服务器的配置状态，并提供资产管理数据。而 SCOM 主要用于监控系统的健康和性能，组策略可用于多种任务，如部署设置和软件，虽然自定义 PowerShell 脚本也能实现配置检查，但并非必要选择。

11.2 沙箱技术应用

沙箱技术是应用开发者或接收不可信应用的人员在虚拟化环境中测试代码的一种技术，该环境与生产系统隔离。与白盒测试、黑盒测试和渗透测试等常见软件测试技术不同，沙箱技术需要使用隔离系统。以下是使用沙箱技术测试程序的操作步骤：
1. 选择合适的沙箱工具，如 VMware Workstation 或 VirtualBox 等。
2. 在沙箱中创建一个独立的虚拟环境，配置好所需的操作系统和软件环境。
3. 将待测试的程序导入沙箱环境中。
4. 使用适当的工具对程序进行监控，观察程序的行为、所做的更改以及可能尝试的通信。
5. 分析监控结果，判断程序是否存在安全风险。

11.3 防火墙防攻击机制

许多防火墙具备内置的防 SYN 洪泛攻击功能，其工作流程如下：

graph LR
    A[攻击者发送 SYN 数据包] --> B[防火墙接收 SYN 请求]
    B --> C{是否为合法连接?}
    C -- 是 --> D[继续三次握手，通过 TCP 会话]
    C -- 否 --> E[防火墙进行攻击缓解处理]

当攻击者发送 SYN 数据包时，防火墙会代表受保护系统响应 SYN 请求。若远程系统通过继续三次握手证明是合法连接，其余 TCP 会话将被放行；若证明是攻击，防火墙会采用适当的缓解技术处理额外负载。

12. 安全事件处理流程

12.1 事件升级与判定

当怀疑组织遭受攻击时，若攻击已影响网络的可用性，就有足够证据将其判定为安全事件。这是从安全事件到安全事件升级的过程，但如果没有证据表明攻击者试图访问系统，则未达到入侵的级别。以下是安全事件判定的关键要素表格：
|判定要素|描述|
| ---- | ---- |
|安全事件|任何试图破坏组织安全或违反安全政策的行为|
|安全事件升级|攻击影响到网络的可用性等关键指标|
|入侵|有证据表明攻击者试图访问系统|

12.2 证据收集与可采性

在安全事件处理中，证据的收集和可采性至关重要。证据必须具备相关性、实质性和合法性才能在法庭上被采纳。例如，笔记本电脑若包含与犯罪相关的日志，具有实质性和相关性，但如果获取方式不合法，则不具备可采性。以下是证据收集和可采性的要点列表：
1. 收集证据时要确保其来源合法，避免非法获取证据导致不可采。
2. 证据应与案件事实相关，能够对案件的判定起到支持作用。
3. 对收集到的证据进行妥善保管，确保证据的完整性和真实性。

12.3 调查与处理权限

在进行安全事件调查时，调查人员可以使用合法获取的信息和系统进行调查，没有义务必须联系执法部门。但需要注意的是，不能进行“反击黑客”的活动，因为这可能违反法律和 (ISC)2 道德准则。

13. 数据存储与保护

13.1 数据备份策略

数据备份有全量备份和差异备份等方式。全量备份会在特定时间备份服务器上的所有文件，而差异备份则备份自上次全量备份以来修改的所有文件。例如，周一晚上进行全量备份，周三进行差异备份时，会复制自周一全量备份以来修改的文件。不同备份方式的特点如下表所示：
|备份方式|特点|
| ---- | ---- |
|全量备份|备份所有文件，数据完整但耗时较长|
|差异备份|备份修改文件，节省时间但恢复时依赖全量备份|

13.2 数据加密重要性

在数据存储和传输过程中，数据加密是保护数据机密性的重要手段。例如，量子公司在磁带数据存储中，数据加密是最重要的安全控制措施，因为磁带在两个安全位置之间传输时最容易被盗取。

13.3 数据销毁方式

对于包含敏感数据的硬盘，物理销毁、签订带有认证的适当合同和安全擦除是合理的处理方式。而重新格式化硬盘可能会留下残留数据，不适合处理包含敏感数据的硬盘。以下是处理包含敏感数据硬盘的操作步骤：
1. 进行数据备份（如果需要保留部分数据）。
2. 选择合适的数据销毁方式，如物理销毁（粉碎、焚烧等）、安全擦除（使用专业的数据擦除工具）或签订具有认证的合同委托专业机构处理。
3. 对销毁过程进行记录和审计，确保每个硬盘都得到了适当处理。

14. 安全运维中的风险评估

14.1 年度发生率评估

年度发生率（ARO）是指事件每年预计发生的次数。例如，在 200 年一遇的洪泛区，每年发生洪水的概率为 1/200，即 0.005 次/年。通过评估 ARO，可以对潜在风险进行量化，为风险应对提供依据。

14.2 风险应对策略

在面对不同类型的风险时，需要采取相应的应对策略。对于自然灾害风险，如洪水、飓风等，可以通过建立灾难恢复站点、制定应急预案等方式进行应对；对于人为攻击风险，如黑客攻击、内部人员违规等，可通过加强安全防护措施、进行员工培训等方式降低风险。以下是常见风险及应对策略的列表：
|风险类型|应对策略|
| ---- | ---- |
|自然灾害风险|建立灾难恢复站点、制定应急预案等|
|人为攻击风险|加强安全防护措施、进行员工培训等|
|系统故障风险|定期维护系统、进行备份和恢复测试等|

15. 安全运维的持续改进

15.1 经验教训总结

在安全事件处理完成后，通常会创建经验教训文档并分发给相关人员。这样可以让参与事件处理的人员和其他可能受益的人员了解如何预防未来的问题，并在事件发生时提高响应能力。以下是创建经验教训文档的步骤：
1. 组织相关人员进行复盘，回顾事件的发生过程、处理措施和结果。
2. 分析事件中存在的问题和不足之处，总结成功的经验和做法。
3. 将问题、经验和改进建议整理成文档。
4. 分发给相关人员，并组织培训和讨论，确保大家理解和掌握。