第二章风险分析

风险管理
- 评估：确定并评估系统中存在的风险
- 分析：分析风险对系统产生的潜在影响
- 响应：规划如何响应风险的策略
- 缓解：缓解风险对未来安全造成的不良影响
风险分析流程
1. 资产确定
2. 漏洞确定
3. 威胁评估
4. 可能性量化
5. 影响分析
6. 应对措施确认
风险分类：
- 自然
- 人为
- 系统
风险计算：ALE（年度损失预期， annual loss expectancy） = SLE（单一损失预期，single loss expectancy）* ARO（年发生率，annual rate of occurrence）
Single Loss Expectancy (SLE) = AV(asset value) x EF(exposure factor)
风险响应的技巧
- 接受：承认并接受该风险及其带来的损失
- 转移：第三方，比如保险公司
- 避免：消除风险的来源
- 缓解： IDS等
风险缓解和控制类型:
- 技术控制：防火墙
- 管理控制：用流程监控组织安全策略的服从情况
- 操作控制：保护日常业务操作
- 损失控制：灭火器、洒水系统
变更管理（change Management）：批准并执行变更的系统性方法，以确保信息技术服务达到最佳的安全性，稳定性，可用性。
- 分析：
  - 变更的需求
  - 变更的类型
  - 组织文化
- 计划：
  - 变更的角色
  - 变更的职责
  - 解决阻力
- 实施：
  - 管理过渡阶段
  - 确定采用变更
  - 执行项目之后的审核
业务影响分析（business impact analysis| BIA）：用于确定组织风险及其对持续性任务关键型的业务与流程产生的影响
- 关键流程的优先级
- 可承受停机时间的预估
- 财务损失的影响
- 需要恢复的资源
- 效率降低的可能性
关键系统和功能相对重要性的方法
- 最大可承受停机时间（MTD）：限制了企业恢复运营所需的恢复时间
- 平均故障时间（MTTF）：设备或组件预计运行的平均时间
- 平均修理、更换时间（MTTR）：设备或组件从事件或故障中恢复所需的时间
- 平均故障间隔时间（MTBF）:设备或组件中发生故障的预计时间间隔
- 恢复时间目标（RTO）：事件发生后恢复正常业务操作和活动的时间长度
- 恢复点目标（RPO）：组织能承受的丢失数据不可恢复的最长时间
- 将MTTF和MTTR相加也可以计算出MTBF

第三章确定安全威胁

攻击者的类型
- 黑客和攻击者
- 白帽：文明入侵
- 黑帽：恶意入侵
- 威胁执行者：
  - 脚本小子（script kiddie）：依赖工具进行攻击的黑客，新手
  - 电子活动家，黑客行为主义者（hackivist）：为实现政治或者社会变革
  - 有组织的犯罪：计划进行犯罪活动的个人小组
  - 民族国家：政府情报机构经常使用不同类型的威胁来实现他们的政治和军事目的
  - 内部人员：目标组织内部人员
  - 竞争对手：获取了商业竞争对手敏感信息访问权限的组织
- 威胁执行者的属性判断维度：
  - 内部还是外部
  - 复杂程度
  - 资源/资金
  - 意图/动机
社会工程（social engineering）攻击
- 网络钓鱼：基于电子邮件的社会工程攻击
  - 鱼叉式钓鱼：选定了特定的目标
  - 捕鲸（Whaling）：选择高价值的目标的鱼叉式钓鱼
  - 语音钓鱼（vishing）
  - 短信钓鱼（Smishing）
- 物理利用
  - 肩窥（shoulder surfing）
  - 垃圾搜寻（Dumpster diving）
  - 跟随进入（Tailgating）：在合法员工不知情不允许的情况下跟随进入
  - 捎带（Piggy backing）：在员工允许的情况下进入安全区
- 水坑攻击（waterring hole attack）：在目标经常访问的网站中注入恶意代码
确定恶意软件
- 恶意代码：不受欢迎或者未经授权的软件，在目标系统中破坏系统或将系统资源重定向以实现攻击者的利益。
- 病毒（virus）：可以将自己附加在其他文件中，通过自我复制从一台计算机中传播到另一台中的恶意代码片段
- 蠕虫（worm）：一种恶意软件，能在感染系统之间进行自我复制，但是它不需要人的行为就能进行复制，也不需要附着在其他程序或文件中
- 广告软件（Adware）：自动显示或者下载未经请求广告的软件
- 间谍软件（spyware）：秘密安装的恶意软件，目的是为了跟踪并报告目标系统的使用情况，并收集攻击者希望获取的其他数据
- 特洛伊木马（Trojan horse）：是一种恶意软件，会对系统造成破坏或为攻击者提供监控和控制系统的平台
- 键盘记录器（keylogger）：用于识别并记录用户进行的每次击键行动的硬件设备或软件程序
- 远程访问木马（remote access Trojan/RAT）：为攻击者提供目标计算机的未授权访问和控制
- 逻辑炸弹（logic bomb）：在目标计算机中保持休眠指导被某个特定事件激活的代码片段
- 僵尸网络（botnet）：被bot程序控制感染的一组计算机
- 勒索软件(Ransomware):感染后限制受害者对主机及其数据的访问
- 高级持续性攻击（advanced persistent threat/APT）：使用多个攻击向量来获取敏感资源的未授权访问，然后在长时间段内保留访问权限
基于软件的威胁
- 软件攻击（software attack）：针对软件资源、包括操作系统、应用程序、访问、协议和文件得任何攻击。
- 密码攻击（password attack）：攻击者尝试获取密码的未授权访问或使用。
  - 猜测
  - 偷窃
  - 字典攻击
  - 暴力破解（Brute force attack）
  - 彩虹表（rainbow table attack）
  - 生日攻击
- 加密攻击：是一种软件攻击、利用了代码、密文、协议、密钥管理系统等加密系统元素中的缺陷
  - 已知明文攻击（KPA）
  - 选择明文攻击（Chosen plaintext attack）
  - 唯密文攻击（ciphertext-only attack）
  - 选择密文攻击（chosen ciphertext attack）
  - 降级攻击（Downgrade attack）
  - 重放攻击（Replay attack）
- 后门攻击（backdoor attack）：攻击者通过创建一个叫做后门的软件机制获取计算机访问权限
- 应用程序攻击（application attack）：针对网页或者其他C/S架构的应用程序软件的攻击
  - 跨站脚本（XSS）
  - 跨站请求伪造（CSRF）
  - 命令注入：
    - SQL注入
    - LDAP注入
    - XML注入
    - 目录遍历（Directory traversal）
    - 零day
    - 缓冲区溢出（buffer overflow）
- 驱动器操纵（driver manipulation）：攻击者重写或者替换合法设备的驱动器或应用程序编程接口（api）
  - 插片（Shimming）在应用程序和操作系统之间开发并应用额外的程序的过程
  - 重构（Refactoring）重新构建应用程序代码
- 权限扩大
  - 纵向权限扩大
  - 横向权限扩大
确定基于网络的攻击
- 常识，略
无线威胁
- 欺骗访问点（rogue access point）：企业或私有网络中的未授权无线访问点
- 双面恶魔（evil twin）：欺骗用户相信无线网络中的访问点是合法的
- 干扰（jamming）：无线电波扰乱802.11无线信号的一种攻击
- 蓝牙劫持（bluejacking）：向其他启用蓝牙功能的设备中发送不想要的蓝牙信号的方式
- 蓝牙窃听（bluesnarfing）：在通信范围内（1类100米）获取使用蓝牙连接中的未授权信息的访问权限
- 近场通信（NFC）
- 无线电射频识别系统（RFID）：使用电磁场来自动识别或者跟踪附加在选定对象上存储了有关对象信息的标签或者芯片
- 战争驾驶（war driving）或者战争漫步（war walking）：用智能手机平板等无线跟踪设备搜索无线网络实例的行为
- 数据包嗅探（packet sniffing）
- IV攻击
- 无线重放
- WEP和WPA攻击
- WPS攻击：对8位数字的暴力破解，先破解前4位，再破解后3位，最后一位是校验和
物理威胁
- 硬件攻击（hardware attack）：对计算机物理组成和外围设备的攻击
- 键盘记录攻击
- 环境威胁和漏洞：
  - 火灾
  - 飓风和台风
  - 洪灾
  - 极端温度
  - 极端湿度

第四章执行安全评估

确定漏洞
- 软件漏洞
  - 0 day
  - 不合理的输入处理
  - 不合理的错误处理
  - 资源耗尽
  - 竞争状态（race condition）
  - 内存漏洞：
    - 内存泄露
    - 缓冲区溢出
    - 整数溢出
    - 指针解引用
    - DDL注入
- 加密漏洞
- 网络架构漏洞
- 账户漏洞
- 操作漏洞
评估漏洞
- 安全评估（security assessment）：通过一组综合性的技术测试安全控制过程，暴露出你的工具、技术、服务和操作中的任何热点或者差距
  - 安全评估技巧：
    - 审核基线报告（baseline report）：基线报告是一组被应用到组织中特定系统或网络的安全和配置设置集合，譬如使用
    - code review：可以手动分析、也可以使用自动源码分析工具
    - 确定攻击面（attack surface）：所有可能暴露给攻击者并被利用的项目组合。
    - 安全架构审核：对组织当前安全基础架构模型的评估
    - 审核安全设计：使用结构化的审核结果
  - 漏洞评估工具：
    - 漏洞扫描器
    - 端口扫描器
    - 协议、数据包分析器
    - 指纹识别工具（fingerprinting）：也叫标志提取（banner grabbing）
    - 网络枚举器
    - 密码暴力破解工具
    - 备份工具
    - 蜜罐
  - 误检（false pasitive）：扫描器确定漏洞，但实际不是漏洞
  - 漏检（false negative）：工具确定某个项目不是漏洞，而实际是漏洞
    -评估漏洞的准则：
    - 考虑主机的操作系统和平台是如何进行配置的
    - 不要依赖默认的主机配置来获得最佳安全性
    - 创建与你的安全需求相对应的自定义主机配置
    - 思考软件中的零日漏洞是如何显著增加攻击风险的
    - 思考组织开发或者使用应用程序是如何受到不合理输入处理和内存问题等漏洞的影响的
    - 思考使用过时的密码套件是如何危害网络流量加密的
    - 评估你的数字证书中的错误配置，如无效的格式编排
    - 评估加密密钥管理系统中是否存在可能是攻击者更容易访问私钥的弱点
    - 思考你的网络架构是如何使攻击者更容易地获得访问权限或者发动拒绝服务状况的
    - 思考错误配置的用户、计算机账户是如何造成威胁的
    - 确定组织中极易受到社会工程攻击的任何用户，因此需要对这些人员进行培训
    - 确定任何缺乏有效规划的关键业务流程，如寿命末期（EOL）流程等
    - 思考系统延伸和未登记资产是如何使组织中的所有要素变得更难保护
实施渗透测试（penetration test）
- 渗透测试的技巧：
  - 侦察：主动（扫描）、被动（社工）
  - 初步利用：获取网络访问权限、获得内部证书账号等
  - 权限扩大
  - 跳板（Pivoting）
  - 维持（persistence）
- 盒测试方法：
  - 黑盒测试
  - 灰盒测试
  - 白盒测试
- 渗透测试工具
  - 利用框架
  - 数据清除工具
  - 信息隐藏工具
  - 社交工程工具
  - 压力测试工具

第五章实现主机和软件的安全性

实现主机的安全性
- 加固（hardening）:修改系统的默认配置来关闭漏洞，从整体上保护系统不受攻击。
- 操作系统加固技巧：
  - 与最低权限原则类似，确保操作系统符合最少功能原则
  - 通过系统基于主机的防火墙禁用任何不必要的网络端口
  - 禁用运行在系统上的任何不必要的服务
  - 充分利用供应商或者行业认可的组织提供的任何安全配置来加强系统的防御能力
  - 禁用系统上的任何默认账户，使攻击者无法通过这些账户获取访问权限
  - 强制要求用户更改掉分配给他们的默认密码
  - 执行补丁管理服务，以便能够更高效的管理所有软件和服务的自动更新和补丁
- 可信计算基础（TCB）：计算机系统中用于负责确保安全策略得到实施，系统安全性得到保障的硬件、固件和软件的组成部分。
  - 可信OS：满足TCB安全要求的操作系统
  - 依据通用标准（common vriteria /CC）来检查系统是否满足特定标准。
  - 被评对象被分为1-7级的评估保障等级（evaluation assurance level/EAL）
- 硬件和固件安全
  - BIOS/UEFI：基本输入输出系统（BIOS）、同一可扩展固件接口（UEFI），操作系统启动初始化硬件
  - 信任根和HSM：信任根，通过使用能保持数据机密性和防止被篡改的加密机制，实施硬件平台的可信计算架构的技术。硬件安全模块（HSM）是一种能提供信任根功能的物理设备- TPM：可信平台模块，是一种安全加密处理器，用于生成加密密钥
  - 安全启动和远程认证：安全启动是一种UEFI功能，在操作过程中阻止不想要的进程执行。UEFI采用启动加载程序的加密散列来确保其完整性。TPM为启动散列签名，然后发送远端进行认证。
  - FDE/SED：FDE：基于硬件的全磁盘加密，使存储设备在硬件层面进行加密，避免依赖软件解决方案
  - EMI保护：电磁干扰保护，避免被未授权用户接收到电磁辐射来获取敏感数据
  - EMP保护：电磁脉冲保护，电磁脉冲可能破坏设备硬件
- 供应链安全：
  - 供应、制造、分配、最终向消费者发布商品和服务的端到端过程
- 安全基线
  - 一组应用到组织中特定主机上的安全和配置设置
- 软件更新
  - 补丁（Patch）
  - 热修复（Hotfix），紧急发布的补丁
  - 汇总（rollup），以前发布的补丁和热修复的集合
  - 服务包（server packet）
- 黑白名单
  - 黑名单：阻止特定程序
  - 白名单：允许特定程序
- 防恶意软件：
  - 防病毒（antivirus）
  - 防垃圾邮件（Anti-span）
  - 防间谍软件（Anti-spyware）
  - 弹出窗口阻止程序（Pop-up blocker）
  - 基于主机的防火墙（Host-based firewall）
- 高级防恶意软件：
  - 端点保护
  - 恶意软件沙盒（malware sandbox）
  - 逆向工程（reverse engin）
- 硬件外围设备的安全：
  - 无线键盘和鼠标：无线干扰触发击键行为
  - 显示：如智能电视
  - 外部存储设备：严格控制诸如usb之类设备的接入
  - 打印机和多功能设备：自动清除缓存
  - 摄像头和麦克风:高敏感度的主机不应当允许此类设备的接入
- 嵌入式系统：
  - ICS/SCADA：工控系统（ICS）主要用于监控和数据采集（SCADA），安全性差，私有协议实现通信，普通网络中的防护设备无效
  - 微型控制器：嵌入式系统和CPU、内存模块、外围设备的组合
  - 实时操作系统：（RTOS）
  - 智能设备：有自主计算属性的电子设备
  - IOT：物联网
  - 摄像系统
  - 特殊用途系统
- 保护主机的准则：
  - 实时跟进操作系统供应商的安全信息
  - 在操作系统中应用安全设置，禁用不必要的服务
  - 为系统创建安全基线，提高加固过程的效率
  - 将基线与当前主机配置对比
  - 考虑实施黑白名单
  - 确保系统中的所有关键活动都被记录下来
  - 审核日志
  - 准备第三方审计
  - 在主机中实施防恶意软件方案
  - 考虑不同硬件外围设备的特殊安全意义
  - 考虑嵌入式系统的特殊安全意义
实现云和虚拟化的安全性
- 虚拟化的安全性：
  - 补丁管理：补丁管理系统应当部署到位，以确保安装了所有相关补丁
  - 最小权限：为任何虚拟环境确定访问控制分配时，必须应用最小权限的概念
  - 日志：虚拟环境中的用户和系统活动应当进行记录并审核
  - 联网：仅在必要时候启用系统间的网络连接
  - 快照：持续不断的补充快照。
  - 避免VM蔓延（VM sprawl）：虚机数量超出组织的控制或管理能力之时。解决办法是使用虚机生命管理周期方案
  - VM逃逸（VM escape）：攻击者在虚拟机上执行代码，允许运行在虚拟机上的应用程序脱离虚拟环境并直接与超级管理器互动。防止虚机逃逸：保持虚拟软件最新，限制主机和租户之间的资源共享功能
- 云部署模型：
  - 私有：通过私有网络发布，组织可以更好的控制服务的私密性和安全性
  - 公共：通过互联网提供按需付费的计算资源
  - 社群：多个组织共享云服务的所有权
  - 混合：一个实体中结合两种或者多种部署方式
- 云服务的类型：
  - 软件即服务（SaaS）：向云用户提供应用程序
  - 平台即服务（PaaS）:向客户提供虚拟系统
  - 基础设施（IaaS）：向用户提供客户端所需的任意或所有的基础设施的访问（数据中心、服务器、联网设备）
  - 安全即服务（SECaaS）：客户能够利用供应商在计算机安全的特定区域内提供的信息、服务、软件、基础设施和流程。
- 保护虚拟和基于云的资源的准则：
  - 考虑在你的组织中使用虚拟化，实现更简单高效的资源管理
  - 认识不同虚拟化类型之间的区别并确定哪种最符合你的要求
  - 确保VM软件以及主机和客户机的操作都定期打补丁
  - 对访问虚拟机执行最小权限原则
  - 确保虚拟机记录关键事件的日志
  - 配置虚拟联网设备，以支持必要的隔离通讯
  - 创建最佳虚机状态的快照
  - 结合使用虚机生命周期管理方案
  - 熟悉不同的云部署模型和服务类型
  - 考虑利用SECaaS将一些安全操作转移给第三方供应商
实现移动设备的安全性
- 移动设备的连接方式
  - 蜂窝移动网络（cellular network）
  - Wi-Fi
  - 蓝牙
  - NFC
  - 红外线
  - SATCOM：专用移动何不，接受和发送来自轨道卫星的无线电信号
  - ANT：专有无线网络技术，主要用于传感器之间的通信，如心率监测器
  - USB
- 移动设备安全控制：
  - 屏幕锁定
  - 强密码和pin码
  - 全设备加密
  - 远程擦除、锁定
  - 地理定位（GPS）、地理围栏（Geofencing）
  - 访问控制
  - 应用程序、内容管理
  - 资产跟踪和清单控制
  - 推送通知服务
  - 限制可移动存储功能
  - 存储分区
  - 容器化
  - 禁用不使用的功能
- 移动设备的监控和执行
  - 来自第三方商店的应用安装
  - 应用侧面加载
  - rooting、越狱
  - 自定义固件配置
  - 固件OTA更新
  - 运营商解锁
  - 摄像头和麦克风的使用
  - 地理标记
  - 外部媒介的使用
  - SMS、MMS的使用
  - Wi-Fi直连的使用
  - 数据共享
  - 支付方式的使用
- 移动部署模型
  - 企业拥有：用于工作的所有设备的唯一所有者是组织
  - BYOD：自带设备（bring your own device）模型将控制权和所有权从组织转移到个人员工
  - CYOD：choose your own device，与BYOD类似，员工对设备有实质性的责任，员工必须从可接受设备列表中选择
  - COPE：企业拥有，个人启用
  - VMI：virtrual mobile infrastructure虚拟移动基础架构
- BYOD安全控制
  - 策略：起草一份有关组织中的BYOD处理方式的企业策略
  - 所有权归属：制定清晰的界限，明确定义员工所有和组织所有的内容
  - 补丁管理和防恶意软件：鼓励用户在个人设备中下载防恶意软件应用
  - 考虑架构和基础设施的需求：用以支撑计入设备的增长
  - 取证：面对复杂的系统和设备
  - 隐私支持
- 实现移动设备安全性的准则
  - 了解移动设备可能在组织中使用的不同的连接方式
  - 了解你对特定连接方式应用的不同的控制等级
  - 在你的组织中纳入移动设备管理平台
  - 在移动设备上实施安全控制，如屏幕锁定、地理定位、远程擦除、设备加密
  - 监控与移动设备有关的特定活动
  - 运营商解锁
  - 执行策略限制或者禁止特定移动设备活动的使用
  - 考虑移动设备可以在组织中部署的不同方式
  - 了解组织中允许BYOD的内在风险
在软件开发生命周期中纳入安全性
- 软件开发生命周期（SDLC）
  - 发起——设计——实施——测试——部署——处理
  - 软件开发模型
    - 瀑布模型（waterfall model）：SDLC阶段是串联的，每个阶段只有在前一个阶段确定的所有任务完成后才能开始，适合时间不是重要限制的项目
      - 发起、起草要求
      - 设计
      - 实施
      - 验证、测试
      - 维护、处理
    - 敏捷模型（agile model）：侧重于不同阶段的适应性措施，以便开发人员能更容易的协作并对变更作出响应
      - 逐步分解计划
      - 只需要简短迭代，即可快速修改并适应需求
  - DevOps：DevOps（Development和Operations的组合词）是一种重视“软件开发人员（Dev）”和“IT运维技术人员（Ops）”之间沟通合作的文化、运动或惯例
  - 版本控制（versioning version control）：确保构成项目的资产在进行更改时能够得到密切管理，其优势在于可以将代码中的错误或安全问题和特定版本关联，以及恢复到旧版本
- 保护代码的技巧
  - 合理的输入验证
  - 合理的错误处理
  - 加密
  - 代码签名
  - 模糊（Obfuscation）
  - 代码重用
  - 限制死代码（执行成功，但其结果实际未在软件中使用）
  - 服务器端和客户端
  - 限制数据暴露
  - 内存管理
  - 存储程序
- 代码测试方法
  - 静态代码分析，源码阅读
  - 动态代码分析：fuzzing
  - 压力测试（stress testing）
  - 沙盒
  - 模型验证
- 将安全性纳入软件开发生命周期
  - 将安全性集成到软件开发生命周期的每个阶段
  - 选择最适合你的安全和业务需求的软件开发模型
  - 考虑采用DevOps
  - 在开发过程中加入版本控制
  - 整合安全编码技术
  - 通过各种方法来测试评估软件的安全性

第六章实现网络的安全性

配置网络安全技术
- 网络设备
  - 路由器
    - 访问控制列表（acl）
  - 交换机
    - mac绑定
    - 防洪：flood guard
    - 防环
  - 代理：
    - 流量转发
    - 内容过滤
  - 防火墙：
    - 隐式拒绝（implicit deny）
    - 类型：主机防火墙、网络防火墙、Web防火墙（WAF）
  - 负载均衡：
    - 丰富的调度（scheduling）方法：
      - round robin
      - affinity：持续性
    - 冗余：
      - active-passive：主备
      - active-active：主主
  - 网络扫描器和分析工具
    - 数据包分析器（sniffer）
    - 协议分析器（protocol analyzer）
    - 网络枚举器（networking enumerator）
  - 入侵检测系统（IDS）
    - NIDS（网络入侵检测系统）
      - 可以识别流氓系统（rogue system）
      - 发现侦查行为
    - WIDS（无线入侵检测系统）
      - 查找非法接入点可能存在的威胁
  - 入侵防御系统（IPS）
    - 主动阻止检测到的威胁
    - 基于主机的IPS（HIPS）
  - 网络监控系统的类型
    - 基于签名监控：预定义规则，不可接受的事件具有特定的已知特征
    - 基于异常的监控：定义了事件的预期结果或模式，然后识别不遵循这些模式的任何事件
    - 基于行为的监控：确定实体的表现方式，然后审查实体未来的行为以查看它是否偏离常态
    - 启发式监控：确定实体在特定环境中的行为方式，并据此确定实体的性质
  - 安全信息和事件管理（SIEM）：
    - 自动报警
    - 时间同步
    - 删除重复事件
    - 一次写入，多次读取
  - 数据丢失/泄露预防（Data loss/leak prevention）
    - 主动监控数据并监测任何未经授权的损坏、移动、复制等行为
  - 虚拟私有网络（VPN）
  - 安全网关
  - 统一威胁管理（UTM）
- 配置网络安全技术的准则：
  - 熟悉构成网络的常见设备，以及每种设备的特定安全问题
  - 实施协议及数据包分析器等网络扫描技术，以及时了解网络中的流量状态
  - 实施网络入侵检测系统，以识别不需要的网络行为
  - 了解主动入侵防御设备的风险，特别是误报
  - 考虑将SIEM技术结合到组织中以汇总和关联网络事件数据
  - 考虑实施dlp技术以防止敏感数据丢失
  - 实施VPN
  - 应用安全网关
  - 使用UTM
保护网络设计要素
- 非军事区（DMZ）：可供外部公众访问的内部网络区域
- 网络隔离（network isolation）：
  - 空隙（air gap）：物理隔离
  - 子网划分：subneting
- vlan
- 软件定义网络（SDN）：转发和控制分离
实施安全的网络协议和服务
- DNS安全措施：
  - 将DNS服务器置于防火墙的保护之内
  - 阻断不必要的入站请求
  - 只开放必要端口
  - 实施域名系统安全扩展
  - 定期更新DNS
  - 备份DNS
    -网络基本输入输出系统（NetBIOS）：
  - 基本会话通讯
  - 使用数据报的无连接通讯
  - 名称注册
  - 安全维护：实施强密码策略、限制网络共享的根访问权限、禁用空会话功能
安全的无线流量
- 无线天线类型：
  - 全向天线：
    - 橡皮鸭（rubber duck）：体积小，主要用于对讲机、短距离无线网
    - 圆形天花板：室内提供无线信号
  - 定向天线：
    - 八木：主要用于无线电定向天线及长距离无线联网
    - 抛物线：常用于蝶形卫星天线，具有显著增益
    - 背射：小型定向天线，常用与无线网络中的针对特定区域
    - 易拉罐天线：自制定向天线
- 802.11协议
  - 802.11a:在5G频段上支持54Mbps的速度，仅在60英尺内
  - 802.11b:第一个WiFi规范，在2.4Ghz提供11Mbps传输速度，覆盖1000英尺，向后兼容802.11
  - 802.11g:在2.4Ghz可达54Mbps
  - 802.11n：在2.4Ghz或5Ghz吞吐可到600Mbps
  - 802.11ac：在5Ghz频段中增加更宽的信道来提高802.11n的性能，将吞吐提高到1300Mbps
- 无线加密协议：
  - 有线等效保密（WEP）：使用Rivest Cipher 4（RC4）算法为802.11a和802.11b协议的无线铜须提供64位、128位、256位加密，依赖初始化向量来随机化相同的文本字符串，被弃用
  - 无线保护访问（WPA）：在802.11i标准开发过程中被引入，提供了密钥动态分配，避免WEP的密钥攻击漏洞，通过TKIP提供128位加密密钥
  - 无线保护访问（WPA2）：增加了AES加密，提供128位密钥
- 无线认证协议：
  - 可扩展认证协议（EAP）：客户端服务器使用插件进行相互认证
  - 802.1X：封装基于局域网的EAP通讯
  - 受保护的可扩展认证协议（PEAP）
  - radius联合认证
- 无线客户端认证方法：
  - WPA/2-个人：依赖预共享密钥（PSK），因此也被称为WPA/2-PSK,连接WiFi时从输入的密码中生成
  - WPA/2-企业：要求在使用WiFi前通过802.1X与radius服务器进行身份认证
  - WiFi保护设置（WPS）：客户端输入与特定访问点相关联的PIN码
- 无线访问点的安全性：
  - MAC过滤
  - 禁用服务集标识符（SSID）广播
  - 信号配置：调整无线强度，避免战争驾驶攻击
  - 选择胖瘦AP

第七章管理身份识别和访问

实施身份识别和访问管理（IAM）
- 访问控制模型：
  - 强制访问控制（MAC）：通过标签判断是否可以访问资源
  - 自主访问控制（DAC）：对象所有者将主体访问访问控制列表中，主体即可访问
  - 基于角色的访问控制（RBAC）：主体会被分配预定义的角色，网络对象被配置为只允许特定的角色访问。
  - 基于规则的访问控制（rule-based access control）
  - 基于属性的访问控制（ABAC）
- 生物识别设备
  - 指纹扫描器
  - 语音识别器
  - 视网膜扫描仪
  - 虹膜扫描仪
  - 面部识别设备
  - 生物识别因素：
    - 错误接受率（false acceptance rate FAR），未经授权的用户在生物识别系统中错误的通过验证的百分比
    - 错误拒绝率（false rejection rate FRR），被生物认证系统错误拒绝的授权用户的百分比
    - 交叉错误率（crossover error rate （CER）），FAR和FRR相等时的值，低CER值表示系统工作在最佳状态
- 基于证书的认证
  - 智能卡上集成电路芯片
  - 802.1X
配置目录服务（directory service）
- 用于存储特定网络中的所有对象的身份信息，包括，用户、组、服务器、客户端、打印机和网络服务
- 目录机制：目录结构由schema控制，该模式定义了如何创建对象以及对象有哪些特征的规则
- 轻型目录访问协议（LDAP），LDAP端口389，LDAPS端口686：
  - LDAP客户端向LDAP服务器进行身份认证
  - 服务的机制定义了客户端在访问目录数据库时可以和不可以执行的任务
  - LDAP机制是可扩展的
- 常见的目录服务：
  - active directory
  - oracle directory
  - openDJ
  - openLDAP
  - open directory
配置访问服务
- 远程访问协议：
  - 点到点（PPP）：常用于终端接入，提供密码认证
  - 点到点隧道协议（PPTP）：微软的二层VPN协议，由于存在漏洞，已不再推荐
  - 第二层隧道协议（L2TP）：常结合IPsec同时提供和认证和加密功能
  - 安全套接字隧道协议（SSTP）：基于SSL/TLS并使用PPP报头封装IP数据包
- 基于HMAC的一次性密码（HOTP）：基于HMAC生成一次性密码（OTP），OTP仅对一次性会话有效
- 基于时间的OTP（TOTP）
  - TOTP算法在特定的时间增量内生成新密码并使旧密码失效来规避：一旦HOTP密码未被使用，攻击者就可以利用这一问题
- PAP（密码认证协议）：明文交互用户ID和密码
- CHAP（质询握手协议）：
  - 密码无需明文传送，结合MD5完成认证
- NT LAN 管理器（NTLM）：
  - 用于微软产品中的质询-响应认证协议
  - 弱点：使用过时的加密算法、对传递散列攻击无法抵御
- radius（远程认证拨号用户服务）
- tacacs+：接受登录请求并验证用户的登录证书，认证全程加密，而radius只加密密码，不适用于windows环境
- kerberos：基于时间敏感的票据授予系统的认证服务
  - 1、用户登录到域
  - 2、用户从认证服务器（例如，域控制器）请求票据授予票据（TGT）
  - 3、认证服务器使用一个时间戳TGT进行响应
  - 4、用户将TGT返回给认证服务器，并请求服务票据访问特定资源
  - 5、认证服务器使用服务票据进行响应
  - 6、用户将服务票据提供给他们希望访问的资源
  - 7、资源认证用户并允许访问
管理账户
- 账户类型
  - 用户账号：受限于权限
  - 特权账户：对组织中的数据和系统具有更大的访问权限，大多数管理员
  - 访客账户：提供给需要有限网络访问服务的非工作人员
  - 计算机和服务账户：人类并非IAM系统中使用账户的唯一实体
- 账户策略：是一种包含组织对账户创建、监控、删除的要求的文档
  - 谁可以批准账户创建
  - 谁被允许使用资源
  - 用户是否可以共享账户或或拥有多个账户
  - 审核用户访问后，何时以及如何禁用或修改账户
  - 用户账户在一段时间内不使用是否应该被终止，以及何时终止
  - 何时执行一般账户的禁用
  - 对密码历史、密码强度和密码重用执行哪些规则
  - 在发生可以事件和或者劫持尝试是，何时锁定账户
  - 在遭到入侵或被删除后，何时以及如何恢复账户
- 密码策略：
  - 密码长度：最短长度
  - 密码复杂性
  - 密码历史
  - 密码重用（多个账户使用同样密码）
- 多账户：
  - 用户缺乏对各种账户的了解
  - 为相应账户分配数据访问和许可的合适级别
- 共享账户：
  - 匿名、访客和其他通用账户可作为访问者访问系统的一种方式
  - 临时账户对于不在公司中连续工作的员工或承包商非常有用
  - 管理账户允许多名经过授权的专业人员访问更高的权限
  - 批处理账户可以轻松自动执行许多不同类型的任务
- 组策略：
  - 优化账户的密码属性
  - 优化账户的锁定阈值和持续时间
  - 使用不可逆的加密技术存储账户密码
  - 执行kerberos登录限制和票据生命周期
  - 审计账户管理事件
  - 为个人或组分配特定的权限和控制
- 身份联合（将一个身份在多个不同身份管理系统之间进行连接）：
  - 单点登录（SSO）：身份联合的子集，消除了多次登录联合系统的必要性
  - 可传递信任：身份联合通常以可传递信任（transitive trust）
    - 1、实体A和实体B相互信任；2、实体A和实体C相互信任==>实体B和实体C隐式信任
  - 身份联合的方法：
    - 安全申明标记语言（SAML）：基于XML框架，用于交换与安全相关的信息，如用户认证、授权、属性
    - OpenID：使用加入了OpenID系统的特定站点对用户进行身份认证的方法
    - OAuth：OpenID提供身份认证，OAuth提供授权协议
    - Shibboleth：基于SAML的联合身份方法
- 管理账户的准则：
  - 在分配用户和组账户访问时实施最小权限原则
  - 制定一个账户策略并在其中包含所有账户策略要求
  - 确认账户请求和批准程序存在并得到执行
  - 确认账户修改程序存在并得到执行
  - 制定密码策略并在其中包含确保密码能够抵御破解尝试的要求
  - 限制多账户和共享账户的使用，防止滥用
  - 实施账户管理安全控制，如维护、审计和基于位置时间的限制
  - 使用证书管理软件将用户名和密码存储在加密的数据库中
  - 实施组策略进行更加广泛的访问控制
  - 实施身份联合系统以简化系统之间的用户访问
  - 思考联合身份如何成为访问不通系统的单点故障

第八章实施密码技术

高级密码学概念
- 密码学元素：
  - 混淆（confusion）：使加密密钥和密文之间的关系变得尽可能复杂和隐蔽的技术
  - 扩散（Diffusion）：即使在明文中发生轻微变化也能使密文发生剧烈变化的一种技术
  - 冲突（Collision）：两个不同的明文输入产生完全相同的密文输出
  - 模糊（Obfuscation）：模糊处理使得源代码变得更加难以阅读，模糊处理不涉及到密钥的应用
  - 伪随机数生成（PRNG）：由算法生成的为随机数的过程
  - 完全正向保密（Perfect forward secrecy（PFS））：当某一个会话期间使用一个密钥收到损害时，这种会话加密特性能确保之前由该密钥加密的数据不会受到影响
- 数据状态：
  - 静止数据（Data at rest）：被存储在各种介质上的任何数据，由管理数据软件和存储数据的硬件进行加密
  - 传输中的数据（Data in transit）：媒介之间移动的任何数据
  - 正在使用的数据（Data in use）：当前正在
- 密钥交换：加密密钥在实体之间传输时使用的方法：
  - 如果密钥是对称密码密钥则两者都需要相同的密钥副本
  - 如果密钥是非对称则任何需要加密的实体都需要收件人的公钥
  - 密钥交换的两种基本类型：带内（in-band）和带外（out-of-band）
- 数字证书（digital signature）：以用户私钥加密的消息摘要
  - 发送方创建消息文本的散列版本，然后使用发送方的私钥加密散列本身，加密的散列作为数字签名附加到消息上
- 密码套件
  - 密钥交换算法：确定客户端和服务器在SSL/TLS连接握手过程中是否以及如何进行身份验证
  - Bulk加密算法：加密实际的消息流，并包含密钥大小
  - 消息认证码算法：创建消息摘要
  - 伪随机函数：创建主密钥，主密钥是指两个保持连接的系统之间共享的48字节密钥
- 会话密钥：一次性使用的对称密钥，用于加密单个相关通讯系统中的所有消息
  - 使用会话密钥的两个原因：
    - 避免被密钥分析攻击分析，一次性使用
    - 会话密钥比单独非对称加密快
- 密钥延展（Key stretching）：通过密钥延展算法加强弱密码密钥
- 密码学方面的特殊考虑：
  - 低延迟：输入添加到用于处理的算法中与获得输出之间的时间
  - 低功耗设备：轻量级算法，提供足够的安全性，消耗最少的资源
  - 泄露回弹：避免遭受旁路攻击
选择加密算法：
- 流密码（stream cipher）：一种一次加密一个位元的数据加密类型
  - 加密速度快，开销小，密文大小与原文相同
- 块密码（Block cipher）：一次性加密一个数据块
  - 更强大、安全，性能低
- 运算模式：
  - 电子代码本（ECB）：每个明文块都使用相同的密钥加密
  - 密码块链接（cipher block chaining CBC）：使用IV加密第一个明文块，对于每个后续操作，明文块和前一个密文快通过异或进行运算
  - 密文反馈（Cipher Feedback）：先对IV进行加密，然后用他的结果与前一个密文块进行异或运算
  - 输出反馈（Output Feedback）：加密IV的结果会被反馈到后续运算中
  - 计数器（CTR）或计数器模式（CTM）：使用数字计数器的值创建不断变化的IV
  - 填充/明文密码块链接（Propagating/Plaintext Cipher Block Chaining（PCBC））：每个明文块都与前面的明文块和密文块进行异或运算
  - 迦罗瓦/计数器模式（Galois/Counter Mode(GCM)）,在密码模式的标准加密服务中加入了认证功能
- 散列算法的类型：
  - 消息摘要5（MD5）：产生一个128位的消息摘要
  - 安全散列算法（SHA）：SHA1（160）SHA-256，SHA-384,SHA-512
  - RACE原始完整性校验消息摘要（RIPEMD）：基于已过时的MD4的设计原则进行设计的
  - 基于散列的消息认证码（HMAC）：通过将密码散列函数（如MD5或者SHA）组合起来验证消息完整性和真实性的方法
- 对称加密算法的类型：
  - 数据加密标准（DES）：使用56位密钥对64位数据块进行加密，其中密钥中有8位用于奇偶校验
  - 3DES：使用密钥A加密，使用密钥B解密，再使用密钥C加密，性能消耗提升3倍
  - 高级加密标准（AES）：Rijndael
  - blowfish：一种免费可用的64位加密算法，使用可变密钥长度
  - Twofish：对称密钥块密码，包含一个128位的块和256位的密钥
  - Revest Cipher（RC）4，5和6：所有算法都有可变密钥长度，RC4是一种流密码，RC5和RC6是大小可变的块密码，RC6是强大的密码，并提供良好的性能。
- 非对称加密算法的类型：
  - RSA
  - DH
  - DH临时（DHE）：DH的变体，使用临时密钥来提供安全的密钥交换
  - 椭圆曲线加密（ECC）：利用有限域上椭圆权限的代数结构的公钥加密技术
  - 椭圆曲线DH临时（ECDHE）：DH的一种变体，结合使用了ECC和临时密钥
  - 数字签名算法（DSA）：用于数字签名的公钥加密标准，为消息提供了身份验证和完整性验证
  - PGP和GPG
配置公钥基础架构（PKI）
- PKI组件：
  - 数字证书（digital Certificate）：PKI的首要任务是以各种方式管理数字证书
  - 对象识别符（Object identifier）：包含在证书中的身份信息是通过OID提供的
  - 证书颁发机构（CA）：发布数字证书并维护关联私钥/公钥对服务
  - 注册机构（RA）：验证用户和设备的身份及批准或拒绝数字证书的请求
  - 证书签名请求（CSR）：发送到CA的消息，其中的资源会申请证书
- CA层次结构：
  - CA层次结构是指一个或一组共同协作用于发布数字证书的CA，当获取证书时会通过信任连逐下而上的验证证书。
- 证书锁定：
  - 浏览器直接信任站点证书而不需要进行证书链迭代查询
- 离线根CA：
  - 为了安全，组织通常会设置根CA并使其离线，从而允许从属CA颁发所有其余的证书
- X.509
  - X.509版本
  - 证书的序列号
  - 用于签署证书的算法
  - 发行实体的名称
  - 证书有效的时间段
  - 由证书验证的主体的名称
  - 可选属性
- 证书文件格式：
  - der ：以二进制可辨别编码规则格式对证书进行编码
  - pem ：隐私增强型电子邮件（PEM）格式使用base64编码DER证书，使用这种格式的证书始终以"----BEGIN CERTIFICATE---"行开始，并以"---END CERTIFICATE---"行结束
  - cer ：以二进制DER格式编码证书，但在Windows系统中也可能包含PEM编码的数据，类Unix系统上的等效格式使用.crt扩展名
  - p7b : 使用公钥加密标准#7（PKCS#7）以base64格式编码证书数据
  - p12 ：使用公钥加密标准#12（PKCS#12）以base64格式编码证书数据
  - pfx ：由Microsoft
- CA 层次结构的设计选项
  - 几十名员工：使用没有从属的单个根CA
  - 分布全世界的数千名员工：从属CA根据地理位置指定
  - 只需要访问特定应用程序的个人：从属CA根据功能或由部门指定
  - 严格的安全性允许个人对同一资源拥有不同的访问级别：从属CA根据获得证书所需的安全性进行指定
- 证书的生命周期管
  - 影响证书生命周期的因素：
    - 私钥长度
    - 使用的密码技术的强度
    - CA和私钥的物理安全性
    - 已颁发的证书及其私钥的安全性
    - 攻击风险
    - 用户信任
    - 管理参与

第九章实现业务安全性

评估安全框架和指导方针
- 安全框架：提供了组织内安全操作的概念性结构
  - 监管框架：来自政府法规
  - 非监管框架：通常是经过严格审查的框架，非强制，但是有益的
  - 行业特定框架：由特定行业的参与组织团体共同起草
  - 国家框架：适用于特定国家的法律、习俗和文化
  - 国际框架：适用于所有国家
  - 安全框架例子：
    - NIST 800系列：美国国家标准与技术研究院发布的安全主题文档
    - COBIT 5：信息和相关技术控制目标第五版，包含了5项指导原则
    - ITIL：信息技术基础设施库
    - ISO/IEC 27001：国际信息化组织（ISO）和国际电工技术委员会（IEC）联手为信息系统管理实践创建的标准化模型
- 分层安全（layered security）：包含多种不同防御途径的操作安全实现方法。分层安全可以借助供应商的多样性和控制的多样性提高其有效性
- 纵深防御（Defense in depth）：利用分层安全的策略，涵盖整个安全领域，任何一个单点被破坏，其他安全系统可以为组织争取到足够时间来停止或缓解攻击
安全策略（security policy）：定义了如何在组织内部实现安全性的一种正式声明
- 常见的安全策略类型：
  - 可接受使用策略：说明了用户和其他人在利用组织物理和只是产权方面资源时的限制要求和准则
  - 隐私策略：定义了向其他方泄露组织或个人信息的标准
  - 审计策略：详细说明组织信息和资源在风险评估和升级方面的要求和参数
  - 密码策略：定义了创建密码复杂度的要求
  - 无线标准策略：定义了哪些无线设备可以链接到组织的网络中
  - 社交媒体策略：定义了组织及其员工如何使用社交媒体网络和应用程序
- 人事管理（personnel Management）：是确保组织内部或者外部人员都会遵守策略的做法
- 职责分离（Separation of dutie）：任何人都不应该拥有太多的权力或责任
- 工作轮换（job rotation）：没有一个人长时间处于重要的工作岗位
- 强制休假（mandatory vactions）：提供一个审查员工活动的机会
- 其他人事管理任务：
  - 背景调查
  - 签署不公开协议
  - 入职
  - 离职谈话
- 培训与意识
  - 人员是最薄弱的环节
  - 实行基于角色的培训
实施安全战略
- 安全自动化：配置验证、持续监控
- 可扩展性（Scalability）：
  - 横向扩展（scale out）：在现有资源中并列增加资源
  - 纵向扩展（scale up）：增强现有资源的能力
- 弹性（Elasticity）：计算环境可以及时对负载增减作出反应
- 冗余（redundancy）：计算环境除了主要资源以外还保留一组或者多组额外资源的属性
- 容错（Fault tolerance）：计算环境承受可预见的组件故障并提供可接受范围内的服务水平的能力
- 独立磁盘冗余阵列（RAID）
  - RAID 0：数据被分段写入多个存储设备，以提高性能，没有数据冗余，因此一个设备的故障会影响整个阵列
  - RAID 1：从一个存储设备中同步复制数据到另外一个中，降低了性能
  - RAID 5：数据和一个被称为奇偶校验块的额外冗余块被分段在三个或更多磁盘上
  - RAID 6:与RAID 5相同，比RAID 5多一个奇偶校验位，提供了更高的冗余度
数据安全：为保障组织数据的安全性和可访问性，同时阻止对其进行未授权访问而采取的安全控制和措施
- 数据安全的应用范围：
  - 物理环境
  - 所有传统计算设备和系统
  - 所有用于商业的移动设备
- 数据安全的漏洞：
  - 使用云计算
  - 缺乏对数据存储系统的限制性物理访问
  - 缺乏用户意识
  - 缺乏统一的数据策略
  - 缺乏合适的数据管理实践
  - 过时或执行不力的加密方案
  - 缺乏合适的身份识别和访问管理（IAM）实践
- 数据存储方式：
  - 直接附加存储（DAS）：直接连接到服务器的一个或多个存储设备
  - 网络附加存储（NAS）：可以是通用功能的计算机，也可以是专门用于促进文件存储和提供的一种装置
  - 存储区域网络（SAN）：是一种提供数据的块级存储的专用网络
  - 基于云的存储：基于服务的数据存储系统
- 数据加密方式：
  - 全磁盘加密：加密整个磁盘以及存储在其中的所有数据
  - 数据库加密：加密存储在数据库中的敏感数据
  - 文件加密：保护包含隐私或机密数据的每个文件
  - 安全数字卡（SD）：可移动媒体加密
  - 移动设备加密
  - 电子邮件加密
  - 语音加密
- 数据处理（data disposal）
  - 清理（sanitization）：擦除或清除
  - 消磁（Degaussing）
  - 切碎
  - 粉碎
  - 焚烧
实施物理控制：
- 物理安全控制类型：
  - 锁
  - 钥匙管理
  - 日志记录和访客访问
  - 视频监控
  - 保安人员
  - 标志
  - 照明
  - 诱捕陷阱（Mantrap）门
  - 物理障碍
  - 安全容器
  - 法拉第笼（Faraday cage）
  - 屏幕过滤器：防止肩窥
  - 警报
  - 运动检测
  - 受保护的配电
- 环境暴露：
  - 环境暴露可能带来的问题：
    - 电力波动和故障
    - 水流破坏和洪灾
    - 火灾
    - 建筑物的结构性损坏导致了未经授权的访问
- 环境控制：
  - 暖通空调（HVAC）系统
  - 冷热通道
  - 警报控制面板
  - 防火
  - 火灾检测
  - 灭火

第十章处理安全事件

解决安全事件的过程：
- 调试可能与安全事件相关的问题
- 响应已识别的安全事件
- 调查安全事件
- 访问控制问题：
  - 通常被分类为访问不够或者访问过多，用户很少会通知你“过多”的情况，但一定会反馈过少的问题
  - 认证问题
  - 权限问题
  - 访问冲突
- 加密问题：
  - 未加密的证书
  - 证书问题：证书无效、不安全或者无法使用
  - 密钥管理问题：加密密钥无法被授权人员访问或者可以被未经授权的人访问
- 数据外泄（Data exfiltration）
  - 使用DLP方案
  - 确保所有敏感数据在闲置时都进行了加密
  - 为可能成为销毁或勒索目标的数据创建并维护异地备份
  - 确保存储或传输敏感数据的系统正在实施访问控制
  - 检查访问控制机制是否授予某些账户过多的权限
  - 限制攻击者将数据从网络传输到外部时可利用的网络通道类型
  - 断开存储存档系统的网络连接
- 事件日志中的异常
  - 多次连续的认证失败
  - 系统配置不按计划更改
  - 过多无法解释的关键系统故障或者应用程序崩溃
  - 网络设备日志中记录的过量带宽消耗
  - 事件日志中的排序错误或空白
- 安全配置问题
  - 访问点：访问点无法正确的对用户进行身份验证或不起作用
  - 防火墙：防火墙无法阻止不想要的流量进入或离开网络，或阻止合法流量进入或离开网络
  - 内容过滤器：内容过滤器阻止了合法内容或无法阻止不想要的内容
  - 入侵检测系统（IDS）：IDS经常遇到误报或者漏报的情况
- 软件问题
  - 未经授权的软件
  - 无证书的软件
  - 过时的软件
- 人事问题
  - 违反策略
  - 社交媒体和个人电子邮件的使用
  - 社交工程
  - 内部人员威胁
- 资产管理问题（asset Management）
  - 确保所有资产都参与到一个跟踪系统中，如条形码或无源射频识别码
  - 确保部署了合适的流程，标记新获得或者新开发的资产
  - 确保部署了合适的流程，移除系统中过时的资产
  - 检查资产是否具有冲突的ID
  - 检查资产是否具有不准确的元数据
  - 确保资产管理软件能够正确读取并理解跟踪标签
  - 更新资产管理软件以修复任何错误或安全问题
响应安全事件
- 事件响应（Incident response）：
  - 准备
    - 制定策略
    - 制定计划
    - 建立文档
    - 组建事件响应小组（IRT）
  - 检测和分析
    - 确定与正常操作的偏离情况，并分析这些偏离是否被认为是事件
  - 遏制、消除和恢复
    - 事件遏制：
      - 短期遏制：限制损害，如隔离
      - 系统备份：在采取操作前先创建受影响系统的重复镜像
      - 长期遏制：暂时将受影响系统下线进行维修
    - 事件消除：
      - 采取任何必要措施将系统恢复到已知的运行状态
      - 实施任何被认为能有效遏制事件重演的额外安全措施
      - 更新事件文档，列举这一阶段中采取的任何步骤
    - 事件恢复：
      - rootkit攻击：格式化重装
      - 病毒或恶意代码：加载补丁
      - 入侵或后门：恢复备份
  - 事后的活动
    - 复盘整个事件
- 事件响应计划（IRP）：
  - 建立并维护事件响应小组
  - 以书面形式列举构成安全事件的内容，以及对每类事件类型的定义
  - 事件发生时应遵循的分布流程
  - IRT成员的角色和责任
  - 应当如何报告事件
  - 事件或响应何时需要扩大到更多合格人员中
  - 测试和验证计划有效性
- 第一响应人（first responder）：第一时间到达事故现场的专业人员
- 事件报告：安全事件发生期间所发生的事件的报告
- 响应安全事件的准则
  - 如果存在IRP，请遵循其中列举的指导原则来响应事件
  - 如果IRP不存在，需要确定一名主要调查人员
  - 确定事件是否真正发生，以及系统或流程的受损程度
  - 尝试隔离或以其他方式控制事件的影响
  - 记录事件的详细信息
调查安全事件
- 计算机取证（computer forensics）
- 基本取证流程：
  - 收集阶段：确定受到攻击的系统并对其标记、记录详细信息、维护数据完整性
  - 检查阶段：处理数据、评估和提取证据、维护数据完整性
  - 分析阶段：使用法律允许的方法和技术分析检查阶段的结果
  - 报告阶段：报告取证分析的结果
- 易失性顺序
  - CPU寄存器、CPU缓存、RAM
  - 网络缓存和虚拟内存
  - 硬盘驱动和闪存驱动
  - CD-ROM DVD-ROM和打印输出