CISSP学习-安全运营(OSG安全运营管理)

这篇具有很好参考价值的文章主要介绍了CISSP学习-安全运营(OSG安全运营管理)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

1、安全运营概念

1.1 定义

1.2 知其所需和最小特权

1.3 职责分离

1.4 岗位轮换

1.5 强制休假

1.6 监控特权账户

1.7 管理信息生命周期

1.8 服务水平协议SLA

1.9 人员安全

1.10 可问责

2、安全配置资源

2.1 管理硬件和软件资产

2.2 硬件库和软件库(资产库)的安全作用

2.3 维护配置清单

2.4 资源保护-硬件保护

2.5 保护措施通用流程

3、配置管理

3.1 目标

3.2 作用

3.3 基线

4、变更管理

4.1 定义

4.2 变更管理流程

4.3 紧急变更

5、补丁和漏洞管理

5.1 补丁管理

5.1.1 目的

5.1.2 补丁集中管理

5.1.3 补丁管理步骤

5.1.4 补丁测试

5.1.5 补丁变更管理

5.1.6 补丁安装和部署

5.1.7 补丁审计和评估

5.2 漏洞管理系统

5.3 系统强化


1、安全运营概念

1.1 定义

安全运营实践的主要目的是保护资产,包括信息、系统、设备和设施,有助于识别威胁和漏洞,并实施控制来降低组织资产的整体风险。

1.2 知其所需和最小特权

1.2.1 知其所需need to know

a.知其所需原则强制要求授予用户仅访问执行工作所需数据或资源的权限;

b.基于工作或业务需求被授予最小知悉范围和访问权限;

c.运营安全是关键。

1.2.2 最小特权least privilege

a.最小特权原则规定,主体仅被授予完成工作所需的特权,而不再被授予更多特权;

b.要求用户或进程没有不必要的访问特权来执行工作、任务和功能;

c.目标是限制用户和进程只访问必要的资源和工具来完成指定任务;

d.限制可访问的资源和用户可以执行的操作。

1.2.3 控制特权账号

a.对账号的数量和类型进行严格控制;

b.小心监控系统的账号管理权限,包括服务账号和执行脚本的账号;

c.IAM身份和访问管理,可以管理跨多系统的访问权限以及集中式授权和审计。

1.2.4 信任传递

a.两个安全域之间的信任关系,允许一个域的主体访问另一个域的客体;

b.非传递信任遵循了最小特权原则,并一次只授予单个域的信任。

1.3 职责分离

1.3.1 定义

将一个关键任务分成不同的部分,每个部分由不同的人来执行,同谋/合谋会破坏职责分离,但他需要多人共谋,增加了被发现的风险。

1.3.2 目的

a.制约,减少故意破坏的几率;

b.补充,减少无意的疏漏和错误的几率。

1.3.3 原因

a.不同安全相关任务所需技能不同;

b.将管理员任务分成多个角色以赋予不同的信任级别;

c.防止安全相关功能委托一个角色或人员。

1.3.4 双人控制

a.双人操作,包括双人核验和现场相互监督;

b.双重控制,确保单个人不具有足够的权限来破坏安全,例如通过知识分割实现。

1.4 岗位轮换

岗位轮换减少个人之间共谋活动的风险,起到威慑和检测作用,是一种检测性控制。

1.5 强制休假

a.强制员工休假,以便能识别潜在的欺诈行为,并且使工作轮换成为可能,可起到威慑和检测作用,是一种检测性控制;

b.强制休假具有突然性,使欺诈者没有时间来掩饰欺诈痕迹,欺诈者为了避免他人发现其行为,可能主动放弃休假。

1.6 监控特权账户

a.特权账户分类:①root或内置管理员账号,用于管理设备和系统全能默认账号;②服务账号,由系统服务和核心应用所使用的特权访问;③管理员账号,所有活动都应被审计;④超级用户。

b.提供特权账户的检查,确保这些账号成为合理的业务需求;

c.对不活动账号,例如已离职、已调岗、已休假进行必要的安全措施;

d.以下情况不应被授予访问权限,例如IDS、WAF、FW的日志,以及应阻断某个IP访问,但没有做,或删除日志调整时间等操作。

1.7 管理信息生命周期

安全控制需要在整个生命周期内对信息进行保护。详情见资产安全。

1.8 服务水平协议SLA

1.8.1 定义

SLA是一个描述业务/客户从IT部门获得服务水平的简单文档,展示服务测量指标、补救或如果达不到协议要求所遭受的惩罚,如果由于客户原因导致SLA达不到,则不应该受到惩罚。SLA是IT承诺给业务部门或外部客户。

1.8.2 关键部分

a.服务元素:①提供具体服务;②服务可用性状态;③服务标准(时间窗);④升级程序;⑤各方职责;⑥费用/服务权衡

b.管理元素,包括测量标准和方法定义/报告流程/内容和频率/争议解决过程

c.SLA保持更新,供应商能力和服务需求变化

1.8.3 赔偿

供应商不得不向客户支付用于担保违规造成的任何第三方费用。

1.8.4 测量指标

a.服务可用性

b.不良率

c.技术质量

d.安全

1.9 人员安全

a.胁迫系统,被胁迫时跳过暗语,则给予救援;

b.出行,出差时设备不应存储任何敏感数据,且设备容易被不法分子植入恶意软件和监听设备;

c.隐私

d.应急管理,应急管理计划及实践帮助组织在灾难发生后处理人员安全问题;

e.安全培训与意识

1.10 可问责

a.用户访问资源的权限必须给予适当控制,以避免授予过多权限导致对公司及其资源造成损害。

b.应当对用户访问和操作资源的行为进行监控、审计和日志记录。

c.日志应常规记录,并定期分析,可通过自动方式和人工方式相结合的手段,当超过规定门限报警时,管理员给予及时分析处置。

2、安全配置资源

2.1 管理硬件和软件资产

2.1.1 硬件库存-跟踪硬件

a.品牌

b.型号

c.MAC地址

d.序列号

e.OS或固件版本

f.机房位置

g.IP地址

处理前进行净化

2.1.2 跟踪软件

a.软件名称

b.供应商名称

c.许可证类型和版本

d.激活码

e.许可证到期日

f.资产管理员

g.已安装软件的组织联系人

软件许可控制:①仅授权软件才可安装,禁止安装盗版软件;②使用盗版软件或超授权数量、范围安装使用License是要追究法律责任;③应采取手段监控软件License使用情况。

2.2 硬件库和软件库(资产库)的安全作用

a.安全专家能迅速定位和减少与硬件、软件版本相关的漏洞;

b.知道网络中硬件类型和位置能降低识别受影响设备的工作量;

c.可以经扫描发现网络中未经授权的设备。

2.3 维护配置清单

a.记录和追踪配置的变更能提供网络完整性和可用性的保障;

b.定期检查确保非授权变更。

2.4 资源保护-硬件保护

a.硬件需要适当的物理安全措施来维护所需要的机密性、完整性和可用性;

b.操作员终端和工作中应限制访问;

c.应限制设施的访问;

d.应保护移动资产;

e.打印设施应位于授权用户附件;

f.网络装置属于核心资产应需要保护。

2.5 保护措施通用流程

a.识别和评估风险;

b.选择恰当的控制措施;

c.正确的使用控制措施;

d.管理配置;

e.评估操作。

3、配置管理

3.1 目标

建立和维护产品、系统和项目整个生命周期的完整性。

3.2 作用

a.识别配置项;

b.控制配置项及其变更;

c.记录和报告配置项的状态和变更活动,同时开展审计。

3.3 基线

a.在配置管理背景下,基线是指系统初始配置;

b.使用镜像技术创建基线。

4、变更管理

4.1 定义

变更管理可减少因未经授权修改导致的意外中断,变更管理的主要目标是保证变更不会导致意外中断。变更管理流程确保相应人员在变更实施前对变更进行审核和批准,确保有人对变更进行测试和记录。

4.2 变更管理流程

a.请求

b.影响评估

c.批准/不批准

d.构建和测试

e.通知

f.实施

g.验证

h.记录

4.3 紧急变更

a.得到口头授权

b.该有的测试和回退计划都要有

c.事后再补记录和补正式的授权

d.ECAB(紧急变更顾问委员会)

5、补丁和漏洞管理

5.1 补丁管理

5.1.1 目的

a.建立持续配置环境保护操作系统和应用的已知漏洞;

b.很多时候厂商升级版本不给出升级原因和理由。

5.1.2 补丁集中管理

a.补丁集中管理是最佳实践,虚拟化技术使得更容易建立补丁测试实验室;

b.一些控制措施可以减轻软件漏洞的影响,例如FW/IDS等,为我们预留出测试补丁的时间;

c.逆向工程补丁,使黑客通过补丁找出可利用的漏洞。

5.1.3 补丁管理步骤

a.安全专家判断是否为漏洞;

b.是否需要升级补丁取决于补丁的重要程度、基于风险决策;

c.管理层和系统属主确定是否更新补丁;

d.更新补丁已经被测试,残余风险被解决;

e.更新完成后需要在生产环境中验证;

f.部署完成后确保所有适当的机器都被更新;

g.记录所有变更。

5.1.4 补丁测试

a.补丁测试的广度和深度:①系统的关键度;②处理的数据;③环境的复杂度;④可用性需求;⑤可用资源。

b.补丁获取时需要进行验证:①来源校验;②完整性校验,包括数字签名和校验和。

c.补丁校验完成后进行测试:①测试环境尽可能的接近生产环境;②可以用生产系统的子系统作为测试环境。

5.1.5 补丁变更管理

a.变更对补丁管理的每一步都非常重要;

b.修补应用程序应包含应急和回退计划;

c.在变更管理方案中包含风险降低策略;

d.变更管理方案中包含监控和可接受计划:①证明补丁成功具体里程碑和可接受标准;②允许关闭变更系统中更新。

5.1.6 补丁安装和部署

a.补丁管理的部署阶段必须具有良好经验的管理员和工程师;

b.部署安全补丁应及时完成、可控和可预期。

5.1.7 补丁审计和评估

a.常规审计和评估能衡量补丁管理成功和程度;

b.系统发现和审计作为审计和评估流程的部分。

5.2 漏洞管理系统

a.脆弱性扫描,识别这些弱点。

b.漏洞类型包括:①系统缺陷,例如产品设计缺陷,造成缓冲区溢出漏洞;②配置错误,配置错误导致系统容易受到攻击;③策略错误,个人未能按照要求遵守或实施安全措施。

c.基于主机的扫描,一是识别服务器上缺失的安全更新;二是识别可能表明系统受损的未经授权的软件或服务。

d.应用安全扫描。

e.数据库安全扫描,发现配置错误。

5.3 系统强化

a.网络设备的物理控制措施,机柜上锁。

b.大容量存储设备介质的控制,包括物理控制和技术控制。

c.工作站的安全防护措施,做一个硬拷贝镜像,称作母盘。

d.应用系统的安全防护,关注脆弱性检测和修复。

e.组件的安全防护,对组件进行恰当的配置。文章来源地址https://www.toymoban.com/news/detail-755852.html

到了这里,关于CISSP学习-安全运营(OSG安全运营管理)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • ADManager Plus:简化员工管理,助力组织高效运营

    在现代组织中,高效的员工管理是成功的关键之一。然而,随着员工数量的增加和组织结构的复杂化,手动处理员工管理任务变得繁琐而耗时。在这种情况下,ADManager Plus作为一款出色的员工管理解决方案,通过其卓越的功能和自动化流程,帮助组织简化员工管理过程,提高

    2024年02月07日
    浏览(46)
  • 连锁门店运营管理系统有哪些功能?该如何选购?

    连锁门店运营管理过程中,面临诸多难题,比如不同门店分布在不同地区,管理分散;各门店的人员管理、绩效考核、销售数据等工作进行困难;很难保证产品和服务的标准化管控。 连锁店只有不断适应市场变化,趁早选择合适的连锁门店运营管理系统来辅助管理,有效解决

    2024年02月07日
    浏览(40)
  • 基于SaaS模式的Java基层卫生健康云HIS系统源码【运维管理+运营管理+综合监管】

    模板分为两种: 病历模板和报表模板。模板管理是运营管理的核心组成部分,是基层卫生健康云中各医疗机构定制电子病历和报表的地方,各医疗机构可根据自身特点特色定制电子病历和报表,制作的电子病历及报表可直接在业务系统中使用。 病历模板和报表模板的制作方

    2024年02月16日
    浏览(49)
  • 淬体归元,运营商资源域元数据管理

    资源元数据是通信行业资源管理业务开展的基础性支撑要素,它定义了资源业务领域相关概念、关系和规则,即各种设施、缆线、设备、链路等网络资源的规格、属性、字典及相关存储模型等信息。高质量的元数据是提升业务效率、加强管理与分析能力的必要条件,构建资源

    2024年02月07日
    浏览(49)
  • 有效日志管理在软件开发和运营中的作用

    作者:Luca Wintergerst, David Hope, Bahubali Shetti 当今存在的快速软件开发过程需要扩展和复杂的基础架构和应用程序组件,并且操作和开发团队的工作不断增长且涉及多个方面。 有助于管理和分析遥测数据的可观察性是确保应用程序和基础架构的性能和可靠性的关键。 特别是,日

    2024年02月02日
    浏览(42)
  • 从指标管理中获取洞察,赋能公司内部论坛社区运营

    本文作者:张起楠 做了运营的同事多多少少都有这样的感觉,不断在公司内发起各项活动和话题,希望能够调动员工参与度,虽然每天投入大量的时间,但却无法确定真实的活动效果。在信息爆炸的时代,我们可以轻松接触到包罗万象的运营资料和文章,但谈及如何运营内部

    2024年02月04日
    浏览(37)
  • 有序充电运营管理平台是基于物联网和大数据技术的充电设施管理系统-安科瑞黄安南

    随着我国能源战略发展以及低碳行动的实施,电动汽车已逐步广泛应用,而电动汽车的应用非常符合当今社会对环保意识的要求,以及有效节省化石燃料的消耗。 由于其没有污染排放的优点以及政府部门的关注,电动汽车将成为以后出行的重要交通工具。由于大批的电车作为

    2024年02月11日
    浏览(47)
  • 智慧交通解决方案|数字孪生高速公路交通运营管理系统

    《数字交通“十四五”发展规划》提出“交通设施数字感知,信息网络广泛覆盖,运输服务便捷智能,行业治理在线协同,技术应用创新活跃,网络安全保障有力“六个”目标。政策文件中提出的数字交通体系与“数字孪生”的理念高度一致,表明我国智能交通发展逐步进入

    2024年02月08日
    浏览(57)
  • 数商云钢材行业智慧供应商管理系统:降低企业运营成本,构建数字化供应商管理体系

    钢材行业是国民经济的基础产业,其产业链长、规模大、涉及面广,对国家经济发展有着重要的影响。根据中国钢铁工业协会的数据显示,2020年我国钢材销售量达73996万吨,同比2019年增长12.6%。 图片来源:华经产业研究院 我国钢材行业产业链游参与主体为原材料供应商,提

    2024年02月01日
    浏览(55)
  • 璞华产业园区租赁运营平台,助力空间资产管理数字化转型!

    { 产业园区租赁运营平台 } 直面行业痛点 专注技术创新 点击输入图片描述(最多30字) 产业园区作为产业转型升级的重要载体,产业园区租赁运营也正迎来新的发展机遇。璞华一直关注为客户智能化转型过程中提供的服务,能否将技术方案转化为智能化转型带来的商业价值,

    2024年02月09日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包