CISSP 第1章：实现安全治理的原则和策略_过渡的保护可用性为什么完整性受限(1)

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

• NIST风险管理框架 RMF：联邦机构的强制要求，包含 6 个阶段：分类、选择、实施、评估、授权和监控

Due Care

应尽关心：在正确的时间采取正确的行动。应尽关注原则描述了一个人应该在一种情况下用正常人所期望的相同级别的关注来响应。

如果一个公司没有做到充分的安全策略、适当的安全意识培训，则没有达到 DC。

Due Diligence

应尽审查：职责是什么，应该做什么，制定计划。在日常管理中尽到责任。应尽职责原则是应尽关注的一个更具体的组成部分，它描述被指派责任的个人应该以应尽关注的方式准确和及时的完成责任。

在做信息安全时，应该尽可能收集信息以进行最佳决策，查看并了解风险。

谨慎人规则

谨慎人规则要求高级管理人员为信息安全事务承担个人责任，为了确保普通，谨慎的个人在相同情况下会表现出应尽关注。该规则最初适用于财务事项，但联邦量刑指南于1991年将其应用于美国的信息安全事项。

安全策略、标准、程序、指南

策略

规范化的最高层级文件被称为安全策略。

• 方法、规定
• 定义要保护的对象和目标
• 安全框架
• 分配职责、定义角色、明确审计需求、概述实施过程等

AUP 可接受的使用策略

属于安全文档的一部分，定义了可接受的绩效级别和期望的行为、行动。不执行 AUP 可能会被警告甚至开除。

标准

• 强制性要求
• 一致性，比如实施标准，采购标准

基线

• 每个系统需要满足的最低安全级别
• 一般参考行业标准

指南

• 如何实现上面的标准和基线的建议，非强制的

安全流程（安全程序） SOP

Standard Operating Procedure，详细的分步实施文档。

可以是整个系统的部署操作，也可以是单个产品的。

威胁建模 - 关注威胁

威胁建模是识别、分类和分析潜在威胁的过程。贯穿系统的整个生命周期。

• 主动式：在产品研发阶段进行威胁建模
• 被动式：在部署后执行
• 主动式和被动式都需要，因为并不是所有的威胁都能在开发阶段识别。

1. 识别威胁

关注资产、关注攻击者关注软件。

威胁建模的最终目的：对危害组织有价值资产的潜在威胁进行优先级排序。

STRIDE 威胁分类

微软开发的。

• 欺骗 Spoofing
• 篡改 Tampering
• 否认 Repudiation
• 信息泄露 Information Disclosure
• 拒绝服务 DoS
• 提权 Elevation of Privilege

PASTA 威胁建模

以风险为核心。

Trike 威胁识别模型

VAST 敏捷开发威胁建模

2. 确定潜在的攻击

绘制数据流图。确定每个环节涉及的技术，可能受到的攻击类型，比如逻辑、物理、社会工程学攻击等。

3. 简化分析

**分解数据流图中的应用和环境。**更好地了解产品逻辑、内部单元、交互等等。

分解过程需要关注 5 个要素：

• 信任边界：信任级别、安全级别发生变化的地方
• 数据流路径：两个位置间的流动
• 输入点：接收外部输入的地方
• 特权操作
• 安全声明和 Method （方法）

4. 优先级排序和响应

对威胁进行评级和排序，使用 DREAD 评级方案。

DREAD 总分 100 分，包含发生可能性*潜在损失 。其中每个值都是 1~10，10 表示最高。

DREAD 关注下列 5 个问题：

• 潜在破坏（损失）
• 受影响用户（损失）
• 复现率（概率）
• 漏洞可利用性（概率）
• 漏洞发现难易度，可发现性（概率）

风险矩阵/风险热图

供应链风险管理

SCRM Supply Chain Risk Management

目标：确保所有供应商和环节都是可靠的。

重点：对供应商进行评估、持续监控和管理

SLR 与 SLA：

• SLR：服务级别需求
• SLA：服务等级协议，规定最低的安全要求
• SLR 产生 SLA

人员管理

1. 岗位描述和职责

• 确定岗位描述清单，比如角色和要执行的任务
• 日常的具体工作内容，访问其他资源的权限

2.人员筛选、调查和招聘

• 背景调查：减少风险、减少招聘成本、降低员工流通率
• 资质考核

3. 人员录用（onboarding）

• 签署雇佣协议
• 入职培训（认同企业文化可以减少离职率）
• 保密协议签署：保护公司敏感信息，入职时签署，离职重申
• 遵守 AUP（定义公司的安全标准，即哪些活动可接受，哪些不行）
• 为用户创建账号（Provision），并分配相应的访问权限

4. 员工监督

• 岗位轮换（防串通，防滥用）
• 交叉培训（A/B 角色）
• 员工评估：针对关键角色进行全面评估，针对其他员工抽查
• 审查员工，早期发现可能对安全造成风险的行为
  • 不满的员工
  • 强制休假（强制审查，一般表示有不好的行为发生）

5. 离职

• 禁用、删除用户账号
• 撤销证书
• 取消访问代码权限
• 解雇过程需要安全部门和 HR 参与，尊重员工的同时降低风险，离职面谈需要重申之前签署的安全协议

第三方人员管理

• 签署 SLA，SLA 需要包含安全改进相关的内容（保密相关仍然需要签署 NDA，SLA 不能满足）
• 使用 VMS 供应商管理系统

合规策略

在人员层面，合规=员工是否遵循公司的策略。

合规是一种行政或管理形式的安全控制。

隐私策略

隐私内容包含：

• 未授权访问个人可识别信息（PII），例如电话号、地址、IP 等
• 未经授权的个人机密信息访问
• 未经同意的监视

要遵照法律要求保护和存储隐私数据：

• HIPAA 健康保险流通与责任法案
• SOX 萨班斯-奥克斯利法案
• FERPA 家庭教育权利和隐私法案：学生相关的数据
• GDRP 通用数据保护条例

风险管理 - 关注资产

风险管理的目标：将风险降至可接受的水平。

绝对安全的环境是不存在的，需要平衡收益/成本，安全性/可用性。

风险来自很多方面，可能是非 IT 的灾难，比如自然灾害等。

风险管理包含两大部分：

• 风险评估/风险分析：基于价值/性质分析每个系统的风险
• 风险响应：使用成本/收益的方式评估风险控制措施

风险相关的术语解释

• 资产：可以是业务流程或者使用到的任何事物，可以是有形的也可以是无形的

• 资产估值 AV：资产对应的货币价值，综合重要性、使用情况、成本、支出等元素得出

• 威胁：可能导致资产破坏、变更、泄露等的行为

• 威胁主体：主体利用威胁来危害目标

• 威胁事件：对脆弱性的意外和有意利用

• 威胁向量（Threat Vector）：攻击者为了伤害目标而使用的路径和手段，比如 Wifi、物理访问、社会工程学等

• 脆弱性：资产中的弱点，使威胁能够造成损害的缺陷、漏洞、疏忽，可以是技术上的，也可以是管理逻辑上的

• 暴露：资产丢失暴露的可能性

• 风险：

  • 风险=威胁*脆弱性
  • 风险=损害的可能性*损害的严重程度

• 攻击：威胁主体进行的脆弱性利用尝试

• 破坏：成功的攻击

1. 风险分析

风险分析的目标是：确保只部署具有成本效益的措施。

定性风险分析 - 基于定性的更容易分析

基于分级来进行。基于场景，而非计算，依赖经验和判断。

• 场景：针对单个威胁的描述

  • 通常比较概要，限制在一页纸，方便参与的人分配等级
  • 威胁如何产生
  • 对组织带来的影响
  • 可能的防护措施

• Delphi 技术：匿名的反馈和响应

  • 对于每个反馈，参与者通过数字消息匿名写下反馈，最后汇总给风险分析小组，重复这个过程直至达成共识

定量风险分析

几个关键词：

• AV 资产价值
• EF 暴露因子：潜在的损失，EF 仅表示单个风险发生时对整体资产价值造成的损失（比如硬件故障带来的损失），以百分比计算
• SLE 单一损失期望（Single Loss Expectancy）：SLE = AV * EF
• ARO 年发生率
• ALE 年度损失期望

ALE = ARO * SLE = ARO * AV * EF

定性分析和定量分析的对比

2. 风险响应

风险响应的形式：

• 风险缓解：最常用，通过实施防护措施、安全控制来减少脆弱性，阻止威胁。比如加密和防火墙
• 风险转让：购买服务、保险等。可以转让风险，但无法转移责任
• 风险威慑：比如实施审计、监控、警告 banner、安保人员等
• 风险规避（risk avoidance）：灾难避免，比如关闭重要系统以降低安全风险
• 风险接受：可以接受安全风险，通常意味着保护成本>资产价值
• 风险拒绝：不接受但是可能发生，不应该有

残余风险处理（除已经防护的，剩下的风险）：

• 定期进行评估

风险控制的成本和效益

几个关键词：

• ACS （ annual cost of the safeguard）年度防护成本
• ALE 年度损失期望
• 实施措施前的 ALE
• 实施措施后的 ALE

防护措施对公司的价值=实施措施前的 ALE-实施措施后的 ALE-ACS

安全控制分类

按照方式：

• 管理行政类：数据分类、背景调查、工作说明书、审查、监督、培训
• 技术/逻辑类：IPS、防火墙、IAM、加密
• 物理类：门禁、锁、保安、看门狗、围栏、物理环境入侵检测等

按照作用：

• 预防性控制：部署预防控制以阻止非预期的或未经授权的活动发生，身份认证、门禁、报警系统、岗位轮换、IPS、培训等

• 威慑控制：锁、保安等，可能和预防性的重叠

• 检测控制：保安、IPS 、审查

• 补偿控制：另一种控制手段的补充或增强，比如主要手段是防止删除，补偿手段是存在备份可恢复

• 纠正：例如杀毒、阻止入侵行为、备份恢复等，将环境从非预期的活动中进行恢复

  • 恢复性控制：纠正的扩展，不像纠正是单一的行为，恢复性可能更复杂，安全策略被破坏后，恢复控制尝试修复或恢复资源、功能和能力

• 指令式/指示控制：比如通知、公司标准等，强制或鼓励主体遵守安全策略

安全控制评估 SCA

Security Control Assessment

根据基线或可靠性期望对安全机制的正式评估。可作为渗透测试报告的补充。

目的：确保安全机制的有效性。评估组织风险管理过程中的质量和彻底性，生成已部署安全措施的优缺点报告。

对应的标准为 NIST SP 800-53 Rev5，信息系统和组织的安全和隐私控制。

风险管理成熟度模型 RMM

Risk Maturity Model

RMM 5 个级别：

• 初始级 （ad hoc）：混乱的状态
• 预备级（Preliminary）：初步尝试遵守风险管理流程，但是每个部门执行的风险评估不同
• 定义级（Defined）：在整个组织内使用标准的风险框架
• 集成级（Integrated）：风险管理集成到了业务流程中，风险是业务战略决策中的要素
• 优化级（Optimized）：侧重于实现目标，而不是被动响应

风险管理框架 RMF

Risk Management Framework，被 NIST SP 800-37 Rev2 定义。

风险框架用于评估、解决和监控风险的指南或方法。

1+6个循环的阶段：先进行准备，准备上下文和优先级（优先处理哪些系统）

• 分类：根据对损失影响的分析，对信息及系统进行分类
• 选择：选择合适的控制手段，可以将风险降到可接受水平
• 实施：实施上面描述的控制
• 评估：确保控制实施到位（也就是检查）
• 授权：在确定风险可接受的基础上，授权上线（类似于认可）
• 监控：持续监控系统，保证控制的有效性

安全培训 SAET

Security Awareness, Education, and Training Program

意识

• 建立对安全认知的最小化通用标准或基础
• 教学、视频、海报、媒体等

培训

• 培训是指教导员工执行他们的工作任务和遵守安全策略
• 定期的培训，加强人员安全意识
• 最好是强制的培训

教育

• 教育是一项更详细的上作，用户学习的内容比他们完成其工作任务实际需要知道的内容多得多
• 教育可能是获取资格认证的培训，或者和晋升相关的教育

改进

• 培训完成后需要做的
  • 制定改进计划、下一步计划

有效性评估

• 考试
• 审查事件日志，了解违规发生率

业务连续性计划 BCP

**BCP 和业务中断有关。**关注上层，以业务流程和运营为主。

**DRP 容灾恢复计划 - 和数据恢复有关。**更具细节，描述站点恢复、备份和容错等技术。

BCP 四个阶段：

• 项目范围和计划
• 业务影响分析 BIA
• 连续性计划
• 计划批准和实施

1. 项目范围和计划

• 首要职责，组织分析：了解部门职责
• 选择 BCP 团队：包括业务、法务、IT、安全、公关、财务、高层代表等
• 资源需求：有人员需求和财务需求（购买软硬件）
• 法律和法规要求

2. 业务影响分析 BIA

目的：识别关键业务功能及这些功能相关的 IT 资源，分析中断的影响。

支持定量分析和定性分析，BCP 通常喜欢使用定量分析，从而忽略定性分析，BCP 团队应该对影响 BCP 过程的因素进行定性分析。

1, 确定优先级

定量分析：

• 确定资产价值 AV
• 确定 MTD 最大容忍中断时间
• RTO 应该始终小于 MTD（MTD = RTO + 业务确认的时间 WRT）

2, 风险识别

识别自然风险和人为风险：

• 暴雨、累计、地震、火山、流行病等
• 恐怖袭击、火灾、互联网终端等

3, 可能性评估

确定每种可能性发生的概率，确定 ARO 年发生率。

4, 影响分析

年损失期望 ALE

ALE = SLE *ARO = AV * EF * ARO

5, 资源优先级排序

3. 连续性计划

• 策略开发：

  • 目标、范围、需求
  • 基本的原则和指导方针
  • 职责

• 预备和处理：

  • 制定具体的流程和机制来减轻风险
  • 人员优先
  • 建筑设施的保护，比如加固，或者备用站点
  • Infra 保护，包括冗余设施，物理性的加固（UPS 及防火等）

4. 计划批准和实施

• 计划批准：计划得到上层的认可，展示业务领导对于业务连续性的承诺，在其他人员眼中更具重要性和可信度
• 计划实施：
• 培训和教育：培训的目的是让相关的人熟悉其职责，以及操作步骤

5. BCP 文档

• 文档化可以防止执行时偏离
• 文档包含重要性声明
• 优先级声明
• 组织职责声明：重申组织对业务连续性计划的承诺
• 紧急程度和时间限制要求（时间表）
• 风险评估的内容
• 风险接受、风险缓解的内容，比如哪些风险可接受，哪些风险不可接受需要采取缓解措施
• 重要记录：标识
• 应急响应指南
• 定期维护
• 测试和演练

法律法规

知识产权 IP - 保护创作者

保护创作者，软件属于知识产权。

作品在创作的那一刻即拥有版权。

仅有源代码属于知识产权，代码使用的逻辑不属于知识产权。

《数字千年版权法》DMCA

受保护的类型：

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。