CISSP 域3知识点 系统安全防护

CISSP 域3系统安全防护你的服务器真的加固到位了吗️归属Domain 3 安全架构与工程 · OSG第十版第9章核心内容考试权重占Domain 3总权重13%的25%以上概念题场景题双高频一句话定位所有上层的安全架构、安全策略最终都靠系统安全防护落地执行——它是企业安全体系的最后一道防线 四条绝对红线违反必错红线一系统安全必须遵循最小安装、最小特权、默认拒绝三大核心原则禁止过度安装、过度授权、默认开放服务红线二安全必须原生内置到系统全生命周期而非上线后再补防护——系统上线前必须完成安全基线加固与合规校验红线三防护强度必须与资产分级、业务重要性完全匹配核心业务系统必须配套高强度防护红线四补丁与漏洞管理是核心基础必须建立闭环全流程管控机制禁止高危漏洞长期未修复 核心术语速查12个先过一遍① 系统安全基线Security Baseline针对一类系统制定的标准化、最低安全要求集合包括配置、权限、服务、补丁、审计规则等统一标准是规模化系统安全管控的核心基础② 系统加固System Hardening基于安全基线对系统进行配置优化、冗余组件移除、安全控制部署消除默认脆弱性、缩小攻击面是系统安全防护的核心前置动作③ 可信计算基TCB系统中所有负责执行安全策略的硬件、软件、固件的集合系统安全防护的核心就是保障TCB的完整性、防篡改性与不可旁路性④ 漏洞Vulnerability系统、软件、固件中存在的可被攻击者利用的安全缺陷、设计弱点、配置错误是系统安全风险的核心来源⑤ 补丁Patch厂商发布的用于修复软件/系统中安全漏洞的代码更新包分为安全补丁、功能补丁、紧急补丁三类⑥ 恶意代码Malware泛指所有设计用于损害系统、窃取数据、破坏业务的恶意程序包括病毒、蠕虫、木马、勒索软件、间谍软件、Rootkit、广告软件等⑦ 端点检测与响应EDR部署在终端/服务器上的安全防护工具可实时监控系统行为、检测恶意活动、自动响应处置安全事件替代传统杀毒软件的现代系统防护核心工具⑧ 主机入侵检测/防御系统HIDS/HIPS部署在单台主机上的安全组件HIDS检测异常活动并告警HIPS可主动阻断违规操作与恶意攻击⑨ 最小安装Minimal Installation系统安装时仅部署完成业务必需的最小组件、服务、功能核心目标是最小化系统攻击面⑩ Rootkit一类特殊的恶意代码可获取系统最高权限并隐藏自身存在绕过常规安全防护工具是最难检测的系统威胁之一⑪ 工控系统ICS/SCADA工业控制系统/数据采集与监控系统用于控制工业生产、能源、交通等关键基础设施系统安全防护有特殊的优先级与规则要求⑫ 攻击面Attack Surface系统中攻击者可利用的所有入口点、脆弱点的总和包括开放的端口、运行的服务、安装的应用、开放的API等 模块一系统安全防护的6大核心底层原则这6条是场景题的核心判断依据和安全架构设计原则完全对齐必须熟记 原则① 最小安装原则官方定义系统仅安装、启用完成业务目标必需的最小组件、服务、功能卸载/禁用所有非必需的服务、端口、应用、协议通俗理解装修房子只装必需的门窗不额外开多余的口子减少小偷可下手的入口落地场景服务器部署Web业务仅安装Web服务必需的组件禁用FTP、Telnet等非必需服务关闭所有非业务端口考试提示场景题中出现安装全量组件、默认启用所有服务的选项均为错误答案这是系统加固的第一原则 原则② 最小特权原则官方定义系统中任何用户、进程、服务、应用仅拥有完成其本职工作必需的最小系统权限禁止管理员权限滥用、进程过度授权通俗理解酒店保洁员只能拿到自己负责区域的门禁卡不能拿到总控室钥匙落地场景Web服务进程仅能访问网站目录不能获得系统管理员权限普通用户不能修改系统配置考试提示全体系最高频考点系统场景中出现用管理员账号运行普通应用、给普通用户分配系统权限的设计均为错误答案 原则③ 默认拒绝原则官方定义系统访问控制、服务访问、网络通信默认拒绝所有请求仅开放明确授权的权限/端口/服务/通信系统故障时默认进入安全锁定状态而非开放权限通俗理解酒店房门默认锁闭只有刷授权房卡才能打开不是默认敞开落地场景系统防火墙默认拒绝所有入站流量仅放行业务必需的端口普通用户默认无系统修改权限仅授权后才能执行指定操作考试提示所有默认允许访问、默认开放服务的系统配置选项均为错误答案 原则④ 安全基线原则官方定义所有同类型系统必须遵循统一的、经过验证的最低安全基线禁止无基线、无标准的系统部署通俗理解连锁酒店所有门店的门锁、安保标准完全统一不会出现一个门店用高级防盗锁、另一个用普通挂锁的情况落地场景企业所有Windows服务器必须遵循统一安全基线包括密码策略、审计配置、补丁级别、服务禁用规则考试提示安全基线是系统安全的最低标准所有系统必须满足是规模化系统安全管控的核心基础 原则⑤ 纵深防御原则官方定义为系统构建多层、异构的安全防护体系单点防护失效不会导致系统完全失控禁止仅依赖单一防护工具通俗理解家里防护小区门禁→单元门→家门防盗锁→室内监控→保险柜一道防线失效还有下一道落地场景系统防护系统基线加固→主机防火墙→EDR→HIPS→权限管控→日志审计层层设防考试提示场景题中仅依赖杀毒软件、单一防火墙的系统防护均为错误答案必须构建多层防护体系 原则⑥ 不可旁路原则官方定义系统的安全控制机制必须不可旁路、不可篡改所有访问、操作必须经过安全控制的校验禁止绕过安全机制直接访问系统资源通俗理解机场安检所有乘客必须经过没有任何例外不能绕过安检直接登机落地场景系统的所有访问请求必须经过参考监视器的校验TCB的安全机制不可被用户、进程绕过考试提示是TCB的核心特性场景题中绕过安全控制的设计选项均为错误答案 模块二系统安全全生命周期防护安全左移核心要求OSG第十版明确系统安全防护不是上线后的运维工作必须从规划阶段就内置安全要求 阶段① 规划与设计阶段核心安全要求基于业务需求、资产分级、风险评估结果明确系统的安全需求、安全目标、防护等级设计系统安全架构与访问控制模型关键动作开展系统风险评估明确核心安全需求设计系统安全架构明确信任边界制定适配业务的专属安全基线完成威胁建模识别潜在系统威胁与防护措施考点安全需求必须在规划设计阶段明确不是上线后补充威胁建模必须在设计阶段完成是安全左移的核心要求 阶段② 采购与开发阶段核心安全要求采购的系统/组件必须满足安全需求自研系统必须遵循安全开发生命周期禁止引入含已知高危漏洞的组件关键动作开展供应商安全评估验证系统安全能力自研系统遵循安全编码规范开展代码审计验证第三方组件的安全资质排查开源组件漏洞完成软件物料清单SBOM管理考点软件供应链安全是第十版重点强化内容SBOM软件物料清单是供应链安全的核心工具是高频新增考点 阶段③ 部署与上线阶段核心安全要求系统上线前必须完成全量安全加固、基线合规校验、安全测试未通过安全校验的系统禁止上线生产环境关键动作基于安全基线完成系统全量加固关闭非必需服务、端口、组件最小化攻击面开展漏洞扫描、渗透测试、基线合规检查配置安全防护工具EDR/HIDS/防火墙完成权限配置遵循最小特权原则考点未通过安全校验禁止上线是必考场景题安全基线加固是上线前的强制要求⚙️ 阶段④ 运维与运营阶段核心安全要求建立持续的安全管控机制保障系统长期安全运行关键动作闭环的补丁与漏洞管理持续的系统安全监控、日志审计定期的基线复审、合规校验、安全评估恶意代码防护、入侵检测与事件响应定期的权限审计、冗余权限清理考点补丁与漏洞管理、持续监控与审计必须是闭环流程而非一次性操作 阶段⑤ 变更与升级阶段核心安全要求系统变更、版本升级必须遵循变更管理流程提前评估安全风险变更后重新校验安全基线合规性关键动作变更前开展安全风险评估制定回滚方案变更过程全程留痕、可审计变更后重新校验安全基线、开展漏洞扫描重大变更必须经过安全部门审批考点禁止未经审批的变更变更后必须重新验证安全合规性是高频场景题️ 阶段⑥ 退役与销毁阶段核心安全要求系统退役时必须完成数据安全销毁、权限回收、系统下线确保退役后无敏感数据泄露、无残留访问入口关键动作完成系统内敏感数据的安全迁移与销毁回收所有系统访问权限、账号彻底清除存储介质中的数据按资产分级执行对应销毁标准下线系统服务、关闭网络访问入口完成退役全流程审计记录归档考点系统退役必须完成数据安全销毁禁止直接丢弃存储介质所有访问权限必须100%回收️ 模块三系统安全防护8类核心技术措施 措施① 系统安全基线与加固官方标准加固核心步骤7步Step 1 最小化安装仅安装业务必需的操作系统组件、服务、应用卸载所有非必需的软件、服务、协议Step 2 补丁管理安装最新的安全补丁修复已知的系统、软件漏洞Step 3 账号与权限加固禁用默认账号、Guest账号重命名管理员账号配置强密码策略、账户锁定策略严格遵循最小特权原则Step 4 服务与端口加固禁用所有非必需的系统服务关闭非业务必需的端口禁止使用Telnet、FTP等明文传输协议替换为SSH、SFTP等加密协议Step 5 审计与日志加固启用系统全量安全审计日志配置日志不可篡改、不可删除明确日志留存时长覆盖账号登录、权限变更、系统配置修改、关键操作等全场景Step 6 网络防护加固启用系统原生主机防火墙配置默认拒绝规则仅放行业务必需的流量Step 7 安全功能启用启用系统原生安全功能如Windows BitLocker加密、Linux SELinux强制访问控制、内存保护机制考点提示系统加固第一原则是最小安装核心目标是最小化攻击面明文传输协议Telnet、FTP必须禁用场景题中使用明文协议的选项均为错误答案 措施② 账号与访问控制加固核心防护措施强制身份认证所有系统账号必须配置强密码启用多因素认证MFA尤其是管理员账号、远程访问账号禁止空密码、弱密码最小权限分配严格遵循最小特权原则仅给用户/进程/服务分配完成工作必需的最小权限禁止普通用户获得管理员权限禁止用管理员账号运行普通应用职责分离系统管理员、审计员、操作员的权限严格分离禁止单人完成全流程高风险操作账号生命周期管理建立账号申请、审批、启用、变更、注销的全流程管控员工离职当日必须注销系统账号定期审计清理冗余、休眠账号特权账号管理PAM对管理员、Root等特权账号进行专门管控实施特权访问管理PAM实现特权账号的申请、审批、临时授权、全程审计、自动密码轮换考点提示管理员账号必须启用多因素认证特权账号必须实施专门管控禁止无限制的永久特权授权 措施③ 补丁与漏洞管理官方标准闭环流程6步Step 1 漏洞情报收集持续跟踪厂商发布的安全公告、漏洞情报明确漏洞的影响范围、风险等级Step 2 漏洞扫描与评估定期对系统开展全面漏洞扫描验证漏洞是否存在评估漏洞的风险等级、对业务的影响程度Step 3 补丁测试在测试环境中对安全补丁进行兼容性、安全性测试验证补丁不影响业务正常运行不引入新漏洞Step 4 补丁部署与审批基于漏洞风险等级制定补丁部署计划高危漏洞必须紧急修复经过正式审批后在生产环境部署补丁Step 5 验证与复盘补丁部署后重新扫描验证漏洞是否修复确认业务正常运行记录补丁全流程操作复盘优化补丁管理流程Step 6 例外处置对于无法安装补丁的系统必须制定对应的风险缓解措施如隔离、防火墙限制、入侵防护获得管理层书面风险批准定期复审例外情况考点提示补丁管理必须是闭环的全流程不是仅下载安装补丁补丁必须先在测试环境测试再部署到生产环境禁止未经测试直接在生产环境安装无法打补丁的系统必须实施补偿控制措施并获得管理层书面风险批准是高频场景题 措施④ 恶意代码防护核心防护措施️现代端点防护EDR部署EDR工具替代传统杀毒软件基于行为分析、AI检测实时监控系统异常行为检测并阻断未知恶意代码、勒索软件、APT️白名单机制最有效手段实施应用白名单控制仅允许经过授权的应用/程序在系统上运行禁止所有未授权程序执行是防范未知恶意代码的最有效手段️反Rootkit防护部署专门的Rootkit检测工具定期扫描系统底层检测隐藏的Rootkit、Bootkit恶意代码️邮件与附件防护在终端部署邮件安全防护拦截恶意附件、钓鱼链接防范恶意代码通过钓鱼邮件进入系统️移动介质管控禁止未经授权的U盘、移动介质接入系统对授权介质实施病毒扫描、加密管控考点提示应用白名单是防范未知恶意代码的最有效手段比传统黑名单杀毒软件更安全是高频考点Rootkit的核心特点是获取系统最高权限、隐藏自身存在最难检测是高频概念题考点 措施⑤ 主机入侵检测与防御HIDS vs HIPS这对双胞胎是最高频的区分题搞清楚核心区别 HIDS主机入侵检测系统核心功能监控系统日志、文件完整性、进程行为检测异常活动触发告警核心特点被动检测仅告警不阻断不会影响业务运行适用场景工控系统、对业务连续性要求极高的核心业务系统 HIPS主机入侵防御系统核心功能在HIDS基础上增加主动阻断能力可实时拦截违规操作、恶意攻击、越权访问核心特点主动防御可直接阻断攻击可能影响业务运行适用场景普通业务系统、终端设备需要主动阻断攻击的场景 核心防护能力文件完整性监控FIM监控系统核心文件、配置文件、注册表的变更检测未授权的修改及时告警异常行为检测监控账号登录、进程运行、权限变更、网络连接的异常行为识别入侵活动流量监控监控系统入站/出站网络流量识别恶意通信、C2连接、数据外传行为考点提示HIDS仅检测告警HIPS可主动阻断这个区别是必考文件完整性监控FIM是检测系统文件、配置未授权修改的核心手段 措施⑥ 系统加密防护核心防护措施全磁盘加密对系统硬盘、存储介质实施全磁盘加密如Windows BitLocker、Linux LUKS防止设备丢失、被盗导致的数据泄露文件/文件夹加密对系统内的敏感文件、文件夹实施单独加密仅授权用户可解密访问内存加密对系统处理敏感数据的内存区域实施加密防范内存dump、缓冲区溢出攻击窃取明文数据可信执行环境TEE利用CPU内置的安全区域在隔离环境中处理敏感数据保障使用中数据的安全考点提示全磁盘加密的核心作用是防范设备丢失/被盗导致的数据泄露是高频场景题考点内存加密、TEE是使用中数据保护的核心手段是第十版重点强化内容 措施⑦ 日志与审计监控官方核心要求日志覆盖范围必须覆盖账号登录成功/失败、权限变更、系统配置修改、关键文件访问、服务启停、网络连接、异常操作等全场景日志安全要求日志必须设置为不可篡改、不可删除定期备份到独立的日志服务器禁止本地存储唯一日志副本日志留存时长必须满足合规要求的最低留存时长通用要求至少6个月金融、医疗等行业要求3-7年持续监控与告警建立日志实时监控机制针对异常登录、越权操作、恶意行为配置实时告警及时响应安全事件定期审计定期开展系统日志审计排查违规操作、异常行为、入侵痕迹形成审计报告考点提示系统日志必须不可篡改、不可删除必须备份到独立的日志服务器是必考合规要求失败的登录尝试必须记录日志是系统审计的强制要求 措施⑧ 系统安全持续评估与优化系统安全不是一次性加固必须定期开展评估持续优化防护措施定期漏洞扫描至少每月对系统开展全面漏洞扫描高危漏洞立即修复定期渗透测试至少每半年对核心业务系统开展渗透测试模拟攻击者视角发现系统安全缺陷定期基线合规审计至少每季度对系统开展安全基线审计验证系统是否符合基线要求修复不合规配置定期权限审计至少每季度对系统账号、权限开展审计清理冗余权限、休眠账号验证最小特权原则的执行情况威胁情报适配基于最新的威胁情报更新系统防护规则、检测策略防范新型攻击 模块四6类专项场景系统安全防护第十版重点强化☁️ 场景① 云服务器/云主机安全核心前提云安全责任共担模型云厂商负责云基础设施、虚拟化层的安全客户负责云主机操作系统、应用、数据、权限、补丁管理的安全这是最高频的云安全考点客户侧的安全责任绝对不能漏核心防护要求云原生安全加固基于云厂商的安全基线对云主机进行专项加固关闭云环境元数据服务的未授权访问禁用云主机的默认公网IP最小权限IAM管控通过云平台IAM体系给云主机分配最小权限的服务账号禁止给云主机分配管理员权限镜像安全使用经过安全加固的官方镜像禁止使用未知来源的第三方镜像构建自定义安全镜像基线微分段隔离通过云平台的网络微分段实现云主机之间的精细化访问控制禁止云主机之间的默认全通访问考点提示云主机必须禁用默认公网IP仅通过堡垒机、VPN访问禁止直接暴露在公网⚙️ 场景② 工控/OT系统安全与IT系统最核心的差异安全优先级完全相反IT系统保密性 完整性 可用性OT系统可用性 完整性 保密性所有安全控制不能影响工业生产的连续性、实时性核心防护要求严格网络隔离采用Purdue模型将OT网络与IT网络严格隔离禁止OT系统直接连接互联网单向通信控制IT网络到OT网络的访问必须采用单向隔离网闸禁止双向直接通信最小化攻击面禁用OT设备非必需的端口、服务、协议禁止在OT系统上安装非业务必需的软件补丁管理特殊要求OT系统的补丁必须经过严格的离线测试在生产停机窗口期部署无法打补丁的系统必须通过网络隔离、单向控制实施补偿防护禁止远程访问禁止OT系统的互联网远程访问特殊场景必须通过物理隔离的专用线路、强身份认证、全程审计实现专用防护工具部署OT专用的入侵检测、恶意代码防护工具禁止使用普通IT系统的杀毒软件考点提示OT系统的安全优先级是可用性优先与IT系统相反是最高频易错点绝对不能搞混 场景③ 容器/微服务安全第十版新增重点全生命周期4个环节️构建阶段使用最小化基础镜像禁用未知来源镜像开展镜像漏洞扫描与恶意代码检测构建镜像安全基线生成SBOM管理镜像组件分发阶段镜像加密存储在私有镜像仓库实施镜像签名验签防止镜像被篡改严格管控镜像访问权限部署阶段基于K8s的RBAC实现最小权限管控禁止容器以Root权限运行禁用特权容器实施Pod安全策略限制容器的系统权限运行阶段部署容器运行时防护工具监控容器异常行为实施容器微分段限制容器之间的网络通信持续监控容器漏洞与配置风险考点提示容器禁止以Root权限运行禁止启用特权容器是必考场景题考点镜像安全是容器安全的基础必须在部署前完成漏洞扫描与安全校验 场景④ 移动终端安全核心防护要求移动设备管理MDM部署MDM工具实现移动设备的全生命周期管控包括设备注册、策略下发、远程锁定、数据擦除强身份认证移动设备必须启用强密码、生物识别认证企业应用必须启用多因素认证数据隔离在移动设备上实现企业数据与个人数据的隔离禁止企业数据存储在个人区域可远程擦除企业数据而不影响个人数据应用管控实施企业应用白名单禁止在移动设备上安装未授权的应用禁止越狱/ROOT设备接入企业网络传输安全移动设备访问企业资源必须通过VPN加密传输禁止通过公共Wi-Fi明文传输企业敏感数据考点提示企业数据与个人数据隔离是移动终端安全的核心要求越狱/ROOT设备必须禁止接入企业网络 场景⑤ 物联网IoT设备安全核心防护要求身份认证每个IoT设备必须具备唯一的数字身份接入网络前必须完成强身份认证禁止未授权设备接入固件安全禁用设备默认账号、默认密码定期更新设备固件补丁修复已知漏洞最小权限原则设备仅拥有完成工作必需的最小网络访问权限、功能权限禁止全网络访问加密传输设备与平台之间的通信必须采用端到端加密禁止明文传输敏感数据网络隔离将IoT设备部署在独立的网络分段与企业核心网络严格隔离防止IoT设备被入侵后横向移动到核心系统考点提示IoT设备的核心安全风险是默认弱密码、未打补丁、明文传输IoT设备必须与企业核心网络严格隔离⚔️ 模块五常见系统攻击与标准防护措施场景题核心区 缓冲区溢出攻击攻击定义攻击者向程序的缓冲区写入超出其容量的数据覆盖系统内存执行恶意代码获取系统权限官方标准防护及时安装系统、软件补丁修复缓冲区溢出漏洞启用系统内存保护机制如DEP数据执行保护、ASLR地址空间布局随机化遵循安全编码规范避免缓冲区溢出漏洞部署HIPS/EDR阻断缓冲区溢出攻击 权限提升攻击攻击定义攻击者通过漏洞、配置错误将普通用户权限提升至管理员/Root权限获取系统最高控制权官方标准防护严格遵循最小特权原则限制用户/进程权限及时修复系统、软件的权限提升漏洞禁用普通用户的系统修改权限监控权限变更行为及时告警异常提权操作️ Rootkit/后门攻击攻击定义攻击者在系统中植入Rootkit/后门获取长期隐蔽的系统访问权限隐藏自身存在官方标准防护部署EDR/专用Rootkit检测工具定期扫描实施应用白名单禁止未授权程序运行系统加固关闭不必要的服务、端口定期校验系统文件完整性检测未授权修改 恶意代码/勒索软件攻击攻击定义攻击者通过钓鱼、漏洞利用植入恶意代码、勒索软件加密系统数据、窃取信息、破坏系统官方标准防护部署EDR/XDR工具检测阻断恶意代码实施应用白名单机制阻断未知程序运行定期离线备份核心数据防范勒索软件加密开展员工安全意识培训防范钓鱼攻击 密码攻击攻击定义攻击者通过暴力破解、字典攻击、彩虹表攻击、钓鱼等方式窃取系统账号密码官方标准防护配置强密码策略、账户锁定策略禁止弱密码启用多因素认证MFA尤其是管理员账号定期更换密码禁止密码复用监控失败的登录尝试及时告警暴力破解行为 拒绝服务DoS/DDoS攻击攻击定义攻击者通过大量恶意流量占满系统资源、带宽导致系统无法提供正常服务业务中断官方标准防护部署DDoS防护工具、流量清洗服务优化系统资源配置提升抗攻击能力实施流量限速、异常流量阻断构建冗余架构保障业务高可用 第十版新增/强化核心内容① AI驱动的系统安全防护官方明确了AI/ML技术在EDR、异常行为检测、漏洞扫描、威胁狩猎中的应用AI驱动的自动化系统防护能力是现代系统安全的核心发展趋势② 软件供应链安全防护针对SolarWinds等供应链攻击事件强化了系统第三方组件、开源软件、供应商的安全管控要求明确了SBOM软件物料清单在系统全生命周期的强制应用③ 零信任架构在系统层面的落地明确了零信任永不信任、始终验证原则在系统访问控制中的落地要求每一次系统访问、进程调用都必须经过身份认证、权限校验、上下文风险评估④ 云原生系统安全系统化新增了容器、微服务、Serverless架构的系统安全防护要求明确了云原生场景下的全生命周期安全管控框架⑤ 抗量子系统安全防护新增了量子计算威胁下的系统安全升级要求明确了系统加密体系向后量子加密算法的迁移⑥ OT/ICS系统安全大幅强化了工控系统安全防护要求明确了IT与OT融合场景下的安全边界、隔离要求、防护标准是关键信息基础设施保护的核心内容❌ 7大官方明确误区高频错题点误区① “装了EDR就不用做安全基线加固了”✅ 官方纠正EDR只是防护体系的其中一层安全基线加固是从源头缩小攻击面的核心动作哪怕部署了EDR未加固的系统依然存在大量可被利用的漏洞与配置缺陷误区② “打了所有补丁系统就绝对安全了”✅ 官方纠正补丁只能修复已知漏洞无法防范零日漏洞、配置错误、权限滥用、内部威胁系统安全需要构建多层纵深防护体系仅靠补丁无法实现全面安全误区③ “OT系统和IT系统用同一套安全防护标准”✅ 官方纠正OT系统安全优先级是可用性优先与IT系统完全相反OT系统的安全控制必须以不影响生产连续性、系统实时性为前提不能直接套用IT系统的补丁管理、杀毒软件等防护措施误区④ “系统在内网就不用做高强度防护”✅ 官方纠正零信任架构的核心原则是默认不信任内网内网系统依然面临内部威胁、横向移动风险内网核心系统必须和公网系统执行相同的安全基线、访问控制、防护措施误区⑤ “用管理员账号运行系统应用更方便不影响安全”✅ 官方纠正严重违背最小特权原则一旦应用被攻击者利用攻击者会直接获得系统管理员权限完全控制整个系统误区⑥ “系统日志只要开启就行不用专门备份和管控”✅ 官方纠正系统日志必须配置为不可篡改、不可删除同时必须备份到独立的日志服务器如果仅在本地存储攻击者入侵后会直接删除/篡改日志掩盖攻击痕迹导致事件无法溯源误区⑦ “补丁必须厂商一发布就立即安装到生产环境”✅ 官方纠正补丁必须先在测试环境完成兼容性、安全性测试后经过正式审批才能在生产环境部署未经测试直接在生产环境安装补丁可能导致业务中断尤其是核心业务系统 跨域关联速查→ Domain 1 安全与风险管理系统安全防护是风险缓解的核心落地措施防护措施的选择必须基于系统风险评估结果系统安全的最终责任由最高管理层承担→ Domain 2 资产安全防护强度必须与系统承载的资产分级分类完全匹配核心数据资产的加密、访问控制、泄露防护均通过系统安全防护落地实现→ Domain 3域内关联安全架构设计、安全模型、密码学体系、可信计算基最终都通过系统安全防护在终端、服务器上落地执行→ Domain 4 通信与网络安全网络防火墙、网络分段、VPN是系统安全防护的边界补充HIDS/HIPS是网络防护的内部延伸二者结合实现纵深防御→ Domain 5 身份与访问管理系统账号管控、权限分配、最小特权原则、多因素认证均是IAM体系在系统层面的核心落地→ Domain 6 安全评估与测试系统漏洞扫描、渗透测试、基线合规审计、安全评估用于验证系统安全防护措施的有效性→ Domain 7 安全运营系统补丁管理、日志监控、恶意代码防护、入侵检测、事件响应、变更管理均是Domain 7安全运营的核心日常工作→ Domain 8 软件开发安全应用漏洞是系统入侵的核心入口系统上运行的应用安全必须通过安全开发生命周期实现DevSecOps是系统安全在开发环节的延伸 考前速记总结系统安全三大核心原则 最小安装 → 最小化攻击面 最小特权 → 最小化权限半径 默认拒绝 → 最小化开放范围必考的算法与工具分类 EDR 现代端点防护替代传统杀毒软件 HIDS 被动检测告警不阻断 HIPS 主动防御阻断可能影响业务 FIM文件完整性监控 检测未授权文件修改 白名单 防未知恶意代码的最有效手段最高频易错点复习OT系统优先级可用性 完整性 保密性与IT相反补丁必须先测试环境验证再部署生产环境云主机操作系统/应用/数据的安全责任在客户不在云厂商容器禁止以Root权限运行禁止启用特权容器日志必须不可篡改必须备份到独立日志服务器