安全管理计划
目的:安全绩效可测量
安全管理计划要自上而下制定:
- 高层定义阻止安全方针
- 中层讲安全策略完成标准、基线、指南和程序,并监控执行
- 业务经理和安全专家实时配置
- 最终用户遵守组织的安全策略
类型:
- 战略计划:大约 5 年的长期计划,愿景计划,计划中包含风险评估
- 战术计划:中期计划(1年),提供更多的细节,包括项目计划、收购计划、招聘计划、预算计划、维护计划、支持计划、系统开发计划等
- 操作计划:短期、高度详细的计划(可实施的文档)。每月或每季度更新
组织的角色和职责
在第二部分访问控制中也有数据角色的介绍,可以参照起来看。
高级管理者(CXO)
信息安全最终责任人。
信息安全专家/安全专业人员
负责落实高级管理者下发的任务。
资产所有者
保护信息分类,对资产保护负责,通常是高级管理者。不去执行最终的数据管理,交给托管员执行。
托管员
执行最终策略配置的人员。
用户
访问数据的人。
审计人员
负责检查安全策略是否被正确执行,相关的安全解决方案是否完备。
审计人员在发现问题后会先进行确认,再写入审计报告。
安全指导委员会
- 由 CEO、CIO、CFO、部门经理、内审官等组成的委员会
- 每季度召开会议
- 定义组织可接受的风险级别,确定安全目标和战略,制定安全活动优先级,审查风险评估报告,批准安全策略和变更等
审计委员会
由董事会指派专人,进行公司内部的审查,审查结果直接汇报董事会。一般 CEO 最适合做审计执行官(职位最高)。
安全控制框架
应用最广泛的安全控制框架是 COBIT,COBIT 基于六个原则进行企业 IT 治理和管理:
- 为利益相关方创造价值
- 采用整体分析法
- 动态地治理系统
- 把治理从管理中分离出来
- 根据企业需求量身定制
- 采用端到端的治理系统
IT 安全的其他标准和指南:
- ISO 27000 系列,国际标准,企业信息安全及相关管理实践标准
- ISO 27001:信息安全管理体系的标准
- ISO 27002:信息安全控制措施的更多细节
- ISO 27004:信息安全绩效
- ISO 27005:信息安全风险管理
- NIST风险管理框架 RMF:联邦机构的强制要求,包含 6 个阶段:分类、选择、实施、评估、授权和监控
Due Care
应尽关心:在正确的时间采取正确的行动。应尽关注原则描述了一个人应该在一种情况下用正常人所期望的相同级别的关注来响应。
如果一个公司没有做到充分的安全策略、适当的安全意识培训,则没有达到 DC。
Due Diligence
应尽审查:职责是什么,应该做什么,制定计划。在日常管理中尽到责任。应尽职责原则是应尽关注的一个更具体的组成部分,它描述被指派责任的个人应该以应尽关注的方式准确和及时的完成责任。
在做信息安全时,应该尽可能收集信息以进行最佳决策,查看并了解风险。
谨慎人规则
谨慎人规则要求高级管理人员为信息安全事务承担个人责任,为了确保普通,谨慎的个人在相同情况下会表现出应尽关注。该规则最初适用于财务事项,但联邦量刑指南于1991年将其应用于美国的信息安全事项。
安全策略、标准、程序、指南
策略
规范化的最高层级文件被称为安全策略。
- 方法、规定
- 定义要保护的对象和目标
- 安全框架
- 分配职责、定义角色、明确审计需求、概述实施过程等
AUP 可接受的使用策略
属于安全文档的一部分,定义了可接受的绩效级别和期望的行为、行动。不执行 AUP 可能会被警告甚至开除。
标准
- 强制性要求
- 一致性,比如实施标准,采购标准
基线
- 每个系统需要满足的最低安全级别
- 一般参考行业标准
指南
- 如何实现上面的标准和基线的建议,非强制的
安全流程(安全程序) SOP
Standard Operating Procedure,详细的分步实施文档。
可以是整个系统的部署操作,也可以是单个产品的。
威胁建模 - 关注威胁
威胁建模是识别、分类和分析潜在威胁的过程。贯穿系统的整个生命周期。
- 主动式:在产品研发阶段进行威胁建模
- 被动式:在部署后执行
- 主动式和被动式都需要,因为并不是所有的威胁都能在开发阶段识别。
1. 识别威胁
关注资产、关注攻击者关注软件。
威胁建模的最终目的:对危害组织有价值资产的潜在威胁进行优先级排序。
STRIDE 威胁分类
微软开发的。
- 欺骗 Spoofing
- 篡改 Tampering
- 否认 Repudiation
- 信息泄露 Information Disclosure
- 拒绝服务 DoS
- 提权 Elevation of Privilege
PASTA 威胁建模
以风险为核心。
Trike 威胁识别模型
VAST 敏捷开发威胁建模
2. 确定潜在的攻击
绘制数据流图。确定每个环节涉及的技术,可能受到的攻击类型,比如逻辑、物理、社会工程学攻击等。
3. 简化分析
**分解数据流图中的应用和环境。**更好地了解产品逻辑、内部单元、交互等等。
分解过程需要关注 5 个要素:
- 信任边界:信任级别、安全级别发生变化的地方
- 数据流路径:两个位置间的流动
- 输入点:接收外部输入的地方
- 特权操作
- 安全声明和 Method (方法)
4. 优先级排序和响应
对威胁进行评级和排序,使用 DREAD 评级方案。
DREAD 总分 100 分,包含发生可能性*潜在损失 。其中每个值都是 1~10,10 表示最高。
DREAD 关注下列 5 个问题:
- 潜在破坏(损失)
- 受影响用户(损失)
- 复现率(概率)
- 漏洞可利用性(概率)
- 漏洞发现难易度,可发现性(概率)
风险矩阵/风险热图
供应链风险管理
SCRM Supply Chain Risk Management
目标:确保所有供应商和环节都是可靠的。
重点:对供应商进行评估、持续监控和管理
SLR 与 SLA:
- SLR:服务级别需求
- SLA:服务等级协议,规定最低的安全要求
- SLR 产生 SLA
人员管理
1. 岗位描述和职责
- 确定岗位描述清单,比如角色和要执行的任务
- 日常的具体工作内容,访问其他资源的权限
2.人员筛选、调查和招聘
- 背景调查:减少风险、减少招聘成本、降低员工流通率
- 资质考核
3. 人员录用(onboarding)
- 签署雇佣协议
- 入职培训(认同企业文化可以减少离职率)
- 保密协议签署:保护公司敏感信息,入职时签署,离职重申
- 遵守 AUP(定义公司的安全标准,即哪些活动可接受,哪些不行)
- 为用户创建账号(Provision),并分配相应的访问权限
4. 员工监督
- 岗位轮换(防串通,防滥用)
- 交叉培训(A/B 角色)
- 员工评估:针对关键角色进行全面评估,针对其他员工抽查
- 审查员工,早期发现可能对安全造成风险的行为
- 不满的员工
- 强制休假(强制审查,一般表示有不好的行为发生)
5. 离职
- 禁用、删除用户账号
- 撤销证书
- 取消访问代码权限
- 解雇过程需要安全部门和 HR 参与,尊重员工的同时降低风险,离职面谈需要重申之前签署的安全协议
第三方人员管理
- 签署 SLA,SLA 需要包含安全改进相关的内容(保密相关仍然需要签署 NDA,SLA 不能满足)
- 使用 VMS 供应商管理系统
合规策略
在人员层面,合规=员工是否遵循公司的策略。
合规是一种行政或管理形式的安全控制。
隐私策略
隐私内容包含:
- 未授权访问个人可识别信息(PII),例如电话号、地址、IP 等
- 未经授权的个人机密信息访问
- 未经同意的监视
要遵照法律要求保护和存储隐私数据:
- HIPAA 健康保险流通与责任法案
- SOX 萨班斯-奥克斯利法案
- FERPA 家庭教育权利和隐私法案:学生相关的数据
- GDRP 通用数据保护条例
风险管理 - 关注资产
风险管理的目标:将风险降至可接受的水平。
绝对安全的环境是不存在的,需要平衡收益/成本,安全性/可用性。
风险来自很多方面,可能是非 IT 的灾难,比如自然灾害等。
风险管理包含两大部分:
- 风险评估/风险分析:基于价值/性质分析每个系统的风险
- 风险响应:使用成本/收益的方式评估风险控制措施
风险相关的术语解释
- 资产:可以是业务流程或者使用到的任何事物,可以是有形的也可以是无形的
- 资产估值 AV:资产对应的货币价值,综合重要性、使用情况、成本、支出等元素得出
- 威胁:可能导致资产破坏、变更、泄露等的行为
- 威胁主体:主体利用威胁来危害目标
- 威胁事件:对脆弱性的意外和有意利用
- 威胁向量(Threat Vector):攻击者为了伤害目标而使用的路径和手段,比如 Wifi、物理访问、社会工程学等
- 脆弱性:资产中的弱点,使威胁能够造成损害的缺陷、漏洞、疏忽,可以是技术上的,也可以是管理逻辑上的
- 暴露:资产丢失暴露的可能性
- 风险:
- 风险=威胁*脆弱性
- 风险=损害的可能性*损害的严重程度
- 攻击:威胁主体进行的脆弱性利用尝试
- 破坏:成功的攻击
1. 风险分析
风险分析的目标是:确保只部署具有成本效益的措施。
定性风险分析 - 基于定性的更容易分析
基于分级来进行。基于场景,而非计算,依赖经验和判断。
- 场景:针对单个威胁的描述
- 通常比较概要,限制在一页纸,方便参与的人分配等级
- 威胁如何产生
- 对组织带来的影响
- 可能的防护措施
- Delphi 技术:匿名的反馈和响应
- 对于每个反馈,参与者通过数字消息匿名写下反馈,最后汇总给风险分析小组,重复这个过程直至达成共识
定量风险分析
几个关键词:
- AV 资产价值
- EF 暴露因子:潜在的损失,EF 仅表示单个风险发生时对整体资产价值造成的损失(比如硬件故障带来的损失),以百分比计算
- SLE 单一损失期望(Single Loss Expectancy):SLE = AV * EF
- ARO 年发生率
- ALE 年度损失期望
ALE = ARO * SLE = ARO * AV * EF
定性分析和定量分析的对比
| 特征 | 定性分析 | 定量分析 |
|---|---|---|
| 使用数学计算 | 否 | 是 |
| 使用成本/收益分析 | 可能 | 是 |
| 需要估算 | 是 | 有时 |
| 支持自动化 | 否 | 是 |
| 涉及大量信息 | 否 | 是 |
| 客观的 | 较少 | 较多 |
| 依赖于专家意见 | 是 | 否 |
| 耗费的时间 | 一般 | 多 |
| 提供有用的意义和结果 | 是 | 是 |
2. 风险响应
风险响应的形式:
- 风险缓解:最常用,通过实施防护措施、安全控制来减少脆弱性,阻止威胁。比如加密和防火墙
- 风险转让:购买服务、保险等。可以转让风险,但无法转移责任
- 风险威慑:比如实施审计、监控、警告 banner、安保人员等
- 风险规避(risk avoidance):灾难避免,比如关闭重要系统以降低安全风险
- 风险接受:可以接受安全风险,通常意味着保护成本>资产价值
- 风险拒绝:不接受但是可能发生,不应该有
残余风险处理(除已经防护的,剩下的风险):
- 定期进行评估
风险控制的成本和效益
几个关键词:
- ACS ( annual cost of the safeguard)年度防护成本
- ALE 年度损失期望
- 实施措施前的 ALE
- 实施措施后的 ALE
防护措施对公司的价值=实施措施前的 ALE-实施措施后的 ALE-ACS
安全控制分类
按照方式:
- 管理行政类:数据分类、背景调查、工作说明书、审查、监督、培训
- 技术/逻辑类:IPS、防火墙、IAM、加密
- 物理类:门禁、锁、保安、看门狗、围栏、物理环境入侵检测等
按照作用:
- 预防性控制:部署预防控制以阻止非预期的或未经授权的活动发生,身份认证、门禁、报警系统、岗位轮换、IPS、培训等
- 威慑控制:锁、保安等,可能和预防性的重叠
- 检测控制:保安、IPS 、审查
- 补偿控制:另一种控制手段的补充或增强,比如主要手段是防止删除,补偿手段是存在备份可恢复
- 纠正:例如杀毒、阻止入侵行为、备份恢复等,将环境从非预期的活动中进行恢复
- 恢复性控制:纠正的扩展,不像纠正是单一的行为,恢复性可能更复杂,安全策略被破坏后,恢复控制尝试修复或恢复资源、功能和能力
- 指令式/指示控制:比如通知、公司标准等,强制或鼓励主体遵守安全策略
安全控制评估 SCA
Security Control Assessment
根据基线或可靠性期望对安全机制的正式评估。可作为渗透测试报告的补充。
目的:确保安全机制的有效性。评估组织风险管理过程中的质量和彻底性,生成已部署安全措施的优缺点报告。
对应的标准为 NIST SP 800-53 Rev5,信息系统和组织的安全和隐私控制。
风险管理成熟度模型 RMM
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
.csdnimg.cn/img_convert/1ddfaf7dc5879b1120e31fafa1ad4dc7.jpeg)
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-klBiFrhW-1712650001580)]
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
