CISSP 第1章：实现安全治理的原则和策略_过渡的保护可用性为什么完整性受限(1)

策略

规范化的最高层级文件被称为安全策略。

• 方法、规定
• 定义要保护的对象和目标
• 安全框架
• 分配职责、定义角色、明确审计需求、概述实施过程等

AUP 可接受的使用策略

属于安全文档的一部分，定义了可接受的绩效级别和期望的行为、行动。不执行 AUP 可能会被警告甚至开除。

标准

• 强制性要求
• 一致性，比如实施标准，采购标准

基线

• 每个系统需要满足的最低安全级别
• 一般参考行业标准

指南

• 如何实现上面的标准和基线的建议，非强制的

安全流程（安全程序） SOP

Standard Operating Procedure，详细的分步实施文档。

可以是整个系统的部署操作，也可以是单个产品的。

威胁建模 - 关注威胁

威胁建模是识别、分类和分析潜在威胁的过程。贯穿系统的整个生命周期。

• 主动式：在产品研发阶段进行威胁建模
• 被动式：在部署后执行
• 主动式和被动式都需要，因为并不是所有的威胁都能在开发阶段识别。

1. 识别威胁

关注资产、关注攻击者关注软件。

威胁建模的最终目的：对危害组织有价值资产的潜在威胁进行优先级排序。

STRIDE 威胁分类

微软开发的。

• 欺骗 Spoofing
• 篡改 Tampering
• 否认 Repudiation
• 信息泄露 Information Disclosure
• 拒绝服务 DoS
• 提权 Elevation of Privilege

PASTA 威胁建模

以风险为核心。

Trike 威胁识别模型

VAST 敏捷开发威胁建模

2. 确定潜在的攻击

绘制数据流图。确定每个环节涉及的技术，可能受到的攻击类型，比如逻辑、物理、社会工程学攻击等。

3. 简化分析

**分解数据流图中的应用和环境。**更好地了解产品逻辑、内部单元、交互等等。

分解过程需要关注 5 个要素：

• 信任边界：信任级别、安全级别发生变化的地方
• 数据流路径：两个位置间的流动
• 输入点：接收外部输入的地方
• 特权操作
• 安全声明和 Method （方法）

4. 优先级排序和响应

对威胁进行评级和排序，使用 DREAD 评级方案。

DREAD 总分 100 分，包含发生可能性*潜在损失 。其中每个值都是 1~10，10 表示最高。

DREAD 关注下列 5 个问题：

• 潜在破坏（损失）
• 受影响用户（损失）
• 复现率（概率）
• 漏洞可利用性（概率）
• 漏洞发现难易度，可发现性（概率）

风险矩阵/风险热图

供应链风险管理

SCRM Supply Chain Risk Management

目标：确保所有供应商和环节都是可靠的。

重点：对供应商进行评估、持续监控和管理

SLR 与 SLA：

• SLR：服务级别需求
• SLA：服务等级协议，规定最低的安全要求
• SLR 产生 SLA

人员管理

1. 岗位描述和职责

• 确定岗位描述清单，比如角色和要执行的任务
• 日常的具体工作内容，访问其他资源的权限

2.人员筛选、调查和招聘

• 背景调查：减少风险、减少招聘成本、降低员工流通率
• 资质考核

3. 人员录用（onboarding）

• 签署雇佣协议
• 入职培训（认同企业文化可以减少离职率）
• 保密协议签署：保护公司敏感信息，入职时签署，离职重申
• 遵守 AUP（定义公司的安全标准，即哪些活动可接受，哪些不行）
• 为用户创建账号（Provision），并分配相应的访问权限

4. 员工监督

• 岗位轮换（防串通，防滥用）
• 交叉培训（A/B 角色）
• 员工评估：针对关键角色进行全面评估，针对其他员工抽查
• 审查员工，早期发现可能对安全造成风险的行为
  • 不满的员工
  • 强制休假（强制审查，一般表示有不好的行为发生）

5. 离职

• 禁用、删除用户账号
• 撤销证书
• 取消访问代码权限
• 解雇过程需要安全部门和 HR 参与，尊重员工的同时降低风险，离职面谈需要重申之前签署的安全协议

第三方人员管理

• 签署 SLA，SLA 需要包含安全改进相关的内容（保密相关仍然需要签署 NDA，SLA 不能满足）
• 使用 VMS 供应商管理系统

合规策略

在人员层面，合规=员工是否遵循公司的策略。

合规是一种行政或管理形式的安全控制。

隐私策略

隐私内容包含：

• 未授权访问个人可识别信息（PII），例如电话号、地址、IP 等
• 未经授权的个人机密信息访问
• 未经同意的监视

要遵照法律要求保护和存储隐私数据：

• HIPAA 健康保险流通与责任法案
• SOX 萨班斯-奥克斯利法案
• FERPA 家庭教育权利和隐私法案：学生相关的数据
• GDRP 通用数据保护条例

风险管理 - 关注资产

风险管理的目标：将风险降至可接受的水平。

绝对安全的环境是不存在的，需要平衡收益/成本，安全性/可用性。

风险来自很多方面，可能是非 IT 的灾难，比如自然灾害等。

风险管理包含两大部分：

• 风险评估/风险分析：基于价值/性质分析每个系统的风险
• 风险响应：使用成本/收益的方式评估风险控制措施

风险相关的术语解释

• 资产：可以是业务流程或者使用到的任何事物，可以是有形的也可以是无形的

• 资产估值 AV：资产对应的货币价值，综合重要性、使用情况、成本、支出等元素得出

• 威胁：可能导致资产破坏、变更、泄露等的行为

• 威胁主体：主体利用威胁来危害目标

• 威胁事件：对脆弱性的意外和有意利用

• 威胁向量（Threat Vector）：攻击者为了伤害目标而使用的路径和手段，比如 Wifi、物理访问、社会工程学等

• 脆弱性：资产中的弱点，使威胁能够造成损害的缺陷、漏洞、疏忽，可以是技术上的，也可以是管理逻辑上的

• 暴露：资产丢失暴露的可能性

• 风险：

  • 风险=威胁*脆弱性
  • 风险=损害的可能性*损害的严重程度

• 攻击：威胁主体进行的脆弱性利用尝试

• 破坏：成功的攻击

1. 风险分析

风险分析的目标是：确保只部署具有成本效益的措施。

定性风险分析 - 基于定性的更容易分析

基于分级来进行。基于场景，而非计算，依赖经验和判断。

• 场景：针对单个威胁的描述

  • 通常比较概要，限制在一页纸，方便参与的人分配等级
  • 威胁如何产生
  • 对组织带来的影响
  • 可能的防护措施

• Delphi 技术：匿名的反馈和响应

  • 对于每个反馈，参与者通过数字消息匿名写下反馈，最后汇总给风险分析小组，重复这个过程直至达成共识

定量风险分析

几个关键词：

• AV 资产价值
• EF 暴露因子：潜在的损失，EF 仅表示单个风险发生时对整体资产价值造成的损失（比如硬件故障带来的损失），以百分比计算
• SLE 单一损失期望（Single Loss Expectancy）：SLE = AV * EF
• ARO 年发生率
• ALE 年度损失期望

ALE = ARO * SLE = ARO * AV * EF

定性分析和定量分析的对比

特征	定性分析	定量分析
使用数学计算	否	是
使用成本/收益分析	可能	是
需要估算	是	有时
支持自动化	否	是
涉及大量信息	否	是
客观的	较少	较多
依赖于专家意见	是	否
耗费的时间	一般	多
提供有用的意义和结果	是	是

2. 风险响应

风险响应的形式：

• 风险缓解：最常用，通过实施防护措施、安全控制来减少脆弱性，阻止威胁。比如加密和防火墙
• 风险转让：购买服务、保险等。可以转让风险，但无法转移责任
• 风险威慑：比如实施审计、监控、警告 banner、安保人员等
• 风险规避（risk avoidance）：灾难避免，比如关闭重要系统以降低安全风险
• 风险接受：可以接受安全风险，通常意味着保护成本>资产价值
• 风险拒绝：不接受但是可能发生，不应该有

残余风险处理（除已经防护的，剩下的风险）：

• 定期进行评估

风险控制的成本和效益

几个关键词：

• ACS （ annual cost of the safeguard）年度防护成本
• ALE 年度损失期望
• 实施措施前的 ALE
• 实施措施后的 ALE

防护措施对公司的价值=实施措施前的 ALE-实施措施后的 ALE-ACS

安全控制分类

按照方式：

• 管理行政类：数据分类、背景调查、工作说明书、审查、监督、培训
• 技术/逻辑类：IPS、防火墙、IAM、加密
• 物理类：门禁、锁、保安、看门狗、围栏、物理环境入侵检测等

按照作用：

• 预防性控制：部署预防控制以阻止非预期的或未经授权的活动发生，身份认证、门禁、报警系统、岗位轮换、IPS、培训等

• 威慑控制：锁、保安等，可能和预防性的重叠

• 检测控制：保安、IPS 、审查

• 补偿控制：另一种控制手段的补充或增强，比如主要手段是防止删除，补偿手段是存在备份可恢复

• 纠正：例如杀毒、阻止入侵行为、备份恢复等，将环境从非预期的活动中进行恢复

  • 恢复性控制：纠正的扩展，不像纠正是单一的行为，恢复性可能更复杂，安全策略被破坏后，恢复控制尝试修复或恢复资源、功能和能力

• 指令式/指示控制：比如通知、公司标准等，强制或鼓励主体遵守安全策略

安全控制评估 SCA

Security Control Assessment

根据基线或可靠性期望对安全机制的正式评估。可作为渗透测试报告的补充。

目的：确保安全机制的有效性。评估组织风险管理过程中的质量和彻底性，生成已部署安全措施的优缺点报告。

对应的标准为 NIST SP 800-53 Rev5，信息系统和组织的安全和隐私控制。

风险管理成熟度模型 RMM

Risk Maturity Model

RMM 5 个级别：

• 初始级 （ad hoc）：混乱的状态
• 预备级（Preliminary）：初步尝试遵守风险管理流程，但是每个部门执行的风险评估不同
• 定义级（Defined）：在整个组织内使用标准的风险框架
• 集成级（Integrated）：风险管理集成到了业务流程中，风险是业务战略决策中的要素
• 优化级（Optimized）：侧重于实现目标，而不是被动响应

风险管理框架 RMF

Risk Management Framework，被 NIST SP 800-37 Rev2 定义。

风险框架用于评估、解决和监控风险的指南或方法。

1+6个循环的阶段：先进行准备，准备上下文和优先级（优先处理哪些系统）

• 分类：根据对损失影响的分析，对信息及系统进行分类
• 选择：选择合适的控制手段，可以将风险降到可接受水平
• 实施：实施上面描述的控制
• 评估：确保控制实施到位（也就是检查）
• 授权：在确定风险可接受的基础上，授权上线（类似于认可）
• 监控：持续监控系统，保证控制的有效性

安全培训 SAET

Security Awareness, Education, and Training Program

意识

• 建立对安全认知的最小化通用标准或基础
• 教学、视频、海报、媒体等

培训

• 培训是指教导员工执行他们的工作任务和遵守安全策略
• 定期的培训，加强人员安全意识
• 最好是强制的培训

教育

• 教育是一项更详细的上作，用户学习的内容比他们完成其工作任务实际需要知道的内容多得多
• 教育可能是获取资格认证的培训，或者和晋升相关的教育

改进

• 培训完成后需要做的
  • 制定改进计划、下一步计划

有效性评估

• 考试
• 审查事件日志，了解违规发生率

业务连续性计划 BCP

**BCP 和业务中断有关。**关注上层，以业务流程和运营为主。

**DRP 容灾恢复计划 - 和数据恢复有关。**更具细节，描述站点恢复、备份和容错等技术。

BCP 四个阶段：

• 项目范围和计划
• 业务影响分析 BIA
• 连续性计划
• 计划批准和实施

1. 项目范围和计划

• 首要职责，组织分析：了解部门职责
• 选择 BCP 团队：包括业务、法务、IT、安全、公关、财务、高层代表等
• 资源需求：有人员需求和财务需求（购买软硬件）
• 法律和法规要求

2. 业务影响分析 BIA

目的：识别关键业务功能及这些功能相关的 IT 资源，分析中断的影响。

支持定量分析和定性分析，BCP 通常喜欢使用定量分析，从而忽略定性分析，BCP 团队应该对影响 BCP 过程的因素进行定性分析。

1, 确定优先级

定量分析：

• 确定资产价值 AV
• 确定 MTD 最大容忍中断时间
• RTO 应该始终小于 MTD（MTD = RTO + 业务确认的时间 WRT）

2, 风险识别

识别自然风险和人为风险：

• 暴雨、累计、地震、火山、流行病等
• 恐怖袭击、火灾、互联网终端等

3, 可能性评估

确定每种可能性发生的概率，确定 ARO 年发生率。

4, 影响分析

年损失期望 ALE

ALE = SLE *ARO = AV * EF * ARO

5, 资源优先级排序

3. 连续性计划

• 策略开发：

  • 目标、范围、需求
  • 基本的原则和指导方针
  • 职责

• 预备和处理：

  • 制定具体的流程和机制来减轻风险
  • 人员优先
  • 建筑设施的保护，比如加固，或者备用站点
  • Infra 保护，包括冗余设施，物理性的加固（UPS 及防火等）

4. 计划批准和实施

• 计划批准：计划得到上层的认可，展示业务领导对于业务连续性的承诺，在其他人员眼中更具重要性和可信度
• 计划实施：
• 培训和教育：培训的目的是让相关的人熟悉其职责，以及操作步骤

5. BCP 文档

• 文档化可以防止执行时偏离
• 文档包含重要性声明
• 优先级声明
• 组织职责声明：重申组织对业务连续性计划的承诺
• 紧急程度和时间限制要求（时间表）
• 风险评估的内容
• 风险接受、风险缓解的内容，比如哪些风险可接受，哪些风险不可接受需要采取缓解措施
• 重要记录：标识
• 应急响应指南
• 定期维护
• 测试和演练

法律法规

知识产权 IP - 保护创作者

保护创作者，软件属于知识产权。

作品在创作的那一刻即拥有版权。

仅有源代码属于知识产权，代码使用的逻辑不属于知识产权。

《数字千年版权法》DMCA

受保护的类型：

• 文学作品（计算机软件属于此分类）
• 音乐作品
• 戏剧作品
• 哑剧和舞蹈作品
• 绘画、图形、雕刻作品
• 电影和其他音响作品
• 声音录音
• 建筑作品

版权的保护期：

• 单个或多个作者：最后一位作者去世后 70 年内
• 因受雇而创作的作品：作品第一次发表 95 年，或者创建之日起 120 年，其中较短的一个

数字化相关：

• 针对 DVD 等违权最高判处 100w 美元和 10 年监禁
• 使用 ISP 线路违权时，ISP 承担责任。但是对于用户的临时性活动不负责（比如临时发送一些东西，不知道目标人）

商标

商标不需要注册即拥有版权。

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！