访问数据的人。
审计人员
负责检查安全策略是否被正确执行,相关的安全解决方案是否完备。
审计人员在发现问题后会先进行确认,再写入审计报告。
安全指导委员会
- 由 CEO、CIO、CFO、部门经理、内审官等组成的委员会
- 每季度召开会议
- 定义组织可接受的风险级别,确定安全目标和战略,制定安全活动优先级,审查风险评估报告,批准安全策略和变更等
审计委员会
由董事会指派专人,进行公司内部的审查,审查结果直接汇报董事会。一般 CEO 最适合做审计执行官(职位最高)。
安全控制框架
应用最广泛的安全控制框架是 COBIT,COBIT 基于六个原则进行企业 IT 治理和管理:
- 为利益相关方创造价值
- 采用整体分析法
- 动态地治理系统
- 把治理从管理中分离出来
- 根据企业需求量身定制
- 采用端到端的治理系统
IT 安全的其他标准和指南:
-
ISO 27000 系列,国际标准,企业信息安全及相关管理实践标准
- ISO 27001:信息安全管理体系的标准
- ISO 27002:信息安全控制措施的更多细节
- ISO 27004:信息安全绩效
- ISO 27005:信息安全风险管理
-
NIST风险管理框架 RMF:联邦机构的强制要求,包含 6 个阶段:分类、选择、实施、评估、授权和监控
Due Care
应尽关心:在正确的时间采取正确的行动。应尽关注原则描述了一个人应该在一种情况下用正常人所期望的相同级别的关注来响应。
如果一个公司没有做到充分的安全策略、适当的安全意识培训,则没有达到 DC。
Due Diligence
应尽审查:职责是什么,应该做什么,制定计划。在日常管理中尽到责任。应尽职责原则是应尽关注的一个更具体的组成部分,它描述被指派责任的个人应该以应尽关注的方式准确和及时的完成责任。
在做信息安全时,应该尽可能收集信息以进行最佳决策,查看并了解风险。
谨慎人规则
谨慎人规则要求高级管理人员为信息安全事务承担个人责任,为了确保普通,谨慎的个人在相同情况下会表现出应尽关注。该规则最初适用于财务事项,但联邦量刑指南于1991年将其应用于美国的信息安全事项。
安全策略、标准、程序、指南
策略
规范化的最高层级文件被称为安全策略。
- 方法、规定
- 定义要保护的对象和目标
- 安全框架
- 分配职责、定义角色、明确审计需求、概述实施过程等
AUP 可接受的使用策略
属于安全文档的一部分,定义了可接受的绩效级别和期望的行为、行动。不执行 AUP 可能会被警告甚至开除。
标准
- 强制性要求
- 一致性,比如实施标准,采购标准
基线
- 每个系统需要满足的最低安全级别
- 一般参考行业标准
指南
- 如何实现上面的标准和基线的建议,非强制的
安全流程(安全程序) SOP
Standard Operating Procedure,详细的分步实施文档。
可以是整个系统的部署操作,也可以是单个产品的。
威胁建模 - 关注威胁
威胁建模是识别、分类和分析潜在威胁的过程。贯穿系统的整个生命周期。
- 主动式:在产品研发阶段进行威胁建模
- 被动式:在部署后执行
- 主动式和被动式都需要,因为并不是所有的威胁都能在开发阶段识别。
1. 识别威胁
关注资产、关注攻击者关注软件。
威胁建模的最终目的:对危害组织有价值资产的潜在威胁进行优先级排序。
STRIDE 威胁分类
微软开发的。
- 欺骗 Spoofing
- 篡改 Tampering
- 否认 Repudiation
- 信息泄露 Information Disclosure
- 拒绝服务 DoS
- 提权 Elevation of Privilege
PASTA 威胁建模
以风险为核心。
Trike 威胁识别模型
VAST 敏捷开发威胁建模
2. 确定潜在的攻击
绘制数据流图。确定每个环节涉及的技术,可能受到的攻击类型,比如逻辑、物理、社会工程学攻击等。
3. 简化分析
**分解数据流图中的应用和环境。**更好地了解产品逻辑、内部单元、交互等等。
分解过程需要关注 5 个要素:
- 信任边界:信任级别、安全级别发生变化的地方
- 数据流路径:两个位置间的流动
- 输入点:接收外部输入的地方
- 特权操作
- 安全声明和 Method (方法)
4. 优先级排序和响应
对威胁进行评级和排序,使用 DREAD 评级方案。
DREAD 总分 100 分,包含发生可能性*潜在损失 。其中每个值都是 1~10,10 表示最高。
DREAD 关注下列 5 个问题:
- 潜在破坏(损失)
- 受影响用户(损失)
- 复现率(概率)
- 漏洞可利用性(概率)
- 漏洞发现难易度,可发现性(概率)
风险矩阵/风险热图
供应链风险管理
SCRM Supply Chain Risk Management
目标:确保所有供应商和环节都是可靠的。
重点:对供应商进行评估、持续监控和管理
SLR 与 SLA:
- SLR:服务级别需求
- SLA:服务等级协议,规定最低的安全要求
- SLR 产生 SLA
人员管理
1. 岗位描述和职责
- 确定岗位描述清单,比如角色和要执行的任务
- 日常的具体工作内容,访问其他资源的权限
2.人员筛选、调查和招聘
- 背景调查:减少风险、减少招聘成本、降低员工流通率
- 资质考核
3. 人员录用(onboarding)
- 签署雇佣协议
- 入职培训(认同企业文化可以减少离职率)
- 保密协议签署:保护公司敏感信息,入职时签署,离职重申
- 遵守 AUP(定义公司的安全标准,即哪些活动可接受,哪些不行)
- 为用户创建账号(Provision),并分配相应的访问权限
4. 员工监督
- 岗位轮换(防串通,防滥用)
- 交叉培训(A/B 角色)
- 员工评估:针对关键角色进行全面评估,针对其他员工抽查
- 审查员工,早期发现可能对安全造成风险的行为
- 不满的员工
- 强制休假(强制审查,一般表示有不好的行为发生)
5. 离职
- 禁用、删除用户账号
- 撤销证书
- 取消访问代码权限
- 解雇过程需要安全部门和 HR 参与,尊重员工的同时降低风险,离职面谈需要重申之前签署的安全协议
第三方人员管理
- 签署 SLA,SLA 需要包含安全改进相关的内容(保密相关仍然需要签署 NDA,SLA 不能满足)
- 使用 VMS 供应商管理系统
合规策略
在人员层面,合规=员工是否遵循公司的策略。
合规是一种行政或管理形式的安全控制。
隐私策略
隐私内容包含:
- 未授权访问个人可识别信息(PII),例如电话号、地址、IP 等
- 未经授权的个人机密信息访问
- 未经同意的监视
要遵照法律要求保护和存储隐私数据:
- HIPAA 健康保险流通与责任法案
- SOX 萨班斯-奥克斯利法案
- FERPA 家庭教育权利和隐私法案:学生相关的数据
- GDRP 通用数据保护条例
风险管理 - 关注资产
风险管理的目标:将风险降至可接受的水平。
绝对安全的环境是不存在的,需要平衡收益/成本,安全性/可用性。
风险来自很多方面,可能是非 IT 的灾难,比如自然灾害等。
风险管理包含两大部分:
- 风险评估/风险分析:基于价值/性质分析每个系统的风险
- 风险响应:使用成本/收益的方式评估风险控制措施
风险相关的术语解释
-
资产:可以是业务流程或者使用到的任何事物,可以是有形的也可以是无形的
-
资产估值 AV:资产对应的货币价值,综合重要性、使用情况、成本、支出等元素得出
-
威胁:可能导致资产破坏、变更、泄露等的行为
-
威胁主体:主体利用威胁来危害目标
-
威胁事件:对脆弱性的意外和有意利用
-
威胁向量(Threat Vector):攻击者为了伤害目标而使用的路径和手段,比如 Wifi、物理访问、社会工程学等
-
脆弱性:资产中的弱点,使威胁能够造成损害的缺陷、漏洞、疏忽,可以是技术上的,也可以是管理逻辑上的
-
暴露:资产丢失暴露的可能性
-
风险:
- 风险=威胁*脆弱性
- 风险=损害的可能性*损害的严重程度
-
攻击:威胁主体进行的脆弱性利用尝试
-
破坏:成功的攻击
1. 风险分析
风险分析的目标是:确保只部署具有成本效益的措施。
定性风险分析 - 基于定性的更容易分析
基于分级来进行。基于场景,而非计算,依赖经验和判断。
-
场景:针对单个威胁的描述
- 通常比较概要,限制在一页纸,方便参与的人分配等级
- 威胁如何产生
- 对组织带来的影响
- 可能的防护措施
-
Delphi 技术:匿名的反馈和响应
- 对于每个反馈,参与者通过数字消息匿名写下反馈,最后汇总给风险分析小组,重复这个过程直至达成共识
定量风险分析
几个关键词:
- AV 资产价值
- EF 暴露因子:潜在的损失,EF 仅表示单个风险发生时对整体资产价值造成的损失(比如硬件故障带来的损失),以百分比计算
- SLE 单一损失期望(Single Loss Expectancy):SLE = AV * EF
- ARO 年发生率
- ALE 年度损失期望
ALE = ARO * SLE = ARO * AV * EF
定性分析和定量分析的对比
| 特征 | 定性分析 | 定量分析 |
|---|---|---|
| 使用数学计算 | 否 | 是 |
| 使用成本/收益分析 | 可能 | 是 |
| 需要估算 | 是 | 有时 |
| 支持自动化 | 否 | 是 |
| 涉及大量信息 | 否 | 是 |
| 客观的 | 较少 | 较多 |
| 依赖于专家意见 | 是 | 否 |
| 耗费的时间 | 一般 | 多 |
| 提供有用的意义和结果 | 是 | 是 |
2. 风险响应
风险响应的形式:
- 风险缓解:最常用,通过实施防护措施、安全控制来减少脆弱性,阻止威胁。比如加密和防火墙
- 风险转让:购买服务、保险等。可以转让风险,但无法转移责任
- 风险威慑:比如实施审计、监控、警告 banner、安保人员等
- 风险规避(risk avoidance):灾难避免,比如关闭重要系统以降低安全风险
- 风险接受:可以接受安全风险,通常意味着保护成本>资产价值
- 风险拒绝:不接受但是可能发生,不应该有
残余风险处理(除已经防护的,剩下的风险):
- 定期进行评估
风险控制的成本和效益
几个关键词:
- ACS ( annual cost of the safeguard)年度防护成本
- ALE 年度损失期望
- 实施措施前的 ALE
- 实施措施后的 ALE
防护措施对公司的价值=实施措施前的 ALE-实施措施后的 ALE-ACS
安全控制分类
按照方式:
- 管理行政类:数据分类、背景调查、工作说明书、审查、监督、培训
- 技术/逻辑类:IPS、防火墙、IAM、加密
- 物理类:门禁、锁、保安、看门狗、围栏、物理环境入侵检测等
按照作用:
-
预防性控制:部署预防控制以阻止非预期的或未经授权的活动发生,身份认证、门禁、报警系统、岗位轮换、IPS、培训等
-
威慑控制:锁、保安等,可能和预防性的重叠
-
检测控制:保安、IPS 、审查
-
补偿控制:另一种控制手段的补充或增强,比如主要手段是防止删除,补偿手段是存在备份可恢复
-
纠正:例如杀毒、阻止入侵行为、备份恢复等,将环境从非预期的活动中进行恢复
- 恢复性控制:纠正的扩展,不像纠正是单一的行为,恢复性可能更复杂,安全策略被破坏后,恢复控制尝试修复或恢复资源、功能和能力
-
指令式/指示控制:比如通知、公司标准等,强制或鼓励主体遵守安全策略
安全控制评估 SCA
Security Control Assessment
根据基线或可靠性期望对安全机制的正式评估。可作为渗透测试报告的补充。
目的:确保安全机制的有效性。评估组织风险管理过程中的质量和彻底性,生成已部署安全措施的优缺点报告。
对应的标准为 NIST SP 800-53 Rev5,信息系统和组织的安全和隐私控制。
风险管理成熟度模型 RMM
Risk Maturity Model
RMM 5 个级别:
- 初始级 (ad hoc):混乱的状态
- 预备级(Preliminary):初步尝试遵守风险管理流程,但是每个部门执行的风险评估不同
- 定义级(Defined):在整个组织内使用标准的风险框架
- 集成级(Integrated):风险管理集成到了业务流程中,风险是业务战略决策中的要素
- 优化级(Optimized):侧重于实现目标,而不是被动响应
风险管理框架 RMF
Risk Management Framework,被 NIST SP 800-37 Rev2 定义。
风险框架用于评估、解决和监控风险的指南或方法。
1+6个循环的阶段:先进行准备,准备上下文和优先级(优先处理哪些系统)
- 分类:根据对损失影响的分析,对信息及系统进行分类
- 选择:选择合适的控制手段,可以将风险降到可接受水平
- 实施:实施上面描述的控制
- 评估:确保控制实施到位(也就是检查)
- 授权:在确定风险可接受的基础上,授权上线(类似于认可)
- 监控:持续监控系统,保证控制的有效性
安全培训 SAET
Security Awareness, Education, and Training Program
意识
- 建立对安全认知的最小化通用标准或基础
- 教学、视频、海报、媒体等
培训
- 培训是指教导员工执行他们的工作任务和遵守安全策略
- 定期的培训,加强人员安全意识
- 最好是强制的培训
教育
- 教育是一项更详细的上作,用户学习的内容比他们完成其工作任务实际需要知道的内容多得多
- 教育可能是获取资格认证的培训,或者和晋升相关的教育
改进
- 培训完成后需要做的
- 制定改进计划、下一步计划
有效性评估
- 考试
- 审查事件日志,了解违规发生率
业务连续性计划 BCP
**BCP 和业务中断有关。**关注上层,以业务流程和运营为主。
**DRP 容灾恢复计划 - 和数据恢复有关。**更具细节,描述站点恢复、备份和容错等技术。
BCP 四个阶段:
- 项目范围和计划
- 业务影响分析 BIA
- 连续性计划
- 计划批准和实施
1. 项目范围和计划
- 首要职责,组织分析:了解部门职责
- 选择 BCP 团队:包括业务、法务、IT、安全、公关、财务、高层代表等
- 资源需求:有人员需求和财务需求(购买软硬件)
- 法律和法规要求
2. 业务影响分析 BIA
目的:识别关键业务功能及这些功能相关的 IT 资源,分析中断的影响。
支持定量分析和定性分析,BCP 通常喜欢使用定量分析,从而忽略定性分析,BCP 团队应该对影响 BCP 过程的因素进行定性分析。
1, 确定优先级
定量分析:
- 确定资产价值 AV
- 确定 MTD 最大容忍中断时间
- RTO 应该始终小于 MTD(MTD = RTO + 业务确认的时间 WRT)
2, 风险识别
识别自然风险和人为风险:
- 暴雨、累计、地震、火山、流行病等
- 恐怖袭击、火灾、互联网终端等
3, 可能性评估
确定每种可能性发生的概率,确定 ARO 年发生率。
4, 影响分析
年损失期望 ALE
ALE = SLE *ARO = AV * EF * ARO
5, 资源优先级排序
3. 连续性计划
-
策略开发:
- 目标、范围、需求
- 基本的原则和指导方针
- 职责
-
预备和处理:
- 制定具体的流程和机制来减轻风险
- 人员优先
- 建筑设施的保护,比如加固,或者备用站点
- Infra 保护,包括冗余设施,物理性的加固(UPS 及防火等)
4. 计划批准和实施
- 计划批准:计划得到上层的认可,展示业务领导对于业务连续性的承诺,在其他人员眼中更具重要性和可信度
- 计划实施:
- 培训和教育:培训的目的是让相关的人熟悉其职责,以及操作步骤
5. BCP 文档
- 文档化可以防止执行时偏离
- 文档包含重要性声明
- 优先级声明
- 组织职责声明:重申组织对业务连续性计划的承诺
- 紧急程度和时间限制要求(时间表)
- 风险评估的内容
- 风险接受、风险缓解的内容,比如哪些风险可接受,哪些风险不可接受需要采取缓解措施
- 重要记录:标识
- 应急响应指南
- 定期维护
- 测试和演练
法律法规
知识产权 IP - 保护创作者
保护创作者,软件属于知识产权。
作品在创作的那一刻即拥有版权。
仅有源代码属于知识产权,代码使用的逻辑不属于知识产权。
《数字千年版权法》DMCA
受保护的类型:
- 文学作品(计算机软件属于此分类)
- 音乐作品
- 戏剧作品
- 哑剧和舞蹈作品
- 绘画、图形、雕刻作品
- 电影和其他音响作品
- 声音录音
- 建筑作品
版权的保护期:
- 单个或多个作者:最后一位作者去世后 70 年内
- 因受雇而创作的作品:作品第一次发表 95 年,或者创建之日起 120 年,其中较短的一个
数字化相关:
- 针对 DVD 等违权最高判处 100w 美元和 10 年监禁
- 使用 ISP 线路违权时,ISP 承担责任。但是对于用户的临时性活动不负责(比如临时发送一些东西,不知道目标人)
商标
商标不需要注册即拥有版权。
目的:
- 辨识公司及公司的服务和产品
- 避免市场混乱
专利 - 保护作品
保护发明者的知识产权。自首次申请发明起,有 20 年有效期,发明者有该发明的独家使用权利。过期后即可允许任何人使用,比如 PGP 使用的 IDEA 算法。
三个重点要求:
- 发明具有新颖性
- 发明具有实用性
- 发明具有创造性
商业秘密
对于公司很重要的知识产权,不能外泄。
通常公司自己持有,不做专利保护,严格限制访问,加密存储。
隐私法案
个人数据的使用原则:
- 收集个人数据需要征得主体的同意,并告知用途
- 只收集和用途有关的数据
- 只在用途所需期限内使用和保存
第四修正案
保护公民隐私,防止未授权的搜查、窃听。
1974 隐私法案 - 仅适合联邦政府
限制联邦政府机构在没有事先得到当事人书面同意的情况下向其他人或机构透露隐私信息的能力。
电子通信隐私法 ECPA
Electronic Communications Privacy Act
适用于非法窃听、非授权访问电子数据的行为。
针对手机的窃听,处以最多 500 美元和 5 年监禁。
通信执法协助法案 CALEA
Communications Assistance for Law Enforcement Act
修正了 ECPA,允许在法院同意的情况下由执法人员进行窃听。
经济间谍法案
Economic Espionage Act
任何窃取专有信息(Confidential、Property)的行为视为间谍行为。
GDPR 通用数据保护条例
GDPR 用于替换之前颁布的 DPD。
GDPR 的一些主要规则:
- 合法、公平、透明:必须对数据处理活动保持公开和诚实的态度
- 目的限制:必须清楚记录和披露使用数据的目的,而且按照披露来使用数据
- 数据最小化:确保处理的数据可以满足既定目的,并且仅限于你使用这些数据
- 准确性
- 存储限制:仅在合法、公开目的所需的时间内保留数据,遵守“遗忘权”,允许人们在不需要时删除这些信息
- 安全性
- 问责性
GDPR 数据保护:
-
去标识:
- 假名化(Pseudonymization),指在不使用额外信息时不能追溯到个人,过程可逆,比如有对应的 key 时
- 哈希、加密
-
匿名化(Anonymization):数据无法再和个人关联,匿名化的数据不再是个人数据
-
及时通知:
- 如果发生个人数据泄露,72 小时内要通知监管机构
- 如果造成了高风险,还需要通知数据主体
任何违反 GDPR 的违法行为将导致最高 2000 万欧元或母公司所有营业额 4% 的罚金,二者取金额大者。
GDPR 对于个人数据的定义:
是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。个人信息实例:
- 姓名
- 地址
- 电子邮箱
- 身份证号
- 地理位置
- IP地址
- cookie ID
- the advertising identifier of your phone 广告ID
- 根据用户画像可以确定某一类人的信息
标准合同条款(standard contractual clauses),或具有约束力的公司规则(binding corporate rules)现已取代隐私盾(安全港)。
美国 HIPAA 健康保险流通和责任法案
指定了一系列如何处理健康信息的规定:
扫一扫
246
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
