在所有安全解决方案中,人员都是最脆弱的元素。
2.1 人员安全策略和程序
人员安全策略 :
1.职责分离(Separation of duties):
防止个人具备破坏、颠覆整个系统的可能,防止串通。
2.工作职责(Job responsibilities):
最小特权原则
3.岗位轮换(Job rotation):
知识备份,降低欺诈、数据更改的风险 雇佣协议、保密协议、定期审查、强制休假。
岗位轮换有两个功能。
首先,它提供一种知识备份。
其次,岗位轮换可降低欺诈、数据更改、盗窃、破坏和信息滥用的风险。
岗位轮换要求对安全特权和访问控制进行审核以维护最小特权原则。
应该定期审核特权、许可、权利、访问权限等的分配,以检查是否存在特权蔓延或特权与工作职责不一致的情况。
问题4:岗位轮换属于哪种控制?(C)
A.预防的/物理的
B.检测的/物理的
C.检测的/行政的
D.预防的/行政的
正确答案:C
几个人共同完成一起犯罪叫作串通。采用职责分离、限制工作职责和岗位轮换方式,降低了员工愿意合伙进行非法活动或滥用职权的可能性,因为被检测到的风险非常高。
交叉培训:
作为一类应急响应程序使现有的其他人员在恰当的员工不能工作时能填补职位空缺。
2.1.1候选人筛选及招聘
背景调查包括:
获得候选人的工作和教育背景;
检查推荐信;
验证学历;
访谈同事、邻居和朋友;
检查被捕或从事非法活动的管理记录;
通过指纹、驾照和出生证明验证身份;
进行个人面试;
对申请人进行在线背景调查和社交网络账户审查已成为标准做法。
2.1.2 雇佣协议及策略
雇佣协议:
聘用新员工时,应该签署雇佣协议。
该文件概述了组织的规则、限制、安全策略、可接受的行为和活动策略、职责描述的细节、违规行为和后果,以及员工担任该职位的时间长度。
保密协议(Nondisclosure Agreement, NDA):
NDA 用于防止已离职的员工泄露组织的机密信息。
非竞争协议(Non-compete Agreement, NCA):
非竞争协议试图阻止了解组织秘密的员工加入另一个与该组织存在竞争关系的组织,使第二个组织不能利用该员工了解的秘密谋利。
NCA 还用于防止员工仅为加薪或其他激励措施而跳槽到有竞争关系的另一家公司。
问题:服务水平协议 (SLA) 通常不涉及以下哪一项?
A. Confidentiality of customer information 客户信息的保密
B. Failover time 故障切换时间
C. Uptime 正常运行时间
D. Maximum consecutive downtime 最大连续停机时间
解析:
SLA 通常不解决数据机密性问题。这些条款通常包含在保密协议 (NDA) 中。
正确答案:A
问题:一家提供记录管理服务的公司最近与一家医院签订了一份安全存储医疗记录的合同。该医院是一家总部位于美国且受 HIPAA 保护的实体,这意味着它需要确保与其签约的组织能够满足安全实践要求。两个组织应该签署什么类型的协议来满足这一要求?
A. NDA(Nondisclosure agreement)NDA保密协议
B. MOU(Memorandum of understanding)MOU谅解备忘录
C. BAA (Business associates agreement) 商业伙伴协议
D. SLA (Service-level agreement) SLA 服务水平协议
解析:
HIPAA 涵盖的实体必须与其每个合作伙伴签订商业伙伴协议 (BAA),以维护 PHI个人健康信息安全性和整体 HIPAA 合规性。
正确答案:C
漂移/蔓延:
漂移或特权蔓延也可能导致安全违规。定期审查每个职责描述的范围与实际发生的情况有助于将安全违规行为保持到最低程度。
强制休假:
定期审查权限过程中的关键部分是强制休假。
在许多安全的环境中,一到两周的强制休假被用于审计和验证员工的工作任务和特权。
强制休假使员工离开工作环境,并安排其他员工接替工作,这样会更容易发现原来员工的滥用、欺诈或疏忽行为。
2.1.3 入职和离职程序
入职培训:
入职可包括培训,获得工作技能,调整做事方式,努力使员工有效融入现有的组织过程和程序(尽快熟悉组织安全规则)。
离职程序:
安全/人力部门配合(至少一名证人在场),应以私下和尊重的态度处理解雇过程。
离职面谈:停用访问权限
安全解雇程序:
• 告知员工其被解雇。
• 要求返回所有访问标识、密钥和公司设备。
• 禁止该员工对组织的所有方面进行电子访问。
• 提醒该员工关于NDA的义务。
• 护送该员工离开办公场所。
解雇后需要尽快处理的事宜:
• 确保员工已归还交通工具和家中的所有公司设备或用品。
• 删除或禁用员工的网络用户账户。
• 通知人力资源部发放最后的薪资,支付所有未使用假期的折算费用,并终止所有福利待遇。
• 安排一名安全部门人员陪同被解雇员工在工作区域收拾个人物品。
• 通知所有安保人员、巡查人员或监控出入口的人员,以确保前雇员在没有护送的情况下无法再次进入办公大楼。
2.1.4 供应商、顾问和承包商的协议和控制
供应商、顾问、承包商的控制:
SLA文档,规定服务水平,通过明确规定对外部各方的期望和惩罚。
SLA通常还包括在无法维持协议规定的清况下约定的赔偿措施。
2.1.5 合规策略要求
合规策略:
合规是符合或遵守规则、策略、法规、标准或要求的行为。
员工需要接受培训,以便知道他们需要做什么(即符合公司安全策略规定的标准,遵守任何合约义务)。
只有这样,他们才能对违反规定或不遵守规定的行为负责。
2.1.6 隐私策略要求
隐私策略:
组织必须遵守的所有政府规定,并确保合规性,特别是隐私保护方面。
必须在组织安全策略中包括在线隐私问题。
不仅是对外部访客,客户、员工、供应商和承包商访问组织在线信息时都需要考虑隐私问题。
2.2 安全治理
安全治理,常与公司治理和IT治理密切相关并有交集。
1.目标:维护业务流程,同时努力实现业务增长和弹性。
2.将安全监督应用到组织所依赖的第三方。外包业务:可包括保安、维护、技术支持、会计服务。
3.验证安全目标、需求、法规、合同义务的合规性。
4.全面和开放的文件交换和审查。
2.3 理解井应用风险管理理念
风险管理:
安全的目标是防止数据丢失泄露、保护已授权的访问。
风险管理的目标,将风险降至可接受的水平。
2.3.1 风险术语
风险相关术语:
资产(Asset)、资产估值、威胁(Threat)、脆弱性(Vulnerability)、暴露(Exposure)、
风险(Risk)、防护措施(Safeguard)、攻击(Attack)、破坏(Breach)
2.3.3 风险评估/分析
风险分析的两种方法:
1.定量风险分析:
定量风险分析的六个主要步骤:
(1) 分配资产价值(Asset Valuation, AV),
编制资产清单,并为每个资产分配资产价值。
(2) 计算暴露因子(Exposure Factor, EF),
研究每一项资产,列出每一项资产可能面临的所有威胁。
对于每个列出的威胁,计算暴露因子和单一损失期望。
(3) 计算单一损失期望(Single Loss Expectancy, SLE),
SLE=AV*EF(单一损失期望=资产价值*暴露银子)
(4) 评估年度发生概率(Annualized Rate of Occurrence, ARO),
执行威胁分析,计算每个威胁在一年之内实际发生的可能性,也就是年度发生率。
(5) 计算年度损失期望(Annualized Loss Expectancy,ALE),
通过计算年度损失期望得到每个威胁可能带来的总损失。ALE=SLE*ARO(年度损失期望=单一损失期望*年度发生率)
研究每种威胁的应对措施,然后基于已采用的控制措施,计算ARO 和ALE 的变化。
(6) 防护成本/效益分析,针对每项资产的每个威胁的每个防护措施进行成本/效益分析。为每个威胁选择最合适的防护措施。
防护措施的成本/收益计算公式:(控制措施实施前的ALE-控制措施实施后的ALE)-ACS或者 (ALE1-ALE2)-ACS
2.定性风险分析:名义损失等
执行定性风险分析的技术:
头脑风暴、Delphi 技术、故事板、焦点小组、调查、问卷、检查清单、一对一的会议、面谈。
问题:您正在制定业务连续性计划,由于难以组合有关有形和无形资产的信息而难以确定资源的优先级。针对这种情况,最佳的风险评估方法是什么?
A.定量风险评估
B.定性风险评估
C.既非定星也非定性的风险泙估
D.定量和定性风险评估相结合
解析:
通过结合定量和定性风险评估的要素,您会看到最好的结果。定量风险评估擅长分析财务风险,而定性风险评估是分析无形风险的好工具。
结合这两种技术可提供全面的风险图景。
正确答案:D
2.3.4 风险响应
1.风险缓解(Risk Mitigation)
指通过实施防护措施和控制措施以消除脆弱性或阻止威胁(例子:从服务器删除FTP协议以避免攻击)。
2.风险转移(Risk Assignment)
指将风险带来的损失转嫁给另一个实体或组织(常见形式是购买保险和外包)。
3.风险接受(Risk Acceptance)
指成本/收益分析表明控制措施的成本超过风险的潜在损失。
大多数情况下,接受风险需要进行明确的书面陈述,通常以书面签名形式说明为什么未实施防护措施、谁对决定负责以及如果风险发生谁对损失负责。
组织决定是否接受风险取决于组织的风险容忍度(也称为风险偏好)。
4.风险威慑(Risk Deterrence)
是对可能违反安全和策略的违规者实施威慑的过程(如实施审计、安全摄像头、强制身份验证等)。
5.风险规避(Risk Avoidance)
是选择替代的选项或活动的过程,替代选项或活动的风险低于默认的、通用的、权宜的或廉价的选项。
如为了避免飓风的风险,在亚利桑那州而不是佛罗里达州建立企业。
6.风险拒绝(Risk Rejection)
否认风险的存在并希望永远不会发生,并不是合法的、正确的风险响应方式。
残余风险,是管理层选择接受而不去减轻的风险。
一旦采取了控制措施,余下的风险就称为残余风险。
残余风险是针对特定资产的威胁,高级管理人员选择不实施防护措施。
※ 计算公式:(注意这里的*并不表示乘法,只起联合作用)
总风险=威胁*脆弱性*资产价值
残余风险=总风险-控制间隙
纵深防御中实施的安全控制措施分类:
1.技术性控制措施(也称逻辑性控制措施),
包括硬件或软件机制,可用于管理访问权限以及为系统和资源提供安全保护(如身份验证的方法、加密、防火墙等)。
2.管理型控制措施(管理控制),
是依组织的安全策略和其他法规或要求而规定的策略和程序(如策略、程序、安全意识培训、背调等)。
3.物理性控制措施,
是可实际接触到的措施(保安、栅栏、CCTV等)。
问题:
下列哪项不是管理控制?
A.变更控制程序
B.开发政策、标准、程序和指南
C.人员筛选
D.逻辑访问控制机制
正确答案:D
2.3.6 适用的控制类型
控制类型:
(1) 威慑控制,部署威慑控制以阻止违反安全策略。
(2) 预防控制,部署预防控制以阻挠或阻止非预期的或未经授权的活动的发生。(警犬)
(3) 检测控制,部署检测控制以发现或检测非预期的或未经授权的活动。
(4) 补偿控制,补偿控制用于为其他现有的控制提供各种选项,从而帮助增强和支持安全策。
(5) 纠正控制,纠正控制会修改环境,把系统从发生的非预期的或未经授权的活动中恢复到正常状态。(备份)
(6) 恢复控制,恢复控制是纠正控制的扩展,但具有更高级、更复杂的能力。
(7) 指示控制,指示控制用于指导、限制或控制主体的行为,以强制或鼓励遵守安全策略。
操作安全控制:
(1)检测性控制
- 周期性的在控制版本和当前源代码版本之间运行比对程序
- 事件发生后查看使用闭路电视摄像仪记录的事件录像
(2)纠正性控制
(3)预防性控制-
- 建立紧急变更程序
- 需要进行变更请求,请求中应包含时间、描述、成本分析和期望的结果
- 拒绝程序员访问生产数据
(4)指导性控制
(5)补偿性控制
问题:以下哪个操作安全控制是为了防止未经授权的入侵者从内部或外部访问系统,并降低进入该系统的无意错误操作导致的影响?(C)
A.Detective Controls 检测性控制
B.Corrective Controls 纠正性控制
C.Preventative Controls 预防性控制
D.Directive Controls 指导性控制
问题:物理安全是通过适当的设施建设、消防和防水、防盗机制、入侵检测系统以及遵守和执行安全程序来实现的。以下哪一项不是实现此类安全性的组件?
A.Administrative control mechanisms 管理控制机制
B.Integrity control mechanisms 完整性控制机制
C.Physical control mechanisms 物理控制机制
D.Technical control mechanisms 技术性控制机制
正确答案:B
问题:下列哪一项是检测性控制
A.备份程序(纠正性控制)
B.职责分离
C.物理访问控制
D.审计跟踪
正确答案:D
问题:下列哪种控制包括:组织的政策和程序, 就业前的背景检查,严格的雇佣政策,就业协议,雇员种植程序,度假调度,标记敏感材料,加大监管力度,安全意识培训,意识和行为,注册程序序获取访问信息系统和网络的权限?
A.预防/行政
B.检测/行政
C.预防技术
D.预防/物理正确答案:A
2.3.7 安全控制评估
安全控制评估(Security Control Assessment, SCA),
SCA的目标是确保安全机制的有效性。
2.3.8 监视和测量
监视和测量:
安全控制提供的收益应该是可被监视和测量的。
通常为了测量控制措施的成败,在安全措施执行前后进行监视和记录是十分必要的。
2.3.9 资产估值与报告
资产估值和报告:
防护措施年度成本不应超过资产的年度损失期望。
评估资产的目标是为资产分配具体的货币价值,既包括有形的成本,也包括无形的成本。
风险报告,
包括编制风险报告,并将该报告呈现给利益相关方。
风险报告应能准确、及时、全面地反映整个组织的情况,能清晰和准确地支持决策的制定,并定期更新。
2.3.10 持续改进
持续改进:
风险评估需要定期进行以支持持续改进。
如果已使用的控制措施不能持续改进,则应该将其替换,从而为安全提供可扩展的改进控制措施。
2.3.11 风险框架
风险管理框架(Risk Management Framework, RMF),
是关于如何评估、解决和监控风险的指南或方法。
RMF包括6个步骤:
(1) 安全分类
对信息系统和根据影响分析将被该系统处理、存储和传输的数据进行分类。
(2) 选择安全控制
基于安全分类为信息系统选择初始化安全控制基线,基于组织对风险和现场情况的评估,根据需要调整和补充安全控制基线。
(3) 实施安全控制
实施安全控制并描述如何在信息系统及其操作环境中使用安全控制。
(4) 评估安全控制
使用适当的评估程序对安全控制进行评估,来确定安全控制在多大程度上得到了正确实施、完成了预期操作并产生符合系统安全要求的期望结果。
(5) 授权信息系统
基于对组织运营和信息系统操作涉及的资产、个人、其他组织和国家的风险决策,对信息系统操作进行授权,并确定风险是可以接受的。
(6) 监视安全控制
持续监视信息系统中的安全控制,包括评估控制的有效性,记录系统或其运行环境的变化,对相关变化进行安全影响分析,并向指定的组织管理人员报告系统的安全状态。
2.4 建立和维护安全意识、教育和培训计划
常见的三种公认的学习层次:
(1)建立安全意识,是实施安全培训的一个前提条件。建立安全意识的目标是要将安全放到首位并让用户认可这一点。
(2)培训,是教导员工执行他们的工作任务和遵守安全策略。
(3)教育,最常与用户参加认证或寻求工作晋升关联。教育是个人成为安全专家的典型要求。
2.5 管理安全功能
1.安全必须是成本有效的。
2.安全必须是可测量的。
3.安全机制本身与安全治理过程都会消耗资源。
问题:计算机安全应该是下列哪一项?
A.覆盖所有确定的风险
B.具有成本效益
C.与IT系统的价值成比例
D.审查货币和非货币的条款
正确答案:B
问题:有效的信息安全策略不应该有以下特点?
A.Be designed with a short- to mid-term focus 具有短期至中期的关注
B.Include separation of duties 包含职责分离
C.Be understandable and supported by all stakeholders 被所有利益相关者理解和支持
D.Specify areas of responsibility and authority 指定特定的责任和权力
正确答案:A
问题:以下哪一项可以最好的定义为检查针对系统漏洞的威胁源,以确定特定系统在一个特定的操作环境下的威胁?
A.Risk management 风险管理
B.Due diligence 尽职调查
C.Threat analysis 威胁分析
D.Risk analysis 风险分析
正确答案:C