第1章 实现安全治理的原则和策略

1.1 理解和应用保密性、完整性及可用性的概念

CIA三元组（保密性、完整性、可用性）

1.1.1 保密性（Confidentiality）

确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。保障数据、客体或资源的保密状态。

致使违反保密性的事件：

未正确实现的加密传输、传输数据前未对远程系统充分进行身份验证、开放的非安全访问点、文件遗留在打印机上、访问终端仍显示数据的时候走开等。

控制措施包括：

加密、填充网络流量、严格的访问控制、严格的身份验证程序、数据分类和充分的人员培训。

1.1.2 完整性（Integrity）

保护数据可靠性和正确性，防止未经授权的数据更改。

可从以下三个方面检验完整性：

• 防止未经授权的主体进行修改。

• 防止授权主体进行未经授权的修改（不恰当修改信息），如引入错误。

• 保持客体内外一致以使客体的数据能够真实反映现实世界，而且与任何子客体、对等客体或父客体的关系都是有效的、一致的和可验证的。

即保持信息内部一致性和外部一致性。

内部一致性：

存储在系统里的冗余信息要保持一致。

外部一致性：

存储在系统里的信息和外部真实情况要保持一致（符合真实世界）。

导致完整性破坏的事件包括：

修改或删除文件，输入无效的数据，修改配置时在命令、代码和脚本中引入错误，引入的病毒，执行恶意代码（如特洛伊木马）。

控制措施包括：

严格的访问控制、严格的身份验证流程、入侵检测系统、客体/数据加密、散列值验证、接口限制、输入检查和充分的人员培训。

问题：如果一个内部数据库中记录的每个部门的打印机数量，等于数据库中其他地方记录的整个组织的打印机总数，它是以下示例：

A．Internal consistency of the information system. 信息系统的内部一致性

B．Differential consistency of the information system. 信息系统的差分一致性

C．External consistency of the information system. 信息系统的外部一致性

D．Referential consistency of the information system. 信息系统的参照一致性

正确答案：A

相关概念-不可否认性：

不可否认性（Nonrepudiation）:

确保事件的主体或引发事件的人不能否认事件的发生。

不可否认性可预防主体否认发送过消息、执行过动作或导致某个事件的发生。

控制措施包括：

可使用数字证书、会话标识符、事务日志以及其他许多事务性机制和访问控制机制来实施不可否认性。

1.1.3 可用性（Availability）

授权主体被授予实时、不间断的客体访问。

可用性包括对客体的有效的持续访问及抵御拒绝服务（DoS）攻击。

可用性还意味着支撑性基础设施（包括网络服务、通信和访问控制机制）是可用的，并允许授权用户获得授权的访问。

破坏事件：

意外删除文件、滥用硬件和软件、资源分配不足、错误标记、错误客体分类等。

控制措施包括：

正确设计中转传递系统、有效使用访问控制、监控性能和网络流量、使用防火墙和路由器防止DoS攻击、对关键系统实施冗余机制以及维护和测试备份系统。

* 军方和政府机构，很多时候倾向于优先考虑保密性而不是完整性和可用性
* 私营企业，倾向于优先考虑可用性而不是保密性和完整性。

与CIA相反的三元组DAD：

泄露（Disclosure）、篡改（Alteration）、破坏（Destruction）

1.1.4 其他安全概念

AAA服务：

Authentication身份验证，Authorization 授权，Accounting/Audit 记账/审计。

实际上代表五项内容：

(1) 标识（Identification）：

当试图访问受保护的区域或系统时声明自己的身份（如用户名、卡号、流程ID等） 。

(2) 身份验证（Authentication）：

验证或测试声明的身份是否有效的过程称为身份验证。

通过将一个或多个因子与有效的数据库进行比较来验证主体的身份。

(3) 授权（Authorization）：

对一个具体身份定义其对资源和客体的访问许可（访问矩阵）。

(4) 审计（Audit）：

记录与系统和主体相关的事件与活动日志。

(5) 记账（Accounting）：

问责制，通过审查日志文件来核查合规和违规情况，以便让主体对自身行为负责。

1.1.5保护机制

常见示例-用多层或分层访问、利用抽象、隐藏数据和使用加密技术。

1.1.6 分层（layering，也被称为纵深防御）

多种控制手段结合，一个控制失效不会导致系统或数据暴露。

串行配置的范围很窄，但层级很深；（购物中心入口）

并行配置的范围很宽，但层级很浅。（机场）

1.1.7 抽象（abstraction）

相类似的元素被放入组、类或角色中，作为一个集合被指派安全控制、限制或许可。提高效率、简化安全。

1.1.8 数据隐藏

是将数据存放在主体无法访问或读取的逻辑存储空间以防止数据被泄露或访问。

形式包括：

防止未经授权的访问者访问数据库；

限制安全级别较低的主体访问安全级别较高的数据；

阻止应用程序直接访问存储硬件；

区别于隐匿（obscurity）：

通过隐匿保持安全是指不告知主体有客体存在，从而希望主体不发现该客体。

通过隐匿保持安全实际上并没有提供任何形式的保护。

1.1.9 加密（encryption）

参考：第6 章、第7 章

1.2 评估和应用安全治理原则

战略一致性：业务战略驱动安全战略和IT战略。

1.2.1 与业务战略、目标、使命和宗旨相一致的安全功能

安全管理计划三种类型：

1. 战略计划（strategic plan）

定义组织的目标和使命。（相对稳定的长期计划，每年维护和更新，有效期大约5年）

1. 战术计划（tactical plan）

是为实现战略计划中设定的目标提供更多细节而制定的中期计划，或可根据不可预测的事件临时制定（中期计划，1年）。

1. 操作计划（operational plan）

是在战略计划和战术计划的基础上，制定的短期、高度详细的计划。（经常更新，每月/每季）

问题：有效的信息安全策略不应该有以下特点？

A．Be designed with a short- to mid-term focus 具有短期至中期的关注

B．Include separation of duties 包含职责分离

C．Be understandable and supported by all stakeholders 被所有利益相关者理解和支持

D．Specify areas of responsibility and authority 指定特定的责任和权力

正确答案：A

安全管理计划的内容包括：

定义安全角色；

规定如何管理安全、由谁负责安全以及如何检验安全的有效性；

制定安全策略；

执行风险分析；

要求对员工进行安全教育；

* 安全团队（InfoSec）应由指定的首席信息安全官（CISO）领导， CISO必须直接向高级管理层汇报。

1.2.2 组织的流程

(1) 变更控制/变更管理

变更管理的重要目标：防止非预期的安全降低。

变更管理的首要目标：使所有变更被详细记录和审计，从而使变更能被管理层检查和审核。

配置管理或变更管理的变更控制过程有以下几个目标或要求：

• 在受监控的环境中有序实施更改。

• 包含正式的测试过程，验证变更能实现预期效果。

• 所有变更都能够撤消（也称为回退或回滚计划／程序）。

• 在变更实施前通知用户，以防止影响生产效率。

• 对变更影响进行系统性分析，以确定变更是否会对安全或业务流程产生负面影响。

• 最小化变更对能力、功能和性能方面的负面影响。

• 变更顾问委员会（Change Advisory Board, CAB）需要评审和批准变更。

(2) 数据分类（data classification, 也称数据分级）

数据分类方案的主要目标：

基于指定的重要性与敏感性标签，对数据进行正式化和分层化的安全防护过程。

根据信息敏感程度，公司采取不同的安全控制措施，确保信息受到适当的保护，指明安全保护的优先顺序（同时避免过度保护）。

常见分类：

• 政府/军事分类：

绝密（Top Secret）、秘密（Secret）、机密（Confidential）、敏感但未分类（Sensitive But Unclassified, SBU）、未分类（Unclassified）

• 商业/私营部门分类：

机密（Confidential）、私有（Private）、敏感（Sensitive）、公开（Public）

1.2.3 组织的角色与责任

• 高级管理员（CEO、CFO、COO）

－全面负责信息安全，是信息安全的最终负责人

－规划信息安全，确定目标和有限次序，委派信息安全责任

－明确信息安全目标和方针为信息安全活动指引方向

－为信息安全活动提供资源

－重大事项做出决策

－协调组织不同单位不同环境的关系

• 安全专业人员

• 数据所有者（data owner）

• 数据托管员（data custodian）

• 用户（user）

• 审计人员（auditor）

问题：下列哪一项将最适合监督信息安全策略的部署？

A．系统管理员

B．安全管理员

C．安全官

D．人力资源部

正确答案：C

1.2.4 安全控制框架

安全管控参考框架：

信息和相关技术控制目标（COBIT）：

COBIT是关于IT治理和IT管理相关控制流程的框架。

规定了安全控制的目标和需求，并鼓励将IT安全思路映射到业务目标。

COBIT5的基础是企业IT治理和管理的如下五个关键原则。

•原则1: 满足利益相关方的需求

•原则2: 从端到端覆盖整个企业

•原则3: 使用单一的集成框架

•原则4: 采用整体分析法

•原则5: 把治理从管理中分离出来

CMM&CMMI软件开发成熟度模型&成熟度模型集成：

能力成熟度模型（CMM）,

1.初始（initial/ad hoc）

2.可重复（repeatable）

3.已定义（defined）

4.已管理（managed），可衡量才可管理

5.优化（optimizing），持续改进

能力成熟度模型集成（CMMI）,

1.初始（initial/ad hoc）

2.已管理（managed）

3.已定义（defined）

4.量化已管理（managed）

5.优化（optimizing）

IT安全还有其他许多标准和指南，包括：

•开源安全测试方法手册（Open Source Security Testing Methodology Manual ,OSSTMM）

•ISO/IEC27002（取代了ISO17799）：

一个国际标准，可作为实施组织信息安全及相关管理实践的基础。

在世界范围内被广泛接受并特别关注信息安全控制的控制目标框架。

•信息技术基础设施库（Information Technology Infrastructure Library, ITIL）：

是IT服务管理最佳实践，经常用作定制IT安全解决方案的起点。

ISO/IEC 27002，是一个专注于信息安全控制实践的国际标准。

ISO/IEC 27001，是信息安全管理体系的要求。

ISO/IEC 27003，是信息安全管理体系实施指南。

ISO/IEC 27005，是信息安全风险管理。

1.2.5 应尽关心和尽职审查

应尽关心（due care，DC）：

指使用合理的关注来保护组织的利益。

DC，应尽的关心、谨慎考虑、应尽关注、尽职关注、适度关注、适度审慎。

应有的关注原则：

指出个人在应对情况时应使用任何理性的人所期望的相同水平的关注。这是一非常广泛的标准。

尽职调查原则：

是应有关注的-一个更具体的组成部分，它规定被分配责任的个人应尽职尽责，以准确及时地完成任务。

尽职审查（due diligence，DD）：

指的是具体的实践活动。

DD，尽职审查、恪尽职守、尽职调查、尽职勤勉、应尽勤勉、适度勤勉。

问题：适度关注和适度勤勉的区别是什么？

A．适度关注是指持续努力确保正确的事发生，适度勤勉是指持续努力保持合规行为

B.适度关注是基于负责谨慎的人的概念，而适度勤勉不是

C.他们是同一件事

D.适度勤勉包含调查研究风险的意思，而适度关注包含执行必要的步骤减轻风险的意思。

解析：

适度关注旨在为组织制定最低必要的注意标准，

而适度勤勉要求组织不断审查自己的做法，以确保它们始终满足或超过保护资产和利益相关者的要求。

正确答案：D

1.3 开发、记录和实施安全策略、标准、程序和指南

安全文档：

•策略/政策/方针（policy）

信息安全最一般性声明、最高管理层对信息安全承担责任的一种承诺、说明要保护的对象和目标。

最高层次的声明，信条，目的和目标！

•三类方针：

监管性/合规性方针（regulatory）、建议性方针（advisory）、信息性/指示性方针（informative）

•标准（standard）

建立方针执行的强制机制。

•安全基线（baseline）

满足方针要求的最低级别的安全要求。

•指南/准则（guideline）

类似于标准，加强系统安全的方法，是建议性的。

•程序/步骤/规程（procedure）

执行特定任务的详细步骤（specific）。

程序则是对执行保护任务时具体步骤的详细描述（HOW）。

规程procedures是所有人员都必须遵循的具体的操作！！！

企业安全政策的主要目的：

是传达管理层关于信息安全的态度。

问题：为建立一个信息安全程序，首先应进行

A．开发员工安全意识培训计划

B．信息安全标准手册的开发与实施

C．安全访问控制软件的购买

D．企业信息安全策略生命的采纳

正确答案：D

问题：以下哪个选项，是安全策略、标准和流程开发通常遵循的步骤？

A．design, evaluation, approval, publication, and implementation. 设计、评估、审批、发布、实施

B．design, development, publication, coding, and testing. 设计、开发、发布、编码和测试

C．initiation, evaluation, development, approval, publication, implementation, and maintenance. 启动、评估、开发、批准、发布、实施和维护

D．feasibility, development, approval, implementation, and integration. 可行性、开发、批准、实施和集成

正确答案：C

1.4 理解与应用威胁建模的概念和方法

1.4.1 识别威胁

STRIDE模型（识别威胁，微软公司开发）

•欺骗（Spoofing）

•篡改（Tampering）

•否认/抵赖（Repudiation）

•信息泄露（Information Disclosure）

•拒绝服务（DOS）

•特权提升（Elevation of Privilege）

PASTA模型：

攻击模拟和威胁分析（Process for Attack Simulation and Threat Analysis, PASTA）

PASTA 的七个阶段如下：

阶段1: 为风险分析定义目标

阶段2: 定义技术范围（Definition of the Technical Scope, DTS）

阶段3: 分解和分析应用程序（Application Decomposition and Analysis, ADA）

阶段4: 威胁分析（Threat Analysis, TA）

阶段5: 弱点和脆弱性分析（Weakness and Vulnerability Analysis, WV A）

阶段6: 攻击建模与仿真（Attack Modeling & Simulation, AMS）

阶段7: 风险分析和管理（Risk Analysis & Management, RAM）

VAST（Visual, Agile, and Simple Threat, 视觉、敏捷和简单威胁）

是一种基于敏捷项目管理和编程原则的威胁建模概念。

Trike模型

1.4.2 确定和绘制潜在的攻击

确定可能发生的潜在攻击，通常通过创建事务中的元素图表及数据流和权限边界来完成（见图1.8) 。

1.4.3 执行简化分析（reduction analysis），

分解应用程序、系统或环境、目的是更好地理解产品的逻辑及其与外部元素的交互。

对应用、系统或环境越了解，越有助于识别出对他们的攻击。

从攻击树引出的一种方法

作用：

一方面减少组织必须考虑的攻击数量，找到攻击的共性来减少需要缓解的条件的数量。

一方面减少攻击造成的威胁，实施缓减技术时，离根节点越近，就越能缓解叶节点的攻击。

1.4.4 优先级排序和响应

编制文档后，要对威胁进行排序或定级，确定对威胁地响应。

可使用多种技术来完成这个过程，如“概率ד潜在损失”排序、高/中/低评级或DREAD系统。

DREAD评级系统，旨在提供一种灵活的评级解决方案。

DREAD基于对每个威胁的五个主要问题的回答。

(1) Damage，潜在破坏：如果威胁成真，可能造成的伤害有多严重？

(2) Reproducibility，可再现性：攻击者复现攻击有多复杂？

(3) Exploitability，可利用性：实施攻击的难度有多大？

(4) Affected user，受影响用户：有多少用户可能受到攻击的影响（按百分比）？

(5) Discoverability，可发现性：攻击者发现弱点有多难？

1.5 将基于风险的管理理念应用到供应链

评估供应商：

在为安全集成而评估第三方时，应考虑以下过程。

•现场评估

到组织现场进行访谈，并观察工作人员的操作习惯。

•文件交换和审查

调查数据和文件记录交换的方式，以及执行评估和审查的正式过程。

•过程/策略审查

要求提供安全策略、过程／程序，以及事件和响应文件的副本以供审查。

•第三方审计

根据美国注册会计师协会（AICPA）的定义，拥有独立的第三方审计机构可根据SOC报告，对实体的安全基础设施进行公正的审查。

SOC1报告：

￭SOC1报告需要服务提供商描述他的系统并定义控制目标和控制，这些与财务报告内部控制有关：

财务报告内部控制（ICFR）：由负责治理、管理和其他事务的人员实施的过程，旨在为按照适用的财务报告框架编制可靠的财务报表提供合理的保证，包括那些能够实现以下目标的政策和程序：

-与保存合理详细、准确公正地反映公司资产交易和处置的记录有关
-提供合理的保证，确保交易被记录为必要的交易，以编制财务报表，并旦公司的收支仅根据公司管理层和董事的投权进行：
-就防止或及时发现可能对财务报表产生重大影响的未经授权收购、使用或处置公司资产提供合理保证。
￭SOC1报告通常不覆盖那些与用户ICOFR报告无关的服务和控制
￭SOC1报告 在2011年开始被许多服务南用于核心财务处理服务：
 

SOC2/SOC3报告：

￭一段时间内包含设计和运维有效性的报告
￭原则和准则具体定义安全性、可用性、机密性、处理完整性和隐私；
￭提供超越财务报告内部控制 (ICOFR)
￭可以基于服务提供商及其用户的需求，采用模块化的方式便于SOC2/SOC3报告能够镇盖一个或多个原则；
￭IT服务提供商没有影响或存在间接影响到用户的财务系统，则使用SOC2报告；
￭SOC3报告一般用于向大范国用户通报其保障級别而不需要披露细节控制和测试结果：

Type1，证明控制设计和实施有效（在某个时间有效）

Type2，证明控制执行有效（在一段时间内有效运行）

SOC1-Type1，证明组织的内部财务控制设计合理。

SOC1-Type2，证明这些控制已经有效的运作一定时间。

SOC2-Type1，提供当下的控制设计合理性证明。
SOC2-Type2，通过更长时间（通常一年）的观察确认控制的有效性。

SOC1报告涵盖财务报告，

SOC2报告关注安全性，提供有关控制措施和他们可能遇到的任何问题的详细信息。

SOC2报告详细涵盖了业务合作伙伴、监管机构和其他类似组织的安全性、可用性、完整性和隐私的细节，SOC2报告通常不会提供给广泛的受众。

SOC3专门用于向外部发布，包括审计师的意见和管理断言以及有关服务组织的信息。（不包括审计细节）公开的，提供的信息较少。

SOC3报告旨在与广泛的社区共享，支持组织关于其提供完整性、可用性和机密性的能力的声明。

SOC3没有类型!!!!（Type1/Type2）

问题：哪种类型的 SOC 报告最适合向用户提供有关组织的安全性、可用性和服务运营完整性的保证？

A. SOC 1 Type 2 报告

B. SOC 2 报告

C. SOC 3 报告

D. SOC 1 Type 1 报告

解析：

SOC 3 报告旨在与广泛的社区共享，支持组织关于其提供完整性、可用性和机密性的能力的声明。 SOC 1 报告关注财务报告的内部控制，而 SOC 2 报告详细涵盖了业务合作伙伴、监管机构和其他类似组织的安全性、可用性、完整性和隐私的细节，SOC 2报告通常不会提供给广泛的受众。

正确答案：C

问题：当您请求 SOC 2 报告时，您会收到 SOC 1 报告。你应该提出什么问题？

A. SOC 1 报告仅披露公开信息。

B. SOC 1 报告涵盖财务数据。

C. SOC 1 报告仅涵盖一个时间点。

D. SOC 1 报告仅使用三个月的时间进行测试。

解析：

您要求提供安全控制报告 (SOC 2) ，但收到的是财务内部控制报告 (SOC 1)。

正确答案：B

附加的安全（add-on security）：

安全保护机制，是对系统进行硬件或软件改造以后以提高该系统的保护级别。

问题：以下哪个最好定义了“附加的安全”

A．物理安全补充逻辑安全措施

B．信息系统已经运作后实施保护机制

C．分层的安全

D．保护机制实现是一个信息系统不可分割的一部分

正确答案：B

问题：在一个普通的安全策略实施过程中，维护阶段的目标是？

A．为管理层写一个生命政策目标的提议

B．展示该文件的批准者

C．按指定的时间评审文件

D．组织内发布

正确答案：C

问题：哪种安全程序的实施方法能驱动公司员工担负保护公司的资产的责任？（The top-down approach 自上而下的方法）

解析：

自上而下：

指大部分决策权掌握在组织的最高层部门，由他们负责配置资源，当部门之间发生矛盾时，主要是由他们进行协调。

自下而上：

在自下而上的组织中，大部分决策权下放给中下层，最高层只负责组织的长远战略和与组织长远利益有关的重大事情，当部门之间发生争执时，主要由他们自己协调解决。