5.1 对信息和资产进行识别和分类
数据安全生命周期管理是指数据保护始于数据被首次创建时,一直持续到该数据被销毁时。
实现生命周期保护的第一步是对信息和资产进行识别和分类。
组织常将分类定义纳入安全策略中。然后,人员根据安全策略要求适当地标记资产。
这里所述的资产包括敏感数据、用于处理它们的硬件和用于保存它们的介质。
5.1.1 定义敏感数据
敏感数据不是公开的数据,也不是未分类的数据,它包括机密的、专有的、受保护的或因其对组织的价值或按照现有的法律和法规而需要组织保护的任何其他类型的数据。
1. 个人身份信息(personally identifiable information, PII)
个人身份信息是任何可以识别个人的信息。
美国NIST SP 800-122提供了如下更正式的定义。
PII是由机构保存的关于个人的任何信息,包括:
(1) 任何可用于识别或追踪个人身份的信息,如姓名、社会保险账号、出生日期、出生地点、母亲的娘家姓或生物识别记录。
(2) 与个人有关联或有指向性的其他信息,如医疗、教育、财务和就业信息。
最重要的是,组织有责任保护PII, 包括与员工和客户相关的PII。
许多法律要求,当数据泄露导致PII丢失时,组织要通知个人。
2. 受保护的健康信息(protected health information, PHI)
受保护的健康信息是与特定个人有关的任何健康信息。
在美国,《健康保险流通与责任法案》(HIPAA)要求保护PHI。
HIPAA提供了更止式的PHI定义。
健康信息指以口头、媒介或任何形式记录的任何信息。
(1) 这些信息由如下结构设立或接收:卫生保健提供者、健康计划部门、卫生行政部门、雇主、人寿保险公司、学校或卫生保健信息交换所。
(2) 涉及任何个人的如下信息:过去、现在或将来在身体、精神方面的健康状况,向个人提供的健康保健条款,过去、现在或将来为个人提供医疗保健而支付的费用。
有些人认为只有医生和医院这样的医疗保健提供者才需要保护PHI。
然而, HIPAA对PHI的定义更宽泛。
任何提供或补充医疗保健政策的雇主收集并处理PHI。
组织提供或补充医疗保健政策的行为是很常见的,所以HIPAA适用于美国的大部分组织。
3. 专有数据
专有数据指任何有助于纠组织保持竞争优势的数据,它可以是开发的软件代码、产品的技术计划、内部流程、知识产权或商业秘密。
如果竞争对手获取到专有数据,将严重影响组织的主要任务。
虽然与版权、专利和商业秘密相关的法律为专有数据提供了一定程度的保护,但这是不够的。
许多犯罪分子无视版权、专利和商业秘密的相关法律。同时,外国组织机构也窃取了大量机密数据。
5.1.2 定义数据分类
组织通常将数据分类纳入其安全策略或数据策略中。
数据分类可识别数据对组织的价值,对于保护数据的保密性和完整性至关重要。
这个策略识别出组织内使用的分类标签,还定义了数据所有者如何确定适当分类,以及人员如何根据分类保护数据。
例如,政府数据分类包括:绝密、秘密、机密和未分类。
任何超过未分类级别的数据都是敏感数据,但很明显,它门具有不同价值。
美国政府为这些分类提供了明确定义。当看到它们时,请注意,除了几个关键字外,每个定义的措辞都很接近。
绝密使用短语“异常严重的损害“,秘密使用短语“严重损害”,机密使用短语“损害”。
绝密(top secret) 标签是“应用于此类信息,对其未经授权的披露必然会对国家安全造成异常严重的损害,这是最初的分类机构能够识别或说明的"。
秘密(secret) 标签是“应用于此类信息,对其未经授权的披露必然会对国家安全运成严重损害,这是最初的分类机构能够识别或说明的"。
机密(confidential) 标签是“应用于此类信息,对其未经授权的披露会对国家安全造成损害,这是最初的分类机构能够识别或说明的"。
未分类(unclassified) 数据指不符合绝密、秘密或机密数据描述的任何数据。
在美国,任何人都可获得未分类数据,尽管该国通常要求个人使用《信息自由法》(FOIA) 中确定的程序请求信息。
还有一些额外的子分类,如“仅供官方使用”(for official use only, FOUO)和“敏感但未
分类”(sensitive but unclassified, SBU) 。
要严格控制具有这些标签的文件,以限制其分发。
例如,美国国税局(IRS)对个人税务记录使用SBU, 以限制对这些记录的访问。
分类机构是将原始分类应用于敏感数据的实体,严格的规则确定谁可以这样做。
例如,美国总统、副总统和机构负责人可对美国的数据进行分类。
此外,这些职位中的任何一个都可以授权其他人对数据进行分类。
非政府组织很少需要依据(泄密)对国家安全造成的潜在损害程度对数据进行分类,管理层关心的是(泄密)对组织的潜在损害。
例如,如果攻击者访问组织的数据,其潜在的负面影响是什么?
换句话说,组织不仅要考虑数据的敏感性,还要考虑数据的关键性。
组织可使用与美国政府在描述绝密、秘密和机密数据时使用的“异常严重的损害”“严重损害”和“损害”等相同的短语。
一些非政府组织使用Class3、Class2、Class1和Class0等标签。
其他组织使用更有意义的标签如机密/专有(confidential/proprietary)、私有(private)、敏感(sensitive)和公开(public)。
图5.1 显示了左边的政府分类和右边的非政府(民用)分类之间的对照关系。
正如政府可根据数据泄露可能带来的负面影响来定义数据分类一样,组织也可使用类似的描述方式。
政府分类和民用分类都依据了数据对组织的相对价值,在图5.1 中,绝密代表政府的最高分类,机密代表组织的最高分类。然而,要记住的重要一点是,非政府组织可使用他们想要的任何分类标签。
当使用图5.1 中的标签时,敏感信息是指不属于未分类(使用政府分类标签时)的任何信息或未公开(使用非政府分类标签时)的任何信息。
下面将介绍一些常见的非政府分类的含义。
请记住,尽管这些分类是常用的,但没有一个分类标准是所有非政府组织都必须使用的。
机密/专有 机密/专有标签通常指最高级别的机密数据。
在这种分类下,数据泄露将对组织的使命造成异常严重的损害。
例如,攻击者多次攻击索尼公司,窃取超过100TB的数据,其中包括未发行电影的完整版本。
这些很快就出现在文件共享网站上,安全专家估计,人们下载这些电影的次数高达100万次。
由于可获取盗版电影,当索尼最终发行它们时,很多人都选择不再观看。
这直接触及索尼的底线。这些电影是专有的,该组织可能认为这是非常严重的损害。
回顾过去,他们可能选择将电影贴上机密/专有标签,并使用最强大的访问控制来保护它们。
私有 私有标签指应该在组织中保持私有但不符合机密/专有数据定义的数据。
在这种分类下,数据泄露将对组织的使命造成严重损害。
许多组织将PII和PHI数据标记为私有。将内部员工数据和一些财务数据标记为私有的情况也很常见。
例如,公司的薪酬部门可访问工资单数据,但这些数据不对普通员工开放。
敏感 敏感数据与机密数据类似。在这种分类下,数据泄露将对组织的使命造成损害。
例如,组织中的IT人员可能拥有关于内部网络的大量数据,包括布线、设备、操作系统、软件、IP地址等。
如果攻击者可轻易访问这些数据,那么他们就更容易发起攻击。
管理层可能会判定,不应让公众访问这些信息,所以给这些信息贴上“敏感”标签。
公开 公开数据类似于非分类数据,包括发布在网站、手册或其他任何公共资源的信息。
虽然组织不保护公开数据的保密性,但却采取措施保护其完整性。
例如,任何人都可查看发布在网站上的公开数据。
但是,组织不希望攻击者修改数据,因此需要采取措施保护数据。
民用组织不需要使用任何特定的分类标签。
然而,重要的是应以某种方式对数据进行分类并确保人员理解分类。
不管组织使用什么标签都有义务保护敏感信息。
对数据进行分类后,组织会根据分类采取额外步骤来管理数据。
对敏感信息的未经授权的访问可能给组织造成重大损失。
不过,基础的安全实践,例如基于分类正确标记、处理、存储和销毁数据和硬件资产,有助于防止损失。
5.1.3 定义资产分类
资产分类应与数据分类相匹配。
换句话说,如果一台计算机正在处理绝密数据,那么这台汁算机也应被归类为绝密资产。
同样,如果内部或外部驱动器等介质保存绝密数据,那么该介质也应被归类为绝密资产。
通常在硬件资产上使用清晰的标签,以提醒人员可在资产上处理或存储的数据。
例如,如果用计算机处理绝密数据,那么计算机和显示器上都会有清晰而显著的标签,提醒用户可在计算机中处理的数据的分类。
5.1.4 理解数据状态
必须保护处千所有状态(包括静态、传输中和使用中)的数据。
•静态数据
有时被称为存储中的数据,是存储在系统硬盘、固态驱动器(SSD)、外部USB驱动器、SAN(存储区域网络)和备份磁盘等介质上的任何数据。
•传输中的数据
有时被称为动态数据,是通过网络传输的任何数据。
这包括使用有线或无线力式通过内部网络传输的数据,以及通过公共网络(如Internet)传输的数据。
对称加密和非对称加密的组合使用可以保护传输中的数据。
•使用中的数据
也被称为处理中的数据,是指应用程序所使用的内存或临时存储缓冲区中的数据。
通常应用程序在将加密数据放入内存前会对其进行解密。
这样,应用程序才可以处理这些数据,但当不再需要这些数据时,则必须刷新内存缓冲区。
在有些情况下,应用程序可以使用同态加密技术处理加密数据。
这种方式抑制了风险,因为内存中并不保留未经加密的数据。
保护数据保密性的最佳方法是使用强加密协议,第6 章将对此进行广泛讨论。
此外,强大的身份认证和授权控制机制有助于防止未经授权的访问。
例如,考虑一个Web应用程序,该Web应用程序检索信用卡数据,以便在用户允许的情况下快速执行电子商务交易。
信用卡数据存储在数据库服务器上,并在静止中、传输中和使用中受到保护。
数据库管理员采取措施对存储在数据库服务器上的敏感数据(静态数据)进行加密。
他们通常会加密包含敏感数据(如信用卡数据)的列。
此外,他们会实施强大的身份认证和授权控制,以防止未经授权的实体访问数据库。
当Web应用程序向Web服务器发送数据请求时,数据库服务器将验证Web应用程序是否有权限去检索数据。
如果具备权限,数据库服务器将发送数据。然而,这需要几个步骤。
例如,数据库管理系统首先检索和解密数据,并以Web应用程序可读取的方式对其进行格式化。
然后,数据库服务器使用传输加密算法在传输数据前对其进行加密,以确保传输中的数据是安全的。
Web服务器接收到加密格式的数据。它对该数据进行解密后将其发送给Web应用程序。
Web应用程序在给交易授权时将数据存储在临时内存缓冲区中。当Web应用程序不再需要此数据时,会采取步骤清除内存缓冲区,确保完全清除所有残留的敏感数据。
5.1.5 确定合规要求
每个组织都有责任了解适用于他们的法律要求,并确保他们满足所有合规要求。
如果组织在不同的国家/地区处理PII,这一点尤其重要。
第4章涵盖了适用于世界各地组织的各种法律法规。
对于任何涉及电子商务的组织来说,确定合规要求的过程可能会变得很复杂。
要记住的重要一点是,组织需要确定适用于它的法律。
设想一下,一群大学生一起工作并创建一个为他们解决问题的应用程序。
一时兴起,他们开始在Apple App Store 销售该应用程序,并迅速走红。
世界各地的人们都在购买这款应用程序,为这些学生带来了意外之财。
它也带来了重大的疑难问题。突然间,这些大学生需要了解世界各地适用于他们的法律。
有些组织设立了一个正式职位,名为合规官。
担任此职位的人员确保组织遵守了适用于该组织的法律和法规,以进行所有业务活动。
当然,这首先要确定组织在何处运营,以及所适用的合规要求。
5.1.6 确定数据安全控制
定义了数据和资产分类后,必须定义安全要求并确定安全控制以满足这些安全要求。
假设组织已决定使用前述的机密/专有、私有、敏感和公开数据标签。
然后,管理层决定制订一个数据安全策略,规定使用特定安全控制来保护这些类别中的数据。
该策略可能处理存储在文件、数据库、服务器(包括电子邮件服务器)、用户系统中的数据,以及通过电子邮件发送和存储在云中的数据。
在本例中,我们将数据类型限制为电子邮件。
组织已定义了如何在每个数据类别中保护电子邮件。
他们决定,任何公开类别的电子邮件都不需要加密。
但在发送期间(传输中的数据)以及存储在电子邮件服务器(静态数据)时,其他所有类别(机密/专有、私有和敏感)的电子邮件都必须加密。
加密将明文数据转换为乱码的密文,使其变得更难以阅读。
使用强加密方法,如具有256位密钥的高级加密标准(AES 256) ,使得未经授权的人员几乎不可能读取文本。
表5.1显示了管理层在其数据安全策略中定义的其他电子邮件安全要求。
请注意,在安全策略中,针对级别最高的分类类别(如本例中的机密/专有)中的数据,所定义的安全要求也最多。
安全管理员使用安全策略中定义的要求来识别安全控制。
对于表5.1,主要的安全控制是使用AES 256进行强加密。
管理员将确定使员工更容易满足安全要求的方法。
尽管可满足表5.1中保护电子邮件的所有要求,但可能还需要实施其他解决方案。
例如,有多家软件公司都在出售一系列产品,这些产品可被组织用来自动化执行此类任务。
在发送电子邮件前,用户要对其贴上相关标签(如机密、私有、敏感和公开)。
这些电子邮件通过DLP(数据丢失预防)服务器检测标签并应用所需的保护。
可以针对组织的特定需求设置这些DLP解决方案。
表5.1显示了组织可能希望应用于电子邮件的需求。
然而,组织不应该就此止步。组织想要保护的任何类型的数据都需要类似的安全定义。
例如,组织将定义对存储在资产(如服务器)上的数据、存储在本地站点和外部场地的数据备份以及专有数据的需求。
此外,身份和访问管理(IAM)安全控制有助于确保只有经过授权的人能访问资源。
第13章和第14章将深入地介绍IAM安全控制。
5.2 建立信息和资产的处理要求
管理敏感数据的一个关键目标就是阻止数据泄露。
数据泄露是指未经授权的实体查阅和访问敏感数据的一种事件。
如果你留意这方面新闻,就会知道数据泄露事件经常发生。
2020年万豪数据泄露等大型数据泄霹事件成为主流新闻。
万豪报告称,攻击者窃取了大约520万客人的个人数据,包括姓名、地址、电子邮件地址、雇主信息和电话号码。
不过,或许你从未听说过较小的数据泄露事件,但实际上这类事件是经常发生的。
ITRC报告了540起数据泄露事件,在2020年上半年影响了超过1.63亿人。
这相当于每周平均报告20起数据泄露事件。
下面是组织内人员应遵循的基本步骤,以限制数据泄露的可能性。
5.2.1 数据维护
数据维护是指在数据的整个生命周期中不断地组织和维护数据。
一般来说,如果一个组织将所有敏感数据存储在一台服务器上,那么相对容易的做法是将所有适当的控制都应用到这台服务器上。
相反,如果敏感数据存储在整个组织中的多台服务器和最终用户计算机上,并与非敏感数据混合在一起,那么它会变得更难以保护。
一个网络只处理未分类的数据。另一个网络处理分类数据。
物理隔离之类的技术可确保两个网络永远不会在物理上相互接触。
物理隔离是一种物理安全控制,意味着来自分类网络的系统和电缆在物理上永远不会接触来自未分类网络的系统和电缆。
此外,分类网络无法访问互联网,互联网攻击者也无法访问。
尽管如此,有些时候,例如设备、系统和应用程序需要更新时,人员需要向分类网络添加数据。
方法一:手动,人员将数据从未分类网络复制到USB设备并将其携带到分类网络。
方法二:单向网桥,这将两个网络连接起来,们只允许数据从一个方向传输,即从未分类网络到分类网络。
方法三:使用技术防护解决力案,它是放置在两个网络之间的硬件和软件的组合。保护解决方案允许正确标记的数据在两个网络之间传输。
此外,组织应定期审杳数据策略,以确保它们保持更新并且人员遵循这些策略。
审查最近数据泄露的原因并确保类似错误不会导致不必要的脆弱性,这通常是一种很好的做法。
5.2.2 数据丢失预防(DLP)
数据丢失预防系统试图检测和阻止导致数据泄露的尝试。
这些系统具有扫描未加密数据以查找关键字和数据模式的能力。
例如,假设你的组织使用机密/专有、私有和敏感的数据分类。
DLP系统可以扫描文件以查找这些分类并检测它们。
模式匹配的DLP系统寻找特定的模式。
例如,美国社会安全号码的模式是nnn-nn-nnnn(三个数字、一个连接号、两个数字、一个连接号和四个数字)。
DLP可以查找并检测这种模式。
管理员可以设置一个DLP系统来根据自己的需求查找任何模式。
基于云的DLP系统可以查找相同的代码字符或字符串。
DLP 系统分为两种主要类型。
(1)基于网络的DLP
基于网络的DLP扫描所有传出数据以查找特定的数据。
管理员将其放置在网络边缘以扫描所有离开组织的数据。
如果用户发出包含受限数据的文件, DLP系统将检测到该文件并阻止它离开组织。
DLP系统将向管理员发送警报,例如电子邮件。
基于云的DLP是基于网络的DLP的子类。
(2)基于终端的DLP
基于终端的DLP可以扫描存储在系统上的文件以及发送到外部设备(如打印机)的文件。
例如,组织基于终端的DLP可以防止用户将敏感数据复制到USB闪存驱动器或将敏感数据发送到打印机。
管理员对DLP进行配置,使其使用适当的关键字扫描文件,如果它检测到具有这些关键字的文件,将阻止复制或打印作业。
经过配置,还可使基于终端的DLP系统定期扫描文件(例如在文件服务器上)以查找包含特定关键字或模式的文件,甚至是未经授权的文件类型,如MP3文件。
DLP系统通常可以执行深度检查。
例如,如果用户将文件嵌入压缩的zip文件中,DLP系统仍然可以检测到关键字和模式。
但是,DLP系统无法解密数据或检查加密数据。
大多数DLP解决方案还包括内容发现功能。
目标是发现内部网络中有价值数据的位置。
当安全管理员知道数据在哪里时,他们可以采取额外的步骤来保护它。
例如,数据库服务器可以包括未加密的信用卡号。
当DLP发现并报告这一点时,数据库管理员可以确保这些数字是加密的。
又如,公司政策可能规定员工笔记本电脑不包含任何PII数据。
DLP内容发现系统可以搜索这些并发现任何未经授权的数据。
此外,许多内容发现系统可对组织使用的云资源进行搜索。
5.2.3 标记敏感数据和资产
标记(常被称为打标签)敏感信息确保用户可方便地识别任何数据的分类级别。
标记(或标签)提供的最重要信息是数据类别。
例如,一个绝密标签向任何看到该标签的人表明该信息被归入绝密信息。
当用户知道数据的价值时,他们更可能根据分类采取适当步骤来控制和保护它。
标签包括物理标签和电子标签。
(1)物理标签 表示存储在资产(如介质)中或在系统中处理的数据的安全类别。
例如,如果备份磁带中包含秘密数据,则附在磁带上的物理标签会向用户表明它携带了秘密数据。
同样,如果计算机处理敏感信息,则计算机将有一个表示它所处理信息的最高分类的标签。
用于处理机密、秘密和绝密数据的计算机应该用表明它处理绝密数据的标签标记。
物理标签在整个生命周期内会一直存留在系统或介质上。
(2)标记还包括数字标记或标签的使用。
一种简单方法是将分类标签放在文档的页眉或页脚,或在其中嵌入水印。
这些方法的优点是它们会出现在打印出的资料上。
即使用户的打印输出包括页眉和页脚,大多数组织仍会要求用户将打印出来的敏感文献放在一个含标签的文件夹中或在封面上清晰地标明分类。
头信息并不局限于文件。备份磁带通常包括头信息,分类信息可包含在该头信息中。
页眉、页脚和水印的另一个好处是,DLP系统可识别包含敏感信息的义档,并应用适当的安全控制。
一些DLP系统在检测到文档被分类时也会向文档添加元数据标签。
这些标签有助于人员理解文档内容,并帮助DLP系统适当地处理文档。
类似地一些组织要求在其计算机上设置特定的桌面背景。
例如,用于处理专有数据的系统可能有黑色桌面背景,”专有“一词为白色和橙色粗边框。
背景还可包括“此计算机处理专有数据”之类的语句和提醒用户保护数据的语句。
在许多安全的环境中,人员也会对未分类的介质和设备使用标签。
这可以防止遗漏错误——敏感信息未被标记。
例如,如果保存敏感数据的备份磁带未被标记,用户可能认为它保存着未分类的数据。
然而,如果组织也标记了未分类的数据,则未被标记的介质将很容易被发现,用户将带着疑惑查看未加标记的磁带。
组织通常通过特定程序对介质进行降级。
例如,如果备份磁带包含机密信息,而管理员希望恃磁带降级为未分类的。
组织将用一个可信程序清除磁带上所有可用的数据。
管理员清除磁带数据后,可以降级,并替换标签。
然而,许多组织完全禁止对介质进行降级。
例如,数据策略可能禁止对包含绝密数据的备份磁带进行降级。
相反,该策略可能要求在该磁带生命周期结束时销毁该磁带。
同样,对一个系统进行降级的做法也是很罕见的。
换而言之,如果一个系统一直在处理绝密数据,那么一般不会把它降级或将其重新标记为未分类系统。
任何情况下,都需要制订程序并获得批准,以告知人员哪些可以降级,哪些应该销毁。
5.2.4 处理敏感信息和资产
处理(handling) 指的是介质在有效期内的安全传输。
人员根据数据的价值和分类以不同方式处理数据;正如你所期望的,高度保密的信息需要更多保护。
虽然这是常识,人们仍会犯错。很多时候,人们处理敏感信息时变得麻木,不再那么热心地去保护它。
备份磁带不在控制中的情况也很常见。
备份磁带应该和其中包含的数据具有相同级别的保护。
换句话说如果备份磁带上有机密信息,则备份磁带应作为机密资产受到保护。
同样,在云中存储的数据需要受到与在本地存储的数据相同的保护级别。
Amazon 网络服务(AWS)简单存储服务(Simple Storage Service, 简写为S3)是最大的云服务提供陵之一。
数据存储在AWS存储桶中,类似于存储在Windows系统的文件夹中。
你对所有义件夹设置访问权限,同样地,你也应在AWS存储桶上设置访问权限。
不幸的是,许多AWS用户都忽略了这个概念。
例如,零售商THSuite拥有的一个存储桶在2020年初暴露了30000多人的PII。
2020年的另一个例子涉及存储在一个不安全存储桶中的900 000张整容手术前后的团像和视频。
其中许多图像和视频清楚地显示着患者的面部以及身体的各个部位。
需要制订策略和程序以确保人们了解如何处理敏感数据。
首选应确保系统和介质被适当地标记。
此外,正如里根总统所说的:“信任,但要验证。”
第17章讨论日志记录、监测和审计的重要性。
这些控制验证组织在发生重大损失之前是否对敏感信息进行了适当处理。
如果确实发生了损失,调查人员使用审计踪迹来帮助组织发现问题的所在。
对于任何由于人员没有适当处理数据而发生的事件,应该迅速进行调查,并采取措施防止其再次发生。
5.2.5 数据收集限制
防止数据丢失的最简单方法之一就是不收集数据。
例如,考虑一家允许客户使用信用卡购物的小型电子商务公司。它使用信用卡处理器来处理信用卡付款。
如果公司只是将信用卡数据传递给处理器以供批准,并且从未将其存储在公司服务器中,则公司永远不会因破坏而丢失信用卡数据。
相比之下,设想一家不同的在线销售产品的电子商务公司。
每当客户进行购买时,公司都会收集尽可能多的客户信息,如姓名、电子邮件地址、实际地址、电话号码、信用卡数据等。
若它遭受数据泄露,那么所有这些被收集的数据都会被泄露出来,导致公司承担重大责任。
指导方针很明确。
如果数据没有明确的使用目的,请不要收集和存储。
这也是许多隐私法规提到限制数据收集的原因。
5.2.6 数据位置
数据位置是指数据备份或数据副本的位置。
设想一下,一家小型组织的主要业务地点位于弗吉尼亚州的诺福克。
该组织将所有数据存储在本地站点。但是,他们会定期执行数据备份。
最佳做法是在本地站点保存一个备份副本,并在外部站点保存另一个备份副本。
如果一场灾难(如火灾)破坏了主要业务地点,该组织仍拥有在异地站点存储的一个备份副本。
需要考虑将备份存储到离本地站点多远的距离。
如果备份都存储在位于同一建筑物内的企业中,则可能会在同一场火灾中被摧毁。
即使备份存储之间的距离超过5英里,这两个位置也可能被飓风或洪水同时摧毁。
一些组织在大型数据中心维护数据。
通常将此数据复制到一个或多个其他的数据中心以保持关键数据的可用性。
这些数据中心通常位于不同的地理位置。
使用云存储进行备份时,某些组织可能需要验证云存储的位置,以确保其位于不同的地理位置。
5.2.7 存储敏感数据
应以适当的方式存储敏感数据,以防止它受到任何类型损失的影响。
加密方法防止未经授权的实体访问数据,即使他们获得了数据库或硬件资产,也无法实现访问。
如果敏感数据存储在便携式磁盘驱动器或备份磁带之类的物理介质上,那么人员应该遵循基本的物理安全实践来防止因盗窃而造成的损失。
这包括将这些设备存储在加锁的保险箱或保险库中,或存储在包括若干附加物理安全控制的安全房间内。
例如,服务器房间应包含物理安全措施以防止未经授权的访问,因此,应将便携式介质存储在服务器房间的上锁的机柜内,这将提供强大的保护。
此外,应该使用环境控制来保护介质。
这包括温度和湿度控制,如供暖、通风和空调(heating, ventilation, and air conditioning, HVAC)系统。
最终用户经常会忘记的一点是:任何敏感数据的价值都远大于保存敏感数据的介质的价值。
换句话说,购买高质量介质的做法应是具有成本效益的,特别是当数据将存储很长时间时,例如存储在备份磁带上。
类似地,内置加密的高质量USB闪存驱动器是值得购买的。
一些USB闪存驱动器包括使用指纹之类的生物特征身份认证机制,以提供附加保护。
5.2.8 数据销毁
组织不再需要敏感数据时,应该销毁它。
适当的销毁举措确保敏感数据不会落入坏人之手并导致未经授权的泄露。
销毁高分类级别数据的步骤与销毁低分类级别数据的步骤是不同的。
组织向安全策略或数据策略应该基于数据的分类来确定可接受的消毁方法。
例如,组织可能要求完全销毁保存高分类级别数据的介质,但允许员工使用软件工具覆盖较低分类级别的数据文件。
NIST SP 800-88 Rev.1” 介质净化指南”提供了不同净化方法的全面细节。
处理方法(如清理、清除和销毁)确保数据不能以任何方式被恢复。
当计算机被处理时,适当的净化(sanitization)步骤可以删除所有的敏感数据。
这包括移除或销毁所有非易失性存储器、内部硬盘驱动器和固态硬盘驱动器(SSD)上的数据,还包括删除所有的光盘(CD)或数字多功能盘(DVD)和USB驱动器。
净化指直接销毁介质或使用可信方法从介质中清除机密数据而不销毁它。
1. 消除数据残留
数据残留(data remanence)是指本应擦除却仍遗留在介质上的数据。
通常将硬盘驱动器上的数据称为剩磁或者剩余空间。
如果介质中包含任何类型的私有数据和敏感数据,则消除数据残留的步骤是非常重要的。
剩余空间是磁盘集群中未使用的空间。
操作系统以簇的形式将文件存储在硬盘驱动器上,这些簇是扇区组(硬盘驱动器上的最小存储单元)。
扇区和簇大小各不相同,但对于本示例,假设簇大小为4096字节,文件大小为1024字节。
存储文件后,集群将有3072字节的未使用空间或剩余空间。
一些操作系统用内存中的数据填充这个剩余空间。
如果用户刚才正在处理一个绝密文件,然后创建了一个未分类的小文件,则该小文件可能包含从内存中提取的绝密数据。
这就是工作人员永远不应该在非机密系统上处理机密数据的原因之一。
经验丰富的用户还可使用bmap (Linux)和slacker(windows)等工具将数据隐藏在剩余空间中。
使用系统工具删除数据时通常会让许多数据残留在介质上,并且有很多工具可以轻易地取消删除操作。
即使你使用复杂工具来覆写介质,原始数据的痕迹也可能保留为不易察觉的磁场。
这与ghost图像类似,如果某些电视和计算机显示屏长时间显示相同的数据,那么ghost图像可保留在其上。
取证专家和攻击者可使用工具来检索数据,即使这些数据已经被覆写过,他们也能实现检索。
消除数据残留的一种方法是用消磁器。
消磁器产生一个强磁场,它可在磁性介质(如传统硬盘驱动器、磁带和软盘驱动器)中重新调整磁场。
使用一定功率的消磁器,能够可靠地重写这些磁场并去除数据残留。
然而,消磁器仅对磁性介质有效。
相反,SSD使用集成电路替代旋转磁盘上的磁通。
因此,对SSD进行消磁时不会删除数据。
然而,即使使用其他方法从SSD中删除数据,也经常会出现数据残留。
一些SSD包含用于净化整个磁盘的内置擦除命令,但不幸的是,这些命令对一些来自不同制造商的SSD是无效的。
由于这些风险,净化SSD的最佳方法是销毁。
美国国家安全局(NSA)要求使用已批准的粉碎机销毁SSD。
已批准的粉碎机将SSD切成2mm或更小的尺寸。
许多组织出售由NSA批准的多个信息销毁和净化解决方案,以供政府机构和私营企业组织使用。
保护SSD的另一种方法是确保存储的所有数据都被加密。
即使净化方法无法去除所有数据残留物,这种方法也会使剩余数据变得不可读。
2. 常见数据销毁方法
下面列出与销毁数据相关的一些常见术语。
擦除(erasing) 擦除介质只对文件、文件选段或者整个介质执行删除操作。
大多数情况下,删除或移除过程只删除数据的目录或目录链接。实际数据保留在驱动器上。
当新文件被写入介质时,系统最终覆盖被擦除的数据,但残留数据可能在几个月内都不会被覆盖,这取决于驱动器的大小、有多少空闲空间以及若干其他因素。
通常,任何人都可使用可快速获取的复原工具来检索数据。
清理(clearing) 清理或覆盖操作,以便重新使用介质,并确保攻击者不能使用传统复原工具来恢复已被清理的数据。
当介质被清理时,介质上的所有可寻址位置都被写入未分类的数据。
一种方法是在整个介质上写入单个字符或指定位模式。
更彻底的方法是在整个介质上写入单个字符,然后写入该字符的补码,最后写入随机比特。
该方法在三个不同信道中重复写入操作,如图5.2 所示。
虽然这听起来像是原始数据永远丢失了,但或许可以使用复杂的实验室技术或取证技术检索一些原始数据。
此外,对某些类型的数据存储使用清理技术时并不能获得很好的清理效果。
例如,硬盘上的备用扇区、标记为“坏"的扇区和许多现代SSD上的区域不一定能被清除,可能仍会保留数据。
清除(purging) 清除是一种更强烈的清理形式,为在不太安全的环境中重用介质做准备。
它提供了一定程度的保障,不管用哪种已知方法都无法恢复原始数据。
清除过程将多次重复清理过程,且可与另一种方法(如消磁)组合在一起以完全去除数据。
尽管清除是为了消除所有数据残留物,但它并不总是被信任的。
例如,美国政府认为任何清除绝密数据的方法都是不可接受的。
介质被标记为绝密后行永远是绝密,直到它被销毁。
消磁(degaussing) 消磁器产生一个强磁场,在消磁过程中擦除某些介质上的数据。
技木人员通常使用消磁方法从磁带中去除数据,目的是使磁带恢复到原来的状态。
也可对硬盘进行消磁,但我们不推荐这种做法。
对硬盘进行消磁时通常会销毁用于访问数据的电子设备。
但你无法保证磁盘上的所有数据都已被销毁。
其他人可在净室中打开驱动器,并将盘片安装在不同的驱动器上以读取数据。
消磁不影响光盘CD、DVD或SSD。
销毁(destruction) 销毁是介质生命岗期中的最后阶段,是最安全的介质净化力法。
当销毁介质时,要确保介质不能被重用或修复,而且他人不能从被销毁的介质中提取数据。
销毁方法包括焚烧、粉碎、分解和使用腐蚀性或酸性化学品溶解。
一些组织会从高分类级别的磁盘驱动器中卸下盘片并单独销毁它们。
解除分类(declassification) 指任何在未分类的环境中为重复使用介质或系统而清除数据的过程。
可用净化方法为解除介质分类做准备,但通常安全解除介质分类所需的付出远大于在较不安全环境中使用新介质的成本。
此外,即使消除的数据不能通过任何已知方法进行恢复,也有可能存在未知的方法。
许多组织为了不承担风险,选择不对任何介质解除分类,而是在不需要的时候将介质销毁。
3. 加密擦除
如果数据在设备上是加密的,则可以使用加密擦除或加密粉碎来销毁数据。
然而,这些术语具有误导性。它们并不会删除或销毁数据。
相反,它们会销毁加密密钥,或者销毁加密密钥和解密密钥(如果使用了两个密钥)。
加密密钥被删除后,数据仍然是加密的,不能被访问。
在使用此方法时,应该使用另一种方法来覆盖数据。
如果原始加密不强,可能有人可以在没有密钥的情况下解密它。
此外,加密密钥通常会有备份,如果有人发现了备份密钥,他们仍然可以访问数据。
在使用云存储时,销毁加密密钥可能是组织可用的唯一安全的删除形式。
5.2.9 确保适当的数据和资产保留期
保留要求适用于数据或记录、保存敏感数据的介质、处理敏感数据的系统和访问敏感数据的人员。
记录保留和介质保留是资产保留最重要的因素。
第3章介绍了一个重要记录计划,可以参考该计划来确定要保留的记录。
记录保留指在需要时保留和维护重要信息,并在不需要时销毁它。
组织的安全策略或数据策略通常会标识保留时间期限。
一些法律法规指定了组织保存数据的时间长度,如三年、七年,甚至不确定期限。
组织有责任确定其适用的法律法规,并应用和遵守它们。
然而,即使在没有外部要求的情况下,组织仍然应该确定保留数据的时间期限。
例如,许多组织需要将所有审计日志保留特定的时间长度。
该时间长度取决于法律、法规、其他合作组织的要求或内部管理决策。
这些审计日志允许组织重构过去的安全事件细节。
当组织没有保留策略时,管理员可能会在管理层始料未及的情况下删除有价值的数据,或试图无限期地保留数据。
数据被组织保留的时间越长,在介质、存储位置和保护人员方面的花费就越多。
生产期终止(EOL) 、支持期终止(EOS)和服务期终止(EOSL)适用于软件或硬件。
在资产保留方面,它们直接适用于硬件资产。
大多数供应商将EOL称为他们停止销售产品的时间。
但是,他们仍然会支持他们销售过的产品,至少在一段时间内是如此。
EOS是指这种支持结束的时间。
大多数硬件都基于EOL和EOS时间周期进行更新。
组织有时会保留旧硬件以便访问旧数据,如磁带驱动器上的数据。
5.3 数据保护方法
保护数据保密性的主要方法之一是加密,如本章前面”理解数据状态”部分所述。
DLP方法有助于防止数据从网络或计算机系统中泄露出去。
本节介绍一些其他的数据保护方法。
5.3.1 数字版权管理(digital right management, DRM)
数字版权管理方法试图为受版权保护的作品提供版权保护。
其目的是防止未经授权使用、修改和分发知识产权等受版权保护的作品的行为。
以下是与DRM解决方案相关的一些方法。
DRM许可证 许可证授予对产品的访问权限并定义使用条款。
DRM许可证通常是一个小文件,其中包含使用条款以及用于解锁对产品访问的解密密钥。
持久在线认证 持久在线认证(也被称为永远在线DRM)要求系统连接到互联网后才能使用产品。
系统会定期与认证服务器连接,如果连接或认证失败,DRM将会拒绝对该产品的使用。
持续审计跟踪 持续审计跟踪记录所有对受版权保护的产品的使用。
当与持久在线认证结合在一起时,它还可以检测滥用行为,例如在两个不同的地理位置上同时使用一种产品的行为。
自动过期 许多产品都是以订阅的形式进行出售的。
例如,你可以经常租用新的流媒体电影,但这些电影只能在有限的时间内使用,例如30天。
当订阅期结束时,自动到期功能会阻止任何进一步的访问。
举个例子,设想一下,你梦到一个绝妙的书籍创意。
你醒来后兴致勃勃地写下所记得的一切。
在接下来的一年里,你把所有的空闲时间都花在了发展这个创意上,并最终出版了该书籍。
为了方便某些人阅读你的著作,你提供了该书的可移植文档格式(PDF)版本。
你很高兴看到它在畅销书排行榜上飙升。
你正在实现财务自由,以开发在另一个梦中出现的另一个好主意。
但不幸的是,有人复制了该PDF文件并将其发布在暗网上。
来自世界各地的人们发现了它,然后开始在网上以近乎免费的方式出售它,并声称他们得到了你的许可。
当然,你没有给他们许可。相反,他们从你一年的工作中获利,而你的销售收入开始下降。
这种类型的复制和分发,通常被称为盗版,多年来犯罪分子以此牟利。
他们不仅出售非其编写的书籍,还复制和出售音乐、视频、视频游戏、软件等。
有些DRM方法试图阻止对受保护材料的复制、打印和转发。
有时使用隐写术将数字水印放置在音频或视频文件中。
它们不会阻止复制,但可用于检测未经授权的文件复制。
它们还可用于版权执法和起诉。
同样,元数据有时会被放入文件中以识别买方。
许多组织和个人反对DRM。他们声称这限制了他们对所购买材料的合理使用。
例如,在为某些歌曲付费后,他们想将其复制到MP3播放器和智能手机上。
此外,反对DRM的人员声称它对想要绕过它的人并无效果,而是使合法用户的使用变得复杂。
第4章更深入地介绍了知识产权、版权、商标、专利和商业秘密。
DRM方法用于保护受版权保护的数据,但不用于保护商标、专利或商业秘密。
5.3.2 云访问安全代理(CASB)
云访问安全代理(CASB)是指逻辑位置上处于用户和基于云的资源之间的软件。
它可部署在本地或云端。任何访问云的人都须通过CASB软件。
它监控所有活动并执行管理员定义的安全策略。
举个简单的例子,假设一家公司决定使用云提供商进行数据存储,但管理层希望对存储在云中的所有数据进行加密。
CASB可监控所有进入云端的数据,确保其到达并以加密格式存储。
CASB通常包括身份认证和授权控制,并确保只有授权用户能访问本资源。
CASB还可记录所有访问、监控活动并发送可疑活动警报。
通常,组织内部创建的任何安全控制都可被复制到CASB。这包括组织实施的任何DLP功能。
CASB解决方案还可有效地检测影子IT。
影子IT是指在IT部门尚未批准甚至不知情的情况下使用IT资源(如云服务)。
如果IT部门不了解使用情况,则无法对其进行管理。
CASB解决方案检测影子IT的一种方法是收集和分析来自网络防火墙和Web代理的日志。
5.3.3 假名化
假名化是一个使用假名来表示其他数据的过程。
当假名化被有效执行时,可能不需要遵守那么严格的要求,否则将需要遵守第4章中提到的欧盟(EU)《通用数据保护条例》(GDPR) 。
假名就是别名。
例如《哈利·波特》作者J. K.罗琳以Robert Galbraith的笔名出版了一本名为The Cuckoo's Calling的书籍。
至少在好几个月内没有人知道该书的作者就是她。
后来有人爆料Robert Galbraith是她的假名,她的经纪人随后证实了这个传闻。
现在,如果你知道这是她的假名,你就会知道Robert Galbraith撰写的任何书实际上都是由J.K. 罗琳撰写的。
同样,假名可防止攻击者直接通过数据识别实体,比如识别出个人。
例如,医生的医疗记录中不包含患者的姓名、地址和电话号码等个人信息,而在记录中将患者称为患者23456。
但医生仍然需要这些个人信息,并将这些个人信息保存在一个与患者假名(患者23456)相关联的另一个数据库中。
值得注意的是,在上例中,假名(患者23456)可代表关于该人的若干信息。
但假名也可用于指代单个信息。例如,你可用一个假名代表某人的名字,用另一个假名代表其姓氏。
关键是要有另外一个资源(如另外一个数据库)允许你使用假名在其中读取原始数据。
医生可以向医学研究人员发布假名数据,而不会损害患者的隐私信息。
但是,如果有必要,医生仍然可以通过逆向过程来恢复原始数据。
GDPR将假名化定义为用人为标识符替换数据的过程,这些人为标识符即假名。
5.3.4 令牌化
令牌化是使用一个令牌(通常是一个随机字符串)来替换具他数据的做法。
它经常用于信用卡交易中。
例如,假设Becky Smith将信用卡与她的智能手机关联起来。
信用卡的令牌化通常是按以下方式工作的。
注册 当她第一次将信用卡与智能手机相关联时,手机上的一个应用程序安全地将信用卡号码发送到信用卡处理器。
信用卡处理器将信用卡发送到由信用卡处理器控制的令牌化保险库。
该保险库创建一个令牌(一串字符),并记录该令牌和加密的信用卡号码,并将其与用户的电话关联起来。
使用 后来,Becky 去了星巴克,用她的智能手机买了些咖啡。
她的智能手机将令牌传递给销售点(POS)系统。POS系统将令牌发送给信用卡处库器以授权支付。
验证 信用卡处理器将令牌发送到令牌化保险库。该保险库使用未加密的信用卡数据进行应答,然后信用卡处理器处理费用。
完成销售 信用卡处理程序向POS系统发送一个回复,表明该费用已被批准,并将该购买费用记入卖方。
过去,信用卡数据曾在POS系统中被拦截和窃取。
但是,当使用令牌化时,POS系统不会使用或知道信用卡号码。
用户将其一次传输给信用卡处理器,信用卡处理器存储信用卡数据的加密副本以及与此信用卡匹配的令牌。
稍后,用户提供令牌,信用卡处理器通过令牌化库验证令牌。
经常性收取费用的电子商务网站也使用令牌化。
电子尚务网站不收集和存储信用卡数据,而是从信用卡处理器获取令牌。
信用卡处理器创建令牌,存储信用卡数据的加密副本,并以与POS系统相同的方式处理收费。
然而,该电子商务网站并不持有任何敏感数据。
即使攻击者获得了令牌并试图对其进行攻击,也会失败,因为支付只会被电子商务网站接收。
5.3.5 匿名化(anonymization)
如果你不需要个人数据,不妨使用另一种方法一匿名化。
匿名化是删除所有相关数据的过程,使攻击者理论上无法识别出原始主体或个人。
如果有效地完成了匿名化,匿名数据就不必再遵守GDPR。但是,你很难将数据真正匿名化。
个人数据即使已被删除,也能被数据推断技术识别出来。这有时被称为匿名化数据的重新识别。
例如,有一个数据库,其中包含过去75年中在电影中担任主角或联袂主演的所有演员的列表,以及他们通过每部电影赚取的钱。该数据库有三个表:Actor表包含演员姓名,Movie表包含电影名称,Payment表包含每个演员为每部电影赚取的收益金额。这三个表是相互关联的,因此你可通过查询数据库轻松确定任何演员为任意电影赚取的收益。
如果你从Actor表中删除了演员姓名,则此表不再包含个人数据,但这并不是真正的匿名。
例如,吉恩·哈克曼(Gene Hackman) 已经出演了七十多部电影,而且每部电影都是他主演的,没有其他的主演人员。
如果你已经识别出这些电影,那么现在可查询数据库并准确了解他通过每部电影赚取的收入。
即使他的名字已从数据库中删除,并且名字是数据库中仅有的明显个人数据,数据推断技术仍可识别出与他对应的记录。
随机屏蔽是一种匿名化数据的有效方法。
随机屏蔽是指交换单个数据列中的数据,从而使每一条记录不再代表真实的数据。
但是,数据仍然保持一个可用于具他目的的聚合值,比如科学目的。
例如,表5.2 显示了具有原始值的数据库中的四个记录。
四个人的平均年龄就是一个聚合数据,即29岁。
表5.3 显示了数据交换后的记录,它有效地屏蔽了原始数据。
请注意,交换后的数据变为一个随机的名字集、一个随机的姓氏集和一个随机的年龄集。
它们看起来像真实数据,但实际上列与列之间并非相互关联的。
但我们仍可从表中检索出聚合数据,即平均年龄仍为29岁。
如果一个表只有四行三列,那么熟悉此表的人可能还原出一些数据。
而如果一个表有十几列和数千条记录,攻击者就不可能还原出数据,因此,这种情况下,数据屏蔽是一种有效的匿名数据方法。
与假名化和令牌化不同,匿名化过程是不可逆转的。
使用随机屏蔽的方式匿名化数据后,该数据是无法恢复到原始状态的。
5.4 理解数据角色
组织内的许多人管理、处理和使用数据,不同角色有不同的需求。不同文档资料对这些角色的定义略有不同。
你可能看到一些术语与NIST文档中使用的专业术语相匹配,而其他术语与欧盟(EU)《通用数据保护条例》(GDPR)中使用的一些专业术语相匹配。在适当的时候,我们列出来源,以便你根据需要深入研究这些术语。
这里最重要的概念之一是确保员工知道谁拥有信息和资产。所有者对数据和资产的保护负有主要责任。
5.4.1 数据所有者(data owner)
数据所有者(有时被称为组织所有者或高管)是对数据负有最终组织责任的人。
所有者通常是首席运营官(CEO)、总裁或部门主管(DH) 。
数据所有者识别数据的分类并确保它被正确地标记。
他们还确保它在分类和组织的安全策略要求的基础上有足够的安全控制。
所有者如未能在制订和执行安全策略时在保护和维持敏感资料方面进行尽职审查,则可能需要对其疏忽负责。
NIST SP 800-18 Rev.1“ 联邦信息系统安全计划开发指南”概述了信息所有者(其实与数据所有者相同)的以下职责。
•建立适当使用和保护主体数据/信息的规则(行为规则)。
•向信息系统所有者提供有关信息所在系统的安全要求和安全控制的输入。
•决定谁可以访问信息系统,及其具备哪些类型的特权或访问权限。
•协助识别和评估信息驻留环境的通用安全控制。
5.4.2 资产所有者
资产所有者(或系统所有者)是拥有处理敏感数据的资产或系统的人员。
NIST SP 800-18概述了系统所有者的以下职责。
•与信息所有者、系统管理员和功能的最终用户协作开发系统安全计划。
•维护系统安全计划,确保系统按照约定的安全要求部署和运行。
•确保系统用户和支持人员接受适当的安全培训,如行为规则指导。
•在发生重大变化时更新系统安全计划。
•协助识别、实施和评估通用安全控制。
通常系统所有者和数据所有者是同一人员,但有时不是同一个人,例如不同的部门主管(DH) 。
以用于电子商务的Web服务器为例,它与后端数据库服务器进行交互:软件开发部门可执行数据库开发和数据库管理操作,但IT部门负责维护Web服务器。
这种情况下,软件开发部门主管是数据库服务器的系统所有者,而IT部门主管是Web服务器的系统所有者。
但是,如果软件开发人员在IT部门工作,那么IT部门主管将是两个服务器的系统所有者。
系统所有者负责确保系统中处理的数据的安全性,这包括识别出系统处理的最高安全级别的数据。
然后,系统所有者要确保系统被准确地标记,并提供相应的安全控制措施以保护数据。
系统所有者与数据所有者进行交流,以确保数据被保存在系统中时,在系统间传输时,以及被系统上的应用程序使用时都受到保护。
系统和数据所有者是组织内的高级人员。因此,管理团队通常包括系统和数据所有者。
当系统有一个系统所有者和另一个数据所有者时,这尤其有帮助。
5.4.3 业务/任务所有者
在不同的定义中,业务/任务所有者所扮演的角色是不同的。
NIST SP 800-18将业务/任务所有者称为项目经理或信息系统所有者。
因此,业务/任务所有者的职责可与系统所有者的职责重叠,或者二者可交替使用。
业务所有者也可使用被其他实体管理的系统。
例如,销售部门是业务所有者,IT部门和软件开发部门是销售流程中使用的系统的所有者。
设想一下,销售部门主要通过电子商务网站访问后端数据库服务器以进行在线销售。
与前面的例子一样,IT部门作为系统所有者管理Web服务器,软件开发部门作为系统所有者维护数据库服务器,即使销售部门不是这些系统的所有者,也可使用这些系统来完成销售业务流程。
在企业中,业务所有者的责任是确保各个系统能为企业提供价值,这听起来理所当然。
但是,将其与IT部门对比,你将发现并非如此。如果发生任何成功的攻击或数据泄露,过错很可能落在IT部门。
IT部门通常会推荐不会立即为组织增加价值但会降低整体风险的安全控制或系统。
业务所有者负责评估这些建议,并可能认为被控制措施消除的风险可能带来的损失小于购买控制措施将造成的收入损失。
看待这个问题的另一种方法是比较成本中心和利润中心之间的冲突。
IT部门不产生收入。相反,它是一个产生成本的成本中心。相比之下,业务方作为利润中心产生收入。
IT 部门产生的成本可能会降低风险,但它们会吞噬业务力产生的利润。
业务方可能认为IT部门在花钱,减少利润,并使业务更难以产生利润。
同样,IT部门可能认为业务方对降低风险不感兴趣,至少在发生代价高昂的安全事件之前是这样。
公司通常实施IT治理方法,例如信息和相关技术控制目标(COBIT)等。
这些方法可以帮助企业所有者和任务所有者平衡安全控制要求与业务需求之间的关系。
总体目标是提供一种通用语言,让所有利益相关者都可使用它来满足安全和业务需求。
5.4.4 数据处理者和数据控制者
通常,任何处理数据的系统都可以被称为数据处理者。不过,GDPR对数据处理者有更具体的定义。
GDPR将数据处理者定义为"仅代表数据控制者处理个人数据的自然人或法人、公共权力机构、代理机构或其他机构”。
在这个定义的上下文中,数据控制者是控制数据处理的个人或实体。
数据控制者决定要处理什么数据,为什么要处理这个数据,以及如何处理它。
例如,一个收集员工个人信息来制作工资单的公司是一个数据控制者。如果公司将员工信息交付给第三方公司,让其完成处理工资单的任务,则第三方公司就是数据处理者。在此示例中,第三方公司(数据处理者)不得将员工工资单数据用于原公司要求以外的任何其他目的。
GDPR限制欧盟组织向欧盟以外的国家传输数据。
违反GDPR隐私规定的公司会面临其全球收入的4%的巨额罚款。
但不幸的是,GDPR因为包含太多法律规定而给组织带来了很多挑战。
例如,GDPR 第107条包含这样一条单独的声明:
“禁止将个人数据转让给笫三国或国际组织,除非本条例中有关转让的规定受制于适当的保障措施,包括具有约束力的公司规则,以及对特定情况的免除条款。”
因此,许多组织都设立了专门的角色,如数据隐私官,以监督对数据的控制,并确保组织遵守所有相关的法律和法规。
GDPR规定,任何必须遵守GDPR的组织都必须设置数据保护官。担任这个角色的人员负责确保组织应用法律保护个人的私人数据。
5.4.5 数据托管员(custodian)
数据所有者常将日常任务委托给数据托管员。
托管员通过正确存储和保护数据来帮助保护数据的完整性和安全性。
例如,托管员将确保按照备份策略中的指南对数据进行备份。
如果管理员配置了对数据进行的审计,那么托管员也将维护这些审计日志。
实际上,通常IT部门员工或系统安全管理员是托管员,他们也可能充当为数据分配权限的管理员。
5.4.6 管理员
你经常会听到管理员一词。但是,该术语在不同的上下文中有着不同的含义。
如果Sally在Windows系统中登录到管理员账户,她就是管理员。
同样,在Windows中被添加到管理员组的任何人都是管理员。
但是,许多组织将任何具有高级权限的人员都视为管理员,即使他们没有完全的管理权限。
例如,服务台员工被授予一些高级权限来执行其工作,但他们没有被授予完全的管理权限。
在这种情况下,他们有时也被称为管理员。在数据角色的上下文中,数据管理员可能是数据托管员或其他数据角色的人员。
5.4.7 用户和主体
用户是通过计算系统访问数据以完成工作任务的人。用户只能访问执行工作任务所需的数据。
也可将员工或最终用户视为用户。
用户属于更广泛的主体类别。主体是访问文件或文件夹等客体的任何实体。
主体可以是用户、程序、进程、服务、计算机或任何其他可以访问资源的东西。
GDPR将数据主体(不仅仅是主体)定义为可以通过标识符(如姓名、身份证号或其他方式)识别的个人。
例如,如果文件包含关于Sally Smith的PII, 则Sally Smith就是数据主体。
5.5 使用安全基线
一旦组织对其资产进行了识别和分类,即代表组织希望保护资产,而安全基线就是用于保护资产的。
安全基线提供了一个基点并确保了最低安全标准。组织经常使用的安全基线是映像。
第16章将深入介绍如何配置管理环境中的映像。
这里简单介绍一下,管理员使用所需的设置配置单个系统后,将其捕获为映像,然后将映像部署到其他系统。
这可确保所有系统都被配置为相同的安全状态,有助于保护数据的隐私。
将系统部署为安全状态后,审计进程会定期检查系统以确保它们一直处于安全状态。
例如,Microsoft组策略可定期检查系统并重新应用设置以匹配基线安全状态。
NIST SP 800-53 Rev.5“ 信息系统和组织的安全和控制措施“提到安全控制基线并把它定义为一组为信息系统定义的最小化的安全控制列表。
它强调一套单独的安全控制措施并不适用于所有情况,但任何组织都可先选择一组基线安全控制措施,然后根据需要将其定制为基线。
SP 800-53的附录B“ 信息系统和组织的控制基线”包含一个完整的安全控制措施清单,并已确定了包含许多安全控制措施的多个基线。
具体来说,根据系统的保密性、完整性和可用性遭到破坏后对组织使命可能造成的影响提出了4类基线。
4 类基线如下:
•低影响的基线
如果保密性、完整性或可用性遭到破坏后将对组织的使命产生较小的影响,则建议在此基线中使用低影响的基线控制。
•中影响的基线
如果保密性、完整性或可用性遭到破坏后将对组织的使命产生中等影响,则建议在此基线中使用中影响的基线控制。
•高影响的基线
如果保密性、完整性或可用性遭到破坏后将对组织的使命产生重大影响,则建议在此基线中使用高影响的基线控制。
•隐私控制基线
此基线为处理PII的任何系统提供初始基线。组织可将此基线与其他基线之一结合起来。
这里的“影响”指如果系统遭到破坏并发生数据泄露,在最坏情况下所造成的潜在影响。
例如,设想某个系统受到了破坏,你尝试预测这种破坏对系统及其数据的保密性、完整性或可用性的影响。
•如果破坏会导致隐私数据泄露,你可将标识为隐私控制基线的安全控制添加到你的基线中。
•如果破坏导致的影响较小,你可将标识为低影响的安全控制措施添加到你的基线中。
•如果破坏导致的影响是中等的,那么除了低影响控制安全措施外,你需要考虑把中影响的安全控制措施也添加到你的基线中。
•如果破坏导致的影响很大,那么除了低影响和中影响的安全控制措施外,你需要考虑把高影响的安全控制措施也添加到你的基线中。
值得注意的是,标记为低影响的许多安全控制措施都是基础性的安全措施。
同样,基本安全原则(如最小特权原则)的实施对于参加CISSP考试的人来说应该并不陌生。
当然,不能仅因为这些是基础性的安全措施就认定组织会实现它们。
不幸的是,许多组织未采取这些基础性的安全措施,也尚未意识到自己需要采取这些措施。
5.5.1 对比定制和范围界定
选择控制基线后,组织通过定制(tailoring)和范围界定(scoping)流程对其进行微调。
定制(tailoring) 过程的很大一部分是使控制措施与组织的特定安全要求保持一致。
打个比方,设想一个修改或修理衣服的裁缝。如果一个人在高端零售商处购买西装,裁缝会修改西装以使其完全适合该人。
同样,定制基线可确保它高度适合组织。
定制是指修改基线内的安全控制列表以使其符合组织的使命。
NIST SP 800-53B正式将其定义为“组织范围内风险管理流程的一部分,包括构建、评估、响应和监控信息安全和隐私风险”,并指出它包括以下活动:
•识别和指定通用控制措施
•应用范围界定事项
•选择补偿性控制
•分配控制措施价值
选定的基线可能不包括通常实施的控制措施。
然而,如果基线中不包含安全控制,并不意味着它应该被删除。
例如,假设数据中心包括覆盖外部入口、内部出口和每排服务器的摄像机,但基线仅建议摄像机覆盖外部入口。
在定制过程中,工作人员将评估这些额外的相机并确定是否需要它们。
他们可能会决定删除一些相机以节省成本或保留它们。
组织可能会认为一组基线控制完全适用于其中心位置的计算机,但某些控制措施不适合远程办公室位置或不可行。
在这种情况下,组织可以选择补偿性安全控制来为远程站点定制基线。
再举个例子,假设账户锁定策略被设置为在用户输入错误密码五次时将账户锁定。
在本例中,控制值为5, 但定制过程可能会将其改为3。
范围界定(scoping) 指审查基线安全控制列表,并且仅选择适用于你要保护的IT系统的安全控制措施。
或者,简而言之,范围界定过程消除了基线中推荐的一些控制措施。
例如,如果系统不允许两个人同时登录,则不需要应用并发会话控制安全方法。
在定制过程的这一部分,组织查看基线中的每个控制,并以书面形式说明不选用基线中任何控制措施的决定。
5.5.2 选择标准
在基线内或其他情况下选择安全控制措施时,组织需要确保安全控制措施符合某些外部安全标准。
外部要素通常为组织定义强制性要求。
例如,PCI DSS定义了企业处理信用卡时必须遵循的要求。
同样,收集或处理属于欧盟公民的数据的组织必须遵守GDPR的要求。
显然,并非所有组织都必须遵守这些标准。
不处理信用卡交易的组织不需要遵守PCI DSS。
同样,不收集或处理属于欧盟公民的数据的组织也不需要遵守GDPR要求。
因此,组织需要确定适用于自己的标准,并确保他们选择的安全控制措施符合此标准。
尽管法律上没有要求你的组织遵循特定标准,但若能遵守精心设计的标准,你的组织将获益匪浅。
例如,美国政府组织必须遵循NIST SP 800文件发布的许多标准。
私营部门的许多组织同样使用这些标准来帮助他们制订和实施自用的安全标准。
1467
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
