理解和应用保密性、完整性以及可用性的概念
安全管理的概念与原则是实施安全策略和安全解决方案的核心内容,安全管理的概念与原则定义了安全环境中必须的基本参数,也定义了安全策略设计人员和系统实施人员为创建安全解决方案必须实现的目标。
保密性、完整性、可用性
这三个信息安全原则被视为安全领域最重要的原则,每个原则对特定组织有多重要取决于该组织的安全目标和需求以及组织安全受到威胁的程度。
保密性
保密性:指为保障数据、客体或者资源保密状态而采取的措施,保密性保护的目标是阻止或者最小化未经授权的数据访问。
主体与客体之间的关系管理称为访问控制。
总的来说,要维护网络中的保密性,必须要保护数据避免在存储,处理和传输过程中遭受未经授权的访问,使用或者泄露。
许多控制措施有利于保障保密性以抵御潜在的威胁,这些控制措施包括加密、填充网络流量,严格的访问控制,严格的身份验证程序,数据分类和充分的人员培训。
完整性
完整性是保护数据可靠性和正确性的概念,完整性保护措施防止了未经授权的数据更改,它确保数据保持准确,未被替换。
可以从以下三个方面检验完整性:
1、防止未经授权的主体进行修改
2、防止授权主体进行未经授权的修改,如引入错误
3、保持客体内外一致以使客体的数据能够真实反映现实世界,而且与任何子客体,对等客体或者父客体的关系都是有效的,一致的和可验证的
为在系统中维持完整性,必须对数据,客体和资源的访问设置严格的控制措施。此外,应该使用活动记录日志来确保只有经过授权的用户才能访问各自的资源,在存储,传输和处理中维护和验证客体的完整性需要多种控制和监督措施。
完整性依赖于保密性
不可否认性是问责制的重要组成部分,如果嫌疑人能够证明起诉不成立,她就不会被追究责任
可用性
可用性意味着授权主体被授予实时的,不间断的客体访问权限,通常,可用性保护控制措施就提供组织所需的充足带宽和实时的处理能力。
可用性包括对客体的有效的持续访问及抵御拒绝服务攻击,
要在系统上维护可用性,必须要有适当的控制措施以确保授权的访问和可接受的性能水平,能快速处理终端,能提供冗余,能维护可靠的备份,能防止数据丢失或者受损。
可用性、可访问性、及时性
CIA三元组的优先级别中一个普遍存在的情况是军方和政府机构很多时候倾向于优先考虑保密性而不是完整性和可用性,而私营企业倾向于优先考虑可用性而不是保密性和完整性
其他安全概念
AAA服务概念:分别代表身份验证,授权和记账。最后一个A有时候也指审计的概念。
尽管缩写只有三个字母,但是实际上代表了5项内容:标识、身份验证、授权、审计和记账
标识:当试图访问受保护的区域或者系统时声明自己的身份
身份验证:证实身份
授权:对一个具体身份定义其对资源和客体的访问许可
审计:记录与系统和主体相关的事件与活动日志
记账又名问责制:通过审查日志文件来核查合规和违规情况,以便让主体对自身行为负责
1、标识
标识是主体声明身份和责任的过程,主体必须为系统提供身份标识来启动身份验证,授权和记账过程,一旦主体被标识即一旦主体的身份被标识和验证,该主体要对其接下来的所有行为负责。简单的身份声明并不意味这访问或者授权,在允许访问受控资源之前,必须证明身份或者验证身份,这个过程就是身份验证
2、身份验证
验证或者测试声明的身份是否有效的过程称为身份验证。身份验证要求主体提供与所要求的身份对应的附加消息。
一个主体可提供多种类型的身份验证因子--例如:你知道的东西(如密码、PIN)、你拥有的东西(如密钥、令牌、智能卡)、你具备的东西(如生物特征识别,指纹,虹膜或者语音识别)。每种身份验证技术或者身份验证因子都有优缺点,因此重要的是根据环境来评估每种身份验证机制的部署可行性。
3、授权
一旦主体通过身份验证,就必须进行访问授权,授权过程确保对已通过验证的身份所请求的活动或对客体的访问时可以被赋予的权利和特权。
4、审计
审计或者监控是追踪和记录主体的操作,以便在验证过的系统中让主体为其行为负责的程序化过程。审计也是对系统中未经授权的或者异常的活动进行检测的过程。记录系统崩溃起因的事件日志常用于发现系统出现故障的原因,日志文件为重构事件、入侵或者系统故障的历史记录提供了审计踪迹。
我们需要通过审计来检测主体的恶意行为,入侵企图和系统故障以及重构事件,为起诉提供证据,生成问题报告和分析结果。监控是一种观测或者监督,而审计时把信息记录到档案或者文件。
5、记账或者问责制
组织的安全策略只有在有问责制的情况下才能得到适当实施,换句话说,只有在主体对他们的行为负责时,才能保持安全性。人员的问责制最终取决于身份验证过程的强度,如果没有强大的身份验证过程,那么发生不可接受的果冻时,我们就无法确定与特定用户账户相关联的人员就是实际控制该用户账户的实体。
保护机制
理解和应用保密性、完整性和可用性概念的另一个方面是保护机制或者保护控制,保护机制是安全控制的共同特征,并不是所有安全控制都必须具有这些机制,但许多保护控制通过使用这些机制提供了保密性。完整性和可用性。这些机制的常见示例包括使用多层或者分层访问,利用抽象,隐藏数据和使用加密技术。
分层
分层被称为纵深防御,指简单使用一系列控制中的多个控制,没有哪个控制能防范所有可能的威胁,使用多层防护解决方案允许使用许多不同的控制措施来抵御随时出现的威胁。
使用串行层而不是并行层很重要的,在串行层中执行安全控制意味着以线性方式连续执行一个又一个控制,只有通过串行层的配置,安全控制才能扫描,评估或减轻每个攻击。如果安全控制是并行实现的,威胁就可以通过一个没有处理其特定恶意活动的检查点而导致整个解决方案失效。
抽象
抽象是为了提高效率,相似的元素放入组、类或者角色中作为一个集合被指派安全控制,限制和许可。因此,可将抽象的概念应用到对客体进行分类或者向主体分配角色。
数据隐藏
数据隐藏是将数据存放在主体无法访问或读取的逻辑存储空间以防止数据被泄露或者访问。数据隐藏的形式包括防止未经授权的访问者访问数据库,以及限制安全级别较低的主体访问安全级别较高的数据。阻止应用程序直接访问存储硬件也是一种数据隐藏形式。
通过隐匿保持安全与数据隐藏是类似的,不过,通过隐匿保持安全是另一种概念。
数据隐藏是指故意将数据存放在未授权的主体无法查看或者访问的位置,而通过隐匿保持安全是指不告知主体客体存在,从而希望主体不发现该客体,一个实例是:虽然程序员知道软件代码存在缺陷,但它们还是发布了产品,并希望没人会发现和利用代码中存在的缺陷。
加密
加密时关于对非预期的接受者隐藏通信的真实含义和意图的艺术与科学,它能将信息传递的意义或意图隐藏起来。
评估和应用安全治理原则
安全治理是与支持,定义和指导组织安全工作相关的实践集合,治理的共同目标是维护业务流程,同时努力实现增长和弹性。
组织迫于法律和法规的要求必须实施治理,也被要求遵守行业指南或许可证要求。
使用术语安全治理指出安全需要在整个组织中进行管理和治理,而不仅是在IT部门
与业务战略、目标、使命和宗旨相一致的安全功能
安全管理计划确保正确的创建,执行和实施安全策略,安全管理计划使安全功能与业务战略,目标,使命和宗旨相一致。
最能有效处理安全管理计划的一个方法是自上而下,上层,高级或者管理部门负责启动和定义组织的策略,安全策略为组织架构内的各个级别提供知道,中层管理人员负责将安全策略落实到标准,基线,指导方针和程序,然后操作管理人员或者安全专业人员必须实现安全管理文档中规定的配置,最后,最终用户必须遵守组织的所有安全策略
安全管理是上层管理人员的责任,而不是IT人员的责任,也被认为是业务操作问题,而不是IT管理问题,在组织中负责安全的团队或部门应该是独立的
信息安全团队应该由指定的首席信息安全官领导,CISO必须直接向高级管理层汇报
安全管理计划的内容包括:定义安全角色,规定如何管理安全,由谁负责安全以及如何检验安全的有效性,制定安全策略,执行风险分析,要求对员工进行安全教育,这些工作都通过制定管理计划来完成。
战略计划:是一个相对稳定的长期计划,它定义了组织的安全目的,还有助于理解安全功能,并使其与组织的目标,使命和宗旨相一致。如果每年进行维护和更新,战略计划的有效期大约是5年
战术计划:战术计划是为实现战略计划中设定的目标提供更多细节而制定的中期计划,战术计划通常在一年左右的时间内游泳,通常规定和安排实现组织目标所需的任务,示例:项目计划,收购计划,招聘计划,维护计划
操作计划:操作计划时在战略计划和战术计划的基础上,制定的短期,高度详细的计划,操作计划必须经常更新,以保持符合战术计划,示例:培训计划,系统部署计划和产品设计计划
组织的流程
安全治理需要关注组织的方方面面,包括收购,剥离和治理委员会的过程。
1、变更控制/变更管理
安全环境的变更可能引入漏洞,重叠,客体丢失和疏忽进而导致出现新脆弱性。面对变更,维护安全的唯一途径就是系统性的变更管理,这通常涉及到与安全控制和安全机制相关的活动,包括广泛的计划,测试,日志记录,审计和监控,然后对环境变化进行记录来识别变更发起者,无论变更发起者是客体,主体,程序,通信路径还是网络本身
首要目标是使所有变更被详细记录和审计,重要目标是防止非预期的安全降低。
2、数据分类
数据分类也称数据分级是基于数据的保密性,敏感性或秘密性需求而对其进行保护的主要手段,数据分类用于确定为保护数据和控制对数据的访问而分配多少精力,金钱和资源,
数据分类方案的主要目标是基于指定的重要性与敏感性标签,对数据进行正式化和分层化的安全防护过程。
实现数据分类:七步骤:
1、确定管理人员,并且定义职责
2、指定信息如何分类和标记的评估标准
3、对每个资源进行数据分类和增加标签
4、记录数据分类策略中发现的任何一场,并且集成到评估标准中
5、选择将应用于每个分类级别的安全控制措施,以提供必要的保护级别
6、指定解除资源分类的流程,以及将资源保管权转移给外部实体的流程
7、建立组织范围的培训程序来指导所有人员使用分类标签
政府/军事分类方案:绝密、秘密、机密、敏感但未分类、未分类
绝密:未经授权泄露绝密数据,将对国家安全造成严重影响和严重损坏,最高机密数据时基于知其所需划分的,这样用户就可以拥有最高机密权限,并且在知其所需前不访问任何数据
秘密:用于描述具备限制性质的数据,未经授权泄露被列为秘密的数据,将对国家安全造成重大影响和重大损害
机密:机密用于敏感的,专有的或者高度有价值的数据,未经授权泄露机密信息,将对国家安全造成明显的影响和严重损害
敏感但未分类SBU:用于内部使用或仅用于办公室使用的数据
未分类:描述既不敏感也不需要分级的数据
商业分类级别:机密、私有、敏感、公开
机密:用于极度敏感的和只在内部使用的数据。
私有:私有指私有的或个人特有的及仅供内部使用的数据,如果公司或者个人的私有数据被泄露,将产生重大的负面影响
敏感:用于比公开数据分类级别更高的数据,如果敏感数据被泄露,会给公司带来负面影响
公开:用于所有不适合较高分类级别的数据,泄露公开数据不会给组织带来严重的负面影响
组织的角色与责任
安全角色是个人在组织内安全实施和管理总体方案中扮演的角色,安全角色不是固定或静止的,所以并不需要预先在工作内容中说明。
高级管理者:组织所有者角色被分配给最终对组织安全的维护负责及最关心资产保护的人员。高级管理者必须在所有策略问题上签字。
安全专业人员:安全专业人员角色或计算机响应小组角色被分配给受过培训和经验丰富的网络、系统和安全工程师门。他们负责高级管理者下达的指示。职责是保证安全性,包括编写和执行安全策略,不是决策者,而是实施者,所有决策都必须由高级管理者决定。
数据所有者:数据所有者角色将被分配给在安全解决方案中负责布置和保护信息分类的人员,通常是高级管理人员,他们最终对数据保护负责。
数据托管员:被分配给负责执行安全策略与高级管理者规定的保护任务的人员,包括执行和测试备份,验证数据完整性,部署安全解决方案以及基于分类管理数据存储
用户:被分配给任何能访问安全系统的人员
审计人员:负责审查和验证安全策略是否正确执行,以及相关的安全解决方案是否完备。
安全控制框架
安全规划必须首先制定计划,然后规划标准和合规,最后实际开发额设计计划。
信息和相关技术控制目标COBIT:
原则1:满足利益相关方的需求
原则2:从端到端覆盖整个企业
原则3:使用单一的集成框架
原则4:采用整体分析法
原则5:把治理从管理中分离出来
应尽关心和尽职审查
应尽关心:指使用合理的关注来保护组织的利益
尽职审查:指的是具体的实践活动
开发、记录和实施安全策略、标准、程序和指南
开发和实现文档化的安全策略、标准、程序和指南可以生成可靠的,可依赖的安全基础设施,这种规范化过程极大地减少了IT基础设施设计和实现的安全解决方案中的混乱和复杂性。
安全策略
规范化的最高层级文件是安全策略,安全策略定义了组织所需的安全范围,讨论需要保护的资产以及安全解决方案需要提供的必要保护程度。安全策略是对组织安全需求的概述或者归纳,它定义了主要的安全目标,并概述了组织的安全框架。
监管性策略,建议性策略,信息性策略
安全策略不是定义谁要做什么,而是定义在安全基础结构内的各个角色必须做什么,然后将这些定义好的安全角色作为工作描述或工作任务分配给个人
可接受的使用策略是一个常规生成的文档,它是整个安全文档基础结构的一个组成部分。
标准、基线和指南
一旦完成主要的安全策略,就可以在这些策略的指导下编制其他安全文档,标准对硬件,软件,技术和安全控制方法的一致性定义了强制性要求。标准是战术计划文档,规定了达到安全策略定义的目标和总体方向的步骤或者方法。
下一层级是基线,基线定义了整个组织中每个系统必须满足的最低安全级别,基线建立了通用的基础安全状态,再次之上可实施所有额外的,更严格的安全措施。
指南是规范化安全策略结构中基线的下一个元素,指南提供了关于如何实现标准和基线的建议,并且作为安全专业人员和用户的操作指南
指南具有灵活性,所以可以针对每个特定的系统或者条件分别制定指南。
程序
程序是规范化安全策略结构的最后一个元素。标准操作程序是详细的分步实施文档,描述了特定安全机制,控制或者解决方案所需的具体操作。
理解与应用威胁建模的概念和方法
威胁建模是识别、分类和分析潜在威胁的安全过程。威胁建模可当做设计和开发期间的一种主动措施被执行,也可作为产品部署后的一种被动措施被执行,
主动式威胁建模发生在系统开发的早期阶段,特别是在初始设计和规范建立阶段,同样,并非所有威胁都能在设计阶段被预测到,所以仍然需要被动式威胁建模来解决不可预见的问题
被动式威胁建模发生在产品创建与部署后。这种部署可在测试或者实验室环境中进行,或者在通用市场中进行,此类威胁建模也称为对抗性方法。这种威胁建模技术是到的黑客,渗透测试,源代码审查和模糊测试背后的核心概念。
模糊测试是一种专用的动态测试技术,它向软件提供许多不同类型的输入,以强调其局限性并且发现以前未发现的缺陷。
识别威胁:
关注资产:以资产为中心,利用资产评估结果,试图识别对有价值资产的威胁
关注攻击者:有些阻止能识别潜在攻击者,并能根据攻击者的目标识别代表的威胁,
关注软件:如果组织开发了软件,就需要考虑针对软件的潜在威胁
STRIDE威胁分类方案:
欺骗spoofing:通过使用伪造的身份获得对目标系统访问权限的攻击行为
篡改tampering:对传输或者存储中的数据进行任何未经授权的更改或者操纵,篡改被用来伪造通信或改变静态信息,这种攻击破坏了完整性和可用性
否认repudiation:用户或者攻击者否认执行动作或者活动的能力
信息泄露:将私有,机密或者受控信息泄露或者发送给外部或未经授权的实体
拒绝服务:该攻击试图组织对资源的授权使用,这类攻击可通过利用缺陷,过载连接或者爆发流量来进行。dos攻击不一定导致资源完全无法访问,而是会减低吞吐量或者提高延迟,阻碍对资源的有效使用,有一些dos攻击带来的危害是长久性的,长久性dos攻击可能包括对数据集的破坏,用恶意软件替换原有软件,或者劫持可能被中断的固件闪存操作或安装有问题的固件,这些dos攻击导致系统永久受损,需要完整的系统修复或者备份修复
特权提升:该攻击是将权限有限的用户账户转换为具有更大特权,权利和访问权限的账户,这类攻击可能通过窃取或者利用高级账号的凭据来实现
攻击模拟和威胁分析PASTA过程是一种由七个阶段构成的威胁建模方法,PASTA七阶段如下:
阶段1:为风险分析定义目标
阶段2:定义技术范围
阶段3:分解和分析应用程序
阶段4:威胁分析
阶段5:弱点和脆弱性分析
阶段6:攻击模拟与仿真
阶段7:风险分析和管理
VAST视觉,敏捷和简单威胁是一种基于敏捷项目管理和编程原则的威胁建模概念,VAST的目标是在可伸缩的基础上将威胁和风险管理集成到敏捷编程环境中。
识别威胁是设计防御以帮助减少或消除停机,危害和损失的第一步
确定和绘制潜在的攻击
一旦对开发项目或部署的基础设施面临的威胁有所了解,威胁建模的下一步就是确定可能发生的潜在攻击。,通过数据流流向绘制图表,确定攻击
执行简化分析
威胁建模的下一步是执行简化分析,简化分析也称为分解应用程序,系统或环境,这项任务的目的是更好的理解产品的逻辑及其与外部元素的交互。分解过程中需要确定五个关键概念:
信任边界,
数据流路径
输入端
特权草案做
安全声明和方法的细节
优先级排序和响应:
因为通过威胁建模过程识别出威胁,所以需要规定额外的活动来完成整个过程,下一步是全面记录这些威胁,在这个文档中,应该说明威胁的手段,目标和后果,要考虑完成开发所需的技术以及列出可能的控制措施和防护措施。
DREAD评级系统旨在提供一种灵活的评级解决方案,它基于对每个威胁的5个主要问题的回答
潜在破坏:如果威胁成真,可能造成的伤害有多严重
可再现性:攻击者复现攻击有多复杂
可利用性:实施的攻击的难度有多大
受影响用户:有多少用户可能受到攻击的影响
可发现性:攻击者发现弱点有多难
将基于风险的管理理念应用到供应链
是一种确保安全策略更加可靠与成功的手段,适合在所有规模的组织中运用,供应链的概念并非指单个实体,而是包括大多数计算机,设备,网络和系统。
安全供应链指的是供应链中的所有供应商或链接都是可靠的,值得信赖的,信誉良好的组织,他们向业务伙伴披露他们的实践和安全需求。评估与硬件软件和服务相关的风险很重要,具有弹性集成安全性的产品和解决方案通常比那些没有安全基础的产品和解决方案更可贵。
在为安全集成而评估第三方时,需要考虑以下过程:
现场评估:到组织现场进行访谈,并观察工作人员的操作习惯
文件交换和审查:调查数据和文件记录交换的方式,以及执行评估和审查的正式过程
过程/策略审查:要求提供安全策略,过程/程序,以及事件和响应文件的副本以供审查
第三方审计:
为所有收购设立最低限度的安全要求,这些要求应以现有安全策略为模板,新的硬件,软件或者服务的安全需求应该始终满足或者超过现有基础设施的安全性,在使用外部服务时,一定要审查服务水平协议SLA,确保服务合同中有关于安全的规定。
人员安全和风险管理的概念
人员安全策略和程序
安全链中最薄弱的环节是人:
在拟定符合组织过程的职责描述时,重要元素包括职责分离,工作职责和岗位轮换
职责分离:是一种安全概念,指将关键的,敏感的工作任务分给几个不同的管理员或者高级操作员
职责分离也是防止传统的防火措施,职责分离要求员工与他人合作才能实施较大的违规行为。寻找他人合伙执行违规操作的行为很可能留下证据并被发现,这直接减少了串通的发生
工作职责:指员工正常执行的具体工作任务,根据员工的职责,他们需要访问各种对象,资源和服务,在安全的网络环境中,必须向用户授予与工作任务相关元素的访问权限,访问应以最小特权原则进行分配
岗位轮换:在多个工作岗位之间轮换员工,是组织提高整体安全性的一种简单手段。
采用职责分离,限制工作职责和岗位轮换方式,降低了员工愿意合伙进行非法活动或滥用职权的可能性,因为被检测到的风险非常高
候选人筛选和招聘
对岗位候选人的筛选基于职责描述定义的敏感性和分类。背景审查
雇佣协议及策略
聘用新员工时,应该签署雇佣协议,该文件概述了组织的规则、限制、安全策略、可接受的行为和活动策略,职责描述的细节,违规行为和后果以及员工担任该职位的时间长度。NDA保密协议用于防止已离职的员工泄露组织的机密信息
审查过程中的关键部分是强制休假,在许多安全的环境中,一到两周的强制休假被用于审计和验证员工的工作任务和特权,强制休假使员工离开工作环境,并安排其他员工接替工作,这样会更容易发现原来员工的滥用,欺诈和疏忽行为
入职和离职程序
入职是在组织的IAM身份和访问管理系统中添加新员工的过程,
离职指在员工离开公司后,将其身份从IAM系统删除,这包括取消和删除用户账户,撤销证书,取消访问代码的特权以及终止其他特定特权,还可能包括通知保安人员和其他物理访问管理人员,后续不在允许该员工进入办公大楼
一般来说解雇员工的最佳时间是再他们轮岗的工作周结束后
离职面谈的主要目的是根据雇佣协议,保密协议和任何其他与安全有关的文件,对前雇员的责任和限制进行审查。
供应商、顾问和承包商的协议和控制
供应商、顾问和承包商的控制用来确定组织主要外部实体,人员或组织的绩效水平,期望,薪酬和影响
SLA以及供应商,顾问和承包商的控制时降低风险和规避风险的重要组成部分。
合规策略要求
合规是符合或遵守规则,策略,法规,标准或要求的行为,对安全治理来说,合规是一项重要内容。
隐私策略要求
主动防止未经授权访问个人可识别的信息
防止未经授权访问私有或机密信息
防止在未同意或者知情的情况下被观察,监视或检查。
在IT领域内处理隐私时,通常需要在个人权利和组织的权利或活动之间取得平衡。
安全治理
安全治理是与支持,定义和指导组织的安全工作相关的实践的集合,安全治理通常与公司治理和IT治理密切相关并有交集,这三项治理工作的目标常常是相互关联或相同的。
第三方治理是可能由法律,法规,行业标准,合同义务或许可要求强制规定的监督制度
第三方治理的另一个方面是将安全监督应用到组织所依赖的第三方。
第三方治理的重点是验证安全目标,需求,法规和合同义务的合规性。
文件交换后,会启动文件审查过程,文件审查时阅读交换材料并且根据标准和期望进行验证的过程,文件审查通常在现场审查前进行、
风险管理,风险评估和风险处置都是执行过程/策略审查所涉及的方法与技术
理解并应用风险管理理念
安全的目的是在防止数据丢失或泄露的同时保持已授权的访问。发生损害,破坏或者泄露数据或其他资源的可能性称为风险。
风险管理的主要目标是将风险降低至可接受的水平
IT安全通常称为逻辑或技术安全性,只针对逻辑或技术攻击提供保护,为防止IT安全受到物理攻击,就必须建立物理保护措施
实现风险管理目标的过程称为风险分析,风险分析包括,检查环境中的风险,评估每个威胁事件发生的可能性和实际发生后造成的损失,评估各种风险控制措施的成本,完成风险防护措施的成本收益报告并向高级管理层汇报。风险管理还需要对组织中的所有资产进行估算,评估和估值,如果没有正确的资产估值,就不能划分资产的优先级,也就不能比较风险可能造成的损失。
风险术语:
资产asset:资产可以是环境中需要保护的任何事务,包括业务流程或任务中用到的所有资源。
资产估值:是根据实际成本和非货币性支出给资产指定的货币价值。
威胁threat:任何可能发生的,对组织或特定资产造成不良或非预期结果的潜在事件都是威胁。
脆弱性vulnerabilities:资产中的弱点,是防护措施或控制措施的拖点,或缺乏防护措施/控制措施
暴露exposure:指脆弱性会被威胁主题或威胁事件加以利用的可能性是存在的,暴露标识如果存在脆弱性和能利用脆弱性的威胁,就可能发生威胁事件或出现潜在的暴露
风险risk:风险是威胁利用脆弱性对资产造成损害的概率。
防护措施safeguard:指任何能消除或减少脆弱性,或能抵御一个或多个特定威胁的事务。,可以是安装补丁,更改配置,雇佣保安,改变基础设施等等。
攻击attack:攻击是威胁主体对脆弱性的利用,
破坏breach:指安全机制被威胁主体绕过或阻止。
识别威胁和脆弱性
风险管理的一个基础部分是识别与检查威胁,这涉及为组织已识别的资产创建一个尽可能详尽的威胁列表。
大多数情况下,执行风险评估和分析的应该是一个团队而不是单独的个人,而且,团队成员应该来自组织内的各个部门,
风险评估/分析
风险评估/分析主要是高层曾管理人员的工作。
1、定量风险分析
定量风险分析最终结果是一份包含风险级别,潜在损失,应对措施成本和防护措施价值等货币数据的报告。
分配资产价值AV
计算暴露因子EF:
计算单一损失期望SLE
评估年度发生率ARO
计算年度损失期望ALE
进行防护措施的成本效益分析
暴露因子EF:表示如果已发生的风险对组织的某个特定资产造成破坏,组织将因此遭受的损失百分比
单一损失期望SLE:需要暴露因子EF计算SLE,单一损失期望SLE是特定资产发生单一风险的相关成本。SLE代表的是如果某个资产被特定威胁损害,组织将遭受的确切损失。
SLE=资产价值AV*暴露因子EF
年度发生率ARO:是在一年内特定威胁或风险发生的预期频率。
年度损失期望ALE:是针对特定资产的所有可发生的特定威胁,在年度内可造成的损失成本
ALE=单一损失期望SLE*年度发生率ARO
计算使用防火措施后的年度损失期望
计算防护措施成本
防护措施的年度成本不应超过资产的年度损失期望值
计算防护措施的成本/效益:
防火措施实施前的ALE-防护措施实施后的ALE-防护措施的年度成本ACS=防护措施对公司的价值
认识到使用定量风险评估过程中计算得到的最终值进行优先级排序和选择是非常重要的,显然,因为存在风险评估过程中需要进行猜测,统计分析和概率预测,这些值本身并不能真实反映现实世界中由于安全破坏而造成的实际损失或者成本。
定性风险分析
定性风险分析更多的是基于场景而不是基于计算,这种方式不用货币价值标识可能的损失,而对威胁进行分级,以评估其风险成本和影响。进行定性风险分析的过程包括判断,直觉和经验,可用多种技术来执行定性风险分析
头脑风暴、Delphi技术、故事板、焦点小组,调查,问卷,检查清单,一对一的会议,面谈
决定采用哪种机制取决于组织的文化以及涉及的风险和资产的类型。
场景
所有这些机制的基本过程都需要创建场景,场景是对单个主要威胁的书面描述,重点描述威胁如何产生,以及可能对组织,IT基础结构和特定资产带来那些影响。
定性分析的有效性和有用性随着评估参与者的数量和多样性的增加而提高。
Delphi技术
匿名的反馈和响应过程,用于在一个小组中匿名达成共识,主要目的是从所有参与者中得到城诚实而不受影响的反馈。
风险响应
风险分析的结果如下:
所有资产完整的,详细的估值
包括所有威胁和风险,发生概率及造成损失程度的详细清单
针对特定威胁的有效防护措施和控制措施列表
每个防护措施的成本/效益分析
风险反应:
降低或者缓解
转让或者转移
接受
威慑
规避
拒绝或忽略
风险缓解:风险缓解指通过实施防护措施和控制措施以消除脆弱性或者阻止威胁。
风险转移:风险转移或风险转让指将风险带来的损失转嫁给另一个实体或者组织
风险接受:风险接受指成本/收益分析表明控制措施的成本超过风险的潜在损失。
风险威慑:对可能违反安全和策略的违规者实施威慑的过程,如:实施审计,安全摄像头,保安
风险规避:风险规避是选择替代的选项或活动的过程,替代选项或活动的风险低于默认的,通用的,权宜的或廉价的选项。
风险拒绝:拒绝或者忽视,否认风险的存在并希望永远不会发生,并不是合法的,正确的风险响应方式
残余风险的存在表明:成本效益分析显示现有的防护措施并不具有成本效益
随着事件的退役,安全会发生变化,所以定期重新评估对于维护恰当的安全至关重要
选择与实施控制措施
在风险管理领域中选择控制措施或安全控制在很大程度上依赖于成本收益分析结果,然而在评估安全控制的价值或相关性时,还需要进行多层次的考虑
控制措施IDE成本应该低于资产的价值
控制措施的成本应该低于控制措施的收益
应用控制措施的结果应使攻击者的攻击成本高于攻击带来的收益
控制措施应该为真实的和明确的问题提供解决方案
控制措施的好处不应依赖于对其保密,这意味着通过隐匿实现安全不可行,任何可行的控制措施都能经得起公开披露和审查
控制措施收益应当是可以检验和可验证的
控制措施在所有用户,系统,协议之间提供一致的保护
控制措施应该几乎没有依赖项,以减少级联故障
完成初始部署和配置后,控制措施只需要最低限度的人为干预
应该防止篡改控制措施
只有拥有特权的操作员才能全面访问控制措施
应当为控制措施提供故障安全和故障保护选项
安全控制,控制措施和防护措施可以是管理性,逻辑性/技术性或者物理性的,这三种安全机制应以纵深防御方式实现,以提供最大收益
1、技术性控制措施:包括硬件或软件机制,可用于管理访问权限以及为系统和资源提供安全保护,如:身份验证方法(如用户名,密码),加密。限制接口,访问控制列表,协议,防火墙
2、管理性控制措施:是依组织的安全策略和其他法规或要求而规定的策略和程序。如:包括策略,程序,招聘,实践,背景调查,数据分类,数据标签
3、物理性控制措施:是可实际接触到的措施,包括阻止,检测或检测对基础设施内系统或区域的直接接触的物理性控制措施。如:保安,栅栏,动作探测器,上锁的门
适用的控制类型
1、威慑控制
威慑控制往往取决于个人决定不采取不必要的行动,相比之下:预防控制实际上阻碍了行动,如:策略,安全意识培训,锁,栅栏,安全标识,保安,陷阱和安全摄像头
2、预防控制
以阻挠或阻止非预期的或未经授权的活动的发生。如:栅栏,锁,生物识别技术,陷阱,灯光,报警系统,职责分离,岗位轮换,数据分类,渗透测试,访问控制方法,加密,审计,使用安全摄像头或者闭路电视,只嗯呢该卡,回滚程序,安全策略,安全意识培训
3、检测控制
发现或者检测非预期的或未经授权的活动。检测控制并非实时进行,而是在活动发生后才运行,如:保安,移动探测器,记录和审查安全摄像头或闭路电视捕捉到的事件,岗位轮换,强制休假,审计踪迹,蜜罐密网,入侵检测系统
4、补偿控制
用于为其他现有的控制提供各种选项,从而帮助增强和支持安全策略,补偿控制可以是一些其他的控制或现有控制的另一个替换。如:组织策略可能要求所有数据都必须加密,审查发现,预防控制在数据库中加密所有数据,但是通过网络传输的是明文,可添加补偿措施来保护传输中的数据
5、纠正控制
纠正控制会修改环境,把系统从发生的非预期的或未经授权的活动从中恢复到正常状态,如:终止恶意活动或重新启动系统,删除或者隔离病毒的杀毒解决方案,用于确保数据丢失后可以恢复的备份和恢复计划。安全策略被破坏后,可部署纠正控制以修复或者回复资源,功能和能力
6、恢复控制
恢复控制是纠正控制的拓展,但具有更高级更复杂的能力,如:备份和恢复,容错驱动系统,系统镜像,服务器集群,杀毒软件,数据库或虚拟机镜像,互惠协议,云服务供应商,流移动操作中心,备用处理设施,冷热站点等
7、指示控制
用于指导,限制或控制主体的行为,以强制或鼓励遵守安全策略,指示控制的例子如:安全策略要求或者标准,发布的通知,逃生路线出口标志,监控,监督和程序
安全控制评估
SCA安全控制评估时根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估,可以作为渗透测试或漏洞评估的补充内容,或作为完整的安全评估被执行。
监视和测量
安全控制提供的收益应该是可被监视和测量的,如果安全控制提供的收益无法被量化,评估或者比较,那么这种控制实际上没提供人和安全,安全控制可能提供本地或内部监视,或者可能需要外部监视,在选择初步控制措施时,应该考虑这一点。
资产估值与报告
风险分析的一个重要步骤是估算组织资产的价值,资产如果没有价值,就没必要为其提供保护,风险分析的主要目的是确保只部署具有成本效益的防护措施,一般来说,防护措施的年度成本不应超过资产的年度损失期望。
风险报告是风险分析的最后一项关键任务,风险报告包括编制风险报告,并将该报告呈现给利益相关方,对于许多组织来说,风险报告只作为内部参考,而其他的一些组织可能规定必须向第三方或公众报告他们的风险结果
风险报告应能准确,及时,全面的反映整个组织的情况,能清晰和准确的支持决策的指定并且定期更新
持续改进
风险分析旨在向高级管理层提供必要的详细信息,以决定哪些风险应该被缓解,哪些应该被转移,哪些应该被拒绝,那些应该被规避,那些应该被接受。
安全在不断变化,因此,随着事件的退役,任何已实施的安全解决方案都需要进行更新,,如果已使用的控制措施不能持续改进,则应该将其替换,从而为安全提供可扩展的改进控制措施
风险框架
风险框架是关于如何评估,解决和监控风险的指南或方法
RMF联邦信息系统中实施风险管理框架提供了指导方针,包括6个步骤:安全分类,选择安全控制,实施安全控制,评估安全控制,授权信息系统和监视安全控制,风险管理框架通过实施强劲且持续的监视过程,促进实时风险管理与持续的信息系统授权概念的实施,向高层管理人员提供必要的信息,以便对组织信息系统做出基于风险且成本有效的决策来支持其核心任务和业务功能。
建立和维护安全意识、教育和培训计划
为成功实施安全解决方案,必须改变用户行为,这些改变主要包括改变常规工作活动以符合安全策略中规定的标准,指南和程序,行为的改变包括用户完成一定层次的学习,为开发和管理安全教育,培训和易失,所有相关项目的知识传递都必须明确标识,并指定展示,公开,协同和实施程序。
实施安全培训的一个前提是建立安全意识,安全意识建立了对安全理解的最小化的通用标准和基础,培训是教导员工执行他们的工作任务和遵守安全策略,培训通常由组织主办,面向具有类似工作职能的员工群体,培训是一种管理性安全控制
安全治理团队的责任是建立安全策略,并为进一步实施这些策略提供培训和教育
管理安全功能
管理安全功能,组织必须实现适当和充分的安全治理,执行风险评估以驱动安全策略的行为是安全功能管理最显著和最直接的示例。
安全必须是成本有效的,组织的预算有限,因此必须合理的分配资金。
安全必须是可测量的,可测量的安全意味着安全机制的各方面功能提供了明确收益,并有一个或多个可记录和分析的指标。
安全机制本身与安全治理过程都会消耗资源,显然安全机制应消耗尽可能小的资源。
业务连续性计划
BCP涉及评估组织流程的风险,并创建策略、计划和程序,以最大限度的降低这些风险发生时对组织产生的不良影响。BCP用于在紧急情况下维持业务的连续运营,BCP计划者的目标是通过综合实施策略,程序和流程,将潜在的破坏性事件对业务的影响降至最低。
业务连续性计划和灾难恢复计划的视角差异在于:延误连续性计划通常战略性的关注上层,以业务流程和运营为中心,灾难恢复计划本质上更具战术性,描述恢复站点,备份和容错等技术活动。
BCP流程:项目范围和计划、业务影响评估。连续性计划,计划批准和实施
项目范围和计划
1、从危机规划的角度对业务组织进行结构化分析
2、在高级管理层的批准下创建BCP团队
3、评估可用于业务连续性活动的资源
4、分析在处理灾难性事件方面,组织需要遵守的法律以及所处的监管环境
业务组织分析
通常,业务组织分析由负责BCP工作的人员执行,因为他们通常使用分析结果来协助选择BCP团队的其他成员,当整个BCP团队成立后要完成的第一项任务是对分析结果进行一次全面审查,因为执行原始分析的人员可能忽略了某些关键的业务功能。
选择BCP团队
孤立的开发业务连续性计划可能导致两个方面的灾难,首先,计划本身可能没有考虑负责日常运营的业务人员需要的知识,其次,关于计划详情的操作要素在计划实施前一直不能确定下来,
BCP团队负责人在制定业务连续性计划时,必须尽可能争取高级管理层的积极支持,高级管理层的积极支持会将BCP流程的重要性传达到整个组织,并且促进员工积极参与BCP活动
资源需求
BCP团队确认业务组织分析结果后,就开始评估BCP工作的资源需求,这涉及三个不同BCP阶段所需的资源
开发:BCP团队需要一些资源来执行BCP流程的四个阶段(项目范围和计划,业务影响评估,连续性计划以及计划批准和实施),这个阶段主要耗费人力资源,即BCP团队成员和召集过来协助制定计划的人员
测试培训和维护:在BCP的测试,培训和维护阶段,将需要一些硬件和软件资源:同样这个阶段的主要资源是参与这些活动的员工付出的人力
实施:当灾难发生并且BCP团队认为有必要全面实施业务连续性计划时,将需要大量资源,这些资源包括大量实施工作。
法律和法规要求
受到联邦,州和地方法律或法规约束的许多行业可能发现,这些法律或法规要求他们实施不同程度的BCP。
业务影响评估
一旦BCP团队完成准备创建业务连续性计划的四个阶段,就进入工作的核心部分:业务影响评估BIA,BIA确定组织持续运营所需的资源和这些资源面临的威胁,还评估每个威胁实际发生的可能性以及威胁事件对业务的影响,BIA结果提供了度量措施,可对用于解决组织面临的各种本地,区域及全球风险而投入的业务连续性资源进行优先级排序。
定量决策:定量决策涉及使用数字和公式得出结论。
定性决策:考虑非数字因素,如声誉,投资者/客户信息,员工稳定性和其他相关事项。
1、确定优先级
根据业务范围,当灾难发生时,有些活动对维持日常运营极为关键,确认优先级或关键性涉及创建业务流程的综合列表,并且按照重要性进行评估,
MTD:最大允许中断时间
RTO:恢复时间目标
BCP过程的目标是确保RTO恢复时间目标小于MTD最大允许中断时间,这使得一个业务功能不可用的时间永远不会超过最大允许中断时间。
2、风险识别
识别组织面临的风险,风险有两种形式,自然风险和人为风险
BIA过程的风险识别本质上是纯粹的定性分析,在这个过程中,BCP团队不应关注每种风险实际发生的可能性,或风险发生后对业务持续运营造成的损害程度。
业务影响评估和云计算:
在进行业务影响评估时,不要忘记考虑组织依赖的任何云供应商。根据云服务的性质,供应商自身的业务连续性计划可能对组织的业务运营产生重大影响。
3、可能性评估
在前面的步骤中,BCP团队完整列出可能对组织构成威胁的事件,你可能意识到某些事件比其他事件更容易发生。确定美中风险发生的可能性。
4、影响评估
影响评估时业务影响评估中最关键的部分之一,在此阶段,将分析在风险识别和可能性评估期间收集的数据,并尝试确定每个已识别风险对业务的影响。
从定性角度看,必须考虑中断可能对业务产生的,不能以货币价值衡量的影响,如:
在客户群体中丧失信誉
长时间停工后造成员工流失
公众的社会/道德责任
负面宣传
5、资源优先级排序
BIA的最后一个阶段是针对各种不同风险所分配的业务连续性资源的优先级,
从定量的角度看,这个过程相对简单,只需要创建一个在BIA过程中分析过的所有风险的列表,并根据影响评估阶段计算的ALE按照降序对其进行排序,这提供了需要处理的风险的优先级列表
定性分析可证实对风险优先级的提高或降低是否正确,这些风险在定量分析结果列表中存在并按照ALE排序。
连续性计划
BCP流程的前两个阶段项目范围和计划以及业务影响评估重点确定BCP流程将如何工作,并且对必须保护以防止中断的业务资产进行优先级排序,BCP的下一阶段是编制连续性计划,重点是开发和实现连续性战略,尽量减少已发生的风险对被保护资产的影响。
策略开发、预备和处理、计划批准、计划实施、培训和教育
策略开发
现阶段必须采用由定量和定性资源优先排序工作提出的优先级问题清单,确定业务连续性计划将处理哪些风险
一旦BCP团队确定哪些风险需要缓解以及将为每个缓解任务提供的资源水平,他们就准备进入连续性计划的预备和处理阶段
预备和处理
预备和处理阶段是真个业务连续性计划的关键部分,在这个任务中,BCP团队设计具体的过程和机制来减轻在策略开发阶段被认为不可接受的风险。
有三类资产必须通过BCP预备和处理进行保护:人员、建筑物/设施和基础设施
1、人员
必须确保组织内的人员在紧急情况发生前,发生期间和发生后都是安全的,实现这一目标后,需要制定条款授权员工在尽可能正常的情况下执行他们的BCP和操作任务。
2、建筑物和设施
许多业务需要专业设施来执行其关键操作,这些设施可能包括标准办公设备,生产工厂,运营中心,仓库,配送/物流中心以及维修/维修站等
加固预备措施:BCP应概述可实施的机制和程序来保护现有设施免受策略开发阶段中定义的风险影响
替代站点:如果无法通过加固设施来抵御风险,BCP应识别出可用于立即恢复业务活动的备用站点。
基础设施:每个业务的关键处理都依赖于某种基础设施,对许多业务而言,基础设施的关键部分是通信的IT主干,以及处理订单,管理供应链,处理客户交互和执行其他业务功能的计算机系统,,
物理性加固系统:引入计算机安全灭火系统,不间断电源等
备用系统:引入冗余(荣誉组件,或依赖于不同设施的完全冗余系统/通信链路)来保护业务功能
计划批准和实施
一旦BCP团队完成BCP文档的设计阶段,就应当向最高管理层申请批准该计划。
1、计划批准
高层领导在计划中的签名,也使计划在其他高级管理人员眼中具有更高的重要性和可信度,否则他们可能将其视为一项必要但微不足道的IT计划
2、计划实施
一旦获得高层管理的批准,即可开始实施计划,BCP团队应该共同开发实施计划,该计划使用分配的资源,根据给定的修改范围和组织环境,尽快实现所描述的过程和预备目标。
3、培训和教育
培训和教育是BCP实施的基本要素,所有直接或者间接参与计划的人员都应该接受关于总体计划及个人责任的培训。
BCP文档化
文档化是业务连续性计划过程中的关键步骤,将BCP方法记录到纸上可提供几个重要的好处
1、连续性计划的目标
首先描述BCP团队和高级管理层提出的连续性计划的目标,这些目标应该在第一次BCP团队会议中或者之前决定,很可能在BCP的整个生命周期内保持不变。
2、重要性声明
重要性声明反映了BCP对组织持续运行的重要性。这份文件通常以信函形式提供给员工,说明为什么组织将大量资源用于BCP开发过程。并要求所有人在BCP实施阶段进行配合。
3、优先级声明
是业务影响评估的优先级确认阶段的直接产物。
4、组织职责声明
来自高级管理人员,可与重要性声明合并在同一文档中。组织职责声明重申组织对业务连续性计划的承诺,并告知员工,供应商和附属企业,要求他们经理协助实施BCP过程
5、紧急程度和时限声明
表达了实施BCP的重要性,概述由BCP团队决定并由高层管理人员批准的实施时间表。
6、风险评估
风险评估部分上基本重述业务影响评估期间的决策过程,
7、风险接受/风险缓解
BCP文件中的风险接受/风险缓解部分包含BCP过程的策略开发部分的结果,它应该涵盖风险分析部分确定所有风险
对于被认为可接受的风险:应该概述接受原因以及未来可能需要重新考虑此决定的可能事件
对于不被接受的风险:应该概述要采取的缓解风险的预备措施和过程,以降低风险对组织持续运营的影响
8、重要记录计划
BCP文件应该概述组织的重要记录计划,该文档说明了存储关键业务记录的位置以及建立和存储这些记录的备份副本的过程。
9、应急响应指南
该文档为第一个发现紧急情况的员工提供了启动BCP预案的步骤,
10、维护
BCP文件和计划本身必须即时更新,每个组织都在不断变化,这种动态性使得业务连续性要求随之变化。在开发完成后应该定期召开会议讨论计划并审核计划测试的结果,以确保一直能满足组织需求
所有BCP旧版本都应该被物理销毁并替换为最新版本。
11、测试演练
BCP文档中还应该包括一个正式的演练程序,以确保该计划仍然有效,并且确保所有相关人员都经过充分培训,能在发生灾难时履行职责。
法律、法规和合规
法律的分类
刑法
刑法是维护和平,保障社会安全的法律体系的基石。
民法
民法是法律体系的主体,用于维护社会秩序,管理不属于犯罪行为但需要由公正的仲裁者解决的个人和组织间的问题。
行政法
政府行政部门要求许多机构对保证政府的有效运作承担广泛责任。
法律
计算机欺诈和滥用法案CFAA
修正案
联邦量刑指南
1996年的美国《国家信息基础设施保护法案》
联邦信息安全管理法案FISMA
2014年的联邦网络安全法案
知识产权
1、版权和数字千年版权法
2、商标
3、专利
4、商业秘密
许可
进口出口控制:
计算机出口控制、加密技术出口控制
1、美国隐私法
·第四修正案
1974年隐私法案
1986年颁布的电子通信隐私法案ECPA将侵犯个人电子隐私的行为定义为犯罪
1994年颁布的通信执法协助法案
1996年经济间谍法案
1996年健康保险流通与责任法案HIPAA
2009年颁布的健康信息技术促进经济和临床健康法案
数据泄漏通知法案HITECH
1998年颁布的儿童在线隐私法案
Gramm-Leach-Bliey法案:1999年
2001年颁布的美国爱国者法案,2015年美国自由法案
家庭教育权利和隐私法案
身份盗用与侵占防治法
欧盟隐私法案
为获得隐私盾协议的保护资格,在欧洲开展业务的美国公司在处理个人信息时必须满足以下七项要求
1、告知个人数据处理情况
2、提供免费和易用的纠纷解决方案
3、与美国商务部合作
4、维护数据完整性和目的限制
5、确保数据被转移给第三方的责任
6、执法行动的透明度
7、确保承诺在持有数据期间都有效
欧盟通用数据保护条例
1、数据泄露通知要求公司在24小时内将严重的数据泄露情况通知官方机构
2、在每个欧盟成员国简历集中化数据保护机构
3、规定个人可以访问自己拥有的数据
4、数据可移植性规定将根据个人要求促进服务提供商之间的个人信息传输
5、遗忘权允许人们要求公司删除不再需要的个人信息。
合规
支付卡行业数据安全标准PCIDSS是合规要求的一个好例子
PCIDSS非强制性的要求阻止进行正式的第三方审计,并且提交一份合规状况的自我评估报告
合同和采购
安全专业人士应该审查供应商实施的安全控制,包括最初的供应商选择和评估流程,以及持续管理审查
888
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
