CISSP第二章 信息安全治理与风险管理

主要内容

安全术语和原则，保护控制类型，安全框架、模型、标准和最佳时间，安全企业架构，风险管理，安全文档，信息分类和保护，安全意识培训，安全治理

2.1 安全基本原则

AIC三元组：可用性，完整性，机密性

2.1.1 可用性availability

• 确保授权的用户能够对数据和资源进行及时和可靠的访问
• 控制措施：廉价磁盘冗余阵列RAID，群集，负载均衡，冗余数据和电源线，软件和数据备份，磁盘映像，co-location和异地备用设备，回滚功能，故障切换配置

2.1.2 完整性integrity

• 保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改
• 控制措施：散列（数据完整性），配置管理（系统完整性），变更控制（进程完整性），访问控制（物理和技术的），软件数字签名，传输CRC功能

2.1.3 机密性confidentiality

• 确保在数据处理的每一个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息披露
• 控制措施：加密休息中的数据（整个磁盘，数据库加密），加密传输中的数据（IPSec，SSL，PPTP，SSH），访问控制（物理和技术的）
• 肩窥shoulder surfing：越过别人的肩膀未授权浏览信息
• 社会工程social engineering：欺骗他人共享敏感信息以获取未经授权的访问

2.2 安全定义

脆弱性，威胁，风险，暴露

• 脆弱性vulnerability：缺少安全措施或者采用的安全措施有缺陷。如未安装补丁的应用程序，没有限制的无线访问点
• 威胁threat：利用脆弱性而带来的潜在危险。某人或某个软件识别出脆弱性，并利用其来危害公司或个人。利用威胁的实体成为威胁主体。
• 风险risk：威胁的主体利用脆弱性的可能性以及相应的业务影响。
• 暴露exposure：造成损失的实例。

控制contorl，对策countermeasure和防护措施safeguard能够消除/降低潜在的风险。

2.3 控制类型

按类型分：管理控制，技术控制，物理控制

• 管理控制administrative control：软控制，安全文档，风险管理，人员安全和培训
• 技术控制technical control：逻辑控制，软件和硬件组成，防火墙，入侵检测系统，加密，身份识别，认证机制
• 物理控制physical control：用来保护设备，人员和资源，保安，锁，围墙，照明

按功能分：预防性，检测性，纠正性，威慑性，补偿性

• 威慑性：威慑潜在的攻击者
• 预防性：避免意外事件的发生
• 纠正性：意外事件发生后修复
• 恢复性：使环境恢复到正常的操作状态
• 检测性：事件发生后识别其行为
• 补偿性：向原来的控制措施那样提供类似保护

正确运用上面的控制措施，才能为企业提供深度防御，深度防御指以分层的方法综合使用多个安全控制类型，为使成功渗透和威胁更难实现而采用多种控制措施。

2.4 安全框架

通过隐匿实现安全：把备用钥匙放在门前台阶上；对产品进行编译以实现安全；开发私有的加密算法代替行业通用的加密算法；在防火墙上重新映射协议，不使用众所周知的80端口，而使用8080端口。
上述通过隐匿实现安全的例子，实际并不安全。

真正的安全是基于灵活框架的安全规划，下面看一些行业标准

2.4.1 ISO/IEC 27000系列

IOS/IEC 27000 是一套系列标准，该标准将信息安全管理体系分为不同模块。ISO遵循戴明环（计划-执行-检查-处理），经常用于业务流程质量控制程序。
ISO/IEC 27000系列：安全控制管理的最佳行业实践

2.4.2 企业架构开发

1. 为何需要企业架构框架
   业务人员和技术人员对问题看法的分歧会引发混乱失败以及资金浪费，因此需要一个工具能让业务和技术人员使用以减少冲突，优化业务功能，避免浪费时间和金钱。
2. Zachman框架：由John Zachman开发的企业框架开发模型，是一个二维模型，目标是让人们能从不同的视角出发了解同一个组织。
   6个基本的疑问词：什么，如何，哪里，谁，何时，为何
   不同的视角角色：计划人员，所有者，设计人员，建设人员，实施人员，工作人员
3. 开放群组框架结构
   TOGAF框架，开放式群组架构框架（The Open Architecture Framework），由美国国防部开发并提出设计，实施和治理企业信息架构的方法。
   用于开发业务架构，数据架构，应用程序架构，技术架构
4. 面向军事的架构框架
   4.1 美国国防部架构框架DoDAF：Department of Denfense Architecture Framework，保障军事任务完成过程中系统间的互操作性，确保所有的系统、过程和人员协调一致的共同完成使命。
   4.2 英国国防部架构框架MODAF：British Ministry of Denfense Architecture Framework，主要应用在军事任务支持方面，能够以正确的格式获取数据并以最快的速度传给正确的人。
5. 企业安全架构
   定义了信息安全战略，包括各层级的解决方案、流程和规程、以及他们与整个企业的战略、战术和运营链接的方式。
6. 企业架构和系统架构
   企业架构解决的是组织的架构，系统架构解决的是软件和计算机组件的结构。
7. 舍伍德商业应用安全架构SABSA：Sherwood Applied Business Security Architecture，用于企业信息安全架构开发的模型和方法论。

2.4.3 安全控制开发

Cobit和NIST，分别包含私营部门和联邦信息系统组织的控制目标。
这些控制目标是为信息系统准备的管理、运营和技术控制，用来保护系统及其信息的保密性完整性可用性。

1. Cobit框架，Control Objectives for Information and related Technology，信息及相关技术的控制目标，定义了控制目标，使用这些控制目标可以正确管理IT并确保IT到业务需求的映射。
   Conbit分为四个领域，计划和组织（Plan and Organize），获得与实现（Acquire and Implement），交付与支持（Deliever and Support），监控与评价（Monitor and Evaluate）
   Cobit是IT治理模型。
2. SP 800-53：由美国国家标准和技术研究院NIST开发的保护美国联邦系统的控制集。

2.4.4 COSO

COSO是企业治理模型，其派生出的CobiT是IT治理模型。
COSO处理的是战略层问题，CobiT关注运作层面。
COSO由反欺诈财务报告全国委员会发起组织委员会COSO开发，旨在帮助降低财务欺诈风险的国内公司控制集。

2.4.5 流程管理开发

1. ITIL：Information Technology Infrastructure Library信息技术基础设施库
   ，英国商务部开发的用于IT服务管理的过程
2. Six Sigma