「 CISSP学习笔记 」02.资产安全

引言：资产安全域的重点是在整个生命周期中收集、处理和保护信息。

知识领域涉及如下考点，具体内容分布于如下各个子章节：

• 识别并分类信息和资产
• 制定信息和资产处理要求
• 安全配置资源
• 管理数据生命周期
• 确保适当的资产保留
• 确定数据安全控制和合规要求

2.1. 资产识别和分类

资产安全的第一步是识别和分类信息和资产。

2.1.1. 定义敏感数据

机密的、专有的、受保护的或因其对组织的价值或按照现有的法律和法规而需要组织保护的任何其他类型的数据。
1. 个人身份信息（Personally Identifiable Information，PII）
PII包括：

• 任何可用于识别或追踪个个身份的信息，如姓名、出生日期、出生地或生物识别信息
• 与个人有联系或可联系的其他信息，如医疗、教育、金融和就业信息

2. 受保护的健康信息（Protected Health Information，PHI）
是与特定个人有关的任何健康信息。HIPAA提供了PHI的更正式定义。

3. 专有数据
指任何有助于组织保持竞争优势的数据。（如软件代码或商业机密）

2.1.2. 定义数据分类

• 政府分类：绝密、秘密、机密、敏感未分类和未分类
• 非政府分类：机密/专有、私有、敏感和公开

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/2765927b9a0a49269fe362ef1099cbcc.png)
数据的成本不直接包括在分类过程中。相反，如果数据被暴露或泄露，则会考虑对组织的影响。谁可以访问数据、数据的法规或合规性要求也是重要的考虑因素。

2.1.3. 定义资产分类

资产分类应与数据分类相匹配。比如，一台计算机正在处理绝密数据，那么这台计算机也应被归类为绝密资产。

2.1.4. 确定数据的安全控制

定义好资产分类后就需要定义安全需求并识别安全控制以满足这些安全需求。

2.1.5. 理解数据状态

• 静态数据：存储在系统盘、SAN等介质上的任何数据
• 动态数据：通过网络传输的任何数据
• 使用中的数据：应用程序使用内存或临时存储缓冲区中的数据

2.1.6. 管理信息和资产

1. 标记敏感数据和资产
标记敏感信息确保用户可方便地识别任何数据的分类级别。

• 物理标签
• 数字标签

2. 处理敏感信息和资产
3. 存储敏感数据
4. 销毁敏感数据
NIST SP800-88 r1《存储介质清理指南》提供了不同介质净化方法。
5. 消除数据残留
数据残留是擦除后仍遗留在介质上的数据。通常将硬盘驱动器上的数据称为剩磁。
消除数据残留的一种方法是消磁器。

SSD使用集成电路代替旋转磁盘上的磁通，消磁SSD不会删除数据，净化SSD的最佳方法是消毁。

擦除（Erasing） 擦除介质只对文件执行删除操作，删除过程只删除数据的上那或目录链接。
清理（Cleaning） 清理或覆盖操作，以便 重新使用 介质，并确保攻击者不能使用传统恢复工具来恢复已经清理的数据。
清除（Purging） 一种更强烈的清理形式，为 在不太安全的环境中重用介质做准备
。它提供了使用任何已知方法都无法恢复原始数据的级别。但并不总是可信的。
消磁（Degasussing） 消磁器产生一个强磁场，在消磁过程中擦除某些介质上的数据。消磁不影响光学CD、DVD或SSD。
消毁（Destruction） 销毁是最安全的介质净化方法。方法包括焚烧、粉碎、分解等。

净化（Sanitization）是一种过程组合，可确保系统中的数据无法通过任何方式恢复。 擦除和清除都容易出现错误和技术问题
，这些问题可能会导致剩余数据，对处理专有信息的系统来说毫无意义。销毁是确保数据不会被公开的最完整的方法，一些组织选择销毁整个工作站，但由于涉及成本，这不是一个典型的解决方案。

6. 确保适当的资产保留期 例如，使用寿命结束 (End of Life，EOL)，支持结束 (End of
Support，EOS)，停止销售（End of Market，EOM）。

2.1.7. 数据保护法

1. 用对称加密保护数据
AES(Advanced Encryption Stardard)
是目前最流行的对称加密算法之一。AES支持128位、192位和256位的密钥大小，可用它来保护机密及至绝密数据。
3DES 三重DES作为DES的替代，每一次实现使用56位密钥，最新实现使用112位或168位密钥。可用于VISA和智能支付卡。
BlowFish 使用32位到448位的密钥长度，是强加密协议，Linux系统使用Bcrypt（基于Blowfish，b是线索）对密码进行加密。

Windows配备了BitLocker和Encrypting File System, EFS)技术，采用AES加密

2. 用传输加密保护数据
传输加密方法在传输数据前对数据进行加密，保护传输中的数据，可防止嗅探攻击。

TLS 替代了SSL，SSL对POODLE攻击很敏感，许多组织禁用SSL；
IPsec
常与第二层隧道协议（L2TP）结合用于VPN。L2TP以明文形式传输数据，但LT2P/IPsec对数据进行加密，并使用隧道模式通过互联网发送，以便在传输中保护数据。

IPsec包括AH和ESP，AH提供身份验证和完整性，ESP提供保密性。

SSH
是一种强加密协议，包括其他协议（如SCP和SFTP，用于在网络上传输加密文件的安全协议）。许多管理员用SSH管理远程服务器，SSH能加密所有事务。

历史上许多管理员用telnet管理远程服务器，但telnet通过明文发送网络上的通信数据。当然可用加密的VPN连接上使用telnet，但不推荐使用，因为使用SSH理简单。

2.2. 定义数据所有权

2.2.1. 数据所有者

对数据负责的最终组织责任人，要对资产信息进行分类。所有者通常是首席运营官（CEO）、总裁或部门主管（DH）。
NIST SP 800-18 概述了数据所有者职责：

• 建立适当使用和保护主体数据/信息的行为规则（行为准则与可接受的使用策略AUP相同）。
• 向信息系统所有者提供有关信息所在系统的安全要求和安全控制的输入。
• 决定谁有权访问信息系统，以及使用何种特权或访问权限。
• 协助识别和评估信息的公共安全控制状况。

2.2.2. 资产所有者

资产所有者(或系统所有者)是拥有处理敏感数据的资产或系统的人员。
NISTSP 800-18概述了系统所有者的以下职责:

• 与信息所有者、系统管理员和功能终端用户协作开发系统安全计划。
• 维护系统安全计划，确保系统按照约定的安全要求部署和运行。
• 确保系统用户和支持人员接受适当的安全培训，如行为规则指导(或 AUP)。
• 在发生重大更改时更新系统安全计划。
• 协助识别、执行和评估通用安全控制。
  系统所有者和数据所有者通常是同一个人，但有时不是同一个人。

2.2.3. 业务/任务所有者

NIST SP 800-18
将业务/任务所有者称为项目经理或信息系统所有者，主要责任是确保系统实现其业务目的。因此，业务/任务所有者的职责可与系统所有者的职责重叠或者二者可交替使用。

Note：许多业务中，成本和利润存在潜在冲突。IT部门不会产生收入，相反，它是一个产生成本的成本中心。相比之下，业务部门将作为利润中心。IT部门产生的成本会消耗业务部门产生的利润。此外，IT部门实施的许多安全控制措施都会降低系统的可用性。可以通过信息和相关技术控制目标COBIT来进行平衡。

2.2.4. 数据使用者

通常，任何处理数据的系统都可以叫做数据使用者。 GDPR对于数据使用者有更具体的定义。
GDPR将数据使用者定义为"自然人、法人、公共权力机构、代理机构或其他机构，并且仅代表数据控制者处理个人数据。"
在GDPR 中，数据控制者是一个控制数据处理流程的人或实体。

例如，一个收集员工个人信息来制作工资单的公司是一个数据控制者。如果公司将员工信息交付给第三方公司让其完成处理工资单的任务，则第三方公司就是数据使用者。

GDPR限制欧盟组织向欧盟以外的国家传输数据。欧盟组织必须遵守GDPR中的所有规定。违反GDPR隐私规定的公司会面临其全球收入的4%的巨额罚款。

相关术语：
假名(pseudonymization) ：是一个使用别名来表示数据的过程。这样做可防止直接通过数据识别实体，比如识别一个人。
例如，医生的医疗记录中不包含患者的姓名、地址和电话号码等个人信息，而在记录患中将患者称为患者
23456。但医生仍然需要这些个人信息，这些个人信息保存在一个与患者假名关联的另一个数据库中。

匿名(Anonymization))
匿名化是删除所有相关数据的过程，从而达到无法识别原始主体或人的目的。匿名数据就不必再遵守GDPR。但是，将数据真正匿名化是很困难的，即使个人相关数据被删除，也能被数据推断技术识别出来。(如数据差分法)

数据屏蔽是一种有效的匿名数据方法。与假名化和标记化不同，屏蔽化是不可逆转的，在随机屏蔽数据后，数据是不能返回到原始状态的。

2.2.5. 管理员

数据管理员负责授予人员适当的访问权限，管理员未必具有全部管理员权限和特权，但具有分配权限，可根据最小特权和知其所需原则分配权限.

2.2.6. 托管员

数据所有者常将日常任务委托给托管员(Custodian)。托管员通过正确存储和正确保护数据来帮助保护数据的完整性和安全性。实际上，通常IT部门员工或系统安全管理员是托管员，他们也可能充当为数据分配权限的管理员。

2.2.7. 用户

用户是通过计算系统访问数据以完成工作任务的人。用户只能访问执行工作任务所需的数据。我们还可将员工或终端用户视为用户。

2.2.8. 保护隐私

组织有义务保护他们收集和维护的数据，对于 PII和
PHI数据尤其如此。许多法律法规要求保护隐私数据。组织有义务了解它们需要遵守哪些法律法规，此外，组织需要确保其操作符合这些法律和法规。

一些要求严格遵守隐私法的国家或地区包括:美国(HIPAA隐私规则、
2003年加州在线隐私保护法案CalOPPA))、加拿大(个人信息保护和电子文件法)和欧盟 (GDPR)。

2.3. 使用安全基线

2.3.1. 范围界定和按需定制

范围界定(Scoping)
指审查基线安全控制列表，并仅选择适用于你要保护的IT系统的安全控制方法。例如，如果系统不允许两个人同时登录，则不需要应用并发会话控制安全方法。
按需定制 (Tailoring) 指修改基线内的安全控制列表，以使它们与组织要求的任务保持一致。

2.3.2. 选择标准

组织需要确保安全控制措施符合某些外部安全标准。外部要素通常为组织定义强制性要求。例如，PCI
DSS定义了企业处理信用卡时必须遵循的要求。同样，与欧盟国家之间传输数据的组织必须遵守GDPR的要求。

Note: 并非所有组织都必须遵守这些标准。不处理信用卡交易的组织不需要遵守PCI DSS。
同样，不向欧盟国家/地区传输数据的组织也不需要遵守GDPR要求。因此，组织需要确定适用。

前期章节回顾：

• 【CISSP学习笔记】1.安全与风险管理
• 【CISSP学习笔记】0.开篇

网络安全工程师(白帽子)企业级学习路线

第一阶段：安全基础（入门）

第二阶段：Web渗透（初级网安工程师）

第三阶段：进阶部分（中级网络安全工程师）

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资源分享