ToB企服应用市场:ToB评测及商务社交产业平台

标题: 「 CISSP学习条记 」01.安全与风险管理 [打印本页]

---

作者: 勿忘初心做自己    时间: 2024-7-29 07:29
标题: 「 CISSP学习条记 」01.安全与风险管理
引言：资产安全风险来源于人，可通过法律和道德来进行束缚。安全是公司全体员工的责任，终极责任为CEO。
  安全与风险管理知识领域涉及如下考点，具体内容分布于如下各个子章节：

• 理解、遵从与提拔职业道德
  
• 理解和应用安全概念
  
• 评估和应用安全管理的原理
  
• 确定合规性和其他要求
  
• 理解在全球配景下与信息安全相关的法律和羁系问题
  
• 理解调查类型的要求（即行政、刑事、民事、羁系、行业标准）
  
• 订定、记录和实验安全政策、标准、步伐和指南
  
• 对业务一连性 (BC) 要求进行识别、分析及优先级排序
  
• 协助订定和实验人员安全政策和步伐
  
• 理解并应用风险管理概念
  
• 理解并应用威胁建模的概念和方法
  
• 应用供应链风险管理 (SCRM) 概念
  
• 订定并维护安全意识、教育和培训操持
  

1.1. 实现安全管理的原则和计谋

1.1.1. 理解和应用CIA

CIA常被视为安全基础架构的安全目的和宗旨。
1.1.1.1. 保密性C

目标：阻止或最小化未授权的数据访问。
措施：加密、访问控制和隐写术。
1.1.1.2. 完备性I

掩护数据可靠性和正确性，防止未授权的数据修改。
   不可否认性：确保事件的主体或引发事件的人不能否认事件的发生，可通过身份标识、身份验证、授权、问责机制和审计使不可否认性成为大概。
  1.1.1.3. 可用性A

对客体的有效的持续访问及抵御DoS攻击
1.1.1.4. 其他安全概念

DAD（Disclousure、Alternation、Destruction），与CIA相反
AAA（Authentication、Authoriztion、Auditing/Acounting）
1.1.1.4.1. 身份标识（Identification）

尝试访问安全体系时的身份，主体必须为体系提供身份标识来启动身份验证、授权和记账过程。IT体系通过身份标识来跟踪运动，而不是通过主体本身。
1.1.1.4.2. 身份认证（Authentication）

验证声明的身份是否有效的过程称为身份认证。常见的身份认证形式是利用密码。通常在一个流程中完成身份标识和身份认证两个步调。
一个主体可提供多种类型的身份验证因子：

• 1类身份验证因素 你知道的东西 - 密码
  
• 2类身份验证因素 你拥有的东西 - 密钥、令牌、智能卡
  
• 3类身份验证因素 你具备的东西 - 生物特性，如指纹、虹膜
  

   利用第三方事实信息（第1类身份验证因素）验证个人应该了解的信息偶然被称为动态知识型身份验证，是一种身份证实。带外身份验证将利用另一种联系用户的方式，如短信或电话，而密码验证需要密码。
  1.1.1.4.3. 授权（Authorization）

一旦主体通过身份验证，就必须进行访问授权。通常利用访问控制模型来定义授权，比方

• 自主访问控制（Discretionary Access Control，DAC）
  
• 欺压访问控制（Mandatory Access control，MAC）
  
• 基于角色的访问控制（RBAC）
  

1.1.1.4.4. 审计（Auditing）

审计是追踪和记录主体的操纵，以便在体系中让主体为其行为负责。通常审计是OS、APP和服务内置的功能。
1.1.1.4.5. 记账（Acounting）

也称问责制，构造的安全计谋只有在有问责机制的情况下才能得到得当实验。有效的问责制依赖于检验主机身份及追踪其运动的本领。通过安全服务和审计、身份验证、授权和身份标识等机制将人员与在线身份的运动联系起来，进而建立问责机制。
1.1.1.4.6. 纵深防御

以线性方式一连执行多个控制，一个控制失效不会导致体系或数据暴露
1.1.1.4.7. 数据隐藏

将数据存放在主机无法访问或读取的逻辑存储空间。
   Note: 隐匿指不告知主体客体的存在，在安全上并没有提供任何形式的掩护。
  1.1.1.4.8. 加密

通过密码学算法对需要掩护的数据进行加密，可有效制止数据泄露。
1.1.2. 评估和应用安全管理原则

1.1.2.1. 安全管理操持

安全管理操持确保正确地创建、执行和实验安全计谋。安全管理操持使安全功能与业务战略、目标、使命和宗旨相一致。
1.1.2.1.1. 方法

能有效处理处罚安全管理操持的方法是自上而下：

• 上层、高级或管理部分负责启动和定义构造的计谋；
  
• 中层管理人员负责将安全计谋落到标准、基线、指导方针和步伐；
  
• 操纵管理人员或安全专业人员必须实现安全管理文档中规定的配置；
  
• 终极用户必须遵守构造的全部安全计谋。
  

1.1.2.1.2. 内容

• 定义安全角色
  
• 规定如何管理安全和由谁负责安全
  
• 检验安全的有效性
  
• 订定安全计谋
  
• 执行风险分析
  
• 对员工进行安全教育
  

   订定和执行安全计谋表现了高级管理人员的应尽关心（Due care）与尽职审查（Due Diligence）。
  安全管理操持团队应该开辟三种类型的操持（战略操持、战术操持、操纵操持）

1.1.2.2. 构造的流程

1.变更控制/变更管理

• 在受监控的情况中有序的实验更改
  
• 包含正式的测试过程
  
• 全部变更要能够撤销（或回退/回滚）
  
• 变更实验前关照用户，防止影响生产效率
  
• 对变更影响进行体系性分析，确定其是否会对安全或业务产生负面影响
  
• 最小化变更对本领、功能和性能方面的负面影响
  
• 变更顾问委员会（Change Advisory Board，CAB）评审和答应变更
  

2.数据分类
数据分类（数据分级）是基于数据的保密性、敏感性需求而对其进行掩护的主要手断。有如下好处：

• 帮助构造确定最重要或最有价值的资产
  
• 给掩护机制的选择提供了依据
  
• 法规或法律欺压的要求
  
• 有助于定义访问级别、利用的授权类型及后续不再具有价值的资源销毁、降级方式
  
• 确定命据存储时间（保留时间）
  

两种常用的数据分类：

• 政府/军事：绝密、秘密、机密、敏感但未分类（Sensitive But Unclassfield，SBU）、未分类
  
• 贸易/私营部分：机密、私有、敏感、公开
  

1.1.2.3. 构造的角色和责任

1.1.2.3.1. 高级管理者

高管终极负责安全，但很少直接实验安全解决方案，多数情况分配给构造内的安全专业人员
1.1.2.3.2. 安全专业人员

安全专业人员通常由一支团队构成，根据已答应的安全计谋设计和实现安全解决方案。
1.1.2.3.3. 数据全部者

在安全解决方案中负责布署和掩护信息分类的人员，通常将现实数据管理使命委托给数据托管员
1.1.2.3.4. 数据托管员

数据托管员(Custodians)负责执行安全计谋，为实现数据的CIA提供充分的支撑，并履行上级管理部分委派的要求和责任。（如执行和测试备份、验证数据完备性等）
   数据托管员对数据的完备性和安全性进行日常监控。数据全部者可以授予保管人权利，但不负责进行监控。
  1.1.2.3.5. 用户

任何能访问安全体系的人员。
1.1.2.3.6. 审计人员

负责审查和验证安全计谋是否正确执行，以及相关的安全解决方案是否完备。
1.1.2.4. 安全控制框架

内部控制框架(Committee of Sponsoring Organizations，COSO) 是美国证券交易委员会唯一推荐利用的内部控制框架。COSO内部控制框架认为，内部控制体系是由控制情况、风险评估、内控运动、信息与沟通、监督五要素构成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示。模型包罗：

• 可操纵的关键威胁、资产和脆弱性评估（Operationally Critial Threat，Asset，and Vulnerability ，OCTAVE）
  
• 信息风险因素分析（Factor Analysis of Information Risk，FAIR）
  
• 威胁署理风险评估（Thread Agent Risk Assessment，TARA）
  

应用广泛的安全控制框架是信息和相关技能控制目标（Control Objective for Information and Related technology，COBIT），COBIT是由信息体系审计和控制协会（Information Systems Audit and Control Association，ISACA）编制的一套记录最佳IT安全实践的文档。
COBIT基于如下6个关键原则进行IT管理和管理：

• 满足长处相关方的需求
  
• 采用整体分析法
  
• 动态管理体系
  
• 把管理从管理中分离出来
  
• 根据企业需求量身定制
  
• 端到端管理体系
  

详细COBIT内容可访问ISACA，固然IT安全还有其他许多标准和指南，包罗：

• NIST 800-53 Rev. 5 信息体系和构造的安全和隐私控制，包含美国政府对构造安全的一般建议。
  
• The Center for Internet Security，CIS) 提供了OS，应用和硬件的安全配置指导。
  
• NIST Risk Management Framework，RMF 订定了对联邦机构的欺压性要求。RMF有六个阶段：分类、选择、实验、评估、授权和监控。
  
• NIST Cybersecurity Framework (CSF) NIST网络安全框架（CSF）专为关键基础设施和贸易构造设计，由五项功能构成：识别、掩护、检测、响应和规复。
  
• 开源安全测试方法手册（Open Source Security Testing Methodology Manual，OSSTMM）
  
• ISO/IEC 27002（代替ISO 17799）是一项专注于信息安全的国际标准，可作为实验构造信息安全及相关管理实践的基础。
  
• 信息技能基础设施库（Information Technology Infrastructure Library，ITIL），最初由英国政府设计，是一套IT安全和操纵流程的最佳实践，但它不是本文件的唯一重点，ITIL安全部分源自ISO 27002。
  

1.1.2.5. 应尽关心和尽职审查

应尽关心 指用合理的关注来掩护构造的长处，如订定一种正式的安全框架，包罗安全计谋、标准、基线、指南和步伐。
   个人或构造的法律责任被认为是一种应尽关心的场景。
  尽职审查 指具体的实践运动，比方：

• 将安全框架持续应用到构造的IT基础设施上。
  
• 员工配景调查
  
• 信息体系安全评估
  
• 物理安全体系评估
  
• 用威胁情报检查公共论坛和云端可用的公司知识产权
  

1.1.3. 开辟、记录和实验安全计谋、标准、步伐和指南

通过规范化过程可极大减少IT基础设施设计和实现的安全解决方案中的混乱和复杂性。

1.1.3.1. 安全计谋

规范化的最高层文件是安全计谋，它定义了主要的安全目标，对构造安全需求和框架进行了概述。
安全计谋用于分配职责、定义角色、指定审计需求、概述实验过程、确定合规需求和定义可授受的风险级别，安全计谋常用来证实高级管理者在掩护构造免受入侵、攻击和灾难时已经给予了应尽关心。
1.1.3.2. 标准、基线和指南

完成主要的安全计谋后就可在其指导下编制安全文档。

• 标准 对硬件、软件、技能和安全控制方法的一致性定义了欺压性要求。
  
• 基线 定义了整个构造中每个体系必须满足的最低安全级别，通常是体系特定的。
  
• 指南 提供了关于如何实现标准和基线的建议，并作为安全专业人员和用户的操纵指南，指南概述了方法，并非欺压性的。
  

1.1.3.3. 步伐

标准操纵步伐（Standard Operation Procedure，SOP）是详细的分步实验文档，形貌了实现特定的安全机制、控制或解决方案所需的具体操纵。
1.1.4. 理解与应用威胁建模的概念和方法

威胁建模是识别、分类和分析潜在威胁的安全过程。构造在进行体系设计过程早期就开始进行威胁建模，并持续贯穿于体系整个生命周期。
1.1.4.1. 识别威胁

1.1.4.1.1. 关注资产

以资产为中心，利用资产评估结果，试图识别价值资产的威胁。
1.1.4.1.2. 关注攻击者

根据攻击者的目标识别代表的威胁。
1.1.4.1.3. 关注软件

1. STRIDE
微软开辟了STRIDE的威胁分类方案，通常用于评估对应用步伐或操纵体系的威胁：

• 诱骗（Spoofing）：利用伪造的身份获得对目标体系访问的攻击行为。诱骗可用于IP地址、MAC地址、用户名、体系名、无线网络标识符（SSID）、电子邮件等其他类型的逻辑标识。
  
• 篡改（Tampering）：对传输或存储中的数据进行未授权的更改或操纵。
  
• 狡辩（Repudiation）：用户或攻击者否认执举措作或运动
  
• 信息泄露（Information Disclosure）：将私有、机密或受控信息泄露或发送给外部或未授权的实体。
  
• 拒绝服务（DoS）：通过利用缺陷、过载毗连或爆发流量来阻碍资源的有效利用
  
• 特权提拔（Elevation of Privilege）：将权限有限的用户账户转换为具有更大特权的账户。
  

2. PASTA
攻击模拟和威胁分析过程（Process for Attack Simulation and Threat Analysis，PASTA）以风险为焦点进行资产掩护的防护措施：

• 为风险分析定义目标
  
• 定义技能范围（Definition of the Technical Scope，DTS）
  
• 分解和分析应用步伐（Application Decomposition and - Analysis，ADA）
  
• 威胁分析（TA）
  
• 缺点和脆弱性分析（Weakness and Vulnerability - Analysis，WVA）
  
• 攻击建模与仿真（Attack Modeling & Simulation，AWS）
  
• 风险分析和管理（RAM）
  

3. Trike
Trike是另一种基于风险的威胁建模方法，Trike对每种资产的可接受风险程度进行评估，然后确定得当的风险响应举措。
4. VAST
VAST（Visual，Agile，and Simple Threat）是一种基于敏捷项目和编程原则的威胁建模概念。
1.1.4.2. 确定和绘制攻击路径

绘制数据流图，确定针对图表中每个元素的攻击
1.1.4.3. 执行简化分析

• 信托边界
  
• 数据流路径
  
• 输入点
  
• 特权操纵
  
• 安全声明和方法的细节
  

1.1.4.4. 优先级排序和响应

通过以上运动汇总出威胁后需要对威胁进行排序或定级，可利用概率*潜在损失排序、高/中/低评级或DREAD体系。
概率*潜在损失：天生一个代表风险严重性的编号（1-100，100代表大概发生的最严重风险）
高/中/低评级：指定优先级标签
DREAD：对每个威胁的五个主要问题回答

• 潜在破坏(Damage Potential)
  
• 可再现性(Reproducibility)
  
• 可利用性(Exploitability)
  
• 受影响用户(Affected Users)
  
• 可发现性(Discoverability)（攻击者发现缺点的难度）
  

1.1.5. SCRM

供应链风险管理（Supply Chain Risk Management，SCRM）
在为安全集成而评估第三方时，需要考虑：

• 文件交换和审查
  
• 过程/计谋审查
  
• 第三方审计
  

   根据美国注册会计师协会（AICPA）定义，拥有独立的第三方审计机构可根据SOC(Service Organization Control)陈诉对实体的安全基础设施进行公正的审查。
  

• SOC1审计偏重于根据安全机制的形貌来评估其实用性；
  
• SOC2审计偏重于实现与可用性、安全性、完备性、隐私性和保密性相关的安全控制；
  
  
  
  • Type 1：当前构造的安全控制与评估陈诉
    
  • Type 2：在运营期间该构造的安全控制与评估陈诉
    
  
  
• SOC3 向公众公开的合规陈诉.
  

  1.2. 人员安全和风险管理

由于硬件和软件控制的复杂性和重要性，在总体安全规划中经常忽略对人员的安全管理。
1.2.1. 人员安全计谋和步伐

在全部的安全解决方案中，人员都是最脆弱的元素。在拟定符合构造的职责形貌时，重要元素有：

• 职责分离(Separation Of Duties，SOD)：将关键的、敏感的工作使命分给几个差别人。
  
• 工作职责：员工常规执行的具体工作使命
  
• 岗位轮换：提供一种知识备份，同时可降低欺诈等风险。
  

1.2.1.1. 候选人筛选及招聘

1.2.1.2. 雇佣协议及计谋

聘用新员工时应该签订雇佣协议。除了雇佣协议还有其他安全相关文件，如

• 用于防止已去职员工泄露构造机密信息的NDA
  
• 非竞争协议（Noncompete Agreement，NCA）
  

1.2.1.3. 入职和去职步伐

入职是在构造的IAM（Identity and Acess Management，身份和访问管理）体系中添加新员工的过程。
去职指员工离开公司后将其身份从IAM体系删除。
1.2.1.4. 供应商、顾问和承包商的协议和控制

SLA通过明确规定对外部各方的期望和处罚。
1.2.1.5. 合规计谋要求

合规是符合或遵守规则、计谋、法规、标准或要求的行为。
1.2.1.6. 隐私计谋要求

许多美国法案都有关于隐私的要求，如

• 健康保险流通与责任法案（Health Insurance Portability and Accountability Act，HIPPA）
  
• 通用数据掩护条例(GDPR)
  
• 支付卡行业数据安全标准（Payemnt Card Industry Data Security Standard，PCI DSS）
  

1.2.2. 理解并应用风险管理概念

风险管理是订定和实验信息安全计谋，目标是减少风险和支持构造的使命。
1.2.2.1. 风险术语

资产：AV
资产估值
威胁: 任何大概发生的、对构造或特定资产造成不良或非预期结果的潜在事件。威肋主体通常是人员，但也大概是步伐、硬件或体系。威胁事件是对脆弱性的意外和有意利用。威胁事件可以是白发的或人为的，包罗火警、地震、大水、体系故障、人为错误。
脆弱性（Vulnerability）：是资产中的缺点，是防护措施或控制措施的缺点，或缺乏防护/控制措施。
暴露：指脆弱性会被威胁主体（如恶意黑客）或威胁事件（如火警）加以利用的大概性是存在的。
风险：是威胁利用脆弱性对资产造成损害的概率
防护措施（Safeguard）：任何能消除或减少脆弱性或能抵御一个或多个特定威胁的事物。（如安装补丁、雇佣保安、安全培训、给周边围栏通电）
攻击：任何以意利用构造安全基础设施的脆弱性并造成资产受损或泄露的行为。
破坏：安全机制被威胁主体绕过或阻止。

   Note: 风险是威胁和脆弱性的结合。威胁是指试图破坏安全的外部气力，比方本案中的恶意黑客。脆弱性是大概使威胁得逞的内在缺点。在这种情况下，缺少的修补步伐就是漏洞。在这种情况下，如果恶意黑客（威胁）试图对未修补的服务器（漏洞）进行SQL注入攻击，结果是网站被破坏
  暴露因子（EF）： 表示如果已发生的风险对构造某个特定资产造成破坏，构造将因此遭受的损失百分比。
举例：对于容易替换的资产（如硬件），EF通常较小； 但对于不可替换或专用的资产（如产品设计或客户数据库），EF会很大。
单一损失期望（SLE）：特定资产发生单一风险的相关成本。计算公式：SLE=资产价值（AV）*暴露因子（EF）
年度发生率（Annualized Rate of Occurrence，ARO）：一年内特定威胁或风险发生的预期频率。
举例：旧金山发生地震的ARO为0.03
年度损失期望（ALE）：针对特定资产的全部可发生的特定威胁，在年度内大概造成的损失成本。
计算公式： ALE=单一损失期望（SLE）*年度发生率（ARO）
防护措施年度成本（Annual Cost of the Safeguard，ACS）
1.2.2.2. 识别威胁

风险管理的基础是识别与检查威胁
1.2.2.3. 风险评估/分析

风险评估/分析主要是高层管理人员的工作。全部IT体系都存在风险，无法消除全部风险，但高层管理人员必须决定哪些风险是可授受的，哪些是不可授受的。决定可授受哪些风险时就需要进行详细而复杂的资产和风险评估。
   关键风险指标（KRI）通常用于监控建立持续风险管理操持的构造的风险。利用自动化的数据网络和允许消化和总结数据的工具，可以提供有关构造风险如何变革的预测信息
  1.2.2.3.1. 定量风险分析

定量(Quantitative)风险分析可计算出具体概率。然而完全靠定量分析是不可行的，并不是全部分析元素都可量化。定量风险分析的六个主要步调如下：

• 1.编制资产清单，为每个资产分配资产价值（Asset Valuation，AV）
  
• 2.研究每一项资产，列出大概面临的全部威胁。对每个列出的威胁计算暴露因子（Exposure Factor，EF）和单一损失期望（Single Loss Expectancy，SLE）。
  
• 3.执行威胁分析，计算每个威胁在一年之内现实发生的概率，即年度发生率（Annualized Rate of Occurrence，ARO）
  
• 4.通过计算年度损失期望（Annual Lost Expectancy，ALE）得到每个威胁大概带来的总损失
  
• 5.研究每种威胁的应对措施，然后基于已采用的控制措施计算ARO和ALE的变革
  
• 6.针对每项资产的每个威胁的每个防护措施进行成本/效益分析。为每个威胁选择最合适的防护措施。
  

防护措施对公司的价值=防护措施实验前的ALE-防护措施实验后ALE-防护措施的年度成本（ACS）
概念公式Asset value (AV)$Exposure factor (EF)%Single loss expectancy (SLE)SLE = AV * EFAnnualized rate of occurrence (ARO) Annualized loss# / yearexpectancy (ALE)ALE = SLE * ARO or ALE = AV * EF * ARO $ / yearAnnual cost of the safeguard (ACS)$ / yearValue or benefit of a safeguard (i.e., cost/benefit equation)(ALE1 – ALE2) – ACS 1.2.2.3.2. 定性风险分析

定性（qualitative）风险分析更多的是基于场景而不是基于计算。相关定性风险分析技能如下：

• 头脑风暴
  
• Delphi技能：匿名的反馈和响应过程，用于在一个小组中匿名告竣共识。
  
• 故事板
  
• 调盘问卷
  
• 检查清单
  
• 面谈
  

1.2.2.4. 风险响应

风险缓解（Risk Mitigation）:比如关闭FTP服务
风险接受
风险威慑（Risk Deterrence）：指对大概违背安全和计谋的违规者实验威慑的过程。比方，实验审计、安全摄像头。
风险规避：选择替换的选项或运动的过程。比如选择飞行而不是火车。
风险拒绝：不认风险存在并希望永久不会发生，并不是合法的、正确的风险响应方式。
总风险=威胁*脆弱性*资产价值 *这里表示连合
残余风险=总风险-控制间隙(controls gap )
1.2.2.5. 选择与实验控制措施

1.2.2.5.1. 访问控制步调

• (1)识别并验证尝试访问资源的用户或其他主体。
  
• (2) 确定访问是否已获得授权
  
• (3)根据主体的身份授予或限制访问权限
  
• (4)监控和记录访问尝试
  
  
  
  

1.2.2.5.2. 访问控制分类

1、一般分类

• 防备控制：试图阻止违背安全计谋。如防火墙、闭路电视、栅栏、SOD、IPS、渗透测试等
  
• 威慑控制：试图阻止违背安全计谋，但威慑控制每每取决于个人决定不接纳不必要举措，而防备性控制阻止了该动作。计谋、安全意识培训、保安、陷阱、安全摄像头
  
• 检测控制：试图发现或检测不必要或未经授权的运动。如岗位轮换、IDS、蜜罐
  
• 补偿控制（Compensating）：补偿控制是对其他控制的补充或替换。如加密
  
• 改正控制：使情况在出现问题后规复到原始状态。终止恶意运动、重启等
  
• 规复控制：试图在安全计谋违背后修复或规复资源和功能。如镜像、热站点、冷站点等
  
• 指示控制：试图指导、限制或控制主体的操纵，以强拆同或鼓励遵守安全计谋。如安全计谋、逃生出口标志、监控等
  

   一个由一对门构成的捕捉区是一个防备性访问控制的例子，该捕捉区的访问机制一次只允许一扇门打开，因为它可以通过阻止入侵者因打开的门或跟随合法工作人员进入设施而阻止不必要的访问。
  2、按实现方式分类
技能性控制措施 也称逻辑访问控制，依靠硬件或软件来掩护体系和数据，如：

• 身份验证
  
• 加密
  
• 访问控制列表
  
• 防火墙
  
• IDS
  
• 剪切级
  
• …
  

管理性控制措施 基于法规、要求和构造本身的政策，如：

• 计谋
  
• 招聘实践
  
• 数据分类和标志
  
• 安全意识培训
  
• …
  

物理性控制措施，比如：

• 保安
  
• 栅栏
  
• 看门狗
  
• 报警器
  
• 刷卡
  
• …
  

1.2.2.6. 安全控制评估

安全控制评估（SCA）根据基线或可靠性对安全基础设施的各个机制进行的正式评估
1.2.2.7. 监测和丈量

安全控制提供的收益应该是可被监督和丈量的。
1.2.2.8. 资产估值与陈诉

风险分析的一个重要步调是估算构造资产的价值，最后一个步调是风险陈诉。
1.2.2.9. 持续改进

安全在不停变革，以是需要CI
1.2.2.10. 风险框架

风险框架是关于如何评估、解决和监控风险指南或方法。在联邦信息体系中实验风险管理框架（RMF）包罗6个步调：

• 安全分类(数据全部者) 对信息体系和根据影响分析将被该体系处理处罚、存储和传输的数据进行分类；
  
• 选择安全控制(体系全部者) 基于安全分类为信息体系选择初始化安全控制基线，可基于风险评估在情况调整和补充。
  
• 实验安全控制(数据托管员) 利用安全控制
  
• 评估安全控制
  
• 授权信息体系
  
• 监督安全控制
  

其他风险管理框架

• 可操纵的关键威胁、资产和脆弱性评估（Operationally Critial Threat，Asset，and Vulnerability ，OCTAVE）
  
• 信息风险因素分析（Factor Analysis of Information Risk，FAIR）
  
• 威胁署理风险评估（Thread Agent Risk Assessment，TARA）
  

1.2.3. 建立和维护安全意识、教育和培训操持

• 安全意识建立了对安全理解的最小化最能标准或基础，全部人员都应充分认识到自身的安全责任、义务（知道该做什么、不该做什么）。
  
• 培训是教导员工执行他们的工作使命和遵守安全计谋。
  
• 教育是一项更详细的工作，员工学习的内容比他们完成工作现实需要知道的内容多得多，教育是个人成为安全专家的范例要求（如参加认证）。
  

   Note：安全意识和培训通常是内部提供的，而教育通常是从外部第三方获得的。
  1.2.4. 管理安全功能

管理安全功能包罗：安全计谋的开辟和实现。
要管理安全功能，构造必须实现得当和充分的安全管理。执行风险评估以驱动安全计谋的行为是安全功能管理最显著直接的示例。

• 安全必须是成本有效的
  
• 安全必须是可丈量的
  
• 安全机制本身与安全管理过程都会消耗资源。
  

1.3. 业务一连性操持

不管愿望多美好，总会有灾难降临到每个构造。
BCP与DRP之间的区别在于视角。BCP通常战略性地关注上层，以业务流程和运营为中心，DRP更具战术性，形貌规复站点、备分和容错等技能运动。
1.3.1. BCP简介

BCP涉及评估构造流程的风险，并创建计谋、操持和步伐，以最大限度地降低这些风险发生时能构造产生的不良影响。BCP流程有四个主要阶段：

• 项目范围和操持
  
• 业务影响评估
  
• 一连性操持
  
• 操持答应和实验
  

1.3.2. 项目范围和操持

1.3.2.1. 业务构造分析

考虑范围如下：

• 负责向客户提供焦点折务业务的运营部分
  
• 关键支持服务部分、设施和维护人员以及负责维护支持运营体系的其他团队
  
• 负责物理安全的公司安全团队
  
• 高级管理人员和对构造持续运营来说至关重要的其他人员
  

1.3.2.2. 选择BCP团队

团队至少包罗下列人员：

• 负责执行业务焦点折务的每个构造部分的代表
  
• 根据构造分析确定的来自差别职能区域的业务单位团队成员
  
• BCP所涉及领域内拥有技能主专长的IT专家
  
• 掌握BCP流程知识的网络安全团队成员
  
• 负责物理安全的公司安全团队
  
• 认识公司法规、羁系和合同责任的状师
  
• 可解决人员配置问题及对员工个人产生影响的人力资源团队成员
  
• 需要订定在发生停止时如何与长处相关方和公众进行沟通的公共关系团队成员
  
• 高级管理层代表，负责设定愿景、确定优先级和分配资源
  

1.3.2.3. 资源需求

以下运动需要人力资源

• 开辟
  
• 测试、培训和维护
  
• 实验
  

1.3.2.4. 法律和法规要求

许多国家、金融机构都受到严格的政府法规及国际银行和证券法规的束缚。
1.3.3. 业务影响评估

BCP团队完成预备创建BCP的四个阶段后就进入工作的焦点部分：业务影响评估（BIA）。BIA纯粹是定性分析。BCP团队不应关注每种风险现实发生的概率。
   预备：在开辟了一个资产列表之后，业务影响分析团队应该为每个资产分配价值。
  1.3.3.1. 确定优先级

第一个BIA使命是确定业务优先级，涉及三个量化指标：

• AV加粗样式：Asset Value，资产价值；
  
• MTD：是IT服务或组件不可用而不会对构造造成严重损害的最长时间,这种措施偶然也称为最大容许停运(MTO)；
  
• RTO：规复时间目标(Recovery Time Objective，RTO)，RTO是一项职能，用于评估灾难扰乱正常运营的程度和灾难在单位时间里所造成的收入损失。这些因素又取决于受影响的设备和应用步伐。规复时间目标(RTO)是以秒、分钟、小时或天数来衡量的，它是灾难规复规划(DRP)中的一个重要考虑因素。
  

   BCP目标是确保RTO < MTD，这使一个业务功能不可用的时间永久不会凌驾最大允许停止时间。
  1.3.3.2. 风险识别

风险有两种形式：自然风险和人为风险。
1.3.3.3. 大概性评估

进行威胁分析，计算每种威胁在一年内实现的大概性，即年化发生率（Annualized Rate of Occurrence，ARO）。
1.3.3.4. 影响评估

• SLE = AV * EF
  
• ALE = SLE * ARO
  

1.3.3.5. 资源优先级排序

BIA最后一步是划分针对差别风险所分配的业务一连性资源的优先级。
1.3.4. BCP操持

1.3.4.1. 计谋开辟

在业务影响评估与BCP开辟之间架起桥梁。确定哪些风险需要缓解以及将为每个缓解使命提供的资源程度。
1.3.4.2. 预备和处理处罚

1.3.4.2.1. 人员

人是最宝贵的资产，人员的安全必须优先于构造的贸易目标。应该为人员提供完身分配使命必须的全部资产。如果需加班，还必须安排好住所和食物。
1.3.4.2.2. 建筑和设施

加固防备措施（如安装防火墙）
备用站点（如果无法通过加固设施来抵御风险，则需要考虑备用站点）
1.3.4.2.3. 基础设施

物理性加固体系（灭火体系、UPS）
备用体系（冗余组件）
1.3.5. 操持答应和实验

1.3.5.1. 操持答应

尝试让企业高层向导答应该操持。
1.3.5.2. 操持实验

1.3.5.3. 培训和教育

培训和教育是BCP实验的根本要素。
   注意：BCP使命至少培训1名备用人员，确保在紧急情况下人员受伤或无法到达工作场所时的备用人员。具有特定业务一连性角色的个人应至少每年接受一次培训。
  1.3.5.4. BCP文档化

文档应包罗：

• 1.一连性操持的目标
  
• 2.重要性声明
  
• 3.优先级声明
  
• 4.构造职责声明
  
• 5.紧急步伐和时限声明
  
• 6.风险评估
  
• 7.风险授/风险缓解
  
• 8.重要记录操持（对业务真正关键的重要记录）
  
• 9.应急响应指南
  
• 10.维护
  
• 11.测试和演练
  

1.4. 法律、法规和合规

1.4.1. 法律分类

1.4.1.1. 刑法

刑法是维护宁静、保障社会安全的法律体系的基石。如行刺、掳掠等行为。
1.4.1.2. 民法

民法是法律体系的主体，用于维护社会失序，管理不属于犯恶行为但需要由公正的仲裁者解决的人人和构造间的问题。如合同纠纷、产业/遗嘱公证步伐。
1.4.1.3. 行政法

政府行政部分要求许多机构 对保证政府的有效运作承担广泛责任。
1.4.2. 4.2 法律

1.4.2.1. 计算机犯罪

1.《计算机欺诈和滥用法案》（CFAA）
CFAA是美国针对 网络犯罪的第一项重要立法（1984）。
   《计算机欺诈和滥用法案》（CFAA）规定，在任何一年内，恶意对联邦计算机体系造成凌驾5000美元的损害都是联邦犯罪。
  2. 《计算机滥用修正案》
1994、1996、2001及之后对CFAA的修正
3. 联邦量刑指南 1991

• 要求高级管理员为"应尽关心"承担个人责任
  
• 允许构造和高管通过证实他胶在履行信息安全职责时实验了尽职审查，将对违规行为的处罚降到最低。
  
• 概述了对疏忽的三种举证责任
  

4. 《国家书息基础设施掩护法案》
5. 联邦信息安全管理法案（FISMA）2002
要求联邦机构实验涵盖机构运营的信息安全步伐，FISMA还要求政府机构将合同商(contractors)的运动纳入安全管理步伐。NIST负责订定FISMA实验指南。
   《联邦信息安全管理法》实用于联邦政府机构和承包商。在列出的实体中，国防承包商最有大概与政府签订受FISMA束缚的合同。
  6. 2014年的联邦网络安全法案
2014年的FISMA修改了规则，将联邦网络安全责任集中到美国国国土安全部，其次通过了《网络安全增强法案》
以下是NIST常用标准：

• NIST SP 800-53：联邦信息体系和构造的安全和隐私控制。
  
• NIST SP 800-171：掩护非联邦信息体系和构造中受控的非分类信息。
  
• NIST网络安全框架（CSF）
  

   《国家网络安全掩护法》：要求美国国土安全部建立集中的国家网络安全和通讯中心，充当联邦机构和民间构造之间的接口，共享网络安全风险、事件、分析和告诫。
  1.4.2.2. 知识产权

无形资产统称为知识产权，并有一整套掩护掩护知识产权全部权益的法律。常见有4种类型：版权、商标、专利和贸易秘密。
1.4.2.2.1. 版权和数字千年版权法(Digital Millennium Copyright Act ,DMCA)

版权法掩护原创作品的创作者，防止创作者的作品遭受未经授权的复制，有资格受到版权掩护的作品有八大类：

• 文学作品
  
• 音乐作品
  
• 戏剧作品
  
• 哑剧和舞蹈作品
  
• 绘画、图形和雕刻作品
  
• 电影和其他音像作品
  
• 声音灌音
  
• 建筑作品
  

计算机版权属于文学作品范畴。
   版权法只掩护计算机软件固有的表现形式，即源代码，不掩护软件背后的头脑和过程。
版权默认归作品的创作者全部，员工在日常工作中创造出来的作品被认为是因受雇佣而创作的作品。
DMCA规定，提供商不对其用户的临时运动负责。通过网络传输信息符合这一宽免条件。
  版权法提供了相称长的掩护期:

• 一个或多个作者的作品：被掩护的时间是最后一位去世作者离世后的70年。
  
• 雇佣作品：min（第一次发表日期后的95年，或从创建之日起的120年）
  

1998年美国国会认识到数字领域正在延伸到再有版权法的范围，颁布了《数字千年版权法》（DMCA），主要条款：

• 阻止试图通过规避版权全部者对受掩护作品采用的掩护机制的计划，即防止复制数字介质。
  
• 利用ISP线路从事违背版权法运动时ISP答应担的责任
  

1.4.2.2.2. 商标

如果想要官方承认商标，可向美国专利商标局（ United States Patent and Trademark Office ,USPTO）注册。此过程需要状师对已经存在的商标进行一次全面的尽职审查，列队注册障碍。利用®表示是已经注册的商标。
在美国商标答应后的初始有效期是10年，到期后可按每次10年的有效期延续无数次。
1.4.2.2.3. 专利

专利提供20年的掩护限期。专利有三个重点要求：

• 新奇
  
• 实用
  
• 创造
  

1.4.2.2.4. 贸易秘密

被泄露给竞争对手或公众，将造成重大损失的知识产权，如可口可乐的秘密配方。
贸易秘密不必身任何人登记而是本身持有，为掩护贸易秘密，可以：

• 最小化授权
  
• NDA
  

1.4.2.3. 许可证

四种常见许可协议类型：

• 合同许可协议利用书面合同
  
• 开封见效许可协议被写在软件包装的外部
  
• 单击见效许可协议
  
• 云服务许可协议
  

1.4.2.4. 进口/出口控制

1. 计算机出口控制
现在美国企业可向险些全部国家出口高性能计算机体系，而不必事先得到政府的答应
2. 加密技能出口控制
对美国而言，加密的出口受其《出口管理法规》(Export Administration Regulations, EAR)限制。出口密码技能和密码产品的长度、强度以及一些特殊加密功能都受到限制。
1.4.2.5. 隐私

1.4.2.5.1. 美国隐私法

第四修正案 隐私权的基础是美国宪法的第四修正案。《第四修正案》部分规定，“人民的人身、房屋、文件和物品不受不合理搜查和扣押的权利不应受到侵犯，除非有大概的来由，并有宣誓或肯定的支持，特别是形貌要搜查的地方和要扣押的人或物，否则不得签发搜查令。
   “第一修正案包含了与言论自由有关的掩护措施。第五修正案确保任何人都不需要充当针对本身的证人。第十五修正案掩护公民的投票权
  1974年《隐私法案》 是对美国联邦政府处理处罚公民个人隐私信息的方式进行限制的王总最重要的隐私法。
1986年 《电子通讯隐私法案》（ECPA） 将侵犯个人电子隐私的德庄国定义为犯罪
1994年 《通讯执行协助法案》（Communications Assistance to Law Enforcement Act，CALEA） 要求全部通讯运营商，无论利用何种技能，都要允许持有得当法院讯断的执行人员进行窃听。
1996年 《经济间谍法案》
1996年 《健康保险流通与责任法案》（HIPAA） 要求医院、大夫、保险公司和其他处理处罚或存储私人医疗信息的构造接纳严格的安全措施
1998年 《儿童在线隐私掩护法》（Children’s Online Privacy Protection Act, COPPA）
   COPPA要求网站网络13岁以下儿童的个人信息必须事先征得家长同意
  1988年《身份占用与侵占防治法》
1999年 《Gramm-Leach-Billey法案》（GLBA） 对金融机构有了严格羁系规定
2001年 《美国爱国者法案》 对2001年911恐怖袭击的直接回应，提供了拦截和阻止恐怖主义所需的得当法律工具
2009年 《健康信息技能促进经常和临床健康法案》（HITECH） 是通过修订HIPAA得来，新增了数据泄露关照要求
《家庭教育权利和隐私法案》（FERPA）
1.4.2.5.2. 欧盟隐私法

在欧洲开展业务的美国公司在处理处罚个人信息时必须满足以下七项要求：

• 告知个人数据处理处罚情况
  
• 提供免费和易用的纠纷解决方案
  
• 与美国商务部合作
  
• 维护数据完备性和目的限制
  
• 确保数据被转移给第三方的责任
  
• 执行举措的透明度
  
• 确保答应在持有数据期间都有效
  

   美国商务部和联邦贸易委员会FTC对遵守规定的企业进行认证，并为他们提供安全港免遭诉讼。
  1.4.2.5.3. 欧盟《通用数据掩护条例》（GDPR）

2016年欧盟通过了一项涵盖个人信息掩护的综合性法律GDPR，并于2018年5月25日见效。一些主要规定如下：

• 数据泄露关照 要求公司在24小时内将严重的数据泄露情况关照官方机构
  
• 在每个欧盟成员国建立集中化数据掩护机构
  
• 规定个人可访问本身的数据
  
• 数据可移植性 规定将根据个人要求促进服务提供商之间的个人信息传输
  
• 遗忘权 允许人们要求公司删除不再需要的个人信息
  
• 公平处理处罚、安全维护和准确维护数据的要求
  

   GDPR确实包罗为特定、明确和合法目的网络信息的需要；需要确保网络的信息仅限于实现既定目的所需的信息；以及掩护数据免受意外破坏的必要性。它不包罗对静止信息进行加密的特定要求。
  1.4.3. 合规

常听说的PCI DSS。
构造大概要接受合规审计。
除了正式审计外，构造通常还必须向一些内部和外部股东陈诉法律合规情况。
1.4.4. 合同和采购

安全专业人员应当审查供应商实验的安全控制，包罗最初的供应商选择和评估流程，以及持续管理审查。
前期章节回顾：

• 【CISSP学习条记】0.开篇
  

---

推荐阅读：

• 「 网络安全常用术语解读 」软件物料清单SBOM详解
  
• 「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
  
• 「 网络安全常用术语解读 」SBOM主流格式SPDX详解
  
• 「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
  
• 「 网络安全常用术语解读 」漏洞利用交换VEX详解
  
• 「 网络安全常用术语解读 」软件身分分析SCA详解：从发展配景到技能原理再到业界常用检测工具推荐
  
• 「 网络安全常用术语解读 」什么是0day、1day、nday漏洞
  
• 「 网络安全常用术语解读 」软件物料清单SBOM详解
  
• 「 网络安全常用术语解读 」杀链Kill Chain详解
  
• 「 网络安全常用术语解读 」点击挟制Clickjacking详解
  
• 「 网络安全常用术语解读 」悬空标志注入详解
  
• 「 网络安全常用术语解读 」内容安全计谋CSP详解
  
• 「 网络安全常用术语解读 」同源计谋SOP详解
  
• 「 网络安全常用术语解读 」静态分析结果交换格式SARIF详解
  
• 「 网络安全常用术语解读 」安全自动化协议SCAP详解
  
• 「 网络安全常用术语解读 」通用平台枚举CPE详解
  
• 「 网络安全常用术语解读 」通用缺陷枚举CWE详解
  
• 「 网络安全常用术语解读 」通用漏洞披露CVE详解
  
• 「 网络安全常用术语解读 」通用配置枚举CCE详解
  
• 「 网络安全常用术语解读 」通用漏洞评分体系CVSS详解
  
• 「 网络安全常用术语解读 」通用漏洞陈诉框架CVRF详解
  
• 「 网络安全常用术语解读 」通用安全告示框架CSAF详解
  
• 「 网络安全常用术语解读 」漏洞利用交换VEX详解
  
• 「 网络安全常用术语解读 」软件身分分析SCA详解：从发展配景到技能原理再到业界常用检测工具推荐
  
• 「 网络安全常用术语解读 」通用攻击模式枚举和分类CAPEC详解
  
• 「 网络安全常用术语解读 」网络攻击者的战术、技能和常识知识库ATT&CK详解
  
• 「 网络安全常用术语解读 」静态应用安全测试SAST详解
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4