CISSP 第1章：实现安全治理的原则和计谋_过渡的保护可用性为什么完备性受限 ...

访问数据的人。
审计职员

负责检查安全计谋是否被正确执行，相关的安全解决方案是否完备。
审计职员在发现题目后会先辈行确认，再写入审计报告。
安全引导委员会

• 由 CEO、CIO、CFO、部门经理、内审官等组成的委员会
  
• 每季度召开会议
  
• 界说构造可接受的风险级别，确定安全目标和战略，制定安全活动优先级，审查风险评估报告，批准安全计谋和变更等
  

审计委员会

由董事会指派专人，进行公司内部的审查，审查结果直接报告董事会。一般 CEO 最适合做审计执行官（职位最高）。
安全控制框架

应用最广泛的安全控制框架是 COBIT，COBIT 基于六个原则进行企业 IT 治理和管理：

• 为长处相关方创造价值
  
• 采取整体分析法
  
• 动态地治理体系
  
• 把治理从管理中分离出来
  
• 根据企业需求量身定制
  
• 采取端到端的治理体系
  

IT 安全的其他标准和指南：

• ISO 27000 系列，国际标准，企业信息安全及相关管理实践标准
  
  
  
  • ISO 27001：信息安全管理体系的标准
    
  • ISO 27002：信息安全控制措施的更多细节
    
  • ISO 27004：信息安全绩效
    
  • ISO 27005：信息安全风险管理
    
  
  
• NIST风险管理框架 RMF：联邦机构的逼迫要求，包罗 6 个阶段：分类、选择、实施、评估、授权和监控
  

Due Care

应尽关心：在正确的时间采取正确的行动。应尽关注原则描述了一个人应该在一种环境下用正常人所期望的相同级别的关注来相应。
如果一个公司没有做到充分的安全计谋、适当的安全意识培训，则没有到达 DC。
Due Diligence

应尽审查：职责是什么，应该做什么，制定计划。在一样平常管理中尽到责任。应尽职责原则是应尽关注的一个更具体的组成部门，它描述被指派责任的个人应该以应尽关注的方式准确和及时的完成责任。
在做信息安全时，应该尽大概收集信息以进行最佳决策，查察并了解风险。
审慎人规则

审慎人规则要求高级管理职员为信息安全事件承担个人责任，为了确保普通，审慎的个人在相怜悯况下会表现出应尽关注。该规则最初适用于财务事项，但联邦量刑指南于1991年将其应用于美国的信息安全事项。
安全计谋、标准、步伐、指南

计谋

规范化的最高层级文件被称为安全计谋。

• 方法、规定
  
• 界说要保护的对象和目标
  
• 安全框架
  
• 分配职责、界说角色、明确审计需求、概述实施过程等
  

AUP 可接受的使用计谋

属于安全文档的一部门，界说了可接受的绩效级别和期望的行为、行动。不执行 AUP 大概会被警告乃至开除。
标准

• 逼迫性要求
  
• 一致性，比如实施标准，采购标准
  

基线

• 每个体系需要满足的最低安全级别
  
• 一般参考行业标准
  

指南

• 怎样实现上面的标准和基线的发起，非逼迫的
  

安全流程（安全步伐） SOP

Standard Operating Procedure，详细的分步实施文档。
可以是整个体系的摆设操纵，也可以是单个产品的。
威胁建模 - 关注威胁

威胁建模是辨认、分类和分析潜在威胁的过程。贯穿体系的整个生命周期。

• 主动式：在产品研发阶段进行威胁建模
  
• 被动式：在摆设后执行
  
• 主动式和被动式都需要，由于并不是全部的威胁都能在开发阶段辨认。
  

1. 辨认威胁

关注资产、关注攻击者关注软件。
威胁建模的最终目的：对危害构造有价值资产的潜在威胁进行优先级排序。
STRIDE 威胁分类

微软开发的。

• 欺骗 Spoofing
  
• 篡改 Tampering
  
• 否认 Repudiation
  
• 信息泄露 Information Disclosure
  
• 拒绝服务 DoS
  
• 提权 Elevation of Privilege
  

PASTA 威胁建模

以风险为焦点。
Trike 威胁辨认模型

VAST 敏捷开发威胁建模

2. 确定潜在的攻击

绘制数据流图。确定每个环节涉及的技能，大概受到的攻击范例，比如逻辑、物理、社会工程学攻击等。

3. 简化分析

**分解数据流图中的应用和环境。**更好地了解产品逻辑、内部单位、交互等等。
分解过程需要关注 5 个要素：

• 信托边界：信托级别、安全级别发生变革的地方
  
• 数据流路径：两个位置间的流动
  
• 输入点：接收外部输入的地方
  
• 特权操纵
  
• 安全声明和 Method （方法）
  

4. 优先级排序和相应

对威胁进行评级和排序，使用 DREAD 评级方案。
DREAD 总分 100 分，包罗发生大概性*潜在损失 。此中每个值都是 1~10，10 表现最高。
DREAD 关注下列 5 个题目：

• 潜在破坏（损失）
  
• 受影响用户（损失）
  
• 复现率（概率）
  
• 漏洞可使用性（概率）
  
• 漏洞发现难易度，可发现性（概率）
  

风险矩阵/风险热图

供应链风险管理

SCRM Supply Chain Risk Management
目标：确保全部供应商和环节都是可靠的。
重点：对供应商进行评估、连续监控和管理
SLR 与 SLA：

• SLR：服务级别需求
  
• SLA：服务等级协议，规定最低的安全要求
  
• SLR 产生 SLA
  

职员管理

1. 岗位描述和职责

• 确定岗位描述清单，比如角色和要执行的任务
  
• 一样平常的具体工作内容，访问其他资源的权限
  

2.职员筛选、调查和招聘

• 配景调查：淘汰风险、淘汰招聘成本、低落员工流畅率
  
• 资质稽核
  

3. 职员任命（onboarding）

• 签署雇佣协议
  
• 入职培训（认同企业文化可以淘汰去职率）
  
• 保密协议签署：保护公司敏感信息，入职时签署，去职重申
  
• 遵守 AUP（界说公司的安全标准，即哪些活动可接受，哪些不可）
  
• 为用户创建账号（Provision），并分配相应的访问权限
  

4. 员工监督

• 岗位轮换（防勾通，防滥用）
  
• 交叉培训（A/B 角色）
  
• 员工评估：针对关键角色进行全面评估，针对其他员工抽查
  
• 审查员工，早期发现大概对安全造成风险的行为
  
  
  
  • 不满的员工
    
  • 逼迫休假（逼迫审查，一般表现有欠好的行为发生）
    
  
  

5. 去职

• 禁用、删除用户账号
  
• 撤销证书
  
• 取消访问代码权限
  
• 解雇过程需要安全部门和 HR 参与，尊重员工的同时低落风险，去职面谈需要重申之前签署的安全协议
  

第三方职员管理

• 签署 SLA，SLA 需要包罗安全改进相关的内容（保密相关仍旧需要签署 NDA，SLA 不能满足）
  
• 使用 VMS 供应商管理体系
  

合规计谋

在职员层面，合规=员工是否遵照公司的计谋。
合规是一种行政或管理形式的安全控制。
隐私计谋

隐私内容包罗：

• 未授权访问个人可辨认信息（PII），比方电话号、地址、IP 等
  
• 未经授权的个人机密信息访问
  
• 未经同意的监督
  

要遵照法律要求保护和存储隐私数据：

• HIPAA 健康保险流畅与责任法案
  
• SOX 萨班斯-奥克斯利法案
  
• FERPA 家庭教育权利和隐私法案：学生相关的数据
  
• GDRP 通用数据保护条例
  

风险管理 - 关注资产

风险管理的目标：将风险降至可接受的水平。
绝对安全的环境是不存在的，需要平衡收益/成本，安全性/可用性。
风险来自许多方面，大概是非 IT 的灾难，比如自然灾害等。
风险管理包罗两大部门：

• 风险评估/风险分析：基于价值/性子分析每个体系的风险
  
• 风险相应：使用成本/收益的方式评估风险控制措施
  

风险相关的术语表明

• 资产：可以是业务流程大概使用到的任何事物，可以是有形的也可以是无形的
  
• 资产估值 AV：资产对应的钱币价值，综合告急性、使用环境、成本、支出等元素得出
  
• 威胁：大概导致资产破坏、变更、泄露等的行为
  
• 威胁主体：主体使用威胁来危害目标
  
• 威胁事件：对脆弱性的不测和有意使用
  
• 威胁向量（Threat Vector）：攻击者为了伤害目标而使用的路径和手段，比如 Wifi、物理访问、社会工程学等
  
• 脆弱性：资产中的缺点，使威胁可以大概造成侵害的缺陷、漏洞、疏忽，可以是技能上的，也可以是管理逻辑上的
  
• 袒露：资产丢失袒露的大概性
  
• 风险：
  
  
  
  • 风险=威胁*脆弱性
    
  • 风险=侵害的大概性*侵害的严峻水平
    
  
  
• 攻击：威胁主体进行的脆弱性使用实验
  
• 破坏：乐成的攻击
  

1. 风险分析

风险分析的目标是：确保只摆设具有成本效益的措施。
定性风险分析 - 基于定性的更轻易分析

基于分级来进行。基于场景，而非盘算，依赖经验和判定。

• 场景：针对单个威胁的描述
  
  
  
  • 通常比较概要，限定在一页纸，方便参与的人分配等级
    
  • 威胁怎样产生
    
  • 对构造带来的影响
    
  • 大概的防护措施
    
  
  
• Delphi 技能：匿名的反馈和相应
  
  
  
  • 对于每个反馈，参与者通过数字消息匿名写下反馈，最后汇总给风险分析小组，重复这个过程直至达成共识
    
  
  

定量风险分析

几个关键词：

• AV 资产价值
  
• EF 袒露因子：潜在的损失，EF 仅表现单个风险发生时对整体资产价值造成的损失（比如硬件故障带来的损失），以百分比盘算
  
• SLE 单一损失期望（Single Loss Expectancy）：SLE = AV * EF
  
• ARO 年发生率
  
• ALE 年度损失期望
  

ALE = ARO * SLE = ARO * AV * EF
定性分析和定量分析的对比

特征定性分析定量分析使用数学盘算否是使用成本/收益分析大概是需要估算是有时支持自动化否是涉及大量信息否是客观的较少较多依赖于专家意见是否耗费的时间一般多提供有用的意义和结果是是 2. 风险相应

风险相应的形式：

• 风险缓解：最常用，通过实施防护措施、安全控制来淘汰脆弱性，阻止威胁。比如加密和防火墙
  
• 风险转让：购买服务、保险等。可以转让风险，但无法转移责任
  
• 风险威慑：比如实施审计、监控、警告 banner、安保职员等
  
• 风险规避（risk avoidance）：灾难避免，比如关闭告急体系以低落安全风险
  
• 风险接受：可以接受安全风险，通常意味着保护成本>资产价值
  
• 风险拒绝：不接受但是大概发生，不应该有
  

残余风险处理（除已经防护的，剩下的风险）：

• 定期进行评估
  

风险控制的成本和效益

几个关键词：

• ACS （ annual cost of the safeguard）年度防护成本
  
• ALE 年度损失期望
  
• 实施措施前的 ALE
  
• 实施措施后的 ALE
  

防护措施对公司的价值=实施措施前的 ALE-实施措施后的 ALE-ACS
安全控制分类

按照方式：

• 管理行政类：数据分类、配景调查、工作说明书、审查、监督、培训
  
• 技能/逻辑类：IPS、防火墙、IAM、加密
  
• 物理类：门禁、锁、保安、看门狗、围栏、物理环境入侵检测等
  

按照作用：

• 预防性控制：摆设预防控制以阻止非预期的或未经授权的活动发生，身份认证、门禁、报警体系、岗位轮换、IPS、培训等
  
• 威慑控制：锁、保安等，大概和预防性的重叠
  
• 检测控制：保安、IPS 、审查
  
• 补偿控制：另一种控制手段的增补或增强，比如主要手段是防止删除，补偿手段是存在备份可规复
  
• 纠正：比方杀毒、阻止入侵行为、备份规复等，将环境从非预期的活动中进行规复
  
  
  
  • 规复性控制：纠正的扩展，不像纠正是单一的行为，规复性大概更复杂，安全计谋被破坏后，规复控制实验修复或规复资源、功能和能力
    
  
  
• 指令式/指示控制：比如通知、公司标准等，逼迫或鼓励主体遵守安全计谋
  

安全控制评估 SCA

Security Control Assessment
根据基线或可靠性期望对安全机制的正式评估。可作为渗出测试报告的增补。
目的：确保安全机制的有用性。评估构造风险管理过程中的质量和彻底性，天生已摆设安全措施的优缺点报告。
对应的标准为 NIST SP 800-53 Rev5，信息体系和构造的安全和隐私控制。
风险管理成熟度模型 RMM

Risk Maturity Model
RMM 5 个级别：

• 初始级 （ad hoc）：混乱的状态
  
• 预备级（Preliminary）：开端实验遵守风险管理流程，但是每个部门执行的风险评估不同
  
• 界说级（Defined）：在整个构造内使用标准的风险框架
  
• 集成级（Integrated）：风险管理集成到了业务流程中，风险是业务战略决策中的要素
  
• 优化级（Optimized）：侧重于实现目标，而不是被动相应
  

风险管理框架 RMF

Risk Management Framework，被 NIST SP 800-37 Rev2 界说。
风险框架用于评估、解决和监控风险的指南或方法。
1+6个循环的阶段：先辈行预备，预备上下文和优先级（优先处理哪些体系）

• 分类：根据对损失影响的分析，对信息及体系进行分类
  
• 选择：选择符合的控制手段，可以将风险降到可接受水平
  
• 实施：实施上面描述的控制
  
• 评估：确保控制实施到位（也就是检查）
  
• 授权：在确定风险可接受的基础上，授权上线（雷同于认可）
  
• 监控：连续监控体系，包管控制的有用性
  

安全培训 SAET

Security Awareness, Education, and Training Program
意识

• 创建对安全认知的最小化通用标准或基础
  
• 教学、视频、海报、媒体等
  

培训

• 培训是指教导员工执行他们的工作任务和遵守安全计谋
  
• 定期的培训，加强职员安全意识
  
• 最好是逼迫的培训
  

教育

• 教育是一项更详细的上作，用户学习的内容比他们完成其工作任务实际需要知道的内容多得多
  
• 教育大概是获取资格认证的培训，大概和晋升相关的教育
  

改进

• 培训完成后需要做的
  
  
  
  • 制定改进计划、下一步计划
    
  
  

有用性评估

• 考试
  
• 审查事件日志，了解违规发生率
  

业务连续性计划 BCP

**BCP 和业务中断有关。**关注上层，以业务流程和运营为主。
**DRP 容灾规复计划 - 和数据规复有关。**更具细节，描述站点规复、备份和容错等技能。
BCP 四个阶段：

• 项目范围和计划
  
• 业务影响分析 BIA
  
• 连续性计划
  
• 计划批准和实施
  

1. 项目范围和计划

• 首要职责，构造分析：了解部门职责
  
• 选择 BCP 团队：包罗业务、法务、IT、安全、公关、财务、高层代表等
  
• 资源需求：有职员需求和财务需求（购买软硬件）
  
• 法律和法规要求
  

2. 业务影响分析 BIA

目的：辨认关键业务功能及这些功能相关的 IT 资源，分析中断的影响。
支持定量分析和定性分析，BCP 通常喜好使用定量分析，从而忽略定性分析，BCP 团队应该对影响 BCP 过程的因素进行定性分析。
1, 确定优先级

定量分析：

• 确定资产价值 AV
  
• 确定 MTD 最大容忍中断时间
  
• RTO 应该始终小于 MTD（MTD = RTO + 业务确认的时间 WRT）
  

2, 风险辨认

辨认自然风险和人为风险：

• 暴雨、累计、地震、火山、流行病等
  
• 可怕打击、火灾、互联网终端等
  

3, 大概性评估

确定每种大概性发生的概率，确定 ARO 年发生率。
4, 影响分析

年损失期望 ALE
ALE = SLE *ARO = AV * EF * ARO
5, 资源优先级排序

3. 连续性计划

• 计谋开发：
  
  
  
  • 目标、范围、需求
    
  • 基本的原则和引导方针
    
  • 职责
    
  
  
• 预备和处理：
  
  
  
  • 制定具体的流程和机制来减微风险
    
  • 职员优先
    
  • 建筑办法的保护，比如加固，大概备用站点
    
  • Infra 保护，包罗冗余办法，物理性的加固（UPS 及防火等）
    
  
  

4. 计划批准和实施

• 计划批准：计划得到上层的认可，展示业务向导对于业务连续性的承诺，在其他职员眼中更具告急性和可信度
  
• 计划实施：
  
• 培训和教育：培训的目的是让相关的人认识其职责，以及操纵步调
  

5. BCP 文档

• 文档化可以防止执行时偏离
  
• 文档包罗告急性声明
  
• 优先级声明
  
• 构造职责声明：重申构造对业务连续性计划的承诺
  
• 紧急水平和时间限定要求（时间表）
  
• 风险评估的内容
  
• 风险接受、风险缓解的内容，比如哪些风险可接受，哪些风险不可接受需要采取缓解措施
  
• 告急记录：标识
  
• 应急相应指南
  
• 定期维护
  
• 测试和演练
  

法律法规

知识产权 IP - 保护创作者

保护创作者，软件属于知识产权。
作品在创作的那一刻即拥有版权。
仅有源代码属于知识产权，代码使用的逻辑不属于知识产权。
《数字千年版权法》DMCA

受保护的范例：

• 文学作品（盘算机软件属于此分类）
  
• 音乐作品
  
• 戏剧作品
  
• 哑剧和舞蹈作品
  
• 绘画、图形、雕刻作品
  
• 影戏和其他音响作品
  
• 声音灌音
  
• 建筑作品
  

版权的保护期：

• 单个或多个作者：最后一位作者去世后 70 年内
  
• 因受雇而创作的作品：作品第一次发表 95 年，大概创建之日起 120 年，此中较短的一个
  

数字化相关：

• 针对 DVD 等违权最高判处 100w 美元和 10 年羁系
  
• 使用 ISP 线路违权时，ISP 承担责任。但是对于用户的临时性活动不负责（比如临时发送一些东西，不知道目标人）
  

商标

商标不需要注册即拥有版权。
目的：

• 辨识公司及公司的服务和产品
  
• 避免市场混乱
  

专利 - 保护作品

保护发明者的知识产权。自首次申请发明起，有 20 年有用期，发明者有该发明的独家使用权利。逾期后即可允许任何人使用，比如 PGP 使用的 IDEA 算法。
三个重点要求：

• 发明具有新颖性
  
• 发明具有实用性
  
• 发明具有创造性
  

商业机密

对于公司很告急的知识产权，不能外泄。
通常公司自己持有，不做专利保护，严格限定访问，加密存储。
隐私法案

个人数据的使用原则：

• 收集个人数据需要征得主体的同意，并告知用途
  
• 只收集和用途有关的数据
  
• 只在用途所需期限内使用和生存
  

第四修正案

保护公民隐私，防止未授权的查抄、窃听。
1974 隐私法案 - 仅适合联邦当局

限定联邦当局机构在没有事先得到当事人书面同意的环境下向其他人或机构透露隐私信息的能力。
电子通信隐私法 ECPA

Electronic Communications Privacy Act
适用于非法窃听、非授权访问电子数据的行为。
针对手机的窃听，处以最多 500 美元和 5 年羁系。
通信执法帮忙法案 CALEA

Communications Assistance for Law Enforcement Act
修正了 ECPA，允许在法院同意的环境下由执法职员进行窃听。
经济间谍法案

Economic Espionage Act
任何盗取专有信息（Confidential、Property）的行为视为间谍行为。
GDPR 通用数据保护条例

GDPR 用于更换之前颁布的 DPD。
GDPR 的一些主要规则：

• 合法、公平、透明：必须对数据处理活动保持公开和诚实的态度
  
• 目的限定：必须清楚记录和披露使用数据的目的，而且按照披露来使用数据
  
• 数据最小化：确保处理的数据可以满足既定目的，并且仅限于你使用这些数据
  
• 准确性
  
• 存储限定：仅在合法、公开目的所需的时间内保留数据，遵守“遗忘权”，允许人们在不需要时删除这些信息
  
• 安全性
  
• 问责性
  

GDPR 数据保护：

• 去标识：
  
  
  
  • 化名化（Pseudonymization），指在不使用额外信息时不能追溯到个人，过程可逆，比如有对应的 key 时
    
  • 哈希、加密
    
  
  
• 匿名化（Anonymization）：数据无法再和个人关联，匿名化的数据不再是个人数据
  
• 及时通知：
  
  
  
  • 如果发生个人数据泄露，72 小时内要通知监管机构
    
  • 如果造成了高风险，还需要通知数据主体
    
  
  

任何违背 GDPR 的违法行为将导致最高 2000 万欧元或母公司全部营业额 4% 的罚金，二者取金额大者。
GDPR 对于个人数据的界说：
是指任何指向一个已辨认或可辨认的自然人（“数据主体”）的信息。该可辨认的自然人可以大概被直接或间接地辨认，尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份辨认这类标识，大概是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。个人信息实例：

• 姓名
  
• 地址
  
• 电子邮箱
  
• 身份证号
  
• 地理位置
  
• IP地址
  
• cookie ID
  
• the advertising identifier of your phone 广告ID
  
• 根据用户画像可以确定某一类人的信息
  

标准合同条款（standard contractual clauses），或具有束缚力的公司规则（binding corporate rules）现已取代隐私盾（安全港）。
美国 HIPAA 健康保险流畅和责任法案

指定了一系列怎样处理健康信息的规定：

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。