正文

第1章实现安全治理的原则和策略

admin
admin V管理员 /0 评论 /33 阅读
1031
此篇文章发布距今已超过12天,您需要注意文章的内容或图片是否可用!

这是晓霖的第 2 篇文章

嗨,你好,我是晓霖认真备考CISSP中

写这篇的意义在于自我备忘全文大概6000字,阅读需要6分钟左右

1.1安全101(Security 101)
安全应该被视为业务管理的一个元素,而不仅仅是IT问题。
应该采用一个安全框架,为如何实现安全提供一个起点,一旦完成了安全启动,就可以通过评估微调该安全。
安全应该具有成本效益。
安全应该是有法律依据的。
安全是一段旅程,而不是终点线。
安全是业务中的一个要素,不仅仅是IT问题,不是想到什么就去做什么,安全是一个持续的过程,不是一成不变的;不能为了安全而安全;安全要有据可依,不要想做什么就做什么。
1.2理解并应用安全概念
安全的目标和职能是什么?
业务视角采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够持续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性。
安全视角是为关键资产提供机密性完整性可用性(CIA三元组)保护。
安全的核心概念机密性、完整性、可用性、真实性、实用性和拥有或控制。
业务者看到安全是从业务角度出发,目标要保持业务持续运行,不要因安全事件造成业务中断或被影响。

安全者提供安全保护出发,不要发生安全问题。

安全职能是对业务的支撑,最终使组织达到目的,提升其价值。

1.2.1机密性:

让符合最小特权的授权用户能够访问数据或信息,防止非授权用户访问数据和信息;

1.2.2完整性:

让授权用户访问的信息是可靠、准确的、防止授权用户去篡改数据;

12.3可用性:

确保授权用户能够访问到信息,防止这种访问被破坏(疑问点:比如某硬件损坏导致系统不能访问,算不算网络安全中的可用性问题)

机密性-泄露  
保护信息不被外人偷看或者偷听的能力。
完整性-篡改
确保信息或者数据在传输或者存储的过程中,不会被人偷偷篡改或者破坏,保持它原本的样子,真实可靠。
可用性-破坏 
指我们随时都能顺利地访问和使用所需的信息或系统,它们一直都处于正常工作的状态。

过去经常强调一个安全问题或漏洞,并强调这个漏洞是如何被利用的,但没有给业务相关人员说清楚或感知到带来的业务危害是什么,而导致很难和业务人员沟通,以及推动安全工作。

1.2.4 DAD、过度保护、真实性、不可否认性和AAA服务

泄露(Disclousure)、修改(Alteration)、破坏(Destruction) 三元组与CIA相反。

泄露-秘密被不小心说出去或者被人偷看了。

修改-有人未经允许偷偷改了东西。

破坏-有人故意或者不小心把东西弄坏了或者弄没了。

真实性-指某个东西或某个人确实是他们所声称的那样,没有冒充或者造假。

不可否认性-做了件事你就不能赖账,有证据证明你确实做过。

AAA服务-就是网络世界里的门卫、管家和账房先生的组合。

认证(Authentication)-它得确认你是谁,这就是认证

授权(Authorization)-它决定了你能干啥,这就是授权

记账(Accounting)-它还得记下你干了啥,这就是记账。

AAA服务五要素包含:标识、身份认证、 授权、 审计 、记账(问责制)

1.2.5 保护机制

1. 纵深防御(分层layering防御)

纵深防御的语境中,除了级别、多级和分层,与此概念相关的其他常用术语还有分类、分区、分域、隔离、孤岛、分段、格结构和保护环。

是给你的家设置了多层防盗门和报警系统。

就算小偷突破了第一道门,还有第二道、第三道等着他,每一层都增加了安全性,让家更不容易被盗。

在网络安全上也一样,就是通过设置多重防线来保护数据和系统,即使一层被突破了,还有其他层可以抵挡攻击。

2. 抽象

把复杂的东西简化,只关注最重要的部分,其他的先放到一边。

3. 数据隐藏

最常见的有隐写术,将数据隐藏在图片当中。

4. 加密

给信息上了一把锁,只有拥有正确钥匙的人才能打开来看。

1.3 安全边界

在网络世界里,安全边界就是通过防火墙、入侵检测系统这些东西,来保护网络不受外界的威胁和攻击

1.4 评估和应用安全治理原则

评估和应用安全治理原则,就像是给公司的信息安全把把脉,确保安全措施跟公司的大局同步,让每个人都知道自己该干啥,还得检查这些措施是不是真的管用

1.4.1 第三方治理

第三方治理是可能由法律、法规、行业标准、合同义务或许可要求强制执行的外部实体监督系统。

组织不光要管好自己的事儿,还得管好合作伙伴和供应商的事儿,确保他们遵守安全规定,不给自己捅娄子。

1.4.2 文件审查

对组织里的各种文档和记录进行彻底的检查。

审核安全策略、标准、程序和指南这些文件,确保它们都符合安全要求,并且能够指导实际操作。

过程就像是给你的文件来个全面的“体检”,确保它们都是健康、合规的

(ATO)供应商的经营授权。

完整且充分的文件通常可以维护现有的ATO或提供临时的ATO(TATO)。

1.5 管理安全功能

通过风险评估来安全管理最直接清晰的示例。

1.5.1 与业务战略、目标、使命和宗旨相一致的安全功能

安全管理计划团队制定计划

定义安全角色,规定如何管理安全、由谁负责安全以及如何检验安全的有效性,制定安全策略,执行风险分析,要求对员工进行安全教育。

方法组织的信息安全建设应该按计划行事,安全管理计划应该自上而下

高层领导-负责组织和决策

中层管理者-负责将安全策略落实到标准、基线中,并监控执行

技术人员-负责实施

最终用户-负责遵守组织的所有安全策略

战略计划(strategicplan)

战略计划是相当稳定的长期计划,一般为5年,定义了组织的安全目的和安全功能,并使其与组织的目标、使命和宗旨保持一致。安全策略(policy)属于战略计划
战术计划(tacticalplan)
战术计划是中期计划,旨在提供更多有关实现战略计划中规定的目标的详细信息,或者可以根据不可预测的事件临时制定,设定目标细节,一般是一年左右,如雇佣计划、预算计划等。
操作计划(operationalplan)
操作计划(运营计划)是基于战略和战术计划的短期、高度详细的计划它仅在短时间内有效或有用

1.5.2 组织的流程

安全治理需要关注组织的方方面面,这包括收购、资产剥离(注重知识产权问题)和治理委员会的组织流程。

评估第三方:现场评估:现场访谈或工作人员操作习惯
文件交换和审查:调查数据和文件记录交换的方式
过程/策略审查:要求提交安全策略、过程/程序,以及事件响应的副本
第三方审计:第三方出具SOC报告

使用外部服务:需要签订SLA

SLR(服务级别需求):对供应商产品(或服务)的服务和性能期望的说明,在签订SLA前期做收购与兼并会提升组织的风险等级。

这些风险包括不恰当的信息泄露数据丢失停机未能获得足够的投资回报率(return on investment, ROI)

1.5.3 组织的角色与责任

高级管理层(一般为CEO、CFO、COO)对组织的安全负有最终责任。

执行管理层职位说明
首席执行官CEOCEO一般在信息安全方面应履行适度关注和适度勤勉。
首席财务官CFOCFO主要负责组织的会计和财务等工作
首席信息官CIOCIO主要对CEO或CFO进行汇报,负责组织内信息系统和技术的战略使用和管理,(实际操作性越来越弱,战略性质更强),CIO现在通常要横跨技术和商业两大领域,监督和负责公司的日常技术运营
首席隐私官CPOCPO通常是一名具有隐私法经验的律师,CPO通常向CSO(首席安全官)进行汇报
首席安全官CSOCSO主要负责组织面临的所有风险,并将这些风险降至业务可接受的水平。并开发策略、程序、基线、标准和指南,为信息安全做预算
信息安全专家受高级管理层委派(通常向CIO)负责实施和维护安全,设计、实施、管理和复查组织的安全策略、标准、指南和程序,协调组织内部各单位之间所有的与安全相互的交互
安全指导委员会成员由来自组织机构各部门的人员组成,包括CEO领导,同时CFO、CIO、各部门经理、首席内审员
至少每个季度召开一次会议,并有明确议程
职责:
①定义组织机构的可接受风险级别
②确定安全目标和战略
③根据业务需求决定安全活动的优先级
④审查风险评估和审计报告
⑤监控安全风险的业务影响
⑥审查重大的安全违规和事故
⑦批准安全策略和计划的任何重要变更
审计委员会由董事会任命,帮助其审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性。
职责:

①公司财务报表以及财务信息的完整性

②公司的内部控制系统

③独立审计员的雇佣和表现

④内部审计功能的表现

遵守与道德有关的法律要求和公司策略

风险委员会从整体上了解该组织的风险并且协助高层管理者把风险降到可接受的程度。研究整体的业务风险,而不仅仅是IT安全风险

CSO更具有更宽泛的职责范围,CISO往往更专注于技术,并具有IT背景。

1.5.4 安全控制框架

框架类型描述
互联网安全中心(CIS)提供针对操作系统、应用程序和硬件的安全配置指引
NIST 风险管理框架(RMF)

RMF分为六个阶段

分类、

选择、

实施、

评估、

授权

监控。

NIST 网络安全框架(CSF)

为关键基础设施和商业组织而设计,这五个功能构成:

识别、

保护、

检测、

响应

恢复。

它是对将在持续进行基础上执行的业务活动的规定,以便随着时间的推移支持和改进安全。

ISO/IEC 27000 系列总览和词汇
信息技术基础设施库(Information Technology Infrastructure Library, ITIL)IT服务管理的最佳实践(ISO/IEC 20000)

五大阶段:

服务战略、

服务设计、

服务转换、

服务运营、

持续服务改进。

COBIT信息和相关技术控制目标

COBIT是关于IT治理和IT管理相关控制流程的框架

原则1:为利益相关方创造价值

原则2采用整体分析法

原则3动态的治理系统

原则4把治理从管理中分离出来

原则5根据企业需求量身定制

原则6采用端到端的治理系统。

COSO《内部控制-整体框架》

定义了满足财务报告和披露目标的五类内控要素:

控制环境、

风险评估、

控制活动、

信息与沟通、

监控。

也是很多组织应对 SOX 404法案合规性的框架

Zachman框架企业架构鼻祖
SABSA 安全架构框架

SABSA模型

SABSA矩阵 

SABSA服务管理矩阵

SABSA风险运营模型

SABSA风险管理过程

SABSA保障框架

SABSA治理

SABSA业务属性配置文件

SABSA领域模型

TOGAF

AMD,开发和维护架构的框架

安全控制参考NIST800-53r5信息系统和组织的安全和隐私控制
ISO/IEC 27001 信息安全管理体系的标准PDCA模型

P计划:根据风险评估结果,法律法规要求、组织业务运作自身需要来确定控制目标与控制措施

D实施:实施所选择的安全措施

C检查:依据策略、程序、标准和法律法规对安全措施的实施情况进行符合性检查,包括安全审计,管理评审等。
A措施:针对检查结果采取应对措施,改进安全状况
ISO/IEC 27002:2022 信息安全、网络安全和隐私保护-信息安全控制包括组织控制、人员控制、物理控制、技术控制一般使用该控制保护知识产权
ISO27004信息安全绩效
ISO27005信息安全风险管

1.5.5 应尽关心和尽职审查

应尽关心(Due care)

就是“做正确的事”,应该制定安全政策、应该采取安全措施来应对风险

尽职审查(Due Diligence

为了正确的决策,也就是说要了解所有的风险。

“应该制定安全政策、应该采取安全措施”,适度关注、应尽关心DC

“风险”,“收集信息”,“外包决策、对供应商做评估”,“检查该做的事情有没有做”,尽职审查DD

1.6 安全策略、标准、程序和指南

策略/政策/方针

用于分配职责、定义角色、明确审计需求、概述实施过程、确定合规性需求和定义可接受的风险级别。

最高管理层对信息安全承担责任的一种承诺,是战略性的,不是强制性的,说明要保护的对象和目标

方针是充分、必要、可达成的

标准定义对硬件、软件、技术和安全控制的同质使用的强制性要求。
程序一份详细的、分步的操作指南文档,描述了实施特定安全机制、控制或解决方案所需的具体操作。
指南提供有关如何实施方案的安全要求的建议,并作为安全专业人员和用户的操作指南。
基线整个组织的每个系统必须满足的最低安全级别

1.7 威胁建模

威胁建模是识别、分类和分析潜在威胁的安全过程。

防御式(主动式)威胁建模:在产品创建和部署前描述了一种主动的威胁建模方法,也称为防御方法

被动式威胁建模在产品创建和部署后,会采用被动或对抗的威胁建模方法。

1.7.1 识别威胁

STRIDE 

STRIDE 是 Microsoft 开发的威胁分类方案,通常用于评估针对应用程序或操作系统的威胁,STRIDE 的元素包括欺骗、篡改、否认、信息泄露、拒绝服务和特权提升。

S
欺骗spoofing
T
篡改tampering
R
否认repudiation
I
信息泄露information disclosure
D
拒绝服务denial of service
E
特权提升elevation of privilege

攻击模拟和威胁分析过程 (PASTA) 

一种七阶段威胁建模方法,旨在根据要保护的资产价值选择或制定对策

阶段1
为风险分析定义目标
阶段2
定义技术范围
阶段3
分解和分析应用程序
阶段4
威胁分析
阶段5弱点和脆弱性分析
阶段6
攻击建模与仿真
阶段7
风险分析和管理

可视化、敏捷和简单威胁(Visual,Agile, and Simple Threat, VAST)

敏捷项目管理和编程原则的威胁建模概念。

VAST 

VAST 的目标是在可扩展的基础上将威胁和风险管理集成到敏捷编程环境中

1.7.2 确定和绘制潜在的攻击

威胁建模的下一步是确定可能发生的潜在攻击。

1.7.3 执行简化分析

简化分析也被称为分解应用程序、系统或环境。

这项任务的目的是更好地理解产品的逻辑、内部组件及其与外部元素的交互。

信任边界 信任级别或安全级别发生变化的位置。 

数据流路径 数据在两个位置之间的流动。 

输入点 接收外部输入的位置。 

特权操作 需要比标准用户账户或流程拥有更多特权的任何活动,通常需要修改系统或 更改安全性。

安全声明和方法的细节 关于安全策略、安全基础和安全假设的声明。

1.7.4 优先级排序和响应

威胁进行排序或定级。

“概率*潜在损失”排序

编号范围为 1~100,

100 代表可能发生的最严重风险;

初始值范围为 1~10, 其中 1 最低, 10最高。

高/中/低评级

(1/2/3 或者绿/黄/红)评级过程更简单

DREAD系统

评级系统旨在提供一种灵活的评级解决方案。

潜在破坏:如果威胁成真,可能造成的损失有多严重? 

可重复性:攻击者复现攻击的过程有多复杂? 

可利用性:实施攻击的难度有多大? 

受影响用户:有多少用户可能受到攻击的影响(按百分比)? 

可发现性:攻击者发现弱点有多难?

1.8 风险的管理理念应用到供应链

供应链风险管理(SCRM)

针对供应链攻击应该进行签订SLA,并且持续的安全监控、管理和评估。

如果可能,为供应链中的每个实体建立最低安全要求,新硬件、软件或服务的安全要求应始终满足或超过最终产品中预期的安全性。

这通常需要对SLA、合同和实际性能进行详细审查。

这是为了确保安全合同服务的规定组成部分。

当供应链组件提供商正在制作软件或提供服务(例如云提供商)时可能需要定义服务级别需求(SLR)。

SLR是对供应商产品或服务的服务和性能期望的陈述。

通常SLR是由客户/客户在 SLA建立之前提供的(如果供应商希望客户签署协议,应使协议包含SLR要素)。

课后练习

1. 讨论和描述 CIA 三元组。

CIA三元组是保密性、完整性和可用性的结合。

保密性概念是指用于确保数据、客体或资源的保密状态的措施。

完整性是保护数据可靠性和正确性的概念。

可用性的概念是指被授权的主体能及时且不间断地访问客体。

CIA三元组这个术语用于表示安全解决方案的三个关键组件。

2.使某人对其用户账户的行为负责的要求是什么?

问责制的要求是标识、身份认证、授权和审计。

这些组成部分都需要法律上的支持才能真正让某人对自己的行为负责。

3.请说出(ISC2)为 CISSP 定义的六个主要安全角色名称。

这六个安全角色是高级管理者、安全专业人员、资产所有者、托管员、操作者/用户和审计人员。

4.完整的组织安全策略由哪四个部分组成?其基本目的是什么?

安全策略的四个组成部分是策略、标准、指南和程序。

策略是广泛的安全声明。

标准是硬件和软件安全合规性的定义。

当没有合适的程序时,可使用指南。

程序是以安全方式执行工作任务的详细分步说明。

点击上方卡片 关注晓说森林


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om