CISSP 安全与风险管理

Posted on by admin

主要内容

  • 大多数的安全只能执行企业安全计划的一部分,或者这些安全计划是有缺失的,企业安全团队熟悉的领域,安全计划则越为全面,遇到不熟悉的领域,安全计划则匮乏。
  • 所以CISSP考试覆盖技术、方法和程序等诸多领域,另外信安人员最本质的是理解两个关键概念:安全和风险。

安全基本原则

  • 安全的核心目标是为关键资产提交机密性,完整性,可用性(CIA)保护,同时也是基本原则。
  • 所有的安全控制、机制和防护措施和实现都是为了提供上述原则中的一个或者多个,并且要为潜在的能力衡量所有风险、威胁和脆弱性,以平衡一个或全部CIA原则。
  • CIA的对立面为DAD,泄露Disclosure,篡改Alteration,销毁Destruction

机密性Confidentiality

  • 机密性确保在数据处理的每个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息泄露

完整性Intergrity

  • 完整性指的是保证信息和系统和准确性和可靠性,并禁止对数据的非授权更改。

可用性Avaliability

  • 可用性保护确保授权的用户能够对数据和资源进行及时和可靠的访问

安全定义

  • 脆弱性vulnerability指系统中允许威胁来破坏其安全性的缺陷。
  • 威胁threat是指利用脆弱性而带来的任何潜在危险。
  • 风险risk是威胁源利用脆弱性的可能性以及相应的业务影响。
  • 暴露exposure是造成损失的实例。
  • 控制control或对策conutermeasure或防护措施safeguard能够消除或者降低的风险。
  • 如果某个公司只是在服务器上安装防病毒软件,但是不能及时更新病毒特征库,那么这就是一种脆弱性,该公司很容易遭受病毒攻击。
  1. 威胁是指病毒将出现在系统环境中并破坏系统的工作能力。
  2. 风险是指病毒出现在系统环境中并形成危害的可能性。
  3. 如果病毒渗透到公司的系统环境那么脆弱性就被利用,公司也将遭受损失。
  4. 这种情况下的对策就是更新病毒特征库并在所有计算机上都安装防病毒软件。

控制类型

  • 一共有3种控制方法:
  1. 管理控制Administrative controls因为通常是面向管理的,所以经常被称为”软控制”。安全文档、风险管理、人员安全和培训|都属于管理控制。
  2. 技术控制Technical controls也称为逻辑控制logical controls),由软件或硬件组成,如防火墙、入侵检测系统、加密、身份识别和身份验证机制。
  3. 物理控制physical controls用来保护设备、人员和资源,保安、锁、围墙和照明都属于物理控制。
  • 一共6种安全控制措施的功能
  1. 预防性Preventive避免意外事件的发生。
  2. 检测性Detective帮助识别意外活动和潜在入侵者。
  3. 纠正性Corrective意外事件发生后修补组件或系统。
  4. 威慑性Deterrent威慑潜在的攻击者。
  5. 恢复性Recovery使环境恢复到正常的操作状态。
  6. 补偿性Compensating能提供可替代的控制方法。
  • 当查看某个环境的安全结构时,效率最高的方法是使用预防性安全模型,然后使用检测、纠正和恢复机制支撑这个模型,预防性措施、检测性措施和纠正性措施应该一起使用
  1. 注意物理控制和控制类型的对应关系
  2. 注意管理控制和控制类型的对应关系
  3. 注意技术性控制和控制类型的对应关系

安全框架

  • 安全规划是由很多实体构成的框架:
  • 逻辑、管理和物理的保护机制、程序、业务过程和人。 这一切一起工作将为环境提供一个保护级别。每个实体在框架中都有一个重要位置,如果一个缺失或不完整,那么整个框架将受到影响。
  • 安全规划应该分层工作:
  • 每一层为上层提供支持,同时为下一层提供保护。因为安全规划是一个框架,所以利用该框架,组织可以自由插接不同类型的技术、方法和程序,以实现环境所必须达到的保护级别。这里列举众多标准、最佳实践和框架。

安全规划开发

  • ISO/IEC 27000系列 ISO和IEC联合开发的关于如何开发和维护信息安全管理体系的国际标准。
  • ISO/IEC 27000 Overview and vocabulary
  • ISO/IEC 27001 ISMS requirements
  • ISO/IEC 27002 Code of practice for information security controls
  • ISO/IEC 27003 ISMS implementation
  • ISO/IEC 27004 ISMS measurement
  • ISO/IEC 27005 Risk management
  • ISO/IEC 27006 Certification body requirements
  • ISO/IEC 27007 ISMS auditing
  • ISO/IEC 27008 Guidance for auditors
  • ISO/IEC 27011 Telecommunications organizations
  • ISO/IEC 27014 Information security governance
  • ISO/IEC 27015 Financial sector
  • ISO/IEC 27031 Business continuity
  • ISO/IEC 27032 Cybersecurity
  • ISO/IEC 27033 Network security
  • ISO/IEC 27034 Application security
  • ISO/IEC 27035 Incident management
  • ISO/IEC 27037 Digital evidence collection and preservation
  • ISO/IEC 27799 Health organizations
  • 一般性要求、一般性指南和具体行业指南它们之间的区别 逐级向下展开
  • 企业架构开发
  • 技术认为销售是SB,销售觉得技术LJ的观点的最好解决方案
  • 我们需要一个工具,能让业务人员和技术人员都可以使用它来减少冲突,优化业务功能,避免时间和金钱的浪费,企业架构能让业务和技术人员以理解的方式审视同一个组织.
  • Zachman 框架
  • Zachman 框架由John Zachman开发的企业框架开发模型。
  • 是一个二维模型,它使用6 个基本的疑问词(什么、如何、哪里、谁、何时、为何)和不同的角色(高管、业务管理、系统架构师、工程师、技术人员和企业员工)二维交叉,它给出了企业的一个整体性理解。
  • TOGAF框架
  • 由开放群组开发的用于企业架构开发的模型和方法论。它由美国国防部开发并提供了设计、实施和治理企业信息架构的方法。 TOGAF 用来开发以下架构类型:
  1. 业务架构
  2. 数据架构
  3. 应用程序架构
  4. 技术架构
  • SABSA 企业安全架构
  • 企业安全架构是企业架构的一个子集,它定义了信息安全战略,包括各层级的解决方案、流程和规程,以及它们与整个企业的战略、战术和运营链接的方式。
  • SABSA舍伍德的商业应用安全架构,用于企业信息安全架构开发的模型和方法论.
  • 要成功开发和实现企业安全架构,必须理解并遵循下面的要点:
  1. 战略一致性
  2. 过程强化
  3. 促进业务
  4. 安全有效性

安全控制开发

  • 要落实到位的控制目标,以达成安全规划和企业架构所列出的目标。
  • COBIT 5
  • COBIT 5一个提供IT企业管理和治理的业务框架,由信息系统审计和控制协会ISACA开发。
  • COBIT 是一种基于五个关键原则的整体方法:
  1. 满足利益相关者的需求
  2. 企业端到端的覆盖
  3. 应用一个独立整体框架
  4. 使用一个整体的方法 1.将治理与管理相分离
  • NIST SP 800-53 (军方安全控制目标框架)
  • 它是由美国国家标准与技术研究院开发的保护美国联邦系统的控制集。
  • COBIT 包含私营部门使用的控制目标,但当涉及联邦信息系统和组织的控制时,美国政府有其自己的一套要求
  • COSO内部控制-综合框架
  • 由反欺诈财务报告全国委员会发起组织委员会COSO开发,是旨在帮助降低财务欺诈风险的国内公司控制集。
  • 它确定了17个内部控制原则,并被归纳为五套内部控制组件, 具体内容如下:
  • 控制环境:
  1. 展示对完整性和道德价值观的承诺
  2. 行使各种监督责任
  3. 建立结构、权威和责任
  4. 展示承诺的能力
  5. 实施问责制
  • 风险评估: 1.指定合适的目标 1.识别与分析风险 1.评估欺诈的风险 1.识别与分析重大的变更
  • 控制活动:
  1. 选择与制定各种控制活动
  2. 选择与制定各种通用的技术控制
  3. 通过各种政策和流程进行部署
  • 信息和通信:
  1. 使用相关的质量信息
  2. 内部沟通
  3. 外部沟通
  • 监控活动:
  1. 进行各种持续性的和/或独立的评估
  2. 评估与沟通各种不足之处
  • COSO IC框架是一个企业治理模型,而COBIT是一个IT治理模型

过程管理开发

  • ITIL
  • 英国商务部开发的用于IT 服务管理的过程。ITIL是IT服务管理最佳实践的事实标准。
  • SixSigma
  • 它是被用来开展过程改进的业务管理策略。
  • 六西格玛是一种过程改进方法论,也是一种”新的和改进的”全面质量管理(Total Quality Management , TQM)
  • CMMI
  • 能力成熟度模型集成模型,由卡内基·梅隆大学开发,目的是改进组织的开发过程。
  • 自顶向下的方法
  • 虽然这些不同的安全标准和框架的核心是相似的,重要的是要理解安全规划都具有不断循环的生命周期,因为应该经常对其进行评估和改进。任何进程中的生命周期都可以用不同的方式描述。通常使用下面的步骤:
  1. 计划和组织
  2. 实现
  3. 操作和维护
  4. 监控和评估
  • PDCA
  • 戴明循环是一个持续改进模型, 它包括持续改进与不断学习的四个循环反复的步骤, 即计划(Plan)、执行(Do)、检查(Check/Study)、处理(Act)。
  • 戴明循环有时也被为称戴明轮(Deming Wheel)或持续改进螺旋(Continuous Improvement Spiral)

计算机犯罪/网络犯罪/知识产权法/隐私/数据泄露

  • 计算机犯罪法律解决的主要问题包括:
  1. 未授权的修改
  2. 泄露
  3. 破坏或访问
  4. 插入恶意程序代码
  • 计算机犯罪有三类:
  1. 计算机辅助犯罪
  2. 以计算机为目标的犯罪
  3. 计算机牵涉型攻击
  • 隐私保护方式
  1. 政府法规
  2. 公司法规
  3. 自我约束
  4. 个人用户
  • 数据泄露不一定涉及侵犯个人隐私。事实上,一些最广为传播的数据泄露与个人可标识信息(PIl)无关,而是与知识产权(IP)有关。
  • 所以,更好的定义是:数据泄露是一个安全事件,它会使未授权人员对受保护信息的机密性或完整性构成实际或潜在的危害。
  • 受保护的信息可以是PII、IP、个人健康信息(PHI)、机密信息或者可能对个人或组织造成损害的任何其他信息
  • 义务及后果
  • Due Care 应有的关注,谨慎考虑,适度关注
  • Due Diligence 应尽的职责,恪尽职守,适度勤勉

策略、标准、基线、指南和过程

  • 法律、命令和政府法规存在于组织外部,主要规定我们能够做什么,不能够做什么,但是很大程度上不会具体规定如何实现或避免发生这些行为。制定合适的内部指导意见,既满足外部要求,又满足我们自己内部的要求,是我们的责任。
  • 安全策略
  • 安全策略是高级管理层(或是选定的董事会和委员会)制定的一份全面声明,它规定安全在组织内所扮演的角色。
  • 安全策略可以是组织化策略,也可以是针对特定问题的策略或针对系统的策略。组织策略也指主要的安全策略。组织有许多安全策略,这些策略应该按层级化的方式建立。
  • 组织(主要)策略位于最高层,然后是针对具体安全问题的策略。后者称为针对专门问题的策略。针对专门问题的策略也称为功能实现策略。
  • 策略的种类:
  • 规章性策略,遵守的标准
  • 建议性策略,强烈的推荐
  • 指示性策略,告知信息,非强制。
  • 标准
  • 标准指强制性的活动、动作或规则,它可以为策略提供方向上的支持和实施。
  • 基线
  • “基线”可以指一个用于在将来变更时进行比较的时间点。
  • 基线还用于定义所需要的最低保护级别。
  • 指南
  • 指南是在没有应用特定标准时向用户、IT 人员、运营人员及其他人员提供的建议性动作和操作指导。
  • 措施
  • 措施是为了达到特定目标而应当执行的详细的、分步骤的任务。
  • 过程
  • 如果人们不知道规则的存在,他们就不会遵守规则。因此,我们不仅需要开发安全策略及相关规定,还必须加以实现和实施。

风险管理

  • 安全环境下的风险指的是破坏发生的可能性以及破坏发生后的衍生情况。
  • 风险管理(Risk Management)是识别并评估风险,将风险降低至可接受级别并确保能维持这种级别的过程。
  • 信息安全的主要风险:
  1. 物理破坏Physical damage火灾、水灾、蓄意毁坏、停电和自然灾害。
  2. 人为破坏Human interaction意外或有意行为或者可能降低生产效率的懒散工作态度。
  3. 设备故障Equipment malfunction系统或外围设备故障。
  4. 内部与外部攻击Inside and outside attacks黑客、破解和攻击行为。
  5. 数据误用Misuse of data共享商业秘密、欺诈、间谍活动和盗窃。
  6. 数据丢失Loss of data通过破坏性方法有意或无意地造成信息丢失。
  7. 应用程序Application error错误计算错误、输入错误和缓冲区溢出。
  • NIST SP 800-39定义了三层风险管理:
  1. 组织层面,关注整个业务的风险,这意味着它会构建其余会话,并设置重要参数,如风险
  2. 容忍度。
  3. 业务流程层面,处理对组织的主要功能有是风险的,例如定义组织与其合作伙伴或客户之
  4. 问信息流的关键性。这是底层。
  5. 信息系统层面,从信息系统的角度解决风险。

信息系统风险管理策略

  • 恰当的风险管理需要高级管理层的坚定承诺和一个文档化过程,这个过程为组织机构的使命、信息系统管理(ISRM)策略和委任的ISRM 团队提供支持。
  • 公司应该挑选一名成员来管理这个团队在大型组织内,这名成员应当使用50-70%的时间来处理风险管理工作。
  • 管理层必须投入资金对此成员进行必要的培训,为其提供风险分析工具,以确保风险管理工作的顺利进行
  • 风险管理过程
  1. 风险框架Frame risk,定义了所有其他风险活动发生的背景。
  2. 评估风险Assess risk,在采取任何行动降低风险之前,必须对风险进行评估。
  3. 响应风险Respond to risk,为了应对风险,将有限的资源与优先级控制相匹配。
  4. 监控风险Monitor risk,为领先于搞破坏的人,需要不断监控我们对风险设计的控制措施的有效性。

风险评估和分析

  • 风险评估(实际上是一种风险管理工具)方法能够识别脆弱性和威胁以及评估可能造成的损失,从而确定如何实现安全防护措施。对风险进行评估后,结果才可被分析。
  • 风险分析有下列4个主要目标:
  1. 标识资产和它们对于组织的价值。
  2. 识别脆弱性和威胁。
  3. 量化潜在威胁的可能性及其对业务的影响。
  4. 在威胁的影响和对策的成本之间达到预算的平衡。
  • 风险分析提供了一种成本/收益比cost/benefit comparison时,也就是用来保护公司免受威胁的防护措施的费用与预料中的损失所需要付出的代价之间的比值。
  • 风险评估人员提出的正确问题
  1. 可能会发生哪些事件(威胁事件)?
  2. 潜在的影响(风险)是什么?
  3. 它们多久发生一次(频率)
  • 风险具有潜在损失(直接损失)和延迟损失(次生灾害)。
  • NIST
  • (1) 评估准备
  • (2) 进行评估
  1. 识别威胁源和事件
  2. 识别威胁和诱发条件
  3. 确定发生的可能性
  4. 确定影响的大小
  5. 确定风险
  • (3) 沟通结果
  • (4) 维持评估NIST
  • NIST风险管理方法主要关注计算机系统和IT安全问题。它是一种只关注企业运营层面而不是较高战略层面的方法。
  • 风险评估用来收集数据,风险分析对收集的数据进行研究,以确定采取什么行动.风险评估区别于脆弱性评估,脆弱性评估只是找出脆弱性,而风险评估是需要计算脆弱性被利用的可能性以及产生的相关业务影响.
  • 风险分析方法
  • 风险分析具有定量和定性两种方法。
  • 定量的风险分析会尝试为风险分析过程的所有元素都赋予具体的和有意义的数字。
  • 最常用的公式是单一损失预期SLE和年度损失预期ALE
  1. 资产价值*暴露因子=SLE
  2. SLE*年发生比率=ALE
  • 定性的风险分析不会呈现具体衡量的结果,只是给风险评级,如红、黄和绿。
  • 定性分析技术包括判断、最佳实践、直觉和经验
  • 收集数据的定性分析技术示例有Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访。
  • 定量方法的缺点
  1. 计算更复杂。管理层能够理解这些值是怎么计算出来的吗?
  2. 没有可供利用的自动化工具,这个过程完全需要手动完成。
  3. 需要做大量基础性工作,以收集与环境相关的详细信息。
  4. 没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。
  • 定性方法的缺点
  1. 评估方法及结果相对主观。
  2. 无法为成本/收益分析建立货币价值。
  3. 使用主观衡量很难跟踪风险管理吕标。
  4. 没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。
  • 总风险与剩余风险
  • 威胁x脆弱性x资产价值=总风险
  • (威胁x脆弱性x资产价值)x 控制间隙=剩余风险
  • 总风险-对策=剩余风险
  • 处理风险
  • 处理风险的基本方式有四种:
  1. 转移
  2. 规避
  3. 缓解
  4. 接受
  5. 外包
  • 可以外包功能,但不能外包风险。

风险管理框架

  • 风险管理框架Risk Management Frameworks, RMF定义为一个结构化的流程,它允许组织识别和评估风险,将其降低到可接受的水平,并确保其保持在该水平。实质上,即RMF是风险管理的结构化方法。
  • 常见框架:
  1. NI8T RMF(SP 800-37r1)
  2. ISO 31000:2009
  3. ISACA IT 风险
  4. COSO企业风险管理-集成的框架
  • RMF流程的六步骤
  1. 信息系统的分类
  2. 安全控制的选择
  3. 安全控制的实现
  4. 安全控制的评估
  5. 信息系统的授权
  6. 安全控制的监管

业务连续性与灾难恢复

  • 作为安全专业人员,需要为意想不到的情况制定好各种计划。
  1. 灾难恢复的目标是尽量减少灾难或中断带来的影响。
  2. 灾难恢复计划的目标是在灾难发生之后,处理灾难及其后果
  3. 灾难恢复计划通常是以信息技术(IT)为核心的。
  • 灾难恢复计划(Disaster Recovery Plan, DRP)是当一切事情仍处于紧急模式时实施的计划,其中每个人都争相让所有关键系统重新联机。
  • 业务连续性规划(Business Continuity Plan,BCP)采取一个更广泛的解决问题的方法。它可以包括在计划实施中对原有设施进行修复的同时在另一个环境中恢复关键系统,使正确的人在这段时间内回到正确的位置,在不同的模式下执行业务直到常规条件恢复为止。它也涉及通过不同的渠道应对客户、合作伙伴和股东,直到一切都恢复到正常.
  • 业务连续性管理(Business Continuity Managnent)BCM则是整体的管理过程,应该包括DRP和BCP。

标准和最佳实践

  1. NIST SP 800-34
  2. ISO/IEC 27031 :2011
  3. Good Practice Guidelines, GPG,业务连续性协会的优秀实践指南,BCM的最佳实践
  • 管理实践:
  • 策略和程序管理
  • 在组织文化中嵌入BCM
  • 技术实践:
  • 理解组织
  • 确定BCM 战略
  • 制定和实施BCM 响应
  • 演练、维护和修
  • DRI 国际协会的业务连续性规划人员专业实践最佳实践和框架
  • 业务影响分析(Business Impact Analysìs)被认为是一种功能性分析,在BIA 中, BCP 团队通过访谈、文献资料来源收集数据罗将企业业务功能、活动和交易等方面文档化,划分企业业务功能层次,最后制定一个分类方案来表示每一个单独功能的重要级别
  • 公司可以容忍的中断时间指的是可承受的最长停机时间(Maximurn Tolerable Downtime,MTD)或者最长中断时间(Maximum Period Time of Disruption, MPTD)
  • MTD越短,有问题的功能的恢复优先级就越高
  1. 非必需的 30天
  2. 普通 7天
  3. 重要 72小时
  4. 紧急 24小时
  5. 关键 几分钟到几小时
  • BCP策略主要包括范围、任务说明、原则、指南和标准。

人员安全

  • 职责分离Separation of duties可以确保一项重要的任务不是由一个人独自完成。分离是一种预防性的管理控制,落实到位,可以减少潜在的欺诈。
  1. 知识分割
  2. 双重控制
  • 岗位轮换rotation of duties是管理检测控制,落实到位则可以发现欺诈活动。
  • 强制休假mandatory vacation,在敏感领域工作的员工被强迫去度假,可以检测到欺诈性的错误或活动。
  • 招聘实践,签订保密协议,背景调查。
  • 解雇
  1. 被解聘员工必须在一名经理或保安的监督下立即离开公司。
  2. 被解聘员工必须上交所有身份徽章或钥匙,要求完成离职谈话并返还公司的财物。
  3. 公司应立即禁用或修改被解聘员工的账户和密码。
  • 安全意识培训
  1. 组织应采用不同的方法来强化安全意识概念。
  2. 屏幕横幅、员工手册甚至海报都可以用于向雇员提醒他们的责任及良好安全实践的必要性。
  • 学位或证书

安全治理

  • 什么是治理?
  • 安全治理是一个框架,它允许组织的安全目标由高级管理人员设置并传达出来, 通过在组织不同层面交流传达,授予需要实施和加强安全措施的实体权限
  • 并且提供一种方法来验证这些必要的安全活动的执行。
  • 对管理的管理就是治理!

道德

  1. 保护社会、公共利益,必要的公共信任和信心。
  2. 行为得体、诚实、公正、负责和遵守法律。
  3. 为委托人提供尽职的和胜任的服务工作。
  4. 发展和保护职业声誉。