1.1 理解、坚持和弘扬职业道德
1.1.1.(ISC)²职业道德规范
1、行为得体、诚实、公正、负责、守法。
2、为委托人提供尽职、合格的服务。
3、促进和保护职业。
4、保护社会、公益、必需的公信和自信,保护基础设施。
1.1.2.组织道德规范
1、RFC 1087
(1)试图未经授权访问互联网资源
(2)破坏互联网的正常使用
(3)通过这些行为耗费资源(人、容量、计算机)
(4)破坏计算机为基础的信息的完整性
(5)危害用户的隐私权。
1 .2 理解和应用安全概念
1.2.1.保密性
客体不会被泄露给未经授权的主体。
1、目标
阻止或最小化未经授权的数据访问。保密性在保护授权访问的同时防止泄露。
2、相关概念
敏感性:指一旦泄露就会导致伤害或损失。
判断力:操作者可影响或控制信息泄露,以将伤害或损失程度降至最低
关键性:信息的关键程度是其关键性的衡量标准。关键级别越高,越需要保持信息的保密性。
隐藏:指藏匿或防止泄露的行为。通常,隐藏被看成一种掩盖、混淆和干扰注意力的手段。与隐藏相关的一个概念是通过晦涩获得安全,即试图通过隐藏、沉默或保密来获得保护。
保密:指对某事保密或防止信息泄露的行为。
隐私:指对个人身份或可能对他人造成伤害、令他人感到尴尬的信息保密
隔绝:把东西放在不可到达的地方,可能有严格的访问控制
隔离:使某些事物与其他事物保持分离的行为
3、防御
1、静止状态数据加密(全盘加密技术和数据库加密技术)
2、传输状态数据加密(如IPsec、TLS、PPTP、SSH)
3、访问控制技术(物理性和技术性)
1.2.2.完整性
1、目标
客体保持真实性且只被经过授权的主体进行有目的的修改。
防止了未经授权的数据更改。
恰当实施的完整性保护措施允许合法修改数据,同时可预防故意和恶意的未经授权的活动(如病毒和入侵)以及授权用户的误操作(如错误或疏忽)。
如何检验完整性:
1、防止未经授权的主体进行修改
2、防止授权主体进行未经授权的修改,如引入错误
3、保持客体内外一致以使客体的数据能够真实反映现实世界,而且与任何其他客体的关系都是有效的、一致的、可验证的。
2、面临威胁
1、病毒
2、逻辑炸弹
3、未经授权的访问
4、编码和应用程序中的错误
5、恶意修改
6、故意替换
7、系统后门
8、人为错误、疏忽、不称职
9、完全策略中的疏漏或配置有误的安全控制
3、防御
1、严格的访问控制(物理性及技术性)
2、严格的身份认证流程
3、入侵检测系统
4、客体/数据加密
5、哈希值验证(数据完整性)
6、接口限制
7、输入/功能检查
8、充分的人员培训
9、配置管理(系统完整性)
10、变更控制(流程完整性)
11、软件数字签名
12、传输循环冗余校验CRC功能
保密性和完整性相互依赖,没有客体完整性,就无法维持客体保密性。
4、相关概念
1、准确性:正确且精确无误
2、真实性:真实地反映现实
3、有效性:实际上或逻辑上是正确的
4、问责制:对行为和结果负有责任或义务
5、职责:负责或控制某人或某事
6、完整性:拥有全部必需的组件或部件
7、全面性:完整的范围,充分包含所有必需的元素。
1.2.3.可用性
指被授权的主体能实时和不间断地访问客体。
可用性保护控制措施提供组织所需的充足带宽和实时的处理能力。
1、目标
保证数据、客体和资源可被授权主体访问。
包括对客体的有效的持续访问及抵御拒绝服务DoS攻击的能力。
支撑性基础设施包括网络服务、通信和访问控制机制是可用的,并允许授权用户获得授权的访问。
网络设备、计算机和应用程序应能安全且快速从从崩溃中恢复。
2、面临威胁
1、设备故障
2、软件错误
3、环境问题(过热、静电、洪水、断电)
4、DoS攻击
5、客体破坏
6、通信中断
7、人为错误、疏忽、不称职
8、安全策略中的疏漏或配置有误的安全控制。
3、防御
1、正确设计中转传递系统
2、有效使用访问控制
3、监控性能和网络流量
4、使用防火墙和路由器防止DoS攻击
5、对关键系统实施冗余机制
6、维护和测试备份系统
7、访问/存储/安全即磁盘、服务器或站点上的容错特性
8、独立磁盘冗余阵列RAID
9、集群技术
10、负载均衡技术
11、冗余数据
12、冗余电源供给
13、软件和数据备份
14、磁盘映像
15、主机代管和异地备用基础设施
16、回滚功能
17、容灾切换配置
可用性依赖于完整性和保密性。
4、相关概念
1、可用性:容易被主体使用或学习,或能被主体理解和控制的状态
2、可访问性:保证全部授权主体可与资源交互而不考虑主体的能力或限制
3、及时性:及时、准时、在合理的时间内响应,或提供低时延的响应。
1.2. 4 .真实性
指数据是可信的或非伪造的并确保源自其声称的来源。与完整性有关,更重要的是验证它来自声称的来源。当数据具有真实性时,接收者可以高度确信数据来自其声称的来源,并且在传输或存储过程中没有发生变化。
信息系统的真实性通过加密技术提供。
如:
当连接到银行网站时,应使用TLS加密连接,然后TLS也会使用银行的数字证书向用户的浏览器证明另一端确实是银行,而不是冒名顶替者。当用户登录时,银行会获取用户凭证的加密哈希,并与银行保存的用户记录哈希进行比较,确保另一端确实是用户本人。
1.2. 5 .不可否认性
真实性无法真正提供历史证据,以证明该实体所做的或同意的事情。
确保活动或事件的主体不能否认事件的发生。防止主体声称没有发送过消息、没有执行过动作或没有导致事件的发生。
可预防主体否认发送过消息,执行过动作或导致某个事件的发生。标识、身份认证、授权、问责制和审计使不可否认性成为可能。可使用数字证书、会话标识符、事务日志以及其他许多事务性机制和访问控制机制来实施不可否认性。
最常见的方法是使用数字签名提供不可否认性。
不可否认性是问责制的重要组成。
1.2. 6 .过度保护
过度保护保密性会导致可用性受限。
过度保护完整性会导致可用性受限
过度保护可用性会导致保密性和完整性受损。
1 .3 评估和应用安全治理原则
1、与支持、评估、定义和指导组织安全工作相关的实践集合。
2、是一个提供监督、问责和合规性的框架,支持由高级管理层制定和表达的组织安全目标,应在组织的不同层级充分沟通,并一致的实施和评估。
3、旨在将组织内所使用的安全流程和基础设施与从外部来源获得的知识和见解进行对比。
4、 作为正式的网络安全计划或者ISMS实施。
**信息安全管理体系ISMS是一组策略、工作程序、基线和标准的集合,**组织用于确保其安全努力和业务需求一致,实施顺畅而有效,并且安全控制措施没有缺失。
5、安全治理与公司治理、IT治理密切相关,三者目标相同。
1.3.1.安全功能与业务战略、目标、使命和宗旨保持一致
1、企业安全架构E SA
企业架构能让业务人员和技术人员以各自理解的方式审视同一个组织。
ESA定义了信息安全战略,包括分层次的解决方案、流程和工作程序,以及这些分层次的解决方案、流程和工作程序与整个企业的战略、战术和运营的关联方式。ESA使用全面且严格的方法描述组成完整ISMS的所有组件的结构和行为。
研发ESA的主要原因:确保安全工作以一种标准化且节省成本的方式与业务运营实践相结合。架构是抽象的,但其提供一个可供参考的框架。让业务人员和技术人员以各自理解的方式审视同一个组织。让组织更好实现安全性、互操作性、集成性、易用性、标准化和治理。
高层重视、自上而下层层相扣的一系列举措来落实安全。
|-------------------------------------------------------------------------------|----------------------------------------|
| ISMS | ESA |
| 概括性提出需要实施的控制措施如风险管理、漏洞管理、业务持续规划、数据保护、审计、配置管理、物理安全等,并就在这些控制措施的整个生命周期内如何管理提供指导。 | 说明了如何将这些组成部分集成到当前业务环境的不同层次中 |
| 从组织全局出发,指定了为提供全面安全计划需要部署的各个组成部分,以及如何妥善维护这些组成部分 | |
| 安全组件应交织贯穿于业务运营环境中,而不能与组织内各部门孤立。 | |
| 指明了需要关注风险管理 | 细化了风险管理组件,并阐明了如何从战略、战术、运营层面开展风险管理工作。 |
| 指明了需要关注数据保护体系 | 展示了在基础架构、应用程序、组件和业务级别如何实现数据安全与保护的具体工作。 |
( 1 )舍伍德业务应用安全架构 S ABSA
安全企业架构框架。 一个分层框架,帮助组织保持安全性和业务战略一致,用于企业安全架构和服务管理的框架和方法论,SABSA提供一个生命周期模型,随着时间的推移,可持续监测和不断改进架构。
第一层描述了业务上下文,是安全架构存在的支撑,然后逐层细化 。从策略逐渐到解决方案和技术的实施,形成可溯性链条,即高层提出目标指引和思路,越往下越细化。
( 2) Z achman框架
最早出现的企业架构框架, 用于构建将各个组织需求与业务驱动因素映射起来的最佳架构。是一个通用模型,非常适合构建组织在信息系统安全方面的工作。由6个基本的疑问词(what、how、where、who、when、why)与不同角色相交组成二维模型。使用zachman框架旨在让组织内的人员从不同视角理解组织。
( 3) TOGAF框架
最初由美国国防部制定的企业架构框架,提供了设计、实施和治理企业信息架构的方法。
用于研发以下架构类型:
1、业务架构
2、数据架构
3、应用程序架构
4、技术架构
组织可通过TOGAF及其架构开发方法ADM创建单个架构类型。ADM是一个迭代和循环过程,允许不断反复审视需求,按需更新单个架构。
( 4)Do DAF
美国国防部架构框架。确保所有系统、过程和人员协调一致共同完成任务。
2、安全架构要素
要成功建立和实现企业安全架构,应理解和遵循战略一致性、业务支持、流程强化、安全有效性。
(1 )战略一致性
指组织安全架构应该能满足业务运营驱动因素、监管合规和法律法规的要求。让组织的整体目标和安全目标保持一致,协同工作。
(2 )业务支持
要求核心业务流程应集成到安全运营模型中,基于标准设计而且符合风险容忍度。意味着可以开展新业务。
(3 )流程强化
细致查看每个持续执行的业务流程,从安全角度审视业务流程 ,从而保障业务的安全环境。通过流程强化,可以加强和改进流程 ,提高生产效率。意味着可更好开展业务。
(4 )安全有效性
3 、安全管理计划
确保正确地创建、执行和实施安全策略。
安全管理计划使安全功能与业务战略、目标、使命、宗旨相一致。
这包括基于业务场景、预算限制或资源稀缺性来设计和实现安全。
安全管理计划的内容包括:
定义安全角色。规定如何管理安全、由谁负责安全以及如何检验安全的有效性,制订安全策略,执行风险分析,对员工进行安全教育。
4 、业务场景
通常是文档化的参数或声明的立场,用于定义做出决策或采取某类行为的需求。创建新的业务场景是指演示特定业务需求,以修改现有流程或选择完成业务任务的方法。业务场景常被用来证明新项目(特别是与安全相关的项目)的启动是合理的。
5 、自上而下法
上层、高级或管理部门负责启动和定义组织的策略。安全策略为组织架构内的各个级别提供指导。
中层管理人员负责将安全策略落实到标准、基线、指导方针和程序。
操作管理人员或安全专业人员必须实现安全管理文档中规定的配置。
最终用户必须遵守组织的所有安全策略。
6 、管理人员
安全管理是上层管理人员的责任,而不是IT人员的责任,它也被认为是业务操作问题,而不是IT管理问题。
在组织中,负责安全的团队或部门是独立的。信息安全团队应由指定的首席信息安全官CISO领导,CISO直接向CIO、CEO、董事会汇报。若将CISO和CISO团队的自主权置于组织典型架构之外,可改进整个组织的安全管理。这还有助于避免跨部门问题和内部问题。CSO有时等于CISO。但一般是CISO的下属职位,主要关注物理安全。另一个可能替代CISO的术语是信息安全官ISO,但ISO也可是CISO的下属职位。
存疑!!
总体而言,与CISO相比,CSO通常具有更宽泛的职责范围,CISO往往更专注于技术并具有IT背景,CSO则需要了解包括物理安全在内更广泛的业务风险,而不仅是技术风险。CSO更像一个商务人士,出现在较大的组织中,如果组织同时具有CSO和CISO,则CISO向CSO汇报。CSO通常负责整合安全职能,即之前杂乱无章的安全功能之间能以正规方式协作,这主要涉及让物理安全和IT安全以更协调的方式工作,而不是在组织内各自为政。损失预防、欺诈预防、业务持续规划、法律/法规合规性和保险等问题都具有物理安全和IT安全两方面的要求,因此,由一个人CSO负责监督和整合这些不同的安全领域,可实现更完整、更全面的安全计划。
安全管理计划应该由高级管理人员批准。否则没有意义。没有高级管理层的批准和承诺,安全策略就不会取得成功。策略开发团队的责任是充分培训高级管理人员,由其了解策略中规定的安全措施被部署以后仍然存在的风险和责任。安全策略的制订和执行体现了高级管理人员的应尽关心与尽职审查。如果一家公司的管理层在安全方面没有进行应尽关心与尽职审查,管理者就存在疏忽,并应对资产和财务损失负责。
在确保组织的安全性方面,高级管理层的支持是最重要的。
7 、三类计划
安全管理基于三种类型的计划:战略计划、战术计划和操作计划。
1)战略计划
战略计划是相对稳定的长期计划,定义了组织的目标、使命和宗旨。如果每年进行维护和更新,战略计划的有效期大约是5年 。战略计划也可被视为愿景规划。包括风险评估。
2)战术计划
战术计划是中期计划,为战略计划中设定的目标提供更多细节。也可根据不可预测的事件临时制订。战术计划的有效期大约是1 年。战术计划包括:项目计划、收购计划、招聘计划、预算计划、维护计划、支持计划和系统开发计划。
3)操作计划
操作计划是在战略计划和战术计划的基础上制订的短期、高度详细的计划。只在短时间(每月、每季度) 内有效或有用。操作计划必须经常更新,如每月或每季度。操作计划阐明了如何实现组织的各种目标,包括资源分配、预算需求、人员分配、进度安排、执行程序。包括执行流程与组织安全策略的合规性细节。包括培训计划、系统部署计划和产品设计计划。
1.3.2.组织流程(如收购、资产剥离、治理委员会)
1 、并购
公司在并购中不仅获得另一家公司的商业资产,也获得其安全计划可能带来的所有负担。组织在并购期间可以通过对将要合并或者收购的公司开展全面审计。即对卖家提出棘手问题。
( 1 )损害评估
可对组织信息系统开展深入技术测试,确定是否曾经发生未记录在案的破坏。
( 2)审计I SMS
侧重于策略、工作程序和控制措施。
2、资产剥离
公司出售自己资产的一部分。
资产剥离意味着应该回答买家提出的棘手问题。
待剥离资产存在的问题如安全风险会降低其价值。
待剥离资产的安全策略、工作程序和控制措施可能会暴露其他资产的相关内容。
3、治理委员会
目的是审查组织的结构和行为,并将其调查结果报告给董事会。治理委员会是安全人员的盟友,了解组织中谁担当哪个角色,谁可在需要资源以确保安全环境时给予帮助,对安全人员而言很重要。
1.3.3.组织的角色与责任
1 、 高级管理层
了解组织愿景、业务目标和各项指标。最终对组织安全的维护负责及最关心资产保护的人员。高级 管理者必须在所有策略问题上签字,对安全解决方案的总体成功或失败负责,而且在为组织建立安全方面有责任实施应尽关心和尽职审查。
(1)首席执行官CEO
(2)首席财务官COO
(3)首席信息官CIO
(4)首席隐私官CPO
(5)首席安全官CSO
2、职能管理层
了解各自所在部门如何开展工作、在组织中扮演什么角色,以及安全性如何直接影响其负责的部门。
3、运营经理和员工
熟知技术和工作程序的具体要求,熟悉业务系统以及如何使用业务系统的细节,明白安全机制如何集成到业务系统中、如何配置以及如何影响日常工作效率。
4、 安全专业人员
职责是保证安全性,包括编写和执行安全策略。根据已经批准的安全策略设计和实现安全解决方案。
5、 资产所有者
通常是高级管理人员,最终对资产保护负责。资产所有者通常将实际数据管理任务的责任委托给托管员。
6、 托管员
负责执行安全策略与高级管理者规定的保护任务的人员。如执行和测试备份、验证数据完整性、部署安全解决方案以及基于分类管理数据存储。
7、 用户
最小特权原则,遵守规定的操作程序并在规定的安全参数内进行操作,从而理解和维护组织的安全策略。
8、 审计人员
负责审查和验证安全策略是否被正确执行,以及相关的安全解决方案是否完备。审计人员出具由高级管理者审核的合规性和有效性报告,高级管理者将在这些报告中发现的问题当作新的工作内容分配给安全专业人员或者托管员。
1.3.4.安全控制框架
关注如何实施控制目标,达成安全计划和企业安全架构所列出的目标。
1、NIST SP 800-53( 信息系统和组织的安全和隐私控制措施 )
描述了美国联邦机构为符合美国联邦信息处理标准FIPS需要实施的控制措施,最初针对美国联邦政府组织,很多组织也自愿采用。将超过1000种安全控制措施归纳为20个系列。信息系统和组织的安全和隐私控制措施。800-53和RMF高度集成,因此如果选择了RMF作为风险管理框架,则最好选择800-53作为安全控制框架。
( 1 )提供了信息系统安全控制措施的目录。
( 2) 提供了从目录中如何选择安全控制措施的具体指引。
(3)规定了实施安全控制措施的四个步骤:
(1)选择适当的安全控制措施基线
基于安全专家已基于组织信息系统所处理、存储或者传输信息的关键和敏感程度,确定了信息系统的安全类别SC。
(2)定制基线
(3)记录安全控制措施的选择过程
( 4)实施安全控制措施
2、CIS控制措施
CIS即Internet安全中心,是一个非盈利组织。其维护者一份包含2 0项 1 71个子项分成 3组的关键安全控制措施的清单,提供针对操作系统、应用程序和硬件的安全配置指引,旨在减轻大多数常见网络攻击的威胁,帮助组织逐步改善其安全态势。
3、信息系统和技术控制目标COBIT
用于IT企业治理与管理 的一套控制目标框架,通过平衡资源利用率、风险水平和收益实现以帮助组织优化it价值,为此,需要明确将利益相关方驱动因素、利益相关方需求、组织目标(为满足那些需求)以及IT目标(为实现或支持组织的目标)依次联系起来。
COBIT框架中的每一项内容都通过一系列自上而下的目标转换,最终与各利益相关方关联。目前使用的大部分安全合规性审计实践都基于COBIT。
COBIT定义了用于正确管理IT并确保IT映射到业务需求的控制目标。规定了安全控制的目标和需求,并鼓励将IT安全思路映射到业务目标。
COBIT是一种基于治理体系六项关键原则的全局方法:
(1)为利益相关方提供价值
( 2)全局方法
( 3)动态治理体系
( 4)有别于管理的治理
( 5)基于企业需求量身定制
( 6)端到端的治理体系
1 .3.5.应尽关心和尽职审查
应尽关心也叫适度勤勉 :在个人或者团队的权力范围内尽一切努力防止坏事发生,通常与领导层、法律和法规有关。
尽职审查也叫适度关注:特定人员在特定情况下要采取预防措施,通常适用于组织内的每个人,如果缺失则说明组织或个人存在疏忽。
|--------------------------------|------------------------|
| 应尽关心 | 尽职审查 |
| 适度勤勉 | 适度关注 |
| 制定计划、策略和流程以保护组织的利益 | 具体执行应尽关心所制定的计划 |
| 制定一种正式的安全框架,包含安全策略、标准、基线、指南和程序 | 将这种安全框架持续应用到组织的IT基础设施上 |
| 知道应该做什么并为此制订计划 | 在正确的时间采取正确的行动 |
| 通常与领导层和法律法规有关 | 适用于所有人,如果未能履行则代表存在疏忽。 |
如:高管在保护资源时没有履行适度关注 ,则会因疏忽而受到起诉。
1 .4 确定合规和其他要求
1.4.1.合同、法律、行业标准和监管要求
1、通用数据保护条例G DPR
保护欧盟公民个人数据和隐私安全的法案,定义了三类相关主体:
(1)数据主体:数据所属的个人
(2)数据控制方:收集欧盟公民数据的组织
(3)数据处理方:替数据控制方处理数据的组织
GDPR要求数据控制方和数据处理方指定一名数据保护官DPO,其职责是保证组织机构遵循GDPR的要求,其承担的实际责任是监督合规情况,向管理层提出何时和如何实施数据保护影响评估的建议,并且维护需要的所有记录。
GDPR的主要规定:
(1)同意权
(2)知情权
(3)限制处理权
(4)遗忘权:数据主体可要求其他主体永久删除其个人数据。
(5)数据泄露:数据控制方必须在发现数据泄露情况后的72小时内向监管机构报告。
(6)合法、公平、透明
(7)目的限制
(8)数据最小化
(9)准确性
(10)存储限制
(11)安全性
(12)问责制
1.4.2.隐私要求
敏感数据不是公开的数据,也不是未分类的数据。它包括机密的、专有的、受保护的或因其对组织的价值或按照现有的法律和法规而需要组织保护的任何其他类型的数据。
1、个人身份信息PII
是能够识别个人的任何信息。
NIST SP 800-122定义:
PII是由机构保存的关于个人的任何信息,包括:
1)任何可用于识别或追踪个人身份的信息,如姓名、社会保险账号、出生日期、出生地点、母亲的娘家或生物识别记录。
2)与个人有关联或有指向性的其他信息,如医疗、教育、财务和就业信息。
组织有责任保护PII,包括与员工和客户相关的PII。法律要求,当数据泄露导致PII丢失时,组织要通知个人。
2、受保护的健康信息PHI
特定人员的任何与健康有关的信息。
健康保险流通与责任法案HIPAA要求保护PHI。
HIPAA对PHI的定义:
健康信息指以口头、媒介或任何形式记录的任何信息。
1)这些信息由卫生保健提供者、健康计划部门、卫生行政部门、雇主、人寿保险公司、学校或卫生保健信息交换所等机构设立或接收。(并不是只有医生和医院这样的医疗保健提供者才需要保护PHI。)
2)涉及任何个人的如下信息:过去、现在或将来在身体、精神方面的健康状况,向个人提供的健康保健条款,过去、现在或将来为个人提供医疗保健而支付的费用。
3、专有数据
指任何有助于组织保持竞争优势的数据,它可以是开发的软件代码、产品的技术计划、内部流程、知识产权或商业秘密。
如果竞争对手获取到专有数据,将严重影响组织的主要任务。
如何管理敏感信息
敏感信息可以是任何类型的分类信息。适当的管理有助于防止未经授权的泄露导致保密性被破坏。
正确的管理包括对敏感信息的标识、处理、存储和销毁。
组织经常遗漏的两个方面:
1)充分保护保存敏感信息的备份介质
2)在敏感信息生命周期结束时对介质或设备进行净化。
1 .5 全面理解全球范围内与信息安全相关的法律和监管问题
1.5.1.网络犯罪和数据泄露
1、网络犯罪
( 1)计算机辅助犯罪
使用计算机作为工具帮助实施犯罪。
如:利用金融系统实施欺诈
通过攻击政府系统获取军事和情报资料
通过攻击竞争对手,从事工业间谍活动并收集机密的商业数据
利用已劫持的具备影响力的账户开展信息战
( 2)以计算机为目标的犯罪
指计算机成为专门针对其自身及其所有方实施攻击的受害方。
如:分布式拒绝服务攻击
从服务器窃取口令或者其他敏感数据
在他人计算机上安装挖矿程序,开采加密货币
实施勒索软件攻击
差异:在计算机辅助犯罪中,计算机仅是一个工具,用于实施传统意义上的犯罪,没有计算机,人们仍然能够实施盗窃、造成破坏等。而在以计算机为目标的犯罪中,没有计算机就无法实施犯罪。
( 3)计算机牵涉型攻击
计算机不一定是攻击方或者受害方,只是在攻击时碰巧涉及其中。
2、数据泄露
一种会导致未经授权的人员对受保护信息的机密性或者完整性构成实质或者潜在破坏的安全事件。受保护的信息可以是个人身份信息、知识产权、受保护健康信息PHI和机密信息,或者对个人或者组织造成损害的其他任何信息。
GDPR 要求组织应该在发现泄露行为后的7 2小时 内通知相关欧盟成员国的监管机构。而HIPAA 的规定是6 0天。
1.5.2.许可和知识产权IP要求
知识产权:由某人独创的想法、发明或者表达方式组成,并可防止他人未经授权使用。知识产权法着眼于组织或者个人如何保护其合法拥有的知识成果免遭未经授权的复制或者滥用,以及一旦这些受法律保护的权力遭到侵犯应该采取何种行动以维护自身的合法权益。
知识产权的所有方通过授权许可证以指定授权使用方和使用条件。许可证是只是产权所有方(许可方)和其他人(许可持有方)之间的协议,许可方授予许可持有方以非常特定的方式使用知识产权的权利。
有四种类型的知识产权:商业秘密、版权、商标、专利。
1、商业秘密
保护特定类型的资源免受未授权使用,也不允许公开。没有过期之说。
商业公司普遍要求员工签署保密协议NDA,声称员工理解其内容并承诺不与竞争对手或者未授权个人共享公司的商业秘密。
2、版权
版权法赋予原创作品的作者控制其原创作品公开发行、翻印、展览和修改的权利。版权法覆盖多种类型的著作,包括源代码、操作系统、应用程序、数据库、绘画、书法、音乐、戏剧、文字、电影、雕塑、录音和建筑等,不延伸到运营、流程、概念、程序等方面。版权法不像商业秘密法那样保护特定资源,而是保护资源相关创意独特的外在表达方式而非内容本身。版权保护思想的表达方式,而非思想本身。
版权总是默认归作品的创作者所有,例外是:因受雇佣而创作的作品。
对版权的保护弱于对专利的保护,但版权的保护事件更长。
保护期:在受保护方的寿命基础上再加上70年,如果作品是多位作者共同制作的,则是最后一位作者去世后70年。
3、商标
商标用于保护词汇、名称、符号、声音、形状、颜色、设备或者这些的组合。
保护期: 1 0年。到期后可再延续 1 0年。
4、专利
是授予个人或者组织的法律所有权,使专利所有方有权拒绝其他人使用或者复制专利指向的发明,发明必须是新奇的、有用的、非显而易见的。
发明方申请专利并获准后就拥有了有限的产权,并规定其他人在一定时间内不得制造、使用或者销售该发明。
专利不适用于算法。
专利是最强的知识产权保护形式。
保护期: 2 0年
|----------|-------|------|-----------------|
| 版权 | 70 | 不如专利 | 源代码、软件、算法 |
| 专利 | 20 | 最强 | 软件邻域存在争议 |
| 商标 | 10+10 | | |
| 商业秘密 | 无期 | | 保护计算机软件的最佳方法之一。 |
1 .5.3.进口 /出口控制
1、国际武器贸易条例ITAR
控制的是被明确指定为军事和国防物品的物资的出口,包括与这些物资相关的技术信息。
2、出口管理条例EAR
控制可能被用于军事用途的商业物资。
3、计算机出口
不受限制。
4、加密技术出口
完全受到限制。
1.5.4.跨境数据流
指机器可读数据跨越国境线等政治边界的移动,数据的生成或者获取发生在某个国家境内,但由于这些数据可能会在其他国家存储和处理,于是就有了跨境数据流。
通过制定数据本地化法律控制跨境数据流,要求某些类型的数据在国家的边界内存储和处理,数据本地化可能增加组织在某些国家或者地区开展业务的成本,因为组织可能必须在该国家或者地区提供并保护信息系统,否则业务活动将遭到禁止。
1.5.5.隐私
为确保隐私合规,最大的难点在于确保安全专家了解组织收集、存储和处理各类隐私数据的位置。
1 .6 了解各类调查的要求(行政、刑事、民事、监管、行业标准)
1 .7 制订、记录和实施安全策略、标准、程序、优先级排序
1 、安全策略
由高级管理层制定的一份全面声明,即规范化的最高级文件。规定了安全在组织内扮演的角色,安全策略可以是组织策略、关于特定问题的策略或者关于特定系统的策略。
安全策略是管理层对安全在组织中所起作用的说明。
2 、标准
描述了实现特定安全机制、控制或者解决方案所需的具体操作 ,这些要求本质上是强制性 的,并支持组织的安全策略。比如:组织要求在组织内强制使用OpenOffice这款软件。(而如果是业务主管要求,则是程序)
3 、程序
为了实现某个目标而执行的包含详细步骤的任务。即具体怎么做。比标准范围大,最接近计算机和用户。
4 、基线
安全的最低级别。
5 、准则(指南)
推荐性的,提供了建议和灵活性的一般方法。作为标准中没有覆盖的灰色地带的推荐方法。
6 、优先级排序
策略(强制性) --标准(强制性)--程序(强制性)--准则(推荐但可选)
7、范例
组织的安全策略规定机密信息应该得到适当保护,这个陈述非常宽泛和笼统,支持策略的标准要求数据库中所有的客户信息使用AES算法加密存储,使用IPSec加密传输,这个标准指明了所需的保护类型,并提供了更细粒度的说明,支持标准的程序需要准确解释如何实施AES和IPsec技术,并按照描述配置软件和设备,如果配置完成,则形成了始终应该维护的基线。准则涵盖了如何处理数据在传输过程中意外损坏或者泄露的情况,这些内容是标准中没有提到的,可以参考性实施。
1 .8 业务连续性 B C需求的识别、分析与优先级排序
业务持续管理BCM是管理BCP和DRP各个方面的总体方法。
|-----------------------------------------------------------------------|--------------------------------------|
| 业务连续性 B C | 灾难恢复D R |
| 组织在发生风险并导致中断的情况下,维持业务功能或者快速恢复业务功能的能力。 | 将灾难或者重大中断的影响降至最低的流程。 |
| 包含一系列策略文档,这些文档提供了确保维护关键业务功能的详细程序,并有助于最大限度挽救人员生命、确保业务持续运营以及保持业务系统正常运行。 | 意味着采取必要的措施,确保资源、人员和业务流程安全,并能够及时恢复运营。 |
| 涵盖了所有中断,包括但不限于灾难。 | 主要关注灾难产生的直接后果。 |
| 是一系列提供应急响应、拓展备份操作和灾难恢复的程序。 | 是BC的一部分。 |
1.8.1. 制订并记录项目范围和计划****
目标:
1、从危机规划的角度对业务组织进行结构化分析
2、在高级管理层的批准下创建BCP团队
3、评估可用于业务连续性活动的资源
4、分析在处理灾难性事件方面,组织需要遵守的法律以及所处的监管环境。
具体流程取决于组织及其业务的规模和性质。
此阶段的目的:确保组织投入足够的时间和精力来制订项目范围和计划,并对这些活动进行记录以供将来参考。
1、 业务组织分析
**首要职责。**在业务组织分析中,负责领导BCP过程的人员确定哪些部门和个人参与业务连续性计划,该分析是选择BCP团队的基础,经BCP团队确认后,用于指导BCP开发的后续阶段。
内容:
识别与BCP流程具有利害关系的所有部门和个人。
目标:
1、完成确定BCP团队潜在成员所需的基础工作
2、为在BCP过程中开展其他工作打下的基础。
谁来分析:
负责BCP工作的人员执行。一是聘请专职的业务连续性经理,二是让一位IT管理者来兼任。
一般是:
1、负责向客户提供核心服务业务的运营部门
2、关键支持服务部门,如IT部门、设施和维护人员以及负责维护支持运营部门系统的其他团队
3、负责物理安全的公司安全团队。他们在多数情况下是安全事故的第一响应者,也负责主要基础设施和备用处理设施的物理保护。
4、高级管理人员和对组织持续运营来说至关重要的其他人员。
整个BCP团队成立后要完成的第一项任务是对分析结果进行一次全面审查,非常关键,因为执行原始分析的人员可能忽略了某些关键业务功能,而BCP团队中的其他成员却对这些内容非常了解。
2、 选择BCP团队
团队至少包括:来自每个运营和支持部门的代表,IT部门的技术专家,具备BCP技能的物理和IT安全人员,熟悉公司法律、监管和合同责任的法律代表,以及高级管理层的代表,其他团队成员取决于组织的结构和性质。
一般是:
1、负责执行业务核心服务的每个组织部门的代表
2、根据组织分析确定的来自不同职能区域的业务单元团队成员
3、BCP所涉领域内拥有技术专长的IT专家
4、掌握BCP流程知识的网络安全团队成员
5、负责工厂实体物理安全和设施管理的团队
6、熟悉公司法规、监管和合同责任的律师
7、可解决人员配置问题以及对员工个人产生影响的人力资源团队成员
8、需要制订类似的计划以确定在发生中断时如何与利益相关方和公众进行沟通的公共关系团队成员。
9、高级管理层代表,这些代表能设定愿景,确定优先级别和分配资源。
注意:
1、平衡不同部门领域人员的需求
2、高层的看法和支持至关重要。
3、 评估资源需求
涉及BCP的三个不同阶段所需的资源
(1)BCP开发
需要一些资源来执行BCP流程的四个阶段(项目范围和计划、CIA、COOP、计划批准和实施)。这个BCP阶段主要耗费人力资源,即BCP团队成员和召集过来协助制订计划的支持人员所付出的人力。
(2)BCP测试、培训和维护
1、人力(最重要)
2、硬件和软件资源
( 3)BCP实施
当灾难发生且BCP团队认为有必要全面实施业务连续性计划时,将需要大量资源。这些资源包括大量实施工作和直接的财务费用。
1、冗余计算设施的购买和部署
2、团队成员编写计划草稿所需的笔纸
3、人力(最重要)
4、 法律和法规要求
企业领导必须实施尽职审查,以确保在灾难发生时保护股东的利益。某些行业还受制于法规和地方性规定对BCP程序的特定要求。许多企业在灾难发生前后都有必须履行的客户合约义务。
开发完善的、文档化的BCP,可帮助组织赢得新客户和现有客户的其他业务。如果能向客户展示出灾难发生后,公司具备的恰当响应程序能持续向客户提供服务,他们将对公司更有信心,且很可能将公司视为他们的首选供应商。
1.8.2. 业务影响分析BIA
核心部分。需要收集、分析、解释灾难影响业务的定性和定量数据,并提交给管理层。得到管理层执行承诺和支持是制定BCP的最关键因素。
规划制定中最重要的第一步。
BIA确定了组织生存所需的关键业务系统,并估算了组织在应对各种突发事件中可容忍的中断时间。
BIA确定对组织持续运营能力非常关键的业务流程和任务、业务系统以及这些资源面临的威胁,并评估每个威胁发生的可能性以及威胁事件对业务的影响。
BIA结果提供了度量措施,可对用于因解决组织面临的各种本地、区域及全球风险而投入的业务连续性资源进行优先级排序。
分析关键业务职能并识别关键业务系统,组织需要基于上述信息确定优先级,识别漏洞和威胁,并计算风险。
制定业务连续计划的第一步是执行业务影响分析BIA,其包括确定组织的关键系统和职能,并与每个部门的代表开展面谈。一旦得到管理层的大力支持,就需要执行业务影响分析BIA确定组织面临的威胁以及这些威胁导致的潜在损失。
五个步骤是:确定优先级、风险识别、可能性评估、影响分析和资源优先级排序。
1、 确定优先级
根据业务范围,当灾难发生时,有此活动对于维持日常运营极为关键。
通过BCP团队成员讨论,创建一份涵盖关键业务功能的综合列表,并按重要性对其进行排序。
组织应收集定性和定量影响信息,然后适当分析和解释,目标是确切了解企业如何受到不同威胁的影响,影响可以是经济上的、运营上的或者两者兼而有之。完成数据分析后,应与组织的权威专家共同审查,确保结果合理描述了组织当前面临的真实风险和影响。这将有助于排除最初未包含的多余数据项,并全面了解所有可能的业务影响。
BIA确定了组织生存所需的关键业务系统,并估算了组织在应对各种突发事件中可容忍的中断时间(MTD)。MTD越短,业务职能的恢复优先级越高。
列表的创建是定性影响评估的结果,但排序则同时使用定性和定量的评估。
(1)定性影响评估
考虑非数字因素,如声誉、投资者和客户信心、员工稳定性和其他事项。
这类数据结果通常用优先级别如高、中、低表示。
BCP团队应以定量评估为主,同时不要忽略定性评估。
(2)定量影响评估
涉及使用数字和公式得出结论的过程,这类数据结果通常用货币价值表示与业务相关的选项。
定量评估需要的因素:
1)资产价值AV
2)最大允许中断时间MTD
业务功能出现故障但不会对业务产生无法弥补的损害所允许的最长时间,关键业务功能的MTD应低于未被确定为关键业务活动的MTD。
常用估值:
非必要:30天
普通:7天
重要:72小时
紧急:24小时
关键:几分钟到数小时
3 ) 恢复时间目标RTO
每个业务功能的恢复时间目标是指中断发生后实际恢复业务功能所需的时间,RTO与MTD密切相关,一旦定义了恢复目标,就可以设计和规划所需的步骤去完成恢复任务。应确保RTO小于MTD。
4 ) 恢复点目标RPO
相当于在数据丢失时间上的RTO。RPO定义了事件发生前组织应能够从关键业务流程中恢复数据的时间点。如:组织每15分钟执行一次数据库事务日志备份,则RPO是15分钟,即组织可能在事件发生后丢失多达15分钟的数据。
2、 风险识别
识别组织面临的风险。
**风险识别大部分是定性分析。**在这个过程中,不需要关注每种风险实际发生的可能性,或风险发生后对业务持续运营造成的损害程度。
风险分为两种类型:自然风险和人为风险。
(1)自然风险
暴风雨
雷击
地震
泥石流
火山喷发
流行病
(2)人为风险
恐怖活动
战争
盗窃
火灾
长时间断电
建筑物倒塌
运输故障
互联网中断
服务提供商停运
经济危机
3、 可能性评估
预测可能引发业务中断的各种威胁的影响和可能性。风险评估的工具、技术和方法包括确定威胁、评估发生概率、制作威胁列表以及分析成本和效益。
充分考虑组织对业务持续风险的容忍度,风险评估还需要使用BIA中的数据,得出一致的风险暴露估计。
包括:
(1)组织中所有对时间敏感的资源和活动的漏洞
(2)组织最紧迫的资源以及活动的威胁和危害
(3)减少关键服务和产品中断的可能性、时间长度以及可能造成的影响
(4)单点故障,即威胁业务持续的关键点
(5)关键技能集中或技能严重短缺导致的业务持续风险
(6)外包商和供应商的持续风险
(7)BCP计划已接受的、已在其他地方处理的,或者BCP计划中未涉及的业务持续风险。
侧重于业务持续的风险评估的最终目标包括:
(1)识别并记录单点故障
(2)为组织的特定业务流程制定威胁优先级列表
(3)汇总信息,制定风险控制管理战略和应对风险的行动计划
(4)记录已经识别并接受的风险,或者记录已经识别但未处理的风险。
风险=威胁*影响*概率*时间
风险缓解措施应针对可能最迅速地破坏关键业务流程和商业活动的风险。
确定每种风险发生的可能性。
使用年度发生率ARO
反映企业每年预期遭受特定灾难的次数
基于公司历史、团队成员的专业经验以及专家的建设、官方数据。
4、 影响分析
BIA中最关键的部分之一。
此阶段将分析在风险识别和可能性评估期间收集的数据,并尝试确定每个已识别风险对业务的影响。
与风险评估相比,风险评估流程侧重于单个资产,而BCP流程侧重于业务流程和任务。
(1)定量分析
有三个具体指标:
1)暴露因子EF
风险对资产造成的损害程度,以资产价值的百分比表示。如建筑物发生火灾后将导致70%的建筑物被摧毁,则EF=70%。
2)单一损失期望SLE
SLE=AV*EF。是指每次风险发生后预期造成的货币损失。
3)年度损失期望ALE
ALE=SLE*ARO。是在一个普通年份内由于风险危害资产而给公司带来的预期货币损失。
(2)定性分析
考虑:
1、在客户群中丧失的信誉
2、长时间停工后造成员工流失
3、公众的社会和道德责任
4、负面宣传
5、 资源优先级排序
划分针对各种风险所分配的业务连续性资源的优先级。
定量分析:根据ALE按降序进行排序。
定性分析:对定量分析的结果进行调整。
6 、B IA执行步骤
(1)为收集数据选择合适的访谈对象。
(2)确认数据收集的方式和技巧(如调查、问卷、定性和定量方法)
(3)识别组织的关键业务职能
(4)识别这些职能所依赖的资源
(5)计算业务职能在资源缺失的情况下能够持续的时间
(6)识别业务职能的漏洞和威胁
(7)计算不同业务职能的风险
(8)记录调查结果并向管理层报告。
1.8.3. 连续性计划COOP
前两个阶段重点确定BCP流程将如何运行,并对必须保护以防止中断的业务资产进行优先级排序。
COOP的重点:开发和实施连续性战略,尽量减少已发生的风险对被保护资产的影响。
关注的是:组织如何才能中中断发生不久后就开始执行关键业务功能,并维持长达一个月的持续运营。
1、 策略开发
在BIA和COOP阶段架起桥梁。
内容:
采用由定量和定性资源优先排序工作提出的优先级问题清单(已经由BIA输出),确定业务连续性计划将处理哪些风险。
不可能完全解决所有意外事件,所以需要根据在BIA阶段输出的MTD确定哪些风险是可接受的,哪些风险必须通过BCP连续性措施予以缓解。
BCP团队需要确定要减轻哪些风险。
可以理解为在优先级问题清单上划一根线,线以上是需要考虑的,线以下是不需考虑的。
2、 预备和处理
整个BCP的关键部分。
内容:BCP团队设计具体的流程和机制来减轻在策略开发阶段被认为不可接受的风险。
该计划必须得到高级管理层的批准并予以实施。
有三类资产必须通过BCP预备和处理进行保护。人员、建筑物/设施、基础设施。
(1)人员
人是最宝贵的资产。人员的安全必须始终优先于组织的业务目标。
管理层需要为BCP成员提供其完成所分配任务必需的全部资源。如食物、水、住宿等。
必须接受与他们在BCP过程中的角色相关的培训。
(2)建筑物和设施
包括标准办公设备、生产工厂、运营中心、仓库、配送物流中心、维修站等。在执行BIA时,将确定在组织持续运营中发挥关键作用的设施。
连续性计划应针对每个关键设施的以下两个方面进行说明。
1)加固预备措施
BCP应概述可实施的机制和程序来保护现有设施,使其免受策略开发阶段中定义的风险的影响。
加固预备措施包括修补漏水屋顶等内容,或者是安装防火墙等内容。
2)替代站点
如果无法通过加固设施来抵御风险,BCP应识别出可用于立即恢复业务活动或至少可在少于最大容忍中断时间内提供所有关键业务功能的备用站点。备用站点与DRP相关联,组织可能在BCP开发期间确定对备用站点的需求,但需要在实际中断发生后启用该站点,这个属于DRP考虑内容。
(3)基础设施
每个业务的关键流程都依赖于某种基础设施。
可能是:
通信的IT主干包括服务器、工作站、不同站点之间的关键通信链路。
处理订单、管理供应链、处理客户交互和执行其他业务功能的计算机系统。
两种方法进行保护
1)物理性加固系统
引入计算机安全灭火系统和UPS等
2)备用系统
引入冗余组件或依赖于不同设施的完全冗余系统和通信链路
1.8.4. 计划批准和实施
以上阶段都是在文档的设计阶段。
这个阶段需要请最高管理层进行批准,不批准的计划都是废纸。
所以最好在BCP成员中就把管理层加入,让他们深度参与。
1、 计划批准
证明计划对整个组织的重要性
展示业务领导对业务连续性的承诺
使计划在其他高级管理人员眼中具有更高的重要性和可信度
2、 计划实施
BCP团队应该共同开发实施计划。
该计划使用分配的资源,根据给定的修改范围和组织环境,尽快实现所描述的过程和预备目标。
完全部署所有资源后,BCP团队应对BCP维护程序的设计和执行情况进行监督,这个程序确保计划能响应业务需求的不断变化。
3、 培训和教育
是BCP实施的基本要素。
所有直接或间接参与计划的人员都应接受关于总体计划及个人职责的培训。
组织中的每个人都应该至少收到五人计划简报,简报让员工相信业务领导已考虑到业务持续运营可能面临的风险,并制订了计划来减轻中断发生时对组织的影响。
直接负责BCP工作的人员应接受培训,并对特定BCP任务进行评估以确保他们能在灾难发生时有效完成这些任务。此外,还应为每个BCP任务至少培训一名备用人员,确保在紧急情况下当主用人员无法参与时顶上。
4、 BCP文档化
是BCP计划中的关键步骤。
将计划记录下来,可在灾难发生时给组织提供一个可遵守的书面程序,这样可确保组织在紧急情况下有序实施计划。
优点:
1、确保在紧急情况下,即使没有高级BCP团队成员来指导工作,BCP人员也有一份书面的连续性计划可参考。
2、提供BCP过程的历史记录,有助于将来的人员理解各种过程背后的原因并对计划进行必要的修改。
3、促使团队成员将想法写下来,有助于识别计划中的缺陷并可让其他人进行合理性检查。
文档包括:
(1)连续性计划的目标
在整个BCP生命周期内保持不变。
常见目标:
1)确保在紧急情况下业务的持续运营。
2)客户呼叫中心的连续停机时间不超过15分钟
3)备份服务器可在启用后1小时内处理75%的负载
( 2 )重要性声明
反映了BCP对组织持续运营能力的重要性。
这份文档通常以信函形式(高管签名更有用)提供给员工,说明为什么组织将大量资源用于BCP开发过程,并要求所有人员在BCP实施阶段予以配合。
(3)优先级声明
是BIA确认阶段直接产物。只按优先顺序列出对业务连续运营至关重要的功能。
(4)组织职责声明
来自高管,可与重要性声明合并在同一文档中。声明重申组织对业务连续性计划的承诺。它告知员工、供应商和附属企业,组织希望他们尽力协助BCP过程的实施。
(5)紧急程度和时限声明
表达了实施BCP的重要性,概述了由BCP团队决定的并由高层管理人员批准的实施时间表,该声明的措辞将取决于组织领导层给BCP过程指定的实际紧急程度。可以添加一个实施时间表,以培养紧迫感。
(6)风险评估
基本上重述了BIA期间的决策过程。
应该包括对BIA过程中所有关键业务功能的讨论,以及为评估这些功能的风险而进行的定量分析和定性分析。对于定量分析,应该包括AV、EF、ARO、SLE、ALE。
对于定性分析,应向阅读者提供风险分析背后的思考过程。
风险评估反映的是某个时间点的评估结果,团队必须对其定期更新以反映不断变化的情况。
(7)风险接受和风险缓解
包括BCP过程的策略开发部分的结果,涵盖风险分析部分确定的所有风险。
1)对于被认为可接受的风险,应概述接受原因以及未来可能需要考虑此决定的可能事件。
2)对于被认为不可接受的风险,应概述要采取的缓解风险的预备措施和过程,以降低风险对组织持续运营的影响。
(8)重要记录计划
该文档说明了存储关键业务记录的位置以及建立和存储这些记录的备份副本的过程。
实施重要记录计划时首先应识别重要记录,这是最大挑战。
如一个问题:如果我们今天需要在一个完全陌生的地方重建我们的组织,并且无法访问任何电脑或文件,你们需要哪些记录?
可以通过召开多次会议来完善它。
识别后应该找到它们。识别出重要记录清单中确定的每条记录的存储位置。
(9)应急响应指南
概述组织和个人立即响应紧急事件的职责。
该文档为第一个发现紧急事件的员工提供了启动BCP预案的步骤,BCP预案不会自动启动。
包括:
1)立即响应程序(安全和安保程序、灭火程序,以及通知合适的应急响应机构)
2)事故能和人员名单(高管、BCP团队成员)
3)第一响应人员在等等待BCP团队集结时应采取的二级响应程序。
要求:
该文档需要很容易被所有人理解。激活业务连续性的过程的延缓可能导致业务运营出现非预期的中断。
(1 0) 维护
BCP文档和计划必须即时更新。
BCP团队不就在计划开发出来后就立即解散。应定期开会讨论该计划并审核计划测试的结果,以确保其一直能满足组织需求。
对计划的微小改动不需要从头执行完整的BCP开发过程,在BCP团队的非正式会议上达成一致即可。
但如果组织的使命或资源发生巨大改变,则可能需要从头开发BCP
每次对BCP的更改都需要进行良好版本控制。所有旧版本都需要物理销毁并替换为最新版本,这样便于弄清哪个是正确的BCP实施版本。
将BCP职责添加到员工的岗位职责中。
(1 1) 测试和演练
文档中应该包括一个正式的演练程序,以确保该计划仍然有效。
演练验证团队成员是否接受了充分培训,以便在发生灾难时履行职责。
1 .9 促进并执行人员安全策略和程序
1.9.1.候选人筛选与招聘
1、筛选内容
(1)技能测试和评价
(2)检查个人水平和性格
(3)背调
最有可能降低风险。
2、 背调目的
(1)降低风险
(2 )降低招聘成本
(3)降低员工流动率
(4)保证客户和员工免受可能实施恶意和不诚实行为人员的伤害。
3、背调内容
(1)身份证号码跟踪
(2)刑事案件查询
(3)等等
1.9.2.雇佣协议及策略
雇佣协议的关键要素:
1、适用于新员工职位的策略引用。
2、建立试用期
3、雇佣协议中包含保密协议NDA。
1.9.3.入职、调动、离职程序
1、入职
(1)参加所有安全意识宣贯培训SAT
(2)阅读所有安全策略,签署声明,表明理解并将遵守这些策略
(3)基于分配的角色,为新员工颁发合适的身份识别工作证,钥匙和访问令牌。
(4)IT部门为新员工创建所需的账户,新员工需要登录系统并设置口令。
(5)签署保密协议NDA(在雇佣协议中就会有)
2、调动
IT和安全人员需要参与员工的调动和角色更改,以便确定应实施哪些策略以及应添加、保留或者删除哪些权限。
确保每位员工都拥有完成工作所需的权限,但没有多余的权限。
3、解雇
(1)在经理或者警卫的监督下离开
(2)交出身份识别证件、钥匙、组织产品
(3)禁用或者更改用户的账户和口令
(4)必要时候给遣散费
1.9.4.供应商、顾问、承包商的协议和控制
1、签订服务协议S LA ,要求至少达到与组织一样严格的安全控制水平
2、假设供应商、顾问、承包商不可信,然后对其绩效各个方面实施严格控制
3、与业务部门、人力部门、法务部门密切合作
4、使用供应商管理系统VMS,这是一种软件解决方案,可协助人员配备服务、硬件、软件和其他所需产品和服务的管理和采购,可提供便利订购、订单分发、订单培训、统一计费等功能,在安全性方面,可对通信和合同保密,要求加密和认证交易,并维护与供应商相关的事件的详细活动日志。
5、当多个实体或者组织共同参与一个项目时,存在多方风险。该风险或威胁通常是由相关人员的目标、期望、时间表、预算和安全优先级的变化造成的。
1.9.5.合规策略要求
一项行政或者管理的安全控制形式。
注意和遵守外部法规,如HIPAA、PCI-DSS、GDPR。
确保本组织的规定和外部的规定不冲突。
1.9.6.隐私策略要求
1、主动防止未经授权访问个人可识别的信息(PII)
2、防止未经授权个人的或机密的信息
3、防止在未经同意或不知情的情况下被观察、监视或检查。
PII\HIPAA\SOX\GDPR
1 .10 理解并应用风险管理概念
风险:威胁利用漏洞(脆弱性)的可能性以及带来的业务影响。
风险 =威胁 *脆弱性
风险管理:识别并评估风险,将风险降低至可接受水平 (目标) 并确保能维持这种水平的流程。这个水平取决于组织、资产价值、预算等。
风险管理由风险评估和风险响应组成。
有效的风险定义:
1、对概率、可能性或机会道德评估
2、每一个暴露实例
风险管理的三个层次:
1、组织视图
2、使命/业务流程视图
3、信息系统视图
风险管理流程
1、认知风险
2、评估风险
3、应对风险
4、监测风险
1.10.1.识别威胁和脆弱性
1、漏洞(脆弱性)
资产、防护措施、控制措施中的弱点和缺失,是使威胁能够造成损害的缺陷、漏洞、疏忽、错误、局限性、过失、薄弱环节。
漏洞是固有的,一切事物都有漏洞。
( 1)信息
包括静止状态数据、传输状态数据、处理状态数据。
( 2)流程
对于标准化流程,可以通过业务流程攻击 B PC 进行攻击,通常针对金融机构。
可将业务流程漏洞看作一种特定的软件漏洞。
(3)人员
是公认的安全链条中最薄弱的一环。
1、社交工程
2、社交网络
3、口令爆破
2、威胁
可能对系统或组织造成损害的意外事故的潜在原因。可来自内部或者外部。
威胁向量:指攻击者为了造成伤害而访问目标时所采用的路径或者手段。如电子邮件、网页浏览、外部驱动器、WiFi网络、物理访问、移动设备等。
威胁代理/主体:人员、硬件、程序、系统,威胁主体使用威胁来危害目标。
(1)网络犯罪分子(最常见)
(2)民族国家行为方
(3)激进黑客主义分子
(4)内部行为方(疏忽大意或恶意),使用零信任应对。
(5)自然灾难(更具破坏性)
3、暴露
指威胁导致资产受到破坏的可能性。但并不意味着一个真实的威胁正在发生,而仅表示有发生损害的可能性。
4 、暴露因子 E F
表示如何已发生的风险对组织的某个特定资产造成破坏,组织将因此遭受的损失百分比。也可称为潜在损失。
5 、风险
威胁利用脆弱性对资产造成损害的可能性或概率以及可能造成损害的严重程度。
风险=威胁*脆弱性
1.10.2.风险评估/分析
风险评估RA是一种常用的风险管理RM工具和方法,能识别漏洞和威胁,评估可能的影响,从而确定如何实现安全控制措施。实施风险评估后,将分析结果,风险分析RA通过详细检查风险组成部分,确保安全防护措施效果。风险分析可以帮助企业对风险进行优先级排序,并以合理的方式向管理层展示用于防范这些风险的资源数量。
1、风险分析目标
(1)识别资产及其对组织的价值并为其赋值。
(2)确定威胁利用漏洞的可能性
(3)确定这些潜在威胁的业务影响
(4)在威胁的影响和安全对策的成本之间达到经济平衡
(5)识别风险(基于资产-威胁组合)并按重要性进行优先级排序。
2、风险评估团队的任务
(1)创建详细描述资产估值的报告
(2)高管应该审查然后接受资产估值清单
(3)高管据此确定风险管理项目的范围(范围由组织的监管合规要求和预算限制决定)
3、风险评估好处
(1)有助于集成安全计划目标和组织的业务目标
(2)有助于合理制订安全计划及其组成部分的预算
4 、资产评估
资产的实际价值取决于该资产对整个组织的重要性,资产的价值应该反映资产实际受损时可能产生的所有可确认成本。资产评估有助于理解可能的损失,以及在预防这些损失方面可能需要投入的资金。
5 、风险评估团队
风险评估/分析主要是高层管理人员的职责,但实际任务一般会被分配给IT和安全部门的团队。
高管负责通过定义工作的范围和目标来启动和支持风险分析和评估。所有风险评估、结果、决策和产出都必须得到高层管理人员的理解和批准。
团队成员包括来自大多数部门或者所有部门的人员,以确保识别和处理所有威胁。不同部门的人员了解本部门的风险。
6、风险分析方法
通过成本/收益比较,比较安全控制措施的年化成本与潜在损失成本。如果控制措施的年化成本超过损失的年化成本,就不应该实施控制措施。
漏洞评估不同于风险评估,漏洞评估只是发现漏洞,风险评估是计算威胁利用漏洞的可能性以及产生的相关业务影响。
( 1)自动风险分析
使用工具进行,旨在减少风险分析任务的手工工作量,快速完成复杂的计算任务,估计未来的预期损失,并确定所选安全对策的有效性和效益。
( 2)定量风险分析
单次预期损失SLE=资产价值(AV)*暴露因子(EF)
年度预期损失ALE= SLE*年度发生率(ARO)
暴露因子EF:表示发生的威胁可能对某一资产造成损失的百分比。基于历史数据和行业经验推测得出。
年度发生率ARO:表示在12个月内发生特定威胁的估计频率。
( 3)定性风险分析
对风险可能性的不同**情景(场景)**展开分析,并基于不同的意见对威胁的严重程度和可能采取的不同安全对策的有效性排序。
场景:对单个主要威胁的书面描述。重点描述威胁如何产生,以及可能对组织、it基础机构和特定资产带来哪些影响。
技术:
1、判断
2、最佳实践
3、直觉
4、经验
5、Delphi:集体决策方法,保证每位成员都将自己对某个特定威胁所带来后果的真实想法表达出来。帮助所有人以独立、匿名的方式表达意见并达成共识。
6、头脑风暴
7、情节串联
8、调查
9、问卷
10、检查清单
11、一对一会谈
12、访谈
|-------------------------------------|-------------------------------------|
| 定量分析 | 定性分析 |
| 需要更复杂计算,管理层可能难以理解数值是如何产生的。 | 不需要计算 |
| 更易于自动化和评价,但如果没有自动化工具,将很难实现计算过程。 | 涉及大量猜想工作 |
| 需要更多的前期工作来收集系统环境的相关详细信息 | 提供风险的一般领域和指标 |
| 提供成本/收益分析 | 放弃为成本/效益分析建立货币价值的机会。 |
| 使用独立可验证的和客观的衡量标准 | 评估方法和结果是主观的和基于个人观点的。 |
| 指明在一年之内可能招致的明确损失 | 提供最了解流程的员工的意见。 |
| 用于风险管理绩效跟踪 | 因为没有使用货币价值,很难基于结果制定安全预算。 |
| 没有现成可用的统一标准,每家供应商解释其评估流程和结果的方式各不相同。 | 没有现成可用的统一标准,每家供应商解释其评估流程和结果的方式各不相同。 |
| 有形资产可用定量方法评价 | 无形资产可用定性方法评估。 |
(4)从关注威胁开始
优点:可考虑更广泛的有害性问题,而不仅限于资产范畴。
缺点:耗费时间精力收集组织不需担心的威胁。
( 5) 从关注资产开始
优点:可发现全部组织资源
缺点:耗费时间精力评估价值非常低和风险极低的资产。
7、风险评估框架
( 1)NIST SP 800-30
讲述信息系统威胁,如何与信息安全风险关联。主要关注计算机系统和IT安全问题。只关注企业运营层面而非较高战略层面。
1、准备评估
2、执行评估。
A)确定威胁源和事件
B)识别漏洞和诱发条件
C)确定发生的可能性
D)确定影响的大小
E)确定风险
3、沟通结果
4、维护评估
( 2)简化风险分析流程FRAP
定性评估。只关注真正需要评估的系统,减少成本和时间费用。不支持计算风险利用概率和年化损失期望的想法,团队成员的主观经验决定了风险的重要性。
( 3)运营关键威胁、资产和漏洞评价OCTAVE
① 定性 风险评估方法
②只关注 风险评估
③采用 研讨会 形式
以团队为导向的风险管理方法。组成风险评估团队的成员要经过几轮研讨会,组织方帮助团队成员理解风险管理方法,以及业务运营部门识别漏洞和威胁的方法,强调自我导向的团队方法。
④专注于 速度
在风险分析中聚焦最关键资产,对关注领域的优先级予以排序,并遵循二八定律,将80%的结果归于20%的原因。
⑤三个阶段
1、组织化视图 。分析团队基于对业务至关重要的资产定义威胁概况。
2、查看组织的技术基础架构,识别可能遭这些威胁利用的漏洞
3、团队分析每个风险并将这些风险划分为高、中、低三类,为每个风险制定缓解策略。
与FRAP相比,OCTAVE评估的范围非常广泛。FRAP只用于评估系统或应用程序,而OCTAVE可用于评估组织内的所有系统、应用程序和业务流程。
与FRAP相比,其评估范围非常宽泛。FRAP只用于评估系统或应用程序,而OCTAVE可用于评估组织内的所有系统、应用程序、业务流程。
( 4 )信息风险要素分析FAIR
需要更多的专业知识和资源,不适合小团队。
①唯一的 定量 风险分析
② 用于理解、分析和衡量信息风险的专有框架
③ 使用前提
相比于威胁发生的可能性,更关注威胁发生的量化概率。
④ 侧重于更精确地衡量事故的概率及其影响
(5)故障模式与影响分析FMEA
通过结构化流程确定功能、识别功能失效、评估失效原因及其失效影响的方法,用于产品研发和运营环境中。目标是识别最容易出故障的环节,并修复可能导致这个问题的缺陷,或者实施控制措施降低问题的影响。
使用失效模式(资产出故障或者失效)和影响分析(故障或者失效所带来的影响)。
FMEA最初用于系统工程,目的是检查产品中潜在的失效以及涉及这些失效的流程。
现在用于风险管理,是因为随着企业对风险理解的不断深入,其细节、变量要素和复杂性都在快速增加,随着企业的风险意识(细化到战术和运营层面)不断增强,这种识别潜在隐患的系统化方法正在发挥着越来越大的作用。
(6 )故障树分析
首先,以一种不希望发生的影响或者后果作为逻辑树的根部或顶层事件,然后将可能造成这种影响的每种情形作为一系列逻辑表达式添加到树中,最后使用与故障可能性有关的具体数字标记故障树。
是检测复杂环境和系统中可能发生的故障的有用方法。
1.10.3.风险响应
包括使用成本 /收益分析的方式评估风险控制措施、防护措施和安全控制,根据关注事项和优先事项调整评估结果,并在向高级管理层汇报的报告中给出建立的响应方案。根据管理决策和指导,将所选择的响应措施部署到IT基础设施中,并在安全策略文档中进行说明。
1、转移风险
购买保险、外包。
2、规避风险
终止引入风险的活动,是选择替代的选项。
3、缓解风险
部署防火墙、开展信息安全意识宣贯培训、启用入侵检测系统、实施其他类型的控制措施。将风险降低至业务运营可接受的水平。
4、接受风险
确保不是盲目接受风险。
5、威慑风险
对可能违反安全和策略的违规者实施威慑的过程。目的是说服威胁主体不进行攻击。包括实施审计、安全摄像头、警告横幅、安保人员等。
1.10.4.选择与实施控制措施
组织实施安全对策的原因是为将风险整体降至可接受水平(缓解风险)。没有任何一个系统或者环境是百分百安全的,意味着总有一些处理之后剩余的风险。此类风险称为残余风险(接受风险)。
总体风险=威胁*漏洞*资产价值
残余风险=总体风险*控制措施差距=总体风险-安全对策
安全对策:是一种缓解风险的方法,可将特定风险降低至可接受的水平。
安全对策=控制措施=保护措施=安全机制=保护机制
保护措施对组织的价值=实现保护措施前的ALE-实现保护措施后的ALE-保护措施每年的成本ACS
在安装新的安全产品、人力节省、与现有安全产品如带宽等的冲突。
1.10.5.适用的控制类型(如预防、检测、纠正)
1、行政性控制措施
面向管理,也称为软性控制措施。包括:
(1)安全文档如策略、标准、程序等
(2)风险管理
(3)人员安全
(4)安全意识和培训
(5)数据分类和标签
2、技术性控制措施
也称为逻辑性控制措施,由软件或者硬件组成。包括:
(1)防火墙
(2)入侵检测系统
(3)加密技术
(4)身份识别
(5)身份验证
3、物理性控制措施
用于保护基础设施、人员和资源、警卫、锁、围墙和照明。
正确使用这些控制措施才能为组织提供深度防御体系。
深度防御体系:以分层方式综合使用多种类型的安全控制类型,能将攻击方的渗透成功率和威胁降低至最低。
4、预防性控制措施
(1)策略和工作程序(行政性)
(2)有效招聘(行政性)
(3)背调(行政性)
(4)受控解聘(行政性)
(5)数据分类分级和标签(行政性)
(6)安全意识宣贯(行政性)
(7)工作证、磁卡(物理性)
(8)警卫和警犬(物理性)
(9)围墙、锁和双重门(物理性)
(10)口令、生物识别技术和智能卡(技术性)
(11)加密技术、安全协议、回拨系统、数据库视图、受限用户界面(技术性)
(12)防恶意代码软件、访问控制列表、防火墙、入侵防御系统(技术性)
5、检测性控制措施
在活动发生之后才运行的,并且只有在活动发生后才能发现活动。
(1)警卫(物理性)
(2)移动检测器(物理性)
(3)闭路电视监控系统(物理性)
(4)监视和监督(行政性)
(5)职责轮换(行政性)
(6)调查(行政性)
(7)审计日志(技术性)
(8)IDS(技术性)
(9)防恶意软件工具(技术性)
6、纠正性 控制措施
会修改环境,使系统从发生的非预期的或未经授权的活动中恢复到正常状态。
(1)警卫(物理性)
(2)工作站镜像(技术性)
7、威慑 性 控制措施
类似于预防性控制措施,但需要说服个人不采取不必要的行动。
(1)警卫(物理性)
(2)照明(物理性)
(3)职责轮换(行政性)
8、恢复 性 控制措施
是纠正控制的拓展,但具有更高级、更复杂的能力。
(1)异地基础设施(物理性)
(2)数据备份(技术性)
9、补偿 性 控制措施
可以是另一个控制的补充或者替代选项,可以作为提高主要控制有效性的一种手段,也可以作为主要控制发生故障时的替换或故障转移选项。
(1)异地基础设施(物理性)
(2)安全策略(行政性)
(3)监视和监督(行政性)
替代性控制措施,能与原本的控制措施提供类似的保护功能,因为其更经济实惠或允许特定需求的业务功能而不得不使用。
1.10.6.安全控制措施评估SCA
组织为了将风险降低到可接受的水平而选定了各种控制措施,应该确保其切实生效。
为了确保其切实生效,应该使用控制措施评估。
SCA可作为渗透测试或者漏洞评估的补充内容,或者作为完整的安全评估被执行。
控制措施评估:是根据基线或者可靠性期望对一项或者多项控制措施的评价,以确定其正确实施、按预期运行和产生预期结果的程度。
目的:
1、检查控制措施实施方式是否正确
2、检查控制措施是否按预期运行
3、检查控制措施是否产生了预期的结果(如降低风险)
4、检查控制措施是否违反了隐私政策和法规
1.10.7.持续监控风险和测量风险
安全控制提供的收益应该是可被监视和测量的。
风险持续监测 R M是发现新风险、重新评价现有风险、移除没有意义的风险,以及在将所有风险降低至可容忍水平方面,不断评估控制措施的有效性的持续流程。
风险监测活动应该集中在三个关键领域:有效性、变更和合规性。
1、有效性监测
(1) 目的
1、衡量控制措施有效性是否下降
2、衡量组织面临风险是否上升
(2 )方式
1、按严重程度跟踪安全事故的数量。
2、建立一个常设小组如威胁工作组TWG,成员由组织所有主要部门的成员组成。定期检查已知威胁和旨在缓解这些威胁的控制措施。
2、变更监测
影响组织整体风险的变更主要有两个来源:信息系统和业务。通常组织会成立一个变更顾问委员会CAB,负责审查和批准变更。
3、合规性监测
(1)法律、法规、政策要求的变化,对组织产生重大影响。
(2)对审计结果做出响应。
1.10.8.风险报告
是风险管理特别是风险持续监测的基本组成部分,其可以支持组织决策、安全治理和日常运营,对于合规性也很重要。
受众群体:高管、经理、风险所有方。
1、高管
高管关注:
(1)是否可适当降低风险
(2)是否需要改变组织战略
(3)目前组织面临的最大风险
(4)正在采取哪些措施应对这些风险
(5)已经接受的风险及潜在影响
使用风险热度图向高管汇报。确保领导能一目了然获得需要的信息,以便决定是否需要调整战略。集中讨论重要话题。
2、经理
关注
(1)当前的风险及其发展趋势
(2)风险在增加还是在减少及其原因
(3)进展是否迟滞及其原因
(4)谁是风险所有方
(5)如何做才能应对风险
(6)当前方法可能无效的原因
可以使用风险管理仪表盘、电子表格生成图表、幻灯片。
3、风险所有方
负责管理单个风险的工作人员,是最需要详细报告的内部受众。
风险所有方在应对特定风险时接受管理层的指导。
4、内容
(1)已识别的风险
(2)评估这些风险的严重性并确定其优先级
(3)制订响应措施以减少或消除风险
(4)跟踪风险缓解的进度
5、形式
(1)风险登记册
(2)风险矩阵
(3)风险热图
1.10.9. 持续改进
1 、持续改进
是识别机会、缓解威胁、提高质量、减少浪费的持续努力,是组织成熟有效的标志。
定期重新评估风险,如果风险状况保持稳定且实施的保护措施运转良好,则风险得到了适当的缓解,定期的风险管理监测可支持信息安全风险评级。
包括:漏洞分析、持续的资产识别和评估。
2、 风险成熟度模型RMM
成熟度模型是用于确定组织持续改进能力 的工具。从成熟、可持续、可重复方面评估风险管理流程的关键指标和活动。
|--------|----------|-------------------------------------------------|
| 级别 | 成熟度 | 特征 |
| 0 | 没有风险管理 | |
| 1 | 初始级 | 风险活动是由事件触发的临时举动,且控制不力。 |
| 2 | 可重复(预备级) | 具有文档化的程序。并且大部分得到遵守 |
| 3 | 定义级 | 具有标准化的框架 、工具和方法得到一致实施 |
| 4 | 管理(集成级) | 在风险管理及计划中使用定量的方法,风险管理操作被集成到业务流程中,收集有效性指标数据。 |
| 5 | 优化级 | 数据驱动的创新在整个组织中得到贯彻。 |
1 .10.10.风险管理框架
框架就是将治理、风险、合规融合成可执行的流程。
1 、 NIST RMF ( 风险管理框架 )
面向美国联邦 政府实体的强制性要求,描述了风险管理流程的七个步骤。
( 1)准备
1、同步:确保战略和运营层面的顶级管理层和高级领导在整个组织中保持同步,包括就角色、优先级、约束条件、风险容忍度等方面达成一致。
2、有组织:实施有组织的风险评估活动,为整个团队沟通战略风险提供共同的参考点。
3、识别资产:风险评估活动的成果之一是识别后续所有风险管理工作重点关心的高价值资产。
( 2)分类
基于由组织内的信息所处理、存储或者传输信息的关键和敏感程度,对组织的信息系统分类。
安全类别SCx={(机密性,高),(完整性,低),(可用性,低)},最终x的安全类别结果为高。
( 3)选择
选择用于保护该系统的安全控制措施,这些控制措施需要经过定制才能适用于系统。
NIST RMF定义了三种安全控制措施类型:通用控制措施、系统特定控制措施、混合控制措施。
1、通用:指的是适用于多个系统并独立存在于各系统边界之外的控制措施。
2、特定:在特定系统边界内实施,而且只保护该特定系统。
3、混合:部分通用、部分特定的控制措施。
( 4)实施
1、实施
2、文档记录
文档记录的两个作用:
1、让组织了解当前安全控制措施的内容、位置、原因
2、可将安全控制措施完全集成到全局评估和持续监测计划中
( 5)评估(确认)安全控制措施
评估方案需要由授权的管理层人员实施审查和批准并贯彻执行。
评估确定安全控制措施是否有效,如果有效则将结果记录在报告中作为下一次评估的参考。如果无效则将结果记录并记录采取的补救措施和重新评估后的结果。
( 6)授权(报告)信息系统
将信息系统的风险和控制评估结果呈送给适当的决策方,获得将该系统连接到组织全局架构中运行的批准。授权一般有时间期限,期限与操作方案和对应的里程碑有关。
侧重于根据组织运营和资产、个人、其他组织和国家地区的风险是否合理来确定系统或者通用控制是否合理。
( 7)监测安全控制措施
定期查看并确定所有控制措施的有效性和新的风险点。
2、ISO 27005信息安全风险管理指南
相比RMF范围更广。相比RMF明确将风险沟通作为重要过程。
流程的第一步是设置场景。
不专注于降低风险的控制措施,而是描述了处理风险的四种对策。
(1)缓解
( 2)接受
类似于RMF的授权。
( 3)转移
(4)规避
1 .11 理解与应用威胁建模的概念和方法
描述特定威胁源可能对资产造成的不利影响的流程。
只考虑合理的威胁,否则会分散组织的资源,无法有效保护重要资产。重点是分析威胁对组织资产的潜在影响。指定特定的威胁源来部署有效的方法阻止威胁,为了理解攻击的行为,安全专家应了解攻击方的能力和动机。
威胁建模的力量在于:安全人员能基于其所属的组织和组织所在的区域,密切关注特定 的行动方和特定的技术。
威胁建模可简化敌对方的一些活动,这样防御方就能深入了解真正重要的部分。
典型的威胁建模工作从识别组织的威胁行为方开始。
1、 为什么使用威胁建模
(1)为什么有人要针对组织?
动机是组织的资产清单。
( 2 )如何才能实现攻击方的目标?
通过主动检查ATT&CK等框架的40多种技术和13种工具得到攻击方的战术、技术和程序TTP。
( 3 )攻击方会在何时何地发起攻击?
2、好处
1、是识别、分类和分析潜在威胁的安全过程。
2、可被当作设计和开发期间的一种主动措施 来执行,也可作为产品部署后的一种被动措施来执行。
3、识别潜在危害、发生的可能性、关注的优先级以及消除或减少威胁的手段。
4、不是一个独立事件。
5、组织在系统设计过程的早期就开始进行威胁建模,并持续贯穿于系统的整个生命周期。(如微软的安全开发生命周期SDL)过程在产品开发的每个阶段考虑和实现安全。这种做法支持设计安全、默认安全、部署和通信安全,即SD3+C。
目标是:
1)降低与安全相关的设计和编码的缺陷数量
2)降低剩余缺陷的严重程度
3、类型
(1)防御式(主动)威胁建模
发生在系统开发的早期阶段,特别是在初始设计和规范建立阶段 。这种方法基于在编码和制作过程中预测威胁和设计针对性防御措施。
(2)威胁狩猎(被动)威胁建模
也叫对抗性方法 。它用于解决在设计阶段没有被预测到威胁。一般发生在产品创建与部署后 (该表述适用于在测试或实验室环境中或通用市场中)。这种威胁建模技术是渗透测试、源代码审查和模糊测试的核心概念。这种方法的优点是可以追加安全处理的方法,缺点是这种方法一般通过发布补丁来实现,降低了用户友好性和功能。
(3 ) 模糊测试FUZZ
是一种专用的动态测试技术,向软件提供许多不同类型的输入,以强调其局限性并找出以前未发现的缺陷。
1. 11 .1.识别威胁
使用结构化的方法来准确识别相关的威胁。
组织受到的潜在威胁是多样的,公司面临着源于自然环境、技术和人员的威胁,应始终考虑组织的活动、决策、交互行为可能带来的最佳结果和最糟结果。
识别威胁是设计防御以帮助减少或消除停机、危害和损失的第一步。
1、关注资产
利用资产评估结果,识别有价值的资产面临的威胁。
2、关注攻击者
识别潜在攻击者,并能根据攻击者的动机、目标或策略、技术和程序TTP来识别其所代表的威胁。
3、关注软件
如果组织开发了软件,就需要考虑软件受到的潜在威胁。
通常将威胁与脆弱性结合起来,以识别能够利用资产并对组织带来重大风险的威胁,威胁建模的最终目标是对危害组织有价值资产的潜在威胁进行优先级排序。
1 .11.2.方法
1 、微软STRIDE
当尝试对威胁进行盘点和分类时,可以使用指南或参考。STRIDE是欺骗、篡改、否认、信息泄露、拒绝服务、特权提升的首字母缩写。
1)欺骗Spoofing
通过使用伪造的身份获得对目标系统的访问权限的攻击行为。当攻击者将他们的身份伪造成合法的或授权的实体时,他们通常能够绕过针对未授权访问的过滤器和封锁。
2)篡改Tampering
对传输或存储中的数据进行任何未经授权的更改或操纵的行为。
3)否认Repudiation
用户或攻击者否认执行动作或活动的能力。可能导致无辜的第三方被指责违反安全规定。
4)信息泄露Information Disclosure
将私有、机密或受控信息泄露或发送给外部或未经授权的实体。
5)拒绝服务DoS
该攻击试图阻止对资源的授权使用,这类攻击可通过利用缺陷、过载连接或爆发流量来进行。
6)特权提升Elevation of Privilege
将权限有限的用户账户转换为具有更大特权、权利和访问权限的账户。
2 、攻击模拟和威胁分析过程PASTA
以风险为核心,旨在选择或开发与要保护的资产价值相关的防护措施。有7个阶段。
(1)为风险分析定义目标
(2)定义技术范围DTS
(3)分解和分析应用程序ADA
(4)威胁分析TA
(5)弱点和脆弱性分析WVA
(6)攻击建模与仿真AMS
(7)风险分析和管理RAM
PASTA的每个阶段都有相应的目标和交付物的特别目标清单。
3 、可视化、敏捷和简单威胁VAST
基于敏捷项目管理和编程原则的威胁建模概念
目标:在可扩展的基础上将威胁和风险管理集成到敏捷编程环境中。
4 、洛克希德马丁网络杀伤链
描述识别目标、确定攻击最佳方法、集中攻击资源、实施攻击和摧毁目标的流程。阐述了威胁行为方为实现其目标应完成的步骤。
研发此模型的主要目的之一是帮助防御方将防御措施映射到各个阶段,用于检测、拒绝、破坏、降级、欺骗或遏制行动。
防御方通过识别网络攻击每个阶段对抗活动的指标,监测活动并评估各个阶段的防御措施是否有效。7个阶段。
1)侦察
攻击方选择目标,研究并试图找到目标网络中的漏洞
2)武器化
攻击方适配现有的远程访问恶意软件武器,或创建新武器,专门针对上一个步骤中找到的一个或多个漏洞。
3)传送
攻击方将武器传送到目标如电子邮件附件、指向恶意网站的链接或USB驱动器。
4)利用
触发恶意软件武器,利用一个或多个漏洞对目标采取行动并破坏主机。
5)安装
恶意软件武器安装可供攻击方利用的接入点。
6)命令和控制
恶意软件使得攻击方通过把手放在键盘上的方式永久访问目标网络。
7)采取行动
攻击方采取行动达到目标,如泄露数据、销毁数据或加密勒索。
5、 MITRE ATT&CK框架
MITRE公司研发的对抗性、技术和通用知识库,作为威胁行为方使用的战术和技术综合矩阵。ATT&CK是一种广泛使用的工具,使用可重用的通用组件构建包含复杂活动和操作的模型。
该威胁建模框架提供了网络威胁行为方遵循的详细程序。
是一个综合的战术矩阵和模拟网络攻击的技术。
6、 攻击树
显示攻击方的单个操作如何链接在一起达到目标的图表。成功的攻击是攻击方从叶节点一直遍历到树根,即最终目标。
攻击链和杀伤链是一种特定类型的攻击树,没有分支,只是从一个阶段或操作到下一个阶段或操作。使用攻击树能显示攻击方攻击目标的多种方式,更具表现力。
为组织生成攻击树需要非常大的资源投入,每个漏洞-威胁-攻击路径三元组都可使用攻击树的方式详细描述。
1)减少组织考虑的攻击数量
2)找到缓解或消除这些攻击的技术。控制措施离根节点越近,就越能有效地缓解针对叶节点的攻击,也就能容易找到保护整个组织的最有效技术,这些技术通常称为控制措施或安全对策。
1. 11.3 .确定和绘制潜在的攻击
威胁建模的第二步。
通过创建事务中的元素图表及数据流和权限边界来完成。
对于复杂的系统,需要创建多个图表,关注不同的焦点并对细节进行不同层级的放大。
一旦绘制出图表,就要确定涉及的所有技术,接下来,要确定针对图表中每个元素的攻击。要考虑所有攻击类型,包括逻辑\技术、物理和社会攻击。
1. 11.4 .执行简化分析
威胁建模第三步。
简化分析也叫分解应用程序、系统或环境(考虑PASTA中的第三步ADA)。
目的:更好理解产品逻辑、内部组件及其与外部元素的交互。
更容易识别每个元素的关键组件,并注意到脆弱性和攻击点。
应用程序、系统、网络、整个环境、软件、计算机、操作系统、业务基础结构,都需要被分解成更小的容器或单元。如子程序、模块、客体、协议、部门、任务等。
为理解输入、处理、信息安全、数据管理、存储和输出,应该对每个已识别的子元素进行评估。
在分解过程中,必须确定五个关键概念:
1、信任边界
信任级别或安全级别发生变化的位置。
2、数据流路径
数据在两个位置之间的流动
3、输入点
接收外部输入的位置
4、特权操作
需要比标准用户帐户或流程拥有更多特权的任何活动,通常需要修改系统或更改安全性。
5、安全声明和方法的细节
关于安全策略、安全基础和安全假设的声明。
1. 11.5 .优先级排序、定级和响应
威胁建模第四步。
可用方法:
1、概率*潜在损失排序技术
生成一个代表风险严重程序的编号。
编号范围为1-100,100代表可能发生的最严重风险
初始值范围为1-10,其中,1最低,10最高。
比较主观,尽量一个人或一个团队定义才比较准确。
2、高/中/低评级过程
创建一个基本的风险矩阵或风险热图。
目的:帮助确定关键优先级。
通过使用风险矩阵,可以为每个威胁分配一个概率和一个损害级别。当对这两个取值进行比较时,可以得到一个组合取值。HH(高概率/高损害级别)区域中的威胁是应该优先关注的,而LL(低概率/低损害级别)区域中的威胁是最后关注的。
3、DREAD评级系统
基于对每个威胁的五个主要问题的回答。
1)潜在破坏
如果威胁成真,可能造成的损害有多严重?
2)可再现性
攻击者复现攻击的过程有多复杂?
3)可利用性
实施攻击的难度有多大?
4)受影响用户
有多少用户可能受到攻击的影响(百分比)?
5)可发现性
攻击者发现弱点有多难?
1 .12 应用供应链风险管理 S CRM的概念
组织开展供应链风险管理的第一项工作是绘制供应链示意图。
1.12.1.与硬件、软件和服务相关的风险
1、硬件风险
( 1 )特洛伊木马
在电子组件中添加特洛伊木马是主要的供应链风险之一。硬件特洛伊木马是一种集成到现有设备中的电路,目的是危害设备的安全性或提供未经授权的功能。
(2)假冒组件替换正品
假冒组件的质量控制很差。
2、软件风险
( 1)特洛伊木马
如果供应商重复使用其他第三方研发的且攻击方可以访问的组件如代码存储库,则可能发生这种情况。
( 2)修改软件
3、服务风险
外包可能导致安全和数据泄露问题。
1.12.2.第三方评估与监测(第三方治理)
由法律法规、行业标准、合同义务或者许可要求强制执行的外部实体监督系统。涉及外部调查员或审计员。
对组织所依赖的第三方应用进行安全监督,验证其是否符合声明的安全目标、需求、法规和合同义务。
1、文件审查
组织需要了解其所必须遵守的所有要求的全部细节,组织应将安全策略和自我评估报告提交给管理机构,公开的文件交换确保相关各方就所有关注的问题达成共识,减少了未知需求或者不切实际的期望出现的可能。文件交换贯穿于文档审查过程。
2、 现场评估
提供一个地点所采用安全机制的第一手资料,执行现成评估或审计的人需要遵循审计协议,如COBIT,并根据一份具体需求清单进行调查。
1.12.3.最低安全要求
以现有安全策略为模板,新的硬件、软件或者服务的安全需求应该始终满足或者超过现有基础设施的安全性。
有效降低供应商给组织带来的风险的关键是:在约束双方关系的合同或者协议中明确说明各方的要求,具体如:
1、数据保护
积极的网络安全措施。
2、事故响应
事件触发的网络安全措施。
3、确认方法
客户确认上述要求的方式。
1.12.4.服务水平协议SLA
是一种合同协议,规定服务提供商应保证一定的服务水平。如果服务没有按照约定水平交付,服务提供商就需要承担相应后果,SLA提供了一种机制来缓解供应链中服务提供商带来的一些风险。
1 .13 建立并维护安全意识、教育和培训计划
1.13.1.展示意识和培训的方法和技巧
|---------------------|-----------------------|--------------------------|
| 安全意识 | 培训 | 教育 |
| 让用户将安全放到首位并认可。 | 教导员工执行他们的工作任务和遵守安全策略。 | 更详细的工作,学习的内容比工作需要的内容多得多。 |
| 组织主办,面向所有组织人员。 | 组织主办,面向具有类似岗位职能的员工群体 | 与寻求资质认证或工作晋升的用户相关联。 |
| 建立了通用的最小化的安全认知基线和基础 | 新员工入职,所有员工持续进行 | |
| 课堂上的教学演示、工作环境中的提示信息 | | |
1、安全带头人
通常是非安全人员,在开发、领导或者培训中发挥带头作用。他们负责鼓励他人支持和采用更多的安全实践和行为。
2、 游戏化
指将游戏的元素融入其他活动,如安全合规和行为改变,从而鼓励合规性和参与度。用于提升安全意识和改进培训。如夺旗演习、模拟网络钓鱼、基于计算机的培训CBT、基于角色的培训。
3、 社会工程
利用人类天性和人类行为的攻击形式。
常在社会工程中使用的原理有权威、恐吓、共识、稀缺性、熟悉、信任和紧迫性、
此类攻击可通过使用借口和前置词来获取信息或访问权限。
1、形式
1、说服某人执行未经授权的操作
2、说服某人泄露机密信息
2、攻击的结果
1、泄露私人的或机密的材料
2、对设施造成物理损坏或远程访问IT环境
3、防御方法
1、对人员进行培训,介绍社会工程攻击以及如何识别常见的攻击特征(最重要)
2、通过电话为人员执行活动时需要进行身份认证
3、定义受限信息,这些信息绝对不能通过电话或标准电子邮件等纯文本通信方式传达。
4、始终验证维修人员的身份凭证并验证是否有授权人员拨打了真实的服务电话
5、切勿在未通过至少两个独立且受信任的来源验证信息的情况下,执行来自电子邮件的指令
6、与任何不认识的人打交道时,无论是面对面、通过电话还是通过互联网,都需要谨慎行事。
4、 原理
1、权威
让目标相信攻击者是拥有有效内部或外部权限的人,方式是通过口头或特定服装和制服。
如:一封使用伪造CEO电子邮箱发送的电子邮件通知员工,他们必须访问特定的通用资源定位器来填写重要的人力资源文档,当受害者盲目执行时,则可能导致目的达成。
2、恐吓
权威的衍生。利用权威、信任甚至威胁伤害来推动某人执行命令或指示。其重点是在未明确定义的操作或响应指令的情况下利用不确定性。
如:如果在之前的邮件中增加一条:如果员工不及时填写表格,将面临处罚。
3、共识
利用人的自然倾向的行为。
如:调酒师经常在他们存放小费的罐子里放一些钱,看起来好像是之前的客户对他们的服务很赞赏,在这项社会工程原理中,攻击者试图让受害者相信,为了与社会规范或以前发生过的事件保持一致,特定的行为或响应是必要的。
如:攻击者声称当前不在办公室的一名员工曾承诺在购买时提供很大的折扣,并且现在必须与作为销售人员的你进行交易。
4、稀缺性
如:攻击者声称你最喜欢的球队的最后一场比赛只剩下两张门票,如果观赏比赛的是其他人而不是你,那就太遗憾了,如果你现在不购买门票,就会失去观赏机会,这一原则通常与紧迫性原理相关。
5、熟悉
试图利用一个人对熟悉事物的固有信任,攻击者经常试图表现出与目标人员有共同的联系或关系,如共同的朋友或经历,或者使用外观来假冒另一个公司或个人的身份。
如:一个攻击者使用钓鱼攻击,并将来电ID伪造为医生办公室。
6、信任
如:当你在街上走的时间,一个攻击者走近你,此时他似乎从地上捡起一张100美元的钞票,攻击者希望与你平分,但需要你来找零,你这样做了之后,才发现钱是假的。
7、紧迫性
与稀缺性相呼应。
如:攻击者通过商业电子邮件泄露BEC使用发票诈骗来说服你立即支付发票,理由是基本的商业服务即将被切断,或者公司将被报告给收款机构。
1.13.2.定期内容评审
当发生以下情况时
1、添加、更改或终止安全策略
2、发生重大事故或归纳出某类事故的模型,可通过提高安全意识避免或减轻这类问题
3、发现了一个极其严重的新威胁
4、信息系统或安全架构发生了重大变化
5、评估安全意识宣贯培训计划时发现了不足之处
1.13.3.计划有效性评估
通过培训前后的衡量,判断安全培训计划在改善组织的安全状况方面是否有效。