CISSP学习笔记——第一章:实现安全治理的原则和策略
第1章 实现安全治理的原则和策略
考纲:
1 | |
1 理解和应用安全概念
保密性、完整性和可用性(confidentiality,intergrity,availablility,CIA三元组)被视为安全基础架构中主要的安全目标和宗旨。
| 属性 | 🚩 保密性 | 🚩 完整性 | 🚩可用性 |
|---|---|---|---|
| 概念 | 保护数据、客体或资源未授权访问 | 防止未授权主体的修改 防止授权主体不恰当的修改信息 保证内部一致性(存储在系统里的冗余信息要保持一致)和外部数据的一致性(客体的数据能够真实反映现实世界,也就是说与外部真实情况保持一致) |
确保授权用户能用访问其所需的信息和功能,或确保授权用户对数据和资源访问的可靠性和及时性 |
| 破坏相关属性的因素 | 持续监测系统、实施肩窥攻击、盗取口令文件、破解加密技术、社会工程学攻击 | 系统植入病毒、预留逻辑炸弹、安置后门 | 自然灾害、环境因素、DDOS攻击 |
| 安全措施 | 数据加密(整个磁盘、数据库加密)、传输层加密(IPSec、SSL、TLS、SSH)、访问控制(物理控制和技术控制)和数据分级、身份认证、数据安全保护培训 | hash值验证(数据完整性)、入侵检测、配置管理(系统完整性)、变更控制(过程完整)、访问控制(物理控制和技术控制)、网络传输循环冗余校验功能(CRC)、数字签名、🚩代码签名(主要作用是保护代码的完整性,不是抗抵赖)等 | 🚩冗余磁盘整列(RAID)、负载均衡、备份系统、集群系统、回滚功能、故障转移、位置和场外设施、磁盘映像,故障转移配置 |
| 对立面 | 泄露(D) | 修改(A) | 破坏(D) |
1.1 真实性、不可否认性和AAA服务
(1)真实性:指数据是可信的或非伪造的并源自其声称的来源(跟完整性相关)
(2)不可否认性:确保事件的主体或引发事件的人不能否认事件的发生
实现方式:用数字证书、会话标识符、事务日志和访问控制等
不可否认性是问责制的重要组成
(3)AAA服务(身份认证、授权、记账):代表了五项内容
1)标识:试图访问受保护的区域或系统时声明自己的身份。(唯一性)
2)身份认证:证实身份(有效性)
3)授权:对一个具体身份或主体定义其对资源和客体的访问许可(如允许/授予和/或拒绝)。
4)审计:记录与系统和主体相关的事件与活动日志。
5)记账(问责制):通过审查日志文件来核查合规和违规情况,对违反组织安全策略的进行问责。
1.2 保护机制
| 保护机制 | 描述 |
|---|---|
| 纵深防御 | 纵深防御又称为:分层、分类、分区、分域、隔离、孤岛、分段、格结构和保护环 概念:简单使用一系列控制中的多个控制,一个控制的失效不会导致系统或数据暴露。即串行层 🚩纵深防御不仅是 技术层面的,也包括物理层面的防御 纵深防御的缺点:增加系统的复杂性 |
| 抽象 | 将相似的元素放入组、类或角色中,作为集合分配安全控制、限制或许可等 目的是提高效率、简化安全。 |
| 数据隐藏 | 概念:将数据存放在主体无法访问或读取的逻辑存储空间以防止数据被泄露或访问。 形式:防止未授权访问、限制低安全级别访问高安全级别、阻止应用程序直接访问存储硬件、隐写术 |
| 加密 | 详见第六章和第七章 |
2、安全边界
概念:具有不同安全要求或需求的任意两个区域、子网或环境之间的交界线,一旦确定安全边界,就必须部署机制来控制跨该边界的信息流。
3 评估和应用安全治理原则
安全治理的目的是将组织内使用的安全流程和基础设施与从外部获得的知识进行对比
安全治理一般通过董事会执行,董事会成员可以使用他们丰富的经验和智慧为其监督的组织提供改进指导。
注意:安全治理是安全需要在整个组织中进行管理和治理,而不只是在 IT 部门。
🚩业务战略驱动安全战略和IT战略
3.1 第三方治理
🚩安全治理是对安全管理指明方向,也就是说治理是管理的管理
第三方治理是能由法律、法规、行业标准、合同义务或许可要求强制执行的外部实体的监督系统。
对组织所依赖的第三方应用进行安全监督;
第三方治理侧重于验证其是否符合声明的安全目标、需求、法规和合同义务。通过文件审查进行
3.2 文件审查
文件审查是查看交换材料并根据标准和期望对其进行验证的过程。如果未提供足够的文件来满足第三方治理,可能导致操作授权ATO失效。
文件审查的一部分是根据标准、框架和合同义务对业务流程和组织策略进行逻辑和实际的调查
3.3 信息安全管理
信息安全管理成败的两个因素:技术和管理
4 管理安全功能
通过风险评估来安全管理最直接清晰的示例。
4.1 与业务战略、目标、使命和宗旨相一致的安全功能
| 安全管理计划 | 描述 |
|---|---|
| 计划内容 | 定义安全角色,规定如何管理安全、由谁负责安全以及如何检验安全的有效性,制订安全策略,执行风险分析,要求对员工进行安全教育 安全管理计划团队制定计划 |
| 方法 | 🚩组织的信息安全建设应该按计划行事,安全管理计划应该自上而下 高层领导负责组织和决策 中层管理者负责将安全策略落实到标准、基线中,并监控执行 技术人员负责实施 最终用户负责遵守组织的所有安全策略。 自下而上:IT人员直接做出安全决策(了解即可) |
| 战略计划 | 战略计划(strategic plan)是一个相对稳定的长期计划,一般为5年,定义组织安全目的和安全功能。安全策略(policy)属于战略计划 |
| 战术计划 | 设定目标的更多细节,一般是一年左右,如雇佣计划、预算计划等 |
| 操作计划 | 战略计划和战术计划的基础上制订的短期、高度详细的计划,时间为月或季为单位。如培训计划、系统部署计划等 |
4.2 组织的流程
包括收购、资产剥离(注重知识产权问题)和治理委员会的组织流程。减少其相关的风险,并进行实时监督。
1 | |
使用外部服务:需要签订SLA
SLR(服务级别需求):对供应商产品(或服务)的服务和性能期望的说明,在签订SLA前期做
4.3 组织的角色和责任
🚩高级管理层(一般为CEO、CFO、COO)对组织的安全负有最终责任。
(1)执行管理层
| 执行管理层 | 职位说明 |
|---|---|
| 首席执行官CEO | CEO一般在信息安全方面应履行适度关注和适度勤勉。 |
| 首席财务官CFO | CFO主要负责组织的会计和财务等工作 |
| 首席信息官CIO | CIO主要对CEO或CFO进行汇报,负责组织内信息系统和技术的战略使用和管理,(实际操作性越来越弱,战略性质更强),CIO现在通常要横跨技术和商业两大领域,监督和负责公司的日常技术运营 |
| 首席隐私官CPO | CPO通常是一名具有隐私法经验的律师,CPO通常向CSO(首席安全官)进行汇报 |
| 首席安全官CSO | CSO主要负责组织面临的所有风险,并将这些风险降至业务可接受的水平。并开发策略、程序、基线、标准和指南,为信息安全做预算 |
| 信息安全专家 | 受高级管理层委派(通常向CIO)负责实施和维护安全,设计、实施、管理和复查组织的安全策略、标准、指南和程序,协调组织内部各单位之间所有的与安全相互的交互 |
| 安全指导委员会 | 成员由来自组织机构各部门的人员组成,包括CEO领导,同时CFO、CIO、各部门经理、首席内审员 至少每个季度召开一次会议,并有明确议程 职责: ①定义组织机构的可接受风险级别 ②确定安全目标和战略 ③根据业务需求决定安全活动的优先级 ④审查风险评估和审计报告 ⑤监控安全风险的业务影响 ⑥审查重大的安全违规和事故 ⑦批准安全策略和计划的任何重要变更 |
| 审计委员会 | 由董事会任命,帮助其审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性。 职责: ①公司财务报表以及财务信息的完整性 ②公司的 内部控制系统 ③独立审计员的雇佣和表现 ④内部审计功能的表现 ⑤ 遵守与道德有关的法律要求和公司策略 |
| 风险委员会 | 从整体上了解该组织的风险并且协助高层管理者把风险降到可接受的程度。 研究整体的业务风险,而不仅仅是IT安全风险 |
💡 CSO更具有更宽泛的职责范围,CISO往往更专注于技术,并具有IT背景。
4.4 安全控制框架
| 框架类型 | 描述 |
|---|---|
| 互联网安全中心(CIS) | 提供针对操作系统、应用程序和硬件的安全配置指引 |
| NIST 风险管理框架(RMF) | |
| NIST 网络安全框架(CSF) | |
| ISO/IEC 27000 系列 | |
| 信息技术基础设施库(Information Technology Infrastructure Library, ITIL) | IT服务管理的最佳实践(ISO/IEC 20000) 五大阶段:服务战略、服务设计、服务转换、服务运营、 持续服务改进 |
| COBIT信息和相关技术控制目标 | COBIT是关于IT治理和IT管理相关控制流程的框架。 |
| COSO《内部控制-整体框架》 | 定义了满足财务报告和披露目标的五类内控要素,即控制环境、风险评估、控制活动、信息与沟通、监控;也是很多组织应对 S0X 404法案合规性的框架 |
| Zachman框架 | 企业架构鼻祖 |
| SABSA 安全架构框架 | |
| TOGAF | AMD,开发和维护架构的框架; |
| 安全控制参考NIST800-53r5 | 信息系统和组织的安全和隐私控制 |
| 🚩ISO/IEC 27001 信息安全管理体系的标准 | PDCA模型 P计划:根据风险评估结果,法律法规要求、组织业务运作自身需要来确定控制目标与控制措施 D实施:实施所选择的安全措施 C检查:依据策略、程序、标准和法律法规对安全措施的实施情况进行符合性检查,包括安全审计、管理评审 A措施:针对检查结果采取应对措施,改进安全状况 |
| ISO/IEC 27002:2022 信息安全、网络安全和隐私保护-信息安全控制 | 包括组织控制、人员控制、物理控制、技术控制 一般使用该控制 保护知识产权 |
| ISO27004 | 信息安全绩效 |
| 🚩ISO27005 | 信息安全风险管理 |
4.5🚩 应尽关心(Due care)和尽职审查(Due Diligence)
| 原则 | 描述 |
|---|---|
| 适度勤勉 | 为了“做正确的决策”,也就是说要了解所有的风险, |
| 适度关注 | 就是“做正确的事”,应该制定安全政策、应该采取安全措施来应对风险 |
💡出现“风险”,“收集信息”,“外包决策、对供应商做评估”,“检查该做的事情有没有做”,选适度勤勉DD
出现“应该制定安全政策、应该采取安全措施”,选适度关注DC
5🚩安全策略、标准、程序和指南
🚩附加的安全:安全保护机制,是对系统进行硬件或软件改造以提高该系统的保护级别。(理解为信息系统已经运行后实施的保护机制)
| 安全文档 | 描述 |
|---|---|
| 策略/政策/方针(Policy) | 用于分配职责、定义角色、明确审计需求、概述实施过程、确定合规性需求和定义可接受的风险级别。 🚩最高管理层对信息安全承担责任的一种承诺,是战略性的, 不是强制性的,说明要保护的对象和目标 方针是充分、必要、可达成的 |
| 安全标准(Standard) | 对硬件、软件、技术和安全控制方法的一致性定义了强制性要求。如具体的管理办法和流程 |
| 基线(Baseline) | 定义了整个组织中每个系统必须满足的最低安全级别,安全基线通常是对标准的补充,基线也是强制性的。 安全基线也需要根据企业的风险偏好和风险评估的结果来设定。 |
| 指南(Guideline) | 提供了关于如何实现标准和基线的建议,指南是灵活性和推荐性的,非强制措施。 |
| 程序(Procedure) | 程序(Procedure)或标准操作程序是详细的分步实施文档,描述了实现特定安全机制、控制或解决方案所需的具体操作 |
6🚩 威胁建模
| 威胁建模 | 描述 |
|---|---|
| 概念 | 威胁建模是识别、分类和分析潜在威胁的安全过程 防御式(主动式)威胁建模:发生在系统开发的早期阶段,特别是在初始设计和规范建立阶段 被动式威胁建模:发生在产品创建和部署后 不是独立的事件, 系统设计过程早期就可以开始威胁建模,并持续贯穿于整个系统生命周期,支持SD3+C(Security by Design, Secuirty by Default,Security in Development and Communication) |
| 🚩识别威胁STRIDE | 欺骗(Spoofmg) :通过使用伪造的身份获得对目标系统的访问权限的攻击行为 **篡改(Tampering)**:未经授权的更改 否认/抵赖(Repudiation):用户或攻击者否认执行动作或活动的能力 信息泄露{Information Disclosure) 拒绝服务(DoS) : 特权提升(Elevation of Privilege) |
| 确定和绘制潜在的攻击 | 列出各种攻击类型,包括逻辑/技术、物理和社会攻击;通常通过事务处理的数据流图和权限边界来完成 |
| 执行简化分析 | 分解应用程序、系统或环境,更好地理解产品的逻辑、内部组件及其与外部元素的交互。通过系统分解后,更容易识别每个元素的关键组件的脆弱性和攻击点。 |
| 优先级排序和响应 | 对威胁进行优先级排序和定级,然后对威胁进行响应。 |
💡 模糊(fuzz) 测试是一种专用的动态测试技术,使用自动化工具向软件提供许多不同类型的输入,已强调其局限性并找出以前未发现的缺陷
7 将风险管理应用到供应链
针对供应链攻击应该进行签订SLA,并且持续的安全监控、管理和评估
如果可能,为供应链中的每个实体建立最低安全要求,新硬件、软件或服务的安全要求应始终满足或超过最终产品中预期的安全性。这通常需要对SLA、合同和实际性能进行详细审查。这是为了确保安全合同服务的规定组成部分。
当供应链组件提供商正在制作软件或提供服务(例如云提供商)时可能需要定义服务级别需求(SLR)。SLR是对供应商产品或服务的服务和性能期望的陈述。
通常,
SLR由客户/客户在制定SLA之前提供:(如果供应商希望客户签署协议,则应包含SLR的要素)
还要评估供应商,包括文档评估,现场评估和第三方审计