CISSP考试 第1章 安全与风险管理
2023-03-03 21:21:52 0 举报AI智能生成
CISSP考试第一知识域:安全和风险管理(1-4章)
作者其他创作
大纲/内容
1. 安全与风险管理基础
1.1 什么是信息
消息、信号、数据、情报、知识等
有意义的内容
信息本身是无形的,借助于信息媒体存在或传播
计算机、磁带、纸张等介质
记忆在大脑
通过网络、打印机、传真等传播
具有价值的信息,会成为企业的信息资产
具有价值的信息资产会面临很多威胁,需要予以保护
生命周期:创建-使用-存储-传递-更改-销毁
1.2 信息安全的基本目标
C(confidentiality)保密性:阻止或最小化未经授权的数据访问,确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体—Disclosure 泄露
I(Integrity) 完整性:确保信息在存储、使用、传输过程中不会被非授权篡改、防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性—Alteraton 篡改
A(Availability)可用性:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠及时地访问信息及资源—Destruction 破坏
1.3 CIA相关技术
C:对不用的数据进行加密、传输数据加密(Ipsec、SSL、PPTP、SSH)、访问控制
I:哈希运算(数据完整性)、配置管理(系统完整性)、变更管理(流程完整性)、访问控制(物理及技术完整性)、软件数字信令、CRC校验功能
A:廉价磁盘冗余阵列(RAID)、集群、负载均衡、数据冗余及电力线路、软件及数据备份、磁盘影像、同城及异地设施、ROLL-BACK、FAIL-over配置
1.4 其它相关概念和原则
标识:标识是主体申明身份和责任的过程;用户名、刷卡、近场通信、短语、刷脸、掌纹等
身份验证:验证或测试申明的身份是否有效的过程称为身份验证;密码
授权:主体通过身份验证后,进行访问授权;通过标识和身份验证并不意味着主体被授予执行任意功能或访问环境的所有资源
审计:实际或监控是追踪和记录主体的操作,以便在验证过的系统中让主体为其行为负责的程序化过程;
记账(问责制):组织的安全策略只有在有问责制的情况下才能得到适当实施;人员的问责制最终取决于身份验证过程的强度
1.5 保护机制
分层(纵深防御)
抽象
数据隐藏
加密
1.6 风险 Risk:指信息资源遭受损坏并给企业带来负面影像的潜在可能性
1.7 风险管理 Risk Management:识别风险、评估风险、采取措施将风险减少到可接受水平,并维持这个风险水平的过程
1.8 控制类型
管理控制(软性控制)
技术控制(逻辑控制)
物理控制
1.9 安全控制功能种类
威慑:打击潜在的攻击者
预防:避免发生事件
检测:确认事件的活动和潜在的入侵者
矫正:事件发生后,修复部件或系统
恢复:使环境恢复正常运作
补偿:提供可替代控制措施
1.10 GRC—治理、风险与合规
治理:通过目标、职责与控制机制来管理控制企业和分支机构
风险:识别、评估、评价、控制和监控风险,定义可接受的风险
合规:保障组织遵从法律、法规需求标准和策略等
2. 安全治理
2.1 定义:安全治理是与支持、定义和指导组织的安全工作相关的实践的集合
2.2 安全治理包括:
组织的安全目标、使命和任务
明确安全角色和职责
安全投入
信息安全架构
度量与绩效
符合性
2.3 信息安全的本质:采取措施保护信息资产,使之不因偶然或恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成地影响减到最小,确保组织业务运行地连续性
2.4 常见企业管控参考框架
安全方案开发
ISO/IEC 27000 信息安全管理
由信息安全方面的最佳惯例组成的一套全面的控制集
企业架构开发
TOGAF
MODAF
安全企业架构开发
SABSA
公司治理
COSO企业内控管理模型
COSO定义了满足财务报告和披露目标的五类内控要素
控制环境
风险评估
控制活动
信息与沟通
监测
安全控制开发
COBIT
是一套专供企业经营者、使用者、IT专家、审计员与安控人员来强化和评估IT管理的控制规范
combit5.0分为治理域和管理域
NIST 800-53
流程管理
CMMI
软件能力成熟度模型集成
计划与组织
实施
操作与维护
监控与评价
ITIL
IT服务管理的最佳实践
服务战略
服务设计
服务转换
服务运营
服务改进
SIX sigma
其它相关
PMBOK
ISO 9000
ISO 38500
2.5 绩效测量
强大的管理支持是必要的
测量活动需要提供可重复的、可靠的、产生的结果是有意义的基础数据进行可量化的绩效衡量
绩效测量过程
2.6 信息安全管理“PDCA”模型(管理周期)
计划
实施
检查
措施
2.7 安全策略的层次模型
方针 Policy—目标要求—战略层级
标准 Standard—实现方法
指南Guideline—实现方法
程序 Procedure—具体步骤
安全策略注意事项
言简意赅,易于理解,明确的指令性语句
可实施、可执行,安全保护和生产效率的平衡
具有一定的稳定性,避免出现技术实施细节
所有相关人员都去执行,必要的惩戒机制
所有相关人员获知并理解
复审和更新,反应组织变化
得到高级管理层的支持
采购安全策略与实践
供应链风险与安全控制
硬件、软件和服务采购
安全基线
对供应商人员培训
供应商安全管理策略
OEM厂商、分销商和集成商的控制
对供应商网络安全风险进行审计
最低安全要求与服务级别需求
SLA 服务水平协议
2.8 设计合理的信息安全组织架构
整体考虑
最高管理层的推动
建立有效的报告机制
重要的角色和责任
高级管理者
信息系统安全专家
安全委员会
安全管理员
信息系统审计师
其它相关角色和责任
数据属主
保管者
帮助台
审计委员会
灾难恢复/应急计划人员
CIRT
用户
2.9 安全管理的三类计划
战略计划
战术计划
操作计划
2.10 高度重视人员安全问题
背景检查
保密协议NDA
人员安全管理最佳实践
职责分离
最小特权
工作轮换
强制休假
人员离职
往往存在安全风险
选择恰当的时机
检查裂变checklist
陪同清理个人物品
返还所有证件
供应商、顾问和合同工控制
安全意识的基本认识
自上而下进行驱动
培训
教育
社会工程
3. 风险管理
3.1 企业风险管理框架的要素
目标:从各种角度考虑
因素:从相联的各种过程来考虑
地点:在组织的各个层次考虑
3.2 风险管理过程
风险管理:是组织用于识别信息资源的脆弱性和威胁,制定相应的对策,以实现组织业务目标的过程
有效的风险管理始于清楚地理解组织的风险偏好
管理过程
建立环境
识别风险要素
分析风险
定量风险分析
分配资产价值 AV—编制资产清单,并为每个资产分配资产价值
计算暴露银子 EF—表示如果已发生的风险对组织的某个特定资产造成破坏,组织将因此遭受的损失百分比。EF可称为潜在损失
计算单一损失期望 SLE—指特定资产发生单一风险的相关成本;
SLE=资产价值AV*暴露因子EF SLE=AV*EF
SLE=资产价值AV*暴露因子EF SLE=AV*EF
评估年度发生率 ARO—在一年内特定威胁或风险发生的预期频率,ARO的值可以是0
计算年度损失期望 ALE—针对特定资产的所有可发生的特定威胁,在年度内可能造成的损失成本
ALE=单一损失期望SLE*年度发生率ARO ALE=SLE*ARO
ALE=单一损失期望SLE*年度发生率ARO ALE=SLE*ARO
防护措施的成本/效益—防护措施对公司的价值=防护措施实施前的ALE-防护措施实施后的ALE-防护措施的年度成本ACS
如果计算结果为负数,防护措施就不具有经济价值,不可接受
如果计算结果为负数,防护措施就不具有经济价值,不可接受
定性风险分析
目前采用最为广泛,带有很强的主观性,需要凭借分析者的经验和直觉
方法:小组讨论(如delphi)、检查列表checklist、问卷、人员访谈、调查列表等
与定量相比,定性分析的准确性稍好但精确性不够
评价风险
风险影响
风险可能性
控制风险
对现有控制措施的考虑
从针对性和实施方式看,控制措施包括
管理性
操作性
技术性
从功能看,控制措施包括
威慑性
预防性
检测性
纠正性
恢复性
补偿性
确定风险处置策略
风险缓解
风险转移
风险接受
风险威慑
风险规避
风险拒绝
总风险=威胁*脆弱性*资产价值
残余风险:残余风险=总风险-控制间隙
3.3 风险管理相关要素定义
资产:Asset:资产可以是环境中需要保护的任何事物,包括业务流程或任务中用到的所有资源
威胁:Threat:任何可能发生的、对组织或特定资产造成不良或非预期结果的潜在事件都是威胁
脆弱性:Vulnerability:脆弱性是资产中的弱点,是防护措施或控制措施的弱点,或缺乏防护措施/控制措施
风险:Risk:风险是威胁利用脆弱性对资产造成损害的概率
可能性:Likelihood:对威胁发生几率或频率的定性描述
影响:Impact:后果,意外事件发生给组织带来的直接或间接地损失或伤害
安全措施:Safeguard:控制或对策,通过防范威胁、减少弱点、限制意外事件带来影响等途径来消除风险地机制、方法和措施
残留风险:Residual Risk:在实施安全措施之后仍然存在地风险
3.4 成本利益的平衡
ROI:(实施控制后地收益+挽回数据损失地收益)/控制成本
4. 法律法规符合性与职业道德
4.1 法律的分类
刑法
民法
行政法
4.2 法律
计算机犯罪
调查取证比较困难,需要专业技术,容易遭到破坏,比其它证据更难得到法庭认可
内部人员实施得计算机犯罪比率最高
计算机犯罪得判定
计算机辅助犯罪
以计算机为目标得犯罪
计算机牵涉型攻击
不同的法系,导致对计算机犯罪的处理难度加大
知识产权
版权和数字千年版权法
版权只保护计算机软件固有的表现形式,即实际的源代码,不保护软件背后的思想和过程
商标
美国,商标批准后的初始有效期为10年,到期后可按每次10年的有效期延续无数次
专利
专利保护发明者的知识产权
专利提供20年的保护期限
发明必须具有新颖性、实用性、创造性
商业秘密
许可
合同许可协议
开封生效许可协议
单击生效许可协议
云服务许可协议
进口/出口控制
隐私
4.3 合规
4.4 合同和采购
4.5 Due Care 应有的关注 、谨慎考虑、适度关注
4.6 Due Diligence 应尽的职责、恪尽职守、适度勤勉
4.7 道德
道德涉及价值观,是判断善恶对错的标准,不道德的事情可能是违法的、也可能不违法
常见的道德误区
5. BCP与DRP需求
5.1 业务连续性计划BCP:用于在紧急情况下维持业务的连续运营;以业务流程和运营为中心
BCP的目标
针对紧急情况采取及时和恰当的响应
保护生命并确保安全
减少业务影响
恢复关键业务功能
在恢复期间与外部厂商和伙伴合作
在危险期间减少混乱
确保业务的存活
在灾难后快速恢复
项目范围和计划
业务组织分析
选择BCP团队
资源需求
法律和法规要求
业务影响评估BIA
确定优先级
MTD最大允许中断时间;BCP过程的目标是确保RTO小于MTD
风险识别
自然风险
人为风险
可能性评估
影响评估
资源优先级排序
连续性计划
人是最宝贵的资产,人员的安全必须优先于组织的商业目标
计划批准和实施
计划批准:高级管理层的批准和参与对整改BCP工作的成功极为重要
计划实施:BCP团队应该共同开发实施计划
培训和教育
BCP文档化
连续性计划的目标
重要性声明
优先级声明
组织职责声明
紧急程度和时限声明
风险评估
风险接受/风险缓解
重要记录计划
应急响应指南
测试和演练
5.2 灾难恢复计划DRP:灾难恢复计划本质上更具战术性
0 条评论
下一页
