网站静态生成目录 名称 建议,广东十大网站建设品牌,上海大型企业名单,dedecms 营销网站模板免费下载作者#xff1a;nothinghappend 链接#xff1a;https://zhuanlan.zhihu.com/p/669881930 来源#xff1a;知乎 著作权归作者所有。商业转载请联系作者获得授权#xff0c;非商业转载请注明出处。
CIA
CIA 三性#xff1a;
机密性#xff1a;和数据泄露有关。完整性…作者nothinghappend 链接https://zhuanlan.zhihu.com/p/669881930 来源知乎 著作权归作者所有。商业转载请联系作者获得授权非商业转载请注明出处。
CIA
CIA 三性
机密性和数据泄露有关。完整性和篡改有关一般和访问控制/隔离有关。常见的原因可能和用户误操作有关。可用性和中断有关。
避免过度安全安全方案的代价不能高于所保护资产的价值。过渡保护机密性、完整性会导致可用性受限过渡保护可用性会使机密性和完整性受限。
CIA 的反面DADDisclosure泄露、Alteration篡改、Destruction损坏
C 机密性保护机制
静态数据加密硬盘加密、数据库加密传输加密TLS、SSH、IPSec访问控制物理及逻辑的数据隐藏防止数据泄露和访问隔绝把东西放在不可访问的位置有严格的访问控制
I - 完整性保护机制
哈希校验保证数据完整配置管理保证系统完整变更控制过程完整比如回归测试访问管理防止未经授权的更改数字签名代码签名保证代码完整性和不可否认性传输 CRC 校验
A 可用性保护机制
RAID 冗余磁盘阵列集群负载均衡冗余的数据和电源线路备份磁盘映像灾备站点
CIA 保护机制
纵深防御分层防御一个控制的实效不会导致系统或数据暴露抽象提升效率相似的元素被放入组、类或角色中作为集合进行访问控制、限制数据隐藏防止数据泄露和访问、限制低级别的主体访问高级别的数据、阻止应用直接访问存储硬件、数据隐匿加密对非预期的接受者隐藏通信的真实含义
评估和安全治理原则
安全治理指出于安全需求在整个组织中进行管理和治理而不是仅 IT 部门。
第三方治理
第三方治理由法律、法规、行业标准、合同义务或许可要求的由外部执行的监督系统。
通常是强制性的涉及审计或监督。
第三方治理侧重于验证是否符合声明的安全目标、需求、法规和合同义务。
常见的审计标准有 COBIT信息和相关技术控制目标。
文件审查
通过文件交换进行第三方的全面审查文件审查通常发生在现场检查之前如果文件不合规则通常现场也不合规。
如果文件不合规则可能吊销 ATO操作授权见第三部分。
安全管理计划
目的安全绩效可测量
安全管理计划要自上而下制定
高层定义阻止安全方针中层讲安全策略完成标准、基线、指南和程序并监控执行业务经理和安全专家实时配置最终用户遵守组织的安全策略
类型
战略计划大约 5 年的长期计划愿景计划计划中包含风险评估战术计划中期计划1年提供更多的细节包括项目计划、收购计划、招聘计划、预算计划、维护计划、支持计划、系统开发计划等操作计划短期、高度详细的计划可实施的文档。每月或每季度更新
组织的角色和职责
在第二部分访问控制中也有数据角色的介绍可以参照起来看。
高级管理者CXO
信息安全最终责任人。
信息安全专家/安全专业人员
负责落实高级管理者下发的任务。
资产所有者
保护信息分类对资产保护负责通常是高级管理者。不去执行最终的数据管理交给托管员执行。
托管员
执行最终策略配置的人员。
用户
访问数据的人。
审计人员
负责检查安全策略是否被正确执行相关的安全解决方案是否完备。
审计人员在发现问题后会先进行确认再写入审计报告。
安全指导委员会
由 CEO、CIO、CFO、部门经理、内审官等组成的委员会每季度召开会议定义组织可接受的风险级别确定安全目标和战略制定安全活动优先级审查风险评估报告批准安全策略和变更等
审计委员会
由董事会指派专人进行公司内部的审查审查结果直接汇报董事会。一般 CEO 最适合做审计执行官职位最高。
安全控制框架
应用最广泛的安全控制框架是 COBITCOBIT 基于六个原则进行企业 IT 治理和管理
为利益相关方创造价值采用整体分析法动态地治理系统把治理从管理中分离出来根据企业需求量身定制采用端到端的治理系统
IT 安全的其他标准和指南
ISO 27000 系列国际标准企业信息安全及相关管理实践标准 ISO 27001信息安全管理体系的标准ISO 27002信息安全控制措施的更多细节ISO 27004信息安全绩效ISO 27005信息安全风险管理 NIST风险管理框架 RMF联邦机构的强制要求包含 6 个阶段分类、选择、实施、评估、授权和监控
Due Care
应尽关心在正确的时间采取正确的行动。应尽关注原则描述了一个人应该在一种情况下用正常人所期望的相同级别的关注来响应。
如果一个公司没有做到充分的安全策略、适当的安全意识培训则没有达到 DC。
Due Diligence
应尽审查职责是什么应该做什么制定计划。在日常管理中尽到责任。应尽职责原则是应尽关注的一个更具体的组成部分它描述被指派责任的个人应该以应尽关注的方式准确和及时的完成责任。
在做信息安全时应该尽可能收集信息以进行最佳决策查看并了解风险。
谨慎人规则
谨慎人规则要求高级管理人员为信息安全事务承担个人责任为了确保普通谨慎的个人在相同情况下会表现出应尽关注。该规则最初适用于财务事项但联邦量刑指南于1991年将其应用于美国的信息安全事项。
安全策略、标准、程序、指南
策略
规范化的最高层级文件被称为安全策略。
方法、规定定义要保护的对象和目标安全框架分配职责、定义角色、明确审计需求、概述实施过程等
AUP 可接受的使用策略
属于安全文档的一部分定义了可接受的绩效级别和期望的行为、行动。不执行 AUP 可能会被警告甚至开除。
标准
强制性要求一致性比如实施标准采购标准
基线
每个系统需要满足的最低安全级别一般参考行业标准
指南
如何实现上面的标准和基线的建议非强制的
安全流程安全程序 SOP
Standard Operating Procedure详细的分步实施文档。
可以是整个系统的部署操作也可以是单个产品的。
威胁建模 - 关注威胁
威胁建模是识别、分类和分析潜在威胁的过程。贯穿系统的整个生命周期。
主动式在产品研发阶段进行威胁建模被动式在部署后执行主动式和被动式都需要因为并不是所有的威胁都能在开发阶段识别。
1. 识别威胁
关注资产、关注攻击者关注软件。
威胁建模的最终目的对危害组织有价值资产的潜在威胁进行优先级排序。
STRIDE 威胁分类
微软开发的。
欺骗 Spoofing篡改 Tampering否认 Repudiation信息泄露 Information Disclosure拒绝服务 DoS提权 Elevation of Privilege
PASTA 威胁建模
以风险为核心。
Trike 威胁识别模型
VAST 敏捷开发威胁建模
2. 确定潜在的攻击
绘制数据流图。确定每个环节涉及的技术可能受到的攻击类型比如逻辑、物理、社会工程学攻击等。 3. 简化分析
分解数据流图中的应用和环境。更好地了解产品逻辑、内部单元、交互等等。
分解过程需要关注 5 个要素
信任边界信任级别、安全级别发生变化的地方数据流路径两个位置间的流动输入点接收外部输入的地方特权操作安全声明和 Method 方法
4. 优先级排序和响应
对威胁进行评级和排序使用 DREAD 评级方案。
DREAD 总分 100 分包含发生可能性*潜在损失 。其中每个值都是 1~1010 表示最高。
DREAD 关注下列 5 个问题
潜在破坏损失受影响用户损失复现率概率漏洞可利用性概率漏洞发现难易度可发现性概率
风险矩阵/风险热图 供应链风险管理
SCRM Supply Chain Risk Management
目标确保所有供应商和环节都是可靠的。
重点对供应商进行评估、持续监控和管理
SLR 与 SLA
SLR服务级别需求SLA服务等级协议规定最低的安全要求SLR 产生 SLA
人员管理
1. 岗位描述和职责
确定岗位描述清单比如角色和要执行的任务日常的具体工作内容访问其他资源的权限
2.人员筛选、调查和招聘
背景调查减少风险、减少招聘成本、降低员工流通率资质考核
3. 人员录用onboarding
签署雇佣协议入职培训认同企业文化可以减少离职率保密协议签署保护公司敏感信息入职时签署离职重申遵守 AUP定义公司的安全标准即哪些活动可接受哪些不行为用户创建账号Provision并分配相应的访问权限
4. 员工监督
岗位轮换防串通防滥用交叉培训A/B 角色员工评估针对关键角色进行全面评估针对其他员工抽查审查员工早期发现可能对安全造成风险的行为 不满的员工强制休假强制审查一般表示有不好的行为发生 5. 离职
禁用、删除用户账号撤销证书取消访问代码权限解雇过程需要安全部门和 HR 参与尊重员工的同时降低风险离职面谈需要重申之前签署的安全协议
第三方人员管理
签署 SLASLA 需要包含安全改进相关的内容保密相关仍然需要签署 NDASLA 不能满足使用 VMS 供应商管理系统
合规策略
在人员层面合规员工是否遵循公司的策略。
合规是一种行政或管理形式的安全控制。
隐私策略
隐私内容包含
未授权访问个人可识别信息PII例如电话号、地址、IP 等未经授权的个人机密信息访问未经同意的监视
要遵照法律要求保护和存储隐私数据
HIPAA 健康保险流通与责任法案SOX 萨班斯-奥克斯利法案FERPA 家庭教育权利和隐私法案学生相关的数据GDRP 通用数据保护条例
风险管理 - 关注资产
风险管理的目标将风险降至可接受的水平。
绝对安全的环境是不存在的需要平衡收益/成本安全性/可用性。
风险来自很多方面可能是非 IT 的灾难比如自然灾害等。
风险管理包含两大部分
风险评估/风险分析基于价值/性质分析每个系统的风险风险响应使用成本/收益的方式评估风险控制措施
风险相关的术语解释
资产可以是业务流程或者使用到的任何事物可以是有形的也可以是无形的资产估值 AV资产对应的货币价值综合重要性、使用情况、成本、支出等元素得出威胁可能导致资产破坏、变更、泄露等的行为威胁主体主体利用威胁来危害目标威胁事件对脆弱性的意外和有意利用威胁向量Threat Vector攻击者为了伤害目标而使用的路径和手段比如 Wifi、物理访问、社会工程学等脆弱性资产中的弱点使威胁能够造成损害的缺陷、漏洞、疏忽可以是技术上的也可以是管理逻辑上的暴露资产丢失暴露的可能性风险 风险威胁*脆弱性风险损害的可能性*损害的严重程度 攻击威胁主体进行的脆弱性利用尝试破坏成功的攻击
1. 风险分析
风险分析的目标是确保只部署具有成本效益的措施。
定性风险分析 - 基于定性的更容易分析
基于分级来进行。基于场景而非计算依赖经验和判断。
场景针对单个威胁的描述 通常比较概要限制在一页纸方便参与的人分配等级威胁如何产生对组织带来的影响可能的防护措施 Delphi 技术匿名的反馈和响应 对于每个反馈参与者通过数字消息匿名写下反馈最后汇总给风险分析小组重复这个过程直至达成共识 定量风险分析
几个关键词
AV 资产价值EF 暴露因子潜在的损失EF 仅表示单个风险发生时对整体资产价值造成的损失比如硬件故障带来的损失以百分比计算SLE 单一损失期望Single Loss ExpectancySLE AV * EFARO 年发生率ALE 年度损失期望
ALE ARO * SLE ARO * AV * EF
定性分析和定量分析的对比 特征定性分析定量分析使用数学计算否是使用成本/收益分析可能是需要估算是有时支持自动化否是涉及大量信息否是客观的较少较多依赖于专家意见是否耗费的时间一般多提供有用的意义和结果是是 2. 风险响应
风险响应的形式
风险缓解最常用通过实施防护措施、安全控制来减少脆弱性阻止威胁。比如加密和防火墙风险转让购买服务、保险等。可以转让风险但无法转移责任风险威慑比如实施审计、监控、警告 banner、安保人员等风险规避risk avoidance灾难避免比如关闭重要系统以降低安全风险风险接受可以接受安全风险通常意味着保护成本资产价值风险拒绝不接受但是可能发生不应该有
残余风险处理除已经防护的剩下的风险
定期进行评估
风险控制的成本和效益
几个关键词
ACS annual cost of the safeguard年度防护成本ALE 年度损失期望实施措施前的 ALE实施措施后的 ALE
防护措施对公司的价值实施措施前的 ALE-实施措施后的 ALE-ACS
安全控制分类
按照方式
管理行政类数据分类、背景调查、工作说明书、审查、监督、培训技术/逻辑类IPS、防火墙、IAM、加密物理类门禁、锁、保安、看门狗、围栏、物理环境入侵检测等
按照作用
预防性控制部署预防控制以阻止非预期的或未经授权的活动发生身份认证、门禁、报警系统、岗位轮换、IPS、培训等威慑控制锁、保安等可能和预防性的重叠检测控制保安、IPS 、审查补偿控制另一种控制手段的补充或增强比如主要手段是防止删除补偿手段是存在备份可恢复纠正例如杀毒、阻止入侵行为、备份恢复等将环境从非预期的活动中进行恢复 恢复性控制纠正的扩展不像纠正是单一的行为恢复性可能更复杂安全策略被破坏后恢复控制尝试修复或恢复资源、功能和能力 指令式/指示控制比如通知、公司标准等强制或鼓励主体遵守安全策略
安全控制评估 SCA
Security Control Assessment
根据基线或可靠性期望对安全机制的正式评估。可作为渗透测试报告的补充。
目的确保安全机制的有效性。评估组织风险管理过程中的质量和彻底性生成已部署安全措施的优缺点报告。
对应的标准为 NIST SP 800-53 Rev5信息系统和组织的安全和隐私控制。
风险管理成熟度模型 RMM
Risk Maturity Model
RMM 5 个级别
初始级 ad hoc混乱的状态预备级Preliminary初步尝试遵守风险管理流程但是每个部门执行的风险评估不同定义级Defined在整个组织内使用标准的风险框架集成级Integrated风险管理集成到了业务流程中风险是业务战略决策中的要素优化级Optimized侧重于实现目标而不是被动响应
风险管理框架 RMF
Risk Management Framework被 NIST SP 800-37 Rev2 定义。
风险框架用于评估、解决和监控风险的指南或方法。
16个循环的阶段先进行准备准备上下文和优先级优先处理哪些系统
分类根据对损失影响的分析对信息及系统进行分类选择选择合适的控制手段可以将风险降到可接受水平实施实施上面描述的控制评估确保控制实施到位也就是检查授权在确定风险可接受的基础上授权上线类似于认可监控持续监控系统保证控制的有效性 安全培训 SAET
Security Awareness, Education, and Training Program
意识
建立对安全认知的最小化通用标准或基础教学、视频、海报、媒体等
培训
培训是指教导员工执行他们的工作任务和遵守安全策略定期的培训加强人员安全意识最好是强制的培训
教育
教育是一项更详细的上作用户学习的内容比他们完成其工作任务实际需要知道的内容多得多教育可能是获取资格认证的培训或者和晋升相关的教育
改进
培训完成后需要做的 制定改进计划、下一步计划 有效性评估
考试审查事件日志了解违规发生率
业务连续性计划 BCP
BCP 和业务中断有关。关注上层以业务流程和运营为主。
DRP 容灾恢复计划 - 和数据恢复有关。更具细节描述站点恢复、备份和容错等技术。
BCP 四个阶段
项目范围和计划业务影响分析 BIA连续性计划计划批准和实施
1. 项目范围和计划
首要职责组织分析了解部门职责选择 BCP 团队包括业务、法务、IT、安全、公关、财务、高层代表等资源需求有人员需求和财务需求购买软硬件法律和法规要求
2. 业务影响分析 BIA
目的识别关键业务功能及这些功能相关的 IT 资源分析中断的影响。
支持定量分析和定性分析BCP 通常喜欢使用定量分析从而忽略定性分析BCP 团队应该对影响 BCP 过程的因素进行定性分析。
1, 确定优先级
定量分析
确定资产价值 AV确定 MTD 最大容忍中断时间RTO 应该始终小于 MTDMTD RTO 业务确认的时间 WRT
2, 风险识别
识别自然风险和人为风险
暴雨、累计、地震、火山、流行病等恐怖袭击、火灾、互联网终端等
3, 可能性评估
确定每种可能性发生的概率确定 ARO 年发生率。
4, 影响分析
年损失期望 ALE
ALE SLE *ARO AV * EF * ARO
5, 资源优先级排序
3. 连续性计划
策略开发 目标、范围、需求基本的原则和指导方针职责 预备和处理 制定具体的流程和机制来减轻风险人员优先建筑设施的保护比如加固或者备用站点Infra 保护包括冗余设施物理性的加固UPS 及防火等 4. 计划批准和实施
计划批准计划得到上层的认可展示业务领导对于业务连续性的承诺在其他人员眼中更具重要性和可信度计划实施培训和教育培训的目的是让相关的人熟悉其职责以及操作步骤
5. BCP 文档
文档化可以防止执行时偏离文档包含重要性声明优先级声明组织职责声明重申组织对业务连续性计划的承诺紧急程度和时间限制要求时间表风险评估的内容风险接受、风险缓解的内容比如哪些风险可接受哪些风险不可接受需要采取缓解措施重要记录标识应急响应指南定期维护测试和演练
法律法规
知识产权 IP - 保护创作者
保护创作者软件属于知识产权。
作品在创作的那一刻即拥有版权。
仅有源代码属于知识产权代码使用的逻辑不属于知识产权。
《数字千年版权法》DMCA
受保护的类型
文学作品计算机软件属于此分类音乐作品戏剧作品哑剧和舞蹈作品绘画、图形、雕刻作品电影和其他音响作品声音录音建筑作品
版权的保护期
单个或多个作者最后一位作者去世后 70 年内因受雇而创作的作品作品第一次发表 95 年或者创建之日起 120 年其中较短的一个
数字化相关
针对 DVD 等违权最高判处 100w 美元和 10 年监禁使用 ISP 线路违权时ISP 承担责任。但是对于用户的临时性活动不负责比如临时发送一些东西不知道目标人
商标
商标不需要注册即拥有版权。
目的
辨识公司及公司的服务和产品避免市场混乱
专利 - 保护作品
保护发明者的知识产权。自首次申请发明起有 20 年有效期发明者有该发明的独家使用权利。过期后即可允许任何人使用比如 PGP 使用的 IDEA 算法。
三个重点要求
发明具有新颖性发明具有实用性发明具有创造性
商业秘密
对于公司很重要的知识产权不能外泄。
通常公司自己持有不做专利保护严格限制访问加密存储。
隐私法案
个人数据的使用原则
收集个人数据需要征得主体的同意并告知用途只收集和用途有关的数据只在用途所需期限内使用和保存
第四修正案
保护公民隐私防止未授权的搜查、窃听。
1974 隐私法案 - 仅适合联邦政府
限制联邦政府机构在没有事先得到当事人书面同意的情况下向其他人或机构透露隐私信息的能力。
电子通信隐私法 ECPA
Electronic Communications Privacy Act
适用于非法窃听、非授权访问电子数据的行为。
针对手机的窃听处以最多 500 美元和 5 年监禁。
通信执法协助法案 CALEA
Communications Assistance for Law Enforcement Act
修正了 ECPA允许在法院同意的情况下由执法人员进行窃听。
经济间谍法案
Economic Espionage Act
任何窃取专有信息Confidential、Property的行为视为间谍行为。
GDPR 通用数据保护条例
GDPR 用于替换之前颁布的 DPD。
GDPR 的一些主要规则
合法、公平、透明必须对数据处理活动保持公开和诚实的态度目的限制必须清楚记录和披露使用数据的目的而且按照披露来使用数据数据最小化确保处理的数据可以满足既定目的并且仅限于你使用这些数据准确性存储限制仅在合法、公开目的所需的时间内保留数据遵守“遗忘权”允许人们在不需要时删除这些信息安全性问责性
GDPR 数据保护
去标识 假名化Pseudonymization指在不使用额外信息时不能追溯到个人过程可逆比如有对应的 key 时哈希、加密 匿名化Anonymization数据无法再和个人关联匿名化的数据不再是个人数据及时通知 如果发生个人数据泄露72 小时内要通知监管机构如果造成了高风险还需要通知数据主体 任何违反 GDPR 的违法行为将导致最高 2000 万欧元或母公司所有营业额 4% 的罚金二者取金额大者。
GDPR 对于个人数据的定义
是指任何指向一个已识别或可识别的自然人“数据主体”的信息。该可识别的自然人能够被直接或间接地识别尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。个人信息实例
姓名地址电子邮箱身份证号地理位置IP地址cookie IDthe advertising identifier of your phone 广告ID根据用户画像可以确定某一类人的信息
标准合同条款standard contractual clauses或具有约束力的公司规则binding corporate rules现已取代隐私盾安全港。
美国 HIPAA 健康保险流通和责任法案
指定了一系列如何处理健康信息的规定
在确保私密性的情况下保存病人信息档案 6 年新法规强制要求第三方商业伙伴与数据所有者实体一样直接受到 HIPAA 和 HIPAA 执法活动的约束两个公司需要签署商业伙伴协议(BAA)的书面合同约束。
HIPAA 使用和披露的原则
基本原则限定使用除非签署了 BAA个人书面同意授权必要的披露 个人或个人的代表要求时专门向他们进行披露在进行合规调查、审计时 经允许的使用和披露在没有个人授权的情况下出于下列目的进行使用和披露 对信息主体披露其 PHI治疗、付款和医疗保险业务偶然的使用和披露公共利益或福利活动为研究、公共卫生或医疗保险业务而进行的有限数据集 经信息主体授权的使用和披露所有上述定义之外的用途都需要经过个人的书面同意将使用和披露限制在最低限度数据最小化原则
健康信息技术促进经济和临床健康法案 HITECH
HITECH 是 HIPAA 的修订新增了泄露通知如果发生泄露则必须讲信息告知受影响的个人当信息泄露超过 500 人时必须通知卫生与社会服务部门和媒体。
1999 GLBA 金融现代化法
金融现代化法GLBA)对金融机构制定了严格的隐私法规包括向客户提供隐私书面通知。
加拿大隐私法 PIPEDA
Personal Information Protection and Electronic Documents Act
PIPEDA 不适合于非营利组织、市政府、学校和医院。
包含下列个人数据
种族、民族、宗教年龄、婚姻情况医疗、教育、工作经历、财务信息DNA身份证员工绩效记录 学习笔记思维导
