Security+ 9. 实现业务安全性

9. 实现业务安全性

• • 9.1 评估安全框架和指导方针
  • • 9.1.1 安全框架(security framework)
    • 9.1.2 安全配置指导
  • 9.2 在操作中结合文档记录
  • • 9.2.1 常见安全策略的类型
    • 9.2.2 人事管理personnel management
    • 9.2.3 商业协议
    • 9.2.4 在操作安全中结合文档记录的准则
  • 9.3 实施安全策略
  • • 9.3.1 部署环境
    • 9.3.2 实施安全策略准则
  • 9.4 管理数据安全的过程
  • • 9.4.1 数据安全的漏洞
    • 9.4.2 数据安全
    • 9.4.3 数据安全管理准则
  • 9.5 实施物理控制
  • • 9.5.1 物理安全控制
    • 9.5.2 环境控制
    • 9.5.3 人员安全
    • 9.5.4 实施物理控制的准则

9.1 评估安全框架和指导方针

9.1.1 安全框架(security framework)

1. NIST 800s：美国国家标准与技术研究院(NIST) 800系列专注于计算机安全方面的内容
2. COBIT 5 ：信息和相关技术控制目标(COBIT) 第5版由ISACA创建，包含五项指导原则帮助组织实现IT管理目标。
3. ITIL：信息技术基础设施库(ITIL)是一个全面的IT管理结构，在IT战略，设计，转型，运营和持续性服务改进方面有五种核心出版物。
4. ISO/IEC 27001：ISO和IEC国际电工技术委员会联手为信息系统管理实践创造了一个标准模型。

9.1.2 安全配置指导

1. 国防部提供的安全技术实施指南(STIG)：为各种硬件解决方案提供强化指南
2. NIST提供国家检查清单程序(NCP)：为各种操作系统和应用程序提供核对清单和基准。
3. 开放Web应用程序安全项目(OWASP)安全编码备忘单

• 合规Compliance：指确保满足法律，法规，行业规范和标准以及组织标准等要求的做法。
• 分层安全Layered security：包含多种不同防御途径的操作安全实现方法：策略意识–>物理–>周边安全–>网络安全–>主机安全–>应用程序安全–>数据安全
• 纵深防御defense in depth：利用分层安全方法的策略，用于保护系统及其数据的工具、规划用户培训、策略采用、物理防护以及其他更全面的安全策略。

9.2 在操作中结合文档记录

1. 安全策略Security policy：定义了如何在特定组织内实现安全性的一种正式声明。由多个单独安全策略组成。
2. 标准standard：定义了如何衡量对策的遵从程度。
3. 指导方针guideline：如何满足策略标准制定的建议，或最佳实践。
4. 程序procedure：详细地逐步指导如何实施策略的各个组成部分，统称为标准操作程序standard operating procedure/SOP

9.2.1 常见安全策略的类型

1. 可接受使用策略(acceptable use policy/AUP)：人员的行为规范。策略就明确那些组织资产的使用是可接受的，那些是违反策略的行为，
2. 隐私策略：定义向其他方泄露或个人信息的标准。
3. 审计策略：详细说明组织信息和资源的风险评估和审计方面的要求和参数。
4. 密码策略：定义了创建密码复杂度的标准。
5. 无线标准策略：定义哪些无线设备可以连接到组织的网络以及如何以安全稳妥方式使用这些设备
6. 社交媒体策略：定义组织及员工如何使用社交妈休网络和应用程序。

9.2.2 人事管理personnel management

确保所有组织内部或外部人员都会遵守策略的做法

1. 职责分离(separation of duties)：任何人都不应该拥有太多的权力或责任
2. 工作轮换(job rotation)：确保没有一个人长时间处于重要的工作岗位。
3. 强制休假(mandatory vacations)：提供一个审查员工活动的机会。
4. 背景调查。
5. 签署不公开协议(non-disclosuer agreement/NDA)。
6. 入职：确保新员工了解他们被要求遵循的所有相关策略，并拥有遵守这些策略所需的全部资源。
7. 离职谈话：接受员工的反馈以便能发送未来的就业机会。
8. 培训：

1. 一般用户：一般网络安全意识培训
2. 特权用户：如何最佳处理其他网络和系统访问的培训
3. 行政用户：如何发现有针对性攻击的培训
4. 数据所有者：如何管理敏感信息培训
5. 系统所有者：管理特定和丝弦的培训
6. 系统管理员：配置和维护特定系统的培训。

9.2.3 商业协议

1. 服务等级协议(Service-level agreemnet/SLA)：概述基本服务期望以明确责任分工。
2. 商业合作协议(Business partner agreement/BPA)：应准确描述合作伙伴愿意分享的内容以及如何处理任何组织之间的相互访问。
3. 谅解备忘录(memorandum of understanding/MOU)：不具法律约束力，一般不涉及金钱交易。表达各方在相互认可的前提下实现共同目标的愿望。
4. 互连安全协议(interconnection security agreement/ISA)：确保组织间使用的技术符合某种安全标准。
5. NDA：保密协议

9.2.4 在操作安全中结合文档记录的准则

1. 确保有一个由组织与业务和安全需求驱动的总体安全策略。
2. 确保安全策略充分描述了组织安全操作的目标和要求
3. 考虑根据特定类型创建补充策略。
4. 将人事管理任务纳入安全策略
5. 考虑将不同人员的职责分开。
6. 考虑强制要求员工每年至少一段时间轮换工作职责。
7. 考虑实施额外的人事管理任务。
8. 为所有人员实施网络安全的培训计划
9. 考虑根据不同人员职责进行不同的培训。

9.3 实施安全策略

1. 安全自动化：利于部署持续监控(continuous monitoring)：不断扫描环境中的威胁、漏洞、和其他风险的做法。
2. 可扩展性(scalability)：横向扩展(scale out)指在现有资源中并列地添加更多资源。纵向编(scale up)指增强现有资源的能力。
3. 弹性(elasticity)：指计算环境可以即时对工作负载的增减需求做出反应的属性。
4. 冗余(redundancy)
5. 冗错(fault tolerance)：指计算环境承受可预见的组件故障并继续提供可接受范围内的服务水平的能力。
6. 独立磁盘冗余阵列(Redundant array of independent disks/RAID)

RAID 0：数据被分段写入多个设备，以提高性能，没有数据冗余，一个设备故障会影响整个阵列
RAID 1：从一个存储设备中同步复制数据到另一个中，降低了性能，提供了冗余。
RAID 5：数据和一个被称为奇偶校验块的额外冗余块被分段在三个或更多磁盘上。
RAID 6：与5相同，但多使用一个奇偶校验块，提供更高的冗余度。两块磁盘发生故障，数据仍然可以从两个奇偶校验块和其他功能设备中重建。

6. 非持续性(Non-persistence)：指计算环境一旦完成其分配的任务就会被丢弃的属性。如快照(snapshot)[也被称为检查点Checkpoint]，实时启动(live boot)操作系统未安装在系统的存储设备上，而是直接在RAM中运行，因为RAM是易失性的，当系统断电时，任何更改都将丢失。
7. 高可用性(HA)：表示系统在保持高水平性能的同时，与100%时间内提供数据可用性的目标的接近程度。

9.3.1 部署环境

1. 开发：设计并编程该软件
2. 测试：确保资产符合组织安全标准的关键步骤
3. 分期(staging)：建立一个环境，通过该环境实现快速部署资产以便进行测试。
4. 生产

9.3.2 实施安全策略准则

1. 在手动安全流程中补充使用自动化流程，以提高效率的准确性。
2. 确保系统具有足够的可扩展性，并随着业务的增长可以满足长期的需要增长。
3. 确保系统具有弹性，能够满足资源需求的短期增减
4. 确保关键系统具有冗余能力，减少不良事件造成的数据和资源损失。
5. 确保差错系统具有容错能力，以便在发生故障或损害时，将服务中断的时间降至最低。
6. 选择合适的RAID级别
7. 考虑纳入非持续性虚拟基础架构以便更容易地维护基准安全
8. 确保系统调试可用且能达到足够高的性能水平。
9. 考虑为组织资源实施一种或多种部署环境。

9.4 管理数据安全的过程

• 数据安全[data security]：指为保障组织数据的安全性和可访问性，同时阻止对其进行未授权访问而采取的安全控制和措施。

9.4.1 数据安全的漏洞

1. 使用越来越多的云计算来执行工作职能
2. 缺乏以数据存储系统的限制性物理访问。
3. 缺乏用户意识
4. 缺乏统一的数据策略
5. 缺乏合适的数据管理实践
6. 过时或执行不力的加密方案
7. 缺乏合适的身份识别和访问管理IAM实践。

9.4.2 数据安全

• 数据存储方式：DAS直接附加存储、NAS网络附加存储、SAN存储区域网络，是一种提供数据的块级存储的专用网络。
• 数据加密方式：全磁盘加密，数据库加密，文件加密，安全数字(SD)卡，移动设备加密，S/MIME加密、语音加密。
• 数据敏感性：公共信息应防止未经授权的修改或可用性缺失；私密信息只能内部人员使用；机密信息只能提供给存储数据的组织以及数据所属的客户。
• 数据管理角色：所有者是最终负责数据的人；保管人对数据管理负有持续的责任；隐私保密官确保客户只能查看他们自己的私人信息；用户：遵守安全策略和程序。
• 数据保留(data retention)：审计日志需要保留相应期数。
• 数据处理(data disposal)：也称数据销毁，指彻底消除存储介质中的数据使之无法被恢复的方式，如：

清理(sanitization)：也称擦除或清除，在虚拟层面上完全删除存储介质中的所有数据，在存储设备中随机或全部地写入0位元
消磁(degaussing)
切碎，粉碎
焚烧

9.4.3 数据安全管理准则

1. 在组织的所有层面上应用数据安全性。
2. 审核在组织中数据可能会以哪些不同方式受到损害。
3. 选择适合商业需求的数据存储方式。
4. 选择适合数据加密方式
5. 根据数据的适度和目的标记每组数据。
6. 将数据管理职责划分为不同职责多个角色
7. 确定法律规定的数据保留要求
8. 平衡数据保留要求与隐私要求
9. 安全地处理数据

9.5 实施物理控制

9.5.1 物理安全控制

1. 锁定：如门禁
2. 钥匙管理：通常使用一个主钥匙将其他钥匙锁定在安全柜中
3. 日志记录和访客访问
4. 视频监控
5. 保安人员
6. 标志
7. 照明
8. 诱捕陷阱(mantrap)门：也称双道门(deadman door)，如：银行进入柜台工作区域。
9. 物理障碍：围栏等
10. 安全容器：钥匙等敏感物件应放置在安全容器中，防止受到威胁。
11. 法拉第笼(faraday cage)
12. 屏幕过滤器(screen filter)：防窥膜
13. 警报：未经授权的访问尝试激的警报需要进行快速响应。
14. 运动检测：检测运动的传感器可以触发警报并提醒当局可能的入侵者。
15. 受保护的配电(Protected distribution)：防止攻击者破坏通讯网络的物理布线。

9.5.2 环境控制

环境暴露：暴露包括风、火、雷、地震等。

1. 暖通空调(HVAC)系统：计算机的温度建议保持在72-76华氏度范围内，湿度就控制在40%至60%之间。低湿会导致静电。
2. 冷热通道(hot and cold aisle)：冷气从前方进行入进气口，推送到设备后方，排出热气。
3. 警报控制面板：如火灾警报面板
4. 防止
5. 火灾检测
6. 灭火
7. 环境监控

9.5.3 人员安全

• 夜间适当的照明可以保护晚间工作人员避免因能见度低而发生事故。
• 绘制出最佳逃生跳线
• 演习

9.5.4 实施物理控制的准则

1. 进行成本效益分析，确定部署物理安全控制的地点和时间
2. 确定需要执行特定物理控制的任何规定
3. 实施适合你的设施和其他环境的各种物理控制类型
4. 认识到你的物理环境可能会暴露在不利的环境条件
5. 实施HVAC系统和消防管理流程等环境控制
6. 对环境风险进行持续监控
7. 安全操作中优先确保人员和财产安全
8. 制定火灾或毒气泄露危险事件中的逃生计划
9. 定期进行演习。
10. 对安全控制装置进行持续性的测试，确保其符合安全标准。