安全与风险管理
①安全管理
安全治理
Management,管理,管理者为了达到特定目的而对管理对象进行的计划、 组织、指挥、协调和控制的一系列活动
governance,治理,治理是或公或私的个人和机构进行经营、管理相同事务的诸多方式的总和
管理强调的是一个过程活动,而治理强调的是为了达到同一目标,多方面的协调
安全管理计划
安全管理计划能确保安全策略的适当创建、实现和实施。建立安全管理计划的流程
-
- 公司安全的使命和目标
- 安全体系总体框架
- 安全现状
- 关键举措和重点工作
- 实施策略选择
- 工作计划
- 建设实施
- 安全运营和持续改进
安全框架
企业安全架构
Zachman,Zachman框架是一个二维模型,使用6个基本疑问词(什么、如何、哪里、谁、合适、为何)和不同的视觉维度(计划人员、所有者、设计人员、建设人员、实施人员和工作人员)二维交叉,对企业给出了一个整体性的理解
TOGAF,开放群组架构框架,由美国国防部开发并提供了设计、实施和治理企业信息架构的方法。架构允许技术架构设计师从企业不同的视角(业务、数据、应用程序和技术)去理解企业,确保开发出环境及组件所必须的技术,最终实现业务需求
SABSA,舍伍德的商业应用安全架构,是一个分层模型,在第一层从安全的角度定义了业务需求
安全控制架构
COBIT,是一组由国际信息系统审计与控制协会和IT治理协会制定的一个治理与管理的框架
COSO,由反欺诈财务报告全国委员会发起组织委员会开发,用于处理财务欺诈活动并汇报
安全管理架构
ISO/IEC 27000,由ISO和IEC联合开发的关于如何开发和维护信息安全管理体系的国际标准
安全流程管理架构
ITIL,以流程为基础、以客户为导向的IT服务管理指导框架,摆脱了传统IT管理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化
CMMI,能力成熟度模型集成,用来确定组织流程成熟度的一种方式
安全策略体系
安全策略是高级管理层制定的一个全面声明,规定安全在组织内所扮演的角色,是战略目标
标准、基线、指南、详细措施是战术目标
安全人员管理
高级管理者
组织的所有者的角色被分配给最终负责组织机构安全维护和最关心保护资产的人
制定长远规划、业务目标和目的
确保组织在信息安全方面采取适当的应尽关注和应尽职责
安全专家
安全专家、信息安全官或计算机应急响应团队以上角色被分配给受过培训和经验丰富的网络
工程师、系统工程师和安全工程师,对落实高层管理部门下达的指示负责
安全专家不是决策制定者,只是实现者
数据所有者
被分配给在安全解决方案中为了放置和保护信息而负责对信息进行分类的人
通常,数据所有者是层次较高的、最终负责数据保护的管理者
一般会将实际管理数据的任务委派给数据管理员
数据所有者具有应尽关注职责,决定其负责的数据分类,负责确保实施必要的安全控制
数据管理员
被分配给负责实施安全策略和上层管理者规定的保护任务的用户
数据管理员通过执行所有必要的措施为数据提供适当的CIA保护,并完成上层管理者委派的要求和责任
用户
被分配给具有安全系统访问权限的任何人(最小特权原则)
审计人员
负责测试和认证安全策略是否被正确实现以及衍生的安全解决方案是否合适
②风险管理
风险的定义,风险=威胁*威胁性*资产,信息资产遭受损坏并给企业带来负面影响的潜在可能性
威胁建模
威胁建模是潜在的威胁被识别、分类和分析的一个安全流程
识别威胁
STRIDE威胁分类
Spoofing,电子欺骗,通过使用伪造身份获得对目标系统访问的攻击行为
Tampering,篡改,任何对数据进行未授权的更改或操纵的行为,不管是传输中的数据还是被存储的数据
Repudiation,否认,用户或攻击者否认执行了一个动作或行为的能力
Information Disclose,信息披露,将私人、机密或受控信息揭露、传播给外部或未授权实体的行为
DoS,拒绝服务,攻击试图阻止对资源的授权使用
Elevation of privilege,权限提升,有限的用户账号被转换成拥有更大特权、权利和访问权的账户
削减分析
执行消减是为了分解应用程序、系统或环境,分解流程中,需要了解
-
- 信任边界
- 数据流路径
- 输入点
- 特权操作
- 安全立场和方法细节
优先级和响应
威胁可以用优先级标签进行定级,包括概率*潜在损失的排名、高中低评级和DREAD评级系统
DREAD评级系统
Damage,危害性
Reproducibility,再现性
Exploitability,可利用性
Affected Users,受影响用户
Discoverability,可发现性
风险管理
风险管理是信息安全管理的核心内容
风险识别
风险评估
标识资产和他们对于组织的价值、识别脆弱性和威胁、量化潜在威胁的可能性及其对业务的影响,在威胁的影响和对策的成本之间达到预算的平衡
风险评估的一般方法(NIST)
评估准备
进行评估(识别威胁源和事件、识别威胁和诱发条件、确定发生的可能性、确定影响的大小、确定风险)
沟通评估
维持评估
定量风险评估
SLE,Single Loss Expectancy
ALE,Annual Loss Expectancy
AV,Asset Value
EF,Exposure Factor
ARO,Annualized Rate of Occurrence
SLE=AV*EF
ALE=SLE*ARO
定性风险评估
将考查各种风险可能发生的场景,并基于不同的观点对各种威胁的严重程度和各种对策的有效性进行等级排列
风险处置
采取措施将风险减少到和维持可接受的水平
转移,总风险或剩余风险太大,无法承担,购买保险,转移给保险公司
规避,终止引入风险的活动
缓解,风险降低到可接受的级别
接受,理解自己所面临的风险级别以及风险带来的潜在损失,并且决定在不采取任何对策的情况下接受风险
总风险=威胁*脆弱性*资产价值
剩余风险=总风险*控制间隙
总风险-对策=剩余风险
风险管理框架
RMF,是一个结构化的流程,允许组织识别和评估风险,将其降低到可接受的水平,并确保其保持在该水平
NIST RMF 六步:
信息系统的分类
安全控制的选择
安全控制的实现
安全控制的评估
信息系统的授权
安全控制的监管
法律、法规、安全教育、采购中的风险
法律
民法,基于规则的法律,而不是基于程序的法律
普通法,基于对法律的先前解释
习惯法,主要处理个人行为和行为模式
宗教法,基于该地区的宗教信仰
知识产权
版权,保护原创作品的作者控制其原创作品公开发行、翻印、展览和修改的权利
商标,用于保护一个单词、名称、符号、声音、形状、颜色、设备或这些项的组合
专利权,授予个人或公司的法律所有权,使他们拒绝其他人使用或复制专利所指的发明
商业秘密,保护某些类型的资源不被未授权使用或公开
许可证,包含于软件使用和安全相关的规定以及相应的手册
其他法律和法规
计算机出口控制
加密产品出口控制
隐私法
支付卡行业数据安全标准(PCI DSS)
ISC2的道德规范
保护社会、公共利益,必要的公共信任和信心
行为得体、诚实、公正、负责和遵守法律
为委托人提供尽职的和胜任的服务工作
发展和保护职业声誉
采购中的风险