这篇文章上次修改于 1631 天前,可能其部分内容已经发生变化,如有疑问可询问作者。
CH1-安全与风险管理
1.安全与风险管理基础
信息安全的管理对象
信息资产
- 有价值的资产,包括硬件、软件、人员、数据和无形资产
信息安全的管理目标
对有价值的资产进行CIA的保护
C 机密性
- 数据加密
- 通信加密
- 访问控制(物理及技术)
I 完整性
- 哈希运算
- 配置管理
- 变更管理
- 访问控制
- CRC校验
A 可用性
- 磁盘矩阵
- 负载均衡
- 集群
- 数据和电路冗余
- 磁盘
- 回滚
其他概念
隐私
指的是个人信息
- 可以将独立体从群体中甄别出来
- 身份识别
- 身份鉴别
- 身份授权
- 可追溯性
- 抗抵赖
审计
- 审计一定是独立的,不能自己审核自己
风险管理
风险
- 信息资产遭受损坏造成企业负面影响的可能性
- 风险是一种概率,一种可能性,一种预测
风险管理
- 控制信息安全资产的风险
- 风险管理是信息安全的核心
风险管理流程
- 识别风险
- 计算风险(评估风险)
处置风险
- 找出控制措施处置风险
- 监控风险
控制措施
管理控制
- 行政管理层面控制
- 技术控制
物理控制
- 进入到设备之前的控制
安全控制根据其作用
- 威慑
- 预防
- 检测
- 矫正
- 恢复
补偿
- 由于成本原因无法将风险降低至可接受水平
- 可通过额外的措施进行控制
- 提供可替代控制措施
- 技术控制措施最有效,管理控制最无效;事前防御最无效
信息安全管理
- 对有价值资产CIA保护时,建立规章、制度和流程
信息安全管理体系
对有价值资产CIA保护时,建立规章、制度和流程等,形成PDCA形成可持续改进的循环机制
- PLAN DO CHECK ACTION
2.安全治理
背景知识
企业组织架构
高层
- 治理
中层
- 管理风险
执行层
- 技术风险
安全管理部门控制IT风险
- 整个安全部门的目标就是围绕着企业目标而实现
- 不是为了防范攻击
- 不是为了防范漏洞
- 不是为了防范威胁
治理
- 治理是董事会和高层管理者的责任,信息安全管理为决策使用
- 高层治理决定公司的责任、权利、利益的关系
治理框架
COSO(了解)
- 企业内控的最佳实践
COBIT(IT的内控)
- 属于IT内控的最佳实践
- NIST SP-800 彩虹系列 安全控制参考
- 信息安全使用CISSP/ISO27001来作为信息安全的最佳实践
- Zachman企业架构框架
- SABSA安全企业架构
- CMMI 软件开发管理
- ITIL IT服务管理
- Six Sigma 业务流程管理
- 小结:企业内控用COSO;IT内控用COBIT;企业信息安全内控用ISO27001
安全策略层次
方针
- 高层的组织目标
标准
- 强制性
指南
- 推荐执行
基线
- 最低安全方针
人员安全
入职安全调查
- 安全协议
在职安全管理
职责分离
- 不能够防止共谋
- 最小特权
- 岗位轮换
- 强制休假
- 离职安全管理
3.风险管理
IT风险方法论依赖于企业风险管理方法论
风险管理的流程
流程图
风险管理流程
风险识别
- 识别资产
- 识别威胁
- 识别漏洞
- 识别现有控制措施
风险计算
- 计算威胁和漏洞的影响度
- 可能性
- 依据资产的价值计算出风险
风险处置
- 依据风险的等级排序进行优先级处理,因为投入到安全的资源有限,根据风险处置策略(接受、降低、规避、转移)进行处置
参与风险再评估
- 处置风险再次评估风险是否在可接受水平,如果接受则结束评估,否则要再次评估
风险管理的要素
- 资产
威胁
- 外在对资产的影响
弱点
- 资产的内在弱点
风险
- 计算风险就是算概率
- 可能性
- 影响
- 安全措施
- 残余风险
风险管理目标
- 采取风险处置后,参与风险在可接受的水平
- 不存在0风险
- 关键是达成成本收益的平衡
安全部门是一个成本中心,不是收益部门。为了能够更好的体现安全部门的作用,将ROI作为安全部门的收益。也就是用ROI=处置之前的ALE-处置成本-残余风险ALE - 防护措施每年的成本
风险管理过程计算
风险计算公式
- Risk = Threat Vulnerable Asset Value
- 威胁弱点资产价值
残余风险计算公式(暂不需要)
- Residual Risk = (Threat Vulnerable Asset Value) * Control Gap
- (威胁弱点资产价值)*控制间隙
- 风险评估(RA Risk Assessment)方法论
定量评估和定性评估
定量评估
基本概念
- 暴露因子(Exposure Factor EF)特定威胁对特定资产造成损失的百分比,或者或损失的程度
- 单一损失期望(Single Loss Expecttancy SLE)
- 年度发生概率(ARO )威胁在一年内会发生的次数
- 年度损失期望(ALE )表示特定资产在一年内发生损失的预期值
定量分析的基本过程
- 识别资产并未资产赋值,资产是明确的,可以是一台设备,也可以是一套系统,也可以是一个部门
- 评估威胁和弱点,评价特定威胁作用于特定资产所造成的影响,寄EF(取值0%~100%之间)
- 计算特定威胁发生的次数(频率),即ARO
- 计算资产单一损失期望SLE = Asset Value * EF
- 计算资产年度损失期望ALE ALE = SLE * ARO
- 控制收益 = 实施防护措施前ALE - 实施防护措施后ALE - 防护措施每年的成本
定性评估
- 实际工作中用的较多,计算方法跟定量评估计算方法类似
如何判断资产的重要程度(信息分类)
- 商用秘密
- 军用秘密
实际工作中采用的方法
半定性(定量)风险评估
对定性评估的内容进行赋值
- 风险评估矩阵
小结
- 所有的风险计算,不管是定量还是定性都是为了风险处置的优先级排序
处置风险(所有风险处置表需要高层签字)
降低风险
- 实施有效的控制,将风险降低到可以接受的程度。实际上就是降低风险发生的可能性和带来的影响
减少威胁
- 实施恶意软件检测
减少弱点
- 通过安全意识培训,增强合规网安全基线的配置
降低影响
- 制定灾难恢复计划和业务连续性计划,做好备份
规避风险
- 有时候选择放弃带来风险的业务或者资产
转嫁风险
- 买保险
接受风险
- 残余风险在可接受的范围内,说明控制措施的应用是成功的
对策也叫防护措施或控制措施,能够缓解风险
4.法律法规符合性和职业道德
计算机犯罪(识别犯罪类型即可)
- 计算机辅助犯罪
- 以计算机为目标的犯罪
- 计算机牵涉型攻击
法律法规
- 各国法律
不同的法律体系
普通法系
- 英美法、海洋法系,采用不成文法,尤其是“案例法”
普通法系细分
- 民法
- 刑法
- 行政法
大陆法系
- 条文法、欧陆法、罗马法、民法法系、法典法系
- 通常不承认判例
- 习惯法体系
- 宗教法律体系
知识产权法
商业秘密
- 不可以公开
- 公司花钱做到的
- 公司竞争力
著作权
- 公开发表,转发拷贝印刷需要授权
商标
- 商标要注册
专利
- 专利也要注册,有期限限制
盗版软件
- 应当将公司允许的软件、不允许的软件列举清单,并周知
- 所有合法软件需要有合同或相关证据保留
- 对非法软件使用进行监控,当然合法软件最好也能做计量
隐私
个人隐私(能够将个体从群体中标识出的信息)
- 收集隐私要用户同意
- 使用用户隐私信息需得到授权
- 合理保护
- 隐私相关法律法规
员工隐私
- 工作过程中的个人隐私定义?
数据泄密
合规性(Compliance)
- 信息安全的推动全靠合规
- 监管机构的检查
职业道德
ISC的CISSP道德规范
- 社会责任
- 个人操守
勤勉和胜任服务
- 为雇主负责
- 专业和声誉
5.BCP&DRP需求
人员安全大于一切
BCM 业务连续性管理,其包含BCP&DRP
BCP业务连续性计划
- 可参考的标准:NIST SP800-34IT业务系统连续计划指南
- 常见于排序题
BIA 业务影响分析
- 其核心任务为确定关键业务和最大中断时间
业务恢复流程各概念流程
- 子主题 1
- DCP灾难恢复计划
BCM目的保证企业面对各种灾难时依然能够正常运行
- ISO 22301业务连续性体系管理标准
BCM不仅保证可用性,也包含完整性和机密性
图片过小问题可以复制图片链接到新标签也打开看
更新于2020年3月19号
--接下来开始制作第三章的思维导图
没有评论