第一章:安全与风险管理

1.1 安全基本原则(CIA)

  机密性(Confidentiality)

  • 加密静止数据(整个磁盘、数据库加密)
  • 加密传输(IPSec、SSL、PPTP、SSH)中的数据
  • 访问控制(物理和技术的)

  完整性(Integrity)

  • 散列(数据完整性)
  • 配置管理(系统完整性)
  • 变更控制(进程完整性)
  • 访问控制(物理和技术的)
  • 软件数字签名
  • 传输循环冗余校验(Cyclic Redundancy Check,CRC)功能

  可用性(Availability)

  • 独立磁盘冗余阵列(RAID)
  • 群集
  • 负载均衡
  • 冗余数据和电源线
  • 软件和数据备份
  • 磁盘映像
  • co-location和异地备用设备
  • 回滚功
  • 故障切换配置

1.2 安全定义

  脆弱性(Vulnerability):系统中允许威胁来破坏其安全性的缺陷
  威胁(Threat):利用脆弱性而带来的任何潜在危险
  风险(Risk):威胁源利用脆弱性的可能性以及相应的业务影响
  暴露(Exposure):造成损失的实例
  控制(Control)或对策(countermeasure):能够消除或降低潜在的风险

 1.3 控制类型

  管理控制:安全文档、风险管理、人员安全和培训
  技术控制:逻辑控制,由软件或硬件组成,如防火墙,入侵检测系统,加密,身份识别和身份验证机制
  物理控制:用来保护设备,人员和资源,保安,锁,围墙,照明

1.4 安全框架

  ISO/IEC 2700系列:安全控制管理的最佳行业实践

  COBIT 5IT治理模型

  COSO内部控制--综合框架,企业治理模型

  ITIL IT服务管理最佳实践、六西格玛(SIX Sigma) 、能力成熟度模型(CMMI)

1.5 风险管理

  风险管理(Risk Management,RM):识别并评估风险,将风险降低至可接受级别并确保能维持这种级别的过程。

  风险评估方法能够识别脆弱性和威胁以及评估可能造成的损失,从而确定如何实现安全防护措施

  风险分析提供了一种成本/收益比

a、资产价值*暴露因子=单一损失预期  Value * EF = SLE
b、单一损失预期* 年发生率=年度损失预期  SLE * ARO =ALE
c、(实施防护措施前的ALE)-(实施防护措施后的ALE)-(防护措施每年的成本)=防护措施对公司的价值
d、威胁*脆弱性*资产价值=总风险
e、(威胁*脆弱性*资产价值)*控制间隙=剩余风险
F、总风险-对策=剩余风险

1.6 人员安全

职责分离(Separation of duties):是一种预防性的管理控制,落实到位,可以减少潜在的欺诈。知识分割与双重控制是职责分离的两种方式。

岗位轮换(Rotation of duties):管理检测控制,落实到位则可以发现欺诈活动。

强制休假(Mandatory vacation):在敏感领域工作额员工被强迫去度假,可以检测到欺诈性的错误或活动。

1.7 BCP&DRP

最高可承受的停机时间(MTD)
恢复时间目标(RecoveryTime Object,RTO):从灾难恢复所花费的时间。
工作恢复时间(Work Recovery Time,WRT):在RTO已经超时后整个MTD值的剩余。
恢复点目标(Recovery Point Objective,RPO):同一场灾难中可容忍的数据丢失量,用时间表示。

业务影响分析(Business Impact Analysis,BIA)的三个主要目标是:优先级排序、停机时间预估和资源需求。


设施恢复--异地租用设施:
完备场所(hot site):几个小时就可以投入运行,最昂贵。
基本完备场所(warm site):只进行部分配置,提供一个配备一些外网设施的备用设施。
基础场所(cold site):提供基本环境、电路、空调、管道和地板,但不提供设备或其他服务,空数据中心,最便宜。
互惠协议:与其他异地选择相比,这种方法更便宜,但会面临很多问题。
冗余场所:完全的可用性、可即刻投入使用和受组织的完全控制,最昂贵的备份设施选项。
滚动完备场所或移动完备场所:大型卡车移动的数据中心。
多处理中心:在世界各地拥有不同的设施。

数据备份方案:
完全备份:对所有数据进行备份。
差量备份:对最近完全备份以来发生变化的文件进行备份。
增量备份:对最近完全备份或增量备份以来发生改变的所有文件进行备份。

电子备份解决方案:
磁盘映像(disk duplexing):两个或多个硬盘保存完全相同的数据。
电子传送(electronic vaulting):在文件发生变化时进行备份,再定期将它们传送到一个异地备份站点。
电子链接:为实现备份而向异地设施传送批量信息的方法。异地备份方式。
远程日志(remote journaling):离线数据传输方法,只将日志或事务日志传送到异地设施,而不传送文件。数据库备份方式。
磁带传送:数据备份到磁带上,手动运输到异地设施。自动磁带传送技术,数据通过一条串行线路传送到异地设施的备份磁带系统。
同步复制:实时复制
异步复制:数据复制不同步
磁带恢复:对恢复时间要求不高。


高可用性:
冗余、容错和故障转移技术
数据可通过磁带、电子传送、同步或异步复制或者RAID来进行恢复。
处理能力可通过群集、负载均衡、镜像、冗余、容错技术来恢复。

第二章:资产安全

2.1 任何对组织有价值的东西都可成为资产,包括人员、合作伙伴、设备、设施、声誉和信息。

2.2 信息生命周期:获取、使用、存档、处置。

2.3 信息分类:

商业公司的信息敏感级别:机密、隐私、敏感、公开

军事机构的信息敏感级别:绝密、秘密、机密、敏感但未分类、未分类

对每种分类执行何种控制取决于管理层和安全团队的决定的保护级别

2.4 责任分层

行政管理层:对组织中发生的一切负责。
            首席执行官(CEO):负责组织机构的日常管理工作。
            首席财务官(CFO):负责公司的账目和财务活动以及组织机构的总体财务结构。
            首席信息官(CIO):处于公司组织结构的较低层。
            首席隐私官(CPO):公司在保护各种类型数据方面面临日益增长的需求。
            首席安全官(CSO):负责了解公司面临的风险和将这些风险缓解至可接受的级别。
        数据所有者:具有应尽关注职责,对特定信息子集的保护和应用负最终责任。
        数据看管员:负责数据的保护与维护工作
        系统所有者:负责一个或多个系统,确保系统的脆弱性得到正确评估
        安全管理员:负责实施和维护企业内具体的安全网络设备和软件
        主管:用户管理者,最终负责所有用户活动和由这些用户创建和拥有的任何资产
        变更控制分析员:负责批准或否决变更网络
        数据分析员:负责保证以最佳方式存储数据
        用户:拥有必要的数据访问级别,才能完成职权范围内的本职工作。

        审计员:定期巡查,确保维护正确的控制措施。

2.4 保留策略

  如何保留?分类法、分级、标准化、索引。

  保留多长时间?数据类型和一般保留期限,参考最佳做法和案例。

  保留什么数据?保留我们有意决定保留的数据,确保能够执行保留。

  电子发现(ESI)

2.5 保护隐私

  消除数据残留的四种方法:覆盖、消磁、加密、物理损毁。最好方法是简单地损毁物理介质,将其粉碎或使其暴露于腐蚀性化学品,甚至焚化。

  隐私政策与用户协议,只收集所需的最少量个人数据,明确用户策略。

2.6 保护资产 

数据安全控制
   静态数据:硬盘、固态、光盘、磁带。---加密静态数据
   运动中的数据:传输层安全TLS或IPSec提供的加密,vpn建立安全连接。
   使用中的数据:侧信道攻击,目前方法是对软件进行测试。
   介质控制:擦除、消磁、重写、破坏。

第五章 身份与访问管理

5.1 用于身份验证的3个因素

  某人知道什么:密码、PIN、密码锁,通过某人知道的内容进行身份验证,其他人也可以获得相关知识进行未授权访问。
  某人拥有什么:钥匙、门卡、访问卡或证件,容易丢失或被盗导致未授权访问
  某人是什么,根据特征进行身份验证,生物测定学

5.2 访问控制模型

  自主访问控制(DAC):数据所有者决定谁能访问资源,ACL用于实施安全策略。
  强制访问控制(MAC):操作系统通过使用安全标签来实施系统的安全策略。
  角色(非自主)访问控制(RBAC):访问决策基于主体的角色或功能位置。
  规则型访问控制(RB-RBAC):把进一步限制访问决策的强加规则添加到RBAC中。

 5.3 生物测定学

  拒绝一个已获授权的个人时,就会出现1类错误(误拒绝率,False Rejection Rate,FRR);当系统接受了一个本应该被拒绝的冒名顶替者时,就会出现2类错误(误接受率,False Acceptance Rate,FAR)。

  交叉错误率(CER),这个等级是一个百分数,误拒绝率与误接受率等值的那个点。CER等级为3的生物测定学系统要比CER等级为4的系统的准确度要高得多,

第六章:安全评估与测试

6.1 内部审计
  优点:熟悉内部系统,更容易发现信息系统中的脆弱性,缺点:可能存在利益性冲突。
6.2 第三方审计
  优点:带来新知识。保持客观,缺点:成本高。

6.3 SOC报告类型
  SOC1:适用于财务控制
  SOC2:适用于信任服务,详细数据,一般不公开
  SOC3:适用于信任服务,细节较少,可用于一般公众性目的

6.4 脆弱性测试

  黑盒测试:模拟外部攻击者,可能覆盖不全
  白盒测试:评估更完整,但无法代表外部攻击者行为
  灰盒测试:介于其他两种方法之间,减少白盒或黑盒测试中的各种问题

6.5 关键绩效和风险指标
  关键绩效指标(KPI):衡量目前情况的进展程度
  关键风险指标(KRI):衡量未来情况会差到什么程度

6.6 管理评审

  管理评审是一个正式的会议,其间,高级组织领导们确认信息安全管理系统是否能够有效地完成其目标。