CISSP官方学习指南第7版#第5章


=Start=

缘由:

备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。

正文:

参考解答:
第5章 保护资产的安全

5.1 对资产进行分类和标记

资产安全的第一步是对资产进行分类和标记。

5.1.1 定义敏感数据

敏感数据指所有不公开或未分类的信息,可能包括组织需要保护的机密、专有信息,或因数据对组织的价值或组织为遵守现行法律、法规而保护的任何其他类型的数据。

1.个人身份信息
个人身份信息(PII)是指任何可以识别个人的信息。

2.受保护的健康信息
受保护的健康信息(PHI)是任何与个人健康有关的信息。在美国,健康保险流通与责任法案(HIPAA)授权保护PHI。

3.专有数据
专有数据指的是任何帮助组织保持竞争优势的数据。可以是开发的软件代码、产品的技术计划、内部流程、知识产权或商业秘密。如果竞争对手能够访问私有数据,就可能会严重影响组织的主要任务。

5.1.2 定义分类

组织通常会在安全策略或在单独的数据策略中包括数据分类。数据分类识别的是数据对于组织的价值,并对数据的机密性和完整性保护至关重要。策略确定了组织内使用的分类标签,还确定了数据所有者如何确定合适的分类以及人员应如何根据分类保护数据。

  • 绝密——绝密标签适用于这样的信息,”未授权披露通常可能会对国家安全带来可以由原分类组织识别或描述的特别严重的损害。”
  • 保密——保密标签适用于这样的信息,”未授权披露通常可能会对国家安全带来可以由原分类组织识别或描述的严重损害。”
  • 机密——机密标签适用于这样的信息,”未授权披露通常可能会对国家安全带来可以由原分类组织识别或描述的损害。”
  • 非机密——非机密信息指不符合上述绝密、保密、机密标签描述的任何信息。在美国,非机密信息任何人都可用,尽管通常要求个人使用信息自由法案(FreedomOfInformationAct,FOIA)中确定的程序来申请这些信息。

对于CISSP考试来说,只要记住”敏感信息”是指任何未公开或分类的信息。

5.1.3 定义数据安全要求

在定义了数据分类后,对数据的安全要求进行定义也很重要。比如,组织应该采取什么步骤保护邮件的安全性?

5.1.4 理解数据状态

在数据静止、传输以及使用过程中,保护数据的安全性是非常重要的。静态数据是指存储在介质(例如,硬盘、USB闪存盘、存储区域网(SAN)和备份磁带)上的数据。传输数据(有时称为动态数据)是指那些通过网络传送的数据,包括通过有线或无线在内网上传输的数据以及在公共网络(如互联网)上传输的数据。使用中的数据是指在临时存储区中正在被应用程序使用的数据。

5.1.5 管理敏感数据

管理敏感数据的一个主要目标是防止数据泄露。数据泄露会使任何一个未被授权的实体查看或访问敏感数据。

明确各组织内部人员在查询数据时应当遵循的几个基本步骤,以降低数据泄露的可能性。

1.标记敏感数据
2.管理敏感数据
3.存储敏感数据
4.销毁敏感数据

下面的列表包括一些与销毁数据相关的常见术语:

  • 擦除——擦除介质上的数据就是对文件、文件的选择或整个介质执行删除操作
  • 消除——消除或重写是使介质可以重新使用的一个准备过程,这个过程可以确保消除的数据不会通过传统的工具恢复
  • 清除——清除是比消除更强烈的一种形式,是指在安全性较差的环境中使介质达到可再次使用的准备过程,确保原始数据使用任何己知方法都不会恢复。清除过程是将消除过程多次重复,并结合其他方法,如去磁法来完全清除数据。即使清除过程会除去所有残留的数据,但这种方法并不总是可靠的。
  • 解除分类——解除分类是指在非机密情况下对介质或系统进行清除,以使其能够再次使用的准备过程。可以使用清除来为解除分类做准备,但是在安全性较低的情况下,为确保安全解除分类介质而做出的努力比花钱买新介质的成本更高。此外,尽管用任何己知的方法都不能恢复清除的数据,但是似乎还有可以使用的方法。为了规避风险,许多企业选择不解除分类任何介质。
  • 净化——净化是指从系统或介质中删除数据,确保数据不会以任何形式恢复。当一台计算机被处置时,净化包括确保所有的非易失性存储器己被删除或被破坏,系统在任何驱动器中都不含CD/DVD光盘,且内部硬盘(硬盘驱动器和SSD)己被净化、删除和/或销毁。净化指的是破坏介质或使用一种可靠的方法将机密数据从介质上清除,但不破坏介质。
  • 消磁——消磁工具会建立一个强大的磁场区域,从而以消磁的方法擦除介质上的数据。技术人员通常使用消磁的方法将磁带上的数据清除,从而使其回到最初状态。硬盘也可以消磁,但是我们不建议那样做。硬盘消磁通常会破坏访问数据的电路。但是,并不确定硬盘上的数据是否被完全清除。可能会有人在干净空间中启动驱动并在不同的驱动上安装盘片来读取数据。消磁不会对CD、DVD或SSD造成影响。
  • 销毁——销毁是介质生命周期的最后阶段,也是清除介质数据的最安全方法。当销毁介质时,一定要确保其不能再使用或修复,并且数据不能从被破坏的介质上提取。销毁方法包括焚烧、破碎、粉碎、解体,并使用腐蚀性或酸性化学物质溶解。有些组织将高级机密的磁盘驱动器盘片取下,并单独销毁它们。

5.保留资产
保留要求适用于数据或记录、含有敏感数据的介质和系统,以及接触敏感数据的人员。记录保留和介质保留是资产保留的最重要元素。

5.1.6 应用密码学保护机密文件

保护数据机密性的一个主要方法就是加密。

1.应用对称加密保护数据
2.应用传输加密保护数据

5.2 定义数据角色

5.2.1 数据所有者
数据所有者是数据的最终责任人。

5.2.2 系统所有者
系统所有者是拥有含机密数据的系统的人。

5.2.3 业务/任务所有者
业务/任务所有者在不同的组织中角色也不同。NISTSP800-18指的是业务/任务所有者作为项目经理或信息系统所有者。同样,业务/任务所有者的责任可以和系统所有者的责任有重叠或相同。

5.2.4 数据处理者
一般来说,数据处理者是用来加工数据的任意系统。然而,在欧盟的数据保护条文中,数据处理者有更确切的定义。欧盟数据保护法将数据处理者定义为“一个自然人或法人,他拥有个人资料,仅代表数据控制者的利益”。在该条文中,数据控制者是一个控制数据过程的人或实体

5.2.5 管理员
数据管理员负责将数据以合适的方式授予人员。他们不一定必须拥有全部管理者权限和特权,但是他们可以分配权限。管理员分配权限时需要基于最低权限准则和须知,只有在工作有需要时才会授予使用者。管理员通常会使用基于角色的访问控制模型来分配权限。换句话说,他们将用户账号添加至群组,然后授予群组权限。当用户不再需要访问数据时,管理员就将他们的账户从群组中移除。

5.2.6 保管者
数据所有者经常将每天的任务委任给保管者。通过以适当方式保存和保护数据,保管者协助保护数据的安全性和完整性。例如,保管者会根据备份策略确保数据备份。如果管理员在数据上有配置的审计,保管者也同样会保存这些记录。

5.2.7 用户
用户就是任何通过计算系统获取数据并完成工作任务的人。用户只能获取他们需要用来完成工作任务的数据。也可以把用户想象成员工或最终用户。

5.3 保护隐私

5.3.1 使用安全基线

基线提供了一个起点,确保最低安全标准。

5.3.2 审视和定制

审视是指评估基线安全控制,然后只选择那些适用于想保护的IT系统的控制。
定制是指修改基线内的安全控制列表,使其与组织的使命相适应

5.3.3 选择标准

在选择基线内的安全控制时,组织需要确保控制符合某些外部安全标准。外部元素通常定义了对组织的强制性要求。

考试要点:

理解数据分类的重要性。数据所有者负责定义数据分类,确保系统和数据被正确标记。此外,数据所有者定义保护不同分类的数据的需求,比如对静态数据和传输中的敏感数据进行加密。数据分类通常在安全策略或数据策略中定义。

知道PII和PHI。个人身份信息(PII)是任何可以识别个人的信息。受保护的健康信息(PHI)是指任何与特定个人的健康有关的信息。许多法律、法规都规定保护PII和PHI。

知道如何处理敏感信息。敏感信息是指所有类型的机密信息,正确地管理它们可以帮助防止由于未经授权的披露而失去保密。适当的管理包括标志、处理、存储和破坏敏感信息。组织经常漏掉标记的两个区域是充分保护承载敏感信息的备份介质以及在介质和设备生命周期结束时对其进行净化。

理解记录保留。记录保留策略确保在需要数据时,将数据保存在可用状态,在不需要数据时将其破坏。许多法律、法规都规定数据要在特定的时间内进行保存,但是没有正式的规定,因此组织会在策略中指定保留时间。审计跟踪数据需要保持足够长的时间来重建过去的事件,但是组织必须确定他们想要调查多久之前的数据。许多组织当前的趋势是通过对电子邮件实施短期保留策略来减少法律责任。

知道不同角色之间的区别。数据所有者负责分类、标记和保护数据。系统所有者负责处理数据的系统。业务和任务所有者拥有流程,并确保系统对组织的价值。数据处理者通常是为组织处理数据的第三方实体。管理员基于数据所有者提供的指导方针授权访问数据。用户在执行工作任务的过程中访问数据。保管者负责日常存储和保护数据。

了解7条安全港原则。欧盟数据保护法规定保护隐私数据。第三方同意遵守7条安全港原则,以确保它们遵守欧盟数据保护法。7条原则是通知、选择、向前传输、安全性、数据完整性、访问和执行。

了解安全控制基线。安全控制基线提供一份组织可以用作基线的控制清单,并不是所有的基线适用于所有的组织。然而,组织可以应用审视和定制技术来选择满足自身需求的基线。

参考链接:

=END=

,

《 “CISSP官方学习指南第7版#第5章” 》 有 7 条评论

  1. 业务威胁之细说网盘泄露风险
    https://mp.weixin.qq.com/s/TeXdjDcWLmLi4iw8ff9XvA?from=timeline

    【安全】某盘信息公开泄露了咋么办?
    https://mp.weixin.qq.com/s/PLELMu8cVleOLlwRAAYPVg
    `
    0.整体处理流程
    1.验证真实有效性和定级
    2.定位上传人员
    3.判断离职员工是否适合联系
    4.启动官方法务流程材料
    5.FAQ

    ==
    2.定位上传人员
    1)查看百度账号,有的百度账号可能没有加密,直接根据百度账号相关信息进行查找。
    2)看看有没有office文件,如果有,右键查看“属性”可以拿到人名拼音,根据员工信息找到人,可能有离职可能在职。
    3)查看文件是否有个人信息,例如有的材料里有署名等。
    4)查看具体的材料内容,通过材料内容,定位公司内部部门,然后根据查找相应的部门接口人定位具体材料的负责团队甚至负责人。
    `

  2. 最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定
    http://www.court.gov.cn/fabu-xiangqing-254751.html

    中华人民共和国反不正当竞争法
    http://gkml.samr.gov.cn/nsjg/fgs/201906/t20190625_302771.html

    关于《商业秘密保护规定(征求意见稿)》的说明
    http://www.moj.gov.cn/news/content/2020-09/04/zlk_3255343.html

    商业秘密与专利的区别
    http://ipr.mofcom.gov.cn/hwwq_2/intro/intro/intro_trade_secret.html
    `
    商业秘密(Trade Secret, Business Secret),按照中国《反不正当竞争法》的规定,是指不为公众所知悉、能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。

    ■ 秘密性
    ■ 价值性
    ■ 实用性
    ■ 保密性

    商业秘密与专利是两种重要的知识产权,其中技术秘密与专利存在重合和交叉,也就是同一个知识产权内容,即可以用商业秘密进行保护,也可以用专利保护。实践中,权利人应根据具体需要加以选择。

    商业秘密保护的例外

    我国《反不正当竞争法》规定,以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密属侵犯他人商业秘密的行为,但是对公民、法人以合法手段获取他人商业秘密的行为,法律予以保护。商业秘密保护的例外包括:

    一、独立开发
      商业秘密权利人以外的人过经独立的技术开发获得与权利人相同或近似的商业秘密的,不属于侵权商业秘密。

    二、反向工程
      也称逆向工程。商业秘密权利人以外的人,对市售或者其他合法渠道取得的产品进行解剖与分析,从而推知该商业秘密产品的具体技术方案,不构成侵权。

    三、权利人自己泄密
      商业秘密权利人对其所拥有的商业秘密未采取严格的保密措施,自己泄露了商业秘密,则商业秘密将失去法律的保护,他人获得后加以利用,不构成对商业秘密的侵犯。比如,权利人发表论文、参加学术讨论会等,无意中泄露了商业秘密的内容,则他人加以运用并不构成侵犯商业秘密。

    四、获得实施许可
      他人取得商业秘密权利人的合法受让或者实施许可后,即可依照实施许可的约定,使用商业秘密。
    `

  3. 什么软件能快速填充满硬盘的剩余空间?
    https://v2ex.com/t/629066
    `
    现有文件别删除,开启 BitLocker,然后复制文件填满。(BitLocker 加密了数据,你再填满的话理论上所有空间都被加密过的数据覆盖了。)

    ==

    复杂点的方法:创建一个 1T 的文件,管理员 CMD:fsutil file createnew 填满.test 1000000000000
    简单点的方法:复制一个“小姐姐.avi” 然后不停的 ctrl+v

    ==

    你想做的事:抹除敏感数据
    你问的问题:如何填充硬盘的剩余空间

    如果要抹除敏感数据的话,dban 引导然后抹盘就行了。
    为什么搞那么复杂,还要特意用一个不一定能抹掉数据的做法去抹数据呢。

    ==

    DiskGenius 重装系统的时候进 pe 重新分区和格盘
    格盘重新选一个对齐方式,以 512 字节整数倍为基础,可以参考 ssd 硬盘的 4k 对齐
    这样即使数据恢复了,是一个完整的文件的概率非常小,毕竟扇区都重新编号了

    ==

    ccleaner > 工具 > 驱动器擦除
    速度取决于硬盘的写入速度,快不了。要保险的话,需要多次覆盖,就更慢了。
    `

    用 windows 自家的 sdelete 可以安全删除文件到无法恢复的级别。
    https://docs.microsoft.com/en-us/sysinternals/downloads/sdelete

    https://www.ccleaner.com/ccleaner/download

    https://dban.org/

    隐私泄露!如何把电脑隐私文件彻底删除,防止被利用
    https://zhuanlan.zhihu.com/p/77343467

  4. 保护隐私就该如此 – 彻底删除文件数据,使其永远无法恢复!
    https://www.hack520.com/352.html
    `
      为防止用户误删文件,Windows默认设置下按[Del]键删除文件,系统只是将文件移到回收站,文件虽然从原来的位置消失,但却仍然存在。在资源管理器中右击各驱动器的图标可修改回收站设置,可选择不使用回收站而将文件直接删除。另外,按[Shift]+[Del]键删除文件也可以直接删除文件,不过,即便是直接删除文件,系统仍然没有抹去磁盘区域中的文件内容,系统仅仅是在磁盘文件系统的文件表中将该文件标记为删除。在格式化磁盘时系统也是采取类似的操作,仅将存储文件信息的文件表初始化,磁盘中存储的数据不会有任何的改变,而且无论是快速格式化还是普通的格式化都是如此。

      使用文件恢复工具,检索文件表中标记为删除的项目,即可轻松地恢复文件。如果希望彻底地删除文件,就必须采取额外的措施清除磁盘中文件的数据。不过,具体如何删除这些数据才能够足够安全则是业界长期争议的话题。

    # 覆盖数据35次能够彻底清除

      在90年代,安全删除硬盘数据需采用奥克兰大学彼得古特曼教授(Peter Gutmann)的古特曼复写法(The Gutmann Method),此法使用随机和结构化数据模式覆盖原数据存储区域35次,能够使硬盘上存储目标数据的磁性介质极性一再改变,确保即使使用磁力显微镜也无法获取磁性介质原来的极性。问题是古特曼复写法处理1TB的硬盘大约需要5天的时间,不仅需要耗费大量的时间,而且对于硬盘机械部件来说也是一项沉重的负担。

      到了2001年,大部分电脑已经配备了超过15GB的硬盘,古特曼教授为此推荐了新的随机数据覆盖删除方法,科学家克雷格赖特(Craig Wright)在实验室中通过专业的测量仪器,在磁盘表面对该方法进行了测试。他指出,在最新的硬盘上,只需用零完整地覆盖文件的原数据,基本上就不可能再次还原完整的文件。在一个已知位置删除一个文档,使用零覆盖原始内容后恢复出8个字节的内容,成功率仅有0.09%。而对于所在位置未知的文件或体积大的文件来说,恢复成功率几乎为零。因此,这种简单的数据覆盖法也获得了美国国家技术标准协会(NIST)的认可,得到了广泛的应用。

      对于CD、DVD、蓝光盘等光学存储介质,如果该介质是可擦写的,那么同样可以使用数据覆盖的方式清除文件数据。如果介质不可以擦写,那么唯一安全删除的方法是摧毁它,将其分解成许多小颗粒,在碎纸机上粉碎或者刮去存储介质的数据层,例如在光盘的标签油漆之下是反射涂料层,它包含文件的数据,用刀片刮除即可去掉光盘上的内容。

    # 清除固态硬盘中的数据

      由于闪存的使用寿命有限,因而,固态硬盘以及一些闪存盘的控制器特别为此进行了优化,从缓存以及磁盘存取等多方面入手,尽可能地减少擦写闪存颗粒的次数,并将需要写入的数据均匀地分配给所有的闪存单元,这就导致了安全删除工具通过系统发出的数据覆盖指令无法有效地被执行,虽然数据依然被写入了闪存设备中,但是却未必能够写入目标区域,使得清除目标数据的操作失败。

      同样,对支持TRIM的固态硬盘虽然可以尝试通过指令擦写指定的闪存单元,但是仍然无法确定控制器是否已经执行了所需操作。因而,要确保完整清除闪存设备上的数据,唯一的方法是全盘擦写。这项工作可以通过厂商提供的初始化工具实现,例如英特尔的SSD工具箱。如果厂商没有提供适当的工具,那么你可以使用命令行工具HDDErase。

      使用HDDErase时你需要创建一个可启动DOS的闪存盘,并将“HDDERASE.EXE”复制到闪存盘中,重新启动电脑,在BIOS中切换SATA控制器到IDE兼容模式,通过闪存盘启动电脑并运行“HDDERASE.EXE”,仔细阅读软件说明,在软件列出的驱动器中选择需要擦除数据的驱动器,选择普通模式或者加强模式(需设备支持)对磁盘进行擦写。

      由于HDDErase直接通过SATA指令对磁盘进行低层次的擦除,固态硬盘的闪存单元将被初始化,所以磁盘将变得和新的一样。在你准备将用过的固态硬盘出售时,进行如此的处理能够确保数据的安全,但是在正常使用过程中如此处理,却是不容易实现的,一些问题是我们不得不考虑的。首先,如果固态硬盘安装了操作系统和程序该怎么办?在这种情况下,建议在擦除磁盘数据前,使用Acronis TrueImage(acronis.com)将磁盘上的全部文件镜像存储,在擦写磁盘后重新恢复。

      注意:只能够采用文件模式的镜像备份与恢复功能,类似Linux DD命令之类的镜像克隆备份将会对已经删除的文件数据同时进行拷贝。

      另外,未雨绸缪,在固态硬盘上使用TrueCrypt(www.truecrypt.org)创建一个加密容器来存储敏感信息,为加密容器选择一个至少10个字符、包含大写和小写字母以及数字的高强度密码,即可减少备份、擦除数据、恢复系统的麻烦。当你需要对这些敏感信息清除时,只需简单地删除加密容器即可,即使加密容器被恢复也无法获取其中的加密信息。

    # 测试一下:数据真的无法恢复了吗?

      你可以使用数据恢复软件尝试恢复被删除的文件,测试一下安全删除软件是否有效。

      使用Recuva(www.piriform.com),你只需简单地单击“Scan”,即可列出目标磁盘上所有检测到的被删除的文件,如果其中不包含你删除的文件,或者虽然列出了文件但却无法恢复,那说明文件已经被彻底删除,如果你不放心还可以在Recuva的“Settings|Actions”中选择“Deep scan”,让软件更仔细地深度扫描硬盘查找被删除的文件。如果深度扫描仍然无法恢复,那么证明你的安全删除操作基本上算是成功的。

    # 删除的文件为什么可以恢复?

      Windows文件系统通过一个文件表来存储磁盘中每个文件的信息,以NTFS文件系统为例,系统将文件名称、用户权限等元信息以及文件在磁盘中存储的位置等记录在主控文件表(MFT)中,该文件是一个隐藏文件,只有系统能够管理。

      当你删除一个文件的时候,系统将在MFT中标记该文件已经被删除,而文件的内容丝毫不变地保留在磁盘上,因而,使用数据恢复工具能够通过对MFT的分析找出已经被删除的文件,并轻松恢复这些文件。即便是MFT中已经找不到被删除文件的信息,但也仍然可以通过检索磁盘,尽可能地恢复这些被删除文件保存在磁盘中的数据。所以如果希望安全地删除文件,必须彻底地清除文件的数据才可以确保机密不会外泄。
    `

  5. 被动资产识别-从人工到AI
    https://data.hackinn.com/ppt/XCon2022/%E4%B8%BB%E8%AE%BA%E5%9D%9B/%E8%A2%AB%E5%8A%A8%E8%B5%84%E4%BA%A7%E8%AF%86%E5%88%AB%20%E4%BB%8E%E4%BA%BA%E5%B7%A5%E5%88%B0AI.pdf

    XCon2022 | 深信服张星:从人工到AI,5个阶段看「被动资产识别」的步步升级!
    https://mp.weixin.qq.com/s/bXYeRoVEkNLf4JagxesWBA
    `
    You Can’t Protect What You Can’t See. — 只有先知道有什么资产,才能去谈后续的安全防护。

    企业安全中的漏洞管理正在向攻击面管理发展,而要做好攻击面管理,资产的识别与管理是基础。2021年Gartner给出的安全运营的技术成熟度曲线出现外部攻击面管理(EASM)和网络资产攻击面管理(CAASM)。不仅如此,近几年很热门的XDR和零信任更是将“资产”识别放在了核心的定义内容中,并对资产识别能力提出了更高要求。

    资产识别的关键在于对未知资产的自动化识别。未知资产给组织带来了重大的安全风险。当这些资产未经识别且未受保护时,它们为攻击者提供进入公司网络的入口点。一旦这些资产被破坏,它可能允许威胁横向移动,造成更大范围的威胁传播。

    在过往的技术实践中,资产识别通常被划分为主动识别、被动识别和端侧识别三种技术。在企业环境中,一些企业内网存在网络隔离,并且扫描关键业务可能存在安全隐患,主动扫描不可行。端侧识别技术主要用于识别个人PC和笔记本等可以安装Agent的设备,但企业中还存在大量联网的设备,它们无法安装Agent,更适用于被动识别技术。当前的识别方法主要依赖于规则匹配,对指纹库的规范度与标准度依赖较高,一旦出现偏差,识别的效率与准度也将大打折扣。

    ==

    1. 资产识别与管理是攻击面管理的基础
    2. XDR和零信任对资产识别能力提出了更高要求
    3. 资产识别的几种方法
    * 主动扫描——一些企业内网存在各种网络隔离,并且扫描关键业务可能存在安全隐患,主动扫描不可行
    * agent扫描——企业中还存在大量联网的设备但它们无法安装Agent,更适用于被动识别技术

    4. 被动资产识别的五个阶段
    * 阶段1:人工用Wireshark进行指纹提取
    * 阶段2:基于 tshark+ES+Kibana 构建流量分析平台
    * 阶段3:基于平台实现指纹推荐系统
    * 阶段4:用AI来做资产识别
    * 阶段5:全自动资产识别

    规则和ÁI的关系(互补关系)——规则确定性更大;AI是对现有机制的补充,不能完全替代规则
    `

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注