CISSP官方学习指南第7版#第1章

=Start=

缘由:

备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。

正文:

参考解答:
第1章 通过原则和策略的安全治理

本章中覆盖的CISSP考试大纲包含:
安全和风险管理(例如安全、风险、合规性、法律、法规、业务连续性)
•A.理解和应用机密性、完整性和可用性的概念
•B.应用安全治理原则,通过:
B.1安全功能与战略、目标、使命和愿景的一致(例如商业案例、预算和资源)
B.2组织的流程(例如并购、剥离和治理委员会)
B.3安全角色和职责
B.4控制架构
B.5应尽关注
B.6应尽职责
•F.开发和实现文档化的安全策略、标准、程序和指南
•J.理解和应用威胁建模
J.1识别威胁(例如竞争对手、供应商、雇员和值得信赖的伙伴)
J.2确定和用图表示潜在攻击(例如社会工程学、欺骗)
J.3执行降低分析
J.4修复威胁的技术和流程(例如软件架构和操作)
•K.把安全风险考虑到收购策略和实践中
K.1硬件、软件和服务
K.2第三方评估和监控(例如现场评估、文件传递和审查、流程/策略审查)
K.3最小化安全需求
K.4服务级别需求

对于CISSP认证考试,在通用知识体(Common Body of Knowledge,CBK)的安全和风险管理知识域中有许多安全解决方案的基本要素要处理。这些基本要素包括安全机制的设计、执行和管理。这个知识域的另外一些要素在第2章”人员安全和风险管理概念”、第3章”业务连续性计划”和第4章”法律、法规和合规性”中讨论。请务必检查所有这些章节中针对这一知识域主题的全部观点。

1.1 理解和应用机密性、完整性和可用性的概念

安全管理概念与原则是安全策略和解决方案部署中的固有元素。它们既定义了安全环境所需的基本参数,也定义了策略设计人员和系统实现人员为创建安全解决方案所必须达到的目的和目标。透彻地理解这些内容,对现实生活中的安全专业人士以及CISSP考生来说是非常重要的。

安全的主要目的和目标被包含在CIA三元组中。CIA三元组是三条主要安全原则的名字,这三条安全原则是:
•机密性(Confidentiality)
•完整性(Integrity)
•可用性(Availability)

对安全控制进行评估时,通常关注是否涉及这些核心的信息安全原则。总的来说,完整的安全解决方案应当充分地涉及所有这些原则。对脆弱性和风险的评估也是基于它们对一个或更多个CIA三元组原则的威胁程度。因此,熟悉这些原则,并使用它们作为评判安全相关问题的指导原则,是一个不错的主意。

这三条原则被认为是安全领域内最重要的原则。然而,每条原则对一个特定的组织究竟有多重要,主要取决于组织的安全目标和需求以及安全性所受到的威胁程度。

1.1.1 机密性

CIA三元组的第一条原则是机密性。如果安全机制提供机密性,那么它就为限制未授权主体不能访问数据、客体或资源提供了高级别保证。如果存在对机密性的威胁,那么就有可能发生未授权的泄漏。机密性和完整性相互依赖。客体如果缺乏完整性,机密性就无法被维护。

1.1.2 完整性

CIA三元组的第二条安全原则是完整性。为了维护完整性,客体必须保持自身的正确性,并且只能由被授权的主体进行有意修改。如果安全机制提供了完整性,那么它就对数据、客体和资源提供了保持原有受保护状态和不被修改的高级别保证,这也包括当客体在存储、传输或处理过程中发生的变更。因此,维护完整性意味着客体本身不会被改变,井且管理和操纵客体的操作系统与程序实体不会受到安全威胁。完整性依赖于机密性。缺乏机密性,也就无法维护完整性。完整性的其他概念、条件和特征包括:准确性、真实性、可靠性、合法性、不可否认性、可问责性、可信任性、完整性以及可理解性。

1.1.3 可用性

CIA三元组的第三条安全原则是可用性。可用性指的是经过授权的主体被及时准许和不间断地访问客体。如果安全机制提供了可用性,那么它就提供了经过授权的主体能够访问数据、客体和资源的高级别保证。可用性包括有效地不间断地访问客体和阻止拒绝服务(Denial-of-Service,DoS)攻击。可用性还意味着支持基础结构(包括网络服务、通信和访问控制机制)的正常运作,并允许经过授权的用户获得被授权的访问。为了在系统中维护可用性,必须进行适当的控制,从而确保被授权的访问和可接受的性能等级、快速处理中断、提供冗余度、维持可靠的备份以及避免数据丢失或破坏。可用性依赖于完整性和机密性。缺乏完整性和机密性,就无法维护可用性。与可用性有关的其他概念、条件和特征包括:使用性、可访问性和时效性。

1.1.4 其他安全概念

除了CIA三元组以外,在设计安全策略和部署安全解决方案时,还需要考虑其他很多与安全有关的概念和原则。这一节主要讨论身份标识、身份认证、授权、审计、可问责性,以及不可否认性。

1.身份标识
身份标识是一个过程,在这个过程中,主体会表明身份,并且开启可问责性。主体必须向系统提供身份,从而启动身份认证、授权和可问责性的过程。提供身份的方式可以是:键入用户名、刷智能卡、挥动接近设备、说出一条短语,或将脸、手或手指置于照相机或扫描设备前。提供ID号的过程也是身份标识过程。如果没有提供身份,那么系统就没有办法将身份认证因素与主体关联在一起。
一旦主体通过身份标识(也就是识别和验证了主体的身份),此身份就对主体今后的行为负责。IT系统根据身份而非主体本身进行跟踪活动。计算机无法区分不同的人,但是却知道不同用户的账户是有区别的。主体的身份通常被标记为或被视为公共信息。然而,简单地声明身份并不意味着访问或授权。在获得授权访问受控资源之前,身份必须被证明或验证。这个过程称为身份认证。

2.身份认证
认证或测试所声明身份合法性的过程就是身份认证。

3.授权
一旦主体通过了身份认证,其访问还必须经过授权。授权的过程确保被请求的活动或客体访问,可以获得通过身份认证和指派的权利和特权。在大多数情况下,系统会评估一个访问控制表,这个表会对主体、客体和预计的活动进行比较。如果允许进行指定的操作,那么主体就获得了授权;反之,主体就没有获得授权。

4.审计
审计或监控是程序化方式,通过这种方式,主体在系统中经过身份认证的行为是可问责的。审计也是对系统中未授权的或异常的活动进行检测的过程。审计不仅会记录主体及其客体的活动,而且还会记录维护操作环境和安全机制的核心系统功能的活动。通过将系统事件记录写入日志而创建的审计跟踪,可以用于评估系统的健康状况和性能。系统崩溃可能表明存在程序错误、驱动器错误或入侵企图。记录系统崩溃起因的事件日志常常被用于发现系统出现故障的原因。日志文件为重建事件、入侵和系统故障的历史提供了审计跟踪。我们需要通过审计来检测主体的恶意行为、入侵企图和系统故障以及重构事件,为起诉提供证据、生成问题报告和分析结果。审计通常是操作系统、大多数应用程序和服务的内在特性。因此,配置系统功能来记录特定类型事件的相关信息非常简单。

5.可问责性
只有在支持可问责性时,才能够正确实施组织的安全策略。换句话说,只有在主体的活动可问责时,才能够保持安全性。有效的可问责性依赖于检验主体身份以及跟踪其活动的能力。通过审计、授权、身份认证与身份标识这些安全服务和机制,将联机身份的活动与某个人联系在一起,就可以建立可问责性。因此,人员的可问责性最终依赖于身份认证过程的强度。如果没有强大的身份认证过程,那么在发生不可接受的活动时,我们就无法确定与特定用户账户相关联的人员就是实际控制该用户账户的实体。
为了获得切实可行的可问责性,在法律上你必须能够支持自己的安全性。如果不能在法律上支持自己的安全努力,那么就不太可能问责与某个用户账户相关联人员的活动。只使用密码进行身份认证,这显然值得怀疑。密码是最不安全的身份认证形式,针对这种形式的不同攻击方式有数十种之多。不过,如果使用多因素身份认证(例女日,组合使用密码、智能卡和指纹扫描),那么其他人几乎不可能通过攻击身份认证过程来假冒特定用户账户的关联人员。

6.不可否认性
不可否认性确保活动或事件的主体无法否认所发生的事件。不可否认性能够防止主体宣称自己没有发送消息、没有执行过某项活动或者不是某个事件的起因。身份标识、身份认证、授权、可问责性和审计使不可否认性成为可能。通过使用数字证书、会话标识符、事务日志以及其他很多传输和访问控制机制,我们能够建立不可否认性。如果没有在系统中构建或正确实施不可否认性,那么就无法认证特定实体是否执行了某种动作。不可否认性是可问责性不可缺少的部分。如果嫌疑人能够否认指控,那么他的行为就无法被问责。

1.1.5 保护机制

理解和启用机密性、完整性和可用性概念的另一方面是保护机制的概念,保护机制是安全控制的常见特性。并非所有的安全控制都必须具有这些机制,但是许多控制通过使用这些机制提供对机密性、完整性和可用性的保护。这些机制包括:使用多层次或多级别的访问、利用抽象、数据隐藏以及使用加密。

1.分层
分层只是简单地使用连续的多重控制,也被称为深层防御。没有一种特定的控制方法能保护并对抗所有可能存在的威胁。使用多层次的解决方案允许引入多种不同的控制方法来应对随时出现的各种威胁。当分层设计安全解决方案时,大多数的威胁都会被消除、缓解或阻挡。
使用连续分层法而不是并行分层法,这一概念非常重要。通过连续方式执行安全限制意味着使用线性的方式依次执行。只有通过一系列配置,才能由每个安全控制对攻击进行扫描、评估或缓解。单个安全控制方法的失败不会使整个解决方案失效。如果安全控制是以并行方式执行的,某个威胁就可能穿过单个检查点,从而无法消除该威胁特殊的恶意活动。
连续配置方法虽然范围很窄,但是层次很深;并行配置方法虽然范围很宽,但是层次很浅。并行系统在分布式计算应用程序中非常有用,但是在安全领域内,并行机制往往不是一种有用的概念。
考虑一下通往建筑物的物理入口。并行安排出入口的方法被用于购物商场,商场周边的许多地方都设置了出入口。连续设置出入口的方式很可能用于银行或机场。这种场合只提供单一的入口,并且此入口实际上是为了获得进入建筑物活动区域而必须按顺序通过的几个关口或检查点。
分层还包括网络由多个独立实体组成的概念,每个实体都有自己独特的安全控制方法与脆弱性。在有效的安全解决方案中,所有构成单个安全防线的网络系统之间存在协同作用,从而共同筑起一道安全防线。使用独立的安全系统会导致生成分层的安全解决方案。

2.抽象
抽象是为提高效率而使用的。相似的元素被放入组、类别或角色(被整体性授予安全控制、限制或权限)中。因此,当为客体分类或为主体分配角色时,就需要使用抽象的概念。抽象的概念还包括客体和主体类型的定义或客体本身的定义(也就是用于为实体类别定义模板的数据结构)。抽象用于定义客体可以包含的数据类型、可以在这个客体上执行的或由该客体执行的功能类型以及这个客体具有的功能。抽象使你能够为按类型或功能分类的客体组分配安全控制方法,并抽象简化了安全措施。

3.数据隐藏
顾名思义,数据隐藏通过将数据置于主体不可访问或无法看到的存储空间,从而防止主体发现或访问数据。不让未授权的访问者访问数据库是数据隐藏的一种形式,同样,限制分类级别较低的主体访问级别较高的数据也属于这种情况,阻止应用程序直接访问硬件也是数据隐藏的一种形式。在安全控制和程序设计中,数据隐藏通常是一个关键要素。

4.加密
加密是对计划外的接收者隐藏通信数据的含义或意图的一门艺术和学科。加密可以具有很多形式,并且能够被应用于所有的电子通信类型,包括文本、音频和视频文件以及应用程序本身。加密技术是安全控制中一个非常重要的要素,尤其系统之间的数据传输更是如此。加密的强度各种各样,每种强度的设计都针对一种特定的用途或目的。第6章”密码学与对称加密算法”和第7章”PKI和密码学应用”中详细讨论了加密技术。

1.2 应用安全治理原则

安全治理是实践行为的集合,这些实践都与支持、定义和指导组织的安全工作相关。安全治理与组织和IT治理密切相关,而且经常交织在一起。这三种治理的目标一般是相同或相关的。例如,治理的共同目标就是确保组织能持续且能随时间的推移不断扩大。因此,治理的共同目标就是维持业务流程,同时努力实现增长和弹性。

1.2.1 安全功能战略、目标、任务和愿景的一致

安全管理计划能确保安全策略的适当创建、实现和实施。安全管理计划将安全功能与组织的战略、目标、任务和愿景相结合,这包括根据商业论证、预算限制或稀缺资源设计和实现安全性。为了对做出决定或采取某种形式行动的必要性进行定义,商业论证通常会记录参数或说明立场。制定商业论证就是要说明具体的商业需求,以改变现有业务或选择实现商业目标的方法。商业论证的制定通常能证明启动了一个新的项目,尤其是与安全相关的项目。同样重要的是,要考虑能够分配的预算有多少,这些预算用于以商业需求为基础的安全防范项目。做好安全防护往往成本很高,但这却是长期可靠经营的重要因素。对大多数机构而言,资金和资源,比如人、技术和空间,都是有限的。由于有这样的资源限制,因此需要努力实现利益最大化。
解决安全管理计划编制的最有效方法是采用自上而下的方式。上层、高层或管理部门负责启动和定义组织的安全策略。安全策略为组织中较低级别的人员指出了方向。中层管理部门的职责是在安全策略的指导下制定标准、基准、指导方针和程序。接着,操作管理者或安全专家负责实现在安全管理文档中规定的配置要求。最后,最终用户必须遵守组织制定的所有安全策略。
安全管理部门(而不是IT人员)负责更高层的管理,并且考虑的是业务运营问题,而不是IT管理问题。安全管理团队或部门负责组织内的安全性,应当独立于其他所有部门。信息安全团队应当由指定的首席安全官(Chief Security Officer,CSO)领导,CSO必须直接向高级管理者报告。为CSO及其团队赋予组织特有分级结构之外的自主权,这不仅能够改善整个组织之间的安全管理,而且有助于避免部门交叉和内部权力斗争问题。
安全管理计划编制的元素包括:定义安全角色;规定如何管理安全性、谁负责安全性以及如何测试安全性的效力:开发安全策略;执行风险分析;以及要求对员工进行安全教育。这些职责要经过管理计划开发的指导。
如果缺少一个关键因素(得到高级管理者的批准),那么再好的安全计划也是无用的。缺少高级管理者的批准和委托,安全策略就无法取得成功。策略开发团队负责对高级管理部门进行充分的教育,从而使其理解即使采取安全策略所规定的安全措施之后也仍然存在的风险、义务和暴露。开发和实现安全策略能够证明高级管理者对安全性问题进行了适度关注并尽责。如果某个公司没有对安全性进行适度关注并尽责,那么管理者就对疏忽负有责任,并且应当为资产损失和财务损失担责。

1.2.2 组织流程

安全治理需要照顾到组织的方方面面,包括收购、剥离和治理委员会等组织流程。收购兼并会增加机构的风险等级,这些风险包括不适当的信息披露、数据丢失、故障或未达到足够的投资回报率(Return On Investment,ROI)。除了收购兼并中的典型商业和财务方面,有效的安全监督和强化审查往往也是降低损失可能性的必要措施,比如在转型期。

加强安全治理的两个必要额外组织流程的实例是变更控制/变更管理和数据分类。

1.变更控制/变更管理
安全管理中的另外一个重要方面是对变更进行控制或管理。安全环境的改变可能引入会导致新脆弱性出现的漏洞、重叠、客体丢失和疏漏。面对变更,维持安全性的唯一方法是系统地管理变更,这往往涉及对安全控制和机制相关的活动,进行广泛的计划编制、测试、日志记录、审计和监控。然后对环境变化进行记录,确定变更的作用者,无论这些作用者是主体、客体、程序、通信路径还是网络本身。

变更管理的目标是确保任何变更都不能降低或危及安全性。变更管理还负责能够将任何变更都回滚到先前的安全状态。变更管理可以在任何系统上实现(不考虑安全级别)。

变更管理应该用于监督系统每个方面发生的变更,包括硬件配置、操作系统和应用软件的变更。变更管理应该被包含在设计、开发、测试、评估、实现、分发、演变、发展、持续操作以及修改中。变更管理不仅需要每个组件和配置的详细目录,而且还需要为每个系统组件(从硬件到软件,以及从配置设置到安全特性)收集和维护完整的文档。

2.数据分类
数据分类是根据数据的秘密性、敏感性或机密性需求来保护数据的主要方式。在设计和实现安全系统时,因为某些数据项需要更高的安全性,所以对所有数据采取同样的处理方法是低效率的。

数据分类方案的主要目的是:根据重要性和敏感性给数据分配标签,对数据安全保护过程进行规范化和层次化。数据分类用于为数据存储、处理和传输提供安全机制,此外还可以确定如何从系统中删除数据和销毁数据。

为了实现分类方案,必须完成下列7个主要的步骤或阶段:
(1)确定管理人员并定义他们的职责。
(2)指定如何对信息进行分类和标记的评估标准。
(3)为每个资源进行分类和添加标签(所有者主导这个步骤,但是必须有监督人员进行检查)。
(4)记录发现的分类策略的所有例外,并且将这些例外集成到评估标准中。
(5)选择应用于每个分类级别的安全控制,从而提供必要的保护级别。
(6)指定解除资源分类的过程以及将资源的保管权转移给外部实体的过程。
(7)创建一份整个组织范围内都知晓的计划,从而指导所有人员对分类系统的使用。

1.2.3 安全角色和责任

安全角色是指个人在组织内部的整个安全实现和管理方案中所扮演的角色。因为并不总是明确的或静态的,所以安全角色在工作描述中不是必须被规定的。熟悉安全角色将对在组织内部建立通信和支持结构很有帮助,这种结构能够支持安全策略的部署和执行。

1.2.4 控制架构

为组织起草安全性立场通常会涉及很多事情,不只是写下几条远大的理想。在多数情况下,制定可靠的安全策略会涉及很多规划。许多读者可能认识到这个看似荒谬的概念,即召开会议为未来制定计划。事实证明,为安全制定计划必须从规划计划开始,然后规划标准和合规,最后再进行实际的计划开发和设计。跳过这些”规划计划”中的任何一步都可能使计划在开始之前就发生偏移。

安全计划步骤中最重要的一步,也是第一步,就是考虑组织想要的安全解决方案的整体控制框架或结构。可以从几个与安全性相关的概念基础设施中进行选择;而CISSP考试覆盖的一个方面是信息及相关技术控制目标(Control-Objectives-for-Information-and-Related-Technology,COBIT)。COBIT记录了一整套优秀的IT安全实践,这些是由国际信息系统审计协会(Information-System-Audit-and-Control-Association,ISACA)起草的。COBIT规定了安全控制的目标和要求,鼓励将IT的理想安全目标映射到商业目标中。COBIT 5的基础是企业IT治理和管理的5条关键原则:原则1:满足利益相关者的需求;原则2:对企业做到端到端的覆盖:原则3:使用单一的集成框架;原则4:使用整合处理法:原则5:把治理从管理中分离出来。COBIT不仅可用于计划组织的IT安全,也可以作为组织审计师的指导方针。

幸运的是,这一考试只是参考了COBIT的大体内容,不需要了解很多详细内容。

1.2.5 应尽关注和应尽职责

为什么规划安全计划如此重要?一个原因就是,这是应尽关注和应尽职责的要求。应尽关注是通过合理的关注保护组织利益。应尽职责是不断实践能够维持应尽关注成果的活动。例如,应尽关注会开发规范化的安全结构,这个结构会包含安全策略、标准、基线、指导方针和程序:而应尽职责是继续将这个安全结构应用到机构的π基础设施中。操作性安全需要组织内各责任方都能够对应尽关注和应尽职责保持持续不断的维护。

当今的商业环境,必须要谨慎。做到应尽关注与应尽职责是唯一能够证明损失发生不是因为疏忽的方法。高管必须做到应尽关注和应尽职责才能在出现损失时减少他们的过失和责任。

1.3 开发和文档化安全策略、标准、指导方针和程序

对于大多数的组织来说,维护安全性是业务发展的重要组成部分。如果安全受到严重危害,那么许多组织就无法正常运作。为了减少出现安全故障的可能性,已经在一定程度上规范了实现安全性的过程。这种规范化过程大大减少了为IT基础架构设计和实现安全解决方案中的混乱和复杂性(开发和实现文档化的安全策略、标准、指导方针和程序能产生坚实可靠的安全基础设施。安全解决方案的规范化采取了文档的分级组织形式,每个级别都关注信息和问题中的一个特定类型或类别。

1.3.1 安全策略

规范化的最高层次被称为安全策略。安全策略是一个文挡,这个文档定义了组织所需的安全范围,并且讨论了需要保护的资产以及安全解决方案为提供必要保护而应当涉及的范围。安全策略概述或归纳了组织的安全需求,定义了主要的安全目标,井且概述了组织的安全架构。安全策略还确定了数据处理的主要功能领域,并且澄清和定义了所有相关的术语。安全策略应当清楚地定义为什么安全性很重要以及哪些资产是有价值的。它是实现安全性的战略计划。安全策略应当广泛地概括出用于保护组织切身利益的安全目标和原则。文档讨论了安全性对于日常营业每个方面的重要性以及高层职员对实现安全措施予以支持的重要性。安全策略被用于分配职责、定义角色、指定审计要求、概述实施过程、指明遵循要求以及定义可接受的风险级别。这个文档通常用于证明高层管理部门为保护不遭受入侵、攻击和灾难予以应有的关注。安全策略是强制性的。

1.3.2 安全标准、基准及指南

一旦设定了主要的安全策略,就可以在这些策略的指导下拟定剩余的安全文档。标准为硬件、软件、技术和安全控制方法的统一使用定义了强制性要求。标准提供了操作过程,在这个过程中,整个组织内部统一实现技术和措施。标准是战术文档,定义了达到安全策略指定的目标和总体方向的步骤或方法。

下一个层次是基准。基准定义了安全性的最低级别,组织中的所有系统都必须达到基准要求。没有达到基准的所有系统都应该被排除在生产系统之外,直至这些系统被提升达到基准要求为止。基准建立了通用的安全状态基础,所有附加的和更严格的安全措施可以被建立在这个基础之上。基准通常是系统特定的,并且往往指的是行业或标准,例如可信任计算机系统评估标准(TCSEC)、信息技术安全评估和标准(ITSEC)以及NIST(美国国家标准技术研究院)标准。

指南是规范化安全策略结构的下一个元素。指南提供了如何实现标准和基准的建议,井且能够作为安全专家和用户的操作指南。指南具有灵活性,因此为了适合每种特定的系统或条件,它们可以被定制,并且能够在新措施的创建过程中使用。指南说明了应当部署哪些安全机制,而不是规定特定的产品或控制以及详细的配置设置。指南概述了一套方法(包括行动建议),但并非强制性的。

1.3.3 安全程序

程序是规范化安全策略结构的最后一个要素。程序是详细的、按部就班的指导文档,它描述了实现特定安全机制、控制或解决方案所需的确切行动。程序可以讨论整个系统的部署操作或者关注单个产品或方面,例如部署防火墙或更新病毒定义。大多数情况下,程序仅限于具体的系统和软件。随着系统硬件和软件的发展,必须被不断更新。程序的目的是确保业务流程的完整性。如果通过某个详细的程序能够达到所有目的,那么所有活动都应当遵循策略、标准和指导方针。程序有助于在所有系统之间确保安全性的标准化。

通常,策略、标准、基准、指导方针和程序只是在顾问或审计人员的敦促下,作为事后产生的想法进行发展。如果这些文档没有被使用和更新,那么安全环境的管理就无法将它们作为指南使用。如果没有这些文档提供的计划编制、设计、结构和监督,就无法维持环境的安全,也无法代表己经尽责并给予适度的关注。

1.4 理解和应用威胁建模

威胁建模是潜在威胁被识别、分类和分析的安全流程。威胁建模在设计和开发过程中可以作为一种积极主动的措施执行,而产品一旦被部署,就会被作为一种被动式措施。在这两种情况下,流程会识别潜在危害、发生的概率、问题优先级以及消除或减少威胁的手段。

威胁建模并不意味着是一个单独的事件。相反,组织在系统设计流程早期就开始威胁建模并在整个系统周期内一直持续是很常见的。例如,微软使用安全开发生命周期(Security Development Lifecycle,SDL)流程在产品的每个开发阶段考虑和实现安全。这支撑了这句箴言”设计安全、默认安全、部署和沟通安全”(也称为SD3+C)。这一流程(SDL)有两个目标:

  • 减少安全相关的设计和编码缺陷的数量
  • 降低剩余缺陷的严重程度

换句话说,试图减少漏洞,降低任何存在缺陷的影响。总的结果是减少风险。

1.4.1 识别威胁

可能的威胁几乎是无限的,所以使用一种结构化的方法来准确地识别相关威胁是很重要的。例如,一些组织使用以下三种方法中的一种或多种:

  • 关注资产——这种方法使用资产的估值结果,并试图识别对于宝贵资产的威胁。例如,可以评估一个特定的资产,以确定其是否容易受到攻击。如果资产寄存着数据,则可以评估访问控制来识别能够绕过身份认证或授权机制的威胁。
  • 关注攻击——一些组织能够识别潜在的攻击者,并能够基于攻击者的目标识别他们所代表的威胁。例如,政府往往能够识别潜在的攻击者,井识别攻击者想要达到的目标。然后他们可以使用这种知识来识别并保护他们的相关资产。这种方法面临的一个挑战是,可能会出现以往未被视为一种威胁的新攻击者。
  • 关注软件——如果一个组织开发了一个软件,则可能会考虑针对软件的潜在威胁。尽管几年前组织一般不自己开发软件,但如今这己非常常见。具体地说,大多数组织都有网络存在,许多都创建了自己的网页。精美的网页带来更多的流量,但他们也需要更复杂的编程,并会受到更多的威胁。

如果威胁被确定为攻击者(而不是自然威胁),那么威胁建模尝试确定攻击者可能会试图达到什么目的。有些攻击者可能想禁用系统,而其他攻击者可能想要窃取数据。一旦确认了这种威胁,就会基于目标或动机对他们进行分类。此外,将威胁和漏洞进行井列,来识别可能通过利用漏洞给组织带来重大风险的常见威胁。威胁建模的一个终极目标就是优先处理针对组织宝贵资产的潜在威胁。

当试图对威胁进行盘点并分类时,使用指南或参考通常是有用的。微软开发了一个称为STRIDE的威胁分类方案。STRIDE的使用经常与对应用程序或操作系统威胁的评估相关。然而,它也可以用于其他情境。STRIDE是以下几个单词的首字母缩写:

  • 电子欺骗(Spoofiing)——通过使用伪造身份获得对目标系统访问的攻击行为。电子欺骗可以用于IP地址、Mac地址、用户名、系统名称、无线网络名称、电子邮件地址以及许多其他类型的逻辑标识。当攻击者将自己伪装成一个合法或授权的实体时,他们往往能够绕过针对未授权访问的过滤器和封锁。一旦电子欺骗攻击让攻击者成功访问目标系统,后续的滥用、数据盗窃或特权提升攻击就都可以发起。
  • 篡改(Tampering)——任何对数据进行未授权的更改或操纵的行为,不管是传输中的数据还是被存储的数据。使用篡改来伪造通信或改变静态信息。这种攻击是对完整性和可用性的侵害。
  • 否认(Repudiation)——用户或攻击者否认执行了一个动作或行为的能力。通常攻击者会否认攻击,以便保持合理的推读,从而不为自己的行为负责。否认攻击也可能会导致无辜的第三方因安全违规而受到指责。
  • 信息披露(Information disclosure)——将私人、机密或受控信息揭露、传播给外部或未授权实体的行为。这可能包括客户身份信息、财务信息或自营业务操作细节。信息披露可以利用系统设计和实现错误,如未能删除调试代码、留下示例应用程序和账户、未对客户端可见内容的编程注释(如HTML文档中的注释)进行净化或将过于详细的错误消息暴露给用户。
  • 拒绝服务(DoS)——指攻击试图阻止对资源的授权使用。这可以通过缺陷开发、连接重载或流量泛滥实现。DoS攻击并不一定会导致对资源的完全中断;而是会减少吞吐量或造成延迟,以阻碍对资源的有效利用。尽管大多数DoS攻击都是暂时的,只在攻击者进行袭击时存在,但还是存在一些永久性的DoS攻击。永久DoS攻击可能涉及对数据集的破坏、使用恶意软件对软件进行替换,或强迫可以被打断或安装错误固件的固件flash操作。这些DoS攻击将造成系统的永久受损,使其不能使用简单的重启或通过等待攻击者结束而恢复正常操作。要从永久DoS攻击中恢复过来,将需要进行完整的系统修复和备份恢复。
  • 权限提升(Elevation of privilege)——此攻击是指有限的用户账号被转换成拥有更大特权、权力和访问权的账户。这可能会通过盗窃或开发高级账户(如管理员或root账户)凭证来实现。有的系统或应用程序还可能会为原本有限的账户临时或永久授予额外权力。

1.4.2 确定和用图表示潜在攻击

一旦明白开发的项目或部署的基础设施可能面临的威胁,那么下一步是进行威胁建模,确定可能发生的潜在攻击概念。通常通过创建事务中的元素图表、数据流指向和特权边界来完成。

1.4.3 执行降低分析

威肋建模的下一步是执行降低分析。执行降低分析是为了分解应用程序、系统或环境。这个任务的目的是更好地理解产品逻辑及其与外部的交互元素。不管是应用程序、系统还是整个环境,都需要被分成更小的容器或隔间。如果关注的是软件、电脑或操作系统,这些可能是子程序、模块或客体;如果关注的是系统或网络,这些可能是协议:如果关注的是企业的整个基础设施,这些可能是部门、任务和网络。应该对识别出的每个子元素进行评估,以便理解输入、处理、安全性、数据管理、存储和输出。

1.4.4 优先级和响应

因为威胁要通过威胁建模进行识别,所以需要规定额外活动来完善整个流程。下一步是记录归档全部威胁。在文档编制中,应该对威胁的手段、目标和后果进行定义。要考虑实施某项开发可能需要的技术,以及列明潜在的对策和保障措施。

编制文档后,要对威胁进行排序或定级。可以利用各种技术完成这个过程,如使用概率×潜在损失的排名、高/中/低评级或DREAD系统。

设计DREAD评级系统是为了提供灵活的评级解决方案,其基于对每种威胁的5个主要问题的回答:
•潜在破坏如果威胁成真,可能造成的损失有多严重?
•再现性攻击者重现这一漏洞有多复杂?
•可利用性实施攻击有多难?
•受影响用户有多少用户可能受到攻击的影响(按百分比)7
•可发现性攻击者发现弱点会有多难?

通过询问这些以及潜在的额外自定义问题,并对这些回答标注H/M/L或3/2/1值,就可以建立一张详细的威胁优先级表。

一旦设置了威胁的优先级,就需要确定对这些威胁的响应。应根据解决威胁的技术以及流程的成本和效率,对这些技术和流手行考察权衡。反应选项应包括调整软件架构、改变操作和流程以及实现防御和检测组件。

1.5 把安全风险考虑到收购策略和实践中

将网络安全风险管理与收购策略和实践进行综合,是确保组织安全策略成功强健的一种手段,而不管机构的规模是什么样的。如果在没有考虑安全性的情况下贸然购买,那么所购买的这些产品的固有风险将在整个部署过程中一直存在。将收购元素的固有威胁最小化能减少安全管理成本,并且有可能减少安全违规。

1.6 本章小结
  • 安全治理、管理概念与原则是安全策略和解决方案部署中的固有元素。它们不仅定义了安全环境所需的基本参数,也定义了策略设计人员和系统实现人员为创建安全解决方案所必须达到的目的和目标。
  • 安全性的主要目标和目的包含在CIA三元组中:机密性、完整性和可用性。这三条原则被认为是安全领域内最重要的原则。然而,每条原则对一个特定的组织究竟有多重要,主要取决于组织的安全目标和需求以及安全性所受到的威胁程度。
  • CIA三元组的第一条原则是机密性,也就是客体不能暴露给未授权主体的原则。安全机制提供了机密性,也就为限制未授权主体不能访问数据、客体或资源提供了高级别保证。如果存在对机密性的威胁,那么就有可能发生未授权的泄漏。
  • CIA三元组的第二条原则是完整性,也就是客体保持自身的正确性和只能由己授权主体进行有意识修改的原则。如果安全机制提供了完整性,也就对数据、客体和资源提供了保持原有受保护状态并不被修改的高级别保证,这包括当客体在存储、传输或处理过程中发生的变更。维护完整性意味着客体本身不会被改变,并且管理和操纵客体的操作系统与程序实体不会受到安全威胁。
  • CIA三元组的第三条原则是可用性,也就是经过授权的主体被及时准许和不间断地访问客体的原则。如果安全机制提供了可用性,也就提供了经过授权的主体能够访问数据、客体和资源的高级别保证。可用性包括有效地、不间断地访问客体和阻止拒绝服务攻击。可用性还意味着支持基础设施的正常运作,并允许经过授权的用户获得被授权的访问权。
  • 除了CIA三元组以外,在设计安全策略和部署安全解决方案时,还需要考虑其他很多与安全有关的概念和原则,包括隐私性、身份标识、身份认证、授权、可问贡性、不可否认性和审计。
  • 安全解决方案的概念和原则的其他方面是保护机制的元素:分层、抽象、数据隐藏以及加密。这些元素是安全控制的常见特性。并非所有的安全控制都必须具有这些元素,但是许多控制通过使用这些机制提供对机密性、完整性和可用性的保护。
  • 安全角色决定谁对组织机构的资产安全负有责任。担任高管角色的人对任何资产损失最终负责和承担义务,并且对安全策略进行定义。安全专家负责实现安全策略,用户负责遵守安全策略。担任数据所有者角色的人负责对信息进行分类,数据管理员负责维护安全环境和备份数据。审计人员负责确认安全环境是否能恰当地保护资产。
  • 规范化的安全策略结构由策略、标准、基准、指导方针和程序组成。这些独立的文档是在任何环境中设计和实现安全的必要元素。
  • 安全管理实践中的一个重要方面是对变更的控制或管理。安全环境的改变很可能引入会导致新脆弱性出现的漏洞、重叠、客体丢失和疏漏。面对变更,能维持安全性的唯一方法是要系统地管理变化,这往往涉及对与安全控制和机制相关的活动进行广泛的日志记录、审计和监控。最终得到的数据随后用于确定变更的作用者,无论这些作用者是客体、主体、程序、通信路径还是网络本身。
  • 数据分类是根据数据的秘密性、敏感性或机密性需求来保护数据的主要方式。在设计和实现安全系统时,因为某些数据项需要更高的安全性,所以对所有的数据采取同样的处理方法是低效率的。在较低的安全级别保护所有的数据,意味着敏感数据很容易被访问到。在较高的安全级别保护所有的数据,成本太高且对未分类的非关键数据的访问限制太多。数据分类用于确定需要分配多少工作量、资金和资源去保护数据以及控制对数据的访问。
  • 安全管理计划的一个重要方面是实施适当的安全策略。为确保有效,安全管理方法必须是自上而下的。启用和定义安全策略的责任属于组织上层或高管人员。安全策略是为组织下层人员提供方向的。中层管理人员负责把安全政策充实为具体标准、基准、指导方针和步骤。对安全管理文件中预定的参数进行配置是运营经理或安全专家的责任。最后,最终用户的责任是要遵循组织的所有安全策略。
  • 安全管理计划编制的元素包括:定义安全角色;开发安全策略;执行风险分析;以及要求对员工进行安全教育。这些职责要经过管理计划开发的指导。安全管理团队应当开发战略计划、战术计划和操作计划。
  • 威胁建模是一种安全流程,能识别、分类和分析潜在威胁。威胁建模在设计开发阶段可作为一种提前措施来执行,或在产品被部署后作为一种被动性措施来执行。在这两种情况下,这个安全流程能识别潜在危害、发生概率、优先级问题以及消除或减少威胁的手段。
  • 将网络安全风险管理与收购策略和实践进行综合,是确保组织安全策略成功和完善的一种手段,而不管组织的规模是什么样的。如果在没有考虑安全性的情况下贸然购买,所购买的这些产品的固有风险将在其整个部署过程中一直存在。
1.7 考试要点
  • 理解CIA三元组的元素:机密性、完整性和可用性。机密性是客体不能暴露给未授权主体的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效的对策。完整性是客体保持自身的正确性以及只能由己授权主体进行有意识修改的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效的对策。可用性是经过授权的主体被及时准许和不被打断地访问客体的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效的对策。
  • 能够解释身份标识是如何工作的。身份标识是一个过程,在这个过程中,主体会表明身份,并且开始提供可问责性。主体必须向系统提供身份,从而启动身份认证、授权和可问责的过程。
  • 理解身份认证的过程。认证或测试所声明身份合法性的过程就是身份认证。身份认证要求来自主体的附加信息必须完全对应于被表明的身份。
  • 了解如何在安全计划中实现授权。一旦主体通过了身份认证,其访问还必须经过授权。授权的过程确保请求的活动或客体访问,可能获得了为通过身份认证的身份而指派的权利和特权。
  • 理解安全治理。安全治理是关于组织支持、定义和指导安全工作的实践集合。
  • 能够解释审计过程。审计或监控是程序化方式,通过这种方式,主体在系统中经过身份认证的行为是可问责的。审计也是对系统中未经授权的或异常的活动进行检测的过程。我们需要通过审计来检测主体的恶意行为、入侵企图和系统故障以及重构事件,为起诉提供证据、生成问题报告和分析结果。
  • 理解可问责性的重要性。只有在支持可问责性时,组织的安全策略才能够被正确实施。换句话说,只有在主体的活动可问责时,才能够保持安全性。有效的可问责性依赖于检验主体身份以及跟踪其活动的能力。
  • 能够解释不可否认性。不可否认性确保活动或事件的主体无法否认所发生的事件。不可否认性能够防止主体宣称自己没有发送消息、没有执行过某项活动或者不是某个事件的起因。
  • 理解安全管理计划编制。安全管理基于三种类型的计划:战略计划、战术计划和操作计划。战略计划是长期计划,并且是相当稳定的,用于定义组织机构的目的、任务和目标。战术计划是中期计划,用来提供更加详细的实现战略计划所提出目标的计划。操作计划是短期计划,是基于战略和战术计划的非常周详的计划。
  • 了解规范化安全策略结构的元素。为了生成全面的安全计划,需要适当地遵守下列要求:安全策略、标准、基准、指导方针和程序。这些文档清楚地描述了安全需求并反映了责任方的适度关注。
  • 理解重要的安全角色。主要的安全角色有高层管理者、组织机构所有者、上层管理者、安全专家、用户、数据所有者、数据管理员以及审计人员。通过构建安全角色的层次,就可以全面限制风险。
  • 了解如何实现安全意识培训。在真正的培训开始之前,必须为用户建立树立为公认实体的安全意识。一旦树立了安全意识,培训或教育员工执行工作任务和遵守安全策略就可以开始了。所有的新员工都需要进行培训,这样他们才能够遵守安全策略中规定的所有标准、指导方针和程序。教育是一项更细致的工作,学生/用户需要学习比他们完成工作任务实际所需知识多得多的知识。教育往往与用户参加认证考试或寻求职务晋升相关联。
  • 了解分层如何简化安全。分层是串联使用多个控制层次。使用多层次解决方案,使用许多控制去防范威胁。
  • 能够解释抽象的概念。抽象用于将相似的元素放入组、类别或角色(被整体性授予安全控制、限制或权限)中,抽象提高了实施安全计划的效率。
  • 理解数据隐藏。顾名思义,数据隐藏防止主体发现或访问数据。在安全控制和程序设计中,数据隐藏通常是一个关键要素。
  • 理解对加密的需求。加密是对计划外的接收者隐藏通信数据的含义或意图的一种艺术和学科。加密可以具有很多形式,并且能够用于所有的电子通信类型,包括文本、音频和视频文件以及应用程序本身。加密技术是安全控制中一个非常重要的元素,尤其系统之间的数据传输更是如此。
  • 能够解释更改控制和更改管理的概念。安全环境的改变很可能引入会导致新脆弱性出现的漏洞、重叠、客体丢失和疏漏。面对更改,维持安全性的唯一方法是系统地管理更改。
  • 了解为什么和如何进行数据分类。数据分类旨在简化给客体组(而不是单独客体)分配安全控制的过程。两种通用的分类方案是政府/军方分类和商业私营部门分类。了解政府/军方分类中的5个级别和商业/私营部门分类中的4个级别。
  • 理解解除分类的重要性。一旦某个资产不再需要当前分配的分类或敏感性级别保护,就需要解除分类。
  • 了解COBIT的基础知识。信息及相关技术控制目标(COBIT)是一种安全概念基础架构,用于组织公司的复杂安全解决方案。
  • 了解威胁建模的基础知识。威胁建模是一种安全流程,能识别、分类和分析潜在威胁。威胁建模在设计开发阶段可作为一种提前措施来执行,或在产品被部署后作为一种被动性措施来执行。关键概念包括资产/攻击者/软件、STRIDE、图形表示、约简/分解和DREAD。
  • 了解安全并购的必要性。将网络安全风险管理与收购策略和实践进行综合是确保组织的安全策略成功强健的一种手段,而不管组织的规模是什么样的。如果在没有考虑安全性的情况下贸然购买,所购买的这些产品的固有风险将在其整个部署过程中一直存在。
参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3730.html

《CISSP官方学习指南第7版#第1章》上有7条评论

  1. “零信任”安全架构将成为网络安全流行框架之一
    https://mp.weixin.qq.com/s/nj5ALtaPt_6biT4628tcRw

    零信任是什么?

    零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。

    简言之,零信任的策略就是不相信任何人。除非网络明确知道接入者的身份,否则任谁都别想进入。什么IP地址、主机之类的,不知道用户身份或者不清楚授权途径的,统统不放进来。

  2. 董亮:信息安全“三分技术、七分管理”
    http://health.people.com.cn/n/2015/0421/c14739-26881680.html

    信息安全是指信息系统受到保护,不会偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。

    信息安全主要包括信息的保密性、完整性、可用性、可控性和可审查性五要素。这五要素也是我们信息安全的目的,主要归结为5点:进不来,使用访问控制机制,阻止非授权用户进入网络,保证网络可用性;拿不走,使用授权机制,实现用户权限控制,同时结合内容审计机制,实现网络资源与信息的可控性;看不懂,使用加密机制,确保信息不暴露给未授权的实体,实现信息的保密性;改不了,使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,确保信息完整性;走不脱,使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者留有痕迹,实现信息的可审查性。

    秉承“进不来,拿不走、看不懂、改不了、跑不掉”的体系化安全设计

    使用笔记本办公,经常带来带去,如果丢失了,怎样尽可能保证数据安全?
    https://www.zhihu.com/question/20063950

    中科院云计算中心:铸造国家政务安全的云盾牌
    http://cloud.idcquan.com/yaq/138289.shtml

  3. 进不来 看不到 拿不走 用不了
    https://books.google.com.hk/books?id=ySkxZE3DQdEC&pg=PA4#v=onepage&q&f=false

    从本质上看,网络安全就是网络上的信息安全。从广义上来说,凡是涉及网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。
    通俗的说,网络安全的主要目标是保护网络信息系统,使其没有危险、不受威胁、不出事故。在这里,我们用5个通俗的说法,来形象的描绘网络安全的目标:
    (1)进不来;
    (2)看不懂;
    (3)改不了;
    (4)拿不走;
    (5)跑不掉;

    从技术角度来说,网络安全的目标可归纳为四个方面:
    (1)可用性;
    (2)机密性;
    (3)完整性;
    (4)抗抵赖性;

  4. 进不来 看不到 拿不走 用不了
    http://staff.ustc.edu.cn/~billzeng/ns/ns01.pdf
    https://books.google.com.hk/books?id=ySkxZE3DQdEC&pg=PA4#v=onepage&q&f=false
    https://books.google.com.hk/books?id=_vFTDQAAQBAJ&pg=PT136#v=onepage&q&f=false

    网络安全(network security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。

    网络安全(2017年秋季)
    http://staff.ustc.edu.cn/~billzeng/ns/ns.htm

  5. CSO怎么做(4)如何评价一个企业的信息安全做的好不好?
    https://www.sec-un.org/cso%E6%80%8E%E4%B9%88%E5%81%9A%EF%BC%884%EF%BC%89%E5%A6%82%E4%BD%95%E8%AF%84%E4%BB%B7%E4%B8%80%E4%B8%AA%E4%BC%81%E4%B8%9A%E7%9A%84%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E5%81%9A%E7%9A%84%E5%A5%BD/
    https://paper.tuisec.win/detail/ae650d3b4150bf5

    1.谁关心这个问题?为什么关心这个问题?

    (1)老板关心:老板需要评价CSO工作的成效(“这个CSO干的好不好”),评价CSO的工作产出和其对业应产生的价值是否匹配,评估投入和产出是否对等(就是关心在信息安全方面的投资收益比)。
    (2)CSO关心:需要有一个相对客观的结果展现自己的业绩、价值,需要通过结果和同行、竞争对手对标、找差距,进而找到企业信息安全的短板,加以改进。
    (3)CSO的下属(信息安全团队的成员)关心:需要有一个结果和同行、竞争对手对标、找差距,要么是找到自己的长处,要么是找到自己的短板、进而改进。
    (4)企业信息安全应对的威胁者关心:我如果要对这家企业下手(入侵利用、破坏或者是窃取),风险大不大、成本高不高、得手的几率大不大。

    回答了这个小问题,也就知道我们应该如何设计、选择评价方法了。我们不是为了评价而评价,是为了评估成效、评估投资收益比、寻找需要改进的短板(这句话很重要、很重要、很重要)。作为一个甲方人员,下面篇幅讲的主要都是针对(1)(2)(3)种情况的。

    2.评价体系与KPI之间的关系

    3.常见的评价方法
    (1)分类量化的评价标准
    (2)对标行业标杆的评价标准
    (3)“证明有或没有”的评价标准

    常见的几个评价标准如下:
    A、 ISO27001:2013
    B、 SDL
    C、 CSA-STAR

    4.谁来评?怎么评?

    5.评价完之后怎么办?

    6.新的思考
    其实以上评价标准和方法,虽然已经到达可以用的地步了,但是我一直都不太满意,总是觉得差了那么一点,差在哪儿却一直没找到。在写这篇文章的时候,脑子里面突然蹦出一个想法:目前的这些评价标准和方法,更多地是在评价“我们做了什么、我们有什么武器”(这是动作、过程),而不是在评价“我们做成了什么样子、我们成为了谁”(这是结果、效果、目标)。那换个角度,信息安全的工作最终是为了控制风险、应对威胁和漏洞,那么,是否可以从纠正预防、阻断拦截、发现响应、打击威慑4个方面来评价?

    https://www.gartner.com/technology/research/methodologies/it-score.jsp

发表评论

电子邮件地址不会被公开。 必填项已用*标注