CISSP官方学习指南第7版#第2章

=Start=

缘由:

备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。

正文:

参考解答:
第2章 人员安全和风险管理概念

本章中覆盖的CISSP考试大纲包含:
安全和风险管理(例如安全、风险、合规性、法律、法规、业务连续性)
H.促进人员安全策略
H.1 筛选候选人(例如背景检测、教育核查)
H.2 雇佣协议和策略
H.3 解雇员工的流程
H.4 供货商、顾问和承包商控制
H.5 合规性
H.6 隐私
I.理解和应用风险管理的概念
I.1 识别威胁和脆弱性
I.2 风险评估/分析(定性、定量、混合)
I.3 风险分配/接受(例如系统授权)
I.4 措施选择
I.5 实施
I.6 控制类型(阻止、检测、纠正等)
I.7 控制评估
I.8 监控和测量
I.9 资产评估
I.10 报告
I.11 持续改进
I.12 风险框架
L.建立和管理信息安全教育、培训和意识
L.1 适合组织需要的水平的安全意识、培训和教育
L.2 定期的内容相关审查

安全评估与测试(设计、执行和分析安全测试)
C.5培训和意识

在CISSP认证考试中,通用知识体系(CBK)的安全和风险管理领域涉及许多安全解决方案的基本元素。其中,安全机制的设计、执行以及管理都是必不可少的基本元素。

安全和风险管理领域的附加元素在如下许多章都有讨论:第1章,”通过原则和策略的安全治理”;第3章,业务连续性计划”;以及第4章,”法律、法规和合规性”。请一定复习这些章,以便能够从一个完整的角度来讨论安全和风险管理领域的相关话题。

由于硬件和软件控制的复杂性和重要性,在整个安全计划编制中,针对员工的安全管理往往会被忽略。本章从确定安全雇佣过程和工作描述到开发员工基础架构,从人的角度探讨了安全性。此外,员工的培训、管理和解雇过程被视为创建安全环境的一个不可或缺的部分。最后,我们将介绍如何评估和管理安全风险。

2.1 促进人员安全策略

在任何安全解决方案中,人都是最薄弱的环节。无论部署怎样的物理或逻辑控制,人总能发现避免受到控制、回避或消除控制以及禁用控制的方法。因此,在为自己所处的环境设计和部署安全解决方案时,要将用户的人性因素考虑进去,这一点非常重要。

在开发安全解决方案的所有阶段,都会产生与人有关的论点、问题和折中方案。这是因为人贯穿了任何解决方案的整个开发、部署和持续管理过程。因此,我们必须评估用户、设计人员、编程人员、开发人员、经理以及实现人员在这个过程中的作用。

雇佣新的职员通常涉及几个明确的步骤:创建工作描述、设置工作分类、筛选候选人、雇佣和培训最适合这项工作的人。如果没有工作描述,就不能形成应该雇佣何种类型人员的统一意见。因此,在定义与即将被雇佣人员有关的安全需求时,创建工作描述是第一步。因为有对人员特殊技能和经验的要求,所以组织应该增加人手。组织内部对任何职位的工作描述,都应该确定相关的安全问题。必须考虑到一些相关事直,例如,是否需要这个职位处理敏感资料或访问分类的信息。实际上,工作描述定义了为了完成工作任务而需要为员工分配的角色。工作描述应该对职位所要求的访问安全网络的类型和范围进行定义。一旦确定了这些问题,为工作描述分配的安全类别就相当标准了。

在构建工作描述方面的重要元素包括职责分离、工作职责和岗位轮换。

  • 职责分离——职责分离属于安全概念,是指把关键的、重要的和敏感的工作任务分配给若干不同的管理员或高级执行者。这样做能阻止任何一个人具备破坏或削弱重要安全机制的能力。可以将职责分离视为对管理员的最小特权原则的应用。
  • 工作职责——工作职责是要求员工在常规的基础上执行的特定工作任务。根据他们的职责,员工需要访问各种不同的对象、资源和服务。在安全的网络上,用户必须被授予访问与其工作任务有关元素的权限。为了保持最大的安全性,应该按照最小特权原则分配访问权限。最小特权原则规定:在安全环境中,应该授予用户完成工作任务或工作职责所必需的最小访问权限。这条原则的实际应用要求对所有资源和功能进行低级别的粒度访问控制。
  • 岗位轮换——岗位轮换是一种简单的方法,组织通过让员工在不同的工作岗位间轮换职位来提高整体安全性。岗位轮换有两个作用。首先,它提供了一种知识冗余类型。当许多员工中的每一位都有能力胜任所要求的若干工作岗位时,如果因为疾病或其他事件导致一位或多位员工在较长的时间内无法工作,那么组织遭受严重停工或生产效率降低的可能性就较小。

2.1.1 筛选候选人

为特定的职位筛选候选人时,是以工作描述中定义的敏感程度和分类级别为基础的。特定职位的敏感程度和分类级别依赖于该职位的员工无意或有意违反安全性所造成的危害程度。因此,筛选员工的全过程应当反映如何满足职位的安全性要求。
对于职位的安全性来说,背景调查和安全检查是证明候选人能够胜任工作、具备工作资格和值得信赖的必要因素。背景调查包括:获得候选人的工作和教育历史记录:检查证明材料:与候选人的同事、邻居和朋友进行会面;向公安局和政府机关调查候选人的拘捕或违法活动记录:通过指纹、驾驶执照和出生证明来认证身份:以及进行面试。此外还可以采用测谎仪、药检、性格测试估等形式。
对于许多组织而言,对申请人进行在线背景调查和社交网络账户复审己经成为一种标准惯例。
如果一个潜在的员工向这些组织的图片分享网站、社交网络档案或公共即时信息服务平台发送不适当的材料,他们就没有那些提供相称材料的求职者更受青睐。当我们以文档、图片或视频的形式记录材料,并发布在网上时,我们的这些行为在公众的视野中就会成为永久不断的。通过查看一个人的网络身份,我们可以很快收集到这个人的态度、智力、忠诚、常识、勤奋、诚实、尊重、坚定性、遵守社会准则以及企业文化等方面的大致情况。

2.1.2 雇佣协议和策略

雇佣新员工时,应该签署雇佣协议。协议文档概略说明了组织的规则和限制、安全策略、可接受的使用和行为准则、详细的工作描述、破坏活动及其后果、要求员工胜任工作所需的时间。其中,很多条目都是独立的文挡。这种情况下,雇佣协议用来确认所雇佣的候选人已经阅读井了解了与他们所期望工作职位相关联的文档。

2.1.3 解雇员工的流程

需要解雇某位员工时,必须解决很多问题。在解雇过程中,安全部门和皿之间的紧密关系对于维护控制和最小化风险是很重要的。对于维护安全环境来说,解雇过程或策略是必要的,即使是面对一位必须离开组织的、心怀不满的员工也同样如此。被解雇员工的反应大相,包括从平静、理解接收到反应强烈乃至破坏性的狂怒。必须设计和实施合理的解雇过程,以便减少不愉快事件的发生。
处理解雇员工事直时,应该采取不公开的和尊重人的方式。然而,这并非意味着不应当采取防范措施。终止合同时应该至少有一位证人在场,证人最好是高层经理和/或安保人员。一旦员工被告知离职,他们应该被立刻护送离开,并且不允许通过任何理由返回办公地点。员工在被解雇离开之前,组织特有的所有身份证件、访问权限或员工安全标志以及门卡、钥匙和出入证都应该被收回。通常,解雇员工的最佳时间是员工轮班结束时。在一周的早期和中期解雇员工可以让这个前雇员有时间去申请失业和/或在周末前开始寻找新的就业机会。同时,换班时解雇员工可以让员工以一种更加自然的方式告别其他员工,这样可以减少压力。
大多数情况下,应该在通知员工被解雇的同时或之前就禁止或删除此员工对系统的访问权限。

2.1.4 供应商、顾问和承包商控制

利用供应商、顾问以及承包商控制来确定这个主要组织外部的不同实体、个人或组织的绩效水平、期望值高低、薪酬水平以及影响程度。通常情况下,在服务级别协议(Service Level Agreement,SLA)的文件或策略中会对这些控制进行明确规定。

2.1.5 合规性

合规是符合或遵守规则、策略、法规、标准或要求的行为。合规性对安全治理来说是一个重要的问题。在人员层面,合规性涉及的是员工个体是否遵守公司策略以及是否按照定义的来执行他们的工作任务。许多组织依靠员工的合规性来保证高质量、一致性、效率和节约成本。如果员工不坚持合规性,组织的利润、市场份额、公认度和声誉可能就会受损。员工需要接受培训,以便知道他们需要做什么;只有这样,如果出现违规或缺乏合规,才可能追究他们的责任。

2.1.6 隐私

隐私是一个难以定义的概念。通常,在很多环境中使用这个术语时并没有进行定量或定性。下面列出了一些对隐私性的可能定义:
•主动防止对个人可确认的信息(也就是与某人或某个组织直接联系的数据点)的未授权访问。
•防止对被视为个人的或秘密的信息进行未授权的访问。
•防止未被同意或知晓的观察、监控或检查行为。

2.2 安全治理

安全治理是与支持、定义和指导组织安全工作相关的实践集合。安全治理经常与企业和IT治理密切相关,并交织在一起。这三种治理议程的目标常常相互关联或者都是相同的。例如,组织治理的一个共同目标是确保组织将继续存在并随着时间的推移成长或扩大。因此,三种治理形式的目标都是维持业务流程,同时努力追求增长和弹性。

2.3 理解和应用风险管理概念

安全性的目的是在维护经过授权的访问时,防止数据的丢失或泄露。可能发生造成数据损坏、毁坏或泄露的事情被称为风险。了解风险管理的概念不仅是CISSP考试的重点,也是建立充分的安全状态、适当的安全治理和应尽关注、应尽职责的法律证明的根本。

因此,管理风险是维护安全环境的一个元素。风险管理是一个详细的过程,包括识别可能造成数据损坏或泄漏的因素,根据数据的价值与对策的成本来评估这些因素,以及为了减轻或降低风险而实现有成本效益的解决方案。风险管理的整个过程被用来制定和实施信息安全策略。这些策略的目标是减少风险和支持组织的使命。

风险管理的主要目的是要将风险降低到一个可以接受的级别。究竟要达到哪一个级别,这主要取决于组织、其资产的价值、预算的多少以及其他许多因素。某个组织认为可接受的风险对于另一个组织来说可能是完全不合理的、过高的风险级别。设计并实现一个完全没有风险的环境是不可能的,但是,显著地减少可能出现的风险还是可能的,而且往往只需付出要很少的努力。

IT基础架构中的风险并不只涉及计算机。事实上,许多风险来自于非计算机。当为组织进行风险评估时,考虑到所有可能存在的风险是十分重要的。如果不能正确地评估和响应所有的风险形式,那么公司的安全性就是脆弱的。需要记住的是,IT安全性(通常被称为逻辑或技术安全性)只针对逻辑或技术攻击提供保护。为了保护IT安全性不遭受物理攻击,就必须建立物理保护措施。

达到风险管理主要目标的过程被称为风险分析。风险分析包括:分析环境中的风险,评估每种风险发生的可能性和造成的损失,评估各种风险对策的成本,以及生成安全措施的成本/效益报告并呈交给上级管理者。除了这些针对风险的活动以外,风险管理还要求对组织内部的所有资产进行估算、评估和分配。如果没有恰当的资产评估,就不可能划分资产的优先级和比较风险可能造成的损失。

2.3.1 风险术语

资产、威胁、脆弱性、暴露、风险和防护措施是相互关联的。威胁利用脆弱性,脆弱性导致暴露。暴露就是风险,风险又被防护措施减轻。防护措施保护被威胁危及安全的资产。

2.3.2 识别威胁和脆弱性

风险管理的一个基本部分就是对威胁进行标识并检查,这涉及创建详尽的组织中认定资产可能存在的所有威胁列表。列表应该包括威胁主体和威胁事件。威胁可能来自任何地方,记住这一点十分重要。对IT的威胁并不只限制在IT源。

2.3.3 风险评估/分析

风险分析主要是上层管理者的事情。上层管理者负责通过定义工作的范围和目标,启动和支持风险分析和评估。执行风险分析的实际过程经常被委派给安全专家或评估团队。然而,所有的风险评估、结果、决策和成果必须得到上层管理者的理解和批准,并作为提供谨慎的适当关注的元素。

所有的IT系统都存在风险。现实中不存在能够完全消除所有风险的方法。但是,上层管理者必须决定哪些风险是可以接受的,哪些风险是不可以接受的。决定哪些风险可以接受时,要求详细的、复杂的资产与风险评估。

一旦完成威胁列表的编制,就必须对每种威胁及相关的风险逐一地进行评估。目前有两种风险评估方法:定量的风险分析和定性的风险分析。定量的风险分析把真实的货币价值分配给损失的资产。定性的风险分析把主观的和无形的价值分配给损失的资产。对于完整的风险分析来说,这两种方法都是必要的。大多数环境中同时使用混合的风险评估方法,以获得他们的安全考虑的平衡观点。

1.定量的风险分析
用定量的方法能推导出具体的概率百分比,这意味着定量的分析方法会创建一个报告,该报告用货币形式表明风险的级别、潜在的损失、对策的成本以及防护措施的成本。理解这个报告相当容易,尤其对于了解电子表格和预算报告的人来说更是如此。定量分析可以被视为对风险进行定量分配的行为,换句话说,就是用货币形式表示每个资产和威胁。然而,纯粹的定量分析是不可能的,不是所有的分析元素和方面都是可以被量化的,这是因为某些元素和方面是定性的、主观的或无形的。

定量风险分析的过程开始于资产估值和威胁标识,下一步则是评估每种风险的可能性和发生频率。然后,使用这些信息,计算各种不同的价值函数,这些函数被用于评估防护措施。

2.定性的风险分析
定性的风险分析更多是根据场景而不是根据计算。这种方式不是为可能发生的损失分配准确的货币值,而是按重将威胁分成等级,从而评估其风险、成本和影响。由于不可能进行纯粹的定量风险评估,因此定量分析的结果平衡是必要的。进行定性的风险分析的过程涉及判断、直觉和经验。

2.3.4 风险分配/接受

风险分析的结果包括:
•所有资产的完整且详细的评估。
•所有威肋和风险、发生概率以及一旦发生的损失范围的详细列表。
•针对特定威胁的并且标识出有效性与ALE的防护措施和对策列表。
•每种防护措施的成本/效益分析。
对于管理层制定出的、有根据的且明智的有关实现防护措施和修改安全策略的决定来说,这些信息至关重要。

一旦完成风险分析,管理层就必须处理每种特定的风险。
•降低风险
•转让风险
•接受风险
•拒绝风险

2.3.5 对策的选择和评估

在风险管理范围内选择对策主要依赖于成本/效益分析结果。
请记住,安全应该被设计用来支持和保障业务任务和功能。因此,对策和防护措施需要根据业务任务的上下文进行评估。

2.3.6 实施

安全控制、对策和防护措施可以通过行政管理性、逻辑/技术性或物理性控制来实现。这三类安全机制应该以纵深防御的方式来实现,以提供最大化利益。

1.技术性访问控制
技术性访问和逻辑访问作为硬件或软件机制,既可以用于管理对资源和系统的访问,也可以提供对这些资源和系统的保护。顾名思义,采用的方式是技术。逻辑性或技术性访问控制的示例包括认证方法(例如用户名、密码、智能卡和生物识别)、加密、受限接口、访问控制列表、协议、防火墙、路由器、入侵检测系统(Intrusion Detection System,IDS)以及阔值级别。

2.行政管理性控制
行政管理性访问控制是依照组织的安全策略和其他规范或需求而定义的策略与过程。它们有时被称为管理控制。这些控制主要关注两个方面:人员与业务经营方式。行政管理性访问控制的示例包括策略、过程、雇佣准则、背景调查、数据分类和标签、安全意识和培训效果、休假记录、报告和回顾、工作监督、人员控制以及测试。

3.物理性控制
作为部署的物理屏障,物理性访问控制可以防止对系统或设施某部分的直接访问。物理性访问控制的示例包括保安、围墙、移动探测器、闭锁的门、密封窗、灯光、线缆保护、笔记本电脑锁、磁条卡、看门狗、摄像机、陷阱以及报警器。

2.3.7 控制的类型

术语”访问控制”指的是一种广泛的控制,可以执行的任务诸如确保只有授权用户可以登录,并防止未授权用户获得资源。访问控制规避了各种各样信息的安全风险。

不论何时,只要有可能,希望防止任何类型的安全问题或事件的发生。当然,一些意想不到的事件总会发生,并不是每次都能阻止。一旦事件发生,你会希望尽快检测到这个事件。如果发现,你会希望做出纠正。

当阅读控制说明时,你会注意到有些举例所列的控制不止出现在一种访问控制类型中。比如,围绕在建筑四周的防护栏(或以周长进行定义的设备)可以成为预防性控制,因为它们从本身物理结构上阻止了进入建筑场地的可能。然而,这也是一种制止性控制,因为对那些企图进入场地的人也起到了制止作用。

1.威慑
部署威慑性访问控制是为了吓阻出现违反安全策略的情况。威慑性和预防性控制比较类似,但是威慑性控制取决于某人的决定并不阻止某个动作。相反,预防性控制实际上阻止一个活动。威慑性访问控制的示例包括策略、安全意识培训、锁、围墙、安全标识、保安、陷阱、安全摄像机。

2.预防
部署预防性访问控制是为了阻止不受欢迎的或未授权活动的发生。预防性访问控制的示例包括围墙、锁、生物识别、陷阱、灯光、警报系统、责任分离、工作轮换、数据分类、渗透测试、访问控制方法、加密、审计、使用安全摄像机或闭路电视、智能卡、回叫、安全策略、安全意识培训、反病毒软件、防火墙和入侵防御系统(IPS)。

3.检测
部署检测性访问控制是为了发现不受欢迎的或未授权的活动。通常,检测性访问控制并不实时进行,而是在活动出现后运行。检测性访问控制的示例包括保安、移动探测器、记录和检查安全摄像机或闭路电视捕获的事件、工作轮换、强制休假、审计跟踪、蜜罐或蜜网、IDS、违规报告、对用户的监管和检查、事故调查。

4.补偿
部署补偿性访问控制是为了向其他现有的访问控制提供各种选项,从而帮助增强和支持安全策略补偿性访问控制还可以包括一些其他控制,这些控制用于替代必要的或被破坏的控制。例如,一个组织策略可以指示所有的PII必须加密。审查发现,预防性由问控制在数据库中加密所有PII数据,但PII通过网络传输以明文形式发送。可以添加补偿性访问控制来保护传输中的数据。

5.纠正
部署纠正性访问控制是为了在发生不受欢迎的或未授权的操作后,将系统还原至正常的状态。试图纠正发生安全事件造成的任何问题。纠正性访问控制通常较为简单,例如终止恶意行为或重启系统。其中还包括病毒解决方案,可以删除或隔离病毒并具有备份和恢复计划,以确保丢失的数据可以被恢复,活跃的ID可以修复系统环境井停止攻击程序。安全策略被入侵后,访问控制可以用来修复或恢复资源、功能和能力。

6.恢复
恢复性访问控制与纠正性访问控制相比,恢复性访问控制响应访问违规的性能更高级、更复杂。恢复性访问控制的示例包括备份和还原、容错驱动系统、系统镜像、服务器群集、反病毒软件以及虚拟机影像。

7.指令
部署指令性访问控制是为了指示、限制或控制主体的活动,从而强制或鼓励主体遵从安全策略。指令性访问控制的示例包括安全策略需求或标准、张贴通告、疏散路线出口标志、监控、监督、工作任务过程。

2.3.8 监控和测量

安全控制提供的益处应该是可以监测和度量的。如果安全控制提供的益处不可以被量化、评估或比较,那么这种控制实际上并没有提供任何安全性。安全控制应该可以提供本地或内部监控,有时也可能需要外部监控。在做初步的对策选择时,应该考虑到这一问题。
衡量一个对策的有效性并不是在进行绝对的价值度量。许多对策提供了一定程度上的改善而不是具体的关于防止破坏和阻挠攻击的数量。通常来说,要想度量对策的成功或失败,在安全措施执行前后对事件进行监测和记录是十分必要的。只有当知道起始点(正常点或初始风险水平)时,益处才能准确衡量出来。成本/效益公式中有一部分也考虑到了对策的监测与度量。安全控制在一定程度上增强了安全性,但这并不意获得的利益就是划算的。需要明白的是,安全性的显著提高证明了新的对策部署是物有所值的。

2.3.9 资产评估

风险分析的一个重要步骤是评估企业的资产价值。如果资产没有价值可言,那么也就没有必要为其提供保护。风险分析的一个主要目标就是确保部署的安全防护措施是符合成本效益原则的。花费100000美元来保护一项价值只有1000美元的资产是毫无意义的。资产价值直接影响并引导了保障和安全保护的水平。作为一项规则,安全防护措施的年度成本不应超过预期的资产损失年度成本。

2.3.10 持续改进

风险评估可以为高层管理人员提供细致的分析,以帮助其决定哪些风险应该规避,哪些应该被转移,以及哪些应该被接受。其结果就是根据成本效益原则,在预期资产损失成本和应对威胁以及漏洞的安全措施部署成本之间进行比较。风险分析可以识别风险、量化威胁的影响,并有助于安全预算,还有助于将企业的目标和宗旨与安全策略的需求和目标整合在一起。风险分析/风险评估是对
“时间点”的度量。威胁和漏洞在不断变化,因此,风险评估需要定期进行,以确保系统安全性得以持续改进。

安全性总是在不断变化。因此,随着时间的推移,任何己经实现的安全解决方案都需要更新和更改。如果不是由选定的对策提供连续的完善路径,那么应该将其替换为可以为安全性提供灵活改进的对策。

2.3.11 风险框架

风险框架是关于如何评估风险、解决风险和监管风险的指南或诀窍。CISSP考试中所提到的关于风险框架的主要案例由美国国家标准技术研究所IST)在800-37专业出版物中做出了定义(http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37rl.pdf)。我们鼓励大家阅读整本出版物,以下为该出版物中关于CISSP的一些内容节选。

2.4 建立和管理信息安全教育、培训和意识

安全解决方案的成功实现要求改变用户的行为方式。这些变化主要从改变常规的工作方式一直到遵守安全策略中规定的标准、指南和程序。行为的改变包括部分用户开展一定程度的学习工作。为了开发教育、培训和意识,所有相关项目的知识转移必须清楚地识别和加以程序演示、曝光、协同和实施方案制定。
实际的安全培训的先决条件是意识。培养安全意识的目标是要将安全放到首位并让用户认识到这一点。意识在整个组织机构之间建立了通用的安全理解基线或基础。通过课堂式的练习以及实际的工作环境都能培养出安全意识。许多工具都可以被用于培养安全意识,例如海报、通知、时事通讯文章、屏幕保护程序、T恤衫、经理振奋人心的讲话、告示、演讲、鼠标垫、办公用品、备忘录以及传统的由教师引导的培训课程。
安全意识关注于与安全有关的重要或基础的话题和问题。所有人员应充分认识到他们的安全责任和义务。他们应该接受培训,知道什么该做,什么不该做。

2.5 管理安全功能

为管理安全功能,公司必须采纳恰当且充分的安全治理。实施风险评估以确保安全策略是管理安全功能最显著直接的实例。
安全必须符合成本效益原则。由于公司预算有限,因此必须合理分配其资金。此外,公司预算需要包括专门用于安全管理和处理其他商业任务和流程的费用,而不只是包括员工酬劳、保险费、退休费等。安全性应该足以抵挡对公司的传统或标准威胁,其花费不应该比其需要保护的资产还多。参考前面章节提到的”了解和应用风险管理概念”,如果保护措施的花费比资产价值本身还高,就不是有效的解决方案。
安全必须可度量。可度量的安全意味着安全机制功能的多个方面能提供明确收益,且可以记录和分析一个或多个度量。同性能度量相似,安全度量是与安全特性相关的性能、功能、操作、行动等的测量。当实施对策或防护措施时,安全度量应减少意外事件的发生或探测出更多的尝试。否则,就不能称安全机制提供了预期的效益。测量和评估安全度量的行为是评估安全项目完整性和有效性的实践,应该包括评测常见的安全指导方针和追踪控制的成功案例。追踪和评估安全度量是确保安全治理有效的一部分。然而,需要指出的是,如果选择的安全度量不正确,则会导致重大问题。例如,选择监管或评测安保人员无法控制的事物或选择基于外部驱动的事物。
安全机制本身和安全治理过程都会消耗资源。很明显,安全机制应消耗尽可能少的资源,尽可能低地影响生产率或系统吞吐量。然而,所有硬件、软件对策以及用户需要遵守的各项政策、程序都会造成资源消耗。在选择、部署和协调对策之前和之后意识到井评估资源消耗是安全治理和管理安全功能的重要部分。
安全管理功能包括信息安全策略的开发和执行。CISSP考试及本书的大部分内容关注的都是信息安全策略开发和执行的各个方面。

2.6 本章小结
  • 在任何安全解决方案中,人都是最薄弱的环节。无论部署怎样的物理或逻辑控制,人总能发现避免受到控制、回避或消除控制以及禁止控制的方法。因此,在为自己所处的环境设计和部署安全解决方案时,要将用户的因素考虑进去,这一点非常重要。安全的人员雇佣、角色、策略、标准、指导方针、措施、风险管理、意识培训以及管理计划编制等方面都有助于保护资产。使用这些安全结构能够对人为的风险提供某些保护。
  • 安全的人员雇佣需要详细的工作描述。工作描述被用于作为选择候选人和根据职位进行正确评估。通过工作描述维持安全性,这包括职责分离、工作职责和岗位轮换。
  • 为了保护组织和现在的员工,需要有解雇策略。终止合同的过程应该包括:有证人在场、归还公司的产、禁止访问网络、进行离职面谈以及由人员护送离开公司。
  • 第三方治理是可能由法律、法规、行业标准或许可要求规定的监督制度。实际的治理方法可能有所不同,但通常包括外部人员或审计人员。这些审计人员可能会由管理机构指定,也可能是目标机构雇佣的顾问。
  • 确定、评估、防止或减少风险的过程被称为风险管理。风险管理的主要目的是要将风险降低到可以接受的级别。究竟要达到哪个级别,主要取决于组织、资产价值、预算多少。尽管设计和部署完全没有风险的环境是不可能的,但是,付出很少的努力显著地减少可能出现的风险还是可能的。风险分析是达到风险管理目标的过程,这个过程包括:分析环境中存在的风险,评估每种风险发生的可能性和造成的损失,评估每个风险的不同对策的成本,以及生成安全措施的成本/效益报告并呈交给上层管理者。
  • 安全解决方案的成功实现要求改变用户的行为方式。这些变化主要从改变常规的工作方式一直到遵守安全策略中规定的标准、指导方针和步骤。行为的改变包括部分用户开展一定程度的学习工作。三种被公认的学习层次是:意识、培训和教育。
2.7 考试要点
  • 知道隐私如何被放入IT安全领域。知道隐私的多重含义/定义,为什么保护它是非常重要的,以及围绕隐私尤其是在工作环境中的隐私的各种问题。
  • 能够讨论安全的第三方治理。第三方治理的监督制度可以根据法律、法规、行业标准或许可要求进行强制执行。
  • 能够定义整体的风险管理。风险管理的过程如下:识别可能造成数据损坏或泄漏的因素、根据数据的价值与对策的成本来评估这些因素,以及实现能够减轻或降低风险的有成本效益的解决方案。通过执行风险管理,就能够为降低整体风险奠定基础。
  • 理解风险分析及涉及的要素。执行风险分析能够为上层管理者提供详细、必要的依据,从而使其决定哪些风险应当被削弱、哪些风险应当被转移以及哪些风险应当被接受。为了全面评估风险和随后采取恰当的防范措施,就必须分析下列要素:资产、资产估值、威胁、脆弱性、暴露、风险、己发生的风险、防护措施、对策、攻击和突破。
  • 知道如何评估威胁。威胁可能有很多来源,包括IT、人和自然界。以团队的形式评估风险以便提供范围最广的视角。通过从各个角度全面地评估风险,就可以减少系统的脆弱性。
  • 理解定量的风险分析。定量的风险分析关注硬性指标和百分比。全部使用定量分析是不可能的,因为风险的某些方面是无形的。定量的风险分析过程涉及:资产估值和威胁识别,接着确定威胁发生的潜在频率和损失,结果是防护措施的成本/效益分析。
  • 能够解释暴露因子(EF)的概念。暴露因子是定量风险分析的一个元素,表示组织的某种特定资产被己发生的风险损坏后造成损失的百分比。通过计算暴露因子,能够较好地实现风险管理策略。
  • 了解单一损失期望(SLE)井知道如何计算。SLE是定量风险分析的一个元素,表示与针对特定资产的单个己发生风险相关联的成本。计算SLE时,可以使用公式:SLE=资产价值(AV)*暴露因子但F)。理解年发生比率(ARO)。ARO是定量风险分析的一个元素,指的是特定威胁或风险在一年内将会发生(也就是成为现实)的预计频率。理解ARO能够进一步计算风险和采取适当的防范措施。
  • 了解年度损失期望(ALE)井知道如何计算。ALE是定量风险分析的一个元素,指的是针对某种特定的资产,所有己实施的威胁每年可能造成的损失成本。计算ALE时可以使用公式:ALE=单一损失期望(SLE)*年发生比率(ARO)。
  • 了解评估防护措施的公式。除了确定防护措施每年的成本外,还必须计算实现措施后资产的ALE。为此,可以使用下面这个公式:实现防护措施前的ALE-实现防护措施后的ALE-每年的防护措施成本=公司防护措施的价值,即 (ALE1-ALE2)-ACS 。
  • 理解定性的风险分析。定性的风险分析更多是根据场景而不是根据计算。这种方式不是为可能发生的损失分配准确的货币价值,而是按程度将威胁分成等级,从而评估其风险、成本和影响。这些分析结果可以帮助那些负责制定风险管理策略的人。
  • 理解Delphi技术。Delphi技术只是一个简单的匿名反馈和响应过程,这个过程被用于达成一致意见。达成的一致意见为责任方提供了正确评估风险和实施解决方案的机会。
  • 了解处理风险的选项。降低风险或风险缓解是防护措施和对策的实现。风险转让或转移风险是把风险带来的损失成本转移给另一个实体或组织。购买保险就是转让或转移风险的一种常见形式。接受风险是因为管理层对可能采用的防护措施进行了成本/效益分析上的评估,并且确定对策的戚本远远超过风险可能造成的损失的成本,还意味着管理层己经同意接受风险发生所造成的结果和损失。
  • 能够解释总风险、剩余风险和控制间隙。总风险指的是在没有实现防护措施的情况下,组织将要面对的风险数量。计算总风险的公式是:威胁*脆弱性*资产价值=总风险。剩余风险是管理层选择接受而不是缓解的风险。总风险和剩余风险之间的差值被称为控制间隙,控制间隙是指通过实现防护措施被减少的风险数量。计算剩余风险的公式是:总风险控制间隙=剩余风险。
  • 理解控制类型。“访问控制”这一术语指的是一系列执行以下任务的控制=确保只有授权用户能够登录而未授权用户不能访问资源。控制类型包括预防、测探、校正、警报、恢复、指令和补偿控制。按执行方式控制可分为:行政管理性控制、逻辑性控制或物理性控制。
  • 理解雇佣新员工的安全含义。为了制定合适的安全计划,必须具有工作描述、工作分类、工作任务、工作职责、阻止共谋、候选人筛选、背景调查、安全许可、雇佣协议和竞业禁止协议的标准。通过部署这些机制,确保新雇佣的人员意识到要求的安全标准,从而保护组织的资产。
  • 能够解释职责分离。职责分离属于安全概念,指的是将关键的、重要的和敏感的工作任务分配给不同的人。通过分离责任这种方式,就可以确保任何人不可能危及系统安全。
  • 理解最小特权原则。最小特权原则表明,在安全环境中,用户应该被授予完成要求的工作任务或工作职责所必需的最少访问权限。通过限制用户只能访问完成工作任务所要求的那些资源,就能限制敏感信息的脆弱性。
  • 了解岗位轮换和强制性休假。岗位轮换有两个作用:提供了一种知识冗余类型:人员流动可以减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险。一到两个星期的强制性休假被用于审计和认证员工的工作任务和权限。这种做法往往比较容易发现滥用、欺诈或疏忽行为。
  • 理解供应商控制、顾问控制和承包商控制。利用供应商控制、顾问控制以及承包商控制来确定这个主要组织外部的不同实体、个人或机构的绩效水平、期望值高低、薪酬水平以及影响程度。通常情况下,服务水平协议(SLA)的文件或政策中会对这些控制进行明确规定。
  • 能够解释适当的解雇策略。解雇策略定义了解雇员工的过程,应当包括:始终有一位证人在场,禁止员工访问网络,进行离职面谈,护送员工离开办公室,交回安全标志和门卡,返还公司的财产。
  • 了解如何实现安全意识培训。在真正的培训开始之前,必须让用户树立主人翁的安全意识。一旦树立了安全意识,培训或教育员工执行工作任务和遵守安全策略就可以开始了。所有的新员工都需要进行培训.这样他们才能够遵守安全策略中规定的所有标准、指导方针和步骤。教育是一项更细致的工作,学用户需要学习比他们完成工作任务实际所需知识多得多的知识。教育往往与用户参加认证考试或寻求职务晋升相关联。
  • 理解如何管理安全功能。为了实现管理安全功能,组织必须采取恰当且充分的安全治理。执行风险评估以驱动安全政策的施行是最明显、最直接的安全功能管理例子。同时这也和预算、度量、资源以及信息安全策略以及评估安全系统的完整性及有效性息息相关。
  • 了解风险管理框架的6个步骤。风险管理框架的6个步骤分别是:分类、选择、实施、评估、授权和监控。
参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3732.html

《CISSP官方学习指南第7版#第2章》上有4条评论

  1. 应对猖獗“内鬼”——美国在防御架构上的努力
    http://www.mottoin.com/108728.html

    ITSA架构——2009年,卡耐基梅隆大学的Jabbour等人提出内部威胁安全架构ITSA(Insider Threat Security Architecture)。该架构定义了安全策略(security policy)和防御机制(defense mechanism)两个概念。其中,安全策略是由系统参数及其取值范围组成的键值对集合,防御机制则是确保系统配置不会被非授权更改以致安全策略失效的一系列控制措施。ITSA架构的基本理念是:任何防御机制必须被完整的集成到被保护的系统中,并具备不可分离性,从而确保防御过程不被中断。

    ITSRA框架——ITSA架构将安全架构的关注点从对抗外部攻击转移到了对抗内部攻击,但其最大的问题在于过分强调了各个层的独立安全控制,却忽略了层间的联动关系。2012年,CERT提出了ITSRA框架,通过建立横跨各安全层的安全措施联动来充分保障机构信息安全。ITSRA针对内部威胁防御的基本思路,即:在内部威胁动机产生、行动展开,再到造成破坏的整个时间区间内,应持续收集并综合分析多种类数据,并在最佳时间点上采取积极措施,进行预防、检测和响应。

  2. 兰德公司对网络空间安全防御的建议
    http://www.mottoin.com/108765.html

    报告提出四个基本策略支持降低网络攻击预期损失的目标,分别如下:
    减少曝光(Minimize exposure):从其他人可以访问系统的角度讲,系统是脆弱的,系统中存在的数据可以被获取和破坏。该策略包含两个组成部分:减少系统和外界 的联系,减少访问该系统可获得的信息与计算过程。

    解除攻击(Neutralize attacks):防止尽可能多的攻击和尽可能减少这些攻击的影响。这种策略具有双重性,一部分是阻止入侵者获得控制权,另一部分是对获得控制权的入侵行为进行对抗。

    增加弹性(Increase resilience)弹性策略与系统恶化情况下继续执行功能的策略有关,通过冗余和系统放弃高级功能实现,倾向于短期内填补缺口。

    加快恢复(Accelerate recovery):恢复策略适用于被攻击的系统,而不是系统所支持的功能,可通过维修和替换实现,适用于有关可用性的攻击。


  3. 定量风险分析的过程开始于「资产估值」和「威胁标识」,下一步则是评估每种风险的可能性和发生频率。然后,使用这些信息,计算各种不同的价值函数,这些函数被用于评估防护措施。
    下面列出了定量的风险分析的6个主要步骤或阶段:
    (1) 列出资产清单和分配资产价值(Asset Value或AV)。
    (2) 研究每项资产,生成每个资产所有可能威胁的列表。针对列出的每个威胁,计算 暴露因子(Exposure Factor,EF) 和 单一损失期望(Single Loss Expectancy,SLE)。
    (3) 执行威胁分析,计算每种风险在一年内发生的可能性,也就是 年发生比率(Annualized Rate of Occurrence,ARO)。
    (4) 通过计算 年度损失期望(Annualized Lost Expectancy,ALE),得到每个威胁可能的总损失。
    (5) 研究每个威胁的对策,然后基于应用的对策,计算ARO和ALE的变化。
    (6) 针对每个资产的每个威胁的每个对策执行成本/效益分析。选择对每个威胁最适用的对策。

    AV -> EF -> SLE -> ARO -> ALE -> 执行对策的成本/效益分析

    SLE = 资产价值(AV) * 暴露因子(EF)
    ALE = 单一损失期望(SLE) * 年发生比率(ARO)

发表评论

电子邮件地址不会被公开。 必填项已用*标注