D1域-1安全和风险管理-通过原则和策略进行安全治理

1.1.1 安全101（Security 101）

• 安全应该被视为业务管理的一个要素，而不是IT问题

• 应该采用一个安全框架，为如何实现安全提供一个起点，一旦完成了安全启动，就可以通过评估来微调该安全。

• 安全应该具有成本效益

• 安全应该是有法律依据

• 安全是一段旅程，而不是终点线

1.1.2 理解和应用机密性、完整性和可用性的概念

A:信息安全的定义

• 业务视角：采取措施保护信息资产，使之不因偶然或者恶意侵犯遭受破坏、更改及泄露。保证信息系统能够连续 、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。

• 安全视角: 安全的核心目标是为关键资产提供可用性、完整性和机密性（CIA三元组）保护。

B.信息安全的核心原则

信息安全的核心原则是为重要业务信息系统提供机密性、完整性和可用性（CIA三元组）的保护。

• 机密性（Confidentiality）:确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。

• 完整性（Integrity）:确保信息在存储、使用、传输过程不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部一致性。

• 可用性（Availablitiy）:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。

所有的安全机制、控制和防护措施都是为了职称这些原则中的一个或者多个并根据业务中动态变化的风险，来平衡一个或多个CIA原则。这三个元组的对应里面通常称为DAD，即：泄露(Disclosure)、篡改(Alteration)、破坏(Destruction) 。

CIA的相关技术

• 机密性

• 数据加密（磁盘加密、数据库加密）

• 传输机密（IPsec、SSL、TLS、SSH）

• 访问控制 (物理和技术控制)

• 完整性

• 哈希（数据完整性）

• 配置管理（系统完整性）

• 变更管理（过程完整）

• 访问控制（技术和物理控制）

• 软件数字签名

• 代码签名（主要作用是保护代码的完整性，不是抗抵赖）

• 传输CRC检验功能（用于网络传输的多个层）

• 可用性

• 冗余磁盘阵列（RAID）

• 集群

• 负载均衡

• 冗余的数据和电源线路

• 软件和数据备份

• 磁盘映像

• 位置和场外措施

• 回滚功能

• 故障转移配置

C.除了CIA还有其它什么相关安全概念？

帕克里安（Parkerian Hexad）六元组架构，除了CIA三元组外还包括了：

• 真实性（Authenticity）: 指信息确实来自所有者，能够对伪造的信息进行鉴别。

• 实用性（Utility）：信息能够被用于特定的目的。

• 拥有或控制（Possession or Control）:财务上能否确认一项资产，很重要的一个判断标准是看该项资源是否为本单位所拥有或能够控制。

除了帕克里安六元组架构之外，还可能会涉及一些其他基本安全概念。这些概念包括两个方面的：描述安全问题方面的概念和描述安全控制方面的概念。

其中描述安全问题方面的概念：

• 脆弱性（vulnerability）:指系统中允许威胁来破坏其安全性的缺陷。

• 威胁（threat）:指利用脆弱性而带来的任何潜在危害。

• 风险（risk）:指威胁利用信息系统的脆弱性的可能性以及带来的相应业务影响。

• 暴露(exposure)：指造成损失的实例。

其中描述安全控制方面的概念：

• 按类型分：行政类控制（administrative control）、技术类控制（technical control）、物理类控制（physical control）

• 按功能分：预防性控制（Preventive）、检测性控制（Detective）、纠正性控制（Corrective）、威慑性控制（Deterrent）、恢复性控制（Recovery）、补偿性控制（Compensating）、指引性控制（Directive）

安全边界时具有不同安全要求的任何两个区域、子网或环境之间的交界线。是被网络和物理环境中的安全边界非常重要。一旦确定了安全边界，就必须部署机制来控制跨该边界的信息流。

分层建设

• 纵深防御

• 多种控制手段结合，一个控制失效不会导致系统或数据暴漏

1.1.3 评估和应用安全治理

A.信息安全治理的定义

信息安全治理是一套安全解决方案和与之紧密关联的管理方法。信息安全治理提供了一个框架：定义目标、协调、实施和监督涉及所有安全相关方面。信息安全治理不仅仅是技术，同时信息安全治理经常放在一个层次较高的层面，保障业务的持续运行和向更好的方向发展。

最佳情况下，安全治理由董事会执行，但较小的组织可能只让首席执行官（CEO）或首席信息安全官(CISO)执行安全治理活动。

安全治理原则通常与公司和IT治理密切相关，并常常交织在一起。这3类治理的工作目标一般是相同的或相互关联的。

第三方治理是法律、法规、行业标准、合同义务或许可要求可能强制执行的外部实体监督系统。

所有安全治理都必须不时进行评估和验证。

B.信息安全治理的重要性

信息安全治理要把安全能力与业务战略、任务、使命和目标联系在一起，并支撑着组织的业务架构和目标。为了达到这样的目的：

• 作为管理层对于信息安全治理要关注以下内容：设定策略和战略的方向，提供安全活动资源，指派管理责任，设定安全计划的优先级，支持必须变更，定义与风险评估相关文化，从内外部审计获取保障以及坚持安全投资被度量和听取项目有效性的汇报。

• 作为安全专家对于信息安全治理要关注以下内容：要认识组织的愿景、任务和目标，掌握组织在其生命周期中的安全问题，理解组织中与安全相关的角色和责任，理解和保障信息安全策略的实施，理解和保证企业符合法律、法规和道德的要求。以此同时，安全专家需要和管理层建立联系，以确保这些目标的实现。

C.通过制定和实施信息安全计划达到安全目标

安全计划能确保安全策略的适当创建、实现和实施。安全计划将安全功能与组织的战略、目标、任务和愿景相结合，这包括根据商业论证、预算限制或稀缺资源设计和实现安全性。安全计划由多个实体有机构成的框架，包括：管理、技术和物理类的保护机制，程序、业务过程和人。这些实体有些是模块，如果一个缺失或不完整，那么整个架构就会搜到影响；有些实体是过程，把相关安全机制能够有效的连接起来，并通过一定的顺序为企业信息系统提供保护级别。解决安全计划编制的最有效方法是采用自上而下的方式，安全规划必须得到高级管理者的支持和批准。

安全计划主要包括四个阶段：计划和组织、实施、运营和维护、监测和评估。其中：

• 企业框架，如：Zachman、TOGAF和SABSA

• 安全控制框架，如：COSO、COBIT

• 安全管理架构，如ISO/IEC 27000系列

• 过程管理，如ITIL和CMMI

D.组织流程、角色与责任

企业中6种安全角色和责任：

• 高级管理层

• 安全专家

• 数据所有者

• 数据监管者

• 用户

• 审计人员

E.开发、文档化和实施安全策略、标准、指南、基线和措施

安全策略可以是组织化策略，也可以是针对特定问题的策略，其中：

• 组织化安全策略。在组织化安全策略中，管理层规定了应该如何建立安全计划，制定安全计划的目标，分配责任，说明安全的战略和战术价值，并且概述了应该如何执行安全计划。这种策略必须涉及相关法律、法规、责任以及如何遵守这些规范。组织化安全策略为组织内部未来的所有安全活动提供了范围和方向，还说明了高级管理层愿意接受多大的风险。

• 针对特定问题安全策略。常见的针对特定问题安全策略有：风险管理策略、脆弱性管理策略、数据保护策略、访问控制策略、业务连续性策略、日志聚集和审计策略、人员安全策略、物理安全策略、安全应用程序开发策略、变更控制策略、电子邮件策略、事件响应策略。

安全策略具有一些必须理解和实现的重要特征

• 组织化安全策略应当是一份易于理解的文档，为管理层和所有员工提供参考；

• 应当开发和用于将安全整合到所有业务功能和过程中；

• 应当源于并支持适用于公司的所有法律法规；

• 应当随公司的发展变化进行审核和修订；

• 组织化安全策略的每次更迭都应当注明日期，并在版本控制下进行；

• 受策略监管的部门和个人必须能够查看适用于他们的策略内容，并且不必阅读整个策略材料就能找到指导和答案；

• 制定策略应以该策略一次性能够使用几年为目的；

• 策略表述的专业水平能够强化其重要性以及遵守的必要性；

• 策略中不应包含任何人都无法理解的语言，必须使用清楚的、易于理解和接受的陈述性声明；

• 定期对策略进行审核，并根据自上一次审核和修订以来发生的事故加以改编。

安全策略（policies）一般由层次性的“策略链”组成，这包括信息策略（policy）、标准（standards）、指南（guidelines）、基线（baselines）和措施（procedures），其中：

• 策略/方针（policy）：是由高级管理层（或董事会）发布的关于安全一般性声明，代表着管理层对信息安全承担责任的一种承诺，一旦发布，组织全员必须遵守。

• 标准（standards）：标准是一种强制性的活动、动作和规则，能有效支撑策略该如何实施。

• 指南（guidelines）：当没有特定或强制标准来要求相关人员执行时，指南就能作为一种推荐的方式来提供参考。

• 基线（baselines）：一旦标准已经被建立，而且策略得以很好的实施，那么这时我们就能形成一个一致的参考点，这个参考点为我们的系统提供了必要的设置和保护级别。又是基线还被用于定义所需要的最低保护级别。

• 措施（procedures）：是为了达到特定目的而应当执行的详细的、分步骤的任务。措施一般说明了如何将策略、标准和指南应用到实际操作环境中。

1.1.4 法律、合规和道德

A.法律的分类

• 刑法

• 民法

• 行政法

B.知识产权

• 版权（Copyright）

• 商标（Tradement）

• 专利（Patents）

• 商业秘密（Trade Secrets）

• 许可（Licensing）

C.隐私相关法律

欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）由欧盟推出，目的在于遏制个人信息被滥用，保护个人隐私。

GDPR 的主要条款包括：合法、公平、透明；目的限制；数据最小化；准确性；存储限制；安全性；问责原则。

欧盟/美国安全盾(EU/US Privacy Shield) 已经终止。数据跨境传输时，需要在其子公司之间进行传输的组织有两种选择来遵守GDPR：

• 组织可以采用一套标准合同条款，这些条款已获准用于将信息传输到欧盟以外的情况

• 组织可以采用具有约束力的公司规则来规范同一公司内部单位之间的数据传输

D.合规

支付卡行业数据安全标准(PCI DSS)是合规要求的一个例子，它不是由法律而是由合同义务规定的。PCI DSS 管理信用卡信息的安全性，通过接受信用卡的企业与处理业务交易的银行之间的商业协议条款来强制执行。PCI DSS 有12 个主要要求

E.(ISC)2 道德准则

• 保护社会、公共利益、必要的公共信任和信心、以及基础设施。

• 行为得体、诚实、公正、负责和遵守法律。

• 为委托人提供尽职的和胜任的服务工作。

• 发展和保护职业声誉