CISSP复习笔记-第2章 信息安全治理与风险管理

2.1 安全基本原则

2.1.1可用性（availability）

• 确保授权的用户能够对数据和资源进行及时的和可靠的访问
• 措施：回滚、故障切换配置
• 反面：破坏（destruction）

2.1.2 完整性（integrity）

• 保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改
• 措施：配置管理（系统完整性）、变更控制（进程完整性）、访问控制（物理的和技术的）
• 反面：篡改（alteration）

2.1.3 机密性（confidentiality）

• 确保在数据处理的每一个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息披露
• 措施：访问控制（物理的和技术的）
• 反面：披露（disclosure）
• 肩窥（shoulder surfing），社会工程（social engineering）

2.2 安全定义

• 脆弱性（vulnerability）：缺少安全措施或采用的安全措施有缺陷
• 威胁（threat）：利用脆弱性带来的潜在危险
• 风险（risk）：威胁主体利用脆弱性的可能性以及相应的业务影响
• 暴露（exposure）：造成损失的实例
• 控制（control）或对策（countermeasure）：消除或降低潜在的风险

2.3 控制类型

• 按类型分：管理控制（软控制）、技术控制（逻辑控制）、物理控制
• 按功能分
  
  • 威慑性（deterent）：威慑潜在攻击者
  • 预防性（preventive）：避免意外事件的发生
  • 纠正性（corrective）：意外事件发生后修补组件或系统，例如计算机映像
  • 恢复性（recovery）：使环境恢复到正常的操作状态，例如数据备份
  • 检测性（detective）：帮助识别以外活动和潜在入侵者
  • 补偿性（compensating）：提供可替代的控制方法
    

2.4 安全框架

2.4.1 ISO/IEC 27000系列

• 组织安全规划的必要组成部分
• 英国标准7799（British Standard 7799，BS7799）
• 信息安全管理体系（Information Security Management System，ISMS）
• ISO/IEC 27000：世界上从全盘考虑的安全控制管理的最佳行业实践
  
  • 戴明环：计划-执行-检查-处理，Plan-Do-Check-Action，PDCA

2.4.2 企业架构框架

• 汇总安全规划中所列出的要求，并将之集成到公司现有业务结构中

2. Zachman框架

• John Zachman开发，用于定义和理解商业环境
• 二维模型
  
  • 横向为5W1H：什么（数据）、如何（功能）、哪里（网络）、谁（人）、何时（时间）、为何（动机）
  • 纵向为不同的视角：计划人员、所有者、设计人员、建设人员、实施人员、工作人员

3. 开放群组架构框架（The Open Group Architecture Framework，TOGAF）

• 开放群组（Open Group）开发，用于定义和理解商业环境
• 业务架构、数据架构、应用程序架构、技术架构

4. 面向军事的架构框架

• 美国国防部架构框架（Department of Defense Architecture Framework，DoDAF）
• 英国国防部架构框架（British Ministry of Defense Architecture Framework，MoDAF）

5. 企业安全架构

• 舍伍德的商业应用安全架构（Sherwood Applied Business Security Architecture，SABSA）：风险驱动的企业安全架构，将安全映射到商业计划，与Zachman框架相似
• 满足服务水平协议（Service Level Agreement，SLA）

2.4.3 安全控制开发

• 关注要落实到位的控制目标，以达成安全规划和企业架构所列出的目标
• 信息及相关技术的控制目标（Control Objectives for Information and related Technology，CobiT）：一组控制目标集，用来作为IT治理的框架，由ISACA和ITGI开发，分成4个领域
  
  • 计划和组织（plan and organize）
  • 获得与实现（acquire and implement）
  • 交付与支持（deliver and support）
  • 监控与评价（monitor）
• SP 800-53：由NIST开发的用于保障美国联邦系统安全的控制集

2.4.4 COSO框架

• 发起组织委员会（Committee Of Sponsoring Organizations）1985年开发，用来处理财务欺诈活动并汇报，应对萨班斯-奥克斯利法案（Sarbanes-Oxley Act， SOX）

2.4.5 流程管理开发

• 安全控制是工具，流程是如何使用这些工具
• 信息技术基础设施库（Information Technology Infrastructure Library，ITIL）：IT服务管理的最佳实践的事实标准
• 六西格玛：摩托罗拉开发，目标是在生产过程中识别和消除缺陷
• 能力成熟度模型集成（Capability Maturity Model Integration）

2.7 风险评估和分析

2.7.6 定量（Quantitative）分析

• 自动风险分析：减少风险分析任务的手动难度，进行快速计算
• 单一损失期望（Single Loss Expectany，SLE）
• 暴露因子（Exposure Factor，EF）
• 资产价值×EF=SLE
• 年发生比率（Annualized Rate of Occurrence）
• 年度损失期望（Annual Loss Expectancy）
• SLE×ARO=ALE
• 因为数据本身多少会有一些主观性，因此无法做到完全客观
• 不确定性：对估计缺乏信心的程度

2.7.7 定性（Qualitative）分析

• Delphi技术：匿名投票
• 定性和定量的目标都是评估公司面临的实际风险并给出威胁的严重程度等级（severity level）
  ，注意与定性分析给出的风险评级区分开

2.7.8 保护机制

• 实现防护措施前的ALE - 实现防护措施后的ALE - 防护措施每年的成本 = 防护措施对公司的价值

2.7.10 总风险与剩余风险

• 威胁×脆弱性×资产价值=总风险
• 总风险×控制间隙=剩余风险
• 总风险-对策=剩余风险

2.7.11 处理风险

• 转移：买保险
• 规避：终止引入风险的活动
• 缓解：把风险降低至可接受的级别
• 接受

2.8 策略、标准、基准、指南和流程

• 策略：高级管理层（或是选定的董事会和委员会）制定的一个全面声明，它规定安全在组织机构内所扮演的角色，分规章性策略、建议性策略、指示性策略
• 标准：强制性的活动、动作或规则，可以为策略提供方向上的支持和实施
• 基准：所需要的最低保护级别
• 指南：没有应用特定标准时向用户、IT人员、运营人员及其他人员提供的建议性动作和操作指导
• 流程：为达到特定目标而应当执行的详细的、分步骤的任务

2.9 信息分类

• 商业公司：机密（confidential）、隐私（private）、敏感（sensitive）、公开（public）
• 军事机构：绝密（top secret）、秘密（secret）、机密（confidential）、敏感但未分类（Sensitive But Unclassified，SBU）、未分类（unclassified）
  

2.11 安全指导委员会

2.11.2 数据所有者

• 对特定信息的子集和应用负最终责任

2.11.3 数据看管员

• 负责数据的保护与维护工作

2.11.17 人员安全

• 职责分离：预防性管理措施
• 岗位轮换：检测性管理措施
• 强制休假：检测性管理措施