1安全与风险管理
参考Bypass大佬的总结并结合AIO总结记录。
【CISSP备考笔记】第1章:安全与风险管理_微信公众号Bypass-CSDN博客
安全和风险
1.1 安全基本原则
核心目标是为关键资产提供可用性、完整性和机密性
(1)可用性:确保授权用户能够对数据和资源进行及时和可靠的访问
独立磁盘冗余阵列RAID、群集、负载平衡、冗余数据的电源线、软件和数据备份、磁盘映像、异地备用设施、回滚功能、故障切换配置
(2)完整性:保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改。
散列(数据完整性)、配置管理(系统完整性)、变更控制(进程完整性)、访问控制、软件数字签名、循环冗余校验码CRC
(3)机密性:确保在数据处理的每一个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息披露
eg肩窥指某人越过其他人的肩膀观察其按键动作或偷看计算机屏幕上显示的数据。
加密静止数据(整个磁盘、数据库加密)、加密传输中的数据(IPSec、TLS、PPTP、SSH)、访问控制(物理的和技术的)
真实性:完整性和可靠性
1.2 安全定义
脆弱性vulnerabilty:系统中允许威胁来破坏其安全性的缺陷
威胁threat:利用脆弱性带来的任何潜在危险,利用脆弱性的实体称为威胁主体
风险risk:威胁源利用脆弱性的可能性以及相应的业务影响
暴露exposure:造成损失的实例
控制或对策or防护措施能够消除或降低潜在的风险,对策可以是软件配置,硬件设备或措施,能够消除脆弱性或者降低威胁主体利用脆弱性的可能性
1.3 控制类型
管理控制(软控制):安全文档、风险管理、人员安全和培训
技术控制:逻辑控制,由软件或硬件组成,eg防火墙、入侵检测系统、加密、身份识别和身份验证机制
物理控制:用来保护设备、人员和资源,保安、锁、围墙和照明
深度防御指以分层的方法综合使用多个安全控制类型。
安全控制措施的功能:预防性、检测性、纠正性(意外事件发生后修补组件或系统)、威慑性、恢复性(使环境恢复到正常的操作状态)、补偿性(提供可替代的控制方法)
1.4 安全框架
通过隐匿实现安全:前提是假想攻击者猜不出计策,eg开发私有的加密算法 不正确
安全规划是由很多实体构成的框架:逻辑、管理和物理的保护机制,程序、业务过程和人,一起工作为环境提供一个保护级别
安全规划开发:
ISO/IEC 27000系列 开发和维护信息安全管理体系的国际标准
企业架构开发:
Zachman框架
TOGAF
DoDAF 美国国防部架构框架
MODAF 英国国防部
SABSA
安全控制开发:
COBIT5:一个提供IT企业管理和治理的业务框架
NIST SP800-53
COSO内部控制-综合框架:由反欺诈财务报告全国委员会发起组织委员会开发
过程管理开发:
ITIL:用于IT服务管理的过程
Six Sigma:开展过程改进的业务管理策略
能力成熟度模型集成CMMI:改进组织的开发过程
1、ISO/IEC 27000系列
27000的前身
2、企业安全架构开发
企业架构让业务人员和技术人员以双方可以理解的方式审视同一个组织
(1)Zachman架构框架 第一个企业架构框架 不面向安全
目标是让人们从不同观点出发了解同一个组织,二维模型,使用6个基本疑问词和不同角色二维交叉,给出企业的整体性理解
(2)开放群组架构框架TOGAF 企业架构发展模型和方法论
用来开发业务架构、数据架构、应用程序架构、技术架构
(3)面向军事的架构框架
DoDAF美国国防部架构框架
MODAF英国国防部架构框架
(4)企业安全架构
确保安全工作以一种标准化且节省成本的方式与业务实践相结合
舍伍德的商业应用安全架构SABSA,分层模型,通过上下文、概念、逻辑、物理、组件和运营层次提供可追溯性链,是用于企业安全架构和服务管理的框架和方法论
开发和实现企业安全架构,必须遵循:战略一致性、过程强化、促进业务和安全有效性
业务促进意味着可以开展新业务,过程强化意味着可以更好地开展工作
安全有效性:涉及度量metric、满足服务水平协议SLA需求、实现投资回报率ROI、满足设置基线。使用仪表盘或平衡记分卡系统提供管理
企业架构解决的是组织的结构,系统架构解决的是软件和计算机组件的结构
3、安全控制开发
(1)信息及相关技术的控制目标COBIT 商业领域评估组织的法规遵从性
IT治理模型
一组由国际信息系统审计与控制协会和IT治理协会制定的用于治理与管理的框架
五个关键原则:满足利益相关者的需求、企业端到端的覆盖、应用一个独立整体框架、使用一个整体的方法、将治理与管理相分离