您的位置: 首页  >  文章  >  CISSP第二章 信息安全治理与风险管理

CISSP第二章 信息安全治理与风险管理

分类: 文章 2024-04-07 12:24:38

信息安全治理与风险管理

主要内容

安全术语和原则,保护控制类型,安全框架、模型、标准和最佳时间,安全企业架构,风险管理,安全文档,信息分类和保护,安全意识培训,安全治理

2.1 安全基本原则

AIC三元组:可用性,完整性,机密性
CISSP第二章 信息安全治理与风险管理

2.1.1 可用性availability

  • 确保授权的用户能够对数据和资源进行及时和可靠的访问
  • 控制措施:廉价磁盘冗余阵列RAID,群集,负载均衡,冗余数据和电源线,软件和数据备份,磁盘映像,co-location和异地备用设备,回滚功能,故障切换配置

2.1.2 完整性integrity

  • 保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改
  • 控制措施:散列(数据完整性),配置管理(系统完整性),变更控制(进程完整性),访问控制(物理和技术的),软件数字签名,传输CRC功能

2.1.3 机密性confidentiality

  • 确保在数据处理的每一个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息披露
  • 控制措施:加密休息中的数据(整个磁盘,数据库加密),加密传输中的数据(IPSec,SSL,PPTP,SSH),访问控制(物理和技术的)
  • 肩窥shoulder surfing:越过别人的肩膀未授权浏览信息
  • 社会工程social engineering:欺骗他人共享敏感信息以获取未经授权的访问

2.2 安全定义

脆弱性,威胁,风险,暴露

  • 脆弱性vulnerability:缺少安全措施或者采用的安全措施有缺陷。如未安装补丁的应用程序,没有限制的无线访问点
  • 威胁threat:利用脆弱性而带来的潜在危险。某人或某个软件识别出脆弱性,并利用其来危害公司或个人。利用威胁的实体成为威胁主体。
  • 风险risk:威胁的主体利用脆弱性的可能性以及相应的业务影响。
  • 暴露exposure:造成损失的实例。

控制contorl,对策countermeasure和防护措施safeguard能够消除/降低潜在的风险。

2.3 控制类型

按类型分:管理控制,技术控制,物理控制

  • 管理控制administrative control:软控制,安全文档,风险管理,人员安全和培训
  • 技术控制technical control:逻辑控制,软件和硬件组成,防火墙,入侵检测系统,加密,身份识别,认证机制
  • 物理控制physical control:用来保护设备,人员和资源,保安,锁,围墙,照明

按功能分:预防性,检测性,纠正性,威慑性,补偿性

  • 威慑性:威慑潜在的攻击者
  • 预防性:避免意外事件的发生
  • 纠正性:意外事件发生后修复
  • 恢复性:使环境恢复到正常的操作状态
  • 检测性:事件发生后识别其行为
  • 补偿性:向原来的控制措施那样提供类似保护

正确运用上面的控制措施,才能为企业提供深度防御,深度防御指以分层的方法综合使用多个安全控制类型,为使成功渗透和威胁更难实现而采用多种控制措施。

2.4 安全框架

ISO/IEC 27000系列
企业架构框架
1.Zachman框架,由John Zachman开发的企业框架开发模型,目标是让人们能从不同的视角(包括计划人员,所有者,设计人员和建设人员等)出发了解同一个组织。
2.TOGAF框架,开放式群组架构框架(The Open Architecture Framework),由美国国防部开发并提出设计,实施和治理企业信息架构的方法。
3.面向军事的架构框架
美国国防部架构框架DoDAF:Department of Denfense Architecture Framework
英国国防部架构框架MODAF:British Ministry of Denfense Architecture Framework
舍伍德商业应用安全架构SABSA:Sherwood Applied Business Security Architecture,类似4.Zachman框架
5.信息安全管理体系ISMS
6.Cobit框架,Control Objectives for Information and related Technology,信息及相关技术的控制目标,定义了控制目标,使用这些控制目标可以正确管理IT并确保IT到业务需求的映射。
Conbit分为四个领域,计划和组织(Plan and Organize),获得与实现(Acquire and Implement),交付与支持(Deliever and Support),监控与评价(Monitor and Evaluate)
Cobit是IT治理模型。
7.NIST,国家标准与技术研究所,制定的Special Publication特别发表刊物,概述了机构要部署的控制,包括技术类(访问控制,审计,身份认证等),运营类(意识教育培训,配置管理,连续性计划),管理类(风险评估,系统和服务获取)
8.COSO用于处理财务诈骗活动并汇报,是企业治理模型。除了IT事项外,还处理公司文化,财务会计原则,董事会董事责任和内部沟通机制。

流程管理开发

1.ITIL:Information Technology Infrastructure Library 信息技术基础设施库
是IT服务管理的最佳实践标准,倾向于IT部门和它服务的客户(组织内部部门)之间的内部服务水平协议。
2.六西格玛
是一种过程改进方法论,也是一种“新的和改进的”全面质量管理Total Quality Management。
目标是在生成过程中识别和消除缺陷。
西格玛层级描述了过程的成熟度,代表过程中包含的缺陷的百分比。
3.CMMI:Capability Maturity Model Integration 能力成熟度模型集成
自顶向下的方法:安全规划应使用自顶向下的方法,启动支持和方向都来自于高层管理人员。

相关推荐