首先需要具备整个信息安全工作的总体框架,企业信息安全做什么?怎么做?当你知道做什么,就知道应该去学些什么知识。
见下文第二点、第三点。
见第三大点。
正在上传…重新上传取消
信息安全体系框架 - 百度文库
需要了解信息安全管理体系包含的范围、实施方法、涉及哪些(左上角图)
相关知识点:ISO27001认证、ISMS信息安全管理体系。
以BS7799的管理思想介绍通用安全管理体系建立的方法;信息安全管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不同。后续将详细介绍不同部分的管理.
信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
BS7799-2是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
1。 ISMS的范围
ISMS的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等,ISMS的范围可以包括:
此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的ISMS。例如,可以为组织和其他公司之间特定的贸易关系定义ISMS,也可以为组织结构定义ISMS,不同的情境可以由一个或者多个ISMS表述。
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体的情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:
1。 ISMS的特点
信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点:
2。 实施ISMS的作用
组织建立、实施与保持信息安全管理体系将会产生如下作用:
为在组织中顺利建设信息安全管理体系,需要建立有效信息安全机构,对组织中的各类人员分配角色、明确权限、落实责任并予以沟通.
信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成,定期召开会议,就以下重要信息安全议题进行讨论并做出决策,为组织信息安全管理提供导向与支持.
组织最高管理者在管理层中指定一名信息安全管理经理,分管组织的信息安全管理事宜,具体由以下责任:
在信息安全委员会的批准下,由信息安全管理经理组建信息安全管理推进小组,并对其进行管理。小组成员要懂信息安全技术知识,有一定的信息安全管理技能,并且有较强的分析能力及文字能力,小组成员一般是企业各部门的骨干人员。
用适当的方式,如通过培训、制定文件等方式,让每位员工明白自己的作用、职责与权限,以及与其他部分的关系,以保证全体员工各司其职,相互配合,有效地开展活动,为信息安全管理体系的建立做出贡献。
一般情况下,一个经理直接控制的下属管理人员不少于6人,但不应超过10人。在作业复杂的部门或车间,一个组长对15人保持控制。在作业简单的部门或车间,一个组长能控制50个人或更多的人。
公司负责人与基层管理部门之间的管理层数应保护最少程度,最影响利润的部门经理应该直接向公司负责人报告.
PDCA循环的概念最早是由美国质量管理专家戴明提出来的,所以又称为“戴明环”。在质量管理中应用广泛,PDCA代表的含义如下:
P(Plan):计划,确定方针和目标,确定活动计划;
D(Do):实施,实际去做,实现计划中的内容;
C(Check):检查,总结执行计划的结果,注意效果,找出问题;
A(Action):行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现;未解决的问题放到下一个PDCA循环。
PDCA循环的四个阶段具体内容如下:
(1) 计划阶段:制定具体工作计划,提出总的目标。具体来讲又分为以下4个步骤.
分析目前现状,找出存在的问题;
分析产生问题的各种原因以及影响因素;
分析并找出管理中的主要问题;
制定管理计划,确定管理要点.
根据管理体制中出现的主要问题,制定管理的措施、方案,明确管理的重点.制定管理方案时要注意整体的详尽性、多选性、全面性.
(2) 实施阶段:就是指按照制定的方案去执行。
在管理工作中全面执行制定的方案。制定的管理方案在管理工作中执行的情况,直接影响全过程.所以在实施阶段要坚持按照制定的方案去执行。
(3) 检查阶段:即检查实施计划的结果.
检查工作这一阶段是比较重要的一个阶段,它是对实施方案是否合理,是否可行有何不妥的检查。是为下一个阶段工作提供条件,是检验上一阶段工作好坏的检验期。
(4) 处理阶段:根据调查效果进行处理。
对已解决的问题,加以标准化:即把已成功的可行的条文进行标准化,将这些纳入制度、规定中,防止以后再发生类似问题;
找出尚未解决的问题,转入下一个循环中去,以便解决。
PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序.在质量管理中,PDCA循环得到了广泛的应用,并取得了很好的效果,有人也称其为质量管理的基本方法.之所以叫PDCA循环,是因为这四个过程不是运行一次就完结,而是周而复始地进行,其特点是“大环套小环,一环扣一环,小环保大环,推动大循环”;每个循环系统包括PDCA四个阶段曾螺旋式上升和发展,每循环一次要求提高一步。
建立和管理一个信息安全管理体系需要象其他任何管理体系一样的方法。这里描述的过程模型遵循一个连续的活动循环:计划、实施、检查、和处置。之所以可以描述为一个有效的循环因为它的目的是为了保证您的组织的最好实践文件化、加强并随时间改进。信息安全管理体系的PDCA过程如下图12—1所示.
正在上传…重新上传取消
图12—1 PDCA模型与信息安全管理体系过程
ISMS的PDCA具有以下内容:
1. 计划和实施
一个持续提高的过程通常要求最初的投资:文件化实践,将风险管理的过程正式化,确定评审的方法和配置资源.这些活动通常作为循环的开始。这个阶段在评审阶段开始实施时结束。计划阶段用来保证为信息安全管理体系建立的内容和范围正确地建立,评估信息安全风险和建立适当地处理这些风险的计划。实施阶段用来实施在计划阶段确定的决定和解决方案。
2。 检查与行动
检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。评审可以在任何时间、以任何频率实施,取决于怎样做适合于考虑的具体情况。在一些体系中他们可能需要建立在计算机化的过程中以运行和立即回应。其他过程可能只需在有信息安全事故时、被保护的信息资产变化时或需要增加时、威胁和脆弱性变化时需要回应。最后,需要每一年或其他周期性评审或审核以保证整个管理体系达成其目标.
3. 控制措施总结(Summary of Controls)
组织可能发现制作一份相关和应用于组织的信息安全管理体系的控制措施总结(SoC)的好处。提供一份控制措施小结可以使处理业务关系变得容易如供电外包等。SoC可能包含敏感的信息,因此当SoC在外部和内部同时应用时,应考虑他们对于接收者是否合适。
信息安全管理另一个非常重要的原则就是文件化,即所有计划及操作过的事情都要有文件记录, 这样可做到有章可循,有据可查,文件的类型通常有手册、规范、指南、记录等,使用这些文件可以使组织内部沟通意图,统一行动,并为事件提客观证据,同时也可用于学习和培训.如果有些组织曾参与过9000或BS7799的认证,会深刻体会到文件化的重要性.
组织建立信息安全管理体系需要投入大量物力和人力,这就需要得到领导的认可,尤其是最高领导,这样才能确保这一项目不会因缺少资源支持而中途废弃。最高领导层在具体建立信息安全管理体系时应做到如下几点:
(1) 管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据,包括:
(2) 管理层为组织将确定和提供所需的资源,以:
仅有领导的支持没有实际操作的人员同样信息安全管理体系不能很好地建立起来,而组织内由于普通人员的误操作和疏忽造成严重损失的不止少数,因此我们必须明确安全管理体系不是组织内IT部门的事情,而是需要全体员工参与的。
组织应确保所有被分配信息安全管理体系职责的人员具有能力履行指派的任务。组织应:
组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们的贡献怎样达成信息安全管理目标.
下图是建立信息安全管理体系的流程图,图12—2,
制订信息安全方针 |
方针文档 |
定义ISMS范围 |
进行风险评估 |
实施风险管理 |
选择控制目标措施 |
准备适用声明 |
第一步: |
第二步: |
第三步: |
第四步: |
第五步: |
第六步: |
ISMS范围 |
评估报告 |
文件 |
文件 |
文件 |
文件 |
文件 |
文件 |
文档化 |
文档化 |
声明文件 |
图12-2ISMS流程图
组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。为满足该标准的目的,使用的过程建立在图一所示的PDCA模型基础上。
组织应做到如下几点:
1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。
2)考虑业务及法律或法规的要求,及合同的安全义务.
3)建立组织战略和风险管理的环境,在这种环境下,建立和维护信息安全管理体系.
4)建立风险评价的标准和风险评估定义的结构.
5)经管理层批准.
识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估的方法.为信息安全管理体系建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别可接受风险的水平.
1)在信息安全管理体系的范围内,识别资产及其责任人。
2)识别对这些资产的威胁。
3)识别可能被威胁利用的脆弱性。
4)别资产失去保密性、完整性和可用性的影响。
1)评估由于安全故障带来的业务损害,要考虑资产失去保密性、完整性和可用性的潜在后果;
2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施;
3)估计风险的等级;
4)确定介绍风险或使用在c中建立的标准进行衡量确定需要处理。
可能的行动包括:
1)应用合适的控制措施;
2)知道并有目的地接受风险,同时这些措施能清楚地满足组织方针和接受风险的标准;
3)避免风险;
4)转移相关业务风险到其他方面如:保险业,供应商等。
应从2。6章节中控制措施中选择合适的控制目标和控制措施,应该根据风险评估和风险处理过程的结果调整。
从上面选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化.从2。6章节中剪裁的控制措施也应加以记录;
信息安全管理体系文件应包括:
信息安全管理体系所要求的文件应予以保护和控制。应编制文件化的程序,以规定以下方面所需的控制:
应建立并保持纪录,以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被控制。信息安全管理体系应考虑任何有关的法律要求.记录应保持清晰、易于识别和检索.应编制形成文件的程序,以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。需要一个管理过程确定记录的程度。
应保留上述过程绩效记录和所有与信息安全管理体系有关的安全事故发生的纪录。例如:访问者的签名簿,审核记录和授权访问记录。
组织应按如下步聚实施:
组织应:
1)实时探测处理结果中的错误;
2)及时识别失败和成功的安全破坏和事故;
3)能够使管理层确定分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标;
4)确定解决安全破坏的行动是否反映了运营的优先级。
1)组织
2)技术
3)业务目标和过程
4)识别威胁,及
5)外部事件,如:法律、法规的环境发生变化或社会环境发生变化.
组织应经常:
管理层应按策划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。 评审应包括评价信息安全管理体系改进的机会和变更的需要, 包括安全方针和安全目标。 评审的结果应清楚地文件化,应保持管理评审的纪录。
管理评审的输入应包括以下方面的信息:
管理评审的输出应包括以下方面有关的任何决定和措施:
组织应按策化的时间间隔进行内部信息安全管理体系审核,以确定信息安全管理体系的控制目标、控制措施、过程和程序是否:
任何审核活动应策划, 策划应考虑过程的状况和重要性,审核的范围以及前次审核的结果。应确定审核的标准,范围,频次和方法。选择审核员及进行审核应确保审核过程的客观和公正。审核员不应审核他们自己的工作.
应在一个文件化的程序中确定策划和实施审核,报告结果和维护记录[见4。3.3]的责任及要求.
负责被审核区域的管理者应确保没有延迟地采取措施减少被发现的不符合及引起不合格的原因。改进措施应包括验证采取的措施和报告验证的结果[见条款7].
组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防措施和管理评审的信息持续改进信息安全管理体系的有效性.
组织应确定措施,以消除与实施和运行信息安全管理体系有关的不合格的原因,防止不合格的再发生.应为纠正措施编制形成文件的程序,确定以下的要求:
组织应针对潜在的不合格确定措施以防止其发生.预防措施应于潜在问题的影响程度相适应。应为预防措施编制形成文件的程序,以规定以下方面的要求:
纠正措施的优先权应以风险评估的结果为基础确定。
注:预防不合格的措施总是比纠正措施更节约成本.
通常控制措施是在BS7799的十大领域中进行选择,当然针对不同组织的实际情况选择控制目标不同,上述曾介绍过的需进行适用性声明.以下将详细介绍十大领域的控制措施。
目标:为信息安全提供管理指导和支持。 管理者应该制定一套清晰的指导方针,并通过在组织内对信息安全方针的发布和保持来证明对信息安全的支持与承诺。 |
1。 信息安全方针文件
方针文件应得到管理者批准,并以适当的方式发布、传达到所有员工。该文件应该阐明管理者对实行信息安全的承诺,并陈述组织管理信息安全的方法,它至少应该包括以下几个部分:
信息安全的定义,其总体目标和范围,以及其作为信息共享的安全机制的重要性(见引言);
申明支持信息安全目标和原则的管理意向;
对组织有重大意义的安全方针、原则、标准和符合性要求的简要说明,例如:符合法规和合同的要求;
安全教育的要求;
对计算机病毒和其他恶意软件的防范和检测;
可持续运营的管理;
违反安全方针的后果;
对信息安全管理的总体和具体责任的定义,包括汇报安全事故;
提及支持安全方针的文件,如:特定信息系统的更加详细的安全方针和程序,或用户应该遵守的安全规定.
本方针应以恰当、易得、易懂的方式向单位的预期使用者进行传达.
方针应有专人按照既定的评审程序负责它的保持和评审。该程序应确保任何影响原始风险评估根据的变化都会得到相应的评审,如:重大的安全事故、新的脆弱性、组织基础结构或技术基础设施的变化.同样应对以下各项进行有计划的、定期的评审:
目标:在组织内部管理信息安全。 应建立管理框架,在组织内部开展和控制信息安全的实施。 应该建立具有管理权的适当的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要,应在组织内建立提供信息安全建议的专家小组并使其有效。应建立和组织外部安全专家的联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供适当的联络渠道.另外应鼓励多学科的信息安全方法的发展,如:经理人、用户、行政人员、应用软件设计者、审核人员和保安人员以及行业专家(如保险和风险管理领域)之间的协作。 |
1. 信息安全管理委员会
信息安全是管理团队中所有成员共同的职务责任。因此应考虑建立信息安全委员会以确保为信息安全的启动工作提供明确的指导和明显的管理支持.该委员会应该在组织内部通过适当的承诺和提供充足的资源来促进安全工作.信息安全管理委员会可以作为现有管理团体的一部分,所承担的职责主要有:
评审和批准信息安全方针和总体职责;
监督信息资产面临重大威胁时所暴露出的重大变化;
评审和监督信息安全事故;
批准加强信息安全的主动行为.
应有一名经理负责和安全有关的所有行为。
2。 信息安全的协作问题
在较大的组织内部,有必要成立由各相关部门的管理代表组成的跨部门的信息安全委员会,以合作实施信息安全的控制措施。它的主要功能有:
3。 信息安全责任分配
保护单独的资产和实施具体的安全过程的职责应该给予明确定义。
信息安全方针(见上述条款)应该为组织内部信息安全任务和责任的分配提供总体的指导。必要时,针对具体的地点、系统和服务,应对此方针作更详细的补充。对由各项有形资产和信息资产以及安全程序所在方承担的责任,如可持续运营计划,应清晰定义.
在许多组织中,会任命一名信息安全经理来负责信息安全工作的开展和实施,并支持控制措施的鉴别工作。
然而,分配资源和实施控制措施的责任一般由各部门经理承担。通常的做法是为每项信息资产指定专人来负责日常的安全工作。
信息资产的负责人可以把安全职责委托给各部门的经理或服务提供商。然而,信息资产负责人对资产的安全负有最终的责任,并应有权确定责任人是否恰当的履行了职责。对各个经理所负责的安全领域的清晰描述是很重要的,特别应进行以下工作:
和各个系统相关的各种资产和安全过程应给予识别和明确的定义.
各项资产或安全过程的管理者责任应经过审批,并以文件的形式详细记录该职责.
授权级别应清晰定义并记录在案。
4。 信息处理设备的授权程序
对于新的信息处理设备应建立管理授权程序,应考虑以下控制措施:
新设备应有适当的用户管理审批制度,对用户的使用目的和使用情况进行授权.同样应得到负责维护本地信息系统安全环境的经理的批准,以确保满足所有相关的安全方针和要求.如有必要,应检查硬件和软件,以确保与其他系统部件兼容(注:对于有些连接,类型兼容也是必须的)。使用个人信息处理设备来处理商业信息以及任何必要的控制措施应经授权。在工作场所使用个人信息处理设备可能导致新的脆弱性,因此应经评估和授权.上述控制措施在联网的环境中尤为重要。
5。 信息安全专家建议
许多组织可能需要安全专家的建议,这最好由组织内富有经验的信息安全顾问来提供。并非所有的组织都愿意雇用专家顾问.因此,建议组织专门指定一个人来协调组织中的知识和经验,以确保一致性,并帮助做出安全决议.同时他们还应和合适的外部顾问保持联系,以提供自身经验之外的专家建议。信息安全顾问或等同的联络人员的任务应该是使用他们自己的和外部的建议,为信息安全的所有方面提供咨询.他们对安全威胁的评估质量和对控制措施的建议水平决定了组织的信息安全的有效性.为使其建议最大程度的发挥作用,他们应有权接触组织管理层的各个方面.若怀疑出现安全事件或破坏,应尽早的咨询信息安全顾问和相应的外部联络人员,以获得专业指导和调查资源。尽管多数的内部安全调查通常是在管理层的控制下进行的,但仍可以邀请安全顾问给出建议,领导或实施调查.
6. 组织间的合作
为确保在发生安全事故时能最快的采取适当措施和获得指导建议,各个组织应和执法机关、管理机构、信息服务提供机构以及电信营运部门保持适当的联系.同样也应考虑成为安全组织和行业论坛的成员。
安全信息的交流应该加以限制,以确保组织的秘密信息不会泄漏到未经授权的人员手中。
7. 信息安全审核的独立性
信息安全方针条例制定出了信息安全的方针和职能.实施情况的审核工作应该独立进行,来确保组织规范能够很好的反映安全方针,并且是可行的和有效的.
审核工作应由组织内部的审核职能部门、独立经理人或精通于此种审核工作的第三方组织来实施,只要审核人员掌握了相应的技术和经验。
目标:保证第三方访问组织的信息处理设备和信息资产时的安全性。 第三方访问组织内部的信息处理设备的权限应该受到控制。 若有业务上需要第三方的访问,应对此做出风险评估来确定访问可能带来的安全后后果和对访问进行的控制需求。控制措施应经双方同意,并在合同中进行明确定义. 第三方访问还会涉及其他参与者。授予第三方访问权的合同应该涵盖对合法的参与 者任命和允许访访问的条件。 在考虑信息外包处理时,此标准可以作为签订此类合同的基础。 |
1. 第三方访问的风险鉴别
(1) 访问类型
给予第三方访问的类型至关重要。比如,通过网络连接的访问风险与物理访问的风险有很大区别.需要考虑的访问类型有:
(2) 访问原因
授权第三方访问有若干原因。例如,向组织提供服务却不在现场的第三方,就可以被授予物理和逻辑访问权,如:
若没有充分的信息安全管理,允许第三方访问将给信息带来风险。因此,在业务上有与第三方接触的需求时,则需进行风险评估,以确定具体的控制措施的要求。还要考虑所要进行的访问类型、信息的价值、第三方使用的控制措施和访问给组织信息的安全可能带来的后果.
(3) 现场承包方
按照合同规定,可以在现场滞留一段时间的第三方也有可能带来安全隐患.现场第三方的例子有:
了解采取哪些控制措施来管理第三方对信息处理设备的访问是至关重要的。总的来说,在与第三方所签的合同中应反映出所有的由第三方访问导致的安全需求或内部的控制措施.例如:若对信息的保密性有特殊要求的时候,就要采用保密协议。
只有在实施了适当的控制措施并签订了涵盖连接和访问条件的合同之后,第三方方可访问信息和信息处理设备。
2。 与第三方签约时的安全要求
涉及到第三方访问本组织信息处理设备的安排应基于正式的合同。该合同应包括或提到安全要求,以保证遵守本组织安全方针和安全标准。合同应确保本组织和第三方之间没有误会.各个组织应确保供应商的可靠性。合同中应该考虑如下条款:
目标:当把信息处理的责任委托给其他组织时,要确保委外信息的安全性 委外安排时,应该在签约方的合同中表明信息系统、网络和或桌面环境方面的风险、安全控制和流程. |
1。 委外合同中的安全要求
如果组织将其全部或部分信息系统、网络或桌面环境的管理和控制任务委托给其他组织,委外的安全要求应在合同中加以规定并要争得双方的同意.
例如:合同中应规定:
前面条款中的列表所给出的款项也应作为合同的一部分考虑进去。在双方同意的安全管理计划中,此合同应当详细论述安全要求与流程.
尽管委外合同会引起一些复杂的安全问题,在本规范中提及的控制措施可以作为协商安全管理计划结构和内容的起始点.
目标:保持对组织资产的适当保护。 应该考虑所有重要的信息资产并指定所有人。 资产责任有助于确保对资产保持适当的保护.应该为所有重要资产指定所有人,并应该分配对其保持适当控制措施的责任。实施控制措施的职责可以委托。责任应由指定的资产所有人承担. |
1. 资产清单
资产清单有助于确保进行有效的资产保护,其它商业目的,如卫生和安全、保险或财务(资产管理)原因同样需要资产清单.编制资产清单的过程是风险评估的一个重要方面。组织需要识别其资产及这些资产的相对价值和重要性.基于这些信息,组织能够进而提供与资产的价值和重要性相符的保护等级。应该编制并保持与每一信息系统相关的重要资产的清单.应该清晰识别每项资产、其拥有权、经同意和记录为文件的安全分级(见5。2),以及资产现在的位置(当试图从丢失和损坏状态恢复时是重要的)。和信息系统相关的资产的例子:
目标:确保信息资产受到适当级别的保护; 应该对信息进行分类以指明要求、优先性和保护等级. 信息具有不同程度的敏感性和重要性.一些项目可能需要额外级别的保护和特殊处理.应该使用信息分类系统来定义一套适当的保护等级,并传达特殊处理措施的要求. |
1. 分类原则
信息分类和相应的保护控制措施应该考虑共享或限制信息的商业要求,以及与这些要求相关的商业影响,如对信息未经授权的访问或损坏.一般而言,对信息分类是决定如何处理和保护此信息的一条捷径.
来自处理机密性数据之系统的信息和输出应该按照其对组织的价值和敏感性进行标示.按照信息对组织的重要性进行标示同样是适当的,如,按照信息的完整性和可用性.经过了一段时间后,例如当信息已经被公开时,信息通常就不再是敏感的或重要的。应该考虑到这些方面,因为过高的保密级别能够导致不必要的额外的商业支出.分类原则应该预见并顾及到一个事实,及对任何特定信息的分类都没有必要始终不变,并可以根据一些预定的方针变化。
应该考虑划分类别的数量以及对其使用所带来的益处。过于复杂的分类方案可能造成使用上的麻烦和不经济或被证明为不切合实际.在解释来自其他组织的文件上的分类标签时应该小心,他们对相同或相似名字的标签可能有不同的定义。
对一项信息(如文件、数据记录、数据档案或磁盘)的分类进行定义以及对该分类定期评审的责任应该保留给数据的创始者或指定的信息所有人.
2。 信息的标示和处理
重要的是根据组织所采用的分类方案,为信息的标示和处理定义一套合适的程序。这些程序必须包含以物理或电子形式存在的信息资产.对每一信息类别,应该定义处理程序,包含下列种类的信息处理活动:
含有被划分为敏感或重要信息之系统的输出应该采用适当的分类标示(在输出上)。该标示应该反映根据上述分类原则建立的规则所做的分类。应考虑的项目包括打印报告、屏幕显示、记录了信息的媒体(磁带、磁盘、光盘、盒式磁带),电子信息和文件传送.
物理标示一般是最合适的标示形式。然而,一些信息资产,如电子形式的文件,就不能进行物理标示,而需要使用电子方法标示。
目标:降低人为错误、盗窃、诈骗或误用设备的风险。 应该在新员工聘用阶段就提出安全责任问题,包括在聘用合同中,并且在员工的雇佣期间进行监督。 应该对可能的新员工进行充分的筛选,尤其是从事敏感工作的员工。所有雇员以及信息处理设施的第三方用户都应该签署保密(不泄密)协议。 |
1。 岗位责任中的安全
安全任务和责任,如同在组织的信息安全方针中规定的(见3。1),应该在适当的情况下形成文件.这些任务和责任既应该包括实现或保持安全方针的任何一般责任,又应该包括保护特定资产或执行特定的安全过程或活动的任何具体责任.
2。 人员选拔及方针
对终身员工的核实检查应该在招聘时进行。这应该包括以下控制措施:
无论是初次任命还是提升,当一项工作涉及的人员具有访问信息处理设备的机会,特别是如果这些设备处理敏感信息,如财务信息或高度机密的信息时,组织应该同样进行信用检查。对于处在有相当权力位置的人员,这种检查应该定期重复。
对于合同方和临时员工应该执行相似的筛选程序。若这些人员是由代理机构推荐的,则在与代理机构签订的合同中应该明确规定该代理机构的筛选责任,以及如果没有完成筛选工作或者如果有理由对筛选结果怀疑或担心,它们必须遵循的通知程序。
管理层应该对有权访问敏感系统的新员工和缺乏经验的员工的监督工作进行评价.每一名员工的工作都应该定期经过一名更高层职员的评审和批准程序。
各经理应该意识到员工的个人环境可以影响他们的工作.个人或财政问题、行为或生活方式的改变、重复的缺勤以及压力或抑郁可能导致欺诈、偷窃、错误或其他安全隐患.应该依据相应权限范围内适当的规定来处理这类信息。
3. 保密协议
保密或不泄密协议用于告知信息是保密的或秘密的。雇员通常应该签署此类协议作为他们受雇的先决条件。
应该要求现存合同(含保密协议)尚未包括的临时员工和第三方用户在被给予信息处理设备访问权之前签署一个保密协议.
在雇用条款或合同发生变化时,特别是员工要离开组织或合同将到期时,应该对保密协议进行评审。
4。 雇佣条款和条件
雇佣条款和条件应该阐明雇员对信息安全的责任.适当时,在雇佣结束后,这些责任应该继续一定的时间。应该包括如果雇员无视安全要求时所采取的行动.
雇员的法律责任和权利,如涉及到的版权法或数据保护法,应该阐明并包括在雇佣条款和条件中。还应该包括分类和管理雇主数据的责任.只要适当,雇佣条款和条件应该说明这些责任是延伸到组织范围以外和正常工作时间以外,例如在家工作时。
目标:确保用户意识到信息安全的威胁和利害关系,并具有在日常工作过程中支持组织安全方针的能力。 应对用户进行安全程序和正确使用信息处理设备的培训,以尽量降低可能的安全风险。 |
1。 信息安全教育和培训
组织中所用员工以及相关的第三方用户,应该接受适当的培训并且根据组织方针和程序的变化定期再培训。这包括安全要求、法律责任和商业控制措施,还包括在被授权访问信息或服务之前正确使用信息处理设备,如登录程序、软件包的使用的培训。
目标:尽量减小安全事故和故障造成的损失,监督此类事件并吸取教训。 影响安全的事故应该尽快通过适当的管理渠道报告。 应使所有雇员和签约人知道可能影响组织资产安全的不同种类事故(安全事故、威 胁、弱点或故障)的各种报告程序. 应该要求他们以最快的速度把任何看到的或怀疑的事故报告给指定的联络人。组织 应该建立正式的惩罚程序以处理破坏安全的员工.为妥当的处理事故,有必要在事故发 生后尽快收集证据. |
1. 报告安全事故
安全事故应该尽快通过适当的管理渠道报告。
应该建立正式的报告程序,同时建立事故响应程序,阐明接到事故报告后所采取的行动。应该使所有员工和签约方知道报告安全事故的程序,并应该要求他们尽快报告此类事故。应该在事故被处理完并关闭后,执行适当的反馈程序,以确保那些报告的事故被通告了结果.这些事故可以用于用户安全意识培训,作为会发生什么事故、对此类事故如何响应、以及将来如何避免的例子.
2。 报告安全弱点
应该要求信息服务的用户记录并报告任何看到的或怀疑的系统或服务的安全弱点或对它们的威胁。他们应该尽快把这些问题向他们的管理层或直接向服务提供者报告。应该告知用户,在任何情况下,他们都不应该试图验证一个怀疑的弱点.这是为了保护他们自己,因为测试弱点可能被认为是滥用系统.
3。 报告软件故障
应该建立报告软件故障的程序,应该考虑以下行为。
除非被授权,用户不应该试图删除有疑问的软件。应该由经过适当培训并有经验的员工执行恢复工作。
4。 从事故中学习
应该有在用的机制以使事故和故障的种类、数量和损失能够被量化和监督。这类信息应该用于识别重发或有重大影响的事故和故障.这可以表明增强或增加控制措施的必要性,以限制将来事故发生的频率、损坏程度和损失,或者在安全方针评审过程(见3。1.2)中加以考虑。
5。 惩罚程序
针对违反组织安全方针和程序的雇员应该有正式的惩罚程序。此程序对不然可能无视安全方针的雇员能够起到威慑作用。另外,应该保证正确、公平的处理被怀疑严重或连续破坏安全的雇员。
目标:防止对商业场所和信息未经授权的访问、破坏和干扰。 关键或敏感的商业信息处理设备应该放置在安全区域,由规定的安全防护带,适当的安全屏障和入口控制保护.这些设备应该被物理保护,防止未授权的访问、破坏和干扰。 所提供的保护应该和被确认的风险相当。建议采用清空桌面和清屏方针以降低对文件、媒体和信息处理设备的未经授权的访问或破坏的风险。 |
1。 物理安全防护带
物理保护可以通过在商业场所和信息处理设备周围设置若干物理屏障达到。每个屏障形成一个安全防护带,每个防护带都增强所提供的整体防护。组织应该使用安全防护带来保护放置信息处理设备(见7.1.3)的区域。安全防护带是构建屏障的东西,如墙、进门的控制卡或有人职守的接待台。每个屏障的位置和强度取决于风险评估的结果.
适当情况下应该考虑下述原则和控制措施:
2. 物理进入控制措施
安全区应该通过适当的进入控制措施保护,以确保只有经授权的人员能够进入,应考虑以下的控制措施:
3。 保护办公室、房间和设备的安全
安全区可能是上锁的办公室或物理安全防护带中的若干房间,这些房间可以被锁住并且可能存放有可上锁的柜子和保险箱。安全区的选择和设计应该考虑火灾、水灾、爆炸、暴乱和其他形式的自然或人为灾害造成损害的可能性.还应该考虑相关的卫生、安全法规和标准.同样应该考虑相邻场所造成的任何安全威胁,如来自其他区域的水泄漏。
应该考虑以下控制措施:
4。 在安全区内工作
可能需要额外的控制措施和指导原则来加强安全区域的安全性.这包括对在安全区内工作的员工和第三方人员以及发生在安全区的第三方活动的控制措施。应该考虑以下控制措施:
5。 隔离交接区
交接区应予以控制,如有可能,与信息处理设备隔离,以避免未经授权的访问.此类区域的安全要求应该由风险评估决定.应该考虑以下控制措施:
目标:防止资产的丢失、损坏或泄漏以及商业活动的中断. 应该在物理上保护设备免受安全威胁和环境危害。有必要保护设备(包括场所外使用的)以降低对数据未经受权访问的风险以及防止丢失或损坏。还应该考虑设备的放置和布局。特殊的控制措施可能是必要的,以防止危害或未经授权的访问,并保护辅助设施,如电力和电缆设施。 |
1。 设备放置和保护
应该放置或保护设备以降低环境威胁和危害造成的风险,以及未经受权访问的机会。应该考虑以下控制措施:
e) 组织应该考虑在信息处理设备附近吃东西、饮水和吸烟的方针。
2。 电力供应
应该保护设备以防电力中断和其他与电有关的异态。应该根据设备制造商的说明提供合适的电力。
实现不间断电力的可选措施包括:
对于支持关键商业业务的设备,推荐使用不间断电源(UPS),来保证设备的正常关机或持续运转。应急计划应该包括在UPS失效时所采取的行动。UPS设备应该定期检查,以确保其具有足够的电量,并按照制造商的建议测试.
在长时间停电的情况下,如果业务要继续,应该考虑备用发电机。安装之后,发电机应该按照制造商的说明定期测试。应该有足够的燃料供应,以确保发电机能长时间工作。
另外,紧急电源开关应位于设备室的紧急出口附近,以便在紧急情况下迅速切断电源.在主电源发生故障时,应该提供应急照明。应该对所有建筑物应用雷电防护,并在所有外部通信线路上安装雷电防护过滤器.
3. 电缆安全
应该保护传送数据或支持信息服务的电力和通信电缆,防止窃听或损坏。应该考虑以下控制措施:
4. 设备维护
应该正确的维护维护以确保其持续的可用性和完整性。应该考虑以下控制措施。
5. 场所外设备的安全
无论所有权如何,任何在组织场所外用于信息处理的设备应该经管理层授权.考虑到在组织外工作的风险,所提供的保护应该等同于组织内相同用途的设备。信息处理设备包括用于家庭工作或从正常工作地点带出的所有形式的个人电脑、档案夹、移动电话、文件或其他的物品。应该考虑以下指导原则:
如损坏、盗窃和窃听的安全风险在不同地点变化很大,应该在决定最合适的控制措施时加以考虑。关于保护移动设备的其他方面的更多信息可参见9。8.1
6。 安全的处置或再启用设备
草率的处置或再启用设备能够泄漏信息.存有敏感信息的存储设备应该从物理上被销毁或安全地重写,而不是使用标准的删除功能。
带有存储媒体(如固定硬盘)的所有设备应该被检查以确保任何敏感数据和授权软件在处置前已被清除或重写。被损坏的存有敏感数据的储存设备,需要经过风险评估以决定这些设备是否应该被销毁、修理或丢弃。
目标:防止信息和信息处理设备的损坏或被盗。 应该保护信息和信息处理设备以防泄漏给未经授权的人,被其修改或偷窃,控制措施应该到位以尽量减少损失或损坏。 在下章节中考虑了处理和存储程序。 |
1. 清空桌面和清屏方针
组织应考虑对文件及可携带的储存媒体采取清空桌面方针,对信息处理设备采取清屏方针,以降低在正常工作时间内外信息未经授权的访问,丢失和损坏的风险.该方针应考虑信息安全分类(见5.2),相应的风险和组织文化的各方面。
留在桌面上的信息也有可能被诸如火灾、水灾或爆炸的灾害损坏或销毁。
应考虑下述控制措施:
2. 资产的迁移
设备、信息或软件未经授权不应带离原场所。必要和合适的情况下,设备应注销并在带回时再注册。应进行抽查,以检查财产非经受权的移动。应使个人知道将抽样检查。
目标:确保对信息处理设备正确和安全的操作。 应该建立所有信息处理设备管理和操作的责任和程序。包括制订适当的操作指南 和事故反应程序。 适当情况下应实施责任划分,以降低疏忽或故意滥用系统的风险。 |
1. 文件化操作程序
被安全方针确定的操作程序应该文件化并保持。应将操作程序作为正式文件对待,经管理层授权后可修改。
程序应该规定每项工作详细的执行指导,包括:
与信息处理和通信设备有关的系统日常管理活动也应准备文件化的程序。如计算机启动和关机程序、备份、设备维护、计算机房和信件处理的管理和安全。
2. 操作的变更控制
应该控制信息处理设备和系统的改变。对信息处理设备和系统变化的控制不够是系统或安全故障的通常原因。应该制订正式的管理责任和程序以确保满足对设备、软件或程序的所有改变的控制。对操作程序应该进行严格的变更控制。在程序变更时,应该保留包括所有相关信息的审计日志.操作环境的变化能够影响到应用程序.可行的情况下,应把操作和应用的变更控制程序整合起来.特别应考虑以下控制措施:
3。 事故管理流程
应建立事故管理责任和流程来确保对安全事故快速、有效和有序的响应(见6。3。1)。应考虑以下的控制措施:
4. 职责分开
职责分开是降低意外或故意滥用系统的风险的一种方法。为减小未经授权的修改或滥用信息或服务的机会,应考虑分开管理或执行特定职责或责任领域.
小型组织可能发现这种控制方法难以做到,但是只要可能并可行,该原则应该被应用。如划分工作比较困难,应考虑其他的控制措施,如行动监视、审计跟踪和管理监督。保持安全审计的独立性很重要.
应该注意不能有人在独立责任领域实施诈骗而不被发现。事件的提出和批准应该分开.应考虑如下的控制措施:
5。 开发和操作设备的隔离
隔离开发、测试和操作设备对实现分离所涉及的任务是重要的.应该制订并文件化软件从开发转入操作状态的规则。
开发和测试行为会引起严重的问题,如文件或系统环境的不希望有的修改或系统故障.应考虑为防止操作问题在操作与测试和开发环境之间所必要的分离级别。在开发和测试功能之间也应实施类似的隔离。在这种情况下,有必要保持一个已知的并稳定的环境,在此环境中执行有意义的测试和防止不适当的开发者的访问。
当开发和测试人员有权访问操作系统和其信息时,他们有可能引入未经授权和未经测试的程序代码或改变操作数据。在某些系统中,这种能力能够被滥用而进行欺诈、或引入未经测试或恶意的代码。未经测试的或恶意的代码能引起严重的操作问题。开发者和测试人员还会给操作信息的保密性造成威胁。
如果开发和测试活动共享相同的计算环境,可以造成软件和信息的意外改变.因此为降低意外改变或未经授权的访问操作软件和商业数据的风险,隔离开发、测试和操作设备是值得的。应考虑如下的控制措施:
6. 外部设备管理
由外部合同方来管理信息处理设备可以引起潜在的安全破坏,如数据在承包商一方的被泄密、损失或遗失的可能性。应该提前识别这些风险,与合同方商定适当的控制措施并写入合同(对涉及访问组织设备的第三方的合同以及委外合同的原则见4.2。2 和4.3).
应该提出的特殊的问题有:
目标:将系统失效的风险降到最低。 需要事先计划和准备以确保足够的容量和资源可用。 应对未来容量需求做出预测,以降低系统超载的风险. 应建立新系统的操作要求,在验收和使用前文件化并测试。 |
1. 容量规划
应监控所需的容量并预测未来的容量需求,以确保有足够的处理能力和存储能力可用。这些预测应当考虑新业务和系统的需求,以及组织在信息处理方面当前和未来的趋势。
大型计算机需要特别注意,因为获取新的容量需要更大的成本和更长的交付时间。大型业务的管理者应监控关键系统资源的使用,包括处理器、主存储器、文件存储器、打印机和其他输出设备以及通信系统。管理人应该确认使用上的趋势,特别是与商业应用程序或管理信息系统工具相关时.
管理者应使用此信息来识别和避免可能对系统安全或用户服务造成威胁的潜在瓶颈,并设计适当的补救措施。
2。 系统的接收
应该制订新信息系统、升级和新版本的接收标准,并在接收前对系统进行适当的测试。管理者应确保新系统的接收要求和标准被清晰定义,同意,文件化并测试.应考虑以下的控制措施:
对于主要的新的开发工作,应该在开发过程的所有阶段咨询操作人员和用户,以确保所提出的系统设计方案的操作效率.应该实施适当的测试来确认所有的接收标准已被满足。
目标:保护软件和信息的完整性。 需要有预防措施来防止和检测恶意软件的引入。 软件和信息处理设备易受引入的恶意软件的攻击,诸如计算机病毒、网络蠕虫、特洛伊木马以及逻辑炸弹。用户应该意识到未经授权或恶意软件的危害,在适当情况下,管理人员应该采取特殊的控制措施来监测和防止此类恶意软件的引入。特别是,采取预防措施来监测和防止个人计算机上的计算机病毒是必需的. |
1。 恶意软件的控制措施
应实施防范恶意软件的监测和预防措施并进行适当的用户意识培训。防范恶意软件应基于安全意识,适当的系统访问控制和变更管理控制。应考虑如下控制措施:
这些控制措施对于支持大批工作站的网络文件服务器尤其重要.
目标:保持信息处理和通信服务的完整性和可用性。 应建立常规程序以实施经过批准的备份策略,对数据作备份,演练备份资料的及时恢复,记录登录和登录失败事件,并在适当的情况下,监控设备环境. |
1。 信息备份
重要的商业信息和软件应该定期备份.应该提供足够的备份设备以确保所有重要的商业信息和软件能够在发生灾难或媒体故障后迅速恢复。不同系统的备份安排应该定期的进行测试,以确保可以满足持续性运营计划的要求。应考虑如下的控制措施:
规定重要的商业信息的保留期以及永久保存的文档复件的要求。(见12。1。3).
2。 操作者日志
操作人员应该保留其行为日志。日志应包括:
对操作人员日志应按操作流程进行定期的、独立的检查.
3。 差错记录
对差错应该进行汇报并采取修正行动。应该记录用户所汇报的信息处理中或通信系统中的差错。对如何处理汇报上来的差错应有明确的规则:
目标:确保对网络中信息和支持性的基础设施的保护. 对跨组织边界的网络的安全管理需要格外注意。 对于通过公共网络的敏感信息要有额外的控制措施. |
1。 网络控制
为实现和维护计算机网络的安全性,需要有一套控制措施.由网络管理员实施控制措施,确保网络中数据的安全,并防止相连的服务受到未经授权的访问。特别地,应考虑如下的控制措施:
目标:防止资产损失和商业活动的中断 对媒体应加以管理和基于物理上的保护. 应建立合适的操作流程来保护文档、计算机媒体(磁带、软盘、盒式磁带)、输入/输出数据和系统文件免受损坏、盗用和未授权的访问. |
1. 可移动的计算机媒体的管理
应有流程来管理可移动的计算机媒体,如磁带、软盘、盒式磁带和打印的文件。应考虑如下的控制措施:
所有的流程和授权级别都要进行清晰的记录.
2. 媒体的处理
媒体作废后,应当对其进行安全处理。敏感信息可能通过对媒体的草率处理而泄漏出去。因此,应当建立正规的媒体安全处理流程以将此风险将至最低.应当考虑下面的控制措施:
在堆积媒体等候集中处理时,应当考虑到所谓的“堆置效应",即大量未分类信息堆置在一起可能比少量单个信息更敏感。
3。 信息处理的流程
应当建立信息处理和存储的流程,以便保护这种信息免于非法的透露或误用。制定必要的流程并按照其分类对文件、电脑系统、网络、移动计算、移动通讯、邮件、语音邮件、一般语音通讯、多媒体、邮政服务及设施、传真机和其它敏感物品如空白支票、发票等的使用进行管理.应当考虑下面的控制措施:
4。 系统文档的安全
系统文档可能载有系列敏感信息,如对应用程序、流程、数据结构、授权过程的描述.应当考虑下面的控制措施以保护系统文档免受未授权的访问。
目标:防止丢失、修改或误用组织之间交换的信息。 应当控制组织之间信息和软件的交换,并应当使其符合任何相关的法规(参见12条)。 应当根据协议来进行交换.建立流程和标准来保护传输中的信息和媒体。应当考虑与电子数据交换,电子商务和电子邮件有关的商业和安全隐患以及控制措施的需求. |
1。 信息和软件交换协议
应当为组织之间的信息和软件的交换(不管是电子的或人工的)订立协议,某些协议可能是正式的,在适当的时候,包括软件的由第三方保存的协议.这样一种协议的安全内容应当反映所涉及的商业信息的敏感性.关于安全条件的协议应当考虑:
2。 传输中的媒体的安全
信息在物理传输的过程中,例如,当通过邮政服务或快件传递的时候,可能容易受到未授权的访问,误用或讹误。应当应用下列的控制措施来保护电脑媒体在两地传递过程中的安全:
3. 电子商务的安全
电子商务可能会涉及电子数据交换、电子邮件和通过因特网之类的公众网进行网上交易等方式的使用。电子商务很容易受到大量的网络上的威胁,从而导致欺诈行为,合同纠纷和信息的透露或修改。应当应用控制措施来保护电子商务免受这样的威胁。对于电子商务的安全考虑应当包括下面的控制措施:
上述的许多考虑都要依法通过网上加密技术的使用得以实现。
贸易伙伴间的电子商务安排应当由文档化的协议来支持,该协议使双方都对议定的贸易条款作出承诺,包括授权的细节。同时,也必要和信息服务和网络增值业务提供商签订其他的协议。
公共交易系统应当向客户公开其交易条款及规定。
应当考虑用于电子商务的主机对于攻击的抵抗能力,以及实施电子商务所要求的任何网络互联的安全隐患的处理措施.
4。 电子邮件的安全
(1) 安全风险
电子邮件被用于商业通讯,取代了传统形式的通讯方式如电传或信件.电子邮件和传统的商务通讯方式有很多不同,如速度、信函结构、非正式的程度及易受非法攻击等。因此,应当考虑需要采取控制措施以减少由电子邮件所产生的安全风险。安全风险包括:
(2) 关于电子邮件的方针
组织应当制定一个清楚的方针对电子邮件的使用加以规定,包括:
5。 电子办公系统的安全
应当制定和实施有关的方针以控制与电子办公系统有关的商业和安全风险。通过使用文件、电脑、移动电脑、移动通讯、邮件、语音邮件、语音通讯、多媒体、邮政服务/设施和传真机等的组合,为更快地传播和共享商业信息提供了机会.
对连接这种设备的安全和商业隐患的考虑应当包括:
6. 公共可用的系统
应当注意保护以电子形式发表的信息的完整性,防止对其进行未授权的修改而造成对组织名誉的损害。在公共可用系统上的信息,如通过因特网可访问的网络服务器上的信息,需要合乎其所在地区或所从事交易的地区的法律的要求。信息在被公开之前,应当有一个正式的授权流程.
应当采取适当的机制对公共系统上的软件、数据或其他要求高度完整性的信息加以保护,例如,数字签名。电子发布系统,特别是那些允许信息的反馈和直接进入的系统,要加以严格的控制,以做到:
7。 其他形式的信息交换
应当有适当的流程和控制措施,对通过声音、传真和视频通讯设备等进行的信息交换进行保护.安全意识,关于使用这些设备的方针或流程的缺乏会导致信息的损害,例如,在公共场合打移动电话,使用语音答录机时会被偷听,对拨号语音邮件系统的未授权访问或使用传真机设备偶然地将传真错发给别人等.
如果通讯设备出现故障,超载或中断会导致商业的中断和信息的损害。
应当制定一个清楚的方针声明,规定职员在使用语音、传真和视频通讯设备时应遵守的流程。这应当包括:
目标:控制对信息的访问 对信息和商业流程的访问应在商务和安全需求的基础上进行控制。 访问控制应考虑到信息传播和授权方面的方针. |
1。 访问控制方针
(1) 方针和商务需求
访问控制的商务需求应进行定义和文档化.每一个用户或用户组访问控制规则和权力都应在访问方针报告书中明确声明。应给用户和服务提供商应提供由访问控制决定的商务需求的明确声明。
访问控制方针应考虑下述问题:
(2) 访问控制规则
为详细说明访问控制规则,应注意考虑以下各项:
目标:防止对信息系统的未授权访问 应有正式的流程来控制对信息系统和服务的访问权的分配。 流程应该涵盖用户访问的生存期的各个阶段,包括从新用户的注册,到不再需要访问信息系统和服务时的注销。在适当情况下,对于可以超越系统控制的访问特权的分配,控制时应给予特别的注意。 |
1。 用户注册
应有正式的用户注册和注销流程来授权对多用户信息系统和服务的访问。
应通过指示的用户注册流程控制对多用户信息服务的访问,这一流程应包括:
若员工或服务代理商试图进行越权访问,应有条款对此详加说明,并考虑将其包含在员工合同和服务合同中(见6.1。4和6。3.5)。
2. 特权管理
应对特权的使用和分配(是多用户信息系统的特点或功能,它允许用户超越系统或应用控制措施的控制)进行限制和控制。对系统特权的不恰当的使用是被破坏的系统发生故障的一个主要原因。
禁止未授权访问的多用户系统应该具备由正式的授权过程所控制的特权分配。应考虑如下的步骤:
3。 用户密码管理
密码是证实访问信息系统或服务的用户身份的常用方法。密码的分配需要由正式的管理流程来控制,其步骤应是:
密码不得以未受保护的形式储存在计算机内(见9.5。4)其他的用于用户识别和辨别的技术,比如生物技术,如指纹检验、签名验证和硬件标记,如芯片卡,都是可用的,在适当的时候应该考虑采用.
4。 用户访问权的审查
确保对数据和信息服务的访问的有效控制,管理人员应该定期的执行对用户访问权的检查工作来确保:
目标:防止未授权的用户访问 已授权用户的合作是有效的安全的基本条件. 应使用户意识到其在维护有效的访问控制中的责任,特别是关系到密码的使用和用户设备的安全问题. |
1。 密码的使用
用户应该在选择和使用密码时遵循良好的安全规范。
密码提供了证实用户身份的一种方法,从而证实对信息处理设备的访问权。建议所有的用户:
如果用户需要访问多项服务或平台,并需要保留多个密码,则建议用户在所有可以为所保存的密码提供合理保护级别的服务中使用唯一的、高质量的密码(见上述的d)。
2。 无人看管的用户设备
用户应确保对无人看管的设备有适当的保护。在用户区所安装的设备,如工作站或文件服务器,当长时间无人看管时,针对未授权访问需要有特殊的保护。要求用户和承包商意识到保护无人看管设备的安全要求和流程,以及他们在实施这种保护时的责任。建议用户:
目标:保护网络服务,控制对内部网络和外部网络服务的访问。 为了确保访问网络和网络服务的用户不会危害到这些网络服务的安全性,确保以下各项是很必要的:
|
1。 使用网络服务的方针
和网络服务的非安全性连接将会影响到整个组织.用户只可以直接访问已经明确授权访问的服务。这种控制对于连接到敏感的或关键性的商业应用软件或连接到高风险区的用户的网络连接是特别重要的,如在组织安全管理和控制之外的公共或外部区域。
应制定关于网络和网络服务使用问题的方针:
此方针要和商务访问控制方针相一致(见9。1)
2。 强制路径
应控制从用户终端到计算机服务的路径.网络应被设计成允许最大范围的资源共享和路由的灵活性.这种特点也给未经授权的访问商务应用软件和使用信息设备制造了机会。限制在用户终端和允许用户访问的计算机服务之间的路由,如建立强制路径,包含有这样的控制措施的路径可以减小此类风险。
强制路径的目的是防止用户在用户终端和其已被授权的服务之间的路径以外选择路径.这需要在路径的不同节点上实施一系列的控制措施。此原则是通过事先确定的选择来限制在网络中每个节点上的路由选择。
此类的例子有:
3。 外部连接的用户认证
外部连接给未授权访问商务信息提供了潜在的可能,如拨号方式的访问。因此,远程用户的访问必须经过认证.认证方法有不同的类型,一些方法提供的安全级别要大一些,如基于使用加密技术的方法可提供很强的认证.通过风险评估来决定所需的保护级别是很重要的。这也是能够适当的选择认证方法所需要的。
对远程用户的认证可以通过使用,如基于加密技术,硬件令牌或询问/响应协议来达到。专用线路或网络用户地址检验设备也可以用来提供连接源地址的保证。
反向拨号流程和控制,如使用回拨调制解调器,可以提供防止对组织信息处理设备的未授权和不需要的访问的保护。这种控制措施可以识别企图在远程地点和组织网络之间建立连接的用户.在使用此控制措施时,组织不得使用含有呼叫转接的网络服务,否则,这些服务必须禁止使用呼叫转接功能,来避免由此带来的缺陷。回拨过程保证在组织一方可以出现中断也是很重要的.否则,远程用户可以保持线路开放,而伪称已经进行了回拨认证。对于这种可能性,回拨流程和控制措施要彻底的进行测试。
4. 节点认证
自动连接到远程计算机的功能为商务应用的未授权访问提供了途径。因此对远程计算机的连接要进行认证。如果连接所用的是组织安全管理控制之外的网络,认证则是特别的重要。认证的例子和如何实现认证在上述9.4.3中已给出。
节点认证可以作为验证连接到安全的、共享的计算机设备的远程用户群的可选方法。
5。 远程诊断端口保护
应该可靠的控制诊断端口的访问.很多计算机和通信系统都安装有维修工程师所用的拨号远程诊断设备。如果不加以保护,这些诊断端口则提供了未授权访问的途径.因此,应有适当的安全机制来进行保护,如使用键锁和程序来确保只有计算机服务管理人员和要求访问的软硬件支持人员之间的设备才可以访问这些端口。
6。 网络的隔离
网络正被日益地扩展到组织的传统边界之外,这是因为所建立的商务合作关系需要信息处理或网络设备的互联或共享。这种扩展增加了对现存的使用网络的信息系统的未授权访问的风险,其中有一些网络由于本身的敏感性或重要性,需要对来自其他网络用户的保护。在这种情况下,应考虑在网络内部引入控制措施,来隔离信息服务组、用户和信息系统.
控制大型网络的安全的一种方法就是把网络化分成单独的逻辑网域,如组织内部的网络域,和外部网络域,每一个网域有所定义的安全边界来保护.这种边界的实施可通过在相连的两个网络之间安全网关来控制其间访问和信息流.网关要经过配置,以过滤两个区域之间的通信量(见9。4.7和9.4。8)和根据组织的访问控制方针来堵塞未授权访问(见9.1)。这种网关的一个例子就是通常所说的防火墙。
网络隔离成区域的标准应以访问控制方针和访问需求为基础(见9.1),还应考虑相关的成本和包含有适当的网络路由或网关技术的性能影响(见9。4。7和9。4.8)
7。 网络连接控制
对于共享的网络,特别是超越了组织边界的网络的访问控制措施要求包含有限制用户连接容量的控制措施.这种控制措施的实施是通过网关来实现的,网关通过预先定义的路由表或路由规则来过滤通信量的。所实行的限制措施应基于商务应用的访问方针和需求,因此要给予维护和更新。
应使用限制措施的应有的例子有:
8。 网络路由控制
共享的网络,特别是扩展到组织边界之外的网络,需要具有路由控制措施来确保计算机的互连和信息流不会违背商务应用的访问控制方针(见9。1)。对和第三方(非本组织)用户共享的网络,这种控制措施是必须的。
路由控制应基于明确的源地址和目的地址检查机制。网络地址翻译对于网络隔离和防止路由从一个组织的网络扩展到另一个组织的网络是一个很有效的机制.此功能可在软件和硬件上实现。实施时应意识到所采用的机制的强度.
9. 网络服务的安全问题
大范围的公共网络和私人网络的服务是可用的,其中有一些提供了增值服务.网络服务具有独特的、复杂的特点。使用网络服务的组织应确保提供一个对所使用的服务的安全特点的清晰的描述.
目标:防止对计算机的未授权访问 应使用操作系统级的安全设施来限制对计算机资源的访问。这些设备应该可以:
其他的访问控制方法如询问-响应方法,如果基于商务风险是合理的,也可采用。 |
1。 自动终端识别
应考虑自动终端识别来认证到特定位置和便携式设备的连接。如果会话只能由特定的位置或计算机终端发起是很重要的话,自动终端识别是一种可用的技术.在终端内或连接到终端上的识别器可用于识别特定的终端是否允许发起或接收特定的业务。对终端实施物理保护,维护终端识别器的安全是很必要的。还有很多其他的技术可用来认证用户(见9。4。3)。
2. 终端登录流程
对信息服务的访问只有通过安全的登录流程才是可行的.计算机系统的登录流程应被设计成尽量减小未授权访问的可能。因此,登录流程应尽量少的泄漏系统信息,以避免为未授权用户提供不必要的信息。一个好的登录流程应该:
3. 用户识别和确认
所有的用户(包括技术支持人员,如操作人员,网络管理人员,系统程序员和数据库管理人员)都应有唯一的用户识别标识为个人使用。以便于其行为可以最终追踪到责任者。用户的识别符不应显示用户特权级别的任何线索(见9。2。2),如经理,监督员.
在例外的情况下,有明显的商务利益的时候,则用户群或特定的工作可以共享一个用户标识符.管理部门对此种情况的批示要加以记录.为维持责任,则需要有额外的控制措施.
有不同的确认流程可以用来证实用户所声明的身份。密码(见9.3.1及下面)则是在只有用户知道的基础上,用于识别和确认的最常用的方法。使用加密技术和确认协议同样可以证实用户身份.
用户拥有的记忆标记或智能卡一类的实物也可用于识别和确认用户身份。利用个人的特有的特点和属性的生物确认技术也可确认身份。安全连接的技术和机制的组合使用将会使识别更有力度。
4. 密码管理系统
密码是用来证实用户访问计算机服务的权力的主要的方法之一。密码管理系统应该提供有效的、交互的功能,来确保密码的质量(见9。3.1密码使用原则).
一些应用要求有独立的权力机构来分配用户密码。大多数情况下,密码的选择和维护都是由用户来进行的。
好的密码管理系统应:
5. 系统工具的使用
多数的计算机设备都有一套或多套可以超越系统和应用程序控制的系统工具。限制和控制其使用时很重要的。应考虑以下的控制措施:
6. 保护用户的强制警报
对可能成为强制对象的用户应考虑强制警报规定。是否提供这种警报的决定应基于对风险的评估。对强制警报的响应应有已经定义的责任和流程。
7. 终端超时
处于高风险区的待用终端,如组织安全管理之外的公共的或外部的区域,或提供高风险服务的待用终端,在所规定的静止状态之后应该关机,以防止未授权的人员的访问。在规定的静止时间之后,超时功能应该清掉终端的屏幕,终止应用软件和网络会话。超时延迟应能反映地区和终端用户的安全风险。
为一些个人电脑所提供的终端超时功能的有限形式,可以清屏,和防止未授权访问,但不能中断应用软件和网络会话.
8.连接时间的限制
限制连接时间可以对非高风险的应用提供额外的安全保护。对终端连接到计算机服务所允许的时间的限制可以降低未授权访问的机会。对于敏感的计算机应用,应该考虑这样的控制措施,特别是高风险区的终端,如组织安全管理之外的公共的或外部的区域,更应给予考虑。这种限制措施的例子有:
目标:防止对信息系统内部的信息的未授权访问. 在应用系统内,应采用安全设施来限制访问。 对软件和信息的逻辑访问应该限制在授权用户中. 应用系统应:
|
1。 信息访问限制
应该依照所规定的访问控制方针,基于不同的商务应用的需求,并和组织信息访问保持一致,来对应用系统的用户,包括支持人员提供访问信息和应用系统功能的权力。为支持访问限制需求应考虑应用下述控制措施:
2。 敏感系统隔离
敏感系统要求有专用的(隔离的)计算环境。有些应用系统敏感到有丢失的可能,需要进行特殊的处理。这种敏感性意味着应用系统应在专用的计算机上运行,只应和值得信赖的应用系统共享资源,或是没有限制。下述考虑的事项应用于:
目标:检测未授权的行为 应该对系统进行监控,以发现和访问控制方针相背离之处,并记录可监控事件,以便于在发生安全事故时提供线索。 系统监控允许审查所采用的控制措施的有效性,和证实与访问方针模型的一致性 |
1. 事件日志
应建立记录意外事件和其他与安全相关事件的审核日志,并将其保留已经同意的一段时间,以协助以后的调查和访问控制控工作.审核日志应包括:
确定的审核日志应作为记录保留方针的一部分加以存档,或因为收集证据的需要而进行存档。
2. 监控系统的使用
(1) 流程和风险区
应建立监控信息处理设备使用情况的流程。为确保用户只进行被授权的操作,这些流程是必须的。不同设备所需的监督级别应有风险评估来确定.应该给予考虑的方面有:
(2) 风险因素
应经常检查监控行为的结果。检查的频繁程度要由所涉及的风险来决定。应给予考虑的风险因素包括:
(3) 日志和审查事件
日志审查包括了解系统所面临的威胁和威胁发生的方式。在9。7.1中给出了在发生安全事件时,需要深入调查的事件的例子.
系统日志包括大量的信息,其中很多信息和安全控无关。为帮助辨认出对安全监控目的有意义的事件,应考虑将适当的信息类型自动的复制到第二日志中,或使用适当的系统工具软件或审核工具来执行文件审查工作。
分配日志审查责任时,应考虑在执行审查工作的人员和被监督人员之间进行角色划分。
应特别关注记录设备的安全,因为设备遭到损害,将会提供对安全的错误判断。控制措施应针对防止其受到未授权更改和操作问题,此类问题包括:
3. 时钟同步
对计算机时钟的正确设置对于确保审核日志的准确性是很重要的,因为这些日志是调查所需要的,或是法律事件或违规事件的证据.不准确的审核日志会妨碍调查和毁坏这些证据的可信性。
计算机或通信设备有能力运行时钟的情况下,它应被设置成公认的标准,如都用协调时间,或标准时间.有些时钟会随时间出现偏差,应有流程来检查和矫正一切明显的偏差。
目标:确保使用可移动的计算和远程工作设施时的信息的安全。 所需要的保护应和工作的特定方式所引起的风险相一致.当时用移动机算时,应考虑在未受保护的环境中的风险,并应给予适当的保护.在远程工作的情况下,组织应该对远程工作地点应用保护,并确保对这种方式的工作有适当的安排。 |
1。 移动计算
当使用移动计算设备时,如笔记本,掌上电脑和移动电话,应该特别注意,以确保商务信息不受到危害。应采用考虑使用移动计算设备而带来的风险的正式方针,特别这种使用是在未受保护的环境中进行的。例如这样一种方针应包括对物理保护、访问控制、加密技术、备份和病毒防护的需求.方针还应包括对移动设备连到网络上的规则和建议,以及在公共场所使用此类设备的原则.
在公共场所、会议室和其他的组织边界之外的未受保护的地区,使用移动的计算设备时,应给予注意.应给予保护,以避免对这些设备储存和处理的信息的未授权保护或泄漏,如利用加密技术进行保护。
当这些设备在公共场所使用时,应加以注意,避免未授权的人员的窥视问题很重要的。应有防护恶意软件的流程并时常更新。应有可用设备可以快速方便的备份信息.这些备份应给予充足的保护,来防止,诸如信息的盗用或丢失。
对于连接到网络上的可移动设备,也应加以保护。利用移动的计算设备,通过公共网远程访问商务信息,只有经过成功的辨识和确认,并有适当的访问控制措施时才可以进行.
对移动的计算设备应加以保护,以防止盗用,特别是如遗忘在车子里,和其他形式的交通工具、旅馆房间、会议中心和会议室.携带重要的、敏感的或关键性的商务信息的设备不应无人照管,如有可能,应在进行物理锁定,或使用特殊的锁定法来保护设备.对移动设备的物理保护的更多信息可查7。2。5.
对进行移动计算的员工应安排培训,提高他们对这种工作方式所引起的附加风险的意识,并实施控制措施。
2.远程工作
远程工作利用通信技术,使员工在组织之外的远方进行工作。对远程工作地点给予适当的保护,以防止设备和信息的盗用,非授权的泄漏信息,对组织内部系统的未授权的远程访问,或对设备的滥用。管理人员对远程工作的授权和控制是很重要的,同时对这种形式的工作的合适的安排也是很重要的。
组织应考虑制订一种方针、流程和标准来控制远程工作活动。有合适的安全的安排和控制,并且这些安排和控制依从了组织的安全方针,如果组织满足了以上的条件,才可以授权进行远程工作活动.应考虑以下各项:
应考虑的控制措施和安排有:
目标:确保把安全置于信息系统内部. 这将包括基础结构,商业应用软件和用户开发的应用软件。支持应用或服务的商业过程的设计和实施,对安全至关重要.在开发信息系统之前,应当识别和议定安全需求。 所有的安全需求,包括备用系统安排的需要,应当在一个方案的需求阶段被识别并被证明是合理的,取得一致意见并将其文档化,作为信息系统整体商业实例的一部分。 |
1。 安全需求的分析和说明
对于新系统的商业需求的声明,或现有系统的增强应当说明对于控制措施的需求。这样的说明应当考虑并入信息系统的自动的控制措施,以及对于支持性的人工控制措施的需要.当评价商业应用软件的软件包时,应作类似的考虑。如果考虑适当,管理层可能希望使用单独评价过或鉴定过的产品。
安全需求和控制措施应当反映所涉及的信息资产的商业价值,以及可能由故障或安全的缺乏而导致的潜在的商业损失。分析安全需求和识别控制措施以实现他们的框架是风险评估和风险管理。
在设计状态下引入的控制措施,相对于实施中或实施后所包括的那些控制措施,其实施和维护费用要低得多。
目标:防止丢失,修改或误用使用者在应用系统中的数据。 应用系统中应当设计有适当的控制措施和审核记录或活动日志,包括使用者的书面应用.这些应当包括对输入数据,内部处理和输出数据的确认. |
对于处理,或影响敏感的、有价值的或重要的组织资产的系统,可能需要额外的控制措施.这样的控制措施应当根据安全需求和风险评估来确定。
1。 输入数据的确认
输入应用系统的数据应当被确认以确保它是正确的和适当的。应检查商业交易、固定数据(名称和地址、信用贷款极限值、客户参考数字)和参数表(销售价格、货币兑换率、税率)的输入。应当考虑下列的控制措施:
2。 内部处理的控制
(1) 风险区域
已正确输入的数据可因处理错误或通过故意的行为而被破坏。对合法性的检查应当被并入系统以检测这样的破坏。应用软件的设计应当确保限制的实施以将导致完整性丧失的处理故障的风险降至最低.要考虑的特殊区域包括:
(2) 检查和控制措施
所要求的控制措施将取决于应用软件的性质和对任何数据破坏的商业影响。其检查实例包括:
3。 消息的验证
消息验证是一种技术,用于检测对传输的电子信息的未授权改动或破坏.它可以在硬件或软件中实施,支持物理信息验证装置或软件规则系统。
对于有安全需求的应用软件,应当考虑消息验证以保护消息内容的完整性,例如,非常重要的电子化的资金转移,说明,合同,建议等或其他类似的电子数据的交换.应当进行安全风险的评估以决定是否需要信息的验证并识别最适当的实施方法。
消息验证不是设计用来保护消息的内容免受未授权的透露。加密技术(参见10.3。2和10。3。3)可以用作实施信息验证的一个适当的方法.
4。 输出数据的确认
从应用系统中输出的数据应当被确认以确保对存储的信息的处理对于当时的情形来说是正确的和适当的。典型地,系统建立在这样的前提上,那就是对输出数据所进行的适当的确认,验证和测试总是正确的。情形并不总是这样。输出数据的确认可包括:
目标:保护信息的秘密性,真实性或完整性 对于被视为面临风险的信息和其他的控制措施不能对其提供足够保护的信息,应当使用加密系统和技术。 |
1。 关于使用加密控制措施的方针
决定加密的解决方案是否适当应当被看作评估风险和选择控制措施的较宽范围过程的一部分。应当进行风险评估以决定对信息保护的程度。那么,这种评估就可以被用来决定加密的控制措施是否适当,应当适用哪种类型的控制措施以及用于何种目的和商业过程。
一个组织应当制定一个方针,关于为了保护其信息而对加密控制措施的使用。对于将利益最大化,将使用加密控制措施的风险最小化,以及避免不适当的或不正确的使用来说,这样一种方针是必需的。当制定方针的时候,应当考虑如下方面:
2。 加密
加密是一种密码技术,它可以用于保护信息的秘密性.应当考虑将其用于敏感的或重要信息的保护.
根据风险评估,应当考虑加密规则系统的类型和质量以及所使用的密码的长度来确认所要求的保护标准。
当使用组织的加密方针时,应当考虑世界不同地区对于可能适用于加密技术使用的规则和国家的限制,以及加密信息跨国界流动的问题.另外,应当考虑适用于加密技术进出口的控制措施.
应当寻求专家的建议以确认适当的保护标准,选择合适的产品,这些产品将提供所要求的保护以及密钥管理安全系统的实施.另外,也需要寻求关于法律和规则的法律建议,这些法律和规则可能适用于组织对加密术的使用.
3. 数字签名
数字签名提供了一种保护电子文件真实性和完整性的方法。例如,它们可以被用于电子商务,在电子商务中,需要验证谁签署了一份电子文件并检查所签署的文件内容是否被修改了。
数字签名可以被适用于电子化处理的任何形式的文件,例如,它们可以被用于签署电子支票,资金的转移,合同和协议。可以通过使用一种加密技术来实施数字签名,该加密技术以一种独特相关的一对密钥为基础,其中的一个密钥被用来创立一个签名(私人密钥)而另一个用来检查该签名(公共密钥)。
应当注意保护私人密钥的秘密性。该密钥应当被秘密地保存,因为任何有权访问该密钥的人都能够签署文件,例如,支票,合同,因而伪造密钥所有人的签名。另外,保护公共密钥的完整性是重要的。通过使用一种公共密钥的鉴定来提供这种保护(参见10。3.5).
需要考虑所使用的签名规则系统的类型和质量以及所使用的密码的长度.用于数字签名的密钥应当区别于用于加密的那些密钥(参见10.3.2)。
当使用数字签名的时候,应当考虑任何相关的法规,这些法规描述了数字签名在什么条件下具有法律约束力.例如,在电子商务中,了解数字签名的法律地位是很重要的。在法律结构不足的地方,有具有约束力的合同或其他的协议以支持数字签名的使用可能是必需的。应当寻求关于法律和规则的法律建议,它可能适用于组织对于数字签名的使用。
4. 防抵赖服务
防抵赖服务应当被用于解决关于一种事件或行为出现或未出现的争端,例如,涉及在电子合同或支票上的数字签的争端.它们能够帮助建立证据以证明一种特殊的事件或行为是否已经发生,例如,拒绝使用电子邮件发送经过数字签名的说明书.这些服务以加密技术和数字签名技术的使用为基础。
5. 密钥的管理
(1) 密钥的保护
密钥的管理对于加密技术的有效使用是必要的。密钥的任何损害或丢失都可能导致信息的秘密性,真实性或完整性的损害.应当有适当的管理系统以支持组织对两种类型的加密技术的使用,分别是:
应当保护所有的密钥,防止修改和破坏,需要保护秘密的和私人的密钥,防止未授权的透露。加密技术也可以用于这个目的。应当使用物理保护来保护用于产生,存储和将密钥存档的设备.
(2) 标准、程序和方法
密钥管理系统应当以一套议定的标准,程序和安全方法为基础,这些标准,程序和方法用于如下方面:
为了减少危害的可能性,密钥应当有规定的有效期,以便它们仅仅可以用于一段有限的时间。这段时间应当取决于加密的控制措施被使用的环境以及所觉察到的风险。
可能需要考虑处理处理访问密钥的法律要求的程序,例如,加密的信息可能需要以未加密的形式作为法庭案件中的证据。
在除了对秘密的和私人的密钥进行安全管理的问题之外,也应当考虑对公共密钥的保护。对于公共密钥存在一种威胁,那就是某人通过用他们自己的公共密钥代替使用者的公共密钥,从而伪造数字签名。通过使用公共密钥的鉴定来解决这个问题.这些鉴定应当通过一种将与公共/私人密钥对的所有者有关的信息独特地与公共密钥连接在一起的方式进行的。所以,进行这些鉴定的管理过程值得信任是很重要的。这个过程通常由一个认证的权威机构进行,该机构应当是一个被承认的组织,它具有适当的控制措施和适当的流程以提供所要求的信任度。
与外部的加密服务的供应商,如与一个认证机构,所签订的服务标准协议或合同的内容,应当包括责任,服务的可靠性和对服务提供的相应时间。
目标:确保以一种安全的方式进行IT计划和支持活动。应当控制对系统文件的访问。 维护系统的完整性应当由用户功能或应用系统或软件所从属的开发组负责. |
1. 操作系统软件的控制
应当对操作系统上的软件的实施提供控制.为了最大限度降低操作系统破坏的风险,应当考虑下列的控制措施。
应当将操作系统中所使用的由销售商所供应的软件维护在由供应商所支持的标准上。对升级到新版本的任何决定都应当考虑该版本的安全性,例如,新的安全功能的引入或影响该版本的安全问题的数量和严重性。如果软件的修补能够有助于消除或减少安全的弱点,那么就应当应用软件的修补。
在必要的时候,经管理层的批准,仅仅是出于支持的目的而给予供应商物理或逻辑上的访问权。应当监控供应商的活动。
2。 系统测试数据的保护
测试数据应当受到保护和控制。系统和接收测试通常要求大量尽可能接近于操作数据的测试数据。应当避免使用含有个人信息的操作数据库。如果使用这种信息,则在使用之前,应当使其失去个性。当用于测试的目的时,应当使用下列控制措施保护操作数据.
3。 对程序资源库的访问控制
为了减少计算机程序被破坏的可能性,应当如下所述保持对程序资源库访问的严格控制。
目标:保持应用系统软件和信息的安全 应当严格控制项目和支持环境。 负责应用系统的管理人员也应当负责项目或支持环境的安全。他们应当确保所有建议的系统改动都被回顾,以检查他们没有危害系统或操作环境的安全。 |
1. 改动控制流程
为了将信息系统的损坏减至最小,应当对改动的实施进行严格的控制.应当加强正规的改动控制流程。他们应当确保安全和控制流程不被损害,技术支持程序员只能访问那些他们的工作所必须的部分系统,并应当获得对于任何改动的正式的协议和批准。改动应用软件可能影响操作环境。在切实可行的地方,应当整合应用和操作改动控制流程(参见8。1。2)。这个过程应当包括:
许多组织保留了一个用户测试新软件的环境,该环境与开发和生产环境相隔离。这提供了一种方法,可以对新软件进行控制,对用于测试目的的操作信息进行额外的保护。
2. 对操作系统改动的技术回顾
有必要定期改动操作系统,例如安装新提供的软件版本或修补程序。当改动出现的时候,应当回顾和测试应用系统以确保对于操作或安全没有相反的影响.这个过程应当包括:
3。 关于对软件包改动的限制
不应当鼓励对软件包的修改.实际上,销售商所提供的软件包应当最大可能的不被修改而使用.在认为必要修改软件包的地方,应当考虑如下几点:
如果认为有必要改动,则应保留原始软件,并在完全一样的复制件上进行改动。所有的改动应经过充分的测试并形成文件,以便如果有必要的话,它们可以被应用于将来的软件升级.
4。 隐藏的信道和特洛伊代码
隐藏的信道可以通过某些间接的和模糊的方法暴露信息.它可以被激活,通过改变被计算机系统的安全和不安全的因素所访问的参数,或通过将信息置入数据流中。特洛伊代码是被设计用来以一种方式影响一个系统的,该方式未被授权,不容易被发现并且不是程序接收者或用户所要求的。隐藏的信道和特洛伊代码很少偶然出现,在涉及到隐藏的信道或特洛伊代码的地方,应当考虑如下几点:
5.外包的软件开发
在软件的开发被外包的地方,应当考虑如下几点:
目标:抵制商业活动的中断,保护关键的商业过程免受主要的故障或灾难的影响。 应当实施持续性运营管理过程以通过预防的和恢复的控制措施的结合将由灾难和安全故障所引起的破坏减少到可以接收的程度(例如,安全故障可能是自然灾难,事件,设备故障,和有意行为的结果)。 应当分析灾难,安全故障和服务丢失的后果.应制定和实施偶然事故计划,以确保商业过程可以在所要求的时间范围内恢复.该计划应被保留和实施,使之成为所有其他管理过程的组成部分。 商业持续性管理应当包括识别和减少风险,限制破坏性事件的后果,确保主要操作的及时恢复的控制措施.,保护关键的商业过程免受主要的故障或灾难的影响. |
1. 持续运营管理过程
应当有一个适当的管理过程用于发展和维护整个组织的运营持续性.它应当将下列运营持续性管理的关键要素组合在一起:
2. 持续运营和影响的分析
应当从识别可能引起商业过程中断的事件,如设备的故障,洪灾和火灾,来开始商业的持续运营。随后,应当进行风险评估,以决定那些中断的影响(根据破坏的规模和恢复的时间).这两种活动被进行时,都有商业资源和商业过程所有者的完全参与。该评估考虑所有的运营过程,并不仅限于信息处理设施.
应当根据风险评估的结果,制定一个策略计划,以决定商业持续运营的总体处理方法.计划一旦制定,就应当得到管理层的认可。
3。 制定和实施持续运营计划
应当制定计划,以便在关键的运营过程中断,或出现故障之后的所要求的时间范围内,维护或恢复商业运营.运营持续性计划过程应当考虑如下几点:
计划的过程应当集中于所要求的商业目标,例如,在一个可以接受的时间范围内,恢复对客户的特殊服务。应当考虑使之出现的服务和资源,包括人员配备,非信息处理资源,以及对信息处理设施的紧急情况安排。
4。 持续运营计划框架
应当维护持续运营计划的单独框架,以确保所有的计划是一致的,并识别测试和维护的优先性。每一个运营持续运营计划都应当明确规定它活动的条件,以及执行每一部分计划的负责人。当新的需求出现时,应当适当修正已建立的应急流程,例如,撤离计划或任何现有的紧急情况的安排.
持续运营计划的框架应当考虑如下几点:
每一个计划都应当有一个特定的负责人.应急流程,人工紧急情况计划和恢复计划都应当在适当的商业资源或有关的商业过程的负责人的责任范围之内.对于可选择的技术服务的紧急情况安排,诸如信息处理和通讯设施,通常应当是服务提供者的责任。
5。 测试,维护和重新评估持续运营计划
(1) 测试计划
持续运营计划在被测试的时候可能失败,这常常是由于不正确的假定,疏忽,或设备或人员的变动所造成的。所以,应当定期测试它们以确保它们是最新的和有效的。这样的测试也应当确保恢复小组的所有成员以及其他有关的职员都知道该计划。
对持续运营计划测试的时间表应当指明应如何以及何时测试计划的每个要素.建议经常测试计划的个别部分.应当使用各种技术,以便对计划在实际中运行提供保证。这应当包括:
该技术可以被用于任何组织并应当反映特定的恢复计划的性质。
(2) 维护和重新评估计划
应当通过定期的回顾和更新来维护持续运营计划,以确保它们的持续有效性。其过程应当包括在组织的变更管理程序中,以确保商业持续性问题被适当地提出。
应当为每个商业持续运营计划的定期回顾指定职责;对于商业安排中的改动的识别还没有反映在商业持续运营计划中,其后应当对计划进行适当的更新。这个正式的改动控制过程应当确保通过对这个完整计划的定期回顾来发布和加强这个更新后的计划。
需要更新计划的情形可能包括新设备的购买,或操作系统的升级以及下列方面的变动:
目标:避免触犯任何刑事、民事法律、法规或违反合同约定的责任和任何安全要求。 对信息系统的设计、操作、使用和管理可能要根据法律、法规和合同的安全要求。 详细而精确的法律要求方面的建议应该从组织的法律顾问,或者合格的法律从业人员处获得.从一个国家到另一个国家以及对于在一个国家产生的信息传送到另一国家(例如:跨国信息流动)的法律要求会有所不同. |
1.识别现行的法律
所有相关法律、法规和合同的要求应该针对每一个信息系统进行详细的定义和纪录.为满足这些要求而采取的控制措施和规定的个人责任相似的也应该进行详细的定义和纪录。
2. 知识产权(IPR)
(1) 版权
在使用可能与知识产权,如:版权、设计权、商标权相关的材料时,应采取适当程序来确保遵守法律规定.侵犯版权的行为可能导致法律诉讼甚至刑事诉讼.
法律、法规和合同的要求可能对使用专利产品进行了限制。在某些情况下,法律、法规可能规定只有组织自己开发、或者取得了许可证或者由开发者提供给组织的产品,才能被使用.
(2) 软件版权
专利软件产品通常在许可协议下被提供,将产品的使用限制在特定的机器上,并且复制也只能用于备份.下面的控制措施应当被考虑:
3. 保护组织纪录
组织的重要记录应该被保护以防止丢失、毁坏和被篡改。如同支持基本的商业活动一样,一些记录可能需要被安全的保留,以达到法律或法规的要求。相应的例子是一些被作为证据的记录,证明组织在法律、法规的范围内运营,或者确保足以防止潜在的民事、刑事诉讼,或者确认与股东、合作伙伴和审计人员相关的财务数据.信息的内容和保留的时间可能由国家法律、法规规定。
记录应该被划分为不同种类,如:财务记录、数据库记录、处理日志、审计日志和操作程序,每一种记录都应详细规定保存期限和存储媒体的种类,如:纸、微缩胶片、磁介质、光介质。任何与加密文档和数字签名相关的密钥(看10。3.2和10.3。3)应该被安全的保管并在需要时能被经受权的人获得。
应考虑到用于存储记录的媒体的损坏问题。应根据生产商的建议来执行存储和持有程序。
一旦选择了电子存储媒体,应建立程序确保在整个保存期间对数据具有访问能力(储存媒体和储存格式的可读性),防止由于未来技术变化造成的数据丢失。
应该选择这种数据存储系统,使所要求的数据能够以一种法庭所接受的方式被找回,如:所有被要求的数据能够被以可接受的时间结构和可接受的存储格式找回。
存储和持有系统应该确保记录的明确分类和法律、法规所要求的保留其间。在该期间届满后,如果这些记录组织不需要,应该能够对这些数据以恰当的方式销毁。
为了履行这些责任,下面的步骤应该在组织内采用:
4。 数据保护和个人信息隐私
一些国家已经制定法律对个人数据的处理和传送进行控制(与个人有关的信息,人们可以通过这些信息确认他的身份)。这类控制措施可能对收集、处理和传播个人信息设置了义务,并且可能对从一个国家到另一个国家传递这类数据设置了限制。
遵守数据保护法需要适当的管理结构和控制.通常,最好的做法是由一个数据保护专员来进行指导,他应该针对管理者、使用者、和服务提供商的个人责任和应该遵守的详细程序提供指导。为了维护在结构性文件中的个人数据,并且确保意识到定义在相关法律中的数据保护原则,将相关建议告诉数据保护专员应该是信息所有者的责任.
5。 防止对信息处理设备的滥用
组织的信息处理设备是为了商业目的而提供的。管理层应该对信息设备的使用进行授权.在没有得到管理层的同意时,任何出于非商业或非经授权目的的使用,都应该被看作不适当得使用设备。如果这类活动通过监督或者其他途径被确认,就应该引起人员管理者的注意,考虑对此进行适当的惩罚。
使用监督措施的合法性在不同的国家情况是不同的,并且可能要求事先通知雇员或者得到他们的同意。在实施监督程序前,应该听取法律建议。
许多国家已经制定出或者正在制定防止计算机被滥用的法律。出于未经授权的目的使用计算机有可能成为犯罪行为。因此使所有的用户意识到他们被允许访问的详细范围是基本的要求。这能够通过一些方式做到,例如:给用户书面授权,该授权应该经用户签字并且被组织安全的保管。组织的雇员以及第三方用户应该被告知,除非经过授权否则一切访问都是被禁止的.
登录警告信息应该在计算机屏幕上显示,指出将进入的系统是保密的并且未经授权的访问不被允许。用户必须认可屏幕上的信息并做出恰当的反应以继续该登录过程。
6. 加密控制规则
一些国家已经通过合同、法律、规章或其他工具来控制对加密措施的接触和使用。这类控制可能包括:
应该寻求法律建议来确保对国家法律的遵守。在加密信息和加密措施被转移到另一个国家之前,法律建议同样应该被采纳。
7。 证据收集
(1) 证据规则
收集足够的证据来支持针对一个人或组织的行动是必要的。只要这个行动是一个内部惩罚事件,所需的证据将通过内部程序描述。
一旦该行动涉及到法律,无论是民法或刑法,所提供的证据应该符合被相关法律或者该案件的受审法院规定的规则。一般来讲,这些规则包括:
(2) 证据的有效性
为了满足证据的有效性,组织应该确保他们的信息系统依从任何已公布的针对有效证据产品的标准或操作法规。
(3) 证据的质量和完整性
为了满足证据的质量和完整性,需要严格的证据记录。一般来讲,这种严格的记录能够在下面的情况下被建立。
在一个事件刚被发现时,它是否将导致诉讼活动并不一定.因此,在事件的严重性被意识到之前,存在着必要证据被意外毁坏的危险.建议使律师和警察介入任何可能的法律活动并且对所需的证据提供建议。
目标:确保系统符合组织的安全方针和标准。 信息系统的安全性应该被定期检查。 根据恰当的安全方针和技术平台这些检查应该被执行,并且信息系统应该被审计以遵守安全实施标准。 |
1。 遵守安全方针
管理者应该确保在他们责任领域内的所有安全程序被正确的实施。另外,组织内的所有领域应该考虑进行定期检查来确保依从安全方针和标准.它们应该包括:
信息系统的所有人应该支持经常性的对系统是否依从了适当的安全方针、标准和所有得其它的安全需求的审查.
2。 技术依从审查
应定期的审查信息系统是否依从了安全实施标准。技术依从审查涉及到对操作系统的检验,以确保正确的实施了软件和硬件控制。这种类型的依从审查要求有专家的技术支持。此工作应由有经验的系统工程师手工进行,或是由软件包来自动进行,软件包可以生成由技术专家事后进行解释的技术报告。
依从审查还包括,例如,渗透测试,此种测试可以由独立的专家进行,特别是为此目的签约的专家进行。依从审查对于发现系统的脆弱性和审查用来防止由此而导致的未授权访问的控制措施的有效性时很有用的。万一渗透测试危害到系统的安全性或意外的引起其他的脆弱点,则应实行警告。
任何技术依从审查都只能由、或在有能力的、业经授权的人员来进行。
目标:将系统审核过程的利益最大化,将其干扰最小化。 在系统审核时,应有控制措施来保护操作系统和审核工具为保护审核工具的完整性和防止对其的误用,以需要有保护措施。 |
1. 系统审核控制
审核需求以及设计到对审查操作系统的活动,都应仔细的规划,并应适合尽量减小中断商务流程的风险。应该遵守以下各项:
2。 系统审核工具的保护
对系统审核工具的保护,如软件或数据文件,都应给予保护来防止任何可能的误用和危害。这些工具应与开发和操作系统隔离开,不应保留在磁带库或用户区内,除非给予适当等级的附加保护。
从技术能力规划来说,路线:
主机安全--à学会安全工具能力--àWeb安全---学会WEB安全测试工具能力。
主机安全
WEB安全
主机漏洞扫描工具:必备:Openvas见6.1
其次:Nessus 见6.2
WEB漏洞扫描工具:必备:Appscan,见6.3
什么是OpenVAS
OpenVAS是一款开源的漏洞扫描攻击,主要用来检测网络或主机的安全性。其强大的扫描能力来自于集成数万个漏洞测试程序,这些测试程序以插件的形式提供,可以从官方网站免费更新
centos 7 搭建openvas_hobby云说-CSDN博客_openvas搭建
Nessus:Nessus是十分强大的漏洞扫描器,内含最新的漏洞数据库,检测速度快,准确性高。Nessus详细使用教程 (转) - wzl629 - 博客园
IBM Security App Scan Standard 资料
AppScan安全扫描工具-IBM Security App Scan Standard_学习那点事儿的专栏-CSDN博客_appscan
Nmap是"Network Mapper"的缩写,众所周知,它是一款非常受欢迎的免费开源黑客工具。Nmap被用于发现网络和安全审计。据数据统计,全世界成千上万的系统管理员使用nmap发现网络、检查开放端口、管理服务升级计划,以及监视主机或服务的正常运行时间。Nmap是一种使用原始IP数据包的工具,以非常创新的方式决定网络上有哪些主机,主机上的哪些服务(应用名称和版本)提供什么数据、什么操作系统、什么类型、什么版本的包过滤/防火墙正在被目标使用。使用nmap有什么好处,其中一个就是管理员用户能够确定网络是否需要打包。所有的黑客电影中都出现了nmap的身影,尤其是最近的Mr.Robot系列中。
Nmap学习资料
视频:Resource For Hacker Tools & Growth / SEO Hacking Tools
书籍:Best Hacker Tools of 2022 | Easy Hacking Tools
相似工具:Port Scanning Hacking Tools - Hacking Tools & Growth Marketing Tools
WEB网站漏洞扫描,必学,简单操作,容易学。
Acunetix是一款非常受欢迎并且非常使用的自动漏洞扫描器,Acunetix通过抓取和扫描网站和Web应用的SQL注入、XSS、XXE、SSRF和主机头攻击和其他500多个web漏洞。更新!Acunetic爱好者发布了一个100%免费的视频课程,所以你可以有效的学习如何使用这个非常棒的网络漏洞扫描器啦!更多关于Acunetix信息的链接以及注册Acunetix。
Acunetix学习资料
视频:Best Hacker Tools of 2022 | Easy Hacking Tools
书籍:Best Hacker Tools of 2022 | Easy Hacking Tools
漏洞监测工具:Metasploit
---先做了解,等你具备安全能力中等水平的时候再深入,也不迟。
主要用于POC漏洞验证、编写POC验证漏洞、POC漏洞攻击。
Metasploit项目是一个非常受欢迎且受众很广的渗透测试以及攻击框架。如果你刚刚接触Metasploit,你会认为它是一个可用于执行各种任务的"黑客工具总汇"。Metasploit被专业的网络安全研究人员以及大量黑客使用,并且它被认为是研究安全的必学内容。Metasploit本质上是一个为用户提供已知安全漏洞主要信息的计算机安全项目(框架),并且Metasploit帮助指定渗透测试和IDS监测计划、战略以及利用计划。Metasploit的优点太多,小编就不一一列举啦,希望下面的视频可以帮助你学习Metasploit。如果你是一个初学者,这里还有更多的初学者教程供你使用。
Metasploit学习资料
视频:Resource For Hacker Tools & Growth / SEO Hacking Tools
书籍:Best Hacker Tools of 2022 | Easy Hacking Tools
相似工具:Web Vulnerability Scanning Tools and Software - Hacking Tools & Growth Marketing Tools
取证:Maltego—可做了解,
Maltego跟其他取证工具不同,因为它在数字取证范围内工作。Maltego被设计用来把一个全面的网络威胁图片传给企业或者其他进行取证的组织的局部环境,它是一个平台。Maltego非常棒的一点,同时也是它非常受欢迎(因为它在Kali里排名前十)的原因是它的独特视角因为它同时提供了基于实体的网络和源,聚合了整个网络的信息-无论是网络的脆弱路由的当前配置,还是当前你的员工的国际访问,Maltego都可以定位,汇总并可视化这些数据!小编建议有兴趣的同学同时也学习OSINT网络安全数据。
Maltego学习资料
视频:Resource For Hacker Tools & Growth / SEO Hacking Tools
书籍:Best Hacker Tools of 2022 | Easy Hacking Tools
相似工具:Digital Forensic Tools & Software - Hacking Tools & Growth Marketing Tools
网络漏洞扫描器:OWASP Zed
---学WEB安全的必备能力,这个需要你对OWASP十大常见漏洞有基本的了解。相关资料百度“OWASP TOP 10”或见 第八大点。
Zed的代理攻击(ZAP)是现在最流行的OWASP项目之一。你看到这页说明你有可能是一个经验丰富的网络安全研究人员哦,所以你可能非常熟悉OWASP。当然,OWASP在威胁列表中排名前十,它被作为学习web应用安全的指导手册。这个攻击渗透工具非常有效并且用起来非常简单。ZAP受欢迎是因为它有很多扩展支持,OWASP社区真的是一个非常棒的资源地来进行网络安全研究。ZAP提供自动扫描以及很多允许你进行专业发现网络安全漏洞的工具。好好理解这个工具并成为使用这个工具的大师非常有利于让渗透测试员的事业。如果你是一个开发者,那么这个工具会让你成为非常棒的黑客。
OWASP Zed学习资料
视频:Resource For Hacker Tools & Growth / SEO Hacking Tools
书籍:Best Hacker Tools of 2022 | Easy Hacking Tools
相似工具:Web Vulnerability Scanning Tools and Software - Hacking Tools & Growth Marketing Tools
这个软件,你会的。
如果说nmap排名黑客工具的第一名,那Wireshark肯定是第二受欢迎的工具。Wireshark已经存在了很长一段时间,并且他被成千上万的安全研究者用于排查、分析网络问题和网络入侵。Wireshark是个抓包工具,或者更确切的说,它是一个有效的分析数据包的开源平台。值得一提的是,Wireshark跨平台,我们本来以为它智能在GNU/Linux中运行,但是我们是错的,无论是Windows还是Linux甚至OS X都有Wireshark,还有一个类似于Wireshark的终端版本叫做TShark。这里有非常多的关于Wireshark的信息可以帮助你成为Wireshark专家。
Wireshark学习资料
视频:Resource For Hacker Tools & Growth / SEO Hacking Tools
书籍:Best Hacker Tools of 2022 | Easy Hacking Tools
相似工具:Packet Sniffers & Crafting Tools - Hacking Tools & Growth Marketing Tools
这个软件作为WEB安全从业人员的必备,可以做WEB网站的账户的暴力破解。这个是很基本的功能,还有很多功能,目前来说,你做个学习了解。
等你学会具备了OWASP TOP10常见的漏洞和OWASP Zed实验(也会用到这个工具)
能力紧急度:低。
Burp Suite在某种程度上很像Maltego,因为它也有一堆帮助渗透测试者和黑客的工具。Burp Suite中有两个常用应用,一个叫"Burp Suite Spider",它可以通过监测cookie、初始化这些web应用的连接列举并绘制出一个网站的各个页面以及它的参数;另一个叫"Intruder",它可以自动执行web应用攻击。同样,如果你是网络安全研究员或者正在进行渗透测试,Burp Suite也是一个必学工具。
Burp Suite学习资料
视频:Resource For Hacker Tools & Growth / SEO Hacking Tools
书籍:Best Hacker Tools of 2022 | Easy Hacking Tools
相似工具:Web Vulnerability Scanning Tools and Software - Hacking Tools & Growth Marketing Tools
能力紧急度:中,做密码破解的
THC Hydra是一个非常流行的密码破解,它被一只非常活跃且经验丰富的开发团队开发。基本上THC Hydra是一个快速稳定的网络登录攻击工具,它使用字典攻击和暴力攻击,尝试大量的密码和登录组合来登录页面。攻击工具支持一系列协议,包括邮件(POP3,IMAP等),数据库,LDAP,SMB,VNC和SSH。
THC Hydra学习资料
视频:https://www.concise-courses.com/hacking-tools/videos/
书籍:Best Hacker Tools of 2022 | Easy Hacking Tools
相似工具:Password Hacking Tools & Software - Hacking Tools & Growth Marketing Tools
密码破解:Aircrack-ng
进行Wifi破解的Aircrack组件是攻击工具中的传奇,因为它非常有效!对于不太了解无效攻击的新手来说,Aircrack-ng是一个802.11 WEP和WPA-PSK密钥破解攻击工具并且可以在捕捉到足够数据包时恢复密钥。对于正在钻研无线网络的渗透和审计的朋友们来说,aircrack-ng将成为你最好的伙伴。Aircrack-ng利用标准FMS攻击对KoreK攻击进行了优化,并且让PTW攻击变得更有效。如果你是一个普通黑客,你可以在几分钟内破解WEP,你应该非常精通破解WPA/WPA2。如果你对无线网络攻击很感兴趣,我们强烈建议你看看Reaver,它也是一款非常受欢迎的黑客工具。
Aircrack-ng学习资料
视频:Resource For Hacker Tools & Growth / SEO Hacking Tools
书籍:Best Hacker Tools of 2022 | Easy Hacking Tools
相似工具:Password Hacking Tools & Software - Hacking Tools & Growth Marketing Tools
John The Ripper(开膛手约翰)获得了最酷名字奖!大家一般把它成为"John",它也是一款非常流行的密码破解渗透测试工具,经常被用于执行字典攻击。John the Ripper把文本字符串作为样本(来自文本文件的样本,被称为单词列表,包含在字典中找到的流行的、复杂的词汇或者之前破解时被用到的词汇),使用和加密方式相同的破解方式(包括加密算法和密钥)进行破解,然后对比加密字符串的输出得到破解密钥。这个工具也可以用来执行变种的字典攻击。
John The Ripper学习资料
视频:Resource For Hacker Tools & Growth / SEO Hacking Tools
书籍:Best Hacker Tools of 2022 | Easy Hacking Tools
相似工具:Best Hacker Tools of 2022 | Easy Hacking Tools
WEB安全基础知识---OWASP TOP10 -2021
---这个是入门,学习WEB 网站安全的入门知识。
有三个新类别,四个类别的命名和范围发生了变化,并且 2021 年的前 10 名中进行了一些合并。
从第五位上升;94% 的应用程序都经过了某种形式的破坏访问控制的测试。映射到 Broken Access Control 的 34 个 CWE 在应用程序中出现的次数比任何其他类别都多。
上移一位至 #2,以前称为敏感数据泄露,这是广泛的症状而不是根本原因。此处重新关注与密码学相关的漏洞,这些漏洞通常会导致敏感数据泄露或系统受损。
下滑到第三位。94% 的应用程序都针对某种形式的注入进行了测试,映射到此类别的 33 个 CWE 在应用程序中的出现次数排名第二。跨站点脚本攻击现在是此版本中此类别的一部分。
是2021 年的一个新类别,重点关注与设计缺陷相关的风险。如果我们真的想作为一个行业“安全左移”,就需要更多地使用威胁建模、安全设计模式和原则以及参考架构。
从上一版的第 6 位上升;90% 的应用程序都经过了某种形式的错误配置测试。随着更多定制性高度可配置的软件,看到这一类别上升也就不足为奇了。XML 外部实体 (XXE) 的前一个类别现在属于此类别。
之前的标题是 使用具有已知漏洞的组件,在行业调查中排名第二,但也有足够的数据通过数据分析进入前 10 名。该类别从 2017 年的第 9 位上升,是我们难以测试和评估风险的已知问题。它是唯一没有任何 CVE 映射到包含的 CWE 的类别,因此默认的利用和影响权重 5.0 被计入他们的分数。
以前是 Broken Authentication 失效的身份认证并且从第二位下滑,现在包括与识别失败更多相关的 CWE。这个类别仍然是前 10 名的一个组成部分,但标准化框架的可用性增加似乎有所帮助。
是 2021 年的一个新类别,专注于在不验证完整性的情况下做出与软件更新、关键数据和 CI/CD 管道相关的假设。CVE/CVSS 数据的最高加权影响之一映射到该类别中的 10 个 CWE。2017 年的不安全反序列化现在是这一更大类别的一部分。
以前是 日志记录和监控不足,是从行业调查 (#3) 中添加的,从之前的 #10 上升。此类别已扩展为包括更多类型的故障,难以测试,并且在 CVE/CVSS 数据中没有得到很好的体现。但是,此类故障会直接影响可见性、事件警报和取证。
是从行业调查 (#1) 中添加的。数据显示发生率相对较低,测试覆盖率高于平均水平,并且利用和影响潜力的评级高于平均水平。此类别代表行业专业人士告诉我们这很重要的场景,即使目前数据中没有说明。
前 10 名的这一部分比以往任何时候都更受数据驱动,但并非盲目地受数据驱动。我们从贡献的数据中选择了十个类别中的八个,从高水平的行业调查中选择了两个类别。我们这样做的根本原因是,查看贡献的数据就是回顾过去。AppSec 研究人员花时间寻找新的漏洞和测试它们的新方法。将这些测试集成到工具和流程中需要时间。当我们能够可靠地大规模测试漏洞时,可能已经过去了很多年。为了平衡这种观点,我们使用行业调查来询问一线人员他们认为数据可能尚未显示的漏洞。
有很多关于十大风险之间重叠的讨论。根据每个(包括 CWE 列表)的定义,确实没有任何重叠。但是,从概念上讲,可能存在基于更高级别命名的重叠或交互。维恩图多次用于显示这样的重叠。
上面的维恩图代表了 2017 年十大风险类别之间的相互作用。这样做时,几个要点变得明显:
有人可能会争辩说,跨站点脚本最终属于注入,因为它本质上是内容注入。看看 2021 年的数据,XSS 需要进入注入变得更加明显。
重叠仅在一个方向。我们通常会根据最终表现或“症状”而不是(可能很深的)根本原因对漏洞进行分类。例如,“敏感数据暴露”可能是“安全配置错误”的结果;但是,您不会从另一个方向看到它。因此,在交互区域中绘制了箭头以指示发生的方向。
有时这些图表是用A06:2021 Using Components with known Vulnerabilities 中的所有内容绘制的。虽然其中一些风险类别可能是第三方漏洞的根本原因,但它们的管理方式和责任通常不同。其他类型通常代表第一方风险。
从第五位上升,94% 的应用程序都经过了某种形式的访问控制损坏测试。值得注意的CWE包括CWE-200:将敏感信息暴露给未经授权的参与者、CWE-201:通过发送的数据暴露敏感信息和CWE-352:跨站点请求伪造。
描述
访问控制强制执行策略,使用户不能在其预期权限之外采取行动。故障通常会导致未经授权的信息泄露、修改或破坏所有数据或执行超出用户限制的业务功能。常见的访问控制漏洞包括:
如何预防
访问控制仅在受信任的服务器端代码或无服务器 API 中有效,攻击者无法修改访问控制检查或元数据。
攻击场景示例
场景 #1:应用程序在访问帐户信息的 SQL 调用中使用未经验证的数据:
pstmt.setString(1, request.getParameter("acct"));
结果集结果 = pstmt.executeQuery();
攻击者只需修改浏览器的“acct”参数即可发送他们想要的任何帐号。如果没有正确验证,攻击者可以访问任何用户的帐户。
https://example.com/app/accountInfo?acct=notmyacct
场景#2:攻击者只是强制浏览到目标 URL。访问管理页面需要管理员权限。
https://example.com/app/getappInfo
https://example.com/app/admin_getappInfo
如果未经身份验证的用户可以访问任一页面,则这是一个缺陷。如果非管理员可以访问管理页面,这是一个缺陷。
上移一个位置到#2,以前称为敏感数据暴露,这更像是一个广泛的症状而不是根本原因,重点是与密码学相关的失败(或缺乏密码学)。这往往会导致敏感数据的暴露。值得注意的CWE包括CWE-259:使用硬编码密码、CWE-327:损坏或风险的加密算法和CWE-331 熵不足。
描述
首先是确定传输中和静止数据的保护需求。例如,密码、信用卡号、健康记录、个人信息和商业秘密需要额外保护,主要是如果该数据属于隐私法(例如欧盟的通用数据保护条例 (GDPR))或法规(例如金融数据保护)例如 PCI 数据安全标准 (PCI DSS)。对于所有此类数据:
如何预防
至少执行以下操作,并查阅参考资料:
攻击场景示例
场景#1:应用程序使用自动数据库加密对数据库中的信用卡号进行加密。但是,此数据在检索时会自动解密,从而允许 SQL 注入缺陷以明文形式检索信用卡号。
场景#2:站点不使用或对所有页面强制执行 TLS 或支持弱加密。攻击者监视网络流量(例如,在不安全的无线网络中),将连接从 HTTPS 降级为 HTTP,拦截请求并窃取用户的会话 cookie。然后攻击者重放这个 cookie 并劫持用户的(经过身份验证的)会话,访问或修改用户的私人数据。除了上述之外,他们还可以更改所有传输的数据,例如,汇款的接收者。
场景#3:密码数据库使用未加盐或简单的哈希来存储每个人的密码。文件上传缺陷允许攻击者检索密码数据库。所有未加盐的哈希值都可以通过预先计算的哈希值彩虹表公开。由简单或快速散列函数生成的散列可能会被 GPU 破解,即使它们被加盐。
注射向下滑动到第三个位置。94% 的应用程序都针对某种形式的注入进行了测试。值得注意的CWE包括 CWE-79:跨站点脚本、CWE-89:SQL 注入和CWE-73:文件名或路径的外部控制。
应用程序在以下情况下容易受到攻击:
一些更常见的注入是 SQL、NoSQL、OS 命令、对象关系映射 (ORM)、LDAP 和表达式语言 (EL) 或对象图导航库 (OGNL) 注入。这个概念在所有口译员中都是相同的。源代码审查是检测应用程序是否容易受到注入攻击的最佳方法。强烈建议对所有参数、标头、URL、cookie、JSON、SOAP 和 XML 数据输入进行自动化测试。组织可以将静态源 (SAST) 和动态应用程序测试 (DAST) 工具包含到 CI/CD 管道中,以在生产部署之前识别引入的注入缺陷。
场景 #1:应用程序在构建以下易受攻击的 SQL 调用时使用不受信任的数据:
String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";
场景#2:类似地,应用程序对框架的盲目信任可能会导致查询仍然存在漏洞(例如,Hibernate 查询语言 (HQL)):
Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");
在这两种情况下,攻击者都会修改浏览器中的 'id' 参数值以发送:' 或 '1'='1。例如:
http://example.com/app/accountView?id=' 或 '1'='1
这将更改两个查询的含义以返回帐户表中的所有记录。更危险的攻击可能会修改或删除数据,甚至调用存储过程。
2021 年的新类别侧重于与设计和架构缺陷相关的风险,并呼吁更多地使用威胁建模、安全设计模式和参考架构。值得注意的CWE包括 CWE-209:生成包含敏感信息的错误消息、 CWE-256:未受保护的凭证存储、CWE-501:信任边界违规和CWE-522:受保护的凭证不足。
不安全设计是一个广泛的类别,代表许多不同的弱点,表现为“缺失或无效的控制设计”。缺少不安全的设计是缺少控制的地方。例如,想象一下应该加密敏感数据的代码,但没有方法。无效的不安全设计是可以实现威胁的地方,但域(业务)逻辑验证不足会阻止该操作。例如,假设域逻辑应该根据收入等级处理流行病税收减免,但不验证所有输入都已正确签名并提供比应授予的更重要的减免收益。
安全设计是一种文化和方法,它不断评估威胁并确保代码经过稳健设计和测试,以防止已知的攻击方法。安全设计需要安全的开发生命周期、某种形式的安全设计模式或铺砌道路组件库或工具,以及威胁建模。
场景 #1:凭证恢复工作流程可能包括“问答”,这是 NIST 800-63b、OWASP ASVS 和 OWASP Top 10 所禁止的。不能将问答作为多个人身份的证据可以知道答案,这就是为什么它们被禁止。此类代码应删除并替换为更安全的设计。
场景#2:连锁影院允许团体预订折扣,并且在要求押金之前最多有 15 名参与者。攻击者可以对该流程进行威胁建模,并测试他们是否可以在几次请求中一次预订 600 个座位和所有电影院,从而造成巨大的收入损失。
场景 #3:零售连锁店的电子商务网站没有针对由黄牛运行的机器人提供保护,这些机器人购买高端显卡以转售拍卖网站。这对视频卡制造商和零售连锁店主造成了可怕的宣传,并与无法以任何价格获得这些卡的爱好者之间产生了仇恨。仔细的反机器人设计和域逻辑规则,例如在可用性的几秒钟内进行的购买,可能会识别出不真实的购买并拒绝此类交易。
从上一版的第 6 位开始,90% 的应用程序都经过了某种形式的错误配置测试。随着更多转向高度可配置的软件,看到这一类别上升也就不足为奇了。值得注意的CWE包括CWE-16 Configuration和CWE-611 Improper Restriction of XML External Entity Reference。
如果应用程序是:
如果没有协调一致的、可重复的应用程序安全配置过程,系统将面临更高的风险。
应实施安全安装过程,包括:
场景#1:应用程序服务器带有未从生产服务器中删除的示例应用程序。这些示例应用程序具有攻击者用来破坏服务器的已知安全漏洞。假设这些应用程序之一是管理控制台,并且默认帐户未更改。在这种情况下,攻击者使用默认密码登录并接管。
场景#2:服务器上没有禁用目录列表。攻击者发现他们可以简单地列出目录。攻击者找到并下载已编译的 Java 类,对其进行反编译和逆向工程以查看代码。然后攻击者发现应用程序中存在严重的访问控制缺陷。
场景#3:应用服务器的配置允许将详细的错误消息(例如堆栈跟踪)返回给用户。这可能会暴露敏感信息或潜在缺陷,例如已知易受攻击的组件版本。
场景#4:云服务提供商拥有其他 CSP 用户对 Internet 开放的默认共享权限。这允许访问存储在云存储中的敏感数据。
它在行业调查中排名第二,但也有足够的数据通过数据进入前 10 名。易受攻击的组件是我们难以测试和评估风险的已知问题,并且是唯一没有任何 CVE 映射到包含的 CWE 的类别,因此使用默认的漏洞利用/影响权重 5.0。值得注意的CWE包括CWE-1104:使用未维护的第三方组件和来自 2013 年和 2017 年前 10 名的两个 CWE。
你可能很脆弱:
应该有一个补丁管理流程来:
每个组织都必须确保在应用程序或产品组合的生命周期内制定持续的监控、分类和应用更新或配置更改的计划。
场景#1:组件通常以与应用程序本身相同的权限运行,因此任何组件中的缺陷都可能导致严重影响。此类缺陷可能是偶然的(例如,编码错误)或有意的(例如,组件中的后门)。发现的一些可利用组件漏洞的示例是:
有一些自动化工具可以帮助攻击者找到未打补丁或配置错误的系统。例如,Shodan IoT 搜索引擎可以帮助您找到仍然存在 2014 年 4 月修补的 Heartbleed 漏洞的设备。
以前称为Broken Authentication,此类别从第二位下滑,现在包括与识别失败相关的 CWE。包括的值得注意的CWE包括CWE-297:不正确的证书验证与主机不匹配、CWE-287:不正确的身份验证和 CWE-384:会话固定。
确认用户的身份、身份验证和会话管理对于防止与身份验证相关的攻击至关重要。如果应用程序存在以下情况,则可能存在身份验证漏洞:
场景#1:凭证填充(使用已知密码列表)是一种常见的攻击。假设应用程序没有实施自动化威胁或凭证填充保护。在这种情况下,应用程序可以用作密码预言机来确定凭证是否有效。
场景#2:大多数身份验证攻击是由于继续使用密码作为唯一因素而发生的。一经考虑,最佳实践、密码轮换和复杂性要求会鼓励用户使用和重复使用弱密码。建议组织按照 NIST 800-63 停止这些做法并使用多因素身份验证。
场景 #3:应用程序会话超时设置不正确。用户使用公共计算机访问应用程序。用户没有选择“注销”,而是简单地关闭浏览器选项卡并走开。攻击者在一个小时后使用同一个浏览器,而用户仍然通过身份验证。
2021 年的新类别侧重于在不验证完整性的情况下做出与软件更新、关键数据和 CI/CD 管道相关的假设。来自 CVE/CVSS 数据的最高加权影响之一。著名的CWE包括CWE-502:不可信数据的反序列化、 CWE-829:包含不受信任的控制领域的功能和 CWE-494:下载没有完整性检查的代码。
软件和数据完整性故障与不能防止完整性违规的代码和基础设施有关。例如,在对象或数据被编码或序列化为攻击者可以看到和修改的结构的情况下,很容易受到不安全的反序列化的影响。另一种形式是应用程序依赖来自不受信任的来源、存储库和内容交付网络 (CDN) 的插件、库或模块。不安全的 CI/CD 管道可能会导致未经授权的访问、恶意代码或系统受损。最后,许多应用程序现在包括自动更新功能,其中更新在没有充分完整性验证的情况下被下载并应用于以前受信任的应用程序。攻击者可能会上传自己的更新以分发并在所有安装上运行。
场景 #1 不安全的反序列化: React 应用程序调用一组 Spring Boot 微服务。作为函数式程序员,他们试图确保他们的代码是不可变的。他们提出的解决方案是序列化用户状态并在每个请求中来回传递它。攻击者注意到“R00”Java 对象签名并使用 Java Serial Killer 工具在应用服务器上获取远程代码执行权。
场景 #2 无需签名即可更新:许多家用路由器、机顶盒、设备固件和其他固件不通过签名固件验证更新。未签名固件是攻击者越来越多的目标,预计只会变得更糟。这是一个主要问题,因为很多时候除了在未来版本中修复并等待以前的版本过时之外,没有任何补救机制。
场景#3 SolarWinds 恶意更新:众所周知,国家会攻击更新机制,最近的一次著名攻击是 SolarWinds Orion 攻击。开发该软件的公司拥有安全的构建和更新完整性流程。尽管如此,这些还是能够被破坏,并且在几个月的时间里,该公司向 18,000 多个组织分发了一个高度针对性的恶意更新,其中大约 100 个组织受到了影响。这是历史上此类性质最深远、最重大的违规行为之一。
安全日志记录和监控来自行业调查(#3),比 2017 年 OWASP 前 10 名中的第十位略有上升。日志记录和监控可能很难测试,通常涉及采访或询问是否在渗透测试期间检测到攻击。此类别的 CVE/CVSS 数据不多,但检测和响应漏洞至关重要。尽管如此,它对于可见性、事件警报和取证仍然非常有影响力。此类别扩展到CWE-778 日志记录不足之外,包括CWE-117 日志的不当输出中和、CWE-223 安全相关信息的遗漏和 CWE-532 将敏感信息插入日志文件。
回到 2021 年 OWASP 前 10 名,该类别旨在帮助检测、升级和响应主动违规行为。如果没有日志记录和监控,就无法检测到漏洞。任何时候都会发生日志记录、检测、监控和主动响应不足的情况:
通过使用户或攻击者可以看到日志记录和警报事件,您很容易受到信息泄漏的影响(请参阅 A01:2021 – 损坏的访问控制)。
开发人员应实施以下部分或全部控制措施,具体取决于应用程序的风险:
有商业和开源应用程序保护框架(例如 OWASP ModSecurity 核心规则集)和开源日志关联软件(例如 ELK 堆栈)具有自定义仪表板和警报功能。
场景#1:由于缺乏监控和日志记录,一家儿童健康计划提供商的网站运营商无法检测到违规行为。外部方通知健康计划提供者,攻击者访问并修改了超过 350 万儿童的数千份敏感健康记录。事后审查发现网站开发人员没有解决重大漏洞。由于没有对系统进行日志记录或监控,数据泄露可能自 2013 年以来一直在进行,时间超过七年。
场景#2:印度一家大型航空公司发生数据泄露事件,涉及数百万乘客超过十年的个人数据,包括护照和信用卡数据。数据泄露发生在第三方云托管服务提供商处,该提供商在一段时间后将泄露事件通知了航空公司。
场景 #3:一家主要的欧洲航空公司遭遇了 GDPR 可报告的违规行为。据报道,该漏洞是由攻击者利用的支付应用程序安全漏洞引起的,他们收集了超过 400,000 条客户支付记录。该航空公司因此被隐私监管机构罚款 2000 万英镑。
此类别是从行业调查 (#1) 中添加的。数据显示发生率相对较低,测试覆盖率高于平均水平,利用和影响潜力评级高于平均水平。由于新条目可能是用于关注和意识的单个或一小部分 CWE,因此希望它们受到关注,并且可以在未来版本中纳入更大的类别。
每当 Web 应用程序在未验证用户提供的 URL 的情况下获取远程资源时,就会出现 SSRF 缺陷。它允许攻击者强制应用程序将精心设计的请求发送到意外目的地,即使受到防火墙、VPN 或其他类型的网络 ACL 的保护也是如此。
随着现代 Web 应用程序为最终用户提供方便的功能,获取 URL 成为一种常见情况。因此,SSRF 的发病率正在增加。此外,由于云服务和架构的复杂性,SSRF 的严重性越来越高。
开发人员可以通过实施以下部分或全部深度防御控制来防止 SSRF:
不要通过使用拒绝列表或正则表达式来缓解 SSRF。攻击者拥有有效负载列表、工具和技能来绕过拒绝列表。
攻击者可以使用 SSRF 攻击受 Web 应用程序防火墙、防火墙或网络 ACL 保护的系统,使用的场景包括:
场景#1:端口扫描内部服务器。如果网络架构是未分段的,攻击者可以绘制内部网络,并根据连接结果或连接或拒绝 SSRF 负载连接所用的时间来确定内部服务器上的端口是打开还是关闭。
场景#2:敏感数据暴露。攻击者可以访问本地文件,例如 或内部服务以获取敏感信息。
场景#3:访问云服务的元数据存储。大多数云提供商都有元数据存储,例如http://169.254.169.254/。攻击者可以读取元数据来获取敏感信息。
场景#4:破坏内部服务——攻击者可以滥用内部服务进行进一步的攻击,例如远程代码执行 (RCE) 或拒绝服务 (DoS)。
1.简介
SDL的全称是Security Development Lifecycle,即:安全开发生命周期。由微软最早提出,是一种专注于软件开发的安全保障流程。为实现保护最终用户为目标,它在软件开发流程的各个阶段引入安全和隐私问题。
2.流程
SDL大致如下,包括了以下七个阶段:
• 安全培训:安全培训体系:安全意识+安全测试+安全开发+安全运维+安全产品
• 需求分析:确定安全需求和投入占比,寻找安全嵌入的最优方式
• 系统设计:确定设计要求,分析攻击面,威胁建模
• 实现:使用标准的工具,弃用不安全的函数,静态分析(安全开发规范+代码审计)
• 验证:黑白盒测试,攻击面评估
• 发布:安全事件响应计划、周期性安全评估
• 响应:应急响应,BUG跟踪
培训的内容应包括以下方面:
Part 1:安全设计:包括减小攻击面、深度防御、最小权限原则、服务器安全配置等
Part 2:威胁建模:概述、设计意义、基于威胁建模的编码约束
Part 3:安全编码:缓冲区溢出(针对C/C++)、整数算法错误(针对C/C++)、XSS/CSRF(对于Web类应用)、SQL注入(对于Web类应用)、弱加密
Part 4:安全测试:安全测试和黑盒测试的区别、风险评估、安全测试方法(代码审计、fuzz等)
Part 5:隐私与敏感数据:敏感数据类型、风险评估、隐私开发和测试的最佳实践
Part 6:高级概念:高级安全概念、可信用户界面设计、安全漏洞细节、自定义威胁缓解
3.SDL实战经验
与项目经理进行充分沟通,排出足够的时间
规范公司的立项流程,确保所有项目都能通知到安全团队,避免遗漏
树立安全部门的权威,项目必须由安全部门审核完成后才能发布
将技术方案写入开发、测试的工作手册中
给工程师培训安全方案
记录所有的安全bug,激励程序员编写安全的编码
4.需求分析与设计
引用一份之前看到的美的执行SDL的checklist。如下:
5.开发与测试
攻防驱动SDL:
目前从事数据安全的人才工资比信息安全的工作还要高一些。
因为前提是你已经具备了常见的信息安全的能力。以下是相关内容参考。
工作开展方法论步骤:
数据安全资产梳理---定义---形成数据资产清单—数据分级原则--数据分级---分级分类---梳理数据生命周期流向的场景图----梳理并制定数据安全生命周期(采集、传输、存储、数据交换、数据使用、数据销毁)的安全要求----数据安全生命周期管理规范---开展落地落实----首先对公司的数据安全生命周期进行风险评估,依据规范开展-----如采集是否做了身份认证、访问控制等。参加如下。
数据级别 |
采集 |
传输 |
存储 |
数据处理 |
数据使用 |
销毁 |
Level1-Level2 |
身份认证 |
控制者 |
境内存储、分类分级、去标识 化 、备份,恢复、 存储介质管控 、销毁机制,数据加密,身份认证,访问控制,数据容灾备份机制,异常操作告警,存储安全审计 |
审批授权 , 身份鉴别,访问控制、审计,异常操作告警,数据处理审计 |
访问控制,脱敏与匿名,数据交换审计,异常操作告警,身份鉴别、访问控制、敏感数据控制 |
严格授权 |
数据安全形势
据IBM《2019年全球数据泄露成本报告》显示,恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失。CNCERT 在2019年全年累计发现我国重要数据泄露风险与事件 3000 余起。数据泄漏对企业来说不仅是经济损失,还有国家层面的巨额罚款;比如Facebook的8700万用户数据的不当泄漏被罚款50亿美金,英国航空公司的50万乘客数据的不当泄漏被罚款2.3亿美元;国内大量企业都号称自己有百万、千万甚至过亿的用户量,但你们是否有相应的数据安全能力来保证用户数据不外泄,或者你们是否有能力应对合规层面的巨额罚款。
数据安全标准
国际层面,各国出台了如GDPR、CCPA、COPPA、LGPD等。
国内层面,近期相继出台了《网络安全法》、《儿童个人信息网络保护规定》、《APP违法违规收集使用个人信息行为认定方法》、 《数据安全管理办法》(征求意见稿)、《网络数据安全标准体系建设指南》(征求意见稿)和《中华人民共和国数据安全法(草案)》等。
数据安全相关定义
(1) 数据的定义:
任何以电子或者非电子形式对信息的记录。
(2) 理解数据的类型:
a. 按照数据性质区分
b. 按照数据状态区分
(3) 数据活动的定义:
数据的收集、存储、加工、使用、提供、交易、公开等行为。
(4) 数据安全的定义:
通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。
数据安全的挑战
(1) 业务系统的灵活多变、需求复杂
互联网+的时代,市场的快速变化,企业业务的极速调整,企业每天都有可能出现系统上线、功能调整、接口的三方接入、数据的线上和线下外发等。面对这些变化和场景,我们如何应对?
(2) 新技术新挑战
新技术带来新风险。云、物联网、大数据和AI等新技术的广泛应用给企业带来了巨大生产力的同时,也改变了传统网络的数据防护思路,新型的网络威胁我们如何应用?
(3) 数据量大
大数据的兴起,数据的起始计量单位变成至少是PB级,甚至是EB级,在如此庞大的数据量面前,如何有效管理,如果做数据的快速识别、监控、检测、处置、响应?
(4) 安全威胁增多
数据价值的提升,导致外部威胁的目的性、隐蔽性、破坏性都成上升趋势。如何降低威胁暴露面和何种体系防护应对?
数据安全的目标
目标:满足合规,贴合业务,将数据风险降低至可接受水平,让数据使用更安全。
办法总比困难多,面对各位数据安全挑战,数据安全从业者要有自己的数据安全防护体系思路,善于学习新技术新经验的能力,总结自己的套路和打法,以终为始,不断更新和进步。
业务面前,安全不是他们的对立面,要采取双赢思维,建立信任关系。业务的目的是盈利,而安全是保证业务稳定盈利,规避风险最佳帮手,彼此相辅相成,相互依存。
数据安全模型框架
数据安全的执行和管理需要以数据为中心,宏观层,在满足合规的基础上,依托组织建设,采取技术和管理的手段,实施层,采取“识别”、“保护”、“监视”、“检测”、“响应”和“恢复”六大安全功能,保证数据全证明周期的安全。
正在上传…重新上传取消
数据安全建设框架
基于数据安全模型框架,梳理数据安全建设过程所需的基本功能和重点功能,制定如下数据安全建设框架:
正在上传…重新上传取消
框架说明
整理来看,数据安全建设框架可以分为三个层面。
(1) 最下面为组织建设层:
数据治理小组负责整体决策层工作,比如数据安全计划的定位,策略、政策和组织等的制定;数据安全团队负责整体战术层和执行层工作,战术层比如具体安全计划的管理管控,如合规管理、风险管理、计划管理、进度管理和指标管理等等;执行层负责整体数据安全计划的落地工作,人员包括专业的数据安全人员和各业务团队的安全接口人。
(2) 中间为能力实现层:
通过“识别”、“保护”、“监视”、“检测”、“响应”和“恢复”六大功能,落地数据安全的合规、管理、技术和运营。
(3) 最上面为目标和愿景层:
通过组织建设和数据安全能力实现,保证组织用户数据、业务数据和公司数据,最终实现使数据使用更安全的愿景。
数据安全实施框架
数据安全工作如此繁杂多样,我们如何具体落地和有序建设执行呢,基于数据安全建设框架,制定如下数据安全实施框架:
框架说明
整体来看,每做一件事情,我们都要先做好计划,然后实施,实施中进行复核检测,进而改进,如此反复,阶梯式完成,形成一个PDCA的循环。
(1) Plan:
我们要制定好计划、确定范围和明确目标,识别的重点工作为:范围和边界的识别、账号识别、权限识别、数据识别、系统识别、操作识别、流程识别和数据的分类分级。
(2) Do&Act:
在Plan中的成果进行处置,事前做保护,事中做监视和检测,事后做响应和恢复。重点工作为合规的落地;安全基线的落地;管理制度的建立‘敏感信息在数据生命周期中的管控、处置和审计,如敏感数据打标签、传输的加密、存储的加密或脱敏、使用的脱敏、操作的日志记录等。
注:合规的部分问题可以参考我另两篇文章《数据安全怎么做——合规篇之CCPA》《数据安全怎做——合规篇之数据安全法》
资产梳理的问题可以参考我另一篇文章《企业安全建设之资产库篇》
其他详细内容都在撰写中,后续会一一发出,比如数据安全治理、管理各种子篇、技术各种子篇等等,敬请期待。
(3) Check:
用以对Do的成果的复核检测,提出问题和需求,由Act层跟进解决。
总结
数据安全是企业安全中与业务贴合最近的一项工作,好的落地势必会带来对业务的影响,所以搞定管理层是关键性因素,给数据安全工作戴上数据治理的帽子,
安全牵头,拉上所有数据相关方共同执行和承担责任,这样会大大增加工作开展的效率和有效性。
除此之外,数据安全的工作繁多,数据安全从业者需要为众多事情结合公司业务排好优先级,风险最大的不一定先做,优先做公司业务当前状态最需要的刚需,制定好工作计划,摸清家底,工作有序开展。
在管理风险之前,必须识别出危险和潜在的危险事件。所谓识别过程就是在问题出现之前发现它们,并从是什么、何时、何地、如何发生、为什么发生等多方面进行描述。
风险分析
分析意味着将数据转化为与风险相关的决策支持信息。这些数据可能是危险事件的概率,或者事件发生造成的后果的严重程度。这些分析是企业为关键风险元素进行排序的基础。
首先说到风险识别就不得不提领结图,如下
领结图已被证明是培训操作人员识别风险、采取合理行动避免事故的有效工具。领结图通过一系列事件线将危险和后果连接起来,并指出事故的“路径”。图中可以列出系统中已经安装或者计划安装的安全栈,并跟与之相关的事件序列相连。还可以像上图一样分析工程、维护和运营活动对不同危险和防护安全栈的影响。
风险分析
风险分析最常见的定义为:系统地使用既有信息,识别出危险,并预测其对于人员、财产和环境的风险。
从某种意义上说,风险分析是一种主动的方法,目的是避免可能发生的事故。
风险分析主要按照三个步骤执行
1、危险源辨识。识别潜在的危险事件,以及与系统相关的危险源。同时,也需要识别出可能受损的资产。
2、可能性分析。在这一步中需要进行演绎分析,识别每一危险事件的成因。同时根据危险数据和专家判断预测危险事件的频率。
3、后果分析。这个环节需要进行归纳分析,识别所有由危险事件引起的潜在后果。归纳分析的目的通常是找出所有可能的最终结果,以及它们发生的概率。
风险分析的方法包括定性分析及定量分析,具体采用哪种方法需要取决于分析的目标。
定性风险分析:以完全定性的方法确定概率和后果。
定量风险分析:对概率及后果进行数学估算,有时还需考虑相关的不确定因素。
定量分析适合对那些概率较低、影响较大的事件的风险进行量化,也可进行专门的概率评估和大规模分析。