第1章 实现安全治理的原则和策略
CIA三元组(保密性、完整性、可用性:Confidentiality、Integrity、Availability)
(1) 保密性(Confidentiality):确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。保障数据、客体或资源的保密状态。
致使违反保密性的事件:未正确实现的加密传输、传输数据前未对远程系统充分进行身份验证、开放的非安全访问点、文件遗留在打印机上、访问终端仍显示数据的时候走开等。
控制措施包括:加密、填充网络流量、严格的访问控制、严格的身份验证程序、数据分类和充分的人员培训。
(2) 完整性(Integrity):保护数据可靠性和正确性,防止未经授权的数据更改。
可从以下三个方面检验完整性:
• 防止未经授权的主体进行修改。
• 防止授权主体进行未经授权的修改(不恰当修改信息),如引入错误。
• 保持客体内外一致以使客体的数据能够真实反映现实世界,而且与任何子客体、对等客体或父客体的关系都是有效的、一致的和可验证的。
即保持信息内部一致性和外部一致性。
内部一致性:存储在系统里的冗余信息要保持一致。
外部一致性:存储在系统里的信息和外部真实情况要保持一致。
导致完整性破坏的事件包括:修改或删除文件,输入无效的数据,修改配置时在命令、代码和脚本中引入错误,引入的病毒,执行恶意代码(如特洛伊木马)。
控制措施包括:严格的访问控制、严格的身份验证流程、入侵检测系统、客体/数据加密、散列值验证、接口限制、输入检查和充分的人员培训。
相关概念-不可否认性:
不可否认性(Nonrepudiation),确保事件的主体或引发事件的人不能否认事件的发生。
不可否认性可预防主体否认发送过消息、执行过动作或导致某个事件的发生。
措施:可使用数字证书、会话标识符、事务日志以及其他许多事务性机制和访问控制机制来实施不可否认性。
(3) 可用性(Availability):授权主体被授予实时、不间断的客体访问。
可用性包括对客体的有效的持续访问及抵御拒绝服务(DoS)攻击。可用性还意味着支撑性基础设施(包括网络服务、通信和访问控制机制)是可用的,并允许授权用户获得授权的访问。
破坏事件:意外删除文件、滥用硬件和软件、资源分配不足、错误标记、错误客体分类等。
控制措施:括正确设计中转传递系统、有效使用访问控制、监控性能和网络流量、使用防火墙和路由器防止DoS 攻击、对关键系统实施冗余机制以及维护和测试备份系统。
*是军方和政府机构很多时候倾向于优先考虑保密性而不是完整性和可用性,而私营企业倾向于优先考虑可用性而不是保密性和完整性。
与CIA相反的三元组DAD:泄露(Disclosure)、篡改(Alteration)、破坏(Destruction)
AAA服务: Authentication身份验证 Authoriztion 授权 Accounting/Audit 记账/审计
实际上代表五项内容:
• 标识(Identification):当试图访问受保护的区域或系统时声明自己的身份(如用户名、卡号、流程ID等) 。
• 身份验证:验证或测试声明的身份是否有效的过程称为身份验证。通过将一个或多个因子与有效的数据库进行比较来验证主体的身份。
• 授权:对一个具体身份定义其对资源和客体的访问许可(访问矩阵)。
• 审计:记录与系统和主体相关的事件与活动日志。
• 记账:问责制,通过审查日志文件来核查合规和违规情况,以便让主体对自身行为负责。
保护机制: 常见示例-用多层或分层访问、利用抽象、隐藏数据和使用加密技术。
分层(layering)也被称为纵深防:多种控制手段结合,一个控制失效不会导致系统或数据暴露。
串行配置的范围很窄,但层级很深;(购物中心入口)
而并行配置的范围很宽,但层级很浅。(机场
抽象(abstraction),相类似的元素被放入组、类或角色中,作为一个集合被指派安全控制、限制或许可。提高效率、简化安全。
数据隐藏:是将数据存放在主体无法访问或读取的逻辑存储空间以防止数据被泄露或访问。
形式包括防止未经授权的访问者访问数据库,以及限制安全级别较低的主体访问安全级别较高的数据、阻止应用程序直接访问存储硬件。
区别于隐匿(obscurity),通过隐匿保持安全是指不告知主体有客体存在,从而希望主体不发现该客体。通过隐匿保持安全实际上并没有提供任何形式的保护。
加密(encryption)
战略一致性:业务战略驱动安全战略和IT战略。
安全管理计划三种类型:
(1) 战略计划(strategic plan),定义组织的目标和使命。(相对稳定的长期计划,每年维护和更新,有效期大约5年)
(2) 战术计划(tactical plan),是为实现战略计划中设定的目标提供更多细节而制定的中期计划,或可根据不可预测的事件临时制定(中期计划,1年)。
(3) 操作计划(operational plan),是在战略计划和战术计划的基础上,制定的短期、高度详细的计划。(经常更新,每月/每季)
安全管理计划的内容包括:定义安全角色,规定如何管理安全、由谁负责安全以及如何检验安全的有效性,制定安全策略,执行风险分析,要求对员工进行安全教育。
* 安全(InfoSec) 团队应由指定的首席信息安全官(CISO)领导, CISO必须直接向高级管理层汇报。
组织的流程:
(1) 变更控制/变更管理
变更管理的重要目标是防止非预期的安全降低,但它的首要目标是使所有变更被详细记录和审计,从而使变更能被管理层检查和审核。
配置管理或变更管理的变更控制过程有以下几个目标或要求:
•在受监控的环境中有序实施更改。
•包含正式的测试过程,验证变更能实现预期效果。
•所有变更都能够撤消(也称为回退或回滚计划/程序)。
•在变更实施前通知用户,以防止影响生产效率。
•对变更影响进行系统性分析,以确定变更是否会对安全或业务流程产生负面影响。
•最小化变更对能力、功能和性能方面的负面影响。
•变更顾问委员会(Change Advisory Board, CAB)需要评审和批准变更。
(2) 数据分类(data classification, 也称数据分级)
数据分类方案的主要目标是基于指定的重要性与敏感性标签,对数据进行正式化和分层化的安全防护过程。
根据信息敏感程度,公司采取不同的安全控制措施,确保信息受到适当的保护,指明安全保护的优先顺序(同时避免过度保护)。
常见分类:政府/军事分类 商业/私营部门分类。
政府/军事分类:绝密(Top Secret)、秘密(Secret)、机密(Confidentia|)、敏感但未分类(Sensitive But Unclassified, SBU)、未分类(Unclassified)
商业/私营部门分类:机密(Confidentia| )、私有(Private)、敏感(Sensitive)、公开(Public)
组织角色与职责:
•高级管理员(CEO、CFO、COO)
全面负责信息安全,是信息安全的最终负责人
规划信息安全,确定目标和有限次序,委派信息安全责任
明确信息安全目标和方针为信息安全活动指引方向
为信息安全活动提供资源
重大事项做出决策
协调组织不同单位不同环境的关系
•安全专业人员
•数据所有者(data owner)
•数据托管员(data custodian)
•用户
•审计人员(auditor)
安全管控参考框架:
信息和相关技术控制目标(COBIT),是关于IT治理和IT管理相关控制流程的框架。
规定了安全控制的目标和需求,并鼓励将IT 安全思路映射到业务目标。
COBIT5的基础是企业IT 治理和管理的如下五个关键原则。
•原则1: 满足利益相关方的需求
•原则2: 从端到端覆盖整个企业
•原则3: 使用单一的集成框架
•原则4: 采用整体分析法
•原则5: 把治理从管理中分离出来
CMM&CMMI 软件开发成熟度模型&成熟度模型集成:
能力成熟度模型(CMM),
1.初始(initial/ad hoc)
2.可重复(repeatable)
3.已定义(defined)
4.已管理(managed),可衡量才可管理
5.优化(optimizing),持续改进
能力成熟度模型集成(CMMI),
1.初始(initial/ad hoc)
2.已管理(managed)
3.已定义(defined)
4.量化已管理(managed)
5.优化(optimizing)
IT 安全还有其他许多标准和指南,包括:
•开源安全测试方法手册(Open Source Security Testing Methodology Manual,OSSTMM) 。
•ISO/IEC 27002(取代了ISO 17799) 一个国际标准,可作为实施组织信息安全及相关管理实践的基础。
•信息技术基础设施库(Information Technology Infrastructure Library, ITIL),是IT服务管理最佳实践,经常用作定制IT 安全解决方案的起点。
应尽关心和尽职审查:
应尽关心(due care),指使用合理的关注来保护组织的利益。
DC,应尽的关心、谨慎考虑、应尽关注、尽职关注、适度关注、适度审慎。
尽职审查(due diligence),指的是具体的实践活动。
DD,尽职审查、恪尽职守、尽职调查、尽职勤勉、应尽勤勉、适度勤勉。
安全文档:
策略/政策/方针(policy),信息安全最一般性声明、最高管理层对信息安全承担责任的一种承诺、说明要保护的对象和目标。
三类方针:监管性/合规性方针(regulatory)、建议性方针(advisory)、信息性/指示性方针(informative)
标准(standard),建立方针执行的强制机制。
安全基线(baseline),满足方针要求的最低级别的安全要求。
指南/准则(guideline),类似于标准,加强系统安全的方法,是建议性的。
程序/步骤/规程(procedure),执行特定任务的详细步骤(specific)。程序则是对执行保护任务时具体步骤的详细描述(HOW)。
威胁建模:
1.识别威胁:
STRIDE模型(识别威胁,微软公司开发):
欺骗(Spoofing)
篡改(Tampering)
否认/抵赖(Repudiation)
信息泄露(Information Disclosure)
拒绝服务(DOS)
特权提升(Elevation of Privilege)
PASTA模型:
攻击模拟和威胁分析(Process for Attack Simulation and Threat Analysis, PASTA)。
PASTA 的七个阶段如下:
阶段1: 为风险分析定义目标
阶段2: 定义技术范围(Definition of the Technical Scope, DTS)
阶段3: 分解和分析应用程序(Application Decomposition and Analysis, ADA)
阶段4: 威胁分析(ThreatAnalysis, TA)
阶段5: 弱点和脆弱性分析(Weakness and Vulnerability Analysis, WV A)
阶段6: 攻击建模与仿真(Attack Modeling & Simulation, AMS)
阶段7: 风险分析和管理(Risk Analysis & Management, RAM)
VAST(Visual, Agile, and Simple Threat, 视觉、敏捷和简单威胁),是一种基于敏捷项目管理和编程原则的威胁建模概念。
Trike模型
2.确定和绘制潜在的攻击
3.执行简化分析(reduction analysis),从攻击树引出的一种方法
作用:一方面减少组织必须考虑的攻击数量,找到攻击的共性来减少需要缓解的条件的数量。
一方面减少攻击造成的威胁,实施缓减技术时,离根节点越近,就越能缓解叶节点的攻击。
4.优先级排序和响应:
编制文档后,要对威胁进行排序或定级。可使用多种技术来完成这个过程,如“概率ד潜在损失”排序、高/中/低评级或DREAD 系统。
DREAD 评级系统,旨在提供一种灵活的评级解决方案。
DREAD基于对每个威胁的五个主要问题的回答。
潜在破坏:如果威胁成真,可能造成的伤害有多严重?
可再现性:攻击者复现攻击有多复杂?
可利用性:实施攻击的难度有多大?
受影响用户:有多少用户可能受到攻击的影响(按百分比)?
可发现性:攻击者发现弱点有多难?
评估供应商:
在为安全集成而评估第三方时,应考虑以下过程:
现场评估,到组织现场进行访谈,并观察工作人员的操作习惯。
文件交换和审查,调查数据和文件记录交换的方式,以及执行评估和审查的正式过程。
过程/策略审查,要求提供安全策略、过程/程序,以及事件和响应文件的副本以供审查。
第三方审计,根据美国注册会计师协会(AICPA)的定义,拥有独立的第三方审计机构可根据SOC 报告,对实体的安全基础设施进行公正的审查。
SOC1报告,
SOC1报告需要服务提供商描述他的系统并定义控制目标和控制,这些与财务报告内部控制有关。
财务报告内部控制(ICFR),由负责治理、管理和其他事务的人员实施的过程,旨在为按照适用的财务报告框架编制可靠的财务报表提供合理的保证,包括那些能够实现以下目标的政策和程序。
SOC1报告通常不覆盖那些与用户ICOFR报告无关的服务和控制。
SOC1报告在2011年开始被许多服务商用于核心财务处理服务。
SOC2/SOC3报告,
一段时间内包含设计和运维有效性的报告;
原则和准则具体定义安全性、可用性、机密性、处理完整性和隐私;
提供超越财务报告内部控制 (ICOFR);
可以基于服务提供商及其用户的需求,采用模块化的方式便于SOC2/SOC3报告能够覆盖一个或多个原则;
IT服务提供商没有影响或存在间接影响到用户的财务系统,则使用SOC2报告;
SOC3报告,一般用于向大范国用户通报其保障级别而不需要披露细节控制和测试结果;
Type1,证明控制设计和实施有效(在某个时间有效)。
Type2,证明控制执行有效(在一段时间内有效运行)。
SOC1-Type1,证明组织的内部财务控制设计合理。
SOC1-Type2,证明这些控制已经有效的运作一定时间。
SOC2-Type1,提供当下的控制设计合理性证明。
SOC2-Type2,通过更长时间(通常一年)的观察确认控制的有效性。