CISSP-D2-资产安全

CISSP-D1-安全与风险管理
CISSP-D3-安全架构与工程
CISSP-D4-通讯与网络安全
CISSP-D5-身份与访问控制

D2 :资产安全

一、资产安全概念:D2-1~3

二、保护信息:D2-4~7

D2-1-信息生命周期

1、理解什么是信息生命周期

生命周期模型描述了: 一个实体在其生命周期中,所经历的变化。企业去管理和控制,对他们的信息访问,是非常重要的。如果企业不能很好的理解信息处置过程以及存储位置等方面内容,那么相关防护手段,例如防火墙等是无法起到很好的作用

3、掌握信息生命周期的四个阶段

  • 获取
    • 组织从其他地方复制或从头创建
    • 采取一些步骤使之有价值,并应用一些策略性的控制
  • 使用
    • 确保其机密性、完整行和可用行的最大挑战
    • 设置访问级别、正确的授权
    • 由于信息被使用,我们必须确保其内部一致性,一致性也是一个策略和法规遵从性的问题
  • 存档
    • 授权控制,确保备份数据被保护、保留数据时长
  • 处置
    • 数据是否真者的被销毁、是否被正确的销毁

D2-2-信息分类

1、了解信息分类的基本概念

为了量化一个组织如果丢失了信息后可能承受多少的损失

2、 了解数据分类级别

  • 商业公司数据分类级别

    • 机密
    • 隐私
    • 敏感
    • 公开
  • 军事机构的数据分类级别

    • 绝密
    • 秘密
    • 机密
    • 敏感但未分类
    • 未分类
  • 了解数据分类的准则

    • 数据的用途
    • 数据的价值
    • 数据的寿命
    • 数据泄漏可能导致的损失级别
    • 数据被修改或出现讹误可能导致的损失级别
    • 保护数据的法律、法规或合约责任
    • 数据对安全的影响
    • 谁能访问这些数据
    • 由睡维护这些数据
    • 谁能够重造这些数据
    • 如果数据不可用或出现讹误。那么造成的机会损失有多少
  • 掌握数据分类计划的步骤

    • 定义分类级别
    • 制定确定如何分类数据的准则
    • 任命负责为数据分类的数据所有者
    • 任命负责维护数据及其安全几倍的数据管理员
    • 定制没中分类几倍所需的安全控制或保护机制
    • 记录上述分类问题的例外情况
    • 说明可用于将信息保管转交给其他数据所有者的办法
    • 建立一个定期审查信息分类和所有权的措施,向数据看管员通宝任何变更
    • 知名信息解密措施
    • 将这些问题综合为安全意识计划,让所有员工都了解如何处理不同级别的数据

D2-3-信息相关的角色和责任

1、理解高级管理员的责任

  • 负有最终责任。应尽职责
  • 定制长远规划,业务目标和目的
  • 确保组织在信息安全方面采取适当的应尽注意和应尽责任

2、理解数据所有者的责任

  • 信息所有者,通常是一名管理人员,负责管理某个业务部门,对特定信息子集的保护和应用负有最终责任
  • 数据所有者具有“应尽关注”职责
  • 决定其负责的数据的分类
  • 负责确保实施必要的安全控制

3、理解数据监管员的责任

  • 信息监管员,负责数据的保护和维护工作
  • 角色通常用IT或者安全部门员工担任
  • 实施和维护安全控制措施
  • 执行数据的常规备份
  • 定期验证数据的完整性
  • 从备份介质还原数据,保存活动记录
  • 实现公司关于信息安全和数据保护的信息安全策略、标准和指南所指定的需求

4、理解安全管理员的责任

  • 负责实施和维护企业内具体的安全网络设备和软件
  • 必须确保为用户授予访问权限支持公司策略和数据所有者的指示

D2-4-适当的数据保留

1、目的: 完整性、可用性

2、保留策略定制的相关概念

  • 保存什么数据
    具有并遵循文档化的数据保留策略
  • 保留时长
  • 哪里保存

3、保留方法

  • 分类法
  • 分级
  • 标准化
  • 索引

4、应该保留什么数据、保留时长

  • 业务文档:7年
  • 发票:5年
  • 应付与应收账款:7年
  • 人力资源文件:7年(离职)或3年(未雇佣的候选人)
  • 法律通信:永久

5、电子发现(ESI)的概念

  • 电子存储信息的发现(ESI)或称电子发现是被法院或外部法律所定制的,与法律陈旭有关的所有ESI过程
  • 电子发现参考模型(EDRM)八个步骤
    • 识别
    • 保存
    • 收集
    • 处理
    • 审查
    • 分析
    • 生成
    • 展示

D2-5-保护隐私

1、 隐私数据相关人员和责任

  • 数据所有者一个责任就是数据分类和批准披露的请求
  • 数据所有者间接或直接决定谁可以访问特定数据
  • 数据处理者保护着数据隐私,对于这个群体的隐私保护方面的关键问题是培训和审计

2、正确处理隐私数据残留的方法

  • 覆盖
  • 消磁
  • 加密
  • 物理损毁

3、隐私数据收集的限制

  • 了解组织所在地的特定隐私法律
  • 组织收集的个人数据类型及生命周期必须有明确的书面策略
  • 编写策略需回答
    • 收集个人什么数据
    • 为什么收集这些数据、以及如何使用
    • 与谁共享数据
    • 谁拥有收集的数据
    • 这些数据的主体
    • 什么时候销毁这些数据
    • 有什么具体分法律或法规与这些数据相关

D2-6-保护资产

1、数据安全控制的方法

数据的三种状态

  • 禁止的数据
    简单且普遍的解决办法:加密
  • 运动中的数据
    • 强加密(TLS,IPSec)
    • 在关键节点之间使用信任的信道(VPN)
  • 使用中的数据
    确保测试软件,解决共享存储器信道攻击问题

2、电子介质的控制方法

  • 清楚的标记和记录
  • 不在需要时能被正确擦除

3、介质的生命周期管理

  • 追踪(审计日志记录)
  • 有效访问控制
  • 追踪备份版本的数量和位置
  • 对介质变更的历史记录归档
  • 确保环境条件不会危及介质安全
  • 确保介质的完整性
  • 定期清查介质
  • 执行安全处置活动
  • 标记内部和外部标签

4、保护其他资产

  • 移动设备
  • 纸质记录
  • 保险箱

D2-7-防止数据泄漏

1、数据泄漏的原因

  • 转移信息不恰当
  • 笔记本电脑或介质丢失、被盗
  • 残余数据
  • 意识培训不足

2、数据泄漏防护(DLP)的相关方法

  • 网络DLP
    • 对运动中的数据应用数据保护策略
    • 通常是一些网络周边的设备
  • 端点DLP
    • 对静态的数据和使用中的数据应用数据保护策略
    • 部署在每个受保护的端点上以软件的形式运行
  • 混合DLP
    • 在整个企业中不熟NDLP和EDLP
    • 贵也复杂
    • 提供最好的安全覆盖

你可能感兴趣的:(安全,网络安全,信息安全)