CISSP-D2-资产安全

CISSP-D1-安全与风险管理
CISSP-D3-安全架构与工程
CISSP-D4-通讯与网络安全
CISSP-D5-身份与访问控制

D2 ：资产安全

一、资产安全概念：D2-1~3

二、保护信息：D2-4~7

D2-1-信息生命周期

1、理解什么是信息生命周期

生命周期模型描述了： 一个实体在其生命周期中，所经历的变化。企业去管理和控制，对他们的信息访问，是非常重要的。如果企业不能很好的理解信息处置过程以及存储位置等方面内容，那么相关防护手段，例如防火墙等是无法起到很好的作用

3、掌握信息生命周期的四个阶段

• 获取
  • 组织从其他地方复制或从头创建
  • 采取一些步骤使之有价值，并应用一些策略性的控制
• 使用
  • 确保其机密性、完整行和可用行的最大挑战
  • 设置访问级别、正确的授权
  • 由于信息被使用，我们必须确保其内部一致性，一致性也是一个策略和法规遵从性的问题
• 存档
  • 授权控制，确保备份数据被保护、保留数据时长
• 处置
  • 数据是否真者的被销毁、是否被正确的销毁

D2-2-信息分类

1、了解信息分类的基本概念

为了量化一个组织如果丢失了信息后可能承受多少的损失

2、 了解数据分类级别

• 商业公司数据分类级别

  • 机密
  • 隐私
  • 敏感
  • 公开

• 军事机构的数据分类级别

  • 绝密
  • 秘密
  • 机密
  • 敏感但未分类
  • 未分类

• 了解数据分类的准则

  • 数据的用途
  • 数据的价值
  • 数据的寿命
  • 数据泄漏可能导致的损失级别
  • 数据被修改或出现讹误可能导致的损失级别
  • 保护数据的法律、法规或合约责任
  • 数据对安全的影响
  • 谁能访问这些数据
  • 由睡维护这些数据
  • 谁能够重造这些数据
  • 如果数据不可用或出现讹误。那么造成的机会损失有多少

• 掌握数据分类计划的步骤

  • 定义分类级别
  • 制定确定如何分类数据的准则
  • 任命负责为数据分类的数据所有者
  • 任命负责维护数据及其安全几倍的数据管理员
  • 定制没中分类几倍所需的安全控制或保护机制
  • 记录上述分类问题的例外情况
  • 说明可用于将信息保管转交给其他数据所有者的办法
  • 建立一个定期审查信息分类和所有权的措施，向数据看管员通宝任何变更
  • 知名信息解密措施
  • 将这些问题综合为安全意识计划，让所有员工都了解如何处理不同级别的数据

D2-3-信息相关的角色和责任

1、理解高级管理员的责任

• 负有最终责任。应尽职责
• 定制长远规划，业务目标和目的
• 确保组织在信息安全方面采取适当的应尽注意和应尽责任

2、理解数据所有者的责任

• 信息所有者，通常是一名管理人员，负责管理某个业务部门，对特定信息子集的保护和应用负有最终责任
• 数据所有者具有“应尽关注”职责
• 决定其负责的数据的分类
• 负责确保实施必要的安全控制

3、理解数据监管员的责任

• 信息监管员，负责数据的保护和维护工作
• 角色通常用IT或者安全部门员工担任
• 实施和维护安全控制措施
• 执行数据的常规备份
• 定期验证数据的完整性
• 从备份介质还原数据，保存活动记录
• 实现公司关于信息安全和数据保护的信息安全策略、标准和指南所指定的需求

4、理解安全管理员的责任

• 负责实施和维护企业内具体的安全网络设备和软件
• 必须确保为用户授予访问权限支持公司策略和数据所有者的指示

D2-4-适当的数据保留

1、目的： 完整性、可用性

2、保留策略定制的相关概念

• 保存什么数据
  具有并遵循文档化的数据保留策略
• 保留时长
• 哪里保存

3、保留方法

• 分类法
• 分级
• 标准化
• 索引

4、应该保留什么数据、保留时长

• 业务文档：7年
• 发票：5年
• 应付与应收账款：7年
• 人力资源文件：7年（离职）或3年（未雇佣的候选人）
• 法律通信：永久

5、电子发现（ESI）的概念

• 电子存储信息的发现（ESI）或称电子发现是被法院或外部法律所定制的，与法律陈旭有关的所有ESI过程
• 电子发现参考模型（EDRM）八个步骤
  • 识别
  • 保存
  • 收集
  • 处理
  • 审查
  • 分析
  • 生成
  • 展示

D2-5-保护隐私

1、 隐私数据相关人员和责任

• 数据所有者一个责任就是数据分类和批准披露的请求
• 数据所有者间接或直接决定谁可以访问特定数据
• 数据处理者保护着数据隐私，对于这个群体的隐私保护方面的关键问题是培训和审计

2、正确处理隐私数据残留的方法

• 覆盖
• 消磁
• 加密
• 物理损毁

3、隐私数据收集的限制

• 了解组织所在地的特定隐私法律
• 组织收集的个人数据类型及生命周期必须有明确的书面策略
• 编写策略需回答
  • 收集个人什么数据
  • 为什么收集这些数据、以及如何使用
  • 与谁共享数据
  • 谁拥有收集的数据
  • 这些数据的主体
  • 什么时候销毁这些数据
  • 有什么具体分法律或法规与这些数据相关

D2-6-保护资产

1、数据安全控制的方法

数据的三种状态

• 禁止的数据
  简单且普遍的解决办法：加密
• 运动中的数据
  • 强加密（TLS，IPSec）
  • 在关键节点之间使用信任的信道（VPN）
• 使用中的数据
  确保测试软件，解决共享存储器信道攻击问题

2、电子介质的控制方法

• 清楚的标记和记录
• 不在需要时能被正确擦除

3、介质的生命周期管理

• 追踪（审计日志记录）
• 有效访问控制
• 追踪备份版本的数量和位置
• 对介质变更的历史记录归档
• 确保环境条件不会危及介质安全
• 确保介质的完整性
• 定期清查介质
• 执行安全处置活动
• 标记内部和外部标签

4、保护其他资产

• 移动设备
• 纸质记录
• 保险箱

D2-7-防止数据泄漏

1、数据泄漏的原因

• 转移信息不恰当
• 笔记本电脑或介质丢失、被盗
• 残余数据
• 意识培训不足

2、数据泄漏防护（DLP）的相关方法

• 网络DLP
  • 对运动中的数据应用数据保护策略
  • 通常是一些网络周边的设备
• 端点DLP
  • 对静态的数据和使用中的数据应用数据保护策略
  • 部署在每个受保护的端点上以软件的形式运行
• 混合DLP
  • 在整个企业中不熟NDLP和EDLP
  • 贵也复杂
  • 提供最好的安全覆盖