CISSP-安全与风险管理

① 安全管理

　　安全治理

　　　　Management，管理，管理者为了达到特定目的而对管理对象进行的计划、 组织、指挥、协调和控制的一系列活动。

　　　　governance，治理，治理是或公或私的个人和机构进行经营、管理相同事务的诸多方式的总和，安全治理是支持、定义和指导组织的安全工作相关的实践的集合，包括：安全审计、安全监督、安全合规、文件审查等。

　　　　管理强调的是一个过程活动，而治理强调的是为了达到同一目标，多方面的协调。

　　安全管理计划

　　　　安全管理计划能确保安全策略的适当创建、实现和实施。建立安全管理计划的流程。

• • 公司安全的使命和目标
  • 安全体系总体框架
  • 安全现状
  • 关键举措和重点工作
  • 实施策略选择
  • 工作计划
  • 建设实施
  • 安全运营和持续改进

安全框架

为什么需要企业安全框架？
一方面，实现业务与技术之间的“沟通”，让相关的业务与安全方面的技术对应起来

另一方面，实现模块化管理，让负责某一模块的人员有相关的话题可以谈，同时对于应急响应也可以及时的排查等。

　　　　企业安全架构

　　　　Zachman，Zachman框架是一个二维模型，使用6个基本疑问词（什么、如何、哪里、谁、合适、为何）和不同的视觉维度（计划人员、所有者、设计人员、建设人员、实施人员和工作人员）二维交叉，对企业给出了一个整体性的理解。

　　　　TOGAF，开放群组架构框架，由美国国防部开发并提供了设计、实施和治理企业信息架构的方法。架构允许技术架构设计师从企业不同的视角（业务、数据、应用程序和技术）去理解企业，确保开发出环境及组件所必须的技术，最终实现业务需求。

　　　　SABSA，由一系列集成框架，模型，方法和过程组成，可以独立使用，也可以作为整体集成企业解决方案使用。它广泛应用于：

• 企业安全架构
• 个人安全解决方案
• 企业和解决方案架构
• 无缝的安全集成，并与其他框架（包括TOGAF，ITIL，Zachman，DoDAF）保持一致
• 业务驱动的可跟踪工具包，用于建模和部署安全标准和参考，例如ISO 27000系列，NIST和CObIT
• 治理，合规与审计
• 业务需求工程
• 风险与机会管理
• 信息保障
• 业务连续性
• 政策架构
• 安全服务管理
• 安全绩效管理，措施和指标
• 安全系统设计与开发
• 全面集成的端到端解决方案的总体决策框架

SABSA是一种行之有效的方法，可用于在企业和解决方案级别上开发可支持业务目标的业务驱动型，针对风险和机会的安全架构。

它还广泛用于信息保证体系结构，风险管理框架，并将安全性和风险管理与IT架构方法和框架无缝集成。

SABSA框架和方法已在全球范围内成功使用，以满足各种企业需求，包括风险管理，信息保证，治理和连续性管理。自1995年以来，SABSA逐渐发展成为50个国家和地区的组织的“首选方法”，这些领域包括银行，无家可归管理，核电，信息服务，通信技术，制造和政府​​。

SABSA确保完全满足企业的需求，并设计，提供和支持安全服务，并将其作为您的业务和IT管理基础架构的组成部分。尽管受版权保护，但SABSA是一种开放使用的方法，而不是商业产品。

SABSA由一系列集成框架，模型，方法和过程组成，可独立使用或用作整体集成企业解决方案，包括：

• 业务需求工程框架（称为属性分析）
• 风险与机会管理框架
• 政策架构框架
• 面向安全服务的架构框架
• 治理框架
• 安全域框架
• 终身安全服务管理和绩效管理框架

SABSA研究所开发和维护该方法，并对在全球大约50个国家使用该方法的专业建筑师进行认证和鉴定。

为什么SABSA如此成功？

SABSA由SABSA研究所管理。在英国，“研究所”不是一家普通公司：它具有受保护和受到严格管制的地位，可以保证：

• SABSA知识产权永远无法出售
• SABSA将始终保持与供应商无关
• SABSA将永久免费使用
• SABSA将不断发展以满足业务需求
• SABSA的社区可以获得基于能力的真正专业认证，从而为同行和雇主提供建筑师能力的信任和信心

独特的卖点

特征	优点
业务驱动	价值保证
风险与机会平衡	优先和比例响应
全面	可扩展范围
模块化的	敏捷性，易于实施和管理
开源的	免费使用，开源，全球标准
可审核的	证明符合有关当局
透明	双向追溯

七个主要功能和优点中的每一个都可以解释并定制为关键的“电梯宣传”信息和针对特定利益相关者或客户的独特卖点（USP）。下面的示例是为一家全球金融机构的八个利益相关者创建的：

　　　　安全控制架构

　　　　COBIT，是一组由国际信息系统审计与控制协会和IT治理协会制定的一个治理与管理的框架。CobiT模型，国际审计协会（ISACA）及治理协会ITGI联合制定目标集。企业架构是组织的，系统架构是计算机组建的，计划和组织、获得与实现、交付与支持、监控与评价。

　　　　COSO，由反欺诈财务报告全国委员会发起组织委员会开发，用于处理财务欺诈活动并汇报。COSO模型，反欺诈财务相关发起的委员会，控制环境、风险评估、控制活动、信息和通讯、监控。COSO是企业治理模型，CobiT是IT治理模型。

　　　　安全管理架构

　　　　ISO/IEC 27000，由ISO和IEC联合开发的关于如何开发和维护信息安全管理体系的国际标准。

　　　　安全流程管理架构

　　　　ITIL，以流程为基础、以客户为导向的IT服务管理指导框架，摆脱了传统IT管理以技术管理为焦点的弊端，实现了从技术管理到流程管理，再到服务管理的转化。

ITIL v3

从结构来讲，ITIL拥有三个组件：核心组件，补充组件和网络组件。最大的更改是该版本致力于达到并保持业务和IT的融合（Business/IT Alignment--BITA)。

核心组件”由服务战略、服务设计、服务转换、服务运营与持续性服务改进五本书组成，涵盖了IT服务的生命周期，从业务所需到最优化服务，包含了现有服务支持和服务交付的所有内容，其中，服务战略是周期运转的核心；服务设计，服务转换和服务运营是实施阶段；服务改进则对服务的定位和对有关的进程和项目进行基于战略目标的优化改进。

 

　　　　CMMI，能力成熟度模型集成，用来确定组织流程成熟度的一种方式。紊乱、可重复、文档化、可监控、自动化。

安全策略体系

　　　　安全策略是高级管理层制定的一个全面声明，规定安全在组织内所扮演的角色，是战略目标。

　　　　标准、基线、指南、详细措施是战术目标。

安全人员管理

　　　　高级管理者

　　　　　　组织的所有者的角色被分配给最终负责组织机构安全维护和最关心保护资产的人

　　　　　　制定长远规划、业务目标和目的

　　　　　　确保组织在信息安全方面采取适当的应尽关注和应尽职责 

　　　　安全专家

　　　　　　安全专家、信息安全官或计算机应急响应团队以上角色被分配给受过培训和经验丰富的网络

　　　　　　工程师、系统工程师和安全工程师，对落实高层管理部门下达的指示负责

　　　　　　安全专家不是决策制定者，只是实现者 

　　　　数据所有者

　　　　　　被分配给在安全解决方案中为了放置和保护信息而负责对信息进行分类的人

　　　　　　通常，数据所有者是层次较高的、最终负责数据保护的管理者

　　　　　　一般会将实际管理数据的任务委派给数据管理员

　　　　　　数据所有者具有应尽关注职责，决定其负责的数据分类，负责确保实施必要的安全控制 

　　　　数据管理员

　　　　　　被分配给负责实施安全策略和上层管理者规定的保护任务的用户

　　　　　　数据管理员通过执行所有必要的措施为数据提供适当的CIA保护，并完成上层管理者委派的要求和责任 

　　　　用户

　　　　　　被分配给具有安全系统访问权限的任何人（最小特权原则） 

　　　　审计人员

　　　　　　负责测试和认证安全策略是否被正确实现以及衍生的安全解决方案是否合

人员安全策略与程序：

1、候选人筛选和招聘

为了保证岗位的安全性，候选人筛选、背景调查、推荐信调查、学历验证和安全调查验证都是证实有能力的、有资质的和值得信任的候选人的必备要素。

2、雇佣协议和策略

NCA非竞争协议（竞业协议）试图阻止了解组织秘密的员工加入另一个与该组织存在竞争关系的组织，使第二个组织不能利用该员工了解的秘密谋利。NCA通常有时间限制，一般是6个月，1年或3年。

NDA保密协议，用于防止已离职的员工泄露组织的机密信息，当个人签署保密协议时，他同意不像组织以外的任何人透露任何被定义为机密的信息。

3、入职和离职程序

入职是在IAM身份和访问管理系统中添加新员工的过程，接受新员工培训，以便于为履行工作职责做好充分的准备。

离职指在员工离开公司后，将其身份从IAM系统删除。包括：删除用户账号、收回工牌、回退电脑等设备，还有离职面谈。

4、供应商、顾问和承包商的协议和控制

使用SLA确保组织向其内部或外部客户提供的各种服务保持在服务方和客户都满意的恰当服务水平，在SLA中通常或提到：

• 系统运行时间
• 最长连续停机时间
• 最大负载
• 平均负载
• 诊断职责
• 故障切换时间

5、合规策略要求

合规是符合或遵守规则、策略、法规、标准或要求的行为。在人员层面，合规关系到员工个人是否遵守公司的策略，是否按照规定的程序完成工作任务。

②风险管理

　　风险的定义，风险=威胁*威胁性*资产，信息资产遭受损坏并给企业带来负面影响的潜在可能性。

     风险管理框架RMF

     通过实施强劲且持续的监视过程，促进实时风险管理和持续的信息系统授权概念的实施。向高层管理人员提供必要的信息，以便于组织信息系统做出基于风险且成本有效的决策，来支持其核心业务功能，并将信息安全集成到企业体系结构和系统开发生命周期中。

• 安全分类：对系统处理、存储和传输的数据进行分类
• 选择安全控制：选择初始化安全控制基线
• 实施安全控制：实施一系列具体的安全控制方案
• 评估安全控制：评估安全控制的效果，在多大程度上得到正确实施、获得期望结果
• 授权信息系统：确保风险是可接受的
• 监视安全控制：记录系统或其运行环境的变更

      风险术语

• 资产：可以是环境中需要保护的一切事务
• 资产评估：根据实际成本给出资产指定的货币价值
• 威胁：任何可能发生的、对组织或特定资产造成不良或非预期的潜在事件
• 脆弱性：资产中的弱点，是防护措施或控制措施的弱点
• 暴露：脆弱性会被利用的可能性存在
• 风险：威胁利用脆弱性对资产造成损害的概率，风险=威胁*脆弱性
• 防护措施：任何能消除或减少脆弱性，或抵御特定的威胁事务。可以是安装软件补丁、更改配置、雇佣保安、更改基础设施、修改流程、改善安全策略、更有效的培训人员、给周边围栏通电、安装照明灯等
• 攻击：威胁主体对脆弱性的利用，或违法安全策略
• 破坏：安全机制被威胁主体绕过或阻止

   　识别威胁和脆弱性　  

       风险管理的一个基础部分是识别和检查威胁，这涉及为组织已识别的资产创建一个尽可能详尽的威胁列表。这样的列表需要有威胁主体和威胁事件，包含以下因素：

• 病毒
• 级联错误或依赖性错误
• 内部用户的犯罪活动
• 运动
• 故意攻击
• 重组
• 内部用户患病
• 恶意黑客
• 心怀不满的员工
• 用户错误
• 自然灾害
• 物理损坏
• 滥用数据、资源或服务
• 更改或破坏数据分类或安全策略
• 处理错误、缓冲区溢出
• 滥用个人特权
• 极端温度
• 能量异常
• 数据丢失
• 信息战
• 商业活动的破产或中断
• 编码错误
• 入侵者
• 环境因素
• 设备故障
• 物理盗窃
• 社会工程学

      威胁建模

　　　 威胁建模是潜在的威胁被识别、分类和分析的一个安全流程

　　　　识别威胁

　　　　STRIDE威胁分类

　　　　Spoofing，电子欺骗，通过使用伪造身份获得对目标系统访问的攻击行为

　　　　Tampering，篡改，任何对数据进行未授权的更改或操纵的行为，不管是传输中的数据还是被存储的数据

　　　　Repudiation，否认，用户或攻击者否认执行了一个动作或行为的能力

　　　　Information Disclose，信息披露，将私人、机密或受控信息揭露、传播给外部或未授权实体的行为

　　　　DoS，拒绝服务，攻击试图阻止对资源的授权使用

　　　　Elevation of privilege，权限提升，有限的用户账号被转换成拥有更大特权、权利和访问权的账户

　　　　削减分析

　　　　执行消减是为了分解应用程序、系统或环境，分解流程中，需要了解

• • 信任边界
  • 数据流路径
  • 输入点
  • 特权操作
  • 安全立场和方法细节

　　　　优先级和响应

　　　　威胁可以用优先级标签进行定级，包括概率*潜在损失的排名、高中低评级和DREAD评级系统

　　　　DREAD评级系统

　　　　Damage，危害性

　　　　Reproducibility，再现性

　　　　Exploitability，可利用性

　　　　Affected Users，受影响用户

　　　　Discoverability，可发现性

　　风险管理

　　　　风险管理是信息安全管理的核心内容

　　　　风险识别

　　　　风险评估

　　　　　    标识资产和他们对于组织的价值、识别脆弱性和威胁、量化潜在威胁的可能性及其对业务的影响，在威胁的影响和对策的成本之间达到预算的平衡。

定量风险分析

可计算出具体的概率，定量风险分析的最终结果是一份包含风险级别、潜在损失、应对措施成本和防护措施价值等货币数据的报告。定量风险分析的6大步骤：

1. 编制资产清单，并为每个资产分配资产价值
2. 研究每一项资产，列出每一项资产可能面临的所有威胁，计算暴露因子和单一损失期望
3. 执行威胁分析，计算每一个威胁在一年之内实际发生的可能性
4. 通过计算年度损失期望，得到每一个威胁可能带来的总损失
5. 研究每种威胁的应对措施，然后基于已采用的控制措施，计算年度发生概率和年度损失期望的变化
6. 针对每个资产的每个威胁的防护措施进行成本/效益分析，为每个威胁选择最合适的防护措施

• 暴露因子EF：表示如果已发生的风险对组织的某个特定资产造成破坏，组织将因此遭受的损失百分比。
• 单一损失期望SLE：特定资产发生单一风险的相关成本，=资产价值AV*暴露因子EF
• 年度发生率ARO：一年内特定威胁或风险发生的预期频率
• 年度损失期望ALE：针对特定资产的所有可发生的特定威胁，在年度内可能造成的损失成本，=单一损失期望SLE*年度发生率

定性风险分析

进行定性风险分析的过程包括：判断、直觉和经验，可以使用多种技术来执行定性风险分析：

• 头脑风暴
• Delphi技术（匿名的反馈和响应过程，参与者聚集一起，把想法匿名写纸条）
• 故事板
• 焦点小组
• 调查
• 问卷
• 检查清单
• 一对一的会议
• 面谈

风险评估的一般方法（NIST）

　　　　　　　　评估准备

　　　　　　　　进行评估（识别威胁源和事件、识别威胁和诱发条件、确定发生的可能性、确定影响的大小、确定风险）

　　　　　　　　沟通评估

　　　　　　　　维持评估

　　　　　　定量风险评估

　　　　　　　　SLE，Single Loss Expectancy

　　　　　　　　ALE，Annual Loss Expectancy

　　　　　　　　AV，Asset Value

　　　　　　　　EF，Exposure Factor

　　　　　　　　ARO，Annualized Rate of Occurrence

　　　　　　　　SLE=AV*EF

　　　　　　　　ALE=SLE*ARO

　　　　　　定性风险评估

　　　　　　　　将考查各种风险可能发生的场景，并基于不同的观点对各种威胁的严重程度和各种对策的有效性进行等级排列

　　　  风险响应

风险分析的结果如下：

• 所有资产完整的、详细的估值
• 包括所有威胁和风险、发生概率及造成损失程度的详细清单
• 针对特定威胁的有效防护措施和控制措施
• 每个防护措施的成本/效益分析

一旦完成风险分析，管理人员必须处理每个特定风险，对风险作出的反应：

• 风险缓解：通过实施防护措施和控制措施，消除脆弱性或阻止威胁
• 风险转移：将风险带来的损失转嫁给另一个实体或组织（买保险、外包）
• 风险接受：成本/收益分析表明控制措施的成本超过风险的潜在损失
• 风险威慑：对可能违反安全策略的人实施威慑（实施审计、摄像头）
• 风险规避：选择代替的方案（PlanB）
• 风险拒绝：忽略风险

         　风险处置

　　　　　　采取措施将风险减少到和维持可接受的水平

　　　　　　转移，总风险或剩余风险太大，无法承担，购买保险，转移给保险公司

　　　　　　规避，终止引入风险的活动

　　　　　　缓解，风险降低到可接受的级别

　　　　　　接受，理解自己所面临的风险级别以及风险带来的潜在损失，并且决定在不采取任何对策的情况下接受风险

　　　　　　总风险=威胁*脆弱性*资产价值

　　　　　　剩余风险=总风险*控制间隙

　　　　　　总风险-对策=剩余风险

　　风险管理框架

　　　　RMF，是一个结构化的流程，允许组织识别和评估风险，将其降低到可接受的水平，并确保其保持在该水平

　　　　NIST RMF 六步：

　　　　信息系统的分类

　　　　安全控制的选择

　　　　安全控制的实现

　　　　安全控制的评估

　　　　信息系统的授权

　　　　安全控制的监管

              选择和实施控制措施

安全控制、控制措施和防护措施可以是管理性、技术性、物理性的，这三种安全机制应以纵深防御方式实现，以提供最大收益。

技术性控制措施

• 身份验证方法（用户名、密码、生物识别）
• 加密、限制接口、访问控制列表
• 协议、防火墙、路由器、入侵监测系统

管理性控制措施

• 策略、流程、招聘实践、背景调查
• 数据分类、数据标签
• 安全意识培训、休假记录、报告和审查
• 工作监督、人员控制、测试

物理性控制措施

• 保安、栏栅、动作探测器、上锁的门、密封的窗户、灯、电缆保护
• 笔记本电脑锁、徽章、刷卡、看门狗、摄像机、陷阱、报警器　

     适用的控制类型

• 威慑控制：安全意识培训、安全标识、保安、陷阱、摄像头
• 预防控制：生物识别、陷阱、报警系统、职责分离、岗位轮换、数据分类、渗透测试、杀毒软件、防火墙、入侵预防系统
• 检测控制：移动检测器、审计踪迹、蜜罐、入侵检测、违规报告、监督
• 补偿控制：临时卡、数据传输过程加密
• 纠正控制：终止恶意活动、重启系统、删除或隔离病毒、数据断电恢复
• 恢复控制：是纠正的扩展（备份、恢复、容错、系统镜像、集群）
• 指示控制：逃生路线出口标志、发布的通知 

     安全控制评估（SCA）

     SCA根据基线或可靠性对安全基础设施的各个机制进行的正式评估，可作为渗透测试或漏洞评估的补充内容。SCA的目标是确保安全机制的有效性，评估组织风险管理过程的质量和彻底性，生成已部署的安全基础设施相对优缺点的报告。

     监测和测量

安全控制提供的收益应该是可被监视和测量的，为了测量安全控制措施的成败，在安全措施执行前后进行监测和记录是十分必要的，只有知道了起点，才能准确的衡量收益。

    资产估值和报告

估算有形或无形资产的事项：

• 采购成本、开发成本、行政或管理成本、维护或保养费用
• 获得资产的成本、保护或维持资产的成本、对所有者和用户的价值
• 对竞争对手的价值、实施产权或股票价值、市场估值
• 重置成本、生产率的提高或下降、资产存在和损失的运营成本
• 资产损失责任、有用性

风险报告是风险分析的最后一项关键任务，包括编制风险报告，并将报告呈现给利益相关方。风险报告应能准确、及时、全面的反映整个组织的情况，能清晰和准确的支持决策的制定，并定期更新。

     法律、法规、安全教育、采购中的风险

　　　　法律

　　　　　　民法，基于规则的法律，而不是基于程序的法律

　　　　　　普通法，基于对法律的先前解释

　　　　　　习惯法，主要处理个人行为和行为模式

　　　　　　宗教法，基于该地区的宗教信仰

　　　　知识产权

　　　　　　版权，保护原创作品的作者控制其原创作品公开发行、翻印、展览和修改的权利

　　　　　　商标，用于保护一个单词、名称、符号、声音、形状、颜色、设备或这些项的组合

　　　　　　专利权，授予个人或公司的法律所有权，使他们拒绝其他人使用或复制专利所指的发明

　　　　　　商业秘密，保护某些类型的资源不被未授权使用或公开

　　　　　　许可证，包含于软件使用和安全相关的规定以及相应的手册

　　　　其他法律和法规

　　　　　　计算机出口控制

　　　　　　加密产品出口控制

　　　　　　隐私法

　　　　　　支付卡行业数据安全标准（PCI DSS）

　　　　ISC2的道德规范

　　　　　　保护社会、公共利益，必要的公共信任和信心

　　　　　　行为得体、诚实、公正、负责和遵守法律

　　　　　　为委托人提供尽职的和胜任的服务工作

　　　　　　发展和保护职业声誉

　　　　采购中的风险

              持续改进

风险分析就是向高层提供必要的详细信息，以决定哪些风险应该被缓解、哪些被转移、哪些被忽略、哪些被规避、哪些被接受。其结果就是对资产的预期损失成本和部署应对威胁及脆弱性的安全措施成本记性成本/收益分析比较。风险分析可识别风险，量化威胁的影响，并帮助编制安全预算。

风险分析/风险评估是一种“时间点”度量，威胁和脆弱性不断变化，风险评估需要定期进行，安全在不断变化，支持持续改进。