資源描述:
《信息安全治理和風險管理.pdf》由會員上傳分享�����,免費在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1�、CBK1信息安全治理和風險控制主要內(nèi)容n安全術(shù)語和原則n保護控制類型n安全框架��、模型��、標準和最佳實踐n安全企業(yè)架構(gòu)n風險管理n安全文檔n信息分類和保護n安全意識培訓n安全治理0關(guān)于安全和組織目標n企業(yè)的目的是賺錢��;非盈利組織為提供特定服務?都不是為了安全策略n組織面臨的挑戰(zhàn)?盜取企業(yè)客戶數(shù)據(jù)進行身份欺詐?公司機密被外部和內(nèi)部實體竊取,從事經(jīng)濟間諜活動?系統(tǒng)被劫持用作僵尸網(wǎng)絡����,發(fā)送垃圾郵件和DDoS攻擊?公司資金被跨國有組織犯罪秘密抽取?企業(yè)網(wǎng)站和系統(tǒng)被不斷攻擊而無法提供服務n企業(yè)需要實踐大量安全規(guī)則才能維護市場份額、保護顧客和底線���、遠離法律責任
2����、�、銷售產(chǎn)品1.1安全基本原則n安全的核心目標,是為關(guān)鍵資產(chǎn)提供可用性�����、完整性和機密性(AIC三元組)?每項資產(chǎn)所需的保護級別不同?所有安全控制��、機制和防護措施的實現(xiàn)都是為AIC中的一個或多個?衡量所有風險���、威脅和脆弱性���,以其中平衡一個或多個原則可用性安全對象完整機密性性1.1.1可用性Availabilityn確保授權(quán)用戶能夠?qū)Y源進行及時和可靠的訪問?網(wǎng)絡設計、計算機和應用程序提供充分功能����,以可接受的性能級別和可預計的方式訪問?快速和安全的方式從崩潰中恢復?必要的保護措施消除內(nèi)部或外部威脅����,以免影響業(yè)務的可用性和效率n可用性威脅?網(wǎng)絡威脅l路
3�、由器、交換機���、DNS服務器�����、DHCP服務器��、代理���,防火墻等?系統(tǒng)威脅l硬件故障,軟件漏洞?物理和環(huán)境威脅l大火�����、洪水��、HVAC�、電力、潛在自然災害��、物理偷竊1.1.2完整性n保證信息和系統(tǒng)的準確性和可靠性��,并禁止對數(shù)據(jù)的非授權(quán)修改?硬件����、軟件和通信機制協(xié)同以確保正確地維護和處理數(shù)據(jù);數(shù)據(jù)傳輸過程中不被意外更改-數(shù)據(jù)完整性?保護系統(tǒng)和網(wǎng)絡免受外界干擾和污染-系統(tǒng)和網(wǎng)絡完整性n完整性威脅?病毒��、邏輯炸彈或后門破壞系統(tǒng)的完整性����;進而使數(shù)據(jù)出錯、惡意修改數(shù)據(jù)/替換為不正確數(shù)據(jù)�����,數(shù)據(jù)完整性被破壞l嚴格的訪問控制��、入侵檢測和散列運算(Hash)可以抗擊這些
4���、威脅?用戶常錯誤地影響數(shù)據(jù)和系統(tǒng)的完整性(有意或無意)l精簡用戶的訪問能力�����,只提供少數(shù)選擇和功能l限制用戶對系統(tǒng)關(guān)鍵文件的查看和修改l應用程序提供輸入數(shù)據(jù)有效性檢查l數(shù)據(jù)庫只允許授權(quán)用戶修改l數(shù)據(jù)傳輸通過加密或其他機制進行完整性保護1.1.3機密性n確保在數(shù)據(jù)處理過程中實施了必要級別的安全保護���,并阻止未授權(quán)的信息暴漏?數(shù)據(jù)存儲在系統(tǒng)和設備上?數(shù)據(jù)傳輸過程和數(shù)據(jù)到達目的地n機密性威脅?攻擊者-網(wǎng)絡監(jiān)控��、肩窺���、盜取密碼文件、社會工程(欺騙)l肩窺-越過別人肩膀瀏覽未授權(quán)信息l社會工程-欺騙他人共享敏感信息以獲取未授權(quán)訪問?未加密數(shù)據(jù)的傳輸�����、共享公司
5����、商業(yè)機密、處理機密信息而未采取額外保護措施l使用嚴格的訪問控制和數(shù)據(jù)分類l在存儲和傳輸數(shù)據(jù)時進行加密l對職員進行適當?shù)臄?shù)據(jù)保護措施培訓1.1.4平衡安全n平衡安全原則AICn完整性控制?機密性需求-公司商業(yè)機密?散列(數(shù)據(jù)完整性)?完整性需求-金融交易數(shù)據(jù)?配置管理(系統(tǒng)完整性)?可用性需求-電子商務網(wǎng)絡服務?變更管理(進程完整性)n可用性控制?訪問控制(物理和技術(shù)控制)?RAID廉價磁盤冗余陣列?軟件數(shù)字簽名?群集?傳輸CRC功能?負載平衡n機密性控制?冗余數(shù)據(jù)和電源線?加密存數(shù)的數(shù)據(jù)(磁盤��、數(shù)據(jù)庫加密)?磁盤映像?加密傳輸?shù)臄?shù)據(jù)(IPsec
6���、�����,SSL/TLS��,?回滾功能PPTP�,SSH)?故障切換配置?訪問控制(物理和技術(shù)控制)?異地備用設施1.2關(guān)鍵安全術(shù)語n脆弱性vulnerability?指缺少安全措施或者采用的安全措施有缺陷?軟件���、硬件����、過程或人為缺陷��、管理缺失n威脅threat?威脅主體利用脆弱性而帶來的潛在危險n風險risk?威脅主體利用脆弱性的可能性��,以及相應的業(yè)務影響?風險將脆弱性����、威脅及利用可能性與業(yè)務影響聯(lián)系在一起n暴漏exposure?造成損失的實例n控制control、對策countermeasure���、防護措施safeguard?軟件配置��、硬件設備或設施���、管
7、理過程���,能夠消除或降低潛在的風險各種安全概念之間的關(guān)系1.3控制類型n3種類型-管理控制�、技術(shù)控制、物理控制?深度防御-分層方法�����,綜合使用多個安全控制類型n管理控制-administrativecontrol?面向管理�����,“軟控制”?安全文檔����、風險管理、人員安全和培訓n技術(shù)控制-technicalcontrol-邏輯控制?由硬件���、軟件組成?防火墻�����、入侵檢測系統(tǒng)�、加密����、身份識別和認證n物理控制-physicalcontrol?保護設備�、人員和資源?保安����、鎖�����、圍墻�����、照明�、溫濕度控制和空調(diào)HVAC安全控制類型n深度防御-defense-in-depth
8、?以分層的方法�,綜合使用多個安全控制類型?采用的控制類型和公司面臨的威脅向?qū)?保護的層數(shù)與資產(chǎn)的敏感程度相對應-拇指型規(guī)則n物理控制n技術(shù)控制n管理
