CISSP学习笔记——域1安全与风险管理

域1安全与风险管理

信息安全基础

安全基本概念

  • 安全目标

    安全的核心目标是为关键资产提供可用性、完整性和机密性 (AIC 三元组)保护,这三个目标也被称为CIA。这三个方面对我们的企业是同 等重要的,只是有些时候在不同的场景下侧重点不同。例如:情报机构比较关 注机密性,金融机构比较关注于完整性,而提供电子商务的企业比较关注于可 用性。对于安全专家来说,我们需要把这三个方面整合到企业的安全保障体系 中,并且平衡三者的关系。如果过多的关注可用性有时会破坏到机密性。过度 强调完整性,例如过度的安全检测,可能会影响到可用性。因此,我们在应用 安全技术时,一定要根据需求来平衡这三方面。

  • 安全的核心原则和定义

    信息安全是为了保护我们的信息和系统,防止非授权的访问、使用、泄露、篡 改、破坏,为我们的信息和系统提供机密性、完整性和可用性

    • 机密性

      机密性意味着对信息实施了必要的安全措施,阻止未授权的访问和泄露,这些 信息还包括个人隐私、敏感数据等。机密性(confidentiality)确保在数据处理 的每一个过程点上,都实施了必要级别的安全保护,并阻止未经授权的信息披 露。在数据存储到网络内部的系统和设备上时,在数据传输的时候,以及在数 据到达目的地之后,这种级别的保密都应该发挥作用

    • 完整性

      完整性意味着对信息实施了必要的安全措施,阻止未授权的篡改和破坏,也包 括信息的不可否认性和真实性。完整性(integrity)指的是保证信息和系统的准 确和可靠,并禁止对数据的非授权更改。硬件、软件和通信机制必须协同工作, 才能正确地维护和处理数据,并且能够在不被意外更改的情况下,将数据移动 至预期的目的地。应当保护系统和网络免受外界的干扰和污染。

    • 可用性

      可用性意味着对信息实施了必要的安全措施,使得信息和系统能够被授权的实 体,可靠、及时的访问到。可用性(availability)保护确保授权的用户,能够对数据和资源进行及时的和可靠的访问。网络设备、计算机和应用程序应当提供 充分的功能,从而能够在可以接受的性能级别,以可预计的方式运行。它们应 该能够以一种安全而快速的方式从崩溃中恢复,这样生产活动就不会受到负面 影响。应该采取必要的保护措施消除来自内部或外部的威胁,这些威胁会影响 所有业务处理元素的可用性及工作效率。

  • 安全概念和术语

    威胁主体 ---引起---威胁--利用--脆弱性--导致---风险---可以破坏--资产--引起暴露---预防措施---直接作用到---威胁主体

    • 脆弱性

      脆弱性(vulnerability) 是指系统中允许威胁来破坏其安全性的缺陷。它是一种 软件、硬件、过程或人为缺陷。这种脆弱性可能是:在服务器上运行的某个服 务、未安装补丁的应用程序或操作系统、没有限制的无线访问点、防火墙上的 某个开放端口、或者服务器和工作站上未实施密码管理。

    • 威胁

      威胁(threat)是指威胁主体利用脆弱性而带来的任何潜在危险。如果威胁是一 个黑客,他将会识别出脆弱性,并利用它来危害公司或他人。而利用脆弱性的 实体就称为威胁主体。威胁主体可能是通过防火墙上的某个端口访问网络的入 侵者、违反安全策略进行数据访问的过程,也可能是某位员工,为了避开各种 控制而将文件复制到介质上,进而可能泄露了机密信息。

    • 风险

      风险(risk)是威胁主体利用资产上的脆弱性而产生可能的相应业务影响。如果 某个防火墙有几个开放端口,那么入侵者利用其中一个端口对网络进行未授权 访问的可能性就会较大。如果没有对用户进行过程和措施的相关教育,那么员 工由于故意或无意犯错而破坏数据的可能性就会较大。如果网络没有安装入侵 检测系统,那么攻击者会在不引人注意的情况下发起攻击,并且很晚才被发现 的可能性会非常大。风险将脆弱性、威胁和可能性与造成的业务影响联系在 一起

    • 暴露

      暴露(exposure)是造成损失的实例。脆弱性能够导致组织遭受破坏。如果密 码管理极为松懈,也没有实施相关的密码规则,那么公司的用户密码就有可能 会被破解,并在未授权状况下使用。如果没有人监管公司的规章制度,不预先 采取预防火灾的措施,公司就可能遭受毁灭性的火灾。

    • 控制对策

      控制(control)或对策(countermeasure)能够消除(或降低)潜在的风险。 对策可以是软件配置、硬件设备或其它措施,它能够消除脆弱性或者降低威胁 主体利用脆弱性的可能性。对策的例子包括强密码管理、防火墙、保安、访问 控制机制、加密和安全意识培训

    • 举例

      如果某个公司只是在服务器上安装防病毒软件,但是不能及时更新病毒特征库, 那么这就是一种脆弱性。该公司很容易遭受病毒攻击。威胁是指病毒将出现在 系统环境中在系统环境中并破坏系统的工作能力。风险是指病毒出现在系统环 境中并形成危害的可能性。如果病毒渗透入公司的系统环境,那么脆弱性就被 利用,公司也将遭受损失。这种情况下的对策就是更新病毒特征库,并在所有 计算机上都安装防病毒软件

    • 各种安全组件的关系

  • 安全相关的控制措施

    • 控制措施类型-3种

      • 控制措施包含3种类型: 管理控制 技术控制 物理控制 一般控制措施控制被分为3种类型:管理控制、技术控制和物理控制。 管理控制(administrative control)因为通常是面向管理的,所以经常被称为“软控 制”。安全文档、风险管理、人员安全和培训都属于管理控制。 技术控制(technical control)也称为逻辑控制由软件或硬件组成,如防火墙、入侵检测系统、加密、身份识别和认证机制。 物理控制(physical control)用来保护设备、人员和资源,例如:保安、锁、围墙和照明都属于物理控制。

      • 深度防御

        深度防御是指以分层的方法综合使 用多个安全控制类型

      • 拇指型规则

        拇指型规则描述了资产越敏感,部署的保护层数越多。

    • 控制措施功能-7种

安全治理、安全计划和框架

  • 管理&治理的概念

    • 管理(Management):管理者为了达到特定目的而对管理对象进行的计划、 组织、指挥、协调和控制的一系列活动;治理(governance):治理是或公 或私的个人和机构进行经营、管理相同事务的诸多方式的总和。 • 我们可以看出管理强调的是一个过程活动,而治理强调的是为了达到同一目 标,多方面的协调。

  • 企业治理、IT治理、安全治理的概念

    • 企业治理:是一套程序、惯例、政策、法律及机构,影响着如何带领、管理 及控制公司。 • IT治理:IT治理是一种引导和控制企业各种关系和流程的结构,这种结构安 排,旨在通过平衡信息技术及其流程中的风险和收益,增加企业价值,实现 企业目标。 • 安全治理:安全治理与企业治理和IT 治理密切相关, 而且经常交织在一起。 • 这三种治理的目标一般是相同或相关的。安全治理经常放在一个层级较高的 层面,是一套安全解决方案。安全治理监督和涉及所有的安全相关层面,不 仅仅是IT,其目标是为了保障业务的持续运行和向更好的方向发展。

  • 企业管理层在安全治理中的关注点

    • 设定策略和战略的方向 • 提供安全活动资源 • 指派管理责任 • 设定优先级 • 支持必须的改变 • 定义与风险评估相关文化 • 从内外部审计获取保障 • 坚持安全投资被度量和听取项目有效性的汇报

  • 企业安全人员关注点

    • 安全专业人员要认识到: 组织的愿景、任务和目标 组织在其生命周期中的安全问题 安全角色和责任 信息安全策略 法律、法规和道德 • 安全专业人员要做哪些工作: 建立完整、有效的安全规划 开发和执行信息安全策略 建立业务连续性和灾难恢复计划 人员安全管理 信息安全风险管理 安全专家需要和管理层建立联系,以确保安全目标的实现。

  • 安全管理计划及其流程

    • 为什么建立安全管理计划

      安全管理计划能确保安全策略的适当创建、实现和实施。 安全管理计划将安全功能与组织的战略、目标、任务和愿景相结合,这包括根据商业论证、预算限制或稀缺资源设计和实现安全性。解决安全管理计划编制的最有效方法是采用自上而下的方式。 安全管理计划编制的元素包括: 定义安全角色;规定如何管理安全性、谁负责安全性以及如何测试安全性的效力:开发安全策略; 执行风险分析;以及要求对员工进行安全教育。 安全管理计划必须得到高级管理者的支持和批准。

    • 建立安全计划的流程

      建立安全计划的流程 1.公司安全的使命和目标 2.安全体系总体框架 3.安全现状 4.关键举措和重点工作 5.实施策略选择 6.工作计划 7.建设实施 8.安全运营和持续改进

  • 安全框架

    • 企业架构

      • Zachman

        Zachman 框架是一个二维模型,“它使用了6个基本的疑问词(什么、如何、哪里、 谁、何时、为何)和不同的视知观点(计划人员、所有者、设计人员、建设人员、实施人员和工作人员)二维交叉,” 它给出了企业的一个整体性理解。

      • TOGAF

        TOGAF-开放群组架构框架(The Open Group Architecture Framework,TOGAF),它由美国国防部开发并提供了设计、实施和治理企业信息架构的方法。架构允许技术架构设计师从企业的不同视角(业务、数据、应用程序和技术)去理解企业,以确保开发出环境及组件所必需的技术,最终实现业务需求。 企业架构的开发模型和方法

        • 业务架构

        • 数据架构

        • 应用架构

        • 技术架构

      • SABSA

        SABSA-舍伍德的商业应用安全架构(Sherwood Applied Business Security Architecture,)。它是一个分层模型,它在第一层从安全的角度定义了业务需求。 信息安全企业架构开发模型和方法

    • 安全控制架构

      • COBIT

        COBIT (Control Objectives for Information and related Technology,信息及相关技术的控制目标)是一组由国际信息系统审计与控制协会(ISACA)和IT治理协会(lTGI)制定的一个治理与管理的框架。 COBIT是每个安全控制的目标。COBIT提供了在真实世界选用的实现中所需要满足的目标。 17个企业目标和17个相关的IT目标 IT治理模型

        • 满足利益相关者的需求

        • 企业端到端的覆盖

        • 应用一个独立整体框架

        • 使用一个整体方法

        • 将治理与管理相分离

      • COSO

        COBIT派生于COSO内部控制整合框架,是由反欺诈财务报告全国委员会发起组织委员会(Committee of Sponsoring Organizations,COSO)于1985年开发的,是用来处理财务欺诈活动并汇报。 企业治理模型

        • 控制环境

        • 风险评估

        • 控制活动

        • 信息和通信

        • 监控活动

      • NIST SP 800-53

        NIST SP 800-53也称为信息系统和组织的安全和隐私控制。NIST SP 800-53包含300多个安全控制列表,以确保联邦信息系统的最低要求。该文档的安全控制支持网络安全框架,以及风险管理框架和系统工程流程。 NIST SP 800-53中的安全控制为联邦机构和组织提供标准和指南,以保护“运营和资产,个人,其他组织和国家免受各种威胁,包括敌对攻击,国家灾难,结构故障,人为错误和隐私风险“(NIST SP 800-53)。 8个控制系列,根据影响(低,中,高)分为三类

        • 为了符合FISMA 要求

    • 安全管理架构

      • ISO/IEC 27000系列

        ISO/IEC 27000系列ISO和IEC联合开发的关于如何开发和维护信息安全管理体系的国 际标准。 ISO/IEC 27000系列是高级安全项目需求概述

        • SO/IEC 27799 是如何保护个人健康信息的标准

        • ISO27001 ISMS要求

        • ISO 27002 信息安全管理实践守则

        • SO27003 ISMS实施指南

        • ISO27004 信息安全管理度量和度量框架指南

        • ISO27005 信息安全风险管理指南

        • ISO27006 审计和认证指南

        • ISO27007 ISMS 审计

        • ISO27008 审计师指南

        • ISO270011 通信组织信息安全管理指南

        • ISO270014 信息安全治理指南

        • ISO270015 金融行业信息安全管理指南

        • ISO270031 业务连续性

        • ISO270032 网络空间安全指南

        • ISO270033 网络安全指南

        • ISO270034 应用安全指南

        • ISO270035 信息安全事件管理指南

        • ISO27037 数字证据收集和保持指南

        • ISO27799 医疗机构信息安全管理指南

    • 安全流程管理架构

      • ITIL

        ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架,它摆脱了传统IT管 理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化。由英国政府商务办公室制定的用于服务管理的流程

        • 事件管理

        • 事故管理

        • 发布和部署管理

        • 变更管理

        • 供应商管理

        • 服务层级管理

        • 服务目录管理

        • 可用性管理

        • 配置管理

        • 服务测试与验证

        • 知识管理

        • 问题管理

      • CMMI

        CMMI 能力成熟度模型集成(Capability Maturity Model Integration,CMMI)由 Carnegie Mellon美国卡耐基梅隆大学大学开发,用来作为确定组织流程成熟度的一 种方式。

        • 无管理

        • 过程不可预测

        • 过程可重复

        • 过程可定义

        • 过程可管理

        • 过程可优化

      • 六西格玛

        六西格玛是一种过程改进方法论,也是一种“新的和改进的”全面质量管理(Total Quality Management,TQM)

  • 其他

    • 军事用途

      • DODAF

        • 美国国防部

      • MODAF

        • 英国国防部

    • NIST 800-161

      • 解决了供应链风险

    • ISO/IEC 24010

      • 系统架构和架构语言的规范

    • NIST

      • 业务架构

      • 信息架构

      • 信息系统架构

      • 数据架构

      • 承载系统架构硬件、软件和通信

    • 六西格玛

  • 质量活动

    度量活动需要由量化的基于性能的数据作输入支撑,这些数据必须是可重复的、可靠的,并且产生的结果也要是有意义的。度量需要在连续的背景下开展,所以用到的数据采集方法也必须是可重复的。相同类型的数据必须连续收集和比较,才能标识出度量结果“改进或倒退”。采集的数据可能来源于解析系统日志、事件响应报告、审计发现、调查 或风险评估。度量结果对于目标受众必须是有意义的。

  • 企业安全架构要点

    • 战略一致性

    • 过程强化

    • 促进业务

    • 安全有效性

      • SLA

      • 满足要求基线要求

      • 度量

      • 实现投资回报率

      • 仪表盘或者平衡计分卡

  • 过程管理的生命周期

    • 计划和组织

    • 实现

    • 操作和维护

    • 监控和评估

  • 蓝图

    • 安全解决方案、过程、组件

    • 满足自身的安全和业务需求

安全策略体系和安全人员

  • 安全策略概述

    • 安全策略概念

      安全策略是高级管理层(或是选定的董事会和委员会)制定的一个全面声明, 它规定安全在组织内所扮演的角色。安全策略可以是组织化策略,也可以是针 对特定问题的策略,或者针对系统的策略。

      • 战略战术的价值

      • 制定安全计划

      • 指明了安全活动的范围和方向

      • 承受的风险

      • 制定安全计划的目标

      • 指定责任人

      • 执行安全计划

      • 相关法律法规规章

    • 安全策略特性

      • 业务目标应促进策略的制定、实现和执行。该策略不应当去规定业务目标。 • 组织化安全策略应当是一份易于理解的文档,为管理层和所有员工提供参考。 • 应当开发和用于将安全整合到所有业务功能和过程中。 • 应当源于并支持适用于公司的所有法律法规。 • 应当随公司的发展变化(如采用新的商业模式、与其他公司合并或者 所有权发生变更)进行审核和修订。 • 组织化安全策略的每次更迭都应当注明日期,并在版本控制下进行。 • 受策略监管的部门和个人必须能够查看适用于他们的策略内容,并且 不必阅读整个策略材料就能找到指导和答案。 • 制定策略应以该策略一次性能够使用几年为目的。这将有助于确保策 略具有足够的前瞻性,从而能够处理将来的安全环境中可能出现的任 何潜在变化。 • 策略表述的专业水平能够强化其重要性以及遵守的必要性。 • 策略中不应包含任何人都无法理解的语言。必须使用清楚的、易于理 解和接受的陈述性声明。 • 定期对策略进行审核,并根据自上一次审核和修订以来发生的事故加 以改编。

    • 常见的安全策略

      • 风险管理策略 • 脆弱性管理策略 • 数据保护策略 • 访问控制策略 • 业务连续性策略 • 日志聚集和审计策略 • 人员安全策略 • 物理安全策略 • 安全应用程序开发策略 • 变更控制策略 • 电子邮件策略 • 事件响应策略

    • 策略的种类

      • 规章性的策略

      • 建议性策略

      • 指示性策略

  • 安全策略的层次

    • 战略目标

      安全策略|安全方针

    • 战术目标

      • 标准

        标准指强制性的活动、动作或规则,它可以为策略提供方向上的支持和实施。

      • 基线

        “基线”可以指一个用于在将来变更时进行比较的时间点。只要风险得到缓解, 而且实现了安全策略,就可以对基线进行正式审核并达成一致意见,之后再进 一步通过比较和开发来进行评估。基线可以产生一致的参考点。

      • 指南

        指南是在没有应用特定标准时向用户、IT人员、运营人员及其他人员提供的建 议性动作和操作指导。

      • 详细措施

        措施是为了达到特定目标而应当执行的详细的、分步骤的任务。这些步骤可以 应用于需要完成特定任务的用户、IT人员、运营人员、安全人员及其他人员。

      • 举例说明

        举一个例子:某个公司在其安全方针中声明:所有的机密信息必须得到加密保 护。这种声明是很宽泛而模糊的,这时候,一个强制性的标准进一步指出:所 有保存在数据库中的客户信息必须采用DES算法进行加密,数据的传输必须使用IPSec这一VPN技术。具体执行安全策略时,相应的程序会详细解释怎样实施 DES及IPSec技术。对于某些意外的情况,比如数据传输过程中遭受的窃取或破坏,相应的处理方法就可以通过指南来描述。

  • 安全角色

    • 高级管理者

      组织的所有者(高层管理者)的角色被分配给最终负责组织机构安全维护和最关心保护资产的人。高层管理者必须对所有策略问题签字。事实上,所有活动在被执行之前, 都必须得到高层管理者的认可和签字。如果没有高层管理者的授权和支持,那么就不存在有效的安全策略。高层管理者对安全策略的认同,就表明承认在组织机构内部实现的安全性的所有权。高层管理者对安全解决方案的总体成败负有责任,并且负责对组织机构建立安全性予以适度关注并尽职尽责。虽然高层管理者对安全负有最终责任, 但他们实际上很少去实现安全解决方案。在大多数情况下,相应的责任会被委派给组织内部的安全专家

    • 安全专家

      安全专家、信息安全官或计算机应急响应团队(Computer Incident Response Team ,CIRT)的角色被分配给受过培训和经验丰富的网络 工程师、系统工程师和安全工程师,他们对落实高层管理部门下达的指示负责。 安全专家的职责是保证安全性,包括制定和实现安全策略。安全专家的角色通 常由负责设计和实现安全解决方案的团队担任,安全解决方案则是根据己批准 的安全策略制定的。安全专家不是决策制定者, 他们只是实现者。所有的决策 都必须由高层管理者制定

    • 数据所有者

      数据所有者的角色被分配给在安全解决方案中为了放置和保护信息而负责对信息进行分类的人。通常,数据所有者是层次较高的、最终负责数据保护的管理者。然而, 数据所有者一般会将实际管理数据的任务委派给数据管理员

    • 数据管理员

      数据管理员的角色被分配给负责实施安全策略和上层管理者规定的保护任务的用户。数据管理员通过执行所有必要的措施为数据提供适当的CIA 三元组(机密性、完整性和可用性)保护,并完成上层管理者委派的要求和责任。这些必要的措施包括:完成和测试数据备份、确认数据的完整性、部署安全解决方案以及根据分类管理数据存储。

    • 用户

      用户(最终用户或操作者)的角色被分配给具有安全系统访问权限的任何人。用户的访问权限与他们的工作任务联系在一起并且受到限制,所以他们只具有工作职务所要求的能保证完成任务所需的权力(也就是最小特权原则)。用户负责了解组织的安全策略,并遵守规定的操作过程, 在已经定义的安全参数内进行操作,以便维护安全策略。

    • 审计人员

      审计人员负责测试和认证安全策略是否被正确实现以及衍生的安全解决方案是否合适。审计人员的角色可以被分配给安全专家或受过培训的用户。审计人员要完成遵守情况报告和有效性报告,高层管理者会审查这些报告。 通过这些报告发现的问题, 会由高层管理者转换成下达给安全专家或数据管理 员的新指示。不过,因为审计人员需要将用户或操作者在环境中的工作作为审 计和监控的活动来源,所以审计人员被列为最后一个角色。所有这些角色在安 全环境中都起着重要的作用。对于确定义务和责任以及确定分级管理和任务委 派方案,这些角色都非常有用。

  • 应尽关注/应尽职责

    • 因尽关注

      应尽关注是指合适和合格的人在同一情况下采取预防措施。例如,忽略安全警 告并点击恶意网站的人则会违反应尽注意。通过合理的关注保护组织利益。 应尽关注会开发规范化的安全结构, 这个结构会包含安全策略、标准、基线、指导方针和程序

    • 应尽职责

      应尽职责可以被定义为在某人的力所能及的情况下,来防止安全事件的发生。 这方面的例子将是制定适当的策略、研究威胁并将其纳入风险管理计划中,并 确保在适当的时候进行审计 应尽职责是不断实践能够维持应尽关注成果的活动 继续将这个安全结构应用到机构的π 基础设施中。操作性安全需要组织内各责任方都能够对应尽关注和应尽职责保持持续不断的维护。

  • 人员安全管理

    • 人员入职

      在入职阶段,这个阶段包括新员工入职、或者是转入重要岗位的人员。那么需要进行背景调查和签署保密协议

      • 背景调查

        背景检查是工作申请过程的一个部分,组织至少会审查申请人简历中的基本信息。 通过背景检查,可以防止: •因为人员解雇而导致法律诉讼 •因为雇用疏忽而导致第三方的法律诉讼 •雇用不合格的人员 •丧失商业秘密

      • 保密协议

        保密协议 • 组织应与所有员工签订保密协议,作为雇用合同基本条款的一部分。 • 保密协议应明确规定雇员对组织信息安全的责任、保密要求及违约的法律 责任。 • 签订保密承诺旨在加强员工对组织信息安全应承担的责任,协议上应有员 工的签名并由其保存一份协议副本。 • 对于处于试用期的新员工,要求其签订一份保密承诺。 • 在允许第三方用户使用信息处理设施之前,要求其签订保密协议。 • 当雇用期或合同期有更改,特别是雇员到期离职或合同终止时,应重申保 密协议

      • 人员转岗

        员工从一般岗位转入信息安全重要岗位,也应当对其进行检查,对于处在有相当权力位置的人员,这种检查应定期进行。

    • 人员在职

      • 职责分离(Separation of duties) • 工作轮换(Job rotation) • 强制度假(Mandatory vacation) • 须知原则(Need to Know) • 最小特权原则(The Principle Of Least ) • 保密协议(Non Disclosure Agreement) • 非竞争协议(Non Compete Agreement) • 监控(Monitoring)

      • 职责分离

        • 知识分割

        • 双重控制

        • 预防性质的,欺诈行为必有合谋

    • 人员离职

      • 公司应当制订一组特定的措施来管理每种解雇事件,例如:  被解聘员工必须在一名经理或保安的监督下立即离开公司。 被解聘员工必须上交所有身份徽章或钥匙,要求完成离职谈话,并返还公司 的供应品。 公司应立即禁用或修改被解聘员工的账户和密码。

安全风险管理

风险管理概述

  • 风险管理

    • 信息安全管理的核心就是安全风险管理 对安全专家来说,理解风险的本质尤为重要。 • 安全已成为一个商业问题,但商业运作的目的在于盈利,而不只是确保安全。 • 虽然今天安全已经非常重视了,但焦点更多是放在应用程序、设备、协议、病毒与黑客行为上。对于一个信息安全专家来说,理解风险这个概念是非常重要的。大多数安全人员工作的目标最终都要归结到风险管理。然后很多安全人员不能很好地理解风险管理和相关原则,而片面的去关注于病毒、漏洞和黑客攻击方面。对安全专家来说,理解风险的本质尤为重要。他们必须了解如何计算风险,并将其转换成公司应对安全风险的推动力。安全专家必须在理解了企业的业务目标和任务。并且采取措施处置风险,保障企业的业务目标和任务的达成。

    • NIST SP 800-39

      • 三个层面

        • 组织层面

          • 关注业务风险, 如风险容忍度

        • 业务流程层面

          • 主要功能角度, 如作伙伴。底层的

        • 信息系统层面

          • 信息系统的角度

      • 四个组件

        • 风险框架

        • 评估风险

        • 响应风险

        • 监控风险

  • 风险定义

    风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。用公式标识就是:风险=威胁×脆弱性×资产

  • 安全概念和术语

    • 资产

      资产是指环境中应该加以保护的任何事物, 是用于商业过程和任务中的任 何东西,可以是计算机文件、网络服务、系统资源、进程、程序、产品、IT基础设施、数据库、硬件设备、家具、产品秘方、人员、软件和设施等。如果组织认为自己控制之下的某种资源有价值并需要保护,那么这种资源就被标记为可以进行风险管理和风险分析。资产出现损失或泄漏会危及整体的安全性,造成生产效率的降低、利润的减少、额外支出的增加、组织停工以及造成许多无形的不良后果

    • 资产评估

      值资产估值指的是根据实际的成本和非货币性支出为资产分配的货币价 值,其中包括开发、维护、管理、宣传、支持、维修和替换资产的成本, 还包 括许多难以计算的价值, 例如, 公众信心、行业支持、生产效率的提升、知识 产权以及所有者权益

    • 威胁

      任何可能发生的、为组织或某种特定资产带来所不希望的或不想要结果的 事情都被称为威胁。威胁是指会造成资产损失、破坏、变更、丢失或泄漏的任 何行为或非行为,或者是指阻碍访问或阻止资产维护的行为。威胁可大可小, 井会造成或大或小的后果。它们可能是有企图的或意外的,可能源自人、组织、硬件、网络、结构或自然界。威胁主体会有企图地利用脆弱性。威胁主体通常是人,不过也可能是程序、硬件或系统。威胁事件是脆弱性的意外利用。威胁事件包括火灾、地震、水灾、系统故障和人为错误(一般是因为缺少培训或疏忽)和断电

    • 脆弱性

      资产中的弱点或防护措施/对策的缺乏被称为脆弱性。

    • 暴露

      暴露是指由于威胁而容易造成资产损失,脆弱性会被或将被威胁主体或威胁事件加以利用的可能性是存在的。暴露并不意味着实施的威胁(造成损失的事件)实际发生(暴露给己实施的威胁称为经历的暴露),而仅仅是指如果存在脆弱性并且威胁可以利用脆弱性, 那么就有可能发生威胁事件或出现潜在的暴露。

    • 防护措施

      防护措施或对策是指能消除脆弱性或对付一种或多种特定威胁的任何方法。防护措施可以是: 安装软件补丁程序、修改配置、雇请保安人员、改变IT基础设施、更改流程、改善安全策略、更有效地培训员工、电气化的周边防护、安装照明设备等。防护措施可以是通过消除或减少组织内任何位置的威胁或脆弱性来降低风险的任何行为或产品。防护措施是削弱或消除风险的唯一方法。防护措施或对策不必是购买新产品,记住这一点十分重要。重新配置现有的元素, 甚至从安全基础设施中去除某些元素, 都是有效的防护措施。

    • 攻击

      攻击指的是威胁主体对脆弱性的利用。换句话说,攻击是任何有意利用组 织安全基础设施的脆弱性并导致资产的损害、损失或泄漏的企图。攻击还可以 被视为违反或未遵守组织安全策略的任何行为。

    • 破坏

      破坏是指发生安全机制被威胁主体绕过或阻挠的事情。当破坏与攻击结合 时,就会发生渗透或入侵事件。渗透指的是威胁主体通过避开安全控制获得 访问组织基础设施的权力并且能够直接危及资产安全的情况。

  • 风险管理

    • 风险管理(Risk Management): 识别风险 评估风险 采取措施将风险减少到和维持可接受水平 • 风险管理是信息安全管理的核心内容 风险管理是一个详细的过程, 包括识别可能造成数据损坏或泄漏的因素, 根据 数据的价值与对策的成本来评估这些因素, 以及为了减轻或降低风险而实现有 成本效益的解决方案。风险管理的整个过程被用来制定和实施信息安全策略。 这些策略的目标是减少风险和支持组织的使命。 风险管理的主要目的是要将风险降低到一个可以接受的级别

    • 识别风险

    • 评估风险

    • 控制措施

风险评估和处置

  • 风险评估的目标

    标识资产和它们对于组织的价值; 识别脆弱性和威胁; 量化潜在威胁的可能性及其对业务的影响; 在威胁的影响和对策的成本之间达到预算的平衡。

  • 风险分析

    风险分析提供了一种成本/收益比(cost/benefit comparison),也就是用来保护公司免受威胁的防护措施的费用与预料中的损失所需要付出的代价之间的比值。 在大多数情况下,如果损失的代价没有超过防护措施本身的费用,那么就不应该实行该防护措施。这意味着,如果某个设施价值100000美元,那么花150000美元保护它就没有任何意义。

    • 识别资产及其价值

    • 识别脆弱性和威胁

    • 量化威胁发生的可能性及其对业务的影响

    • 威胁的影响和对策成本之间的达到平衡

  • 风险评估的一般方法

    • NIST800-30

      NIST 开发了一套执行风险评估的指导,出版在SP 800-30 修订版1文档中。 NIST方法专门针对信息系统威胁及其与信息安全风险的关联方式。NIST风险管 理方法主要关注计算机系统和IT安全问题。它并不明确包括大型组织所面临的诸如继任规划、环境问题以及安全风险与商业风险的关系等威胁类型。它是一个只关注企业运营层面而不是较高战略层面的方法。

      • 准备评估

      • 实施评估

        • 识别威胁资源和时间

        • 识别威胁几诱发条件

        • 确定发生的可能性

        • 确定影响大小

        • 确定风险

      • 沟通结果

      • 维持评估

    • FRAP

      FRAP,即便利的风险分析过程(Facilitated Risk Analysis Process)。这种定性 方法的核心是只关注那些的确需要评估以降低成本和时间的系统。这种方法强 调对活动进行筛选,从而只对最需要进行风险评估的项目进行评估。

    • OCTAVE

      OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation,操作性关键威胁、资产和脆弱性评估),它由Carnegie Mellon 大学的软件工程学院设计。这种方法专门为管理和指导公司内的信息安全风险 评估的人员设计,它将组织内的工作人员放在权力位置,使其能够决定评估组 织安全的最佳方式。

    • AS/NZS 4360

      AS/NZS 4360 则采取了一种更广泛的方式来进行风险管理。这种澳大利亚和新 西兰的方法可用于了解公司的财务、资本、人员安全和业务决策风险。尽管也 能够用于分析安全风险,但是它并非专门为该目标而创建的。这个方法更从商 业的角度而不是安全的角度来关注公司的健康情况。

    • ISO/IEC27005

      ISO/IEC27005 是一个国际标准,规定在ISMS框架内如何进行风险管理。如果 说NIST风险方法主要侧重IT 和操作层面,这个方法则侧重IT和较软的安全问题(文档、人员安全和培训等)。

    • FMEA

      失效模式和影响分析(Failure Modes and Effect Analysis,FMEA)是一种确 定功能、标识功能失效并通过结构化过程评估失效原因和失效影响的方法。它 常用于产品开发和运营环境中。其目标是标识最容易出故障的环节,之后或者 修复故障或者实施控制以降低故障的影响。

    • CRAMM

      CRAMM(Central Computing and Telecommunication Agency Risk Analysis and Management Method,中央计算和电信机构风险分析与管理方 法),该方法由英国创建,其自动化工具由西门子公司负责销售。该方法分为3 个不同的阶段:定义目标、评估风险和标识对策。

  • 评估资产的价值

    • 有形资产

      资产包括有形资产(计算机、设施、供应品)

    • 无形资产

      无形资产(声誉、数据、知识 产权)。

    • 资产价值如何衡量

      在为资产定价时,应当考虑下面的问题: • 获取或开发该资产的成本 • 维护和保护该资产的成本 • 该资产对所有者和用户具有的价值 • 该资产对竞争对手具有的价值 • 其他人为购买该资产愿意付出的价格 • 在损失的情况下更换该资产所需的费用 • 在该资产不可用的情况下损失的运作和生产能力 • 该资产贬值的债务问题 • 该资产在组织结构中的用处和角色

    • 确定资产价值的作用

      确定一项资产的价值有助于完成公司的各种工作,包括下列工作: • 执行有效的成本/收益分析 • 选择特定的对策和防护措施 • 决定购买的保险范围 • 了解什么资产正在面临风险 • 遵守法律和法规要求

  • 识别、评估脆弱性和威胁

    威胁和脆弱性之间的关系: 威胁主体利用脆弱性对资产造成伤害的可能性以及导致的业务影响。

    威胁主体利用脆弱性对资产造成伤 害的可能性以及导致的业务影响。有多种威胁主体可以利用若干种脆弱性,从 而可能导致如表所示的各种特定威胁。威胁一般就是一种外因,而脆弱性是一 种内因。

  • 定量风险评估

    • annual loss expectancy,ALE

      SLE*年发生比率=ALE

    • Exposure Factor,EF

      暴露因子(Exposure Factor,EF)表示某种特殊资产被已发生的风险损坏所造 成损失的百分比。例如,如果某个数据仓库的资产价值为150000美元,发生火 灾后,该数据仓库大约有25% 的价值遭到破坏,那么SLE 就是37500 美元。 资产价值(150000)* 暴露因子(25%)=37500

    • single loss expectancy,SLE

      SLE是为某个事件赋予的货币价值,表示特定威胁发生时公司潜在损失的金额: 资产价值*暴露因子=SLE

    • 年发生比率(ARO)

      年发生比率(ARO)表示一年时间内发生特定威胁的预计频率。该值的范围可 以是从0.0 (不发生)到1.0 (一年一次)乃至大于1 的数字(一年若干次)之 间的任何值。例如,如果数据库发生火灾并造成损坏的概率是十年一次,那么 ARO值是0.1。 因此,如果公司的数据仓库设施发生火灾可能造成37500 美元的损失,发生火 灾的频率即ARO值为0.1 (表示10 年发生一次),那么ALE 值就是3750 美元 (37500 * 0.1 = 3750)。

  • 定性风险评估

    定性方法将考查各种风险可能发生的场景,并基于不同的观点对各 种威胁的严重程度和各种对策的有效性进行等级排列

    • 定性分析技术

      定性分析技术包括判断、最佳实践、直觉和经验。收集数据的定性分析技术示例有Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访。风险分析团队将决定对需要进行评估的威胁所使用的技术以及在分析中融入的公司和个人的文化元素。 进行风险分析工作的团队首先会召集那些在威胁评估方面受过教育、富有经验 的人员。当这个团队了解描述威胁和潜在损失的场景时,他们就能够根据自己 的感觉判断出该威胁实际上将如何发生以及将会带来多大程度的损失。 接下来,为每一个可识别的脆弱性撰写一个场景,并且研究它是如何被利用的。最熟悉某种威胁的"专家"应当复查相应的场景,以保证它反映了实际威胁发生时的情况。然后,评估能够减少这种威胁所造成损失的防护措施,并且针对每种防护措施都应用该场景。暴露可能性和损失可能性既可以使用高、中、低排序,也可以使用1~5 或1~10 的等级排序。

    • 定性分析矩阵

      一旦被选定的人员对威胁的发生可能性、潜在损失、每种防护措施的优点进行等级排列之后,这些数据就应当写入报告,随后再提交给管理层,以帮助他们更好地决定如何使用防护措施才能最好地保护系统。这种分析方法的好处在于,为风险、防护措施力度和缺陷识别进行等级排序的团队工作人员必须与懂得这些知识的人员交流,这样才能向管理层提供自己的意见。

  • 定量风险与定性风险分析对比

    定量方法的缺点 计算更加复杂。管理层能够理解这些值是怎么计算出来的吗? 没有可供利用的自动化工具,这个过程完全需要手动完成。 需要做大量基础性的工作,以收集与环境相关的详细信息。 没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。 • 定性方法的缺点 评估方法及结果相对主观。 无法为成本/收益分析建立货币价值。 使用主观衡量很难跟踪风险管理目标。 没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。

  • 风险处置的方法

    • 剩余风险

      威胁×脆弱性×资产价值=总风险 (威胁×脆弱性×资产价值)×控制间隙=剩余风险 总风险–对策=剩余风险

    • 四种方式

      • 风险转移

        如果公司觉得总风险或剩余风险太大,无法承担,那么可以购买保险,也就是将风险转移给保险公司

      • 风险规避

        如果公司决定终止引入风险的活动,那么这种行为称为风险规避。 例如,如果某公司允许员工使用即时通信(IM)工具,那么可能带来与这种技 术相关的许多风险。因为没有足够多的业务需求要求继续使用即时通信服务, 所以该公司可能会决定不允许用户进行任何IM活动。停止IM服务就是风险规避 的示例。

      • 风险缓解

        就是风险被降低至可接受的级别,从而可以继续开展业务。安装防 火墙、进行培训以及部署入侵/检测保护系统,这些都是典型的风险缓解方式

      • 接受风险

        这意味着公司理解自己所面临的风险级别以及风险带来的潜在损失,并且决定在不采取任何对策的情况下接受风险。在成本/收益率表明采取对策的成本超出潜在的损失价值时,许多公司都会接受风险。

威胁建模和风险管理框架

  • 威胁建模的概念

    威胁建模是潜在威胁被识别、分类和分析的一个安全流程。威胁建模在设计和 开发过程中,可以作为一种积极主动的措施执行,而产品一旦被部署, 就会被 作为一种被动式措施。在这两种情况下, 流程会识别潜在危害、发生的概率、 问题优先级以及消除或减少威胁的手段。

  • 威胁建模的方式

    • 主动方式/防御方式

      威胁建模的主动式方法发生于系统开发的早期阶段,特别是在初始设计和规范 建立阶段。这种类型的威胁建模也被称为防御方式。这种方式基于编码和制作 流程中,并对威胁的预测和特定防御进行设计,而不是依靠部署之后的更新或 打补丁。大多数情况下, 集成安全解决方案更符合成本效益, 比后面硬塞的方 案更成功。遗憾的是, 并不是所有的威胁都可以在设计阶段预测出来,所以仍 然需要被动式的威胁建模来解决不可预见的问题。

    • 被动方式/对抗方式

      威胁建模的被动式方法发生在产品被创建和部署之后。此部署可以在测试或实 验室环境中, 或是指被部署到一般市场上。这种类型的威胁建模也被称为对抗 方式。这种威胁建模的技术是道德黑客攻击、渗透测试、代码审查和模糊测试 背后的核心概念。尽管这些流程通常有助于发现需要解决的缺陷和威胁,但遗 憾的是, 它们需要额外的编码,来增加到新的对策中。从长远来看, 回到设计阶段可能会产生更好的产品, 但从头开始是非常昂贵的,并会造成产品发布时 间的极大延迟。因此,捷径是在部署后精心制作需要增加到产品中的更新或补 丁。这样的结果就是, 可能在牺牲了功能性和用户友好性的前提下,相比主动 式威胁建模来说,也不会带来更有效的安全改进。

  • 识别威胁

    • STRIDE

      • 电子欺骗(Spoofing)

        通过使用伪造身份获得对目标系统访问的攻击行为。电子欺骗可以用于IP地址、MAC 地址、用户名、系统名称、无线网络名称、电子邮件地址以及许多其他类型的逻辑标识。当攻击者将自己伪装成一个合法或授权的实体时,他们往往能够绕过针对未授权访问的过滤器和封锁。一旦电子欺骗攻击让攻击者成功访问目标系统,后续的滥用、数据盗窃或特权提升攻击就 都可以发起

      • 篡改(Tampering)

        任何对数据进行未授权的更改或操纵的行为,不管是传输中的数据还是被存储的数据。使用篡改来伪造通信或改变静态信息。这种攻击是对完整性和可用性的侵害

      • 否认(Repudiation)

        用户或攻击者否认执行了一个动作或行为的能力。通常攻击者会否认攻击,以便保持合理的推读, 从而不为自己的行为负责。否认攻击也可能会导致无辜的第三方因安全违规而受到指责

      • 信息披露(lnforrnation disclose)

        将私人、机密或受控信息揭露、传播给外 部或未授权实体的行为。这可能包括客户身份信息、财务信息或自营业务操作 细节。信息披露可以利用系统设计和实现错误,如未能删除调试代码、留下示 例应用程序和账户、未对客户端可见内容的编程注释(如HTML 文档中的注释)进 行净化或将过于详细的错误消息暴露给用户。

      • 拒绝服务(DoS)

        指攻击试图阻止对资源的授权使用。这可以通过缺陷开发、连接重载或流量泛滥实现。DoS 攻击并不一定会导致对资源的完全中断; 而是会减少吞吐量或造成延迟,以阻碍对资源的有效利用。尽管大多数DoS 攻击都是暂时的,只在攻击者进行袭击时存在,但还是存在一些永久性的DoS 攻击。永久DoS 攻击可能涉及对数据集的破坏、使用恶意软件对软件进行替换,或强迫可以被打断或安装错误固件的固件flash操作。这些DoS攻击将造成系统的永久受损,使其不能使用简单的重启或通过等待攻击者结束而恢复正常操作。要从永久DoS 攻击中恢复过来,将需要进行完整的系统修复和备份恢复。

      • 权限提升(Elevation of privilege)

        此攻击是指有限的用户账号被转换成拥有 更大特权、权力和访问权的账户。这可能会通过盗窃或开发高级账户(如管理员 或Root账户)凭证来实现。

    • 图表表示

      用数据流图表能更好地帮助理解资源和数据流动的关系。创建图表有助于详述 商业任务、开发流程或工作活动中每个元素的功能和目的细节。一定要包括执 行具体任务或操作的用户、处理器、应用程序、数据存储和所有其他的基本要 素,这一点十分重要。该图表是一种高度概括, 不是对编码逻辑的详细评估。 然而,如果系统更复杂, 则需要创建多个图表, 关注不同的焦点,并把细节进 行不同程度的放大。完成图表的创建后,要识别出图表中涉及的所有技术, 包括操作系统、应用程序和协议。需要具体到使用的版本号和更新/补丁级别。接着,识别可能对图表中每个元素发起的攻击。记住, 要考虑到各种形式的攻击, 包括逻辑或技术、 物理层面和社会层面的工具。例如,一定要包括电子欺骗、篡改和社交工程学。这个过程能很快帮助你进入威胁建模的下一阶段:执行消减分析。

    • 关注资产

      关注资产这种方法使用资产的估值结果,并试图识别对于宝贵资产的威胁。例 如, 可以评估一个特定的资产, 以确定其是否容易受到攻击。如果资产寄存着 数据,则可以评估访问控制来识别能够绕过身份认证或授权机制的威胁

    • 关注攻击

      关注攻击一些组织能够识别潜在的攻击者,并能够基于攻击者的目标识别他们 所代表的威胁。例如, 政府往往能够识别潜在的攻击者,井识别攻击者想要达 到的目标。然后他们可以使用这种知识来识别并保护他们的相关资产。这种方 法面临的一个挑战是, 可能会出现以往未被视为一种威胁的新攻击者

    • 关注软件

      关注软件如果一个组织开发了一个软件,则可能会考虑针对软件的潜在威胁。 尽管几年前组织一般不自己开发软件, 但如今这己非常常见。具体地说, 大多 数组织都有网络存在,许多都创建了自己的网页。精美的网页带来更多的流量, 但他们也需要更复杂的编程, 并会受到更多的威胁。

  • 消减分析

    • 执行消减分析是为了分解应用程序、系统或环境。 • 这个任务的目的是更好地理解产品逻辑及其与外部的交互元素。

    • 信任边界

    • 数据流路径

    • 输入点

    • 特权操作

    • 安全立场和方法细节

  • 优先级和响应

    • 风险严重编号

      概率×潜在损失的排名技术能产生一个代表风险严重性的编号;

    • 优先级标签

      高/中/低的评级流程更加简单,每个威胁都会被标注为这三种优先级标签中的一种。

    • DREAD

      • 潜在破坏

      • 再现性

      • 可利用性

      • 受影响用户

      • 可发展性

  • 风险管理框架

    • RFM

      风险管理框架 (RMF)定义为一个结构化的流程,它允许组织识别和评估风险,将其降低到 可接受的水平,并确保其保持在该水平。实质上,RMF是风险管理的结构化方 法。

    • NIST RFM P 800-37

      • 信息系统的分类

      • 安全控制的选择

      • 安全控制的实现

        • 实现

        • 文档

      • 安全控制的评估

      • 信息系统的授权

      • 安全控制的监督

    • ISACA IT风险

    • COSO

  • 威胁建模的目标

    • 减少安全相关的设计和编码缺陷数量

    • 降低剩余缺陷的严重程度

法律法规/采购风险/安全教育

  • 法律分类

    • 民法

      • 基于准则而非优先权的法律

      • 关注成文法或书面法律

    • 普通法

      1.基于前面的法律解释 2.反应公众的道德和期望

      • 刑法

      • 行政法

        行政/管理法主要处理用于监管表现和行为的规范标准。政府机构创建这些标准,通常 对公司及特定行业内的人员生效

        • 国际贸易

        • 生产制造

        • 环境和移民

      • 民法/民事侵权行为

    • 习惯法

      主要处理个人行为和行为模式 基于该地区的传统和习俗 赔偿通常采用罚金或服役的形式

    • 宗教法律体系

    • 混合法律体系

      最常见的混合法律体系由民法和普通发组成

  • 知识产权

    • 版权

      版权法保护原创作品的作者控制其原创作品公开发行、翻印、展览和修改的权

    • 商标

      商标和版权稍有不同,因为它用于保护一个单词、名称、符号、声音、形状、 颜色、设备或这些项的组合

      • “TM”代表正在申请的

      • “R”表示是已经发证注册商标

    • 专利权

      专利是授予个人或公司的法律所有权,使他们能够拒绝其他人使用或复制专利 所指的发明。发明必须是新奇的、有用的、非显而易见的

    • 商业秘密

      商业秘密法保护某些类型的资源不被未授权使用或公开。

    • 许可证

      许可协议包含与软件使用和安全相关的规定以及相应的手册。

  • 其他法律法规

    • 计算机出口控制 • 加密产品出口控制 • 隐私法 • 支付卡行业数据安全标准(PCI DSS) • ISC2的道德规范

  • 采购风险

    • 规划

      规划阶段,开始于需要确定采购的软件服务或产品,识别潜在的替代软件的方法, 并确定这些替代品相关的风险,包括: •开发列入在工作说明中的软件需求 •创建一个采购策略和/或规划,包括识别每种不同的软件采购策略的风险 •制定评估标准和评估计划

    • 合同

       合同阶段包括三个主要活动: •创建/发出邀约,包括工作说明、投标人介绍,条款和条件(包括受理条件), 资格预审的考虑,和认证。 •供应商递交响应招标建议评估建议。 •敲定合同谈判,包括变更条款和条件,签订合同

    • 监控/接受

      监控和接受阶段包括监控供应商的工作,并根据合同接受最终服务或产品交付。 该阶段包括三个主要活动: •建立并同意该合同的工作日程 •实施变更(或配置)控制程序 •审查并接受软件交付物

    • 后续跟进

       后续跟进阶段涉及维护软件,包括两个主要的活动: •维持(包括风险管理,保障案例管理,和变更管理) •处置或退役  同时,在后续的阶段中,软件的风险必须被管理,通过持续的保障案例的分析并 应被调整以减轻不断变化的风险。

  • 安全培训和教育

    • 获得预期效果

      • 组织的安全计划要取得预期的效果,就必须同雇员交流与安全相关的问题 如执行哪些安全计划、执行方式以及执行这些计划的原因。

    • 安全培训目的

      • 安全意识培训的目的是让每名雇员都了解安全对于整个公司和每个人的重要性。

    • 受众群体

      • 管理层

      • 职员

      • 技术人员

业务连续性管理

业务连续性计划概述

  • 为什么要做业务连续性和灾难恢复

    需要确保我们 的组织能够继续以最低可接受的阈值运行,并迅速全面地恢复生产力。

  • 业务连续性计划

    业务连续性计划(BCP)涉及到对组织各种过程的风险评估,还有在发生风险 的情况下为了使风险对组织的影响降至最小程度而制定的各种策略、计划和措 施。组织应当预先计划好以下过程: • 出现紧急情况时提供即时和适当的应对措施 • 保护生命和确保安全 • 减少对业务的影响 • 恢复关键业务功能 • 与外部供应商和合作伙伴一起完成系统恢复工作 • 在灾难时减少混乱 • 确保企业的生存能力 • 在灾难发生后迅速“启动并运行

  • 灾难恢复计划

    如果这种连续性受到破坏,那么业务过程就会停止,并且组织进入灾难模式; 此时,系统将釆用灾难恢复计划(DRP)。

  • DRP&BCP对比

    灾难恢复计划(DRP)是当一切事情仍处于紧急模式下时实施的计划,其中每 个人都争相让所有关键系统重新联机。业务连续性规划(BCP)采取一个更广 泛的解决问题的方法。它可以包括在计划实施中对原有设施进行修复的同时在 另外一个环境中恢复关键系统,使正确的人在这段时间内回到正确的位置,在 不同的模式下执行业务直到常规条件恢复为止。它也涉及通过不同的渠道应对 客户、合作伙伴和股东,直到一切都恢复到正常。 DRP和BCP都面向计划开发,而业务连续性管理(BCM)是整体的管理过程, 应该包括DRP和BCP。BCM提供了一个框架,以整合恢复能力和有效应对的能 力的方式,保护组织中主要利益相关者的利益。BCM 的主要目的是允许该组织 继续在不同条件下进行业务操作。

  • 标准和最佳实践

    • NIST SP 800-34

      NIST 在其SP 800-34 第一修订版中概述了美国联邦信息系统的业务连续性规划指南: (1) 制定业务连续性规划策略声明。为制定业务连续性规划撰写提供必要指导的策略 文档,并给权威机构分配必要的职位来完成这些任务。 (2) 进行业务影响分析(BIA)。识别关键功能和系统,并允许组织根据功能和系统 的必要性,对其进行优先级排序。识别漏洞和威胁,并计算出风险。 (3) 制定预防性控制方法。一旦识别到威胁,需要确定并实施控制和对策,以较为经 济的方式来降低组织的风险级别。 (4) 制定连续性战略。制定方法,以确保系统和关键功能可以快速恢复。 (5) 制订信息系统应急计划。制定组织在危急的状态下仍然可以保持业务正常运行的 措施和指引。 (6) 确保对计划进行测试、培训与演练。测试计划,以确定业务连续性计划中的不足 之处,进行培训以确保个人对他们应该负责的任务做好充分的准备。 (7) 维护计划。把步骤安排得井井有条,确保BCP 得到定期更新

    • SO/IEC 27031:2011

      ISO/IEC 27031:2012。此标准是IS0/ IEC 27000 整个系列标准的一个组成部分

    • SO 22301:2012

      ISO 22301:2012 业务连续性管理体系的国际标准。该规范文档面向那些准备进行认证的组织。该标准取代了BS 25999-2 。

    • DRI

      理流程分解成以下几个部分: • 项目启动和管理 • 风险评估和控制 • 业务影响分析 • 业务连续性战略 • 应急响应和运作 • 计划实施与文档化 • 宣传和培训计划 • 业务持续计划演练、审核和维护 • 危机沟通 • 与外部代理机构的协调

    • ISC 2

       ISC)2定义的业务连续性计划过程包括以下四个主要步骤: •项目范围和计划编制; •业务影响评估; •连续性计划; •批准和实现。

  • BCP为什么整合到安全计划几BCP的关键因素

    • BCP 必须作为整体整合到安全计划之中

      业务连续性应该是安全计划和业务决策的一部分 BCP 应该是“团队的一部分” BCP 的最终责任属于高级管理层

    • 子主题 2

      • BCP的关键因素 BCP计划需要是一个活跃的实体,应当持续改进 建立和维护当前连续性计划最关键的部分是管理层支持

业务连续性计划项目

  • BCP团队

    • 业务连续性协调员

    • BCP委员会

       业务部门  高级管理人员  IT部门  安全部门  通信部门  法律部门

  • BCP初始化过程

    在BCP 流程开始之前,应当准备好预算和工作人员。 给BCP 协调员和组织中各个功能模块的代表分配责任和义务。 高级管理层应为正式公布BCP 的实施,或者在一个组织范围的会议上表现出高层的支持。 组织宣传活动,让员工都知道BCP 计划并建立内部支持。 为支持BCP 工作建立技能培训工作。 从整个组织开始收集数据,以帮助制定各种连续性选项。 把工作放到可立竿见影的举措上

  • 项目范围

    • BCP应该能对高层组织的要求和分配给他们的资源进行评估。 • 在连续性规划开始之前应该了解公司业务的重点和方向。这将包括该 组织的成长、重组或缩小规模的相关计划。一个组织需要考虑的其他重大事项 包括: 人员水平的变化、设施的搬迁、供应商的变化以及引入新的产品、技术或 流程。在任何一个领域获得确切的数字及评估都会使BCP变得较为畅通。当然, 由于一些信息的敏感性,一些数据可能不会提供给BCP团队。在这种情况下,团 队应该认识到,没有得到全部的信息可能会导致其结果中的一些内容并不完全 准确。 • 将BCP计划按照部门分成多个部分 • 把组织中一些难以完成的部分排除到BCP范围之外。管理层将决定是否仍将分支机构放在BCP 的范围之外。这类 决策应该由高级管理人员作出,而不是由BCP 的管理人员和规划人员作出。

  • 业务连续性计划

    BCP开发的下一个阶段是连续性计划编制,这个阶段专注于连续性策略的开发 和实现,从而最小化已发生的风险,可能对被保护资产的影响。

    • 策略开发

      BCP策略为设计和建立BCP 的工作提供了框架和管理。该策略有助于 组织通过概述BCP 的目的理解BCP 的重要性。它为组织及其BCP 提供了一个原 则性的概述,同时说明了BCP 团队将如何开展工作

    • 预备和处理

      在这个任务中,BCP团队设计了具体的过程和机制,它将在策略开 发阶段中缓解被认为不可接受的风险

    • 计划批准、实现

      一旦BCP团队完成了BCP文档的设计阶段,那么就该申请获得 高级管理层的批准了。BCP团队应该共同开发一个实现计划,这个计划利用特定 的资源,从而尽可能迅速地在给出修改范围和组织环境的情况下取得所声明的 过程和预备措施的目标

    • 培训和教育

      培训和教育是BCP实现中的一项重要内容,组织中的每个人都应当 接到至少一个计划综述简报,从而使他们具有信心,确保在灾难发生时他们能 够有效地完成其任务

  • 资源要求

    BCP过程中消耗的最重要的资源之一是人力

    • BCP开发阶段

      此BCP阶段消耗的资源很可能是BCP团队成员和要求帮助计划开发的支持员工所付出的人力。

      • 项目范围

      • 计划编制

      • 业务影响评估

      • 连续性计划、批准和实现

    • BCP测试、培训和维护阶段

      BCP的测试、培训和维护阶段会要求一些硬件和软件的 支持,但是不管怎样,这个阶段的主要支持工作都将涉及到活动中部分员工所 付出的人力。

    • BCP实现阶段

      当灾难袭来、BCP团队认为有必要全面实现业务连续性计划的时候, 就需要大量的资源。这包含大量的人力(即使不是全部,BCP仍然很可能成为组 织的主力)和对“硬”资源的利用。

业务影响评估

  • 业务影响评估

    • 定量决策

      第一个是定量决策:定量决策涉及使用数字和公式来作出评估决策。这种数 据类型通常以美元价值,来表示各种与业务相关的选项

    • 定性决策

      另一个是定性决策:定性决策考虑的是非数值因素,例如情感、投资者/顾客 的信心、员工的稳定性以及其它感兴趣的事务。这种数据类型通常以优先级 类别(例如高、中、低)表示

  • 业务影响评估的技术指标

    • 组织中对时间最敏感的资源和活动的所有脆弱点 • 组织最紧迫的资源以及活动的威胁和危害

    • 衡量关键的服务和产品中断的可能性、时间长度以及造成的影响

    • 单点故障,也就是威胁业务连续性的关键点 • 由于关键技能的缺失造成的业务连续性风险 • 由于外包供应商和供应商造成的业务持续性风险 • BCP计划没有涵盖本部门,或者BCP计划并没有很好地落实而造成的业务连续性风险

  • 风险评估和业务影响评估的不同点

    这里我们要注意,风险评估的最终目标和业务影响评估目标是不同的, 风险评估的目标包括: • 识别和记录单点故障 • 制定组织特定业务流程的威胁优先级列表 • 为开发风险控制管理策略汇总信息,并为解决风险制定行动方案 • 识别风险接受记录,或记录确认那些不会得到解决的风险而BCP 委员会需要逐步梳理下列问题: • 设备出现故障或设备不可用。 • 公用设施不可用(供暖通风空调系统、电力、通信线路)。 • 设施变得不可用。 • 关键人员不可用。 • 供应商和服务提供商变得不可用。 • 软件和/或数据损坏

  • BIA的主要步骤

    BIA的主要步骤包括: 选择单个的人员进行访谈,来完成数据收集。 创建数据收集技术方法,例如(调查、问卷、定性和定量方法)。 确定公司的关键业务功能。 确定这些功能依赖的资源。 计算缺少这些资源,业务还可以生存多久。 确定这些功能的漏洞和所面临的威胁。 计算每个不同业务功能的风险。 将发现结果形成文档并报告给管理层。

posted @ 2021-07-19 16:46  一禅和尚  阅读(805)  评论(1编辑  收藏  举报