第一章通过原则和策略的安全治理

静静的看一看 2021-01-07

展开全文

章节概览：

1.1. 理解和应用机密性、完整性和可用性的概念

安全的主要目的和目标被包含在CIA三元组中，CIA分别是：

机密性（Confidentiality）
完整性（Integrity）
可用性（Availability）

1.1.1 机密性（Confidentiality）

机密性是CIA三元组第一条原则。如果安全机制提供机密性，即限制未授权主体不能访问数据、客体或者资源，为数据、客体或者资源提供了机密性高级别保证。

网络上维护数据、客体或资源时需要保护的环节：存储、传输、处理。

破坏数据机密性的攻击方式：捕获网络通信、窃取密码文件、社会工程学、端口扫描、肩窥、偷听和嗅探攻击等。

造成数据、客体、资源机密性破坏的事件包括：

1、没有对传输数据进行适当加密；

2、在传输数据之前，未对远程系统进行充分身份认证；

3、一直打开不安全接入点；

4、访问恶意代码导致后门；

5、传真误传；

6、在打印机上遗失文件；

7、在显示器上显示数据时，从终端走开；

8、终端用户或者系统管理员行为不当或安全策略漏洞、安全控制配置不正确。

保障机密性的策略：

1、加密；

2、网络流量填充；

3、严格访问控制；

4、严格的认证程序；

5、数据分类；

6、广泛的人员培训。

机密性的其他概念、条件和特征：

1、敏感性；

2、自主性；

3、关键性

4、隐蔽性；

5、保密性；

6、隐私性；

7、隐藏性；

8、隔离性；

1.1.2 完整性（Integrity）

完整性（Integrity）是CIA三元组第二个安全原则。如果安全机制提供了完整性，那么它对数据、客体或资源提供了保持原有受保护状态和不被修改的高级别保证。包括客体在存储、传输或处理过程中发生的改变。维护完整性意味着客体本身不会发生改变，并且管理和操纵客体的操作系统和程序实体不会受到安全威胁。

从三个方面查看完整性：

1、应该禁止未授权的主体执行修改操作；

2、应该禁止经过授权的主体执行未授权的修改操作，例如失误；

3、客体应内外保持一致，这样他们的数据才能正确并真实反映现实情况，并且与任何子客体或父客体的关系都是有效的、一致的和可检验的。

系统维护完整性的方式：

1、对数据、客体或资源的访问进行适当的控制；

2、使用活动记录，保证只有经过授权的用户才能访问各自的资源；

3、使用各种各样的控制和监督措施，可以在存储、传输和处理过程中维护和确认客体完整性。

破坏客体、数据或资源完整性的攻击包括：

1、病毒；

2、逻辑炸弹；

3、未授权访问；

4、编码和应用程序中的错误；

5、恶意修改；

6、有企图的替换；

7、系统后门。

导致完整性被破坏的事件包括：

1、意外删除文件；

2、输入无效数据；

3、更改配置，例如命令、代码和脚本中包含错误）；

4、引入病毒以及执行恶意代码（例如木马病毒）；

确保客体、数据或资源完整性不被破坏的措施有：

1、严格的访问控制；

2、严格的身份认证；

3、入侵检测系统；

4、对客体/数据进行加密；

5、散列总和认证；

6、接口限制；

7、输入/功能检验；

8、广泛的人员培训。

完整性的其他概念、条件和特性包括：

1、准确性。

2、真实性；

3、可靠性；

4、合法性；

5、不可否认新；

6、可问责性；

7、可信任性；

8、完整性；

9、可理解性。

1.1.3 可用性（Availability）

可用性（Availability）是CIA三元组第三条原则。可用性表示经过授权的主体被及时准许和不间断地访问客体、数据或资源。如果安全机制提供可用性，那么他就提供经过授权的主体能够访问数据、客体和资源的高级别保证。

可用性包括有效的不间断的访问客体和阻止拒绝服务（DoS）攻击。可用性意味着支持基础结构（网络服务、通信和访问控制机制等）的正常运作，并允许经过授权的用户获得被授权的访问。

破坏客体、数据和资源可用性的威胁包括：

1、设备故障；

2、软件错误；

3、环境问题（高温、静电、洪水、断电等）；

4、DoS攻击；

5、客体损坏；

6、通信中断；

导致客体、数据和资源可用性被破坏的事件包括：

1、意外删除文件；

2、硬件或软件组件的过度使用；

3、私下分配资源；

4、贴错标签或不正确的客体分类；

5、安全策略的疏漏；

6、安全控制的配置不当；

维护数据、客体和资源可用性的措施包括：

1、正确设计中间传输系统；

2、有效使用访问控制；

3、对性能和网络通信进行监控；

4、使用防火墙和路由器组织DoS；

5、为关键系统实现冗余及维护和测试备份系统；

数据可用性的概念、条件和特征包括：

1、实用性；

2、可访问性；

3、时效性。

1.2. 其它安全概念

在设置安全策略和部署安全解决方案时，还需要考虑如下与安全有关的概念和原则：

1、身份标识；

2、身份认证；

3、授权；

4、审计；

5、可问责性。

1.2.1. 身份标识

身份标识是一个过程，在这个过程中，主体会表明身份，并且开启可问责性。主体必须向系统提供身份，从而启动身份认证、授权和可问责性的过程。

如果没有提供身份，那么系统就没有办法将身份认证因素和主体关联在一起。

一旦主体通过身份标识（也就是识别也验证了主体的身份），此身份就对主体今后的行为负责。

主体的身份通常被标记为或视为公共信息。

1.2.2. 身份认证

认证或测试所声明身份合法性的过程就是身份认证。身份认证要求来自主体的附加信息必须完全对应于所表明的身份。

用于认证身份的身份认证因素通常被标记为私有信息。主体和系统维护身份认证因素隐蔽性的能力直接反映了该系统的安全级别。

1.2.3. 授权

授权的过程确保被请求的活动或客体访问可以获得通过身份认证和指派的权利和特权。在多数情况下，系统会评估一个访问控制列表，这个表会对主体、客体和预计的活动进行比较，如果允许进行指定的操作，那么主体就获得了授权，反之，主体就没有获得授权。

需要记住的是，虽然主体通过了身份标识和身份认证，但是并不意味着受控环境内被授权执行任何操作或者访问所有资源。

大多数网络用户只是被授权在指定的这一组资源上执行数量有效的一些操作。身份标识和身份认证是访问控制的“全有”或“全无”。

1.2.4. 审计

审计或监控是程序化的方式，通过这种方式，主体在系统中经过身份认证的行为是可问责的。审计也是对系统中未授权的或异常的活动进行检测的过程。审计不仅会记录主体及其客体的活动，而且还会记录维护操作环境和安全机制的核心系统的活动。通过将系统事件记录写入日志而创建的审计跟踪，可以用于评估系统的健康状况和性能。记录系统崩溃起因的事件日志尝尝被用于发现系统出现故障的原因。

通过审计来检测主体的恶意行为、入侵企图和系统故障以及重构事件，为起诉提供证据、生成问题报告和分析结果。

1.2.5. 可问责性

只有在支持可问责性时，才能够正确实施组织的安全策略。即只有在主体的活动可问责时，才能够保持系统的安全性。有效的可问责性依赖于检验主体身份以及跟踪其活动的能力。通过审计、授权、身份认证与身份标识这些安全服务和机制，将联系身份的活动与某个人联系在一起，就可以建立可问责性。

人员的可问责性最终依赖于身份认证过程的强度。

密码是最不安全的身份认证形式。

1.2.6. 不可否认性

不可否认性确保活动或事件的主体无法否认所发生的事件。不可否认性能够防止主体宣称自己没有发送消息、没有执行过某项活动或者不是某个事件的起因。

身份标识、身份认证、授权、可问责性和审计使不可否认性成为可能。

实现不可否认性的手段：

1、数字证书；

2、会话标识符；

3、事务日志；

4、传输和访问控制机制；

不可否认性是可问责性不可缺少的部分。

1.3. 保护机制

理解和启用机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）概念的另一个方面是保护机制概念，保护机制是安全控制的常见特性。

这些机制包括：

1、使用多层级或多级别访问；

2、抽象；

3、数据隐藏；

4、数据加密。

1.3.1. 分层

分层只是简单地使用连续的多重控制，也被成为深层防御。没有一种特定的控制方法能保护并对抗所有可能存在的威胁，使用多层次的解决方案允许引入多重不同的控制方法来应对随时出现的的各种威胁。当分层设计安全解决方案时，大多数的威胁都会被消除、缓解或阻挡。

使用连续分层法而不是并行分层法，通过连续方式执行安全限制意味着使用线性的方式依次执行。只有通过一系列的配置，才能由每个安全控制对攻击进行扫描、评估或缓解。

连续配置方法虽然范围很窄，但是层次很深；并行配置方法虽然范围很宽，但是层次很浅。

使用独立的安全系统会导致生成分层的安全解决方案。

1.3.2. 抽象

抽象是为提高效率而使用的。相似的元素被放入组、类别或角色（被整体型手语安全控制、限制或权限）中。

抽象使你能够为按类型或功能分类的客体组分配安全控制方法。并抽象简化了安全措施。

1.3.3. 数据隐藏

数据隐藏通过将数据至于主体不可访问或无法看到的存储空间，从而防止主体发现或访问数据。组织应用程序访问硬件也是数据隐藏的一种形式，在安全控制和程序设计中，数据隐藏通常是一个关键要素。

1.3.4. 加密

加密是对计划为的接受者隐藏通信数据的含义或意图的以一门艺术和学科。加密可以具有很多形式，并且能够被应用于所有的电子通信类型，包括文本、音频和视频文件以及应用程序本身。

1.4. 应用安全治理原则

安全治理是实践行为的集合，这些事件都与支持、定义和指导组织的全工作有关。安全治理的目标就是确保组织了能够且能随着事件的推移不断扩大。治理的共同目标就是维持业务流程，同事努力实现增长和弹性。

组织整体上应该有方向、有指导、有工具、有足够的监督能力和管理能力，如此才能应对威胁和风险，并注重消除故障以及将潜在的损失或损坏降到最低。

1.4.1. 安全功能与组织的战略、目标、任务和愿景一致

安全管理计划能确保安全策略的适当创建、实现和实施。安全管理计划将安全功能与组织的战略、目标、任务和愿景相结合，这包括根据商业论证、预算限制或稀缺资源设计与实现安全性。

解决安全管理计划编制的最有效方法是采用自上而下的方式：

1、上层、高层或管理部分负责启动和定义组织的安全策略，安全策略为组织中较低级别的人员指出了方向；

2、中层管理部门的职责是在安全策略的指导下制定标准、基准、指导方针和程序。

3、操作管理者或安全专家负责实现在安全管理文档中规定的配置要求。

4、最终用户必须遵守和组织的制定的所有安全策略。

安全管理部门负责更高层的管理，并且考虑的是业务运营问题。

安全管理计划编制的元素包括：

1、定义安全角色；

2、规定如何管理安全性、谁负责安全性以及如何测试安全性的效力；

3、开发安全策略；

4、执行风险分析；

5、对员工进行安全教育。

这些职责要经过管理计划开发的指导。

缺少高级管理者的批准和委托，安全策略就无法取得成功。

1.4.1.1. 战略计划

战略计划是一个相当稳定的长期计划，他定义了组织的目标，也有助于理解安全功能与组织的安全目标、愿景和使命方面的一致性。战略计划可以作为计划编制的基准，战略计划还应当包含风险评估。

1.4.1.2. 战术计划

战术计划一个中期计划，他被开发用于提供实现战略计划所提出的详细细节。战术计划通常一年有效，往往规定和调度实现组织目标所必需的的任务。

战术计划的一些示例包括：

1、项目计划；

2、采购计划计划；

3、雇佣计划；

4、预算计划；

5、维护计划；

6、支持计划；

7、系统开发计划。

1.4.1.3. 操作计划

操作计划是一个短期计划，他是基于战略计划和战术计划制定的非常周祥的计。

特点：

1、操作计划只在很短的时间内有效或有用；

2、为服从战术计划，操作计划必须经常被更新（如每月或每季度更新）；

3、操作计划是十分周祥的计划，它清楚的说明了如何完成组织机构的各种目标；

4、操作计划包括：

资源分配；
预算要求；
人员分配；
进度安排；
循序渐进或实现措施；

5、包含实现如何服从组织安全策略的详细措施细节

操作计划的示例包括：

1、培训计划；

2、系统部署计划；

3、产品设计计划。

维护安全性一个持续的过程，安全管理计划的编制有明确的起点，但是其任务和工作永远不可能完成和实现。

有效的安全计划重点关注特定的和可完成的目标、预计变化和潜在问题，并且作为整个组织决策的基础。

1.4.2. 组织流程

安全治理需要照顾到组织的芳芳绵绵，包括收购、剥离和治理委员会等组织流程。除了收购兼并中的典型商业和财务方面，有效的安全监督和强化审查往往也是降低损失可能性的必要措施，比如在转型期。

剥离、任何形式的资产减少或员工减少都会使阶段内的风险等级变高，从而也需要提高集中安全治理的必要性。

措施主要包含：

1、对资产进行无害化处理以防止数据泄露。

2、删除和销毁存储介质，防止数据残留被恢复。

3、对不再负责相关事业的员工进行事后审查（离职面谈）；

安全治理由治理委员会或至少是董事会进行管理。这群人应该是有影响力的专家，他们的主要任务是监督和指导确保组织安全与操作的行为。

加强安全治理的两个必要额外组织流程的是示例是：变更控制/变更管理和数据分类。

1.4.2.1. 变更控制/变更管理

安全管理中的另外一个重要方面是对变更进行控制或管理。安全环境的改变可能引入会导致新脆弱性出现的漏洞、冲刺额、客体丢失和疏漏。

解决方法：系统地管理变更，涉及对安全控制和机制相关的活动。进行广泛的计划编制、测试、日志记录、审计和监控。然后对环境变化进行记录，确定变更的作用者，无论这些作用者是主体、客体、程序、通信路径还是网络本身。

变更管理的目标是确保任何变更都不能降低或危及安全性。变更管理还负责能够将任何变更都回滚到先前的安全状态。

变更管理要求系统遵守信息技术安全评估标准（Information Technology Security Evaluation and Criteria,ITSEC）的B2、B3和A1分类。

变更管理的主要用途：详细记录和升级所有变更，从而能够通过管理进行详细的检查。

变更管理用于监督系统每个方面发生的变更，包含：

1、硬件配置；

2、操作系统；

3、应用软件。

变更管理应该被包含在：

1、设计；

2、开发；

3、测试；

4、评估；

5、实现；

6、分发；

7、演变；

8、发展；

9、持续操作；

10、修改。

配置或变更管理的变更控制过程具有以下几个目标或要求：

1、以受监控的和有序的方式实现变更。变更总是处在控制之下；

2、包含真是的测试过程，这种过程用于确认变更产生的预期结果；

3、所有的变更都可以撤销（也被称为回退或回滚计划/流程）。在变更发生前向用户发出通知，以避免降低生产率。

4、对变更的影响应进行系统分析。

5、变更对能力、功能和性能产生的负面效应最小化。

6、变更由变更审批委员会（Change Approval Board，CAB）审批和批准。

1.4.2.2. 数据分类

数据分类是根据数据的秘密性、敏感性或机密性需求来保护数据的主要方式。

数据分类或归类，是根据详细、性组织项、对象和主体到组、类别和集合中的过程。这些相似性可能包括价值、成本、灵敏度、风险、脆弱性、权利、特权、损失或损害的可能水平以及“需知”原则。

数据分类的主要目的是：根据重要性和敏感性给数据分配标签，对数据安全保护过程进行规范化和层次化。数据分类用于为数据存储、处理和传输提供安全机制，此外，还可以确定如何从系统中删除数据和销毁数据。

使用数据分类的优点：

1、能够证明组织致力于保护宝贵的资源和资产；

2、能够有助于确定对组织最关键的或最有价值的资产；

3、为安全机制的选择提供安全保证；

4、常常是遵守规范或法律约束所必须的。

5、帮助定义访问级别、授权使用类型，以及对不在有价值的资源进行解除分类和/或对于销毁操作所需的参数。

6、在数据的生命周期管理中心，对于确定数据的存储（保留）时长、使用和销毁是有帮助的。

数据分类标准取决于执行分类的组织，通用或标准化分类系统中有一般性原则：

1、数据的有用性；

2、数据的时效性；

3、数据的价值或成本；

4、数据的成熟度或年龄；

5、数据的生存期（或何时过期）；

6、与人员的关联。

7、数据泄露的损失评估（也就是数据泄露会对组织有何影响）；

8、数据修改的损失评估（也就是司改数据会对组织有何影响）；

9、数据的国家安全性含义；

10、对数据的已授权访问（也就是谁可以访问数据）；

11、对数据的访问限制（就是谁对数据的访问受限）；

12、对数据的维护和监控（就是谁应该维护并监控数据）；

13、数据的存储。

使用适用于组织的标准、评估数据以及适当地分配数据分类标签。通常情况，数据分类标签被添加到数据对象中。其它情况下，通过把数据放入存储机制或放在安全保护机制之后就可以分配数据分类标签。

为实现数据分类方案，必须完成下列7个主要的步骤或阶段。

1、确定管理人员并定义他们的职责；

2、制定如何对信息进行分类和标记的评估标准；

3、为每个资源进行分了和添加标签（所有者主导这个步骤，但是必须有监督人员进行检查）；

4、记录发现的分类策略的所有例外，并将这些例外集成到评估标准中；

5、选择应用于每个分类级别的安全控制，从而提供必要的保护级别。

6、指定解除资源分类的过程以及将资源的保管权转移给外部实体的过程；

7、创建一份整个组织范围内都知晓的计划，从而指导所有人员对分类系统的使用。

两种通用的分类方案是政府/军方分类和商业/私营部门分类。政府/军方分类具有5个级别（以下按照从高到低列出）：

绝密（Top Secret），具有最高分类级别。未授权而泄露绝密数据将会有灾难性的后果，并导致对国家安全的毁灭性破坏。
秘密（Secret），用于具有受限特性的数据。未授权而泄露秘密数据将会有严重后果，并导致对国家安全的重大破坏。
机密（Confidential），用于具有机密特性的数据。未授权而泄露机密数据将会有重大后果，并导致对国家安全的严重破坏。这个分类级别被用于处在“秘密”级别和“敏感但非机密”级别之间的所有数据。
非机密（Unclassified），最低的分类级别。用于极不敏感，也不必分类的数据。非机密数据的泄露既不会危及机密性，也不会造成任何明显的损坏。

机密级别、秘密级别和绝密级别统称为分类的级别。通常，对未授权的个人泄露真是的数据分类是一种数据侵权行为。因此，术语“分类的”通常用于指示敏感但非机密级别以上的备份集的数据。

商业/私营部门的分类系统通常相差很大，他们的特点就是不会坚守一个标准或法规。CISSP考试侧重于4种常见的商业分类级别（下图显示从最高到最低的级别）：

机密最高分级类别，用于极端敏感的和只能内部使用的数据。如果机密数据被泄露，那么会对公司产生重大的负面影响。有时也会标签“专有数据”来替代标签“机密信息”。如果专有数据被泄露，将会对组织的竞争力产生灾难性后果；
隐私用于具有隐私性或个人特性以及只供内部使用的数据。如果隐私性数据被泄露，那么会对公司或个人产生重大的负面影响。
敏感用于分类级别高于公开数据的数据，如果敏感数据被泄露，那么会对公司产生负面影响。
公开最低的分类级别，用于不属于任何一种较高分类级别的所有数据。这种数据的泄露不会对组织造成严重的负面影响。

数据分类还要考虑的一个相关因素就是所有权。所有权是对个人或群体职责的正式制定。

1.4.3. 安全角色和责任

安全角色是指个人在组织内部的整个安全实现和管理方案中所扮演的角色。

安全环境中出现的6个安全角色按照逻辑顺序排列如下：

1、 高级管理者，组织所有者（高层管理者）的角色被分配给最终负责组织机构安全维护和最关心保护资产的人。高层管理者必须对所有策略问题签字。高层管理者对安全解决方案的总体成败负有责任，并负责对组织机构建立安全性予以适度关注并尽职尽责。

2、 安全专家，安全专家、信息安全官或计算机应急响应团队（Computer Incident Response Team，CIRT）的角色被分配给受过培训和经验丰富的网络工程师、系统工程师和安全工程师，他们对落实高层管理部门下达的知识负责，安全专家的职责是保证安全性，包括制定和实现安全策略。安全专家的角色通常有负责设计和实现安全解决方案的团队担任，安全解决方案则是根据已经批准的安全策略制定的。安全专家不是决策制定者，他们是实现者。所有的决策都必须由高层管理者制定。

3、 数据所有者，数据所有者的角色被分配个在安全解决方案中为了放置和保护信息而负责对信息进行分类的人。数据所有者是层次较高的、最终负责数据保护的管理者。

4、 数据管理员，数据管理员的角色被分配给负责实施安全策略和上层管理者规定的保护任务的用户。数据管理员通过执行所有必要的措施为数据提供是的CIA三元组（机密性、完整性和可用性）保护，完成上层管理者委派的要求和责任。这些必要的措施包括：完成和测试数据备份、确认数据的完整性、部署安全解决方案以及根据分类管理数据存储。

5、用户，用户（最终用户或操作者）的角色被分配给具有安全系统访问权限的任何人。用户负责了解组织的安全策略，并遵守规定的操作过程，在已定义的安全参数内进行操作，以便维护安全策略。

6、 审计人员，审计人员负责测试和认证安全策略是否被正确实现以及衍生的安全解决方案是否合适。审计人员的角色可以被分配给安全专家或受过培训的用户。审计人员要完成遵守情况报告和有效性报告。高层管理者会审查这些报告。通过这些报告发现的问题，会由高层管理者转换成下达给安全专家或数据管理员的新指示。

1.4.4. 控制架构

安全计划步骤中最重要的一步，也是第一步，就是考虑组织想要的安全解决方案的整体控制框架及结构。CISSP考试覆盖的一个方面是信息及相关技术控制目标（Control Objectives forInformation and Related Technology，COBIT）。COBIT记录了一整套优秀的IT安全实践，这些是由国际信息系统审计协会（Information System Audit and Control Association，ISACA）起草的。COBIT规定了安全控制的目标和要求。

COBIT 5的基础是企业IT治理和管理的5条关键原则：

1、满足利益相关者的需求；

2、对企业做到端到端覆盖；

3、使用单一的集成框架；

4、使用整合处理法；

5、把治理从管理中分离出来。

COBIT不仅可用于计划组织的IT安全，可以作为组织审计师的指导方针。

1.4.5. 应尽关注和应尽职责

应尽关注是通过合理的关注保护组织利益。

应尽职责是不断事件能够维持应尽关注成果的活动。

例如：应尽关注会开发规范化的安全结构，这个结构包含安全策略、标准、基线、指导方针和程序；而应尽职责是继续将这个安全结构应用到机构的IT基础设施中。

做到应尽关注和应尽职责是唯一能够证明损失发生不是因为疏忽的方法。高管必须做到应尽关注和应尽职责才能在出现损失时减少对他们的过失和责任。

1.5. 开发和文档化安全策略、标准、指导方针和程序

开发和实现文档化的安全策略、标准、指导方针和程序能产生监视可靠的安全基础设施。

完全策略组件的比较关系如下：

完全策略组件的比较关系

策略、标准、指南和程序。

1、安全策略是有组织的安全文档的总体结构基础；

2、标准基于策略并收规章制度的管辖；

3、指南从中衍生而来；

4、程序基于结构的三个基本层。

完整安全策略中的程序通常都要比任何单个元素中的程序要多得多。相比而言，指南要比策略少。标准也策略少。通常整体或权阻止范围内的安全策略甚至也更少。

1.5.1. 安全策略

规范化的最高层次被称为安全策略。安全策略是一个文档，文档定义了组织所需的安全范围，讨论了需要保护的资产以及安全解决方案为提供必要保护而应当涉及的范围。

特点：

1、安全策略概述或归纳了组织的安全需求，定义了主要的安全目标，概述了组织的安全架构。

2、安全策略确定了数据处理的主要功能领域，澄清和定义了所有相关的术语。

3、安全策略清楚地定义安全性的重要性以及那些资产是有价值的。

4、它是实现安全性的战略计划。

5、安全策略应当广泛地概括出应用于保护组织切身利益的安全目标和原则；

6、安全策略被用于分配职责、定义角色、指定审计要求、概述实施过程、指明遵循要求以及定义可接受的风险级别。

7、文档通常用于证明高层管理部门为了保护不遭受入侵、攻击和灾难予以应有的关注。

8、安全策略是强制性的。

除了针对特定部分的安全策略类型以外，还有三种综合的安全策略类别：

1、规章式策略（regulatory Policy），只要行业或法律标准适用于你的组织，就需要规章式的策略。这种策略讨论了必须遵守的规章制度，概括说明了用于让人们遵守规章制度的安全措施；

2、建议式策略（Advisory Policy），讨论可接受的行为和活动，定义违背安全性的后果。这种策略解释了高层管理部门对组织内部安全和遵守规定的期望。大多数安全策略都是建议性的；

3、信息式策略（Information Policy），被设计用于提供特定主体的相关信息或知识，例如公司目标、任务声明或者组织如何与合作伙伴和客户进行交流。信息式策略提供了整个儿策略特定元素相关的支持、研究或背景信息。

策略是广泛的概述，标准、基准、指导方针和程序包括了更加特定的、详细的于实际安全解决方案有关的信息。标准处于安全策略的下一个层次。

安全策略与个体：

安全策略（以及标准、指南和程序）不针对特定的个体。安全策略并不为某个人分配任务和职责，而是为特定的角色定义任务和职责。安全策略会定义安全基础架构内不同角色必须执行的操作，而不会定义那些人负责做那些事情。

可接受的使用策略：

可接受的使用策略被特别设计用于分配组织内的安全角色以及确保职责与这些角色相联系。

1.5.2. 安全标准、基准及指南

确立你的主要的安全策略，就可以在策略的指导下拟定剩余的安全文档。标准为硬件、软件、技术和安全控制方法的统一使用定义了强制性要求。

标准提供了操作过程，这个过程中整个组织内部统一实现技术和措施。标准是战术文档，定义了达到安全策略制定的目标和总体方向的步骤或方法。

下一个层次是基准。基准定义了安全性的最低级别，组织中的所有系统都必须达到基准要求。没有达到基准的所有系统都应该被排除在生产系统之外，直至这些系统被都被提升达到基准要求为止。

基准建立了通用的安全状态基础，所有附加的和更严格的安全措施都可以被建立在这个基础之上。基准通常是系统特定的，并且往往指的是行业或政府标准。

指南是规范化安全策略结构的下一个元素。指南提供了如何实现标准和基准的建议，并且能够作为安全专家和用户的操作指南。指南说明了应当部署那些安全机制，而不是规定特定的产品或控制以及详细的配置设置。指南概述了一套方法（包括行动建议），但并非是强制性的。

1.5.3. 安全程序

程序是规范化安全策略结构的最后一个要素。程序是详细的、按部就班的指导文档，它描述了实现特定安全机制、控制或解决方案所需的确切行动。

程序可以讨论整个系统的部署操作或者关注单个产品或方面的。

大多数情况下，程序仅限于具体的系统和软件。随着系统硬件和软件的发展，程序必须被不断更新。

程序的目的是确保业务流程的完整性。程序有助于在所有系统之间确保安全性的标准化。

1.6. 理解和应用威胁建模

威胁建模是潜在威胁被识别、分类和分析的安全流程。威胁建模在设计和开发过程中可以作为一种积极主动的措施执行，而产品一旦被部署，就会被作为一种被动式措施。

在这两种情况下，流程会识别潜在的危害、发生的概率、问题的优先级以及消除或减少威胁的手段。

微软使用的安全开发生命周期（SecurityDevelopment Lifecycle，SDL）流程在产品的每个开发阶段考虑和实现安全。支撑了箴言：设计安全、默认安全、部署和沟通安全（也成为SD3+C）。这一流程有两个目标：

1、减少安全相关的设计和编程缺陷的数量；

2、降低剩余缺陷的严重程度。

威胁建模的主动式方法发生于系统开发的早期阶段，特别是处事设计和规范建立阶段。这种类型的威胁建模被称为防御模仿是。

威胁建模的被动式方法发生在产品被创建和部署之后。此部署可以在测试或实验室环境中，或是指被部署到一般市场上。这种类型的威胁建模也被称为对抗方式。被动式威胁建模技术是道德黑客攻击、渗透测试、代码审查和模糊测试背后的核心概念。

注意：

模糊测试是一项专门的动态测试技术，它向软件提供了许多不同类型的输入，来强调其局限性并发现先前未被发现的缺陷。模糊测试软件向软件提供了无效输入，可能是随机生成，也可能是专门制作以触发已知的软件漏洞。然后模糊测试者会监控应用程序的性能，观察软件崩溃，缓冲溢出或其他不良和不可预知的结果。

1.6.1. 识别威胁

威胁的类型多种多样，通常使用一种结构化的方法来准确识别相关威胁，一些组织使用一下三种方法的中的一种或多种来识别威胁：

关注资产 这种方法使用资产的估值结果，并试图识别对于宝贵资产的威胁。如果资产及存着数据，则可以评估访问控制来识别能够绕过身份认证或授权机制的威胁。

关注攻击 一些组织能够识别潜在的攻击者，并能够基于攻击者的目标识别他们所代表的威胁。这种方法面临的一个挑战是，可能会出现以往未被视为的一种威胁的新攻击者。

关注软件 如果一个组织开发了一个软件，则可能会考虑针对软件的潜在威胁。例如：精美的网页带来更多的流量，单他们也需要更复杂的编程，并会受到更多的威胁。

如果威胁被确定为攻击者（而不是自然威胁），那么威胁建模尝试确定攻击者可能会试图达到什么目的。一旦确认了这种威胁，就会基于目标或冬季对他们进行分类。另外，将威胁和漏洞进行并列，来识别可能通过利用漏洞给只带来重大风险的常见威胁。

威胁建模的一个终极目标是优先处理针对组织宝贵资产的潜在威胁。

微软开发了一个成为STRIDE的威胁分类方案：

电子欺骗（Spoofing），通过使用伪造身份获得对目标系统访问的攻击行为。电子欺骗可以用于IP地址、MAC地址、用户名、系统名、无线网络名称、电子邮件地址以及其他许多的逻辑标识。一旦电子欺骗让攻击者成功访问目标系统，后续的滥用、数据盗窃或特权提升攻击就都可以发起。
篡改（Tampering），任何对数据进行未授权的更改或操纵的行为，不管是传输中的数据还是被存储的数据。使用篡改来伪造通信或改变静态信息。这种攻击是对完整性和可用性的侵害。
否认（Repudiation），用户或攻击者否认执行了一个动作或行为的能力。否认攻击也可能会导致无辜的第三方因安全未归而收到指责。
信息披露（Information disclosure），将私人、机密或受控信息披露、传播给外部或未授权实体的行为。这可能包括客户身份信息、财务信息或自营业务操作细节。信息披露可以利用系统设计和实现错误，如未能删除调试代码、留下示例应用程序和账户、未对客户端可见内容的变成主食进行净化或将过于详细的错误消息暴露给用户。
拒绝服务（DoS），指攻击视图足迹对资源的授权使用。可以通过缺陷开发、连接重载或流量泛滥实现。DoS攻击并不一定会导致对资源的完全中断；而是会减少吞吐量或造成延迟，以阻碍对资源的有效利用。DoS攻击分暂时和永久，永久性DoS攻击可能涉及对数据集的破坏、使用恶意软件对软件进行替换，或强迫可以被打断或安装错误固件的固件Flash操作，这些DoS攻击将造成系统永久受损。要从DoS攻击中恢复过来，需要进行完整的系统修复和备份恢复。
权限提升（Elevation of privilege），此攻击是指有限的用户账号被转换成拥有更大权限、权利的和访问权的账户。

识别威胁是射击防御、减少故障、降低危害和避免损失的第一步。

1.6.2. 确定和用图表示潜在攻击

通过创建事务中的元素图表、数据流指向和特权边界来完成。

揭示威胁问题的图表实例

数据流图通过可视化表示，更好地帮助理解资源和数据流动的关系。图表流程也被成为制作框架图。

创建图表有助于详述商业任务、开发流程或工作活动中每个元素的功能和目的细节。

一定要包括执行具体任务或操作的用户、处理器、应用程序、数据存储和所有其他的基本要素，这十分重要。

完成图表的创建后，要识别出图表中涉及的所有技术，包括操作系统、应用程序（基于网络服务和客户端）和协议。需要具体到使用的版本号和更新/补丁级别。

识别可能对图表中每个元素发起的攻击，要考虑到各种形式的攻击，包括逻辑/技术、物理层面和社会层面的工具。例如：一定要包括电子欺骗、篡改和社会工程学。

1.6.3. 执行降低分析

威胁建模的下一步是执行降低分析。执行降低分析是为了分解应用程序、系统或环境。

任务目的是更好的理解产品逻辑及其与外部的交互元素。

分解流程中，必须包含5个关键概念：

1、 信任边界，任性或安全等级发生改变的位置；

2、 数据流路径，数据在两个位置之间的流动；

3、 输入点，接收外部输入的位置；

4、 特权操作，需要比标准用户账户或流程由更大特权的任何活动，通常需要进行系统修改或改变安全性；

5、 安全立场和方法细节，安全策略、安全基础和安全架设的声明。

把系统分解成各种组成部分更能容易识别每个元素的必要组件，同时核能注意到漏洞和攻击点。越能准确理解程序、系统或环境的运作方式，就越容易识别威胁。

1.6.4. 优先级和响应

因为威胁要通过威胁建模进行识别，需要规定额外活动来完善整个流程。下一步是记录归档全部威胁。

在归档文件中应对威胁的手段、目标和后果进行定义。要考虑实施某项开发可能需要的技术，以及列明潜在的对策和保障措施。

编制文档后，要对威胁进行排序和定级。可以利用各种技术完成这个过程。例如：使用概率*潜在损失排名、高/中/低评级或DREAD系统。

一旦设置了威胁的优先级，就需要确定对这些威胁的响应。应根据解决威胁的技术以及流程的成本和效率。对这些技术和流程进行考察权衡。反映选型应包括调整软件架构、改变操作系统和流程以及实现防御和检测组件。

1.7. 把安全风险考虑到收购策略和实践中

不管机构的规模是什么样的，将网络安全风险管理与收购策略和实践进行综合，是确保组织安全策略成功强健的一种手段。

许多情况下需要进行不间断的安全监测、管理和评估。

为了安全整合而对第三方进行评估时，应考虑以下流程：

1、现场评估，访问该组织的网址，与其成员进行交谈并观察他们的操作习惯。

2、公文交换和审核，调查交换数据和文档的方式以及他们执行评估和审核的正式流程。

3、流程/策略审核，要求提供他们的安全策略、流程/程序、审查事件和响应文档的副本。

对所有收购谁最低限度的安全需求，这些应该以现有的安全策略为模板。对新的硬件、软件或服务的安全需求，应该达到或超过现有基础设施的安全性。在处理外部服务时，一定要审查所有的SLA（Service Level Agreement，服务等级协议），确保承包服务中有关于安全的规定。

1.8. 本章小结

安全治理、管理概念与原则是安全策略和解决方案部署中的固有元素。它们不仅定义了安全环境所需要的基本参数，也定义了策略设计人员和系统实现人员为创建安全解决方案所必需的达到的目的和目标。

安全性的主要目标和目的包含在CIA三元组中：机密性、完整性和可用性。这三条原则被认为是安全领域内最重要的原则。然而，每条原则对一个特定的组织究竟有多重要，主要取决于组织的安全目标和需求以及安全性所有到的威胁程度。

CIA三元组的第一条原则是机密性，也就是客体不能暴露给未授权主题的原则。安全机制提供了机密性，也就为限制未授权主体不能访问数据、客体或资源提供了高级别保证。如果存在对机密性的威胁，那么就有可能发生未授权的泄露。

CIA三元组的第二条原则是完整性，也就是客体保持自身的正确性和只能由已授权主体进行有意识修改的原则。如果安全机制提供了完整性，也就是对数据、客体和资源提供了保持原有受保护状态并不被修改的高级别保证，这包括当客体在存储、传输或处理过程中发生的变更。维护完整性意味着客体本身不会被改变，并且管理和操纵客体的的操作系统和程序实体不会受到安全威胁。

CIA三元组第三条原则是可用性，也就是经过授权的主体被及时准许和不间断的访问客体的原则。如果安全机制提供了可用性，也就提供了经过授权的主体能够访问数据、客体和资源的高级别保证。可用性包括有效地、不间断地访问客体和组织拒绝服务攻击。可用性还意味着支持基础设施的正常运作，并允许经过授权的用户或得被授权的访问权。

除了CIA三元组以为，在设计安全策略和部署安全解决方案时，还需要考虑其他许多与安全有关的概念和原则，包括隐私性、身份标识、身份认证、授权、可问责性、不可否认性和审计。

安全解决方案的概念和原则的其他方面是保护机制的元素：分层、抽象、数据隐藏以及加密。这些元素是安全控制的常见特性。并非所有的安全控制都必须具有这些原色，但是许多控制通过使用这些机制提供对机密性、完整性和可用性的保护。

安全角色决定谁对组织机构的资产安全负有责任。担任高管角色的人对任何资产损失最终负责和承担义务，并且对安全策略进行定义。安全庄家负责实现安全策略，用户负责遵守安全策略。担任数据所有者角色的人负责对是信息进行分类，数据管理员负责维护安全环境和备份数据。审计人员负责确认安全环境是否能恰当地保护资产。

规范化的安全策略结构有策略、标准、基准、指导方针和程序组成。这些独立的文档时在任何环境设计和实现安全的必要元素。

安全管理实践中的一个重要方面是对变更的控制和管理。安全环境的改变很可能引入会导致新脆弱性出现的漏洞、重叠、客体丢失和疏漏。面对变更，能够维持安全性的唯一办法是要系统地管理变化，这往往设计对安全控制和机制相关的活动进行广泛的日志记录、审计和监控。最终得到的数据随后用于确定变更的作用者，无论这些作用者是客体、主体、程序、通信路径还是网络本身。

数据分类是根据数据的秘密性、敏感性和机密性要求来保护数据的主要方式。在设计和实现安全系统是，因为某些数据项需要更高的安全性，所以对所有的数据采取同样的处理方法是低效率的。在较低的安全级别保护所有的数据，意味着敏感数据很容易被访问到。在较高的安全级别保护所有的数据，承办太高且对未分类的非关键数据的访问限制太多。数据分类用于确定需要分配多少工作量、资金和资源去保护数据以及控制对数据的访问。

安全管理计划的一个重要方面是是是适当的安全策略。为确保有效，安全管理方法必须是自上而下的。启用和定义安全策略的责任属于组织上层或高管人员。安全策略是为组织下层人员提供方向的。中层管理人员负责把安全政策充实为具体标准、基准、指导方针和步骤。对安全管理文件中预定的参数进行配置是运营经理或安全专家的责任。最后，最终用户的责任是要遵循组织的所有安全策略。

安全管理计划编制的元素包括：定义安全角色；开发安全策略；执行风险分析；对员工进行安全培训。这些职责要经过管理计划开发的指导。安全管理团队应当开发战略计划、战术计划和操作计划。

威胁建模是一种安全流程，能识别、分类和分析潜在威胁。威胁建模在设计开发阶段可作为一种提前措施来执行，或在产品被部署后作为一种被动型措施来执行。在这两种情况下，这个安全流程能识别潜在危害、发生概率、优先级问题以及消除或减少威胁的手段。

不管组织的规模是什么样的，将网络安全风险管理与收购策略和实践进行综合，是确保组织安全策略成功和完善的一种手段。如果在没有考虑安全性的情况下贸然购买，所购买的这些产品的固有风险在在其整个部署过程中一直存在。

1.9. 考试要点

理解CIA三元组的元素：机密性、完整性和可用性

机密性是客体不能暴露给未授权主体的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效的对策。完整形式客体保持自身正确性以及只能由已授权主体进行有意识修改的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效对策。可用性是经过授权的主体被及时准许和不被打断的访问客体的原则。了解这条原则为什么重要、支持该原则的机制、针对该原则的攻击以及有效的防御对策。

能够解释身份标识是如何工作的

身份标识是一个过程，在这个过程中，主体会标明身份，并开始提供可问责性。主体必须向系统提供身份，从而启动身份认证、授权和可问责的过程。

理解身份认证的过程

认证或测试所声明身份合法性的过程就是身份认证。身份认证要求来自主体的附加信息必须完全对应于被表明的身份。

了解如何在安全计划中实现授权

一旦主体通过了身份认证，其访问还必须经过授权。授权的过程确保请求的活动或客体访问，可能获得了为通过身份认证的身份而指派的权利和特权。

理解安全治理

安全治理是关于组织支持、定义和指导安全工作的实践结合。

能够解释审计过程

审计或监控是程序化的方式，通过这种方式，主体在系统中经过身份认证的行为是可问责的。审计也是对系统中为进授权的或异常的活动进行检测的过程。我们需要通过审计来检测主体的恶意行为、入侵企图和系统故障以及重构事件，为起诉提供证据、生成问题报告和分析结果。

理解可问责性的重要性

只有在支持可问责性时，组织的安全策略才能够被正确实施。即只有在主体的活动可问责时，才能够保持安全性。有效的可问责性依赖于检验主体身份以及跟踪其活动的能力。

能够解释不可否认性

不可否认新确保活动或事件的主体无法否认所发生的的事件。不可否认新能够防止主体宣称自己没有发送消息、没有执行过某项活动或者不是某个事件的起因。

理解安全管理计划编制

安全管理基于三种类型的计划：战略计划、战术计划、操作计划。战略计划是长期计划，并且是相当稳定的，用于定制组织机构的目的、任务和目标。战术计划是中期计划，用来提供更加详细的实现战略计划所提出目标的计划。操作计划是短期计划，是基于战略和战术计划的非常周祥的计划。

了解规范化安全策略结构的元素

为了生成全面的安全计划，需要适当地遵守下列要求：安全策略、标准、基准、指导方针和程序。这些文档清楚地描述了安全需求并反映了责任方的适度关注。

理解重要的安全角色

主要的安全角色有高层管理者、组织机构所有者、上层管理者、安全专家、数据所有者、数据管理员、用户和审计人员。通过构建全角色的层级，就可以全面限制风险。

了解如何实现安全意识培训

在真正的培训开始之前，必须为用户建立树立为公认实体的安全意识。一旦树立了安全意识，培训或教育员工执行工作任务和遵守安全策略就可以开始了。所有的新员工都需要进行培训，这样他们才能够遵守安全策略中规定的所有标准、指导方针和程序。教育是一项更细致的工作，学生/用户需要学习比他们完成工作任务实际所需知识多得多的知识。教育往往与用户参加认证考试或寻求职务晋升相关联。