CISSP网络安全治理

#首发创作赛# 梳理重要的考点，以AIO为主线脉络，穿插了OSG的内容。有些概念给出了英文，因为不同的书翻译可能不一样，记住英文对考试很有帮助。如果这些内容都能记忆并理解，那么考试通过就没有问题。

1.1 网络安全的基本概念和术语（CIA三要素）

1.1.1 机密性（Confidentiality）意味着阻止未经授权的实体（无论是人员还是进程）访问信息资产。

可通过加密存储和传输中的数据、实施严格的访问控制和数据分类分级、适当地开展人员数据保护程序培训的方式提供机密性。

攻击方可通过持续监测（monitoring）系统、实施肩窥（shoulder surfing）攻击、盗取口令文件、破解加密系统以及实施社交工程攻击（social engineering attacking, SEA）来威胁机密性。

1.1.2 完整性（Integrity）意味着资产不存在未经授权的更改。只有经过授权的实体才能修改资产，且只能以经过授权的特定方式修改。

例如，造成数据出错、恶意修改数据或替换为不正确的数据。严格的访问控制、入侵检测和哈希技术可有效对抗这些威胁。

为保证安全性，应当精简用户的权限，只向其提供少数几个选择和功能，这样能减少错误，而且后果也不会那么严重。应当限制用户查看和访问系统关键文件。应用程序应当提供检查输入值是否合理有效的安全机制。数据库应当只允许授权用户修改数据，而传输数据则应当通过加密或其他安全机制实现保护。

1.1.3 可用性（Availability）保护用于确保授权用户能够可靠、及时地访问数据和资源，防止系统中断、崩溃。

应采取必要的保护机制应对来自组织内外的威胁，包括所有会影响各个业务处理组件的可用性及工作效率的威胁。

1.1.4 真实性（Authenticity）确保某些东西来自其声称的来源，且确信无疑。这个概念是身份验证的核心，真实性确定了尝试登录系统的实体确实是其声称的身份。

信息系统的真实性几乎总是通过加密技术提供。（TLS,哈希）

例如，当连接到银行的网站时，应使用传输层安全（Transport Layer Security, TLS）加密连接，然后TLS也会使用银行的数字证书向用户的游览器证明另一端确实是银行，而不是冒名顶替者。当用户登录时，银行会获取用户凭证的加密哈希，并与银行保存的用户记录哈希进行比较，确保另一端确实用户本人。

1.1.5 不可否认性（Nonrepudiation）与真实性密切相关，意味着某人不能否认自己是特定行为的发起发。

最常见的方法是使用数字签名提供不可否认性。措施：数字签名（OSG P6）AAA服务：是指标识（identification）、身份验证（authentication）、授权（authorization）、审计（auditing）和记账（或称问责 accounting）

提示：区分真实性和不可否认性的一个简单方法是，真实性证明了特定时间点的交谈对象确实是特定的人。不可否认性则向大家证明这个特定的人曾做过某事或说过某话。

1.1.6 平衡安全性，CIA三元组原则对应的一些安全控制措施。

可用性：

• 独立磁盘冗余阵列（Redundant Array of Independent Disks, RAID）
• 集群（Clustering）技术
• 负载均衡（Load Balancing）技术
• 冗余数据
• 冗余电源供给
• 软件和数据备份
• 磁盘映像（Disk Shadowing）
• 主机代管（Co-location）和异地备用基础设施
• 回滚（Rollback）功能
• 容灾切换（Failover）配置

完整性：

• 哈希运算（数据完整性）
• 配置管理（系统完整性）
• 变更控制（流程完整性）
• 访问控制（物理性及技术性）
• 软件数字签名
• 传输循环冗余校验（Cyclic Redundancy Check, CRC）功能

机密性：

• 静止状态数据加密（全盘加密技术和数据库加密技术）
• 传输状态数据加密（例如，IPSec、TLS、PPTP和SSH等）
• 访问控制技术（物理性和技术性）

1.1.7 其他安全术语

漏洞（Vulnerability）是系统中的弱点（Weakness），威胁源可利用漏洞来破坏资产安全性。

威胁（Threat）是指利用漏洞带来的任何潜在危险。威胁载体（Threat Agent）或威胁行为方（Threat Actor）。威胁载体可能是通过防火墙上的某个端口访问网络或违反安全策略实施数据访问的入侵方，也可能是某位员工规避了各项控制措施而将文件复制到介质上，从而导致机密信息泄露。

风险（Risk）是指威胁源利用漏洞的可能性以及相应的业务影响（Impact）。

漏洞利用（Exposure）指造成损失的实例。漏洞将组织暴露（Expose）给可能的破坏。

控制措施（Control）或安全对策（Countermeasure）能缓解（Mitigate）或降低（Reduce）潜在风险。安全对策可以是软件配置、硬件设备或工作程序，安全对策能完全消除漏洞或降低威胁载体利用漏洞的可能性。安全对策的示例包括强口令管理、防火墙、警卫（Security Guard）、访问控制机制（Access Control Mechanism, ACM）、加密技术以及安全意识宣贯培训（Security Awareness Training, SAT）。

注意：控制措施（Control）、安全对策（Countermeasure）和保护措施（Safeguard）的含义相似，都指降低风险的机制（Mechanism）。

1.2 安全治理原则

安全治理（Security Governance）是一个框架，支持由高级管理层制定和表达的组织安全目标，应在组织的不同层级充分沟通，并一致地实施和评估。

安全治理向需要实现和执行安全性的实体授予所需的权利，并提供方法验证这些必要的安全活动的效果。

高级管理层不仅需要指明安全的方向，还需要一种方式来审查和了解这些指示是否得到满足，以及是如何得到满足的。

安全治理会作为正式的网络安全计划或信息安全管理体系（Information Security Management System, ISMS）实施。无论使用哪个名称，安全治理都是一组策略、工作程序、基线和标准的集合，组织用于确保其安全努力和业务需求一致，实施顺畅而有效，并且安全控制措施没有缺失。下图列举了构成完整安全计划的若干元素。

1.2.1 帮助安全性和业务战略保持一致

企业安全架构（Enterprise Security Architecture, ESA），了解安全计划如何与业务战略保持一致。

• 战略一致性（Strategic Alignment）是指企业安全架构应能满足业务运营驱动因素、监管合规和法律法规的要求；
• 业务支持，在考虑企业安全架构的业务支持需求时，组织需要时刻提醒自己：每个组织都有一个或多个特定的业务目标。
• 流程强化（Process Enhancement），能充分发挥流程强化的优势，将对组织产生巨大帮助。

1.2.2 组织流程

• 并购（Mergers and Acquisitions）
• 资产剥离（Divestiture）
• 治理委员会（Governance Committee）

1.2.3 组织角色和责任

高级管理层（Senior Management）对组织的安全责任负有最终责任（Ultimate Responsibility）

1、执行管理层

• 首席执行官（Chief Executive Officer, CEO），可委派任务，但不一定要承担责任，但信息安全法规要求CEO负责确保组织在信息安全方面应履行适度关注（或尽责，Due Care）和适度勤勉（或尽职，Due Diligence）;
• 首席财务官（Chief Financial Officer, CFO）负责组织的会计和财务活动，以及组织的整体财务结构;
• 首席信息官（Chief Information Officer, CIO）可基于组织结构向CEO或CFO汇报，并负责组织内信息系统和技术的战略使用和管理;
• 首席隐私官（Chief Privacy Officer, CPO）负责确保客户、组织和员工数据的安全，从而帮助组织远离刑事和民事法庭，并避免成为新闻头条的主角，通常是一名具有隐私法经验的律师，直接参与制定数据如何收集、保护和分发给第三方的策略，通常汇报给CSO；
• 首席安全官（Chief Security Officer, CSO）负责了解组织面临的所有风险，并将这些风险降至业务可接受的水平;

2、数据所有方

数据所有方（Data Owner 或 Information Owner，信息所有方）通常是管理层的成员，负责特定的业务单元，并最终负责保护和使用特定的数据子集

• 应对数据做到适度关注，对任何导致数据损坏或泄露的疏忽行为负责；
• 负责决定数据的分类分级，并在业务运营需求出现变化时调整数据分类分级方案；
• 负责确保安全控制措施有效，基于分类和备份需求指定安全防护水平；
• 负责批准必要的信息披露，确保指定了合理的访问权限，并负责定义用户访问标准；
• 批准访问请求，或可选择将此功能委托给业务单元管理人员；
• 负责处理与所管理的数据相关的安全违规行为。

实际中，往往将数据安全和隐私保护体系的日常维护职责委托给数据托管方。

注意：在讨论外包数据存储需求时，数据所有权（Data Ownership）具有不同含义。组织往往要求确保服务合同中包含这样一项条款，大意是：所有数据都是（且应该是）组织的唯一且具有排他性的财产。

3、数据托管方

数据托管方（Data Custodian 或 Information Custodian, 信息托管方）负责维护和保护数据，通常由IT部门、安全部门或两者协同担任，职责包括执行及维持安全控制措施、定期备份数据、定期验证数据的完整性、从备份介质中恢复数据和维护数据留存记录，还包括满足组织安全策略、标准和准则中对于信息安全和数据保护的规定要求等。

4、系统所有方

系统所有方（System Owner）负责一个或多个业务系统，其中每个系统可能保存或处理不同数据所有方的数据，负责将安全考虑纳入应用程序和系统采购决策以及软件研发项目中，负责确保必要的控制措施、口令管理（Password Management）、远程访问控制以及操作系统配置等提供足够的安全性。这个角色应确保能正确地评估系统的漏洞，并且应向事故响应团队（Incident Response Team）和数据所有方提交漏洞管理报告。

注意：每个业务单元都应任命一个数据所有方以保护最关键的信息资产，组织的策略应赋予数据所有方必要的权力以履行其责任。数据所有方不是一个技术角色，而是一个业务角色。数据所有方应理解业务单元的各项成功要素与关键资产保护机制之间的关系，并不是所有的组织管理层都理解这个角色，安全专家应该给予管理层必要的培训。

5、安全管理员

安全管理员（Security Administrator）负责在企业中部署和维护特定的网络安全设备和软件。控制措施通常包括防火墙、入侵检测系统（Intrustion Detection System, IDS）、入侵防御系统（Intrustion Prevention System, IPS）、防恶意软件工具、安全代理以及数据丢失（Data Loss Prevention）等。

安全管理员与网络管理员的职责之间通常存在一定区别。安全管理员的主要关注点是保证网络系统的安全性，而网络管理员的关注点是保持网络系统的正常运行。

安全管理员的任务通常还包括创建新的系统用户账户、部署新的安全软件、测试安全补丁和组件，以及制定新的口令策略。

6、主管

主管（Supervisor）也被称为用户经理（User Manager），最终对所有用户活动以及这些用户创建和拥有的任何资产负责。

7、变更控制分析师

变更控制分析师（Change Control Analyst）负责审批针对网络系统、应用系统或软件的变更请求，应确保变更不会引入任何漏洞、确认变更经过充分测试且正确地部署变更。

8、数据分析师

数据分析师（Data Analyst）负责确保数据以对组织和需要访问和使用数据的组织员工最有意义的方式存储。

9、用户

用户（User）是指使用数据完成工作任务的任何个人，应具有恰当的数据访问权限以履行其职责，并严格遵守运营安全程序以确保数据的机密性、完整性以及对他人的可用性。

10、审计师

审计师（Auditor）是定期检查每个人是否都已履行其工作职责，并确保控制措施运转正常并且是安全的。目标是确保组织遵守自身的安全策略，以及满足法律法规和监管合规的要求。

1.3 安全策略、标准、工作程序和准则

1.3.1 安全策略

安全策略（Security Policy）是由高级管理层（或选定的策略董事会或委员会）制定的一份全面声明，规定了安全在组织内扮演的角色。安全策略可以是组织策略、关于特定问题的策略或关于特定系统的策略。在组织安全策略（Organizational Security Policy）中，管理层确定如何建立安全计划、列出计划目标、分配职责、说明安全的战略和战术价值，并论述应该如何执行安全计划。安全策略应涉及相关法律、法规和责任问题，还应涉及如何遵从这些规定。组织安全策略也称为主（Master）安全策略，有几个应理解和实现的重要特征：

• 组织业务目标(Business Objective)驱动安全策略的创建、实现和执行。安全策略不应该阻碍业务目标的实现。
• 组织安全策略应该是一份为管理层和全体员工提供参考的、易于理解的文档。
• 组织安全策略应建立、实现安全性，并将其集成到所有业务功能和流程中。
• 组织安全策略应借鉴并支持适用于组织的所有法律法规。
• 组织安全策略应随组织的发展变化(例如，采用新的商业模式、与其他组织合并或所有权发生变更时)而审查和修订。
• 组织安全策略的每一次更迭都应注明日期，并实施严格的版本控制。
• 监管组织安全策略的部门和个人应能方便地查看该策略的内容。应贯彻实施的安全策略通常发布在内联网的门户网站上。
• 制定组织安全策略应考虑未来几年的状况。这有助于确保策略具有足够的前瞻性，以应对可能发生的变化。
• 组织安全策略表现出的专业水准能强化其重要性以及遵从的必要性。
• 组织安全策略中不应包含任何无法理解的语言。应使用清晰、易于理解和可接受的陈述性声明。
• 定期审查组织安全策略，并基于自上一次审查和修订以来发生的事故予以修订。

特定问题策略（Issue-specific Policy）也称为功能策略（Functional Policy），主要处理管理层认为需要更多详细解释和关注的特定安全问题，确保建立一个完善的安全结构，帮助所有员工都了解应当如何遵从这些安全策略。

提示：安全策略（Policy）应当独立于技术和解决方案。安全策略仅论述目标和任务，但不规定组织在完成这些目标和任务时应采用哪些具体的安全控制措施。下面列出常见的安全策略层级，说明主策略和支持主策略的特定问题策略之间的关系。

组织安全策略：

• 可接受的使用策略
• 风险管理策略
• 漏洞管理策略
• 数据保护策略
• 访问控制策略
• 日志聚合和持续审计策略
• 人员安全策略
• 物理安全策略
• 安全应用程序研发策略
• 变更控制策略
• 该策略需要一个支持怕
• 电子邮件策略
• 事故响应策略

特定系统策略(System-specific Policy)体现了管理层对实际计算机、网络和应用程序的安全决策。组织的特定系统策略既可规定应当如何保护包含敏感信息的数据库、谁可访问数据库以及应该如何开展持续审计活动，也可规定应该如何锁定和管理笔记本电脑。这类策略针对一个或一组相似系统，规定了应该如何开展保护活动。

安全策略是在宏观层面编写的，以便广义地涵盖多项主题。通过使用工作程序、标准、准则和基线，可为安全策略提供粒度更细的支持。策略是基础，而工作程序、标准、准则和基线提供安全框架。在安全框架中填充必要的安全控制措施(行政性、技术性和物理性)，从而提供全面的安全计划。

1.3.2 标准

标准（Standard）是指强制性活动、行动或规则。标准描述了用于实现策略目标的具体要求。标准是明确的、详细的和可测量的。对于特定资产或行为是否符合特定的标准，不应产生歧义。

安全策略的类型

安全策略一般分为以下几种类型：

监管性策略(Regulatory) 这类策略确保组织遵从特定行业法规制定的标准(如HIPAA、GLBA、SOX 及 PCI DSS 等;详见第 3章)。这是一种非常详细且具有行业针对性的策略类型。该策略类型用于金融机构、医疗基础设施、公共事业和其他受政府监管的行业。

建议性策略(Advisory) 这类策略强烈建议员工在组织中应采用的或不应采用的某些行为和活动。该类型的策略也对员工不遵守法规的情况作出了相应的处罚规定。例如，这种策略可用于描述对医疗信息和金融信息的处理。

指示性策略(Informative) 这类策略用于告知员工相关信息，这并非一种强制性策略，而是用于传达个人与组织相关的特定问题的策略。该策略会解释组织如何与合伙人打交道、组织的目标和使命，以及不同情况下的总体报告结构。

组织可能有一个关于数据分类分级的特定问题策略，规定“应适度保护所有机密数据”。该策略需要一个支持性数据保护标准，规定应该如何实现和遵循这种保护，如“应使用AES-256 加密算法保护静止状态和传输状态的机密信息”。

1.3.3 基线

术语“基线（Baseline）”指在将来变更时用于比较的最终参考点。一旦风险得到缓解，安全性得到保证，就可正式审查基线并达成一致意见，然后基于基线实施进一步的比较和研发。基线会产生一致的参考点。

基线还用于定义所需的最低保护水平。在安全领域，可为每类系统定义特定的基线，这些基线规定必要的设置和保护级别。

注意：组织还应制定和实施非技术导向的基线。例如，某组织可能强制要求所有员工在工作时始终佩戴印有照片的工作证。公司还可能要求访客应在前台登记，在公司参观时要有人陪同。如果这些规定得到有效遵守，就建立了一个保护基线。

1.3.4 准则

准则（Guideline）是在没有特定标准可用时，向用户、IT人员、运营人员及其他人员提供的建议性举措和运营指导。

1.3.5 工作程序

工作程序（Procedure）是为了实现某个目标而执行的包含详细步骤的任务。

1.3.6 实施

支持策略的标准（Standard）要求数据库中所有的客户信息在存储时应使用高级加密标准（Advanced Encryption Standard,AES）算法加密，并且除非使用IPSec 加密技术，否则不能通过 Internet 传输。这个标准指明了所需的保护类型，并提供了更细粒度的说明。支持标准的工作程序（Procedure）准确解释了如何实施AES 和IPSec技术，而准则（Guideline）涵盖了如何处理数据在传输过程中意外损坏或泄露的情况。一旦按照工作程序中的描述配置了软件和设备，就形成了应始终维护的基线（Baseline）。所有这些共同为组织提供了安全结构。因此，不仅需要编制安全策略及相关规定，还应予以实施和执行。

1.4 人员安全

可采取安全控制措施减少欺诈、破坏、信息滥用、盗窃和出现其他安全隐患的可能性。

职责分离（Separation of Duties, SoD）是一种可降低欺诈可能性的安全控制措施，分为知识分割（Split Knowledge）和双重控制（Dual Control），这两种情况下，两名或更多的授权人员共同履行职责或执行任务。（N分之M控制措施，M of N Control，仲裁身份验证，Quorum Authentication）

职责轮换（Job Rotation，也称 Rotation of Assignments，岗位轮换）是一种行政性、检测性控制措施，可发现欺诈活动。任何人都不应该长期从事同一岗位，因为这些人最终可能会对这部分业务拥有过多控制权，可能导致欺诈或滥用资源。在敏感领域工作的员工应该强制履行假期，称为强制休假（Mandatory Vacation）。

1.4.1 候选人筛选和招聘

背景调查活动对雇主和组织有实际好处，是组织防御内部攻击的第一道防线。开展背景调查的最终目的是同时做到以下几点：

• 降低风险
• 降低招聘成本并有效降低员工的流动率
• 保护客户和员工免受可能实施恶意和不诚实行为人员的伤害，这些行为可能损害组织、员工、客户和公众

背景调查的内容可能包括：身份证号码跟踪、刑事案件查询、性侵犯罪登记查询、就业记录、教育经历、专业能力认证、移民查询、职业许可/认证确认、信用报告、毒品筛查等。

1.4.2 雇佣协议和策略

1.4.3 入职、调动和解聘流程

组织应制定保密协议（Non-disclosure Agreements, NDA），并要求新员工签署这些协议，以保护组织及其敏感信息。

1.4.4 供应商、顾问和承包商

签订服务协议，可包括对安全控制措施的具体要求，或利用现有的标准。

假设供应商、顾问和承包商不可信，然后对其绩效的各个方面实施严格控制。

1.4.5 合规政策

1.4.6 隐私策略

1.4.7 安全意识宣贯、教育和培训计划

1.4.8 学历或证书

1.4.9 意识建立和培训的方法与技巧

安全意识宣贯计划（Security Awareness Program, SAP）通常有三种受众群体：管理层，普通员工和技术人员。

1.4.10 定期审查安全意识宣贯内容

1.4.11 计划有效性评价

1.5 职业道德

1.5.1 ISC2职业道德准则

CISSP四条规范

• 保护社会、公共利益与基础架构，赢得必要的公众信心与信任
• 行事端正、诚实、公正、负责、守法
• 勤奋尽责、专业胜任
• 推动行业发展、维护职业声誉

1.5.2 组织道德准则

1.5.3 计算机道德协会

计算机道德协会(Computer Ethics Institute)是一个非营利组织，致力于以道德方式帮助推进技术发展。如下所示，计算机道德协会制定了计算机道德十诫：

1. 不得使用计算机伤害他人。
2. 不得干预他人的计算机工作。
3. 不得窥探他人的计算机文件。
4. 不得使用计算机实施盗窃。
5. 不得使用计算机提交伪证。
6. 不得复制或使用尚未付款的专利软件。
7. 在未获授权或未提交适当赔偿的前提下，不得使用他人的计算机资源。
8. 不得盗用他人的知识成果。
9. 应该考虑所编写的程序或正在设计的系统的社会后果。
10. 在使用计算机时，应考虑尊重他人。

1.6 本章回顾

本章阐述了网络安全的一些基本原则:安全的含义、管理方式以及在企业中实施的方式。然后，重点转向了安全最重要的方面:人员。人员对于任何组织都是最重要的资产，也可能是网络安全最大的捍卫者或破坏者。区别在于组织雇用谁、给员工分配什么角色，以及如何培训员工。把合适的人员安置在合适的岗位上，并予以良好训练，组织就会拥有强健的安全状况。否则，后果自负。

信息系统安全方面的共同目标可归结为，在一个复杂多变的环境中，确保信息的可用性、完整性和机密性。影响因素包括组织目标、资产、法律、法规、隐私、威胁，当然还有人员。本章详细讨论其中每一个因素。在此过程中，还介绍了将安全性与每个影响因素关联的切实方法。作为 CISSP，应能够熟练地建立此类关联关系，能够对任何安全问题应用正确的解决方案。

1.7 快速提示

• 安全的目标是提供可用性、完整性、机密性、真实性和不可否认性。
• 机密性意味着阻止未经授权的实体(无论是人员还是进程)访问信息资产。
• 完整性意味着资产不存在未经授权的更改。
• 可用性保护用于确保授权用户能够可靠、及时地访问数据和资源。
• 真实性保护确保某些东西来自其声称的来源，是可相信的。
• 不可否认性与真实性密切相关，意味着某人不能否认自己是特定行为的发起方。
• 系统中威胁源用以破坏资产安全性的弱点即是漏洞。
• 威胁是指利用漏洞带来的任何潜在危险。
• 威胁源(威胁载体，或威胁行为方)是可利用漏洞的任何实体。
• 风险是威胁源利用漏洞以及造成业务影响的可能性。
• 控制措施或安全对策能缓解或降低潜在风险。
• 安全治理是一个提供监督、问责和合规性的框架。
• 信息安全管理体系(Information Security Management System，ISMS)是一组策略、工作程序、基线和标准的集合，组织用于确保其安全努力和业务需求相一致，实施顺畅而有效，并且没有安全控制措施缺失。
• 企业安全架构定义了信息安全战略，包括分层次的解决方案、流程和程序，以及这些解决方案、流程和程序与整个企业的战略、战术和运营的关联方式。
• 企业安全架构应具有战略一致性、业务支持、流程强化和安全有效性。
• 安全治理是一个框架，支持由高级管理层制定和表达的组织安全目标，应在组织的不同层级充分沟通，并一致地实施和评估。
• 高级管理层对组织的安全负有最终责任。
• 安全策略是管理层对安全在组织中所起作用的说明。
• 标准是描述了特定要求的文件，这些要求本质上是强制性的，并支持组织的安全策略。
• 基线是安全的最低级别。
• 准则是推荐性的，是提供了建议和灵活性的一般方法。
• 工作程序是为了实现某个目标而执行的包含详细步骤的任务。
• 职责轮换和强制假期是有助于发现欺诈的行政性控制措施。
• 职责分离确保某项关键活动或任务不能由一个人完全控制。
• 知识分割和双重控制是职责分离的两种变体。
• 社交工程是一种操纵某人向未经授权的个人提供敏感数据的攻击方式。
• 安全意识宣贯培训应该是全面的、针对特定群体和整个组织分别定制的。
• 游戏化是将游戏元素用于其他活动，如安全意识宣贯培训。
• 安全斗士作为组织成员，尽管其岗位职责并不包括安全，但安全斗士可宣传并鼓励在自己的团队中采用安全实践。
• 职业道德规范了特定群体的正确行为方式。