CISSP 第5章 保护资产的安全

1、资产识别和分类

1.1 敏感数据
1.1.1 定义

敏感数据是任何非公开或非机密的信息，包括机密的、专有的、受保护的或因其对组织的价值或按照现有的法律和法规而需要组织保护的任何其他类型的数据。

1.1.2 个人身份信息PII

个人身份信息（PII）是任何可以识别个人的信息。包括以下两类：

a.可用于区分或跟踪个人身份的任何信息，如姓名、身份证号码、社保号码、出生日期和地点或生物特征记录；

b.与个人相关或可链接的任何其他信息，如医疗、教育、财务和就业信息。

1.1.3 受保护的健康信息PHI

受保护的健康信息（PHI）是与特定人相关的任何健康相关信息。在美国，《健康保险便携性和责任法案》HIPAA规定了PHI保护。

HIPAA提供了PHI的更正式定义，健康信息是指无论是口头的还是以任何形式或媒介记录的以下任何信息：

a.由医疗保健提供者、医疗计划、公共卫生当局、雇主、人寿保险公司、学校或大学或医疗保健清算所创建或接收；

b.与任何个人过去、现在或将来的身体或心理健康或状况、向个人提供的医疗保健、或向个人提供医疗保健的过去、现在和将来的付款有关的信息。

c.根据HIPAA，雇主保存的健康信息作为员工雇佣记录的一部分不被视为PHI。然而，管理自费健康计划的雇主必须满足某些要求，将雇佣记录与健康计划记录分开，以避免不允许的PHI披露。

1.1.4 GDPR中敏感数据

GDPR中敏感数据指特殊类别的个人数据：种族民族起源、政治观点、宗教或哲学信仰或工会会员身份、基因数据、生物特征数据、有关健康的数据等

1.2 信息分级（信息分类）
1.2.1 定义

数据分类可识别数据对组织的价值，对于保护数据的保密性和完整性至关重要。这些策略识别出组织内使用的分类标签，确定了数据所有者如何确定适当分类，以及人员如何根据分类保护数据。

1.2.2 数据分级

政府：绝密TOP secret、秘密Secret、机密Confidential、未分类Unclassified

非政府：机密/专有Confidential/Proprietary、私有Private、敏感Sensitive、公开Public

1.2.3 分级控制

a.控制类别的选择取决于管理组及安全团队对相应类别信息的安全需求；

b.对所有敏感的数据和程序进行严格的粒度访问控制；

c.对存储和传输的同时对数据进行加密；

d.职责分离：判断两个或更多的人必须参与访问敏感信息，防止欺诈行为，定义相关程序；

e.定期审查：审查分类层次、数据和程序等相关内容，确保他们仍然与业务需求保持一致，数据或应用程序可能还需要重新分类；

f.标记：标记和处理程序

1.2.4 责任的层级

a.高级管理者理解公司愿景，业务目标；

b.职能管理者了解各自的部门如何工作，个人在公司内扮演什么角色，以及安全如何直接影响他们的部门；

c.运营经理和员工知道详细的技术和程序要求，以及如何使用系统的信息；

d.每一层级都应输入最好的安全措施，程序和选择的控制，以确保商定的安全级别提供必要的保护；

e.高级管理层对组织安全负有最终责任。

1.3 资产分级
资产分级应与数据分级相匹配，如果一台计算机正在处理绝密数据，那么这台计算机也应该被归类成绝密资产。

1.4 确定数据安全控制
1.4.1 信息生命周期

创建、使用、存储、传输、变更、销毁等

1.4.2 数据安全策略

a.针对数据安全的威胁行为，包括：滥用、恶意攻击、无意错误、非授权访问、物理设备盗窃或损坏，自然灾害等；

b.采用分层的安全架构，以及深度防御架构，包括：1.不间断电源，服务器镜像（冗余），备份，备份完整性测试；2.物理访问控制，网络访问控制，防火墙，敏感数据加密；3.软件补丁更新，事件响应，灾难恢复计划等.

c.采用基于风险管理的方法：风险评估、风险降低、评价和评估.

1.5 理解数据状态
1.5.1 静态数据

a.静态数据是存储在系统硬盘、外部USB驱动器、SAN（存储区域网络）和备份磁盘等介质上的任何数据。针对静态数据的保护，包括备份磁带、异地存储、密码文件等。

b.风险：恶意用户可能通过物理或逻辑访问存储设备，获取敏感信息

c.保护对策：1.制定并测试数据恢复计划；2.可移动设备和介质必须进行加密，包括笔记本、平板电脑、智能手机、可穿戴设备；3.选择合适的加密工具和算法，如AES加密；4.创建安全的口令；5.使用口令和密钥管理工具

1.5.2 动态数据

a.动态数据是指通过网络传输的任何数据，这包括使用有线或无线或通过内部网络传输的数据。针对传输数据的保护，主要通过加密方法，防止被截获，如链路加密、端到端加密。

b.风险：恶意用户可能截获或监控传输中的明文数据。

c.保护对策：1.数据可以被Web访问时，必须采用安全加密协议，如TLS1.2；2.Email传输必须使用PGP或S/MIME，并将数据通过加密软件加密作为附件；3.网络层使用IPsec加密；4.保密数据在任何网络进行传输必须加密；5.应用和数据库之间通信应采用加密。

1.5.3 使用中的数据

a.使用中的数据也被称为正在处理的数据，是指应用程序正在使用内存或临时存储缓冲区中的数据。应用程序通常在将加密数据放入内存之前对其进行解密。这允许应用程序对其进行处理，但重要的是不再需要数据时刷新这些缓冲区。

b.在某些情况下，应用程序可以使用同态加密处理加密数据，这限制了风险，因为内存处理的是加密的数据。

1.6 管理信息和资产
1.6.1 标记敏感数据和资产

a.标记敏感信息确保用户可方便地识别任何数据的分类级别。物理标签是指在介质上贴标签，数字标签是指电子标签。

b.数据防泄漏DLP：

①定义：防止企业敏感信息泄露的一套技术

②部署DLP优点：保护关键业务数据和知识产权；加强合规；降低数据泄露风险；加强培训和意识；改进业务流程；

③关键目标：将存储在整个企业的敏感信息进行定位；对整个企业敏感信息的移动进行监控和控制；对终端用户系统敏感信息的移动进行监控和控制。

④隐写术和水印技术：隐写术是一种信息隐藏技术，将大量信息隐藏在图片和视频文件中；信息隐藏包括隐蔽通道、在Web页面隐藏文本、隐藏可见文件、空密码；

1.6.2 处理敏感信息和资产

定义：处理指的是介质在有效期内的安全传输。

1.6.3 存储敏感数据

定义：敏感数据应以防止它受到任何损失类型的影响的方式存储。

1.6.4 销毁敏感数据

a.定义：当数据不再使用并做恰当销毁的时候。

b.数据确实被销毁，包括副本也被销毁；数据被正确销毁，数据恢复的花费高出数据本身的价值。

1.6.5 消除数据残留

a.清除clearing：通过一般的系统或软件恢复工具无法恢复，特殊的实验室工具可以恢复。使用覆写技术，对介质进行写操作以覆盖原有数据，通常进行三遍。

b.根除Purging：任何技术都无法恢复。使用破坏，存储介质被破坏到常规设备无法读取和使用的地步；使用消磁技术，通过强磁场或电磁场消除磁介质中的数据。

c.净化sanitizing：有时泛指消除数据残留的方法；也被指做生产数据脱敏处理。

d.删除和格式化：是最不安全的方法。

e.加密encryption：加密数据使其没有密钥的情况下不可读。

f.SSD固态硬盘：物理破坏，使用粉碎设备是净化SSD的最佳方法，或者使用加密技术。

1.6.6 确保适当的资产保留期

a.根据法律法规要求来制定数据保留策略。

b.数据保留时长：如时间太短，数据可能还有用；如时间太长，浪费数据保存成本，也增加了相应的责任。

c.备份和归档的区别：①数据备份是当前使用的数据集的副本，用于从原始数据的丢失中恢复。②数据存档是不再使用的数据集的副本，但需要保存以备将来使用。当数据被归档时，它通常被从原来的位置移除，这样存储空间就可以重新被使用。

1.6.7 保护其他资产

a.保护移动设备，包括：①清点所有移动设备，包括序列号，以便他们可以正确识别；②密码保护BIOS的笔记本电脑；③飞行时随身携带，不托运；④加密设备上的所有数据。

1.6.8 生命周期结束EOL、支持终止EOS、服务寿命终止EOSL

a.生命周期结束是指制造商不再生产产品的时间点，服务和支持会在EOL后继续一段时间，但不会提供新版本进行销售和分发；

b.服务寿命终止EOSL或支持终止EOS是指不再从供应商处获得更新和支持的服务；

c.EOL、EOS、EOSL可适用于软件或硬件；

d.EOL产品应在其出现故障或达到支持终止EOS或使用寿命终止EOSL之前安排更换。

2、定义资产所有权

2.1 定义
组织内的许多人管理、处理和使用数据，不同角色有不同的需求，定义数据角色，建立全生命周期的数据所有权，逐步建立数据可追溯性，确保数据质量和元数据的指标维持在一个基本水平之上。

2.2 数据所有者
a.通常是管理者，负责特定的业务部门，并负责保护和使用特定信息子集；

b.数据所有者有数据due care责任，因此将负责任何疏忽行为，导致数据的损坏或泄露；

c.负责决定数据分级，批准数据的访问权，间接或直接决定谁可以访问特定的数据；

d.数据所有者通常拥有数据的法律权限，包括知识产权和版权等；

e.信息一旦创建，必须明确所有权责任，通常是创建、购买、或获取信息的人；

f.所有者责任通常包括：①定义信息对于组织使命的影响；②理解信息的替换成本；③判断组织内网的人谁需要信息，以及在哪种环境下发布信息；④了解在什么时候数据不再准确或不再需要，应当被销毁。

g.应当建立和文档化相关策略：①数据所有权、知识产权、版权；②业务相关的法定义务和非法定义务，确保数据合规；③数据安全、防泄密控制，数据发布、加工、传播相关的策略；④在数据发布前，与用户或客户签署备忘录和授权协议，明确使用的条件。

2.3 资产所有者
资产所有者是拥有处理敏感数据的资产或系统的人员。

2.4 数据使用者/数据处理者
a.GDPR中区分数据控制者和数据处理者：①数据控制者决定数据处理的目的和方式；②数据处理者按照数据控制者的要求对数据进行处理。

b.个人数据处理中可以使用的数据保护技术：①假名化，假名化可以防止通过数据直接识别到个人；②令牌化/标记化，令牌化是使用令牌（通常是随机字符串）来替换其他数据，通常用于信用卡交易；③匿名化，去除所有相关数据，使得理论上无法识别数据主体或个人的过程；④数字版权管理DRM，试图为受版权保护的作品提供版权保护，目的是防止未经授权的使用、修改和分发受版权保护的作品；⑤云访问安全代理CASB，是一种逻辑上位于用户和基于云的资源之间的软件，它监控所有活动并执行管理员定义的安全策略。

2.5 管理员
数据管理员负责授予人员适当的访问权限，管理员未必具有全部管理员权限和特权，但具备分配权限的能力。

2.6 托管员
a.负责维护和保护数据；

b.实施和维护安全控制；

c.执行定期备份数据；

d.定期验证数据的完整性；

e.从备份介质恢复数据；

f.保留记录的活动；

g.实现公司的安全政策、标准和指南的要求，涉及到信息安全和数据保护。

2.7 用户
a.用户是通过计算系统访问数据以完成工作任务的人；

b.用户需要遵从AUP可接受使用政策

2.8 保护隐私
a.组织有义务保护他们收集和维护的数据。

3、使用安全基线

3.1 定义
安全基线提供了一个基点并确保了最低安全标准，为系统建立最小的防护措施，企业可以根据自己的情况定制安全基线。

3.2 范围界定和按需定制
a.通过范围定义和裁剪的方法，聚焦安全架构的重点；

b.根据企业的需求，灵活应用各类标准和基线。
————————————————
版权声明：本文为CSDN博主「KALC」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/qq_42947816/article/details/129255125