1、资产识别和分类
(1)信息分级(classification)
- 按敏感度(机密性被破坏),比如confidential,sensitive
- 按重要程度(可用性被破坏损失的impact影响度)
- 分级控制
- 控制类别的选择取决于安全管理组及安全团队对相应类别信息的安全需求
- 对所有敏感数据和程序进行严格的和粒度的访问控制
- 在存储和传输的同时对数据进行加密
- 审计和监视(确定需要什么级别的审计和多长时间的日志被保留)
- 职责分离(判断两个或更多的人必须参与访问敏感信息,防止欺诈行为;定义相关程序)
- 定期审查(审查分类层次、数据和程序等相关内容,确保他们仍然与业务需求保持一致;数据或应用程序可能还需要重新分类)
- 备份和恢复程序(定义)
- 变更控制程序(定义)
- 物理安全保护(定义)
- 信息流动渠道(哪里敏感数据驻留,它如何在网络上传播)
- 妥善的数据处理程序,如切碎、消磁等等(定义)
- 标记,标识和处理程序
Marking(物理存储介质上做标记)
Labeling(系统里分级标注)
- 数据分级程序
- 定义分级级别
- 指定将确定数据分级的标准
- 确定负责数据分类的数据所有者
- 确定负责维护数据及其安全级别的数据保管者
- 指定每个分级级别所需的安全控制或保护机制
- 记录以前的分类问题的任何异常
- 指示可用于将信息的托管转移到不同数据所有者的方法
- 创建一个程序定期审查分类和所有权,将对数据托管的任何更改进行传播
- 显示程序重新分类数据
- 将这些问题整合到安全意识计划中
- 责任的层级
- 高级管理层理解公司的愿景、业务目标。
- 下一层是职能管理层,其成员了解各自部门如何工作,个人在公司内扮演什么角色,以及安全如何直接影响他们的部门。
- 下一层是运营经理和员工。这些层更接近公司的实际运作。他们知道详细的技术和程序要求,系统,以及如何使用系统的信息。
- 在这些层的员工了解安全机制集成到系统中,如何配置他们,以及他们如何影响日常生产力。
- 每一层级,都应该输入最好的安全措施,程序和选择的控制,以确保商定的安全级别提供必要的保护。
- 注意:高级管理层对组织安全负最终责任
(2)资产分级
- 资产管理与信息管理
- 资产管理是信息安全实施的基础,没有资产管理就无法深入了解信息安全事件
- 资产管理驱动访问控制建设,如NAC访问控制建设
- 软件license管理(防止侵权,安全管理员应协助实施控制,并定期检查)
- 设备生命周期安全管理
需求定义阶段:
定义安全需求、安全成本是否合适、是否满足安全架构
获取与实施阶段:
验证安全特性、安全配置、安全认证认可、设备入库
运行与维护阶段:
配置检测、漏洞评估、变更控制
废止阶段:
数据安全、配置库更新
- 资产管理的概念
- 库存管理:
主要是维护软硬件资产的状态 - 配置管理:
配置管理可以基于配置项(CI)建立分类、组件、上下游、父子关系等
基于配置项进行变更控制,监控配置项的状态
配置管理库(CMDB):集中管理所有资产配置信息的库 - 资产管理:
增加了资产的财务视角:成本、价值、合同状态
资产的全生命周期管理:从采购到废止
物理、财务、合同全方位管理
- 库存管理:
(3)理解数据状态
- 数据安全控制
- Data at rest(静态数据)
针对存储数据的保护,包括备份磁带、异地存储、密码文件和其他敏感数据。
风险:
恶意用户可能通过物理或逻辑访问存储设备,获取敏感信息。
推荐对策:- 制定并测试数据恢复计划
- 可移动设备和介质必须进行加密,包括笔记本、平板电脑、智能手机,可穿戴设备
- 选择合适的加密工具和算法,如AES加密
- 创建安全的口令
- 使用口令和密钥管理工具
- 可移动介质应当打上标签
- 可移动介质应当保存在安全的场所
- 记录可移动介质的位置,并进行跟踪管理
- Data at transit / Data in motion(动态数据)
针对传输数据的保护,主要通过加密方法,防止被截获,如链路加密,端到端加密。
风险:恶意用户可能截获或监控传输中的明文数据。
推荐对策:- 保密数据在任何网络上进行传输都必须进行加密,包括内网之间的传输
- 数据可以被web访问时,必须采用安全加密协议,如TLS1.2/1.3
- email传输必须使用PGP或S/MIME,并将数据通过加密软件或加密作为附件
- 非web数据应当采用应用级加密
- 网络层采用ipsec加密
- 应用和数据库之间通信应采用加密
- 设备之间传输敏感数据应当采用加密
- Data in use (end point)
使用中的数据/端点数据- 程序正在运行处理的数据
- DLP数据防泄露
- 定义:
瞄准防止企业敏感信息泄露的一套技术 - 部署DLP的优点:
保护关键业务数据和知识产权;
加强合规;
降低数据泄露风险;
加强培训和意识;
改进业务流程;
优化磁盘空间和网络带宽;
检测流氓/恶意软件; - 三个关键目标
将存储在整个企业的敏感信息进行定位和编程目录;
对整个企业敏感信息的移动进行监控和控制;
对终端用户系统敏感信息的移动进行监督和控制; - 组织敏感信息的分类、存储位置和传输路径
组织通常不能认识到他们处理的信息的类型和位置,购买DLP方案时首先要了解敏感数据类型和系统间以及系统到用户的数据流;
分类classifications和属性categories,如隐私数据、财务数据和知识产权等;
一旦对数据进行适当的识别和分类,更深的分析流程来帮助进行主要数据和关键数据路径的定位;
需要关注企业数据的生命周期,理解数据的处理、维护、存储和处置等能揭示更深的数据存储和传输路径; - 静态数据
识别和记录信息存储的位置;
找到后,DLP打开并识别文件的内容;
DLP使用爬虫系统,crawlers; - 动态数据
DLP solution:被动监控网络流量、识别捕获的正确数据流量、组装所收集的数据、在数据流中进行文件重建、执行静态数据同样的分析并确认文件内容任何部分是收到其规则限制的。
为检测企业网络数据移动,DLP方案使用特别的网络设备,或内置技术有选择的捕获和分析网络流量;
深度报文检测(DPI)技术,作为DLP的核心功能,DPI能够越过基本的包头信息阅读数据包载荷内容;
DPI技术允许DLP检测传输中的数据并确定内容、来源和目的地;
DLP有能力应对加密的数据(如具有加密密钥),或者在检测前进行解密并在检测完成后进行加密; - 使用中的数据
监控终端用户在他们的工作站上所采取数据移动行为;
使用Agent完成任务; - 隐写术和水印技术
watermark
隐写术是一种信息隐藏技术,是将大量信息隐藏在图片或视频文件中;
信息隐藏包括隐蔽通道、在web页面隐藏文本、隐藏可见文件、空密码;
- 定义:
- Data at rest(静态数据)
(4)确定数据安全控制
- 信息生命周期:
创建、使用、存储、传输、变更、销毁等 - 数据安全
- 针对数据安全的威胁行为包括:
滥用、恶意攻击、无意错误、非授权访问、物理设备盗窃或损坏、自然灾害等; - 采用分层的安全架构,以及深度防御架构
- 不间断电源,服务器镜像(冗余),备份,备份完整性测试;
- 物理访问控制,网络访问控制,防火墙,敏感数据加密;
- 软件补丁更新,事件响应,灾难恢复计划等;
- 采用基于风险管理的方法
- 风险评估
- 风险降低
- 评价和评估
- 针对数据安全的威胁行为包括:
- 数据管理最佳实践参考
- 制定数据策略,明确数据管理的战略目标和原则数据策略:
- 数据策略为企业或项目制定数据管理的长期战略目标
- 数据策略是一套高阶原则,为数据管理制定指导框架
- 数据策略用来解决一些战略问题,比如数据访问,相关法律问题,数据管理问题,数据管理责任,数据获取及其他问题
- 安全人员在指定数据策略时需要考虑的问题包括:
成本、所有权和管理权、隐私、责任、敏感性、法律和策略要求、策略和流程
- 清晰定义数据的角色和职责,包括数据提供者、所有者、和管理者
- 数据管理流程中的数据质量控制流程,确认和验证数据的准确性
- 数据管理文件化,并描述每个数据集中的元数据
- 根据用户需求和数据使用,来规划和定义数据库
- 信息系统基础设施、数据存储、数据备份以及数据自身的更新策略
- 持续的数据审计,提供数据和资产的管理有效性和数据完整性
- 持续实施分层的数据安全控制,来保护数据安全
- 明确定义数据访问标准,对数据访问进行全面控制
- 制定数据策略,明确数据管理的战略目标和原则数据策略:
(5)管理信息和资产
- Disposal 处理/处置
- 定义:当数据不在使用并做恰当销毁的时候
- 要点:数据确实被销毁,副本也被销毁被正确的销毁,数据恢复成本高于数据本身价值
- 消除数据残留(Remanence)
- Clearing 清除:
通过一般的系统或软件恢复工具无法恢复,特殊的实验室工具可以恢复(如数字取证的工具)
Overwriting复写:
使用程序对介质进行写操作以覆盖原有数据,通常要大于6遍 - Purging根除:
任何技术都无法恢复
Destruction破坏:
存储介质被破坏到常规设备无法读取和使用的地步至不可用。如介质销毁,从物理上销毁介质,完全销毁存储介质,最安全的方法。- 用化学方法使介质不可用、不可逆(如焚烧或腐蚀)物理上解体介质(如碾碎)shred形态转变(将固体硬盘液化或气化)对于磁性介质,提高温度以超越居里温度
使用强磁场或电磁场消除磁介质中的数据。- 磁盘消磁后就报废了
- 磁带消磁后还可以再用
- Sanitizing(某些上下文里等同于Purging)
- 删除和格式化:
是最不安全的方法。连Clearing 都不算,普通的软件工具就可以恢复。 - Encryption加密:
加密使其没有相应密钥的情况下不可读
云存储的数据安全和数据残留文件:使用数据加密 - SSD固态硬盘
用集成电路替代旋转磁盘上的磁道,消磁不适用SSD;
净化SSD最佳方法是销毁,物理破坏,使用粉碎机;
或者使用加密;
- Clearing 清除:
- 数据保留
- 根据业务要求和法律要求来制定数据保留策略
- 数据保留策略定义的步骤
- 评估法定要求、法规义务、业务需求
- 进行记录的分级
- 决定保留周期和销毁方法
- 拟定数据保留策略
- 培训员工
- 进行数据保留检查和审计
- 定期更新策略
- 文件化策略、流程、培训、审计等
- 保留什么数据
- 保留数据的决定必须是慎重的、具体的和可执行的
- 我们只想保留我们决定保留的数据,然后确保我们可以执行保留
- 数据保留时长
- 太短,数据可能还有用
- 太长,浪费数据保留成本也增加了相应的责任
- 电子发现
- 发现电子存储的信息
- EDRM电子发现参考模型标识保存,保存这些数据以确保它不是偶然或常规销毁,同时遵循订单收集处理,处理以确保数据和元数据都使用正确的格式审查,审查数据,以确保它是相关的分析生产,生产最终数据集给那些需要它的人提交,对外部受众的数据来证明或反驳索赔报告
- 备份和归档的区别
- 数据备份是当前使用的数据集的副本,用于从原始数据的丢失中恢复。备份数据通常变的不那么有用。
- 数据存档是不在使用的数据集的副本,但还需要保存,以备将来使用。当数据被归档时,它通常被从原来的位置移除,这样存储空间就可以在使用的数据中使用。
- 保护其他资产
- 保护移动设备
- 清点所有移动设备,包括序列号,以便他们可以被正确识别。通过应用基线安全配置来强化操作系统。
- 密码保护BIOS笔记本电脑。
- 与各自供应商注册所有设备,并在设备被盗时向供应商提交报告。如果被盗的设备发送修理,将识别是被偷来的,它将被标记相关案件如果你有失窃报案。
- 飞行时随身携带,不要托运。
- 从未离开移动设备无人值守,并把它放置在一个不起眼的位置。
- 加密设备上的所有数据。
- 使用曹锁与电缆连接同一台笔记本电脑。
- 纸质文件
- 教育员工正确处置纸质文件。
- 尽量减少纸质记录的使用。
- 确保工作区保持整洁,并定期审计工作,确保敏感文件不外露。
- 把所有敏感文件锁起来。
- 禁止在家里做敏感的文书工作。
- 标识所有文件的分类级别,理想情况下还包括使用者的名称和处置指令。
- 在员工离开办公室时进行随机搜索,以确保敏感材料不被带回家。
- 摧毁多余的敏感文件使用碎纸机,对于非常敏感的文件考虑烧毁。
- 保护移动设备
2、定义资产所有权
(1)数据的角色与责任
- 定义数据角色
- 建立全生命周期的数据所有权
- 逐步建立数据可追溯性
- 确保数据质量和元数据的指标维持在一个基本水平之上
- 数据所有者(Owner)
- 通常是管理者,负责特定的业务部门,并最终负责保护和使用特定信息子集
- 数据所有者有数据due care责任,因此将负责任何疏忽行为,导致数据的损坏或泄露
- 负责决定数据分级
- 批准数据的访问权
- 间接或直接决定谁可以访问特定的数据
- 信息一旦创建,必须明确所有权责任。通常是创建、购买、或获取信息的人
- 所有者责任通常包括:
定义信息对于组织使命的影响;
理解信息的替换成本;
判断组织内网的人谁需要信息,以及在哪种环境下发布信息;
了解在什么时候数据不在准确或不再需要,应当被销毁; - 数据所有者通常拥有数据的法律权限,包括知识产权和版权等
- 应当建立和文件化相关策略
数据所有权、知识产权、版权;
业务相关法定义务和非法定义务,确保数据合规;
数据安全、防泄漏控制,数据发布、价格、传播相关的策略;
在数据发布前,与用户或客户签署备忘录和授权协议,明确使用的条件;
- 资产所有者(系统所有者)
- 业务所有者(任务所有者)
- 数据处理者(Processors)
- GDPR区分数据控制者和数据处理者
- 个人数据处理中对数据保护可以使用的技术(假名化、匿名化)
- 数据保管者
- 数据管理者的主要责任包括:
遵照数据策略和数据所有权指南;
确保适当用户的访问权,以及维护适当级别的数据安全;
基本的数据集维护,包括不限于数据存储和归档;
数据集文档化,包括文档的更新;
确保数据质量,以及数据集的验证,包括阶段性审计来确保数据的完整性; - 与数据管理权限岗位相关的角色有:
项目经理,数据经理,IS经理,IT专家,数据库管理员,数据开发者,数据采集或获取
- 数据管理者的主要责任包括:
- 数据托管员
- 负责维护和保护数据
- 实施和维护安全控制
- 执行定期备份数据
- 定期验证数据的完整性
- 从备份介质恢复数据
- 保留记录的活动
- 实现公司的安全政策、标准和指南的要求,涉及到信息安全和数据保护
- 用户AUP可接受使用策略
- 保护隐私
3、使用安全基线
(1)为系统建立最小的防护措施
(2)企业可根据自己的情况定制安全基线
(3)范围和裁剪
- 通过范围定义和裁剪的方法,聚焦安全架构的重点
- 根据企业需求,灵活应用各类标准和基线