引言：資產(chǎn)安全風(fēng)險(xiǎn)來源于人，可通過法律和道德來進(jìn)行約束。安全是公司全體員工的責(zé)任，最終責(zé)任為CEO。

安全與風(fēng)險(xiǎn)管理知識(shí)領(lǐng)域涉及如下考點(diǎn)，具體內(nèi)容分布于如下各個(gè)子章節(jié)：

• 理解、遵從與提升職業(yè)道德
• 理解和應(yīng)用安全概念
• 評(píng)估和應(yīng)用安全治理的原理
• 確定合規(guī)性和其他要求
• 理解在全球背景下與信息安全相關(guān)的法律和監(jiān)管問題
• 理解調(diào)查類型的要求（即行政、刑事、民事、監(jiān)管、行業(yè)標(biāo)準(zhǔn)）
• 制定、記錄和實(shí)施安全政策、標(biāo)準(zhǔn)、程序和指南
• 對(duì)業(yè)務(wù)連續(xù)性 (BC) 要求進(jìn)行識(shí)別、分析及優(yōu)先級(jí)排序
• 協(xié)助制定和實(shí)施人員安全政策和程序
• 理解并應(yīng)用風(fēng)險(xiǎn)管理概念
• 理解并應(yīng)用威脅建模的概念和方法
• 應(yīng)用供應(yīng)鏈風(fēng)險(xiǎn)管理 (SCRM) 概念
• 制定并維護(hù)安全意識(shí)、教育和培訓(xùn)計(jì)劃

1.1. 實(shí)現(xiàn)安全治理的原則和策略

1.1.1. 理解和應(yīng)用CIA

CIA常被視為安全基礎(chǔ)架構(gòu)的安全目的和宗旨。

1.1.1.1. 保密性C

目標(biāo)：阻止或最小化未授權(quán)的數(shù)據(jù)訪問。
措施：加密、訪問控制和隱寫術(shù)。

1.1.1.2. 完整性I

保護(hù)數(shù)據(jù)可靠性和正確性，防止未授權(quán)的數(shù)據(jù)修改。

不可否認(rèn)性：確保事件的主體或引發(fā)事件的人不能否認(rèn)事件的發(fā)生，可通過身份標(biāo)識(shí)、身份驗(yàn)證、授權(quán)、問責(zé)機(jī)制和審計(jì)使不可否認(rèn)性成為可能。

1.1.1.3. 可用性A

對(duì)客體的有效的持續(xù)訪問及抵御DoS攻擊

1.1.1.4. 其他安全概念

DAD(Disclousure、Alternation、Destruction),與CIA相反
AAA（Authentication、Authoriztion、Auditing/Acounting）

1.1.1.4.1. 身份標(biāo)識(shí)（Identification）

嘗試訪問安全系統(tǒng)時(shí)的身份，主體必須為系統(tǒng)提供身份標(biāo)識(shí)來啟動(dòng)身份驗(yàn)證、授權(quán)和記賬過程。IT系統(tǒng)通過身份標(biāo)識(shí)來跟蹤活動(dòng)，而不是通過主體本身。

1.1.1.4.2. 身份認(rèn)證（Authentication）

驗(yàn)證聲明的身份是否有效的過程稱為身份認(rèn)證。常見的身份認(rèn)證形式是使用密碼。通常在一個(gè)流程中完成身份標(biāo)識(shí)和身份認(rèn)證兩個(gè)步驟。

一個(gè)主體可提供多種類型的身份驗(yàn)證因子：

• 1類身份驗(yàn)證因素 你知道的東西 - 密碼
• 2類身份驗(yàn)證因素 你擁有的東西 - 密鑰、令牌、智能卡
• 3類身份驗(yàn)證因素 你具備的東西 - 生物特征，如指紋、虹膜

使用第三方事實(shí)信息（第1類身份驗(yàn)證因素）驗(yàn)證個(gè)人應(yīng)該了解的信息有時(shí)被稱為動(dòng)態(tài)知識(shí)型身份驗(yàn)證，是一種身份證明。帶外身份驗(yàn)證將使用另一種聯(lián)系用戶的方式，如短信或電話，而密碼驗(yàn)證需要密碼。

1.1.1.4.3. 授權(quán)（Authorization）

一旦主體通過身份驗(yàn)證，就必須進(jìn)行訪問授權(quán)。通常使用訪問控制模型來定義授權(quán)，例如

• 自主訪問控制（Discretionary Access Control，DAC）
• 強(qiáng)制訪問控制（Mandatory Access control，MAC）
• 基于角色的訪問控制（RBAC）

1.1.1.4.4. 審計(jì)（Auditing）

審計(jì)是追蹤和記錄主體的操作，以便在系統(tǒng)中讓主體為其行為負(fù)責(zé)。通常審計(jì)是OS、APP和服務(wù)內(nèi)置的功能。

1.1.1.4.5. 記賬（Acounting）

也稱問責(zé)制，組織的安全策略只有在有問責(zé)機(jī)制的情況下才能得到適當(dāng)實(shí)施。有效的問責(zé)制依賴于檢驗(yàn)主機(jī)身份及追蹤其活動(dòng)的能力。通過安全服務(wù)和審計(jì)、身份驗(yàn)證、授權(quán)和身份標(biāo)識(shí)等機(jī)制將人員與在線身份的活動(dòng)聯(lián)系起來，進(jìn)而建立問責(zé)機(jī)制。

1.1.1.4.6. 縱深防御

以線性方式連續(xù)執(zhí)行多個(gè)控制，一個(gè)控制失效不會(huì)導(dǎo)致系統(tǒng)或數(shù)據(jù)暴露

1.1.1.4.7. 數(shù)據(jù)隱藏

將數(shù)據(jù)存放在主機(jī)無法訪問或讀取的邏輯存儲(chǔ)空間。

Note: 隱匿指不告知主體客體的存在，在安全上并沒有提供任何形式的保護(hù)。

1.1.1.4.8. 加密

通過密碼學(xué)算法對(duì)需要保護(hù)的數(shù)據(jù)進(jìn)行加密，可有效避免數(shù)據(jù)泄露。

1.1.2. 評(píng)估和應(yīng)用安全治理原則

1.1.2.1. 安全管理計(jì)劃

安全管理計(jì)劃確保正確地創(chuàng)建、執(zhí)行和實(shí)施安全策略。安全管理計(jì)劃使安全功能與業(yè)務(wù)戰(zhàn)略、目標(biāo)、使命和宗旨相一致。

1.1.2.1.1. 方法

能有效處理安全管理計(jì)劃的方法是自上而下：

• 上層、高級(jí)或管理部門負(fù)責(zé)啟動(dòng)和定義組織的策略；
• 中層管理人員負(fù)責(zé)將安全策略落到標(biāo)準(zhǔn)、基線、指導(dǎo)方針和程序；
• 操作管理人員或安全專業(yè)人員必須實(shí)現(xiàn)安全管理文檔中規(guī)定的配置；
• 最終用戶必須遵守組織的所有安全策略。

1.1.2.1.2. 內(nèi)容

• 定義安全角色
• 規(guī)定如何管理安全和由誰負(fù)責(zé)安全
• 檢驗(yàn)安全的有效性
• 制定安全策略
• 執(zhí)行風(fēng)險(xiǎn)分析
• 對(duì)員工進(jìn)行安全教育

制定和執(zhí)行安全策略體現(xiàn)了高級(jí)管理人員的應(yīng)盡關(guān)心（Due care）與盡職審查（Due Diligence）。

安全管理計(jì)劃團(tuán)隊(duì)?wèi)?yīng)該開發(fā)三種類型的計(jì)劃（戰(zhàn)略計(jì)劃、戰(zhàn)術(shù)計(jì)劃、操作計(jì)劃）

1.1.2.2. 組織的流程

1.變更控制/變更管理

• 在受監(jiān)控的環(huán)境中有序的實(shí)施更改
• 包含正式的測試過程
• 所有變更要能夠撤銷（或回退/回滾）
• 變更實(shí)施前通知用戶，防止影響生產(chǎn)效率
• 對(duì)變更影響進(jìn)行系統(tǒng)性分析，確定其是否會(huì)對(duì)安全或業(yè)務(wù)產(chǎn)生負(fù)面影響
• 最小化變更對(duì)能力、功能和性能方面的負(fù)面影響
• 變更顧問委員會(huì)（Change Advisory Board，CAB）評(píng)審和批準(zhǔn)變更

2.數(shù)據(jù)分類
數(shù)據(jù)分類（數(shù)據(jù)分級(jí)）是基于數(shù)據(jù)的保密性、敏感性需求而對(duì)其進(jìn)行保護(hù)的主要手?jǐn)?。有如下好處?/p>

• 幫助組織確定最重要或最有價(jià)值的資產(chǎn)
• 給保護(hù)機(jī)制的選擇提供了依據(jù)
• 法規(guī)或法律強(qiáng)制的要求
• 有助于定義訪問級(jí)別、使用的授權(quán)類型及后續(xù)不再具有價(jià)值的資源銷毀、降級(jí)方式
• 確定數(shù)據(jù)存儲(chǔ)時(shí)間（保留時(shí)間）

兩種常用的數(shù)據(jù)分類：

• 政府/軍事：絕密、秘密、機(jī)密、敏感但未分類（Sensitive But Unclassfield，SBU）、未分類
• 商業(yè)/私營部門：機(jī)密、私有、敏感、公開

1.1.2.3. 組織的角色和責(zé)任

1.1.2.3.1. 高級(jí)管理者

高管最終負(fù)責(zé)安全，但很少直接實(shí)施安全解決方案，多數(shù)情況分配給組織內(nèi)的安全專業(yè)人員

1.1.2.3.2. 安全專業(yè)人員

安全專業(yè)人員通常由一支團(tuán)隊(duì)組成，根據(jù)已批準(zhǔn)的安全策略設(shè)計(jì)和實(shí)現(xiàn)安全解決方案。

1.1.2.3.3. 數(shù)據(jù)所有者

在安全解決方案中負(fù)責(zé)布署和保護(hù)信息分類的人員，通常將實(shí)際數(shù)據(jù)管理任務(wù)委托給數(shù)據(jù)托管員

1.1.2.3.4. 數(shù)據(jù)托管員

數(shù)據(jù)托管員(Custodians)負(fù)責(zé)執(zhí)行安全策略，為實(shí)現(xiàn)數(shù)據(jù)的CIA提供充分的支撐，并履行上級(jí)管理部門委派的要求和責(zé)任。（如執(zhí)行和測試備份、驗(yàn)證數(shù)據(jù)完整性等）

數(shù)據(jù)托管員對(duì)數(shù)據(jù)的完整性和安全性進(jìn)行日常監(jiān)控。數(shù)據(jù)所有者可以授予保管人權(quán)利，但不負(fù)責(zé)進(jìn)行監(jiān)控。

1.1.2.3.5. 用戶

任何能訪問安全系統(tǒng)的人員。

1.1.2.3.6. 審計(jì)人員

負(fù)責(zé)審查和驗(yàn)證安全策略是否正確執(zhí)行，以及相關(guān)的安全解決方案是否完備。

1.1.2.4. 安全控制框架

內(nèi)部控制框架(Committee of Sponsoring Organizations，COSO) 是美國證券交易委員會(huì)唯一推薦使用的內(nèi)部控制框架。COSO內(nèi)部控制框架認(rèn)為，內(nèi)部控制系統(tǒng)是由控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、內(nèi)控活動(dòng)、信息與溝通、監(jiān)督五要素組成，它們?nèi)Q于管理層經(jīng)營企業(yè)的方式，并融入管理過程本身，其相互關(guān)系可以用其模型表示。模型包括：

• 可操作的關(guān)鍵威脅、資產(chǎn)和脆弱性評(píng)估（Operationally Critial Threat，Asset，and Vulnerability ，OCTAVE）
• 信息風(fēng)險(xiǎn)因素分析（Factor Analysis of Information Risk，F(xiàn)AIR）
• 威脅代理風(fēng)險(xiǎn)評(píng)估（Thread Agent Risk Assessment，TARA）

應(yīng)用廣泛的安全控制框架是信息和相關(guān)技術(shù)控制目標(biāo)（Control Objective for Information and Related technology，COBIT），COBIT是由信息系統(tǒng)審計(jì)和控制協(xié)會(huì)（Information Systems Audit and Control Association，ISACA）編制的一套記錄最佳IT安全實(shí)踐的文檔。COBIT基于如下6個(gè)關(guān)鍵原則進(jìn)行IT管理和治理：

• 滿足利益相關(guān)方的需求
• 采用整體分析法
• 動(dòng)態(tài)治理體系
• 把治理從管理中分離出來
• 根據(jù)企業(yè)需求量身定制
• 端到端治理系統(tǒng)

詳細(xì)COBIT內(nèi)容可訪問ISACA，當(dāng)然IT安全還有其他許多標(biāo)準(zhǔn)和指南，包括：

• NIST 800-53 Rev. 5 信息系統(tǒng)和組織的安全和隱私控制，包含美國政府對(duì)組織安全的一般建議。
• The Center for Internet Security，CIS) 提供了OS，應(yīng)用和硬件的安全配置指導(dǎo)。
• NIST Risk Management Framework，RMF 制定了對(duì)聯(lián)邦機(jī)構(gòu)的強(qiáng)制性要求。RMF有六個(gè)階段：分類、選擇、實(shí)施、評(píng)估、授權(quán)和監(jiān)控。
• NIST Cybersecurity Framework (CSF) NIST網(wǎng)絡(luò)安全框架（CSF）專為關(guān)鍵基礎(chǔ)設(shè)施和商業(yè)組織設(shè)計(jì)，由五項(xiàng)功能組成：識(shí)別、保護(hù)、檢測、響應(yīng)和恢復(fù)。
• 開源安全測試方法手冊（Open Source Security Testing Methodology Manual，OSSTMM）
• ISO/IEC 27002（取代ISO 17799）是一項(xiàng)專注于信息安全的國際標(biāo)準(zhǔn)，可作為實(shí)施組織信息安全及相關(guān)管理實(shí)踐的基礎(chǔ)。
• 信息技術(shù)基礎(chǔ)設(shè)施庫（Information Technology Infrastructure Library，ITIL），最初由英國政府設(shè)計(jì)，是一套IT安全和操作流程的最佳實(shí)踐，但它不是本文件的唯一重點(diǎn)，ITIL安全部分源自ISO 27002。

1.1.2.5. 應(yīng)盡關(guān)心和盡職審查

應(yīng)盡關(guān)心 指用合理的關(guān)注來保護(hù)組織的利益，如制定一種正式的安全框架，包括安全策略、標(biāo)準(zhǔn)、基線、指南和程序。

個(gè)人或組織的法律責(zé)任被認(rèn)為是一種應(yīng)盡關(guān)心的場景。

盡職審查 指具體的實(shí)踐活動(dòng)，例如，

• 將安全框架持續(xù)應(yīng)用到組織的IT基礎(chǔ)設(shè)施上。
• 員工背景調(diào)查
• 信息系統(tǒng)安全評(píng)估
• 物理安全系統(tǒng)評(píng)估
• 用威脅情報(bào)檢查公共論壇和云端可用的公司知識(shí)產(chǎn)權(quán)

1.1.3. 開發(fā)、記錄和實(shí)施安全策略、標(biāo)準(zhǔn)、程序和指南

通過規(guī)范化過程可極大減少IT基礎(chǔ)設(shè)施設(shè)計(jì)和實(shí)現(xiàn)的安全解決方案中的混亂和復(fù)雜性。

1.1.3.1. 安全策略

規(guī)范化的最高層文件是安全策略，它定義了主要的安全目標(biāo)，對(duì)組織安全需求和框架進(jìn)行了概述。
安全策略用于分配職責(zé)、定義角色、指定審計(jì)需求、概述實(shí)施過程、確定合規(guī)需求和定義可授受的風(fēng)險(xiǎn)級(jí)別，安全策略常用來證明高級(jí)管理者在保護(hù)組織免受入侵、攻擊和災(zāi)難時(shí)已經(jīng)給予了應(yīng)盡關(guān)心。

1.1.3.2. 標(biāo)準(zhǔn)、基線和指南

完成主要的安全策略后就可在其指導(dǎo)下編制安全文檔。
標(biāo)準(zhǔn) 對(duì)硬件、軟件、技術(shù)和安全控制方法的一致性定義了強(qiáng)制性要求。
基線 定義了整個(gè)組織中每個(gè)系統(tǒng)必須滿足的最低安全級(jí)別，通常是系統(tǒng)特定的。
指南 提供了關(guān)于如何實(shí)現(xiàn)標(biāo)準(zhǔn)和基線的建議，并作為安全專業(yè)人員和用戶的操作指南，指南概述了方法，并非強(qiáng)制性的。

1.1.3.3. 程序

標(biāo)準(zhǔn)操作程序（Standard Operation Procedure，SOP）是詳細(xì)的分步實(shí)施文檔，描述了實(shí)現(xiàn)特定的安全機(jī)制、控制或解決方案所需的具體操作。

1.1.4. 理解與應(yīng)用威脅建模的概念和方法

威脅建模是識(shí)別、分類和分析潛在威脅的安全過程。組織在進(jìn)行系統(tǒng)設(shè)計(jì)過程早期就開始進(jìn)行威脅建模，并持續(xù)貫穿于系統(tǒng)整個(gè)生命周期。

1.1.4.1. 識(shí)別威脅

1.1.4.1.1. 關(guān)注資產(chǎn)

以資產(chǎn)為中心，利用資產(chǎn)評(píng)估結(jié)果，試圖識(shí)別價(jià)值資產(chǎn)的威脅。

1.1.4.1.2. 關(guān)注攻擊者

根據(jù)攻擊者的目標(biāo)識(shí)別代表的威脅。

1.1.4.1.3. 關(guān)注軟件

1. STRIDE
微軟開發(fā)了STRIDE的威脅分類方案，通常用于評(píng)估對(duì)應(yīng)用程序或操作系統(tǒng)的威脅：

• 欺騙（Spoofing）：使用偽造的身份獲得對(duì)目標(biāo)系統(tǒng)訪問的攻擊行為。欺騙可用于IP地址、MAC地址、用戶名、系統(tǒng)名、無線網(wǎng)絡(luò)標(biāo)識(shí)符（SSID）、電子郵件等其他類型的邏輯標(biāo)識(shí)。
• 篡改（Tampering）：對(duì)傳輸或存儲(chǔ)中的數(shù)據(jù)進(jìn)行未授權(quán)的更改或操縱。
• 抵賴（Repudiation）：用戶或攻擊者否認(rèn)執(zhí)行動(dòng)作或活動(dòng)
• 信息泄露（Information Disclosure）：將私有、機(jī)密或受控信息泄露或發(fā)送給外部或未授權(quán)的實(shí)體。
• 拒絕服務(wù)（DoS）：通過利用缺陷、過載連接或爆發(fā)流量來阻礙資源的有效使用
• 特權(quán)提升（Elevation of Privilege）：將權(quán)限有限的用戶賬戶轉(zhuǎn)換為具有更大特權(quán)的賬戶。

2. PASTA
攻擊模擬和威脅分析過程（Process for Attack Simulation and Threat Analysis，PASTA）以風(fēng)險(xiǎn)為核心進(jìn)行資產(chǎn)保護(hù)的防護(hù)措施：

• 為風(fēng)險(xiǎn)分析定義目標(biāo)
• 定義技術(shù)范圍（Definition of the Technical Scope，DTS）
• 分解和分析應(yīng)用程序（Application Decomposition and - Analysis，ADA）
• 威脅分析（TA）
• 弱點(diǎn)和脆弱性分析（Weakness and Vulnerability - Analysis，WVA）
• 攻擊建模與仿真（Attack Modeling & Simulation，AWS）
• 風(fēng)險(xiǎn)分析和管理（RAM）

3. Trike
Trike是另一種基于風(fēng)險(xiǎn)的威脅建模方法，Trike對(duì)每種資產(chǎn)的可接受風(fēng)險(xiǎn)水平進(jìn)行評(píng)估，然后確定適當(dāng)?shù)娘L(fēng)險(xiǎn)響應(yīng)行動(dòng)。

4. VAST
VAST（Visual，Agile，and Simple Threat）是一種基于敏捷項(xiàng)目和編程原則的威脅建模概念。

1.1.4.2. 確定和繪制攻擊路徑

繪制數(shù)據(jù)流圖，確定針對(duì)圖表中每個(gè)元素的攻擊

1.1.4.3. 執(zhí)行簡化分析

• 信任邊界
• 數(shù)據(jù)流路徑
• 輸入點(diǎn)
• 特權(quán)操作
• 安全聲明和方法的細(xì)節(jié)

1.1.4.4. 優(yōu)先級(jí)排序和響應(yīng)

通過以上活動(dòng)匯總出威脅后需要對(duì)威脅進(jìn)行排序或定級(jí)，可使用概率*潛在損失排序、高/中/低評(píng)級(jí)或DREAD系統(tǒng)。

概率*潛在損失：生成一個(gè)代表風(fēng)險(xiǎn)嚴(yán)重性的編號(hào)（1-100，100代表可能發(fā)生的最嚴(yán)重風(fēng)險(xiǎn)）
高/中/低評(píng)級(jí)：指定優(yōu)先級(jí)標(biāo)簽
DREAD：對(duì)每個(gè)威脅的五個(gè)主要問題回答

• 潛在破壞(Damage Potential)
• 可再現(xiàn)性(Reproducibility)
• 可利用性(Exploitability)
• 受影響用戶(Affected Users)
• 可發(fā)現(xiàn)性(Discoverability)（攻擊者發(fā)現(xiàn)弱點(diǎn)的難度）

1.1.5. SCRM

供應(yīng)鏈風(fēng)險(xiǎn)管理（Supply Chain Risk Management，SCRM）
在為安全集成而評(píng)估第三方時(shí)，需要考慮：

• 文件交換和審查
• 過程/策略審查
• 第三方審計(jì)

根據(jù)美國注冊會(huì)計(jì)師協(xié)會(huì)（AICPA）定義，擁有獨(dú)立的第三方審計(jì)機(jī)構(gòu)可根據(jù)SOC(Service Organization Control)報(bào)告對(duì)實(shí)體的安全基礎(chǔ)設(shè)施進(jìn)行公正的審查。

• SOC1審計(jì)側(cè)重于根據(jù)安全機(jī)制的描述來評(píng)估其適用性；
• SOC2審計(jì)側(cè)重于實(shí)現(xiàn)與可用性、安全性、完整性、隱私性和保密性相關(guān)的安全控制；
  • Type 1：當(dāng)前組織的安全控制與評(píng)估報(bào)告
  • Type 2：在運(yùn)營期間該組織的安全控制與評(píng)估報(bào)告
• SOC3 向公眾公開的合規(guī)報(bào)告.

1.2. 人員安全和風(fēng)險(xiǎn)管理

由于硬件和軟件控制的復(fù)雜性和重要性，在總體安全規(guī)劃中經(jīng)常忽略對(duì)人員的安全管理。

1.2.1. 人員安全策略和程序

在所有的安全解決方案中，人員都是最脆弱的元素。在擬定符合組織的職責(zé)描述時(shí)，重要元素有：

• 職責(zé)分離(Separation Of Duties，SOD)：將關(guān)鍵的、敏感的工作任務(wù)分給幾個(gè)不同人。
• 工作職責(zé)：員工常規(guī)執(zhí)行的具體工作任務(wù)
• 崗位輪換：提供一種知識(shí)備份，同時(shí)可降低欺詐等風(fēng)險(xiǎn)。

1.2.1.1. 候選人篩選及招聘

1.2.1.2. 雇傭協(xié)議及策略

聘用新員工時(shí)應(yīng)該簽署雇傭協(xié)議。除了雇傭協(xié)議還有其他安全相關(guān)文件，如

• 用于防止已離職員工泄露組織機(jī)密信息的NDA
• 非競爭協(xié)議（Noncompete Agreement，NCA）

1.2.1.3. 入職和離職程序

入職是在組織的IAM（Identity and Acess Management，身份和訪問管理）系統(tǒng)中添加新員工的過程。
離職指員工離開公司后將其身份從IAM系統(tǒng)刪除。

1.2.1.4. 供應(yīng)商、顧問和承包商的協(xié)議和控制

SLA通過明確規(guī)定對(duì)外部各方的期望和懲罰。

1.2.1.5. 合規(guī)策略要求

合規(guī)是符合或遵守規(guī)則、策略、法規(guī)、標(biāo)準(zhǔn)或要求的行為。

1.2.1.6. 隱私策略要求

許多美國法案都有關(guān)于隱私的要求，如

• 健康保險(xiǎn)流通與責(zé)任法案（Health Insurance Portability and Accountability Act，HIPPA）
• 通用數(shù)據(jù)保護(hù)條例(GDPR)
• 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（Payemnt Card Industry Data Security Standard，PCI DSS）

1.2.2. 理解并應(yīng)用風(fēng)險(xiǎn)管理概念

風(fēng)險(xiǎn)管理是制定和實(shí)施信息安全策略，目標(biāo)是減少風(fēng)險(xiǎn)和支持組織的使命。

1.2.2.1. 風(fēng)險(xiǎn)術(shù)語

資產(chǎn)：AV
資產(chǎn)估值
威脅: 任何可能發(fā)生的、對(duì)組織或特定資產(chǎn)造成不良或非預(yù)期結(jié)果的潛在事件。威肋主體通常是人員，但也可能是程序、硬件或系統(tǒng)。威脅事件是對(duì)脆弱性的意外和有意利用。威脅事件可以是白發(fā)的或人為的，包括火災(zāi)、地震、洪水、系統(tǒng)故障、人為錯(cuò)誤。
脆弱性（Vulnerability）：是資產(chǎn)中的弱點(diǎn)，是防護(hù)措施或控制措施的弱點(diǎn)，或缺乏防護(hù)/控制措施。
暴露：指脆弱性會(huì)被威脅主體（如惡意黑客）或威脅事件（如火災(zāi)）加以利用的可能性是存在的。
風(fēng)險(xiǎn)：是威脅利用脆弱性對(duì)資產(chǎn)造成損害的概率
防護(hù)措施（Safeguard）：任何能消除或減少脆弱性或能抵御一個(gè)或多個(gè)特定威脅的事物。（如安裝補(bǔ)丁、雇傭保安、安全培訓(xùn)、給周邊圍欄通電）
攻擊：任何故意利用組織安全基礎(chǔ)設(shè)施的脆弱性并造成資產(chǎn)受損或泄露的行為。
破壞：安全機(jī)制被威脅主體繞過或阻止。

Note: 風(fēng)險(xiǎn)是威脅和脆弱性的結(jié)合。威脅是指試圖破壞安全的外部力量，例如本案中的惡意黑客。脆弱性是可能使威脅得逞的內(nèi)在弱點(diǎn)。在這種情況下，缺少的修補(bǔ)程序就是漏洞。在這種情況下，如果惡意黑客（威脅）試圖對(duì)未修補(bǔ)的服務(wù)器（漏洞）進(jìn)行SQL注入攻擊，結(jié)果是網(wǎng)站被破壞

暴露因子（EF）： 表示如果已發(fā)生的風(fēng)險(xiǎn)對(duì)組織某個(gè)特定資產(chǎn)造成破壞，組織將因此遭受的損失百分比。
舉例：對(duì)于容易替換的資產(chǎn)（如硬件），EF通常較小； 但對(duì)于不可替代或?qū)Ｓ玫馁Y產(chǎn)（如產(chǎn)品設(shè)計(jì)或客戶數(shù)據(jù)庫），EF會(huì)很大。

單一損失期望（SLE）：特定資產(chǎn)發(fā)生單一風(fēng)險(xiǎn)的相關(guān)成本。計(jì)算公式：SLE=資產(chǎn)價(jià)值（AV）*暴露因子（EF）

年度發(fā)生率（Annualized Rate of Occurrence，ARO）：一年內(nèi)特定威脅或風(fēng)險(xiǎn)發(fā)生的預(yù)期頻率。
舉例：舊金山發(fā)生地震的ARO為0.03

年度損失期望（ALE）：針對(duì)特定資產(chǎn)的所有可發(fā)生的特定威脅，在年度內(nèi)可能造成的損失成本。
計(jì)算公式： ALE=單一損失期望（SLE）*年度發(fā)生率（ARO）

防護(hù)措施年度成本（Annual Cost of the Safeguard，ACS）

1.2.2.2. 識(shí)別威脅

風(fēng)險(xiǎn)管理的基礎(chǔ)是識(shí)別與檢查威脅

1.2.2.3. 風(fēng)險(xiǎn)評(píng)估/分析

風(fēng)險(xiǎn)評(píng)估/分析主要是高層管理人員的工作。所有IT系統(tǒng)都存在風(fēng)險(xiǎn)，無法消除全部風(fēng)險(xiǎn)，但高層管理人員必須決定哪些風(fēng)險(xiǎn)是可授受的，哪些是不可授受的。決定可授受哪些風(fēng)險(xiǎn)時(shí)就需要進(jìn)行詳細(xì)而復(fù)雜的資產(chǎn)和風(fēng)險(xiǎn)評(píng)估。

關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（KRI）通常用于監(jiān)控建立持續(xù)風(fēng)險(xiǎn)管理計(jì)劃的組織的風(fēng)險(xiǎn)。使用自動(dòng)化的數(shù)據(jù)收集和允許消化和總結(jié)數(shù)據(jù)的工具，可以提供有關(guān)組織風(fēng)險(xiǎn)如何變化的預(yù)測信息

1.2.2.3.1. 定量風(fēng)險(xiǎn)分析

定量(Quantitative)風(fēng)險(xiǎn)分析可計(jì)算出具體概率。然而完全靠定量分析是不可行的，并不是所有分析元素都可量化。定量風(fēng)險(xiǎn)分析的六個(gè)主要步驟如下：

• 1.編制資產(chǎn)清單，為每個(gè)資產(chǎn)分配資產(chǎn)價(jià)值（Asset Valuation，AV）
• 2.研究每一項(xiàng)資產(chǎn)，列出可能面臨的所有威脅。對(duì)每個(gè)列出的威脅計(jì)算暴露因子（Exposure Factor，EF）和單一損失期望（Single Loss Expectancy，SLE）。
• 3.執(zhí)行威脅分析，計(jì)算每個(gè)威脅在一年之內(nèi)實(shí)際發(fā)生的概率，即年度發(fā)生率（Annualized Rate of Occurrence，ARO）
• 4.通過計(jì)算年度損失期望（Annual Lost Expectancy，ALE）得到每個(gè)威脅可能帶來的總損失
• 5.研究每種威脅的應(yīng)對(duì)措施，然后基于已采用的控制措施計(jì)算ARO和ALE的變化
• 6.針對(duì)每項(xiàng)資產(chǎn)的每個(gè)威脅的每個(gè)防護(hù)措施進(jìn)行成本/效益分析。為每個(gè)威脅選擇最合適的防護(hù)措施。

防護(hù)措施對(duì)公司的價(jià)值=防護(hù)措施實(shí)施前的ALE-防護(hù)措施實(shí)施后ALE-防護(hù)措施的年度成本（ACS）

1.2.2.3.2. 定性風(fēng)險(xiǎn)分析

定性（qualitative）風(fēng)險(xiǎn)分析更多的是基于場景而不是基于計(jì)算。相關(guān)定性風(fēng)險(xiǎn)分析技術(shù)如下：

• 頭腦風(fēng)暴
• Delphi技術(shù)：匿名的反饋和響應(yīng)過程，用于在一個(gè)小組中匿名達(dá)成共識(shí)。
• 故事板
• 調(diào)查問卷
• 檢查清單
• 面談

1.2.2.4. 風(fēng)險(xiǎn)響應(yīng)

風(fēng)險(xiǎn)緩解（Risk Mitigation）:比如關(guān)閉FTP服務(wù)
風(fēng)險(xiǎn)接受
風(fēng)險(xiǎn)威懾（Risk Deterrence）：指對(duì)可能違反安全和策略的違規(guī)者實(shí)施威懾的過程。例如，實(shí)施審計(jì)、安全攝像頭。
風(fēng)險(xiǎn)規(guī)避：選擇替代的選項(xiàng)或活動(dòng)的過程。比如選擇飛行而不是火車。
風(fēng)險(xiǎn)拒絕：不認(rèn)風(fēng)險(xiǎn)存在并希望永遠(yuǎn)不會(huì)發(fā)生，并不是合法的、正確的風(fēng)險(xiǎn)響應(yīng)方式。

總風(fēng)險(xiǎn)=威脅*脆弱性*資產(chǎn)價(jià)值 *這里表示聯(lián)合
殘余風(fēng)險(xiǎn)=總風(fēng)險(xiǎn)-控制間隙(controls gap )

1.2.2.5. 選擇與實(shí)施控制措施

1.2.2.5.1. 訪問控制步驟

• (1)識(shí)別并驗(yàn)證嘗試訪問資源的用戶或其他主體。
• (2) 確定訪問是否已獲得授權(quán)
• (3)根據(jù)主體的身份授予或限制訪問權(quán)限
• (4)監(jiān)控和記錄訪問嘗試
  

1.2.2.5.2. 訪問控制分類

1、一般分類

• 預(yù)防控制：試圖阻止違反安全策略。如防火墻、閉路電視、柵欄、SOD、IPS、滲透測試等
• 威懾控制：試圖阻止違反安全策略，但威懾控制往往取決于個(gè)人決定不采取不必要行動(dòng)，而預(yù)防性控制阻止了該動(dòng)作。策略、安全意識(shí)培訓(xùn)、保安、陷阱、安全攝像頭
• 檢測控制：試圖發(fā)現(xiàn)或檢測不必要或未經(jīng)授權(quán)的活動(dòng)。如崗位輪換、IDS、蜜罐
• 補(bǔ)償控制（Compensating）：補(bǔ)償控制是對(duì)其他控制的補(bǔ)充或替代。如加密
• 糾正控制：使環(huán)境在出現(xiàn)問題后恢復(fù)到原始狀態(tài)。終止惡意活動(dòng)、重啟等
• 恢復(fù)控制：試圖在安全策略違反后修復(fù)或恢復(fù)資源和功能。如鏡像、熱站點(diǎn)、冷站點(diǎn)等
• 指示控制：試圖指導(dǎo)、限制或控制主體的操作，以強(qiáng)拆同或鼓勵(lì)遵守安全策略。如安全策略、逃生出口標(biāo)記、監(jiān)控等

一個(gè)由一對(duì)門組成的捕捉區(qū)是一個(gè)預(yù)防性訪問控制的例子，該捕捉區(qū)的訪問機(jī)制一次只允許一扇門打開，因?yàn)樗梢酝ㄟ^阻止入侵者因打開的門或跟隨合法工作人員進(jìn)入設(shè)施而阻止不必要的訪問。

2、按實(shí)現(xiàn)方式分類
技術(shù)性控制措施 也稱邏輯訪問控制，依靠硬件或軟件來保護(hù)系統(tǒng)和數(shù)據(jù)，如：

• 身份驗(yàn)證
• 加密
• 訪問控制列表
• 防火墻
• IDS
• 剪切級(jí)
• …

管理性控制措施 基于法規(guī)、要求和組織自己的政策，如：

• 策略
• 招聘實(shí)踐
• 數(shù)據(jù)分類和標(biāo)記
• 安全意識(shí)培訓(xùn)
• …

物理性控制措施，比如：

• 保安
• 柵欄
• 看門狗
• 報(bào)警器
• 刷卡
• …

1.2.2.6. 安全控制評(píng)估

安全控制評(píng)估（SCA）根據(jù)基線或可靠性對(duì)安全基礎(chǔ)設(shè)施的各個(gè)機(jī)制進(jìn)行的正式評(píng)估

1.2.2.7. 監(jiān)測和測量

安全控制提供的收益應(yīng)該是可被監(jiān)視和測量的。

1.2.2.8. 資產(chǎn)估值與報(bào)告

風(fēng)險(xiǎn)分析的一個(gè)重要步驟是估算組織資產(chǎn)的價(jià)值，最后一個(gè)步驟是風(fēng)險(xiǎn)報(bào)告。

1.2.2.9. 持續(xù)改進(jìn)

安全在不斷變化，所以需要CI

1.2.2.10. 風(fēng)險(xiǎn)框架

風(fēng)險(xiǎn)框架是關(guān)于如何評(píng)估、解決和監(jiān)控風(fēng)險(xiǎn)指南或方法。在聯(lián)邦信息系統(tǒng)中實(shí)施風(fēng)險(xiǎn)管理框架（RMF）包括6個(gè)步驟：

• 安全分類(數(shù)據(jù)所有者) 對(duì)信息系統(tǒng)和根據(jù)影響分析將被該系統(tǒng)處理、存儲(chǔ)和傳輸?shù)臄?shù)據(jù)進(jìn)行分類；
• 選擇安全控制(系統(tǒng)所有者) 基于安全分類為信息系統(tǒng)選擇初始化安全控制基線，可基于風(fēng)險(xiǎn)評(píng)估在情況調(diào)整和補(bǔ)充。
• 實(shí)施安全控制(數(shù)據(jù)托管員) 使用安全控制
• 評(píng)估安全控制
• 授權(quán)信息系統(tǒng)
• 監(jiān)視安全控制

其他風(fēng)險(xiǎn)管理框架

• 可操作的關(guān)鍵威脅、資產(chǎn)和脆弱性評(píng)估（Operationally Critial Threat，Asset，and Vulnerability ，OCTAVE）
• 信息風(fēng)險(xiǎn)因素分析（Factor Analysis of Information Risk，FAIR）
• 威脅代理風(fēng)險(xiǎn)評(píng)估（Thread Agent Risk Assessment，TARA）

1.2.3. 建立和維護(hù)安全意識(shí)、教育和培訓(xùn)計(jì)劃

安全意識(shí)建立了對(duì)安全理解的最小化最能標(biāo)準(zhǔn)或基礎(chǔ)，所有人員都應(yīng)充分認(rèn)識(shí)到自身的安全責(zé)任、義務(wù)（知道該做什么、不該做什么）。

培訓(xùn)是教導(dǎo)員工執(zhí)行他們的工作任務(wù)和遵守安全策略

教育是一項(xiàng)更詳細(xì)的工作，員工學(xué)習(xí)的內(nèi)容比他們完成工作實(shí)際需要知道的內(nèi)容多得多，教育是個(gè)人成為安全專家的典型要求（如參加認(rèn)證）。

Note：安全意識(shí)和培訓(xùn)通常是內(nèi)部提供的，而教育通常是從外部第三方獲得的。

1.2.4. 管理安全功能

管理安全功能包括：安全策略的開發(fā)和實(shí)現(xiàn)。
要管理安全功能，組織必須實(shí)現(xiàn)適當(dāng)和充分的安全治理。執(zhí)行風(fēng)險(xiǎn)評(píng)估以驅(qū)動(dòng)安全策略的行為是安全功能管理最顯著直接的示例。

• 安全必須是成本有效的
• 安全必須是可測量的
• 安全機(jī)制本身與安全治理過程都會(huì)消耗資源。

1.3. 業(yè)務(wù)連續(xù)性計(jì)劃

不管愿望多美好，總會(huì)有災(zāi)難降臨到每個(gè)組織。
BCP與DRP之間的區(qū)別在于視角。BCP通常戰(zhàn)略性地關(guān)注上層，以業(yè)務(wù)流程和運(yùn)營為中心，DRP更具戰(zhàn)術(shù)性，描述恢復(fù)站點(diǎn)、備分和容錯(cuò)等技術(shù)活動(dòng)。

1.3.1. BCP簡介

BCP涉及評(píng)估組織流程的風(fēng)險(xiǎn)，并創(chuàng)建策略、計(jì)劃和程序，以最大限度地降低這些風(fēng)險(xiǎn)發(fā)生時(shí)能組織產(chǎn)生的不良影響。BCP流程有四個(gè)主要階段：

• 項(xiàng)目范圍和計(jì)劃
• 業(yè)務(wù)影響評(píng)估
• 連續(xù)性計(jì)劃
• 計(jì)劃批準(zhǔn)和實(shí)施

1.3.2. 項(xiàng)目范圍和計(jì)劃

1.3.2.1. 業(yè)務(wù)組織分析

考慮范圍如下：

• 負(fù)責(zé)向客戶提供核心服務(wù)業(yè)務(wù)的運(yùn)營部門
• 關(guān)鍵支持服務(wù)部門、設(shè)施和維護(hù)人員以及負(fù)責(zé)維護(hù)支持運(yùn)營系統(tǒng)的其他團(tuán)隊(duì)
• 負(fù)責(zé)物理安全的公司安全團(tuán)隊(duì)
• 高級(jí)管理人員和對(duì)組織持續(xù)運(yùn)營來說至關(guān)重要的其他人員

1.3.2.2. 選擇BCP團(tuán)隊(duì)

團(tuán)隊(duì)至少包括下列人員：

• 負(fù)責(zé)執(zhí)行業(yè)務(wù)核心服務(wù)的每個(gè)組織部門的代表
• 根據(jù)組織分析確定的來自不同職能區(qū)域的業(yè)務(wù)單元團(tuán)隊(duì)成員
• BCP所涉及領(lǐng)域內(nèi)擁有技術(shù)主專長的IT專家
• 掌握BCP流程知識(shí)的網(wǎng)絡(luò)安全團(tuán)隊(duì)成員
• 負(fù)責(zé)物理安全的公司安全團(tuán)隊(duì)
• 熟悉公司法規(guī)、監(jiān)管和合同責(zé)任的律師
• 可解決人員配置問題及對(duì)員工個(gè)人產(chǎn)生影響的人力資源團(tuán)隊(duì)成員
• 需要制定在發(fā)生中斷時(shí)如何與利益相關(guān)方和公眾進(jìn)行溝通的公共關(guān)系團(tuán)隊(duì)成員
• 高級(jí)管理層代表，負(fù)責(zé)設(shè)定愿景、確定優(yōu)先級(jí)和分配資源

1.3.2.3. 資源需求

以下活動(dòng)需要人力資源

• 開發(fā)
• 測試、培訓(xùn)和維護(hù)
• 實(shí)施

1.3.2.4. 法律和法規(guī)要求

許多國家、金融機(jī)構(gòu)都受到嚴(yán)格的政府法規(guī)及國際銀行和證券法規(guī)的約束。

1.3.3. 業(yè)務(wù)影響評(píng)估

BCP團(tuán)隊(duì)完成準(zhǔn)備創(chuàng)建BCP的四個(gè)階段后就進(jìn)入工作的核心部分：業(yè)務(wù)影響評(píng)估（BIA）。BIA純粹是定性分析。BCP團(tuán)隊(duì)不應(yīng)關(guān)注每種風(fēng)險(xiǎn)實(shí)際發(fā)生的概率。

準(zhǔn)備：在開發(fā)了一個(gè)資產(chǎn)列表之后，業(yè)務(wù)影響分析團(tuán)隊(duì)?wèi)?yīng)該為每個(gè)資產(chǎn)分配價(jià)值。

1.3.3.1. 確定優(yōu)先級(jí)

第一個(gè)BIA任務(wù)是確定業(yè)務(wù)優(yōu)先級(jí)，涉及三個(gè)量化指標(biāo)：

• AV：Asset Value，資產(chǎn)價(jià)值；
• MTD：是IT服務(wù)或組件不可用而不會(huì)對(duì)組織造成嚴(yán)重?fù)p害的最長時(shí)間,這種措施有時(shí)也稱為最大容許停運(yùn)(MTO)；
• RTO：恢復(fù)時(shí)間目標(biāo)(Recovery Time Objective，RTO)，RTO是一項(xiàng)職能，用于評(píng)估災(zāi)難擾亂正常運(yùn)營的程度和災(zāi)難在單位時(shí)間里所造成的收入損失。這些因素又取決于受影響的設(shè)備和應(yīng)用程序。恢復(fù)時(shí)間目標(biāo)(RTO)是以秒、分鐘、小時(shí)或天數(shù)來衡量的，它是災(zāi)難恢復(fù)規(guī)劃(DRP)中的一個(gè)重要考慮因素。

BCP目標(biāo)是確保RTO < MTD，這使一個(gè)業(yè)務(wù)功能不可用的時(shí)間永遠(yuǎn)不會(huì)超過最大允許中斷時(shí)間。

1.3.3.2. 風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)有兩種形式：自然風(fēng)險(xiǎn)和人為風(fēng)險(xiǎn)。

1.3.3.3. 可能性評(píng)估

進(jìn)行威脅分析，計(jì)算每種威脅在一年內(nèi)實(shí)現(xiàn)的可能性，即年化發(fā)生率（Annualized Rate of Occurrence，ARO）。

1.3.3.4. 影響評(píng)估

• SLE = AV * EF
• ALE = SLE * ARO

1.3.3.5. 資源優(yōu)先級(jí)排序

BIA最后一步是劃分針對(duì)不同風(fēng)險(xiǎn)所分配的業(yè)務(wù)連續(xù)性資源的優(yōu)先級(jí)。

1.3.4. BCP計(jì)劃

1.3.4.1. 策略開發(fā)

在業(yè)務(wù)影響評(píng)估與BCP開發(fā)之間架起橋梁。確定哪些風(fēng)險(xiǎn)需要緩解以及將為每個(gè)緩解任務(wù)提供的資源水平。

1.3.4.2. 預(yù)備和處理

1.3.4.2.1. 人員

人是最寶貴的資產(chǎn)，人員的安全必須優(yōu)先于組織的商業(yè)目標(biāo)。應(yīng)該為人員提供完成分配任務(wù)必須的全部資產(chǎn)。如果需加班，還必須安排好住所和食物。

1.3.4.2.2. 建筑和設(shè)施

加固預(yù)防措施（如安裝防火墻）
備用站點(diǎn)（如果無法通過加固設(shè)施來抵御風(fēng)險(xiǎn)，則需要考慮備用站點(diǎn)）

1.3.4.2.3. 基礎(chǔ)設(shè)施

物理性加固系統(tǒng)（滅火系統(tǒng)、UPS）
備用系統(tǒng)（冗余組件）

1.3.5. 計(jì)劃批準(zhǔn)和實(shí)施

1.3.5.1. 計(jì)劃批準(zhǔn)

嘗試讓企業(yè)高層領(lǐng)導(dǎo)批準(zhǔn)該計(jì)劃。

1.3.5.2. 計(jì)劃實(shí)施

1.3.5.3. 培訓(xùn)和教育

培訓(xùn)和教育是BCP實(shí)施的基本要素。

注意：BCP任務(wù)至少培訓(xùn)1名備用人員，確保在緊急情況下人員受傷或無法到達(dá)工作場所時(shí)的備用人員。具有特定業(yè)務(wù)連續(xù)性角色的個(gè)人應(yīng)至少每年接受一次培訓(xùn)。

1.3.5.4. BCP文檔化

文檔應(yīng)包括：

• 1.連續(xù)性計(jì)劃的目標(biāo)
• 2.重要性聲明
• 3.優(yōu)先級(jí)聲明
• 4.組織職責(zé)聲明
• 5.緊急程序和時(shí)限聲明
• 6.風(fēng)險(xiǎn)評(píng)估
• 7.風(fēng)險(xiǎn)授/風(fēng)險(xiǎn)緩解
• 8.重要記錄計(jì)劃（對(duì)業(yè)務(wù)真正關(guān)鍵的重要記錄）
• 9.應(yīng)急響應(yīng)指南
• 10.維護(hù)
• 11.測試和演練

1.4. 法律、法規(guī)和合規(guī)

1.4.1. 法律分類

1.4.1.1. 刑法

刑法是維護(hù)和平、保障社會(huì)安全的法律體系的基石。如謀殺、搶劫等行為。

1.4.1.2. 民法

民法是法律體系的主體，用于維護(hù)社會(huì)失序，管理不屬于犯罪行為但需要由公正的仲裁者解決的人人和組織間的問題。如合同糾紛、財(cái)產(chǎn)/遺囑公證程序。

1.4.1.3. 行政法

政府行政部門要求許多機(jī)構(gòu) 對(duì)保證政府的有效運(yùn)作承擔(dān)廣泛責(zé)任。

1.4.2. 4.2 法律

1.4.2.1. 計(jì)算機(jī)犯罪

1.《計(jì)算機(jī)欺詐和濫用法案》（CFAA）
CFAA是美國針對(duì) 網(wǎng)絡(luò)犯罪的第一項(xiàng)重要立法（1984）。

《計(jì)算機(jī)欺詐和濫用法案》（CFAA）規(guī)定，在任何一年內(nèi)，惡意對(duì)聯(lián)邦計(jì)算機(jī)系統(tǒng)造成超過5000美元的損害都是聯(lián)邦犯罪。
2. 《計(jì)算機(jī)濫用修正案》
1994、1996、2001及之后對(duì)CFAA的修正

3. 聯(lián)邦量刑指南 1991

• 要求高級(jí)管理員為"應(yīng)盡關(guān)心"承擔(dān)個(gè)人責(zé)任
• 允許組織和高管通過證明他膠在履行信息安全職責(zé)時(shí)實(shí)施了盡職審查，將對(duì)違規(guī)行為的懲罰降到最低。
• 概述了對(duì)疏忽的三種舉證責(zé)任

4. 《國家信息基礎(chǔ)設(shè)施保護(hù)法案》

5. 聯(lián)邦信息安全管理法案（FISMA）2002
要求聯(lián)邦機(jī)構(gòu)實(shí)施涵蓋機(jī)構(gòu)運(yùn)營的信息安全程序，F(xiàn)ISMA還要求政府機(jī)構(gòu)將合同商(contractors)的活動(dòng)納入安全管理程序。NIST負(fù)責(zé)制定FISMA實(shí)施指南。

《聯(lián)邦信息安全管理法》適用于聯(lián)邦政府機(jī)構(gòu)和承包商。在列出的實(shí)體中，國防承包商最有可能與政府簽訂受FISMA約束的合同。

6. 2014年的聯(lián)邦網(wǎng)絡(luò)安全法案
2014年的FISMA修改了規(guī)則，將聯(lián)邦網(wǎng)絡(luò)安全責(zé)任集中到美國國國土安全部，其次通過了《網(wǎng)絡(luò)安全增強(qiáng)法案》
以下是NIST常用標(biāo)準(zhǔn)：

• NIST SP 800-53：聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制。
• NIST SP 800-171：保護(hù)非聯(lián)邦信息系統(tǒng)和組織中受控的非分類信息。
• NIST網(wǎng)絡(luò)安全框架（CSF）

《國家網(wǎng)絡(luò)安全保護(hù)法》：要求美國國土安全部建立集中的國家網(wǎng)絡(luò)安全和通信中心，充當(dāng)聯(lián)邦機(jī)構(gòu)和民間組織之間的接口，共享網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、事件、分析和警告。

1.4.2.2. 知識(shí)產(chǎn)權(quán)

無形資產(chǎn)統(tǒng)稱為知識(shí)產(chǎn)權(quán)，并有一整套保護(hù)保護(hù)知識(shí)產(chǎn)權(quán)所有權(quán)益的法律。常見有4種類型：版權(quán)、商標(biāo)、專利和商業(yè)秘密。

1.4.2.2.1. 版權(quán)和數(shù)字千年版權(quán)法(Digital Millennium Copyright Act ,DMCA)

版權(quán)法保護(hù)原創(chuàng)作品的創(chuàng)作者，防止創(chuàng)作者的作品遭受未經(jīng)授權(quán)的復(fù)制，有資格受到版權(quán)保護(hù)的作品有八大類：

• 文學(xué)作品
• 音樂作品
• 戲劇作品
• 啞劇和舞蹈作品
• 繪畫、圖形和雕刻作品
• 電影和其他音像作品
• 聲音錄音
• 建筑作品

計(jì)算機(jī)版權(quán)屬于文學(xué)作品范疇。

版權(quán)法只保護(hù)計(jì)算機(jī)軟件固有的表現(xiàn)形式，即源代碼，不保護(hù)軟件背后的思想和過程。
版權(quán)默認(rèn)歸作品的創(chuàng)作者所有，員工在日常工作中創(chuàng)造出來的作品被認(rèn)為是因受雇傭而創(chuàng)作的作品。
DMCA規(guī)定，提供商不對(duì)其用戶的臨時(shí)活動(dòng)負(fù)責(zé)。通過網(wǎng)絡(luò)傳輸信息符合這一豁免條件。

版權(quán)法提供了相當(dāng)長的保護(hù)期:

• 一個(gè)或多個(gè)作者的作品：被保護(hù)的時(shí)間是最后一位去世作者離世后的70年。
• 雇傭作品：min（第一次發(fā)表日期后的95年，或從創(chuàng)建之日起的120年）

1998年美國國會(huì)認(rèn)識(shí)到數(shù)字領(lǐng)域正在延伸到再有版權(quán)法的范圍，頒布了《數(shù)字千年版權(quán)法》（DMCA），主要條款：

• 阻止試圖通過規(guī)避版權(quán)所有者對(duì)受保護(hù)作品采用的保護(hù)機(jī)制的企圖，即防止復(fù)制數(shù)字介質(zhì)。
• 利用ISP線路從事違反版權(quán)法活動(dòng)時(shí)ISP應(yīng)承擔(dān)的責(zé)任

1.4.2.2.2. 商標(biāo)

如果想要官方認(rèn)可商標(biāo)，可向美國專利商標(biāo)局（ United States Patent and Trademark Office ,USPTO）注冊。此過程需要律師對(duì)已經(jīng)存在的商標(biāo)進(jìn)行一次全面的盡職審查，排隊(duì)注冊障礙。
使用?表示是已經(jīng)注冊的商標(biāo)。

在美國商標(biāo)批準(zhǔn)后的初始有效期是10年，到期后可按每次10年的有效期延續(xù)無數(shù)次。

1.4.2.2.3. 專利

專利提供20年的保護(hù)期限。專利有三個(gè)重點(diǎn)要求：

• 新穎
• 實(shí)用
• 創(chuàng)造

1.4.2.2.4. 商業(yè)秘密

被泄露給競爭對(duì)手或公眾，將造成重大損失的知識(shí)產(chǎn)權(quán)，如可口可樂的秘密配方。
商業(yè)秘密不必身任何人登記而是自己持有，為保護(hù)商業(yè)秘密，可以：

• 最小化授權(quán)
• NDA

1.4.2.3. 許可證

四種常見許可協(xié)議類型：

• 合同許可協(xié)議使用書面合同
• 開封生效許可協(xié)議被寫在軟件包裝的外部
• 單擊生效許可協(xié)議
• 云服務(wù)許可協(xié)議

1.4.2.4. 進(jìn)口/出口控制

1. 計(jì)算機(jī)出口控制
目前美國企業(yè)可向幾乎所有國家出口高性能計(jì)算機(jī)系統(tǒng)，而不必事先得到政府的批準(zhǔn)
2. 加密技術(shù)出口控制
對(duì)美國而言，加密的出口受其《出口管理法規(guī)》(Export Administration Regulations, EAR)限制。出口密碼技術(shù)和密碼產(chǎn)品的長度、強(qiáng)度以及一些特殊加密功能都受到限制。

1.4.2.5. 隱私

1.4.2.5.1. 美國隱私法

第四修正案 隱私權(quán)的基礎(chǔ)是美國憲法的第四修正案。《第四修正案》部分規(guī)定，“人民的人身、房屋、文件和物品不受不合理搜查和扣押的權(quán)利不應(yīng)受到侵犯，除非有可能的理由，并有宣誓或肯定的支持，特別是描述要搜查的地方和要扣押的人或物，否則不得簽發(fā)搜查令。

“第一修正案包含了與言論自由有關(guān)的保護(hù)措施。第五修正案確保任何人都不需要充當(dāng)針對(duì)自己的證人。第十五修正案保護(hù)公民的投票權(quán)

1974年《隱私法案》 是對(duì)美國聯(lián)邦政府處理公民個(gè)人隱私信息的方式進(jìn)行限制的王總最重要的隱私法。
1986年 《電子通信隱私法案》（ECPA） 將侵犯個(gè)人電子隱私的德莊國定義為犯罪
1994年 《通信執(zhí)行協(xié)助法案》（Communications Assistance to Law Enforcement Act，CALEA） 要求所有通信運(yùn)營商，無論使用何種技術(shù)，都要允許持有適當(dāng)法院判決的執(zhí)行人員進(jìn)行竊聽。
1996年 《經(jīng)濟(jì)間諜法案》
1996年 《健康保險(xiǎn)流通與責(zé)任法案》（HIPAA） 要求醫(yī)院、醫(yī)生、保險(xiǎn)公司和其他處理或存儲(chǔ)私人醫(yī)療信息的組織采取嚴(yán)格的安全措施
1998年 《兒童在線隱私保護(hù)法》（Children’s Online Privacy Protection Act, COPPA）

COPPA要求網(wǎng)站收集13歲以下兒童的個(gè)人信息必須事先征得家長同意

1988年《身份占用與侵占防治法》
1999年 《Gramm-Leach-Billey法案》（GLBA） 對(duì)金融機(jī)構(gòu)有了嚴(yán)格監(jiān)管規(guī)定
2001年 《美國愛國者法案》 對(duì)2001年911恐怖襲擊的直接回應(yīng)，提供了攔截和阻止恐怖主義所需的適當(dāng)法律工具
2009年 《健康信息技術(shù)促進(jìn)經(jīng)常和臨床健康法案》（HITECH） 是通過修訂HIPAA得來，新增了數(shù)據(jù)泄露通知要求
《家庭教育權(quán)利和隱私法案》（FERPA）

1.4.2.5.2. 歐盟隱私法

在歐洲開展業(yè)務(wù)的美國公司在處理個(gè)人信息時(shí)必須滿足以下七項(xiàng)要求：

• 告知個(gè)人數(shù)據(jù)處理情況
• 提供免費(fèi)和易用的糾紛解決方案
• 與美國商務(wù)部合作
• 維護(hù)數(shù)據(jù)完整性和目的限制
• 確保數(shù)據(jù)被轉(zhuǎn)移給第三方的責(zé)任
• 執(zhí)行行動(dòng)的透明度
• 確保承諾在持有數(shù)據(jù)期間都有效

美國商務(wù)部和聯(lián)邦貿(mào)易委員會(huì)FTC對(duì)遵守規(guī)定的企業(yè)進(jìn)行認(rèn)證，并為他們提供安全港免遭訴訟。

1.4.2.5.3. 歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）

2016年歐盟通過了一項(xiàng)涵蓋個(gè)人信息保護(hù)的綜合性法律GDPR，并于2018年5月25日生效。一些主要規(guī)定如下：

• 數(shù)據(jù)泄露通知 要求公司在24小時(shí)內(nèi)將嚴(yán)重的數(shù)據(jù)泄露情況通知官方機(jī)構(gòu)
• 在每個(gè)歐盟成員國建立集中化數(shù)據(jù)保護(hù)機(jī)構(gòu)
• 規(guī)定個(gè)人可訪問自己的數(shù)據(jù)
• 數(shù)據(jù)可移植性 規(guī)定將根據(jù)個(gè)人要求促進(jìn)服務(wù)提供商之間的個(gè)人信息傳輸
• 遺忘權(quán) 允許人們要求公司刪除不再需要的個(gè)人信息
• 公平處理、安全維護(hù)和準(zhǔn)確維護(hù)數(shù)據(jù)的要求

GDPR確實(shí)包括為特定、明確和合法目的收集信息的需要；需要確保收集的信息僅限于實(shí)現(xiàn)既定目的所需的信息；以及保護(hù)數(shù)據(jù)免受意外破壞的必要性。它不包括對(duì)靜止信息進(jìn)行加密的特定要求。

1.4.3. 合規(guī)

常聽說的PCI DSS。
組織可能要接受合規(guī)審計(jì)。
除了正式審計(jì)外，組織通常還必須向一些內(nèi)部和外部股東報(bào)告法律合規(guī)情況。

1.4.4. 合同和采購

安全專業(yè)人員應(yīng)當(dāng)審查供應(yīng)商實(shí)施的安全控制，包括最初的供應(yīng)商選擇和評(píng)估流程，以及持續(xù)管理審查。

前期章節(jié)回顧：文章來源地址http://www.zghlxwxcb.cn/news/detail-809168.html

• 【CISSP學(xué)習(xí)筆記】0.開篇

到了這里，關(guān)于「 CISSP學(xué)習(xí)筆記 」01.安全與風(fēng)險(xiǎn)管理的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！