CISSP-D1安全与风险管理 - 2/2

一、信息安全管理基础：D1-1~3

二、安全风险管理：D1-4~7

三、业务连续性管理：D1-8~10

D1：安全与风险管理-2/2

D1-6-威胁建模和风险管理框架

理解威胁建模的基本概念

威胁建模是潜在威胁被识别、分类和分析的安全流程。威胁建模在设计和开发过程中，可以作为一种积极主动的措施执行，而产品一旦被部署， 就会被作为一种被动式措施。在这两种情况下， 流程会识别潜在危害、发生的概率、问题优先级以及消除或减少威胁的手段。

为什么要做威胁建模？

威胁建模的主动式方法发生于系统开发的早期阶段，特别是在初始设计和规范建立阶段。这种类型的威胁建模也被称为防御方式。这种方式基于编码和制作流程中，并对威胁的预测和特定防御进行设计，而不是依靠部署之后的更新或打补丁。大多数情况下， 集成安全解决方案更符合成本效益， 比后面硬塞的方案更成功。遗憾的是， 并不是所有的威胁都可以在设计阶段预测出来，所以仍然需要被动式的威胁建模来解决不可预见的问题。

威胁建模不仅仅服务于风险评估工作，它还让组织了解潜在的可能领域。

威胁建模并不意味着是一个单独的事件

掌握识别威胁的方法建模方式

使用结构化的方法来识别威胁

关注资产这种方法使用资产的估值结果，并试图识别对于宝贵资产的威胁。

关注攻击一些组织能够识别潜在的攻击者，并能够基于攻击者的目标识别他们所代表的威胁。

关注软件如果一个组织开发了一个软件，则可能会考虑针对软件的潜在威胁。

关注软件的方式：微软STRIDE威胁分类方案

电子欺骗（Spoofing）

通过使用伪造身份获得对目标系统访问的攻击行为。电子欺骗可以用于IP地址、MAC 地址、用户名、系统名称、无线网络名称、电子邮件地址以及许多其他类型的逻辑标识。

篡改（Tampering）

任何对数据进行未授权的更改或操纵的行为，不管是传输中的数据还是被存储的数据。使用篡改来伪造通信或改变静态信息。这种攻击是对完整性和可用性的侵害。

否认（Repudiation）

用户或攻击者否认执行了一个动作或行为的能力。通常攻击者会否认攻击，以便保持合理的推读， 从而不为自己的行为负责。否认攻击也可能会导致无辜的第三方因安全违规而受到指责。

信息披露（Inforrnation disclose）

将私人、机密或受控信息揭露、传播给外部或未授权实体的行为。信息披露可以利用系统设计和实现错误，如未能删除调试代码、留下示例应用程序和账户、未对客户端可见内容的编程注释进行净化或将过于详细的错误消息暴露给用户。

拒绝服务（Dos）

指攻击试图阻止对资源的授权使用。这可以通过缺陷开发、连接重载或流量泛滥实现。DoS 攻击并不一定会导致对资源的完全中断; 而是会减少吞吐量或造成延迟，以阻碍对资源的有效利用。要从永久DoS 攻击中恢复过来，将需要进行完整的系统修复和备份恢复。

权限提升（Elevation of privilege）

此攻击是指有限的用户账号被转换成拥有更大特权、权力和访问权的账户。这可能会通过盗窃或开发高级账户(如管理员或Root账户)凭证来实现。

关注资产的方式：OCTAVE

了解用图来确定和表示攻击的方法

数据流图表有助于详述商业任务、开发流程或工作活动中每个元素的功能和目的细节。

了解威胁消减分析的方法

信任边界

数据流路径

输入点

特权操作

安全立场和方法细节

了解威胁优先级和响应的概念

①使用 概率x潜在损失的排名：概率x潜在损失的排名技术能产生一个代表风险严重性的编号。

②高/中/低评级。高中低的评级流程更加简单。

③DREAD评级系统，基于对每种威胁的5个主要问题的回答：

潜在破坏

再现性

可利用性

受影响用户

可发现性

了解什么是风险管理框架

风险管理框架（RMF）将风险管理、风险评估等方面融合成一个可操作的、结构化的流程。

NIST SP 800-37 RMF概述了六个步骤：

信息系统的分类

安全控制的选择

安全控制的实现

安全控制的评估

信息系统的授权

安全控制的监管

D1-7-法律法规、采购中的风险和安全教育

法律分类

刑法

民法

行政法

知识产权

版权

商标

专利权

商业秘密

许可证

其他法律和法规

计算机出口控制

加密产品出口控制

隐私法

支付卡行业数据安全标准（PCI DSS）

ISC2的道德规范

采购中的风险

规划

合同

监控和接受

后续跟进

信息安全培训和教育

同雇员交流与安全相关的问题

让每名雇员都了解安全对于整个公司和个人的重要性

安全培训3种受众：

管理层

职员

技术人员

将风险管理应用到供应链：合同、SLA

D1-8-业务连续性计划概述

业务连续性管理：业务连续性与灾难恢复的相关概念

为什么要做：某种事件迟早会因为蒙混过关而造成负面影响。

业务连续性计划（BCP）

概念：涉及到对组织各种过程的风险评估，还有在发生风险的情况下为了使风险对组织的影响降至最小程度而制定的各种策略、计划和措施保障业务持续运行进行的一些列的动作，当灾难出现业务依旧连续运行，管理角度。

预先计划过程：

出现紧急情况时提供即时和适当的应对措施

保护生命和确保安全

减少对业务的影响

恢复关键业务功能

与外部供应商和合作伙伴一起完成系统恢复工作

在灾难时减少混乱

确保企业的生存能力

在灾难发生后迅速“启动并运行”

灾难恢复计划（DRP）

如果连续性受到破坏，业务过程就会停止，并且组织进入灾难模式；此时，系统将采用灾难恢复计划。技术角度。

行业最佳实践和标准

NIST SP 800-34

ISO/IEC 27031:2011

ISO 22301：2012

DRI国际协会的业务连续性规划人员专业实践最佳实践和框架

（ISC）2定义的业务连续性计划过程

BCP和企业安全计划的关系

业务连续性计划应该是企业安全计划和业务决策的一部分

是“团队的一部分”，且最终责任属于高级管理层

BCP计划需要是一个活跃的实体，应当持续改进

建立和维持BCP要由管理层提供支持

D1-9-业务连续性计划项目组成

BCP团队

业务连续性协调员

BCP委员会

业务部门

高级管理人员

IT部门

安全部门

通信部门

法律部门

BCP的初始过程

在BCP流程开始之前，应当准备好预算和工作人员

给BCP协调员和组织中各个功能模块的代表分配责任和义务

高级管理层在组织会议上表现出高度的支持

组织宣传活动，让员工都知道BCP计划并建立内部支持

为支持BCP工作建立技能培训工作

从整个组织开始收集数据，以帮助制定各种连续性选项

把工作放到可立竿见影的举措上

项目范围

BCP应该能对高层组织的要求和分配给他们的资源进行评估

在BCP开始之前应该了解公司业务的重点和方向

将BCP计划按部门分成多个部分

把组织中一些难以完成的部分排除到BCP范围之外

资源要求

BCP开发阶段

BCP测试、培训和维护阶段

BCP实现阶段

BCP连续性计划编制

策略开发

预备和处理

计划批准

计划实现

培训和教育

D1-10-业务影响评估

业务影响评估（BIA）

BIA确定了能够决定组织持续发展的资源，以及对这些资源的威胁，并且还评估每种威胁实际出现的可能性以及出现的威胁对业务的影响

定量决策

定性决策

BIA的步骤

选择单个的人员进行访谈以完成数据收集。

创建数据收集技术方法（调查、问卷、定性和定量方法）

确定公司的关键业务功能

确定这些功能依赖的资源

计算没有这些资源可以生存多久

确定这些功能的漏洞和所面临的威胁

计算每个不同业务功能的风险

将发现结果形成文档并报告给管理层。