資產(chǎn)安全介紹
- 資產(chǎn)安全著重于信息的整個(gè)生命周期中收集、處理和保護(hù)信息沫换,這一領(lǐng)域的主要步驟是根據(jù)對(duì)組織的價(jià)值進(jìn)行來分類信息宪哩,所有后續(xù)行動(dòng)都根據(jù)分類的不同而不同
1 對(duì)資產(chǎn)進(jìn)行分類和標(biāo)記
- 資產(chǎn)安全的第一步就是對(duì)資產(chǎn)進(jìn)行分類和標(biāo)記,組織通常包括安全策略中的分類定義横腿,然后人員根據(jù)安全策略的要求對(duì)資產(chǎn)進(jìn)行標(biāo)記
1.1 定義敏感數(shù)據(jù)
- 敏感數(shù)據(jù)指所有不公開或未分類的信息折联,如機(jī)密粒褒、專有信息或法律法規(guī)保護(hù)的其他類型數(shù)據(jù)
- 個(gè)人身份信息(PII):任何可以識(shí)別個(gè)人的信息,組織有責(zé)任保護(hù)PII(員工和客戶)
- 受保護(hù)的健康信息(PHI):任何與個(gè)人健康有關(guān)的信息
- 專有數(shù)據(jù):任何幫助組織保持競(jìng)爭(zhēng)優(yōu)勢(shì)的數(shù)據(jù)诚镰,如軟件代碼奕坟、產(chǎn)品的技術(shù)計(jì)劃、內(nèi)部流程清笨、知識(shí)產(chǎn)權(quán)和法律
1.2 定義分類
- 數(shù)據(jù)分類識(shí)別的是數(shù)據(jù)對(duì)于組織的價(jià)值月杉,并對(duì)數(shù)據(jù)的機(jī)密性和完整性保護(hù)至關(guān)重要
- 策略確定了組織內(nèi)使用的分類標(biāo)簽,還確定數(shù)據(jù)所有者如何確定合適的人類以及人員如何根據(jù)分類保護(hù)數(shù)據(jù)
- 政府?dāng)?shù)據(jù)分類:
- 絕密: 未授權(quán)披露可能會(huì)對(duì)國(guó)家安全帶來特別嚴(yán)重的損害
- 保密: 未授權(quán)披露可能對(duì)國(guó)家安全帶來嚴(yán)重?fù)p害
- 機(jī)密:未授權(quán)披露可能對(duì)國(guó)家安全帶來損害
- 非機(jī)密:任何人都可以用的數(shù)據(jù)
- 非政府分類:
- 機(jī)密或?qū)S校簲?shù)據(jù)泄密會(huì)對(duì)組織造成特別嚴(yán)重的傷害函筋,如未發(fā)布的電影
- 私有:數(shù)據(jù)應(yīng)為組織私有沙合,但不符合保密或?qū)S袛?shù)據(jù)的定義奠伪,如員工薪資
- 敏感:數(shù)據(jù)泄露會(huì)導(dǎo)致對(duì)組織使命的損害跌帐,如解雇合同、終止合同
- 公開:發(fā)布在網(wǎng)上上的數(shù)據(jù)绊率,盡管組織不保護(hù)公開數(shù)據(jù)的機(jī)密性谨敛,但需要采取措施保護(hù)其完整性
1.3 定義數(shù)據(jù)安全要求
- 在分類數(shù)據(jù)后,對(duì)數(shù)據(jù)的安全要求定義也很重要滤否,組織至少對(duì)敏感的信息進(jìn)行標(biāo)記和加密
1.4 理解數(shù)據(jù)狀態(tài)
- 數(shù)據(jù)狀態(tài)包括:
- 靜止數(shù)據(jù):存儲(chǔ)在介質(zhì)(如脸狸、硬盤、USB、閃存盤炊甲、存儲(chǔ)區(qū)域網(wǎng)SAN和備份磁盤)上的數(shù)據(jù)
- 傳輸數(shù)據(jù):通過網(wǎng)絡(luò)傳送的數(shù)據(jù)泥彤,包括有線或無線在內(nèi)網(wǎng)上傳輸?shù)臄?shù)據(jù)以及公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)
- 使用中的數(shù)據(jù):臨時(shí)存儲(chǔ)區(qū)正在被應(yīng)用使用的數(shù)據(jù)
- 保護(hù)數(shù)據(jù)機(jī)密性最好的方法是加密,此外強(qiáng)大的身份驗(yàn)證和授權(quán)控制能有效阻止未經(jīng)授權(quán)的訪問
- 數(shù)據(jù)庫(kù)管理員會(huì)采取措施對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)服務(wù)器商的敏感數(shù)據(jù)進(jìn)行加密卿啡,還會(huì)執(zhí)行身份認(rèn)證和授權(quán)控制以防止未經(jīng)授權(quán)的實(shí)體訪問數(shù)據(jù)庫(kù)
- 數(shù)據(jù)庫(kù)發(fā)送數(shù)據(jù)過程吟吝,數(shù)據(jù)庫(kù)管理系統(tǒng)先檢索和解密數(shù)據(jù),將其轉(zhuǎn)變?yōu)閣eb應(yīng)用程序可讀的格式颈娜,然后在傳輸之前使用加密法則對(duì)數(shù)據(jù)加密剑逃,保證傳輸過程中的安全性
- web應(yīng)用程序服務(wù)器收到加密數(shù)據(jù)后,進(jìn)行解密然后傳輸給應(yīng)用程序官辽,程序把數(shù)據(jù)存儲(chǔ)在臨時(shí)緩沖區(qū)蛹磺,當(dāng)不需要的時(shí)候執(zhí)行數(shù)據(jù)清理
1.5 管理敏感數(shù)據(jù)
- 管理敏感數(shù)據(jù)的目標(biāo)是防止數(shù)據(jù)泄露,管理敏感數(shù)據(jù)的步驟
1同仆、 標(biāo)記敏感數(shù)據(jù)
- 對(duì)敏感數(shù)據(jù)進(jìn)行標(biāo)記(通常為貼標(biāo)簽)能夠確保用戶可以輕松識(shí)別任何數(shù)據(jù)的分類級(jí)別
- 物理標(biāo)簽?zāi)軌蛑赋龃鎯?chǔ)在介質(zhì)或處理系統(tǒng)上的數(shù)據(jù)的安全性分類
- 標(biāo)記也包括使用數(shù)字水印或標(biāo)簽
- 在很多安全環(huán)境中萤捆,人們也會(huì)對(duì)非機(jī)密介質(zhì)和設(shè)備進(jìn)行標(biāo)記
- 各個(gè)組織通常會(huì)明確介質(zhì)降級(jí)的程序,有些組織會(huì)禁止介質(zhì)降級(jí)俗批,如處理過絕密的數(shù)據(jù)幾乎是不允許降級(jí)的
2鳖轰、管理敏感數(shù)據(jù)
- 管理敏感數(shù)據(jù)是指介質(zhì)的整個(gè)生命周期內(nèi)確保傳送過程的安全
- 人們很少在意對(duì)備份磁帶的控制,磁帶備份應(yīng)該與備份數(shù)據(jù)一樣受到同級(jí)別的保護(hù)
- 確保人們了解如何處理敏感數(shù)據(jù)扶镀,確保系統(tǒng)和介質(zhì)都已經(jīng)被合理標(biāo)記
3蕴侣、存儲(chǔ)敏感數(shù)據(jù)
- 敏感數(shù)據(jù)應(yīng)存儲(chǔ)在受保護(hù)且沒有任何損失的介質(zhì)中,最有效的保護(hù)方法加密
- 如果敏感數(shù)據(jù)存儲(chǔ)在物理介質(zhì)上臭觉,如硬盤昆雀、磁帶,人們應(yīng)遵循基本的物理安全做法蝠筑,防止盜竊損失數(shù)據(jù)
- 應(yīng)采取環(huán)境控制來保護(hù)介質(zhì)的安全狞膘,做法包括溫度和濕度控制
4、銷毀敏感數(shù)據(jù)
- 當(dāng)組織不需要敏感數(shù)據(jù)時(shí)什乙,就應(yīng)該對(duì)其進(jìn)行銷毀挽封,從而防止未經(jīng)授權(quán)的數(shù)據(jù)泄露
- 數(shù)據(jù)剩磁指數(shù)據(jù)仍然作為剩余磁道上的數(shù)據(jù)保留在硬盤驅(qū)動(dòng)上
- 刪除數(shù)據(jù)剩磁的方法是使用消磁工具,消磁工具能產(chǎn)生強(qiáng)大的磁場(chǎng)區(qū)域臣镣,并將磁介質(zhì)的磁場(chǎng)區(qū)域重新排列辅愿,僅在磁介質(zhì)上有效
- 固態(tài)硬盤使用的是集成電路,最好的凈化方法是就銷毀固態(tài)硬盤
- 銷毀數(shù)據(jù)常見術(shù)語:
- 擦除:擦除介質(zhì)上的數(shù)據(jù)就是對(duì)文件、文件的選擇或整個(gè)介質(zhì)執(zhí)行刪除操作
- 消除:使介質(zhì)可以重新使用的一個(gè)準(zhǔn)備過程,這個(gè)過程確保消除的數(shù)據(jù)不會(huì)通過傳統(tǒng)的工具恢復(fù)泊脐,但有時(shí)可以通過復(fù)雜的實(shí)驗(yàn)或取證技術(shù)來獲取原始的數(shù)據(jù)
- 清除:比消除更強(qiáng)烈的方式窜护,在安全性較差的環(huán)境中使介質(zhì)達(dá)到可再次使用的過程,這種方法不是總是可靠
- 解除分類:在非機(jī)密情況下對(duì)介質(zhì)或系統(tǒng)進(jìn)行清楚,以使其能夠再次使用的準(zhǔn)備過程
- 凈化:從系統(tǒng)或介質(zhì)中刪除數(shù)據(jù)挚赊,確保數(shù)據(jù)不會(huì)以任何形式恢復(fù)抓艳,凈化指可靠的方法將機(jī)密數(shù)據(jù)從介質(zhì)清除苗踪,但不破壞介質(zhì)
- 消磁:建立一個(gè)強(qiáng)大的磁場(chǎng)區(qū)域颠区,從而以消磁的方法擦除介質(zhì)上的數(shù)據(jù)
- 銷毀:介質(zhì)生命周期的最后階段,也是清理介質(zhì)最安全的方法通铲,銷毀方法包括焚燒瓦呼、破碎、粉碎测暗、解體央串、使用腐蝕性或酸性化學(xué)物質(zhì)溶解
5、保留資產(chǎn)
- 保留要求適用于數(shù)據(jù)或記錄碗啄、含有敏感數(shù)據(jù)的介質(zhì)和系統(tǒng)质和,以及接觸敏感數(shù)據(jù)的人員,記錄保留和介質(zhì)保留是資產(chǎn)保留的最重要的元素
- 記錄保留指在需要信息時(shí)保留和維護(hù)重要的信息
- 介質(zhì)保留是指硬件保留到其被正確凈化
5.1.6 應(yīng)用密碼學(xué)保護(hù)機(jī)密文件
- 保護(hù)數(shù)據(jù)機(jī)密性的一個(gè)主要方法是加密
- 應(yīng)用對(duì)稱加密保護(hù)數(shù)據(jù)
- 對(duì)稱加密在加密和解密數(shù)據(jù)時(shí)應(yīng)用相同的秘鑰稚字,下面列出常見對(duì)稱加密算法
- 高級(jí)加密標(biāo)準(zhǔn)算法(AES):最受歡迎的加密算法饲宿,微軟加密文件系統(tǒng)將高級(jí)加密算法標(biāo)準(zhǔn)應(yīng)用于文件及文件夾加密
- 三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)算法(3DES):算法實(shí)現(xiàn)了112位或168位秘鑰,秘鑰越長(zhǎng)胆描,安全等級(jí)越高
- Blowfish:可用秘鑰長(zhǎng)度為32至448位瘫想,是強(qiáng)大的加密協(xié)議,Linux系統(tǒng)使用bcrypt來加密密碼昌讲,bcrypt基于Blowfish国夜,添加了額外的128位秘鑰作為salt來組織彩虹表攻擊
- 對(duì)稱加密在加密和解密數(shù)據(jù)時(shí)應(yīng)用相同的秘鑰稚字,下面列出常見對(duì)稱加密算法
- 應(yīng)用傳輸加密保護(hù)數(shù)據(jù)
- 通過網(wǎng)絡(luò)發(fā)送未加密數(shù)據(jù)的主要風(fēng)險(xiǎn)就是嗅探攻擊
- 網(wǎng)絡(luò)瀏覽器使用https來加密電子上午交易,防止攻擊者捕捉數(shù)據(jù)以及使用信用卡累積費(fèi)用
- 虛擬專用網(wǎng)使用的加密協(xié)議有TLS和網(wǎng)際協(xié)議安全(IPSec),IPSec包含一個(gè)認(rèn)證報(bào)頭短绸,提供了鑒定和完整性车吹,同事封裝安全載荷(ESP)提供保密性
- IPSec和SSH通常用來在互聯(lián)網(wǎng)傳輸數(shù)據(jù)的過程保護(hù)數(shù)據(jù)
5.2 定義數(shù)據(jù)角色
5.2.1 數(shù)據(jù)所有者
- 數(shù)據(jù)所有者是數(shù)據(jù)的最終責(zé)任人,通常是首席執(zhí)行官醋闭、總裁或部門主管窄驹,所有者的職責(zé)
- 制定規(guī)則,以便于用于主體的數(shù)據(jù)或信息的適當(dāng)使用及保護(hù)
- 為信息系統(tǒng)所有者提供輸入证逻,要考慮到信息所在地的信息系統(tǒng)的安全要求和安全控制
- 決定誰有權(quán)訪問信息系統(tǒng)乐埠,擁有何種特權(quán)或準(zhǔn)入權(quán)
- 協(xié)助對(duì)信息所在地的普通安全控制進(jìn)行定義和評(píng)估
5.2.2 系統(tǒng)所有者
- 系統(tǒng)所有者是擁有含機(jī)密數(shù)據(jù)的系統(tǒng)的人,系統(tǒng)所有者負(fù)責(zé)確保在系統(tǒng)中運(yùn)行的數(shù)據(jù)的安全性囚企,包括定義最高級(jí)數(shù)據(jù)
5.2.3 業(yè)務(wù)/任務(wù)所有者
- 業(yè)務(wù)/任務(wù)所有者作為項(xiàng)目經(jīng)理或信息系統(tǒng)所有者丈咐,業(yè)務(wù)/任務(wù)所有者的責(zé)任可以和系統(tǒng)所有者的責(zé)任由重疊和相同
- 在業(yè)務(wù)中,業(yè)務(wù)所有者負(fù)責(zé)確保系統(tǒng)能夠給組織提供價(jià)值
5.2.4 數(shù)據(jù)處理者
- 用來加工數(shù)據(jù)的任意系統(tǒng)
5.2.5 管理員
- 數(shù)據(jù)管理員負(fù)責(zé)將數(shù)據(jù)以合適的方式授予人員洞拨,他們不一定擁有全部管理者權(quán)限和特權(quán)扯罐,但他們可以分配權(quán)限
5.2.6 保管者
- 通過以適當(dāng)方式保存和保護(hù)數(shù)據(jù)负拟,協(xié)助保護(hù)數(shù)據(jù)的安全性和完整性
用戶
- 任何通過計(jì)算系統(tǒng)獲取數(shù)據(jù)并完成工作任務(wù)的人
5.3 保護(hù)隱私
- 組織有義務(wù)保護(hù)他們收集和保存的數(shù)據(jù)烦衣,如果法律在司法中得得以執(zhí)行,那么各組織必須履行這些要求,使用安全基準(zhǔn)線以及定義相關(guān)標(biāo)準(zhǔn)讓保護(hù)數(shù)據(jù)的任務(wù)變得簡(jiǎn)單
5.3.1 使用安全基線
- 基線提供一個(gè)起點(diǎn)花吟,確保最低安全標(biāo)準(zhǔn)秸歧,各組織使用的普通基線就是鏡像
- 將系統(tǒng)設(shè)置成安全狀態(tài)后,審計(jì)程序要周期性的檢查系統(tǒng)衅澈,以確保他們維持在安全狀態(tài)
5.3.2 審視和定制
- 審視是指評(píng)估基線安全控制键菱,然后選擇那些適用于想保護(hù)的IT系統(tǒng)的控制
- 定制是指修改基線內(nèi)的安全控制列表,使其與組織的使命相適應(yīng)
5.3.3 選擇標(biāo)準(zhǔn)
- 在選擇基線內(nèi)的安全控制時(shí)今布,組織需要確本福控制
