CISSP認證考試指南(第7版)
第
1
章 安全和風險管理...............................1
1.1
安全基本原則.................................. 2
1.1.1
可用性
..................................... 3
1.1.2
完整性
..................................... 3
1.1.3
機密性
..................................... 3
1.1.4
平衡安全
.................................. 4
1.2
安全定義......................................... 5
1.3
控制型別......................................... 6
1.4
安全框架....................................... 10
1.4.1 ISO/IEC 27000
系列
................... 12
1.4.2
企業安全架構開發
.................... 14
1.4.3
安全控制開發
.......................... 23
1.4.4
流程管理開發
.......................... 26
1.4.5
功能與安全性
.......................... 32
1.5
計算機犯罪法的難題..................... 32
1.6
網路犯罪的複雜性
........................ 34
1.6.1
電子資產
................................ 35
1.6.2
攻擊的演變
............................. 36
1.6.3
國際問題
................................ 38
1.6.4
法律的型別
............................. 41
1.7
智慧財產權法
................................... 44
1.7.1
商業秘密
................................ 44
1.7.2
版權
...................................... 45
1.7.3
商標
...................................... 45
1.7.4
專利
...................................... 46
1.7.5
智慧財產權的內部保護
................. 47
1.7.6
軟體盜版
................................ 48
1.8
隱私.............................................. 50
1.8.1
對隱私法不斷增長的需求
........... 51
1.8.2
法律、指令和法規
.................... 52
1.8.3
員工隱私問題
.......................... 58
1.9
資料洩露....................................... 59
1.9.1
美國的資料洩露相關法律
........... 60
1.9.2
其他國家有關資料洩露的法律
..... 61
1.10
策略、標準、基線、指南和
過程
..............................................61
1.10.1
安全策略
............................... 62
1.10.2
標準.............................................
64
1.10.3
基線
.....................................65
1.10.4
指南
.....................................66
1.10.5
措施
.....................................66
1.10.6
實施
.....................................66
1.11
風險管理
.....................................67
1.11.1
全面的風險管理
...................... 68
1.11.2
資訊系統風險管理策略
.............68
1.11.3
風險管理團隊
......................... 69
1.11.4
風險管理過程
......................... 69
1.12
威脅建模
.....................................70
1.12.1
脆弱性
..................................70
1.12.2
威脅
.....................................71
1.12.3
攻擊
.....................................71
1.12.4
消減分析
............................... 72
1.13
風險評估和分析
.......................... 73
1.13.1
風險分析團隊
......................... 74
1.13.2
資訊和資產的價值
...................74
1.13.3
構成價值的成本
...................... 75
1.13.4
識別脆弱性和威脅
...................75
1.13.5
風險評估方法
......................... 76
1.13.6
風險分析方法
......................... 80
1.13.7
定性風險分析
......................... 83
1.13.8
保護機制
............................... 86
1.13.9
綜合考慮
............................... 88
1.13.10
總風險與剩餘風險
.................88
1.13.11
處理風險
.............................. 89
1.13.12
外包
...................................90
1.14
風險管理框架.............................. 91
1.14.1
資訊分類
............................... 92
1.14.2
安全控制的選擇
...................... 92
1.14.3
安全控制的實現
...................... 93
1.14.4
安全控制的評估
...................... 93
1.14.5
資訊系統的授權
...................... 93
1.14.6
安全控制的監管
...................... 93
1.15
業務連續性與災難恢復
............... 94
1.15.1
標準和最佳實踐
...................... 96
1.15.2
使
BCM
成為企業安全計劃的
一部分
................................... 98
1.15.3 BCP
專案的組成
................... 100
1.16
人員安全....................................111
1.16.1
招聘實踐
............................. 112
1.16.2
解僱
................................... 113
1.16.3
安全意識培訓
....................... 114
1.16.4
學位或證照
.......................... 115
1.17
安全治理................................... 115
1.18
道德
.......................................... 120
1.18.1
計算機道德協會
.................... 120
1.18.2
網際網路架構研究委員會
.......... 121
1.18.3
企業道德計劃
....................... 122
1.19
小結
.......................................... 122
1.20
快速提示................................... 123
1.21
問題
.......................................... 126
1.22
答案
.......................................... 133
第
2
章 資產安全......................................137
2.1
資訊生命週期.............................. 137
2.1.1
獲取
.................................... 138
2.1.2
使用
.................................... 138
2.1.3
存檔
.................................... 139
2.1.4
處置
.................................... 139
2.2
資訊分類..................................... 140
2.2.1
分類等級
.............................. 141
2.2.2
分類控制
.............................. 143
2.3
責任分層..................................... 144
2.3.1
行政管理層
........................... 144
2.3.2
資料所有者
........................... 147
2.3.3
資料看管員
........................... 147
2.3.4
系統所有者
........................... 148
2.3.5
安全管理員
........................... 148
2.3.6
主管
.................................... 148
2.3.7
變更控制分析員
..................... 148
2.3.8
資料分析員
........................... 149
2.3.9
使用者
..................................... 149
2.3.10
審計員
................................ 149
2.3.11
為何需要這麼多角色
.............. 149
2.4
保留策略..................................... 149
2.5
保護隱私..................................... 152
2.5.1
資料所有者
........................... 153
2.5.2
資料處理者
........................... 153
2.5.3
資料殘留
.............................. 153
2.5.4
收集的限制
........................... 156
2.6
保護資產..................................... 156
2.6.1
資料安全控制
........................ 157
2.6.2
介質控制
.............................. 159
2.7
資料洩露..................................... 163
2.8
保護其他資產.............................. 170
2.8.1
保護移動裝置
........................ 170
2.8.2
紙質記錄
.............................. 171
2.8.3
保險箱
................................. 171
2.9
小結
............................................ 172
2.10
快速提示
................................... 172
2.11
問題........................................... 173
2.12
答案........................................... 176
第
3
章 安全工程.....................................
179
3.1
系統架構..................................... 180
3.2
計算機架構.................................. 183
3.2.1
中央處理單元
........................ 183
3.2.2
多重處理
.............................. 186
3.2.3
儲存器型別
........................... 187
3.3
作業系統..................................... 197
3.3.1
程式管理
.............................. 197
3.3.2
儲存器管理
........................... 204
3.3.3
輸入/輸出裝置管理
................. 207
3.3.4 CPU架構整合
........................ 209
3.3.5
作業系統架構
........................ 212
3.3.6
虛擬機器
................................. 217
3.4
系統安全架構.............................. 219
3.4.1
安全策略
.............................. 219
3.4.2
安全架構要求
........................ 220
3.5
安全模型..................................... 224
3.5.1 Bell-LaPadula
模型
.................. 224
3.5.2 Biba
模型
.............................. 225
3.5.3 Clark-Wilson
模型
................... 225
3.5.4
無干擾模型
........................... 226
3.5.5 Brewer and Nash
模型
............... 227
3.5.6 Graham-Denning
模型
.............. 227
3.5.7 Harrison-Ruzzo-Ullman
模型
...... 227
3.6
系統評估方法.............................. 228
3.6.1
通用準則
.............................. 229
3.6.2
對產品進行評估的原因
............ 232
3.7
認證與認可
................................. 232
3.7.1
認證
.................................... 232
3.7.2
認可
.................................... 233
3.8
開放系統與封閉系統................... 234
3.8.1
開放系統
.............................. 234
3.8.2
封閉系統
.............................. 234
3.9
分散式系統安全.......................... 234
3.9.1
雲端計算
................................. 235
3.9.2
平行計算
.............................. 235
3.9.3
資料庫
................................. 236
3.9.4 Web
應用
.............................. 238
3.9.5
移動裝置
.............................. 239
3.9.6
網路物理系統
........................ 240
3.10
一些對安全模型和架構的威脅... 242
3.10.1
維護陷阱
............................. 243
3.10.2
檢驗時間/使用時間攻擊
.......... 243
3.11
密碼學背景................................ 244
3.12
密碼學定義與概念..................... 249
3.12.1 Kerckhoffs
原則
.................... 251
3.12.2
密碼系統的強度
.................... 251
3.12.3
密碼系統的服務
.................... 252
3.12.4
一次性密碼本
....................... 252
3.12.5
滾動密碼與隱藏密碼
............. 254
3.12.6
隱寫術
................................ 255
3.13
密碼的型別................................ 257
3.13.1
替代密碼
............................. 257
3.13.2
換位密碼
............................. 257
3.14
加密的方法................................ 259
3.14.1
對稱演算法與非對稱演算法
.......... 259
3.14.2
分組密碼與流密碼
................. 263
3.14.3
混合加密方法
....................... 267
3.15
對稱系統的型別
........................ 272
3.15.1
資料加密標準
....................... 272
3.15.2
三重
DES
............................ 278
3.15.3
高階加密標準
....................... 278
3.15.4
國際資料加密演算法
................. 279
3.15.5 Blowfish
.............................. 279
3.15.6 RC4
................................... 279
3.15.7 RC5
................................... 279
3.15.8 RC6
................................... 280
3.16
非對稱系統的型別..................... 280
3.16.1 Diffie-Hellman
演算法
............... 280
3.16.2 RSA
................................... 282
3.16.3 El Gamal
.............................. 284
3.16.4
橢圓曲線密碼系統
................. 284
3.16.5
揹包演算法
............................. 285
3.16.6
零知識證明
.......................... 285
3.17
訊息完整性................................ 286
3.17.1
單向雜湊
............................. 286
3.17.2
各種雜湊演算法
....................... 290
3.17.3 MD4
................................... 291
3.17.4 MD5
................................... 291
3.17.5 SHA
................................... 291
3.17.6
針對單向雜湊函式的攻擊
........ 291
3.17.7
數字簽名
............................. 292
3.17.8
數字簽名標準
....................... 294
3.18
公鑰基礎設施............................ 294
3.18.1
認證授權機構
....................... 295
3.18.2
證照
................................... 297
3.18.3
註冊授權機構
....................... 297
3.18.4 PKI
步驟
............................. 297
3.19
金鑰管理
................................... 299
3.19.1
金鑰管理原則
....................... 300
3.19.2
金鑰和金鑰管理的規則
........... 301
3.20
可信平臺模組............................ 301
3.21
針對密碼學的攻擊..................... 303
3.21.1
唯密文攻擊
.......................... 303
3.21.2
已知明文攻擊
....................... 303
3.21.3
選定明文攻擊
....................... 303
3.21.4
選定密文攻擊
....................... 304
3.21.5
差分密碼分析
....................... 304
3.21.6
線性密碼分析
....................... 304
3.21.7
旁路攻擊
............................. 305
3.21.8
重放攻擊
............................. 305
3.21.9
代數攻擊
............................. 305
3.21.10
分析式攻擊
........................ 306
3.21.11
統計式攻擊
........................ 306
3.21.12
社會工程攻擊
..................... 306
3.21.13
中間相遇攻擊
..................... 306
3.22
站點和設施安全........................ 306
3.23
站點規劃過程............................ 307
3.23.1
透過環境設計來預防犯罪
....... 310
3.23.2
制訂物理安全計劃
................. 314
3.24
保護資產................................... 324
3.24.1
保護移動裝置
....................... 324
3.24.2
使用保險櫃
.......................... 325
3.25
內部支援系統............................ 325
3.25.1
電力
................................... 325
3.25.2
環境問題
............................. 329
3.25.3
火災的預防、檢測和撲滅
....... 331
3.26
小結
.......................................... 335
3.27
快速提示................................... 336
3.28
問題
.......................................... 340
3.29
答案
.......................................... 346
第
4
章 通訊與網路安全...........................351
4.1
通訊............................................ 352
4.2
開放系統互連參考模型............... 353
4.2.1
協議
.................................... 354
4.2.2
應用層
................................. 356
4.2.3
表示層
................................. 356
4.2.4
會話層
................................. 357
4.2.5
傳輸層
................................. 359
4.2.6
網路層
................................. 360
4.2.7
資料鏈路層
........................... 360
4.2.8
物理層
................................. 362
4.2.9 OSI
模型中的功能和協議
......... 362
4.2.10
綜合這些層
.......................... 364
4.2.11
多層協議
............................. 365
4.3 TCP/IP
模型................................. 366
4.3.1 TCP
..................................... 367
4.3.2 IP
定址
................................. 371
4.3.3 IPv6
..................................... 373
4.3.4
第
2
層安全標準
..................... 376
4.3.5
匯聚協議
.............................. 377
4.4
傳輸型別..................................... 378
4.4.1
模擬和數字
........................... 378
4.4.2
非同步和同步
........................... 379
4.4.3
寬頻和基帶
........................... 381
4.5
線纜
............................................ 382
4.5.1
同軸電纜
.............................. 382
4.5.2
雙絞線
................................. 382
4.5.3
光纜
..................................... 383
4.5.4
佈線問題
.............................. 384
4.6
網路互聯基礎.............................. 386
4.6.1
網路拓撲
.............................. 386
4.6.2
介質訪問技術
........................ 388
4.6.3
傳輸方法
.............................. 397
4.6.4
網路協議和服務
..................... 398
4.6.5
域名服務
.............................. 405
4.6.6
電子郵件服務
........................ 410
4.6.7
網路地址轉換
........................ 414
4.6.8
路由協議
.............................. 416
4.7
網路互聯裝置.............................. 419
4.7.1
中繼器
................................. 420
4.7.2
網橋
..................................... 420
4.7.3
路由器
................................. 422
4.7.4
交換機
................................. 423
4.7.5
閘道器
..................................... 427
4.7.6 PBX
..................................... 428
4.7.7
防火牆
................................. 431
4.7.8
代理伺服器
........................... 448
4.7.9
蜜罐
..................................... 450
4.7.10
統一威脅管理
....................... 450
4.7.11
內容分發網路
....................... 451
4.7.12
軟體定義網路
....................... 452
4.8
內聯網與外聯網.......................... 454
4.9
都會網路......................................... 455
4.10
廣域網....................................... 457
4.10.1
通訊的發展
.......................... 458
4.10.2
專用鏈路
............................. 459
4.10.3 WAN
技術
........................... 462
4.11
遠端連線
................................... 478
4.11.1
撥號連線
............................. 478
4.11.2 ISDN
.................................. 479
4.11.3 DSL
................................... 480
4.11.4
線纜調變解調器
.................... 481
4.11.5 VPN
................................... 482
4.11.6
身份驗證協議
....................... 488
4.12
無線網路................................... 489
4.12.1
無線通訊技術
....................... 490
4.12.2 WLAN
元件
......................... 492
4.12.3 WLAN
安全的演化
................ 494
4.12.4
無線標準
............................. 498
4.12.5
保護
WLAN
的最佳實踐
......... 502
4.12.6
衛星
................................... 503
4.12.7
移動無線通訊
....................... 504
4.13
網路加密................................... 508
4.13.1
鏈路加密與端對端加密
.......... 508
4.13.2
電子郵件加密標準
................. 510
4.13.3
網際網路安全
.......................... 512
4.14
網路攻擊................................... 516
4.14.1
拒絕服務
............................. 516
4.14.2
嗅探
................................... 518
4.14.3 DNS
劫持
............................ 519
4.14.4
偷渡下載
............................. 519
4.15
小結
.......................................... 520
4.16
快速提示................................... 520
4.17
問題
.......................................... 523
4.18
答案
.......................................... 530
第
5
章 身份與訪問管理...........................535
5.1
訪問控制概述.............................. 535
5.2
安全原則..................................... 536
5.2.1
可用性
................................. 536
5.2.2
完整性
................................. 537
5.2.3
機密性
................................... 537
5.3
身份標識、身份驗證、授權與
可問責性..................................... 538
5.3.1
身份標識與身份驗證
............... 539
5.3.2
身份驗證
.............................. 548
5.3.3
授權
..................................... 564
5.3.4
聯合
..................................... 574
5.3.5
身份即服務
........................... 581
5.3.6
整合身份識別服務
.................. 581
5.4
訪問控制模型.............................. 582
5.4.1
自主訪問控制
........................ 582
5.4.2
強制訪問控制
........................ 583
5.4.3
角色訪問控制
........................ 585
5.4.4
規則型訪問控制
..................... 587
5.5
訪問控制方法和技術................... 588
5.5.1
限制性使用者介面
..................... 588
5.5.2
訪問控制矩陣
........................ 589
5.5.3
內容相關訪問控制
.................. 590
5.5.4
上下文相關訪問控制
............... 591
5.6
訪問控制管理.............................. 591
5.6.1
集中式訪問控制管理
............... 592
5.6.2
分散式訪問控制管理
............... 597
5.7
訪問控制方法.............................. 597
5.7.1
訪問控制層
........................... 598
5.7.2
行政管理性控制
..................... 598
5.7.3
物理性控制
........................... 599
5.7.4
技術性控制
........................... 600
5.8
可問責性..................................... 603
5.8.1
審計資訊的檢查
..................... 604
5.8.2
保護審計資料和日誌資訊
......... 605
5.8.3
擊鍵監控
.............................. 605
5.9
訪問控制實踐.............................. 606
5.10
訪問控制監控.............................. 608
5.10.1
入侵檢測
............................. 608
5.10.2
入侵防禦系統
....................... 616
5.11
對訪問控制的幾種威脅.............. 618
5.11.1
字典攻擊
............................. 618
5.11.2
蠻力攻擊
............................. 619
5.11.3
登入欺騙
............................. 619
5.11.4
網路釣魚
............................. 619
5.12
小結........................................... 622
5.13
快速提示
................................... 622
5.14
問題........................................... 625
5.15
答案
.......................................... 632
第
6
章 安全評估與測試...........................635
6.1
審計策略..................................... 636
6.1.1
內部審計
.............................. 637
6.1.2
第三方審計
........................... 638
6.2
審計技術控制.............................. 640
6.2.1
脆弱性測試
........................... 640
6.2.2
滲透測試
.............................. 642
6.2.3
戰爭撥號攻擊
........................ 646
6.2.4
其他脆弱性型別
..................... 646
6.2.5
事後檢查
.............................. 648
6.2.6
日誌審查
.............................. 649
6.2.7
綜合事務
.............................. 651
6.2.8
誤用案例測試
........................ 652
6.2.9
程式碼審查
.............................. 653
6.2.10
介面測試
............................. 655
6.3
審計管理控制.............................. 655
6.3.1
賬戶管理
.............................. 655
6.3.2
備份驗證
.............................. 657
6.3.3
災難恢復和業務連續性
............ 659
6.3.4
安全培訓和安全意識培訓
......... 664
6.3.5
關鍵績效和風險指標
............... 667
6.4
報告............................................ 669
6.4.1
技術報告
.............................. 669
6.4.2
執行摘要
.............................. 669
6.5
管理評審..................................... 670
6.5.1
管理評審前
........................... 671
6.5.2
審查輸入
.............................. 671
6.5.3
管理層的行動
........................ 672
6.6
小結............................................ 672
6.7
快速提示..................................... 673
6.8
問題............................................ 674
6.9
答案............................................ 678
第
7
章 安全運營......................................681
7.1
運營部門的角色.......................... 682
7.2
行政管理..................................... 682
7.2.1
安全和網路人員
..................... 684
7.2.2
可問責性
.............................. 685
7.2.3
閾值級別
.............................. 686
7.3
保證級別..................................... 686
7.4
運營責任..................................... 687
7.4.1
不尋常或無法解釋的事件
......... 687
7.4.2
偏離標準
.............................. 687
7.4.3
不定期的初始程式載入
(也稱為重啟)
......................... 688
7.5
配置管理..................................... 688
7.5.1
可信恢復
.............................. 688
7.5.2
輸入與輸出控制
..................... 690
7.5.3
系統強化
.............................. 691
7.5.4
遠端訪問安全
........................ 692
7.6
物理安全..................................... 693
7.6.1
設施訪問控制
........................ 694
7.6.2
人員訪問控制
........................ 699
7.6.3
外部邊界保護機制
.................. 700
7.6.4
入侵檢測系統
........................ 707
7.6.5
巡邏警衛和保安
..................... 709
7.6.6
安全狗
................................. 710
7.6.7
對物理訪問進行審計
............... 710
7.7
安全資源配置.............................. 710
7.7.1
資產清單
.............................. 711
7.7.2
配置管理
.............................. 712
7.7.3
配置雲資產
........................... 714
7.8
網路和資源可用性....................... 715
7.8.1
平均故障間隔時間(MTBF)
........ 716
7.8.2
平均修復時間(MTTR)
.............. 716
7.8.3
單點失敗
.............................. 717
7.8.4
備份
..................................... 723
7.8.5
應急計劃
.............................. 725
7.9
預防措施..................................... 725
7.9.1
防火牆
................................. 726
7.9.2
入侵檢測與預防系統
............... 727
7.9.3
反惡意軟體
........................... 728
7.9.4
補丁管理
.............................. 728
7.9.5
蜜罐技術
.............................. 730
7.10
事故管理流程............................ 731
7.10.1
檢測
................................... 735
7.10.2
響應
................................... 735
7.10.3
緩解
................................... 735
7.10.4
報告
................................... 736
7.10.5
恢復
................................... 736
7.10.6
修復
................................... 737
7.11
災難恢復
................................... 738
7.11.1
業務流程恢復
....................... 740
7.11.2
設施恢復
............................. 741
7.11.3
供給和技術恢復
.................... 746
7.11.4
選擇軟體備份設施
................. 749
7.11.5
終端使用者環境
....................... 751
7.11.6
資料備份選擇方案
................. 752
7.11.7
電子備份解決方案
................. 755
7.11.8
高可用性
............................. 757
7.12
保險
.......................................... 759
7.13
恢復與還原................................ 760
7.13.1
為計劃制定目標
.................... 763
7.13.2
實現戰略
............................. 764
7.14
調查
.......................................... 766
7.14.1
計算機取證和適當的證據收集
. 767
7.14.2
動機、機會和方式
................. 768
7.14.3
計算機犯罪行為
.................... 768
7.14.4
事故調查員
.......................... 769
7.14.5
取證調查過程
....................... 770
7.14.6
法庭上可接受的證據
............. 774
7.14.7
監視、搜尋和查封
................. 776
7.14.8
訪談和審訊
.......................... 777
7.15
義務及其後果............................ 777
7.15.1
職責場景
............................. 779
7.15.2
第三方風險
.......................... 780
7.15.3
合同協議
............................. 781
7.15.4
採購和供應商流程
................. 781
7.16
合規性....................................... 782
7.17
個人安全問題............................ 784
7.18
小結
.......................................... 785
7.19
快速提示................................... 785
7.20
問題
.......................................... 787
7.21
答案
.......................................... 791
第
8
章 軟體開發安全
..............................795
8.1
建立好的程式碼.............................. 795
8.2
何處需要安全.............................. 796
8.2.1
不同的環境需要不同的安全
...... 797
8.2.2
環境與應用程式
..................... 798
8.2.3
功能與安全
........................... 798
8.2.4
實現和預設配置問題
............... 799
8.3
軟體開發生命週期....................... 800
8.3.1
專案管理
.............................. 800
8.3.2
需求收集階段
........................ 801
8.3.3
設計階段
.............................. 802
8.3.4
開發階段
.............................. 804
8.3.5
測試/驗證階段
........................ 806
8.3.6
釋出/維護階段
........................ 808
8.4
安全軟體開發最佳實踐
............... 809
8.5
軟體開發模型.............................. 810
8.5.1
邊做邊改模型
........................ 810
8.5.2
瀑布模型
.............................. 811
8.5.3 V
形模型(V
模型)
................... 811
8.5.4
原型模型
.............................. 812
8.5.5
增量模型
.............................. 812
8.5.6
螺旋模型
.............................. 813
8.5.7
快速應用開發
........................ 814
8.5.8
敏捷模型
.............................. 815
8.5.9
其他模型
.............................. 818
8.6
整合產品開發團隊....................... 818
8.7
能力成熟度模型.......................... 819
8.8
變更控制..................................... 821
8.8.1
軟體配置管理
........................ 822
8.8.2
程式碼庫的安全性
..................... 823
8.9
程式語言和概念.......................... 823
8.9.1
彙編程式、編譯器和直譯器
...... 825
8.9.2
物件導向概念
........................ 826
8.10
分散式計算................................ 834
8.10.1
分散式計算環境
.................... 835
8.10.2 CORBA
與
ORB
.................... 836
8.10.3 COM
與
DCOM
.................... 837
8.10.4 Java
平臺,企業版本
.............. 839
8.10.5
面向服務的架構
.................... 839
8.11
移動程式碼
................................... 842
8.11.1 Java applet
............................ 842
8.11.2 ActiveX
控制元件
....................... 844
8.12 Web安全................................... 845
8.12.1
針對
Web
環境的特定威脅
...... 845
8.12.2 Web
應用安全原則
................ 851
8.13
資料庫管理................................ 851
8.13.1
資料庫管理軟體
.................... 852
8.13.2
資料庫模型
.......................... 853
8.13.3
資料庫程式設計介面
.................... 857
8.13.4
關聯式資料庫元件
.................... 858
8.13.5
完整性
................................ 860
8.13.6
資料庫安全問題
.................... 862
8.13.7
資料倉儲與資料探勘
............. 866
8.14
惡意軟體(惡意程式碼) .................. 869
8.14.1
病毒
................................... 870
8.14.2
蠕蟲
................................... 871
8.14.3 rootkit
................................. 872
8.14.4
間諜軟體和廣告軟體
............. 873
8.14.5
殭屍網路
............................. 873
8.14.6
邏輯炸彈
............................. 874
8.14.7
特洛伊木馬
.......................... 875
8.14.8
防病毒軟體
.......................... 876
8.14.9
垃圾郵件檢測
....................... 879
8.14.10
防惡意軟體程式
.................. 879
8.15
評估外部獲取軟體的安全性
...... 880
8.16
小結........................................... 881
8.17
快速提示
................................... 881
8.18
問題........................................... 884
8.19
答案........................................... 889
附錄
A
完整的複習題..............................
893
術語表.......................................................
929
安全和風險管理
本章介紹以下內容:
●
安全術語和原則
●
保護控制型別
●
安全框架、模型、標準和最佳實踐
●
計算機法律和犯罪
●
智慧財產權
●
資料破壞
●
風險管理
●
威脅建模
●
業務連續性和災難恢復
●
個人安全
●
安全治理
真正安全的系統,是被關閉了電源,澆築到水泥塊中,然後被密封在一個配有武裝警衛的鉛襯
房間之中的,但是就算如此,我依然懷疑它能否做到絕對安全。
——Eugene H. Spafford
其實,
除安全實踐外,組織機構還有很多其他事情可做。畢竟,企業存在的目的是賺錢。只有
大部分非營利組織,如慈善機構、教育中心和宗教實體等,其存在的目的是提供某種型別的服務。
而多陣列織存在的目的都不是要專門部署和維護防火牆、入侵檢測系統、身份管理技術和加密裝置。
沒有企業真正願意開發成百上千的安全策略、部署反惡意軟體、維護脆弱性管理系統、不斷更新事
件響應能力,以及不得不遵循各種令人眼花繚亂的安全法規,例如薩班斯-奧克斯利法案
SOX(Sarbanes-Oxley)、金融服務現代化法案
GLBA (Gramm-Leach-Bliley Act)、支付卡行業資料安全
標準
PCI DSS(Payment Card Industry Data Security Standard)、健康保險攜帶和責任法案
HIPAA
(Health Insurance Portability and Accountability Act)和美國聯邦資訊保安管理法案
FISMA (Federal
Information Security Management Act)。企業主只願意製造他們的產品,銷售他們的產品,然後回家。
但是,這樣簡單的日子一去不復返了。現在組織機構面臨著挑戰:有人想要偷取企業顧客資料,從
而可以竊取身份以進行銀行欺詐。公司機密不斷被來自內部和外部的實體竊取,用於從事經濟間諜
活動。系統被劫持和用於殭屍網路,來用於攻擊其他組織或者傳播垃圾郵件。公司資金被來自不同
國家的有組織的犯罪團伙透過複雜的、難以確認的數字方法秘密抽走。那些發現自己已經成為攻擊
者目標的組織正在不斷地遭受攻擊,他們的系統和網站可能數小時或數日都不能運作。當今的企業
第
1
章
需要踐行大量安全規則才能維護市場份額、保護顧客和底線、遠離牢獄之災,以及銷售產品。
本章將討論組織為整體踐行安全而必須遵循的諸多原則。每個組織機構都必須開發企業安全計
劃,該計劃中所包含的技術、措施和程式將貫穿整本書。在從事安全工作的整個職業生涯中,你會
發現,多數企業只踐行了“企業安全計劃”的一部分而不是全部。幾乎每個組織都在處心積慮地考
慮如何評估公司所面臨的風險以及如何分配資金和資源來遏制那些風險。可以說,當今企業所制定
的安全計劃中有很多隻是片面的和有缺失的。團隊熟悉的領域,其安全計劃也較為完善,而不熟悉
的領域,安全計劃就匱乏。因此,你有責任儘可能全面地瞭解整個安全領域,只有這樣,才能識別
安全計劃中的不足之處,然後改進它們。這也是
CISSP
考試覆蓋技術、方法和程式等諸多領域的原
因所在。如果要幫助一個組織執行整體的安全任務,就必須從整體的角度來理解掌握它們。首先,
我們會從安全的基本內容入手,然後在此基礎上展開本章甚至整本書的內容。構建知識基礎就好比
蓋房子:沒有堅實的基礎,房子就不堅固,後果就不可預料,不知什麼時候就會倒塌。我們的目標
是確保你擁有紮實和牢固的根基,這樣才能保護自己免受諸多威脅的傷害,保護那些依賴你和你的
技術的商業組織和政府組織免受損害。
作為資訊保安專業人員,最本質的是理解兩個關鍵概念:安全和風險。保護組織的資訊保安是
我們的職責所在,所以很有必要花些時間定義資訊保安及相關內容。在現實社會中要理解資訊保安
的關鍵內容,可以去研究與其相關的法律和犯罪行為,以及我們在打擊犯罪時要儘量減少隱私的洩
露以做好權衡。以此為基礎,接下來我們把注意力轉向風險的概念,因為在保護資訊系統時,做出
的每個決定都應該考慮風險。風險的概念非常重要,所以不只本章將詳細介紹,在其他章節還將提
到。我們的切入點較小,卻關注組織面臨的惡意威脅,由點及面,包含偶發的威脅和環境的威脅,
以及如何規劃業務連續性和災難恢復方案來防範這些風險。最後,我們將討論人員、治理和道德。
1.1 安全基本原則
我們需要知道,安全的核心目標是為關
鍵資產提供可用性、完整性和機密性(AIC
三元組)保護,見圖
1-1。每項資產所需的保
護級別不相同,具體將在下面討論。所有安
全控制、機制和防護措施的實現都是為了提
供這些原則中的一個或多個,並且要為潛在
的能力衡量所有風險、威脅和脆弱性,以平
衡一個或全部
AIC
原則。
可用性
安全物件
完整性 機密性
注意:
在某些文件中,三元組用
CIA
表示,分別代表機密性(Confidentiality)、完整性(Integrity)
和可用性(Availability)。
1.1.1
可用性
可用性(Availability)保護確保授權的使用者能夠對資料和資源進行及時和可靠的訪問。網路裝置、
計算機和應用程式應當提供充分的功能,從而能夠在可以接受的效能級別以可預計的方式執行。它
們應該能夠以一種安全而快速的方式從崩潰中恢復,這樣生產活動就不會受到負面影響。應該採取
必要的保護措施消除來自內部或外部的威脅,這些威脅會影響所有業務處理元素的可用性及工作效
率。和生活中的許多其他事情一樣,確保組織內部必要資源的可用性聽起來容易,實際做起來卻很
難。網路由眾多必須在深夜持續執行的元件(路由器、交換器、DNS
伺服器、DHCP
伺服器、代理
和防火牆)構成。軟體也由眾多必須健康執行的元件(作業系統、應用程式和反病毒軟體)構成。此外
還有很多能夠影響到組織運營的環境因素(如大火、洪水、HVAC
問題、電子問題)、潛在的自然災
害和物理偷竊或攻擊。組織必須完全瞭解它的運營環境及其在可用性方面的缺陷,才能採取正確的
對策。
1.1.2
完整性
完整性(Integrity)指的是保證資訊和系統的準確性和可靠性,並禁止對資料的非授權更改。硬體、
軟體和通訊機制只有協同工作,才能正確地維護和處理資料,並且能夠在不被意外更改的情況下將
資料移動至預期的目的地。應當保護系統和網路免受外界的干擾和汙染。
實施和提供這種安全屬性的系統環境能夠確保攻擊者或使用者錯誤不會對系統或資料的完整性造
成損害。當攻擊者在系統中加入病毒、邏輯炸彈或後門時,系統的完整性就會被破壞。隨後,它將
破壞系統中儲存的資訊的完整性,如使資料出錯、惡意修改資料或替換為不正確的資料。嚴格的訪
問控制、入侵檢測和雜湊運算可以抗擊這些威脅。使用者也會經常錯誤地影響系統或資料的完整性。
當然,內部使用者也可能做出故意的惡意行為。例如,使用者可能在不經意間刪除了配置檔案,因為硬
盤已滿,而使用者又不記得使用過檔案。或者,使用者也可能在資料處理應用程式中輸入了錯誤值,使
得本應交
3000
美元的客戶只交了
300
美元。在資料庫中儲存的被錯誤修改的資料是使用者偶爾使資料
出錯的一種常見方式,這種錯誤會造成持久的影響。
應當精簡使用者的能力,只向其提供少數幾個選擇和功能,這樣錯誤就會減少,而且也不會那麼
嚴重。應當限制使用者對系統關鍵檔案的檢視和訪問。應用程式應當提供檢查輸入值是否有效且合理
的機制。資料庫應當只允許授權使用者修改資料,而傳輸資料則應當透過加密或其他機制進行保護。
1.1.3
機密性
機密性(Confidentiality)確保在資料處理的每一個交叉點上都實施了必要級別的安全保護並阻止
未經授權的資訊披露。在資料儲存到網路內部的系統和裝置上時、資料傳輸時以及資料到達目的地
之後,這種級別的保密都應該發揮作用。
攻擊者能夠透過網路監控、肩窺、盜取密碼檔案以及社會工程來威脅機密性機制。這些內容將
在後續章節中進行更深入的討論。簡單地說,肩窺(shoulder surfing)指的是某人越過其他人的肩膀觀
察其按鍵動作或偷看計算機螢幕上顯示的資料。社會工程(social engineering)指的是欺騙其他人共享
機密資訊,例如裝扮成已被授權的人來訪問機密資訊。社會工程還可以採用其他許多形式。事實上,
任何一對一的通訊介質都能夠用於執行社會工程攻擊。
當使用者向其他人傳送資訊而沒有加密時,在成為社會工程攻擊的犧牲品時,在共享公司商業秘
密時,或是在處理機密資訊而沒有采取額外保護措施時,他們都有意或無意地洩露了某些敏感資訊。
透過以下途徑可以提供機密性:在儲存和傳輸資料時進行加密;實施嚴格的訪問控制和資料分
類;以及對職員進行適當的資料保護措施培訓。
可用性、完整性和機密性是安全問題的關鍵原則。我們應當理解這
3
個原則的含義、各種機制
如何提供這些原則以及缺少這些原則會對系統環境造成怎樣的負面影響。
1.1.4
平衡安全
實際上,當涉及資訊保安問題時,往往只針對機密資訊保密(機密性),而完整性和可用性威脅
可以被忽略,除非它們遭到破壞。某些資產嚴格要求機密性(如公司商業秘密),某些資產嚴格要求
完整性(如金融交易數值),某些資產嚴格要求可用性(電子商務網路伺服器)。很多人知道
AIC
三元
組的概念,卻可能並不完全理解實施必要的控制措施以為所有這些概念所覆蓋的領域提供保護的復
雜性。下面提供了一些控制措施及它們所對應的
AIC
三元組的原則。
可用性:
●
獨立磁碟冗餘陣列(Redundant Array of Independent Disk,RAID)
●
群集
●
負載平衡
●
冗餘資料和電源線
●
軟體和資料備份
●
磁碟映像
● co-location
和異地備用設施
●
回滾功能
●
故障切換配置
完整性:
●
雜湊(資料完整性)
●
配置管理(系統完整性)
●
變更控制(程式完整性)
●
訪問控制(物理的和技術的)
●
軟體數字簽名
●
傳輸迴圈冗餘校驗(Cyclic Redundancy Check,CRC)功能
機密性:
●
加密靜止資料(整個磁碟、資料庫加密)
●
加密傳輸(lPSec、TLS、PPTP、SSH,第
4
章將深入講解)中的資料
●
訪問控制(物理的和技術的)
本書將對所有上述控制措施一一詳述。重要的是此處要了解
AIC
三元組的概念看似簡單,而實
際上要滿足它的要求卻是非常具有挑戰性的。
1.2 安全定義
我們常用術語“脆弱性”“威脅”“風險”和“暴露”來表示同樣的事情,然而,它們實際上有
不同的含義,相互之間也有不同的關係。理解每一個術語的定義是非常重要的,但更重要的是應當
理解它們彼此之間的關係。
脆弱性
(vulnerability)
是指系統中允許威脅來破壞其安全性的缺陷。它是一種軟體、硬體、過程
或人為缺陷。這種脆弱性可能是在伺服器上執行的某個服務、未安裝補丁的應用程式或作業系統、
沒有限制的無線訪問點、防火牆上的某個開放埠、任何人都能夠進入伺服器機房的鬆懈安防或者
伺服器和工作站上未實施的密碼管理。
威脅
(threat)
是指利用脆弱性而帶來的任何潛在危險。如果威脅某個人的話,他將識別出特定的
脆弱性,並利用其來危害公司或他人。而利用脆弱性的該實體就稱為威脅主體。威脅主體可能是通
過防火牆上的某個埠訪問網路的入侵者、違反安全策略進行資料訪問的過程,也可能是某位僱員
避開各種控制而將檔案複製到介質上,進而可能洩露了機密資訊。
風險
(risk)
是威脅源利用脆弱性的可能性以及相應的業務影響。如果某個防火牆有幾個開放端
口,那麼入侵者利用其中一個埠對網路進行未授權訪問的可能性就會較大。如果沒有對使用者進行
過程和措施的相關教育,那麼僱員由於故意或無意犯錯而破壞資料的可能性就會較大。如果網路沒
有安裝入侵檢測系統,那麼在不引人注意的情況下進行攻擊且很晚才被發現的可能性就會較大。風
險將脆弱性、威脅和利用可能性與造成的業務影響聯絡在一起。
暴露
(exposure)
是造成損失的例項。脆弱效能夠導致組織遭受破壞。如果密碼管理極為鬆懈,
也沒有實施相關的密碼規則,那麼公司的使用者密碼就可能會被破解並在未授權狀況下使用。如果沒
有人監管公司的規章制度,不預先採取預防火災的措施,公司就可能遭受毀滅性的火災。
控制(control)或對策(countermeasure)能夠消除(或降低)潛在的風險。對策可以是軟體配置、硬體
裝置或措施,它能夠消除脆弱性或者降低威脅主體利用脆弱性的可能性。對策的示例包括強密碼管
理、防火牆、保安、訪問控制機制、加密和安全意識培訓。
注意:
術語控制(control)、對策(countermeasure)和防護措施(safeguard)交替使用,都是指降低風
險的機制。
如果某個公司只是在伺服器上安裝防病毒軟體,但是不能及時更新病毒特徵庫,那麼這就是一
種脆弱性。該公司很容易遭受病毒攻擊。威脅是指病毒將出現在系統環境中並破壞系統的工作能力。
風險是指病毒出現在系統環境中並形成危害的可能性。如果病毒滲透到公司的系統環境,那麼脆弱
性就被利用,公司也將遭受損失。這種情況下的對策就是更新病毒特徵庫,並在所有計算機上都安
裝防病毒軟體。圖
1-2
說明了風險、脆弱性、威脅和對策之間的關係。
威脅主體
引起
威脅
利用
脆弱性
導致
風險
直接作用到 資產 可以破壞
暴露 並且引起
防護措施 能夠被預防
透過
應用正確的對策可以消除脆弱性和暴露,從而能夠降低風險。這個公司並不能消除威脅主體,
但是可以保護自己,以及防止威脅主體利用系統環境中的脆弱性。
許多人忽視這些基本術語,認為在資訊保安界它們並非那麼重要。但是,你將發現如果安全團
隊沒有就此達成共識,混亂很快就會出現。這些術語代表著安全領域的核心理念,如果混淆這些理
念,據此所做的加強安全的任何活動也往往會被混淆。
1.3 控制型別
到本節為止,已經講述了安全目標(可用性、完整性、機密性)和安全行業的術語(脆弱性、威脅、
風險和控制)。如果組織要想很好地開展安全工作,就必須要理解這些基礎知識。要解決的下一個基
本問題是可以實現的控制型別及相關功能。
正確運用控制措施能降低組織面臨的風險,控制包含
3
種型別:管理控制、技術控制和物理控
制。管理控制(administrative control)因為通常是面向管理的,所以經常被稱為“軟控制”。安全文件、
風險管理、人員安全和培訓都屬於管理控制。技術控制(technical control)也稱為邏輯控制,由軟體或
硬體組成,如防火牆、入侵檢測系統、加密、身份識別和身份驗證機制。物理控制(physical control)
用來保護裝置、人員和資源,保安、鎖、圍牆和照明都屬於物理控制。
正確運用這些控制措施才能為企業提供深度防禦,深度防禦是指以分層的方法綜合使用多個安
全控制型別,如圖
1-3
所示。由於入侵者在獲得訪問關鍵資產前將不得不穿越多個不同的保護機制,
因此多層防禦能將滲透成功率和威脅降低到最小。例如,A
公司按照分層模型採用了以下物理控制
措施:
●
圍牆
●
外部上鎖的門
●
閉路監控
●
保安
●
內部上鎖的門
●
上鎖的伺服器房間
●
物理防護的計算機(線纜鎖)
潛在威脅
物理安全
病毒掃描
補丁管理
基於規則的訪問控制
安全架構
非軍事化區(DMZ)
防火牆
虛擬私有網路
策略和過程
賬號管理
資產
圖
1-3
深度防禦
技術控制措施通常會採用以下分層方法部署應用:
●
防火牆
●
入侵檢測系統
●
入侵防禦系統
●
惡意程式碼防禦
●
訪問控制
●
加密
實際採用的控制型別必須與公司面臨的威脅相對應,保護的層數必須與資產的敏感程度相對應。
根據經驗判斷,資產越敏感,部署的保護層數越多。
可以運用不同的控制型別——管理控制、技術控制和物理控制。但這些控制措施如何發揮作用
呢?在我們尋求措施保護我們的環境時,需要理解每個控制措施的不同功能。
安全控制措施的不同功能有:預防性、檢測性、糾正性、威懾性、恢復性和補償性。更好地理
解安全控制措施的不同功能後,在特定條件下就能做出明智的決定,選擇最合適的控制措施。下面
是
6
種不同的安全控制功能。
●
預防性
避免意外事件的發生。
●
檢測性
幫助識別意外活動和潛在入侵者。
●
糾正性
意外事件發生後修補元件或系統。
●
威懾性
威懾潛在的攻擊者。
●
恢復性
使環境恢復到正常的操作狀態。
●
補償性
能提供可替代的控制方法。
一旦完全理解不同控制措施的作用,在應對特定風險時,就能正確運用它們。
當檢視某個環境的安全結構時,效率最高的方法是使用預防性安全模型,然後使用檢測、糾正
和恢復機制支撐這個模型。最初,是想在麻煩開始前預防它們,但必須能夠在麻煩出現時快速行動
並應對它們。因為預防一切是不可行的,所以如果不能預防麻煩,就必須能夠快速檢測它們。這就
是為什麼預防性和檢測性控制措施必須一起實施且應該相互補充的原因。深入分析一下:不能夠預
防的則必須能夠檢測到,同時,如果能檢測到,意味著不能預防。因此,應該採取糾正性措施,確
保下一次發生時能夠預防。綜上所述,預防性措施、檢測性措施和糾正性措施應該一起使用。
下面描述的控制模型(管理的、物理的、技術的)從本質上講都是預防性的。在開發企業範圍的
安全程式時,理解這一點很重要。
預防:管理性措施
●
策略和規程
●
高效的僱用實踐
●
聘用前的背景調查
●
受控的解聘流程
●
資料分類和標籤
●
安全意識
預防:物理性措施
●
證件、磁卡
●
警衛、警犬
●
圍牆、鎖、雙重門
預防:技術性措施
●
密碼、生物識別、智慧卡
●
加密、安全協議、回撥系統、資料庫檢視、受約束的使用者介面
●
防毒軟體、訪問控制列表、防火牆、入侵防禦系統
表
1-1
展示了這些安全控制機制如何實現這些不同的安全功能。很多學生在理解哪種控制可以
提供哪些功能這個問題上感到十分困惑。通常存在這種認識:“防火牆是一項預防控制措施,但如果
攻擊者知道有防火牆,那它將成為一種威懾。”先讓我們停在這裡,不讓問題更加複雜化。在試圖根
據功能需求選擇控制措施時,控制措施的部署位置將成為主要考慮因素。防火牆的作用是試圖防止
惡意事情的發生,這是因為它是一種預防性控制。日誌審計是在事件發生後開展的,所以它是檢測
性的。資料備份系統的開發目的是讓資料能夠恢復,因此它是一種恢復性控制。生成計算機映像的
目的是在軟體損壞後,它們依舊可重新載入,因此這是一種糾正性控制。
表
1-1
控制類別和功能
控 制 類 型
|
預防
( 避免意外事 件發生 ) |
檢測
( 識別意外 事件的發生 ) |
糾正
( 糾正已發生的 意外事件 ) |
威懾
( 挫敗安全違規 ) |
恢復
( 恢復資源和能力 ) |
控制類別
物理性控制措施
| 圍牆 | × |
| 鎖 | × |
| 徽章系統 | × |
| 警衛 | × |
| 生物識別系統 | × |
| 雙重控制門 | × |
| 照明 | × |
| 移動檢測器 | × |
| 閉路監控系統 | × |
| 異地設施 | × |
管理性控制措施
| 安全策略 | × |
| 監視和監督 | × |
| 職責分離 | × |
| 崗位輪換 | × |
| 資訊分類 | × |
| 人員流程 | × |
| 調查 | × |
| 測試 | × |
| 安全意識培訓 | × |
技術性控制措施
| 訪問控制列表(ACL) | × |
| 加密 | × |
| 日誌審計 | × |
| 入侵檢測系統(IDS) | × |
| 防毒軟體 | × |
| 伺服器映像 | × |
(
續表
)
控 制 類 型
|
預防
( 避免意外事 件發生 ) |
檢測
( 識別意外 事件的發生 ) |
糾正
( 糾正已發生的 意外事件 ) |
威懾
( 挫敗安全違規 ) |
恢復
( 恢復資源和能力 ) |
| 智慧卡 | × |
|
|
|
| 回撥系統 | × |
|
|
|
| 資料備份 | × |
|
|
|
另一種常被人們努力爭取的控制措施是補償性控制。來看一些補償性控制的案例,以更好地解
釋它們的功能。如果公司需要實現強大的物理安全防護,你可能建議管理層去僱用保安,但在計算
完僱用保安的全部成本後,公司可能採取補償性(替代性)的控制措施,這種控制措施提供類似的保
護,而成本卻容易承受,比如使用圍牆。再如,假設你是安全管理員,負責維護公司的防火牆。管
理人員告訴你有一個協議出於業務原因必須透過防火牆,而你知道該協議存在一個可加以利用的漏
洞。針對這個協議,網路就需要一種補償性控制加以防護,比如建立一臺針對特定通訊型別的代理
伺服器,以便對這個協議進行適當監視和控制。因此,補償性控制是一種備選控制措施,它能提供
類似原控制措施的功能,但因為它容易承受或能滿足特殊的業務功能而不得不使用。
幾種安全控制型別並存需要協同工作,控制和它們所處環境的複雜性會引發控制之間的衝突或
留下安全空缺。這在公司保護方面將引發不可預見的漏洞,實施者對此卻不能完全理解。一個公司
部署有十分嚴格的技術訪問控制和所有必要的管理控制,但如果任何人被允許物理訪問設施內的任
何系統,那麼環境中就存在明顯的安全風險了。總之,這些控制措施應該一起工作,配合默契,才
能提供健康、安全和高效的環境。
1.4 安全框架
後面各個部分將深入探討本章中的一些提綱挈領性的話題。講到這裡我們已經清楚地瞭解需要
實現的目標(可用性、完整性和機密性),所能使用的工具(管理控制措施、技術控制措施和物理控制
措施),當然我們也學會了如何討論這個問題(弱點、威脅、風險和控制)。在講述如何開展組織範圍
的安全規劃前,首先要掌握不能做什麼,這個問題經常被稱為透過隱匿實現安全。透過隱匿實現安
全的前提是假想你的敵人沒有你聰明,同時他們也猜測不出你的計策。一個透過隱匿實現安全的非
技術例子是為了避免把你自己鎖在房子外邊之前,把備用鑰匙放在門前臺階下這種傳統做法。假設、
前提是沒有人知道這把備用鑰匙,只要他們不知道,就被認為是安全的。這樣做的弱點在於如果能
找到這把備用鑰匙,任何人都可以輕易進入這棟房子,而對於有經驗的攻擊者(如夜賊),他們知道
這種弱點存在並採取相應步驟就能找出這把鑰匙。
在技術領域,很多廠商認為經過編譯後的產品能比基於開原始碼的產品安全,他們推出自己的
產品就建立在這種假設前提下,因為他們以為編譯後將沒有人能檢視他們最初的程式設計指令。但是攻
擊者有大量的逆向工程軟體可用,用這些工具就可以重構產品原始碼,當然也有很多其他方法不用
逆向工程就可以知道如何攻擊軟體,如模糊測試、資料輸入校驗等。實現安全的正確方法是確保最
初的軟體不包含缺陷,同時不要假設原始碼編譯後的格式就能提供必要的保護級別。
另一個常見的隱匿安全例子是開發私有的加密演算法以替代行業通用的加密演算法。一些組織假設,
如果攻擊者不熟悉其私有演算法的邏輯功能和數學方法,那麼他們在這個方面的知識欠缺就提升了必
要的安全水平。但事實上,攻擊者往往聰明伶俐且有想法。如果這些演算法中有缺陷,它們極有可能
被識別並加以利用。最好的方法是使用行業認可的演算法,其原因是它們已被證明足夠強大。
有些網路管理員會在自己的防火牆上重新對映協議,讓
HTTP
不使用眾所周知的埠
80,而使
用
8080
埠進入環境。管理員認為攻擊者猜不到這種重對映,但事實上,基本的埠掃描器和協
議分析軟體就可很容易地檢測到埠被重對映。因此不要嘗試在耍花招方面勝過這些壞傢伙,反之,
更需要以成熟的、務實的方法實現安全。不要試圖隱藏可能被利用的缺陷,而是要去除這些缺陷並
同時採用已經被證實的安全實踐。
用混亂情況下的信任證明安全顯然十分危險。雖然每個人都需要相信自己的同事天生善良,但
事實上如果真是那樣,所有安全專家即將失業。在安全方面,好的實踐正像諺語所說的那樣:“世界
上,我只相信兩個人——你和我,不過我對你也不是絕對相信”。其原因在於安全實際上能被任何人
在任何時間所威脅,因此這就是我們需要持有的最好態度。
我們不想組織機構的安全建立在虛無縹緲的基礎之上,也深知我們最不可能成功欺騙敵人,那
麼該怎麼做呢?建立一個堡壘,又稱為安全計劃。數百年前你的敵人不可能透過網路使用資料包攻
擊你,在當時可能騎馬拿著大棒攻擊你。當一個派系與其他派系進行鬥爭保護自我時, 一般不會僅
在自己領地的高處雜亂堆積石塊來防禦(當然,可能一些派系也是這麼做的,但他們很快滅亡了,他
們也沒有認識到這個問題)。而有些派系建立了可以抵禦進攻的結構堡壘,牆壁和房頂由很難穿透的
堅固材料構成,建築的結構提供了分層保護。建築配備了防禦和攻擊性的工具,並且一些建築有護
城河環繞保護。這就是我們的目標,其中包含組織自身部分但不包含外圍設施。
安全規劃是由很多實體構成的框架:邏輯、管理和物理的保護機制,程式、業務過程和人,這
一切一起工作將為環境提供一個保護級別。每個實體在框架中都有一個重要位置,如果一個缺失或
不完整,那麼整個框架將受到影響。安全規劃應該分層工作:每一層為上層提供支援,同時為下一
層提供保護。因為安全規劃是一個框架,所以利用該框架,組織可以自由插接不同型別的技術、方
法和程式,以實現環境所必須達到的保護級別。
基於靈活框架的安全規劃,聽起來很好,但如何建立呢?在建立堡壘前,建築師給出了建築結
構的藍圖。我們也需要設計詳細的計劃,使用該計劃恰當地建設安全工程。這裡特別感謝為了設計
出好的規劃而開發行業標準的人們。
眾多標準、最佳實踐和框架
在後面的章節中,各種營利和非營利組織機構開發了自己的安全管理方法、安全控制目標、過
程管理和企業發展目標。下面研究相似之處和區別,同時舉例說明各自在行業中的應用場合。
下面是基本的明細對比:
安全規劃開發:
● ISO/IEC 27000
系列
ISO
和
IEC
聯合開發的關於如何開發和維護資訊保安管理體系的國
際標準。
企業架構開發:
● Zachman
框架
由
John Zachman
開發的企業框架開發模型。
● TOGAF
由開放群組(The Open Group)開發的用於企業架構開發的模型和方法論。
● DoDAF
DoDAF是美國國防部架構框架,用於保障軍事任務完成過程中系統間的互操
作性。
● MODAF
MODAF
是英國國防部開發的架構框架,主要應用在軍事任務支援方面。
● SABSA
用於企業資訊保安架構開發的模型和方法論。
安全控制開發:
● COBIT 5
一個提供
IT
企業管理和治理的業務框架,由資訊系統審計和控制協會
(Information Systems Audit and Control Association,ISACA)開發。
● NIST SP 800-53
它是由美國國家標準與技術研究院開發的保護美國聯邦系統的控制集。
● COSO
內部控制
-
綜合框架
由反欺詐財務報告全國委員會發起組織委員會(Committee of
Sponsoring Organizations,COSO)開發,是旨在幫助降低財務欺詐風險的國內公司控制集。
過程管理開發:
● ITIL
它是由英國商務部開發的用於
IT
服務管理的過程。
● Six Sigma
它是被用來開展過程改進的業務管理策略。
●
能力成熟度模型整合
(Capability Maturity Model Integration
,
CMMI)
模型
由卡內基·梅
隆大學開發,目的是改進組織的開發過程。
1.4.1 ISO/IEC 27000
系列
英國標準
7799(British Standard 7799,BS7799)是由英國政府工貿部
1995
年開發並由英國標準化
機構釋出的。這個標準概括出資訊保安管理體系(ISMS,又名安全規劃)應該如何建立和維護。其目
標是指導組織設計、實施和維護策略、過程及技術,以便管理組織的敏感資訊資產面臨的風險。
這類標準受歡迎的原因是它們能夠嘗試並集中管理在整個組織中部署的各種安全控制措施。沒
有安全管理系統,控制措施的實施和管理會相當隨意。lT
部門關注安全技術方案,人員安全工作由
人力部門負責,物理安全由設施部門負責,業務連續性由運營部門負責。我們需要縱覽所有事項並
以全盤方式將它們周密結合,而英國的標準就能滿足這種要求。
英國標準(British Standard)實際上有兩部分:BS7799
第一部分描述了控制目標和為實現這些目
標可使用的控制措施範圍;BS7799
第二部分描述瞭如何建立和維護安全規劃(資訊保安管理體系,
ISMS)。BS7799
第二部分同時也作為對組織進行認證的基線。
BS7799
被認為是一個事實標準,它沒有要求每個組織都必須遵守的詳細的標準主體部分,但
這個標準看起來很完美,而且能滿足行業需求,因此每個組織都想遵守它。當全球的組織需要開發
一個內部安全規劃時,除了
BS7799
外,沒有其他指南或指導可遵守。
在
BS7799
發展的過程中,它經歷了名字和版本號上的鉅變,因此能看到
BS7799、BS7799 V1、
BS7799 V2、ISO 17799、BS7799-3:2005
等稱呼。
對
BS7799
進行升級和全球標準化由
ISO(International Organization for Standardization,國際標準
化組織)和
IEC(International Electrotechnical Commission,國際電工委員會)提出並開展。ISO
是全球
最大的國際標準開發和發行者。這個組織提供的標準從氣象學、食品科學、農業到太空交通工程學、
採礦及資訊科技。ISO
組織由
162
個國家的標準化協會構成,因此它有一批能夠提出解決問題的好
方法的優秀人才,其中工作的一個方向是如何建立組織的資訊保安規劃。IEC
則開發和釋出有關電、
電子及相關技術的國際標準。這兩個組織在
BS7799
基礎上開展聯合工作,釋出了一個新的全球化
標準,即
ISOIIEC 27000
系列。
注意:
IEC
是國際電工委員會的英文首字母縮略詞,然而
ISO
不是,ISO
來源於希臘語“ISOS”,
即“平等”之意。
行業裡已經從較模糊的
BS7799
標準轉到了
ISO/IEC 27000
系列,這是一個在不斷更新的
ISO/
IEC
標準清單,並對
ISMS
的必要元件進行了分割槽和模組化。它目前公佈的標準(略有省略)包括以下
內容:
●
ISO/IEC 27000
概述和詞彙
●
ISO/IEC 27001
ISMS
要求
●
ISO/IEC 27002
資訊保安管理實踐程式碼
●
ISO/IEC 27003
資訊保安管理體系實施指南
●
ISO/IEC 27004
資訊保安管理衡量指南與指標框架
●
ISO/IEC 27005
資訊保安風險管理指南
●
ISO/IEC 27006
認證機構要求
●
ISO/IEC 27007
ISMS
審計
●
ISO/IEC 27008
審計師指南
●
ISO/IEC 27011
通訊組織資訊保安管理指南
●
ISO/IEC 27014
資訊保安治理指南
●
ISO/IEC 27015
金融行業資訊保安管理指南
●
ISO/IEC 27031
業務連續性
●
ISO/IEC 27032
網路空間安全指南
●
ISO/IEC 27033
網路安全指南
●
ISO/IEC 27034
應用安全指南
●
ISO/IEC 27035
安全事件管理指南
●
ISO/IEC 27037
數字證據收集和儲存指南
●
ISO/IEC 27799
醫療機構資訊保安管理指南
這組標準就是著名的
ISO/IEC 27000
系列,是世界上從全盤考慮的安全控制管理的最佳行業實
踐。構成這一系列標準的清單,每年都在增加。每個標準都有一個特定的關注點(例如度量、治理、
審計等)。
組織尋求
ISO/IEC 27001
認證來獲得第三方的認可,這是很常見的。第三方根據
ISO/IEC 27001
制定的
ISMS
要求來評估組織,並證明組織的符合等級。正如,一個人一旦透過了
CISSP,(ISC)
2
就證實他擁有了安全知識。在第三方評估的公司範圍內,證實這家公司的安全實踐。
瞭解
ISO / IEC 27000
系列標準之間的差異以及它們之間的相互關係十分有用。圖
1-4
展示了一
般性要求、一般性指南和具體行業指南之間的差異。
27001
ISMS
要求
一般性要求
什麼是
ISMS?
它必須做什麼?
27002
一般性指南
實踐指南
27015
適用於金融服務
的
ISMS
指南
在金融服務機構,
一套
ISMS
提供怎
樣的資訊保安?
行業指南
27015
適用於醫療資訊
行業的
ISMS
指南
在醫療服務機構,
ISMS
應該如何提
供資訊保安?
ISMS
如何提供
資訊保安?
圖
1-4
一般性要求、一般性指南與行業指南的區別
注意:
CISSP
知識綱要把所有架構內容(包括企業架構和系統架構)都放在“安全工程”域中。
由於企業架構與貫穿整章的企業安全規劃直接相關,因此將這塊內容放在了本章中。第
3
章將專門講述用於軟體工程和設計的系統架構知識。
1.4.2
企業安全架構開發
組織在試圖從整體上保護環境時往往要進行選擇。一種方式是提出單一解決方案或整體解決方
案,隨處放置產品,期望透過臨時性的方法魔術般地保護環境安全並能覆蓋到組織中的所有弱點。
第二種方式是組織花時間理解環境,理解業務和環境的安全需求,並佈置可以將這兩個方面對映到
一起的總體框架和策略。很多組織選擇前者,但這種方式屬於“不斷救火”的方法。這會讓安全壓
力不斷增加且安全需求也得不到滿足,反而會讓困惑和混亂常態化。
第二種方式將會定義企業的安全架構,也可以將其作為實施解決方案時的指南,以確保業務需
求被滿足,同時可以提供針對環境的標準保護,降低組織發生安全意外事件的機率。儘管實現企業
安全架構後不會實現真正意義上的“烏托邦”,但它確實能夠在從整體上應對安全問題時抑制混亂,
使安全人員和組織更加積極主動並形成成熟的觀念模式。
從頭開始開發架構並非易事。當然,僅僅在大盒子裡面畫一些小盒子比較容易,但這些盒子代
表什麼呢?盒子之間的關係是什麼樣的?盒子之間的資訊流如何流轉?誰需要檢視這些盒子以及他
們在做決定時需要考慮哪些方面?架構是一種概念性的結構,它是一種幫人們以可理解資料塊的方
式理解複雜事物(如企業)的工具。如果熟悉
OSI
網路模型,會發現它是一個用於闡明網路架構的抽
象模型。計算機內的網路棧很複雜,它有很多協議、介面、服務和硬體規範。以模組框架(七層)考
慮它時,將能更好地從整體上理解網路棧及其各個元件間的關係。
注意:
OSI
網路棧將在第
4
章重點講解。
一個企業架構包含組織的基本及一體化的元件,它表達了企業結構(窗體)和行為(功能),它包含
了企業元件、彼此間的關係以及與環境的關係。
本節涉及幾個不同的企業框架,雖然每個框架都有自己的特別關注點,但它們都提供瞭如何建
立單個架構的指南,因此對於建立不同的框架它們都十分有用。要注意架構框架和實際架構是有區
別的。使用框架可以指導建立一個最適合公司需求的架構。每個公司的架構都不同,原因在於各個
公司有不同的業務驅動、安全和規定需求、文化和組織結構,但如果每個公司都以相同的架構框架
為指導,那麼它們的架構將有相似的結構和目標。這種情況就像
3
個人根據一個農場式房子的設計
圖建房子一樣。一個人由於有
3
個孩子,因此選擇構建
4
個臥室的房子。一個人選擇建一個大的起
居室和
3
個臥室,還有一個人選擇建兩個臥室和兩個起居室。每個人都從相同的設計圖(框架)出發,
並根據自己的需求修改它(框架)。
要開發一個架構,首先要識別出關注和使用這個架構的利益相關者。然後需要開發不同的視角,
視角將能夠以最有效的方式解釋不同的利益相關者最關注的資訊。美國國家標準與技術研究所
(NIST)制定了一個框架,如圖
1-5
所示。公司有幾個不同的視角觀點,管理層人員需要從業務角度
理解公司,業務流程開發人員需要理解務必收集什麼型別的資訊來支撐業務活動,應用程式開發人
員需要理解維護和處理資訊的系統需求,資料建模人員需要理解如何構建資料元素,技術團隊需要
理解支撐上述層面的網路元件。上述人員都在同一個公司理解架構,這表明了從他們理解的視角,
以及組織內與他們的職責直接相關的視角開發。
企業架構讓你不僅從不同視角理解公司,還能幫助你理解一個層面發生變化將如何影響其他層
面。例如,如果有一個新的業務需求,企業的每個層面是如何支撐的呢?必須收集和處理什麼型別
的新資訊?是否需要購買新應用程式或對當前的應用程式進行修改?需要新的資料元素嗎?需要新
的網路裝置嗎?架構能夠幫助理解需要變化的所有事情,從而支援新的業務功能。架構同樣也能在
相反方面起作用。如果一個公司計劃進行技術革新,在技術層面之上新系統仍能夠支援所有必需的
功能嗎?架構允許將組織理解為完整的有機體,它也闡明瞭一個內部元件的變化如何直接影響另一
個元件。
為何需要企業架構框架?
就如你所經歷的那樣,業務人員和技術人員有時看起來是完全不同的兩類人。業務人員使用
“純利潤”“風險空間”“投資策略”“套期保值”“商品”等術語,技術人員使用“深度資料包監
測”“三層裝置”“跨站指令碼”“負載均衡”等術語。縮寫詞彙隨手可得,如
TCP、APT、ICMP、RAID、
UDP、L2TP、PPTP、IPSec、AES
和
DES。我們之間可以不用說任何實際詞語就可以成功交流。甚
至業務人員和技術人員使用完全相同的詞語,但對於對方來講卻有完全不一樣的意思。對於業務人
員而言,“協議”是為完成任務而必須遵循的一套流程。對於技術人員而言,“協議”是計算機或應
用程式間通訊的一種標準方式。業務人員和技術人員都使用術語“風險”一詞,但雙方針對的是公
司面臨的截然不同的風險——市場份額和安全漏洞。甚至即使他們使用的“資料”術語意思是相同
的,業務人員也僅僅是從功能的角度關注,安全人員則是從資料的風險視角關注。
外部強制和非強
制標準及要求
業務
架構
驅動
資訊架構
指示
反饋
企業強制和
非強制標準
及規範
資訊系統架構
標識
資料架構
由其支援
承載系統架構硬體、軟體和通訊
業務人員和技術人員對問題看法的分歧不僅會引發混亂和失敗,還會造成資金浪費。如果房子
的業務人員想為客戶提供一種新型服務,如線上賬單支付,那麼肯定會在以下方面產生較大變化:
當前的網路基礎設施、應用程式、Web
伺服器、軟體邏輯、加密功能、身份驗證方法、資料庫結構
等。業務人員的提議看似是一個很小的變化,在實現時卻會花費大量的資金,去購買和實現新技術、
實施程式設計以及重新架構網路等。業務人員經常感覺
IT
部門在業務革新和成長時是一種障礙,反過
來,IT
部門也感覺到業務人員經常會提出一些古怪和不切實際的需求,並且這些需求沒有預算支援。
鑑於業務人員和技術人員之間的這類衝突,世界各地的組織實施了很多錯誤的解決方案,其原
因在於與技術規範對應的業務功能沒有被理解。結果導致不得不重新購買新的解決方案、實施返工,
浪費大量時間。組織不僅要支付比最初計劃多的資金,而且很可能會喪失業務機會,進而減少市場
份額。這類浪費頻頻發生,以致美國國會透過了《克林格-科恩法案》,法案要求聯邦政府提高
IT
開
銷。因此需要一個工具,能讓業務人員和技術人員都可使用它來減少衝突,最佳化業務功能,避免浪
費時間和金錢。以上就是企業架構發揮作用的地方。它能讓業務人員和技術人員雙方以能理解的方
式審視同一個組織。
當你進入醫生的辦公室時,會發現一面牆上掛著一張骨髓系統的貼畫,在另一面牆上掛著一張
迴圈系統的貼畫,還有一面牆上掛著人體器官的貼畫。它們是對同一事物(人體)從不同視角進行觀
察。企業架構框架提供了相同的功能:對同一事物從不同視角關注。在醫療領域,有專科醫生,如
足科醫生、腦外科醫生、皮膚科醫生、腫瘤科醫生、眼科醫生等。每個組織也都有自己的專家,如
人力資源、市場、會計、IT、研發、管理人員等。但組織也需要全面理解實體(不管實體物件是人還
是公司),這就是企業架構試圖解決的問題。
Zachman
架構框架
Zachman
架構框架是建立的第一個企業架構框架,由
John Zachman
開發。這種模型是通用
的,並且非常適合構建我們在資訊系統安全方面要做的工作。表
1-2
描述了這樣一個示例(雖然相
當簡單)。
表
1-2
企業架構的
Zachman
框架
| 什麼 ( 資料 ) | 如何 ( 功能 ) | 哪裡 ( 網路 ) | 誰 ( 人 ) | 何時 ( 時間 ) | 為何 ( 動機 ) | 角 色 |
|
環境
(高管) |
資產和責任 | 業務功能 | 業務區域 |
合作伙伴、客
戶和員工 |
里程碑和重
要事件 |
企業戰略 |
|
概念
(業務經理) |
產品 | 業務流程 | 採購和溝通 | 工作流 | 重要時段 | 企業計劃 |
|
架構
(系統架構師) |
資料模型 | 系統架構 |
分散式系統
架構 |
使用案例 | 專案安排 | 業務規則模型 |
|
技術
(工程師) |
資料管理 | 系統設計 | 系統介面 | 人工介面 | 流程控制 | 流程輸出 |
|
實施
(技術人員) |
資料儲存 | 程式 |
網路節點和
連結 |
訪問控制 |
網路和安全
運營 |
效能指標 |
| 企業員工 | 資訊 | 工作 | 網路 | 組織 | 時間表 | 戰略 |
Zachman
框架是一個二維模型,它使用
6
個基本的疑問詞(什麼、如何、哪裡、誰、何時、為
何)和不同的角色(高管、業務管理、系統架構師、工程師、技術人員和企業員工)二維交叉,它給出
了企業的一個整體性理解。該框架在
20
世紀
80
年代開發出來,內容基於典型的業務架構,其中包
含了管理一套有序關係的規則。在這些規則中,每行可以從這行的視角來完整地描述企業。例如,
IT
人員的工作需要他們根據資料儲存、程式、網路、訪問控制、操作和度量來理解組織。雖然他們
(或至少應該)意識到了其他視角和專案,但他們在圖例的組織中履行職責,並關注這些專案。
該框架的目標是讓人們能夠從不同觀點(包括計劃人員、所有者、設計人員和建設人員等)出發
瞭解同一個組織。公司中不同型別的人員需要相同的資訊,但這些資訊分別以和他們職責直接相關
的方式表示。CEO
需要財務報表、績效考核、資產負債表。網路管理員需要網路圖,系統工程師
需要介面需求,運維部門需要配置需求。如果你曾經實施過基於網路的漏洞測試,就會知道不可以
告訴
CEO
有些系統在基於
SYN
的攻擊方面存在隱患,你也不能說公司軟體存在客戶端瀏覽器注入
攻擊漏洞,同樣也不能說基於
Windows
的應用程式存在資料流被修改的可能。CEO
需要知道這些
資訊,但必須以其可以理解的語言敘述。組織中每個層次的人工作所需的資訊必須以對應的語言和
格式來提供。
企業架構常用來將支離破碎的過程(包括人工和自動的)最佳化到一個整合的環境中,該環境能夠
響應變化,支援業務戰略。Zachman
框架已存在數年並已成功應用於眾多組織中,主要用於建立或
更好地定義組織業務環境。這個框架不是面向安全的,卻是一個用於工作的好模板,因為對如何模
塊化理解真實企業提供了指導方向。
開放群組架構框架
另一個企業架構框架是開放群組架構框架(The Open Group Architecture Framework,TOGAF),
它由美國國防部開發並提供了設計、實施和治理企業資訊架構的方法。
TOGAF
用來開發以下架構型別:
●
業務架構
●
資料架構
●
應用程式架構
●
技術架構
利用
TOGAF
架構框架,運用其架構開發方法(Architecture Development Method,ADM),可以
建立單個架構型別,這種方法是一個迭代和迴圈過程,它允許不斷地重複稽核需求,以及根據需求
更新單個架構。這些不同的架構允許技術架構設計師從企業的不同視角(業務、資料、應用程式和技
術)去理解企業,以確保開發出環境及元件所需的技術,最終實現業務需求。這個技術需要跨越不同
的網路,實現各種各樣的軟體元件間的互聯以及在不同業務單元內工作。打個比方,在建造一座新
城市時,人們不會立即到處建房子,城市設計師們則會設計出道路、橋樑、水路、商業及居民區。
大型組織環境往往分佈在各個地方而且種類繁多,這些環境要支撐大量不同的業務功能,和城市一
樣複雜。因此,在程式設計師開發程式碼前,需要根據組織的工作背景開發軟體架構。
注意:
很多技術人員對上述模型持有負面的本能反應。他們感覺要做的工作太多、太麻煩、沒
什麼直接的實質意義等。如果你用含有防火牆、入侵檢測系統和虛擬專用網路(Virtual
Private Network,VPN)系統的示意圖來和他們交涉,他們會說“現在我們才是討論安全”。
因為安全技術被應用於組織結構內,所以必須理解組織。
面向軍事的架構框架
為組織構建企業範圍的解決方案和技術難度係數很大,其原因是這個架構需要跨越多個不同的
複雜政府機構,以允許實現它們之間的互操作性和適當的分層通訊通道。這正是美國國防部架構框
架(Department of Defense Architecture Framework,DoDAF)
發揮作用的地方。在美國國防部購買技
術產品和武器系統時,必須依據
DoDAF
標準起草企業架構文件,這些文件將用來闡述購買的產品、
系統如何恰當地整合到當前基礎設施中。這個架構框架的焦點集中在指令、控制、通訊、計算機、
情報、監視和偵察系統與過程。重要的是,不僅不同裝置間使用同一協議型別和可互操作的軟體組
件通訊,而且使用相同的資料元素。如果間諜衛星抓取了一張圖片,圖片將被下載到中央資料倉儲,
然後它會被載入到軟體系統中來指揮無人駕駛飛機,軍事人員無法中斷這個操作,因為軟體無法讀
取另一個軟體的資料輸出。DoDAF
能夠確保所有系統、過程和人員協調一致地共同完成使命。
英國國防部架構框架(British Ministry of Defence Architecture Framework,MODAF)是被眾人認可
的另一個企業架構框架,它基於
DoDAF。這個框架的關鍵是使之能夠以正確的格式來獲取資料並
以最快的速度傳給正確的人。現代戰爭具有複雜、行動快速的特點,這就要求人員和系統比以前適
應能力更強。需要正確捕獲及呈現資料,以便讓決策者快速理解複雜問題,這樣將能快速精準地做
出決策。
注意:
在
DoDAF
和
MODAF
被開發運用於支援軍事任務時,它們同時也被擴充套件和變革,運用
到商業領域。
試圖找到最適合其組織的系統架構時,需要明確有哪些利益相關者,以及他們需要從系統中獲
得什麼資訊。這個架構能以最實用的方式把公司展現到最想了解公司的人面前。假如公司有些利益
相關者想從業務過程的角度瞭解公司,架構就應從那個角度提供資訊。如果有些人想從應用程式的
角度瞭解公司,架構就要從那個角度闡述相應的資訊。如果人們想從安全的角度瞭解公司,你就要
從這個特別的角度來提供資訊。所以各種企業架構框架的主要區別在於它們提供什麼型別的資訊以
及如何提供資訊。
企業安全架構
企業安全架構是企業架構的一個子集,它定義了資訊保安戰略,包括各層級的解決方案、流程
和規程,以及它們與整個企業的戰略、戰術和運營連結的方式。這用全面的、嚴格的方法描述了組
成完整的
ISMS
的所有元件的結構和行為。開發企業安全架構的主要原因是確保安全工作以一種標
準化且節省成本的方式與業務實踐相結合。架構在抽象層面工作,它提供了一個可供參考的框架。
除了安全性之外,這種型別的架構讓組織更好地實現互操作性、整合性、易用性、標準化和便於治
理性。
如何知道一個組織是否部署企業安全架構呢?如果對於以下大多數問題的回答是肯定的,那麼
這類架構就沒有部署:
●
在整個組織中安全是在單獨區域範圍內發生的嗎?
●
高階管理人員和安全人員之間是否持續地脫節?
●
為不同部門重疊的安全需求購買冗餘產品了嗎?
●
制定的安全規劃僅由主要的安全策略組成,而沒有實際的實施和強制執行嗎?
●
當因為業務需要,使用者訪問需求增加時,網路管理員未經客戶經理的書面批准就可以修改
訪問控制嗎?
●
當一個新產品推出時,會彈出意想不到的互操作性問題,而需要更多的時間和金錢來解
決嗎?
●
當安全問題出現時,會有很多的“一次性”努力而不是按照標準過程進行的嗎?
●
業務部門經理是否知道自己的安全責任以及安全責任如何對映到法律和監管需求?
●
“敏感資料”在策略中有定義,但必要的控制沒有得到充分實施和監控嗎?
●
實施的是單點解決方案而不是企業級解決方案?
●
同樣昂貴的錯誤持續發生?
●
因為企業沒有以標準的、全面的方式檢查或監控,所以安全治理通常無效?
●
所做的業務決定沒有考慮到安全要素?
●
安全人員通常是去“緊急撲滅大火”,並沒有真正花時間來顧及和開發資訊保安戰略?
●
安全努力發生在某些業務部門,而其他業務部門對此卻一無所知?
●
越來越多的安全人員開始尋求精神科醫生來幫助或尋找抗焦慮的良藥?
如果這些問題的答案是“是的”,說明沒有部署有效的架構。現在看一下這些年作者發現的非常
有趣的事情。大多陣列織都存在前面列出的多個問題,但這些組織僅關注每個單獨的問題,好像問
題之前沒有任何關聯。CSO、CISO
和/或安全管理員們往往不會理解這些問題僅是疾病的表面現象。
“治療”是讓一個人負責團隊,針對企業安全架構的推廣計劃開發一個分階段性的方法。目標是集
成面向技術、以企業為中心的安全過程;綜合管理、技術和物理控制以實現正確管理風險;同時將
這些過程整合到
IT
基礎設施、業務流程和組織文化中。
組織不開發或不推出企業安全架構的主要原因是,他們並不完全瞭解企業架構是什麼,甚至有
的組織認為這是一項艱鉅的任務。“救火”行為更容易理解和方便開展,所以許多公司繼續使用這個
熟悉的方法。
一個團隊開發了舍伍德的商業應用安全架構(Sherwood Applied Business Security Architecture,
SABSA),如表
1-3
所示,它類似於
Zachman
框架。它是一個分層模型,它在第一層從安全的角度
定義了業務需求。模型的每一層在抽象方面逐層減少,細節逐層增加。因此,它的層級都建立在其
他層之上,從策略逐漸到技術和解決方案的實施實踐。這個想法透過上下文、概念、邏輯、物理、
元件和運營層次提供可追溯性鏈。
表
1-3 SABSA
架構框架
| 資產 ( 什麼 ) | 動機 ( 為什麼 ) | 過程 ( 如何 ) | 人 ( 誰 ) | 地點 ( 何地 ) | 時間 ( 何時 ) |
|
| 上下文 | 業務 | 業務風險模型 | 業務過程模型 | 業務組織和關係 | 業務地理佈局 |
業務時間依
賴性 |
| 概念層 |
業務屬性配置
檔案 |
控制目標 |
安全戰略和架構
分層 |
安全實體模型和信任
框架 |
安全域模型 |
安全有效期
和截止時間 |
| 邏輯層 | 業務資訊模型 | 安全策略 | 安全服務 |
實體概要和特權配置
檔案 |
安全域定義和
關係 |
安全過程迴圈 |
| 物理層 | 業務資料模型 |
安全規則、實踐
和規程 |
安全機制 |
使用者、應用程式和用
戶介面 |
平臺和網路基
礎設施 |
控制結構執行 |
| 元件層 | 資料結構細節 | 安全標準 |
安全產品和
工具 |
標識、功能、行為和
訪問控制列表(ACL) |
過程、節點、地
址和協議 |
安全步驟計
時和順序 |
| 運營層 | 業務連續性保障 | 運營風險管理 |
安全服務管
理和支援 |
應用程式和使用者管理
與支援 |
站點、網路和平
臺的安全 |
安全運營日
程表 |
下面列出的一問一答是在該框架的每一層提出的:
●
想在這一層努力做到什麼?
透過安全架構來保護資產。
●
為什麼要這麼做?
運用安全的動機是用該層的術語來表達。
●
如何做?
在這一層要實現的安全功能。
●
都涉及誰?
在這一層上與安全有關的人和組織部門。
●
在哪裡做?
與這層有關的應用安全的位置。
●
什麼時候做?
與這層有關的安全的時間要素。
SABSA
是用於企業安全架構和服務管理的框架和方法論。由於它是一個框架,這就意味著它
為構建架構提供了一種結構。由於它也是一種方法論,這意味著它提供了建立和維護架構要遵循的
過程。SABSA
提供了一個生命週期模型,這樣,隨著時間的推移,可以對架構持續監控和改進。
要成功開發和實現企業安全架構,必須理解並遵循下面的要點:戰略一致性、過程強化、促進
業務和安全有效性。
戰略一致性
戰略一致性是指企業安全架構必須能夠滿足業務驅動、監管和法律的要求。要讓
公司能夠生存並能繁榮發展,必須為其環境付出安全努力。安全行業僅在技術和工程界有所發展,
但在商業領域沒有進展。在很多組織中
IT
安全人員和業務人員雖然可能工位彼此靠近,但通常,
在如何看待自己所工作的單位方面有著天壤之別。技術僅僅是支撐業務的工具,但它不是業務本身。
IT
環境類似於人體內的迴圈系統,它的存在是用來支援身體——而身體的存在不是為了支援迴圈系
統。安全類似於身體的免疫系統——它的存在目的在於保護整體環境。如果這些關鍵系統(業務、IT、
安全)不一起工作,齊心協力,將會出現缺陷和失調現象。人體中的不足和失調現象會導致體內疾病,
而組織內的不足和失調現象可能會導致風險和遭受安全入侵。
ISMS(資訊保安管理體系)與企業安全架構
ISMS
和企業安全架構有什麼區別呢?ISMS
概括出了需要部署的控制(如風險管理、脆弱性管
理、業務連續性計劃、資料保護、審計、配置管理和物理安全等),同時還為如何在控制的生命週期
中管理它們指明瞭方向。ISMS
還從組織全域性出發指定了為能夠提供全面安全規劃需要部署的各個
組成部分,並且指定了如何維護這些組成部分。企業安全架構說明了這些元件如何被整合到當前業
務環境的不同層次中。ISMS
的安全元件必須交織貫穿於業務環境中,而不能與公司內各部門相互
孤立。
例如,ISMS
指出了需要部署的風險管理,企業架構則細化了風險管理的元件,並闡明瞭如何
從戰略、戰術和運營層面開展風險管理。另一個例子是,ISMS
指出了需要部署的資料保護。架構
則展示了在基礎設施、應用程式、元件和業務級別如何實現資料保護。在基礎設施層,可以使用數
據防丟失保護技術來檢測敏感資料如何在網路中傳輸。包含敏感資料的應用程式必須擁有必要的訪
問控制和加密功能。應用程式內的元件可以實現特定的加密功能。保護敏感的公司資訊可以與業務
驅動直接連在一起,這一點會在架構的業務層面說明。
ISO/IEC 27000
系列(概述了
ISMS)是面向策略的,並概述了安全規劃的必要元件。這意味著,
ISO
標準本質上是通用的,當然這不是一個缺陷,它們建立了一種方法,使它們適用於不同型別的
業務、公司和組織。但是,既然這些標準是通用的,就很難知道如何實現它們以及如何將它們對映
到公司的基礎設施和業務需求。以上就是企業安全架構發揮作用的地方。架構是一種工具,用於確
保安全標準概括出的內容能夠在組織的不同層面實現。
業務促進
在考慮安全企業架構的業務促進需求時,我們需要提醒自己,每個組織都存在一個
或多個特定的業務目標。上市公司的業務是增加股東的價值。非營利組織要推動一系列特定原因的
業務。政府機構的業務是為公民提供服務。公司和組織都不能只為安全目的而存在。安全不能堵塞
業務過程,反而應更好地促進業務。
業務促進功能則要求核心業務流程應該整合到安全運營模型中——它們是基於標準設計的而且
能遵循風險容忍標準。在現實世界中這是什麼意思呢?例如,公司的會計師指出,如果允許客戶服
務和技術支援人員在家辦公,那麼公司將節省大量的資金,如辦公室租金、公用設施和日常開支,
同時由此產生的保險金也會很便宜。這時公司可能會採取使用了
VPN
、防火牆、內容過濾等的新
模型。透過提供必要的保護機制,安全使公司轉移到另一個工作模型。如果金融機構計劃允許客戶
檢視賬戶資訊和線上轉賬,則只要部署了正確的安全機制(如訪問控制、身份驗證、安全連線機制等),
就能提供這項服務。安全應該透過所提供的機制讓組織能安全地開展新業務,實現組織的繁榮。
過程強化
如果過程強化優勢充分發揮,將對組織有很大的幫助。當組織不知道如何保障他們
的環境時,則必須細緻檢視正在進行的每個業務過程。很多時候都需要從安全形度來審視業務過程,
因為這正是開展過程強化的原因,但這同時也是加強和改進同一個過程,進而提高生產率的最佳機
會。分析各類組織的業務過程時,通常會發現有很多重複勞動,很多手工勞動完全可自動化,或者
有些任務完全可以重新安排工序,以節省時間和勞動量。這就是經常提及的過程重構概念。
在一個組織開發企業安全元件時,這些元件必須能夠高效整合到業務過程中。這樣就能實現過
程管理的重新精化和調整,同時也能將安全整合到系統生命週期和日常運營中。因此業務促進意味
著“可以開展新業務”,過程強化意味著“可以更好地開展工作”。
安全有效性
安全有效性涉及度量、滿足服務水平協議(Service Level Agreement,SLA)需求、
實現投資回報率(Return On Investment,ROI)、滿足設定基線、使用儀表盤或平衡計分卡系統提供管
理。以上都是用來從整體上判斷現行的安全解決方案和架構有效性的方法。
很多組織既要確保部署的控制措施能夠提供必要的保護水平,又需要確保有限資金的恰當使用,
因此才開始接觸架構的安全有效性觀點。一旦設定好基線,就可以開發度量指標來驗證基線的合規
性。然後,將這些指標以管理層可以理解的形式呈報,讓他們能夠掌握組織的安全發展狀況和合規
水平。這也使得管理層能夠做出明智的業務決策。安全影響今天幾乎所有的業務,因此安全有效性
資訊應該很容易地讓高階管理人員以他們實際使用的方式讀取。
企業架構與系統架構
雖然企業架構和系統架構確實有重疊之處,但是它們之間還是有區別的。企業架構解決的是組
織的結構,系統架構解決的是軟體和計算元件的結構。雖然這些不同的架構有不同的關注點(組織和
系統),但它們還是有直接的聯絡,因為系統必須能夠支援組織及其安全需求。軟體架構師如果不理
解公司需要應用程式來做什麼,那麼他就不能設計出用於公司內部的應用程式。因此,軟體架構師
需要了解公司的業務和技術背景,以確保開發的軟體能夠滿足組織的需求。
重要的是要認識到,在組織的安全策略中列出的規則必須支援所有應用程式程式碼、作業系統安
全核心、計算機
CPU
提供的硬體安全。如果要成功實施安全,必須確保安全能被整合到組織和技
術的每個層面。因此,一些架構框架涵蓋的公司功能範圍較大,從業務過程層面一直到元件在應用
程式中的工作方式。必須詳細理解以上這些相互作用、相互依存的關係。否則,會出現以下情況:
開發錯誤的軟體,購買錯誤產品,最終導致互操作性問題的增多,軟體也僅能支援企業的部分業務。
做一個形象比喻,企業和系統架構的關係類似於太陽系和單個行星之間的關係。太陽系是由行
星組成的,就像一個企業是由系統組成的。把太陽系作為一個整體去理解單個行星上土壤補償、大
氣層等的複雜性也是非常困難的。每個觀點(太陽系與行星)都有其重點和作用。當看企業與系統架
構時,原理是類似的。企業的觀點是看整體,而系統的視角則是看組成整體的各個部分。
企業架構:可怕的野獸
如果沒有接觸過這些企業架構模型而且感到有些混亂,也不必擔心,這種現象很常見。由於企
業架構框架是一個了不起的工具,可以用於理解和幫助控制組織內所有複雜的事務,所以安全行業
仍在完善這類架構的使用。大多數企業制定策略後重點研究技術以求加強這些策略,直接略過了企
業安全架構開發的全過程。這主要是因為資訊保安領域仍然在探索學習如何從
IT
部門脫離出來並融
入既定的企業環境。由於安全和業務的聯絡日益密切,這些企業框架看起來就不會那麼抽象和陌生
了,反而將成為卓有成效的好工具。
1.4.3
安全控制開發
到目前為止,已經有了
ISO/IEC 27000
系列,其中概述了組織安全規劃的必要組成部分。也有
了企業安全架構,以幫助彙總安全規劃中所列出的要求,並將之整合到公司現有業務結構中。現在,
關注一下要落實到位的控制目標,以達成安全規劃和企業架構所列出的目標。
COBIT
COBIT(Control Objectives for Information and related Technology,資訊及相關技術的控制目標)
是一組由國際資訊系統審計與控制協會(ISACA)和
IT
治理協會(lTGI)制定的一個用於治理與管理
的框架。這個框架透過平衡資源利用率、風險水平和效益實現來幫助組織最佳化它們的
IT
價值。為
此,需要明確地把利益相關者驅動因素與利益相關者需求聯絡起來,並且把組織目標(為了滿足那
些需求)與
IT
目標(為了實現或支援組織的目標)聯絡起來。COBIT
是一種基於五個關鍵原則的整
體方法:
(1)
滿足利益相關者的需求
(2)
企業端到端的覆蓋
(3)
應用一個獨立整體框架
(4)
使用一個整體的方法
(5)
將治理與管理相分離
COBIT
中的每項內容都是透過一系列“自上而下”的目標轉換,最終與各利益相關者聯絡。在
IT
治理或管理的任何節點上,我們都應該問“我們為什麼要這樣做?”這樣的問題,並且我們要引
導到一個和企業目標相聯絡的
IT
目標,這個企業目標也相應聯絡著一個利益相關者的需求。COBIT
設定了
17
個企業目標和
17
個相關的
IT
目標,以確保我們在決策過程中能夠考慮到所有維度,而不
是憑空猜測。
這兩套“17
個目標”既各不相同又相互聯絡。因為在治理和管理兩個維度上我們明確地把企業
目標和
IT
目標聯絡了起來,所以這“17
個目標”能夠確保我們達成“企業端到端覆蓋”這一第二
個原則。“17
個目標”也能幫助我們將一個獨立整體框架應用到組織中,這就是第三個原則。這“17
個目標”是從許多大型組織的共性(或是通用特性)中被抽象出來的。這樣來分析的意圖是為了使用
一個整體的方法,這也正是
COBIT
中的第四個關鍵原則。
COBIT
框架包括企業治理和管理,但也有所區別。這兩者之間的不同之處在於:治理是一套高
級流程,旨在平衡利益相關者的價值主張;而管理則是實現企業目標的一系列活動。簡單來說,你
可以認為治理是
C
字頭的管理者所做的事,而管理則是其他的組織領導者所做的事。圖
1-6
說明了
COBIT
如何組織和定義這
37
種治理和管理流程。
在行業中,目前使用的大部分安全合規性審計實踐都是基於
COBIT
的。所以,要使審計師高
興,並順利透過合規性評估,你就應該學習、實踐並實現
COBIT
中列出的控制目標,這被認為是
行業的最佳實踐。
對於組織內領導者所要做的事,圖
1-6
說明了
37
個由
COBIT
定義的治理和管理流程是如何組
成的。
提示:
在安全行業,許多人錯誤地認為,COBIT
純粹以安全為目標,但現實中,它涉及資訊技
術的各個方面,安全性只是它的一個組成部分。COBIT
是一套實踐,可以遵循它來進行
IT
治理,它要求有正確的安全實踐部分。
NIST SP 800-53
COBIT
包含私營部門使用的控制目標,但當涉及聯邦資訊系統和組織的控制時,美國政府有其
自己的一套要求。
NIST(美國國家標準與技術研究所)是美國商務部的一個非監管機構,它的使命是“透過推進測
量科學、標準和技術的方式促進美國的創新和產業競爭力,提高經濟安全,改善生活質量”。
NIST
負責制定的標準之一被稱為
Special Publication(特別發表刊物)800-53,“針對聯邦資訊系
統和組織的安全性和隱私控制”。其中概述了機構要部署的控制,以符合
Federal Information Security
Management Act of 2002(聯邦資訊保安管理法案
2002,FISMA)。表
1-4
列出了本次釋出中所討論的
控制類別。
表
1-4 NIST SP 800-53
控制類別
| 標 識 符 | 系 列 | 類 |
| AC | 訪問控制 | 技術類 |
| AT | 意識教育和培訓 | 運營類 |
| AU | 審計和問責 | 技術類 |
| CA | 安全評估與授權 | 管理類 |
| CM | 配置管理 | 運營類 |
| CP | 連續性計劃 | 運營類 |
| IA | 身份驗證與授權 | 技術類 |
| IR | 事件響應 | 運營類 |
(續表)
| 標 識 符 | 系 列 | 類 |
| MA | 維護 | 運營類 |
| MP | 媒體保護 | 運營類 |
| PE | 物理和環境保護 | 運營類 |
| PL | 計劃 | 管理類 |
| PM | 規劃管理 | 管理類 |
| PS | 人員安全 | 運營類 |
| RA | 風險評估 | 管理類 |
| SA | 系統和服務獲取 | 管理類 |
| SC | 系統和通訊保護 | 技術類 |
| SI | 系統和資訊完整性 | 運營類 |
這些控制類別(系列)是為資訊系統準備的管理、運營和技術控制,用來保護系統及其資訊的可
用性、完整性和機密性。
就像是在商業領域,審計人員按照
COBIT
為他們提供的“檢查列表”方式,用面向商業的規
則來評估一個組織的法規遵從性,政府審計人員使用
SP 800-53
作為“檢查列表”方式,以確保政
府機構能夠符合面向政府的規則。雖然這些控制目標檢查列表(COBIT
與
SP 800-53)不一樣,但它們
仍有很多部分重疊,因為不管它們處於什麼型別的組織,都需要以類似的方式保護系統和網路。
考試提示:
在
CISSP
考試中,控制分類可能令人疑惑。有時候,它會提出行政、技術和物理的分類,
而有時它提到管理、技術和操作控制的分類。考試本身並不矛盾。商業部門使用前者的
分類,而政府導向的安全標準則使用後者的分類,因為歷史上政府機構和軍事單位在保
護資產方面具有更多的
IT
操作關注點。
COSO
內部控制——綜合框架
COBIT
派生於
COSO
內部控制整合框架,是由反欺詐財務發起組織委員會(Committee of
Sponsoring Organizations,COSO)於1985年開發的,用來處理財務欺詐活動並彙報。COSO
的
IC
框
架於1992年首次被髮布,並在2013年進行了最近的一次更新。它確定了17個內部控制原則,並被歸
納為五套內部控制元件,具體內容如下:
控制環境:
(1)
展示對完整性和道德價值觀的承諾
(2)
行使各種監督責任
(3)
建立結構、權威和責任
(4)
展示承諾的能力
(5)
實施問責制
風險評估:
(6)
指定合適的目標
(7)
識別與分析風險
(8)
評估欺詐的風險
(9)
識別與分析重大的變更
控制活動:
(10)
選擇與制定各種控制活動
(11)
選擇與制定各種通用的技術控制
(12)
透過各種政策和流程進行部署
資訊和通訊:
(13)
使用相關的質量資訊
(14)
內部溝通
(15)
外部溝通
監控活動:
(16)
進行各種持續性的和/或獨立的評估
(17)
評估與溝通各種不足之處
COSO IC
框架是一個企業治理模型,而
COBIT
是一個
IT
治理模型。COSO IC
處理的更多是戰
略層的事情,而
COBIT
更關注操作層面。你可以將
COBIT
視為滿足許多
COSO 37
目標的一種方式,
但是隻能從
IT
角度來看。COSO IC
還處理非
IT
事項,如公司文化、財務會計原則、董事會職責以
及內部溝通結構。COSO IC
是為了向全美反欺詐財務發起組織委員會(這是一個研究虛假財務報告
及其誘發因素的組織)提供資助而形成的。
關於欺詐問題,20
世紀
70
年代已經有法律出臺,明確規定一個公司編造賬簿(人為操縱自己的
收入和盈利報告)是違法行為,但是直到
2002
年,薩班斯-奧克斯利法案才真正成為強制執行的法律。
SOX
是美國聯邦法律,除了其他規定之外,還包括如果公司向證券交易委員會(Security Exchange
Commission,SEC)提交虛假的會計報告被發現,則可以讓高管坐牢。SOX
是基於
COSO
模型的,
到目前為止,符合
SOX
的公司必須遵照
COSO
模型。企業普遍實施了
ISO/ IEC 27000
標準和
COBIT,以幫助建立和維護內部
COSO
結構。
考試提示:
CISSP
考試不包括
FISMA
和
SOX
中的具體法律,但它涵蓋了安全控制模型框架,如
ISO
/ IEC 27000
系列標準、COBIT
和
COSO。
1.4.4
流程管理開發
確保部署了適當的控制後,還希望以結構化和可控的方式構造和完善業務、IT
和安全過程。可
以認為安全控制是“工具”,過程則是如何使用這些工具。我們要正確、有效、高效地使用它們。
ITIL
ITIL(Information Technology Infrastructure Library,資訊科技基礎設施庫)由英國政府中央計算機
與電信管理中心(在
20
世紀
90
年代後期被英國政府商務部辦公室或
OGC
併入)在
20
世紀
80
年代開
發。它現在由
Axelos
控制,Axelos
是英國政府和私人公司
Capita
共同成立的合資企業。ITIL
是
IT
服務管理最佳實踐的事實標準。ITIL
的產生源於業務需求對資訊科技的依賴不斷增加。遺憾的是,
如前所述,大多陣列織中的業務人員和
IT
人員之間存在著天然的鴻溝,因為他們在組織中使用不同
的術語,有不同的側重點。由於彼此所在領域(業務和
IT)之間缺乏共同語言和相互理解,許多公司
不能合理有效地融合他們的商業目標和
IT
職能。通常,這會產生混亂、溝通不順暢、錯過最終期限、
機會流失、增加時間和勞動成本以及導致業務和技術部門員工的情緒沮喪。ITIL
是以一系列書籍或
線上形式提供可定製框架。它提供了目標、實現這些目標需要的一般活動,以及要滿足既定目標的每
個過程的輸入和輸出值。雖然
ITIL
擁有處理安全的元件,但其重點傾向於
IT
部門及其所服務的“客
戶”之間的內部服務水平協議,“客戶”通常是指組織內部部門。圖
1-7
所示為
ITIL
的主要元件。
持續過程改進
供應商管理
服務層級管理 服務目錄管理
可用性管理
配置管理
系統
服務
服務 轉換
運營
服務戰略
ITIL
服務設計
事故管理
事件管理
問題管理
變更管理
知識管理
釋出與部署
管理
服務測試
與驗證
圖
1-7 ITIL
的主要元件
六西格瑪
六西格瑪是一種過程改進方法論,也是一種“新的和改進的”全面質量管理(Total Quality
Management,TQM),它曾在
20
世紀
80
年代轟動了業務部門。它的目標是透過使用測量運營效率,
減少變異、缺陷和浪費的統計方法來實現過程質量的改善。某些情況下,安全保障行業用六西格瑪
來度量不同的控制措施和過程的成功要素。六西格瑪是由摩托羅拉公司開發的,其目標是在生產過
程中識別和消除缺陷。西格瑪層級描述了過程的成熟度——它代表著過程中包含缺陷的百分比。在
運用於生產時,六西格瑪已經被應用到多種型別的業務功能中,包括資訊保安和保證。
能力成熟度模型整合
能力成熟度模型整合(Capability Maturity Model Integration,CMMI)由
Carnegie Mellon
大學為
美國國防部開發,以此作為確定組織流程成熟度的一種方式。在第
8
章將深入講解這個模型,但這
個模型也可以用在組織內,幫助組織鋪平持續改進之路。
雖然知道需要使安全規劃更好,但這並不總是很容易做到,因為“更好”是一個模糊和不可計
量的概念。可以真正得到提高的唯一方法是:知道從什麼地方開始,需要到什麼地方,以及需要在
這兩者之間採取的步驟。正如圖
1-8
所示,每個安全規劃都有成熟度級別。在
CMMI
模型裡的每個成
熟度等級代表一個改進階段。有些安全規劃是混亂的、臨時的、不可預測的,而且通常是不安全的。
有些安全規劃建立了文件,但在實際過程中並沒有發生:而一些安全規劃卻十分先進、精簡和高效。
考試提示:
與
ITIL
和六西格瑪相比,CISSP
考試更加重視
CMMI,因為它已在安全行業中得到廣泛
使用。
安全規劃開發
沒有一個組織打算把前面列出的所有標準及架構框架(ISO/IEC 27000、COSO IC、Zachman
框架、
SABSA、COBIT、NIST SP 800-53、ITIL、六西格瑪、CMMI)都能部署上。它們是很好的工具箱,
開啟它,會找到一些更適合所在組織的工具。還會發現當所在組織的安全規劃日趨成熟時,這些不
同的標準、框架和管理元件會在哪裡發揮作用。雖然這些標準和框架都是獨立和獨特的,但是對於
任何安全規劃和相應的控制,它們都是要建立的基本內容。這是因為無論它們被部署在公司、政府
機構、企業、學校還是非營利組織中,安全的基本原則都是通用的。每個組織實體都是由人員、流
程、資料及技術組成的,這些元素都需要得到保護。
CMMI
的關鍵是開發出可以遵循的結構化步驟,依據它,組織就可以從一個層次升級到下一個
層次,並能不斷改進流程和安全態勢。安全規劃包含了很多元素,但如果期待所有元件在部署第一
年都被恰當地實施是不現實的。某些元件(如取證能力)在一些基本工作(如事件管理)建立起來前,是
不可能部署到位的。這正像想讓小孩學會跑步之前,必須列出學習走路的方法一樣。
自頂向下的方法
安全規劃應使用自頂向下的方法,這意味著啟動、支援和方向都來自高層管理人員:中層管理
人員傳達高層意圖,最後下達到一線工作人員。與此相反,自底向上的方法是指工作人員(通常是
IT
人員)在沒有得到足夠的管理支援和指導的情況下,開發安全規劃。自底向上的方法通常是徹底無效
的,而且沒有全面解決所有的安全風險,最後註定是要失敗的。自頂向下的方法確保人們真正保護
公司的資產,它由高階管理人員驅動。高階管理人員不僅要最終負責保護組織,而且有必要的資金
財政大權,有權分配所需要的資源,並且是唯一可以保證安全規則和策略真正執行的人。管理層的
支援是安全規劃最重要的部分之一。簡單的點頭和眼神交流不會提供安全規劃所需要的支援。
雖然這些不同的安全標準和框架的核心是相似的,重要的是要理解安全規劃都具有不斷迴圈的
生命週期,因為應該經常對其進行評估和改進。任何程式中的生命週期都可以用不同的方式描述。
通常使用下面的步驟:
(1)
計劃和組織
(2)
實現
(3)
操作和維護
(4)
監控和評估
如果安全規劃和安全管理沒有使用生命週期方法來維護程式,組織註定只是像對待另一個專案
那樣對待安全。任何被視為專案的東西都有開始日期和結束日期,並且在到達結束日期時每個人都
被分散到其他的專案中。許多組織都雄心勃勃地開始安全計劃,但由於沒有實現正確的結構以確保
安全管理的持續進行和不斷改進,結果造成多年來不停地啟動和停止。重複性的工作花費比本應該
的工作花費多很多,但效果卻降低。
以下提供的是每個階段的主要元件。
計劃和組織
●
建立管理承諾
●
建立監督指導委員會
●
評估業務驅動
●
開發組織的威脅配置檔案
●
進行風險評估
●
在業務、資料、應用程式及基礎設施層面開發安全架構
●
確定每個架構層面的解決方案
●
獲得管理層的批准後向前發展
實施
●
分配角色和職責
●
開發和實現安全策略、措施、標準、基線和指南
●
識別靜態和傳輸中的敏感資料
●
實現下列藍圖:
•
資產識別和管理
•
風險管理
•
脆弱性管理
•
合規
•
身份管理和訪問控制
•
變更控制
•
軟體開發生命週期
•
業務連續性計劃
•
意識教育和培訓
•
物理安全性
•
事件響應
●
每個藍圖的實現解決方案(管理、技術、物理)
●
為每個藍圖開發審計和監控解決方案
●
為每個藍圖建立目標、服務水平協議(SLA)和度量指標
運營和維護
●
遵循程式,以確保在每個已實現的藍圖中滿足所有基線
●
進行內部和外部審計
●
執行每個藍圖所述的任務
●
管理每個藍圖的服務水平協議(SLA)
監測與評估
●
審查日誌、審計結果、收集的度量值和每個藍圖的服務水平協議(SLA)評估每個藍圖的目標
完成情況
●
每季度與指導委員會開會
●
制定改進步驟,並融入計劃和組織階段
上面列出的許多項都貫穿在整本書中。提供的列表展示了所有這些項如何以有序和可控的方式
推進。
雖然前面介紹的標準和框架非常有用,但它們的級別非常高。例如,如果一個標準簡要地指出
一個組織必須確保其資料的安全,將需要投入大量的工作。這就是安全專業人員為開發安全藍圖卷
起衣袖大幹一場的地方。為特定業務需求識別、開發和設計安全需求時,藍圖成為重要工具。如果
組織基於管理責任、業務驅動和法律義務提出了自己的安全需求,則必須定製藍圖以滿足這些需求。
例如,
Y
公司有資料保護策略,其安全團隊也已經開發了該公司應遵循的資料保護戰略的標準和程
序。這時,就需要設計出更加細化的藍圖、必要的過程和元件來滿足策略中所述的要求、標準和需
求。其中,至少包括一張公司網路的示意圖。
●
敏感資料存放在網路的什麼位置
●
敏感資料跨越的網路分段
●
為保護敏感資料而採用不同的安全解決方案(如
VPN、TLS
和
PGP)
●
共享敏感資料的第三方連線
●
為第三方連線採用的安全措施
●
等等……
要開發和遵循哪些藍圖取決於組織的業務需求。例如,Y
公司要使用身份管理,那麼必須要有
一個藍圖勾勒出角色、註冊管理、授權來源、身份資訊庫和單點登入解決方案等。如果
Y
公司不使
用身份管理,就沒有必要為此建立藍圖。
因此,藍圖需要列出安全解決方案、過程和元件,供組織用於滿足自身的安全和業務需求。藍
圖必須應用在組織內不同的業務部門中,例如,在不同部門實行身份管理都應遵循繪製好的藍圖。
在整個組織中遵循統一的藍圖,將方便實施標準化,更容易進行度量指標收集和治理工作。圖
1-9
說明了開發安全規劃時,藍圖會在哪裡發揮作用。
戰略一致性
戰略業務
驅動
IT
戰略
安全效率
業績儀表盤
法律/法規要求
期望的風險狀況
安全戰略和策略
業務支撐 過程最佳化
周 邊 網 絡
內 部 網 絡
應 用 系 統
設 施
專 門 的 架 構
系統
開發
生命
週期
項 目 管 理
變 更 控 制
生 產 準 備
架 構 標 準
服 務 臺
事 件 響 應
合 規
行業和
業務標準
隱私藍圖
身份管理藍圖
應用程式完整性藍圖
日誌記錄、監控和報告
系統和網路基礎設施
物理和環境
資訊和資產基準
基礎設施藍圖
業務連續性藍圖
管理藍圖
安全基礎
ISO/IEC
17799
適用的
最佳實踐
為將這些緊密聯絡在一起,可以考慮
ISO/IEC 27000,它主要在策略層工作,就像說明想建造的
房屋的型別(牧場式、5
間臥室和
3
間浴室)。企業安全框架像是房子的建築佈局(基礎、牆壁和天花
板)。藍圖好比房子特定元件(窗戶型別、安全系統、電氣系統和管道等)的詳細說明。控制目標好比
為保障安全而規定的建設規範和條款(包括電氣接地、佈線、建材、保溫和防火等)。建築檢查員將
使用他的檢查列表(建築規範)以確保安全地建造自己的房子。這就如同審計師用他的檢查列表
(COBIT
或
SP 800-53)確保安全地建立和維護安全程式。
一旦房子建成,你的家人就會搬進去,將會設定時間表和日常生活的流程,這些事情的發生是
可預見的,而且是高效的(如爸爸接孩子放學,媽媽做飯,大一點的孩子洗衣服,爸爸支付賬單,每
個人都做院子裡的工作)。這類似於
ITIL——流程管理和改進。假如家庭由一些優秀工作人員組成,
而他們的目標是儘可能高效地最佳化日常活動,因此很可能會採納六西格瑪方法,該方法以持續過程
改進為重點。
1.4.5
功能與安全性
任何一個參與安全計劃的人都能理解,在保障組織資訊保安和提供必要的功能性之間需要平衡,
只有這樣才不會影響生產效率。在許多安全專案啟動之初,往往有一個常見的場景:專案負責人清
楚想要達到的最終結果,而且對於如何快速、高效地部署安全方案有很理想化的想法,但是他們跟
使用者協商失敗了,因為使用者認為自己會被限制和束縛。在使用者聽到約束條件後,會通知專案經理,
如果按照安全計劃實施,他們將無法完成某些部分的工作。這通常會導致該專案緊急剎車而停止運
轉。專案經理必須重新開展可行性評估、評價以及規劃如何循序漸進地保護組織環境,如何巧妙地
讓使用者和任務接受新的安全約束和業務。在規劃階段,如果與使用者溝通失敗或使用者沒有充分了解業
務流程,則會造成許多麻煩,浪費時間和金錢。安全管理活動的負責人必須認識到,他們需要理解
環境,並在開始安全規劃實施階段之前做好充分的計劃。
1.5 計算機犯罪法的難題
由於組織不希望看到不幸的事情再次發生,因此前幾節中詳細討論了模型和框架。這是非常有
意義的,如果你在自己的房子裡有一些你不喜歡的東西,你就會找出一種有效和可複製的方法來糾
正它。有時,這些不幸的事情是如此糟糕,以至於它們迫使整個社會制定法律,來阻止或懲罰那些
做這些事情的人。這就是制定計算機犯罪法的原因。令人遺憾的是,這些法律往往落後於用於實施
犯罪的技術十幾年甚至幾十年。儘管如此,全球各國政府仍取得了重大進展,就像我們在本節所討
論的。
全世界的計算機犯罪法律(有時稱為網路法律)都處理一些核心問題:未授權的修改或破壞,洩
露敏感資訊以及使用惡意軟體。
雖然我們通常只在犯罪過程中才想到受害者和他們的系統,但是人們已經制定出法律來打擊
3
種型別的犯罪。計算機輔助犯罪(computer-assisted crime)是指使用計算機作為工具來幫助實施犯罪。
針對計算機的犯罪(computer-targeted crime)是指計算機成為專門針對它們(及其所有者)進行攻擊的
受害者。在最後一種犯罪中,計算機不一定是攻擊者或被攻擊者,只是在攻擊發生時碰巧涉及其中,
這種攻擊稱為“計算機牽涉型攻擊(computer is incidental)”。
下面列出了計算機輔助犯罪的一些示例:
●
攻擊金融系統,盜竊資金與敏感資訊。
●
透過攻擊軍事系統獲取軍事和情報材料。
●
透過攻擊競爭對手,從事工業間諜活動並收集機密的商業資料。
●
透過攻擊重要的國家基礎設施系統來展開資訊戰。
●
從事激進主義活動,即透過攻擊政府或公司的系統或者修改網站來表達抗議。
針對計算機的犯罪包括下面的示例:
●
分散式拒絕服務(Distributed Denial-of-Service,DDoS)攻擊。
●
捕獲密碼或其他敏感資料。
●
安裝惡意軟體造成破壞。
●
安裝
rootkit
和嗅探器以達到惡意目的。
●
實施緩衝區溢位攻擊以控制一個系統。
注意:
計算機犯罪法律解決的主要問題包括:未授權的修改、洩露、破壞或訪問,以及插入惡
意程式程式碼。
在計算機輔助犯罪和針對計算機的犯罪這兩種攻擊之間,通常存在一些易混淆情況,因為直覺
上似乎任何攻擊都屬於這兩類攻擊。對一個系統正在實施攻擊時,而其他系統已經遭受到了攻擊。
不同之處在於:在計算機輔助犯罪中,計算機僅是一個工具,用於實施傳統的犯罪。沒有計算機,
人們仍然能夠實施盜竊、造成破壞、抗議公司的行為(如使用動物進行實驗的公司)、獲得敏感資訊
以及開戰。因此,這些犯罪無論如何都會發生,只是計算機變成惡意者的一個工具。此時,計算機
能夠幫助惡意者更加有效地實施犯罪。計算機輔助犯罪往往被普通的刑法所覆蓋,而且並非總是被
視為“計算機犯罪”。區分它們的關鍵在於,針對計算機的犯罪沒有計算機就不可能發生;而不使用
計算機,仍然可以實施的則是計算機輔助犯罪。因此,針對計算機的犯罪在計算機普遍使用之前不
存在,也不會發生。換句話說,在過去,你無法對你的鄰居實施緩衝區溢位攻擊,也無法在敵人的
系統中安裝惡意軟體。這些犯罪都涉及計算機。
如果一項犯罪屬於“計算機牽涉型攻擊”,那麼表示計算機以某種次要的方式牽涉其中,但這種
牽連仍然無關緊要。例如,如果你有一個在發行州立彩票的公司工作的朋友,他給了你接下來的
3
箇中獎號碼的列印輸出結果,你將這些號碼輸入自己的計算機,那麼此時你的計算機就只是儲存空
間。你也可以只儲存這張紙,而不是將號碼輸入計算機。因此,如果一項犯罪屬於這種型別,那麼
計算機沒有攻擊其他計算機,計算機也沒有受到攻擊,但是計算機仍然以某種重要的方式參與了
犯罪。
你可能會說:“那又怎麼樣呢?犯罪就是犯罪,為什麼要將它們分成這些類別呢?”建立這些類
別的原因在於,它允許我們將當前的法律應用於這些型別的犯罪,哪怕它們發生在數字世界中。假
設有人只是瀏覽了你的計算機而沒有造成破壞,但他本來不應這樣做。那麼,立法部門是否應制定
一部新法律以規定“你不得瀏覽其他人的計算機”,或者只是應該應用現有的侵犯性法律呢?如果一
名駭客侵入某個系統,使所有的交通燈同時變綠,那麼又該如何處理呢?政府應該為這種行為制定
新法律展開辯論,或者法院應該使用已經制定(併為人們所理解)的過失殺人和謀殺罪法律?需要記
住的是,犯罪就是犯罪,計算機只是用於實施傳統犯罪的新工具。
但是,這並不意味著各國透過依賴書本上的法律,就能使每一種計算機犯罪都受到現有法律的
打擊。許多國家不得不制定專門針對不同型別的計算機犯罪的新法律。例如,美國已經制定或修訂
了下面這些法律來打擊各種計算機犯罪:
● 18 USC 1029:Fraud and Related Activity in Connection with Access Devices
● 18 USC 1030:Fraud and Related Activity in Connection with Computers
● 18 USC 2510
等:Wire and Electronic Communications Interception and Interception of Oral
Communications
● 18 USC 2701
等:Stored Wire and Electronic Communications and Transactional Records Access
●
數字千年版權法案(Digital Millennium Copyright Act)
● 2002
年網路安全強化法案(Cyber Security Enhancement Act of 2002)
考試提示:
你不需要為
CISSP
考試而瞭解上述法律,它們只是一些示例。
1.6 網路犯罪的複雜性
因為我們有一大批法律來打擊數字犯罪,所以這預示著我們已經完全控制了網路犯罪,對嗎?
然而,駭客行為、破譯和攻擊活動不僅在逐年增加,而且不會很快消除。有幾個問題說明了為
何這些活動沒有得到完全阻止或抑制,它們包括正確識別攻擊者、對網路採取的必要保護級別、成
功地對被捕的攻擊者提起上訴。
大多數攻擊者從未被捕,因為他們偽造了自己的地址和身份,並使用各種方法來掩蓋自己的痕
跡。許多攻擊者侵入網路,提取他們尋找的任何資源,然後清除追蹤其活動和行為的日誌。因此,
很多公司並不知道自己已被入侵。即使攻擊者的活動觸發了入侵檢測系統(Intrusion Detection
System,IDS)報警,IDS
會警告公司某個特定的脆弱性被攻擊者所利用,但是它往往無法查明攻擊
者的真實身份。
在攻擊受害者之前,攻擊者常常會跳躍幾個系統,因此追蹤他們顯得更加困難。許多此類罪犯
使用無辜者的計算機來代替他們實施犯罪。攻擊者會使用下列各種方法在一臺計算機上安裝惡意軟
件:電子郵件附件、使用者從某個網站下載的木馬、利用安全脆弱性等。惡意軟體被安裝後,它將處
於休眠狀態,直至攻擊者告訴它攻擊哪些系統、何時實施攻擊。這些被攻破的計算機稱為殭屍;在
它們上面安裝的軟體稱為殭屍程式;當攻擊者控制幾個被攻破的系統時,這就形成了殭屍網路。僵
屍網路可用於實施
DDoS
攻擊,傳播垃圾郵件或色情圖片,或者實施攻擊者所希望殭屍程式進行的
任何攻擊。
當地執法部門、FBI
和美國聯邦經濟情報局都被要求調查一系列的計算機犯罪。雖然這些機構
致力於培訓人員來確定和追蹤計算機罪犯,但是從總體來說,它們在技巧和工具上仍遠遠落後於這
個時代,並且駭客主動攻擊的網路也比它們保護的網路多得多。由於攻擊者使用的是自動化工具,
因此他們能夠在很短的時間內實施多次嚴重的攻擊。當執法部門接報之後,他們使用各種手動方式
檢查日誌、約談人員、調查硬碟、掃描脆弱性,並設定陷阱以防攻擊者再次發起攻擊。每個機構只
能配備少量人員來調查計算機犯罪,而這些人員所掌握的專業技能根本無法與許多駭客相比。因此,
許多攻擊者從未被發現,更不用說被起訴。
實際上,只有少數法律專門涉及計算機犯罪,這使得成功起訴被捕的攻擊者面臨更大的挑戰。
通常,許多受到傷害的公司只希望確保攻擊者所利用的脆弱性得到修復,而不願花時間和金錢來追
捕與起訴攻擊者(圖1-10列出了大多數常見業務相關的破壞)。這是使得網路罪犯逍遙法外的主要原
因。根據法律要求,某些管理組織(如金融機構)必須報告違法事件。然而,大多陣列織並不報告違
法或計算機犯罪事件。沒有任何公司希望將自己的醜事向社會公開。否則,客戶、股東和投資者將
對其失去信心。由於多數計算機犯罪都沒有被報告,因此我們無法得到確切的統計。
哪些網路風險是造成經濟損失的主要原因?
信譽丟失
業務中斷
由於客戶資料丟失而造成的損失
智慧財產權(IP)/商業秘密的損失
監管機構的後續要求
網站停機
通知的費用
勒索
其他
儘管法律、法規和攻擊有助於使高階管理層更加意識到安全問題,但這些不一定構成他們關心
安全的動機。如果他們的公司出現在報紙頭條,指出他們如何失去對
10
萬多個信用卡號碼的控制,
那麼安全就會變得至關重要了。
警告:
雖然根據法律規定,金融機構必須報告安全違規和犯罪事件,但是並不表示它們都會遵
守這些法律。像其他許多組織一樣,這些組織常常只是修復脆弱性,然後將受攻擊的整
個細節掩蓋起來。
1.6.1
電子資產
數字世界給社會帶來的另一類複雜性,表現在定義需要保護哪些資產、進行到何種保護程度的
複雜性上。在商業世界中,我們需要保護的資產已經發生了改變。15
年前,許多公司希望保護的資
產是有形資產(裝置、建築物、製造工具和庫存)。如今,公司必須將資料新增到它們的資產表中,
而且資料通常位於這個列表的最頂端,它們包括:產品藍圖、社會安全號、醫療資訊、信用卡號碼、
個人資訊、商業秘密、軍事部署及策略等。雖然軍方必須始終確保其資訊的機密性,但它們需要控
制的秘密並沒有太多的進入點。公司仍然面臨挑戰,不僅需要保護數字格式的資料,而且需要定義
何為敏感資料以及儲存這些資料的位置。
注意:
在許多國家,為有效地打擊計算機犯罪,立法機關已經放寬了對財產的定義,並將資料
包括在內。
許多公司都發現,保護無形資產(如資料、聲譽)比保護有形資產要困難得多。
1.6.2
攻擊的演變
我們從無所事事、有太多空閒時間的青少年時代,走到了有組織犯罪的時代,目標確定,方向
明確。大約幾十年前甚至更早以前,駭客主要由享受攻擊刺激的人構成。駭客活動被視為一項挑戰
性的遊戲,而且沒有任何傷害企圖。過去,攻擊者攻破大型網站(Yahoo!、MSN、Excite)的目的是登
上新聞頭條,並在駭客同行之間炫耀。之後,病毒創作者編寫出了不斷複製或執行某種無害行為的
病毒,儘管他們本可以實施更加惡意的攻擊。但是,今天這些趨勢已經呈現更加險惡的目的。
儘管還是有以駭客攻擊作為樂趣的指令碼小子(script kiddie)和其他人存在,但有組織犯罪已經出
現在人們的視野中,並且顯著加大了所造成損失的嚴重程度。過去,指令碼小子會掃描成千上萬個系
統,以尋找某個可供利用的特殊脆弱性。無論這個系統在公司網路中,還是一個政府系統或家庭用
戶系統,都沒有什麼不同。攻擊者只是想利用這個脆弱性,在它所在的系統和網路上“玩耍”。然而,
今天的攻擊者並沒有如此吵鬧,他們肯定不希望引起任何注意。這些有組織罪犯出於特殊的原因而
尋找特定的目標,而且往往受利益驅使。它們嘗試實施攻擊,並保持隱秘,從而截獲信用卡號、社
會安全號和個人資訊來進行欺詐和身份盜竊。圖
1-11
顯示了利用所盜竊資訊的各種方式。
注意:
指令碼小子是駭客,但是如果他們沒有得到網際網路上和透過朋友提供的工具,他們就不一
定具備進行特定攻擊的技能。由於這些人不一定了解攻擊的實際細節,他們很可能不了
解造成的破壞程度。
許多時候駭客只是掃描系統,尋找正在執行的脆弱服務或者在電子郵件中傳送惡意連結給毫無
防備的受害者。他們只是在試圖尋找可以進入任何網路的方法。這是針對網路的一種漫無目的的攻
擊方法。此外,更危險的攻擊者已經瞄準了你,他決心找出你的弱點,然後對你為所欲為。
打個比方,那種逛來逛去、挨個試試門把手、看看哪個沒上鎖的竊賊,遠遠不如那種整天觀察
著你進進出出、研究你的活動規律、在哪裡工作、開什麼牌子的車、家人有誰並耐心等待著你最薄
弱時成功進行致命襲擊的人危險。
在計算機界,稱第二類攻擊者為高階持續性攻擊(Advanced Persistent Threat,APT)。這是一個軍
事上使用了很多年的術語,但是,數字世界越來越像戰場,所以這個術語也變得越來越貼切。APT
不
同於普通攻擊者的地方在於
APT
往往是一群攻擊者,而不是一個駭客,他們既有知識又有能力,尋
找一切可以利用的途徑進入他們正在尋找的環境。APT
非常專注和積極,可以主動且成功地利用各
種各樣不同的攻擊方法滲入網路,然後在環境中站穩腳跟之後便悄悄隱藏起來。術語中的“高階”
指
APT
具有廣博的知識、能力和技巧。“持續性”指攻擊者並不急於發起攻擊,而是等到最有利的
時間和攻擊方向才發動攻擊,從而確保其行為不被發現。這被稱為“低調且緩慢”的攻擊。這類攻
擊由人參與協調,而不是自動注入其負載的病毒類威脅。APT
目標明確且具體,往往組織周密、資
金充足,因此成為最大的威脅。
APT
通常是自定義開發的惡意程式碼,專門為目標而構建,一旦滲入環境,便有多種藏身方法,
它也可能自我複製,成為多形體,擁有幾個不同的“錨”,所以即使被發現,也很難被消滅。一旦該
程式碼被安裝,通常建立隱蔽的後臺通道(和普通的殭屍一樣),這樣攻擊者本人可以遠端控制它。這
種遠端控制功能使攻擊者可以遍遊網路,不斷地訪問關鍵資產。
APT
滲透通常很難用主機型解決方案檢測出來,因為攻擊者讓程式碼經歷了一系列測試,可以抵
擋市場上最新的檢測應用程式的檢測。檢測這類威脅的常用方法是改變網路流量。當有來自主機的
新的網間實時聊天
IRC
連線時,便能表明這個系統有一個殭屍與其命令中心通訊。因為今天的環境
中應用了好幾種技術來檢測這類流量,所以
APT
也可能有多個控制中心與之通訊,這樣,如果一個
連線被檢測並移除,它還有一條活躍的通道可供使用。APT
可能實現一些虛擬私有網路連線(VPN),
這樣其在傳輸過程中的資料不會被檢測到。圖
1-12
是
APT
活動常用的步驟和所造成的結果。
進入網路的辦法無窮無盡(利用
Web
服務、誘惑使用者開啟電子郵件連結和附件,利用遠端維護
賬戶來獲取訪問,利用作業系統和應用程式漏洞,破壞家庭使用者的連線等)。每種脆弱性都有自己的
修復辦法(補丁、正確配置、意識、適當的憑證實踐和加密等)。不僅這些修復辦法需要到位,還需
要充分有效地意識到形勢。需要有更好的能力能夠及時地判斷出網路正在發生什麼事情,這樣才能
快速精準地抵禦侵害。
我們的戰場從“敲敲打打”型的攻擊轉到了“緩慢而堅決”型的攻擊。就像軍事進攻行為的變
化和變形一樣,目標不斷在變化,整個安全行業也必須跟上這種變化。
我們發現,以感染儘可能多的系統為目的而建立的病毒數量已經開始下滑。據估計,這些無害
的惡意軟體行為將繼續減少,而更加危險的惡意軟體的數量則開始增加。這種更危險的惡意軟體具
有更強的針對性,擁有更加強大的負載(通常是安裝後門或殭屍程式,或者上傳
rootkit)。
釣魚和零日攻擊 後門 橫向運動 資料收集 洩露
幾個使用者成為兩
個釣魚攻擊的目
標,一個使用者打
開 了 零 日 負 載
(CVE-02011-0609)
使用者計算機被一
個特定工具遠端
訪問
攻擊者轉而訪問
重要使用者、服務、
管理賬戶和特定
系統
從目標伺服器獲
取資料,從而進
入洩露階段
資料透過
FTP
上
的加密檔案被洩
露給位於託管服
務提供者的外部
受損計算機
常見的網際網路犯罪騙局
●
拍賣欺詐
●
偽造出納員的支票
●
清除債務
●
包裹快遞電子郵件陰謀
●
就業/商業機會
●
信託付款服務欺詐
●
投資欺詐
●
彩票抽獎
●
奈及利亞信件欺詐或“419”
●
龐氏/金字塔騙局
●
轉運騙局
●
第三方資金接收方騙局
要了解這些型別的計算機犯罪的實施方式,請訪問
。
因此,雖然攻擊的複雜程度繼續增加,但是這些攻擊的危險性也不斷增加。這樣很好嗎?
到目前為止,我們已經列出打擊計算機犯罪所遇到的一些困難:網際網路為攻擊者提供的匿名性;
攻擊者正組織起來實施更加複雜的攻擊;法律體系正努力跟上這些犯罪型別;公司現在僅僅將資料
視為必須保護的資產。所有這些複雜性都對惡意攻擊者有利,但是,如果面臨發生在不同國家的攻
擊,那麼我們又該如何應對這種複雜性呢?
1.6.3
國際問題
如果烏克蘭的一名駭客攻擊了法國的一家銀行,那麼誰擁有這種案件的司法管轄權呢?這兩個
國家如何聯合起來,確定罪犯的身份並進行審判?應由哪個國家負責追蹤罪犯?還有,應將這名罪
犯帶到哪一國的法庭審判?現在,我們並不知道上述問題的答案。人們仍然在著手解決這些問題。
當計算機犯罪跨越邊境時,這類問題的複雜性就會顯著增加,將罪犯繩之以法的可能性也隨之
降低。這是因為,不同國家的法律體系各不相同,一些國家沒有與計算機犯罪有關的法律;司法管
轄權可能會引起爭議;此外政府之間可能並不想彼此緊密合作。例如,如果某個伊朗人攻擊以色列
的一個系統,那麼你認為伊朗政府會幫助以色列追蹤攻擊者嗎?可能會,也可能不會,也許這起攻
擊本身就是由政府實施的。
在不同國家聯合打擊計算機犯罪方面,人們一直在努力確定一個統一的標準,因為跨越邊境實
施計算機犯罪簡直輕而易舉。雖然印度的攻擊者可透過網際網路輕易向沙烏地阿拉伯的一家銀行傳送數
據包,但由於法律體系、文化及政治因素,因此很難有什麼動力能促使這些國家聯合起來打擊犯罪。
你信任自己的鄰居嗎?
多陣列織都不願意承認這樣一個事實,即敵人可能是內部人,在公司內部工作。人們自然而然
地會認為威脅是來自駐留在外部環境中的未知面孔。員工可以直接和優先訪問公司資產,與從外部
實體進入網路的流量相比,他們不會受到足夠多的監控。太多的信任、直接訪問和缺乏監控等因素
結合起來,使得人們往往忽視來自內部的欺詐和濫用。
近年來,就有許多這樣的犯罪案例發生,即公司的員工貪汙挪用公款或者在被解僱或裁員後實
施報復性攻擊。鞏固防火牆保護免受外部力量的傷害固然重要,但認識到我們的內部更加脆弱也很
重要。因此要了解可直接訪問公司關鍵資源的員工、承包商和臨時工所帶來的風險,並採取相應
對策。
歐洲理事會網路犯罪公約(Council of Europe Convention on Cybercrime)是針對網路犯罪而嘗試
建立的一個國際性標準。事實上,它是第一個透過協調國際法和改善調查技術與國際合作來打擊計
算機犯罪的國際公約。這個公約的目標包括形成一個框架,用於建立被告的司法裁判和引渡。例如,
只有雙方裁決具體事件是犯罪時,才可能進行引渡。
許多公司每天都透過電子郵件、電話線、衛星、光纜和長途無線傳輸進行國際通訊。因此,公
司必須研究不同國家關於資訊流和隱私方面的法律,這一點非常重要。
與其他國家交換資料的全球性組織必須瞭解和遵守經濟合作與發展組織(Organisation for
Economic Co-operation and Development,OECD)指導原則以及越境資訊流規則。由於大多數國家定
義私有資料及其保護方法的法律各不相同,因此開展國際貿易和業務可能非常棘手,從而給國民經
濟造成負面影響。OECD
幫助不同的政府展開合作,處理全球化經濟所面臨的經濟、社會和管理挑
戰。因此,OECD
為不同的國家提供指導原則,以對資料進行適當保護,使每個國家都遵守相同的
規則。
OECD
定義了下面
8
個核心原則:
●
收集限制原則
個人資料的收集應當受到限制,必須以合法和公正的方式獲得,並且得到
主體的認可。
●
資料性質原則
保留的個人資料應當是完整的和當前的,並且與其使用目的相關。
●
目的說明原則
在收集個人資料時應當向主體告知原因,而且組織應該將收集的個人資料
僅用於指定目的。
●
使用限制原則
只有得到主體或法律權威機構的同意,個人資料才能夠被洩露,可供使用,
或者用於上述陳述之外的其他目的。
●
安全防護原則
應當採用合理的防護措施來保護個人資料免受威脅,如丟失、未授權的訪
問、更改以及洩露。
●
開放原則
與個人資料有關的開發、實踐和策略應當開放交流。此外,主體應當能夠容易
地確立個人資料的存在和性質、它的用法、身份以及組織保管這些資料的常規位置。
●
個人參與原則
主體應當能夠發現組織是否擁有他們的個人資訊以及資訊的具體型別,能
夠糾正錯誤的資料,能夠質疑拒絕執行上述操作的請求。
●
可被問責原則
組織應當可被問責是否遵循了前幾個原則所支援的措施。
注意:
要了解更多與
OECD
指導原則相關的資訊,請讀者訪問網頁
oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm。
雖然
OECD
是一個很好的開端,但要確定國際上打擊網路犯罪的統一標準,人們還有很長的路
要走。
不瞭解或不遵守這些規則和指導原則的組織可能會遭到罰款與起訴,其業務可能會因此中斷。
如果你的公司希望向全球擴張,那麼最好僱用瞭解這類問題的法律顧問,以免公司陷入此類麻煩。
與世界上的其他許多國家相比,歐盟(European Union,EU)更加關注個人隱私,因此制定了更
嚴厲的私有資料法律,這些法律主要以歐盟隱私原則(European Union Principles on Privacy)為基礎。
這組原則主要與使用和傳輸敏感資料有關,這些原則以及如何遵守這些原則都被包含在歐洲的資料
保護目錄中。歐洲各國都需要遵守這些原則,任何想要與歐盟國家做生意的企業如果涉及敏感資料
交換,也需要遵照這些原則和資料保護目錄。
相關機構建立了一個框架,規定美國公司應對歐洲隱私原則的方式,該框架稱為安全港隱私原
則(Safe Harbor Privacy Principles)。如果非歐洲組織要與歐洲的組織有業務往來,並在往來期間交換
特定型別的資料,那麼可能需要遵守安全港(Safe Harbor)要求。與美國和世界其他國家相比,歐洲國
家始終對保護隱私資訊實施更加嚴格的控制。因此,在以前,如果美國公司和歐洲公司需要交換數
據,那麼由於律師必須設法在不同的法律框架下展開工作,因此可能造成混亂和業務中斷。為結束
這種混亂局面,建立了“安全港”框架,規定任何組織如果需要與歐洲組織交換隱私資料,那麼必
須對資料加以保護。與歐洲公司合作的美國公司也因為更符合這個規則的要求而能夠迅速高效地進
行資料交換。被視為“安全港”的必須滿足的隱私資料保護規則如下:
●
通知
必須通知個人正在收集他們的資料以及將如何使用這些資料。
●
選擇
個人必須能夠拒絕資料被收集並轉給第二方。
●
向外轉移
僅允許向遵循充分資料保護原則的第三方組織轉移資料。
●
安全
必須付出相應努力來防止丟失收集到的資訊。
●
資料完整性
資料必須相關且可靠,符合收集目標。
●
訪問
個人必須能夠訪問有關他們的資訊,如果資訊有誤,可以修正或刪除。
●
執行
必須採用有效方式方法來執行這些規則。
注意:
歐盟法院於
2015
年
10
月初裁定,由於美國情報部門可以掌握歐洲公民的資料,因此“安
全港協議”違反了隱私法。在撰寫本書時,歐盟和美國為滿足法院的要求正在重新談判。
進出口法律要求
當組織試圖與世界其他國家和地區的組織合作時,需要考慮的另一個複雜問題是進出口法律。
每個國家在涉及進出口的貨品時都有自己特定的規定。現在有
41
個國家共同制定了下列貨品的出口
規範:
● 1
類:特殊材料和相關裝置
● 2
類:材料加工
● 3
類:電子產品
● 4
類:計算機
● 5
類:第一部分:電信
● 5
類:第二部分:資訊保安
● 6
類:感測器和鐳射器
● 7
類:導航和電子裝置
● 8
類:海上裝置
● 9
類:航空航天裝置及推進器
購買地址:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/26421423/viewspace-2219606/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- CISSP考試指南筆記:3.2 計算機架構筆記計算機架構
- 認證考試網站網站
- 《CCNA無線640-722認證考試指南》——第9章理解CUWN架構架構
- SOLIDWORKS官方認證考試Solid
- SOLIDWORKS認證考試流程Solid
- DBA筆試試題-考試認證(zt)筆試
- Oracle產品考試認證列表Oracle
- 《CCNP安全防火牆642-618認證考試指南》——第1章CiscoASA自適應安全裝置概述防火牆
- RHCE認證考試分數計算(轉)
- 計劃做點事情-可信認證考試
- SOLIDWORKS認證考試常見問題解答Solid
- AWS的SysOps認證考試樣題解析
- 通過 Oracle_Cloud_Infrastructure oci 雲認證考試OracleCloudASTStruct
- 職業認證---系統整合工程師考試工程師
- AWS開發人員認證考試樣題解析
- ORACLE10G認證考試相關問題Oracle
- OCA Java SE 8程式設計師認證考試指南(Exam 1Z0-808)Java程式設計師
- 考Java認證有用嗎?Java
- Oracle Goldengate(ogg) 12c認證考試流程OracleGo
- Oracle OCP和MySQL OCP認證考試內容有哪些?OracleMySql
- Oracle OCM 認證指南Oracle
- HTTP權威指南學習-第12章 基本認證機制HTTP
- PostgreSQL資料庫PGCM高階認證考試經驗分享SQL資料庫GC
- 阿里雲ACP級認證考試心得+過關經驗阿里
- 【Linux】RHCE -- RHCSA 認證考試 模擬練習題解析Linux
- Adobe認證證書怎麼考?
- OceanBase 資料庫認證專員 OBCA 上線啦!報名認證考試限時免費資料庫
- MySQL OCP 8.0 認證1Z0-809考試題庫MySql
- SOLIDWORKS免費培訓課程 CSWP認證考試機構Solid
- 【每日一練】Oracle OCP認證考試題庫解析052-1Oracle
- 【每日一練】Oracle OCP認證考試題庫解析052-2Oracle
- 【每日一練】Oracle OCP認證考試題庫解析052-3Oracle
- 【每日一練】Oracle OCP認證考試題庫解析052-4Oracle
- 【每日一練】Oracle OCP認證考試題庫解析052-5Oracle
- 【每日一練】Oracle OCP認證考試題庫解析052-6Oracle
- 【每日一練】Oracle OCP認證考試題庫解析052-7Oracle
- 【每日一練】Oracle OCP認證考試題庫解析052-8Oracle
- SCJP考試指南(考試號310-065 中文)