导图社区 OSG9第五章 保护资产安全
第五章 保护资产安全,CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
编辑于2023-07-14 11:28:21 广东关于GBT 35273—2020个人信息安全规范的思维导图,本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
社区模板帮助中心,点此进入>>
关于GBT 35273—2020个人信息安全规范的思维导图,本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
第五章 保护资产安全
5.1 对信息和资产进行识别和分类
数据安全生命周期管理是指数据保护始于数据被首次创建时,一直持续到该数据被销毁时
5.1.1 定义敏感数据
敏感数据不是公开的数据,也不是未分类的数据,它包括机密的、专有的、受保护的或因其对组织的价值或按照现有的法律和法规而需要组织保护的任何其他类型的数据。
1. 个人身份信息
个人身份信息(personally identifiable information, PII)是任何可以识别个人的信息
NIST SP 800-122中的定义
任何可用于识别或追踪个人身份的信息,如姓名、社会保险账号、出生日期、出生地点、母亲的娘家姓或生物识别记录
与个人有关联或有指向性的其他信息,如医疗、教育、财务和就业信息
重要的是,组织有责任保护 PII, 包括与员工和客户相关的 PII,当数据泄露导致PII 丢失时,组织要通知个人。
2. 受保护的健康信息
受保护的健康信息(protected health information, PHI)是与特定个人有关的任何健康信息。
PHI定义
这些信息由如下结构设立或接收:卫生保健提供者、健康计划部门、卫生行政部门、雇主、人寿保险公司、学校或卫生保健信息交换所
涉及任何个人的如下信息:过去、现在或将来在身体、精神方面的健康状况,向个人提供的健康保健条款,过去、现在或将来为个人提供医疗保健而支付的费用。
任何提供或补充医疗保健政策的崔主都会收集并处理 PHI, HIPAA 适用于美国的大部分组织。
3. 专有数据
专有数据指任何有助于纠织保持竞争优势的数据,它可以是开发的软件代码、产品的技 术计划、内部流程、知识产权或商业秘密
如果竞争对手获取到专有数据,将严重影响组织的主要任务
5.1.2 定义数据分类
通常将数据分类纳入其安全策略或数据策略中,数据分类可识别数据对组织的价值,对于保护数据的保密性和完整性至关重要
数据分类的好处
数据分类证实了组织对有价值的资源和资产的保护承诺。
据分类帮助组织确定最重要的或最有价值的资产。
据分类给保护机制的选择提供了凭据。
数据分类通常是法规或法律限制的要求。
数据分类有助于定义访问级别、使用的授权类型,以及定义不再具有价值的资源的销毁和、或降级的参数
数据分类有助于在数据的生命周期管理中确定数据存储时间(保留时间),并确定数据使用和数据销毁方式
数据分类标准
数据的有用性、时效性、价值或成本
数据的成熟度或年龄
数据的生命周期(或何时过期)
数据泄露损失评估(即数据泄露将如何影响组织)
数据修改损失评估(即数据修改将如何影响组织)
数据对国家安全的影响
对数据的已授权访问(即谁有权访问数据)
数据的访问限制(即谁对数据的访问受到限制)
护和监测数据(即谁应该维护和监控数据)
数据存储
数据分类7个步骤
确定管理人员,并定义其职责。
指定信息如何分类和标记的评估标准。
对每个资源进行数据分类和增加标签(数据所有者会执行此步骤,监督者应予以审核)。
记录数据分类策略中发现的任何异常,并集成到评估标准中
选择将应用于每个分类级别的安全控制措施,以提供必要的保护级别。
指定解除资源分类的流程,以及将资源保管权转移给外部实体的流程。
建立组织范围的培训程序来指导所有人员使用分类系统。
政府数据分类
绝密(top secret) :绝密标签是“应用于此类信息,对其未经授权的披露必然会对国家安全造成异常严重的损害,这是最初的分类机构能够识别或说明的”
秘密(secret) :秘密标签是“应用于此类信息,对其未经授权的披露必炽会对国家安全造成严重损害,这是最初的分类机构能够识别或说明的"
机密(confidential):机密标签是“应用于此类信息,对其未经授权的披露会对国家安全造成损害,这是最初的分类机构能够识别或说明的"
未分类(unclassified) :未分类数据指不符合绝密、秘密或机密数据描述的任何数据。在美国,任何人都可获得 未分类数据,尽管该国通常要求个人使用《信息自由法》 (FOIA) 中确定的程序请求信息。
非政府组织
机密/专有(confidential/proprietary):机密/专有标签通常指最高级别的机密数据。在这种分类下,数据泄露将对组织的使命造成异常严重的损害,专有数据属于企业商业秘密机密
私有(private):私有标签指应该在组织中保持私有但不符合机密/专有数据定义的数据。在这种分 类下,数据泄露将对组织的使命造成严重损害
敏感(sensitive):敏感数据与机密数据类似。在这种分类下,数据泄露将对组织的使命造成损害
公开(public) :公开数据类似于非分类数据,包括发布在网站、手册或其他任何公共资源的信息
民用组织不需要使用任何特定的分类标签。然而,重要的是应以某种方式对数据进行分类并确保人员理解分类。
基于分类正确标记、处理、存储和销毁数据和硬件资产,有助于防止损失。
5.1.3 定义资产分类
资产分类应与数据分类相匹配。换句话说,如果一台计算机正在处理绝密数据,那么这台计算机也应被归类为绝密资产
对每个资源进行数据分类和增加标签(数据所有者会执行此步骤,监督者应予以审核)。
通常在硬件资产上使用清晰的标签,以提醒人员可在资产上处理或存储的数据。
5.1.4 理解数据状态
静态数据:(有时被称为存储中的数据)是存储在系统硬盘、固态驱动器(SSD)、外部 USB 驱动器、 SAN(存储区域网络)和备份磁盘等介质上的任何数据。安全的对称(速度快)加密
传输中的数据 :传输中的数据(有时被称为动态数据)是通过网络传输的任何数据。传输通道安全,加密(对称和非对称的组合)
使用有线或无线力式通过内部网络传输的数据,
通过公共网络(如 Internet)传输的数据
使用中的数据: 使用中的数据(也被称为处理中的数据)是指应用程序所使用的内存或临 时存储缓冲区中的数据,权限访问控制,加密、身份证验证IAM
保护数据保密性的最佳方法是使用强加密协议
5.1.5 确定合规要求
每个组织都有责任了解适用于他们的法律要求,并确保他们满足所有合规要求
合规官:担任此职位的人员确保组织遵守了适用于该组织的法律和法规,以进行所有业务活动。
5.1.6 确定数据安全控制
定义了数据和资产分类后,必须定义安全要求并确定安全控局以满足这些安全要求
表 5.1显示了管理层在其数据安全策略中定义的其他电子邮件安全要求,5.1 中列出的要求仅作为示例提供。任何组织都可使用这些要求或定义其他要求。
保护电子邮件数据
在发送电子邮件前,用户要对其贴上相关标签(如机密、私有、敏感和公开)
5.2 建立信息和资产的处理要求
管理敏感数据的一个关键目标就是阻止数据泄露。 数据泄露:是指未经授权的实体查阅和访问敏感数据的一种事件
5.2.1 数据维护
数据维护是指在数据的整个生命周期中不断地组织和维护数据
向未分类网络添加数据方法
一种方法是手动,人员将数据从未分类网络复制到 USB 设备并将其携带到分类网络。
另一种方法是使用单向网桥,这将两个网络连接起来,们只允许数据从一个方向传输,即从未分类网络到分类网络
第三种方法是使用技术防护解决方案,它是放置在两个网络之间的硬件和软件的组合。保护解决方案允许正确标记的数据在两个网络之间传输
组织应定期审查数据策略,以确保它们保持更新并且人员遵循这些策略
三网隔离:是指银行业务网、办公网、互联网三网
5.2.2 数据丢失预防
数据丢失预防(Data leakage prevention, DLP)系统试图检测和阻止导致数据泄露的尝试
DLP 系统分为两种主要类型。
基于网络的 DLP :基于网络的 DLP 扫描所有传出数据以查找特定的数据
基于终端的 DLP :基于终端/主机的 DLP 可以扫描存储在系统上的文件以及发送到外部设备(如打印机)的文件
DLP 系统通常可以执行深度检查。例如,如果用户将文件嵌入压缩的 zip 文件中, DLP系统仍然可以检测到关键字和模式。无法解密数据或检查加密数据
大多数 DLP 解决方案还包括内容发现功能
例如,数据库服务器可以包括未加密的信用卡号
使用DLP需要先对数据进行标记,分级分类
5.2.3 标记敏感数据和资产
标记(常被称为打标签)敏感信息确保用户可方便地识别任何数据的分类级别
标记方式
物理标签
数字标记或标签:一种简单方法是将分类标签放在文档的页眉或页脚,或在其中嵌入水印
桌面背景
索引:确保数据可以搜索检索,做存档/归档
5.2.4 处理敏感信息和资产
Amazon 网络服务(AWS)简单存储服务(Simple Storage Service, 简写为 S3)是最大的云服务提供商之一
需要制订策略和程序以确保人们了解如何处理敏感数据
确保系统和介质被正确的标记
日志记录
监测和审计
5.2.5 数据收集限制
防止数据丢失的最简单方法之一就是不收集数据
指导方针很明确。如果数据没有明确的使用目的,请不要收集和存储
5.2.6 数据位置
数据位置是指数据备份或数据副本的位置
本地/异地数据备份(至少5英里距离)
3、2、1规则:
总3个副本
2份on-line(会中病毒)
1份异地off-line(不会感染病毒),抵抗勒索攻击
5.2.7 存储敏感数据
应以适当的方式存储敏感数据,以防止它受到任何类型损失的影响
敏感数据存储保护
加锁保险箱
处理(handling)指的是介质在有效期内的安全传输。人员根据数据的价值和分类以不同方式处理数据
附加物理安全控制的安全房间内
服务器上锁机柜
环境保护,包括温度和湿度控制,如供暖、通风和空调(heating, ventilation, and air conditioning, HVAC)系统。
任何敏感数据的价值都远大于保存敏感数据的介质的价值
内置加密的高质量 USB 闪存驱动器是值得购买的
对静态数据加密
可信赖平台模块(Trusted Platform Module,TPM)芯片对硬盘数据加密
5.2.8 数据销毁
组织不再需要敏感数据时,应该销毁它
NIST SP 800-88 Rev. I:”介质净化指南”提供了不同净化方法的全面细节。
1. 消除数据残留
数据残留(data remanence)是指本应擦除却仍遗留在介质上的数据,通常将硬盘驱动器上的数据称为剩磁或者剩余空间
剩余空间:是磁盘集群中未使用的空间
使用系统工具删除数据时通常会让许多数据残留在介质上,并且有很多工具可以轻易地取消删除操作
SSD 使用集成电路替代旋转磁盘卜的磁通。因此,对 SSD 进行消磁时不会删除数,净化 SSD 的最佳方法是销毁,保护 SSD 的另一种方法是确保存储的所有数据都被加密。
2. 常见数据销毁方法
擦除/删除(Erasing): 擦除介质只对文件、文件选段或者整个介质执行删除操作
删除或移除过程只删除数据的目录或目录链接。实际数据保留在驱动器上
清理(Clearing)/格式化: 清理或覆盖操作,以便重新使用介质,并确保攻击者不能使用传统复原工具来恢复已被清理的数据,安全环境下可重用介质
介质被清理时,介质上的所有可寻址位置都被写入未分类的数据
硬盘上的备用扇区、标记为“坏"的扇区和许多现代 SSD上的区域不一定能被清除,可能仍会保留数据。
清除(Purging) : 清除是一种更强烈的清理形式,使用清除工具,为在不太安全的环境中重用介质做准备
提供了一定程度的保障,不管用哪种已知方法都无法恢复原始数据
清除过程将多次重复清理过程,且可与另一种方式(如消磁)组合在一起以完全去除数据
美国政府认为任何清除绝密数据的方法都是不可接受的。介质玻标让为绝密后行永远是绝密,直到它被销毁。
消磁(Degaussing) : 消磁器产生一个强磁场,在消磁过程中擦除某些介质上的数据
消磁不影响光盘 CD、 DVD 或 SSD
销毁(Destruction): 销毁是介质生命周期中的最后阶段,是最安全的介质净化方法。
销毁方法包括焚烧、粉碎、分解和便用腐蚀性或酸性化学品溶解
解除分类(declassification):指任何在未分类的环境中为重复使用介质或系统而清除数据的过程
可用净化方法为解除介质分类做准备
净化(Sanitization):是删除所有数据的总称,包括erasing/clearing/purging/degaussing/destruction
3. 加密擦除
如果数据在设备上是加密的,则可以使用加密擦除或加密粉碎来销毁数据
在使用云存储时,销毁加密密钥可能是组织可用的唯一安全的删除形式。
云数据自己加密最安全
同态加密
5.2.9 确保适当的数据和资产保留期
记录保留指在需要时保留和维护重要信息,并在不需要时销毁它
5.3 数据保护方法
保护数据保密性的主要方法之一是加密,如本章前面”理解数据状态”部分所述。
软件托管协议,主要针对小的第三方供应商
5.3.1 数字版权管理(DRM)
DRM 许可证 :数字版权管理(Digital Rights Management,DRM) 授予对产品的访问权并定义使用条款。
持久在线认证 :持久在线认证(也被称为永远在线 DRM)要求系统连接到互联网后才能使用产品
持续审计跟踪: 持续审计跟踪记录所有对受版权保护的产品的使用。与持久在线认证结合在一起时,它还可以检测滥用行为,例如在两个不同的地理位置上同时使用一种产品的的行为
自动过期:许多产品都是以订阅的方式进行出售的。
订阅期30天结束时,自动到期功能会阻止任何进一步的访问。
DRM 方法用于保护受版权保护的数据,但不用于保护商标、专利或商业秘密
5.3.2 云访问安全代理
云访问安全代理(Cloud Access Security Broker,CASB):是指逻辑位置上处于用户和基于云的资源之间的软件
假设一家公司决定使用云提供商进们数据存储,但管理层希望对存储存储。 在云中的所有数据进行加密。 CASB 可监控所有进入云端的数据,确保其到达并以加密格式
CASB包括
身份认证
授权控制
CASB 解决方案还可有效地检测影子 IT 。影子 IT 是指在 IT 部门尚未批准甚至不知情的情况下使用 IT 资源(如云服务)
5.3.3 假名化
假名化是一个使用假名来表示其他数据的过程
本名叫张三-通过假名化-李四
假名就是别名。例如《哈利·波特》作者 J. K. 罗琳以 Robert Galbraith 的笔名出版了一本名为 The Cuckoo's Calling 的书籍
假名可防止攻击者直接通过数据识别实体,比如识别出个人,假名化可逆
医生可以向医学研究人员发布假名数据,而不会损害患者的隐私信息
GDPR 将假名化定义为用人为标识符替换数据的过程,这些人为标识符即假名。
5.3.4 令牌化
令牌化是使用一个令牌(通常是一个随机字符串)来替换具他数据的做法。它经常用于信用卡交易中
信用卡的令牌化工作方式
注册 :当她第一次将信用卡与智能手机相关联时,手机上的一个应用程序安全地将信用 卡号码发送到信用卡处理器
使用 :后来, Becky 去了呈巳克,用她的智能手机买了 些咖啡。她的智能手机将令牌传递给销售点(POS)系统。 POS 系统将令牌发送给信用卡处库器以授权支付
验证: 信用卡处理器将令牌发送到令牌化保险库。该保险库使用未加密的信用卡数据进 行应答,然后信用卡处理器处理费用。
完成销售: 信用卡处理程序向 POS 系统发送一个回复,表明该费用已被批准,并将该购 买费用记入卖方
令牌化类似于假名化假名化使用假名来表示其他数据。令牌化使用令牌来表示其他数括
5.3.5 匿名化
匿名化是删除所有相关数据的过程,使攻击者理论上无法识别出原始主体或个人。
如果有效地完成了匿名化,匿名数据就不必再遵守 GDPR,但是,你很难将数据真正匿名化
随机屏蔽是一种匿名化数据的有效方法,随机屏蔽是指交换单个数据列中的数据,从而使每一条记录不再代表真实的数据
与假名化和令牌化不同,匿名化过程是不可逆转的
根据场景选择
暗示需要还原使用:部分匿名化
不需要还原:匿名化
5.4 理解数据角色
组织内的许多人管理、处理和使用数据,不同角色有不同的需求
5.4.1 数据所有者
数据所有者(data owner):(有时被称为组织所有者或高管)是对数据负有最终组织责任的,业务负责人
数据所有者(数据分类,访问、权限)
首席运营官(CEO)
总裁
部门主管(DH)
总监级别及以上渎职罪
NIST SP 800-18 Rev.I 概述所有者职责
建立适当使用和保护主体数据/信息的规则(行为规则)。
向信息系统所有者提供有关信息所在系统的安全要求和安全控制的输入。
决定谁可以访问信息系统,及其具备哪些类型的特权或访问权限。
协助识别和评估信息驻留环境的通用安全控制
NIST SP800-18 常使用短语“行为规则”,这实际上与可接受的使用策略(acceptable use policy, AUP) 相同
5.4.2 资产所有者
资产所有者(或系统所有者)是拥有处理敏感数据的资产或系统的人员。
通常资产/系统所有者和数据所有者是同一人员,但有时不是同一个人,例如不同的部门主管(DH)
NIST SP 800-18职责
与信息所有者、系统管理员和功能的最终用户协作开发系统安全计划。
维护系统安全计划,确保系统按照约定的安全要求部署和运行。
确保系统用户和支持人员接受适当的安全培训,如行为规则指导。
在发生重大变化时更新系统安全计划。
协助识别、实施和评估通用安全控制。
5.4.3 业务/任务所有者
NIST SP 800-18 将业务/任务所有者称为项目经理或信息系统所有者
5.4.4 数据处理者和数据控制者
GDPR 将数据处理者定义为"仅代表数据控制者处理个人数据的自然人或法人、公共权力机构、代理机构或其他机构”
数据控制者:是控制数据处理的个人或实体,数据控制者决定要处理什么数据,为什么要处理这个数据,以及如何处理它。
例如,一个收集员工个人信息来制作工资单的公司是一个数据控制者
如果公司将员工信息交付给第三方公司,让其完成处理工资单的任务,则第三方公司就是数据处理者
违反GDPR面临全球收入的4%巨额罚款
5.4.5 数据托管员
数据所有者将任务委托给数据托管员(custodian) 。托管员通过正确存储和保护数据来帮助保护数据的完整性和安全性
例如,托管员将确保按照备份策略中的指南对数据进行备份
通常 IT 部门员工或系统安全管理员是托管员,他们也可能充当为数据分配权限的管理员
5.4.6 管理员
数据管理员可能是数据托管员或其他数据角色的人员。
管理员通常使用基于角色的访问控制模型分配权限,简化管理和开销
根据“最小特权”和“知其所需”的原则分配权限
5.4.7 用户和主体
用户是通过计算系统访问数据以完成工作任务的人
用户只能访问执行上作任务所需的数据。也可将员工或最终用户视为用户。
5.5 使用安全基线
安全基线提供了一个基点并确保了最低安全标准,组织经常使用的安全基线是映像(镜像、快照)
4类安全基线
低影响的基线
中影响的基线
高影响的基线
隐私控制基线
5.5.1 对比定制和范围界定
选择控制基线后,组织通过定制(tailoring)和范围界定(scoping)流程对其进行微调
定制/按需定制(裁剪):是指修改基线内的安全控制列表以使其符合组织的使命。
范围界定(scoping):选择基线中适用于你要保护方法
5.5.2 选择标准
在基线内或其他情况下选择安全控制措施时,组织需要确保安全控制措施符合某些外部安全标准
例如, PCI DSS 定义了企业处理信用卡时必须遵守的要求
GDPR