美文网首页
信息安全 - 保护资产安全

信息安全 - 保护资产安全

作者: 遥望潇湘 | 来源:发表于2023-01-11 11:20 被阅读0次

    资产安全的核心内容是在整个生命周期内对组织收集、存储和处理的信息进行保护。基于信息对组织的不同价值,安排不同的安全控制是资产保护的核心原则。

    一、资产识别与分类

    资产安全的第一步是识别和分类信息和资产,然后基于安全策略对资产(信息与系统)进行标记

    敏感信息类型

    组织内收集和处理的机密信息,一般有这样三类。

    1. PII - Personally Identifiable Information

        NIST SP 800-122对个人身份信息定义包含

        1)任何可用于识别或跟踪个人身份的信息, 比如各类个人识别符(姓名,手机号,住址,生物识别信息等)

        2)与个人有联系或可联系的其他信息,比如购物记录,医疗,教育等信息

      国内个人信息保护法对个人信息的定义是: 以电子或其他形式记录的与已识别或可识别的自然人有关的信息。 

    两个定义的核心点相同,一个是识别,包括可识别和已识别; 二是关联,这个信息能关联到具体自然人。

    在个保法中还有个人敏感信息的分类,它指的是“包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”

    2. PHI - Protected Health Information

    这是HIPAA中的定义,它指的是受保护的个人健康信息,包括:涉及任何个人的 在身体/精神方面的健康状态;向个人提供的健康保健条款;为个人提供医疗保健而支付的费用

    3. 专有数据

    指任何有助于组织保持竞争优势的数据,比如软件代码,产品开发计划,内部流程,知识产权和商业秘密。

    数据分类方案 - Data Classification Schema

    数据是基于对组织的相对价值来进行分类,从管理层角度关心的是最组织的潜在损害

    1. 数据分类

    CISSP中给的分类方案

    图1 - CISSP-数据分类方案

    实践中商业组织可能使用不同的名称,但分类方式类似

    图2 - 商业组织数据分类方案示例

    2. 系统分类

    系统的分类是需要和它所处理的数据分类相匹配的,即处理绝密数据的计算机,要被分类为绝密资产。如果系统同时处理多种类型的数据,分类信息要就高不就低。

    二、管理信息与资产

    管理数据的关键目标是防止数据泄漏,要防止数据泄漏,可以使用如下方法

    确定数据的安全控制

    组织需要针对不同级别的数据定义相应的安全需求,要覆盖整个数据的完整生命周期,从采集,处理,存储,分享到最后的销毁。

    图3 - Data Handling Policy示例

    理解数据状态

    出了分级信息,数据根据所处的不同的状态也会有各自适合的保护机制。数据状态分为如下三类

    静止数据 - Data at rest: 指的是存储在各种介质上的数据

    传输中数据 - Data in transit: 也叫动态数据,指的是正在通过网络传输的数据

    使用中数据 - Data in use: 正在参与计算被保存在内存或缓存中的数据

    标记数据资产

    标记数据(Data Labelling)指的是为数据附上标签,确保用户可以识别任何数据的分类情况,并检查和应用对应的控制措施。

    文件类数据可以使用页眉/页脚和水印进行标记,DLP系统可识别保护敏感信息的文件,自动应用安全控制。

    设备可以使用物理标签进行标记,在整个生命周期内物理标签会一直留存在其上。

    未分类的介质和设备也应该使用标签,这样可以防止发生未标记敏感信息的遗漏错误。

    应用数据保护技术

    1. 数据加密

        使用对称加密保护静止数据,使用TLS/VPN/SSH等保护传输中的数据。

    2. 数据脱敏

        匿名化-Anonymization:从数据去除所有能识别到个人的信息,确保数据无法在关联回个人。实操中很难实现完全的匿名化。可以阅读这篇文章了解更多

        假名化 - Pseudonymization: 使用假名来替换现有识别符,降低个人数据被识别的可能性

        令牌化 - Tokenization: 使用随机的令牌来替换现有识别符

    销毁敏感数据

    组织应基于数据保存策略(Data Retention Policy)来及时销毁敏感数据,并确保没有数据残留(Data Remanence)。 NIST SP 800-83提供了介质净化指南,细节可看这里

    二、定义数据所有权

    组织中有不同的角色参与数据的使用和管理,我们要确保员工知道各自的数据保护责任

    1.  Data Owner - 数据所有者

         数据所有者是对数据负有最终责任的人,通常是管理层或部门主管,Data Owner的主要职责有

        1)识别数据的分类,并确保正确标记它;

        2)决定谁有权访问数据;

        3)向系统所有者提供数据所需要的安全要求,确保数据获得了足够的安全控制;

    2. Data Custodian - 数据托管员

          数据所有者将日常任务委托给托管员,由托管员来实现数据的正确存储和正确保护。托管员要确保数据备份的正确执行

    3. System Owner - 系统所有者

        系统所有者是拥有处理数据的系统的人员,他的职责如下

        1)开发系统安全计划,维护系统安全;

        2)确保系统用户接收适当的安全培训;

        3)识别、执行和评估安全控制

    4. Business Owner - 业务所有者

        业务所有者确保各个系统能为企业提供价值,比如项目经理

    5. Administrator- 管理员

        负责给用户授予适当的访问权限

    6. Data User - 数据使用者

        按照安全策略使用数据

    三、选择安全基线

    安全基线提供了一个基点,并确保了最低安全标准。

    Tailoring-按需定制 

    指的是修改基线内的安全控制列表,使其满足组织的安全目标。它是组织层面风险管理流程的一部分。包含了这些动作

            1) 识别和指定通用控制;

            2)应用范围界定(scoping)方法;

            3)选择补偿控制;

            4) 挑战安全控制的标准值设定

    Scoping - 范围界定

        它是Tailoring中的一部分,用于从控制列表中选取需要的控制方法。

    两者的区别是,Scoping只是从列表中做删除,留下要用的。 Tailoring是一个更大的流程,除了做scoping,还做安全控制的增补,以及调整具体安全控制中的阈值。

    四、管理软硬件和物理资产

    1. 硬件库存

        在设备生命周期中使用数据库和库存应用来实施资产清查,并跟踪硬件资产。方法可以是使用条形码并贴在硬件上;或者是使用RFID标签,它能减少库存清点时间。

        处理掉设备之前,要对其使用净化流程(sanitize),净化流程会删除设备上所有数据,确保未授权用户无法访问敏感数据。

    2. 软件许可

        组织要管理软件许可密钥-license key

        同时要确保系统不会安装未授权的软件,SCCM可以查询网络上所有系统的已安装操作系统和应用。

    3. 保护物理资产

        规划布局时,应该将敏感的物理资产放在建筑物中心,可以实施更严格的物理控制。比如数据中心应该在靠近建筑物中心的位置。

    4. 管理虚拟资产

        虚拟资产包括: VM,VDI(虚拟桌面基础架构), SDN(软件定义网络 - 将控制平面与数据平面分离), VSAN(虚拟存储区域网络)

    5. 管理云资源

        区分不同的云服务模式和云部署模式

        SaaS - 云服务商提供通过Web访问的应用程序。 PaaS-提供计算平台,用户需自行配置和运行代码。 IaaS - 提供基本计算资源,用户需自行安装操作系统和应用。

        公有云-可供任何用户租用的资产; 私有云-指供单个组织的云资产;社区云-为两个或多个组织提供的云资产; 混合云 - 多种云的组合。

        云服务使用安全责任共担模型,基于不同模式,服务商和用户各自承担自己控制部分的安全责任。

    6. 介质管理

        1)备份磁带管理:需要多个备份,本地一份,异地一份

        2)移动设备:对于BYOD和CYOD,管理员需使用MDM(移动设备管理)对员工设备进行注册,监视和管理。 MDM能提供加密,屏幕锁定,GPS信息采集和远程擦除。

        3)介质管理生命周期

            MTTF-Mean Time To Failure:平均故障时间。

            备份磁带出现错误时,应该对其进行替换。达到MTTF时,应该将其销毁。    


    参考资料:

    CISSP Official Study Guide - 第九版英文版 及 第八版中文版

    相关文章

      网友评论

          本文标题:信息安全 - 保护资产安全

          本文链接:https://www.haomeiwen.com/subject/uwsbcdtx.html