资产安全的核心内容是在整个生命周期内对组织收集、存储和处理的信息进行保护。基于信息对组织的不同价值,安排不同的安全控制是资产保护的核心原则。
一、资产识别与分类
资产安全的第一步是识别和分类信息和资产,然后基于安全策略对资产(信息与系统)进行标记
敏感信息类型
组织内收集和处理的机密信息,一般有这样三类。
1. PII - Personally Identifiable Information
NIST SP 800-122对个人身份信息定义包含
1)任何可用于识别或跟踪个人身份的信息, 比如各类个人识别符(姓名,手机号,住址,生物识别信息等)
2)与个人有联系或可联系的其他信息,比如购物记录,医疗,教育等信息
国内个人信息保护法对个人信息的定义是: 以电子或其他形式记录的与已识别或可识别的自然人有关的信息。
两个定义的核心点相同,一个是识别,包括可识别和已识别; 二是关联,这个信息能关联到具体自然人。
在个保法中还有个人敏感信息的分类,它指的是“包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”
2. PHI - Protected Health Information
这是HIPAA中的定义,它指的是受保护的个人健康信息,包括:涉及任何个人的 在身体/精神方面的健康状态;向个人提供的健康保健条款;为个人提供医疗保健而支付的费用
3. 专有数据
指任何有助于组织保持竞争优势的数据,比如软件代码,产品开发计划,内部流程,知识产权和商业秘密。
数据分类方案 - Data Classification Schema
数据是基于对组织的相对价值来进行分类,从管理层角度关心的是最组织的潜在损害
1. 数据分类
CISSP中给的分类方案
图1 - CISSP-数据分类方案实践中商业组织可能使用不同的名称,但分类方式类似
图2 - 商业组织数据分类方案示例2. 系统分类
系统的分类是需要和它所处理的数据分类相匹配的,即处理绝密数据的计算机,要被分类为绝密资产。如果系统同时处理多种类型的数据,分类信息要就高不就低。
二、管理信息与资产
管理数据的关键目标是防止数据泄漏,要防止数据泄漏,可以使用如下方法
确定数据的安全控制
组织需要针对不同级别的数据定义相应的安全需求,要覆盖整个数据的完整生命周期,从采集,处理,存储,分享到最后的销毁。
图3 - Data Handling Policy示例理解数据状态
出了分级信息,数据根据所处的不同的状态也会有各自适合的保护机制。数据状态分为如下三类
静止数据 - Data at rest: 指的是存储在各种介质上的数据
传输中数据 - Data in transit: 也叫动态数据,指的是正在通过网络传输的数据
使用中数据 - Data in use: 正在参与计算被保存在内存或缓存中的数据
标记数据资产
标记数据(Data Labelling)指的是为数据附上标签,确保用户可以识别任何数据的分类情况,并检查和应用对应的控制措施。
文件类数据可以使用页眉/页脚和水印进行标记,DLP系统可识别保护敏感信息的文件,自动应用安全控制。
设备可以使用物理标签进行标记,在整个生命周期内物理标签会一直留存在其上。
未分类的介质和设备也应该使用标签,这样可以防止发生未标记敏感信息的遗漏错误。
应用数据保护技术
1. 数据加密
使用对称加密保护静止数据,使用TLS/VPN/SSH等保护传输中的数据。
2. 数据脱敏
匿名化-Anonymization:从数据去除所有能识别到个人的信息,确保数据无法在关联回个人。实操中很难实现完全的匿名化。可以阅读这篇文章了解更多
假名化 - Pseudonymization: 使用假名来替换现有识别符,降低个人数据被识别的可能性
令牌化 - Tokenization: 使用随机的令牌来替换现有识别符
销毁敏感数据
组织应基于数据保存策略(Data Retention Policy)来及时销毁敏感数据,并确保没有数据残留(Data Remanence)。 NIST SP 800-83提供了介质净化指南,细节可看这里。
二、定义数据所有权
组织中有不同的角色参与数据的使用和管理,我们要确保员工知道各自的数据保护责任
1. Data Owner - 数据所有者
数据所有者是对数据负有最终责任的人,通常是管理层或部门主管,Data Owner的主要职责有
1)识别数据的分类,并确保正确标记它;
2)决定谁有权访问数据;
3)向系统所有者提供数据所需要的安全要求,确保数据获得了足够的安全控制;
2. Data Custodian - 数据托管员
数据所有者将日常任务委托给托管员,由托管员来实现数据的正确存储和正确保护。托管员要确保数据备份的正确执行
3. System Owner - 系统所有者
系统所有者是拥有处理数据的系统的人员,他的职责如下
1)开发系统安全计划,维护系统安全;
2)确保系统用户接收适当的安全培训;
3)识别、执行和评估安全控制
4. Business Owner - 业务所有者
业务所有者确保各个系统能为企业提供价值,比如项目经理
5. Administrator- 管理员
负责给用户授予适当的访问权限
6. Data User - 数据使用者
按照安全策略使用数据
三、选择安全基线
安全基线提供了一个基点,并确保了最低安全标准。
Tailoring-按需定制
指的是修改基线内的安全控制列表,使其满足组织的安全目标。它是组织层面风险管理流程的一部分。包含了这些动作
1) 识别和指定通用控制;
2)应用范围界定(scoping)方法;
3)选择补偿控制;
4) 挑战安全控制的标准值设定
Scoping - 范围界定
它是Tailoring中的一部分,用于从控制列表中选取需要的控制方法。
两者的区别是,Scoping只是从列表中做删除,留下要用的。 Tailoring是一个更大的流程,除了做scoping,还做安全控制的增补,以及调整具体安全控制中的阈值。
四、管理软硬件和物理资产
1. 硬件库存
在设备生命周期中使用数据库和库存应用来实施资产清查,并跟踪硬件资产。方法可以是使用条形码并贴在硬件上;或者是使用RFID标签,它能减少库存清点时间。
处理掉设备之前,要对其使用净化流程(sanitize),净化流程会删除设备上所有数据,确保未授权用户无法访问敏感数据。
2. 软件许可
组织要管理软件许可密钥-license key
同时要确保系统不会安装未授权的软件,SCCM可以查询网络上所有系统的已安装操作系统和应用。
3. 保护物理资产
规划布局时,应该将敏感的物理资产放在建筑物中心,可以实施更严格的物理控制。比如数据中心应该在靠近建筑物中心的位置。
4. 管理虚拟资产
虚拟资产包括: VM,VDI(虚拟桌面基础架构), SDN(软件定义网络 - 将控制平面与数据平面分离), VSAN(虚拟存储区域网络)
5. 管理云资源
区分不同的云服务模式和云部署模式
SaaS - 云服务商提供通过Web访问的应用程序。 PaaS-提供计算平台,用户需自行配置和运行代码。 IaaS - 提供基本计算资源,用户需自行安装操作系统和应用。
公有云-可供任何用户租用的资产; 私有云-指供单个组织的云资产;社区云-为两个或多个组织提供的云资产; 混合云 - 多种云的组合。
云服务使用安全责任共担模型,基于不同模式,服务商和用户各自承担自己控制部分的安全责任。
6. 介质管理
1)备份磁带管理:需要多个备份,本地一份,异地一份
2)移动设备:对于BYOD和CYOD,管理员需使用MDM(移动设备管理)对员工设备进行注册,监视和管理。 MDM能提供加密,屏幕锁定,GPS信息采集和远程擦除。
3)介质管理生命周期
MTTF-Mean Time To Failure:平均故障时间。
备份磁带出现错误时,应该对其进行替换。达到MTTF时,应该将其销毁。
参考资料:
CISSP Official Study Guide - 第九版英文版 及 第八版中文版
网友评论