CISSP 第1章：实现安全治理的原则和策略_过渡的保护可用性为什么完整性受限

• 背景调查：减少风险、减少招聘成本、降低员工流通率
• 资质考核

3. 人员录用（onboarding）

• 签署雇佣协议
• 入职培训（认同企业文化可以减少离职率）
• 保密协议签署：保护公司敏感信息，入职时签署，离职重申
• 遵守 AUP（定义公司的安全标准，即哪些活动可接受，哪些不行）
• 为用户创建账号（Provision），并分配相应的访问权限

4. 员工监督

• 岗位轮换（防串通，防滥用）
• 交叉培训（A/B 角色）
• 员工评估：针对关键角色进行全面评估，针对其他员工抽查
• 审查员工，早期发现可能对安全造成风险的行为
  • 不满的员工
  • 强制休假（强制审查，一般表示有不好的行为发生）

5. 离职

• 禁用、删除用户账号
• 撤销证书
• 取消访问代码权限
• 解雇过程需要安全部门和 HR 参与，尊重员工的同时降低风险，离职面谈需要重申之前签署的安全协议

第三方人员管理

• 签署 SLA，SLA 需要包含安全改进相关的内容（保密相关仍然需要签署 NDA，SLA 不能满足）
• 使用 VMS 供应商管理系统

合规策略

在人员层面，合规=员工是否遵循公司的策略。

合规是一种行政或管理形式的安全控制。

隐私策略

隐私内容包含：

• 未授权访问个人可识别信息（PII），例如电话号、地址、IP 等
• 未经授权的个人机密信息访问
• 未经同意的监视

要遵照法律要求保护和存储隐私数据：

• HIPAA 健康保险流通与责任法案
• SOX 萨班斯-奥克斯利法案
• FERPA 家庭教育权利和隐私法案：学生相关的数据
• GDRP 通用数据保护条例

风险管理 - 关注资产

风险管理的目标：将风险降至可接受的水平。

绝对安全的环境是不存在的，需要平衡收益/成本，安全性/可用性。

风险来自很多方面，可能是非 IT 的灾难，比如自然灾害等。

风险管理包含两大部分：

• 风险评估/风险分析：基于价值/性质分析每个系统的风险
• 风险响应：使用成本/收益的方式评估风险控制措施

风险相关的术语解释

• 资产：可以是业务流程或者使用到的任何事物，可以是有形的也可以是无形的

• 资产估值 AV：资产对应的货币价值，综合重要性、使用情况、成本、支出等元素得出

• 威胁：可能导致资产破坏、变更、泄露等的行为

• 威胁主体：主体利用威胁来危害目标

• 威胁事件：对脆弱性的意外和有意利用

• 威胁向量（Threat Vector）：攻击者为了伤害目标而使用的路径和手段，比如 Wifi、物理访问、社会工程学等

• 脆弱性：资产中的弱点，使威胁能够造成损害的缺陷、漏洞、疏忽，可以是技术上的，也可以是管理逻辑上的

• 暴露：资产丢失暴露的可能性

• 风险：

  • 风险=威胁*脆弱性
  • 风险=损害的可能性*损害的严重程度

• 攻击：威胁主体进行的脆弱性利用尝试

• 破坏：成功的攻击

1. 风险分析

风险分析的目标是：确保只部署具有成本效益的措施。

定性风险分析 - 基于定性的更容易分析

基于分级来进行。基于场景，而非计算，依赖经验和判断。

• 场景：针对单个威胁的描述

  • 通常比较概要，限制在一页纸，方便参与的人分配等级
  • 威胁如何产生
  • 对组织带来的影响
  • 可能的防护措施

• Delphi 技术：匿名的反馈和响应

  • 对于每个反馈，参与者通过数字消息匿名写下反馈，最后汇总给风险分析小组，重复这个过程直至达成共识

定量风险分析

几个关键词：

• AV 资产价值
• EF 暴露因子：潜在的损失，EF 仅表示单个风险发生时对整体资产价值造成的损失（比如硬件故障带来的损失），以百分比计算
• SLE 单一损失期望（Single Loss Expectancy）：SLE = AV * EF
• ARO 年发生率
• ALE 年度损失期望

ALE = ARO * SLE = ARO * AV * EF

定性分析和定量分析的对比

2. 风险响应

风险响应的形式：

• 风险缓解：最常用，通过实施防护措施、安全控制来减少脆弱性，阻止威胁。比如加密和防火墙
• 风险转让：购买服务、保险等。可以转让风险，但无法转移责任
• 风险威慑：比如实施审计、监控、警告 banner、安保人员等
• 风险规避（risk avoidance）：灾难避免，比如关闭重要系统以降低安全风险
• 风险接受：可以接受安全风险，通常意味着保护成本>资产价值
• 风险拒绝：不接受但是可能发生，不应该有

残余风险处理（除已经防护的，剩下的风险）：

• 定期进行评估

风险控制的成本和效益

几个关键词：

• ACS （ annual cost of the safeguard）年度防护成本
• ALE 年度损失期望
• 实施措施前的 ALE
• 实施措施后的 ALE

防护措施对公司的价值=实施措施前的 ALE-实施措施后的 ALE-ACS

安全控制分类

按照方式：

• 管理行政类：数据分类、背景调查、工作说明书、审查、监督、培训
• 技术/逻辑类：IPS、防火墙、IAM、加密
• 物理类：门禁、锁、保安、看门狗、围栏、物理环境入侵检测等

按照作用：

• 预防性控制：部署预防控制以阻止非预期的或未经授权的活动发生，身份认证、门禁、报警系统、岗位轮换、IPS、培训等

• 威慑控制：锁、保安等，可能和预防性的重叠

• 检测控制：保安、IPS 、审查

• 补偿控制：另一种控制手段的补充或增强，比如主要手段是防止删除，补偿手段是存在备份可恢复

• 纠正：例如杀毒、阻止入侵行为、备份恢复等，将环境从非预期的活动中进行恢复

  • 恢复性控制：纠正的扩展，不像纠正是单一的行为，恢复性可能更复杂，安全策略被破坏后，恢复控制尝试修复或恢复资源、功能和能力

• 指令式/指示控制：比如通知、公司标准等，强制或鼓励主体遵守安全策略

安全控制评估 SCA

Security Control Assessment

根据基线或可靠性期望对安全机制的正式评估。可作为渗透测试报告的补充。

目的：确保安全机制的有效性。评估组织风险管理过程中的质量和彻底性，生成已部署安全措施的优缺点报告。

对应的标准为 NIST SP 800-53 Rev5，信息系统和组织的安全和隐私控制。

风险管理成熟度模型 RMM

Risk Maturity Model

RMM 5 个级别：

• 初始级 （ad hoc）：混乱的状态
• 预备级（Preliminary）：初步尝试遵守风险管理流程，但是每个部门执行的风险评估不同
• 定义级（Defined）：在整个组织内使用标准的风险框架
• 集成级（Integrated）：风险管理集成到了业务流程中，风险是业务战略决策中的要素
• 优化级（Optimized）：侧重于实现目标，而不是被动响应

风险管理框架 RMF

Risk Management Framework，被 NIST SP 800-37 Rev2 定义。

风险框架用于评估、解决和监控风险的指南或方法。

1+6个循环的阶段：先进行准备，准备上下文和优先级（优先处理哪些系统）

• 分类：根据对损失影响的分析，对信息及系统进行分类
• 选择：选择合适的控制手段，可以将风险降到可接受水平
• 实施：实施上面描述的控制
• 评估：确保控制实施到位（也就是检查）
• 授权：在确定风险可接受的基础上，授权上线（类似于认可）
• 监控：持续监控系统，保证控制的有效性

安全培训 SAET

Security Awareness, Education, and Training Program

意识

• 建立对安全认知的最小化通用标准或基础
• 教学、视频、海报、媒体等

培训

• 培训是指教导员工执行他们的工作任务和遵守安全策略
• 定期的培训，加强人员安全意识
• 最好是强制的培训

教育

• 教育是一项更详细的上作，用户学习的内容比他们完成其工作任务实际需要知道的内容多得多
• 教育可能是获取资格认证的培训，或者和晋升相关的教育

改进

• 培训完成后需要做的
  • 制定改进计划、下一步计划

有效性评估

• 考试
• 审查事件日志，了解违规发生率

业务连续性计划 BCP

**BCP 和业务中断有关。**关注上层，以业务流程和运营为主。

**DRP 容灾恢复计划 - 和数据恢复有关。**更具细节，描述站点恢复、备份和容错等技术。

BCP 四个阶段：

• 项目范围和计划
• 业务影响分析 BIA
• 连续性计划
• 计划批准和实施

1. 项目范围和计划

• 首要职责，组织分析：了解部门职责
• 选择 BCP 团队：包括业务、法务、IT、安全、公关、财务、高层代表等
• 资源需求：有人员需求和财务需求（购买软硬件）
• 法律和法规要求

2. 业务影响分析 BIA

目的：识别关键业务功能及这些功能相关的 IT 资源，分析中断的影响。

支持定量分析和定性分析，BCP 通常喜欢使用定量分析，从而忽略定性分析，BCP 团队应该对影响 BCP 过程的因素进行定性分析。

1, 确定优先级

定量分析：

• 确定资产价值 AV
• 确定 MTD 最大容忍中断时间
• RTO 应该始终小于 MTD（MTD = RTO + 业务确认的时间 WRT）

2, 风险识别

识别自然风险和人为风险：

• 暴雨、累计、地震、火山、流行病等
• 恐怖袭击、火灾、互联网终端等

3, 可能性评估

确定每种可能性发生的概率，确定 ARO 年发生率。

4, 影响分析

年损失期望 ALE

ALE = SLE *ARO = AV * EF * ARO

5, 资源优先级排序

3. 连续性计划

• 策略开发：

  • 目标、范围、需求
  • 基本的原则和指导方针
  • 职责

• 预备和处理：

  • 制定具体的流程和机制来减轻风险
  • 人员优先
  • 建筑设施的保护，比如加固，或者备用站点
  • Infra 保护，包括冗余设施，物理性的加固（UPS 及防火等）

4. 计划批准和实施

• 计划批准：计划得到上层的认可，展示业务领导对于业务连续性的承诺，在其他人员眼中更具重要性和可信度
• 计划实施：
• 培训和教育：培训的目的是让相关的人熟悉其职责，以及操作步骤

5. BCP 文档

• 文档化可以防止执行时偏离
• 文档包含重要性声明
• 优先级声明
• 组织职责声明：重申组织对业务连续性计划的承诺
• 紧急程度和时间限制要求（时间表）
• 风险评估的内容
• 风险接受、风险缓解的内容，比如哪些风险可接受，哪些风险不可接受需要采取缓解措施
• 重要记录：标识
• 应急响应指南
• 定期维护
• 测试和演练

法律法规

知识产权 IP - 保护创作者

保护创作者，软件属于知识产权。

作品在创作的那一刻即拥有版权。

仅有源代码属于知识产权，代码使用的逻辑不属于知识产权。

《数字千年版权法》DMCA

受保护的类型：

• 文学作品（计算机软件属于此分类）
• 音乐作品
• 戏剧作品
• 哑剧和舞蹈作品
• 绘画、图形、雕刻作品
• 电影和其他音响作品
• 声音录音
• 建筑作品

版权的保护期：

• 单个或多个作者：最后一位作者去世后 70 年内
• 因受雇而创作的作品：作品第一次发表 95 年，或者创建之日起 120 年，其中较短的一个

数字化相关：

• 针对 DVD 等违权最高判处 100w 美元和 10 年监禁
• 使用 ISP 线路违权时，ISP 承担责任。但是对于用户的临时性活动不负责（比如临时发送一些东西，不知道目标人）

商标

商标不需要注册即拥有版权。

目的：

• 辨识公司及公司的服务和产品
• 避免市场混乱

专利 - 保护作品

保护发明者的知识产权。自首次申请发明起，有 20 年有效期，发明者有该发明的独家使用权利。过期后即可允许任何人使用，比如 PGP 使用的 IDEA 算法。

三个重点要求：

• 发明具有新颖性
• 发明具有实用性
• 发明具有创造性

商业秘密

对于公司很重要的知识产权，不能外泄。

通常公司自己持有，不做专利保护，严格限制访问，加密存储。

隐私法案

个人数据的使用原则：

• 收集个人数据需要征得主体的同意，并告知用途
• 只收集和用途有关的数据
• 只在用途所需期限内使用和保存

第四修正案

保护公民隐私，防止未授权的搜查、窃听。

1974 隐私法案 - 仅适合联邦政府

限制联邦政府机构在没有事先得到当事人书面同意的情况下向其他人或机构透露隐私信息的能力。

电子通信隐私法 ECPA

Electronic Communications Privacy Act

适用于非法窃听、非授权访问电子数据的行为。

针对手机的窃听，处以最多 500 美元和 5 年监禁。

通信执法协助法案 CALEA

Communications Assistance for Law Enforcement Act

修正了 ECPA，允许在法院同意的情况下由执法人员进行窃听。

经济间谍法案

Economic Espionage Act

任何窃取专有信息（Confidential、Property）的行为视为间谍行为。

GDPR 通用数据保护条例

GDPR 用于替换之前颁布的 DPD。

GDPR 的一些主要规则：

• 合法、公平、透明：必须对数据处理活动保持公开和诚实的态度
• 目的限制：必须清楚记录和披露使用数据的目的，而且按照披露来使用数据
• 数据最小化：确保处理的数据可以满足既定目的，并且仅限于你使用这些数据
• 准确性
• 存储限制：仅在合法、公开目的所需的时间内保留数据，遵守“遗忘权”，允许人们在不需要时删除这些信息
• 安全性
• 问责性

GDPR 数据保护：

• 去标识：

  • 假名化（Pseudonymization），指在不使用额外信息时不能追溯到个人，过程可逆，比如有对应的 key 时
  • 哈希、加密

• 匿名化（Anonymization）：数据无法再和个人关联，匿名化的数据不再是个人数据

• 及时通知：

  • 如果发生个人数据泄露，72 小时内要通知监管机构
  • 如果造成了高风险，还需要通知数据主体

任何违反 GDPR 的违法行为将导致最高 2000 万欧元或母公司所有营业额 4% 的罚金，二者取金额大者。

GDPR 对于个人数据的定义：

是指任何指向一个已识别或可识别的自然人（“数据主体”）的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。个人信息实例：

• 姓名
• 地址
• 电子邮箱
• 身份证号
• 地理位置
• IP地址
• cookie ID
• the advertising identifier of your phone 广告ID
• 根据用户画像可以确定某一类人的信息

标准合同条款（standard contractual clauses），或具有约束力的公司规则（binding corporate rules）现已取代隐私盾（安全港）。

美国 HIPAA 健康保险流通和责任法案

指定了一系列如何处理健康信息的规定：

• 在确保私密性的情况下保存病人信息档案 6 年
• 新法规强制要求：第三方商业伙伴与数据所有者（实体）一样，直接受到 HIPAA 和 HIPAA 执法活动的约束，两个公司需要签署商业伙伴协议(BAA)的书面合同约束。

HIPAA 使用和披露的原则：

• 基本原则：限定使用，除非签署了 BAA；个人书面同意授权

• 必要的披露：

  • 个人（或个人的代表）要求时，专门向他们进行披露
  • 在进行合规调查、审计时

• 经允许的使用和披露：在没有个人授权的情况下，出于下列目的进行使用和披露

  • 对信息主体披露其 PHI
  • 治疗、付款和医疗保险业务
  • 偶然的使用和披露
  • 公共利益或福利活动
  • 为研究、公共卫生或医疗保险业务而进行的有限数据集

• 经信息主体授权的使用和披露：所有上述定义之外的用途，都需要经过个人的书面同意

• 将使用和披露限制在最低限度（数据最小化原则）

健康信息技术促进经济和临床健康法案 HITECH

HITECH 是 HIPAA 的修订，新增了泄露通知，如果发生泄露，则必须讲信息告知受影响的个人，当信息泄露超过 500 人时，必须通知卫生与社会服务部门和媒体。
先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化资料的朋友，可以点击这里获取
则必须讲信息告知受影响的个人，当信息泄露超过 500 人时，必须通知卫生与社会服务部门和媒体。
先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
[外链图片转存中…(img-WU1PRdIS-1714250411243)]
[外链图片转存中…(img-NitrCE9R-1714250411243)]
[外链图片转存中…(img-D0AVUBEO-1714250411244)]
[外链图片转存中…(img-bDPWw2oW-1714250411244)]
[外链图片转存中…(img-hLcxEZe8-1714250411245)]
[外链图片转存中…(img-s5LZjY8Q-1714250411246)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化资料的朋友，可以点击这里获取