第二章:資產安全
2.1 任何對組織有價值的東西都可成為資產,包括人員、合作伙伴、設備、設施、聲譽和信息。
2.2 信息生命周期:獲取、使用、存檔、處置。
2.3 信息分類:
商業公司的信息敏感級別:機密、隱私、敏感、公開
軍事機構的信息敏感級別:絕密、秘密、機密、敏感但未分類、未分類
機密:Conifidential 秘密: Secret 絕密:Top secret
對每種分類執行何種控制取決於管理層和安全團隊的決定的保護級別
數據聚合可能導致分類級別的增加,低分類數據項的組合可創建更高分類集合。
分類的目的都是量化一個組織丟失了信息后可能承受多少損失。
2.4 責任分層
行政管理層:對組織中發生的一切負責。
首席執行官(CEO):負責組織機構的日常管理工作。
首席財務官(CFO):負責公司的賬目和財務活動以及組織機構的總體財務結構。
首席信息官(CIO):處於公司組織結構的較低層。
首席隱私官(CPO):公司在保護各種類型數據方面面臨日益增長的需求。
首席安全官(CSO):負責了解公司面臨的風險和將這些風險緩解至可接受的級別。
數據所有者:具有應盡關注職責,對特定信息子集的保護和應用負最終責任。
數據看管員:負責數據的保護與維護工作
系統所有者:負責一個或多個系統,確保系統的脆弱性得到正確評估
安全管理員:負責實施和維護企業內具體的安全網絡設備和軟件
主管:用戶管理者,最終負責所有用戶活動和由這些用戶創建和擁有的任何資產
變更控制分析員:負責批准或否決變更網絡
數據分析員:負責保證以最佳方式存儲數據
用戶:擁有必要的數據訪問級別,才能完成職權范圍內的本職工作。
審計員:定期巡查,確保維護正確的控制措施。
2.4 保留策略
法律和監管要求。
如何保留?分類法、分級、標准化、索引。
保留多長時間?數據類型和一般保留期限,參考最佳做法和案例。
保留什么數據?保留我們有意決定保留的數據,確保能夠執行保留。
電子發現(ESI):識別、收集、保存、處理、檢查、分析。
2.5 保護隱私
消除數據殘留的四種方法:覆蓋、消磁、加密、物理損毀。
最好方法是簡單地損毀物理介質,將其粉碎或使其暴露於腐蝕性化學品,甚至焚化。
隱私政策與用戶協議,只收集所需的最少量個人數據,明確用戶策略。
2.6 保護資產
數據安全控制
靜態數據:硬盤、固態、光盤、磁帶。—-加密靜態數據
運動中的數據:傳輸層安全TLS或IPSec提供的加密,vpn建立安全連接。
使用中的數據:側信道攻擊,目前方法是對軟件進行測試。
介質控制:擦除、消磁、重寫、破壞。
2.7 數據泄露
數據泄露防護(DLP)
網絡DLP(NDLP):對運動中的數據應用保護策略。
端點DLP(EDLP):對靜態數據和使用中的數據應用保護策略。
混合DLP
2.8 保護其他資產
保護移動設備
紙質記錄
保險箱
題目要點:
1、信息分級:與信息的價值有關。
2、數據分類:最重要的標准,如果數據被泄露,可能造成的損害程度。
3、數據聚集:低級別數據的項目相結合,創建一個更高級別的數據集。
4、保護資源的最終責任,高級管理者
5、靜態數據,比如磁盤;動態數據,如網絡傳輸;使用中的數據,如寄存器。