type
Post
status
Published
date
Jul 16, 2025
slug
CISSP-2
summary
记录日常对于CISSP的学习
tags
CISSP
证书
category
随笔
icon
password
1、信息和资产的识别和分类
1.1 数据分类
1.1.1 政府组织
政府数据分类包括绝密(top secret)、秘密(secret)、机密(confidential)和未分类(unclassified),任何超过未分类级别的数据都是敏感数据。
绝密使用短语“异常严重的损害“,秘密使用短语“严重损害”,机密使用短语“损害”。
- 绝密标签是“应用于此类信息,对其未经授权的披露必然会对国家安全造成异常严重的损害,这是最初的分类机构能够识别或说明的"。
- 秘密标签是“应用千此类信息,对其未经授权的披露必炽会对国家安全运成严重损害,这是最初的分类机构能够识别或说明的"。
- 机密标签是“应用千此类信息,对其未经授权的披露会对国家安全造成损害,这是最初的分类机构能够识别或说明的"。
- 未分类数据指不符合绝密、秘密或机密数据描述的任何数据。在美国,任何人都可获得未分类数据,尽管该国通常要求个人使用《信息自由法》(FOIA)中确定的程序请求信息。
还有一些额外的子分类,如“仅供官方使用”(for official use only, FOUO)和“敏感但未分类”(sensitive but unclassified, SBU) 。要严格控制具有这些标签的文件,以限制其分发。例如,美国国税局(IRS)对个人税务记录使用SBU,以限制对这些记录的访问。
1.1.2 非政府组织
非政府组织很少需要依据(泄密)对国家安全造成的潜在损害程度对数据进行分类,管理层关心的是(泄密)对组织的潜在损害。
"敏感“信息常指任何非公开的信息。
民用组织不需要使用任何特定的分类标签。不管组织使用什么标签都有义务保护敏感信息。
1.2 资产分类
资产分类应与数据分类相匹配。换句话说,如果一台计算机正在处理绝密数据,那么这台汁算机也应被归类为绝密资产。同样,如果内部或外部驱动器等介质保存绝密数据,那么该介质也应被归类为绝密资产。
2、建立信息和资产的处理要求
管理敏感数据的一个关键目标就是阻止数据泄露。数据泄露是指未经授权的实体查阅和访问敏感数据的一种事件。
2.1 数据丢失预防
数据丢失预防(DLP)系统试图检测和阻止导致数据泄露的尝试,这些系统具有扫描未加密数据以查找关键字和数据模式的能力。
DLP系统分为两种主要类型:
- 基于网络的DLP扫描所有传出数据以查找特定的数据。管理员将其放置在网络边缘以扫描所有离开组织的数据。如果用户发出包含受限数据的文件,DLP系统将检测到该文件并阻止它离开组织。DLP系统将向管理员发送警报,例如电子邮件。某于云DLP是基千网络的DLP的子类。
- 基于终端的DLP可以扫描存储在系统上的文件以及发送到外部设备(如打印机)的文件。例如,组织基于终端的DLP可以防止用户将敏感数据复制到USB闪存驱动器或将敏感数据发送到打印机。管理员对DLP进行配置,使其使用适当的关键字扫描文件,如果它检测到具有这些关键字的文件,将阻止复制或打印作业。经过配置,还可使基于终端的DLP系统定期扫描文件(例如在文件服务器上)以查找包含特定关键字或模式的文件,甚至是未经授权的文件类型,如MP3文件。
DLP系统通常可以执行深度检查。例如,如果用户将文件嵌入压缩的zip文件中,DLP系统仍然可以检测到关键字和模式。但是,DLP系统无法解密数据或检查加密数据。
2.2 数据标记
标记(常被称为打标签)敏感信息确保用户可方便地识别任何数据的分类级别,标记(或标签)提供的最重要信息是数据类别。
标签包括物理标签和电子标签。物理标签在整个生命周期内会一直存留在系统或介质上。
一些组织要求在其计算机上设置特定的桌面背景,也是硬件标签的一种方法。
组织通常通过特定程序对介质进行降级。例如,如果备份磁带包含机密信息,而管理员希望恃磁带降级为未分类的。组织将用一个可信程序清除磁带上所有可用的数据。管理员清除磁带数据后,可以降级,并替换标签。
许多组织完全禁止对介质进行降级,可能要求在该存储介质生命周期结束时销毁该存储介质。
2.3 处理敏感信息和资产
处理(handling)指的是介质在有效期内的安全传输。
- 备份磁带应该和其中包含的数据具有相同级别的保护。
- 在云中存储的数据需要受到与在本地存储的数据相同的保护级别。
3、安全配置资源
3.1 信息和资产所有权
数据所有者对数据担负最终组织责任。数据所有者可以是高管,如首席运营官(CEO)总裁或部门主管。同样,高级管理人员对其他资产(如硬件资产)负最终责任。
关键在于通过识别资产所有者,组织还可识别出负责保护资产的人员。数据所有者通常将数据保护工作委托给组织中的其他人。例如,担任数据托管员角色的员工通常执行日常任务,如实施访问控制、执行备份和管理数据存储。
3.2 资产列表(如有形、无形)
资产管理是指管理有形资产和无形资产。资产管理通常从资产清单开始,要求跟踪资产,并采取额外措施在整个生命周期内保护资产。
有形资产包括组织拥有的硬件资产和软件资产。无形资产包括专利、版权、公司声誉和其他代表潜在收入的资产。
许多组织使用自动配置管理系统(configuration management system, CMS)来帮助管理硬件资产。
3.2.1 硬件资产清单
硬件资产包括计算机、服务器、路由器、交换机和外围设备等IT资源。许多组织使用数据库和库存应用程序在整个设备生命周期内执行资产盘点和跟踪硬件资产(条形码、RFID 标签)。
在处理设备之前,员工会对其进行净化(sanitize)。净化设备的操作会删除设备上的所有数据,确保未经授权的人员无法访问敏感信息。当设备使用周期结束时,员工很容易忽视其存储的数据,因此通常应使用检查表(checklist)来清理系统。检查表包含对系统内各类介质的净化步骤,净化对象包括系统内置硬盘、非易失性存储器,以及CD、DVD、USB、闪存驱、动器等可移动介质。
保存敏感数据的便携式介质也可作为资产进行管理。
3.2.2 软件资产清单
软件资产包括操作系统和应用程序。
3.2.3 无形资产
组织不会使用库存方式来盘点无形资产。但是,组织需要跟踪无形资产并加以保护。由于无形资产是知识资产(如知识产权、专利、商标、公司声誉和版权),而不是实物资产,因此我们很难确定无形资产的货币价值。
高级管理团队通常是无形资产的所有者。他们试图通过评估资产为组织带来的收益来确定无形资产的价值。
大型组织使用公认会计原则(GAAP) 在其资产负债表上报告无形资产的价值。这种做法便于组织至少每年审查一次无形资产。
3.3 资产管理
3.3.1 媒介管理
媒介管理是指为保护媒介及其存储数据而采取的步骤。
当媒介存储敏感信息时,应该将其存储在有严格访间控制的安全场所,防止因未经授权 的访问造成数据泄露。保管媒介的场所应具备温度和湿度的控制措施,防止因环境污染造成数据丢失。
媒介管理还包括技术控制措施,以限制计算机系统对媒介的访问。。例如,许多组织使用技术控制措施禁止人员使用USB驱动器,或在用户尝试使用时进行检测和记录。
3.3.1.1 磁带媒介
组织通常将数据备份存储在磁带上,磁带受损将极易导致数据丢失。最佳方案是,组织至少保留两份数据备份。一份保留在本地以备不时之需,另一份保存在异地的安全位置。
存储区域的卫生情况可以直接影响磁带介质的使用寿命和可用性(磁场消磁、尖锐、污染)。
3.3.1.2 移动设备
移动设备包括智能手机和平板电脑。因为配置了内部存储器或可移动存储卡,这些设备可以存储大量数据。
3.3.1.3 媒介管理生命周期
所有媒介均拥有一个有用但有限的生命周期。可重复使用的媒介会受到平均故障时间 (mean time to failure, MTTF) 的影响,其中, MTTF 有时表示为可重复使用的次数或预计保存的年限。
备份媒介一旦达到平均故障时间,就应该被销毁。
MTTF 不同于平均故障间隔时间(MIBF). MTIF 的计算通常针对出现故障时无法修 复的项目,如磁带。相反, MTBF是指一个项目(如计算机服务器)的两个可修复故障 之间的时间间隔。
3.3.2 云托管服务
- 在云上存储数据时,组织必须确保安全控制到位, 以防止对数据的未授权访问。
- 所有敏感数据都应该加密,包括发送至云上的传输数据和存储在云上的静态数据。
- 云租户应该对加密进行管理,包括掌控所有加密密钥。
云服务提供商和用户在 3 个主要云服务模式下如何分担维护和安全责任:
云部署模型也会影响云资产的责任分配:
- 公有云模型——是指可供任何用户租用或租赁的资产,资产由外部云服务提供商(CSP)托管。服务水平协议可以有效地确保CSP以组织可接受的服务水平提供云服务。
- 私有云部署模型——适用于单个组织的云资产。组织可以使用自有资源创建和托管私有 云。如果这样的话,组织负责所有维护工作。但是,组织也可从第三方租用资源以供组织使用。维护要求通常根据服务模型(SaaS、 PaaS 或IaaS)进行拆分。
- 社区云部署模型——为两个或多个有共同关切的组织(例如有类似的任务、安全要求、策 略或合规性考虑的组织)提供云资产。云资产可以由一个或多个组织拥有和管理。维护责任根据资产托管方和服务模型进行分配。
- 混合云模型——是指两个或多个云的组合,混合云由一种提供数据和程序迁移的技术结合在一起。该模型与社区云模型类似,维护责任根据资产托管方和正在使用的服务模型进行分配。
3.3.2.1 可扩展性和弹性
- 可扩展性是指系统通过扩充附加资源来处理超出载荷的能力【手动】。
- 弹性是指系统根据负载的增加或减少来动态添加或削减资源的能力【自动】。
3.3.3 配置管理
配置管理(configuration management, CM)有助于确保系统在安全一致的状态中部署,并在整个生命周期内保持安全一致的状态。
3.3.4 变更管理
变更管理的主要目标是保证变更不会导致意外中断。变更管理流程确保相应人员在变更实施前对变更进行审核和批准,并确保有人对变更进行测试和记录。
变更管理控制提供了一种流程,以控制、记录、跟踪和审计所有系统变更。这涵盖对系统任何方面的变更,包括硬件和软件配置,组织需要在所有系统的生命周期中实施变更管理流程。
变更管理流程的常见步骤如下:
(1) 请求变更。
(2) 审核变更。
(3) 批准拒绝变更。
(4) 测试变更。
(5) 安排并实施变更。
(6) 记录变更。
3.3.5 管理补丁和减少漏洞
补丁是纠正程序缺陷及漏洞,或提高现有软件性能的所有代码类型的总称。软件可以是操作系统或应用程序。补丁有时称为更新、快速修复(quickfix)和热补丁(hotfix)。在安全方面, 管理员主要关注影响系统漏洞的安全补丁。
有效的补丁管理计划包含下列常见步骤:
- 评估补丁——对补丁进行评估,确定其是否适用于自己维护的系统。
- 测试补丁——确定补丁是否会导致任何不必要的副作用。
- 审批补丁——管理员测试补丁,并确认补丁是安全的,接下来便批准补丁的部署。
- 部署补丁——经过测试和审批,管理员可着手部署补丁。许多组织使用自动化方法来部署 补丁。这些自动化方法可以是第三方产品或软件供应商提供的产品。
- 验证补丁是否已完成部署——部署补丁后,管理员会定期测试和审计系统,确保系统保持更新状态。
管理层可选择接受风险而不是减轻风险。实施控制措施后仍然存在的风险就是剩余风险。因剩余风险而产生的任何损失都是管理层的责任。
4、管理数据生命周期
4.1 数据角色(如所有者、控制者、托管人员、处理者、用户/主体)
4.1.1 数据所有者
数据所有者(data owner)——(有时被称为组织所有者或高管)是对数据负有最终组织责任的人。所有者通常是首席运营官(CEO)、总裁或部门主管(DH)。
数据所有者识别数据的分类并确保它被正确地标记。他们还确保它在分类和组织的安全策略要求的基础上有足够的安全控制。所有者如未能在制订和执行安全策略时在保护和维持敏感资料方面进行尽职审查,则可能需要对其疏忽负责。
NIST SP 800-18 Rev.I“ 联邦信息系统安全计划开发指南”概述了信息所有者(其实与数据所有者相同)的以下职责:
- 建立适当使用和保护主体数据 / 信息的规则(行为规则)。
- 向信息系统所有者提供有关信息所在系统的安全要求和安全控制的输入。
- 决定谁可以访问信息系统,及其具备哪些类型的特权或访问权限。
- 协助识别和评估信息驻留环境的通用安全控制。
4.1.2 资产所有者
资产所有者(或系统所有者)是拥有处理敏感数据的资产或系统的人员。NISTSP 800-18概述了系统所有者的以下职责:
- 与信息所有者、系统管理员和功能的最终用户协作开发系统安全计划。
- 维护系统安全计划,确保系统按照约定的安全要求部署和运行。
- 确保系统用户和支持人员接受适当的安全培训,如行为规则指导。
- 在发生重大变化时更新系统安全计划。
- 协助识别、实施和评估通用安全控制。
通常系统所有者和数据所有者是同一人员,但有时不是同一个人,例如不同的部门主管(DH)
系统和数据所有者是组织内的高级人员。
4.1.3 业务/任务所有者
NIST SP 800-18 将业务/任务所有者称为项目经理或信息系统所有者。
业务/任务所有者的职责可与系统所有者的职责重叠。
4.1.4 数据处理者和数据控者者
通常,任何处理数据的系统都可以被称为数据处理者。
GDPR将数据处理者定义为"仅代表数据控制者处理个人数据的自然人或法人、公共权力机构、代理机构或其他机构”。
4.1.5 数据托管员
数振所有者常将门常任务委托给数据托管员(custodian)。托管员通过正确存储和保护数据来帮助保护数据的完整性和安全性。
4.1.6 管理员
许多组织将任何具有高级权限的人员都视为管理员,即使他们没有完全的管理权限。
数据管理员可能是数据托管员或其他数据角色的人员。
4.1.7 用户和主体
用户是通过计算系统访问数据以完成工作任务的人,用户只能访问执行上作任务所需的数据,也可将员工或最终用户视为用户。
GDPR将数据主体(不仅仅是主体)定义为可以通过标识符(如姓名、身份训号或其他方式)识别的个人。
4.2 数据采集
- 防止数据丢失的最简单方法之一就是不收集数据。
- 如果数据没有明确的使用目的,请不要收集和存储。
4.3 数据位置
数据位置是指数据备份或数据副本的位置。
最佳做法是在本地站点保存一个备份副本,并在外部站点保存另一个备份副本。如果一场灾难(如火灾)破坏了主要业务地点,该组织仍拥有在异地站点存储的一个备份副本。
4.4 数据维护
数据维护是指在数据的整个生命周期中不断地组织和维护数据。
一个网络只处理未分类的数据,另一个网络处理分类数据。物理隔离之类的技术可确保两个网络永远不会在物理上相互接触。物理隔离是—种物理安全控制,意味着来自分类网络的系统和电缆在物理上永远不会接触来自未分类网络的系统和电缆。此外,分类网络无法访问互联网,互联网攻击者也无法访问。
人员需要向分类网络添加数据:
- 一种方法是手动,人员将数据从未分类网络复制到USB设备并将其携带到分类网络。
- 一种方法是使用单向网桥,这将两个网络连接起来,们只允许数据从一个方向传轮,即从未分类网络到分类网络。
- 一种方法是使用技术防护解决力案,它是放置在两个网络之间的硬件和软件的组合。保护解决方案允许正确标记的数据在两个网络之间传输。
4.5 数据留存
应以适当的方式存储敏感数据,以防止它受到任何类型损失的影响。加密方法防止未经授权的实体访问数据,即使他们获得了数据库或硬件资产,也无法实现访问。
- 如果敏感数据存储在便携式磁盘驱动器或备份磁带之类的物理介质上,那么人员应该遵循基本的物理安全实践来防止因盗窃而造成的损失。
- 应该使用环境拧制来保护介质。这包括温度和湿度控制,如供暖、通风和空调(heating, ventilation, and air conditioning, HVAC)系统。
任何敏感数据的价值都远大于保存敏感数据的介质的价值。
4.6 数据残留
数据残留(data remanence)是指本应擦除却仍遗留在介质上的数据。通常将硬盘驱动器上的数据称为剩磁或者剩余空间。
一些操作系统用内存中的数据填充这个剩余空间。如果用户刚才正在处理一个绝密文件,然后创建了一个未分类的小文件,则该小文件可能包含从内存中提取的绝密数据。这就是工作人员永远不应该在非机密系统上处理机密数据的原因之一。经验丰富的用户还可使用bmap (Linux) 和slacker(windows)等工具将数据隐藏在剩余空间中。
使用系统工具删除数据时通常会让许多数据残留在介质上,并且有很多上具可以轻易地取消删除操作。即使你使用复杂工具来覆写介质,原始数据的痕迹也可能保留为不易察觉的磁场。
消除数据残留的一种方法是用消磁器。。消磁器产生一个强磁场,它可在磁性介质(如传统硬盘驱动器、磁带和软盘驱动器)中重新调整磁场。使用一定功率的消磁器,能够可靠地重写这些磁场并去除数据残留。然而,消磁器仅对磁性介质有效。
- 净化SSD的最佳方法是销毁。
- 保护SSD的另一种方法是确保存储的所有数据都被加密。即使净化方法无法去除所有数据残留物,这种方法也会使剩余数据变得不可读。
4.7 数据销毁
组织不再需要敏感数据时,应该销毁它。适当的销毁举措确保敏感数据不会落入坏人之手并导致未经授权的泄露。销毁高分类级别数据的步骤与销毁低分类级别数据的步骤是不同的。组织向安全策略或数据策略应该基于数据的分类来确定可接受的消毁方法。例如,组织可能要求完全销毁保存高分类级别数据的介质,但允许员工使用软件工具覆盖较低分类级别的数据文件。
NIST SP 800-88 Rev. I” 介质净化指南” 提供了不同净化方法的全面细节。处理方法(如清理、清除和销毁)确保数据不能以任何方式被恢复。当计算机被处理时,适当的净化(sanitization)步骤可以删除所有的敏感数据。这包括移除或销毁所有非易失性存储器、内部硬盘驱动器和固态硬盘驱动器(SSD)上的数据,还包括删除所有的光盘(CD)或数字多功能盘(DVD)USB驱动器。净化指直接销毁介质或使用可信方法从介质中清除机密数据而不销毁它。
常见数据销毁的方法:
- 擦除(erasing)——擦除介质只对文件、文件选段或者整个介质执行删除操作【最不安全的方法】。
- 清理(clearing)——清理或覆盖操作,以便重新使用介质,并确保攻击者不能使用传统复原工具来恢复已被清理的数据。当介质被清理时,介质上的所有可寻址位置都被写入未分类的数据。一种方法是在整个介质上写入单个字符或指定位模式。更彻底的方法是在整个介质上写入单个字符,然后写入该字符的补码,最后写入随机比特。
- 清除(purging)——清除是一种更强烈的清理形式,为在不太安全的环境中重用介质做准。它提供了一定程度的保障,不管用哪种已知方法都无法恢复原始数据。清除过程将多次虚复清理丈程,且可与另一种方志(如消磁)组合在一起以完全去除数据。
- 消磁(degaussing)——消磁器产生一个强磁场,在消磁过程中擦除某些介质上的数据。技木人员通常使用消磁方法从磁带中去除数据,目的是使磁带恢复到原来的状态。消磁不影响光盘CD、DVD和SSD。
- 销毁(destruction)——销毁是介质生命岗期中的最后阶段,是最安全的介质净化力法。
解除分类(declassification)指任何在未分类的环境中为重复使用介质或系统而清除数据的过程。可用净化方法为解除介质分类做准备,但通常安全解除介质分类所需的付出远大于在较不安全环境中使用新介质的成本。许多组织为了不承担风险,选择不对任何介质解除分类,而是在不需要的时候将介质销毁。
4.7.1 加密擦除
如果数据在设备上是加密的,则可以使用加密擦除或加密粉碎来销毁数据。它们并不会删除或销毁数据,相反,它们会销毁加密密钥,或者销毁加密密钥和解密密钥(如果使用了两个密钥)。加密密钥被删除后,数据仍然是加密的,不能被访问。
在使用此方法时,应该使用另一种方法来覆盖数据。如果原始加密不强,可能有人可以在没有密钥的情况下解密它。此外,加密密钥通常会有备份,如果有人发现了备份密钥,他们仍然可以访问数据。
在使用云存储时,销毁加密密钥可能是组织可用的唯一安全的删除形式。
5、确保适当的资产保留期(生产期终止EOL、支持期终止 EOS)
即使在没有外部要求的情况下,组织仍然应该确定保留数据的时间期限。
生产期终止(EOL)、支持期终止(EOS)和服务期终止(EOSL)适用于软件或硬件。在资产保留方面,它们直接适用于硬件资产。大多数供应商将EOL称为他们停止销售产品的时间。但是,他们仍然会支持他们销售过的产品,至少在一段时间内是如此。EOS是指这种支持结束的时间。大多数硬件都某于EOL和EOS时间周期进行更新。
在受到起诉后,公司删除潜在证据的行为是不合法的。然而,如果保留策略规定在设定时间后删除数据,该行为则是合法的。这种做法不仅防止了为存储不必要的数据而造成的资源浪费,还可通过查看不相关的旧信息,为避免资源浪费提供额外的法律保护。
6、确定数据安全控制和合规要求
6.1 合规
《电子通信隐私法案》(ECPA)——将侵犯个人电子隐私的行为定义为犯罪
《通信执法协助法案》(CALEA)——CALEA要求所有通信运营商,无论使用何种技术,都要允许持有适当法院判决的执法人员进行窃听。
《健康保险流通与责任法案》(HIPAA)——,要求医院、医生、保险公司和其他处理或存储私人医疗信息的组织采取严格的安全措施。
《健康信息技术促进经济和临床健康法案》(HITECH)——商业伙伴与受约束实体一样,直接受到HIPAA和HIPAA执法活动的约束。商业伙伴指处理受保护的健康信息(PHI)的组织,代表HIPAA约束的实体。HITECH新增了数据泄露通知要求。
《儿童在线隐私保护法》(COPPA)——针对儿童
《Gramm-Leach-Bliley法案》(GLBA)——金融机构才有了严格的监管规定。
《通用数据保护条例》(GDPR)——跨境传输信息时,应特别关注GDPR
《个人信息保护和电子文件法》(Personal Information Protection and Electronic Documents Act, PIPEDA)-加拿大
《加州消费者隐私法案》(CCPA)——限制商业公司如何收集、使用和披露个人信息的国家法律。
支付卡行业数据安全标准(PCI DSS)——管理信用卡信息的安全
《萨班斯-奥克斯利法案》(SOX)——组织财务系统的信息安全控制
6.2 数据安全控制
以邮件数据为例:
分类 | 电子邮件的安全要求 |
机密/专有(任何数据的最高保护级别) | 电子邮件不能被打印出来<br>电子邮件内容不能复制、粘贴到其他文档中<br>电子邮件只能发送到组织内的收件人<br>电子邮件只能被收件人打开和查看(转发的电子邮件不能被打开)<br>可以打开和查看附件,但不能保存<br>电子邮件和附件保待加密,除非在查看时<br>电子邮件和附件必须使用AES 256加密 |
私有(示例包括PII和PHI) | 电子邮件和附件保待加密,被查看时除外<br>电子邮件和附件必须使用AES 256加密<br>电子邮件只能发送到组织内的收件人 |
敏感(分类数据的最低保护级别) | 电子邮件和附件必须使用AES 256加密 |
公开 | 电子邮件和附件可用明文形式发送 |
组织想要保护的任何类型的数据都需要类似的安全定义。
身份和访问管理(1AM)安全控制有助于确保只有经过授权的人能访问资源。
6. 3 数据状态(如使用中、传输中、静态)
- 静态数据——静态数据(有时被称为存储中的数据)是存储在系统硬盘、固态驱动器(SSD)外部USB驱动器、SAN(存储区域网络)和备份磁盘等介质上的任何数据。
- 传输中的数据——传输中的数据(有时被称为动态数据)是通过网络传输的任何数据。这包括使用有线或无线力式通过内部网络传输的数据,以及通过公共网络(如Internet)传输的数据。对称加密和非对称加密的组合使用可以保护传输中的数据。
- 使用中的数据——使用中的数据(也被称为处理中的数据)是指应用程序所使用的内存或临时存储缓冲区中的数据。通常应用程序在将加密数据放入内存前会对其进行解密。这样,应用程序才可以处理这些数据,但当不再需要这些数据时,则必须刷新内存缓冲区。在有些情况下,应用程序可以使用同态加密技术处理加密数据。这种方式抑制了风险,因为内存中并不保留未经加密的数据。
6.4 范围界定和按需定制
6.4.1 安全基线
根据系统的保密性、完整性和可用性遭到破坏后对组织使命可能造成的影响提出了4类基线。4类基线如下:
- 低影响的基线——如果保密性、完整性或可用性遭到破坏后将对组织的使命产生较小的影响,则建议在此基线中使用低影响的基线控制。
- 中影响的基线——如果保密性、完整性或可用性遭到破坏后将对组织的使命产生中等影响,则建议在此基线中使用中影响的基线控制。
- 高影响的基线——如果保密性、完整性或可用性遭到破坏后将对组织的使命产生重大影响,则建议在此基线中使用高影晌的基线控制。
- 隐私控制基线——此基线为处理PII的任何系统提供初始基线。组织可将此基线与其他基线之一结合起来。
6.4.2 对比定制和范围界定
选择控制基线后,组织通过**定制(tailoring)和范围界定(scoping)**流程对其进行微调。定制过程的很大一部分是使控制措施与组织的特定安全要求保持一致。
6.5 标准选择
在基线内或其他情况下选择安全控制措施时,组织需要确保安全控制措施符合某些外部安全标准。外部要素通常为组织定义强制性要求。
- PCI DSS定义了企业处理信用卡时必须遵循的要求。
- 收集或处理属于欧盟公民的数据的组织必须遵守GDPR的要求。
- 美国政府组织必须遵循NIST SP 800 文件发布的许多标准。
6.6 数据保护方法(数字版权管理DRM、数据丢失预防DLP、云访问安全代理CASB)
6.6.1 数字版权管理
数字版权管理(digital right management, DRM)方法试图为受版权保护的作品提供版权保护。其目的是防止未经授权使用、修改和分发知识产权等受版权保护的作品的行为。以下是DRM解决方案和关的些方法:
- DRM许可证——许可证授予对产品的访问权阳并足义使用条款。DRM许可证通常是一个小文件,其中包含使用条款以及用于解锁对产品访问的解密密钥。
- 持久在线认证——持久在线认证(也被称为永远在线 DRM)要求系统连接到互联网后才能使用广品。系统会定期与认证服务器连接,如果迕接或认证失败,DRM将会拒绝对该产品的使用。
- 持续审计跟踪——持续审计跟踪记录所有对受版权保护的产品的使用。当与持久在线认证结合在一起时,它还可以检测滥用行为,例如在两个不同的地理位置上同时使用一种产品的行为。
- 自动过期——许多产品都是以订闭的月式进行出售的。例如,你可以经常租用新的流媒体电影,但这些电影只能在有限的时间内使用,例如30天。当订阅期结束时,自动到期功能会阻止任何进一步的访问。
DRM方法用于保护受版权保护的数据,但不用于保护商标、专利或商业秘密。
6.6.2 云访问安全代理
云访问安全代理(CASB)是指逻辑位置上处千用户和基千云的资源之间的软件。它可部署在本地或云端。任何访问云的人都须通过CASB软件。它监控所有活动并执行管理员定义的安全策略。
CASB通常包括身份认划和授权控制,并确保只有授权用户能访问本资源。CASB还可记录所有访问、监控活动并发送可疑活动警报。通常,组织内部创建的任何安全控制都可被复制到CASB。这包括组织实施的任何DLP功能。
CASB解决方案还可有效地检测影子IT。影子IT是指在IT部门尚未批准甚至不知情的情况下使用IT资源(如云服务)。
6.6.3 假化名
假名可防止攻击者直接通过数据识别实体,比如识别出个人。
医生可以向医学研究人员发布假名数据,而不会损害患者的隐私信息。但是,如果有必要,医生仍然可以通过逆向过程来恢复原始数据。
GDPR将假名化定义为用人为标识符替换数据的过程,这些人为标识符即假名。
6.6.4 令牌化
令牌化是使用一个令牌(通常是一个随机字符串)来替换具他数据的做法。它经常用于信用卡交易中。
6.6.5 匿名化
匿名化是删除所有相关数据的过程,使攻击者理论上无法识别出原始主体或个人。如果有效地完成了匿名化,匿名数据就不必再遵守GDPR。但是,你很难将数据真正匿名化。个人数据即使已被删除,也能被数据推断技术识别出来,这有时被称为匿名化数据的重新识别。
数据屏蔽是一种有效的匿名数据方法,即打乱数据间的逻辑关系。但是使用随机屏蔽的方式匿名化数据后,该数据是无法恢复到原始状态的,即匿名化的过程无法逆转。