CISSP-信息安全治理与风险管理

信息安全与风险管理基础

信息

定义

生命周期处理方式

信息安全基本原则

机密性 confidentiality

• 确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体

完整性 integrity

• 确保信息在存储、使用、传输过程中不会被非授权的篡改
• 防止授权用户或实体不恰当的修改信息
• 确保信息内部和外部的一致性

可用性 availablity

• 确保授权用户或实体对信息及资源的正常使用，不会被异常拒绝，允许其可靠而即使的访问信息

相反三元祖DAD

• 泄露 disclosure
• 篡改 alteration
• 破坏 destruction

信息安全CIA的相关技术

机密性相关技术Confidentiality

• 数据加密（整个磁盘、数据库加密）
• 传输数据加密（IPSec、SSL、PPTP、SSH）
• 访问控制（物理和技术访问控制）

完整性相关技术Integrity

• HASH（数据完整）
• 配置管理（系统完整）
• 变更控制（过程完整）
• 访问控制（物理和技术控制）
• 软件数字签名
• 传输CRC检验功能

可用性相关技术Availablity

• 廉价冗余磁盘阵列（RAID）
• 集群
• 负载均衡
• 冗余的数据和电源线路
• 软件和数据备份
• 磁盘映像
• 本地和异地备用设施
• 回滚功能
• 故障切换配置

安全控制

管理性控制（软性控制）

• 制定策略、标准、措施和指导原则
• 风险管理
• 人员安全
• 安全意识培训

逻辑性控制（技术性控制）

• 逻辑访问控制机制
• 密码和资源管理
• 身份标识和身份验证方法
• 安全设备

物理性控制

• 控制个人对设施和不同部门访问的措施（门禁、保安、锁）
• 保护设施周边（栅栏、围墙、照明）
• 物理检测入侵
• 环境控制

深度防御（纵深防御）

控制功能

• 威慑、预防、矫正、恢复、检测、补偿

治理、风险和合规（GRC）

• 治理：制定总体目标、分配职责、通过制度指标技术控制风险
• as
• 合规指的是遵循法律法规，例如等保等

安全治理与安全体系框架

安全管控参考框架

IT内部控制 Cobit

企业内部控制 COSO（内部控制-整体框架）

• 定义了满足财务报告和被纰漏目标的五类内控要素
  • 控制环境
  • 风险评估
  • 控制活动
  • 信息与沟通
  • 检测
• 很多组织应对SOX404法案合规性的框架
• 公司治理模型

IT服务管理 ITIL 国标ISO20000

• ITIL是可定制IT服务管理框架，个人理解（业务与IT服务融合用的）
• 信息技术服务管理标准和最佳实践框架
• 四大过程
  • 服务战略
  • 服务设计
  • 服务交付
  • 服务运营
  • 持续改进过程

Zachman，TOGAF企业框架

SABSA安全机构框架

• 从安全的角度定义业务的框架

安全控制参考，NIST SP800-53r4

2014年关键基础设施安全控制框架：NIST CyperSecurity Framework

CMMI软件开发管理

信息安全管理

信息安全成败的两个因素：技术和管理

ISO27001(关于信息安全管理体系的标准，13版14个域)

• 信息安全方便的最佳管理组成的一套全面的控制集
• A5 安全方针
• A6 信息安全组织
• A7 人力资源安全
• A8 资产管理
• A9 访问控制
• A10 密码学（新增）
• A11 物理与环境安全
• A12 操作安全（拆分）
• A13 通信安全（拆分）
• A14 信息系统获取、开发和维护
• A15 供应关系（新增）
• A16 信息安全事件管理
• A17 信息安全方面的业务连续性
• A18 符合性

信息安全管理模型

• PDCA模型
• 计划 PLAN 根据风险评估的结果、法律法规的要求、组织业务，运作自身需求来确定控制目标与控制措施
• 实施 DO 实施所选的安全控制措施
• 检查 Check 根据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查
• 措施 Action 针对检查结果采取应对措施，改进安全状况

信息安全绩效

• ISO27004
• SP800-55
  • 执行过程测量
  • 效果和效率的测量
  • 业务影响的测量

安全策略

• 安全策略的层次性
  • 方针（方针的变化频率低，程序的变化频率高）
    • 信息安全最一般性的申明
    • 最高管理层对信息安全承担责任的一种承诺
    • 说明要保护的对象和目标
  • 标准link指南
    • 建立方针执行的强制机制
  • 指南link标准
    • 类似于标准，加强系统安全的方法，区别在于指南为建议性
  • 基线
    • 针对方针的最低级别的安全要求
  • 程序
    • 执行特定任务的详细步骤
    • 程序是对执行保护任务时具体步骤的详细描述（HOW）
• 不同内容侧重的安全策略
  • 组织性策略
    • 由高级管理层发布，描述并委派信息安全责任，定义CIA的目标，强调需要关注的信息安全问题
    • 适用于范围是整个组织
  • 功能性策略
    • 特定问题策略，针对特定安全领域或关注点。例如访问控制、持续性计划、职责分离等。
    • 针对特定技术领域，如互联网、电子邮件、无限访问、远程访问等
    • 依赖于业务需要和可接受的风险水平
    • 内容包括特定问题的阐述，组织针对该问题的态度、适用范围、符合性要求，惩戒措施
  • 特定系统策略
    • 针对特定技术或操作领域指定的更细化的策略，如应用或平台
• 采购安全策略与实践
  • 供应链风险与安全控制
  • 硬件、软件与服务采购
    • 制定安全基线，明确采购的产品和服务的最低安全要求
    • 对供应商人员进行安全培训
    • 制定供应商安全管理策略，定义通用的安全控制方法
    • 增加对OEM厂商、分销商和集成商的控制
    • 对供应商网络安全风险进行审计
  • 最低安全要求与服务级别需求
    • 通过SLA明确服务水平要求和最低安全要求

安全组织

• 高级管理员
  • 全面负责信息安全，是信息安全的最终负责人
  • 规划信息安全，确定目标和有限次序，委派信息安全责任
  • 明确信息安全目标和方针为信息安全活动指引方向
  • 为信息安全活动提供资源
  • 重大事项做出决策
  • 协调组织不同单位、不同环节的关系
• 首席信息管 CIO
  • 负责监督和负责公司的日常技术运营
• 首席安全官 CSO/首席信息安全官CISO
  • 确保业务信息资产得到妥善保管
  • 扮演内部信息安全协调和促动的角色
  • 需要理解组织的业务目标，引导风险管理过程
  • 确保业务操作和可接受风险之间达成恰当的平衡
  • 具体职责
    • 为信息安全活动做预算
    • 开发决策、程序、基线、标准和指南的开发
    • 开发安全意识程序
    • 参与管理会议
    • 协调内部和外部的审计
• 安全指导委员会
  • 成员来自组织机构各部门的人员组成，包括CEO领导，同事CFO、CIO、各部门经理、首席内审员
  • 至少每季度召开一次会议，并有明确议程
  • 职责
    • 定义组织机构的可接收风险级别
    • 确定安全目标和策略
    • 根据业务需求决定安全活动的优先级
    • 审查风险评估和审计报告
    • 监控安全风险的业务影响
    • 审查重大的安全违规和事故
    • 批准安全策略和计划的任何重要变更
• 审计委员会
  • 由董事会任命，帮助其审查和评估公司的内部运作、内部审计系统及财务报表的透明度和准确性
  • 负责
    • 公司财务报表和财务信息的完整性
    • 公司的内部控制系统
    • 独立审计员的雇佣和表现
    • 内部审计功能的表现
    • 遵守与道德有关的法律要求和公司策略
• 风险管理委员会
  • 从整体上了解组织的风险并协助高层管理者把风险降到可接受的程度
  • 研究整体的业务风险，而不仅仅是IT安全风险
• 安全计划
  • 组织的信息安全建设应该按计划行事，安全管理计划应该自上而下
  • 职责
    • 高层定义组织安全方针
    • 中层将安全策略完成标准、基线、指导和程序，并监控执行
    • 业务经理和安全专家负责实施安全规划文件中的制定配置
    • 最终用户负责遵守组织的所有安全策略
  • 类型
    • 战略计划 strategic plan
      • 长期计划，例如5年
      • 相对稳定，定义了组织的目标和使命
    • 战术计划 tactical plan
      • 中期计划，例如1年
      • 对实现战略计划中既定目标的任务和进度的细节描述，如雇佣计划，预算假话等
    • 操作计划 operational plan
      • 短期的高度细化的计划，经常更新
      • 每月或每季度更新，例如培训计划，系统部署计划等

人员安全

• 人员职责
  • 数据所有者
    • 负责管理某个业务部门，对特定信息自己的保护和应用负最终责任
    • 具有“适当关注”责任
    • 职责
      • 决定数据的分类
      • 定义每种分类的安全需求和备份需求
      • 定义用户访问控制
    • 业务角色而非技术角色
  • 数据管理员
    • IT或安全部门的角色
    • 职责
      • 执行数据的常规备份
      • 定期验证数据的完整性
      • 备份介质还原数据
      • 实现公司关于信息安全和数据保护的信息安全策略、标准和指导原则
  • 系统所有者
    • 负责一个或多个系统，每个系统可能保存并处理由不同数据拥有者拥有的数据
    • 负责将安全因素集成到应用程序和系统中
    • 确保系统的系统脆弱性得到评估
    • 采用足够的安全措施保证系统安全
  • 安全管理员
    • 负责实施、监视和执行安全规定和策略
    • 向安全委员会和信息安全官报告
  • 信息系统审计师
    • 检查系统，判断是否满足安全需求以及安全控制是否有效
    • 向安全目标管理提供独立保障
  • 安全分析员
    • 帮助制定策略、标准和指南，并设立各种基准
    • 主要在设计层面，并非实现层面
  • 用户
    • 具备应用的安全意识，遵守安全策略，恰当的使用系统，上报安全事件。
• 人员录用控制
  • 背景检查
    • 减少风险、减少招聘成本、减低员工流动率
  • 技能考核
  • 保密协议
    • 保护公司敏感信息
• 人员在职控制
  • 职责分离
    • 不应该有人从头到尾完全控制一项敏感、有价值、或关键的任务
    • 目的：减少欺诈或失误的计划
    • 示例
      • 金融交易中，一个负责录入，第二个负责检查，第三个负责确认最终交易
      • 开发/生产维护，安全管理/操作/审计，加密密钥管理/密钥更改
      • 知识分割
  • 最小特权
    • 分配职责所需的最小权限
  • 工作轮换
    • 不允许某个人过长时间单人某个固定职位，避免个人获得过多的控制
    • 设置人员备份，有利于交叉培训，有利于发现欺诈行为
  • 强制休假
    • 强制敏感部门人员休假，可以有效发现欺诈、数据修改和资源滥用等
• 人员离岗控制
  • 离职人员访问权限的禁用
  • 回收具有身份识别的物件
• 第三方人员控制
  • 如果第三方人员不主场，但拥有管理权限
    • 应当与第三方组织和个人均签订保密协议
    • 监控第三方的所有工作行为
    • 在接入时，确保对第三方的身份进行验证
  • 如果第三方人员驻场，并拥有管理员权限
    • 在上述措施的基础上，增加人员背景调查
    • 第三方人员立场，需要收回相关的权限
  • 在与第三方的合同条款上，增加保密要求和相关的商务条款
• 安全意识、培训和教育
  • 教育
    • 为安全专业人士提供工作所需的专业技术
    • 方式：理论性指导，研讨会、阅读和学习、研究
    • 安全简介
  • 培训
    • 传授安全相关的工作技能，主要对象为信息系统管理和维护人员
    • 方式：实现性之道，讲座，个案研究，实验
    • 获取知识
  • 意识
    • 组织员工对安全和安全控制重要行的一般性集体的意识
    • 方式：视频、媒体、海报
    • 传递信息

风险管理

企业风险管理框架

概念

• 识别并评估风险、将风险降低至可接受水平、执行适当机制来维护这种级别的过程
• 100%安全的环境是不存在的，风险管理是收益和成本，安全性和可用性之间的平衡
• 风险=威胁“脆弱性”资产价值

相关要素

资产

• 对组织有价值的信息资产

威胁

• 可能对资产或组织造成损害的某重安全事件发生的潜在原因

脆弱性

• 也称漏洞或弱点，即资产或资产组中存在的可被威胁利用的弱点，弱点一旦被利用可能对资产造成损害

风险

• 特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性

可能性

• 对威胁发生频率定性描述

影响

• 后果，意外事件给组织带来的直接或间接的损害或伤害

安全措施

• 控制或对策，即通过防范威胁、减少弱点，限制意外事件带来影响的途径来削减风险的机制、方法和措施

残留风险

• 在实施安全措施之后仍然存在的风险

风险评估

主要任务

• 识别构成风险的要素
• 评估风险发生的可能性和造成的影响，并最终评价风险水平或大小
• 确定组织承受风险的能力
• 确定风险削减和控制的策略、目标和优先顺序
• 推荐风险削减对策以供实施

方法

• NIST SP800-30 SP800-66
  • 定性RA方法，关注IT风险
  • 1、系统分类；2、弱点识别；3、威胁识别；4、对策识别；5、可能性评估；6、影响评估；7、风险评估；8、新对策推荐；9、文件报告
• OCTAVE
  • 一种基于信息资产风险的自主式信息安全风险评估规范，强调以资产为驱动，由3个阶段、8个过程构成
  • OCTAVE方法在全组织范围内部署风险管理程序并与安全计划集成
• CRAMM
  • 基本过程：资产识别和评价；威胁和弱点评估；对策选择和建议
• FRAP
  • 经过预先筛选，只关注那些的确需要评估以降低成本和时间的系统
  • 预算有限的情况
• STA
  • 创建一个系统可能面临的所有威胁的树，树枝可以代表诸如网络威胁、物理威胁、组件失效等类别，进行RA时，需要剪除不用的树枝
• FEMA
  • 源自于硬件分析。考察每个部件或模块的潜在失效，并考察失效影响
• AS/NZS 4360
  • 不是专门为信息安全设计

定量风险评估

• 定量风险分析会尝试为风险分析过程的所有元素都赋予具体的和有意义的数字
• 防护措施的成本、资产价值、业务影响、威胁帧率、防护措施的有效性、漏洞利用的可能性等每个元素都被量化，最后计算出的总风险和剩余风险。
• 定量分析步骤
  • 为资产赋予价值
  • 估计每种威胁的潜在损失
    • 评估威胁和弱点，评价特定威胁作用于特定资产所造成的映像，即EF（0-100%）
  • 执行威胁分析
    • 计算年度发生比率（ARO）
  • 针对每种资产和威胁计算的单一损失期望
    • SLE（单一损失期望）=asset value（资产价值）X EF（暴露因子）
  • 计算每种威胁的潜在年度损失
    • ALE（年度损失期望）=SLE（单一损失期望）X 年度发生比率（ARO）

定性风险评估

• 考虑各种风险可能发生的场景，并给予不同的观点对各种威胁的严重程度和各种对策的有效性进行等级排列
• 定性分析技术
  • 判断、最佳实现、直觉和经验
• 收集数据的定性分析技术
  • 群体决策方法，delphi
  • 调查问卷
  • 检查
  • 访谈
• 评估的过程
  • 识别信息资产
    • 识别每项资产的拥有者、保管者和使用者
    • 建立资产清单，根据业务流程来识别信息资产
    • 信息资产存在的形式
      • 电子数据：数据库和数据文件、用户手册
      • 书面合同：合同，策略方针，归档文件，重要商业结果
      • 软件资产：应用软件，系统软件，开发工具，软件程序
      • 失误资产：磁介质、电源和空调，网络基础设施、服务器等
      • 人员：承担特定职能和责任的人员或角色
      • 服务：计算和通信服务、外包服务，其他技术性服务
      • 组织形象与声誉：无形资产
  • 评价信息资产
    • 评价因素
      • 受损后造成的直接损失
      • 资产恢复需要的代价，包括检测、控制、修复的人力和物力
      • 组织公众形象和名誉的损失，竞争优势损失
      • 其他损失，如保险费用的增加
    • 根据重要性（影响或后果）来划分资产等级，同时考虑保密性、完整性和可用性的受损可能引发的后果
  • 识别和评价威胁
    • 一项资产可能面临多个威胁，一个威胁也可能对多个资产造成音响
    • 识别威胁源
      • 人员威胁
      • 系统威胁
      • 环境威胁
      • 自然威胁
    • 评估威胁可能性是考虑威胁源的动机和能力因素
    • 威胁建模
      • 威胁建模是一种结构化的方法，对最可能影响系统的威胁进行系统的识别和评价
      • 设想威胁如何能够完成攻击目的，然后提出对策来组织这类攻击行为
  • 识别和评估弱点
    • 针对每个资产可能被利用的弱点
      • 技术性弱点
      • 操作弱点
      • 管理型弱点
    • 识别途径
      • 审计报告、安全检查报告、系统测试和评估报告
      • 自动化漏洞扫描工具和渗透测试
  • 风险评价
    • 关键指标
      • 风险影响 risk impact
      • 风险可能性 probability
  • 现有控制措施的考虑
    • 从针对性和实施方式来看
      • 管理型
        • 安全策略、风险管理程序
      • 技术性
        • 包括操作性和技术性措施
        • 逻辑访问控制、日至审计、加密、身份识别、物理和环境安全策略等
      • 物理上
        • 基础环境控制、视频监控、CCTV等
    • 从功能上看
      • 威慑性
      • 预防性
      • 检测性
      • 纠正性
  • 风险处置策略
    • 风险处置方法
      • 减低风险
        • 减少威胁：实施恶意代码控制措施
        • 减少弱点：通过安全意识培训，强化安全操作能力
        • 降低影响：灾难恢复计划和业务连续性计划，做好备份
      • 规避风险
      • 转移风险
      • 接收风险
    • 风险控制措施选择对策
      • 成本效益分析
        • 基本原则：实施安全措施的代价不应该大于所要保护资产的价值
        • 对策成本：购买覅用，对业务效率的音响，额外人力物力，培训费用，维护成本费用等
        • 控制价值=实施控制之前的ALE-控制的年成本-控制后的ALE
      • 约束条件
        • 世界约束，技术约束，环境约束
        • 法律约束，社会约束
      • 防护措施基本功能和有效性
  • 评价残留风险
    • 实施安全控制后的残留或残存的风险

定性和定量方法对比

• 定性方法及结果相对主观
• 定性方法无法为成本/效益分析建立货币价值
• 定量方法需要大量的计算，实施比较困难

信息分类和分级管理

目的

• 说明需要为每种数据集设定的机密性、完整性和可用性保护等级
• 根据信息敏感程度，公司采取不同的安全控制措施，确保信息收到适当的保护，指明安全保护的有限顺序（同时避免过度保护）

商业公司

• 公开
• 敏感
• 隐私
• 机密

军事机构

• 未分类
• 敏感但未分类
• 秘密
• 机密
• 绝密

法律、道德、法规

计算机犯罪

计算机犯罪特点

• 调查取证比较困难，证据容易遭到破坏
• 相关法律不完善
• 跨地域特诊
• 从统计来看，内部人员实施犯罪几率比较高
• 受害机构有时不报告，担心影响机构的正常运作和损害用户对机构的信任

计算机犯罪类型

• 计算机辅助犯罪
  • 使用计算机作为工具来帮助实施犯罪；计算机在犯罪中非必要因素，只是作为工具协助犯罪分子。
  • 示例
    • 攻击金融系统，盗窃资金与敏感信息
    • 通过攻击军事系统获取军事和情报材料
    • 通过攻击竞争对手，从事工业间谍活动，收集机密的商业数据
    • 通过攻击国家基础设施系统来开展信息战
    • 通过攻击政府或公司的系统和修改网站来抗议的行为
• 以计算机为目的犯罪
  • 针对计算机、网络以及这些系统中所存储的信息的犯罪
  • 示例
    • 拒绝服务攻击
    • 嗅探或捕获密码或其他敏感数据
    • 安装恶意软件造成破坏
    • 安装rootkit和嗅探器达到恶意目的
    • 实施缓冲区溢出攻击
• 计算机牵扯性犯罪
  • 计算机不一定是攻击者或被攻击者，只是在攻击的发生时碰巧牵涉其中
  • 示例：犯罪分子的客户列表

计算机相关法律

相关国际协助法律

• 欧洲理事会网络犯罪公约
• 经济合作和发展组织指导原则和跨国信息流指导规则
• 欧盟隐私原则
• 安全港隐私原则（被废止）

进出口相关法律要求

• 美国：国际武器贸易条例法案、出口管理条例法案
• 国际：瓦森纳协定

法律体系

• 普通法系
  • 民法
  • 刑法
  • 行政法
• 大陆法系
• 习惯性法体系
• 宗教法律体系
• 混合法律体系

知识产权法

• 商业秘密
  • 与公司的竞争或市场能力至关重要
  • 不是众所周知的，公司付出了相关资源和努力开发的
  • 收到公司适当保护以防止泄露或非法使用
  • 示例
    • 产品配方
    • 程序源代码
    • 加密算法
• 著作权
  • 对作品的公开发表、复制、展示和修改的法律保护的权利
  • 并不保护作品的创意，保护创意的表现形式
  • 示例
    • 程序代码，源代码，可执行文件，甚至是用户界面
    • 文学作品
    • 绘画
    • 歌曲旋律
• 商标
  • 他保护代表公司形象的名词、名称、符号、形状、声音、颜色
  • 商标通常在商标注册机构进行注册
  • 商标是公司在市场运作过程中建立起来的质量和信誉标志
• 专利
  • 对专利注册人或公司专利拥有权的法律认可，禁止他人或公司未经授权使用
  • 专利有效期20年
  • 示例：
    • 药瓶配方
    • 加密算法

软件盗版

• 免费软件
• 共享软件
• 开源软件
• 商业软件

隐私

处理目标

• 主动寻求保护公民的个人可标识信息（PII）
• 在政府和业务的需求与安全问题而考虑手机和使用PII之间，主动寻求平衡

个人隐私

• 类型
  • 独处权利
  • 免受对个人不合理权利
  • 决定何种个人信息可以被传播以及传播给何人的权利
• 注意的问题
  • 防止不合理侵权，底线是知情同意，采取适当的保护措施
  • 防止缺乏适当的方法，底线是“公平公正”，有纠错机制

个人信息使用原则

• 个人数据控制者的义务
  • 收集个人数据需要征得数据主体的同意并告知用途
  • 只收集与用户有关的数据，只在用途所需期限内使用和保存
  • 数据收集的方法数据的用户迎合法律
  • 采取合理措施、技术、管理和操作措施，方式个人信息遭到恶意侵犯，保证数据的完整性和保密性，并清除过时数据，防止无用途和相关工作需要的人访问
• 个人数据主体的义务和权利
  • 查看所收集的信息，更正所收集的信息

相关法律、法规

• 萨班斯法案，SOX （约束美国上市公司的）
• 健康保险便利及责任法案，HIPPA（医疗行业）
  • Equipment Replacement 2012
  • Core Business XXX System Replacement 2012
  • Telephone System Upgrade 2012
• Gramm-Leach-Bliley法案 （现代金融法案）
• 计算机欺诈与滥用法案
• 联邦隐私法案
• 巴塞尔II
• 支付卡行业数据安全标准
• 联邦信息安全法案
• 经济间谍法案

员工隐私问题

数据泄密

• 每一个安全事件之后都应该调查有没有数据泄露情况

道德规范

ISC2道德规范

• 体面、诚实、公正、负责并合法地行事，保护社会。
• 勤奋工作，称职植物，推进安全事业。
• 鼓励研究的发展-教育、指导，并实现证书的价值。
• 防止不必要的恐惧或怀疑，不同意任何不良行为。
• 防止不安全行为，保护并加强公共基础设施的完整性。
• 遵循所有明确或隐含的合同，并给出谨慎的建议。
• 避免任何利益冲突，尊重并信任其他人向您提出的问题，并只承担哪些您完全有能力执行的工作。
• 保持在技术前沿，并且不参与任何可能伤害其他安全从业人员声誉的行为。

计算机道德协会

• 不得使用计算机伤害其他人
• 不得干预其他人的计算机工作
• 不得窥探其他人的计算机文件
• 不得使用计算机进行盗窃
• 不得使用计算机提交伪证
• 不得复制或使用未付款的专利软件
• 在未授权或未提交适当赔偿的前提下，不得使用其他人的计算机资源
• 不得盗用其他人的知识成果
• 应当考虑您所编写的程序或正在设计的系统的社会后果
• 在使用计算机时，应该考虑尊重人类

Internet体系结构研究委员会（IAB）

• IAB认为下列行为是不道德和不可接受的：
  • 故意寻求访问未授权的Internet资源
  • 破坏internet的使用
  • 通过有目的的行为浪费资源（人、容量和计算机）
  • 破坏计算机信息的完整性
  • 危害其他人的隐私安全
  • 在进行Internet范围的实现时出现过失

计算机犯罪谬论

BCP&DRP需求

BCP&DRP概述

什么是灾难

• 突发的，导致重大损失的不幸意外事件
• 包括
  • 自然灾害：地震洪水，自然火灾，火山爆发，强对流天气
  • 系统/技术的：硬件、软件中断，系统/编程错误
  • 供应系统、通讯终端，配电系统故障，管道破裂
  • 人为的：爆炸、火灾、故意破坏、化学污染、有害代码
  • 政治的：恐怖活动，骚乱、罢工
• 组织的灾难
  • 对于机构来说，任何导致关键业务功能在一定时间内无法尽心的事件都被视为灾难
  • 特点：
    • 计划之外的服务中断
    • 长时间的服务中断
    • 中断无法通过正常的问题管理规程得到解决
    • 中断造成重大的损失
  • 两个要素
    • 中断所影响的业务功能的关键程度
    • 中断的时间长度

灾难恢复计划DRP

• 灾难恢复目标
  • 降低灾难或业务中断的映像
  • 采取必要的步骤保证资源、人员和业务流程尽快恢复运作
• 往往更加关注IT层面

业务连续性计划BCP

• 业务连续性目标
  • 保障组织面对各种状况时依然保持业务的运营
  • 从更加长远的角度来解决问题，主要为长期停产和灾难事件提供方法和措施
• 内容
  • 出现经济情况时和适当的应对措施
  • 保护生命和确保安全
  • 减少对业务的影响
  • 恢复关键业务功能
  • 在灾难时减少混乱
  • 确保企业的生存能力
  • 在灾难发生后迅速“启动并运行”
• BCP应该与机构的业务目标保持一致，是整体决策的一部分
• 规模较小的机构，可以是机构安全计划的一部分。在大型机构安全计划中可能会包含BCP的概要，详细内容包含在专门的文档中记录
• BCP一般包含DRP

标准和最佳实践

• NIST SP800-34
  • 制定连续性规划策略
  • 执行业务影响分析（Business impact analysis，BIA）
  • 确定预防性控制办法
  • 制定恢复战略
  • 制定BCP
  • 测试和演练BCP
  • 维护业务连续性计划
• BS25999
• ISO27031
• ISO22301
• 业务连续性协会的优秀实践指南
• DRI国际协会的业务连续性规划人员专业实践

BCP项目规划

BCP项目启动前准备活动

• 确定BCP需求，可以包括有针对性的风险分析以识别关键系统可能的中断
• 了解相关法律、法规、行业规范以及机构的业务合计数规划的要求，以确保BCP与其一致
• 任命BCP项目负责人，建立BCP团队，包括业务和技术部门的代表
• 制定项目管理计划书，其中应明确项目范围、目标、方法、责任、任务以及进度
• 召开项目启动会，获得管理层支持
• 确定收集数据所需的自动化工具
• 设置必要的技能培训和意识提升活动

BCP项目负责人

• 业务联系性协调人作为BCP项目负责人全面负责项目的规划、准备、培训等各项工作
• 工作任务
  • 计划开发团队与管理层的沟通和联络
  • 有权与计划相关所有人进行直接接触和沟通
  • 充分了解业务中断对机构业务的映像
  • 熟悉机构的需求和运作，有能力平衡机构相关部门的不同需求
  • 比较容易接触到高级管理层
  • 了解机构业务方向和高管理层的意图
  • 有能力影响高级管理层的决策

BCP项目的关键角色

• 恢复团队，灾难后进行评估、恢复、复原等相关工作的多个团队
• 业务部门代表，识别机构的关键业务功能，协助恢复策略的选择和制定
• IT部门
• 通信部门
• 信息安全部门
• 法律代表

项目范围

• 关注点
• 组织的需求

BCP策略

• BCP规划最终应该形成业务连续性策略条框，该条款记录BCP的
  • 目标、范围、需求
  • 基本原则和指导方针
  • 职责和责任
  • 关键环节的基本要求
• 策略条款应得到高级管理层的正式批转，并公布成为机构的政策，指导业务连续性的相关工作

业务影响分析（重点）

业务影响分析概述

• 识别可能在灾难中造成重大损失或运营中断的区域
• BIA分析方法
  • 定性分析以划分严重程度的方式得出灾难或中断事件造成的影响
  • 定量分析以货币的方式得出灾难或中断事件造成的影响

BIA的目的

• 协助管理层了解潜在的中断影响
• 识别关键业务功能以及支持这些功能的IT资源
• 协助管理人员识别机构功能支持方面的不足
• 排定IT资源的恢复顺序
  • 分析中断的影响
    • 收入的损失
    • 延迟收入的损失
    • 生产力的损失
    • 运营成本的增加
    • 声誉和公众信任的损失
    • 竞争力的损失
    • 违约责任
    • 违背法律法规
  • 确定每项业务功能的恢复窗口

BIA的过程

• 确定信息收集技术
• 选择受访者
• 识别关键业务功能及其支持资源
• 确定如果失去这些资源的支持这些功能能存活多久
• 和别弱点和威胁
• 计算每个业务功能的风险
• 准备提交BIA报告
  • 存在的问题
  • 应对建议

BIA的信息分析

• 整理 Organize、归纳 Correlate、分析 Analyses、确认 Confirm
  • 定性和定量的自动化工具辅助进行信息的整理和分析
  • 业务的代表检查和确认信息分析的结果

确定重大允许中断时间MTD

• 业务影响分析得到核心任务是确定关键业务功能及其支持资源的最大允许中断时间MTDs
• 支持多个业务功能的资源及关键程度较高
• 中断时间超高最大允许中断时间将造成业务难以恢复，越是关键的功能或资源，MTD应该越短
  • 关键：1小时内
  • 紧急：24小时
  • 重要：72小时
  • 一般：7天
  • 非必要：30天
• 根据MTDs排定关键业务功能及其支持资源的恢复顺序

支持资源的确定

• 确定关键功能的所有支持资源（包括非计算机济源）、资源的使用时间短、缺少该资源对功能的影响以及资源之间的相互依赖
• 资源包括
  • 人力资源（human resources）：操作员、专家、系统用户等
  • 处理能力(Processing capability)：数据中心、备用数据中心、网络、小型机、工作站、个人计算机等
  • 物理基础设施(Physical infrastructure)：办公室、家具、环境控制、电力、上下水、物流服务等
  • 基于计算机的服务(Computer-bases services)：语音和数据通信服务、数据库服务、公告服务等
  • 应用和数据(Application and data)：计算机设备上运行的各种程序和存储的数据
  • 文档和票据(Documents and papers)：合同票据操作程序等文档文件和资料

灾难恢复的度量

• 工作复原时间（Work Recovery Time）WTR
  • 工作复原时间相对固定
• 恢复时间目标 (Recovery Time Object)RTO
  • 在系统的不可用性严重影响到机构之前所允许消耗的最长时间（多久恢复）
• 恢复点目标 (Recovery Point Objectives)RPO
  • 数据必须被恢复以便进行处理的点，也就是所允许的最大数据损失量（多远回复）
• MTD≥WRT+RTO

职责

管理层

BCP团队