CISSP 学习笔记 第六章 数据安全
CISSP 学习笔记 第六章 数据安全
第六章 数据安全
数据是一种宝贵资产,其流传时间比信息系统更久远。一Tim Berners-Lee安全专家们保护数据的方式取决于数据所在位置及针对数据正在执行的操作(或针对数据已完成的操作)。另一部分涉及数据状态:数据只是存放在某个位置、在某个位置之间移动,还是正在积极地投入处理。数据状态决定了随着时间的推移,哪些安全控制措施依旧有效。6.1 数据安全控制措施
- 对所有级别的敏感数据和程序实施严格、精细的访问控制(Access Control)
- 信息流通道(敏感数据驻留在哪里以及如何在网络中传输)适当的处置措施,如粉碎、消磁等
6.1.1 数据状态
1.静止状态数据
术语“静止状态数据(Data at Rest,DaR)”指驻留在外部或辅助存储设备,如硬盘驱动器(Hard Disk Drive,HDD)、固态驱动器(Solid StateDrives,SSD)、光盘(CD/DVD)甚至磁带上的数据。在静止状态下保护数据的一个挑战是,数据容易受到那些试图通过用户的系统和网络访问数据的威胁行为方(ThreatActor)的攻击,而且数据对于任何可获得设备物理访问权限的人而言都是脆弱的。这种情况下,保护数据的解决方案既简单又无处不在:加密技术。2.移动状态数据
对于移动状态数据(无论是否在受保护的网络内),最佳的保护方法是使用强加密技术,如传输层安全性(TLSv1.2 或更高版本)或IPSec提供的加密。总的来说,TLS依赖于数字证书(在第8章中介绍)验证一个或两个终端的身份。依赖于用户来检测潜在冒名顶替者的单向身份验证可能存在问题。通常称此漏洞为中间人(Man-in-the-middle,MitM)攻击。攻击方拦截从客户端到服务器的请求并模拟服务器。保护移动状态数据的另一种方法是在关键节点之间采用可信通道。虚拟专用网络(VirtualPrivate Networks,VPN)经常用于在远程用户和企业资源之间提供安全连接。3.处理状态数据
处理状态数据(Data in Use,DiU)是驻留在主存储设备中的数据。这些主存储设备包括易失性内存(如RAM)、缓存或CPU寄存器等。某些情况下,存储在易失性内存中的任何数据都可能在易失性内存中持续很长时间(直到电源关闭)。各种独立研究人员已经证明了针对多个进程共享的内存的有效侧信道攻击。侧信道攻击利用密码系统泄露的信息。密码系统连接两个通道:明文通道和加密通道。一种侧信道是所有信息流,侧信道是信息流的电子副产品。如果用户尝试恢复用于加密数据的密钥,则可注意CPU消耗了多少电量,或者其他进程从内存读取和写入需要多长时间。研究人员已能采用这种方式从共享系统中恢复2048位密钥。2014年的心脏出血(Heartbleed)漏洞展示了如果不检查用户请求的边界,将导致一个进程的信息暴露给运行在同一系统上的其他进程。在这个漏洞中,主要问题是与服务器通信的进程都可从服务器请求任意长度的“心跳(Heartbeat)”消息。2018年曝光的Meltdown(熔毁)、Spectre(幽灵党)和BranchScope(分支范围)攻击表明,聪明的攻击方可利用大多数现代CPU的硬件特性。Meltdown会影响Intel和ARM微处理器,其工作原理是利用内存映射发生的方式。由于缓存内存比主内存快得多,大多数现代CPU都包含在更快的缓存中保存常用数据的方法。另一方面,Spectre和BranchScope利用了一种称为推测执行(Speculative Execution)的特性,这意味着根据当前可用的数据猜测未来的指令来提高进程的性能。这三种攻击都采用侧信道攻击(Side-channel Attack)来追踪处理状态数据。目前还无法保护处理状态数据,理想情况下,可在数据加载到CPU以及离开存储器的时候实施加密,从而保护处理状态的数据。这种方法意味着即使在内存中也会加密数据,但这是一种昂贵的方法,需要加密协同处理器(Co-processor)。如果组织使用的系统的安全性要求极高,但系统位于敌方攻击的位置,如自动取款机(Automated Teller Machines,ATM)和军事武器系统,则可能遇到这种情况。一种有前景,且还没有完全步入黄金时段的方法,称为同态加密(HomomorphicEncryption)。同态加密是一系列加密算法,允许针对加密数据执行某些操作。6.1.2 安全标准
安全标准(Standard)是组织内正式记录并实施的强制性活动、操作或规则。安全标准要求将数据分类分级方案与安全控制措施结合起来。范围界定(Scoping)是采用更广泛的标准并修剪掉不相关或其他不需要部分的流程。定制(Tailoring)指安全专家更改特定条款,以便更好地满足要求。6.2 数据保护措施
与数字资产相关的操作控制措施有多种风格。第一种是防止未经授权的访问(保护机密性)的控制措施。这些控制措施可以是物理性的、管理性的和技术性的。并非所有数据清洗(Data Clear)/数据清除(Data Purge)方法都适用于所有存储介质。例如,光学介质不易消磁,且在覆写固态设备时可能无效。决定数据擦除的必要方法(和成本)的指导原则是:确保敌人恢复数据的成本超过数据的价值。消磁设备会产生强磁场,将存储介质的磁感应强度降到零。这种强磁力擦除了介质上的数据,磁性介质以原子极化的方式保存数据。消磁(Degauss)通过使用一个强磁体改变这种极性,使极性恢复到最初的磁感应(磁性对准,Magnetic Alignment)6.2.1 数字资产管理
数字资产管理(Digital Asset Management)是组织确保其数字资产得到正确存储、良好保护且易于授权用户访问的流程。- 跟踪每个数字资产在特定时刻由谁保管(审计日志记录)。
- 有效实施访问控制措施。访问控制措施将包括物理的(锁定的门、抽屉、橱柜和保险箱)、技术的(检索库中信息内容的任何自动化系统的访问和授权控制)和管理的(谁应该对每条信息做什么的实际规则)。
6.2.2 数字版权管理
数字版权管理(Digital RightsManagement,DRM)是一组技术,用于控制对受版权保护的数据的访问。例如,当用户购买Office 365的软件即服务(Software as aService,SaaS)许可证时,Microsoft使用标准用户身份验证和自动技术确保用户仅安装和运行允许数量的软件副本。DRM技术还用于保护文档。Adobe、Amazon和Apple都有方法限制用户下载和阅读的电子书(E-book)的副本数量。DRM的另一种方法是使用数字水印,将水印嵌入文件中,可记录文件所有方、受许可人(用户)和购买日期等详细信息。虽然水印不会阻止某人非法复制和分发文件,但可帮助所有方跟踪、识别和起诉肇事者。实现水印的示例技术称为隐写术(Steganography)。隐写术是一种将数据隐藏在另一种介质类型中的方法,因此数据的存在是隐藏的。- 载波(Carrier) 一种保护隐藏信息(有效负载)的信号、数据流或文件
将消息嵌入某些类型的介质中的一种方法是使用最低有效位(Least Significant Bit,LSB)。在LSB方法中,具有高分辨率的图形或具有多种不同类型声音(高比特率)的音频文件对于隐藏信息最成功。6.2.3 数据防泄露
数据防泄漏(Data Leak Prevention,DLP)是组织为防止未授权的外部访问敏感数据而采取的安全控制措施。1.通用数据防泄漏实施方案
- 数据保护战略(Data Protection Strategy)
在制定数据保护策略时,以下是需要考虑的一些关键领域。- 备份和恢复(Backupand Recovery)
- 组织变革(Organizational Change)
- 实施、测试和调优(Implementation, Testing, and Tuning)
假设组织已经完成了行政管理方面的措施,且对真实的数据防泄露需求有了充分的理解,那么组织可基于自己的标准评估产品。以下是大多数组织在制定数据防泄露方案并比较同类竞争产品时希望考虑的事项:- 敏感数据意识(SensitiveData Awareness)查找和跟踪敏感数据的典型方法包括关键字、正则表达式、标签和统计方法。
- 策略引擎(Policy Engine)策略是任何数据防泄露方案的核心。
- 互操作性(Interoperability)数据防泄露工具应很好地与现有基础架构整合,这就是大多数供应商向组织保证其产品可互操作的原因。
一旦组织选定了数据防泄露方案,接下来的任务就是集成、测试和调优。测试任何数据防泄露时最关键的因素是验证DLP是否只允许授权的数据处理,并确保DLP可防止未经授权的数据处理。2.网络数据防泄露
网络数据防泄露(Network DLP,NDLP)将数据保护策略用于移动状态的数据。NDLP产品通常部署在组织的网络边界,还可部署在内部子网的边界,并可作为模块部署在模块化的安全设备中。在实际中,NDLP设备的高成本导致大多数组织将其部署在流量进出点而不是整个网络中,因此NDLP设备无法检测未安装设备的网段。NDLP方案的主要缺点是无法保护不在组织网络上的设备上的数据。移动设备用户面临的风险最大,因为移动设备用户一旦离开办公场所就很容易受到攻击。3.终端数据防泄露
终端数据防泄露(Endpoint DLP,EDLP)将保护策略用于静止状态数据和处理状态数据。EDLP通过部署在每个受保护终端节点上的软件实现。该软件通常称为数据防泄露代理(DLPAgent),DLP代理(DLPAgent)与数据防泄露策略服务器通信以更新策略并报告事件。EDLP实现对特定目标的保护,这通常是NDLP无法实现的。因为在创建数据时,EDLP就可及时发现风险。即使是静止状态数据,EDLP也会在设备上加密数据,在需要使用数据时解密数据,从而实现EDLP检查和持续监测。EDLP的主要缺点是过于复杂。与NDLP相比,EDLP方案需要在组织中配置更多接入点,每个接入点都可能具有唯一的配置、执行方式或身份验证方式。最后,由于纯EDLP方案没有保护移动状态数据的策略,因此攻击方可规避这些策略(如通过恶意软件禁用代理来规避)并使组织无法察觉数据泄露事件。4.混合数据防泄露
另一种数据防泄露方案是在整个企业中同时部署NDLP和EDLP方案。显然,这是成本最高且最复杂的方案。但对于能负担得起的组织而言,混合DLP提供了最佳的风险控制措施。6.2.4 云访问安全代理
云访问安全代理(Cloud Access SecurityBroker,CASB)是为云服务提供可见性和安全控制措施的系统。CASB监测用户在云中的操作,并采取适用于该活动的策略和控制措施。大多数CASB通过利用以下两种技术之一完成其工作:代理或应用程序编程接口(Application Programming Interfaces,API)。代理技术将CASB放置在终端和云服务提供商之间的数据路径中,该设备自动检测用户对云服务的连接请求,拦截该用户连接,并创建到服务提供商的隧道。通过这种方式,所有到云的流量都通过CASB路由,以便检查并采取适当的控制措施。实现CASB的另一种方法是利用服务提供商公开的API,API是一种让一个软件系统直接访问另一个软件系统功能的方法。这些API由供应商自行更新,确保了CASB不会在新功能出现时破坏任何东西。6.3本章回顾
与保护大多数其他资产类型相比,保护数据资产的前景更加充满变化且困难。造成这种状况的主要原因是数据流动性强。数据可存储在意想不到的地方,同时流向多个方向(并流向多个接收方),最终以意想不到的方式使用。数据保护战略应考虑到数据可能处于的各种状态。对于每个状态,安全控制措施必须缓解多种独特的威胁。安全专家特别注明了三种保护数据的方法,用户应该记住这些方法,以便参加考试和工作:数字版权管理(DRM)、数据防丢失/防泄露(DLP)和云访问安全代理(CASB)。6.5 问题
6.以下哪项不是数字资产管理任务?
A.跟踪备份版本的数量和位置
B.确定数据资产的分类分级
C.记录变更历史
D.开展安全处置活动
B(数据资产的分类分级在开始管理前由资产所有方确定。)
本文来自网友投稿或网络内容,如有侵犯您的权益请联系我们删除,联系邮箱:wyl860211@qq.com 。
