一、背景描述
二、正文
三、应用在开发生命周期中
四、应用在漏洞运营中
五、应用在数据生命周期中
六、应用到安全理念中
一、背景描述
最近在准备CISSP的考试,在OSG的D2 资产安全里面有这么一句话感觉概括的挺好的(尽管我觉得里面所说的"后续操作都取决于分类"或许有些绝对)
资产安全领域的一个主要工作是根据信息对组织的价值进行分类。所有后续操作都取决于分类。例如,高度机密的数据需要严格的安全控制。相比之下,非机密数据使用较少的安全控制。
本文只是通过分享笔者此时片面的思考来引发大家的思考,抛砖引玉。
二、正文
数据分类的必要性不应该仅仅是局限于数据安全之中,而是于整个企业安全体系的建设中。
假设我们制定了一下数据分类标准(当然这只是我参考CISSP的书中编写的,在实际情况中应该需要更加具体,且应该有示例),然后对数据进行了分类。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3)未授权的泄漏会给公司财产、形象、名誉等带来严重损害
|
下面我们对分好类的数据根据不同的场景制定一些不同的安全需求。
三、应用在开发生命周期中
根据项目涉及的数据级别,设置项目对应的级别。如果一个项目涉及C2、C3级别的数据,那么这个项目便应该设置为C3级别。
1)C3、C4级的项目,需要安全人员做人工的白盒测试
1)C3、C4级的项目,需要安全人员做人工的黑盒测试
2)C3、C4级的项目,需要安全人员做隐私风险评估
1)C2、C3、C4级的项目,必需要接入到WAF中
四、应用在漏洞运营中
根据应用程序涉及的数据级别,设置应用程序对应的级别。如果一个应用程序涉及C2、C3级别的数据,那么这个应用程序便应该设置为C3级别。
当一个操作系统上面运行这C3级的应用程序,那么这个系统便应该设置C3级别。
2)C3级别的应用程序每个季度完成一轮内部安全测试
3)C3、C4级别的应用程序每个双季度完成一轮内部安全测试
1)C3、C4级别的应用程序每个双季度完成一轮外部的渗透测试
1)访问控制类的漏洞(像为未授权访问、水平越权、垂直越权),依据涉及的数据最高等级设置漏洞原始等级。
2)权限类的漏洞(像数据库权限、管理后台权限、操作系统权限),依据涉及的数据库、管理后台、操作系统的等级设置漏洞原始等级。
1)C3、C4级别的漏洞,应该通过分析代码/与研发沟确定原因,以举一反三。
五、应用在数据生命周期中
1)C4级的数据应该采用消磁、物理销毁这种可以完全销毁的方式
六、应用到安全理念中
1)C3、C4级别的数据应该至少有3个不同维度的控制措施(管理/技术/物理、预防/检测/纠正),且必需覆盖预防、检测、纠正三个类型。
假设我们将一电商应用用户的订单信息设置为C3级别,那么在应用后台做的控制措施可能有:
1.1)管理类预防型:在申请查看用户订单的权限时,需要采用这样的流程,申请者申请 -> 上级领导审批 -> 数据管理员审批 -> 分配权限;
1.2)技术类预防型:程序拥有良好的身份标识、身份验证、授权机制;
1.3)技术类检测型:员工在查看用户订单应该记录相关的日志(应该包括时间、主体、客体、事件、结果这几个维度,例如账户san.li查看了订单id是23的信息,请求成功);
1.4)技术类纠正型:使用完整备份组合增量备份或差分备份。
原文始发于微信公众号(楼兰学习网络安全):我对数据分类的必要性的思考
评论