表1 - 2 政府和军事数据分类示例 |
|
数据分类 |
描述 |
未分类 |
很少或没有隐私要求的数据 |
敏感但非机密(SBU) |
可能导致尴尬但不会构成安全威胁的数据 |
机密的 |
如果向未经授权的党披露,则具有合理造成损坏的数据 |
秘密 |
如披露给未获授权人士,则有合理可能性造成严重损害的资料 |
绝密 |
如果向未经授权的派对披露,则具有合理概率的数据 |
请注意 在美国,第12958号行政命令(可在http://www.whitehouse.gov/news/releases/2003/03/20030325-11.html)规定,美国政府应将机密信息分为三级:(1)机密,(2)机密,(3)绝密。
组织分类模型
表1-3提供了组织数据分类模型的示例。
表1 - 3 组织数据分类示例 |
|
数据分类 |
描述 |
公共 |
向公众提供的资料(例如通过销售材料) |
敏感的 |
可能导致尴尬但不会构成安全威胁的数据 |
私人的 |
应保密的组织信息,其准确性应保持 |
机密的 |
应优质地保护的敏感组织信息(例如,员工记录) |
数据分类特征
表1-4提供了一些数据分类的特征。
表1-4 数据分类特征 |
|
特征 |
描述 |
价值 |
数据对组织有多大价值 |
年龄 |
这些数据多旧啊 |
使用寿命 |
数据将被视为相关的时间 |
个人协会 |
这些数据是多么私人啊 |
在确定分类方法时,定义需要多少分类级别。过多的分类级别可能难以管理,而太少的分类级别则缺乏对广泛的数据进行分类所需的粒度。作为记录分类方法的一部分,您还应该指出谁负责使用您定义的安全级别保护分类的数据。
请注意 有些情况下需要公开机密资料。这些场合包括需要遵守法院命令,与某些政府机构合作,以及高级管理层下令发布信息。
分类角色
组织中的不同成员必须承担不同的角色,以确保对机密数据的适当保护。这些角色的例子包括:
老板
最初确定分类级别
例行审查文件化的数据分类程序
赋予保管人保护数据的责任
保管人
保持最新的机密数据备份
验证备份的完整性
根据需要从备份中还原数据
遵循政策指导方针,维护具体数据
用户
根据建立的安全策略访问和使用数据
采取合理的措施来保护他或她可以访问的数据
仅使用数据仅用于组织目的
在安全解决方案中控制
正如刚才提到的,实际保护数据的工作是由托管人.但是,如果仅仅通过技术手段来实施安全,结果将不会非常有效。具体来说,由于源自网络内部的大多数攻击都不是技术性攻击,因此需要采用非技术性的缓解策略来挫败它们。思科定义了包含在一个更全面的安全解决方案中的三种安全控制:
行政控制主要是以政策为中心。例子包括以下内容:
常规安全意识培训计划
定义清晰的安全策略
变更管理系统,将系统变更通知相关方
日志配置更改
妥善筛选潜在员工(例如,执行犯罪背景检查)
物理控制有助于保护数据的环境,并防止潜在的攻击者随时对数据进行物理访问。物理控制的例子是
监控入侵者的安全系统
物理安全屏障(例如,上锁的门)
气候保护系统,以保持适当的温度和湿度,并在发生火灾时提醒人员
保安人员来保护数据
技术控制使用各种硬件和软件技术来保护数据。技术控制的示例包括以下内容:
安全设备(例如,防火墙,IPS和VPN终止设备)
授权应用(例如RADIUS或TACACS+服务器、一次性密码(OTP)、生物识别安全扫描仪)
请注意 由于本书关注的是基于思科的安全解决方案,因此所提出的大多数缓解策略都使用了技术控制。
个人行政,物理和技术控制可以进一步归类为以下控制类型之一:
预防:预防性控制试图阻止对数据或系统的访问。
威慑:威慑控制通过影响潜在的攻击者不发动攻击来防止安全事件。
侦探:检测控件可以检测何时发生对数据或系统的访问。
有趣的是,每一类控制(管理、物理和技术)都包含这些类型控制(预防、威慑和侦查)的组件。例如,一个特定的检测控件可以是以下情况之一:
一个管理控制,例如安全策略所需的日志簿条目
一种物理控制,如当某一扇门被打开时发出的警报
一种技术控制,如生成警报的IPS设备
回应安全事件
许多威慑控制系统可能会显示这样的警告:“违规者将受到法律最大限度的起诉。”然而,为了成功地起诉攻击者,诉讼律师通常需要以下要素来提出有效的论点:
动机:动机描述为什么袭击者实施了这一行为。例如,他是一个心怀不满的员工吗?此外,在调查过程中确定潜在动机是很有价值的。具体来说,调查可能会从那些有动机实施袭击的人开始。
意味着在所有保护数据或计算机系统的安全控制措施到位后,你需要确定被告是否拥有意味着(例如技术技能)进行攻击。
机会:被告是否有机会要实施攻击,就要问被告是否可用进行攻击。例如,如果被告声称在袭击发生时正在看球赛,如果目击者能证实这一说法,那么被告确实实施袭击的可能性就会降低。
起诉计算机犯罪的另一个挑战来自数据的脆弱性。例如,可以很容易地更改文件上的时间戳而不被检测到。为了防止这种证据篡改,必须遵循严格的数据处理政策和程序。例如,在对计算机系统进行任何调查工作之前,策略可能要求对硬盘驱动器进行多份拷贝。一个或多个主副本可能会被锁起来,副本也可能会交给辩方和控方进行调查。
此外,在发生安全事故后,为了验证数据的完整性,您应该能够显示链的监护权.由于安全漏洞发生,持有数据的拘留文件(即证据)。
法律与伦理分歧
一些企业必须遵守严格的政府法规,以确保安全程序。因此,信息安全专业人员应该熟悉一些基本的法律概念。例如,大多数国家将法律分类为以下三种类型之一:
刑法适用于犯罪的罪行,可能导致某人被判有罪的罚款和/或监禁。
民法解决已经犯下的错误。然而,这些错误行为并不被视为犯罪。民事诉讼的一个例子可能涉及专利侵权。被发现违反民法的人的后果可能包括停止和停止非法活动和/或支付损害赔偿的命令。
行政法规通常涉及政府机构对法规的执行。例如,一个公司挪用退休基金可能会被发现违反了行政法。如果一方被发现违反了行政法,其后果通常是金钱,而金钱将在机构和受害者之间分配。
除了法律限制外,信息安全专业人员应受道德准则的约束。道德指南与某人的意图和行为更多地交易,而不是如何在技术上是合法的。
虽然道德问题似乎更难以定义,信息安全专业人员有几个正式的行为准则:
国际信息系统安全认证协会道德规范
计算机伦理学研究所
互联网活动委员会(IAB)
通用系统安全原则(GASSP)
要考虑的法律问题
作为对客户的网络连接提供者,服务提供商需要了解潜在的责任问题。例如,如果电子商务公司因服务提供商中断而损失一定程度的业务,则可以找到服务提供商责任并且必须支付损害。
此外,一些国家正在通过法律规定公司如何处理隐私问题。例如,美国的《个人数据风险通知法案》(Notification of Risk to Personal Data Act)要求,在州与州之间开展商业活动的公司和政府机构,如果个人数据被泄露给未获授权的人,必须向其发出警告。
美国法律法规
随着互联网上的恐怖主义活动水平增加以及世界公民的互联网连接百分比,政府被迫制定法规和立法涵盖信息安全。作为一些例子,美国政府创造了以下法规,涉及信息安全:
1999年的格雷姆-里奇-比利利法案(GLBA):废除了禁止银行、保险公司和证券公司合并和共享信息的反垄断法。
2000年健康保险流通与责任法案(HIPAA):提供保证机密患者信息的电子转移不如纸张的患者记录转移不那么安全。
2002年萨班斯-奥克斯利(SOX)法案:对公司会计丑闻作出回应,试图增加公众对会计和报告实践的信任。
《加密安全自由法案》:允许美国人民使用任何形式的加密。
计算机欺诈和滥用法案:制定以减少恶意计算黑客,通过提供拦截和阻碍恐怖主义所需的适当工具,以适应联合和加强美国的修正案。
1974年的隐私法案:保护个人的隐私,并要求他们为其提供的信息提供书面许可。
2002年联邦信息安全管理法(FISMA):要求对美国政府及其关联方的网络安全进行年度审计。
1996年经济间谍法:指出,滥用商业秘密是联邦犯罪。
国际管辖权问题
对检察信息安全犯罪的独特法律挑战涉及司法管辖区。例如,一个国家的攻击者可以在另一个国家/地区的另一个国家的计算机中发射攻击。实际上交叉的国际界限可能对诉讼人构成重大挑战。
幸运的是,各国政府开始在此类调查和起诉方面进行合作。例如,在国家之间共享执法信息的组织包括八国集团、国际刑警组织和欧盟。
了解网络攻击的方法
你可能已经注意到,到目前为止,这本书将计算机罪犯称为“攻击者”,而不是“黑客”。这个词是故意的,因为不是所有的黑客都有恶意,即使“黑客”一词通常带有负面含义。在本节中,您将进一步了解各种黑客的心态和特征。
此外,还将介绍攻击者用来渗透计算系统的各种方法。为了帮助减少此类攻击,思科推荐深度防御设计哲学(本节也将介绍),以及一系列用于防御网络的最佳实践。
漏洞
一个脆弱性在信息系统中,是攻击者可能利用的一个弱点,以获得对系统或其数据的未授权访问权。在某些情况下,在发现漏洞后,攻击者会编写一个程序来利用该漏洞。这种恶意程序被称为利用.
然而,即使系统存在漏洞,人们利用该漏洞造成破坏的可能性也是不同的。这种可能性被称为风险.例如,一个数据中心可能很容易发雷竞技电脑网站生火灾。但是,如果数据中心在另一个物理位雷竞技电脑网站置有先进的灭火系统和热备份,数据的风险是最小的。
当您制定解决漏洞的计划时,请考虑各种类型的漏洞。例如,考虑以下宽泛的漏洞类别: