iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 6
0
Security

CISSP 快速入門系列 第 6

[Day06]存取權限

「是有錢的沒技術的公司比較安全還是有技術沒錢的公司比較安全?」

我們小組的答案是,有錢的就是大爺,沒技術的可以外包啊。
好矛盾欸,在 CISSP 守則的第四條,物盡其用,能用技術解的就不要買啊。

幫老闆節省荷包是一件非常重要的事情。

雖然,他不一定會感謝你。

不過,如果你傷害老闆的荷包。

他可能會傷害你。

為了不被老闆傷害…
我們就從存取控管(Access Control)開始!

對人的政策(Personal Issues)

Domain 7.Security Operation (273)

  • 職務分離(Separation of duties)
    預防性控制,管錢不管帳,管帳不管錢,職責分離,防止舞弊。
    想想運鈔車,絕對不會只有一個人開車… 車開了就跑路了怎麼辦 XDDDD

  • 職務輪調(Job Rotation)
    偵測性控制,防止舞弊或避免異常交易,並且有機會透過不同角色改善流程。

  • 強制休假(Manadatory Vacations)
    偵測性控制,目的是稽核,識別詐欺活動。

  • 最小權限(Least privilege)
    預防性控制,不是人人權限都開 administrator,僅開放該職務的功能,

  • 僅知原則(Need To Know)
    預防性控制,不是你能知道的,不會讓你知道。

訪問控制模型的過程可以由三個通用訪問框架定義:

自由訪問控制(DAC)

Discretionary Access Control
透過訪問控制矩陣和對象級權限模式對對象進行細粒度的訪問控制。

  • 訪問控制矩陣模型(Access Control Matrix model):標識的主題和對象,並且指定了應用於每個主題/對象組合的權限。這種模型可用於快速總結主體對各種系統對象的權限。

強制訪問控制(MAC)

Mandatory Access Control
透過為對象和主體分配安全級別來控制資訊洩露、限制跨安全級別的訪問,以及將所有分類和訪問控制合併到系統中。

格子模型(Lattice model):有成對的元素限制最小的值上限和最大的下限值

非自主訪問控制(NDAC)

Non Discretionary Access Control
= 基於角色的訪問控制(Role-based access control)

適合高流動率(High Employee Turnover)組織企業,因為是依角色可以訪問資源可以由資料所有者控制。
訪問控制決策基於作業功能,先前由策略定義和管理,每個角色(作業功能)將具有自己的訪問功能,與角色關聯的對象將繼承分配給該角色的權限。
對於用戶組也是如此,允許管理員通過將用戶分配到組和組到角色來簡化訪問控制策略。

對物的政策

  • 主體界定
    是母公司、子公司、還是單一部門?

  • 資產分級
    依現有資訊資產做分級,是重要的客戶交易資料還是只是廠商僅供參考的報價資料?
    針對越重要的項目設定更嚴密的保護措施。

  • 風險控管
    評估這些資產項目會遇到什麼樣的風險?
    該使用定性或定量去判定風險等級?

  • 訂定對策
    有什麼樣的防禦措施?
    以定性或是定量確認是否要有緊急應對措施。

  • 維護政策
    以適當的方式維護相關政策,可能改流程、花人力、花時間、技術解或可能直接外包了…

實作的部份,通常都會需要有部份營運成本…
若是老闆不簽字,那將會以全人工的方式維護、監控、預防…
或根本接受風險,畢竟不是所有人都會機會被隕石打中啊(?)

防範外洩,文件採紙本作業
話說,我真的遇過友善客戶開放機房自由行的…

  • 版控流程(Change Management Process)
    控管改善流程的記錄,以供後續稽核及管理人員參考。
    明天將這個部份再完整補上吧 XDDD

對事的政策

  • Acesss Control Monitoring
    • IDS (網路型 NIDS & 主機型 HIDS)

      • 已知特徵值(Signature based)
      • 以學習模式定義異常行為(Anomaly based)
      • 進階專家系統自行定義規則(Rule based)
    • Honeypot

    • Network snfiffer

= = = =.= = = =.= = = =.= = = =.= = = =

超級小氣的老公居然說鐵人賽沒寫完之前不能上床 QAQ
就先這樣後續再補完好了 QAQ


上一篇
[Day05]角色與職責
下一篇
[Day07]稽核篇
系列文
CISSP 快速入門32

尚未有邦友留言

立即登入留言