風險分析包括那三個部分_風險分析的三個要素
本文摘自CISSP官方學習指南第八版
在安全環境下部署系統是一個良好開端。不過,讓系統保持相同的安全級別也非常重要。變更管理可減少因未經授權修改導致的意外中斷。
變更管理的主要目標是保證變更不會導致意外中斷。變更管理流程確保相應人員在變更實施前對變更進行審核和批準,確保有人對變更進行測試和記錄。
未經授權變更可能直接影響CIA三元組中的A,即可用性。變更管理流程使得各方IT專家有機會在技術人員實施更改前審查提出的更改,考慮變更可能帶來的意外副作用。在生產環境實施變更前,變更管理流程使管理員有時間在受控環境中檢查變更。
1.0 安全影響分析
變更管理流程幫助員工執行安全影響分析。在生產環境中實施變更之前,專家會評估變更,從而識別所有的安全影響。
變更管理控制提供一種流程,實現控制、記錄、跟蹤和審計所有系統變更。這涵蓋對系統任何方面的變更,包括硬件和軟件配置。組織需要在所有系統的生命周期中實施變更管理流程。
變更管理流程的常見步驟如下:
- 請求變更。
- 審核變更。 - 組織內專家會審核變更。
- 批準/拒絕變更
- 測試變更
- 安排并實施變更
- 記錄變更
可能存在需要實施緊急變更的情況。這種情況下,管理員仍需要記錄變更。這么做使確保變更審核委員可以審查變更,以便發現潛在問題。此外,記錄緊急變更可確保受影響的系統在需要重建時能夠包含新的配置。
在執行更改管理流程時,會為系統的所有變更創建文檔。
變更管理控制是ISO通用標準中一些安全保障要求(Security Assurance Requirement,SAR)的強制性內容。
2.0 版本控制
版本控制通常指軟件配置管理所使用的版本控制。
3.0 配置文檔
配置文檔明確了系統的當前配置。它明確了哪些人負責系統,明確了系統的目的,并列舉了基線之后的所有變更。
補丁管理和漏洞減少
補丁管理和漏洞管理過程協同工作,幫助保護組織防御新出現的威脅。
1.0 系統管理
補丁和漏洞管理不僅適用于工作站和服務器,也適用于運行操作系統的所有計算設備。諸如路由器、交換機、防火墻、打印機等網絡基礎設施設備。
2.0 補丁管理
補丁是糾正程序缺陷及漏洞或提高現有軟件性能的所有代碼類型的總稱。在安全方面,管理員主要關注修復系統漏洞的安全補丁。
有效的補丁管理程序可以確保系統的當前補丁更新至最新。有效的補丁管理計劃包含常見步驟:
- 評估補丁:當供應商公布或發布補丁時,管理員會對補丁進行評估,確定其是否適用于自己維護的系統。
- 測試補丁:管理員應盡可能在隔離的非生產系統上測試補丁,確定補丁是否導致任何不必要的副作用。最糟糕的情況是安裝補丁之后系統將無法再啟動。
- 審批補丁:管理員測試補丁,并確認補丁時安全的,接下來便批準補丁的部署。通常變更管理流程會作為審批流程的一部分。
- 部署補丁:經過測試和審批,管理員可以著手部署補丁。
- 驗證補丁已完成部署:部署補丁后,管理員會定期測試和審計系統,確保系統已保持更新狀態。
3.0 漏洞管理
漏洞管理是指定期識別漏洞、評估漏洞并采取措施減輕相關的風險。消除風險時不可能的。同樣,也不可能消滅所有漏洞。
- 漏洞掃描
漏洞掃描器時測試系統和網絡是否存在已知安全問題的軟件工具。
- 漏洞評估
漏洞評估通常包含漏洞掃描的結果,但漏洞評估會做更多工作。
漏洞評估通常作為風險分析或風險評估的一部分執行,識別系統再某個時間點的漏洞。
4.0 常見的漏洞和風險
漏洞通常使用“通用漏洞和批露”(CVE)字典來標識。
