安全与风险管理-安全与风险管理基础

你是慕鸢呀~ 发布于 17 小时前 2 次阅读 7738 字 预计阅读时间: 35 分钟

AI 摘要

好的,以下是根据您提供的文章内容生成的摘要: 本文系统性地阐述了安全与风险管理的基础知识,旨在为管理者构建一个自上而下的治理视角。核心内容包括: **安全基石:CIA与AAA** * **CIA三元组**是安全目标:**保密性**(防泄露)、**完整性**(防篡改,含真实性)、**可用性**(保障访问)。 * **AAA框架**是实现问责的流程:**标识**(声明身份)→ **认证**(验证身份)→ **授权**(赋予权限)→ **审计**(记录行为)→ **问责制**(唯一标识+审计是关键)。 **治理架构:文档与计划** * **文档体系**:采取自上而下方法,包括强制性的**策略**(意图)、**标准**(要求)、**基线**(底线)、**程序**(步骤)以及非强制性的**指南**(建议)。 * **管理计划**:分为**战略**(长期目标)、**战术**(中期项目)、**操作**(日常实施)三个层级。 **关键角色:责任划分** * **高级管理者**承担最终法律责任。 * **资产所有者**(业务负责人)核心职责是**数据分类**。 * **托管员**(IT人员)负责执行保护措施。 * **审计人员**负责独立检查。 **核心法律概念:应尽关心与尽职审查** * **应尽关心**:指“做正确的事”,即制定安全计划与策略(证明已规划)。 * **尽职审查**:指“验证做得对不对”,即持续进行调查、审计与验证(证明已执行)。这是避免法律过失的关键。 **威胁建模与供应链风险** * **威胁建模**:将安全前置到设计阶段,以降低修复成本。介绍了STRIDE(软件威胁)、PASTA(业务中心)等方法。 * **供应链风险管理**:强调组织需对供应商的安全风险负责,因为供应商的风险会“继承”为自身的风险。 **总结与关联** 文章最后通过矩阵分析了**纵深防御**、**应尽关心/尽职审查**和**威胁建模**的管理者价值(成本、合规、业务),并将所有内容映射到CISSP知识域,强调了安全必须服务于业务目标的核心理念。

安全与风险管理-安全与风险管理基础

1. 安全宗旨与核心原则 (CIA + AAA)

  • CIA 三元组 (基础)
    • 保密性 (Confidentiality):不仅是加密,还包括数据隐藏(Data Hiding)和抽象(Abstraction,通过分组管理权限)。
    • 完整性 (Integrity):教材补充了真实性的概念。除了防止未授权篡改,还要防止授权主体进行“非目的性”的错误修改。
    • 可用性 (Availability):强调实时与不间断
  • AAA 框架 (身份与访问):这是教材补充的重要流程,必须按顺序理解:
    1. 标识 (Identification):宣称“我是谁”(如输入用户名)。这是问责制的起点
    2. 身份认证 (Authentication):证明“我就是我”(如输入密码)。
    3. 授权 (Authorization):决定“我能做什么”(基于权限)。
    4. 审计 (Auditing):记录“我做了什么”(日志)。
    5. 问责制 (Accountability)关键考点。只有当 标识 + 审计 结合时,才能实现问责。如果使用“公共账号(Guest)”,就丧失了问责制。
  • 不可否认性 (Non-repudiation):防止主体否认其行为(结合了完整性和身份认证)。

2. 安全治理架构 (Security Governance)

管理者视角:自上而下的方法 (Top-Down Approach) 治理不仅仅是管人,更是建立一套层级化的文档体系和责任体系。

  • 文档层级体系 (强制性 vs 非强制性)

    • 策略 (Policy)强制性。最高层级,反映管理层意图(“我们要保护数据”)。
    • 标准 (Standard)强制性。具体的技术要求(“必须使用 AES-256 加密”)。
    • 基线 (Baseline)强制性。最低安全要求(“所有服务器必须打上最新补丁”)。
    • 程序 (Procedure)强制性。一步步的操作步骤(Step-by-step)。
    • 指南 (Guideline)非强制性。建议或最佳实践(“建议密码包含特殊字符”)。
    • 考点:只有“指南”是可选的,其他一旦制定通常都是强制执行的。

  • 管理计划的三层级

    • 战略计划 (Strategic):长期(3-5年),由高层制定,定义目标/使命。
    • 战术计划 (Tactical):中期(1年左右),将战略转化为项目(如部署新防火墙)。
    • 操作计划 (Operational):短期(日常),具体的实施细节。

3. 关键人员角色 (Roles & Responsibilities)

管理者风险视角:谁背锅?谁干活?

  • 高级管理者 (Senior Management):承担最终法律责任 (Ultimate Liability)。他们负责批准策略。
  • 资产所有者 (Asset Owner):通常是业务部门负责人。最关键职责是进行数据分类/分级(决定数据是机密还是公开)。
  • 托管员 (Custodian):通常是 IT/安全人员。负责执行保护措施(如实施备份、配置权限),听命于所有者。
  • 审计人员 (Auditor):负责合规检查,需保持独立性。

4. 法律与风险管理 (Risk & Legal)

管理者必考概念:应尽关心 vs. 尽职审查

  • 应尽关心 (Due Care)

    • 定义:“做正确的事”。制定了计划、策略,就像一个“审慎的人”那样行事。
    • 场景:公司制定了防火墙策略,或者在合同中要求供应商由安全资质。

  • 尽职审查 (Due Diligence)

    • 定义:“验证做得对不对”。是持续的调查、验证、审计活动。
    • 场景定期检查防火墙日志,或者在并购前调查对方的安全背景。
    • 管理者金句"Due Care is doing it; Due Diligence is checking it." (应尽关心是去做,尽职审查是去查)。

  • 供应链风险管理 (SCRM)

    • 风险继承:并购或采购时,供应商的风险会成为你的风险。必须在整个生命周期中评估硬件、软件和服务的安全性。

5. 威胁建模 (Threat Modeling)

将安全前置到设计阶段(Shift Left)。

  • 时机:既可以是主动的(设计开发时),也可以是被动的(部署后)。
  • 方法论 (只需了解对应关系)
    • STRIDE:微软开发,针对软件威胁(欺骗、篡改、抵赖、信息泄露、拒绝服务、提权)。
    • PASTA:以业务为中心,与业务目标对齐。
    • VAST:敏捷开发环境,可视化。
    • DREAD:用于对威胁进行评级/打分

深度评价矩阵

结合新内容,我们重新审视以下概念的管理者价值

概念/技术 成本效益 合规性 业务对齐
纵深防御 (Defense in Depth) 高投入
多层控制(物理+技术+管理)叠加。		 高合规
符合"应尽关心 (Due Care)"原则,证明企业未存侥幸心理。		 业务韧性
单点失效不影响整体业务存活,保障业务连续性。
应尽关心与尽职审查 (Due Care/Diligence) 生存成本
不做这些,一旦发生信息泄露,企业将被认定为“过失”,面临巨额罚款和法律诉讼。		 核心基石
这是避免法律责任(Negligence)的唯一护身符。		 信誉保障
建立客户和合作伙伴的信任,是商业合作的前提(SCRM)。
威胁建模 (Threat Modeling) 省大钱
在设计阶段发现漏洞修复成本极低;上线后修复成本呈指数级增长。		 GdPR/隐私设计
满足“Privacy by Design”等合规要求。		 产品质量
减少上线后的补丁和中断,提升用户对产品的信心。

CISSP 8 大知识域映射更新

  • Domain 1: Security and Risk Management (包含所有上述内容:治理、策略、法律、风险、威胁建模)
  • 关联域
    • Domain 3 (Security Architecture): 涉及纵深防御、抽象、数据隐藏的技术实现。
    • Domain 5 (Identity and Access Management): 详解 AAA(标识、认证、授权、问责)。

老师叮嘱的考试技巧 (Exam Traps)

  1. Owner vs. Custodian:考试问“谁负责数据备份?”选 Custodian(干活的)。问“谁决定数据备份保留多久?”选 Owner(定规矩的)。
  2. Due Care vs. Due Diligence:如果题目中有“Research(研究)”、“Verify(验证)”、“Audit(审计)”、“Review(审查)”这些词,通常选 Due Diligence。如果是“Implement(实施)”、“Install(安装)”、“Policy(策略)”,通常选 Due Care
  3. 业务驱动安全:永远记住,业务场景 (Business Case) 是启动任何安全项目的理由。安全是为了支持业务目标(Mission/Goals),而不是为了安全而安全。

概念辨析题

  1. 讨论和描述 CIA 三元组
  2. 使某人对其用户账户的行为负责的要求是什么?
  3. 请说出 (ISC)² 为 CISSP 定义的六个主要安全角色名称
  4. 完整的组织安全策略由哪四个部分组成?其基本目的是什么?

1. 讨论和描述 CIA 三元组

核心概念: 安全的基石,所有安全控制措施的目标都在于平衡这三者。

  • 保密性 (Confidentiality)
    • 定义:确保数据不被未授权的主体(用户、程序、进程)访问或泄露。
    • 手段:加密(静态/传输中)、访问控制列表 (ACL)、物理安保、数据隐藏(隐写术)、抽象(分组管理)。
  • 完整性 (Integrity)
    • 定义:确保数据保持真实、准确,且未被篡改。这包括防止未授权篡改(黑客攻击)和防止授权后的非预期修改(员工误操作)。
    • 手段:哈希 (Hashing)、数字签名、一次性写入 (WORM)、约束性接口(用户只能做被允许的操作)。
  • 可用性 (Availability)
    • 定义:确保授权用户在需要时能实时、不间断地访问数据和资源。
    • 手段:冗余 (RAID)、集群 (Clustering)、负载均衡、备份、灾难恢复计划 (DRP)。

2. 使某人对其用户账户的行为负责的要求是什么?

核心概念: 问责制 (Accountability) 的实现链路。

要让某人对行为负责,必须按顺序满足以下三个条件(缺一不可):

  1. 唯一的标识 (Unique Identification)
    • 这是问责制的起点。用户必须拥有一个唯一的 ID(如用户名)。
    • 关键点:不能使用共享账户(如 GuestAdmin),因为共享账户无法区分具体是谁在使用,从而破坏了问责制。
  2. 身份认证 (Authentication)
    • 用户必须证明“我就是我”(如输入密码、指纹)。这验证了标识的有效性。
  3. 审计/日志记录 (Auditing)
    • 系统必须记录该唯一 ID 的所有活动(谁、在什么时间、做了什么)。
    • 结论标识 + 认证 + 审计 = 问责制

3. 请说出 (ISC)² 为 CISSP 定义的六个主要安全角色名称

核心概念: 角色与责任 (Roles and Responsibilities)。

根据提供的教材摘要,这六个角色是:

  1. 高级管理者 (Senior Management)
    • 职责:承担最终的法律责任 (Ultimate Liability),批准所有策略,分配预算。
  2. 安全专业人员 (Security Professional)
    • 职责:根据管理层的要求设计、实施和管理安全方案(顾问角色)。
  3. 资产所有者 (Asset Owner)
    • 职责:通常是业务部门负责人。最关键职责是对数据进行分类/分级(如定义某数据为“机密”)。
  4. 托管员 (Custodian)
    • 职责:通常是 IT 人员。负责执行安全操作(如执行备份、配置防火墙),由所有者指派。
  5. 用户 (User)
    • 职责:遵守安全策略,执行日常业务。
  6. 审计人员 (Auditor)
    • 职责:独立检查安全控制措施是否合规。

4. 完整的组织安全策略由哪四个部分组成?其基本目的是什么?

核心概念: 安全治理文档层级。

虽然教材摘要中提到了五个元素(策略、标准、基线、指南、程序),但通常在 CISSP 考试中,完整的体系结构主要由以下四个核心层级组成(基线常归类于标准):

  1. 策略 (Policy)
    • 最高层级,强制性。定义管理层的意图、目标和宗旨。它不包含具体技术细节,而是表明“我们要保护什么”。
  2. 标准 (Standards)
    • 强制性。定义具体的技术要求(如“必须使用 AES-256 加密”、“必须使用 Windows Server 2019”)。
  3. 指南 (Guidelines)
    • 非强制性。提供建议、最佳实践或提示。
  4. 程序 (Procedures)
    • 强制性。提供详细的、按步骤的 (Step-by-step) 操作说明,确保操作的一致性。

基本目的: 建立安全治理 (Governance)。这一体系的目的是采取自上而下 (Top-Down) 的方法,将高级管理层对业务和安全的战略目标(通过策略),转化为具体的、可执行的、标准化的操作行为(通过标准和程序),确保所有员工在统一的框架下行事,从而降低风险。

选择题

  1. 保密性、完整性和可用性通常被视为安全基础设施的主要目标。下列哪一项不是对保密性的破坏?

    A. 使用键盘输入记录工具窃取密码

    B. 窃听无线网络通信

    C. 纵火造成硬件毁坏

    D. 欺骗用户向虚假网站提供个人信息的社交工程攻击

  2. 作为核心的安全概念,安全治理要求你对组织的目标有清晰的理解。以下哪一项包含了主要的安全目标? A. 网络的边界范围

    B. CIA 三元组

    C. AAA 服务

    D. 确保主体活动被记录

  3. James 最近发现针对他们组织的攻击导致员工无法访问关键记录。这是 CIA 三元组中的哪一个原则被破坏了?

    A. 标识 B. 可用性 C. 加密 D. 分层防御

  4. 最理想的情况是,安全治理由董事会执行,但在规模较小的组织中,可仅由首席执行官(CEO)或首席信息安全官(CISO)执行安全治理活动。关于安全治理,下面哪一项是正确的?

    A. 鉴于已通过验证的身份被赋予的权利和特权,安全治理确保被请求的活动或对客体的访问是可以实现的。

    B. 安全治理是为了提高效率。相似的元素被放入组、类或角色中,作为一个集合被指派安全控制、限制或许可。

    C. 安全治理是一套记录 IT 最佳安全实践的文档。它规定了安全控制的目标和需求,并鼓励将 IT 安全思路映射到业务目标。

    D. 安全治理旨在将组织内所使用的安全流程和基础设施与从外部来源获得的知识和见解进行比对。

  5. 你的任务是制订一个相对稳定的长期计划。该计划定义了组织的安全目的,也定义了安全功能,并使其与组织的目标、使命和宗旨相一致。你被要求创建以下哪一种计划?

    A. 战术计划B. 操作计划C. 战略计划D. 回滚计划

  6. Annaliese 的组织正处于业务扩张期,他们正在进行大量的兼并与收购。她担心与这些活动相关的风险。以下哪些项是这些风险的示例?(选择所有符合的选项。)

    A. 不恰当的信息披露B. 提高人员合规性 C. 数据丢失 D. 停机 E. 深入了解内部攻击者的动机 F. 未能获得足够的投资回报(ROI)

  7. 某安全框架最初由政府制订以供国内使用,但现在已成为国际标准。它是一套被推荐的优化 IT 服务以支持业务增长、转型和变革的最佳实践。该框架的重点是理解 IT 和安全需求如何与组织目标进行集成并保持一致。在已建立的基础设施中,该框架通常会被用作制订 IT 安全解决方案的起点。请问此处描述的是以下哪一种框架?

    A. ITIL B. ISO 27000 C. CIS D. CSF

  8. 安全角色是个人在组织内的安全实施和管理总体方案中扮演的角色。以下哪个安全角色对安全负有职能责任,包括编写和执行安全策略?

    A. 高级管理者 B. 安全专业人员 C. 托管员 D. 审计人员

  9. 信息和相关技术控制目标(COBIT)是由信息系统审计和控制协会(ISACA)编制的一套记录 IT 最佳安全实践的文档。它规定了安全控制的目标和需求,并鼓励将 IT 安全思路映射到业务目标。COBIT 基于六项关键原则进行企业 IT 治理和管理。以下哪些项属于这些关键原则?(选择所有符合的选项。)

    A. 采用整体分析法 B. 采用端到端的治理系统 C. 为利益相关方创造价值 D. 保持真实性和问责制 E. 动态地治理系统

  10. 在当今的商业环境中,谨慎是必需的。在安全事故发生时,拿出应尽关心和尽职审查的证明是证明没有疏忽的唯一方法。以下哪些项是正确的陈述?(选择所有符合的选项。)

    A. 应尽关心是指制订计划、策略和流程以保护组织的利益。

    B. 尽职审查是制订一种正式的安全框架,包含安全策略、标准、基线、指南和程序。

    C. 应尽关心是将安全框架持续应用于组织的 IT 基础设施。

    D. 尽职审查是实践那些维持安全工作的活动。

    E. 尽职审查是知道应该做什么并为此制订计划。

    F. 应尽关心是在正确的时间采取正确的行动。

  11. 安全文档是安全计划成功的基本要素。理解安全文档的构成组件是编制安全文档的前期步骤。请将以下安全文档的组件名称与相应的定义配对。 ① 策略 ② 标准 ③ 程序 ④ 指南 I. 一个详细的分步实施文档,描述了实现特定安全机制、控制或解决方案所需的具体操作。 II. 一份文档,其中定义了组织所需的安全范围,讨论需要保护的资产以及安全解决方案需要提供的必要保护程度。 III. 定义了整个组织中每个系统必须满足的最低安全级别。 IV. 提供了关于如何实现安全需求的建议,并且是安全专业人员和用户的操作指南。 V. 对硬件、软件、技术和安全控制方法的一致性定义了强制性要求。

    A. ①-I; ②-IV; ③-II; ④-V

    B. ①-II; ②-V; ③-I; ④-IV

    C. ①-IV; ②-II; ③-V; ④-I

    D. ①-V; ②-I; ③-IV; ④-III

  12. STRIDE 通常用于对应用程序或操作系统的威胁评估。当机密文件被泄露给未经授权的实体时,该违规行为属于 STRIDE 的哪个字母所代表的威胁类型?

    A. S B. T C. R D. I E. D F. E

  13. 开发团队正在开发一个新项目。在系统开发的早期阶段,团队就会考虑其解决方案的漏洞、威胁和风险,并集成保护措施以防止非预期的结果。这是哪种威胁建模概念?

    A. 威胁狩猎 B. 主动式方法 C. 定性方法 D. 对抗性方法

  14. 供应链风险管理(SCRM)方法旨在确保供应链中所有供应商或环节都是可靠的、值得信赖的、信誉良好的组织。以下哪些描述是正确的?(选择所有符合的选项。)

    A. 供应链中每个环节对其下一个环节都是负责任的和可问责的。

    B. 商品供应商不太可能自行开采金属,将石油加工成塑料或蚀刻芯片的硅。

    C. 如果来自供应链的最终产品符合预期和功能要求,则可以确保没有未经授权的元素。

    D. 如果未能妥善保护供应链,可能会导致产品存在缺陷或可靠性降低,甚至会被嵌入监听或远程控制机制。

  15. 你的组织已开始关注与其零售产品供应链相关的风险。幸运的是,他们定制产品的所有编码都是在内部完成的。然而,对最近完成的产品的详细审计显示,在供应链某处,一种监听机制被集成到解决方案中。在这种场景下,已识别的风险与产品的什么组件有关?

    A. 软件 B. 服务 C. 数据 D. 硬件

  16. Cathy 的雇主要求她对第三方供应商的政策和程序进行文件审查。该供应商只是软件供应链中的最后一环。他们的组件是为高端客户提供在线服务的关键元素。Cathy 发现了该供应商的几个严重问题,例如,没有要求对所有通信进行加密,并且未要求在管理界面上进行多因素身份认证。Cathy 该如何应对这一发现?

    A. 写一份报告并提交给 CIO

    B. 取消供应商的 ATO

    C. 要求供应商审查其条款与要求

    D. 让供应商签署 NDA

  17. 当组织与第三方合作时,应执行其供应链风险管理(SCRM)流程。其中一个常见要求是建立对第三方的最低安全要求。这些要求应该基于什么而设定?

    A. 现有安全策略 B. 第三方审计 C. 现场评估 D. 漏洞扫描结果

  18. 将威胁与脆弱性结合起来,以识别能够利用资产并对组织带来重大风险的威胁,这一做法很常见。威胁建模的最终目标是对危害组织有价值资产的潜在威胁进行优先级排序。以下哪一种是以风险为中心的威胁建模方法,旨在根据被保护资产的价值选择或开发对策?

    A. VAST B. SD3+C C. PASTA D. STRIDE

  19. 威胁建模的下一步是执行简化分析。简化分析也被称为分解应用程序、系统或环境。这项任务的目的是更好地了解产品的逻辑、内部组件以及其与外部元素的交互。以下哪些是执行分解时要识别的关键组件?(选择所有符合的选项。)

    A. 补丁或版本更新 B. 信任边界 C. 数据流路径 D. 开放与关闭源代码使用 E. 输入点 F. 特权操作 G. 安全声明和方法的细节

  20. 纵深防御是指简单地使用一系列控制中的多个控制。没有哪个控制能防范所有可能的威胁。多层防护解决方案允许使用许多不同的控制措施来抵御随时都可能出现的威胁。下面哪些术语与纵深防御相关或者基于纵深防御?(选择所有符合的选项。)

    A. 分层 B. 分类 C. 分区 D. 分域 E. 隔离 F. 孤岛 G. 分段 H. 格结构 I. 保护环

  1. c
  2. b
  3. b
  4. d
  5. c
  6. acdf
  7. a
  8. b
  9. abce
  10. ad
  11. b
  12. d
  13. b
  14. abd
  15. d
  16. b
  17. a
  18. c
  19. bcefg
  20. abcdefghi

选择题解析

第一部分:安全基础与原则 (Q1-Q3)

1. 答案:C

  • 解析
    • A (键盘记录)B (无线窃听)D (社交工程欺骗信息):这些行为的目的都是为了获取未经授权的信息,因此都是对保密性 (Confidentiality) 的破坏。
    • C (纵火毁坏硬件):物理破坏导致系统无法运行或数据无法访问,这直接破坏了服务的可用性。因此,这是对可用性 (Availability) 的破坏,而不是保密性。

2. 答案:B

  • 解析
    • CIA 三元组(保密性、完整性、可用性)是信息安全的核心基石,它们构成了组织最主要的安全目标
    • A、C、D 都是实现这些目标具体的控制措施或服务,而非目标本身。

3. 答案:B

  • 解析
    • 题目中的关键词是“导致员工无法访问”。
    • 当合法用户不能访问他们需要的资源时,被破坏的就是 CIA 三元组中的可用性 (Availability)

第二部分:安全治理与计划 (Q4-Q8)

4. 答案:D

  • 解析
    • 安全治理的一个重要环节是“基准比对 (Benchmarking)”。
    • 选项 D 描述了治理的这一职能:将组织内部的安全流程与外部的标准、最佳实践(知识和见解)进行比较,以验证组织的安全状况是否达标。
    • 注:选项 A 描述的是访问控制,B 描述的是分类管理,C 描述的是策略文档,只有 D 触及了治理中“衡量与比对”的高层视角。

5. 答案:C

  • 解析
    • 战略计划 (Strategic Plan):长期(通常3-5年)、高层次、由高管制定,用于定义组织的长期目标、使命和愿景。题目中强调“相对稳定”、“长期”、“与组织目标一致”,符合战略计划的特征。
    • 战术计划是中期的,操作计划是短期的日常工作。

6. 答案:A, C, D, F

  • 解析
    • 题目问的是兼并收购中的风险(负面结果):
      • A (信息披露):敏感数据泄露给未经授权方。
      • C (数据丢失):资产整合过程中数据遗失。
      • D (停机):系统整合导致业务中断。
      • F (ROI 不足):未能实现预期的商业价值。
    • B (提高合规性) 是收益,E (了解动机) 是分析活动,不属于风险本身。

7. 答案:A

  • 解析
    • ITIL (IT Infrastructure Library):起源于英国政府,现在是国际通用的 IT 服务管理 (ITSM) 事实标准。它专注于优化 IT 服务以支持业务增长,并强调 IT 与业务目标的集成。
    • ISO 27000 是安全标准,CIS 是基准配置,CSF (NIST CSF) 是网络安全框架,但最符合“起源于政府用于 IT 服务优化”描述的是 ITIL。

8. 答案:B

  • 解析
    • 安全专业人员 (Security Professional):具有职能责任(Functional Responsibility),负责具体的安全工作,包括编写策略、配置控制措施和执行安全方案。
    • 高级管理者负责批准策略,托管员负责保管资产,审计员负责检查。

第三部分:框架与法规 (Q9-Q11)

9. 答案:A, B, C, E

  • 解析
    • COBIT (Control Objectives for Information and Related Technologies) 的核心原则包括:
      • 满足利益相关者需求(C. 创造价值)。
      • 覆盖企业端到端(B. 端到端)。
      • 应用单一的集成框架。
      • 启用整体方法(A. 整体分析法)。
      • 区分治理与管理(在较新版本中强调动态治理系统,E. 动态地治理系统)。
    • D (保持真实性) 不是 COBIT 的核心原则列表内容。

10. (存疑) 答案:A, D

  • 解析
    • A (应尽关心 Due Care):教材定义为“制订计划、策略和流程”,侧重于保护利益的规划层面。
    • D (尽职审查 Due Diligence):教材定义为“实践那些维持安全工作的活动”,侧重于执行和维护层面。
    • 注:此定义与国际通用标准(ISC2)可能存在歧义,应尽关心=计划/框架;尽职审查=实践/行动。

11. 答案:B

  • 解析
    • ① 策略 (Policy) $\leftrightarrow$ II:定义范围、资产保护需求的高层文档。
    • ② 标准 (Standard) $\leftrightarrow$ V:对硬件、软件的一致性强制要求。
    • ③ 程序 (Procedure) $\leftrightarrow$ I:详细的分步操作文档。
    • ④ 指南 (Guideline) $\leftrightarrow$ IV:提供建议,非强制性。
    • 对应选项 B。

第四部分:威胁建模与开发安全 (Q12-Q13, Q18-Q19)

12. 答案:D

  • 解析
    • 机密文件被泄露属于信息披露 (Information Disclosure)
    • STRIDE 模型中:
      • S = Spoofing (欺骗)
      • T = Tampering (篡改)
      • R = Repudiation (抵赖)
      • I = Information Disclosure (信息披露)
      • D = DoS (拒绝服务)
      • E = Elevation of Privilege (权限提升)
    • 题目选项中的 D 对应的是字母 I(这是一个选项编号的陷阱),故选 D。

13. 答案:B

  • 解析
    • 在开发早期就考虑安全、集成保护措施,这是典型的主动式 (Proactive) 方法。
    • 如果在系统出问题后才修补,则是被动式。

18. 答案:C

  • 解析
    • PASTA (Process for Attack Simulation and Threat Analysis):是一种以风险为中心 (Risk-Centric) 的威胁建模方法。它旨在将技术安全与业务目标(资产价值)联系起来。
    • STRIDE 侧重于开发者和软件本身;VAST 侧重于敏捷和扩展性。

19. 答案:B, C, E, F, G

  • 解析
    • 在威胁建模的“分解”阶段(通常使用数据流图 DFD),需要识别的关键组件包括:
      • B. 信任边界:数据在不同信任级别间流动的界限。
      • C. 数据流路径:数据如何移动。
      • E. 输入点:攻击者可能注入数据的地方。
      • F. 特权操作:需要高权限的功能。
      • G. 安全声明:现有的安全假设和方法。
    • A (补丁) 和 D (源代码类型) 不是架构分解图中的核心元素。

第五部分:供应链与架构 (Q14-Q17, Q20)

14. 答案:A, B, D

  • 解析
    • A:供应链具有层级传递性,上游对下游负责。
    • B:描述了供应链的现实情况,即很少有厂商能从原材料到成品全包,大部分依赖外包组件。
    • D:描述了供应链风险的后果(缺陷、恶意植入)。
    • C 是错误的:功能符合预期并不代表安全,恶意代码(如逻辑炸弹或监听器)可能隐藏在功能正常的软件中。

15. 答案:D

  • 解析
    • 题目指出“编码(软件)是在内部完成的”,排除了软件和服务的问题。
    • 但是在成品中发现了监听机制,这说明问题出在组织无法控制的外部环节。鉴于软件是自研的,最可能的风险来源是底层的硬件组件(如芯片、固件)在供应链中被植入了后门。

16. 答案:B

  • 解析
    • 供应商存在严重漏洞(无加密、无 MFA),这对高端客户服务构成了直接的高风险。
    • 最有效的治理手段是取消运营授权 (ATO, Authorization to Operate)。这是一种正式的“叫停”机制,直到风险被缓解。写报告或签 NDA 无法解决当下的安全缺口。

17. 答案:A

  • 解析
    • 对第三方的安全要求不能凭空设定,必须基于组织自身的现有安全策略
    • 如果不符合内部策略,组织就不能外包该业务;如果要求过高,则可能不切实际。原则是第三方必须至少满足组织内部的合规基线。

20. 答案:A, B, C, D, E, F, G, H, I (全选)

  • 解析
    • 本题考察对纵深防御 (Defense in Depth) 的广义理解。任何能增加攻击难度、提供冗余保护、实施隔离的机制都可视为纵深防御的一部分:
      • A (分层):核心概念。
      • B (分类):数据层的防御基础。
      • C, D (分区, 分域):网络层的隔离。
      • E, F, G (隔离, 孤岛, 分段):减少攻击面和横向移动的手段。
      • H (格结构):强制访问控制模型,系统层的防御。
      • I (保护环):操作系统内核的隔离保护。
    • 所有选项均通过不同层面的技术手段实现了防御的深度。
我本桀骜少年臣,不信鬼神不信人。
最后更新于 2025-12-20