風(fēng)險分析包括那三個部分_風(fēng)險分析的三個要素

2024-05-19 22:42:13

本文摘自CISSP官方學(xué)習(xí)指南第八版

在安全環(huán)境下部署系統(tǒng)是一個良好開端。不過，讓系統(tǒng)保持相同的安全級別也非常重要。變更管理可減少因未經(jīng)授權(quán)修改導(dǎo)致的意外中斷。

變更管理的主要目標(biāo)是保證變更不會導(dǎo)致意外中斷。變更管理流程確保相應(yīng)人員在變更實施前對變更進行審核和批準(zhǔn)，確保有人對變更進行測試和記錄。

未經(jīng)授權(quán)變更可能直接影響CIA三元組中的A，即可用性。變更管理流程使得各方IT專家有機會在技術(shù)人員實施更改前審查提出的更改，考慮變更可能帶來的意外副作用。在生產(chǎn)環(huán)境實施變更前，變更管理流程使管理員有時間在受控環(huán)境中檢查變更。

1.0 安全影響分析

變更管理流程幫助員工執(zhí)行安全影響分析。在生產(chǎn)環(huán)境中實施變更之前，專家會評估變更，從而識別所有的安全影響。

變更管理控制提供一種流程，實現(xiàn)控制、記錄、跟蹤和審計所有系統(tǒng)變更。這涵蓋對系統(tǒng)任何方面的變更，包括硬件和軟件配置。組織需要在所有系統(tǒng)的生命周期中實施變更管理流程。

變更管理流程的常見步驟如下：

可能存在需要實施緊急變更的情況。這種情況下，管理員仍需要記錄變更。這么做使確保變更審核委員可以審查變更，以便發(fā)現(xiàn)潛在問題。此外，記錄緊急變更可確保受影響的系統(tǒng)在需要重建時能夠包含新的配置。

在執(zhí)行更改管理流程時，會為系統(tǒng)的所有變更創(chuàng)建文檔。

變更管理控制是ISO通用標(biāo)準(zhǔn)中一些安全保障要求（Security Assurance Requirement，SAR）的強制性內(nèi)容。

2.0 版本控制

版本控制通常指軟件配置管理所使用的版本控制。

3.0 配置文檔

配置文檔明確了系統(tǒng)的當(dāng)前配置。它明確了哪些人負(fù)責(zé)系統(tǒng)，明確了系統(tǒng)的目的，并列舉了基線之后的所有變更。

補丁管理和漏洞減少

補丁管理和漏洞管理過程協(xié)同工作，幫助保護組織防御新出現(xiàn)的威脅。

1.0 系統(tǒng)管理

補丁和漏洞管理不僅適用于工作站和服務(wù)器，也適用于運行操作系統(tǒng)的所有計算設(shè)備。諸如路由器、交換機、防火墻、打印機等網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備。

2.0 補丁管理

補丁是糾正程序缺陷及漏洞或提高現(xiàn)有軟件性能的所有代碼類型的總稱。在安全方面，管理員主要關(guān)注修復(fù)系統(tǒng)漏洞的安全補丁。

有效的補丁管理程序可以確保系統(tǒng)的當(dāng)前補丁更新至最新。有效的補丁管理計劃包含常見步驟：

評估補丁：當(dāng)供應(yīng)商公布或發(fā)布補丁時，管理員會對補丁進行評估，確定其是否適用于自己維護的系統(tǒng)。
測試補丁：管理員應(yīng)盡可能在隔離的非生產(chǎn)系統(tǒng)上測試補丁，確定補丁是否導(dǎo)致任何不必要的副作用。最糟糕的情況是安裝補丁之后系統(tǒng)將無法再啟動。
審批補丁：管理員測試補丁，并確認(rèn)補丁時安全的，接下來便批準(zhǔn)補丁的部署。通常變更管理流程會作為審批流程的一部分。
部署補丁：經(jīng)過測試和審批，管理員可以著手部署補丁。
驗證補丁已完成部署：部署補丁后，管理員會定期測試和審計系統(tǒng)，確保系統(tǒng)已保持更新狀態(tài)。

3.0 漏洞管理

漏洞管理是指定期識別漏洞、評估漏洞并采取措施減輕相關(guān)的風(fēng)險。消除風(fēng)險時不可能的。同樣，也不可能消滅所有漏洞。