《信息安全審計》課件

1、信息安全審計信息安全處 顧超2011年8月15日信息安全審計信息安全處2信息安全與審計基礎(chǔ)及理論知識信息安全與審計的概念、目標、范圍信息安全審計/IT審計/信息系統(tǒng)安全審計審計應(yīng)該是獨立的。審計與信息安全的目標是一致的，而不是對立的。信息安全與IT審計的關(guān)系信息安全其中一項必不可少的內(nèi)容是IT審計IT審計主要針對的是信息安全，也包含其他內(nèi)容信息安全與IT審計有很大的重合點1.不懂信息安全如何進行IT審計2.要做好IT審計必須了解信息安全2信息安全與審計基礎(chǔ)及理論知識信息安全與審計的概念、目標、范3信息安全各類標準1.1 GB18336 1.2 美國標準TCSEC 歐洲標準ITSEC 1.3 C

2、C標準1.4 CC、TCSEC、ITSEC對應(yīng)關(guān)系1.5 SSE-CMM 1.6 BS7799/ISO270011.7 ITIL1.8 ISO154081.9 ISO133351.10 等級保護3信息安全各類標準1.1 GB18336 41.4 信息安全基礎(chǔ)-國際標準CC (Common Criteria)美英法德荷加六國制定的共同標準包含的類FAU安全審計FCO通信FCS密碼支持FDP用戶數(shù)據(jù)保護FIA標識與鑒別FMT安全管理FPR隱私FPTTSF保護(固件保護，TOE Security Functions, TOE Security Policy，(Target Of Evaluation

3、)FRU資源利用FTATOE訪問FTP可信信道/路徑41.4 信息安全基礎(chǔ)-國際標準CC (Common Cri51.8 信息安全標準-BS7799BS7799BS 7799是英國標準協(xié)會制定的信息安全管理體系標準，已得到了一些國家的采納，是國際上具有代表性的信息安全管理體系標準。BS7799以下10個部分：信息安全政策安全組織資產(chǎn)分類及控制人員安全物理及環(huán)境安全計算機及系統(tǒng)管理系統(tǒng)訪問控制系統(tǒng)開發(fā)與維護業(yè)務(wù)連續(xù)性規(guī)劃符合性51.8 信息安全標準-BS7799BS779961.8 信息安全基礎(chǔ)-7799/27001ISO27001BS7799 Part 2的全稱是Information Sec

4、urity Management Specification，也即為信息安全管理體系規(guī)范，其最新修訂版在05年10月正式成為ISO/IEC 27001:2005，ISO/IEC 27001是建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799，其最終目的，在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。61.8 信息安全基礎(chǔ)-7799/27001ISO2700171.1 信息安全基礎(chǔ)-三要素信息安全內(nèi)容概述計算機安全信息安全三要素Confidentiality IntegrityAvailabi

5、lity71.1 信息安全基礎(chǔ)-三要素信息安全內(nèi)容概述81.信息安全基礎(chǔ)-北美標準TCSEC美國國防部(Trusted Computer Systems Evaluation Criteria)安全等級A 驗證保護B 強制保護C 自主保護D 無保護FC美聯(lián)邦標準(Federal Criteria)CTCPEC加拿大標準(Canadian Trusted Computer Product Evaluation Criteria)81.信息安全基礎(chǔ)-北美標準TCSEC91.3 信息安全基礎(chǔ)-歐洲標準ITSECInformation Technology Security Evaluation Cr

6、iteria英法德荷四國制定ITSEC是歐洲多國安全評價方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域為軍隊、政府和商業(yè)。該標準將安全概念分為功能與評估兩部分。功能準則從F1F10共分10級。 15級對應(yīng)于TCSEC的D到A。F6至F10級分別對應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及機密性和完整性。與TCSEC不同,它并不把保密措施直接與計算機功能相聯(lián)系,而是只敘述技術(shù)安全的要求,把保密作為安全增強功能。另外,TCSEC把保密作為安全的重點,而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質(zhì))到E6級(形式化驗證)的7個安全等級,對于每

7、個系統(tǒng),安全功能可分別定義。91.3 信息安全基礎(chǔ)-歐洲標準ITSEC101.5 信息安全基礎(chǔ)-國際標準CC、TCSEC、ITSEC對應(yīng)關(guān)系CCTCSECITSEC-DE0EAL1-EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6101.5 信息安全基礎(chǔ)-國際標準CC、TCSEC、ITSE111.5 信息安全基礎(chǔ)-國際標準CC分為三個部分：第1部分簡介和一般模型，正文介紹了CC中的有關(guān)術(shù)語、基本概念和一般模型以及與評估有關(guān)的一些框架，附錄部分主要介紹保護輪廓（PP）和安全目標（ST）的基本內(nèi)容。第2部分安全功能要求，按類-子類-組件的方式提出安全

8、功能要求，每一個類除正文以外，還有對應(yīng)的提示性附錄作進一步解釋。第3部分“安全保證要求”，定義了評估保證級別，介紹了PP和ST的評估，并按“類-子類-組件”的方式提出安全保證要求111.5 信息安全基礎(chǔ)-國際標準CC分為三個部分：121.5 信息安全基礎(chǔ)-國際標準CC的三個部分相互依存，缺一不可。第1部分是介紹CC的基本概念和基本原理第2部分提出了技術(shù)要求第3部分提出了非技術(shù)要求和對開發(fā)過程、工程過程的要求。這三部分的有機結(jié)合具體體現(xiàn)在PP和ST 中，PP和ST的概念和原理由第1部分介紹，PP和ST中的安全功能要求和安全保證要求在第2、3部分選取，這些安全要求的完備性和一致性，由第2、3兩部分

9、來保證。CC 作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的世界性通用準則，是信息技術(shù)安全性評估結(jié)果國際互認的基礎(chǔ)。121.5 信息安全基礎(chǔ)-國際標準CC的三個部分相互依存，缺131.5 信息安全基礎(chǔ)-國際標準131.5 信息安全基礎(chǔ)-國際標準141.7 信息安全基礎(chǔ)-SSE-CMMSSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系統(tǒng)安全工程這個具體領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是美國國家安全局(NSA)領(lǐng)導(dǎo)開發(fā)的，是專門用于系統(tǒng)安全工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版，1999年4月，SS

10、E-CMM模型和相應(yīng)評估方法2.0版發(fā)布。系統(tǒng)安全工程過程一共有三個相關(guān)組織過程：工程過程風(fēng)險過程保證過程141.7 信息安全基礎(chǔ)-SSE-CMMSSE-CMM (S151.7 信息安全基礎(chǔ)-SSE-CMMSSE-CMM共分5個能力級別，11個過程區(qū)域：基本執(zhí)行級、計劃跟蹤級、充分定義級、量化控制級、持續(xù)改進級2002年SSE-CMM被國際標準化組織采納成為國際標準即ISO/IEC 21827:2002信息技術(shù)系統(tǒng)安全工程成熟度模型。SSE-CMM 和BS 7799 都提出了一系列最佳慣例，但BS 7799 是一個認證標準（第二部分），提出了一個可供認證的ISMS 體系，組織應(yīng)該將其作為目標，

11、通過選擇適當(dāng)?shù)目刂拼胧ǖ谝徊糠郑┤崿F(xiàn)。而SSE-CMM 則是一個評估標準， 適合作為評估工程實施組織能力與資質(zhì)的標準.151.7 信息安全基礎(chǔ)-SSE-CMMSSE-CMM161.8 信息安全基礎(chǔ)-7799/27001ISO17799BS7799 Part 1的全稱是Code of Practice for Information Security，也即為信息安全的實施細則。2000年被采納為ISO/IEC 17799，目前其最新版本為2005版，也就是ISO 17799: 2005。ISO/IEC 17799:2005 通過層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資

12、源安全等11個安全管理要素，還有39個主要執(zhí)行目標和133個具體控制措施（最佳實踐），供負責(zé)信息安全系統(tǒng)應(yīng)用和開發(fā)的人員作為參考使用，以規(guī)范化組織機構(gòu)信息安全管理建設(shè)的內(nèi)容。161.8 信息安全基礎(chǔ)-7799/27001ISO1779171.8 信息安全基礎(chǔ)-7799/27001BS7799BS7799涵蓋了安全管理所應(yīng)涉及的方方面面，全面而不失可操作性，提供了一個可持續(xù)提高的信息安全管理環(huán)境。推廣信息安全管理標準的關(guān)鍵在重視程度和制度落實方面。標準存在一定不足對查看敏感信息等保密性缺少控制。標準中對評審控制和審計沒有區(qū)分標準中只在開發(fā)和維護中簡單涉及密碼技術(shù)某些方面可能不全面，但是它仍是目前

13、可以用來達到一定預(yù)防標準的最好的指導(dǎo)標準。171.8 信息安全基礎(chǔ)-7799/27001BS7799181.9 信息安全基礎(chǔ)-ITILITILITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫（Information Technology Infrastructure Library）。ITIL針對一些重要的IT實踐，詳細描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等IT服務(wù)管理中最主要的內(nèi)容就是服務(wù)交付（Service Delivery）和服務(wù)支持（Service Support）服務(wù)交付（Service Delivery）：Serv

14、ice Level Management Financial Management for IT Service Capacity Management IT Service Continuity Management Availability Management181.9 信息安全基礎(chǔ)-ITILITIL191.9 信息安全基礎(chǔ)-ITILITILV3版本圖191.9 信息安全基礎(chǔ)-ITILITIL201.9 信息安全基礎(chǔ)-ITIL服務(wù)支持（Service Support）： Service Desk Incident Management Problem Management Configu

15、ration Management Change Management Release ManagementBS150002001 年，英國標準協(xié)會在國際IT 服務(wù)管理論壇（itSMF）上正式發(fā)布了以ITIL為核心的英國國家標準BS15000。這成為IT 服務(wù)管理領(lǐng)域具有歷史意義的重大事件。201.9 信息安全基礎(chǔ)-ITIL服務(wù)支持（Service 211.9 信息安全基礎(chǔ)-ITILBS15000 有兩個部分，目前都已經(jīng)轉(zhuǎn)化成國際標準了。 ISO/IEC 20000-1:2005 信息技術(shù)服務(wù)管理-服務(wù)管理規(guī)范（Information technology service management

16、. Specification for Service Management） ISO/IEC 20000-2:2005 信息技術(shù)服務(wù)管理- 服務(wù)管理最佳實踐（ Information technology service management. Code of Practice for Service Management）與BS7799 相比ITIL 關(guān)注面更為廣泛（信息技術(shù)），而且更側(cè)重于具體的實施流程。ISMS實施者可以將BS7799 作為ITIL 在信息安全方面的補充，同時引入ITIL 流程的方法，以此加強信息安全管理的實施能力。211.9 信息安全基礎(chǔ)-ITILBS15000 有兩

17、個部分221.10 信息安全基礎(chǔ)-ISO15408ISO15408ISO國際標準化組織于1999年正式發(fā)布了ISO/IEC 15408。ISO/IEC JTC 1和Common Criteria Project Organisations共同制訂了此標準，此標準等同于Common Criteria V2.1。ISO/IEC 15408有一個通用的標題信息技術(shù)安全技術(shù)IT安全評估準則。此標準包含三個部分：第一部分 介紹和一般模型第二部分 安全功能需求第三部分 安全認證需求安全功能需求1 審計安全審計自動響應(yīng)、安全審計數(shù)據(jù)產(chǎn)生、安全審計分析、安全審計評估、安全審計事件選擇、安全審計事件存儲221.

18、10 信息安全基礎(chǔ)-ISO15408ISO15408231.10 信息安全基礎(chǔ)-ISO15408安全功能需求2 通信源不可否認、接受不可否認3 密碼支持密碼密鑰管理、密碼操作4 用戶數(shù)據(jù)保護訪問控制策略、訪問控制功能、數(shù)據(jù)鑒別、出口控制、信息流控制策略、信息流控制功能、入口控制、內(nèi)部安全傳輸、剩余信息保護、反轉(zhuǎn)、存儲數(shù)據(jù)的完整性、內(nèi)部用戶數(shù)據(jù)保密傳輸保護、內(nèi)部用戶數(shù)據(jù)完整傳輸保護5 鑒別和認證認證失敗安全、用戶屬性定義、安全說明、用戶認證、用戶鑒別、用戶主體裝訂6 安全管理安全功能的管理、安全屬性管理、安全功能數(shù)據(jù)管理、撤回、安全屬性終止、安全管理角色7 隱私匿名、使用假名、可解脫性、可隨意性

19、231.10 信息安全基礎(chǔ)-ISO15408安全功能需求241.10 信息安全基礎(chǔ)-ISO15408安全功能需求8 安全功能保護底層抽象及其測試、失敗安全、輸出數(shù)據(jù)的可用性、輸出數(shù)據(jù)的保密性、輸出數(shù)據(jù)的完整性、內(nèi)部數(shù)據(jù)傳輸安全、物理保護、可信恢復(fù)、重放檢測、參考仲裁、領(lǐng)域分割、狀態(tài)同步協(xié)議、時間戳、內(nèi)部數(shù)據(jù)的一致性、內(nèi)部數(shù)據(jù)復(fù)制的一致性、安全自檢。9 資源利用容錯、服務(wù)優(yōu)先權(quán)、資源分配10 訪問可選屬性范圍限制、多并發(fā)限制、鎖、訪問標志、訪問歷史、session建立11 可信通道/信道內(nèi)部可信通道、可信通道241.10 信息安全基礎(chǔ)-ISO15408安全功能需求251.10 信息安全基礎(chǔ)-IS

20、O15408安全認證需求1 配置管理2 分發(fā)和操作3 開發(fā)4 指導(dǎo)文檔5 生命周期支持6 測試7 漏洞評估251.10 信息安全基礎(chǔ)-ISO15408安全認證需求261.11 信息安全基礎(chǔ)-ISO13335ISO13335(CIA + Accountability, Authenticity, Reliability)ISO13335是一個信息安全管理指南，這個標準的主要目的就是要給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分。第一部分：IT安全的概念和模型（Concepts and models for IT Security）第二部分：IT安全的管理和計劃（Managi

21、ng and planning IT Security）第三部分：IT安全的技術(shù)管理（Techniques for the management of IT Security）第四部分：防護的選擇（Selection of safeguards）第五部分：網(wǎng)絡(luò)安全管理指南（Management guidance on network security）261.11 信息安全基礎(chǔ)-ISO13335ISO13335271.11 信息安全基礎(chǔ)-ISO13335ISO13335第一部分：IT安全的概念和模型發(fā)布于1996年12月15日。該部分包括了對IT安全和安全管理的一些基本概念和模型的介紹第二部分

22、：IT安全的管理和計劃發(fā)布于1997年12月15日。這個部分建議性地描述了IT安全管理和計劃的方式和要點，包括決定IT安全目標、戰(zhàn)略和策略決定組織IT安全需求管理IT安全風(fēng)險計劃適當(dāng)IT安全防護措施的實施開發(fā)安全教育計劃策劃跟進的程序，如監(jiān)控、復(fù)查和維護安全服務(wù)開發(fā)事件處理計劃271.11 信息安全基礎(chǔ)-ISO13335ISO13335281.11 信息安全基礎(chǔ)-ISO13335ISO13335第三部分：IT安全的技術(shù)管理發(fā)布于1998年6月15日。這個部分覆蓋了風(fēng)險管理技術(shù)、IT安全計劃的開發(fā)以及實施和測試，還包括一些后續(xù)的制度審查、事件分析、IT安全教育程序等。第四部分：防護的選擇發(fā)布于2

23、000年3月1日。這個部分主要探討如何針對一個組織的特定環(huán)境和安全需求來選擇防護措施。這些措施不僅僅包括技術(shù)措施。第五部分：網(wǎng)絡(luò)安全管理指南這個部分是基于ISO/IEC TR 13335第四部分建立的，介紹了如何確定與網(wǎng)絡(luò)連接相關(guān)的保護域。281.11 信息安全基礎(chǔ)-ISO13335ISO13335291.11 信息安全基礎(chǔ)-ISO13335291.11 信息安全基礎(chǔ)-ISO13335301.12 信息安全基礎(chǔ)-GB18336GB18336GB/T 18336：2001信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則（等同于ISO/IEC15408-1999）（通常也簡稱通用準則-CC）已于2001

24、年3月正式頒布，該標準是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準則。ISO/IEC15408-1999是國際標準化組織統(tǒng)一現(xiàn)有多種評估準則努力的結(jié)果，是在美國、加拿大、歐洲等國家和地區(qū)分別自行推出測評準則并具體實踐的基礎(chǔ)上，通過相互間的總結(jié)和互補發(fā)展起來的。301.12 信息安全基礎(chǔ)-GB18336GB18336311.13 信息安全基礎(chǔ)-等級保護等級保護信息系統(tǒng)的安全保護等級分為以下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益

25、造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。311.13 信息安全基礎(chǔ)-等級保護等級保護321.13 信息安全基礎(chǔ)-等級保護等級保護第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導(dǎo)。第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)

26、依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標準和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。第五級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標準和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。321.13 信息安全基礎(chǔ)-等級保護等級保護33信息安全與審計基礎(chǔ)及理論知識究竟什么是信息安全審計PDCA （監(jiān)督與保障）Syslog （日志）Audit Trail （審計

27、留痕）33信息安全與審計基礎(chǔ)及理論知識究竟什么是信息安全審計34信息安全與審計基礎(chǔ)及理論知識34信息安全與審計基礎(chǔ)及理論知識35信息安全與審計基礎(chǔ)及理論知識信息安全審計目的是什么讓別人難堪？顯示我們的聰明與他們的錯誤？展示審計的權(quán)力？內(nèi)審與外審1,為了保證提供獨立的審計委員會（和高級管理）的內(nèi)部控制措施，在公司內(nèi)有效地運作2,為了改善公司的內(nèi)部控制，促進和幫助該公司確定的控制弱點，和制定解決這些弱點成本效益的解決方案，內(nèi)部控制的狀態(tài)。35信息安全與審計基礎(chǔ)及理論知識信息安全審計目的是什么36信息安全與審計基礎(chǔ)及理論知識怎樣做好信息安全審計工作領(lǐng)導(dǎo)的推動與支持審計的方式不是挑毛病，而是交朋友積累

28、專業(yè)知識36信息安全與審計基礎(chǔ)及理論知識怎樣做好信息安全審計工作37如果開始信息安全審計工作采用一個標準建立一套系統(tǒng)充實與完善細則內(nèi)容執(zhí)行與監(jiān)督ISO27001ISMSNet/OS/DBACTS1234信息安全與審計基礎(chǔ)及理論知識37如果開始信息安全審計工作ISO27001ISMSNet/38信息安全與審計基礎(chǔ)及理論知識資質(zhì)與認證BSIDNV指定評測或認證機構(gòu)CISSPCISALA38信息安全與審計基礎(chǔ)及理論知識資質(zhì)與認證391.6 信息安全基礎(chǔ)-權(quán)威認證CISSP介紹安全管理Security Management Practices安全架構(gòu)與模型Security Architecture a

29、nd Models訪問控制Access Control應(yīng)用與系統(tǒng)開發(fā)Applications and Systems Development操作安全Operations Security物理安全Physical Security加密Cryptography通信與網(wǎng)絡(luò)Telecommunications and Networking業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)Business Continuity Planning/DRP法律，事后取證Law, Investigation, and Ethics391.6 信息安全基礎(chǔ)-權(quán)威認證CISSP介紹401.6 信息安全基礎(chǔ)-權(quán)威認證CISA介紹( )CISA考

30、試每年舉行兩次，分別為每年的六月和十二月的第二周星期六，六月和十二月考試中國學(xué)員均可以選擇中文和英文考試，在中國考試從上午九點開始，共四個小時13點結(jié)束包括六部分內(nèi)容，各自所占比例如下： 信息系統(tǒng)審計過程（占10%） IT治理（占15%） 系統(tǒng)和生命周期管理（占16%） IT服務(wù)的交付與支持（占14%） 信息資產(chǎn)保護（占31%） 業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計劃（占14%）401.6 信息安全基礎(chǔ)-權(quán)威認證CISA介紹(www.is管理指引適用范圍適用范圍：本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的法人商業(yè)銀行。參照范圍： 政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)

31、管理公司、信托公司、財務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀公司等其他銀行業(yè)金融機構(gòu)。41管理指引適用范圍適用范圍：41管理指引管理職責(zé)商業(yè)銀行法定代表人是本機構(gòu)信息科技風(fēng)險管理的第一責(zé)任人，負責(zé)組織本指引的貫徹落實。董事會：遵守并貫徹執(zhí)行國家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標準，落實中國銀行業(yè)監(jiān)督管理委員會（以下簡稱銀監(jiān)會）相關(guān)監(jiān)管要求。 首席信息官：確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險管理策略。負責(zé)建立一個切實有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。確保其履行：信息科技預(yù)算和支出、信息科技策略、標準和流程、信息科技內(nèi)部控制、專業(yè)化研

32、發(fā)、信息科技項目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運行、維護和升級、信息安全管理、災(zāi)難恢復(fù)計劃、信息科技外包和信息系統(tǒng)退出等職責(zé)。 特定部門負責(zé)信息科技風(fēng)險管理工作:為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計劃和合規(guī)性風(fēng)險等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實施持續(xù)信息科技風(fēng)險評估，跟蹤整改意見的落實，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。 內(nèi)部審計部門設(shè)立專門的信息科技風(fēng)險審計崗位:負責(zé)信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計。人員安全

33、和法規(guī)：入職前審查、入職中教育、降低離職的損失 知識產(chǎn)權(quán)保護總體原則：自上而下、明確分工42管理指引管理職責(zé)商業(yè)銀行法定代表人是本機構(gòu)信息科技風(fēng)險管理指引風(fēng)險管理涉及范圍：信息分級與保護、信息系統(tǒng)開發(fā)、測試和維護、信息科技運行和維護、訪問控制、物理安全、人員安全、業(yè)務(wù)連續(xù)性計劃與應(yīng)急處置。制定持續(xù)的風(fēng)險識別和評估流程識別隱患評價影響排序制定措施及安排資源措施：風(fēng)險管理制度、技術(shù)標準、操作規(guī)程權(quán)限管理：高權(quán)限用戶的審查、物理和邏輯控制、最小化和必須知道原則、授權(quán)審批和驗證。風(fēng)險監(jiān)測：評價機制、程序和標準、報告機制、整改機制、定期審查（已有體系、控制臺、新技術(shù)、外部威脅）43管理指引風(fēng)險管理涉及范

34、圍：信息分級與保護、信息系統(tǒng)開發(fā)管理指引信息安全科技部門：信息分類和保護體系、安全教育和貫徹信息安全體系：安全制度管理、安全組織管理、資產(chǎn)管理、人員安全、物理與環(huán)境安全、通信與運營管理、訪問控制管理、系統(tǒng)開發(fā)與維護管理、事故管理、業(yè)務(wù)連續(xù)性、合規(guī)性管理。用戶認證與授權(quán)：必須知道、離職的權(quán)限移除物理保護區(qū)域劃分與保護：物理、邏輯訪問控制、內(nèi)容過濾、傳輸、監(jiān)控、記錄系統(tǒng)安全：安全規(guī)范、權(quán)限分配、帳戶審計、補丁管理、日志監(jiān)控所有系統(tǒng)：職責(zé)分配、認證、輸入輸出、數(shù)據(jù)保密、審計蹤跡44管理指引信息安全科技部門：信息分類和保護體系、安全教育管理指引信息安全（續(xù)）日志管理:交易日志、系統(tǒng)日志 記錄內(nèi)容、覆蓋

35、范圍、保存期限加密措施：符合國家要求、人員要求、強度要求、密鑰管理定期檢查：包括臺式個人計算機（PC）、便攜式計算機、柜員終端、自動柜員機（ATM）、存折打印機、讀卡器、銷售終端（POS）和個人數(shù)字助理（PDA）等管理客戶信息：采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀的生命周期。Pci-dss？人員培訓(xùn)。45管理指引信息安全（續(xù)）日志管理:交易日志、系統(tǒng)日志 管理指引開發(fā)管理職責(zé)：項目實施部門應(yīng)定期向信息科技管理委員會提交重大信息科技項目的進度報告，由其進行審核，進度報告應(yīng)當(dāng)包括計劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，組織對系統(tǒng)的后

36、評價，并根據(jù)評價結(jié)果及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。項目風(fēng)險：潛在的各種操作風(fēng)險、財務(wù)損失風(fēng)險和因無效項目規(guī)劃或不適當(dāng)?shù)捻椖抗芾砜刂飘a(chǎn)生的機會成本，并采取適當(dāng)?shù)捻椖抗芾矸椒?。生命周期管理。變更管理：生產(chǎn)、開發(fā)、測試環(huán)境的物理區(qū)域和人員職責(zé)分離、緊急修復(fù)的記錄、變更審查。問題管理：全面的追蹤、分析和解決。ITIL？升級管理.46管理指引開發(fā)管理職責(zé)：項目實施部門應(yīng)定期向信息科技管理管理指引信息科技運行物理環(huán)境控制：電力供應(yīng)、自然災(zāi)害、基礎(chǔ)設(shè)施外來人員訪問：審查批準記錄陪同人員職責(zé)分離：運行與維護分離交易數(shù)據(jù)：可保存、機密性、完整性、可恢復(fù)操作說明：運營操作指南與規(guī)范。事故管理：報告分析追蹤解決。服

37、務(wù)水平管理：SlA。監(jiān)控、例外和預(yù)警。容量管理：外部變化和內(nèi)部業(yè)務(wù)。升級管理：記錄保存。變更管理：審批、記錄和更正緊急修復(fù)。47管理指引信息科技運行物理環(huán)境控制：電力供應(yīng)、自然災(zāi)害、管理指引業(yè)務(wù)連續(xù)性管理規(guī)劃：基于自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定規(guī)劃；定期演練。意外事件：內(nèi)部資源故障或缺失、信息丟失與受損、外部事件業(yè)務(wù)中斷：系統(tǒng)恢復(fù)和雙機熱備應(yīng)急恢復(fù)、保險以降低損失連續(xù)性策略：規(guī)劃（資源管理、優(yōu)先級、外部溝通）、更新、驗證、審核應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險管理部門或信息科技管理委員會確認。48管理指引業(yè)務(wù)連續(xù)性管理規(guī)劃：基于自身業(yè)務(wù)的性質(zhì)、規(guī)模和管理指引外包管理謹慎原則外包協(xié)議：適合業(yè)務(wù)和風(fēng)

38、險戰(zhàn)略、操作風(fēng)險、財務(wù)穩(wěn)定性和專業(yè)經(jīng)驗、平穩(wěn)過濾、外包商共用的風(fēng)險。合同談判：必要條件、監(jiān)督、所有權(quán)、損失補償、遵守規(guī)范、服務(wù)水平管理、變更服務(wù)水平管理：定性和定量指標、水平考核、不達標的處理數(shù)據(jù)安全保護：隔離、最小授權(quán)、保密協(xié)議、信息披露、禁止再外包、合同終止應(yīng)急措施：外包不可用外包合同審批：信息科技風(fēng)險管理部門、法律部門和信息科技管理委員會審核通過。并定期審核49管理指引外包管理謹慎原則49管理指引內(nèi)部審計內(nèi)審部門：系統(tǒng)控制的適當(dāng)性和有效性。審計人員資源和能力。審計責(zé)任：審計計劃、審計工作、整改檢查、專項審計。審計范圍和頻率：基于業(yè)務(wù)性質(zhì)、規(guī)模、復(fù)雜度、應(yīng)用情況、風(fēng)險評估結(jié)果。至少每三年一

39、次。審計參與：大規(guī)模審計時，風(fēng)險管理部門的參與。50管理指引內(nèi)部審計內(nèi)審部門：系統(tǒng)控制的適當(dāng)性和有效性。審管理指引外部審計外審機構(gòu)選擇：法律法規(guī)要求、能力要求審計溝通銀監(jiān)會及其派出機構(gòu)：必要時的檢查、審計授權(quán)書、保密協(xié)定、規(guī)定時間內(nèi)完成整改。51管理指引外部審計外審機構(gòu)選擇：法律法規(guī)要求、能力要求552ISMS信息安全與風(fēng)險管理框架介紹ISMSInformation Security Management System-ISMS 信息安全管理體系基于國際標準ISO/IEC27001：信息安全管理體系要求是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法ISMS是管理體系（MS）家族的一個

40、成員52ISMS信息安全與風(fēng)險管理框架介紹ISMS ISO27000系列標準介紹ISO/IEC27001:2005 ISO/IEC27001:2005的名稱 Information technology- Security techniques-Information security management systems-requirements 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求該標準用于：為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系提供模型，并規(guī)定了要求。該標準適用于：所有類型的組織（例如，商業(yè)企業(yè)、政府機構(gòu)、非贏利組織）。是建立和實施ISMS的依據(jù)，是ISMS認證

41、的依據(jù)。 ISO27000系列標準介紹ISO/IEC27001:20 ISO27000系列標準介紹ISO/IEC27002:2005 主要內(nèi)容 章節(jié)控制措施域控制目標控制措施5安全方針126信息安全組織2117資產(chǎn)管理258人力資源安全399物理和環(huán)境安全21310通信和操作管理103211訪問控制72512信息系統(tǒng)獲取、開發(fā)和維護61613信息安全事故管理2514業(yè)務(wù)連續(xù)性管理1515符合性310合計39133 ISO27000系列標準介紹ISO/IEC27002:2055COBIT框架介紹什么是Cobit是由信息系統(tǒng)審計和控制基金會ISACF（Information Systems Aud

42、it and Control Foundation）最早于1996年制定的IT治理模型，目前已經(jīng)更新至第四版。COBIT的制訂宗旨是跨越業(yè)務(wù)控制（business control）和IT控制之間的鴻溝，從而建立一個面向業(yè)務(wù)目標的IT控制框架。COBIT是IT治理的模型COBIT是基于控制的模型55COBIT框架介紹什么是Cobit與IT標準的關(guān)聯(lián)關(guān)系與IT審計的關(guān)系COBIT包含而不限于IT審計的模塊（Audit Guidline），但并非是針對IT審計的專門論述與BS7799、ITIL的關(guān)系側(cè)重不同。COBIT主要側(cè)重于處理企業(yè)治理中不同方面的需求，使信息管理、控制目標、IT審計等圍繞信息系

43、統(tǒng)管理控制的工作能夠在一個統(tǒng)一的平臺上協(xié)調(diào)開展。與IT標準的關(guān)聯(lián)關(guān)系與IT審計的關(guān)系572.信息安全相關(guān)內(nèi)容為什么要了解信息安全IT審計的主要內(nèi)容就是信息安全審計了解信息安全的問題，才能制定有效的解決辦法審計這些解決辦法的制定、實施、改進情況572.信息安全相關(guān)內(nèi)容為什么要了解信息安全IT審計的主要內(nèi)582.信息安全相關(guān)內(nèi)容掃描信息掃描Nmapportscan密碼掃描WebcrackEmailcracksolarwinds漏洞掃描NessusISS綜合掃描器Xscan流光SSSDBSCAN木馬探測582.信息安全相關(guān)內(nèi)容掃描信息掃描592.信息安全相關(guān)內(nèi)容密碼破解在線通常是密碼掃描工具，實時地

44、連接目標系統(tǒng)進行密碼猜測。另外也有一些工具有在線密碼破解功能，例如solarwinds、l0phtcrack等。對于WEB的cookie進行猜測破解對于內(nèi)存、緩存、視圖中的密碼進行破解，例如msn密碼。IE瀏覽器星號密碼等。離線通常是獲取了目標系統(tǒng)的用戶或者 密碼文件，通過對加密算法的還原，或者已知密文猜測明文、暴力破解等方式。離線破解的優(yōu)勢在于，不易被目標系統(tǒng)發(fā)現(xiàn)，并且可以分布式計算破解等。592.信息安全相關(guān)內(nèi)容密碼破解在線602.信息安全相關(guān)內(nèi)容密碼破解字典字典通常包括所有英文單詞，常用數(shù)字與符號，例如123、qwe、qaz、poi等等。中文字典可能包括單位、部門、姓名拼音的縮寫，例如c

45、mcc、yssh、zhc等。暴力暴力破解通常是按照一定的規(guī)則，將所有可能的字母、數(shù)字、符號等組合進行嘗試。也就是窮舉破解。暴力破解通常至少包括6位以下的字母、數(shù)字，包括所有生日。暴力破解不一定全部針對密碼，也有可能是對加密置換方法的窮舉。602.信息安全相關(guān)內(nèi)容密碼破解612.信息安全相關(guān)內(nèi)容密碼破解規(guī)則可定制規(guī)則的產(chǎn)生字典或者暴力破解的密碼集，例如將賬號倒過來，將字母與常用前、后綴組合，按照目標的習(xí)慣產(chǎn)生密碼等。例如creek123等。組合還可能包括將字母與數(shù)字互換，加上大小寫等。例如r00t!#、cr33k!23等。其他通過密碼找回功能，關(guān)聯(lián)分析功能、密碼重置或者密碼清除等進行密碼功能破解

46、。典型的工具crack、John、l0pht等。612.信息安全相關(guān)內(nèi)容密碼破解規(guī)則622.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取緩沖區(qū)溢出一般是堆棧緩沖區(qū)溢出，主要是利用目標系統(tǒng)存在的漏洞，使得堆棧區(qū)的數(shù)據(jù)越界，覆蓋和修改了同樣在堆棧中的程序返回地址，從而可以改變程序流，執(zhí)行特定構(gòu)造或者指定的程序代碼的方法。本地緩沖區(qū)溢出通常是針對suid程序，來獲得權(quán)限的提升。遠程緩沖區(qū)溢出是指通過網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)包通信，進行緩沖區(qū)溢出攻擊的方法。遠程服務(wù)通常都是超級用戶權(quán)限，因此通常溢出后直接得到超級權(quán)限。遠程服務(wù)溢出可能直接從遠程得到本地權(quán)限，因此不需要賬號密碼登錄。緩沖區(qū)溢出也可以被用來進行拒絕服務(wù)攻擊。

47、622.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取緩沖區(qū)溢出632.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取格式化字符串格式化字符串是指的，在程序中通常用%s做為參數(shù)來輸出動態(tài)的字符串，例如printf(“it is %s”, string)如果存在格式化字符串漏洞，則可以通過構(gòu)造string的內(nèi)容，造成岐義，例如string內(nèi)容又帶有%s，并且格式化字符串被多層引用。格式化字符串也可能造成與緩沖區(qū)溢出類似的效果。SQL注入SQL注入有點類似于格式化字符串。通常是指的網(wǎng)頁腳本程序，操作數(shù)據(jù)庫的代碼部分，如果對于輸入的變量未進行檢查，則可能通過特定構(gòu)造的輸入字符，造成拼接后的SQL語句語義的改變，從而達到控制

48、程序流運行。632.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取格式化字符串642.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取SQL注入“”，例如 源代碼是if “user” = “input” then 這里input是指我們輸入的用戶，我們輸入 aaa” or 1=“1 作為用戶名，那么程序成為if “user” = “aaa” or 1=“1 ”，這是恒等式。從而可以在不知道用戶名或者密碼的情況下繞過認證。；，輸入信息為 aaa ; echo /etc/passwd ，在unix下分號表示后面為獨立的命令，運行完當(dāng)前命令后，繼續(xù)運行分號后的命令。CGICGI就是通用網(wǎng)關(guān)接口，服務(wù)端的ASP、PHP、JSP

49、、PERL以及可執(zhí)行程序等都可以統(tǒng)稱為CGI程序。CGI程序可能存在漏洞，也可能存在泄露服務(wù)器信息的問題?？梢酝ㄟ^WEB服務(wù)器CGI功能掛馬。642.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取SQL注入652.信息安全相關(guān)內(nèi)容權(quán)限提升高權(quán)限用戶本地suid程序緩沖區(qū)溢出通常是權(quán)限提升的方法進程注入可以用來提升權(quán)限獲取密碼文件，破解密碼可以提升權(quán)限通過文件系統(tǒng)漏洞、臨時文件、符號鏈接等，獲取高級別用戶權(quán)限通過偽造欺騙，獲取高級別用戶密碼等權(quán)限突破Chroot、jailChroot是改變程序運行的絕對目錄為虛擬目錄。突破這種限制將可以訪問磁盤文件系統(tǒng)上的非授權(quán)訪問文件。652.信息安全相關(guān)內(nèi)容權(quán)限提升高權(quán)

50、限用戶662.信息安全相關(guān)內(nèi)容權(quán)限提升突破虛擬機虛擬機將所有程序限制在一定的磁盤空間、一定的內(nèi)存，一定的外設(shè)等，指令可能被替換和虛擬執(zhí)行突破虛擬機將可以對宿主機直接進行磁盤、內(nèi)存、外設(shè)的訪問。網(wǎng)絡(luò)的掃描與其他系統(tǒng)的權(quán)限獲取，也可能提升權(quán)限。例如信任主機、密碼文件獲取等。網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)竊聽也可能獲取密碼，提升權(quán)限。662.信息安全相關(guān)內(nèi)容權(quán)限提升突破虛擬機672.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)嗅探Sniffer，譯為嗅探、監(jiān)聽、竊聽，或者抓包。在同一個HUB上，數(shù)據(jù)包是廣播的，可以得到所有人的數(shù)據(jù)包，如果是明文協(xié)議，則可能得到登錄過程相應(yīng)的密碼。交換環(huán)境下，需要采取ARP欺騙相結(jié)合的手段進行交換環(huán)境的網(wǎng)絡(luò)

51、竊聽，主要代表工具是dsniff。網(wǎng)絡(luò)嗅探除了可能得到賬號密碼，也可能得到重要數(shù)據(jù)文件、重要操作過程與操作方法等。網(wǎng)絡(luò)嗅探通常是被動監(jiān)聽狀態(tài)，不向網(wǎng)絡(luò)發(fā)送任何數(shù)據(jù)包，比較隱蔽，不容易被發(fā)現(xiàn)，有些工具 能發(fā)現(xiàn)網(wǎng)絡(luò)中的嗅探器，例如promiscan等。672.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)嗅探Sniffer，譯為嗅探、監(jiān)682.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙IP欺騙通常偽造數(shù)據(jù)包的源IP地址，使得目標收到數(shù)據(jù)包后，無法找到來攻擊者來源。也可以偽造數(shù)據(jù)包的源IP地址，使得此IP地址成為被攻擊的對象。在能猜測TCP的SEQ號情況下，IP欺騙可能實現(xiàn)會話劫持的效果。ARP互聯(lián)網(wǎng)上的數(shù)據(jù)包到了局域網(wǎng)后，就需要通過局域網(wǎng)協(xié)

52、議傳輸，使用的是MAC地址和ARP協(xié)議。ARP欺騙通常是中間人攻擊。ARP欺騙可以是主動更新包，也可以免費響應(yīng)包。682.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙IP欺騙692.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙DNS(域名服務(wù))猜測DNS的序列號，窮舉同時發(fā)送所有的DNS數(shù)據(jù)包，可以實現(xiàn)DNS的會話劫持，從而可以改變DNS請求者的獲得的解析內(nèi)容，將域名解析到其他IP地址。直接控制DNS服務(wù)器，修改DNS解析內(nèi)容，也可能實現(xiàn)網(wǎng)絡(luò)欺騙，特別是根域名服務(wù)器影響會大，今年百度事件就是因為根域名服務(wù)器的域名解析被篡改。釣魚釣魚網(wǎng)站可能和真實網(wǎng)站做得外觀非常相似，域名也類似，通常用來竊取粗心用戶的用戶名與密碼。例如與工商銀行相似

53、的釣魚網(wǎng)站通過虛假中獎信息發(fā)布、免費注冊博客賬號等方式，誘騙不知情用戶輸入用戶名與密碼。692.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙DNS(域名服務(wù))702.信息安全相關(guān)內(nèi)容中間人與會話劫持中間人理論上，如果A與B通信，所有通信過程前沒有任何協(xié)商好的秘密，那么M一定可以用某種方法成為中間人，并且讓A與B并不知情。由于A與B事先無協(xié)商好的秘密，因此A無法鑒別正在與自己通信的是B還是M，同樣B也無法鑒別與自己通信的是A還是M。M可以通過某種方式成為A與B的中間人。作為中間的傳聲筒，A與B不知道自己發(fā)送的內(nèi)容是否被中間人替換，即使是加密的。會話劫持通常是通過中間的人方式來實現(xiàn)，也有可能通過某種方式造成原通信主機

54、拒絕服務(wù)后，由自己替代。702.信息安全相關(guān)內(nèi)容中間人與會話劫持中間人712.信息安全相關(guān)內(nèi)容跨站腳本攻擊Cross site script的縮寫，因為與CSS網(wǎng)頁樣式文件重名，因此簡寫為XSS攻擊者向Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁時，嵌入其中Web里面的html代碼會被執(zhí)行，通常在用戶不知情的情況下，中途訪問其他站點，收集用戶的COOKIE，或者自動下載木馬與運行等。欺騙其他人訪問自己構(gòu)造的頁面，通?？赡茉谠试SHTML語言輸入的BBS、博客等簽名文檔里構(gòu)造。712.信息安全相關(guān)內(nèi)容跨站腳本攻擊Cross site s722.信息安全相關(guān)內(nèi)容拒絕服務(wù)漏洞型協(xié)議漏洞Synflo

55、od(半開連接，資源耗盡)Fin攻擊(違反協(xié)議)Land(源/目的地址與端口都是被攻擊者)Smurf(源地址為被攻擊者或者廣播地址)CISCO的55、77協(xié)議服務(wù)漏洞例如snmpd漏洞使用ftp探測ibm某高端口等722.信息安全相關(guān)內(nèi)容拒絕服務(wù)漏洞型732.信息安全相關(guān)內(nèi)容拒絕服務(wù)流量型資源消耗+流量型分布式拒絕服務(wù)TargetAttackerMasterInternetZombies攻擊者主控機僵尸機目標機732.信息安全相關(guān)內(nèi)容拒絕服務(wù)流量型TargetAttac742.信息安全相關(guān)內(nèi)容后門木馬本地賬號后門密碼后門SHELLSUID后門替換命令/修改loginCrontab/atinit

56、tabRcXinitrc.login/.profile/.bashrc/.cshrcLKM742.信息安全相關(guān)內(nèi)容后門木馬本地752.信息安全相關(guān)內(nèi)容后門木馬網(wǎng)絡(luò)監(jiān)聽端口網(wǎng)頁CGI遠程連接IRC客戶端發(fā)送郵件ICMP通道Udp通道NC反向連接定時訪問752.信息安全相關(guān)內(nèi)容后門木馬網(wǎng)絡(luò)762.信息安全相關(guān)內(nèi)容無線網(wǎng)絡(luò)非加密不廣播SSID中文SSID超長SSIDWEPWPAAircrack-ngAiromon-ngAirodump-ng762.信息安全相關(guān)內(nèi)容無線網(wǎng)絡(luò)非加密772.信息安全相關(guān)內(nèi)容掃尾清除入侵信息清除過程文件清除core文件清除訪問日志修改文件、目錄時間修改/刪除日志修改shel

57、l記錄殺掉/重啟進程填補系統(tǒng)漏洞772.信息安全相關(guān)內(nèi)容掃尾清除入侵信息782.信息安全相關(guān)內(nèi)容其他社會工程學(xué)技術(shù)入侵不一定是最優(yōu)選擇權(quán)限集中可以被利用興趣愛好可以被利用操作習(xí)慣可以被利用782.信息安全相關(guān)內(nèi)容其他社會工程學(xué)792.信息安全相關(guān)內(nèi)容PKIPKI是Public Key Infrastructure的縮寫，是指用公鑰概念和技術(shù)來實施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。這個定義涵蓋的內(nèi)容比較寬，是一個被很多人接受的概念。這個定義說明，任何以公鑰技術(shù)為基礎(chǔ)的安全基礎(chǔ)設(shè)施都是PKI。當(dāng)然，沒有好的非對稱算法和好的密鑰管理就不可能提供完善的安全服務(wù)，也就不能叫做PKI。也就是說，該

58、定義中已經(jīng)隱含了必須具有的密鑰管理功能X.509標準中，為了區(qū)別于權(quán)限管理基礎(chǔ)設(shè)施(Privilege Management Infrastructure，簡稱PMI)，將PKI定義為支持公開密鑰管理并能支持認證、加密、完整性和可追究性服務(wù)的基礎(chǔ)設(shè)施。這個概念與第一個概念相比，不僅僅敘述PKI能提供的安全服務(wù)，更強調(diào)PKI必須支持公開密鑰的管理。也就是說，僅僅使用公鑰技術(shù)還不能叫做PKI，還應(yīng)該提供公開密鑰的管理。792.信息安全相關(guān)內(nèi)容PKIPKI是Public Key 802.信息安全相關(guān)內(nèi)容PKIPKI技術(shù)是信息安全技術(shù)的核心，PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封

59、、雙重數(shù)字簽名等。一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分： 公鑰密碼證書管理。 黑名單的發(fā)布和管理。 密鑰的備份和恢復(fù)。 自動更新密鑰。 自動管理歷史密鑰。 支持交叉認證。802.信息安全相關(guān)內(nèi)容PKIPKI技術(shù)是信息安全技術(shù)的核812.信息安全相關(guān)內(nèi)容VPNVPN的英文全稱是“Virtual Private Network” ，即虛擬專用網(wǎng)。VPN主要采用的四項安全保證技術(shù) 隧道技術(shù)加解密技術(shù)密鑰管理技術(shù)身份認證技術(shù)IPSec VPN: IPsec(縮寫IP Security)是保護IP協(xié)議安全通信的標準，它主要對IP協(xié)議分組進行加密和認證。 IPsec作為一個協(xié)議族（即一系

60、列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：保護分組流的協(xié)議；用來建立這些安全分組流的密鑰交換協(xié)議。812.信息安全相關(guān)內(nèi)容VPNVPN的英文全稱是“Virtu822.信息安全相關(guān)內(nèi)容VPNIPSec VPN: 前者又分成兩個部分： 加密分組流的封裝安全載荷（ESP）及較少使用的認證頭（AH），認證頭提供了對分組流的認證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。 PPTP VPN: Point to Point Tunneling Protocol 點到點隧道協(xié)議 ，在因特網(wǎng)上建立IP虛擬專用網(wǎng)（VPN）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)