【正文】 義，掌握角色和職責(zé)、審查等控制措施的實(shí)施方法 ?理解任用中控制目標(biāo)的含義，掌握管理職責(zé)、信息安全意識(shí)教育和培訓(xùn)等控制措施的實(shí)施方法 ?理解任用的終止或變化控制目標(biāo)的含義，掌握終止職責(zé)、撤銷(xiāo)訪問(wèn)權(quán)等控制措施的實(shí)施方法 28 Why? ?那些曾經(jīng)發(fā)生過(guò)的事： ? 案例一： 2023年 3月中旬，匯豐控股發(fā)布公告，其旗下匯豐私人銀行 (瑞士 )的一名 IT員工，曾于三年前竊取了銀行客戶(hù)的資料，失竊的資料涉及 2023年 10月前在瑞士開(kāi)戶(hù)的現(xiàn)有客戶(hù)。 ? 案例二：某單位負(fù)責(zé)信息化工作的領(lǐng)導(dǎo)說(shuō)：“為什么要買(mǎi)防火墻？我們蓋樓時(shí)是嚴(yán)格按照國(guó)家消防有關(guān)規(guī)定施工的呀！” 29 人力資源安全 ?控制目標(biāo) （ 1）任用前 （ 2）任用中 （ 3）任用的終止或變化 30 (1)任用前 ?控制目標(biāo) ： 確保雇員、承包方人員和第三方人員理解其工作職責(zé)并適合預(yù)期角色，以降低設(shè)施被竊、欺詐和誤用的風(fēng)險(xiǎn) ?控制措施 ：角色和職責(zé) 31 審查 作用條款和條件 任用前 ?對(duì)擔(dān)任敏感和重要崗位的人員要考察其身份、學(xué)歷和技術(shù)背景、工作履歷和以往的違法違規(guī)記錄 ?要在合同或?qū)ｉT(mén)的協(xié)議中，明確其信息安全職責(zé) ?明確人員遵守安全規(guī)章制度、執(zhí)行特定的信息安全工作、報(bào)告安全事件或潛在風(fēng)險(xiǎn)的責(zé)任 32 (2)任用中 ?控制目標(biāo) ： 確保所有雇員、承包方和第三方人員了解信息安全威脅和危害，明確其工作應(yīng)承擔(dān)的安全職責(zé)和義務(wù)，如果違反安全規(guī)定將會(huì)受到的紀(jì)律處理，通過(guò)安全培訓(xùn)使其掌握信息處理設(shè)施的安全正確使用方法，以減少人為過(guò)失造成的風(fēng)險(xiǎn) ?控制措施 ：管理職責(zé) 33 信息安全意識(shí)、教育和培訓(xùn) 紀(jì)律處理過(guò)程 任用中 ?保證其充分了解所在崗位的信息安全角色和職責(zé) ?有針對(duì)性地進(jìn)行信息安全意識(shí)教育和技能培訓(xùn) ?及時(shí)有效的懲戒措施 34 (3)任用的終止或變化 ?控制目標(biāo) ： 確保雇員、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出一個(gè)組織或改變其任用關(guān)系，包括調(diào)換崗位或崗位職責(zé)發(fā)生變化 ?控制措施 ：終止職責(zé) 35 資產(chǎn)的歸還 撤銷(xiāo)訪問(wèn)權(quán) 離職可能引發(fā)的安全隱患 ?未刪除的賬戶(hù) ?未收回的各種權(quán)限 ? VPN、遠(yuǎn)程主機(jī)、企業(yè)郵箱和 VoIP等應(yīng)用 ?其它隱含信息 ? 網(wǎng)絡(luò)架構(gòu)、規(guī)劃，存在的漏洞 ? 同事的賬戶(hù)、口令和使用習(xí)慣等 這些信息和權(quán)限如果被離職的員工和攻擊者們惡意利用，很容易導(dǎo)致信息安全 事件 36 任用的終止 ?終止職責(zé) ： 組織應(yīng)該清晰定義和分配負(fù)責(zé)執(zhí)行任用終止或任用變更的相關(guān)職責(zé) ，如 通知相關(guān)人員人事變化， 向離職者重申 離職后仍需遵守的規(guī)定和承擔(dān)的義務(wù) ?歸還資產(chǎn) ： 保證離職人員歸還軟件、電腦、存儲(chǔ)設(shè)備、文件和其他設(shè)備 ?撤銷(xiāo)訪問(wèn)權(quán)限 ： 撤銷(xiāo)用戶(hù)名、門(mén)禁卡、 密 鑰、數(shù)字證書(shū)等 37 知識(shí)域：信息安全控制措施 知識(shí)子域： 物理和環(huán)境安全 ?理解人身安全的重要性 ?理解安全區(qū)域控制目標(biāo)的含義，掌握物理安全邊界、物理入口控制等控制措施的實(shí)施方法 ?理解設(shè)備安全控制目標(biāo)的含義，掌握設(shè)備安置和保護(hù)、支持性設(shè)施等控制措施的實(shí)施方法 38 Why？ ?那些曾經(jīng)發(fā)生過(guò)的事： ? 案例 1：間諜潛入機(jī)房，直接用移動(dòng)硬盤(pán)將服務(wù)器中的重要數(shù)據(jù)拷貝走。 ?案例 2：數(shù)據(jù)庫(kù)管理員由于疏忽進(jìn)行了誤操作 ,將重要的信息刪除了。 66 訪問(wèn)控制 ?控制目標(biāo) （ 1）訪問(wèn)控制的業(yè)務(wù)要求 （ 2）用戶(hù)訪問(wèn)管理 （ 3）用戶(hù)職責(zé) （ 4）網(wǎng)絡(luò)訪問(wèn)控制 （ 5）操作系統(tǒng)訪問(wèn)控制 （ 6）應(yīng)用和信息訪問(wèn)控制 （ 7）移動(dòng)計(jì)算和遠(yuǎn)程工作 67 (1)訪問(wèn)控制的業(yè)務(wù)要求 ?控制目標(biāo) ： 基于業(yè)務(wù)目標(biāo)和業(yè)務(wù)原則來(lái)控制對(duì)信息的訪問(wèn) ?控制措施 ：訪問(wèn)控制策略 68 (2)用戶(hù)訪問(wèn)管理 ?控制目標(biāo) ： 確保授權(quán)用戶(hù)能夠訪問(wèn)信息系統(tǒng)，防止非授權(quán)的訪問(wèn) ?控制措施 ：用戶(hù)注冊(cè) 69 特殊權(quán)限管理 用戶(hù)口令管理 用戶(hù)訪問(wèn)權(quán)的復(fù)查 (3)用戶(hù)職責(zé) ?控制目標(biāo) ： 防止未授權(quán)用戶(hù)對(duì)信息和信息處理設(shè)施的訪問(wèn)、危害或竊取 ?控制措施 ：口令使用 70 無(wú)人值守的用戶(hù)設(shè)備 清空桌面和屏幕策略 (4)網(wǎng)絡(luò)訪問(wèn)控制 ?控制目標(biāo) ： 防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問(wèn) ?控制措施 ：使用網(wǎng)絡(luò)服務(wù)的策略 71 網(wǎng)絡(luò)隔離 (5)操作系統(tǒng)訪問(wèn)控制 ?控制目標(biāo) ： 防止對(duì)操作系統(tǒng)的未授權(quán)訪問(wèn) ?控制措施 ：安全登錄規(guī)程 72 用戶(hù)標(biāo)識(shí)和鑒別 口令管理系統(tǒng) 系統(tǒng)實(shí)用工具的使用 (6)應(yīng)用和信息訪問(wèn)控制 ?控制目標(biāo) ： 防止對(duì)應(yīng)用系統(tǒng)中信息的未授權(quán)訪問(wèn) ?控制措施 ：信息訪問(wèn)限制 73 (7)移動(dòng)計(jì)算和遠(yuǎn)程工作 ?控制目標(biāo) ： 確保使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)的信息安全 ?控制措施 ：移動(dòng)計(jì)算和通信 74 遠(yuǎn)程工作 訪問(wèn)控制思路 ?由于服務(wù)是分層次的，攻擊可能從各個(gè)層次發(fā)起，好的訪問(wèn)控制應(yīng)該在多層面進(jìn)行 只靠網(wǎng)絡(luò)防火墻不能抵抗所有的攻擊，操作系統(tǒng)層面、應(yīng)用安全層面都要做好訪問(wèn)控制才行 網(wǎng)絡(luò)接口層 IP 應(yīng)用 TCP UDP 75 知識(shí)域：信息安全控制措施 知識(shí)子域： 信息系統(tǒng)獲取、開(kāi)發(fā)與維護(hù) ?理解信息系統(tǒng)的安全需求、應(yīng)用中的正確處理、密碼控制、系統(tǒng)文件的安全、開(kāi)發(fā)和支持過(guò)程中的安全、技術(shù)脆弱性管理這些控制目標(biāo)的含義 ?掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法 76 信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù) ?控制目標(biāo) （ 1）信息系統(tǒng)的安全要求 （ 2）應(yīng)用中的正確處理 （ 3）密碼控制 （ 4）系統(tǒng)文件的安全 （ 5）開(kāi)發(fā)和支持過(guò)程中的安全 （ 6）技術(shù)脆弱性管理 77 (1)信息系統(tǒng)的安全需求 ?控制目標(biāo) ： 確保安全是信息系統(tǒng)的一個(gè)有機(jī)組成部分 ?控制措施 ： 安全需求分析和說(shuō)明 78 安全信息系統(tǒng)獲取的基本原則和方法 ?安全信息系統(tǒng)獲取