【正文】 義，掌握角色和職責(zé)、審查等控制措施的實施方法 ?理解任用中控制目標的含義，掌握管理職責(zé)、信息安全意識教育和培訓(xùn)等控制措施的實施方法 ?理解任用的終止或變化控制目標的含義，掌握終止職責(zé)、撤銷訪問權(quán)等控制措施的實施方法 28 Why? ?那些曾經(jīng)發(fā)生過的事： ? 案例一： 2023年 3月中旬，匯豐控股發(fā)布公告，其旗下匯豐私人銀行 (瑞士 )的一名 IT員工，曾于三年前竊取了銀行客戶的資料，失竊的資料涉及 2023年 10月前在瑞士開戶的現(xiàn)有客戶。 ? 案例二：某單位負責(zé)信息化工作的領(lǐng)導(dǎo)說：“為什么要買防火墻？我們蓋樓時是嚴格按照國家消防有關(guān)規(guī)定施工的呀！” 29 人力資源安全 ?控制目標 （ 1）任用前 （ 2）任用中 （ 3）任用的終止或變化 30 (1)任用前 ?控制目標 ： 確保雇員、承包方人員和第三方人員理解其工作職責(zé)并適合預(yù)期角色，以降低設(shè)施被竊、欺詐和誤用的風(fēng)險 ?控制措施 ：角色和職責(zé) 31 審查 作用條款和條件 任用前 ?對擔(dān)任敏感和重要崗位的人員要考察其身份、學(xué)歷和技術(shù)背景、工作履歷和以往的違法違規(guī)記錄 ?要在合同或?qū)ｉT的協(xié)議中，明確其信息安全職責(zé) ?明確人員遵守安全規(guī)章制度、執(zhí)行特定的信息安全工作、報告安全事件或潛在風(fēng)險的責(zé)任 32 (2)任用中 ?控制目標 ： 確保所有雇員、承包方和第三方人員了解信息安全威脅和危害，明確其工作應(yīng)承擔(dān)的安全職責(zé)和義務(wù)，如果違反安全規(guī)定將會受到的紀律處理，通過安全培訓(xùn)使其掌握信息處理設(shè)施的安全正確使用方法，以減少人為過失造成的風(fēng)險 ?控制措施 ：管理職責(zé) 33 信息安全意識、教育和培訓(xùn) 紀律處理過程 任用中 ?保證其充分了解所在崗位的信息安全角色和職責(zé) ?有針對性地進行信息安全意識教育和技能培訓(xùn) ?及時有效的懲戒措施 34 (3)任用的終止或變化 ?控制目標 ： 確保雇員、承包方人員和第三方人員以一個規(guī)范的方式退出一個組織或改變其任用關(guān)系，包括調(diào)換崗位或崗位職責(zé)發(fā)生變化 ?控制措施 ：終止職責(zé) 35 資產(chǎn)的歸還 撤銷訪問權(quán) 離職可能引發(fā)的安全隱患 ?未刪除的賬戶 ?未收回的各種權(quán)限 ? VPN、遠程主機、企業(yè)郵箱和 VoIP等應(yīng)用 ?其它隱含信息 ? 網(wǎng)絡(luò)架構(gòu)、規(guī)劃，存在的漏洞 ? 同事的賬戶、口令和使用習(xí)慣等 這些信息和權(quán)限如果被離職的員工和攻擊者們惡意利用，很容易導(dǎo)致信息安全 事件 36 任用的終止 ?終止職責(zé) ： 組織應(yīng)該清晰定義和分配負責(zé)執(zhí)行任用終止或任用變更的相關(guān)職責(zé) ，如 通知相關(guān)人員人事變化， 向離職者重申 離職后仍需遵守的規(guī)定和承擔(dān)的義務(wù) ?歸還資產(chǎn) ： 保證離職人員歸還軟件、電腦、存儲設(shè)備、文件和其他設(shè)備 ?撤銷訪問權(quán)限 ： 撤銷用戶名、門禁卡、 密 鑰、數(shù)字證書等 37 知識域：信息安全控制措施 知識子域： 物理和環(huán)境安全 ?理解人身安全的重要性 ?理解安全區(qū)域控制目標的含義，掌握物理安全邊界、物理入口控制等控制措施的實施方法 ?理解設(shè)備安全控制目標的含義，掌握設(shè)備安置和保護、支持性設(shè)施等控制措施的實施方法 38 Why？ ?那些曾經(jīng)發(fā)生過的事： ? 案例 1：間諜潛入機房，直接用移動硬盤將服務(wù)器中的重要數(shù)據(jù)拷貝走。 ?案例 2：數(shù)據(jù)庫管理員由于疏忽進行了誤操作 ,將重要的信息刪除了。 66 訪問控制 ?控制目標 （ 1）訪問控制的業(yè)務(wù)要求 （ 2）用戶訪問管理 （ 3）用戶職責(zé) （ 4）網(wǎng)絡(luò)訪問控制 （ 5）操作系統(tǒng)訪問控制 （ 6）應(yīng)用和信息訪問控制 （ 7）移動計算和遠程工作 67 (1)訪問控制的業(yè)務(wù)要求 ?控制目標 ： 基于業(yè)務(wù)目標和業(yè)務(wù)原則來控制對信息的訪問 ?控制措施 ：訪問控制策略 68 (2)用戶訪問管理 ?控制目標 ： 確保授權(quán)用戶能夠訪問信息系統(tǒng)，防止非授權(quán)的訪問 ?控制措施 ：用戶注冊 69 特殊權(quán)限管理 用戶口令管理 用戶訪問權(quán)的復(fù)查 (3)用戶職責(zé) ?控制目標 ： 防止未授權(quán)用戶對信息和信息處理設(shè)施的訪問、危害或竊取 ?控制措施 ：口令使用 70 無人值守的用戶設(shè)備 清空桌面和屏幕策略 (4)網(wǎng)絡(luò)訪問控制 ?控制目標 ： 防止對網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問 ?控制措施 ：使用網(wǎng)絡(luò)服務(wù)的策略 71 網(wǎng)絡(luò)隔離 (5)操作系統(tǒng)訪問控制 ?控制目標 ： 防止對操作系統(tǒng)的未授權(quán)訪問 ?控制措施 ：安全登錄規(guī)程 72 用戶標識和鑒別 口令管理系統(tǒng) 系統(tǒng)實用工具的使用 (6)應(yīng)用和信息訪問控制 ?控制目標 ： 防止對應(yīng)用系統(tǒng)中信息的未授權(quán)訪問 ?控制措施 ：信息訪問限制 73 (7)移動計算和遠程工作 ?控制目標 ： 確保使用移動計算和遠程工作設(shè)施時的信息安全 ?控制措施 ：移動計算和通信 74 遠程工作 訪問控制思路 ?由于服務(wù)是分層次的，攻擊可能從各個層次發(fā)起，好的訪問控制應(yīng)該在多層面進行 只靠網(wǎng)絡(luò)防火墻不能抵抗所有的攻擊，操作系統(tǒng)層面、應(yīng)用安全層面都要做好訪問控制才行 網(wǎng)絡(luò)接口層 IP 應(yīng)用 TCP UDP 75 知識域：信息安全控制措施 知識子域： 信息系統(tǒng)獲取、開發(fā)與維護 ?理解信息系統(tǒng)的安全需求、應(yīng)用中的正確處理、密碼控制、系統(tǒng)文件的安全、開發(fā)和支持過程中的安全、技術(shù)脆弱性管理這些控制目標的含義 ?掌握實現(xiàn)這些控制目標的控制措施的實施方法 76 信息系統(tǒng)獲取、開發(fā)和維護 ?控制目標 （ 1）信息系統(tǒng)的安全要求 （ 2）應(yīng)用中的正確處理 （ 3）密碼控制 （ 4）系統(tǒng)文件的安全 （ 5）開發(fā)和支持過程中的安全 （ 6）技術(shù)脆弱性管理 77 (1)信息系統(tǒng)的安全需求 ?控制目標 ： 確保安全是信息系統(tǒng)的一個有機組成部分 ?控制措施 ： 安全需求分析和說明 78 安全信息系統(tǒng)獲取的基本原則和方法 ?安全信息系統(tǒng)獲取