【正文】 自強不息。 2023年 1月 23日星期一 下午 8時 25分 13秒 20:25: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 :25:1320:25Jan2323Jan23 1越是無能的人，越喜歡挑剔別人的錯兒。 2023年 1月 23日星期一 8時 25分 13秒 20:25:1323 January 2023 1空山新雨后，天氣晚來秋。 20:25:1320:25:1320:25Monday, January 23, 2023 1不知香積寺，數(shù)里入云峰。 下午 8時 25分 13秒 下午 8時 25分 20:25: 沒有失敗，只有暫時停止成功！。 :25:1320:25:13January 23, 2023 1他鄉(xiāng)生白發(fā)，舊國見青山。 , January 23, 2023 雨中黃葉樹，燈下白頭人。 ?資產的移動 ? 設備、信息或軟件應根據(jù)授權確定是否允許帶出單位場所，并進行控制和 記錄 ? 設置 設備允許 離開的 時間 ，并作 符合性檢查和記錄 71 舉例 1—— 訪問控制措施 ?卡訪問控制或生物特征系統(tǒng) ? 磁卡、非接觸卡等 ? 指紋、視網(wǎng)膜掃描、簽名、聲音識別、手形等等 72 舉例 2—— 物理監(jiān)控措施 ?周邊入侵檢測系統(tǒng) ? 用來探測未經授權而進入的人，并發(fā)出警報 ? 現(xiàn)在最常用的入侵監(jiān)測系統(tǒng)是 機電式 的，能夠探測到電路的變化或斷路，例如：窗戶貼，繃緊線等 ? 一個常被忽略的脆弱點 —— 報警系統(tǒng) ?監(jiān)控系統(tǒng) ? 使用 照相機 通過 傳輸媒介 將圖片傳送到連接的 顯示器 的電視傳輸系統(tǒng) ? 與廣播電視是不同的，監(jiān)控系統(tǒng)的信號不是公開傳輸?shù)? 73 通信和操作管理 74 通信和操作管理 ?信息系統(tǒng)日常運行安全是信息安全管理的主要組成部分 ?為減少人為疏忽或故意誤用信息系統(tǒng)的幾率和風險，使信息系統(tǒng)在運行過程中的安全性得到保證，應當確立信息處理設施的管理和操作責任及程序 75 Why？ ?案例 ? 案例 1 ? 2023年 8月 30日，美國空軍一架 B52戰(zhàn)略轟炸機誤裝6枚核彈后，從北部的北達科他 州實彈飛往 南部的路易斯安那州 ? 案例 2 ? 數(shù)據(jù)庫管理員由于疏忽進行了誤操作 ,將重要的信息刪除了 ? 案例 3 ? 涉密計算機出現(xiàn)故障硬盤數(shù)據(jù)丟失，使用人員將硬盤拿到社會上的數(shù)據(jù)恢復公司進行恢復，造成秘密泄露 76 通信和操作管理目標（ 1） ?目標 ： ? 操作程序和責任 —— 確保正確、安全的操作信息處理設施 ? 第三方服務交付管理 —— 核查協(xié)議實施 ，確保第三方交付的服務符合要求 ? 系統(tǒng)規(guī)劃與驗收 —— 減少系統(tǒng)失效帶來的風險 ? 防范惡意代碼和移動代碼 —— 保護軟件和信息的完整性 ? 備份 —— 保持信息和信息處理設施的完整性和可用性 77 通信和操作管理目標（ 2） ?目標 ： ? 網(wǎng)絡安全管理 —— 確保對網(wǎng)絡中信息和支持性基礎設施的安全保護 ? 介質處置 —— 防止對資產的未授權泄漏、修改、移動或損壞，及對業(yè)務活動的干擾 ? 信息的交換 —— 應保持組織內部或組織與外部組織之間交換信息和軟件的安全 ? 電子商務服務 —— 確保電子商務的安全 及其 安全使用 ? 監(jiān)視 —— 檢測未經授權的信息處理活動 ，記錄信息安全事態(tài) 78 舉例 ?介質的處置 ? 要建立安全處置介質的正式規(guī)程 ? 不再需要的介質，要可靠并安全地處置 ? 物理破壞、安全刪除 79 訪問控制 80 Why? ?案例 1：飛機登機，旅客的身份證號區(qū)別了不同的人，身份證證明確實是這名旅客來乘機，安檢人員察看身份證和登機牌，掃描違禁物品后允許乘客登上機票中規(guī)定的航班 ?案例 2：登錄網(wǎng)站，用戶 ID區(qū)別了不同的用戶，輸入登錄密碼確定是這位用戶，網(wǎng)絡防火墻和服務器的權限管理系統(tǒng)允許用戶使用網(wǎng)站中可以使用的功能 81 訪問控制 ?訪問 控制是防止對資源的未授權訪問，保證資源在授權范圍內 使用 ?訪問 控制是對主體訪問客體權限或能力的一種限制，可從物理層、主機層、網(wǎng)絡層以及應用層設置多種控制 手段 來達到目標 82 控制目標 ? 業(yè)務 需求 —— 控制對信息的 訪問 ? 用戶訪問管理 —— 確保授權用戶的訪問 ，防止非 授權 訪問 ? 用戶職責 —— 防止未 授權用戶的 訪問、損害或竊取 ? 網(wǎng)絡訪問控制 —— 防止對網(wǎng)絡服務未經授權的 訪問 ? 操作系統(tǒng)訪問控制 —— 防止對操作系統(tǒng)的未授權 訪問 ? 應用與信息訪問 控制 —— 防止對應用系統(tǒng)中信息的未授權訪問 ? 移動計算和遠程工作 —— 確保在使用移動計算和遠程工作設施時信息的安全 83 舉例 ?系統(tǒng)和應用程序 ? 在登錄未成功前，不顯示系統(tǒng)的相關信息，以免為非法用戶提供方便 ? 登錄出錯時，系統(tǒng)不應該說明哪一部份數(shù)據(jù)正確、哪一部份數(shù)據(jù)出錯 84 信息系統(tǒng)獲取、開發(fā)和維護 85 信息系統(tǒng)獲取、開發(fā)和維護 ?目的 ? 通過科學嚴謹?shù)能浖_發(fā)方法，減少自開發(fā)軟件的漏洞 ，加強運行維護 ? 及時 發(fā)現(xiàn)系統(tǒng)的安全脆弱 點 ? 防止硬件 故障可能使信息系統(tǒng)無法正常 運行 ? 防止因設備 供應商的服務能力 不足而導致使 安全事件應急響應不及時 86 控制目標 ? 信息系統(tǒng) 安全 要求 ? 確保安全是信息系統(tǒng)的有機組成部分 ? 應用 中的正確 處理 ? 確保信息不被遺失、未授權的修改或誤用 ? 使用 密碼 技術 ? 保護信息的保密性、真實性或完整性 ? 保護系統(tǒng) 文件和 源代碼 ? 控制 文件和源代碼 使用，確保系統(tǒng)安全 ? 建立 變更 控制規(guī)程 ? 控制項目和支持環(huán)境，維護軟件信息安全 ? 技術脆弱性管理 ? 降低利用已公布脆弱性帶來的風險 87 信息安全事件管理 88 信息安全事件管理 ?目的 ? 及時發(fā)現(xiàn)安全事件，并在發(fā)生安全事件時執(zhí)行預先設定的處置 流程 ，阻止和減小安全事件帶來的影響 ? 在 事件處理完成后通過分析總結，評估單位信息安全工作的薄弱環(huán)節(jié)，并提出改進建議 89 控制目標 ?報告 安全 事態(tài)和弱點 ? 有正式報告規(guī)程和流程 ? 確保與信息系統(tǒng)有關的信息安全事態(tài)和弱點能及時上報和傳達 ?安全 事件 和改進的管理 ? 建立管理職責和規(guī)程，確保快速、有效和有序地響應信息安全事件 ? 建立量化和監(jiān)視信息安全事件的類型、數(shù)量和代價的機制 ? 收集和保留證據(jù)，確保符合法律要求 90 業(yè)務連續(xù)性管理 91 業(yè)務連續(xù)性管理 ?目的 ? 業(yè)務連續(xù)性管理是通過制定和實施一系列事先的策略和規(guī)劃，確保單位在面臨突發(fā)的災難事件時，關鍵業(yè)務功能能持續(xù)運作、有效的發(fā)揮作用，以保證業(yè)務的正常和 連續(xù) ? 防止業(yè)務活動中斷，保證重要業(yè)務流程不受重大故障與災難的影響 92 控制措施 ?確保把業(yè)務連續(xù)性的管理包含在組織的過程和結構中，滿足組織的信息安全需求 ?執(zhí)行風險評估，識別引起業(yè)務過程中斷的因素、發(fā)生的概率和影響，以及造成的后果 ?制定業(yè)務連續(xù)性計劃，滿足業(yè)務中斷或失敗后能夠在要求的水平和時間內確保信息的可用性 ?保持一致的業(yè)務連續(xù)性計劃框架，明確前提條件、應急規(guī)程和相關責任人 ?對業(yè)務連續(xù)性計劃定期測試和更新，確保其及時性和有效性 93 1符合性 94 符合性 ?符合性 ? 符合性管理就是要避免違反法律、法規(guī)、規(guī)章、合同的要求，以及本單位安全策略和制度標準的規(guī)定 ? 控制目標 ? 與法律法規(guī)要求的符合性 —— 避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求。信息技術部門是信息安全組織中的重要執(zhí)行機構，但不是全部。 ? 控制措施的分類： ? 預防性控制 ? 檢查性控制 ? 糾正性控制 26