【正文】 14:22:3614:22:3614:222/14/2023 2:22:36 PM 1越是沒有本領(lǐng)的就越加自命不凡。 14:22:3614:22:3614:22Tuesday, February 14, 2023 1乍見翻疑夢，相悲各問年。 ? 案例 2：機房中氣溫過高，導(dǎo)致計算機無法正常運行，造成業(yè)務(wù)中斷。 ? 案例 2：某單位信息安全評估，發(fā)現(xiàn)大部分服務(wù)器安全狀況良好，只有一臺服務(wù)器存在嚴重安全漏洞。 ? 但同樣的情況如果發(fā)生在現(xiàn)實生活中，結(jié)果就不一樣了。 14:22:3614:22:3614:22Tuesday, February 14, 2023 1不知香積寺，數(shù)里入云峰。 2023年 2月 14日星期二 2時 22分 36秒 14:22:3614 February 2023 1一個人即使已登上頂峰，也仍要自強不息。 14:22:3614:22:3614:222/14/2023 2:22:36 PM 1成功就是日復(fù)一日那一點點小小努力的積累。 66 訪問控制 ?控制目標 （ 1）訪問控制的業(yè)務(wù)要求 （ 2）用戶訪問管理 （ 3）用戶職責 （ 4）網(wǎng)絡(luò)訪問控制 （ 5）操作系統(tǒng)訪問控制 （ 6）應(yīng)用和信息訪問控制 （ 7）移動計算和遠程工作 67 (1)訪問控制的業(yè)務(wù)要求 ?控制目標 ： 基于業(yè)務(wù)目標和業(yè)務(wù)原則來控制對信息的訪問 ?控制措施 ：訪問控制策略 68 (2)用戶訪問管理 ?控制目標 ： 確保授權(quán)用戶能夠訪問信息系統(tǒng)，防止非授權(quán)的訪問 ?控制措施 ：用戶注冊 69 特殊權(quán)限管理 用戶口令管理 用戶訪問權(quán)的復(fù)查 (3)用戶職責 ?控制目標 ： 防止未授權(quán)用戶對信息和信息處理設(shè)施的訪問、危害或竊取 ?控制措施 ：口令使用 70 無人值守的用戶設(shè)備 清空桌面和屏幕策略 (4)網(wǎng)絡(luò)訪問控制 ?控制目標 ： 防止對網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問 ?控制措施 ：使用網(wǎng)絡(luò)服務(wù)的策略 71 網(wǎng)絡(luò)隔離 (5)操作系統(tǒng)訪問控制 ?控制目標 ： 防止對操作系統(tǒng)的未授權(quán)訪問 ?控制措施 ：安全登錄規(guī)程 72 用戶標識和鑒別 口令管理系統(tǒng) 系統(tǒng)實用工具的使用 (6)應(yīng)用和信息訪問控制 ?控制目標 ： 防止對應(yīng)用系統(tǒng)中信息的未授權(quán)訪問 ?控制措施 ：信息訪問限制 73 (7)移動計算和遠程工作 ?控制目標 ： 確保使用移動計算和遠程工作設(shè)施時的信息安全 ?控制措施 ：移動計算和通信 74 遠程工作 訪問控制思路 ?由于服務(wù)是分層次的，攻擊可能從各個層次發(fā)起，好的訪問控制應(yīng)該在多層面進行 只靠網(wǎng)絡(luò)防火墻不能抵抗所有的攻擊，操作系統(tǒng)層面、應(yīng)用安全層面都要做好訪問控制才行 網(wǎng)絡(luò)接口層 IP 應(yīng)用 TCP UDP 75 知識域：信息安全控制措施 知識子域： 信息系統(tǒng)獲取、開發(fā)與維護 ?理解信息系統(tǒng)的安全需求、應(yīng)用中的正確處理、密碼控制、系統(tǒng)文件的安全、開發(fā)和支持過程中的安全、技術(shù)脆弱性管理這些控制目標的含義 ?掌握實現(xiàn)這些控制目標的控制措施的實施方法 76 信息系統(tǒng)獲取、開發(fā)和維護 ?控制目標 （ 1）信息系統(tǒng)的安全要求 （ 2）應(yīng)用中的正確處理 （ 3）密碼控制 （ 4）系統(tǒng)文件的安全 （ 5）開發(fā)和支持過程中的安全 （ 6）技術(shù)脆弱性管理 77 (1)信息系統(tǒng)的安全需求 ?控制目標 ： 確保安全是信息系統(tǒng)的一個有機組成部分 ?控制措施 ： 安全需求分析和說明 78 安全信息系統(tǒng)獲取的基本原則和方法 ?安全信息系統(tǒng)獲取的基本原則 ? 符合國家、地區(qū)及行業(yè)的法律法規(guī) ? 量力而行，達到經(jīng)濟性與安全性間的平衡 ? 符合組織的安全策略與業(yè)務(wù)目標 ?安全信息系統(tǒng)的獲取策略 ? 外部采購 ? 自主開發(fā)或者自主開發(fā)與外包相結(jié)合 ? 采取何種獲取策略在項目立項與可行性分析過程中得出結(jié)論 79 信息系統(tǒng)購買流程 ?選擇中標供應(yīng)商，并簽訂合同 ? 源代碼托管 (Source Code Escrow) ? 安全緊急響應(yīng)條款 ? 售后服務(wù)協(xié)議 ? 安全培訓(xùn) ? 業(yè)務(wù)連續(xù)性與災(zāi)備條款 需求 分析 市場 招標 評標 選擇 供應(yīng)商 簽訂 合同 系統(tǒng) 實施 系統(tǒng) 運維 80 (2)應(yīng)用中的正確處理 ?控制目標 ： 防止應(yīng)用系統(tǒng)中信息的錯誤、遺失、非授權(quán)修改及誤用 ?控制措施 ：輸入數(shù)據(jù)驗證 81 內(nèi)部處理的控制 消息完整性 輸出數(shù)據(jù)驗證 (3)密碼控制 ?控制目標 ： 通過密碼方法保護信息的保密性、真實性或完整性 ?控制措施 ：使用密碼控制的策略 82 密鑰管理 (4)系統(tǒng)文件的安全 ?控制目標 ： 確保系統(tǒng)文件的安全 ?控制措施 ：運行軟件的控制 83 系統(tǒng)測試數(shù)據(jù)的保護 對程序源代碼的訪問控制 (5)開發(fā)和支持過程中的安全 ?控制目標 ： 維護應(yīng)用系統(tǒng)軟件和信息的安全 ?控制措施 ：變更控制程序 84 操作系統(tǒng)變更后應(yīng)用的技術(shù)評審 軟件包變更的限制 外包軟件開發(fā) (6)技術(shù)脆弱性管理 ?控制目標 ： 降低利用公布的技術(shù)脆弱性導(dǎo)致的風險 ?控制措施 ：技術(shù)脆弱性控制 85 小結(jié) ?安全是信息系統(tǒng)需求的重要組成部分 ?信息系統(tǒng)安全建設(shè)要符合國家法律法規(guī)，符合組織業(yè)務(wù)目標，量力而行 ?信息系統(tǒng)即使是外購方式獲取，其產(chǎn)生的連帶安全責任仍然停留在組織內(nèi)部 ?信息系統(tǒng)的安全性可以由專業(yè)的安全人員、組織的安全策略、以及嵌入到管理流程中的一系列安全控制過程來保障 86 知識域：信息安全控制措施 知識子域： 符合性 ?理解符合法律要求、符合安全策略和標準以及技術(shù)符合性、信息系統(tǒng)審核考慮這些控制目標的含義 ?掌握實現(xiàn)這些控制目標的控制措施的實施方法 87 Why？ ?案例： ? 目前， Inter上至少有三萬多個公開的黑客網(wǎng)站，這些網(wǎng)站除了黑客知識與技能的培訓(xùn)外，還提供了大量的黑客