【正文】 ? 共謀（ Collusion），進行欺詐（ Fraud）需要多個人共謀。有時候，組織可以選擇放棄某些可能引來風險的業(yè)務(wù)或資產(chǎn)，以此規(guī)避風險。 信息安全管理模型 ? 信息安全必須從整體考慮，必須做到 “ 有計劃有目標、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn) ” 這樣全程管理的思路，這就要求建立的是一套完整的信息安全管理體系，這樣的系統(tǒng)工程，只有處于組織最高管理者領(lǐng)導和支持之下，才可能成功 ? 最高管理層通過明確信息安全目標和方針為信息安全活動指引方向 ? 最高管理層能夠為信息安全活動提供必要的資源支持 ? 最高管理層能夠在重大問題上做出決策 ? 最高管理層可以協(xié)調(diào)組織不同單位不同環(huán)節(jié)的關(guān)系，提升促動力 ? 說到底，最高管理者是組織信息安全的最終責任人 組織高管全面負責信息安全管理 ? 制定有效的安全管理計劃，可以確保信息安全策略得到恰當執(zhí)行 ? 進行有效安全管理的途徑，應(yīng)該是自上而下的（ TopDown）： ? 最高管理層負責啟動并定義組織的安全方針 ? 管理中層負責將安全策略充實成標準、基線、指南和程序，并監(jiān)督執(zhí)行 ? 業(yè)務(wù)經(jīng)理或安全專家負責實施安全管理文件中的指定配置 ? 最終用戶負責遵守組織所有的安全策略 ? 安全管理計劃小組應(yīng)該開發(fā)三類計劃： ? 戰(zhàn)略計劃（ strategic plan） 是長期計劃（例如 5年），相對穩(wěn)定，定義了組織的目標和使命 ? 戰(zhàn)術(shù)計劃（ tactical plan） 是中期計劃（例如 1年），是對實現(xiàn)戰(zhàn)略計劃中既定目標的任務(wù)和進度的細節(jié)描述，例如雇用計劃、預(yù)算計劃、維護計劃、系統(tǒng)開發(fā)計劃等 ? 操作計劃（ operational plan） 是短期的高度細化的計劃，須經(jīng)常更新（每月或每季度），例如培訓計劃、系統(tǒng)部署計劃、產(chǎn)品設(shè)計計劃等 按計劃行事 ? 數(shù)據(jù)收集者（ Data Collector）對數(shù)據(jù)主體（ Data Subject）：準確（ Accuracy）、隱私（ Privacy）； ? 數(shù)據(jù)保管者（ Data Custodian）對數(shù)據(jù)擁有者（ Data Owner）：可用性（ Availability）、完整性（ Integrity）、保密性（ Confidentiality）； ? 數(shù)據(jù)用戶（ Data Users）對擁有者 /主體（ Owner/Subject）：保密性（ Confidentiality）和完整性； ? 系統(tǒng)用戶（ System Users）對系統(tǒng)擁有者（ System Owner）：可用性（ Availability）和軟件完整性（ Software Integrity）； ? 系統(tǒng)管理者（ System Manager）對用戶（ Users），可用性（ Integrity）、完整性（ Integrity）； ? 用戶（ Users）對其它用戶（ Other Users）：可用性（ Availability）。 ? 一張軟盤更改本地管理員密碼 Ntpassword ? 一張光盤更改本地管理員密碼 ERD Commander 2023 例子： ERD COMMANDER 例子： ERD COMMANDER 例子：得到他人的郵件密碼 ? 密碼監(jiān)聽器 通過監(jiān)聽得到密碼 通過監(jiān)聽得到密碼 通過監(jiān)聽得到密碼 例子：內(nèi)網(wǎng)滲透 ? 內(nèi)網(wǎng)主機訪問任意站點被入侵 ? 指定的 IP段中的用戶訪問的所有網(wǎng)站都插入一個框架代碼 idx 0 ip port 80 insert iframe src=‘ width=0 height=0 ARP協(xié)議工作原理 ARP欺騙交換機 ARP欺騙計算機 例子：內(nèi)網(wǎng) U盤感染 ? U盤在互聯(lián)網(wǎng)和局域網(wǎng)內(nèi)交叉使用文件被盜取 ? autorun風暴 [autorun] open= shell\open=打開 (O) shell\open\Command= .\ shell\open\Default=1 shell\explore=資源管理器 (X) shell\explore\Command= .\ 例子：查看網(wǎng)絡(luò)內(nèi)任何人的上網(wǎng)記錄 ? 可以記錄同一局域網(wǎng)內(nèi)任何計算機上瀏覽的網(wǎng)頁內(nèi)容，察看的郵箱內(nèi)容，登陸的 ftp的內(nèi)容。然而面對這種局面，我國卻缺乏像西方發(fā)達國家那樣健全的防范措施。 2023年黑客事件 ? 中韓新人王網(wǎng)上對抗 遭黑客入侵推遲 10多分鐘 中韓圍棋新人王對抗賽在中國的新浪網(wǎng)和韓國ｃｙｂｅｒ網(wǎng)站落子，孔杰七段執(zhí)白中盤戰(zhàn)勝韓國的宋泰坤四段。用 Outlook或者 Outlook Express接受的全部郵件都回同時被該軟件接收。 重要角色和職責 信息安全管風險管理 風險 風險管理（ Risk Management）就是識別風險、評估風險、采取措施將風險減少到可接受水平，并維持這個風險水平的