信息安全審計(jì)培訓(xùn)講義.完整版PPT

1、信息平安審計(jì)培訓(xùn)講義信息平安與審計(jì)根底及理論知識(shí)信息安全與審計(jì)的概念、目標(biāo)、范圍信息安全審計(jì)/IT審計(jì)/信息系統(tǒng)安全審計(jì)審計(jì)應(yīng)該是獨(dú)立的。審計(jì)與信息安全的目標(biāo)是一致的，而不是對(duì)立的。信息安全與IT審計(jì)的關(guān)系信息安全其中一項(xiàng)必不可少的內(nèi)容是IT審計(jì)IT審計(jì)主要針對(duì)的是信息安全，也包含其他內(nèi)容信息安全與IT審計(jì)有很大的重合點(diǎn)1.不懂信息安全如何進(jìn)行IT審計(jì)2.要做好IT審計(jì)必須了解信息安全一、信息平安根底與理論1.1 信息平安內(nèi)容概述1.2 美國(guó)標(biāo)準(zhǔn)TCSEC1.3 歐洲標(biāo)準(zhǔn)ITSEC1.4 CC標(biāo)準(zhǔn)1.5 CC、TCSEC、ITSEC對(duì)應(yīng)關(guān)系1.6 CISSP介紹1.7 SSE-CMM 1.8

2、BS7799/ISO7799/ISO270011.9 ITIL一、信息平安根底與理論1.10 ISO154081.11 ISO133351.12 GB18336等級(jí)保護(hù)?商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引?1.1 信息平安根底-三要素信息平安內(nèi)容概述計(jì)算機(jī)平安信息平安三要素Confidentiality IntegrityAvailability1.信息平安根底-北美標(biāo)準(zhǔn)TCSEC美國(guó)國(guó)防部(Trusted Computer Systems Evaluation Criteria)平安等級(jí)A 驗(yàn)證保護(hù)B 強(qiáng)制保護(hù)C 自主保護(hù)D 無(wú)保護(hù)FC美聯(lián)邦標(biāo)準(zhǔn)(Federal Criteria)CTCPEC加拿

3、大標(biāo)準(zhǔn)(Canadian Trusted Computer Product Evaluation Criteria)1.3 信息平安根底-歐洲標(biāo)準(zhǔn)ITSECInformation Technology Security Evaluation Criteria英法德荷四國(guó)制定ITSEC是歐洲多國(guó)平安評(píng)價(jià)方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域?yàn)檐婈?duì)、政府和商業(yè)。該標(biāo)準(zhǔn)將平安概念分為功能與評(píng)估兩局部。功能準(zhǔn)那么從F1F10共分10級(jí)。 15級(jí)對(duì)應(yīng)于TCSEC的D到A。F6至F10級(jí)分別對(duì)應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及機(jī)密性和完整性。與TCSEC不同,它并不把保密措施直接

4、與計(jì)算機(jī)功能相聯(lián)系,而是只表達(dá)技術(shù)平安的要求,把保密作為平安增強(qiáng)功能。另外,TCSEC把保密作為平安的重點(diǎn),而ITSEC那么把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(jí)(不滿(mǎn)足品質(zhì))到E6級(jí)(形式化驗(yàn)證)的7個(gè)平安等級(jí),對(duì)于每個(gè)系統(tǒng),平安功能可分別定義。1.4 信息平安根底-國(guó)際標(biāo)準(zhǔn)CC (Common Criteria)美英法德荷加六國(guó)制定的共同標(biāo)準(zhǔn)包含的類(lèi)FAU平安審計(jì)FCO通信FCS密碼支持FDP用戶(hù)數(shù)據(jù)保護(hù)FIA標(biāo)識(shí)與鑒別FMT平安管理FPR隱私FPTTSF保護(hù)(固件保護(hù)，TOE Security Functions, TOE Security Policy，(

5、Target Of Evaluation)FRU資源利用FTATOE訪問(wèn)FTP可信信道/路徑1.5 信息平安根底-國(guó)際標(biāo)準(zhǔn)CC、TCSEC、ITSEC對(duì)應(yīng)關(guān)系CCTCSECITSEC-DE0EAL1-EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E61.5 信息平安根底-國(guó)際標(biāo)準(zhǔn)CC分為三個(gè)局部：第1局部簡(jiǎn)介和一般模型，正文介紹了CC中的有關(guān)術(shù)語(yǔ)、根本概念和一般模型以及與評(píng)估有關(guān)的一些框架，附錄局部主要介紹保護(hù)輪廓PP和平安目標(biāo)ST的根本內(nèi)容。第2局部平安功能要求，按類(lèi)-子類(lèi)-組件的方式提出平安功能要求，每一個(gè)類(lèi)除正文以外，還有對(duì)應(yīng)的提示性附錄作進(jìn)

6、一步解釋。第3局部“平安保證要求，定義了評(píng)估保證級(jí)別，介紹了PP和ST的評(píng)估，并按“類(lèi)-子類(lèi)-組件的方式提出平安保證要求1.5 信息平安根底-國(guó)際標(biāo)準(zhǔn)CC的三個(gè)局部相互依存，缺一不可。第1局部是介紹CC的根本概念和根本原理第2局部提出了技術(shù)要求第3局部提出了非技術(shù)要求和對(duì)開(kāi)發(fā)過(guò)程、工程過(guò)程的要求。這三局部的有機(jī)結(jié)合具體表達(dá)在PP和ST 中，PP和ST的概念和原理由第1局部介紹，PP和ST中的平安功能要求和平安保證要求在第2、3局部選取，這些平安要求的完備性和一致性，由第2、3兩局部來(lái)保證。CC 作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)平安性的世界性通用準(zhǔn)那么，是信息技術(shù)平安性評(píng)估結(jié)果國(guó)際互認(rèn)的根底。1.5

7、信息平安根底-國(guó)際標(biāo)準(zhǔn)1.7 信息平安根底-SSE-CMMSSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系統(tǒng)平安工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支，是美國(guó)國(guó)家平安局(NSA)領(lǐng)導(dǎo)開(kāi)發(fā)的，是專(zhuān)門(mén)用于系統(tǒng)平安工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相應(yīng)評(píng)估方法2.0版發(fā)布。系統(tǒng)平安工程過(guò)程一共有三個(gè)相關(guān)組織過(guò)程：工程過(guò)程風(fēng)險(xiǎn)過(guò)程保證過(guò)程1.7 信息平安根底-SSE-CMMSSE-CMM共分5個(gè)能力級(jí)別，11個(gè)過(guò)程區(qū)域：根本執(zhí)行級(jí)、方案跟蹤級(jí)、

8、充分定義級(jí)、量化控制級(jí)、持續(xù)改進(jìn)級(jí)2002年SSE-CMM被國(guó)際標(biāo)準(zhǔn)化組織采納成為國(guó)際標(biāo)準(zhǔn)即ISO/IEC 21827:2002?信息技術(shù)系統(tǒng)平安工程成熟度模型?。SSE-CMM 和BS 7799 都提出了一系列最正確慣例，但BS 7799 是一個(gè)認(rèn)證標(biāo)準(zhǔn)第二局部，提出了一個(gè)可供認(rèn)證的ISMS 體系，組織應(yīng)該將其作為目標(biāo)，通過(guò)選擇適當(dāng)?shù)目刂拼胧┑谝痪植咳?shí)現(xiàn)。而SSE-CMM 那么是一個(gè)評(píng)估標(biāo)準(zhǔn)， 適合作為評(píng)估工程實(shí)施組織能力與資質(zhì)的標(biāo)準(zhǔn).1.8 信息平安根底-7799/27001BS7799BS 7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制定的信息平安管理體系標(biāo)準(zhǔn)，已得到了一些國(guó)家的采納，是國(guó)際上具有代表性的信

9、息平安管理體系標(biāo)準(zhǔn)。BS7799以下10個(gè)局部：信息平安政策平安組織資產(chǎn)分類(lèi)及控制人員平安物理及環(huán)境平安計(jì)算機(jī)及系統(tǒng)管理系統(tǒng)訪問(wèn)控制系統(tǒng)開(kāi)發(fā)與維護(hù)業(yè)務(wù)連續(xù)性規(guī)劃符合性1.8 信息平安根底-7799/27001ISO17799BS7799 Part 1的全稱(chēng)是Code of Practice for Information Security，也即為信息平安的實(shí)施細(xì)那么。2000年被采納為ISO/IEC 17799，目前其最新版本為2005版，也就是ISO 17799: 2005。ISO/IEC 17799:2005 通過(guò)層次構(gòu)造化形式提供平安策略、信息平安的組織構(gòu)造、資產(chǎn)管理、人力資源平安等11

10、個(gè)平安管理要素，還有39個(gè)主要執(zhí)行目標(biāo)和133個(gè)具體控制措施最正確實(shí)踐，供負(fù)責(zé)信息平安系統(tǒng)應(yīng)用和開(kāi)發(fā)的人員作為參考使用，以標(biāo)準(zhǔn)化組織機(jī)構(gòu)信息平安管理建立的內(nèi)容。1.8 信息平安根底-7799/27001ISO27001BS7799 Part 2的全稱(chēng)是Information Security Management Specification，也即為信息平安管理體系標(biāo)準(zhǔn)，其最新修訂版在05年10月正式成為ISO/IEC 27001:2005，ISO/IEC 27001是建立信息平安管理體系ISMS的一套標(biāo)準(zhǔn)，其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息平安管理體系的要求，可用來(lái)指導(dǎo)相關(guān)人員去應(yīng)用ISO/I

11、EC 17799，其最終目的，在于建立適合企業(yè)需要的信息平安管理體系ISMS。CC、SSE-CMM、BS 7799比照信息技術(shù)平安性評(píng)估準(zhǔn)那么(CC)和美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)估準(zhǔn)那么(TCSEC)等更側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評(píng)估系統(tǒng)平安工程能力成熟模型(SSE-CMM)更側(cè)重于對(duì)平安產(chǎn)品開(kāi)發(fā)、平安系統(tǒng)集成等平安工程過(guò)程的管理。在對(duì)信息系統(tǒng)日常平安管理方面，BS 7799的地位是其他標(biāo)準(zhǔn)無(wú)法取代的。1.8 信息平安根底-7799/27001BS7799BS7799涵蓋了平安管理所應(yīng)涉及的方方面面，全面而不失可操作性，提供了一個(gè)可持續(xù)提高的信息平安管理環(huán)境。推廣信息平安管理標(biāo)準(zhǔn)的關(guān)鍵在重視程

12、度和制度落實(shí)方面。標(biāo)準(zhǔn)存在一定缺乏對(duì)查看敏感信息等保密性缺少控制。標(biāo)準(zhǔn)中對(duì)評(píng)審控制和審計(jì)沒(méi)有區(qū)分標(biāo)準(zhǔn)中只在開(kāi)發(fā)和維護(hù)中簡(jiǎn)單涉及密碼技術(shù)某些方面可能不全面，但是它仍是目前可以用來(lái)到達(dá)一定預(yù)防標(biāo)準(zhǔn)的最好的指導(dǎo)標(biāo)準(zhǔn)。1.9 信息平安根底-ITILITILITIL的全稱(chēng)是信息技術(shù)根底設(shè)施庫(kù)Information Technology Infrastructure Library。ITIL針對(duì)一些重要的IT實(shí)踐，詳細(xì)描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等IT效勞管理中最主要的內(nèi)容就是效勞交付Service Delivery

13、和效勞支持Service Support效勞交付Service Delivery：Service Level Management Financial Management for IT Service Capacity Management IT Service Continuity Management Availability Management1.9 信息平安根底-ITILITILV3版本圖1.9 信息平安根底-ITIL效勞支持Service Support： Service Desk Incident Management Problem Management Configurat

14、ion Management Change Management Release ManagementBS150002001 年，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)在國(guó)際IT 效勞管理論壇itSMF上正式發(fā)布了以ITIL為核心的英國(guó)國(guó)家標(biāo)準(zhǔn)BS15000。這成為IT 效勞管理領(lǐng)域具有歷史意義的重大事件。1.9 信息平安根底-ITILBS15000 有兩個(gè)局部，目前都已經(jīng)轉(zhuǎn)化成國(guó)際標(biāo)準(zhǔn)了。 ISO/IEC 20000-1:2005 信息技術(shù)效勞管理-效勞管理標(biāo)準(zhǔn)Information technology service management. Specification for Service Management

15、 ISO/IEC 20000-2:2005 信息技術(shù)效勞管理- 效勞管理最正確實(shí)踐 Information technology service management. Code of Practice for Service Management與BS7799 相比ITIL 關(guān)注面更為廣泛信息技術(shù)，而且更側(cè)重于具體的實(shí)施流程。ISMS實(shí)施者可以將BS7799 作為ITIL 在信息平安方面的補(bǔ)充，同時(shí)引入ITIL 流程的方法，以此加強(qiáng)信息平安管理的實(shí)施能力。1.10 信息平安根底-ISO15408ISO15408ISO國(guó)際標(biāo)準(zhǔn)化組織于1999年正式發(fā)布了ISO/IEC 15408。ISO/IE

16、C JTC 1和Common Criteria Project Organisations共同制訂了此標(biāo)準(zhǔn)，此標(biāo)準(zhǔn)等同于Common Criteria V2.1。ISO/IEC 15408有一個(gè)通用的標(biāo)題信息技術(shù)平安技術(shù)IT平安評(píng)估準(zhǔn)那么。此標(biāo)準(zhǔn)包含三個(gè)局部：第一局部 介紹和一般模型第二局部 平安功能需求第三局部 平安認(rèn)證需求平安功能需求1 審計(jì)平安審計(jì)自動(dòng)響應(yīng)、平安審計(jì)數(shù)據(jù)產(chǎn)生、平安審計(jì)分析、平安審計(jì)評(píng)估、平安審計(jì)事件選擇、平安審計(jì)事件存儲(chǔ)1.10 信息平安根底-ISO15408平安功能需求2 通信源不可否認(rèn)、承受不可否認(rèn)3 密碼支持密碼密鑰管理、密碼操作4 用戶(hù)數(shù)據(jù)保護(hù)訪問(wèn)控制策略、訪問(wèn)控

17、制功能、數(shù)據(jù)鑒別、出口控制、信息流控制策略、信息流控制功能、入口控制、內(nèi)部平安傳輸、剩余信息保護(hù)、反轉(zhuǎn)、存儲(chǔ)數(shù)據(jù)的完整性、內(nèi)部用戶(hù)數(shù)據(jù)保密傳輸保護(hù)、內(nèi)部用戶(hù)數(shù)據(jù)完整傳輸保護(hù)5 鑒別和認(rèn)證認(rèn)證失敗平安、用戶(hù)屬性定義、平安說(shuō)明、用戶(hù)認(rèn)證、用戶(hù)鑒別、用戶(hù)主體裝訂6 平安管理平安功能的管理、平安屬性管理、平安功能數(shù)據(jù)管理、撤回、平安屬性終止、平安管理角色7 隱私匿名、使用假名、可解脫性、可隨意性1.10 信息平安根底-ISO15408平安功能需求8 平安功能保護(hù)底層抽象及其測(cè)試、失敗平安、輸出數(shù)據(jù)的可用性、輸出數(shù)據(jù)的保密性、輸出數(shù)據(jù)的完整性、內(nèi)部數(shù)據(jù)傳輸平安、物理保護(hù)、可信恢復(fù)、重放檢測(cè)、參考仲裁、領(lǐng)

18、域分割、狀態(tài)同步協(xié)議、時(shí)間戳、內(nèi)部數(shù)據(jù)的一致性、內(nèi)部數(shù)據(jù)復(fù)制的一致性、平安自檢。9 資源利用容錯(cuò)、效勞優(yōu)先權(quán)、資源分配10 訪問(wèn)可選屬性范圍限制、多并發(fā)限制、鎖、訪問(wèn)標(biāo)志、訪問(wèn)歷史、session建立11 可信通道/信道內(nèi)部可信通道、可信通道1.10 信息平安根底-ISO15408平安認(rèn)證需求1 配置管理2 分發(fā)和操作3 開(kāi)發(fā)4 指導(dǎo)文檔5 生命周期支持6 測(cè)試7 漏洞評(píng)估1.11 信息平安根底-ISO13335ISO13335(CIA + Accountability, Authenticity, Reliability)ISO13335是一個(gè)信息平安管理指南，這個(gè)標(biāo)準(zhǔn)的主要目的就是要給出如

19、何有效地實(shí)施IT平安管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)局部。第一局部：IT平安的概念和模型Concepts and models for IT Security第二局部：IT平安的管理和方案Managing and planning IT Security第三局部：IT平安的技術(shù)管理Techniques for the management of IT Security第四局部：防護(hù)的選擇Selection of safeguards第五局部：網(wǎng)絡(luò)平安管理指南Management guidance on network security1.11 信息平安根底-ISO13335ISO13335

20、第一局部：IT平安的概念和模型發(fā)布于1996年12月15日。該局部包括了對(duì)IT平安和平安管理的一些根本概念和模型的介紹第二局部：IT平安的管理和方案發(fā)布于1997年12月15日。這個(gè)局部建議性地描述了IT平安管理和方案的方式和要點(diǎn)，包括決定IT平安目標(biāo)、戰(zhàn)略和策略決定組織IT平安需求管理IT平安風(fēng)險(xiǎn)方案適當(dāng)IT平安防護(hù)措施的實(shí)施開(kāi)發(fā)平安教育方案籌劃跟進(jìn)的程序，如監(jiān)控、復(fù)查和維護(hù)平安效勞開(kāi)發(fā)事件處理方案1.11 信息平安根底-ISO13335ISO13335第三局部：IT平安的技術(shù)管理發(fā)布于1998年6月15日。這個(gè)局部覆蓋了風(fēng)險(xiǎn)管理技術(shù)、IT平安方案的開(kāi)發(fā)以及實(shí)施和測(cè)試，還包括一些后續(xù)的制度審

21、查、事件分析、IT平安教育程序等。第四局部：防護(hù)的選擇發(fā)布于2000年3月1日。這個(gè)局部主要探討如何針對(duì)一個(gè)組織的特定環(huán)境和平安需求來(lái)選擇防護(hù)措施。這些措施不僅僅包括技術(shù)措施。第五局部：網(wǎng)絡(luò)平安管理指南這個(gè)局部是基于ISO/IEC TR 13335第四局部建立的，介紹了如何確定與網(wǎng)絡(luò)連接相關(guān)的保護(hù)域。1.11 信息平安根底-ISO133351.12 信息平安根底-GB18336GB18336GB/T 18336：2001?信息技術(shù) 平安技術(shù) 信息技術(shù)平安性評(píng)估準(zhǔn)那么?等同于ISO/IEC15408-1999通常也簡(jiǎn)稱(chēng)通用準(zhǔn)那么-CC已于2001年3月正式公布，該標(biāo)準(zhǔn)是評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)平安

22、性的根底準(zhǔn)那么。ISO/IEC15408-1999是國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種評(píng)估準(zhǔn)那么努力的結(jié)果，是在美國(guó)、加拿大、歐洲等國(guó)家和地區(qū)分別自行推出測(cè)評(píng)準(zhǔn)那么并具體實(shí)踐的根底上，通過(guò)相互間的總結(jié)和互補(bǔ)開(kāi)展起來(lái)的。1.13 信息平安根底-等級(jí)保護(hù)等級(jí)保護(hù)信息系統(tǒng)的平安保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家平安、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家平安。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家平

23、安造成損害。 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家平安造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家平安造成特別嚴(yán)重?fù)p害。1.13 信息平安根底-等級(jí)保護(hù)等級(jí)保護(hù)第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)進(jìn)展保護(hù)。第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)進(jìn)展保護(hù)。國(guó)家信息平安監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息平安等級(jí)保護(hù)工作進(jìn)展指導(dǎo)。第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)進(jìn)展保護(hù)。國(guó)家信息平安監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息平安等級(jí)保護(hù)工作進(jìn)展監(jiān)視、檢查。第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有

24、關(guān)管理標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專(zhuān)門(mén)需求進(jìn)展保護(hù)。國(guó)家信息平安監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息平安等級(jí)保護(hù)工作進(jìn)展強(qiáng)制監(jiān)視、檢查。第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊平安需求進(jìn)展保護(hù)。國(guó)家指定專(zhuān)門(mén)部門(mén)對(duì)該級(jí)信息系統(tǒng)信息平安等級(jí)保護(hù)工作進(jìn)展專(zhuān)門(mén)監(jiān)視、檢查。信息平安與審計(jì)根底及理論知識(shí)究竟什么是信息安全審計(jì)PDCA （監(jiān)督與保障）Syslog （日志）Audit Trail （審計(jì)留痕）信息平安與審計(jì)根底及理論知識(shí)信息平安與審計(jì)根底及理論知識(shí)信息安全審計(jì)目的是什么讓別人難堪？顯示我們的聰明與他們的錯(cuò)誤？展示審計(jì)的權(quán)力？?jī)?nèi)審與外審1,為了保證提供獨(dú)立的審計(jì)委員會(huì)（和高級(jí)管理）的內(nèi)

25、部控制措施，在公司內(nèi)有效地運(yùn)作2,為了改善公司的內(nèi)部控制，促進(jìn)和幫助該公司確定的控制弱點(diǎn)，和制定解決這些弱點(diǎn)成本效益的解決方案，內(nèi)部控制的狀態(tài)。信息平安與審計(jì)根底及理論知識(shí)怎樣做好信息安全審計(jì)工作領(lǐng)導(dǎo)的推動(dòng)與支持審計(jì)的方式不是挑毛病，而是交朋友積累專(zhuān)業(yè)知識(shí)如果開(kāi)始信息安全審計(jì)工作采用一個(gè)標(biāo)準(zhǔn)建立一套系統(tǒng)充實(shí)與完善細(xì)則內(nèi)容執(zhí)行與監(jiān)督ISO27001ISMSNet/OS/DBACTS1234信息平安與審計(jì)根底及理論知識(shí)信息平安與審計(jì)根底及理論知識(shí)資質(zhì)與認(rèn)證BSIDNV指定評(píng)測(cè)或認(rèn)證機(jī)構(gòu)CISSPCISALA1.6 信息平安根底-權(quán)威認(rèn)證CISSP介紹平安管理Security Management

26、Practices平安架構(gòu)與模型Security Architecture and Models訪問(wèn)控制Access Control應(yīng)用與系統(tǒng)開(kāi)發(fā)Applications and Systems Development操作平安Operations Security物理平安Physical Security加密Cryptography通信與網(wǎng)絡(luò)Telecommunications and Networking業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)Business Continuity Planning/DRP法律，事后取證Law, Investigation, and Ethics1.6 信息平安根底-權(quán)威認(rèn)證C

27、ISA介紹( )CISA考試每年舉行兩次，分別為每年的六月和十二月的第二周星期六，六月和十二月考試中國(guó)學(xué)員均可以選擇中文和英文考試，在中國(guó)考試從上午九點(diǎn)開(kāi)場(chǎng)，共四個(gè)小時(shí)13點(diǎn)完畢包括六局部?jī)?nèi)容，各自所占比例如下： 信息系統(tǒng)審計(jì)過(guò)程占10% IT治理占15% 系統(tǒng)和生命周期管理占16% IT效勞的交付與支持占14% 信息資產(chǎn)保護(hù)占31% 業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)方案占14%?管理指引?適用范圍適用范圍：本指引適用于在中華人民共和國(guó)境內(nèi)依法設(shè)立的法人商業(yè)銀行。參照范圍： 政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車(chē)金融公

28、司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)。?管理指引?管理職責(zé)商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本指引的貫徹落實(shí)。董事會(huì)：遵守并貫徹執(zhí)行國(guó)家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)中國(guó)銀行業(yè)監(jiān)視管理委員會(huì)以下簡(jiǎn)稱(chēng)銀監(jiān)會(huì)相關(guān)監(jiān)管要求。 首席信息官：確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開(kāi)發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險(xiǎn)管理策略。負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門(mén)，承擔(dān)本銀行的信息科技職責(zé)。確保其履行：信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部控制、專(zhuān)業(yè)化研發(fā)、信息科技工程發(fā)起和管理、信息系統(tǒng)和信息科技根底設(shè)施的運(yùn)行、維護(hù)和升級(jí)、信息平安管理、

29、災(zāi)難恢復(fù)方案、信息科技外包和信息系統(tǒng)退出等職責(zé)。 特定部門(mén)負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作:為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略，尤其是在涉及信息平安、業(yè)務(wù)連續(xù)性方案和合規(guī)性風(fēng)險(xiǎn)等方面，為業(yè)務(wù)部門(mén)和信息科技部門(mén)提供建議及相關(guān)合規(guī)性信息，實(shí)施持續(xù)信息科技風(fēng)險(xiǎn)評(píng)估，跟蹤整改意見(jiàn)的落實(shí)，監(jiān)控信息平安威脅和不合規(guī)事件的發(fā)生。 內(nèi)部審計(jì)部門(mén)設(shè)立專(zhuān)門(mén)的信息科技風(fēng)險(xiǎn)審計(jì)崗位:負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)方案，對(duì)信息科技整個(gè)生命周期和重大事件等進(jìn)展審計(jì)。人員平安和法規(guī)：入職前審查、入職中教育、降低離職的損失 知識(shí)產(chǎn)權(quán)保護(hù)總體原那么：自上而下、明確分

30、工?管理指引?風(fēng)險(xiǎn)管理涉及范圍：信息分級(jí)與保護(hù)、信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)、信息科技運(yùn)行和維護(hù)、訪問(wèn)控制、物理平安、人員平安、業(yè)務(wù)連續(xù)性方案與應(yīng)急處置。制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評(píng)估流程識(shí)別隱患評(píng)價(jià)影響排序制定措施及安排資源措施：風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)、操作規(guī)程權(quán)限管理：高權(quán)限用戶(hù)的審查、物理和邏輯控制、最小化和必須知道原那么、授權(quán)審批和驗(yàn)證。風(fēng)險(xiǎn)監(jiān)測(cè)：評(píng)價(jià)機(jī)制、程序和標(biāo)準(zhǔn)、報(bào)告機(jī)制、整改機(jī)制、定期審查已有體系、控制臺(tái)、新技術(shù)、外部威脅?管理指引?信息平安科技部門(mén)：信息分類(lèi)和保護(hù)體系、平安教育和貫徹信息平安體系：平安制度管理、平安組織管理、資產(chǎn)管理、人員平安、物理與環(huán)境平安、通信與運(yùn)營(yíng)管理、訪問(wèn)控制管

31、理、系統(tǒng)開(kāi)發(fā)與維護(hù)管理、事故管理、業(yè)務(wù)連續(xù)性、合規(guī)性管理。用戶(hù)認(rèn)證與授權(quán)：必須知道、離職的權(quán)限移除物理保護(hù)區(qū)域劃分與保護(hù)：物理、邏輯訪問(wèn)控制、內(nèi)容過(guò)濾、傳輸、監(jiān)控、記錄系統(tǒng)平安：平安標(biāo)準(zhǔn)、權(quán)限分配、帳戶(hù)審計(jì)、補(bǔ)丁管理、日志監(jiān)控所有系統(tǒng)：職責(zé)分配、認(rèn)證、輸入輸出、數(shù)據(jù)保密、審計(jì)蹤跡?管理指引?信息平安續(xù)日志管理:交易日志、系統(tǒng)日志 記錄內(nèi)容、覆蓋范圍、保存期限加密措施：符合國(guó)家要求、人員要求、強(qiáng)度要求、密鑰管理定期檢查：包括臺(tái)式個(gè)人計(jì)算機(jī)PC、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)ATM、存折打印機(jī)、讀卡器、銷(xiāo)售終端POS和個(gè)人數(shù)字助理PDA等管理客戶(hù)信息：采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、

32、清理和銷(xiāo)毀的生命周期。Pci-dss？人員培訓(xùn)。?管理指引?開(kāi)發(fā)管理職責(zé)：工程實(shí)施部門(mén)應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技工程的進(jìn)度報(bào)告，由其進(jìn)展審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括方案的重大變更、關(guān)鍵人員或供給商的變更以及主要費(fèi)用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，組織對(duì)系統(tǒng)的后評(píng)價(jià)，并根據(jù)評(píng)價(jià)結(jié)果及時(shí)對(duì)系統(tǒng)功能進(jìn)展調(diào)整和優(yōu)化。工程風(fēng)險(xiǎn)：潛在的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失風(fēng)險(xiǎn)和因無(wú)效工程規(guī)劃或不適當(dāng)?shù)墓こ坦芾砜刂飘a(chǎn)生的時(shí)機(jī)本錢(qián)，并采取適當(dāng)?shù)墓こ坦芾矸椒?。生命周期管理。變更管理：生產(chǎn)、開(kāi)發(fā)、測(cè)試環(huán)境的物理區(qū)域和人員職責(zé)別離、緊急修復(fù)的記錄、變更審查。問(wèn)題管理：全面的追蹤、分析和解決。ITIL？升級(jí)管理.

33、?管理指引?信息科技運(yùn)行物理環(huán)境控制：電力供給、自然災(zāi)害、根底設(shè)施外來(lái)人員訪問(wèn)：審查批準(zhǔn)記錄陪同人員職責(zé)別離：運(yùn)行與維護(hù)別離交易數(shù)據(jù)：可保存、機(jī)密性、完整性、可恢復(fù)操作說(shuō)明：運(yùn)營(yíng)操作指南與標(biāo)準(zhǔn)。事故管理：報(bào)告分析追蹤解決。效勞水平管理：SlA。監(jiān)控、例外和預(yù)警。容量管理：外部變化和內(nèi)部業(yè)務(wù)。升級(jí)管理：記錄保存。變更管理：審批、記錄和更正緊急修復(fù)。?管理指引?業(yè)務(wù)連續(xù)性管理規(guī)劃：基于自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定規(guī)劃；定期演練。意外事件：內(nèi)部資源故障或缺失、信息喪失與受損、外部事件業(yè)務(wù)中斷：系統(tǒng)恢復(fù)和雙機(jī)熱備應(yīng)急恢復(fù)、保險(xiǎn)以降低損失連續(xù)性策略：規(guī)劃資源管理、優(yōu)先級(jí)、外部溝通、更新、驗(yàn)證、審核

34、應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門(mén)或信息科技管理委員會(huì)確認(rèn)。?管理指引?外包管理慎重原那么外包協(xié)議：適合業(yè)務(wù)和風(fēng)險(xiǎn)戰(zhàn)略、操作風(fēng)險(xiǎn)、財(cái)務(wù)穩(wěn)定性和專(zhuān)業(yè)經(jīng)歷、平穩(wěn)過(guò)濾、外包商共用的風(fēng)險(xiǎn)。合同談判：必要條件、監(jiān)視、所有權(quán)、損失補(bǔ)償、遵守標(biāo)準(zhǔn)、效勞水平管理、變更效勞水平管理：定性和定量指標(biāo)、水平考核、不達(dá)標(biāo)的處理數(shù)據(jù)平安保護(hù)：隔離、最小授權(quán)、保密協(xié)議、信息披露、制止再外包、合同終止應(yīng)急措施：外包不可用外包合同審批：信息科技風(fēng)險(xiǎn)管理部門(mén)、法律部門(mén)和信息科技管理委員會(huì)審核通過(guò)。并定期審核?管理指引?內(nèi)部審計(jì)內(nèi)審部門(mén)：系統(tǒng)控制的適當(dāng)性和有效性。審計(jì)人員資源和能力。審計(jì)責(zé)任：審計(jì)方案、審計(jì)工作、整改檢查、專(zhuān)項(xiàng)

35、審計(jì)。審計(jì)范圍和頻率：基于業(yè)務(wù)性質(zhì)、規(guī)模、復(fù)雜度、應(yīng)用情況、風(fēng)險(xiǎn)評(píng)估結(jié)果。至少每三年一次。審計(jì)參與：大規(guī)模審計(jì)時(shí)，風(fēng)險(xiǎn)管理部門(mén)的參與。?管理指引?外部審計(jì)外審機(jī)構(gòu)選擇：法律法規(guī)要求、能力要求審計(jì)溝通銀監(jiān)會(huì)及其派出機(jī)構(gòu)：必要時(shí)的檢查、審計(jì)授權(quán)書(shū)、保密協(xié)定、規(guī)定時(shí)間內(nèi)完成整改。ISMS信息平安與風(fēng)險(xiǎn)管理框架介紹ISMSInformation Security Management System-ISMS 信息安全管理體系基于國(guó)際標(biāo)準(zhǔn)ISO/IEC27001：信息安全管理體系要求是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法ISMS是管理體系（MS）家族的一個(gè)成員 ISO27000系列標(biāo)準(zhǔn)

36、介紹ISO/IEC27001:2005 ISO/IEC27001:2005的名稱(chēng) Information technology- Security techniques-Information security management systems-requirements 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求該標(biāo)準(zhǔn)用于：為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系提供模型，并規(guī)定了要求。該標(biāo)準(zhǔn)適用于：所有類(lèi)型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。是建立和實(shí)施ISMS的依據(jù)，是ISMS認(rèn)證的依據(jù)。 ISO27000系列標(biāo)準(zhǔn)介紹ISO/IEC27002:2005 主

37、要內(nèi)容 章節(jié)控制措施域控制目標(biāo)控制措施5安全方針126信息安全組織2117資產(chǎn)管理258人力資源安全399物理和環(huán)境安全21310通信和操作管理103211訪問(wèn)控制72512信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)61613信息安全事故管理2514業(yè)務(wù)連續(xù)性管理1515符合性310合計(jì)39133COBIT框架介紹什么是Cobit是由信息系統(tǒng)審計(jì)和控制基金會(huì)ISACF（Information Systems Audit and Control Foundation）最早于1996年制定的IT治理模型，目前已經(jīng)更新至第四版。COBIT的制訂宗旨是跨越業(yè)務(wù)控制（business control）和IT控制之間的鴻溝

38、，從而建立一個(gè)面向業(yè)務(wù)目標(biāo)的IT控制框架。COBIT是IT治理的模型COBIT是基于控制的模型與IT標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系與IT審計(jì)的關(guān)系COBIT包含而不限于IT審計(jì)的模塊（Audit Guidline），但并非是針對(duì)IT審計(jì)的專(zhuān)門(mén)論述與BS7799、ITIL的關(guān)系側(cè)重不同。COBIT主要側(cè)重于處理企業(yè)治理中不同方面的需求，使信息管理、控制目標(biāo)、IT審計(jì)等圍繞信息系統(tǒng)管理控制的工作能夠在一個(gè)統(tǒng)一的平臺(tái)上協(xié)調(diào)開(kāi)展。582.信息安全相關(guān)內(nèi)容為什么要了解信息安全I(xiàn)T審計(jì)的主要內(nèi)容就是信息安全審計(jì)了解信息安全的問(wèn)題，才能制定有效的解決辦法審計(jì)這些解決辦法的制定、實(shí)施、改進(jìn)情況592.信息安全相關(guān)內(nèi)容掃描信息

39、掃描Nmapportscan密碼掃描WebcrackEmailcracksolarwinds漏洞掃描NessusISS綜合掃描器Xscan流光SSSDBSCAN木馬探測(cè)602.信息安全相關(guān)內(nèi)容密碼破解在線(xiàn)通常是密碼掃描工具，實(shí)時(shí)地連接目標(biāo)系統(tǒng)進(jìn)行密碼猜測(cè)。另外也有一些工具有在線(xiàn)密碼破解功能，例如solarwinds、l0phtcrack等。對(duì)于WEB的cookie進(jìn)行猜測(cè)破解對(duì)于內(nèi)存、緩存、視圖中的密碼進(jìn)行破解，例如msn密碼。IE瀏覽器星號(hào)密碼等。離線(xiàn)通常是獲取了目標(biāo)系統(tǒng)的用戶(hù)或者 密碼文件，通過(guò)對(duì)加密算法的還原，或者已知密文猜測(cè)明文、暴力破解等方式。離線(xiàn)破解的優(yōu)勢(shì)在于，不易被目標(biāo)系統(tǒng)發(fā)現(xiàn)，

40、并且可以分布式計(jì)算破解等。612.信息安全相關(guān)內(nèi)容密碼破解字典字典通常包括所有英文單詞，常用數(shù)字與符號(hào)，例如123、qwe、qaz、poi等等。中文字典可能包括單位、部門(mén)、姓名拼音的縮寫(xiě)，例如cmcc、yssh、zhc等。暴力暴力破解通常是按照一定的規(guī)則，將所有可能的字母、數(shù)字、符號(hào)等組合進(jìn)行嘗試。也就是窮舉破解。暴力破解通常至少包括6位以下的字母、數(shù)字，包括所有生日。暴力破解不一定全部針對(duì)密碼，也有可能是對(duì)加密置換方法的窮舉。622.信息安全相關(guān)內(nèi)容密碼破解規(guī)則可定制規(guī)則的產(chǎn)生字典或者暴力破解的密碼集，例如將賬號(hào)倒過(guò)來(lái)，將字母與常用前、后綴組合，按照目標(biāo)的習(xí)慣產(chǎn)生密碼等。例如creek123

41、等。組合還可能包括將字母與數(shù)字互換，加上大小寫(xiě)等。例如r00t!#、cr33k!23等。其他通過(guò)密碼找回功能，關(guān)聯(lián)分析功能、密碼重置或者密碼清除等進(jìn)行密碼功能破解。典型的工具crack、John、l0pht等。632.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取緩沖區(qū)溢出一般是堆棧緩沖區(qū)溢出，主要是利用目標(biāo)系統(tǒng)存在的漏洞，使得堆棧區(qū)的數(shù)據(jù)越界，覆蓋和修改了同樣在堆棧中的程序返回地址，從而可以改變程序流，執(zhí)行特定構(gòu)造或者指定的程序代碼的方法。本地緩沖區(qū)溢出通常是針對(duì)suid程序，來(lái)獲得權(quán)限的提升。遠(yuǎn)程緩沖區(qū)溢出是指通過(guò)網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)包通信，進(jìn)行緩沖區(qū)溢出攻擊的方法。遠(yuǎn)程服務(wù)通常都是超級(jí)用戶(hù)權(quán)限，因此通常溢

42、出后直接得到超級(jí)權(quán)限。遠(yuǎn)程服務(wù)溢出可能直接從遠(yuǎn)程得到本地權(quán)限，因此不需要賬號(hào)密碼登錄。緩沖區(qū)溢出也可以被用來(lái)進(jìn)行拒絕服務(wù)攻擊。642.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取格式化字符串格式化字符串是指的，在程序中通常用%s做為參數(shù)來(lái)輸出動(dòng)態(tài)的字符串，例如printf(“it is %s”, string)如果存在格式化字符串漏洞，則可以通過(guò)構(gòu)造string的內(nèi)容，造成岐義，例如string內(nèi)容又帶有%s，并且格式化字符串被多層引用。格式化字符串也可能造成與緩沖區(qū)溢出類(lèi)似的效果。SQL注入SQL注入有點(diǎn)類(lèi)似于格式化字符串。通常是指的網(wǎng)頁(yè)腳本程序，操作數(shù)據(jù)庫(kù)的代碼部分，如果對(duì)于輸入的變量未進(jìn)行檢查，則

43、可能通過(guò)特定構(gòu)造的輸入字符，造成拼接后的SQL語(yǔ)句語(yǔ)義的改變，從而達(dá)到控制程序流運(yùn)行。652.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取SQL注入“”，例如 源代碼是if “user” = “input” then 這里input是指我們輸入的用戶(hù)，我們輸入 aaa” or 1=“1 作為用戶(hù)名，那么程序成為if “user” = “aaa” or 1=“1 ”，這是恒等式。從而可以在不知道用戶(hù)名或者密碼的情況下繞過(guò)認(rèn)證。；，輸入信息為 aaa ; echo /etc/passwd ，在unix下分號(hào)表示后面為獨(dú)立的命令，運(yùn)行完當(dāng)前命令后，繼續(xù)運(yùn)行分號(hào)后的命令。CGICGI就是通用網(wǎng)關(guān)接口，服務(wù)端的A

44、SP、PHP、JSP、PERL以及可執(zhí)行程序等都可以統(tǒng)稱(chēng)為CGI程序。CGI程序可能存在漏洞，也可能存在泄露服務(wù)器信息的問(wèn)題?？梢酝ㄟ^(guò)WEB服務(wù)器CGI功能掛馬。662.信息安全相關(guān)內(nèi)容權(quán)限提升高權(quán)限用戶(hù)本地suid程序緩沖區(qū)溢出通常是權(quán)限提升的方法進(jìn)程注入可以用來(lái)提升權(quán)限獲取密碼文件，破解密碼可以提升權(quán)限通過(guò)文件系統(tǒng)漏洞、臨時(shí)文件、符號(hào)鏈接等，獲取高級(jí)別用戶(hù)權(quán)限通過(guò)偽造欺騙，獲取高級(jí)別用戶(hù)密碼等權(quán)限突破Chroot、jailChroot是改變程序運(yùn)行的絕對(duì)目錄為虛擬目錄。突破這種限制將可以訪問(wèn)磁盤(pán)文件系統(tǒng)上的非授權(quán)訪問(wèn)文件。672.信息安全相關(guān)內(nèi)容權(quán)限提升突破虛擬機(jī)虛擬機(jī)將所有程序限制在一定

45、的磁盤(pán)空間、一定的內(nèi)存，一定的外設(shè)等，指令可能被替換和虛擬執(zhí)行突破虛擬機(jī)將可以對(duì)宿主機(jī)直接進(jìn)行磁盤(pán)、內(nèi)存、外設(shè)的訪問(wèn)。網(wǎng)絡(luò)的掃描與其他系統(tǒng)的權(quán)限獲取，也可能提升權(quán)限。例如信任主機(jī)、密碼文件獲取等。網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)竊聽(tīng)也可能獲取密碼，提升權(quán)限。682.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)嗅探Sniffer，譯為嗅探、監(jiān)聽(tīng)、竊聽(tīng)，或者抓包。在同一個(gè)HUB上，數(shù)據(jù)包是廣播的，可以得到所有人的數(shù)據(jù)包，如果是明文協(xié)議，則可能得到登錄過(guò)程相應(yīng)的密碼。交換環(huán)境下，需要采取ARP欺騙相結(jié)合的手段進(jìn)行交換環(huán)境的網(wǎng)絡(luò)竊聽(tīng)，主要代表工具是dsniff。網(wǎng)絡(luò)嗅探除了可能得到賬號(hào)密碼，也可能得到重要數(shù)據(jù)文件、重要操作過(guò)程與操作方法等。網(wǎng)

46、絡(luò)嗅探通常是被動(dòng)監(jiān)聽(tīng)狀態(tài)，不向網(wǎng)絡(luò)發(fā)送任何數(shù)據(jù)包，比較隱蔽，不容易被發(fā)現(xiàn)，有些工具 能發(fā)現(xiàn)網(wǎng)絡(luò)中的嗅探器，例如promiscan等。692.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙IP欺騙通常偽造數(shù)據(jù)包的源IP地址，使得目標(biāo)收到數(shù)據(jù)包后，無(wú)法找到來(lái)攻擊者來(lái)源。也可以偽造數(shù)據(jù)包的源IP地址，使得此IP地址成為被攻擊的對(duì)象。在能猜測(cè)TCP的SEQ號(hào)情況下，IP欺騙可能實(shí)現(xiàn)會(huì)話(huà)劫持的效果。ARP互聯(lián)網(wǎng)上的數(shù)據(jù)包到了局域網(wǎng)后，就需要通過(guò)局域網(wǎng)協(xié)議傳輸，使用的是MAC地址和ARP協(xié)議。ARP欺騙通常是中間人攻擊。ARP欺騙可以是主動(dòng)更新包，也可以免費(fèi)響應(yīng)包。702.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙DNS(域名服務(wù))猜測(cè)DNS的

47、序列號(hào)，窮舉同時(shí)發(fā)送所有的DNS數(shù)據(jù)包，可以實(shí)現(xiàn)DNS的會(huì)話(huà)劫持，從而可以改變DNS請(qǐng)求者的獲得的解析內(nèi)容，將域名解析到其他IP地址。直接控制DNS服務(wù)器，修改DNS解析內(nèi)容，也可能實(shí)現(xiàn)網(wǎng)絡(luò)欺騙，特別是根域名服務(wù)器影響會(huì)大，今年百度事件就是因?yàn)楦蛎?wù)器的域名解析被篡改。釣魚(yú)釣魚(yú)網(wǎng)站可能和真實(shí)網(wǎng)站做得外觀非常相似，域名也類(lèi)似，通常用來(lái)竊取粗心用戶(hù)的用戶(hù)名與密碼。例如與工商銀行相似的釣魚(yú)網(wǎng)站通過(guò)虛假中獎(jiǎng)信息發(fā)布、免費(fèi)注冊(cè)博客賬號(hào)等方式，誘騙不知情用戶(hù)輸入用戶(hù)名與密碼。712.信息安全相關(guān)內(nèi)容中間人與會(huì)話(huà)劫持中間人理論上，如果A與B通信，所有通信過(guò)程前沒(méi)有任何協(xié)商好的秘密，那么M一定可以用某種方

48、法成為中間人，并且讓A與B并不知情。由于A與B事先無(wú)協(xié)商好的秘密，因此A無(wú)法鑒別正在與自己通信的是B還是M，同樣B也無(wú)法鑒別與自己通信的是A還是M。M可以通過(guò)某種方式成為A與B的中間人。作為中間的傳聲筒，A與B不知道自己發(fā)送的內(nèi)容是否被中間人替換，即使是加密的。會(huì)話(huà)劫持通常是通過(guò)中間的人方式來(lái)實(shí)現(xiàn)，也有可能通過(guò)某種方式造成原通信主機(jī)拒絕服務(wù)后，由自己替代。722.信息安全相關(guān)內(nèi)容跨站腳本攻擊Cross site script的縮寫(xiě)，因?yàn)榕cCSS網(wǎng)頁(yè)樣式文件重名，因此簡(jiǎn)寫(xiě)為XSS攻擊者向Web頁(yè)面里插入惡意html代碼，當(dāng)用戶(hù)瀏覽該頁(yè)時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，通常在用戶(hù)不知情

49、的情況下，中途訪問(wèn)其他站點(diǎn)，收集用戶(hù)的COOKIE，或者自動(dòng)下載木馬與運(yùn)行等。欺騙其他人訪問(wèn)自己構(gòu)造的頁(yè)面，通?？赡茉谠试SHTML語(yǔ)言輸入的BBS、博客等簽名文檔里構(gòu)造。732.信息安全相關(guān)內(nèi)容拒絕服務(wù)漏洞型協(xié)議漏洞Synflood(半開(kāi)連接，資源耗盡)Fin攻擊(違反協(xié)議)Land(源/目的地址與端口都是被攻擊者)Smurf(源地址為被攻擊者或者廣播地址)CISCO的55、77協(xié)議服務(wù)漏洞例如snmpd漏洞使用ftp探測(cè)ibm某高端口等742.信息安全相關(guān)內(nèi)容拒絕服務(wù)流量型資源消耗+流量型分布式拒絕服務(wù)TargetAttackerMasterInternetZombies攻擊者主控機(jī)僵尸機(jī)目

50、標(biāo)機(jī)752.信息安全相關(guān)內(nèi)容后門(mén)木馬本地賬號(hào)后門(mén)密碼后門(mén)SHELLSUID后門(mén)替換命令/修改loginCrontab/atinittabRcXinitrc.login/.profile/.bashrc/.cshrcLKM762.信息安全相關(guān)內(nèi)容后門(mén)木馬網(wǎng)絡(luò)監(jiān)聽(tīng)端口網(wǎng)頁(yè)CGI遠(yuǎn)程連接IRC客戶(hù)端發(fā)送郵件ICMP通道Udp通道NC反向連接定時(shí)訪問(wèn)772.信息安全相關(guān)內(nèi)容無(wú)線(xiàn)網(wǎng)絡(luò)非加密不廣播SSID中文SSID超長(zhǎng)SSIDWEPWPAAircrack-ngAiromon-ngAirodump-ng782.信息安全相關(guān)內(nèi)容掃尾清除入侵信息清除過(guò)程文件清除core文件清除訪問(wèn)日志修改文件、目錄時(shí)間修改/

51、刪除日志修改shell記錄殺掉/重啟進(jìn)程填補(bǔ)系統(tǒng)漏洞792.信息安全相關(guān)內(nèi)容其他社會(huì)工程學(xué)技術(shù)入侵不一定是最優(yōu)選擇權(quán)限集中可以被利用興趣愛(ài)好可以被利用操作習(xí)慣可以被利用802.信息安全相關(guān)內(nèi)容PKIPKI是Public Key Infrastructure的縮寫(xiě)，是指用公鑰概念和技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。這個(gè)定義涵蓋的內(nèi)容比較寬，是一個(gè)被很多人接受的概念。這個(gè)定義說(shuō)明，任何以公鑰技術(shù)為基礎(chǔ)的安全基礎(chǔ)設(shè)施都是PKI。當(dāng)然，沒(méi)有好的非對(duì)稱(chēng)算法和好的密鑰管理就不可能提供完善的安全服務(wù)，也就不能叫做PKI。也就是說(shuō)，該定義中已經(jīng)隱含了必須具有的密鑰管理功能X.509標(biāo)準(zhǔn)中，為

52、了區(qū)別于權(quán)限管理基礎(chǔ)設(shè)施(Privilege Management Infrastructure，簡(jiǎn)稱(chēng)PMI)，將PKI定義為支持公開(kāi)密鑰管理并能支持認(rèn)證、加密、完整性和可追究性服務(wù)的基礎(chǔ)設(shè)施。這個(gè)概念與第一個(gè)概念相比，不僅僅敘述PKI能提供的安全服務(wù)，更強(qiáng)調(diào)PKI必須支持公開(kāi)密鑰的管理。也就是說(shuō)，僅僅使用公鑰技術(shù)還不能叫做PKI，還應(yīng)該提供公開(kāi)密鑰的管理。812.信息安全相關(guān)內(nèi)容PKIPKI技術(shù)是信息安全技術(shù)的核心，PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。一個(gè)典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分： 公鑰密碼證書(shū)管理。 黑名單的發(fā)布和管理。

53、密鑰的備份和恢復(fù)。 自動(dòng)更新密鑰。 自動(dòng)管理歷史密鑰。 支持交叉認(rèn)證。822.信息安全相關(guān)內(nèi)容VPNVPN的英文全稱(chēng)是“Virtual Private Network” ，即虛擬專(zhuān)用網(wǎng)。VPN主要采用的四項(xiàng)安全保證技術(shù) 隧道技術(shù)加解密技術(shù)密鑰管理技術(shù)身份認(rèn)證技術(shù)IPSec VPN: IPsec(縮寫(xiě)IP Security)是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對(duì)IP協(xié)議分組進(jìn)行加密和認(rèn)證。 IPsec作為一個(gè)協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：保護(hù)分組流的協(xié)議；用來(lái)建立這些安全分組流的密鑰交換協(xié)議。832.信息安全相關(guān)內(nèi)容VPNIPSec VPN: 前者又分成兩個(gè)部分： 加密分組流的

54、封裝安全載荷（ESP）及較少使用的認(rèn)證頭（AH），認(rèn)證頭提供了對(duì)分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。 PPTP VPN: Point to Point Tunneling Protocol 點(diǎn)到點(diǎn)隧道協(xié)議 ，在因特網(wǎng)上建立IP虛擬專(zhuān)用網(wǎng)（VPN）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專(zhuān)用網(wǎng)的通信方式。 微軟系統(tǒng)自帶PPTP協(xié)議。842.信息安全相關(guān)內(nèi)容VPNL2F: Layer 2 Forwarding - 第二層轉(zhuǎn)發(fā)協(xié)議 L2TP: Layer 2 Tunneling Protocol -第二層隧道協(xié)議 GRE:VPN

55、的第三層隧道協(xié)議SSL VPN:從概念角度來(lái)說(shuō)，SSL VPN即指采用SSL （Security Socket Layer）協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶(hù)認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于內(nèi)、外部應(yīng)用來(lái)說(shuō)，使用SSL可保證信息的真實(shí)性、完整性和保密性。852.信息安全相關(guān)內(nèi)容其他安全防護(hù)技術(shù)與產(chǎn)品需要審計(jì)，我們是否需要、是否部署了、是否合理使用了這些產(chǎn)品，并且提供相應(yīng)的記錄與證據(jù)掃描防火墻FW入侵檢測(cè)IDS防病毒AV入侵防御IPS統(tǒng)一威脅管理UTM身份鑒別加解密系統(tǒng)虛擬專(zhuān)網(wǎng)

56、VPN主機(jī)入侵檢測(cè)HIDS862.信息安全相關(guān)內(nèi)容其他安全防護(hù)技術(shù)與產(chǎn)品數(shù)字簽名校驗(yàn)網(wǎng)閘終端安全TS與上網(wǎng)行為管理防水墻業(yè)務(wù)連續(xù)性產(chǎn)品審計(jì)與取證數(shù)據(jù)備份、復(fù)制與恢復(fù)流量清洗網(wǎng)絡(luò)抓包安全管理平臺(tái)IT審計(jì)的技術(shù)內(nèi)容一實(shí)體級(jí)控制審計(jì)數(shù)據(jù)庫(kù)審計(jì)的方法數(shù)據(jù)中心與災(zāi)難恢復(fù)網(wǎng)絡(luò)與安全設(shè)備審計(jì)Checklist for Auditing Entity-Level Controls 實(shí)體級(jí)控制審計(jì)檢查項(xiàng)列表1. Review the overall IT organization structure to ensure that it provides for clear assignment of autho

57、rity and responsibility over IT operations and that it provides for adequate segregation of duties.檢查整體的IT組織結(jié)構(gòu)，確認(rèn)在該結(jié)構(gòu)中對(duì)整體的IT運(yùn)行提供了清晰明確的權(quán)、責(zé)分配，并且提供了適當(dāng)?shù)姆謾?quán)設(shè)置2. Review the IT strategic planning process to ensure that it aligns with business strategies. Evaluate the IT organizations processes for monitorin

58、g progress against the strategic plan. 檢查其IT策略的規(guī)劃過(guò)程，確認(rèn)該過(guò)程與其業(yè)務(wù)策略相匹配。針對(duì)策略規(guī)劃，評(píng)估IT組織對(duì)其進(jìn)展的監(jiān)控過(guò)程。3. Determine whether technology and application strategies and roadmaps exist, and evaluate processes for long-range technical planning.確認(rèn)技術(shù)、應(yīng)用與路線(xiàn)圖是否存在，并評(píng)估其長(zhǎng)期技術(shù)規(guī)劃過(guò)程。4. Review performance indicators and measurem

59、ents for IT. Ensure that processes and metrics are in place (and approved by key stakeholders) for measuring performance of day-to-day activities and for tracking performance against SLAs, budgets, and other operational requirements. 檢查IT的績(jī)效指標(biāo)與測(cè)量。確保已經(jīng)制定了各種績(jī)效測(cè)量的方法與指標(biāo)，這些績(jī)效測(cè)量的方法與指標(biāo)用于評(píng)估日常工作，也用于針對(duì)SLA（Ser

60、vice Level Agreement）、預(yù)算和其它操作要求的評(píng)估。同時(shí)確保績(jī)效測(cè)量的方法與指標(biāo)已得到相關(guān)管理層的授權(quán)批準(zhǔn)。實(shí)體級(jí)控制審計(jì)895. Review the IT organizations process for approving and prioritizing new projects. Determinewhether this process is adequate for ensuring that system acquisition and developmentprojects cannot commence without approval. Ensure