《信息安全審計(jì)》課件

1、信息安全審計(jì)信息安全處 顧超2011年8月15日信息安全審計(jì)信息安全處2信息安全與審計(jì)基礎(chǔ)及理論知識(shí)信息安全與審計(jì)的概念、目標(biāo)、范圍信息安全審計(jì)/IT審計(jì)/信息系統(tǒng)安全審計(jì)審計(jì)應(yīng)該是獨(dú)立的。審計(jì)與信息安全的目標(biāo)是一致的，而不是對(duì)立的。信息安全與IT審計(jì)的關(guān)系信息安全其中一項(xiàng)必不可少的內(nèi)容是IT審計(jì)IT審計(jì)主要針對(duì)的是信息安全，也包含其他內(nèi)容信息安全與IT審計(jì)有很大的重合點(diǎn)1.不懂信息安全如何進(jìn)行IT審計(jì)2.要做好IT審計(jì)必須了解信息安全2信息安全與審計(jì)基礎(chǔ)及理論知識(shí)信息安全與審計(jì)的概念、目標(biāo)、范3信息安全各類(lèi)標(biāo)準(zhǔn)1.1 GB18336 1.2 美國(guó)標(biāo)準(zhǔn)TCSEC 歐洲標(biāo)準(zhǔn)ITSEC 1.3 C

2、C標(biāo)準(zhǔn)1.4 CC、TCSEC、ITSEC對(duì)應(yīng)關(guān)系1.5 SSE-CMM 1.6 BS7799/ISO270011.7 ITIL1.8 ISO154081.9 ISO133351.10 等級(jí)保護(hù)3信息安全各類(lèi)標(biāo)準(zhǔn)1.1 GB18336 41.4 信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC (Common Criteria)美英法德荷加六國(guó)制定的共同標(biāo)準(zhǔn)包含的類(lèi)FAU安全審計(jì)FCO通信FCS密碼支持FDP用戶數(shù)據(jù)保護(hù)FIA標(biāo)識(shí)與鑒別FMT安全管理FPR隱私FPTTSF保護(hù)(固件保護(hù)，TOE Security Functions, TOE Security Policy，(Target Of Evaluation

3、)FRU資源利用FTATOE訪問(wèn)FTP可信信道/路徑41.4 信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC (Common Cri51.8 信息安全標(biāo)準(zhǔn)-BS7799BS7799BS 7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制定的信息安全管理體系標(biāo)準(zhǔn)，已得到了一些國(guó)家的采納，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。BS7799以下10個(gè)部分：信息安全政策安全組織資產(chǎn)分類(lèi)及控制人員安全物理及環(huán)境安全計(jì)算機(jī)及系統(tǒng)管理系統(tǒng)訪問(wèn)控制系統(tǒng)開(kāi)發(fā)與維護(hù)業(yè)務(wù)連續(xù)性規(guī)劃符合性51.8 信息安全標(biāo)準(zhǔn)-BS7799BS779961.8 信息安全基礎(chǔ)-7799/27001ISO27001BS7799 Part 2的全稱是Information Sec

4、urity Management Specification，也即為信息安全管理體系規(guī)范，其最新修訂版在05年10月正式成為ISO/IEC 27001:2005，ISO/IEC 27001是建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可用來(lái)指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799，其最終目的，在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。61.8 信息安全基礎(chǔ)-7799/27001ISO2700171.1 信息安全基礎(chǔ)-三要素信息安全內(nèi)容概述計(jì)算機(jī)安全信息安全三要素Confidentiality IntegrityAvailabi

5、lity71.1 信息安全基礎(chǔ)-三要素信息安全內(nèi)容概述81.信息安全基礎(chǔ)-北美標(biāo)準(zhǔn)TCSEC美國(guó)國(guó)防部(Trusted Computer Systems Evaluation Criteria)安全等級(jí)A 驗(yàn)證保護(hù)B 強(qiáng)制保護(hù)C 自主保護(hù)D 無(wú)保護(hù)FC美聯(lián)邦標(biāo)準(zhǔn)(Federal Criteria)CTCPEC加拿大標(biāo)準(zhǔn)(Canadian Trusted Computer Product Evaluation Criteria)81.信息安全基礎(chǔ)-北美標(biāo)準(zhǔn)TCSEC91.3 信息安全基礎(chǔ)-歐洲標(biāo)準(zhǔn)ITSECInformation Technology Security Evaluation Cr

6、iteria英法德荷四國(guó)制定ITSEC是歐洲多國(guó)安全評(píng)價(jià)方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域?yàn)檐婈?duì)、政府和商業(yè)。該標(biāo)準(zhǔn)將安全概念分為功能與評(píng)估兩部分。功能準(zhǔn)則從F1F10共分10級(jí)。 15級(jí)對(duì)應(yīng)于TCSEC的D到A。F6至F10級(jí)分別對(duì)應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及機(jī)密性和完整性。與TCSEC不同,它并不把保密措施直接與計(jì)算機(jī)功能相聯(lián)系,而是只敘述技術(shù)安全的要求,把保密作為安全增強(qiáng)功能。另外,TCSEC把保密作為安全的重點(diǎn),而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(jí)(不滿足品質(zhì))到E6級(jí)(形式化驗(yàn)證)的7個(gè)安全等級(jí),對(duì)于每

7、個(gè)系統(tǒng),安全功能可分別定義。91.3 信息安全基礎(chǔ)-歐洲標(biāo)準(zhǔn)ITSEC101.5 信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC、TCSEC、ITSEC對(duì)應(yīng)關(guān)系CCTCSECITSEC-DE0EAL1-EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6101.5 信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC、TCSEC、ITSE111.5 信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC分為三個(gè)部分：第1部分簡(jiǎn)介和一般模型，正文介紹了CC中的有關(guān)術(shù)語(yǔ)、基本概念和一般模型以及與評(píng)估有關(guān)的一些框架，附錄部分主要介紹保護(hù)輪廓（PP）和安全目標(biāo)（ST）的基本內(nèi)容。第2部分安全功能要求，按類(lèi)-子類(lèi)-組件的方式提出安全

8、功能要求，每一個(gè)類(lèi)除正文以外，還有對(duì)應(yīng)的提示性附錄作進(jìn)一步解釋。第3部分“安全保證要求”，定義了評(píng)估保證級(jí)別，介紹了PP和ST的評(píng)估，并按“類(lèi)-子類(lèi)-組件”的方式提出安全保證要求111.5 信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC分為三個(gè)部分：121.5 信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC的三個(gè)部分相互依存，缺一不可。第1部分是介紹CC的基本概念和基本原理第2部分提出了技術(shù)要求第3部分提出了非技術(shù)要求和對(duì)開(kāi)發(fā)過(guò)程、工程過(guò)程的要求。這三部分的有機(jī)結(jié)合具體體現(xiàn)在PP和ST 中，PP和ST的概念和原理由第1部分介紹，PP和ST中的安全功能要求和安全保證要求在第2、3部分選取，這些安全要求的完備性和一致性，由第2、3兩部分

9、來(lái)保證。CC 作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的世界性通用準(zhǔn)則，是信息技術(shù)安全性評(píng)估結(jié)果國(guó)際互認(rèn)的基礎(chǔ)。121.5 信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC的三個(gè)部分相互依存，缺131.5 信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)131.5 信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)141.7 信息安全基礎(chǔ)-SSE-CMMSSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支，是美國(guó)國(guó)家安全局(NSA)領(lǐng)導(dǎo)開(kāi)發(fā)的，是專(zhuān)門(mén)用于系統(tǒng)安全工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版，1999年4月，SS

10、E-CMM模型和相應(yīng)評(píng)估方法2.0版發(fā)布。系統(tǒng)安全工程過(guò)程一共有三個(gè)相關(guān)組織過(guò)程：工程過(guò)程風(fēng)險(xiǎn)過(guò)程保證過(guò)程141.7 信息安全基礎(chǔ)-SSE-CMMSSE-CMM (S151.7 信息安全基礎(chǔ)-SSE-CMMSSE-CMM共分5個(gè)能力級(jí)別，11個(gè)過(guò)程區(qū)域：基本執(zhí)行級(jí)、計(jì)劃跟蹤級(jí)、充分定義級(jí)、量化控制級(jí)、持續(xù)改進(jìn)級(jí)2002年SSE-CMM被國(guó)際標(biāo)準(zhǔn)化組織采納成為國(guó)際標(biāo)準(zhǔn)即ISO/IEC 21827:2002信息技術(shù)系統(tǒng)安全工程成熟度模型。SSE-CMM 和BS 7799 都提出了一系列最佳慣例，但BS 7799 是一個(gè)認(rèn)證標(biāo)準(zhǔn)（第二部分），提出了一個(gè)可供認(rèn)證的ISMS 體系，組織應(yīng)該將其作為目標(biāo)，

11、通過(guò)選擇適當(dāng)?shù)目刂拼胧ǖ谝徊糠郑┤?shí)現(xiàn)。而SSE-CMM 則是一個(gè)評(píng)估標(biāo)準(zhǔn)， 適合作為評(píng)估工程實(shí)施組織能力與資質(zhì)的標(biāo)準(zhǔn).151.7 信息安全基礎(chǔ)-SSE-CMMSSE-CMM161.8 信息安全基礎(chǔ)-7799/27001ISO17799BS7799 Part 1的全稱是Code of Practice for Information Security，也即為信息安全的實(shí)施細(xì)則。2000年被采納為ISO/IEC 17799，目前其最新版本為2005版，也就是ISO 17799: 2005。ISO/IEC 17799:2005 通過(guò)層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資

12、源安全等11個(gè)安全管理要素，還有39個(gè)主要執(zhí)行目標(biāo)和133個(gè)具體控制措施（最佳實(shí)踐），供負(fù)責(zé)信息安全系統(tǒng)應(yīng)用和開(kāi)發(fā)的人員作為參考使用，以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容。161.8 信息安全基礎(chǔ)-7799/27001ISO1779171.8 信息安全基礎(chǔ)-7799/27001BS7799BS7799涵蓋了安全管理所應(yīng)涉及的方方面面，全面而不失可操作性，提供了一個(gè)可持續(xù)提高的信息安全管理環(huán)境。推廣信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在重視程度和制度落實(shí)方面。標(biāo)準(zhǔn)存在一定不足對(duì)查看敏感信息等保密性缺少控制。標(biāo)準(zhǔn)中對(duì)評(píng)審控制和審計(jì)沒(méi)有區(qū)分標(biāo)準(zhǔn)中只在開(kāi)發(fā)和維護(hù)中簡(jiǎn)單涉及密碼技術(shù)某些方面可能不全面，但是它仍是目前

13、可以用來(lái)達(dá)到一定預(yù)防標(biāo)準(zhǔn)的最好的指導(dǎo)標(biāo)準(zhǔn)。171.8 信息安全基礎(chǔ)-7799/27001BS7799181.9 信息安全基礎(chǔ)-ITILITILITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（Information Technology Infrastructure Library）。ITIL針對(duì)一些重要的IT實(shí)踐，詳細(xì)描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等IT服務(wù)管理中最主要的內(nèi)容就是服務(wù)交付（Service Delivery）和服務(wù)支持（Service Support）服務(wù)交付（Service Delivery）：Serv

14、ice Level Management Financial Management for IT Service Capacity Management IT Service Continuity Management Availability Management181.9 信息安全基礎(chǔ)-ITILITIL191.9 信息安全基礎(chǔ)-ITILITILV3版本圖191.9 信息安全基礎(chǔ)-ITILITIL201.9 信息安全基礎(chǔ)-ITIL服務(wù)支持（Service Support）： Service Desk Incident Management Problem Management Configu

15、ration Management Change Management Release ManagementBS150002001 年，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)在國(guó)際IT 服務(wù)管理論壇（itSMF）上正式發(fā)布了以ITIL為核心的英國(guó)國(guó)家標(biāo)準(zhǔn)BS15000。這成為IT 服務(wù)管理領(lǐng)域具有歷史意義的重大事件。201.9 信息安全基礎(chǔ)-ITIL服務(wù)支持（Service 211.9 信息安全基礎(chǔ)-ITILBS15000 有兩個(gè)部分，目前都已經(jīng)轉(zhuǎn)化成國(guó)際標(biāo)準(zhǔn)了。 ISO/IEC 20000-1:2005 信息技術(shù)服務(wù)管理-服務(wù)管理規(guī)范（Information technology service management

16、. Specification for Service Management） ISO/IEC 20000-2:2005 信息技術(shù)服務(wù)管理- 服務(wù)管理最佳實(shí)踐（ Information technology service management. Code of Practice for Service Management）與BS7799 相比ITIL 關(guān)注面更為廣泛（信息技術(shù)），而且更側(cè)重于具體的實(shí)施流程。ISMS實(shí)施者可以將BS7799 作為ITIL 在信息安全方面的補(bǔ)充，同時(shí)引入ITIL 流程的方法，以此加強(qiáng)信息安全管理的實(shí)施能力。211.9 信息安全基礎(chǔ)-ITILBS15000 有兩

17、個(gè)部分221.10 信息安全基礎(chǔ)-ISO15408ISO15408ISO國(guó)際標(biāo)準(zhǔn)化組織于1999年正式發(fā)布了ISO/IEC 15408。ISO/IEC JTC 1和Common Criteria Project Organisations共同制訂了此標(biāo)準(zhǔn)，此標(biāo)準(zhǔn)等同于Common Criteria V2.1。ISO/IEC 15408有一個(gè)通用的標(biāo)題信息技術(shù)安全技術(shù)IT安全評(píng)估準(zhǔn)則。此標(biāo)準(zhǔn)包含三個(gè)部分：第一部分 介紹和一般模型第二部分 安全功能需求第三部分 安全認(rèn)證需求安全功能需求1 審計(jì)安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)產(chǎn)生、安全審計(jì)分析、安全審計(jì)評(píng)估、安全審計(jì)事件選擇、安全審計(jì)事件存儲(chǔ)221.

18、10 信息安全基礎(chǔ)-ISO15408ISO15408231.10 信息安全基礎(chǔ)-ISO15408安全功能需求2 通信源不可否認(rèn)、接受不可否認(rèn)3 密碼支持密碼密鑰管理、密碼操作4 用戶數(shù)據(jù)保護(hù)訪問(wèn)控制策略、訪問(wèn)控制功能、數(shù)據(jù)鑒別、出口控制、信息流控制策略、信息流控制功能、入口控制、內(nèi)部安全傳輸、剩余信息保護(hù)、反轉(zhuǎn)、存儲(chǔ)數(shù)據(jù)的完整性、內(nèi)部用戶數(shù)據(jù)保密傳輸保護(hù)、內(nèi)部用戶數(shù)據(jù)完整傳輸保護(hù)5 鑒別和認(rèn)證認(rèn)證失敗安全、用戶屬性定義、安全說(shuō)明、用戶認(rèn)證、用戶鑒別、用戶主體裝訂6 安全管理安全功能的管理、安全屬性管理、安全功能數(shù)據(jù)管理、撤回、安全屬性終止、安全管理角色7 隱私匿名、使用假名、可解脫性、可隨意性

19、231.10 信息安全基礎(chǔ)-ISO15408安全功能需求241.10 信息安全基礎(chǔ)-ISO15408安全功能需求8 安全功能保護(hù)底層抽象及其測(cè)試、失敗安全、輸出數(shù)據(jù)的可用性、輸出數(shù)據(jù)的保密性、輸出數(shù)據(jù)的完整性、內(nèi)部數(shù)據(jù)傳輸安全、物理保護(hù)、可信恢復(fù)、重放檢測(cè)、參考仲裁、領(lǐng)域分割、狀態(tài)同步協(xié)議、時(shí)間戳、內(nèi)部數(shù)據(jù)的一致性、內(nèi)部數(shù)據(jù)復(fù)制的一致性、安全自檢。9 資源利用容錯(cuò)、服務(wù)優(yōu)先權(quán)、資源分配10 訪問(wèn)可選屬性范圍限制、多并發(fā)限制、鎖、訪問(wèn)標(biāo)志、訪問(wèn)歷史、session建立11 可信通道/信道內(nèi)部可信通道、可信通道241.10 信息安全基礎(chǔ)-ISO15408安全功能需求251.10 信息安全基礎(chǔ)-IS

20、O15408安全認(rèn)證需求1 配置管理2 分發(fā)和操作3 開(kāi)發(fā)4 指導(dǎo)文檔5 生命周期支持6 測(cè)試7 漏洞評(píng)估251.10 信息安全基礎(chǔ)-ISO15408安全認(rèn)證需求261.11 信息安全基礎(chǔ)-ISO13335ISO13335(CIA + Accountability, Authenticity, Reliability)ISO13335是一個(gè)信息安全管理指南，這個(gè)標(biāo)準(zhǔn)的主要目的就是要給出如何有效地實(shí)施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)部分。第一部分：IT安全的概念和模型（Concepts and models for IT Security）第二部分：IT安全的管理和計(jì)劃（Managi

21、ng and planning IT Security）第三部分：IT安全的技術(shù)管理（Techniques for the management of IT Security）第四部分：防護(hù)的選擇（Selection of safeguards）第五部分：網(wǎng)絡(luò)安全管理指南（Management guidance on network security）261.11 信息安全基礎(chǔ)-ISO13335ISO13335271.11 信息安全基礎(chǔ)-ISO13335ISO13335第一部分：IT安全的概念和模型發(fā)布于1996年12月15日。該部分包括了對(duì)IT安全和安全管理的一些基本概念和模型的介紹第二部分

22、：IT安全的管理和計(jì)劃發(fā)布于1997年12月15日。這個(gè)部分建議性地描述了IT安全管理和計(jì)劃的方式和要點(diǎn)，包括決定IT安全目標(biāo)、戰(zhàn)略和策略決定組織IT安全需求管理IT安全風(fēng)險(xiǎn)計(jì)劃適當(dāng)IT安全防護(hù)措施的實(shí)施開(kāi)發(fā)安全教育計(jì)劃策劃跟進(jìn)的程序，如監(jiān)控、復(fù)查和維護(hù)安全服務(wù)開(kāi)發(fā)事件處理計(jì)劃271.11 信息安全基礎(chǔ)-ISO13335ISO13335281.11 信息安全基礎(chǔ)-ISO13335ISO13335第三部分：IT安全的技術(shù)管理發(fā)布于1998年6月15日。這個(gè)部分覆蓋了風(fēng)險(xiǎn)管理技術(shù)、IT安全計(jì)劃的開(kāi)發(fā)以及實(shí)施和測(cè)試，還包括一些后續(xù)的制度審查、事件分析、IT安全教育程序等。第四部分：防護(hù)的選擇發(fā)布于2

23、000年3月1日。這個(gè)部分主要探討如何針對(duì)一個(gè)組織的特定環(huán)境和安全需求來(lái)選擇防護(hù)措施。這些措施不僅僅包括技術(shù)措施。第五部分：網(wǎng)絡(luò)安全管理指南這個(gè)部分是基于ISO/IEC TR 13335第四部分建立的，介紹了如何確定與網(wǎng)絡(luò)連接相關(guān)的保護(hù)域。281.11 信息安全基礎(chǔ)-ISO13335ISO13335291.11 信息安全基礎(chǔ)-ISO13335291.11 信息安全基礎(chǔ)-ISO13335301.12 信息安全基礎(chǔ)-GB18336GB18336GB/T 18336：2001信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則（等同于ISO/IEC15408-1999）（通常也簡(jiǎn)稱通用準(zhǔn)則-CC）已于2001

24、年3月正式頒布，該標(biāo)準(zhǔn)是評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則。ISO/IEC15408-1999是國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種評(píng)估準(zhǔn)則努力的結(jié)果，是在美國(guó)、加拿大、歐洲等國(guó)家和地區(qū)分別自行推出測(cè)評(píng)準(zhǔn)則并具體實(shí)踐的基礎(chǔ)上，通過(guò)相互間的總結(jié)和互補(bǔ)發(fā)展起來(lái)的。301.12 信息安全基礎(chǔ)-GB18336GB18336311.13 信息安全基礎(chǔ)-等級(jí)保護(hù)等級(jí)保護(hù)信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益

25、造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。311.13 信息安全基礎(chǔ)-等級(jí)保護(hù)等級(jí)保護(hù)321.13 信息安全基礎(chǔ)-等級(jí)保護(hù)等級(jí)保護(hù)第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)

26、依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專(zhuān)門(mén)需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專(zhuān)門(mén)部門(mén)對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專(zhuān)門(mén)監(jiān)督、檢查。321.13 信息安全基礎(chǔ)-等級(jí)保護(hù)等級(jí)保護(hù)33信息安全與審計(jì)基礎(chǔ)及理論知識(shí)究竟什么是信息安全審計(jì)PDCA （監(jiān)督與保障）Syslog （日志）Audit Trail （審計(jì)

27、留痕）33信息安全與審計(jì)基礎(chǔ)及理論知識(shí)究竟什么是信息安全審計(jì)34信息安全與審計(jì)基礎(chǔ)及理論知識(shí)34信息安全與審計(jì)基礎(chǔ)及理論知識(shí)35信息安全與審計(jì)基礎(chǔ)及理論知識(shí)信息安全審計(jì)目的是什么讓別人難堪？顯示我們的聰明與他們的錯(cuò)誤？展示審計(jì)的權(quán)力？?jī)?nèi)審與外審1,為了保證提供獨(dú)立的審計(jì)委員會(huì)（和高級(jí)管理）的內(nèi)部控制措施，在公司內(nèi)有效地運(yùn)作2,為了改善公司的內(nèi)部控制，促進(jìn)和幫助該公司確定的控制弱點(diǎn)，和制定解決這些弱點(diǎn)成本效益的解決方案，內(nèi)部控制的狀態(tài)。35信息安全與審計(jì)基礎(chǔ)及理論知識(shí)信息安全審計(jì)目的是什么36信息安全與審計(jì)基礎(chǔ)及理論知識(shí)怎樣做好信息安全審計(jì)工作領(lǐng)導(dǎo)的推動(dòng)與支持審計(jì)的方式不是挑毛病，而是交朋友積累

28、專(zhuān)業(yè)知識(shí)36信息安全與審計(jì)基礎(chǔ)及理論知識(shí)怎樣做好信息安全審計(jì)工作37如果開(kāi)始信息安全審計(jì)工作采用一個(gè)標(biāo)準(zhǔn)建立一套系統(tǒng)充實(shí)與完善細(xì)則內(nèi)容執(zhí)行與監(jiān)督ISO27001ISMSNet/OS/DBACTS1234信息安全與審計(jì)基礎(chǔ)及理論知識(shí)37如果開(kāi)始信息安全審計(jì)工作ISO27001ISMSNet/38信息安全與審計(jì)基礎(chǔ)及理論知識(shí)資質(zhì)與認(rèn)證BSIDNV指定評(píng)測(cè)或認(rèn)證機(jī)構(gòu)CISSPCISALA38信息安全與審計(jì)基礎(chǔ)及理論知識(shí)資質(zhì)與認(rèn)證391.6 信息安全基礎(chǔ)-權(quán)威認(rèn)證CISSP介紹安全管理Security Management Practices安全架構(gòu)與模型Security Architecture a

29、nd Models訪問(wèn)控制Access Control應(yīng)用與系統(tǒng)開(kāi)發(fā)Applications and Systems Development操作安全Operations Security物理安全Physical Security加密Cryptography通信與網(wǎng)絡(luò)Telecommunications and Networking業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)Business Continuity Planning/DRP法律，事后取證Law, Investigation, and Ethics391.6 信息安全基礎(chǔ)-權(quán)威認(rèn)證CISSP介紹401.6 信息安全基礎(chǔ)-權(quán)威認(rèn)證CISA介紹( )CISA考

30、試每年舉行兩次，分別為每年的六月和十二月的第二周星期六，六月和十二月考試中國(guó)學(xué)員均可以選擇中文和英文考試，在中國(guó)考試從上午九點(diǎn)開(kāi)始，共四個(gè)小時(shí)13點(diǎn)結(jié)束包括六部分內(nèi)容，各自所占比例如下： 信息系統(tǒng)審計(jì)過(guò)程（占10%） IT治理（占15%） 系統(tǒng)和生命周期管理（占16%） IT服務(wù)的交付與支持（占14%） 信息資產(chǎn)保護(hù)（占31%） 業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃（占14%）401.6 信息安全基礎(chǔ)-權(quán)威認(rèn)證CISA介紹(www.is管理指引適用范圍適用范圍：本指引適用于在中華人民共和國(guó)境內(nèi)依法設(shè)立的法人商業(yè)銀行。參照范圍： 政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)

31、管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車(chē)金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)。41管理指引適用范圍適用范圍：41管理指引管理職責(zé)商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本指引的貫徹落實(shí)。董事會(huì)：遵守并貫徹執(zhí)行國(guó)家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱銀監(jiān)會(huì)）相關(guān)監(jiān)管要求。 首席信息官：確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開(kāi)發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險(xiǎn)管理策略。負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門(mén)，承擔(dān)本銀行的信息科技職責(zé)。確保其履行：信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部控制、專(zhuān)業(yè)化研

32、發(fā)、信息科技項(xiàng)目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運(yùn)行、維護(hù)和升級(jí)、信息安全管理、災(zāi)難恢復(fù)計(jì)劃、信息科技外包和信息系統(tǒng)退出等職責(zé)。 特定部門(mén)負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作:為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面，為業(yè)務(wù)部門(mén)和信息科技部門(mén)提供建議及相關(guān)合規(guī)性信息，實(shí)施持續(xù)信息科技風(fēng)險(xiǎn)評(píng)估，跟蹤整改意見(jiàn)的落實(shí)，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。 內(nèi)部審計(jì)部門(mén)設(shè)立專(zhuān)門(mén)的信息科技風(fēng)險(xiǎn)審計(jì)崗位:負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對(duì)信息科技整個(gè)生命周期和重大事件等進(jìn)行審計(jì)。人員安全

33、和法規(guī)：入職前審查、入職中教育、降低離職的損失 知識(shí)產(chǎn)權(quán)保護(hù)總體原則：自上而下、明確分工42管理指引管理職責(zé)商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指引風(fēng)險(xiǎn)管理涉及范圍：信息分級(jí)與保護(hù)、信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)、信息科技運(yùn)行和維護(hù)、訪問(wèn)控制、物理安全、人員安全、業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處置。制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評(píng)估流程識(shí)別隱患評(píng)價(jià)影響排序制定措施及安排資源措施：風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)、操作規(guī)程權(quán)限管理：高權(quán)限用戶的審查、物理和邏輯控制、最小化和必須知道原則、授權(quán)審批和驗(yàn)證。風(fēng)險(xiǎn)監(jiān)測(cè)：評(píng)價(jià)機(jī)制、程序和標(biāo)準(zhǔn)、報(bào)告機(jī)制、整改機(jī)制、定期審查（已有體系、控制臺(tái)、新技術(shù)、外部威脅）43管理指引風(fēng)險(xiǎn)管理涉及范

34、圍：信息分級(jí)與保護(hù)、信息系統(tǒng)開(kāi)發(fā)管理指引信息安全科技部門(mén)：信息分類(lèi)和保護(hù)體系、安全教育和貫徹信息安全體系：安全制度管理、安全組織管理、資產(chǎn)管理、人員安全、物理與環(huán)境安全、通信與運(yùn)營(yíng)管理、訪問(wèn)控制管理、系統(tǒng)開(kāi)發(fā)與維護(hù)管理、事故管理、業(yè)務(wù)連續(xù)性、合規(guī)性管理。用戶認(rèn)證與授權(quán)：必須知道、離職的權(quán)限移除物理保護(hù)區(qū)域劃分與保護(hù)：物理、邏輯訪問(wèn)控制、內(nèi)容過(guò)濾、傳輸、監(jiān)控、記錄系統(tǒng)安全：安全規(guī)范、權(quán)限分配、帳戶審計(jì)、補(bǔ)丁管理、日志監(jiān)控所有系統(tǒng)：職責(zé)分配、認(rèn)證、輸入輸出、數(shù)據(jù)保密、審計(jì)蹤跡44管理指引信息安全科技部門(mén)：信息分類(lèi)和保護(hù)體系、安全教育管理指引信息安全（續(xù)）日志管理:交易日志、系統(tǒng)日志 記錄內(nèi)容、覆蓋

35、范圍、保存期限加密措施：符合國(guó)家要求、人員要求、強(qiáng)度要求、密鑰管理定期檢查：包括臺(tái)式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷(xiāo)售終端（POS）和個(gè)人數(shù)字助理（PDA）等管理客戶信息：采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷(xiāo)毀的生命周期。Pci-dss？人員培訓(xùn)。45管理指引信息安全（續(xù)）日志管理:交易日志、系統(tǒng)日志 管理指引開(kāi)發(fā)管理職責(zé)：項(xiàng)目實(shí)施部門(mén)應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，組織對(duì)系統(tǒng)的后

36、評(píng)價(jià)，并根據(jù)評(píng)價(jià)結(jié)果及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。項(xiàng)目風(fēng)險(xiǎn)：潛在的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失風(fēng)險(xiǎn)和因無(wú)效項(xiàng)目規(guī)劃或不適當(dāng)?shù)捻?xiàng)目管理控制產(chǎn)生的機(jī)會(huì)成本，并采取適當(dāng)?shù)捻?xiàng)目管理方法。生命周期管理。變更管理：生產(chǎn)、開(kāi)發(fā)、測(cè)試環(huán)境的物理區(qū)域和人員職責(zé)分離、緊急修復(fù)的記錄、變更審查。問(wèn)題管理：全面的追蹤、分析和解決。ITIL？升級(jí)管理.46管理指引開(kāi)發(fā)管理職責(zé)：項(xiàng)目實(shí)施部門(mén)應(yīng)定期向信息科技管理管理指引信息科技運(yùn)行物理環(huán)境控制：電力供應(yīng)、自然災(zāi)害、基礎(chǔ)設(shè)施外來(lái)人員訪問(wèn)：審查批準(zhǔn)記錄陪同人員職責(zé)分離：運(yùn)行與維護(hù)分離交易數(shù)據(jù)：可保存、機(jī)密性、完整性、可恢復(fù)操作說(shuō)明：運(yùn)營(yíng)操作指南與規(guī)范。事故管理：報(bào)告分析追蹤解決。服

37、務(wù)水平管理：SlA。監(jiān)控、例外和預(yù)警。容量管理：外部變化和內(nèi)部業(yè)務(wù)。升級(jí)管理：記錄保存。變更管理：審批、記錄和更正緊急修復(fù)。47管理指引信息科技運(yùn)行物理環(huán)境控制：電力供應(yīng)、自然災(zāi)害、管理指引業(yè)務(wù)連續(xù)性管理規(guī)劃：基于自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定規(guī)劃；定期演練。意外事件：內(nèi)部資源故障或缺失、信息丟失與受損、外部事件業(yè)務(wù)中斷：系統(tǒng)恢復(fù)和雙機(jī)熱備應(yīng)急恢復(fù)、保險(xiǎn)以降低損失連續(xù)性策略：規(guī)劃（資源管理、優(yōu)先級(jí)、外部溝通）、更新、驗(yàn)證、審核應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門(mén)或信息科技管理委員會(huì)確認(rèn)。48管理指引業(yè)務(wù)連續(xù)性管理規(guī)劃：基于自身業(yè)務(wù)的性質(zhì)、規(guī)模和管理指引外包管理謹(jǐn)慎原則外包協(xié)議：適合業(yè)務(wù)和風(fēng)

38、險(xiǎn)戰(zhàn)略、操作風(fēng)險(xiǎn)、財(cái)務(wù)穩(wěn)定性和專(zhuān)業(yè)經(jīng)驗(yàn)、平穩(wěn)過(guò)濾、外包商共用的風(fēng)險(xiǎn)。合同談判：必要條件、監(jiān)督、所有權(quán)、損失補(bǔ)償、遵守規(guī)范、服務(wù)水平管理、變更服務(wù)水平管理：定性和定量指標(biāo)、水平考核、不達(dá)標(biāo)的處理數(shù)據(jù)安全保護(hù)：隔離、最小授權(quán)、保密協(xié)議、信息披露、禁止再外包、合同終止應(yīng)急措施：外包不可用外包合同審批：信息科技風(fēng)險(xiǎn)管理部門(mén)、法律部門(mén)和信息科技管理委員會(huì)審核通過(guò)。并定期審核49管理指引外包管理謹(jǐn)慎原則49管理指引內(nèi)部審計(jì)內(nèi)審部門(mén)：系統(tǒng)控制的適當(dāng)性和有效性。審計(jì)人員資源和能力。審計(jì)責(zé)任：審計(jì)計(jì)劃、審計(jì)工作、整改檢查、專(zhuān)項(xiàng)審計(jì)。審計(jì)范圍和頻率：基于業(yè)務(wù)性質(zhì)、規(guī)模、復(fù)雜度、應(yīng)用情況、風(fēng)險(xiǎn)評(píng)估結(jié)果。至少每三年一

39、次。審計(jì)參與：大規(guī)模審計(jì)時(shí)，風(fēng)險(xiǎn)管理部門(mén)的參與。50管理指引內(nèi)部審計(jì)內(nèi)審部門(mén)：系統(tǒng)控制的適當(dāng)性和有效性。審管理指引外部審計(jì)外審機(jī)構(gòu)選擇：法律法規(guī)要求、能力要求審計(jì)溝通銀監(jiān)會(huì)及其派出機(jī)構(gòu)：必要時(shí)的檢查、審計(jì)授權(quán)書(shū)、保密協(xié)定、規(guī)定時(shí)間內(nèi)完成整改。51管理指引外部審計(jì)外審機(jī)構(gòu)選擇：法律法規(guī)要求、能力要求552ISMS信息安全與風(fēng)險(xiǎn)管理框架介紹ISMSInformation Security Management System-ISMS 信息安全管理體系基于國(guó)際標(biāo)準(zhǔn)ISO/IEC27001：信息安全管理體系要求是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法ISMS是管理體系（MS）家族的一個(gè)

40、成員52ISMS信息安全與風(fēng)險(xiǎn)管理框架介紹ISMS ISO27000系列標(biāo)準(zhǔn)介紹ISO/IEC27001:2005 ISO/IEC27001:2005的名稱 Information technology- Security techniques-Information security management systems-requirements 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求該標(biāo)準(zhǔn)用于：為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系提供模型，并規(guī)定了要求。該標(biāo)準(zhǔn)適用于：所有類(lèi)型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。是建立和實(shí)施ISMS的依據(jù)，是ISMS認(rèn)證

41、的依據(jù)。 ISO27000系列標(biāo)準(zhǔn)介紹ISO/IEC27001:20 ISO27000系列標(biāo)準(zhǔn)介紹ISO/IEC27002:2005 主要內(nèi)容 章節(jié)控制措施域控制目標(biāo)控制措施5安全方針126信息安全組織2117資產(chǎn)管理258人力資源安全399物理和環(huán)境安全21310通信和操作管理103211訪問(wèn)控制72512信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)61613信息安全事故管理2514業(yè)務(wù)連續(xù)性管理1515符合性310合計(jì)39133 ISO27000系列標(biāo)準(zhǔn)介紹ISO/IEC27002:2055COBIT框架介紹什么是Cobit是由信息系統(tǒng)審計(jì)和控制基金會(huì)ISACF（Information Systems Aud

42、it and Control Foundation）最早于1996年制定的IT治理模型，目前已經(jīng)更新至第四版。COBIT的制訂宗旨是跨越業(yè)務(wù)控制（business control）和IT控制之間的鴻溝，從而建立一個(gè)面向業(yè)務(wù)目標(biāo)的IT控制框架。COBIT是IT治理的模型COBIT是基于控制的模型55COBIT框架介紹什么是Cobit與IT標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系與IT審計(jì)的關(guān)系COBIT包含而不限于IT審計(jì)的模塊（Audit Guidline），但并非是針對(duì)IT審計(jì)的專(zhuān)門(mén)論述與BS7799、ITIL的關(guān)系側(cè)重不同。COBIT主要側(cè)重于處理企業(yè)治理中不同方面的需求，使信息管理、控制目標(biāo)、IT審計(jì)等圍繞信息系

43、統(tǒng)管理控制的工作能夠在一個(gè)統(tǒng)一的平臺(tái)上協(xié)調(diào)開(kāi)展。與IT標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系與IT審計(jì)的關(guān)系572.信息安全相關(guān)內(nèi)容為什么要了解信息安全I(xiàn)T審計(jì)的主要內(nèi)容就是信息安全審計(jì)了解信息安全的問(wèn)題，才能制定有效的解決辦法審計(jì)這些解決辦法的制定、實(shí)施、改進(jìn)情況572.信息安全相關(guān)內(nèi)容為什么要了解信息安全I(xiàn)T審計(jì)的主要內(nèi)582.信息安全相關(guān)內(nèi)容掃描信息掃描Nmapportscan密碼掃描WebcrackEmailcracksolarwinds漏洞掃描NessusISS綜合掃描器Xscan流光SSSDBSCAN木馬探測(cè)582.信息安全相關(guān)內(nèi)容掃描信息掃描592.信息安全相關(guān)內(nèi)容密碼破解在線通常是密碼掃描工具，實(shí)時(shí)地

44、連接目標(biāo)系統(tǒng)進(jìn)行密碼猜測(cè)。另外也有一些工具有在線密碼破解功能，例如solarwinds、l0phtcrack等。對(duì)于WEB的cookie進(jìn)行猜測(cè)破解對(duì)于內(nèi)存、緩存、視圖中的密碼進(jìn)行破解，例如msn密碼。IE瀏覽器星號(hào)密碼等。離線通常是獲取了目標(biāo)系統(tǒng)的用戶或者 密碼文件，通過(guò)對(duì)加密算法的還原，或者已知密文猜測(cè)明文、暴力破解等方式。離線破解的優(yōu)勢(shì)在于，不易被目標(biāo)系統(tǒng)發(fā)現(xiàn)，并且可以分布式計(jì)算破解等。592.信息安全相關(guān)內(nèi)容密碼破解在線602.信息安全相關(guān)內(nèi)容密碼破解字典字典通常包括所有英文單詞，常用數(shù)字與符號(hào)，例如123、qwe、qaz、poi等等。中文字典可能包括單位、部門(mén)、姓名拼音的縮寫(xiě)，例如c

45、mcc、yssh、zhc等。暴力暴力破解通常是按照一定的規(guī)則，將所有可能的字母、數(shù)字、符號(hào)等組合進(jìn)行嘗試。也就是窮舉破解。暴力破解通常至少包括6位以下的字母、數(shù)字，包括所有生日。暴力破解不一定全部針對(duì)密碼，也有可能是對(duì)加密置換方法的窮舉。602.信息安全相關(guān)內(nèi)容密碼破解612.信息安全相關(guān)內(nèi)容密碼破解規(guī)則可定制規(guī)則的產(chǎn)生字典或者暴力破解的密碼集，例如將賬號(hào)倒過(guò)來(lái)，將字母與常用前、后綴組合，按照目標(biāo)的習(xí)慣產(chǎn)生密碼等。例如creek123等。組合還可能包括將字母與數(shù)字互換，加上大小寫(xiě)等。例如r00t!#、cr33k!23等。其他通過(guò)密碼找回功能，關(guān)聯(lián)分析功能、密碼重置或者密碼清除等進(jìn)行密碼功能破解

46、。典型的工具crack、John、l0pht等。612.信息安全相關(guān)內(nèi)容密碼破解規(guī)則622.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取緩沖區(qū)溢出一般是堆棧緩沖區(qū)溢出，主要是利用目標(biāo)系統(tǒng)存在的漏洞，使得堆棧區(qū)的數(shù)據(jù)越界，覆蓋和修改了同樣在堆棧中的程序返回地址，從而可以改變程序流，執(zhí)行特定構(gòu)造或者指定的程序代碼的方法。本地緩沖區(qū)溢出通常是針對(duì)suid程序，來(lái)獲得權(quán)限的提升。遠(yuǎn)程緩沖區(qū)溢出是指通過(guò)網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)包通信，進(jìn)行緩沖區(qū)溢出攻擊的方法。遠(yuǎn)程服務(wù)通常都是超級(jí)用戶權(quán)限，因此通常溢出后直接得到超級(jí)權(quán)限。遠(yuǎn)程服務(wù)溢出可能直接從遠(yuǎn)程得到本地權(quán)限，因此不需要賬號(hào)密碼登錄。緩沖區(qū)溢出也可以被用來(lái)進(jìn)行拒絕服務(wù)攻擊。

47、622.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取緩沖區(qū)溢出632.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取格式化字符串格式化字符串是指的，在程序中通常用%s做為參數(shù)來(lái)輸出動(dòng)態(tài)的字符串，例如printf(“it is %s”, string)如果存在格式化字符串漏洞，則可以通過(guò)構(gòu)造string的內(nèi)容，造成岐義，例如string內(nèi)容又帶有%s，并且格式化字符串被多層引用。格式化字符串也可能造成與緩沖區(qū)溢出類(lèi)似的效果。SQL注入SQL注入有點(diǎn)類(lèi)似于格式化字符串。通常是指的網(wǎng)頁(yè)腳本程序，操作數(shù)據(jù)庫(kù)的代碼部分，如果對(duì)于輸入的變量未進(jìn)行檢查，則可能通過(guò)特定構(gòu)造的輸入字符，造成拼接后的SQL語(yǔ)句語(yǔ)義的改變，從而達(dá)到控制

48、程序流運(yùn)行。632.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取格式化字符串642.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取SQL注入“”，例如 源代碼是if “user” = “input” then 這里input是指我們輸入的用戶，我們輸入 aaa” or 1=“1 作為用戶名，那么程序成為if “user” = “aaa” or 1=“1 ”，這是恒等式。從而可以在不知道用戶名或者密碼的情況下繞過(guò)認(rèn)證。；，輸入信息為 aaa ; echo /etc/passwd ，在unix下分號(hào)表示后面為獨(dú)立的命令，運(yùn)行完當(dāng)前命令后，繼續(xù)運(yùn)行分號(hào)后的命令。CGICGI就是通用網(wǎng)關(guān)接口，服務(wù)端的ASP、PHP、JSP

49、、PERL以及可執(zhí)行程序等都可以統(tǒng)稱為CGI程序。CGI程序可能存在漏洞，也可能存在泄露服務(wù)器信息的問(wèn)題?？梢酝ㄟ^(guò)WEB服務(wù)器CGI功能掛馬。642.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取SQL注入652.信息安全相關(guān)內(nèi)容權(quán)限提升高權(quán)限用戶本地suid程序緩沖區(qū)溢出通常是權(quán)限提升的方法進(jìn)程注入可以用來(lái)提升權(quán)限獲取密碼文件，破解密碼可以提升權(quán)限通過(guò)文件系統(tǒng)漏洞、臨時(shí)文件、符號(hào)鏈接等，獲取高級(jí)別用戶權(quán)限通過(guò)偽造欺騙，獲取高級(jí)別用戶密碼等權(quán)限突破Chroot、jailChroot是改變程序運(yùn)行的絕對(duì)目錄為虛擬目錄。突破這種限制將可以訪問(wèn)磁盤(pán)文件系統(tǒng)上的非授權(quán)訪問(wèn)文件。652.信息安全相關(guān)內(nèi)容權(quán)限提升高權(quán)

50、限用戶662.信息安全相關(guān)內(nèi)容權(quán)限提升突破虛擬機(jī)虛擬機(jī)將所有程序限制在一定的磁盤(pán)空間、一定的內(nèi)存，一定的外設(shè)等，指令可能被替換和虛擬執(zhí)行突破虛擬機(jī)將可以對(duì)宿主機(jī)直接進(jìn)行磁盤(pán)、內(nèi)存、外設(shè)的訪問(wèn)。網(wǎng)絡(luò)的掃描與其他系統(tǒng)的權(quán)限獲取，也可能提升權(quán)限。例如信任主機(jī)、密碼文件獲取等。網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)竊聽(tīng)也可能獲取密碼，提升權(quán)限。662.信息安全相關(guān)內(nèi)容權(quán)限提升突破虛擬機(jī)672.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)嗅探Sniffer，譯為嗅探、監(jiān)聽(tīng)、竊聽(tīng)，或者抓包。在同一個(gè)HUB上，數(shù)據(jù)包是廣播的，可以得到所有人的數(shù)據(jù)包，如果是明文協(xié)議，則可能得到登錄過(guò)程相應(yīng)的密碼。交換環(huán)境下，需要采取ARP欺騙相結(jié)合的手段進(jìn)行交換環(huán)境的網(wǎng)絡(luò)

51、竊聽(tīng)，主要代表工具是dsniff。網(wǎng)絡(luò)嗅探除了可能得到賬號(hào)密碼，也可能得到重要數(shù)據(jù)文件、重要操作過(guò)程與操作方法等。網(wǎng)絡(luò)嗅探通常是被動(dòng)監(jiān)聽(tīng)狀態(tài)，不向網(wǎng)絡(luò)發(fā)送任何數(shù)據(jù)包，比較隱蔽，不容易被發(fā)現(xiàn)，有些工具 能發(fā)現(xiàn)網(wǎng)絡(luò)中的嗅探器，例如promiscan等。672.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)嗅探Sniffer，譯為嗅探、監(jiān)682.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙IP欺騙通常偽造數(shù)據(jù)包的源IP地址，使得目標(biāo)收到數(shù)據(jù)包后，無(wú)法找到來(lái)攻擊者來(lái)源。也可以偽造數(shù)據(jù)包的源IP地址，使得此IP地址成為被攻擊的對(duì)象。在能猜測(cè)TCP的SEQ號(hào)情況下，IP欺騙可能實(shí)現(xiàn)會(huì)話劫持的效果。ARP互聯(lián)網(wǎng)上的數(shù)據(jù)包到了局域網(wǎng)后，就需要通過(guò)局域網(wǎng)協(xié)

52、議傳輸，使用的是MAC地址和ARP協(xié)議。ARP欺騙通常是中間人攻擊。ARP欺騙可以是主動(dòng)更新包，也可以免費(fèi)響應(yīng)包。682.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙IP欺騙692.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙DNS(域名服務(wù))猜測(cè)DNS的序列號(hào)，窮舉同時(shí)發(fā)送所有的DNS數(shù)據(jù)包，可以實(shí)現(xiàn)DNS的會(huì)話劫持，從而可以改變DNS請(qǐng)求者的獲得的解析內(nèi)容，將域名解析到其他IP地址。直接控制DNS服務(wù)器，修改DNS解析內(nèi)容，也可能實(shí)現(xiàn)網(wǎng)絡(luò)欺騙，特別是根域名服務(wù)器影響會(huì)大，今年百度事件就是因?yàn)楦蛎?wù)器的域名解析被篡改。釣魚(yú)釣魚(yú)網(wǎng)站可能和真實(shí)網(wǎng)站做得外觀非常相似，域名也類(lèi)似，通常用來(lái)竊取粗心用戶的用戶名與密碼。例如與工商銀行相似

53、的釣魚(yú)網(wǎng)站通過(guò)虛假中獎(jiǎng)信息發(fā)布、免費(fèi)注冊(cè)博客賬號(hào)等方式，誘騙不知情用戶輸入用戶名與密碼。692.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙DNS(域名服務(wù))702.信息安全相關(guān)內(nèi)容中間人與會(huì)話劫持中間人理論上，如果A與B通信，所有通信過(guò)程前沒(méi)有任何協(xié)商好的秘密，那么M一定可以用某種方法成為中間人，并且讓A與B并不知情。由于A與B事先無(wú)協(xié)商好的秘密，因此A無(wú)法鑒別正在與自己通信的是B還是M，同樣B也無(wú)法鑒別與自己通信的是A還是M。M可以通過(guò)某種方式成為A與B的中間人。作為中間的傳聲筒，A與B不知道自己發(fā)送的內(nèi)容是否被中間人替換，即使是加密的。會(huì)話劫持通常是通過(guò)中間的人方式來(lái)實(shí)現(xiàn)，也有可能通過(guò)某種方式造成原通信主機(jī)

54、拒絕服務(wù)后，由自己替代。702.信息安全相關(guān)內(nèi)容中間人與會(huì)話劫持中間人712.信息安全相關(guān)內(nèi)容跨站腳本攻擊Cross site script的縮寫(xiě)，因?yàn)榕cCSS網(wǎng)頁(yè)樣式文件重名，因此簡(jiǎn)寫(xiě)為XSS攻擊者向Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，通常在用戶不知情的情況下，中途訪問(wèn)其他站點(diǎn)，收集用戶的COOKIE，或者自動(dòng)下載木馬與運(yùn)行等。欺騙其他人訪問(wèn)自己構(gòu)造的頁(yè)面，通?？赡茉谠试SHTML語(yǔ)言輸入的BBS、博客等簽名文檔里構(gòu)造。712.信息安全相關(guān)內(nèi)容跨站腳本攻擊Cross site s722.信息安全相關(guān)內(nèi)容拒絕服務(wù)漏洞型協(xié)議漏洞Synflo

55、od(半開(kāi)連接，資源耗盡)Fin攻擊(違反協(xié)議)Land(源/目的地址與端口都是被攻擊者)Smurf(源地址為被攻擊者或者廣播地址)CISCO的55、77協(xié)議服務(wù)漏洞例如snmpd漏洞使用ftp探測(cè)ibm某高端口等722.信息安全相關(guān)內(nèi)容拒絕服務(wù)漏洞型732.信息安全相關(guān)內(nèi)容拒絕服務(wù)流量型資源消耗+流量型分布式拒絕服務(wù)TargetAttackerMasterInternetZombies攻擊者主控機(jī)僵尸機(jī)目標(biāo)機(jī)732.信息安全相關(guān)內(nèi)容拒絕服務(wù)流量型TargetAttac742.信息安全相關(guān)內(nèi)容后門(mén)木馬本地賬號(hào)后門(mén)密碼后門(mén)SHELLSUID后門(mén)替換命令/修改loginCrontab/atinit

56、tabRcXinitrc.login/.profile/.bashrc/.cshrcLKM742.信息安全相關(guān)內(nèi)容后門(mén)木馬本地752.信息安全相關(guān)內(nèi)容后門(mén)木馬網(wǎng)絡(luò)監(jiān)聽(tīng)端口網(wǎng)頁(yè)CGI遠(yuǎn)程連接IRC客戶端發(fā)送郵件ICMP通道Udp通道NC反向連接定時(shí)訪問(wèn)752.信息安全相關(guān)內(nèi)容后門(mén)木馬網(wǎng)絡(luò)762.信息安全相關(guān)內(nèi)容無(wú)線網(wǎng)絡(luò)非加密不廣播SSID中文SSID超長(zhǎng)SSIDWEPWPAAircrack-ngAiromon-ngAirodump-ng762.信息安全相關(guān)內(nèi)容無(wú)線網(wǎng)絡(luò)非加密772.信息安全相關(guān)內(nèi)容掃尾清除入侵信息清除過(guò)程文件清除core文件清除訪問(wèn)日志修改文件、目錄時(shí)間修改/刪除日志修改shel

57、l記錄殺掉/重啟進(jìn)程填補(bǔ)系統(tǒng)漏洞772.信息安全相關(guān)內(nèi)容掃尾清除入侵信息782.信息安全相關(guān)內(nèi)容其他社會(huì)工程學(xué)技術(shù)入侵不一定是最優(yōu)選擇權(quán)限集中可以被利用興趣愛(ài)好可以被利用操作習(xí)慣可以被利用782.信息安全相關(guān)內(nèi)容其他社會(huì)工程學(xué)792.信息安全相關(guān)內(nèi)容PKIPKI是Public Key Infrastructure的縮寫(xiě)，是指用公鑰概念和技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。這個(gè)定義涵蓋的內(nèi)容比較寬，是一個(gè)被很多人接受的概念。這個(gè)定義說(shuō)明，任何以公鑰技術(shù)為基礎(chǔ)的安全基礎(chǔ)設(shè)施都是PKI。當(dāng)然，沒(méi)有好的非對(duì)稱算法和好的密鑰管理就不可能提供完善的安全服務(wù)，也就不能叫做PKI。也就是說(shuō)，該

58、定義中已經(jīng)隱含了必須具有的密鑰管理功能X.509標(biāo)準(zhǔn)中，為了區(qū)別于權(quán)限管理基礎(chǔ)設(shè)施(Privilege Management Infrastructure，簡(jiǎn)稱PMI)，將PKI定義為支持公開(kāi)密鑰管理并能支持認(rèn)證、加密、完整性和可追究性服務(wù)的基礎(chǔ)設(shè)施。這個(gè)概念與第一個(gè)概念相比，不僅僅敘述PKI能提供的安全服務(wù)，更強(qiáng)調(diào)PKI必須支持公開(kāi)密鑰的管理。也就是說(shuō)，僅僅使用公鑰技術(shù)還不能叫做PKI，還應(yīng)該提供公開(kāi)密鑰的管理。792.信息安全相關(guān)內(nèi)容PKIPKI是Public Key 802.信息安全相關(guān)內(nèi)容PKIPKI技術(shù)是信息安全技術(shù)的核心，PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封

59、、雙重?cái)?shù)字簽名等。一個(gè)典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分： 公鑰密碼證書(shū)管理。 黑名單的發(fā)布和管理。 密鑰的備份和恢復(fù)。 自動(dòng)更新密鑰。 自動(dòng)管理歷史密鑰。 支持交叉認(rèn)證。802.信息安全相關(guān)內(nèi)容PKIPKI技術(shù)是信息安全技術(shù)的核812.信息安全相關(guān)內(nèi)容VPNVPN的英文全稱是“Virtual Private Network” ，即虛擬專(zhuān)用網(wǎng)。VPN主要采用的四項(xiàng)安全保證技術(shù) 隧道技術(shù)加解密技術(shù)密鑰管理技術(shù)身份認(rèn)證技術(shù)IPSec VPN: IPsec(縮寫(xiě)IP Security)是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對(duì)IP協(xié)議分組進(jìn)行加密和認(rèn)證。 IPsec作為一個(gè)協(xié)議族（即一系

60、列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：保護(hù)分組流的協(xié)議；用來(lái)建立這些安全分組流的密鑰交換協(xié)議。812.信息安全相關(guān)內(nèi)容VPNVPN的英文全稱是“Virtu822.信息安全相關(guān)內(nèi)容VPNIPSec VPN: 前者又分成兩個(gè)部分： 加密分組流的封裝安全載荷（ESP）及較少使用的認(rèn)證頭（AH），認(rèn)證頭提供了對(duì)分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。 PPTP VPN: Point to Point Tunneling Protocol 點(diǎn)到點(diǎn)隧道協(xié)議 ，在因特網(wǎng)上建立IP虛擬專(zhuān)用網(wǎng)（VPN）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專(zhuān)用網(wǎng)