信息安全審計(jì)培訓(xùn)講義課件

信息安全審計(jì)陳越Email：creekchen@MSN:creekchen@Tel業(yè)與信息化部培訓(xùn)中心信息安全審計(jì)陳越工業(yè)與信息化部培訓(xùn)中心2信息安全與審計(jì)基礎(chǔ)及理論知識(shí)信息安全與審計(jì)的概念、目標(biāo)、范圍信息安全審計(jì)/IT審計(jì)/信息系統(tǒng)安全審計(jì)審計(jì)應(yīng)該是獨(dú)立的。審計(jì)與信息安全的目標(biāo)是一致的，而不是對(duì)立的。信息安全與IT審計(jì)的關(guān)系信息安全其中一項(xiàng)必不可少的內(nèi)容是IT審計(jì)IT審計(jì)主要針對(duì)的是信息安全，也包含其他內(nèi)容信息安全與IT審計(jì)有很大的重合點(diǎn)1.不懂信息安全如何進(jìn)行IT審計(jì)2.要做好IT審計(jì)必須了解信息安全2信息安全與審計(jì)基礎(chǔ)及理論知識(shí)信息安全與審計(jì)的概念、目標(biāo)、范3一、信息安全基礎(chǔ)與理論1.1信息安全內(nèi)容概述1.2美國(guó)標(biāo)準(zhǔn)TCSEC1.3歐洲標(biāo)準(zhǔn)ITSEC1.4CC標(biāo)準(zhǔn)1.5CC、TCSEC、ITSEC對(duì)應(yīng)關(guān)系1.6CISSP介紹1.7SSE-CMM1.8BS7799/ISO7799/ISO270011.9ITIL3一、信息安全基礎(chǔ)與理論1.1信息安全內(nèi)容概述4一、信息安全基礎(chǔ)與理論1.10ISO154081.11ISO133351.12GB18336等級(jí)保護(hù)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》4一、信息安全基礎(chǔ)與理論1.10ISO1540851.1信息安全基礎(chǔ)-三要素信息安全內(nèi)容概述計(jì)算機(jī)安全信息安全三要素Confidentiality

IntegrityAvailability51.1信息安全基礎(chǔ)-三要素信息安全內(nèi)容概述61.信息安全基礎(chǔ)-北美標(biāo)準(zhǔn)TCSEC美國(guó)國(guó)防部(TrustedComputerSystemsEvaluationCriteria)安全等級(jí)A驗(yàn)證保護(hù)B強(qiáng)制保護(hù)C自主保護(hù)D無(wú)保護(hù)FC美聯(lián)邦標(biāo)準(zhǔn)(FederalCriteria)CTCPEC加拿大標(biāo)準(zhǔn)(CanadianTrustedComputerProductEvaluationCriteria)61.信息安全基礎(chǔ)-北美標(biāo)準(zhǔn)TCSEC71.3信息安全基礎(chǔ)-歐洲標(biāo)準(zhǔn)ITSECInformationTechnologySecurityEvaluationCriteria英法德荷四國(guó)制定ITSEC是歐洲多國(guó)安全評(píng)價(jià)方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域?yàn)檐婈?duì)、政府和商業(yè)。該標(biāo)準(zhǔn)將安全概念分為功能與評(píng)估兩部分。功能準(zhǔn)則從F1～F10共分10級(jí)。1～5級(jí)對(duì)應(yīng)于TCSEC的D到A。F6至F10級(jí)分別對(duì)應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及機(jī)密性和完整性。與TCSEC不同,它并不把保密措施直接與計(jì)算機(jī)功能相聯(lián)系,而是只敘述技術(shù)安全的要求,把保密作為安全增強(qiáng)功能。另外,TCSEC把保密作為安全的重點(diǎn),而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(jí)(不滿足品質(zhì))到E6級(jí)(形式化驗(yàn)證)的7個(gè)安全等級(jí),對(duì)于每個(gè)系統(tǒng),安全功能可分別定義。71.3信息安全基礎(chǔ)-歐洲標(biāo)準(zhǔn)ITSEC81.4信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC(CommonCriteria)美英法德荷加六國(guó)制定的共同標(biāo)準(zhǔn)包含的類FAU 安全審計(jì)FCO 通信FCS 密碼支持FDP 用戶數(shù)據(jù)保護(hù)FIA 標(biāo)識(shí)與鑒別FMT 安全管理FPR 隱私FPT TSF保護(hù)(固件保護(hù)，TOESecurityFunctions,TOESecurityPolicy，(TargetOfEvaluation))FRU 資源利用FTA TOE訪問(wèn)FTP 可信信道/路徑81.4信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC(CommonCri91.5信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC、TCSEC、ITSEC對(duì)應(yīng)關(guān)系CC TCSEC ITSEC- D E0EAL1 - -EAL2 C1 E1EAL3 C2 E2EAL4 B1 E3EAL5 B2 E4EAL6 B3 E5EAL7 A1 E691.5信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC、TCSEC、ITSEC101.5信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC分為三個(gè)部分：第1部分"簡(jiǎn)介和一般模型"，正文介紹了CC中的有關(guān)術(shù)語(yǔ)、基本概念和一般模型以及與評(píng)估有關(guān)的一些框架，附錄部分主要介紹保護(hù)輪廓（PP）和安全目標(biāo)（ST）的基本內(nèi)容。第2部分"安全功能要求"，按"類--子類--組件"的方式提出安全功能要求，每一個(gè)類除正文以外，還有對(duì)應(yīng)的提示性附錄作進(jìn)一步解釋。第3部分“安全保證要求”，定義了評(píng)估保證級(jí)別，介紹了PP和ST的評(píng)估，并按“類--子類--組件”的方式提出安全保證要求101.5信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC分為三個(gè)部分：111.5信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC的三個(gè)部分相互依存，缺一不可。第1部分是介紹CC的基本概念和基本原理第2部分提出了技術(shù)要求第3部分提出了非技術(shù)要求和對(duì)開(kāi)發(fā)過(guò)程、工程過(guò)程的要求。這三部分的有機(jī)結(jié)合具體體現(xiàn)在PP和ST中，PP和ST的概念和原理由第1部分介紹，PP和ST中的安全功能要求和安全保證要求在第2、3部分選取，這些安全要求的完備性和一致性，由第2、3兩部分來(lái)保證。CC作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的世界性通用準(zhǔn)則，是信息技術(shù)安全性評(píng)估結(jié)果國(guó)際互認(rèn)的基礎(chǔ)。111.5信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)CC的三個(gè)部分相互依存，缺121.5信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)121.5信息安全基礎(chǔ)-國(guó)際標(biāo)準(zhǔn)131.7信息安全基礎(chǔ)-SSE-CMMSSE-CMM(SystemSecurityEngineeringCapabilityMaturityModel)模型是CMM在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支，是美國(guó)國(guó)家安全局(NSA)領(lǐng)導(dǎo)開(kāi)發(fā)的，是專門用于系統(tǒng)安全工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相應(yīng)評(píng)估方法2.0版發(fā)布。系統(tǒng)安全工程過(guò)程一共有三個(gè)相關(guān)組織過(guò)程：工程過(guò)程風(fēng)險(xiǎn)過(guò)程保證過(guò)程131.7信息安全基礎(chǔ)-SSE-CMMSSE-CMM(S141.7信息安全基礎(chǔ)-SSE-CMMSSE-CMM共分5個(gè)能力級(jí)別，11個(gè)過(guò)程區(qū)域：基本執(zhí)行級(jí)、計(jì)劃跟蹤級(jí)、充分定義級(jí)、量化控制級(jí)、持續(xù)改進(jìn)級(jí)2002年SSE-CMM被國(guó)際標(biāo)準(zhǔn)化組織采納成為國(guó)際標(biāo)準(zhǔn)即ISO/IEC21827:2002《信息技術(shù)系統(tǒng)安全工程－成熟度模型》。SSE-CMM和BS7799都提出了一系列最佳慣例，但BS7799是一個(gè)認(rèn)證標(biāo)準(zhǔn)（第二部分），提出了一個(gè)可供認(rèn)證的ISMS體系，組織應(yīng)該將其作為目標(biāo)，通過(guò)選擇適當(dāng)?shù)目刂拼胧ǖ谝徊糠郑┤?shí)現(xiàn)。而SSE-CMM則是一個(gè)評(píng)估標(biāo)準(zhǔn)，適合作為評(píng)估工程實(shí)施組織能力與資質(zhì)的標(biāo)準(zhǔn).141.7信息安全基礎(chǔ)-SSE-CMMSSE-CMM151.8信息安全基礎(chǔ)-7799/27001BS7799BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制定的信息安全管理體系標(biāo)準(zhǔn)，已得到了一些國(guó)家的采納，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。BS7799以下10個(gè)部分：信息安全政策安全組織資產(chǎn)分類及控制人員安全物理及環(huán)境安全計(jì)算機(jī)及系統(tǒng)管理系統(tǒng)訪問(wèn)控制系統(tǒng)開(kāi)發(fā)與維護(hù)業(yè)務(wù)連續(xù)性規(guī)劃符合性151.8信息安全基礎(chǔ)-7799/27001BS7799161.8信息安全基礎(chǔ)-7799/27001ISO17799BS7799Part1的全稱是CodeofPracticeforInformationSecurity，也即為信息安全的實(shí)施細(xì)則。2000年被采納為ISO/IEC17799，目前其最新版本為2005版，也就是ISO17799:2005。ISO/IEC17799:2005通過(guò)層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等11個(gè)安全管理要素，還有39個(gè)主要執(zhí)行目標(biāo)和133個(gè)具體控制措施（最佳實(shí)踐），供負(fù)責(zé)信息安全系統(tǒng)應(yīng)用和開(kāi)發(fā)的人員作為參考使用，以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容。161.8信息安全基礎(chǔ)-7799/27001ISO1779171.8信息安全基礎(chǔ)-7799/27001ISO27001BS7799Part2的全稱是InformationSecurityManagementSpecification，也即為信息安全管理體系規(guī)范，其最新修訂版在05年10月正式成為ISO/IEC27001:2005，ISO/IEC27001是建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可用來(lái)指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC17799，其最終目的，在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。CC、SSE-CMM、BS7799對(duì)比信息技術(shù)安全性評(píng)估準(zhǔn)則(CC)和美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)估準(zhǔn)則(TCSEC)等更側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評(píng)估系統(tǒng)安全工程能力成熟模型(SSE-CMM)更側(cè)重于對(duì)安全產(chǎn)品開(kāi)發(fā)、安全系統(tǒng)集成等安全工程過(guò)程的管理。在對(duì)信息系統(tǒng)日常安全管理方面，BS7799的地位是其他標(biāo)準(zhǔn)無(wú)法取代的。171.8信息安全基礎(chǔ)-7799/27001ISO2700181.8信息安全基礎(chǔ)-7799/27001BS7799BS7799涵蓋了安全管理所應(yīng)涉及的方方面面，全面而不失可操作性，提供了一個(gè)可持續(xù)提高的信息安全管理環(huán)境。推廣信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在重視程度和制度落實(shí)方面。標(biāo)準(zhǔn)存在一定不足對(duì)查看敏感信息等保密性缺少控制。標(biāo)準(zhǔn)中對(duì)評(píng)審控制和審計(jì)沒(méi)有區(qū)分標(biāo)準(zhǔn)中只在開(kāi)發(fā)和維護(hù)中簡(jiǎn)單涉及密碼技術(shù)某些方面可能不全面，但是它仍是目前可以用來(lái)達(dá)到一定預(yù)防標(biāo)準(zhǔn)的最好的指導(dǎo)標(biāo)準(zhǔn)。181.8信息安全基礎(chǔ)-7799/27001BS7799191.9信息安全基礎(chǔ)-ITILITILITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（InformationTechnologyInfrastructureLibrary）。ITIL針對(duì)一些重要的IT實(shí)踐，詳細(xì)描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等IT服務(wù)管理中最主要的內(nèi)容就是服務(wù)交付（ServiceDelivery）和服務(wù)支持（ServiceSupport）服務(wù)交付（ServiceDelivery）：ServiceLevelManagementFinancialManagementforITServiceCapacityManagementITServiceContinuityManagementAvailabilityManagement191.9信息安全基礎(chǔ)-ITILITIL201.9信息安全基礎(chǔ)-ITILITILV3版本圖201.9信息安全基礎(chǔ)-ITILITIL211.9信息安全基礎(chǔ)-ITIL服務(wù)支持（ServiceSupport）：ServiceDeskIncidentManagementProblemManagementConfigurationManagementChangeManagementReleaseManagementBS150002001年，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)在國(guó)際IT服務(wù)管理論壇（itSMF）上正式發(fā)布了以ITIL為核心的英國(guó)國(guó)家標(biāo)準(zhǔn)BS15000。這成為IT服務(wù)管理領(lǐng)域具有歷史意義的重大事件。211.9信息安全基礎(chǔ)-ITIL服務(wù)支持（Service221.9信息安全基礎(chǔ)-ITILBS15000有兩個(gè)部分，目前都已經(jīng)轉(zhuǎn)化成國(guó)際標(biāo)準(zhǔn)了。

ISO/IEC20000-1:2005信息技術(shù)服務(wù)管理-服務(wù)管理規(guī)范（Informationtechnologyservicemanagement.SpecificationforServiceManagement）

ISO/IEC20000-2:2005信息技術(shù)服務(wù)管理-服務(wù)管理最佳實(shí)踐（Informationtechnologyservicemanagement.CodeofPracticeforServiceManagement）與BS7799相比ITIL關(guān)注面更為廣泛（信息技術(shù)），而且更側(cè)重于具體的實(shí)施流程。ISMS實(shí)施者可以將BS7799作為ITIL在信息安全方面的補(bǔ)充，同時(shí)引入ITIL流程的方法，以此加強(qiáng)信息安全管理的實(shí)施能力。221.9信息安全基礎(chǔ)-ITILBS15000有兩個(gè)部分231.10信息安全基礎(chǔ)-ISO15408ISO15408ISO國(guó)際標(biāo)準(zhǔn)化組織于1999年正式發(fā)布了ISO/IEC15408。ISO/IECJTC1和CommonCriteriaProjectOrganisations共同制訂了此標(biāo)準(zhǔn)，此標(biāo)準(zhǔn)等同于CommonCriteriaV2.1。ISO/IEC15408有一個(gè)通用的標(biāo)題信息技術(shù)—安全技術(shù)—IT安全評(píng)估準(zhǔn)則。此標(biāo)準(zhǔn)包含三個(gè)部分：第一部分介紹和一般模型第二部分安全功能需求第三部分安全認(rèn)證需求安全功能需求1審計(jì)——安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)產(chǎn)生、安全審計(jì)分析、安全審計(jì)評(píng)估、安全審計(jì)事件選擇、安全審計(jì)事件存儲(chǔ)231.10信息安全基礎(chǔ)-ISO15408ISO15408241.10信息安全基礎(chǔ)-ISO15408安全功能需求2通信——源不可否認(rèn)、接受不可否認(rèn)3密碼支持——密碼密鑰管理、密碼操作4用戶數(shù)據(jù)保護(hù)——訪問(wèn)控制策略、訪問(wèn)控制功能、數(shù)據(jù)鑒別、出口控制、信息流控制策略、信息流控制功能、入口控制、內(nèi)部安全傳輸、剩余信息保護(hù)、反轉(zhuǎn)、存儲(chǔ)數(shù)據(jù)的完整性、內(nèi)部用戶數(shù)據(jù)保密傳輸保護(hù)、內(nèi)部用戶數(shù)據(jù)完整傳輸保護(hù)5鑒別和認(rèn)證——認(rèn)證失敗安全、用戶屬性定義、安全說(shuō)明、用戶認(rèn)證、用戶鑒別、用戶主體裝訂6安全管理——安全功能的管理、安全屬性管理、安全功能數(shù)據(jù)管理、撤回、安全屬性終止、安全管理角色7隱私——匿名、使用假名、可解脫性、可隨意性241.10信息安全基礎(chǔ)-ISO15408安全功能需求251.10信息安全基礎(chǔ)-ISO15408安全功能需求8安全功能保護(hù)——底層抽象及其測(cè)試、失敗安全、輸出數(shù)據(jù)的可用性、輸出數(shù)據(jù)的保密性、輸出數(shù)據(jù)的完整性、內(nèi)部數(shù)據(jù)傳輸安全、物理保護(hù)、可信恢復(fù)、重放檢測(cè)、參考仲裁、領(lǐng)域分割、狀態(tài)同步協(xié)議、時(shí)間戳、內(nèi)部數(shù)據(jù)的一致性、內(nèi)部數(shù)據(jù)復(fù)制的一致性、安全自檢。9資源利用——容錯(cuò)、服務(wù)優(yōu)先權(quán)、資源分配10訪問(wèn)——可選屬性范圍限制、多并發(fā)限制、鎖、訪問(wèn)標(biāo)志、訪問(wèn)歷史、session建立11可信通道/信道——內(nèi)部可信通道、可信通道251.10信息安全基礎(chǔ)-ISO15408安全功能需求261.10信息安全基礎(chǔ)-ISO15408安全認(rèn)證需求1配置管理2分發(fā)和操作3開(kāi)發(fā)4指導(dǎo)文檔5生命周期支持6測(cè)試7漏洞評(píng)估261.10信息安全基礎(chǔ)-ISO15408安全認(rèn)證需求271.11信息安全基礎(chǔ)-ISO13335ISO13335(CIA+Accountability,Authenticity,Reliability)ISO13335是一個(gè)信息安全管理指南，這個(gè)標(biāo)準(zhǔn)的主要目的就是要給出如何有效地實(shí)施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)部分。第一部分：IT安全的概念和模型（ConceptsandmodelsforITSecurity）第二部分：IT安全的管理和計(jì)劃（ManagingandplanningITSecurity）第三部分：IT安全的技術(shù)管理（TechniquesforthemanagementofITSecurity）第四部分：防護(hù)的選擇（Selectionofsafeguards）第五部分：網(wǎng)絡(luò)安全管理指南（Managementguidanceonnetworksecurity）271.11信息安全基礎(chǔ)-ISO13335ISO13335281.11信息安全基礎(chǔ)-ISO13335ISO13335第一部分：IT安全的概念和模型發(fā)布于1996年12月15日。該部分包括了對(duì)IT安全和安全管理的一些基本概念和模型的介紹第二部分：IT安全的管理和計(jì)劃發(fā)布于1997年12月15日。這個(gè)部分建議性地描述了IT安全管理和計(jì)劃的方式和要點(diǎn)，包括決定IT安全目標(biāo)、戰(zhàn)略和策略決定組織IT安全需求管理IT安全風(fēng)險(xiǎn)計(jì)劃適當(dāng)IT安全防護(hù)措施的實(shí)施開(kāi)發(fā)安全教育計(jì)劃策劃跟進(jìn)的程序，如監(jiān)控、復(fù)查和維護(hù)安全服務(wù)開(kāi)發(fā)事件處理計(jì)劃281.11信息安全基礎(chǔ)-ISO13335ISO13335291.11信息安全基礎(chǔ)-ISO13335ISO13335第三部分：IT安全的技術(shù)管理發(fā)布于1998年6月15日。這個(gè)部分覆蓋了風(fēng)險(xiǎn)管理技術(shù)、IT安全計(jì)劃的開(kāi)發(fā)以及實(shí)施和測(cè)試，還包括一些后續(xù)的制度審查、事件分析、IT安全教育程序等。第四部分：防護(hù)的選擇發(fā)布于2000年3月1日。這個(gè)部分主要探討如何針對(duì)一個(gè)組織的特定環(huán)境和安全需求來(lái)選擇防護(hù)措施。這些措施不僅僅包括技術(shù)措施。第五部分：網(wǎng)絡(luò)安全管理指南這個(gè)部分是基于ISO/IECTR13335第四部分建立的，介紹了如何確定與網(wǎng)絡(luò)連接相關(guān)的保護(hù)域。291.11信息安全基礎(chǔ)-ISO13335ISO13335301.11信息安全基礎(chǔ)-ISO13335301.11信息安全基礎(chǔ)-ISO13335311.12信息安全基礎(chǔ)-GB18336GB18336GB/T18336：2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》（等同于ISO/IEC15408-1999）（通常也簡(jiǎn)稱通用準(zhǔn)則--CC）已于2001年3月正式頒布，該標(biāo)準(zhǔn)是評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則。ISO/IEC15408-1999是國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種評(píng)估準(zhǔn)則努力的結(jié)果，是在美國(guó)、加拿大、歐洲等國(guó)家和地區(qū)分別自行推出測(cè)評(píng)準(zhǔn)則并具體實(shí)踐的基礎(chǔ)上，通過(guò)相互間的總結(jié)和互補(bǔ)發(fā)展起來(lái)的。311.12信息安全基礎(chǔ)-GB18336GB18336321.13信息安全基礎(chǔ)-等級(jí)保護(hù)等級(jí)保護(hù)信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。321.13信息安全基礎(chǔ)-等級(jí)保護(hù)等級(jí)保護(hù)331.13信息安全基礎(chǔ)-等級(jí)保護(hù)等級(jí)保護(hù)第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國(guó)家指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。331.13信息安全基礎(chǔ)-等級(jí)保護(hù)等級(jí)保護(hù)34信息安全與審計(jì)基礎(chǔ)及理論知識(shí)究竟什么是信息安全審計(jì)PDCA（監(jiān)督與保障）Syslog（日志）AuditTrail（審計(jì)留痕）34信息安全與審計(jì)基礎(chǔ)及理論知識(shí)究竟什么是信息安全審計(jì)35信息安全與審計(jì)基礎(chǔ)及理論知識(shí)35信息安全與審計(jì)基礎(chǔ)及理論知識(shí)36信息安全與審計(jì)基礎(chǔ)及理論知識(shí)信息安全審計(jì)目的是什么讓別人難堪？顯示我們的聰明與他們的錯(cuò)誤？展示審計(jì)的權(quán)力？?jī)?nèi)審與外審1,為了保證提供獨(dú)立的審計(jì)委員會(huì)（和高級(jí)管理）的內(nèi)部控制措施，在公司內(nèi)有效地運(yùn)作2,為了改善公司的內(nèi)部控制，促進(jìn)和幫助該公司確定的控制弱點(diǎn)，和制定解決這些弱點(diǎn)成本效益的解決方案，內(nèi)部控制的狀態(tài)。36信息安全與審計(jì)基礎(chǔ)及理論知識(shí)信息安全審計(jì)目的是什么37信息安全與審計(jì)基礎(chǔ)及理論知識(shí)怎樣做好信息安全審計(jì)工作領(lǐng)導(dǎo)的推動(dòng)與支持審計(jì)的方式不是挑毛病，而是交朋友積累專業(yè)知識(shí)37信息安全與審計(jì)基礎(chǔ)及理論知識(shí)怎樣做好信息安全審計(jì)工作38如果開(kāi)始信息安全審計(jì)工作采用一個(gè)標(biāo)準(zhǔn)建立一套系統(tǒng)充實(shí)與完善細(xì)則內(nèi)容執(zhí)行與監(jiān)督ISO27001ISMSNet/OS/DBACTS1234信息安全與審計(jì)基礎(chǔ)及理論知識(shí)38如果開(kāi)始信息安全審計(jì)工作ISO27001ISMSNet/39信息安全與審計(jì)基礎(chǔ)及理論知識(shí)資質(zhì)與認(rèn)證BSIDNV指定評(píng)測(cè)或認(rèn)證機(jī)構(gòu)CISSPCISALA39信息安全與審計(jì)基礎(chǔ)及理論知識(shí)資質(zhì)與認(rèn)證401.6信息安全基礎(chǔ)-權(quán)威認(rèn)證CISSP介紹安全管理 SecurityManagementPractices安全架構(gòu)與模型 SecurityArchitectureandModels訪問(wèn)控制 AccessControl應(yīng)用與系統(tǒng)開(kāi)發(fā) ApplicationsandSystemsDevelopment操作安全 OperationsSecurity物理安全 PhysicalSecurity加密 Cryptography通信與網(wǎng)絡(luò) TelecommunicationsandNetworking業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù) BusinessContinuityPlanning/DRP法律，事后取證 Law,Investigation,andEthics401.6信息安全基礎(chǔ)-權(quán)威認(rèn)證CISSP介紹411.6信息安全基礎(chǔ)-權(quán)威認(rèn)證411.6信息安全基礎(chǔ)-權(quán)威認(rèn)證《管理指引》－適用范圍適用范圍：本指引適用于在中華人民共和國(guó)境內(nèi)依法設(shè)立的法人商業(yè)銀行。

參照范圍：

政策性銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村信用社、村鎮(zhèn)銀行、貸款公司、金融資產(chǎn)管理公司、信托公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司、貨幣經(jīng)紀(jì)公司等其他銀行業(yè)金融機(jī)構(gòu)。42《管理指引》－適用范圍適用范圍：42《管理指引》－管理職責(zé)商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本指引的貫徹落實(shí)。董事會(huì)：遵守并貫徹執(zhí)行國(guó)家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱銀監(jiān)會(huì)）相關(guān)監(jiān)管要求?！紫畔⒐伲捍_保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開(kāi)發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險(xiǎn)管理策略。負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門，承擔(dān)本銀行的信息科技職責(zé)。確保其履行：信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部控制、專業(yè)化研發(fā)、信息科技項(xiàng)目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運(yùn)行、維護(hù)和升級(jí)、信息安全管理、災(zāi)難恢復(fù)計(jì)劃、信息科技外包和信息系統(tǒng)退出等職責(zé)?！囟ú块T負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作:為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面，為業(yè)務(wù)部門和信息科技部門提供建議及相關(guān)合規(guī)性信息，實(shí)施持續(xù)信息科技風(fēng)險(xiǎn)評(píng)估，跟蹤整改意見(jiàn)的落實(shí)，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。……內(nèi)部審計(jì)部門設(shè)立專門的信息科技風(fēng)險(xiǎn)審計(jì)崗位:負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對(duì)信息科技整個(gè)生命周期和重大事件等進(jìn)行審計(jì)?！藛T安全和法規(guī)：入職前審查、入職中教育、降低離職的損失知識(shí)產(chǎn)權(quán)保護(hù)總體原則：自上而下、明確分工43《管理指引》－管理職責(zé)商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)《管理指引》－風(fēng)險(xiǎn)管理涉及范圍：信息分級(jí)與保護(hù)、信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)、信息科技運(yùn)行和維護(hù)、訪問(wèn)控制、物理安全、人員安全、業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處置。制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評(píng)估流程識(shí)別隱患評(píng)價(jià)影響排序制定措施及安排資源措施：風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)、操作規(guī)程權(quán)限管理：高權(quán)限用戶的審查、物理和邏輯控制、最小化和必須知道原則、授權(quán)審批和驗(yàn)證。風(fēng)險(xiǎn)監(jiān)測(cè)：評(píng)價(jià)機(jī)制、程序和標(biāo)準(zhǔn)、報(bào)告機(jī)制、整改機(jī)制、定期審查（已有體系、控制臺(tái)、新技術(shù)、外部威脅）44《管理指引》－風(fēng)險(xiǎn)管理涉及范圍：信息分級(jí)與保護(hù)、信息系統(tǒng)開(kāi)發(fā)《管理指引》－信息安全科技部門：信息分類和保護(hù)體系、安全教育和貫徹信息安全體系：安全制度管理、安全組織管理、資產(chǎn)管理、人員安全、物理與環(huán)境安全、通信與運(yùn)營(yíng)管理、訪問(wèn)控制管理、系統(tǒng)開(kāi)發(fā)與維護(hù)管理、事故管理、業(yè)務(wù)連續(xù)性、合規(guī)性管理。用戶認(rèn)證與授權(quán)：必須知道、離職的權(quán)限移除物理保護(hù)區(qū)域劃分與保護(hù)：物理、邏輯訪問(wèn)控制、內(nèi)容過(guò)濾、傳輸、監(jiān)控、記錄系統(tǒng)安全：安全規(guī)范、權(quán)限分配、帳戶審計(jì)、補(bǔ)丁管理、日志監(jiān)控所有系統(tǒng)：職責(zé)分配、認(rèn)證、輸入輸出、數(shù)據(jù)保密、審計(jì)蹤跡45《管理指引》－信息安全科技部門：信息分類和保護(hù)體系、安全教育《管理指引》－信息安全（續(xù)）日志管理:交易日志、系統(tǒng)日志記錄內(nèi)容、覆蓋范圍、保存期限加密措施：符合國(guó)家要求、人員要求、強(qiáng)度要求、密鑰管理定期檢查：包括臺(tái)式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷售終端（POS）和個(gè)人數(shù)字助理（PDA）等管理客戶信息：采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀的生命周期。Pci-dss？人員培訓(xùn)。46《管理指引》－信息安全（續(xù)）日志管理:交易日志、系統(tǒng)日志《管理指引》－開(kāi)發(fā)管理職責(zé)：項(xiàng)目實(shí)施部門應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，組織對(duì)系統(tǒng)的后評(píng)價(jià)，并根據(jù)評(píng)價(jià)結(jié)果及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。項(xiàng)目風(fēng)險(xiǎn)：潛在的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失風(fēng)險(xiǎn)和因無(wú)效項(xiàng)目規(guī)劃或不適當(dāng)?shù)捻?xiàng)目管理控制產(chǎn)生的機(jī)會(huì)成本，并采取適當(dāng)?shù)捻?xiàng)目管理方法。生命周期管理。變更管理：生產(chǎn)、開(kāi)發(fā)、測(cè)試環(huán)境的物理區(qū)域和人員職責(zé)分離、緊急修復(fù)的記錄、變更審查。問(wèn)題管理：全面的追蹤、分析和解決。ITIL？升級(jí)管理.47《管理指引》－開(kāi)發(fā)管理職責(zé)：項(xiàng)目實(shí)施部門應(yīng)定期向信息科技管理《管理指引》－信息科技運(yùn)行物理環(huán)境控制：電力供應(yīng)、自然災(zāi)害、基礎(chǔ)設(shè)施外來(lái)人員訪問(wèn)：審查批準(zhǔn)記錄陪同人員職責(zé)分離：運(yùn)行與維護(hù)分離交易數(shù)據(jù)：可保存、機(jī)密性、完整性、可恢復(fù)操作說(shuō)明：運(yùn)營(yíng)操作指南與規(guī)范。事故管理：報(bào)告分析追蹤解決。服務(wù)水平管理：SlA。監(jiān)控、例外和預(yù)警。容量管理：外部變化和內(nèi)部業(yè)務(wù)。升級(jí)管理：記錄保存。變更管理：審批、記錄和更正緊急修復(fù)。48《管理指引》－信息科技運(yùn)行物理環(huán)境控制：電力供應(yīng)、自然災(zāi)害、《管理指引》－業(yè)務(wù)連續(xù)性管理規(guī)劃：基于自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定規(guī)劃；定期演練。意外事件：內(nèi)部資源故障或缺失、信息丟失與受損、外部事件業(yè)務(wù)中斷：系統(tǒng)恢復(fù)和雙機(jī)熱備應(yīng)急恢復(fù)、保險(xiǎn)以降低損失連續(xù)性策略：規(guī)劃（資源管理、優(yōu)先級(jí)、外部溝通）、更新、驗(yàn)證、審核應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門或信息科技管理委員會(huì)確認(rèn)。49《管理指引》－業(yè)務(wù)連續(xù)性管理規(guī)劃：基于自身業(yè)務(wù)的性質(zhì)、規(guī)模和《管理指引》－外包管理謹(jǐn)慎原則外包協(xié)議：適合業(yè)務(wù)和風(fēng)險(xiǎn)戰(zhàn)略、操作風(fēng)險(xiǎn)、財(cái)務(wù)穩(wěn)定性和專業(yè)經(jīng)驗(yàn)、平穩(wěn)過(guò)濾、外包商共用的風(fēng)險(xiǎn)。合同談判：必要條件、監(jiān)督、所有權(quán)、損失補(bǔ)償、遵守規(guī)范、服務(wù)水平管理、變更服務(wù)水平管理：定性和定量指標(biāo)、水平考核、不達(dá)標(biāo)的處理數(shù)據(jù)安全保護(hù)：隔離、最小授權(quán)、保密協(xié)議、信息披露、禁止再外包、合同終止應(yīng)急措施：外包不可用外包合同審批：信息科技風(fēng)險(xiǎn)管理部門、法律部門和信息科技管理委員會(huì)審核通過(guò)。并定期審核50《管理指引》－外包管理謹(jǐn)慎原則50《管理指引》－內(nèi)部審計(jì)內(nèi)審部門：系統(tǒng)控制的適當(dāng)性和有效性。審計(jì)人員資源和能力。審計(jì)責(zé)任：審計(jì)計(jì)劃、審計(jì)工作、整改檢查、專項(xiàng)審計(jì)。審計(jì)范圍和頻率：基于業(yè)務(wù)性質(zhì)、規(guī)模、復(fù)雜度、應(yīng)用情況、風(fēng)險(xiǎn)評(píng)估結(jié)果。至少每三年一次。審計(jì)參與：大規(guī)模審計(jì)時(shí)，風(fēng)險(xiǎn)管理部門的參與。51《管理指引》－內(nèi)部審計(jì)內(nèi)審部門：系統(tǒng)控制的適當(dāng)性和有效性。審《管理指引》－外部審計(jì)外審機(jī)構(gòu)選擇：法律法規(guī)要求、能力要求審計(jì)溝通銀監(jiān)會(huì)及其派出機(jī)構(gòu)：必要時(shí)的檢查、審計(jì)授權(quán)書(shū)、保密協(xié)定、規(guī)定時(shí)間內(nèi)完成整改。52《管理指引》－外部審計(jì)外審機(jī)構(gòu)選擇：法律法規(guī)要求、能力要求553ISMS信息安全與風(fēng)險(xiǎn)管理框架介紹ISMSInformationSecurityManagementSystem-ISMS

信息安全管理體系基于國(guó)際標(biāo)準(zhǔn)ISO/IEC27001：信息安全管理體系要求是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法ISMS是管理體系（MS）家族的一個(gè)成員53ISMS信息安全與風(fēng)險(xiǎn)管理框架介紹ISMSISO27000系列標(biāo)準(zhǔn)介紹ISO/IEC27001:2005

ISO/IEC27001:2005的名稱

Informationtechnology-Securitytechniques-Information

securitymanagementsystems-requirements

信息技術(shù)-安全技術(shù)-信息安全管理體系-要求該標(biāo)準(zhǔn)用于：為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系提供模型，并規(guī)定了要求。該標(biāo)準(zhǔn)適用于：所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。是建立和實(shí)施ISMS的依據(jù)，是ISMS認(rèn)證的依據(jù)。ISO27000系列標(biāo)準(zhǔn)介紹ISO/IEC27001:20ISO27000系列標(biāo)準(zhǔn)介紹ISO/IEC27002:2005主要內(nèi)容

章節(jié)控制措施域控制目標(biāo)控制措施5安全方針126信息安全組織2117資產(chǎn)管理258人力資源安全399物理和環(huán)境安全21310通信和操作管理103211訪問(wèn)控制72512信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)61613信息安全事故管理2514業(yè)務(wù)連續(xù)性管理1515符合性310合計(jì)39133ISO27000系列標(biāo)準(zhǔn)介紹ISO/IEC27002:2056COBIT框架介紹什么是Cobit是由信息系統(tǒng)審計(jì)和控制基金會(huì)ISACF（InformationSystemsAuditandControlFoundation）最早于1996年制定的IT治理模型，目前已經(jīng)更新至第四版。COBIT的制訂宗旨是跨越業(yè)務(wù)控制（businesscontrol）和IT控制之間的鴻溝，從而建立一個(gè)面向業(yè)務(wù)目標(biāo)的IT控制框架。COBIT是IT治理的模型COBIT是基于控制的模型56COBIT框架介紹什么是Cobit與IT標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系與IT審計(jì)的關(guān)系COBIT包含而不限于IT審計(jì)的模塊（AuditGuidline），但并非是針對(duì)IT審計(jì)的專門論述與BS7799、ITIL的關(guān)系側(cè)重不同。COBIT主要側(cè)重于處理企業(yè)治理中不同方面的需求，使信息管理、控制目標(biāo)、IT審計(jì)等圍繞信息系統(tǒng)管理控制的工作能夠在一個(gè)統(tǒng)一的平臺(tái)上協(xié)調(diào)開(kāi)展。與IT標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系與IT審計(jì)的關(guān)系582.信息安全相關(guān)內(nèi)容為什么要了解信息安全I(xiàn)T審計(jì)的主要內(nèi)容就是信息安全審計(jì)了解信息安全的問(wèn)題，才能制定有效的解決辦法審計(jì)這些解決辦法的制定、實(shí)施、改進(jìn)情況582.信息安全相關(guān)內(nèi)容為什么要了解信息安全I(xiàn)T審計(jì)的主要內(nèi)592.信息安全相關(guān)內(nèi)容掃描信息掃描Nmapportscan密碼掃描WebcrackEmailcracksolarwinds漏洞掃描NessusISS綜合掃描器Xscan流光SSSDBSCAN木馬探測(cè)592.信息安全相關(guān)內(nèi)容掃描信息掃描602.信息安全相關(guān)內(nèi)容密碼破解在線通常是密碼掃描工具，實(shí)時(shí)地連接目標(biāo)系統(tǒng)進(jìn)行密碼猜測(cè)。另外也有一些工具有在線密碼破解功能，例如solarwinds、l0phtcrack等。對(duì)于WEB的cookie進(jìn)行猜測(cè)破解對(duì)于內(nèi)存、緩存、視圖中的密碼進(jìn)行破解，例如msn密碼。IE瀏覽器星號(hào)密碼等。離線通常是獲取了目標(biāo)系統(tǒng)的用戶或者密碼文件，通過(guò)對(duì)加密算法的還原，或者已知密文猜測(cè)明文、暴力破解等方式。離線破解的優(yōu)勢(shì)在于，不易被目標(biāo)系統(tǒng)發(fā)現(xiàn)，并且可以分布式計(jì)算破解等。602.信息安全相關(guān)內(nèi)容密碼破解在線612.信息安全相關(guān)內(nèi)容密碼破解字典字典通常包括所有英文單詞，常用數(shù)字與符號(hào)，例如123、qwe、qaz、poi等等。中文字典可能包括單位、部門、姓名拼音的縮寫(xiě)，例如cmcc、yssh、zhc等。暴力暴力破解通常是按照一定的規(guī)則，將所有可能的字母、數(shù)字、符號(hào)等組合進(jìn)行嘗試。也就是窮舉破解。暴力破解通常至少包括6位以下的字母、數(shù)字，包括所有生日。暴力破解不一定全部針對(duì)密碼，也有可能是對(duì)加密置換方法的窮舉。612.信息安全相關(guān)內(nèi)容密碼破解622.信息安全相關(guān)內(nèi)容密碼破解規(guī)則可定制規(guī)則的產(chǎn)生字典或者暴力破解的密碼集，例如將賬號(hào)倒過(guò)來(lái)，將字母與常用前、后綴組合，按照目標(biāo)的習(xí)慣產(chǎn)生密碼等。例如creek123等。組合還可能包括將字母與數(shù)字互換，加上大小寫(xiě)等。例如r00t!@#、cr33k!23等。其他通過(guò)密碼找回功能，關(guān)聯(lián)分析功能、密碼重置或者密碼清除等進(jìn)行密碼功能破解。典型的工具crack、John、l0pht等。622.信息安全相關(guān)內(nèi)容密碼破解規(guī)則632.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取緩沖區(qū)溢出一般是堆棧緩沖區(qū)溢出，主要是利用目標(biāo)系統(tǒng)存在的漏洞，使得堆棧區(qū)的數(shù)據(jù)越界，覆蓋和修改了同樣在堆棧中的程序返回地址，從而可以改變程序流，執(zhí)行特定構(gòu)造或者指定的程序代碼的方法。本地緩沖區(qū)溢出通常是針對(duì)suid程序，來(lái)獲得權(quán)限的提升。遠(yuǎn)程緩沖區(qū)溢出是指通過(guò)網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)包通信，進(jìn)行緩沖區(qū)溢出攻擊的方法。遠(yuǎn)程服務(wù)通常都是超級(jí)用戶權(quán)限，因此通常溢出后直接得到超級(jí)權(quán)限。遠(yuǎn)程服務(wù)溢出可能直接從遠(yuǎn)程得到本地權(quán)限，因此不需要賬號(hào)密碼登錄。緩沖區(qū)溢出也可以被用來(lái)進(jìn)行拒絕服務(wù)攻擊。632.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取緩沖區(qū)溢出642.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取格式化字符串格式化字符串是指的，在程序中通常用%s做為參數(shù)來(lái)輸出動(dòng)態(tài)的字符串，例如printf(“itis%s”,string)如果存在格式化字符串漏洞，則可以通過(guò)構(gòu)造string的內(nèi)容，造成岐義，例如string內(nèi)容又帶有%s，并且格式化字符串被多層引用。格式化字符串也可能造成與緩沖區(qū)溢出類似的效果。SQL注入SQL注入有點(diǎn)類似于格式化字符串。通常是指的網(wǎng)頁(yè)腳本程序，操作數(shù)據(jù)庫(kù)的代碼部分，如果對(duì)于輸入的變量未進(jìn)行檢查，則可能通過(guò)特定構(gòu)造的輸入字符，造成拼接后的SQL語(yǔ)句語(yǔ)義的改變，從而達(dá)到控制程序流運(yùn)行。642.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取格式化字符串652.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取SQL注入“”，例如源代碼是if“user”=“input”then…這里input是指我們輸入的用戶，我們輸入aaa”or1=“1作為用戶名，那么程序成為if“user”=“aaa”or1=“1”，這是恒等式。從而可以在不知道用戶名或者密碼的情況下繞過(guò)認(rèn)證。；，輸入信息為aaa;echo/etc/passwd，在unix下分號(hào)表示后面為獨(dú)立的命令，運(yùn)行完當(dāng)前命令后，繼續(xù)運(yùn)行分號(hào)后的命令。CGICGI就是通用網(wǎng)關(guān)接口，服務(wù)端的ASP、PHP、JSP、PERL以及可執(zhí)行程序等都可以統(tǒng)稱為CGI程序。CGI程序可能存在漏洞，也可能存在泄露服務(wù)器信息的問(wèn)題?？梢酝ㄟ^(guò)WEB服務(wù)器CGI功能掛馬。652.信息安全相關(guān)內(nèi)容漏洞利用與權(quán)限獲取SQL注入662.信息安全相關(guān)內(nèi)容權(quán)限提升高權(quán)限用戶本地suid程序緩沖區(qū)溢出通常是權(quán)限提升的方法進(jìn)程注入可以用來(lái)提升權(quán)限獲取密碼文件，破解密碼可以提升權(quán)限通過(guò)文件系統(tǒng)漏洞、臨時(shí)文件、符號(hào)鏈接等，獲取高級(jí)別用戶權(quán)限通過(guò)偽造欺騙，獲取高級(jí)別用戶密碼等權(quán)限突破Chroot、jailChroot是改變程序運(yùn)行的絕對(duì)目錄為虛擬目錄。突破這種限制將可以訪問(wèn)磁盤文件系統(tǒng)上的非授權(quán)訪問(wèn)文件。662.信息安全相關(guān)內(nèi)容權(quán)限提升高權(quán)限用戶672.信息安全相關(guān)內(nèi)容權(quán)限提升突破虛擬機(jī)虛擬機(jī)將所有程序限制在一定的磁盤空間、一定的內(nèi)存，一定的外設(shè)等，指令可能被替換和虛擬執(zhí)行突破虛擬機(jī)將可以對(duì)宿主機(jī)直接進(jìn)行磁盤、內(nèi)存、外設(shè)的訪問(wèn)。網(wǎng)絡(luò)的掃描與其他系統(tǒng)的權(quán)限獲取，也可能提升權(quán)限。例如信任主機(jī)、密碼文件獲取等。網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)竊聽(tīng)也可能獲取密碼，提升權(quán)限。672.信息安全相關(guān)內(nèi)容權(quán)限提升突破虛擬機(jī)682.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)嗅探Sniffer，譯為嗅探、監(jiān)聽(tīng)、竊聽(tīng)，或者抓包。在同一個(gè)HUB上，數(shù)據(jù)包是廣播的，可以得到所有人的數(shù)據(jù)包，如果是明文協(xié)議，則可能得到登錄過(guò)程相應(yīng)的密碼。交換環(huán)境下，需要采取ARP欺騙相結(jié)合的手段進(jìn)行交換環(huán)境的網(wǎng)絡(luò)竊聽(tīng)，主要代表工具是dsniff。網(wǎng)絡(luò)嗅探除了可能得到賬號(hào)密碼，也可能得到重要數(shù)據(jù)文件、重要操作過(guò)程與操作方法等。網(wǎng)絡(luò)嗅探通常是被動(dòng)監(jiān)聽(tīng)狀態(tài)，不向網(wǎng)絡(luò)發(fā)送任何數(shù)據(jù)包，比較隱蔽，不容易被發(fā)現(xiàn)，有些工具能發(fā)現(xiàn)網(wǎng)絡(luò)中的嗅探器，例如promiscan等。682.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)嗅探Sniffer，譯為嗅探、監(jiān)692.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙IP欺騙通常偽造數(shù)據(jù)包的源IP地址，使得目標(biāo)收到數(shù)據(jù)包后，無(wú)法找到來(lái)攻擊者來(lái)源。也可以偽造數(shù)據(jù)包的源IP地址，使得此IP地址成為被攻擊的對(duì)象。在能猜測(cè)TCP的SEQ號(hào)情況下，IP欺騙可能實(shí)現(xiàn)會(huì)話劫持的效果。ARP互聯(lián)網(wǎng)上的數(shù)據(jù)包到了局域網(wǎng)后，就需要通過(guò)局域網(wǎng)協(xié)議傳輸，使用的是MAC地址和ARP協(xié)議。ARP欺騙通常是中間人攻擊。ARP欺騙可以是主動(dòng)更新包，也可以免費(fèi)響應(yīng)包。692.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙IP欺騙702.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙DNS(域名服務(wù))猜測(cè)DNS的序列號(hào)，窮舉同時(shí)發(fā)送所有的DNS數(shù)據(jù)包，可以實(shí)現(xiàn)DNS的會(huì)話劫持，從而可以改變DNS請(qǐng)求者的獲得的解析內(nèi)容，將域名解析到其他IP地址。直接控制DNS服務(wù)器，修改DNS解析內(nèi)容，也可能實(shí)現(xiàn)網(wǎng)絡(luò)欺騙，特別是根域名服務(wù)器影響會(huì)大，今年百度事件就是因?yàn)楦蛎?wù)器的域名解析被篡改。釣魚(yú)釣魚(yú)網(wǎng)站可能和真實(shí)網(wǎng)站做得外觀非常相似，域名也類似，通常用來(lái)竊取粗心用戶的用戶名與密碼。例如與工商銀行相似的釣魚(yú)網(wǎng)站通過(guò)虛假中獎(jiǎng)信息發(fā)布、免費(fèi)注冊(cè)博客賬號(hào)等方式，誘騙不知情用戶輸入用戶名與密碼。702.信息安全相關(guān)內(nèi)容網(wǎng)絡(luò)欺騙DNS(域名服務(wù))712.信息安全相關(guān)內(nèi)容中間人與會(huì)話劫持中間人理論上，如果A與B通信，所有通信過(guò)程前沒(méi)有任何協(xié)商好的秘密，那么M一定可以用某種方法成為中間人，并且讓A與B并不知情。由于A與B事先無(wú)協(xié)商好的秘密，因此A無(wú)法鑒別正在與自己通信的是B還是M，同樣B也無(wú)法鑒別與自己通信的是A還是M。M可以通過(guò)某種方式成為A與B的中間人。作為中間的傳聲筒，A與B不知道自己發(fā)送的內(nèi)容是否被中間人替換，即使是加密的。會(huì)話劫持通常是通過(guò)中間的人方式來(lái)實(shí)現(xiàn)，也有可能通過(guò)某種方式造成原通信主機(jī)拒絕服務(wù)后，由自己替代。712.信息安全相關(guān)內(nèi)容中間人與會(huì)話劫持中間人722.信息安全相關(guān)內(nèi)容跨站腳本攻擊Crosssitescript的縮寫(xiě)，因?yàn)榕cCSS網(wǎng)頁(yè)樣式文件重名，因此簡(jiǎn)寫(xiě)為XSS攻擊者向Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，通常在用戶不知情的情況下，中途訪問(wèn)其他站點(diǎn)，收集用戶的COOKIE，或者自動(dòng)下載木馬與運(yùn)行等。欺騙其他人訪問(wèn)自己構(gòu)造的頁(yè)面，通?？赡茉谠试SHTML語(yǔ)言輸入的BBS、博客等簽名文檔里構(gòu)造。722.信息安全相關(guān)內(nèi)容跨站腳本攻擊Crosssites732.信息安全相關(guān)內(nèi)容拒絕服務(wù)漏洞型協(xié)議漏洞Synflood(半開(kāi)連接，資源耗盡)Fin攻擊(違反協(xié)議)Land(源/目的地址與端口都是被攻擊者)Smurf(源地址為被攻擊者或者廣播地址)CISCO的55、77協(xié)議……服務(wù)漏洞例如snmpd漏洞使用ftp探測(cè)ibm某高端口等……732.信息安全相關(guān)內(nèi)容拒絕服務(wù)漏洞型742.信息安全相關(guān)內(nèi)容拒絕服務(wù)流量型資源消耗+流量型分布式拒絕服務(wù)TargetAttackerMasterInternetZombies攻擊者主控機(jī)僵尸機(jī)目標(biāo)機(jī)742.信息安全相關(guān)內(nèi)容拒絕服務(wù)流量型TargetAttac752.信息安全相關(guān)內(nèi)容后門木馬本地賬號(hào)后門密碼后門SHELLSUID后門替換命令/修改loginCrontab/atinittabRcXinitrc.login/.profile/.bashrc/.cshrcLKM……752.信息安全相關(guān)內(nèi)容后門木馬本地762.信息安全相關(guān)內(nèi)容后門木馬網(wǎng)絡(luò)監(jiān)聽(tīng)端口網(wǎng)頁(yè)CGI遠(yuǎn)程連接IRC客戶端發(fā)送郵件ICMP通道Udp通道NC反向連接定時(shí)訪問(wèn)……762.信息安全相關(guān)內(nèi)容后門木馬網(wǎng)絡(luò)772.信息安全相關(guān)內(nèi)容無(wú)線網(wǎng)絡(luò)非加密不廣播SSID中文SSID超長(zhǎng)SSIDWEPWPAAircrack-ngAiromon-ngAirodump-ng772.信息安全相關(guān)內(nèi)容無(wú)線網(wǎng)絡(luò)非加密782.信息安全相關(guān)內(nèi)容掃尾清除入侵信息清除過(guò)程文件清除core文件清除訪問(wèn)日志修改文件、目錄時(shí)間修改/刪除日志修改shell記錄殺掉/重啟進(jìn)程填補(bǔ)系統(tǒng)漏洞782.信息安全相關(guān)內(nèi)容掃尾清除入侵信息792.信息安全相關(guān)內(nèi)容其他社會(huì)工程學(xué)技術(shù)入侵不一定是最優(yōu)選擇權(quán)限集中可以被利用興趣愛(ài)好可以被利用操作習(xí)慣可以被利用……792.信息安全相關(guān)內(nèi)容其他社會(huì)工程學(xué)802.信息安全相關(guān)內(nèi)容PKIPKI是PublicKeyInfrastructure的縮寫(xiě)，是指用公鑰概念和技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。這個(gè)定義涵蓋的內(nèi)容比較寬，是一個(gè)被很多人接受的概念。這個(gè)定義說(shuō)明，任何以公鑰技術(shù)為基礎(chǔ)的安全基礎(chǔ)設(shè)施都是PKI。當(dāng)然，沒(méi)有好的非對(duì)稱算法和好的密鑰管理就不可能提供完善的安全服務(wù)，也就不能叫做PKI。也就是說(shuō)，該定義中已經(jīng)隱含了必須具有的密鑰管理功能X.509標(biāo)準(zhǔn)中，為了區(qū)別于權(quán)限管理基礎(chǔ)設(shè)施(PrivilegeManagementInfrastructure，簡(jiǎn)稱PMI)，將PKI定義為支持公開(kāi)密鑰管理并能支持認(rèn)證、加密、完整性和可追究性服務(wù)的基礎(chǔ)設(shè)施]。這個(gè)概念與第一個(gè)概念相比，不僅僅敘述PKI能提供的安全服務(wù)，更強(qiáng)調(diào)PKI必須支持公開(kāi)密鑰的管理。也就是說(shuō)，僅僅使用公鑰技術(shù)還不能叫做PKI，還應(yīng)該提供公開(kāi)密鑰的管理。802.信息安全相關(guān)內(nèi)容PKIPKI是PublicKey812.信息安全相關(guān)內(nèi)容PKI

PKI技術(shù)是信息安全技術(shù)的核心，PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。一個(gè)典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分：公鑰密碼證書(shū)管理。黑名單的發(fā)布和管理。密鑰的備份和恢復(fù)。自動(dòng)更新密鑰。自動(dòng)管理歷史密鑰。支持交叉認(rèn)證。812.信息安全相關(guān)內(nèi)容PKIPKI技術(shù)是信息安全技術(shù)的核822.信息安全相關(guān)內(nèi)容VPNVPN的英文全稱是“VirtualPrivateNetwork”，即虛擬專用網(wǎng)。VPN主要采用的四項(xiàng)安全保證技術(shù)隧道技術(shù)加解密技術(shù)密鑰管理技術(shù)身份認(rèn)證技術(shù)IPSecVPN:IPsec(縮寫(xiě)IPSecurity)是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對(duì)IP協(xié)議分組進(jìn)行加密和認(rèn)證。IPsec作為一個(gè)協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：保護(hù)分組流的協(xié)議；用來(lái)建立這些安全分組流的密鑰交換協(xié)議。822.信息安全相關(guān)內(nèi)容VPNVPN的英文全稱是“Virtu832.信息安全相關(guān)內(nèi)容VPNIPSecVPN:前者又分成兩個(gè)部分：加密分組流的封裝安全載荷（ESP）及較少使用的認(rèn)證頭（AH），認(rèn)證頭提供了對(duì)分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。PPTPVPN:PointtoPointTunnelingProtocol點(diǎn)到點(diǎn)隧道協(xié)議，在因特網(wǎng)上建立IP虛擬專用網(wǎng)（VPN）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。微軟系統(tǒng)自帶PPTP協(xié)議。832.信息安全相關(guān)內(nèi)容VPNIPSecVPN:842.信息安全相關(guān)內(nèi)容VPNL2F:Layer2Forwarding--第二層轉(zhuǎn)發(fā)協(xié)議L2TP:Layer2TunnelingProtocol--第二層隧道協(xié)議GRE:VPN的第三層隧道協(xié)議SSLVPN:從概念角度來(lái)說(shuō)，SSLVPN即指采用SSL（SecuritySocketLayer）協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于內(nèi)、外部應(yīng)用來(lái)說(shuō)，使用SSL可保證信息的真實(shí)性、完整性和保密性。842.信息安全相關(guān)內(nèi)容VPNL2F:Layer2Fo852.信息安全相關(guān)內(nèi)容其他安全防護(hù)技術(shù)與產(chǎn)品需要審計(jì)，我們是否需要、是否部署了、是否合理使用了這些產(chǎn)品，并且提供相應(yīng)的記錄與證據(jù)掃描防火墻FW入侵檢測(cè)IDS防病毒AV入侵防御IPS統(tǒng)一威脅管理UTM身份鑒別加解密系統(tǒng)虛擬專網(wǎng)VPN主機(jī)入侵檢測(cè)HIDS852.信息安全相關(guān)內(nèi)容其他安全防護(hù)技術(shù)與產(chǎn)品需要審計(jì)，我們862.信息安全相關(guān)內(nèi)容其他安全防護(hù)技術(shù)與產(chǎn)品數(shù)字簽名校驗(yàn)網(wǎng)閘終端安全TS與上網(wǎng)行為管理防水墻業(yè)務(wù)連續(xù)性產(chǎn)品審計(jì)與取證數(shù)據(jù)備份、復(fù)制與恢復(fù)流量清洗網(wǎng)絡(luò)抓包安全管理平臺(tái)862.信息安全相關(guān)內(nèi)容其他安全防護(hù)技術(shù)與產(chǎn)品數(shù)字簽名校驗(yàn)87IT審計(jì)的技術(shù)內(nèi)容（一）實(shí)體級(jí)控制審計(jì)數(shù)據(jù)庫(kù)審計(jì)的方法數(shù)據(jù)中心與災(zāi)難恢復(fù)網(wǎng)絡(luò)與安全設(shè)備審計(jì)87IT審計(jì)的技術(shù)內(nèi)容（一）實(shí)體級(jí)控制審計(jì)88ChecklistforAuditingEntity-LevelControls實(shí)體級(jí)控制審計(jì)檢查項(xiàng)列表1.ReviewtheoverallITorganizationstructuretoensurethatitprovidesforclearassignmentofauthorityandresponsibilityoverIToperationsandthatitprovidesforadequatesegregationofduties.檢查整體的IT組織結(jié)構(gòu)，確認(rèn)在該結(jié)構(gòu)中對(duì)整體的IT運(yùn)行提供了清晰明確的權(quán)、責(zé)分配，并且提供了適當(dāng)?shù)姆謾?quán)設(shè)置2.ReviewtheITstrategicplanningprocesstoensurethatitalignswithbusinessstrategies.EvaluatetheITorganization'sprocessesformonitoringprogressagainstthestrategicplan.檢查其IT策略的規(guī)劃過(guò)程，確認(rèn)該過(guò)程與其業(yè)務(wù)策略相匹配。針對(duì)策略規(guī)劃，評(píng)估IT組織對(duì)其進(jìn)展的監(jiān)控過(guò)程。3.Determinewhethertechnologyandapplicationstrategiesandroadmapsexist,andevaluateprocessesforlong-rangetechnicalplanning.確認(rèn)技術(shù)、應(yīng)用與路線圖是否存在，并評(píng)估其長(zhǎng)期技術(shù)規(guī)劃過(guò)程。4.ReviewperformanceindicatorsandmeasurementsforIT.Ensurethatprocessesandmetricsareinplace(andapprovedbykeystakeholders)formeasuringperformanceofday-to-dayactivitiesandfortrackingperformanceagainstSLAs,budgets,andotheroperationalrequirements.檢查IT的績(jī)效指標(biāo)與測(cè)量。確保已經(jīng)制定了各種績(jī)效測(cè)量的方法與指標(biāo)，這些績(jī)效測(cè)量的方法與指標(biāo)用于評(píng)估日常工作，也用于針對(duì)SLA（ServiceLevelAgreement）、預(yù)算和其它操作要求的評(píng)估。同時(shí)確?？?jī)效測(cè)量的方法與指標(biāo)已得到相關(guān)管理層的授權(quán)批準(zhǔn)。實(shí)體級(jí)控制審計(jì)88ChecklistforAuditingEntit895.ReviewtheITorganization'sprocessforapprovingandprioritizingnewprojects.Determinewhetherthisprocessisadequateforensuringthatsystemacquisitionanddevelopmentprojectscannotcommencewithoutapproval.Ensurethatmanagementandkeystakeholdersreviewprojectstatus,schedule,andbudgetperiodicallythroughoutthelifeofsignificantprojects.檢查IT組織對(duì)新項(xiàng)目的批準(zhǔn)與確定其優(yōu)先級(jí)的過(guò)程。要確認(rèn)在這個(gè)過(guò)程中，如果系統(tǒng)采購(gòu)與開(kāi)發(fā)項(xiàng)目沒(méi)有得到批準(zhǔn)是不能開(kāi)工的。要確保在整個(gè)項(xiàng)目執(zhí)行過(guò)程中管理層與關(guān)鍵利益相關(guān)者定期檢查項(xiàng)目狀態(tài)、工期與預(yù)算執(zhí)行情況。6.EvaluatestandardsforgoverningtheexecutionofITprojectsandforensuringthequalityofproductsdevelopedoracquiredbytheITorganization.Determinehowthesestandardsarecommunicatedandenforced.評(píng)估管理IT項(xiàng)目執(zhí)行、保證產(chǎn)品質(zhì)量所使用的標(biāo)準(zhǔn)。確定這些標(biāo)準(zhǔn)是如何傳達(dá)與執(zhí)行的。7.EnsurethatITsecuritypoliciesexistandprovideadequaterequirementsforthesecurityoftheenvironment.Determinehowthosepoliciesarecommunicatedandhowcomplianceismonitoredandenforced.確保已經(jīng)制定了IT安全策略，并且這些策略滿足安全環(huán)境的需求。確定這些策略是如何傳達(dá)的，對(duì)這些策略的遵從情況是如何監(jiān)控的，對(duì)策略的執(zhí)行通過(guò)何種方式保證執(zhí)行的。8.Reviewandevaluaterisk-assessmentprocessesinplacefortheITorganization.檢查并評(píng)估IT組織中的風(fēng)險(xiǎn)評(píng)估過(guò)程。實(shí)體級(jí)控制審計(jì)895.ReviewtheITorganizatio909.ReviewandevaluateprocessesforensuringthatITemployeesatthecompanyhavetheskillsandknowledgenecessaryforperformingtheirjobs.檢查并評(píng)估企業(yè)中保證IT雇員具備合格技能與知識(shí)的過(guò)程。10.Reviewandevaluatepoliciesandprocessesforassigningownershipofcompanydata,classifyingthedata,protectingthedatainaccordancewiththeirclassification,anddefiningthedata'slifecycle.檢查并評(píng)估在企業(yè)數(shù)據(jù)生命周期中，對(duì)其進(jìn)行所有權(quán)分配、密級(jí)設(shè)定、數(shù)據(jù)保護(hù)的策略與過(guò)程。11.EnsurethateffectiveprocessesexistforcomplyingwithapplicablelawsandregulationsthataffectIT(e.g.,HIPAA,Sarbanes-Oxley)andformaintainingawarenessofchangesintheregulatoryenvironment.確保存在一個(gè)保證IT運(yùn)行符合相關(guān)法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)的過(guò)程，同時(shí)保證該過(guò)程能夠適應(yīng)合規(guī)性要求的變化。12.ReviewandevaluateprocessesforensuringthatendusersoftheITenvironmenthavetheabilitytoreportproblems,haveappropriateinvolvementinITdecisions,andaresatisfiedwiththeservicesprovidedbyIT.檢查并評(píng)估IT環(huán)境最終用戶的反饋過(guò)程，通過(guò)該過(guò)程他們能夠報(bào)告問(wèn)題、以合適的方式參與IT決策。評(píng)估最終用戶對(duì)IT服務(wù)是否滿意。13.Reviewandevaluateprocessesformanagingthird-partyservices,ensuringthattheirrolesandresponsibilitiesareclearlydefinedandmonitoringtheirperformance.檢查并評(píng)估管理第三方服務(wù)的過(guò)程，在該過(guò)程中能夠清晰定義第三方的角色與責(zé)任，并能監(jiān)督其績(jī)效。實(shí)體級(jí)控制審計(jì)909.Reviewandevaluateproce9114.Reviewandevaluateprocessesforcontrollingnonemployeelogicalaccess.檢查并評(píng)估控制非雇員邏輯訪問(wèn)的過(guò)程。15.Reviewandevaluateprocessesforensuringthatthecompanyisincompliancewithapplicablesoftwarelicenses.檢查并評(píng)估保證企業(yè)遵守軟件授權(quán)的過(guò)程。16.Reviewandevaluatecontrolsoverremoteaccessintothecompany'snetwork(e.g.,dial-up,VPN,dedicatedexternalconnections).檢查并評(píng)估控制對(duì)企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)（通過(guò)撥號(hào)、VPN、專線等）的過(guò)程。17.Ensurethathiringandterminationproceduresareclearandcomprehensive.確保有完整、清晰的聘用與解聘手續(xù)。18.Reviewandevaluatepoliciesandproceduresforcontrollingtheprocurementandmovementofhardware.檢查并評(píng)估控制硬件采購(gòu)、遷移的策略與手續(xù)。19.Ensurethatsystemconfigurationsarecontrolledwithchangemanagementtoavoidunnecessarysystemoutages.確保系統(tǒng)配置由變更管理系統(tǒng)控制以避免不必要的系統(tǒng)故障。實(shí)體級(jí)控制審計(jì)9114.Reviewandevaluateproc9220.Ensurethatmediatransportation,storage,reuse,anddisposalareaddressedadequatelybycompany-widepoliciesandprocedures.確保企業(yè)有明確的介質(zhì)使用策略與手續(xù)，包括介質(zhì)的運(yùn)輸、存儲(chǔ)、再使用和銷毀。21.Verifythatcapacitymonitoringandplanningareaddressedadequatelybycompanypoliciesandprocedures.確認(rèn)企業(yè)策略與執(zhí)行過(guò)程中存在能力監(jiān)控與計(jì)劃。22.Basedonthestructureofyourcompany'sITorganizationandprocesses,identifyandauditotherentity-levelITprocesses.根據(jù)具體的企業(yè)的IT組織與流程，標(biāo)識(shí)并審計(jì)其它實(shí)體級(jí)IT過(guò)程。實(shí)體級(jí)控制審計(jì)92實(shí)體級(jí)控制審計(jì)93

數(shù)據(jù)中心與災(zāi)難恢復(fù)什么是數(shù)據(jù)中心93數(shù)據(jù)中心與災(zāi)難恢復(fù)什么是數(shù)據(jù)中心94

數(shù)據(jù)中心與災(zāi)難恢復(fù)什么是數(shù)據(jù)中心銀行系統(tǒng)的數(shù)據(jù)大集中電信系統(tǒng)的數(shù)據(jù)中心數(shù)據(jù)中心可以分為二種一種是可以上網(wǎng)，也就是可以訪問(wèn)公網(wǎng)的，稱為IDC一種是不上網(wǎng)，只用做數(shù)據(jù)存放，稱為DC。94數(shù)據(jù)中心與災(zāi)難恢復(fù)什么是數(shù)據(jù)中心銀行系統(tǒng)的數(shù)據(jù)大集中95數(shù)據(jù)中心與災(zāi)難恢復(fù)什么是數(shù)據(jù)中心IDC通?？梢员欢x為一種擁有完善的設(shè)備（包括高速互聯(lián)網(wǎng)接入帶寬、高性能局域網(wǎng)絡(luò)、安全可靠的機(jī)房環(huán)境等）、專業(yè)化的管理、完善的應(yīng)用級(jí)服務(wù)的服務(wù)平臺(tái)95數(shù)據(jù)中心與災(zāi)難恢復(fù)什么是數(shù)據(jù)中心IDC通?？梢员欢x為96

數(shù)據(jù)中心與災(zāi)難恢復(fù)什么是數(shù)據(jù)中心DC常被和DR放在一起，這種數(shù)據(jù)中心主要是用做數(shù)據(jù)備份，冗余，數(shù)據(jù)恢復(fù)之用。96數(shù)據(jù)中心與災(zāi)難恢復(fù)什么是數(shù)據(jù)中心DC常被和DR放在一起97數(shù)據(jù)中心與災(zāi)難恢復(fù)數(shù)據(jù)中心審計(jì)數(shù)據(jù)中心審計(jì)的必要性信息系統(tǒng)核心資產(chǎn)多方接入安全威脅故障定位與事后取證數(shù)據(jù)中心審計(jì)的可行性統(tǒng)一的審計(jì)平臺(tái)行為的集中監(jiān)控權(quán)限的劃分97數(shù)據(jù)中心與災(zāi)難恢復(fù)數(shù)據(jù)中心審計(jì)數(shù)據(jù)中心審計(jì)的必要性98

數(shù)據(jù)中心與災(zāi)難恢復(fù)什么是災(zāi)難恢復(fù)DisasterRecovery是指將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)，并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)的活動(dòng)和流程。

關(guān)于異地容災(zāi)關(guān)于災(zāi)后重建什么是瘦客戶機(jī)瘦客戶機(jī)災(zāi)后重建優(yōu)勢(shì)98數(shù)據(jù)中心與災(zāi)難恢復(fù)什么是災(zāi)難恢復(fù)DisasterRe99

數(shù)據(jù)中心與災(zāi)難恢復(fù)主要檢查項(xiàng)列表基于設(shè)備的控制訪問(wèn)控制防火、防水、防盜、防雷、防磁告警與監(jiān)控系統(tǒng)系統(tǒng)健壯性電源溫度、濕度、空調(diào)網(wǎng)絡(luò)連接維護(hù)管理操作策略、計(jì)劃與操作程序物理訪問(wèn)控制系統(tǒng)與設(shè)備監(jiān)控設(shè)備維護(hù)應(yīng)急處理角色與分權(quán)管理硬件冗余與高可靠性異地容災(zāi)99數(shù)據(jù)中心與災(zāi)難恢復(fù)主要檢查項(xiàng)列表基于設(shè)備的控制網(wǎng)絡(luò)拓?fù)湮恢玫闹匾栽斐墒鹿视绊懙奈：π哉`操作的可能性越權(quán)操作與濫用的普遍性為什么需要進(jìn)行網(wǎng)絡(luò)與安全設(shè)備