信息安全控制措施

信息安全控制措施版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1內(nèi)容組織結(jié)構(gòu)每個(gè)主要安全控制措施類別，包括：一個(gè)或多個(gè)控制目標(biāo)，聲明要實(shí)現(xiàn)什么對(duì)于每個(gè)控制目標(biāo)，包含一項(xiàng)或多項(xiàng)控制措施，可被用于實(shí)現(xiàn)該控制目標(biāo)不是所有的控制措施適用于任何場(chǎng)合，它也不會(huì)考慮到使用者的具體環(huán)境和技術(shù)限制，也不可能對(duì)一個(gè)組織中所有人都適用211個(gè)類別39個(gè)目標(biāo)133個(gè)控制措施課程內(nèi)容3知識(shí)體知識(shí)域知識(shí)子域信息安全管理體系信息安全管理體系建設(shè)人力資源安全信息安全組織安全方針物理和環(huán)境安全信息安全管理體系基礎(chǔ)資產(chǎn)管理信息安全控制措施通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)符合性Why?有沒有遇到過這樣的事情？案例1有單位領(lǐng)導(dǎo)說：“聽說信息安全工作很重要，可是我不知道對(duì)于我們單位來說到底有多重要，也不知道究竟有哪些信息是需要保護(hù)的?！?知識(shí)域：信息安全控制措施知識(shí)子域：安全方針理解信息安全方針控制目標(biāo)的含義掌握信息安全方針文件和信息安全方針評(píng)審兩項(xiàng)措施的常規(guī)控制方法5安全方針控制目標(biāo)

（1）信息安全方針6信息安全方針控制目標(biāo):組織的安全方針能夠依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供信息安全管理指導(dǎo)并支持信息安全控制措施信息安全方針文件信息安全方針文件應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方信息安全方針評(píng)審應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性7信息安全方針應(yīng)符合實(shí)際情況，切實(shí)可行。對(duì)方針的落實(shí)尤為重要信息安全方針文件信息安全方針是陳述管理者的管理意圖，說明信息安全工作目標(biāo)和原則的文件信息安全方針應(yīng)當(dāng)說明以下內(nèi)容：本單位信息安全的整體目標(biāo)、范圍以及重要性信息安全工作的基本原則風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制措施的架構(gòu)需要遵守的法規(guī)和制度信息安全責(zé)任分配對(duì)支持方針的文件的引用8信息安全方針主要闡述信息安全工作的原則，具體的技術(shù)實(shí)現(xiàn)問題，如設(shè)備的選型，系統(tǒng)的安全技術(shù)方案一般不寫在安全方針中課程內(nèi)容9知識(shí)體知識(shí)域知識(shí)子域信息安全管理體系信息安全管理體系建設(shè)人力資源安全信息安全組織安全方針物理和環(huán)境安全信息安全管理體系基礎(chǔ)資產(chǎn)管理信息安全控制措施通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)符合性Why?有沒有遇到過這樣的事情？案例1我是一名網(wǎng)絡(luò)管理員，發(fā)現(xiàn)最近來自外部的病毒攻擊很猖獗，要是有15萬買個(gè)防毒墻就解決問題了，找誰要這筆錢，誰來采購？案例2我是一名普通工作人員，我的內(nèi)網(wǎng)計(jì)算機(jī)上不了外網(wǎng)沒辦法打補(bǔ)丁，我該找誰獲得幫助？應(yīng)該有一群人，至少包括單位領(lǐng)導(dǎo)、技術(shù)部門和行政部門的人組織在一起，專門負(fù)責(zé)信息安全的事10知識(shí)域：信息安全控制措施知識(shí)子域：信息安全組織理解內(nèi)部組織控制目標(biāo)的含義，掌握信息安全協(xié)調(diào)等實(shí)現(xiàn)這一目標(biāo)的控制措施的常規(guī)實(shí)施方法理解外部各方控制目標(biāo)的含義，掌握與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別等控制措施的實(shí)施方法11信息安全組織控制目標(biāo)

（1）內(nèi)部組織

（2）外部各方12(1)內(nèi)部組織控制目標(biāo)：實(shí)現(xiàn)對(duì)組織內(nèi)部的信息安全管理控制措施：信息安全的管理承諾13信息安全協(xié)調(diào)信息安全職責(zé)的分配信息處理設(shè)施的授權(quán)過程保密性協(xié)議與政府部門的聯(lián)系與特定利益集團(tuán)的聯(lián)系信息安全的獨(dú)立評(píng)審信息安全的管理承諾高層管理者參與信息安全建設(shè)，負(fù)責(zé)重大決策，提供資源，并對(duì)工作方向、職責(zé)分配給出清晰的說明高層管理者就是說了算的，可以給人、給錢、給設(shè)備，提出工作要求還給與資源保障的人14信息安全協(xié)調(diào)不僅僅由信息化技術(shù)部門參與，與信息安全相關(guān)的部門（如行政、人事、安保、采購、外聯(lián)）都應(yīng)參與到組織體系中各司其責(zé)，協(xié)調(diào)配合。因此需要協(xié)調(diào)信息安全工作和其他工作一樣不是某個(gè)個(gè)人、某個(gè)部門就可以完成的信息技術(shù)部門是信息安全組織中的重要執(zhí)行機(jī)構(gòu)，但不是全部15機(jī)構(gòu)內(nèi)部達(dá)成共識(shí)避免流于形式或作假信息安全職責(zé)的分配為有效實(shí)施信息安全管理，保障和實(shí)施系統(tǒng)的信息安全，應(yīng)在機(jī)構(gòu)內(nèi)部建立信息安全組織，明確角色和職責(zé)信息安全責(zé)任的重要性

在一個(gè)機(jī)構(gòu)中，安全角色與責(zé)任的不明確是實(shí)施信息安全過程中的最大障礙，建立安全組織與落實(shí)責(zé)任是實(shí)施信息安全管理的第一步16與政府部門的聯(lián)系、

與特定利益集團(tuán)的聯(lián)系要注意充分利用外部資源，與上級(jí)主管單位、國(guó)家職能部門、設(shè)備和基礎(chǔ)設(shè)施提供商、安全服務(wù)商、有關(guān)專家保持良好的溝通和合作關(guān)系例如與電力部門建立良好的協(xié)作關(guān)系，停電了，UPS的電也要用光了，電力部門可以開個(gè)發(fā)電車來解決關(guān)鍵信息系統(tǒng)臨時(shí)電力供應(yīng)17(2)外部各方控制目標(biāo)：保持組織被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全控制措施：與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別18處理外部各方協(xié)議中的安全問題訪問風(fēng)險(xiǎn)：維護(hù)軟件設(shè)備的承包商清潔、送餐人員外部咨詢?nèi)藛T審核人員課程內(nèi)容19知識(shí)體知識(shí)域知識(shí)子域信息安全管理體系信息安全管理體系建設(shè)人力資源安全信息安全組織安全方針物理和環(huán)境安全信息安全管理體系基礎(chǔ)資產(chǎn)管理信息安全控制措施通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)符合性Why？那些曾經(jīng)發(fā)生過的事：案例1：某單位欲安裝一臺(tái)網(wǎng)絡(luò)防火墻，卻發(fā)現(xiàn)沒有人可以說清楚當(dāng)前的真實(shí)網(wǎng)絡(luò)拓?fù)淝闆r，也沒有人能說清楚系統(tǒng)中有哪些服務(wù)器，這些服務(wù)器運(yùn)行了哪些應(yīng)用系統(tǒng)。案例2：某單位信息安全評(píng)估，發(fā)現(xiàn)大部分服務(wù)器安全狀況良好，只有一臺(tái)服務(wù)器存在嚴(yán)重安全漏洞。研究整改措施時(shí)，發(fā)現(xiàn)平時(shí)沒有人對(duì)該服務(wù)器的安全負(fù)責(zé)。20知識(shí)域：信息安全控制措施知識(shí)子域：資產(chǎn)管理理解對(duì)資產(chǎn)負(fù)責(zé)控制目標(biāo)的含義，掌握資產(chǎn)清單、資產(chǎn)責(zé)任人等控制措施的實(shí)施方法理解信息分類控制目標(biāo)的含義，掌握分類指南、信息的標(biāo)記和處理等控制措施的實(shí)施方法21資產(chǎn)管理控制目標(biāo)

（1）對(duì)資產(chǎn)負(fù)責(zé)

（2）信息分類22(1)對(duì)資產(chǎn)負(fù)責(zé)控制目標(biāo)：實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)控制措施：資產(chǎn)清單23資產(chǎn)責(zé)任人資產(chǎn)的可接受使用資產(chǎn)清單信息安全管理工作的直接目的是保護(hù)組織的資產(chǎn)資產(chǎn)包括：信息：業(yè)務(wù)數(shù)據(jù)、合同協(xié)議、科研材料、操作手冊(cè)、系統(tǒng)配置、審計(jì)記錄、制度流程等軟件：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通信設(shè)備、存儲(chǔ)介質(zhì)等服務(wù)：通信服務(wù)、供暖、照明、能源等人員無形資產(chǎn)，如品牌、聲譽(yù)和形象24資產(chǎn)責(zé)任人明確資產(chǎn)責(zé)任列出資產(chǎn)清單，明確保護(hù)對(duì)象明確資產(chǎn)受保護(hù)的程度明確誰對(duì)資產(chǎn)的安全負(fù)責(zé)25(2)信息分類控制目標(biāo)：確保信息受到適當(dāng)級(jí)別的保護(hù)控制措施：分類指南26信息的標(biāo)記和處理分類指南分類依據(jù)根據(jù)信息的價(jià)值、法律要求和對(duì)組織的敏感程度進(jìn)行分類關(guān)注點(diǎn)、重點(diǎn)不同直接影響信息分類軍事機(jī)構(gòu)更加關(guān)注機(jī)密信息的保護(hù)，私有企業(yè)通常更加關(guān)注數(shù)據(jù)的完整性和可用性27分類必要步驟定義分類類別說明決定信息分類的標(biāo)準(zhǔn)制定每種分類所需的安全控制，或保護(hù)機(jī)制建立一個(gè)定期審查信息分類與所有權(quán)的程序讓所有員工了解如何處理各種不同分類信息分類指南建議分類方法不宜復(fù)雜，否則容易造成混亂每種分類應(yīng)唯一區(qū)別于其它分類，同時(shí)不能有任何重疊分類過程還應(yīng)簡(jiǎn)單說明如何在其生命周期內(nèi)控制并處理28信息的標(biāo)記和處理標(biāo)識(shí)信息類別，表明文件的密級(jí)、存儲(chǔ)介質(zhì)的種類（如內(nèi)網(wǎng)專用U盤）規(guī)定重要敏感信息的安全處理、存儲(chǔ)、傳輸、刪除和銷毀的程序29課程內(nèi)容30知識(shí)體知識(shí)域知識(shí)子域信息安全管理體系信息安全管理體系建設(shè)人力資源安全信息安全組織安全方針物理和環(huán)境安全信息安全管理體系基礎(chǔ)資產(chǎn)管理信息安全控制措施通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)符合性Why?那些曾經(jīng)發(fā)生過的事：案例一：2010年3月中旬，匯豐控股發(fā)布公告，其旗下匯豐私人銀行(瑞士)的一名IT員工，曾于三年前竊取了銀行客戶的資料，失竊的資料涉及1.5萬名于2006年10月前在瑞士開戶的現(xiàn)有客戶。有鑒于此，匯豐銀行三年來共投放1億瑞士法郎，用來將IT系統(tǒng)升級(jí)并加強(qiáng)保安。這讓人想起了《論語》中的一句話：“吾恐季孫之憂，不在顓（zhuan）臾（yu），而在蕭墻之內(nèi)也?！笔拤χ湵扔鳛?zāi)禍、變亂由內(nèi)部原因所致。案例二：某單位負(fù)責(zé)信息化工作的領(lǐng)導(dǎo)說：“為什么要買防火墻？我們蓋樓時(shí)是嚴(yán)格按照國(guó)家消防有關(guān)規(guī)定施工的呀！”31知識(shí)域：信息安全控制措施知識(shí)子域：人力資源安全理解任用前控制目標(biāo)的含義，掌握角色和職責(zé)、審查等控制措施的實(shí)施方法理解任用中控制目標(biāo)的含義，掌握管理職責(zé)、信息安全意識(shí)教育和培訓(xùn)等控制措施的實(shí)施方法理解任用的終止或變化控制目標(biāo)的含義，掌握終止職責(zé)、撤銷訪問權(quán)等控制措施的實(shí)施方法32人力資源安全控制目標(biāo)

（1）任用前

（2）任用中

（3）任用的終止或變化33(1)任用前控制目標(biāo)：確保雇員、承包方人員和第三方人員理解其工作職責(zé)并適合預(yù)期角色，以降低設(shè)施被竊、欺詐和誤用的風(fēng)險(xiǎn)控制措施：角色和職責(zé)34審查任用條款和條件任用前對(duì)擔(dān)任敏感和重要崗位的人員要考察其身份、學(xué)歷和技術(shù)背景、工作履歷和以往的違法違規(guī)記錄要在合同或?qū)ｉT的協(xié)議中，明確其信息安全職責(zé)明確人員遵守安全規(guī)章制度、執(zhí)行特定的信息安全工作、報(bào)告安全事件或潛在風(fēng)險(xiǎn)的責(zé)任35(2)任用中控制目標(biāo)：確保所有雇員、承包方和第三方人員了解信息安全威脅和危害，明確其工作應(yīng)承擔(dān)的安全職責(zé)和義務(wù)，如果違反安全規(guī)定將會(huì)受到的紀(jì)律處理，通過安全培訓(xùn)使其掌握信息處理設(shè)施的安全正確使用方法，以減少人為過失造成的風(fēng)險(xiǎn)控制措施：管理職責(zé)36信息安全意識(shí)、教育和培訓(xùn)紀(jì)律處理過程任用中保證其充分了解所在崗位的信息安全角色和職責(zé)有針對(duì)性地進(jìn)行信息安全意識(shí)教育和技能培訓(xùn)及時(shí)有效的懲戒措施37(3)任用的終止或變化控制目標(biāo)：確保雇員、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出一個(gè)組織或改變其任用關(guān)系，包括調(diào)換崗位或崗位職責(zé)發(fā)生變化控制措施：終止職責(zé)38資產(chǎn)的歸還撤銷訪問權(quán)離職可能引發(fā)的安全隱患未刪除的賬戶未收回的各種權(quán)限VPN、遠(yuǎn)程主機(jī)、企業(yè)郵箱和VoIP等應(yīng)用其它隱含信息網(wǎng)絡(luò)架構(gòu)、規(guī)劃，存在的漏洞同事的賬戶、口令和使用習(xí)慣等這些信息和權(quán)限如果被離職的員工和攻擊者們惡意利用，很容易導(dǎo)致信息安全事件39任用的終止終止職責(zé)：組織應(yīng)該清晰定義和分配負(fù)責(zé)執(zhí)行任用終止或任用變更的相關(guān)職責(zé)，如通知相關(guān)人員人事變化，向離職者重申離職后仍需遵守的規(guī)定和承擔(dān)的義務(wù)歸還資產(chǎn)：保證離職人員歸還軟件、電腦、存儲(chǔ)設(shè)備、文件和其他設(shè)備撤銷訪問權(quán)限：撤銷用戶名、門禁卡、密鑰、數(shù)字證書等40課程內(nèi)容41知識(shí)體知識(shí)域知識(shí)子域信息安全管理體系信息安全管理體系建設(shè)人力資源安全信息安全組織安全方針物理和環(huán)境安全信息安全管理體系基礎(chǔ)資產(chǎn)管理信息安全控制措施通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)符合性Why？那些曾經(jīng)發(fā)生過的事：案例1：間諜潛入機(jī)房，直接用移動(dòng)硬盤將服務(wù)器中的重要數(shù)據(jù)拷貝走。案例2：機(jī)房中氣溫過高，導(dǎo)致計(jì)算機(jī)無法正常運(yùn)行，造成業(yè)務(wù)中斷。42知識(shí)域：信息安全控制措施知識(shí)子域：物理和環(huán)境安全理解人身安全的重要性理解安全區(qū)域控制目標(biāo)的含義，掌握物理安全邊界、物理入口控制等控制措施的實(shí)施方法理解設(shè)備安全控制目標(biāo)的含義，掌握設(shè)備安置和保護(hù)、支持性設(shè)施等控制措施的實(shí)施方法43物理和環(huán)境安全的范疇物理（Physical）：身體的、物質(zhì)的、自然的身體的：人身安全是物理安全首要考慮的問題，因?yàn)槿艘彩切畔⑾到y(tǒng)的一部分物質(zhì)的：承載信息的物質(zhì)，包括信息存儲(chǔ)、處理、傳輸和顯示的設(shè)施和設(shè)備自然的：自然環(huán)境的保障，如溫度、濕度、電力、災(zāi)害等44物理和環(huán)境安全控制目標(biāo)

（1）安全區(qū)域

（2）設(shè)備安全45(1)安全區(qū)域控制目標(biāo)：防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問、損壞和干擾，關(guān)鍵或敏感的信息及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)，并受到相應(yīng)保護(hù)控制措施：物理安全邊界46物理入口控制辦公室、房間和設(shè)施的安全保護(hù)外部和環(huán)境威脅的安全防護(hù)在安全區(qū)域工作公共訪問、交接區(qū)安全物理安全邊界周邊入侵檢測(cè)系統(tǒng)用來探測(cè)未經(jīng)授權(quán)而進(jìn)入的人，并發(fā)出警報(bào)現(xiàn)在最常用的入侵監(jiān)測(cè)系統(tǒng)是機(jī)電式的，能夠探測(cè)到電路的變化或斷路，例如：窗戶貼，繃緊線等一個(gè)常被忽略的脆弱點(diǎn)——報(bào)警系統(tǒng)閉路電視使用照相機(jī)通過傳輸媒介將圖片傳送到連接的顯示器的電視傳輸系統(tǒng)（三個(gè)主要的組件）傳輸媒介可以使用同軸電纜、光纜、微波、無線電波、或紅外光束與廣播電視是不同的，盡管也是點(diǎn)對(duì)點(diǎn)的無線連接，但CCTV的信號(hào)不是公開傳輸?shù)摹?7物理入口控制必須弄清來訪者的身份，并將其進(jìn)入與離開安全區(qū)域的日期與時(shí)間記錄起來所有人員配戴識(shí)別證48物理入口控制卡訪問控制磁卡、非接觸卡等生物特征系統(tǒng)生理特征：指紋、視網(wǎng)膜、聲音、手形等行為特征：簽名49辦公室、房間和設(shè)施的安全保護(hù)安全區(qū)域關(guān)鍵設(shè)備應(yīng)放在公眾無法進(jìn)入的地方避免寫出“機(jī)房重地，請(qǐng)勿進(jìn)入”的字樣安全區(qū)內(nèi)，各種打印機(jī)、復(fù)印機(jī)設(shè)備齊全設(shè)備如果放在安全區(qū)內(nèi)，可以降低對(duì)該設(shè)備的保護(hù)級(jí)別50(2)設(shè)備安全控制目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷控制措施：設(shè)備安置和保護(hù)51支持性設(shè)施布纜安全設(shè)備維護(hù)組織場(chǎng)所外的設(shè)備安全設(shè)備的安全處置和再利用資產(chǎn)的轉(zhuǎn)移設(shè)備安置和保護(hù)來自空中的威脅

——TEMPEST(抑制和防止電磁泄露)途徑以電磁波形式的輻射泄露；電源線、控制線、信號(hào)線和地線造成的傳導(dǎo)泄露危害使各系統(tǒng)設(shè)備相互干擾，降低設(shè)備性能電磁泄露會(huì)造成信息暴露電磁輻射強(qiáng)度影響因素功率和頻率距離因素屏蔽狀況預(yù)防措施選用低輻射設(shè)備利用噪聲干擾源采取屏蔽措施距離防護(hù)采用微波吸收材料52設(shè)備運(yùn)行的良好環(huán)境建設(shè)機(jī)房，應(yīng)當(dāng)參照有關(guān)國(guó)家標(biāo)準(zhǔn)，如GB50174-2008《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》機(jī)房的選址和設(shè)備的放置要考慮火災(zāi)、地震、洪水、風(fēng)暴等可能的自然威脅，以及爆炸、蓄意破壞、盜竊、恐怖襲擊、暴動(dòng)等可能的人為威脅機(jī)房、辦公場(chǎng)所和通信線路鋪設(shè)需要考慮通信中斷、電力中斷等支撐性基礎(chǔ)設(shè)施失效的問題支持性設(shè)施電力供應(yīng)——關(guān)系到企業(yè)的營(yíng)運(yùn)是否正常電源：防止電源故障與供電不正常的現(xiàn)象多路供電、不間斷電源UPS、備用發(fā)電機(jī)53支持性設(shè)施HVAC（適當(dāng)?shù)墓┡?、通風(fēng)和空調(diào)）數(shù)據(jù)中心或服務(wù)器機(jī)房的空調(diào)控制應(yīng)當(dāng)與大樓其它部分隔離計(jì)算機(jī)房空調(diào)不同于舒適性空調(diào)和常規(guī)恒溫恒濕空調(diào)消防設(shè)施：火災(zāi)的預(yù)防、檢測(cè)和排除火災(zāi)燃燒的條件火災(zāi)預(yù)防-減少火災(zāi)起因火災(zāi)檢測(cè)-在火災(zāi)發(fā)生前，接受火災(zāi)警報(bào)滅火-如何滅火，并降低到最小損失54人身安全的重要性以人為本，人身安全最重要不要忘記人是系統(tǒng)資產(chǎn)的重要組成部分辦公室、機(jī)房應(yīng)為操作人員提供健康的工作環(huán)境突發(fā)災(zāi)難時(shí)，人身安全是首先需要保障的55課程內(nèi)容56知識(shí)體知識(shí)域知識(shí)子域信息安全管理體系信息安全管理體系建設(shè)人力資源安全信息安全組織安全方針物理和環(huán)境安全信息安全管理體系基礎(chǔ)資產(chǎn)管理信息安全控制措施通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)符合性Why？案例1：２００７年８月３０日，美國(guó)空軍一架Ｂ－５２戰(zhàn)略轟炸機(jī)誤裝６枚核彈后，從北部的北達(dá)科他州飛往南部的路易斯安那州。這一空前事件顯示了美國(guó)空軍對(duì)核武器指揮和控制體系中的漏洞。案例2：數(shù)據(jù)庫管理員由于疏忽進(jìn)行了誤操作,將重要的信息刪除了。案例3：涉密計(jì)算機(jī)出現(xiàn)故障硬盤數(shù)據(jù)丟失，使用人員將硬盤拿到社會(huì)上的數(shù)據(jù)恢復(fù)公司進(jìn)行恢復(fù)，造成秘密泄露。57知識(shí)域：信息安全控制措施知識(shí)子域：通信和操作管理理解操作程序和職責(zé)、第三方服務(wù)交付管理、系統(tǒng)規(guī)劃和驗(yàn)收、防范惡意代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處置、信息的交換、電子商務(wù)服務(wù)、監(jiān)視和訪問控制這些控制目標(biāo)的含義掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法58通信和操作管理控制目標(biāo)

（1）操作程序和職責(zé)

（2）第三方服務(wù)交付管理

（3）系統(tǒng)規(guī)劃和驗(yàn)收

（4）防范惡意代碼

（5）備份

（6）網(wǎng)絡(luò)安全管理

（7）介質(zhì)處置

（8）信息的交換

（9）電子商務(wù)服務(wù)

（10）監(jiān)視59OperatingInstruction(1)操作程序和職責(zé)控制目標(biāo)：確保正確、安全地操作信息處理設(shè)施控制措施：文件化的操作程序60變更管理責(zé)任分割開發(fā)、測(cè)試和運(yùn)行設(shè)施分離(2)第三方服務(wù)交付管理控制目標(biāo)：對(duì)第三方服務(wù)進(jìn)行管理，使其交付的服務(wù)符合第三方服務(wù)交付協(xié)議，并保持在適當(dāng)水平控制措施：服務(wù)交付61第三方服務(wù)的監(jiān)視和評(píng)審第三方服務(wù)的變更管理(3)系統(tǒng)規(guī)劃和驗(yàn)收控制目標(biāo)：將系統(tǒng)失效的風(fēng)險(xiǎn)降至最小控制措施：容量管理62系統(tǒng)驗(yàn)收(4)防范惡意代碼控制目標(biāo)：保護(hù)軟件和信息的完整性控制措施：控制惡意代碼63(5)備份控制目標(biāo)：保持信息和信息處理設(shè)施的完整性及可用性控制措施：信息備份64備份資料必須給予適當(dāng)級(jí)別與保護(hù)定期測(cè)試備份介質(zhì)定期檢查與測(cè)試恢復(fù)步驟(6)網(wǎng)絡(luò)安全管理控制目標(biāo)：確保網(wǎng)絡(luò)中信息和支持性基礎(chǔ)設(shè)施的安全性控制措施：網(wǎng)絡(luò)控制65網(wǎng)絡(luò)服務(wù)安全(7)介質(zhì)處置控制目標(biāo)：防止資產(chǎn)遭受未授權(quán)泄露、修改、移動(dòng)、銷毀及業(yè)務(wù)活動(dòng)的中斷控制措施：可移動(dòng)介質(zhì)的管理66介質(zhì)的處置(8)信息的交換控制目標(biāo)：保持組織內(nèi)以及與外部組織信息和軟件交換的安全控制措施：信息交換策略和規(guī)程67交換協(xié)議運(yùn)輸中的物理介質(zhì)電子消息發(fā)送(9)電子商務(wù)服務(wù)控制目標(biāo)：確保電子商務(wù)服務(wù)及使用的安全控制措施：電子商務(wù)68在線交易(10)監(jiān)視控制目標(biāo)：檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)控制措施：審計(jì)日志69監(jiān)視系統(tǒng)的使用日志信息的保護(hù)管理員和操作員日志故障日志時(shí)鐘同步課程內(nèi)容70知識(shí)體知識(shí)域知識(shí)子域信息安全管理體系信息安全管理體系建設(shè)人力資源安全信息安全組織安全方針物理和環(huán)境安全信息安全管理體系基礎(chǔ)資產(chǎn)管理信息安全控制措施通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)符合性Why?案例1：飛機(jī)登機(jī)，旅客的身份證號(hào)區(qū)別了不同的人，身份證證明確實(shí)是這名旅客來乘機(jī)，安檢人員察看身份證和登機(jī)牌，掃描違禁物品后允許乘客登上機(jī)票中規(guī)定的航班。案例2：登錄網(wǎng)站，用戶ID區(qū)別了不同的用戶，輸入登錄密碼確定是這位用戶，網(wǎng)絡(luò)防火墻和服務(wù)器的權(quán)限管理系統(tǒng)允許用戶使用網(wǎng)站中可以使用的功能。71知識(shí)域：信息安全控制措施知識(shí)子域：訪問控制理解訪問控制的業(yè)務(wù)要求、用戶訪問管理、用戶職責(zé)、網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪問控制、應(yīng)用和信息訪問控制、移動(dòng)計(jì)算和遠(yuǎn)程工作這些控制目標(biāo)的含義掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法72訪問控制控制目標(biāo)

（1）訪問控制的業(yè)務(wù)要求

（2）用戶訪問管理

（3）用戶職責(zé)

（4）網(wǎng)絡(luò)訪問控制

（5）操作系統(tǒng)訪問控制

（6）應(yīng)用和信息訪問控制

（7）移動(dòng)計(jì)算和遠(yuǎn)程工作73(1)訪問控制的業(yè)務(wù)要求控制目標(biāo)：基于業(yè)務(wù)目標(biāo)和業(yè)務(wù)原則來控制對(duì)信息的訪問控制措施：訪問控制策略74可以寫可以讀可以讀不能寫(2)用戶訪問管理控制目標(biāo)：確保授權(quán)用戶能夠訪問信息系統(tǒng)，防止非授權(quán)的訪問控制措施：用戶注冊(cè)75特殊權(quán)限管理用戶口令管理用戶訪問權(quán)的復(fù)查(3)用戶職責(zé)控制目標(biāo)：防止未授權(quán)用戶對(duì)信息和信息處理設(shè)施的訪問、危害或竊取控制措施：口令使用76無人值守的用戶設(shè)備清空桌面和屏幕策略(4)網(wǎng)絡(luò)訪問控制控制目標(biāo)：防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問控制措施：使用網(wǎng)絡(luò)服務(wù)的策略77網(wǎng)絡(luò)隔離(5)操作系統(tǒng)訪問控制控制目標(biāo)：防止對(duì)操作系統(tǒng)的未授權(quán)訪問控制措施：安全登錄規(guī)程78用戶標(biāo)識(shí)和鑒別口令管理系統(tǒng)系統(tǒng)實(shí)用工具的使用(6)應(yīng)用和信息訪問控制控制目標(biāo)：防止對(duì)應(yīng)用系統(tǒng)中信息的未授權(quán)訪問控制措施：信息訪問限制79(7)移動(dòng)計(jì)算和遠(yuǎn)程工作控制目標(biāo)：確保使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)的信息安全控制措施：移動(dòng)計(jì)算和通信80遠(yuǎn)程工作訪問控制思路由于服務(wù)是分層次的，攻擊可能從各個(gè)層次發(fā)起，好的訪問控制應(yīng)該在多層面進(jìn)行只靠網(wǎng)絡(luò)防火墻不能抵抗所有的攻擊，操作系統(tǒng)層面、應(yīng)用安全層面都要做好訪問控制才行網(wǎng)絡(luò)接口層IP應(yīng)用TCPUDP81課程內(nèi)容82知識(shí)體知識(shí)域知識(shí)子域信息安全管理體系信息安全管理體系建設(shè)人力資源安全信息安全組織安全方針物理和環(huán)境安全信息安全管理體系基礎(chǔ)資產(chǎn)管理信息安全控制措施通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)符合性知識(shí)域：信息安全控制措施知識(shí)子域：信息系統(tǒng)獲取、開發(fā)與維護(hù)理解信息系統(tǒng)的安全需求、應(yīng)用中的正確處理、密碼控制、系統(tǒng)文件的安全、開發(fā)和支持過程中的安全、技術(shù)脆弱性管理這些控制目標(biāo)的含義掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法83信息系統(tǒng)獲取、開發(fā)和維護(hù)控制目標(biāo)

（1）信息系統(tǒng)的安全要求

（2）應(yīng)用中的正確處理

（3）密碼控制

（4）系統(tǒng)文件的安全

（5）開發(fā)和支持過程中的安全

（6）技術(shù)脆弱性管理84(1)信息系統(tǒng)的安全需求控制目標(biāo)：確保安全是信息系統(tǒng)的一個(gè)有機(jī)組成部分控制措施：安全需求分析和說明85安全信息系統(tǒng)獲取的基本原則和方法安全信息系統(tǒng)獲取的基本原則符合國(guó)家、地區(qū)及行業(yè)的法律法規(guī)量力而行，達(dá)到經(jīng)濟(jì)性與安全性間的平衡符合組織的安全策略與業(yè)務(wù)目標(biāo)安全信息系統(tǒng)的獲取策略外部采購自主開發(fā)或者自主開發(fā)與外包相結(jié)合采取何種獲取策略在項(xiàng)目立項(xiàng)與可行性分析過程中得出結(jié)論86信息系統(tǒng)購買流程選擇中標(biāo)供應(yīng)商，并簽訂合同源代碼托管(SourceCodeEscrow)安全緊急響應(yīng)條款售后服務(wù)協(xié)議安全培訓(xùn)業(yè)務(wù)連續(xù)性與災(zāi)備條款需求分析市場(chǎng)招標(biāo)評(píng)標(biāo)選擇供應(yīng)商簽訂合同系統(tǒng)實(shí)施系統(tǒng)運(yùn)維87(2)應(yīng)用中的正確處理控制目標(biāo)：防止應(yīng)用系統(tǒng)中信息的錯(cuò)誤、遺失、非授權(quán)修改及誤用控制措施：輸入數(shù)據(jù)驗(yàn)證88內(nèi)部處理的控制消息完整性輸出數(shù)據(jù)驗(yàn)證(3)密碼控制控制目標(biāo)：通過密碼方法保護(hù)信息的保密性、真實(shí)性或完整性控制措施：使用密碼控制的策略89密鑰管理(4)系統(tǒng)文件的安全控制目標(biāo)：確保系統(tǒng)文件的安全控制措施：運(yùn)行軟件的控制90系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)對(duì)程序源代碼的訪問控制(5)開發(fā)和支持過程中的安全控制目標(biāo)：維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全控制措施：變更控制程序91操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審軟件包變更的限制外包軟件開發(fā)(6)技術(shù)脆弱性管理控制目標(biāo)：降低利用公布的技術(shù)脆弱性導(dǎo)致的風(fēng)險(xiǎn)控制