Please enable JavaScript.

Coggle requires JavaScript to display documents.

信息安全治理与风险管理 (2.安全管控框架与体系 (《内部控制-整体框架》，COSO 企业内控管理框架 (定义了满足财务报告和 …

- - - - 控制环境
      - 风险评估
      - 控制活动
      - 信息与沟通
      - 检测
  - - - 服务战略
      - 服务设计
      - 服务交付
      - 服务运营
      - 持续改进过程
- - - - 明确信息安全目标和方针为信息安全活动指引方向
      - 为信息安全活动提供资源
      - 重大问题做出决策
      - 协调组织不同单位不同环节的关系
      - 最终责任人
  - - - 为信息安全活动做预算
      - 开发策略、程序、基线、标准和指南的开发
      - 开发安全意识程序
      - 参与管理会议
      - 协助内部和外部的审计
  - - - 定义组织机构的可接受风险级别
      - 确定安全目标和找略
      - 根绝业务需求决定安全活动的优先级
      - 审查风险评估和审计报告
      - 监控安全风险的业务影响
      - 审查重大的安全违规核事故
      - 批准安全策略和计划的任何重要变更
  - - - 公司财务报表以及前天财务信息的完整性
      - 公司的内部控制系统
      - 独立审计元的雇佣和表现
      - 内部审计功能的表现
- - - - 用于确保组织机构遵守特定的行业规章建立的标准
      - 一般比较详细，针对专门的行业
      - 适用于包厢机构、卫生保健机构、公共设施和其他政府性控制的行业
    - - 用户强烈推荐雇员在组织机构中应该采取的某些行为和活动
      - 对于不遵守的行为进行了相关规定
      - 用户医疗信息处理、金融事务或机密信息处理中
    - - 告知雇员的相关信息
      - 非强制性策略，指导个人与公司相关的特定问题
      - 适用于如何与合伙人打交道、公司的目标和任务。
  - - - 由高级管理层发布，描述并委派信息安全责任，定义CIA的目标，强调需要关注的信息安全问题
      - 适用于范围是整个组织
    - - 特定问题策略，针对特定安全领域或关注点，例如访问控制、持续性计划、职责分离等
      - 针对特定的技术领域，如互联网、电子邮件、无线访问、远程访问等
      - 依赖于业务需要和可接受的风险水平
      - 内容包括特定问题的阐述，组织针对该问题的态度、适用范围、符合性要求，惩戒措施
    - - 针对特定技术或操作领域制定的更细化的策略，如应用或平台
  - - - 制定安全基线，明确采购的产品和服务的最低安全要求
        对供应商人员进行安全培训
        制定供应商安全管理策略，定义通用的安全控制方法
        增加对OEM厂商、分销商和集成商的控制
        对供应商网络安全风险进行审计
    - - 通过SLA明确服务水平要求和最低安全要求
- - - - 突发的，导致重大损失的不幸意外事件。
      - 包括：
        
        自然灾害，如地震、洪水、自然火灾，火山爆发、强对流天气
        
        系统/技术的，如硬件、软件中断，系统/编程错误
        
        供应系统，通讯中断，配电系统故障，管道破裂
        
        人为的，爆炸，火灾、故意破坏、化学污染、有害代码
        
        政治的，恐怖活动，骚乱、罢工
      - 机构的灾难
        
        对于机构来说，任何导致关键业务功能在一定时间内无法进行的事件都被视为灾难
        
        特点：
        
        计划之外的服务中断
        
        长时间的服务中断
        
        中断无法通过正常的问题管理规程得到解决
        
        中断造成重大的损失
        
        两个要素
        
        中断所影响的业务功能的关键程度
        
        中断的时间长度
    - - 灾难恢复目标
        
        将灾难造成的损失减低到最低程度
        
        采取必要的步骤保证资源、人员和业务流程尽快恢复运作
      - 往往更加关注IT信息技术
    - - 关注信息系统的可用性 - 业务连续性目标
      - 从更加长远的角度来解决问题，主要为长期停产和灾难事件提供方法和措施
      - 内容
        
        针对紧急情况采取快速、准确和可度量的响应
        
        既定时间范围内回复机构的关键功能
        
        减少事件造成的损失
        
        记录明确的恢复规程
        
        提供恢复所需的资源和联络清单
        
        实现对恢复规程进行测试、培训恢复团队
        
        记录关键记录和信息的存储、保护和获取规程
        
        遵循法律、法规和行业的规范要求
      - BCP应该与是机构的业务目标一致，是整体决策的一部分
      - BCP应该是机构安全项目的一部分，并与安全项目的其他内容相协调
      - 规模较小的机构，可以是机构安全计划的一部分，在大型机构安全假话
        可能会包含BCP的概要，详细内容包含在黄钻们的文档中记录
    - - 制定连续性规划策略声明
      - 执行业务影响分析（Business impact analysis，BIA）
      - 确定预防性控制方法
      - 制定恢复战略
      - 制定应急计划，进行培训和演练
      - 测试业务连续性计划
      - 维护业务连续性计划
  - - - 《信息安全技术信息系统灾难恢复规范》GB/T20988-2007
        《信息技术(IT)系统应急计划指南》NISTSP800-34
        新加坡金融管理局业务应急计划指导方针
    - - 确定BCP需求，可以包括有针对性的风险分析以识别关键系统可能的中断
      - 想管理层推销BCp理念，获得管理层支持
      - 了解相关法律、法规、行业规范以及机构的业务和技术规划的要求，以确保BCP与其一致
      - 任命BCP项目负责人，建立BCP团队，包括业务和技术部门的代表
      - 制定项目管理计划书，其中应明确项目范围、目标、方法、责任、任务以及进度
      - 确定手机数据所需的自动化工具
      - 想管理层提交项目规划和状态报告
    - - 业务连续性协调人作为BCP项目负责人全面负责项目的规划、准备、培训等各项工作
      - 工作任务
        
        计划的开发团队与管理层的沟通和联络
        
        有权与计划相关所有人进行直接接触和沟通
        
        充分了解业务中断对机构业务的影响
        
        熟悉机构的需求和运作，有能力平衡机构相关部门的不同需求
        
        比较容易接触到高级管理层
        
        了解机构业务方向和高管理层的意图
    - - 恢复团队，灾难后进行评估、恢复、复原等相关工作的多个团队
      - 业务部门代表，识别机构的关键业务功能，协助恢复策略的选择和制定
      - 危机管理团队，在灾难发生时进行充要决策和组织协调
      - 用户，应了解丧失服务时各自的责任
      - 系统和网络专家，提供专业指导和建议
      - 信息安全部门
      - 法律代表
    - - BCP规划最终应该形成业务连续性策略条框，该条款记录的BCP的
        
        目标、范围、需求
        
        基本原则和指导方针
        
        职责和责任
        
        关键环节的基本要求
      - 策略条款应得到高级管理层的正式批准，并公布成为机构的政策，指导业务连续性的相关工作。
  - - - 业务影响分析属于一种功能分析；
      - 采用采访和文档资料收集数据，记录业务功能、活动和事务处理，制定一个业务功能等级，最终应用一个分类方案来说明每个功能的关键级别
      - 对应特征
        
        最大可容忍故障时间（MTD）
        
        运作中断和生产力
        
        财务因素
        
        法规责任
        
        声誉
      - BIA分析方法
        
        定性分析以划分严重程的方式得出灾难或中断事件造成的影响
        
        定量分析以货币的方式得出灾难或中断事件造成的影响
    - - 协助管理员了解潜在的中断影响
      - 识别关键业务功能以及支持这些功能的IT资源
      - 协助管理人员识别机构功能支持方面的不足
      - 排定IT资源的恢复顺序
      - 分析中断的影响
      - 确定每项业务功能的恢复窗口
    - - 确定信息收集技术
      - 选择受访者
      - 定制收集经济和运作影响信息的问卷
      - 分析信息
      - 识别关键业务功能(critical business functions)及其支持资源
      - 确定最大允许中断时间（MTD）
      - 识别弱点和威胁，风险分析
      - 基于MTDs排定关键业务功能的恢复顺序
      - 准备提交BIA报告
        
        存在的问题
        
        应对建议
    - - 整理（Organize）归纳（Correlate）分析（Analyses）、和确认（Confirm）
        
        定性和定量的自动化工具辅助进行信息的整体和分析
        
        业务的代表检查和确认信息分析的结果
      - 识别业务功能和支持这些功能的IT资源
      - 识别业务功能之间以及IT资源之间的依赖关系（Interdependencies）
      - 确定业务功能的恢复窗口（Recovery Windows）
      - 识别其中的弱点和面临的威胁
    - - 确定关键功能的所有支持资源（包括非计算机资源）、资源的使用时间段、缺少该资源对功能的影响以及资源之间的相互依赖
    - - 业务影响分析的核心人物是确定关键业务功能及其支持资源的最大允许中断时间MTDs
      - 业务功能之间的依赖关系（InterDependencies）支持多个业务功能的资源其关键程度较高
      - 资源需求计划用于确定业务单位在备用站点重建业务功能所需的资源，该计划虽然不是BIA的主要工作，不过有助于更好的确定关键的IT资源
      - 中断时间超过最大允许中断时间（Maximum Tolerable Downtime）将造成业务难以恢复，越是关键的功能或资源
        MTD应该越短
        – 关键： 1小时之内
        – 紧急： 24小时
        – 重要： 72小时
        – 一般： 7天
        – 非必要：30天
      - 根据MTDs排定关键业务功能及其支持资源的恢复顺序
  - - - 预防为主
        
        通过遏制（Deter）、探测（Detect）或降低（Reduce）
        对系统影响的防御性措施Preventive Measures）予以消减（Mitigate）或清除（Eliminate）风险
        
        达不到灾难级别的风险，采取预防措施规避或降低风险
        
        灾难级别的风险难级别的风险，采取预防措施降低风险
      - 恢复为后
        
        对于不可忍受的灾难，采取恢复措施于不可忍受的灾难取恢复措施
    - - 工作复原时间相对固定 - 工作复原时间， Work Recovery Time，WRT
      - 恢复时间目标，Recovery Time Object，RTO
        
        RTO<MTD
        
        在系统的不可用性严重影响到机构之前所允许消耗的最长时间
      - 恢复点目标，Recovery Point Objectives，RPO
      - RTO+WRT<=MTD
    - - 通过遏制（Deter）、探测（Detect）或降低（Reduce）对系统影响的防御性措施Preventive Measures）予以消减（Mitigate）或清除（Eliminate）风险
      - 常见措施如下：
        
        UPS或备用发电机
        
        空调系统预留富裕空间
        
        火灾、烟感探测器
        
        水害探测器
        
        紧急断路器
        
        备份和离站存储
    - - 实际发生初期为保护生命和较少财产损失所采取的行动 - 紧急响应阶段
      - 事件发生后为了继续支持关键功能所采取的行动 - 恢复阶段
      - 事件发生后为了恢复到正常运行状态所采取的行动 - 复原阶段
    - - 确定关键业务功能及其支持资源的恢复顺序 - 业务流程恢复
      - 确定备用设施的恢复规程，包括配套的设施，如电力设施、场地设施等 - 设施恢复和供应恢复
      - 确定数据中心和网络的恢复策略 - 技术恢复
      - 确定人工作操作规程及其下过关的关键记录的管理、人员的通知等 - 终端用户环境
      - 确定关键软件、数据的备份、存储和取回的方法 - 数据恢复
  - - - 支持信息
        
        目的，阐述制定计划的原因和目标
        
        适用性，使用领域以及其他计划的关系
        
        范围，规划设计设计的系统及其位置，应对的事件类型及其特点，设定启用计划的条件
        
        参考/需求，描述制定计划的背景和法规需求
        
        变化记录，记录计划的变动情况
        
        支持信息的运行概要部分
        
        系统描述，对系统哦你的体系结构和功能一般性的描述，包括物理环境，运行环境等
        
        继任序列，缺席情况下，计划执行负责人
        
        职责，表述BCP团队的整体结构、角色和职责
      - 通知/启动
        
        损害评估
        
        紧急情况的原因、损失情况、影响范围、需更换的项目、预计恢复所需的时间等
        
        启动标准
        
        预警级别、触发条件
        
        启动通知
        
        工作时间和非工作时间的通知方法
        
        呼叫树（Call Tree）
        
        通知中所传递的信息类型应该在计划中载明
        
        通知不应该发给会因为不知情而受到负面影响的外部机构或互联的或伙伴系统
      - 恢复阶段
        
        恢复顺序（Sequence of Recovery Activities）
        
        系统允许的中断时间（Allowable Outage Time）
        
        系统之间的依赖关系
        
        恢复规程（Recovery Procedures）
        
        按照直接（Straightforward）和逐步的（Step-by-step）风格书写
        
        不能假定规程的步骤
        
        不能忽略规程的步骤
        
        准备检查列表
      - 重建阶段
        
        恢复原站点
        
        确保充足的基础设施支持，如电源、供水、电信、安全、环境控制、办公设备和用品（Supplies）
        
        安装系统硬件、软件和固件（Firmware）
        
        准备和使用恢复阶段类似的详细恢复规程
        
        测试系统
        
        对系统进行测试
        
        备份和上载应急系统中的运行数据–份和上载应急系统中的运行数据
        
        终止操作
        
        关闭应急系统、终止应急操作闭应急系统止应急操作
        
        保护、清除或重新配置应急站点
        
        恢复人员（Recovery Personnel）回到原设施
      - 计划的附录
        
        • BCP团队成员的联络信息队成员的联络信息
        • 供应商联络信息，包括离站存储和备用站点联络点的
        • 系统恢复的标准操作规程和检查列表（Checklist）
        • 支持系统所需的硬件、持系统所需的硬件软件、件固件和其它资源的设备和系统件和其它资源的设备和系统需求清单。每个条目应该包含详细内容，包括型号或版本号、规格说明和数量
        • 供应商SLA、与其它机构的互惠协议
        • 备用站点的描述和说明
        •BIA报告，包含系统各部分相互关系、风险、优先级别和影响的有价值的信息
  - - - 技能
      - 知识
    - - 充分的培训，至少一年一次
      - 新员工上岗之前应该接受BCP培训
      - 能够随时开展工作
      - 小组应该具有足够规模，不存在单点故障
      - 继任序列（Line of Succession Planning）
  - - - 核对性检查
      - 结构化的排练性测试
      - 模拟测试
      - 并行测试
      - 全中断测试
    - - 明确的演练目标（Test Objectives）
      - 成功标准（Standard for Success）
    - - 演练结果和学习到的经验应该记录到文档
      - 在演练中和演练后收集到的有助于提高计划效率的信息应该修订BCP计划
    - - BCP计划应该改根据业务重心的转移、技术的发展、人员的变动都会影响到应急计划
      - 应急计划应该纳入到变更管理中
- - - - 确保信息在存储、使用、传输过程中
        不会泄漏给非授权用户或实体
    - - 确保信息在存储、使用、传输过程中不会被非授权篡改；
      - 防止授权用户或实体不恰当修改信息
      - 保持信息内部和外部的一致性
    - - 确保授权用户或实体对信息及资源的正常使用
        不会被异常拒绝，允许其可靠而及时地访问信息
    - - 泄漏(Disclosure)
      - 篡改(Alteration)
      - 破坏(Destruction)
  - - - 数据加密（整个磁盘、数据库加密）
      - 传输数据加密（IPSec、SSL、PPTP、SSH）
      - 访问控制（物理和技术控制）
    - - 哈希（数据完整）
      - 配置管理（系统完整）
      - 变更控制（过程完整）
      - 访问控制（物理和技术控制）
      - 软件数字签名
      - 传输CRC检验功能
    - - 冗余磁盘阵列（RAID）
      - 集群
      - 负载均衡
      - 冗余的数据和电源线路
      - 软件和数据备份
      - 磁盘映像
      - 位置和场外设施
      - 回滚功能
      - 故障转移配置
  - - - 开发和发布策略、标准、措施和指导原则
      - 风险管理
      - 人员的筛选
      - 指导安全意识培训
      - 实现变更控制措施
    - - 实现和维护访问控制机制
      - 密码和资源管理
      - 身份标识和身份验证方法
      - 安全设备
      - 基础设施配置
    - - 控制个人对设施和不同部门的访问
      - 锁定系统
      - 去除必要的软驱和光驱
      - 保护设施的周边
      - 检测入侵
      - 环境控制
- - - - 负责管理某个业务部门，对特定信息自己的保护和应用负最终责任
      - 具有“适当关注”责任
      - 职责
        
        决定数据的分类
        
        定义每种分类的安全需求和备份需求
        
        定义用户访问准则
      - 业务角色而非技术角色
    - - IT或安全部门的角色
      - 职责
        
        执行数据的常规备份
        
        定期验证数据的完整性
        
        备份截至还原数据
        
        实现公司关于信息安全和数据保护的信息安全策略、标准和指导原则
    - - 负责一个或多个系统，每个系统可能保存并处理由不同数据所有者拥有的数据
      - 负责将安全因素集成到应用程序和系统中
      - 评估系统脆弱性
      - 采用足够的安全措施保证系统安全
    - - 负责实施、监视和执行安全规定和策略
      - 向安全委员会和信息安全官报告
    - - 检查系统，判断是否满足安全需求
        以及安全控制是否有效
  - - - 不应该有人从头到尾的完全控制一项敏感、有价值、或关键的任务
      - 目的：较少欺诈或事务的机会
      - 示例：
        
        金融交易中，一个负责录入、第二个负责检查、第三个负责确认最终交易
        
        知识分割
        
        双重控制
        
        对于较小组织来说，严格职责分离比较困难，可以通过监控、审计等补偿性措施
    - - 不允许某个人过长时间担任某个固定职位，避免个人获得过多的控制
      - 设置人员备份，有利于交叉培训，有利于发现欺诈行为
- - - - 标识资产和他们对组织机构的价值
      - 识别脆弱性和威胁
      - 量化潜在威胁的可能性及其对业务的影响
      - 在威胁的影响和对策的成本之间达到预算的平衡
    - - NIST SP800-30和 SP800-66
        
        定性RA方法
        
        1，系统分类；2，弱点识别；3，威胁识别；
        4，对策识别；5，可能性评估；6，影响评估；
        7，风险评估；8，新对策推荐；9，文件报告
      - OCTAVE - 一种基于信息资产风险的自主式信息安全风险评估规范，强调以资产为驱动，由3各阶段、8个过程构成
      - CRAMM - 基本过程：资产识别和评价；威胁和弱点评估；对策选择和建议
      - FRAP - 一种定性的风险评估过程，以对风险评估方法的各个方面和变化形式进行测试
      - STA - 创建一个系统可能面临的所有威胁的树，树枝可以代表诸如网络威胁、物理威胁、组件失效等类别，进行RA时，需要剪除不用的树枝
      - FEMA - 源自硬件分析。考察每个部件或模块的潜在失效，并考察失效影响
      - 对比：NIST和OCTAVE方法关注IT威胁和信息安全风险分析，
        AS/NZS4360则采取了一种更为广泛的方式进行风险管理。
        AS/NZS适用于公司的财政、资本、人员安全和业务决策风险。也可以用于风险
        安全分析，但并非专门为针对这个目标设计。
    - - 定量风险分析会尝试为风险分析过程的所有元素都赋予具体的和有意义的数字
      - 包括：防护措施的成本、资产价值、业务影响、威胁频率防护措施的有效性、漏洞利用的可能性等。
      - 风险分析步骤：
        
        为资产赋予价值
        
        估计每种威胁的潜在损失 - 针对每种资产和威胁计算的单一损失期望（SLE）
        
        执行威胁分析 - 计算年发生比率（ARO）
        
        计算每种威胁的潜在年度损失 - 每种威胁计算年度损失期望（ALE）
        
        减轻、转移、避免和接受风险
      - 风险计算：
        
        事件发生的频率：ARO（年发生比率）
        
        威胁事件可能引起的损失：EF（暴露因子）
        
        定量计算过程
        
        识别资产并为资产赋值
        
        评估威胁和弱点，评价特定威胁作用于特定资产所造成的影响，即EF（0%～100%）
        
        计算特定威胁发生的次数（频率），即ARO
        
        计算资产的SLE（单一损失期望）=asset value（资产价值）×EF（暴露因子)
        
        计算资产的ALE（年度损失期望）=SLE（单一损失期望）×年度发生率（ARO）
    - - 考虑各种风险可能发生的场景，并基于不同的观点对各种威胁的严重程度和各种对策的有效性进行等级排列
      - 定性分析技术 - 判断、最佳实践、直觉和经验
      - 收集数据的定性分析技术
        
        群体决策方法，delphi
        
        调查问题卷
        
        检查
        
        访谈
    - - 定性方法及结果相对主观
      - 定性方法无法为成本/效益分析建立货币价值
      - 定量方法需要大量的计算，实施比较困难
  - - - 识别每项资产的拥有者、保管者和使用者
      - 建立资产清单，根据业务流程来识别信息资产
      - 信息资产存在的形式
        
        电子数据：数据库和数据文件、用户手册等
        
        书面合同：合同，策略方针，归档文件，重要商业结果
        
        软件资产：应用软件、系统软件、开发工具、软件程序
        
        实物资产：磁介质、电源和空调、网络基础设施、服务器等
        
        人员：承担特定只能和责任的人员或角色
        
        服务：计算和通信服务、外包服务，其他技术性服务
        
        组织形象与声誉：无形资产
    - - 评价因素
        
        受损后造成的直接损失
        
        资产恢复需要的代价，包括检测、控制、修复的人力和物理
        
        组织公众形象和名誉损失，竞争优势损失
        
        其他损失，如保险费用的增加
      - 根据重要性（影响或后果）来划分资产等级，
        同时考虑保密性、完整性和可用性的受损可能引发的后果
    - - 一项资产可能面临多个威胁，一个威胁也可能对多个资产造成影响
      - 识别威胁源
        
        人员威胁
        
        系统威胁
        
        环境威胁
        
        自然威胁
      - 评估威胁可能性是要考虑威胁源的动机和能力因素
    - - 针对每个资产可能被利用的弱点
        
        识别途径
        
        操作系统弱点
        
        管理型弱点
      - 识别途径
        
        审计报告、实践报告、安全检查报告、系统测试和评估报告
        
        自动化漏洞扫描工具和渗透测试
    - - 风险影响（Risk impact）
      - 风险可能性（probability）
    - - 从针对性和实施方式来看
        
        管理性 - 安全策略、风险管理程序
        
        技术性 - 包括操作性和技术性措施
        逻辑访问控制、日志审计、加密、身份识别、物理和环境安全策略等
        
        物理上 - 基础环境控制，视频监控、CCTV等
      - 从功能上看
        
        威慑性(Deterrent) - 防止威胁的发生
        
        预防性(preventive) - 保护系统较少弱点
        
        检测性(Detective) - 即使发现安全弱点
        
        纠正性(corrective) - 减小造成的影响
    - - 风险处置方法
        
        减低风险(Reduce Risk)
        
        减少威胁 - 实施恶意代码控制措施
        
        减少弱点 - 通过安全意识培训，强化安全操作能力
        
        降低影响 - 灾难恢复计划和业务连续性计划，做好备份
        
        规避风险(Avoid Risk)
        
        转移风险(Transfer Risk)
        
        接受风险(Accept Risk)
      - 风险控制措施选择对策
        
        成本/效益分析
        
        基本原则：实施安全措施跌代价不应该大于所要保护资产的价值
        
        对策成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护成本费用等
        
        控制价值=实施控制之前的ALE-控制的年成本-实施控制后的ALE
        
        约束条件
        
        时间约束，技术约束，环境约束
        
        法律约束，社会约束
        
        防护措施基本功能和有效性
    - - 实施安全控制后残留或残存的风险
        
        残留风险Rr=原有风险R0-控制效力R
        
        残留风险<=可接受的风险Rt
      - 计算方法1
        
        威胁×脆弱性×资产价值=总风险
        
        威胁×脆弱性×资产价值）=总风险
      - 计算方法2
        
        （威胁、脆弱性和资产价值）=总风险
        
        总风险-对策=剩余风险
- - - - 长期计划，例如5年
      - ，相对稳定，定义了组织的目标和使命
    - - 中期计划，例如1年
      - 对实现战略计划中既定目标的任务和进度的细节描述，
        例如雇佣计划，预算计划等
    - - 短期的高度细化的计划，经常更新
      - 每月或每季度更新，例如培训计划，系统部署计划等
- - - - 定义：使用计算机作为工具来帮助实施犯罪
      - 解析：计算机在犯罪中并非必要因素，只是作为工具协助犯罪分子。
      - 示例：
        
        攻击金融系统，盗窃资金与敏感信息
        
        通过攻击军事系统获取军事和情报材料
        
        通过攻击竞争对手，从事工业间谍活动，收集机密的商业数据
        
        通过攻击国家基础设施系统来开展信息战
        
        通过攻击政府或公司的系统和修改网站来抗议的行为
    - - 定义：是指计算机成为专门针对它们（及其所有者）进行攻击的受害者
      - 解析：针对计算机、网络以及这些系统中所存储的信息的犯罪
      - 示例：
        
        拒绝服务攻击
        
        嗅探或捕获密码或其他敏感数据
        
        安装恶意软件造成破坏
        
        安装rookit和嗅探器以达到恶意目的
        
        实施缓冲区溢出攻击
    - - 定义：计算机不一定是攻击者或被攻击者，只是在攻击的发生时碰巧涉及其中。
      - 解析：在犯罪活动中只是偶然出现的附带因素
      - 示例：犯罪分子的客户列表等
    - - 调查取证比较困难，证据容易遭到破坏
      - 相关法律不完善
      - 跨地域的特征
        
        欧洲理事会网络犯罪公约，是针对网络犯罪而尝试创建的一个国际性标准
        
        经济合作和发展组织，OECD （7个核心原则）
      - 从统计来看，内部人员实施犯罪几率比较高
      - 受害机构有时不报告，担心影响机构的正常运作和损害用户对机构的信任
    - - 萨拉米香肠：通过积少成多的方式窃取资金的行为
      - 数据篡改：通过篡改数据的方式进行欺诈
      - 过度特权：由于管理不到位等原因造成一些员工具有较多的权限，造成权限滥用
      - 垃圾搜寻：虽然不道德，但是不违法
      - 电磁泄漏捕获：通过捕捉计算机系统的泄漏的电磁信号获取有价值的信息的目的
      - 搭线窃听
      - 社会工程学
      - 冒充
    - - 拍卖欺诈
      - 伪造出纳员的支票
      - 清楚债务
      - 包裹快递电子邮件阴谋
      - 就业/商业阴谋
      - 信托付款服务欺诈
      - 投资欺诈
      - 彩票中奖
      - 庞氏骗局
      - 第三方资金骗局
    - - 动机: 何人以及为何实施犯罪
        
        内因：寻求刺激、挑战
        
        外因：经济、政治
      - 机会: 何时以及何地实施犯罪
        
        利用系统技术、管理和操作弱点
      - 手段: 成功实施犯罪所需要的方法和能力
        
        需要对运行机制等比较了解
  - - - 商业秘密
        
        与公司的竞争或市场能力至关重要
        
        不是众所周知的，公司付出了相关的资源和努力开发的
        
        收到公司适当保护以防止泄漏或非授权使用
        
        示例：
        
        产品配发
        
        程序源代码
        
        加密算法
      - 著作权
        
        最作品公开发表、复制、展示和修改的法律保护的权利
        
        并不保护作品的创意，保护创意的表现形式
        
        示例：
        
        程序代码，源代码和可执行文件，甚至是用户界面
        
        文学作品
        
        绘画
        
        歌曲旋律
      - 商标
        
        它保护代表公司形象的单词、名称、符号、形状、声音、颜色
        
        商标通常在商标注册机构进行注册
        
        商标是公司在市场运作过程中建立起来的质量和信誉标志
      - 专利
        
        对专利注册人或公司专利拥有权的法律认可，禁止他人或公司未经授权使用
        
        专利有效期20年
        
        示例：
        
        药品的配方
        
        加密算法
      - 保护方法：
        
        结合公司数据分类制度
        
        公司资源有适当级别的访问控制保护、审计启用及适当的存储环境
        
        以细粒度方法定义访问级别
        
        访问和操作资源应被适当审计
    - - 主动寻求保护公民的个人可标识信息（PII）
      - 在政府和业务的需求与银安全问题而考虑收集和使用PII之间，主动寻求平衡
      - 个人隐私
        
        类型：
        
        独处权利
        
        免受对个人不合理权利
        
        决定何种个人信息可以被传播以及传播给何人的权利
        
        注意的问题：
        
        防止不合理侵犯，底线是知情同意，采取适当的保护措施
        
        防止缺乏适当的方法，底线是“公平公正”，有纠错机制
      - 个人信息使用原则
        
        个人数据控制者的义务
        
        收集个人数据需要征得数据主体的同意并告知用途
        
        只收集与用途有关的数据，只在用途所需期限内使用和保存
        
        数据收集的方法数据的用途迎合法
        
        采取合理措施，技术、管理和操作措施，防止个人信息遭到恶意侵犯，保证数据的完整性和保密性，并清除过时数据，防止无用途相关工作需要的人访问
        
        个人数据主体的义务和权利
        
        查看所收集的信息，更正错误信息
    - - 免费软件
      - 共享软件
      - 开源软件
      - 商业软件
    - - 萨班斯法案，SOX
      - Gramm-Leach-Bliley法案
      - 健康保险便利及责任法案，HIPPA
        
        Equipment Replacement 2012
        
        Core Business XXX System Replacement 2012
        
        Telephone System Upgrade 2012
      - 计算机欺诈与滥用法案
      - 联邦隐私法
      - 巴塞尔II
      - 支付卡行业数据安全标准
      - 联邦信息安全法案
      - 经济间谍法案
- - - - 组织员工对安全和按去哪控制重要性的一般行的集体的意识
      - 方式：视频，媒体，海报等
      - “是什么”
      - 传递信息
    - - 传授安全相关工作技能，主要对象为信息系统管理和维护人员
      - 方式：实践性指导，讲座，个案研究，实验
      - 获取知识
      - “如何做”
    - - 为安全专业认识提供工作所需的专业技技术。
      - 方式：理论性指导，研讨会、阅读和学习，研究
      - 安全见解
      - “为什么”