信息安全从业者工作规划及能力建设

• 职业规划建议

首先需要具备整个信息安全工作的总体框架，企业信息安全做什么？怎么做？当你知道做什么，就知道应该去学些什么知识。

1. 信息安全管理—具备信息安全管理体系建设能力。--长久目标

见下文第二点、第三点。

1. 信息安全技术能力—具备信息安全技术能力，--短期具备能力。

见第三大点。

1. 工作开展的角度，如何开展安全工作的思路，见第四大点。--目前学习。
2. 信息安全工作学哪些？---见第五点。--目前学习。了解框架和大类方向，着重学习主机安全、WEB安全。主机安全的工具测试能力见8.1-8.2、8.4，WEB安全扫描工具见8.3、8.5、8.7 。
3. 近几年信息安全发现方向：数据安全、隐私安全，数据安全见第十部分—可以长久方向。

• 信息安全体系框架 完整流程图

正在上传…重新上传取消

• 熟悉信息安全管理体系框架—管理方向

 信息安全体系框架 - 百度文库

需要了解信息安全管理体系包含的范围、实施方法、涉及哪些（左上角图）

相关知识点：ISO27001认证、ISMS信息安全管理体系。

1. 1. ISMS信息安全管理体系建立方法

以BS7799的管理思想介绍通用安全管理体系建立的方法；信息安全管理包括诸多方面，如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不同。后续将详细介绍不同部分的管理.

1. 1. 信息安全管理体系概述
      1. 什么是信息安全管理体系

     信息安全管理体系，即Information Security Management System（简称ISMS），是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

BS7799－2是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围,制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系；体系一旦建立，组织应按体系的规定要求进行运作，保持体系运行的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。

1。 ISMS的范围

ISMS的范围可以根据整个组织或者组织的一部分进行定义，包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等,ISMS的范围可以包括:

1. 组织所有的信息系统;
2. 组织的部分信息系统；
3. 特定的信息系统。

此外,为了保证不同的业务利益，组织需要为业务的不同方面定义不同的ISMS。例如，可以为组织和其他公司之间特定的贸易关系定义ISMS，也可以为组织结构定义ISMS，不同的情境可以由一个或者多个ISMS表述。

1. 组织内部成功实施信息安全管理的关键因素
   1. 反映业务目标的安全方针、目标和活动；
   2. 与组织文化一致的实施安全的方法;
   3. 来自管理层的有形支持与承诺；
   4. 对安全要求、风险评估和风险管理的良好理解；
   5. 向所有管理者及雇员推行安全意思；
   6. 向所有雇员和承包商分发有关信息安全方针和准则的导则；
   7. 提供适当的培训与教育;
   8. 用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统.
2. 建立ISMS的步骤

不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体的情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过下列四个基本步骤:

1. 1. 信息安全管理体系的策划与准备；
   2. 信息安全体系文件的编制;
   3. 信息安全管理体系的运行；
   4. 信息安全管理体系的审核与评审.
      1. 信息安全管理体系的作用

1。 ISMS的特点

 信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点:

1. 体系的建立基于系统、全面、科学的安全风险评估,体现以预防控制为主的思想，强调遵守国家有关信息安全的法律法规及其他合同方要求；
2. 强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式;
3. 强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的机密性、完整性和可用性，保持组织的竞争优势和商务运作的持续性。

2。 实施ISMS的作用

 组织建立、实施与保持信息安全管理体系将会产生如下作用:

1. 强化员工的信息安全意识，规范组织信息安全行为；
2. 对组织的关键信息资产进行全面体统的保护，维持竞争优势；
3. 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
4. 使组织的生意伙伴和客户对组织充满信心;
5. 如果通过体系认证,表明体系符合标准，证明组织有能力保证重要信息，提高组织的知名度与信任度；
6. 促使管理层贯彻信息安全保障体系;
7. 组织可以参照信息安全管理模型，按照先进的信息安全管理标准BS7799建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平，从根本上保证业务的连续性.
   1. 1. 信息安全管理体系的准备

   为在组织中顺利建设信息安全管理体系,需要建立有效信息安全机构，对组织中的各类人员分配角色、明确权限、落实责任并予以沟通.

1. 成立信息安全委员会

信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成，定期召开会议,就以下重要信息安全议题进行讨论并做出决策，为组织信息安全管理提供导向与支持.

1. 1. 评审和审批信息安全方针；
   2. 分配信息安全管理职责;
   3. 确认风险评估的结果；
   4. 对与信息安全管理有关的重大事项，如组织机构调整、关键人事变动、信息安全设施购置等；
   5. 评审与监督信息安全事故;
   6. 审批与信息安全管理有关的其他重要事项。
2. 任命信息安全管理经理

组织最高管理者在管理层中指定一名信息安全管理经理，分管组织的信息安全管理事宜,具体由以下责任：

1. 确定信息安全管理标准建立、实施和维护信息安全管理体系;
2. 负责组织的信息安全方针与安全策略的贯彻与落实；
3. 向最高管理者提交信息安全管理体系绩效报告，以供评审，并为改进信息安全管理体系提供证据;
4. 就信息安全管理的有关问题与外部各方面进行联络。

1. 组建信息安全管理推进小组

在信息安全委员会的批准下，由信息安全管理经理组建信息安全管理推进小组，并对其进行管理。小组成员要懂信息安全技术知识，有一定的信息安全管理技能,并且有较强的分析能力及文字能力，小组成员一般是企业各部门的骨干人员。

1. 保证有关人员的作用、职责和权限得到有效沟通

用适当的方式,如通过培训、制定文件等方式，让每位员工明白自己的作用、职责与权限，以及与其他部分的关系，以保证全体员工各司其职,相互配合，有效地开展活动，为信息安全管理体系的建立做出贡献。

1. 组织机构的设立原则

1. 合适的控制范围

一般情况下，一个经理直接控制的下属管理人员不少于6人,但不应超过10人。在作业复杂的部门或车间，一个组长对15人保持控制。在作业简单的部门或车间，一个组长能控制50个人或更多的人。

1. 合适的管理层次

公司负责人与基层管理部门之间的管理层数应保护最少程度，最影响利润的部门经理应该直接向公司负责人报告.

1. 一个上级的原则
2. 责、权、利一致的原则
3. 既无重叠，又无空白的原则
4. 执行部门与监督部门分离的原则
5. 信息安全部门有一定的独立性,不应成为生产部门的下属单位。

1. 信息安全管理体系组织结构建立及职责划分的注意事项

1. 如果现有的组织结构合理,则只需将信息安全标准的要求分配落实到现有的组织结构中即可。如果现有的组织结构不合理，则按上面(5）中所述规则对组织结构进行调整。
2. 应将组织内的部门设置及各部门的信息安全职责、权限及相互关系以文件的形式加以规定。
3. 应将部门内岗位设置及各岗位的职责、权限和相互关系以文件的形式加以规定。
4. 日常的信息安全监督检查工作应有专门的部门负责
5. 对于大型企业来说,可以设置专门的安全部(可以把信息安全和职业健康与安全的职能划归此部门），安全部设立首席安全执行官，首席安全执行官直接向组织最高管理层负责（有的也向首席信息官负责）。美国“911"恐怖袭击事件以后,在美国的一些大型企业，这种安全机构的设置方式逐渐流行，它强调对各种风险的综合管理和对威胁的快速反应。
6. 对于小型企业来说，可以把信息安全管理工作划归到信息部、人事行政部或其他相关部门。
   1. 建立信息安全管理体系原则
      1. PDCA原则

PDCA循环的概念最早是由美国质量管理专家戴明提出来的，所以又称为“戴明环”。在质量管理中应用广泛，PDCA代表的含义如下:

P(Plan)：计划，确定方针和目标,确定活动计划；

D(Do)：实施,实际去做，实现计划中的内容;

C（Check)：检查,总结执行计划的结果，注意效果,找出问题；

A（Action）：行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。

PDCA循环的四个阶段具体内容如下:

(1) 计划阶段：制定具体工作计划，提出总的目标。具体来讲又分为以下4个步骤.

分析目前现状,找出存在的问题；

分析产生问题的各种原因以及影响因素;

分析并找出管理中的主要问题；

制定管理计划,确定管理要点.

根据管理体制中出现的主要问题，制定管理的措施、方案，明确管理的重点.制定管理方案时要注意整体的详尽性、多选性、全面性.

（2） 实施阶段：就是指按照制定的方案去执行。

在管理工作中全面执行制定的方案。制定的管理方案在管理工作中执行的情况，直接影响全过程.所以在实施阶段要坚持按照制定的方案去执行。

（3) 检查阶段：即检查实施计划的结果.

检查工作这一阶段是比较重要的一个阶段，它是对实施方案是否合理,是否可行有何不妥的检查。是为下一个阶段工作提供条件，是检验上一阶段工作好坏的检验期。

(4） 处理阶段：根据调查效果进行处理。

对已解决的问题，加以标准化：即把已成功的可行的条文进行标准化,将这些纳入制度、规定中，防止以后再发生类似问题；

找出尚未解决的问题,转入下一个循环中去,以便解决。

PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序.在质量管理中，PDCA循环得到了广泛的应用，并取得了很好的效果，有人也称其为质量管理的基本方法.之所以叫PDCA循环，是因为这四个过程不是运行一次就完结,而是周而复始地进行，其特点是“大环套小环，一环扣一环,小环保大环，推动大循环”;每个循环系统包括PDCA四个阶段曾螺旋式上升和发展，每循环一次要求提高一步。

建立和管理一个信息安全管理体系需要象其他任何管理体系一样的方法。这里描述的过程模型遵循一个连续的活动循环：计划、实施、检查、和处置。之所以可以描述为一个有效的循环因为它的目的是为了保证您的组织的最好实践文件化、加强并随时间改进。信息安全管理体系的PDCA过程如下图12—1所示.

正在上传…重新上传取消

图12—1 PDCA模型与信息安全管理体系过程

ISMS的PDCA具有以下内容：

1. 计划和实施

一个持续提高的过程通常要求最初的投资：文件化实践,将风险管理的过程正式化，确定评审的方法和配置资源.这些活动通常作为循环的开始。这个阶段在评审阶段开始实施时结束。计划阶段用来保证为信息安全管理体系建立的内容和范围正确地建立，评估信息安全风险和建立适当地处理这些风险的计划。实施阶段用来实施在计划阶段确定的决定和解决方案。

2。 检查与行动

检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。评审可以在任何时间、以任何频率实施，取决于怎样做适合于考虑的具体情况。在一些体系中他们可能需要建立在计算机化的过程中以运行和立即回应。其他过程可能只需在有信息安全事故时、被保护的信息资产变化时或需要增加时、威胁和脆弱性变化时需要回应。最后,需要每一年或其他周期性评审或审核以保证整个管理体系达成其目标.

3. 控制措施总结（Summary of Controls)

组织可能发现制作一份相关和应用于组织的信息安全管理体系的控制措施总结（SoC）的好处。提供一份控制措施小结可以使处理业务关系变得容易如供电外包等。SoC可能包含敏感的信息，因此当SoC在外部和内部同时应用时,应考虑他们对于接收者是否合适。

1. 1. 1. 文件化

信息安全管理另一个非常重要的原则就是文件化，即所有计划及操作过的事情都要有文件记录， 这样可做到有章可循，有据可查,文件的类型通常有手册、规范、指南、记录等，使用这些文件可以使组织内部沟通意图，统一行动,并为事件提客观证据，同时也可用于学习和培训.如果有些组织曾参与过9000或BS7799的认证，会深刻体会到文件化的重要性.

1. 1. 1. 领导重视

组织建立信息安全管理体系需要投入大量物力和人力,这就需要得到领导的认可，尤其是最高领导，这样才能确保这一项目不会因缺少资源支持而中途废弃。最高领导层在具体建立信息安全管理体系时应做到如下几点：

(1) 管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据,包括：

1. 1. 建立信息安全方针;
   2. 确保建立信息安全目标和计划;
   3. 为信息安全确立职位和责任；
   4. 向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及持续改进的需要;
   5. 提供足够的资源以开发、实施，运行和维护信息安全管理体系；
   6. 确定可接受风险的水平;
   7. 进行信息安全管理体系的评审。

（2） 管理层为组织将确定和提供所需的资源，以：

1. 1. 1. 建立、实施、运行和维护信息安全管理体系；
      2. 确保信息安全程序支持业务要求；
      3. 识别和强调法律和法规要求及合同的安全义务;
      4. 正确地应用所有实施的控制措施维护足够的安全;
      5. 必要时,进行评审，并适当回应这些评审的结果;
      6. 需要时，改进信息安全管理体系的有效性.

1. 1. 1. 全员参与

仅有领导的支持没有实际操作的人员同样信息安全管理体系不能很好地建立起来，而组织内由于普通人员的误操作和疏忽造成严重损失的不止少数,因此我们必须明确安全管理体系不是组织内IT部门的事情，而是需要全体员工参与的。

组织应确保所有被分配信息安全管理体系职责的人员具有能力履行指派的任务。组织应:

1. 1. 1. 确定从事影响信息安全管理体系的人员所必要的能力;
      2. 提供能力培训和，必要时，聘用有能力的人员满足这些需求;
      3. 评价提供的培训和所采取行动的有效性；
      4. 保持教育、培训、技能、经验和资格的纪录。

组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们的贡献怎样达成信息安全管理目标.

1. 1. 信息安全管理体系的建立
      1. 建立信息安全管理体系

下图是建立信息安全管理体系的流程图，图12—2，

制订信息安全方针

方针文档

定义ISMS范围

进行风险评估

实施风险管理

选择控制目标措施

准备适用声明

第一步：

第二步：

第三步：

第四步：

第五步：

第六步：

ISMS范围

评估报告

文件

文件

文件

文件

文件

文件

文档化

文档化

声明文件

图12-2ISMS流程图

组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。为满足该标准的目的，使用的过程建立在图一所示的PDCA模型基础上。

组织应做到如下几点：

1. 1. 应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的范围。
   2. 应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系的方针,方针应:

1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。

2）考虑业务及法律或法规的要求，及合同的安全义务.

3)建立组织战略和风险管理的环境，在这种环境下,建立和维护信息安全管理体系.

4）建立风险评价的标准和风险评估定义的结构.

5）经管理层批准.

1. 1. 确定风险评估的系统化的方法

识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估的方法.为信息安全管理体系建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别可接受风险的水平.

1. 1. 确定风险

1)在信息安全管理体系的范围内,识别资产及其责任人。

2）识别对这些资产的威胁。

3）识别可能被威胁利用的脆弱性。

4）别资产失去保密性、完整性和可用性的影响。

1. 1. 评价风险

1）评估由于安全故障带来的业务损害，要考虑资产失去保密性、完整性和可用性的潜在后果；

2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施;

3）估计风险的等级；

4）确定介绍风险或使用在c中建立的标准进行衡量确定需要处理。

1. 1. 识别和评价供处理风险的可选措施:

可能的行动包括：

1)应用合适的控制措施；

2）知道并有目的地接受风险,同时这些措施能清楚地满足组织方针和接受风险的标准；

3）避免风险；

4)转移相关业务风险到其他方面如:保险业，供应商等。

1. 1. 选择控制目标和控制措施处理风险：

应从2。6章节中控制措施中选择合适的控制目标和控制措施，应该根据风险评估和风险处理过程的结果调整。

1. 1. 准备一份适用性声明.

从上面选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化.从2。6章节中剪裁的控制措施也应加以记录;

1. 1. 提议的残余风险应获得管理层批准并授权实施和运作信息安全管理体系。
      1. 文件要求

信息安全管理体系文件应包括:

1. 1. 文件化的安全方针文件和控制目标;
   2. 信息安全管理体系范围和程序及支持信息安全管理体系的控制措施；
   3. 风险评估报告；
   4. 风险处理计划;
   5. 组织需要的文件化的程序以确保有效地计划运营和对信息安全过程的控制；
   6. 本标准要求的记录;
   7. 适用性声明。
      1. 文件控制

信息安全管理体系所要求的文件应予以保护和控制。应编制文件化的程序，以规定以下方面所需的控制:

1. 1. 文件发布前得到批准,以确保文件的充分性；
   2. 必要时对文件进行评审与更新,并再次批准;
   3. 确保文件的更改和现行修订状态得到识别；
   4. 确保在使用处可获得适用文件的有关版本；
   5. 确保文件保持清晰、易于识别；
   6. 确保外来文件得到识别,并控制其分发；
   7. 确保文件的发放在控制状态下；
   8. 防止作废文件的非预期使用；
   9. 若因任何原因而保留作废文件时,对这些文件进行适当的标识.
      1. 记录控制

应建立并保持纪录，以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被控制。信息安全管理体系应考虑任何有关的法律要求.记录应保持清晰、易于识别和检索.应编制形成文件的程序,以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。需要一个管理过程确定记录的程度。

应保留上述过程绩效记录和所有与信息安全管理体系有关的安全事故发生的纪录。例如:访问者的签名簿，审核记录和授权访问记录。

1. 1. 实施和运作信息安全管理体系

组织应按如下步聚实施：

1. 1. 识别合适的管理行动和确定管理信息安全风险的优先顺序（即：风险处理计划；
   2. 实施风险处理计划以达到识别的控制目标，包括对资金的考虑和落实安全角色和责任；
   3. 实施在上述章节里选择的控制目标和控制措施；
   4. 培训和意识；
   5. 管理运作过程；
   6. 管理资源；
   7. 实施程序和其他有能力随时探测和回应安全事故的控制措施。

1. 1. 监控和评审信息安全管理体系
      1. 监控信息安全管理体系

组织应：

1. 1. 执行监控程序和其他控制措施，以:

1）实时探测处理结果中的错误；

2)及时识别失败和成功的安全破坏和事故；

3）能够使管理层确定分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标;

4）确定解决安全破坏的行动是否反映了运营的优先级。

1. 1. 进行常规的信息安全管理体系有效性的评审（包括符合安全方针和目标,及安全控制措施的评审）考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈；
   2. 评审残余风险和可接受风险的水平，考虑以下方面的变化：

1)组织

2）技术

3)业务目标和过程

4）识别威胁，及

5）外部事件,如：法律、法规的环境发生变化或社会环境发生变化.

1. 1. 在计划的时间段内实施内部信息安全管理体系审核。
   2. 经常进行信息安全管理体系管理评审（至少每年评审一次)以保证信息安全管理体系的范围仍然足够，在信息安全管理体系过程中的改进措施已被识别（见信息安全管理体系的管理评审)；
   3. 记录所采取的行动和能够影响信息安全管理体系的有效性或绩效的事件。
      1. 维护和改进信息安全管理体系

组织应经常：

1. 1. 实施已识别的对于信息安全管理体系的改进措施
   2. 采取合适的纠正和预防措施［见7。2和7.3］。 应用从其他组织的安全经验和组织内学到的知识。
   3. 沟通结果和行动并得到所有参与的相关方的同意。
   4. 确保改进行动达到了预期的目标.
      1. 信息安全管理体系的管理评审

管理层应按策划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。 评审应包括评价信息安全管理体系改进的机会和变更的需要， 包括安全方针和安全目标。 评审的结果应清楚地文件化，应保持管理评审的纪录。

1. 1. 1. 1. 评审输入

管理评审的输入应包括以下方面的信息:

1. 信息安全管理体系审核和评审的结果；
2. 相关方的反馈；
3. 可以用于组织改进其信息安全管理体系绩效和有效性的技术，产品或程序；
4. 预防和纠正措施的状况；
5. 以前风险评估没有足够强调的脆弱性或威胁；
6. 以往管理评审的跟踪措施;
7. 任何可能影响信息安全管理体系的变更;
8. 改进的建议。
   1. 1. 1. 评审输出

管理评审的输出应包括以下方面有关的任何决定和措施:

1. 对信息安全管理体系有效性的改进；
2. 修改影响信息安全的程序，必要时，回应内部或外部可能影响信息安全管理体系的事件，包括以下的变更：
   1. 业务要求；
   2. 安全要求；
   3. 业务过程影响现存的业务要求；
   4. 法规或法律环境；
   5. 风险的等级和/或可接受风险的水平；
3. 资源需求.
   1. 1. 1. 内部信息安全管理体系审核

组织应按策化的时间间隔进行内部信息安全管理体系审核,以确定信息安全管理体系的控制目标、控制措施、过程和程序是否：

1. 符合本标准和相关法律法规的要求；
2. 符合识别的信息安全的要求；
3. 被有效地实施和维护；
4. 达到预想的绩效。

任何审核活动应策划， 策划应考虑过程的状况和重要性,审核的范围以及前次审核的结果。应确定审核的标准，范围,频次和方法。选择审核员及进行审核应确保审核过程的客观和公正。审核员不应审核他们自己的工作.

应在一个文件化的程序中确定策划和实施审核,报告结果和维护记录［见4。3.3]的责任及要求.

负责被审核区域的管理者应确保没有延迟地采取措施减少被发现的不符合及引起不合格的原因。改进措施应包括验证采取的措施和报告验证的结果[见条款7].

1. 1. 信息安全管理体系改进
      1. 持续改进

组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防措施和管理评审的信息持续改进信息安全管理体系的有效性.

1. 1. 1. 纠正措施

组织应确定措施,以消除与实施和运行信息安全管理体系有关的不合格的原因,防止不合格的再发生.应为纠正措施编制形成文件的程序,确定以下的要求：

1. 识别实施和/或运行信息安全管理体系中的不合格；
2. 确定不合格的原因；
3. 评价确保不合格不再发生的措施的需求;
4. 确定和实施所需的纠正措施；
5. 记录所采取措施的结果；
6. 评审所采取的纠正措施.
   1. 1. 预防措施

组织应针对潜在的不合格确定措施以防止其发生.预防措施应于潜在问题的影响程度相适应。应为预防措施编制形成文件的程序，以规定以下方面的要求:

1. 识别潜在的不合格及引起不合格的原因;
2. 确定和实施所需的预防措施；
3. 记录所采取措施的结果;
4. 评价所采取的预防措施；
5. 识别已变更的风险和确保注意力关注在重大的已变更的风险。

纠正措施的优先权应以风险评估的结果为基础确定。

注:预防不合格的措施总是比纠正措施更节约成本.

1. 1. 控制措施的选择

通常控制措施是在BS7799的十大领域中进行选择，当然针对不同组织的实际情况选择控制目标不同,上述曾介绍过的需进行适用性声明.以下将详细介绍十大领域的控制措施。

1. 1. 1. 安全方针
         1. 信息安全方针

目标:为信息安全提供管理指导和支持。 管理者应该制定一套清晰的指导方针，并通过在组织内对信息安全方针的发布和保持来证明对信息安全的支持与承诺。

1。 信息安全方针文件

方针文件应得到管理者批准,并以适当的方式发布、传达到所有员工。该文件应该阐明管理者对实行信息安全的承诺，并陈述组织管理信息安全的方法，它至少应该包括以下几个部分：

信息安全的定义,其总体目标和范围,以及其作为信息共享的安全机制的重要性(见引言）；

申明支持信息安全目标和原则的管理意向;

对组织有重大意义的安全方针、原则、标准和符合性要求的简要说明，例如:符合法规和合同的要求；

安全教育的要求；

对计算机病毒和其他恶意软件的防范和检测;

可持续运营的管理；

违反安全方针的后果；

对信息安全管理的总体和具体责任的定义,包括汇报安全事故;

提及支持安全方针的文件，如：特定信息系统的更加详细的安全方针和程序,或用户应该遵守的安全规定.

本方针应以恰当、易得、易懂的方式向单位的预期使用者进行传达.

1. 1. 1. 1. 评审与鉴定

方针应有专人按照既定的评审程序负责它的保持和评审。该程序应确保任何影响原始风险评估根据的变化都会得到相应的评审，如：重大的安全事故、新的脆弱性、组织基础结构或技术基础设施的变化.同样应对以下各项进行有计划的、定期的评审:

1. 方针的有效性，可通过记录在案的安全事故的性质、数量和所造成的影响来论证；
2. 对运营效率进行控制的成本和效果；
3. 技术变化所造成的影响；
   1. 1. 安全组织
         1. 信息安全基础结构

目标：在组织内部管理信息安全。 应建立管理框架,在组织内部开展和控制信息安全的实施。 应该建立具有管理权的适当的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要，应在组织内建立提供信息安全建议的专家小组并使其有效。应建立和组织外部安全专家的联系,以跟踪行业趋势，监督安全标准和评估方法，并在处理安全事故时提供适当的联络渠道.另外应鼓励多学科的信息安全方法的发展，如:经理人、用户、行政人员、应用软件设计者、审核人员和保安人员以及行业专家(如保险和风险管理领域）之间的协作。

1. 信息安全管理委员会

信息安全是管理团队中所有成员共同的职务责任。因此应考虑建立信息安全委员会以确保为信息安全的启动工作提供明确的指导和明显的管理支持.该委员会应该在组织内部通过适当的承诺和提供充足的资源来促进安全工作.信息安全管理委员会可以作为现有管理团体的一部分,所承担的职责主要有:

评审和批准信息安全方针和总体职责；

监督信息资产面临重大威胁时所暴露出的重大变化；

评审和监督信息安全事故;

批准加强信息安全的主动行为.

应有一名经理负责和安全有关的所有行为。

2。 信息安全的协作问题

在较大的组织内部,有必要成立由各相关部门的管理代表组成的跨部门的信息安全委员会，以合作实施信息安全的控制措施。它的主要功能有：

• 批准组织内关于信息安全的具体任务和责任；
• 批准信息安全方面的具体方法和程序，如风险评估、安全分类系统；
• 批准和支持全组织范围的信息安全问题的提议，如安全意识培训；
• 确保安全问题是信息设计过程的一部分；
• 评估新系统或服务在信息安全控制实施方面的充分程度和协作情况；
• 评审信息安全事故；
• 提高全组织对信息安全的支持程度.

3。 信息安全责任分配

保护单独的资产和实施具体的安全过程的职责应该给予明确定义。

信息安全方针（见上述条款)应该为组织内部信息安全任务和责任的分配提供总体的指导。必要时,针对具体的地点、系统和服务，应对此方针作更详细的补充。对由各项有形资产和信息资产以及安全程序所在方承担的责任,如可持续运营计划，应清晰定义.

在许多组织中,会任命一名信息安全经理来负责信息安全工作的开展和实施,并支持控制措施的鉴别工作。

然而，分配资源和实施控制措施的责任一般由各部门经理承担。通常的做法是为每项信息资产指定专人来负责日常的安全工作。

信息资产的负责人可以把安全职责委托给各部门的经理或服务提供商。然而,信息资产负责人对资产的安全负有最终的责任，并应有权确定责任人是否恰当的履行了职责。对各个经理所负责的安全领域的清晰描述是很重要的,特别应进行以下工作：

和各个系统相关的各种资产和安全过程应给予识别和明确的定义.

各项资产或安全过程的管理者责任应经过审批,并以文件的形式详细记录该职责.

授权级别应清晰定义并记录在案。

4。 信息处理设备的授权程序

对于新的信息处理设备应建立管理授权程序，应考虑以下控制措施:

新设备应有适当的用户管理审批制度，对用户的使用目的和使用情况进行授权.同样应得到负责维护本地信息系统安全环境的经理的批准，以确保满足所有相关的安全方针和要求.如有必要，应检查硬件和软件，以确保与其他系统部件兼容（注：对于有些连接,类型兼容也是必须的)。使用个人信息处理设备来处理商业信息以及任何必要的控制措施应经授权。在工作场所使用个人信息处理设备可能导致新的脆弱性，因此应经评估和授权.上述控制措施在联网的环境中尤为重要。

5。 信息安全专家建议

许多组织可能需要安全专家的建议，这最好由组织内富有经验的信息安全顾问来提供。并非所有的组织都愿意雇用专家顾问.因此,建议组织专门指定一个人来协调组织中的知识和经验，以确保一致性，并帮助做出安全决议.同时他们还应和合适的外部顾问保持联系，以提供自身经验之外的专家建议。信息安全顾问或等同的联络人员的任务应该是使用他们自己的和外部的建议，为信息安全的所有方面提供咨询.他们对安全威胁的评估质量和对控制措施的建议水平决定了组织的信息安全的有效性.为使其建议最大程度的发挥作用，他们应有权接触组织管理层的各个方面.若怀疑出现安全事件或破坏,应尽早的咨询信息安全顾问和相应的外部联络人员，以获得专业指导和调查资源。尽管多数的内部安全调查通常是在管理层的控制下进行的，但仍可以邀请安全顾问给出建议,领导或实施调查.

6. 组织间的合作

为确保在发生安全事故时能最快的采取适当措施和获得指导建议，各个组织应和执法机关、管理机构、信息服务提供机构以及电信营运部门保持适当的联系.同样也应考虑成为安全组织和行业论坛的成员。

安全信息的交流应该加以限制,以确保组织的秘密信息不会泄漏到未经授权的人员手中。

7. 信息安全审核的独立性

信息安全方针条例制定出了信息安全的方针和职能.实施情况的审核工作应该独立进行，来确保组织规范能够很好的反映安全方针,并且是可行的和有效的.

审核工作应由组织内部的审核职能部门、独立经理人或精通于此种审核工作的第三方组织来实施,只要审核人员掌握了相应的技术和经验。

1. 1. 1. 1. 第三方访问安全管理

目标：保证第三方访问组织的信息处理设备和信息资产时的安全性。 第三方访问组织内部的信息处理设备的权限应该受到控制。 若有业务上需要第三方的访问,应对此做出风险评估来确定访问可能带来的安全后后果和对访问进行的控制需求。控制措施应经双方同意，并在合同中进行明确定义. 第三方访问还会涉及其他参与者。授予第三方访问权的合同应该涵盖对合法的参与 者任命和允许访访问的条件。 在考虑信息外包处理时，此标准可以作为签订此类合同的基础。

1. 第三方访问的风险鉴别

(1） 访问类型

给予第三方访问的类型至关重要。比如,通过网络连接的访问风险与物理访问的风险有很大区别.需要考虑的访问类型有：

1. 物理访问,如访问办公室，计算机房，文件柜等
2. 逻辑访问，如访问组织的数据库，信息系统等

（2） 访问原因

授权第三方访问有若干原因。例如,向组织提供服务却不在现场的第三方，就可以被授予物理和逻辑访问权，如：

1. 硬件和软件支持人员，他们需要有权访问系统级或低级的应用程序功能。
2. 贸易伙伴或合资伙伴，他们之间需要交流信息，访问信息系统或共享数据库。

若没有充分的信息安全管理，允许第三方访问将给信息带来风险。因此，在业务上有与第三方接触的需求时，则需进行风险评估，以确定具体的控制措施的要求。还要考虑所要进行的访问类型、信息的价值、第三方使用的控制措施和访问给组织信息的安全可能带来的后果.

（3) 现场承包方

按照合同规定,可以在现场滞留一段时间的第三方也有可能带来安全隐患.现场第三方的例子有：

• 硬件和软件维护和支持人员
• 清洁人员、送餐人员、保安和其他的外包支持服务人员
• 学生和其他的短期临时工作人员
• 顾问

了解采取哪些控制措施来管理第三方对信息处理设备的访问是至关重要的。总的来说，在与第三方所签的合同中应反映出所有的由第三方访问导致的安全需求或内部的控制措施.例如:若对信息的保密性有特殊要求的时候，就要采用保密协议。

只有在实施了适当的控制措施并签订了涵盖连接和访问条件的合同之后,第三方方可访问信息和信息处理设备。

2。 与第三方签约时的安全要求

涉及到第三方访问本组织信息处理设备的安排应基于正式的合同。该合同应包括或提到安全要求，以保证遵守本组织安全方针和安全标准。合同应确保本组织和第三方之间没有误会.各个组织应确保供应商的可靠性。合同中应该考虑如下条款：

1. 信息安全的总体方针;
2. 资产保护方面,包括：

1. 保护组织资产（包括信息和软件在内）的程序；
2. 确定资产是否受到危害的程序,如数据的丢失或篡改； 
3. 确保在合同截止时或合同执行期间某一双方同意的时间，归还或销毁信息的控制措施；
4. 完整性和可用性；
5. 对复制和泄漏信息的限制;

1. 对可用服务的描述；
2. 服务的目标级和服务的不可接受级；
3. 人员调整的规定；
4. 协约方各自的责任;
5. 法律方面的责任,如数据保护法规,如果合同涉及到其他国家的组织,还应特别考虑不同国家法律体系的区别;
6. 知识产权和版权转让（见控制措施遵从性）与合作成果保护；
7. 访问控制协议，包括：

1. 所允许的控制方法，对独特的标识符(如用户ID,密码）的控制和使用；
2. 用户访问和特权的授权过程;
3. 要求保有一份名单,用来记录被授权使用可用服务的用户，以及他们的使用权和特权;
   1. 可验证的行为标准的定义、监督和汇报；
   2. 监督和废除用户行为的权力;
   3. 审核合同的责任,或是委任第三方来执行审核工作；
   4. 建立解决问题的升级流程，在适当情况下，还要考虑应急安排；
   5. 软件和硬件安装和维护责任；
   6. 清晰的汇报结构和业经认同的汇报形式；
   7. 清晰、详细的变更管理流程；
   8. 确保控制措施得以实施所需的物理保护控制和机制；
   9. 对用户和管理者在方法、流程和安全方面的培训;
   10. 确保防范恶意软件的控制措施；
   11. 汇报、通知和调查安全事故和安全破坏的安排;
   12. 包括第三方和次承包商；
       1. 1. 委外资源管理

目标:当把信息处理的责任委托给其他组织时,要确保委外信息的安全性 委外安排时，应该在签约方的合同中表明信息系统、网络和或桌面环境方面的风险、安全控制和流程.

1。 委外合同中的安全要求

如果组织将其全部或部分信息系统、网络或桌面环境的管理和控制任务委托给其他组织，委外的安全要求应在合同中加以规定并要争得双方的同意.

例如：合同中应规定:

1. 如何满足法律方面的要求，如数据保护法规;
2. 做出哪些安排来确保涉及委外的各方，包括次分包商，能意识到各自的责任；
3. 如何维护和监测组织的商业资产的完整性和保密性；
4. 要采取哪些物理和逻辑上的控制措施来约束和限制业经授权的用户对商业信息的访问;
5. 在发生灾难的情况下，如何维持服务的可用性;
6. 对委外设备需要提供何种程度的物理安全；
7. 审核权。

前面条款中的列表所给出的款项也应作为合同的一部分考虑进去。在双方同意的安全管理计划中，此合同应当详细论述安全要求与流程.

尽管委外合同会引起一些复杂的安全问题，在本规范中提及的控制措施可以作为协商安全管理计划结构和内容的起始点.

1. 1. 1. 资产分类与控制
         1. 资产责任

目标:保持对组织资产的适当保护。 应该考虑所有重要的信息资产并指定所有人。 资产责任有助于确保对资产保持适当的保护.应该为所有重要资产指定所有人，并应该分配对其保持适当控制措施的责任。实施控制措施的职责可以委托。责任应由指定的资产所有人承担.

1. 资产清单

资产清单有助于确保进行有效的资产保护，其它商业目的，如卫生和安全、保险或财务（资产管理）原因同样需要资产清单.编制资产清单的过程是风险评估的一个重要方面。组织需要识别其资产及这些资产的相对价值和重要性.基于这些信息，组织能够进而提供与资产的价值和重要性相符的保护等级。应该编制并保持与每一信息系统相关的重要资产的清单.应该清晰识别每项资产、其拥有权、经同意和记录为文件的安全分级(见5。2），以及资产现在的位置(当试图从丢失和损坏状态恢复时是重要的)。和信息系统相关的资产的例子:

1. 信息资产:数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息;
2. 软件资产：应用软件、系统软件、开发工具和实用程序；
3. 有形资产：计算机设备（处理器、监视器、膝上形电脑、调制解调器），通信设备（路由器、数字程控交换机、传真机、应答机），磁媒体（磁带和软盘）,其他技术装备(电源，空调设备），家具和住所;
4. 服务：计算和通信服务,通用设备,如供暖,照明，电力和空调等。
   1. 1. 1. 信息分类

目标：确保信息资产受到适当级别的保护; 应该对信息进行分类以指明要求、优先性和保护等级. 信息具有不同程度的敏感性和重要性.一些项目可能需要额外级别的保护和特殊处理.应该使用信息分类系统来定义一套适当的保护等级,并传达特殊处理措施的要求.

1. 分类原则

信息分类和相应的保护控制措施应该考虑共享或限制信息的商业要求，以及与这些要求相关的商业影响，如对信息未经授权的访问或损坏.一般而言，对信息分类是决定如何处理和保护此信息的一条捷径.

来自处理机密性数据之系统的信息和输出应该按照其对组织的价值和敏感性进行标示.按照信息对组织的重要性进行标示同样是适当的,如，按照信息的完整性和可用性.经过了一段时间后，例如当信息已经被公开时,信息通常就不再是敏感的或重要的。应该考虑到这些方面，因为过高的保密级别能够导致不必要的额外的商业支出.分类原则应该预见并顾及到一个事实，及对任何特定信息的分类都没有必要始终不变，并可以根据一些预定的方针变化。

应该考虑划分类别的数量以及对其使用所带来的益处。过于复杂的分类方案可能造成使用上的麻烦和不经济或被证明为不切合实际.在解释来自其他组织的文件上的分类标签时应该小心，他们对相同或相似名字的标签可能有不同的定义。

对一项信息（如文件、数据记录、数据档案或磁盘）的分类进行定义以及对该分类定期评审的责任应该保留给数据的创始者或指定的信息所有人.

2。 信息的标示和处理

重要的是根据组织所采用的分类方案，为信息的标示和处理定义一套合适的程序。这些程序必须包含以物理或电子形式存在的信息资产.对每一信息类别，应该定义处理程序，包含下列种类的信息处理活动：

1. 复制；
2. 存储；
3. 以邮件、传真和电子邮件传送;
4. 以口头方式,包括移动电话、语音邮件、答录机传送;
5. 销毁。

含有被划分为敏感或重要信息之系统的输出应该采用适当的分类标示（在输出上）。该标示应该反映根据上述分类原则建立的规则所做的分类。应考虑的项目包括打印报告、屏幕显示、记录了信息的媒体（磁带、磁盘、光盘、盒式磁带)，电子信息和文件传送.

物理标示一般是最合适的标示形式。然而,一些信息资产，如电子形式的文件，就不能进行物理标示,而需要使用电子方法标示。

1. 1. 1. 人员安全
         1. 岗位定义和资源分配的安全

目标：降低人为错误、盗窃、诈骗或误用设备的风险。 应该在新员工聘用阶段就提出安全责任问题，包括在聘用合同中，并且在员工的雇佣期间进行监督。 应该对可能的新员工进行充分的筛选，尤其是从事敏感工作的员工。所有雇员以及信息处理设施的第三方用户都应该签署保密(不泄密）协议。

1。 岗位责任中的安全

安全任务和责任，如同在组织的信息安全方针中规定的（见3。1)，应该在适当的情况下形成文件.这些任务和责任既应该包括实现或保持安全方针的任何一般责任,又应该包括保护特定资产或执行特定的安全过程或活动的任何具体责任.

2。 人员选拔及方针

对终身员工的核实检查应该在招聘时进行。这应该包括以下控制措施：

1. 具有令人满意的能力、人品推荐材料，如针对工作或针对个人的;
2. 应聘者相关阅历的检查(针对完整性和准确性）；
3. 声称的学术或专业资格的确认；
4. 独立的身份检查（护照或类似证件)。

无论是初次任命还是提升，当一项工作涉及的人员具有访问信息处理设备的机会,特别是如果这些设备处理敏感信息，如财务信息或高度机密的信息时，组织应该同样进行信用检查。对于处在有相当权力位置的人员，这种检查应该定期重复。

对于合同方和临时员工应该执行相似的筛选程序。若这些人员是由代理机构推荐的，则在与代理机构签订的合同中应该明确规定该代理机构的筛选责任,以及如果没有完成筛选工作或者如果有理由对筛选结果怀疑或担心,它们必须遵循的通知程序。

管理层应该对有权访问敏感系统的新员工和缺乏经验的员工的监督工作进行评价.每一名员工的工作都应该定期经过一名更高层职员的评审和批准程序。

各经理应该意识到员工的个人环境可以影响他们的工作.个人或财政问题、行为或生活方式的改变、重复的缺勤以及压力或抑郁可能导致欺诈、偷窃、错误或其他安全隐患.应该依据相应权限范围内适当的规定来处理这类信息。

3. 保密协议

保密或不泄密协议用于告知信息是保密的或秘密的。雇员通常应该签署此类协议作为他们受雇的先决条件。

应该要求现存合同(含保密协议)尚未包括的临时员工和第三方用户在被给予信息处理设备访问权之前签署一个保密协议.

在雇用条款或合同发生变化时，特别是员工要离开组织或合同将到期时，应该对保密协议进行评审。

4。 雇佣条款和条件

雇佣条款和条件应该阐明雇员对信息安全的责任.适当时,在雇佣结束后，这些责任应该继续一定的时间。应该包括如果雇员无视安全要求时所采取的行动.

雇员的法律责任和权利，如涉及到的版权法或数据保护法，应该阐明并包括在雇佣条款和条件中。还应该包括分类和管理雇主数据的责任.只要适当,雇佣条款和条件应该说明这些责任是延伸到组织范围以外和正常工作时间以外，例如在家工作时。

1. 1. 1. 1. 用户培训

目标：确保用户意识到信息安全的威胁和利害关系，并具有在日常工作过程中支持组织安全方针的能力。 应对用户进行安全程序和正确使用信息处理设备的培训,以尽量降低可能的安全风险。

1。 信息安全教育和培训

组织中所用员工以及相关的第三方用户，应该接受适当的培训并且根据组织方针和程序的变化定期再培训。这包括安全要求、法律责任和商业控制措施,还包括在被授权访问信息或服务之前正确使用信息处理设备，如登录程序、软件包的使用的培训。

1. 1. 1. 1. 安全事故和故障的响应

目标：尽量减小安全事故和故障造成的损失,监督此类事件并吸取教训。 影响安全的事故应该尽快通过适当的管理渠道报告。 应使所有雇员和签约人知道可能影响组织资产安全的不同种类事故（安全事故、威 胁、弱点或故障）的各种报告程序. 应该要求他们以最快的速度把任何看到的或怀疑的事故报告给指定的联络人。组织 应该建立正式的惩罚程序以处理破坏安全的员工.为妥当的处理事故,有必要在事故发 生后尽快收集证据.

1. 报告安全事故

安全事故应该尽快通过适当的管理渠道报告。

应该建立正式的报告程序，同时建立事故响应程序,阐明接到事故报告后所采取的行动。应该使所有员工和签约方知道报告安全事故的程序，并应该要求他们尽快报告此类事故。应该在事故被处理完并关闭后，执行适当的反馈程序，以确保那些报告的事故被通告了结果.这些事故可以用于用户安全意识培训,作为会发生什么事故、对此类事故如何响应、以及将来如何避免的例子.

2。 报告安全弱点

应该要求信息服务的用户记录并报告任何看到的或怀疑的系统或服务的安全弱点或对它们的威胁。他们应该尽快把这些问题向他们的管理层或直接向服务提供者报告。应该告知用户，在任何情况下，他们都不应该试图验证一个怀疑的弱点.这是为了保护他们自己，因为测试弱点可能被认为是滥用系统.

3。 报告软件故障

应该建立报告软件故障的程序，应该考虑以下行为。

1. 应该记录下问题的征兆和任何显示在屏幕上的信息。
2. 如果可能，计算机应被隔离，并停止对其的使用.应该立即警告适当的联络人.如果要检查设备，应在重新启用前将其与组织的所有网络断开。软盘不应该用于其他计算机。
3. 该事故应该立即报告给信息安全经理.

除非被授权，用户不应该试图删除有疑问的软件。应该由经过适当培训并有经验的员工执行恢复工作。

4。 从事故中学习

应该有在用的机制以使事故和故障的种类、数量和损失能够被量化和监督。这类信息应该用于识别重发或有重大影响的事故和故障.这可以表明增强或增加控制措施的必要性，以限制将来事故发生的频率、损坏程度和损失,或者在安全方针评审过程（见3。1.2）中加以考虑。

5。 惩罚程序

针对违反组织安全方针和程序的雇员应该有正式的惩罚程序。此程序对不然可能无视安全方针的雇员能够起到威慑作用。另外，应该保证正确、公平的处理被怀疑严重或连续破坏安全的雇员。

1. 1. 1. 物理和环境安全

1. 1. 1. 1. 安全区域

目标：防止对商业场所和信息未经授权的访问、破坏和干扰。 关键或敏感的商业信息处理设备应该放置在安全区域，由规定的安全防护带，适当的安全屏障和入口控制保护.这些设备应该被物理保护，防止未授权的访问、破坏和干扰。 所提供的保护应该和被确认的风险相当。建议采用清空桌面和清屏方针以降低对文件、媒体和信息处理设备的未经授权的访问或破坏的风险。

1。 物理安全防护带

物理保护可以通过在商业场所和信息处理设备周围设置若干物理屏障达到。每个屏障形成一个安全防护带，每个防护带都增强所提供的整体防护。组织应该使用安全防护带来保护放置信息处理设备(见7.1.3）的区域。安全防护带是构建屏障的东西，如墙、进门的控制卡或有人职守的接待台。每个屏障的位置和强度取决于风险评估的结果.

适当情况下应该考虑下述原则和控制措施：

1. 安全防护带应该明确规定。
2. 放置信息处理设备的建筑物或场所的防护带在物理上应该是的牢固的（例如，在防护带或安全区域不应该有能够轻易闯入的缺口)。场所的外墙应该是坚固的建筑物，所有的外门应该被适当保护，防止未经授权的访问,如控制机制、栅栏、警铃、锁等.
3. 应该设置有人职守的接待区或其他方法对场所或建筑物控制物理访问。对场所和建筑物的访问应该仅限于经授权的人员。
4. 如有必要，物理屏障应从地板延伸到天花板,以防止未经授权的进入和由诸如火灾和水灾引起的环境污染.
5. 安全防护带的所有防火门应具报警功能并用力关紧。

2. 物理进入控制措施

安全区应该通过适当的进入控制措施保护，以确保只有经授权的人员能够进入，应考虑以下的控制措施：

1. 安全区的访问者应该被监督或经批准,并且应该记录他们进入和离开的日期和时间。他们应该仅被允许访问特定的、经受权的目标，并应该发给他们关于安全区域要求和应急程序的说明。
2. 对敏感信息和信息处理设备的访问应被控制并仅限于经受权的人.鉴别控制措施，如带个人身份号码的扫描卡，应被用于所有访问的授权和验证.应该安全的保持所有访问的审计线索。
3. 应该要求所有员工穿戴某种明显的身份标志，并鼓励向没有陪伴的陌生人和没有穿带明显身份标志的任何人盘问.
4. 对安全区的访问权应该定期评审并更新。

3。 保护办公室、房间和设备的安全

安全区可能是上锁的办公室或物理安全防护带中的若干房间,这些房间可以被锁住并且可能存放有可上锁的柜子和保险箱。安全区的选择和设计应该考虑火灾、水灾、爆炸、暴乱和其他形式的自然或人为灾害造成损害的可能性.还应该考虑相关的卫生、安全法规和标准.同样应该考虑相邻场所造成的任何安全威胁,如来自其他区域的水泄漏。

应该考虑以下控制措施:

1. 关键设备的放置应该避免被公众访问。
2. 建筑物应该不引人注目,并尽量少的显示其用途，建筑物内外没有表明存在信息处理活动的明显标志。
3. 辅助功能和设备,如影印机、传真机应该被妥当的放置在安全区内，以避免能够危害信息安全的访问需求。
4. 无人看管时门窗应该上锁，应该考虑对窗户，特别是地面层窗户的外部保护。
5. 应该在所有的外门和可以出入的窗户按专业标准安装入侵监测系统并定期测试.无人区应该时刻保持警戒状态。应该同样为其它区域提供保护，如计算机房或通信机房。
6. 由组织管理的信息处理设备应该和第三方管理的信息处理设备从物理上隔离。
7. 显示敏感信息处理设备位置的目录和内部电话本不应该轻易地被公众获取.
8. 危险或易燃物品应该安全地保存在与安全区保持安全距离的地方。大宗消耗品如文具除非必要否则不应该存放在安全区。
9. 备用设备和备份媒体的放置应该与主场地保持安全的距离，以避免因主场地的灾害造成毁坏.

4。 在安全区内工作

可能需要额外的控制措施和指导原则来加强安全区域的安全性.这包括对在安全区内工作的员工和第三方人员以及发生在安全区的第三方活动的控制措施。应该考虑以下控制措施：

1. 只有在有必要知道的情况下,员工才应该知道安全区的存在或其内的活动.
2. 为安全原因和防止产生恶意活动的机会，在安全区内应该避免无人监督的工作。
3. 空闲的安全区应该上锁并定期检查。
4. 第三方服务支持人员只有在必要时才应该被允许有限制的访问安全区或敏感信息处理设备。这种访问应该经过授权并接受监督.在安全防护带内具有不同安全要求的区域之间可能需要控制物理访问的额外的屏障和防护带。
5. 除非经授权，不应该允许使用照相、录像、录音或其他记录设备。

5。 隔离交接区

交接区应予以控制,如有可能，与信息处理设备隔离,以避免未经授权的访问.此类区域的安全要求应该由风险评估决定.应该考虑以下控制措施：

1. 从建筑物外对接货区的访问应限于经确认和授权的人。
2. 应将接货区设计成送货员能够卸货却无法得到访问建筑物其它部分的权利.
3. 当接待区的内门打开时，外门应该是安全的。
4. 进入的物品在从接货区转移到使用地点之前应该接受检查，以防止潜在的危险。
5. 如果适当，进入的物品应在入口进行登记.
   1. 1. 1. 设备安全

目标：防止资产的丢失、损坏或泄漏以及商业活动的中断. 应该在物理上保护设备免受安全威胁和环境危害。有必要保护设备（包括场所外使用的）以降低对数据未经受权访问的风险以及防止丢失或损坏。还应该考虑设备的放置和布局。特殊的控制措施可能是必要的,以防止危害或未经授权的访问，并保护辅助设施，如电力和电缆设施。

1。 设备放置和保护

应该放置或保护设备以降低环境威胁和危害造成的风险,以及未经受权访问的机会。应该考虑以下控制措施:

1. 设备的放置应尽量减少对工作区不必要的访问。
2. 处理敏感数据的信息处理和存储设备应该被妥善放置以降低在使用中被忽视的风险。
3. 需要特殊保护的物品应隔离放置，以降低所需的总体保护等级。
4. 应该采取措施以尽量降低潜在威胁的风险，包括：
   1. 1. 1. 1. 1. 偷窃;
               2. 火灾；
               3. 爆炸；
               4. 吸烟；
               5. 水（或供水故障）；
               6. 灰尘；
               7. 震动;
               8. 化学反应；
               9. 电源干扰；
               10. 电磁辐射。

e） 组织应该考虑在信息处理设备附近吃东西、饮水和吸烟的方针。

1. 1. 1. 1. 1. 1. 1. 对于可能对信息处理设备的运行有负面影响的环境条件应该进行监控.
                  2. 特殊的保护方法，如键盘保护膜应该考虑配备在工业环境下。
                  3. 应该考虑发生在临近区域的灾害的影响,如:临近建筑物着火，天花板漏水，低于地平面的地面渗水或临街爆炸.

2。 电力供应

应该保护设备以防电力中断和其他与电有关的异态。应该根据设备制造商的说明提供合适的电力。

实现不间断电力的可选措施包括：

1. 多条线路供电以避免单点故障；
2. 不间断电源（UPS)；
3. 备用发电机.

对于支持关键商业业务的设备，推荐使用不间断电源（UPS）,来保证设备的正常关机或持续运转。应急计划应该包括在UPS失效时所采取的行动。UPS设备应该定期检查，以确保其具有足够的电量,并按照制造商的建议测试.

在长时间停电的情况下,如果业务要继续，应该考虑备用发电机。安装之后，发电机应该按照制造商的说明定期测试。应该有足够的燃料供应,以确保发电机能长时间工作。

另外，紧急电源开关应位于设备室的紧急出口附近，以便在紧急情况下迅速切断电源.在主电源发生故障时,应该提供应急照明。应该对所有建筑物应用雷电防护，并在所有外部通信线路上安装雷电防护过滤器.

3. 电缆安全

应该保护传送数据或支持信息服务的电力和通信电缆，防止窃听或损坏。应该考虑以下控制措施：

1. 如有可能，接入信息处理设备的电源和通信线路应该铺设在地下，或者采取足够的可替代的保护.
2. 应该保护网络电缆以防未经授权的窃听或损坏，例如，通过使用电缆管道和避免通过公共区域。
3. 电力电缆应该与通信电缆隔离，以防干扰。
4. 对于敏感或关键系统，另外考虑的控制措施包括:

1. 在监测点和端点处安装装甲管道以及上锁房间或盒子；
2. 使用可替换的路由选择或传输媒体;
3. 使用光纤电缆；
4. 启用对未经授权而联接在电缆上的设备的扫描;

4. 设备维护

应该正确的维护维护以确保其持续的可用性和完整性。应该考虑以下控制措施。

1. 设备应该按照提供商推荐的服务周期和规定来进行维护。
2. 只有经授权的维护人员才能修理和保养设备。
3. 应该保持所有怀疑的和确实的故障以及所有预防和纠正措施的纪录。
4. 在将设备送到组织外维护时，应该采取适当的控制措施（见7.2。6关于删除、消磁和重写数据）。应该遵守保险单规定的所有要求。

5. 场所外设备的安全

无论所有权如何，任何在组织场所外用于信息处理的设备应该经管理层授权.考虑到在组织外工作的风险,所提供的保护应该等同于组织内相同用途的设备。信息处理设备包括用于家庭工作或从正常工作地点带出的所有形式的个人电脑、档案夹、移动电话、文件或其他的物品。应该考虑以下指导原则：

1. 从组织带出的设备和媒体不应留在公共场所无人看管。在旅行时，移动计算机应该如同手提袋一样加以携带并在可能时加以掩饰。
2. 应该始终遵守生产商对设备保护的说明，如保护设备不暴露于强电磁场。
3. 家庭工作的控制措施应该由风险评估确定,并应该采取合适的控制措施，如可上锁的文件柜、清空桌面方针以及对计算机的访问控制。
4. 为保护场所外的设备，应该投保足值的保险。

如损坏、盗窃和窃听的安全风险在不同地点变化很大，应该在决定最合适的控制措施时加以考虑。关于保护移动设备的其他方面的更多信息可参见9。8.1

6。 安全的处置或再启用设备

草率的处置或再启用设备能够泄漏信息.存有敏感信息的存储设备应该从物理上被销毁或安全地重写,而不是使用标准的删除功能。

带有存储媒体（如固定硬盘）的所有设备应该被检查以确保任何敏感数据和授权软件在处置前已被清除或重写。被损坏的存有敏感数据的储存设备，需要经过风险评估以决定这些设备是否应该被销毁、修理或丢弃。

1. 1. 1. 1. 常规控制措施

目标:防止信息和信息处理设备的损坏或被盗。 应该保护信息和信息处理设备以防泄漏给未经授权的人，被其修改或偷窃，控制措施应该到位以尽量减少损失或损坏。 在下章节中考虑了处理和存储程序。

1. 清空桌面和清屏方针

组织应考虑对文件及可携带的储存媒体采取清空桌面方针，对信息处理设备采取清屏方针，以降低在正常工作时间内外信息未经授权的访问，丢失和损坏的风险.该方针应考虑信息安全分类（见5.2)，相应的风险和组织文化的各方面。

留在桌面上的信息也有可能被诸如火灾、水灾或爆炸的灾害损坏或销毁。

应考虑下述控制措施：

1. 适当情况下,文件和计算机媒体在不用时,特别在工作时间之外,应存放在适当的上锁的柜子和/或其他形式的安全设备中。
2. 敏感或关键商业信息，在不使用尤其是办公室无人时应锁起来(最好是在防火保险柜或文件柜中)。
3. 个人计算机、计算机终端和打印机,在无人看管时不应处于登录状态。应在不用时采用键盘锁、口令或其他的控制措施加以保护。
4. 收发信件的地点和无人看管的传真机和电传机应该加以保护。
5. 在正常工作时间之外应将复印机加锁(或者以其他方式防止未经授权的使用）.
6. 敏感或机密信息，打印完后，应该立即从打印机清除。

2. 资产的迁移

设备、信息或软件未经授权不应带离原场所。必要和合适的情况下,设备应注销并在带回时再注册。应进行抽查，以检查财产非经受权的移动。应使个人知道将抽样检查。

1. 1. 1. 通信和操作管理
         1. 操作程序和责任

目标:确保对信息处理设备正确和安全的操作。 应该建立所有信息处理设备管理和操作的责任和程序。包括制订适当的操作指南 和事故反应程序。 适当情况下应实施责任划分,以降低疏忽或故意滥用系统的风险。

1. 文件化操作程序

被安全方针确定的操作程序应该文件化并保持。应将操作程序作为正式文件对待，经管理层授权后可修改。

程序应该规定每项工作详细的执行指导，包括：

1. 信息的加工和处理;
2. 日程要求，包括和其他系统的依存关系,最早的工作开始时间和最晚的工作完成时间；
3. 对在工作执行过程中出现的错误或其他意外情况的处理指导，包括对系统功能使用的限制；
4. 在发生意外的操作或技术困难时的支持联络;
5. 特殊输出处理指导，诸如特殊文具的使用或保密输出的管理,包括失败作业输出的安全处理程序；
6. 在系统失效时使用的系统重启和恢复程序；

与信息处理和通信设备有关的系统日常管理活动也应准备文件化的程序。如计算机启动和关机程序、备份、设备维护、计算机房和信件处理的管理和安全。

2. 操作的变更控制

应该控制信息处理设备和系统的改变。对信息处理设备和系统变化的控制不够是系统或安全故障的通常原因。应该制订正式的管理责任和程序以确保满足对设备、软件或程序的所有改变的控制。对操作程序应该进行严格的变更控制。在程序变更时，应该保留包括所有相关信息的审计日志.操作环境的变化能够影响到应用程序.可行的情况下，应把操作和应用的变更控制程序整合起来.特别应考虑以下控制措施：

1. 重大变更的识别和记录;
2. 评估此类变更的潜在影响；
3. 所建议更改的正式审批程序；
4. 变更细节通知给所有相关人员；
5. 确定中止和恢复不成功变更的责任的程序。

3。 事故管理流程

应建立事故管理责任和流程来确保对安全事故快速、有效和有序的响应（见6。3。1)。应考虑以下的控制措施:

1. 针对所有潜在的安全事故类型,建立响应程序，包括：

1. 信息系统故障和丧失服务;
2. 拒绝服务；
3. 不完整或不准确的商业数据导致的错误;
4. 保密性的破坏；

1. 除正常的应急计划（为尽快的恢复系统或服务而设计），程序还应包括（见6。3.4)：

1. 分析和识别事故原因；
2. 如有必要,设计和实施补救措施以防止事故的重发；
3. 收集审计记录和类似证据；
4. 与受到事故影响的人，或恢复工作涉及到的人沟通；
5. 向有关当局汇报情况。

1. 如果适当，应该收集和安全的保管审计记录和相似的证据,以用于:

1. 内部问题分析;
2. 为可能的违反合同、违反法规要求或引起的民事或刑事诉讼（如由于滥用计算机或违反数据保护法）作为相关证据；
3. 与软件和服务提供商商谈赔偿问题.

1. 对安全破坏的恢复工作以及系统故障的纠正工作，应进行谨慎和正式的控制。此程序应确保：

1. 仅允许经明确识别和授权的员工访问运行中的系统和数据;
2. 详细记录所采取的所有紧急行动；
3. 应急行动应报告给管理层,并以有序的方式评审;
4. 对控制措施和商业系统完整性的确认应尽量避免延迟。

4. 职责分开

职责分开是降低意外或故意滥用系统的风险的一种方法。为减小未经授权的修改或滥用信息或服务的机会，应考虑分开管理或执行特定职责或责任领域.

小型组织可能发现这种控制方法难以做到,但是只要可能并可行，该原则应该被应用。如划分工作比较困难，应考虑其他的控制措施,如行动监视、审计跟踪和管理监督。保持安全审计的独立性很重要.

应该注意不能有人在独立责任领域实施诈骗而不被发现。事件的提出和批准应该分开.应考虑如下的控制措施：

1. 活动分开很重要，此时需要相互勾结才能进行欺诈，如提高订单价格，和核对所收到的货物。
2. 如有相互勾结的危险，则需设计控制措施以包括两个或更多的人，由此降低合谋的可能性。

5。 开发和操作设备的隔离

隔离开发、测试和操作设备对实现分离所涉及的任务是重要的.应该制订并文件化软件从开发转入操作状态的规则。

开发和测试行为会引起严重的问题，如文件或系统环境的不希望有的修改或系统故障.应考虑为防止操作问题在操作与测试和开发环境之间所必要的分离级别。在开发和测试功能之间也应实施类似的隔离。在这种情况下,有必要保持一个已知的并稳定的环境,在此环境中执行有意义的测试和防止不适当的开发者的访问。

当开发和测试人员有权访问操作系统和其信息时,他们有可能引入未经授权和未经测试的程序代码或改变操作数据。在某些系统中，这种能力能够被滥用而进行欺诈、或引入未经测试或恶意的代码。未经测试的或恶意的代码能引起严重的操作问题。开发者和测试人员还会给操作信息的保密性造成威胁。

如果开发和测试活动共享相同的计算环境,可以造成软件和信息的意外改变.因此为降低意外改变或未经授权的访问操作软件和商业数据的风险，隔离开发、测试和操作设备是值得的。应考虑如下的控制措施：

1. 如有可能,开发和操作软件应该运行在不同的计算机处理器上，或是在不同的域中或目录下.
2. 开发和测试活动应尽可能的分离远.
3. 编译程序、编辑程序和其他的系统应用程序在不需要时不应该能从操作系统访问.
4. 对操作系统和测试系统应使用不同的登录程序，以降低错误的风险。应该鼓励用户对这些系统使用不同的密码，菜单应显示适当的识别信息。
5. 只有制定了关于分发口令以支持操作系统的控制措施后,开发人员才有权获得操作密码。控制措施应确保密码在使用后被更改。

6. 外部设备管理

由外部合同方来管理信息处理设备可以引起潜在的安全破坏，如数据在承包商一方的被泄密、损失或遗失的可能性。应该提前识别这些风险，与合同方商定适当的控制措施并写入合同（对涉及访问组织设备的第三方的合同以及委外合同的原则见4.2。2 和4.3）.

应该提出的特殊的问题有：

1. 识别最好自身保留的敏感或关键的应用软件;
2. 获得商业应用软件所有人的许可；
3. 可持续商业计划的隐含内容；
4. 需要详细说明的安全标准和衡量符合性的程序；
5. 有效监督所有相关安全活动的具体责任和程序的分配；
6. 汇报和处理安全事件的责任和程序。

1. 1. 1. 1. 系统规划和接收

目标：将系统失效的风险降到最低。 需要事先计划和准备以确保足够的容量和资源可用。 应对未来容量需求做出预测，以降低系统超载的风险. 应建立新系统的操作要求，在验收和使用前文件化并测试。

1. 容量规划

应监控所需的容量并预测未来的容量需求,以确保有足够的处理能力和存储能力可用。这些预测应当考虑新业务和系统的需求，以及组织在信息处理方面当前和未来的趋势。

大型计算机需要特别注意，因为获取新的容量需要更大的成本和更长的交付时间。大型业务的管理者应监控关键系统资源的使用,包括处理器、主存储器、文件存储器、打印机和其他输出设备以及通信系统。管理人应该确认使用上的趋势，特别是与商业应用程序或管理信息系统工具相关时.

管理者应使用此信息来识别和避免可能对系统安全或用户服务造成威胁的潜在瓶颈,并设计适当的补救措施。

2。 系统的接收

应该制订新信息系统、升级和新版本的接收标准,并在接收前对系统进行适当的测试。管理者应确保新系统的接收要求和标准被清晰定义，同意，文件化并测试.应考虑以下的控制措施：

1. 性能和计算机容量的要求；
2. 错误恢复和重启程序,以及应急计划;
3. 准备和测试日常的操作程序以达到规定的标准;
4. 实施业经同意的安全控制措施;
5. 有效的指南程序;
6. 商业持续性安排，如11.1要求的；
7. 新系统的安装不会给现有系统带来负面影响的证据,特别是在处理高峰时间，如月末;
8. 已经考虑了新系统对组织的整体安全产生的影响的证据；
9. 操作和使用新系统的培训；

对于主要的新的开发工作，应该在开发过程的所有阶段咨询操作人员和用户，以确保所提出的系统设计方案的操作效率.应该实施适当的测试来确认所有的接收标准已被满足。

1. 1. 1. 1. 恶意软件的防护

目标：保护软件和信息的完整性。 需要有预防措施来防止和检测恶意软件的引入。 软件和信息处理设备易受引入的恶意软件的攻击，诸如计算机病毒、网络蠕虫、特洛伊木马以及逻辑炸弹。用户应该意识到未经授权或恶意软件的危害,在适当情况下，管理人员应该采取特殊的控制措施来监测和防止此类恶意软件的引入。特别是，采取预防措施来监测和防止个人计算机上的计算机病毒是必需的.

1。 恶意软件的控制措施

应实施防范恶意软件的监测和预防措施并进行适当的用户意识培训。防范恶意软件应基于安全意识，适当的系统访问控制和变更管理控制。应考虑如下控制措施：

1. 制订正式的方针来要求遵守软件许可协议并禁止使用未经授权的软件（见12。1.2。2)；
2. 制订正式的方针以防范与从外部网络或通过外部网络或从任何其他媒体上取得文件和软件相关的风险,指出应该采取的保护措施(见10.5，特别是10。5.4和10.5。5)；
3. 安装和定期更新防病毒监测和修复软件以扫描计算机和媒体，无论作为防御措施或是例行程序；
4. 定期检查支持关键商业过程的系统的软件和数据内容，对出现的任何未经批准的文件或未经授权的修改应进行正式的调查；
5. 对于电子媒体上来源不明或来源未经授权的文件,或者从不可靠的网络上收到的文件，在使用之前进行病毒检查；
6. 对任何电子邮件的附件和下载内容,在使用之前进行恶意软件检查。此类检查可在不同地点进行，如电子邮件服务器,桌上电脑或在进入组织的网络时；
7. 关于处理系统中病毒防范的管理程序和责任，如何在其使用中培训，如何报告并从病毒攻击中恢复（见6。3和8。1。3）；
8. 用于病毒攻击后恢复工作的持续商业计划,包括所有必需的数据和软件的备份以及恢复安排（见11款）；
9. 建立验证和所有恶意软件相关的信息的程序，确保警告公报的准确性和有用性。管理者应确保资料的来源是可靠的,如有声望的杂志、可信赖的网站或防病毒软件提供商，以区分恶作剧和真正的病毒。员工应该知道恶作剧的问题并在收到它们时知道如何处理。

这些控制措施对于支持大批工作站的网络文件服务器尤其重要.

1. 1. 1. 1. 内务处理

目标：保持信息处理和通信服务的完整性和可用性。 应建立常规程序以实施经过批准的备份策略,对数据作备份，演练备份资料的及时恢复,记录登录和登录失败事件，并在适当的情况下，监控设备环境.

1。 信息备份

重要的商业信息和软件应该定期备份.应该提供足够的备份设备以确保所有重要的商业信息和软件能够在发生灾难或媒体故障后迅速恢复。不同系统的备份安排应该定期的进行测试，以确保可以满足持续性运营计划的要求。应考虑如下的控制措施:

1. 备份信息的最低级别、备份的准确的和完整的记录和所记录的恢复流程都应该保存在足够远的地点,可以避免从主场发生灾害所带来的损失。对重要的商业应用软件的备份信息至少应该保留三代.
2. 对备份信息的物理和环境的保护级别应和主场所应用的标准相一致。对主场的媒体所实施的控制措施要涵盖到备份地点.
3. 如可行,要对备份媒体进行定期的测试，以确保必要时，可用于紧急备用。
4. 备份流程应定期的进行检查和测试,以确保其有效性，并确保在恢复工作的操作流程中可以在规定的时间内完成工作

规定重要的商业信息的保留期以及永久保存的文档复件的要求。（见12。1。3）.

2。 操作者日志

操作人员应该保留其行为日志。日志应包括:

1. 系统启动和关机时间
2. 系统错误和所采取的修正行为
3. 对数据文件和计算机输出的正确处理的确认
4. 登录人员的名字

对操作人员日志应按操作流程进行定期的、独立的检查.

3。 差错记录

对差错应该进行汇报并采取修正行动。应该记录用户所汇报的信息处理中或通信系统中的差错。对如何处理汇报上来的差错应有明确的规则：

1. 检查差错记录，以保证差错被圆满解决；
2. 检查修正记录，以确保没有危害到控制措施，并且所采取的行动是经过充分授权的。
   1. 1. 1. 网络管理

目标:确保对网络中信息和支持性的基础设施的保护. 对跨组织边界的网络的安全管理需要格外注意。 对于通过公共网络的敏感信息要有额外的控制措施.

1。 网络控制

为实现和维护计算机网络的安全性，需要有一套控制措施.由网络管理员实施控制措施，确保网络中数据的安全，并防止相连的服务受到未经授权的访问。特别地，应考虑如下的控制措施:

1. 在适当情况下，对网络的操作责任应和计算机操作化分开.
2. 要建立对远程设备(包括用户区的设备)的管理责任和流程。
3. 如有必要，应建立特殊的控制措施来确保通过公共网络的数据的保密性和完整性，并保护相连接的系统。还需要特殊的控制措施来维护网络服务和所连接的计算机的可用性。
4. 管理行动要紧密协作,以优化对业务所提供的服务，并确保对信息处理基础设施的控制措施得以始终如一的进行。
   1. 1. 1. 媒体的处理和安全

目标：防止资产损失和商业活动的中断 对媒体应加以管理和基于物理上的保护. 应建立合适的操作流程来保护文档、计算机媒体（磁带、软盘、盒式磁带）、输入/输出数据和系统文件免受损坏、盗用和未授权的访问.

1. 可移动的计算机媒体的管理

应有流程来管理可移动的计算机媒体,如磁带、软盘、盒式磁带和打印的文件。应考虑如下的控制措施：

1. 对从组织中换下来的可再用媒体上的以前的内容，如不再需要，应删除掉.
2. 从组织中换下来的任何媒体都要经过批准,并应保留记录和审核跟踪记录。
3. 所有的媒体应该按照制造商的指示保存在安全的环境中.

所有的流程和授权级别都要进行清晰的记录.

2. 媒体的处理

媒体作废后,应当对其进行安全处理。敏感信息可能通过对媒体的草率处理而泄漏出去。因此,应当建立正规的媒体安全处理流程以将此风险将至最低.应当考虑下面的控制措施：

1. 对载有敏感信息的媒体应加以安全妥当的保存或采用安全的方式加以处置，如焚烧或碎片，或在清空数据后供本组织的其他机构使用。
2. 下面的列表指明了可能需要安全处置的物品:

1. 书面文件；
2. 录音或其他形式的记录；
3. 复写纸；
4. 输出报告；
5. 一次性打印色带；
6. 磁带；
7. 可移动的磁盘或磁带;
8. 光学存储媒体（包括所有形式和所有制造商制造的软件分销媒体）；
9. 程序列表；
10. 测试数据;
11. 系统文档。

1. 把所有的媒体收集起来进行安全的处理，比试图分离出敏感的媒体可能更加容易.
2. 许多单位对文件、设备和媒体提供收购和处理的服务.应当注意选择一个适当的有足够的控制措施和经验的承包商。
3. 对敏感物品的处理要进行记录，以便日后进行审核之用.

在堆积媒体等候集中处理时,应当考虑到所谓的“堆置效应"，即大量未分类信息堆置在一起可能比少量单个信息更敏感。

3。 信息处理的流程

应当建立信息处理和存储的流程，以便保护这种信息免于非法的透露或误用。制定必要的流程并按照其分类对文件、电脑系统、网络、移动计算、移动通讯、邮件、语音邮件、一般语音通讯、多媒体、邮政服务及设施、传真机和其它敏感物品如空白支票、发票等的使用进行管理.应当考虑下面的控制措施：

1. 所有介质的处理和标注；
2. 对访问进行限制以识别未授权的人员；
3. 保留一个数据的合法收件人的正式记录；
4. 确保输入数据的完整性、处理过程得以正确完成及对输出的有效确认；
5. 对等待输出的数据采取与其敏感性相应的保护；
6. 把媒体存放在符合制造商规定的环境中;
7. 尽量减少数据的分发；
8. 对所有的数据副本进行清楚标示,以引起其合法接收人员的注意;
9. 定期对分发清单和合法收件人的名单进行回顾。

4。 系统文档的安全

系统文档可能载有系列敏感信息，如对应用程序、流程、数据结构、授权过程的描述.应当考虑下面的控制措施以保护系统文档免受未授权的访问。

1. 系统文档应当被安全地保存。
2. 系统文档的访问清单要尽量简短，并要经过应用者的授权。
3. 保留在公共网络上的或通过公共网络所提供的系统文档应当被适当地保护。
   1. 1. 1. 信息和软件的交换

目标：防止丢失、修改或误用组织之间交换的信息。 应当控制组织之间信息和软件的交换,并应当使其符合任何相关的法规（参见12条)。 应当根据协议来进行交换.建立流程和标准来保护传输中的信息和媒体。应当考虑与电子数据交换，电子商务和电子邮件有关的商业和安全隐患以及控制措施的需求.

1。 信息和软件交换协议

应当为组织之间的信息和软件的交换（不管是电子的或人工的)订立协议，某些协议可能是正式的,在适当的时候，包括软件的由第三方保存的协议.这样一种协议的安全内容应当反映所涉及的商业信息的敏感性.关于安全条件的协议应当考虑:

1. 对传输、发送和接收进行控制和通知的管理权责；
2. 通知发件人、传输、发送和接收的流程；
3. 包装和传输的最低技术标准；
4. 信使的身份证明标准；
5. 丢失数据的责任;
6. 对敏感或关键的信息使用一种经过议定的标示系统,确保标示的意思易于理解，信息得到适当的保护;
7. 信息和软件所属权及数据保护的责任,软件的版权合法性和类似的考虑;
8. 用于记录和读写信息和软件的技术标准；
9. 保护敏感物品所可能要求的任何特殊的控制措施，诸如加密的密钥。

2。 传输中的媒体的安全

信息在物理传输的过程中,例如,当通过邮政服务或快件传递的时候，可能容易受到未授权的访问,误用或讹误。应当应用下列的控制措施来保护电脑媒体在两地传递过程中的安全:

1. 应当使用可靠的传递方式或信使.管理层应当议定一系列经过授权的信使并实施检查信使身份的流程。
2. 应当有充分的包装，以保护内容免受传输过程中所可能发生的物理损害，并要符合制造商的说明.
3. 在必要的地方，应当采用特殊的控制措施，以保护敏感信息免受未授权的透露或修改。可采用的控制措施包括：

1. 使用上锁的集装箱；
2. 手工传递;
3. 防拆包装（可显示任何拆封的痕迹）;
4. 在特殊的情况下，将发送的物品分开并通过不同的路线传递。
5. 使用数字签名和加密，参见10.3.

3. 电子商务的安全

电子商务可能会涉及电子数据交换、电子邮件和通过因特网之类的公众网进行网上交易等方式的使用。电子商务很容易受到大量的网络上的威胁，从而导致欺诈行为,合同纠纷和信息的透露或修改。应当应用控制措施来保护电子商务免受这样的威胁。对于电子商务的安全考虑应当包括下面的控制措施：

1. 身份验证。客户和交易人对彼此的身份的把握程度如何？
2. 授权。谁被授权来制定价格、交易内容并签署关键的交易文件?交易伙伴如何知道这一点？
3. 合同和竞标过程.关于关键文件的发送、接收及合同的认可在其保密性、完整性和可证明性方面有哪些要求?
4. 定价信息。报价清单的完整性和敏感折扣安排的保密性在多大程度上是可信的?
5. 订单交易。订单、支付和交货地址的细节及接收确认方面的完整性和保密性如何？
6. 审查。如何适当地对客户提交的支付信息进行审查？
7. 结算。防范欺诈的最适当的支付方式是什么?
8. 订货。应采取哪些措施来保护订单信息的保密性和完整性，并防止上述信息的透露或复制？
9. 责任。对于任何欺诈性交易的风险由谁来承担？

上述的许多考虑都要依法通过网上加密技术的使用得以实现。

贸易伙伴间的电子商务安排应当由文档化的协议来支持，该协议使双方都对议定的贸易条款作出承诺,包括授权的细节。同时，也必要和信息服务和网络增值业务提供商签订其他的协议。

公共交易系统应当向客户公开其交易条款及规定。

应当考虑用于电子商务的主机对于攻击的抵抗能力，以及实施电子商务所要求的任何网络互联的安全隐患的处理措施.

4。 电子邮件的安全

（1） 安全风险

电子邮件被用于商业通讯，取代了传统形式的通讯方式如电传或信件.电子邮件和传统的商务通讯方式有很多不同，如速度、信函结构、非正式的程度及易受非法攻击等。因此，应当考虑需要采取控制措施以减少由电子邮件所产生的安全风险。安全风险包括:

1. 信息易受到未授权的访问，修改或拒绝服务；
2. 易出错误，如错误的地址或错发，以及服务的总体可靠性和可用性;
3. 通讯媒体的改变对商业流程的影响,如发送速度加快的影响，及在人与人之间而非公司和公司之间发送正式信函的影响，等；
4. 法律方面的考虑，如潜在的关于邮件来源、发送、提交和接收证明的要求；
5. 向外界公布可访问的职员名单的隐患；
6. 控制远程使用者访问电子邮件帐号。

（2） 关于电子邮件的方针

组织应当制定一个清楚的方针对电子邮件的使用加以规定,包括:

1. 对电子邮件的攻击，如病毒,中途截取；
2. 保护电子邮件的附件;
3. 关于何时禁止使用电子邮件的方针；
4. 员工不损害公司利益的责任，如不得发放诋毁性的电子邮件,不得使用电子邮件对他人进行骚扰，不得进行非法买卖等；
5. 使用加密技术保护电子信息的秘密性和完整性;
6. 保留有关信息用于法律诉讼时的作证；
7. 对不能辩明其身份的电子邮件进行检审的额外控制措施。

5。 电子办公系统的安全

应当制定和实施有关的方针以控制与电子办公系统有关的商业和安全风险。通过使用文件、电脑、移动电脑、移动通讯、邮件、语音邮件、语音通讯、多媒体、邮政服务/设施和传真机等的组合，为更快地传播和共享商业信息提供了机会.

对连接这种设备的安全和商业隐患的考虑应当包括:

1. 办公系统中的信息的脆弱性，如电话记录或电话会议，电话内容的秘密性，传真的存储,邮件的开启和分发等；
2. 管理信息共享的方针和适当的控制措施，例如，公司电子布告栏的使用；
3. 如果系统不能提供一种适当程度的保护，则排除敏感的商业信息的种类；
4. 限制存取涉及被选个人的日记信息，如从事敏感项目工作的员工的信息；
5. 系统支持商业应用的适当性,如通讯订单或授权等；
6. 对允许使用系统的员工、合同方或业务伙伴的分类划分，及其可存取的位置；
7. 将所选的设备限定于特殊种类的使用者；
8. 识别使用者的身份，如是组织的雇员还是为了其他使用者的利益而设立的公司名录中的合同方；
9. 对系统上的信息进行备份保存；（参见12。1。3和8。4。1）
10. 紧急情况的要求和安排（参见11.1）

6. 公共可用的系统

应当注意保护以电子形式发表的信息的完整性，防止对其进行未授权的修改而造成对组织名誉的损害。在公共可用系统上的信息，如通过因特网可访问的网络服务器上的信息，需要合乎其所在地区或所从事交易的地区的法律的要求。信息在被公开之前，应当有一个正式的授权流程.

应当采取适当的机制对公共系统上的软件、数据或其他要求高度完整性的信息加以保护,例如，数字签名。电子发布系统,特别是那些允许信息的反馈和直接进入的系统，要加以严格的控制,以做到:

1. 信息的获得符合任何数据保护法规的要求；
2. 输入发布系统的并由发布系统处理的信息将得到完整、准确和及时的处理；
3. 在收集的过程中和存储的时候,敏感的信息将得以保护；
4. 对发布系统的访问不允许对与其相连接的网络的意外访问。

7。 其他形式的信息交换

应当有适当的流程和控制措施，对通过声音、传真和视频通讯设备等进行的信息交换进行保护.安全意识，关于使用这些设备的方针或流程的缺乏会导致信息的损害，例如，在公共场合打移动电话，使用语音答录机时会被偷听，对拨号语音邮件系统的未授权访问或使用传真机设备偶然地将传真错发给别人等.

如果通讯设备出现故障，超载或中断会导致商业的中断和信息的损害。

应当制定一个清楚的方针声明，规定职员在使用语音、传真和视频通讯设备时应遵守的流程。这应当包括：

1. 提醒职员在打电话时进行适当的注意，如不提敏感信息以避免信息被下列人员偷听或截获：

1. 职员周围的人，特别是使用手提电话的时候;
2. 通过盗线或其他物理方式接触电话机或电话线的人，及使用手提电话时用扫描接收器进行监听的人；
3. 在受话人一端的人；

1. 提醒职员不得在公开场所、开放的办公室或墙壁较薄的房间内谈论保密话题；
2. 不得在语音答录机上留言，因为这些设备可被非法人员盗听、或由于拨号错误而录到不正确的地方；
3. 提醒职员关于使用传真机所可能导致的问题,即:

1. 传真机内存信息被非法访问；
2. 故意或非故意地对传真机的程序进行修改导致传真发送到别的指定的号码上;
3. 由于错误拨号或错误使用传真机内存的号码而把传真错误地发送到错误的号码上。
   1. 1. 访问控制
         1. 访问控制的商业要求

目标：控制对信息的访问 对信息和商业流程的访问应在商务和安全需求的基础上进行控制。 访问控制应考虑到信息传播和授权方面的方针.

1。 访问控制方针

（1) 方针和商务需求

访问控制的商务需求应进行定义和文档化.每一个用户或用户组访问控制规则和权力都应在访问方针报告书中明确声明。应给用户和服务提供商应提供由访问控制决定的商务需求的明确声明。

访问控制方针应考虑下述问题:

1. 不同的商务应用的安全需求
2. 所有和商务应用相关的信息的辨认
3. 信息传播和授权方针，如了解原则、信息的安全级别和分类的需求
4. 不同系统和网络的访问控制和信息分类方针之间的一致性
5. 关于保护对数据和服务的有关法规和合同义务（见12款)
6. 对普通范畴工作的标准用户访问文件
7. 对于公认一切类型的可用连接的分布式和网络化的环境的访问权限的管理

（2） 访问控制规则

为详细说明访问控制规则,应注意考虑以下各项：

1. 区分必须执行的规则与可选的或有条件则应执行的规则;
2. 所建立的规则应以“未经明确允许的都是禁止的”为前提，而不是以较弱的原则“未经明确禁止的都是允许的”为前提；
3. 信息标记的变化（见5.2)，包括由信息处理设备自动引起的的或是有用户决定引起的;
4. 由信息系统和管理人员引起的用户许可的变化；
5. 规则在颁布之前需要管理人员的批准或其他形式的许可,而一些则不需要;
   1. 1. 1. 用户访问管理

目标：防止对信息系统的未授权访问 应有正式的流程来控制对信息系统和服务的访问权的分配。 流程应该涵盖用户访问的生存期的各个阶段，包括从新用户的注册，到不再需要访问信息系统和服务时的注销。在适当情况下，对于可以超越系统控制的访问特权的分配，控制时应给予特别的注意。

1。 用户注册

应有正式的用户注册和注销流程来授权对多用户信息系统和服务的访问。

应通过指示的用户注册流程控制对多用户信息服务的访问，这一流程应包括:

1. 使用唯一的用户身份识别符，这样可将用户和其行为联系起来，并使用户为其行为负责.只有工作执行需要时,才允许使用群识别符；
2. 检查用户是否获得了系统所有人对信息系统和服务的授权访问。管理人员的个别授权也是适当的;
3. 检查所授予的访问级别对于商务目的是否合适，并且是否和组织安全方针相一致,访问级别不可危害职责的划分；
4. 向用户颁发其访问权限的书面声明；
5. 要求用户签订申明书，表明其了解自己的访问条件；
6. 确保只有在授权流程完成之后,服务提供商才可以提供服务；
7. 保留一份记录所有注册使用该服务的用户的正式名单；
8. 对于改变工作或离开组织的用户,应立即取消其访问权；
9. 定期的检查和取消冗余的用户身份识别符和账户；
10. 确保冗余的用户身份识别符不分配给其他用户;

若员工或服务代理商试图进行越权访问，应有条款对此详加说明，并考虑将其包含在员工合同和服务合同中（见6.1。4和6。3.5）。

2. 特权管理

应对特权的使用和分配（是多用户信息系统的特点或功能，它允许用户超越系统或应用控制措施的控制）进行限制和控制。对系统特权的不恰当的使用是被破坏的系统发生故障的一个主要原因。

禁止未授权访问的多用户系统应该具备由正式的授权过程所控制的特权分配。应考虑如下的步骤:

1. 和系统产品相关联的特权，如操作系统、数据库管理系统和每个应用软件，及需要进行特权分配的用户的类别都要进行辨别；
2. 应该在需要的时候才给用户分配特权，也就是说,只给最少的功能角色直至它们需要;
3. 应保留授权流程和已分配的特权的记录。在授权过程完成之前,不得授予特权；
4. 系统例行测试的开发和使用应避免对用户授予特权；
5. 特权应分配给和正常业务使用所需的不同用户。

3。 用户密码管理

密码是证实访问信息系统或服务的用户身份的常用方法。密码的分配需要由正式的管理流程来控制，其步骤应是:

1. 需要用户签订一份声明,确保个人密码的保密性和工作组密码只限于组成员之中（这可能包含在雇用条款和条件中，见6。1。4)；
2. 在需要用户保留他们自己的密码的情况下，确保向他们提供了一个安全的、临时性的密码,此密码要立即进行更换.用户忘记密码时所提供的临时密码,必须通过用户明确的身份标识来提供；
3. 需要在安全模式下提供临时密码。避免使用第三方或未受保护(明文）的电子邮件信息。用户需要对受到的密码进行确认。

密码不得以未受保护的形式储存在计算机内（见9.5。4）其他的用于用户识别和辨别的技术，比如生物技术，如指纹检验、签名验证和硬件标记,如芯片卡，都是可用的,在适当的时候应该考虑采用.

4。 用户访问权的审查

确保对数据和信息服务的访问的有效控制，管理人员应该定期的执行对用户访问权的检查工作来确保：

1. 用户的访问权限的定期或变更后检查（建议6个月为一周期）；
2. 特殊访问权的批准要更经常的进行审查，建议3个月为一个周期;
3. 定期的审查特权分配，以确保不会获得未经授权的特权.
   1. 1. 1. 用户职责

目标:防止未授权的用户访问 已授权用户的合作是有效的安全的基本条件. 应使用户意识到其在维护有效的访问控制中的责任，特别是关系到密码的使用和用户设备的安全问题.

1。 密码的使用

用户应该在选择和使用密码时遵循良好的安全规范。

密码提供了证实用户身份的一种方法,从而证实对信息处理设备的访问权。建议所有的用户：

1. 保护密码的保密性;
2. 避免保有密码的文字记录,除非这种记录可以被安全的保存起来；
3. 如有迹象表明系统或密码受到危害，则应更改密码；
4. 选择最小长度为六个字符的高质量的密码，密码应：

1. 便于记忆；
2. 不基于他人根据与本人有关的信息易于猜到或获得的任何事物，如名字，电话号码，和生日等;
3. 不要采用连续同一字符或是全数字群或全字符群；

1. 定期的或基于访问次数来更改密码(特权账户的密码和普通密码相比,要更换得更频繁一些)避免重新使用或循环使用旧密码;
2. 第一次登录时即更换临时密码；
3. 不把密码包含在任何自动登录的程序中，如保存在宏或功能键中;
4. 不要共享个人密码;

如果用户需要访问多项服务或平台,并需要保留多个密码,则建议用户在所有可以为所保存的密码提供合理保护级别的服务中使用唯一的、高质量的密码（见上述的d）。

2。 无人看管的用户设备

用户应确保对无人看管的设备有适当的保护。在用户区所安装的设备,如工作站或文件服务器,当长时间无人看管时，针对未授权访问需要有特殊的保护。要求用户和承包商意识到保护无人看管设备的安全要求和流程,以及他们在实施这种保护时的责任。建议用户：

1. 使用完，终止活动的进程，除非有适当的锁定机制来保护，如屏保密码;
2. 进程结束之后，应从主机上注销并退出系统（如，不仅仅是关闭个人电脑或终端）；
3. 通过键盘锁或相似的办法避免对个人电脑或终端的未授权使用,如密码保护.
   1. 1. 1. 网络访问控制

目标：保护网络服务,控制对内部网络和外部网络服务的访问。 为了确保访问网络和网络服务的用户不会危害到这些网络服务的安全性，确保以下各项是很必要的： 在组织内部网络和其他组织的网络以及公共网络之间的合适的接口程序; 对用户和设备的合适的认证机制； 控制用户对信息服务的访问；

1。 使用网络服务的方针

和网络服务的非安全性连接将会影响到整个组织.用户只可以直接访问已经明确授权访问的服务。这种控制对于连接到敏感的或关键性的商业应用软件或连接到高风险区的用户的网络连接是特别重要的，如在组织安全管理和控制之外的公共或外部区域。

应制定关于网络和网络服务使用问题的方针：

1. 所允许访问的网络和网络服务；
2. 决定什么人可以访问那些网络和网络服务的授权流程;
3. 保护对网络连接和网络服务的管理控制与流程；

此方针要和商务访问控制方针相一致（见9。1）

2。 强制路径

应控制从用户终端到计算机服务的路径.网络应被设计成允许最大范围的资源共享和路由的灵活性.这种特点也给未经授权的访问商务应用软件和使用信息设备制造了机会。限制在用户终端和允许用户访问的计算机服务之间的路由，如建立强制路径，包含有这样的控制措施的路径可以减小此类风险。

强制路径的目的是防止用户在用户终端和其已被授权的服务之间的路径以外选择路径.这需要在路径的不同节点上实施一系列的控制措施。此原则是通过事先确定的选择来限制在网络中每个节点上的路由选择。

此类的例子有：

1. 分配专线或电话号码；
2. 和特定的应用系统或安全网关的自动连接端口；
3. 单独用户的有限的菜单和子菜单项;
4. 防止无限制的网络漫游;
5. 对外部网络用户，强制其使用特定的应用系统和/或安全网关;
6. 主动控制所允许通过安全网关（如防火墙）的源地址和目的地址之间的通信；
7. 对于在组织中的用户群，通过建立单独的逻辑域来限制网络访问,如虚拟私人网,对强制路径的要求应该基于商务访问控制方针（见9.1）;

3。 外部连接的用户认证

外部连接给未授权访问商务信息提供了潜在的可能，如拨号方式的访问。因此,远程用户的访问必须经过认证.认证方法有不同的类型,一些方法提供的安全级别要大一些，如基于使用加密技术的方法可提供很强的认证.通过风险评估来决定所需的保护级别是很重要的。这也是能够适当的选择认证方法所需要的。

对远程用户的认证可以通过使用，如基于加密技术，硬件令牌或询问/响应协议来达到。专用线路或网络用户地址检验设备也可以用来提供连接源地址的保证。

反向拨号流程和控制，如使用回拨调制解调器，可以提供防止对组织信息处理设备的未授权和不需要的访问的保护。这种控制措施可以识别企图在远程地点和组织网络之间建立连接的用户.在使用此控制措施时,组织不得使用含有呼叫转接的网络服务，否则,这些服务必须禁止使用呼叫转接功能,来避免由此带来的缺陷。回拨过程保证在组织一方可以出现中断也是很重要的.否则,远程用户可以保持线路开放，而伪称已经进行了回拨认证。对于这种可能性,回拨流程和控制措施要彻底的进行测试。

4. 节点认证

自动连接到远程计算机的功能为商务应用的未授权访问提供了途径。因此对远程计算机的连接要进行认证。如果连接所用的是组织安全管理控制之外的网络，认证则是特别的重要。认证的例子和如何实现认证在上述9.4.3中已给出。

节点认证可以作为验证连接到安全的、共享的计算机设备的远程用户群的可选方法。

5。 远程诊断端口保护

应该可靠的控制诊断端口的访问.很多计算机和通信系统都安装有维修工程师所用的拨号远程诊断设备。如果不加以保护，这些诊断端口则提供了未授权访问的途径.因此，应有适当的安全机制来进行保护，如使用键锁和程序来确保只有计算机服务管理人员和要求访问的软硬件支持人员之间的设备才可以访问这些端口。

6。 网络的隔离

网络正被日益地扩展到组织的传统边界之外，这是因为所建立的商务合作关系需要信息处理或网络设备的互联或共享。这种扩展增加了对现存的使用网络的信息系统的未授权访问的风险，其中有一些网络由于本身的敏感性或重要性,需要对来自其他网络用户的保护。在这种情况下,应考虑在网络内部引入控制措施，来隔离信息服务组、用户和信息系统.

控制大型网络的安全的一种方法就是把网络化分成单独的逻辑网域，如组织内部的网络域,和外部网络域,每一个网域有所定义的安全边界来保护.这种边界的实施可通过在相连的两个网络之间安全网关来控制其间访问和信息流.网关要经过配置,以过滤两个区域之间的通信量(见9。4.7和9.4。8）和根据组织的访问控制方针来堵塞未授权访问（见9.1）。这种网关的一个例子就是通常所说的防火墙。

网络隔离成区域的标准应以访问控制方针和访问需求为基础(见9.1），还应考虑相关的成本和包含有适当的网络路由或网关技术的性能影响（见9。4。7和9。4.8）

7。 网络连接控制

对于共享的网络,特别是超越了组织边界的网络的访问控制措施要求包含有限制用户连接容量的控制措施.这种控制措施的实施是通过网关来实现的，网关通过预先定义的路由表或路由规则来过滤通信量的。所实行的限制措施应基于商务应用的访问方针和需求，因此要给予维护和更新。

应使用限制措施的应有的例子有：

1. 电子邮件
2. 单向文件传输
3. 双向文件传输
4. 交互式的访问
5. 和时间与日期相关的网络连接

8。 网络路由控制

共享的网络,特别是扩展到组织边界之外的网络,需要具有路由控制措施来确保计算机的互连和信息流不会违背商务应用的访问控制方针（见9。1）。对和第三方（非本组织）用户共享的网络，这种控制措施是必须的。

路由控制应基于明确的源地址和目的地址检查机制。网络地址翻译对于网络隔离和防止路由从一个组织的网络扩展到另一个组织的网络是一个很有效的机制.此功能可在软件和硬件上实现。实施时应意识到所采用的机制的强度.

9. 网络服务的安全问题

大范围的公共网络和私人网络的服务是可用的，其中有一些提供了增值服务.网络服务具有独特的、复杂的特点。使用网络服务的组织应确保提供一个对所使用的服务的安全特点的清晰的描述.

1. 1. 1. 1. 操作系统访问控制

目标：防止对计算机的未授权访问 应使用操作系统级的安全设施来限制对计算机资源的访问。这些设备应该可以： 辨认和认证身份,如有必要，认证用户的终端或地点 记录成功的和失败的系统访问 提供适当的认证方法，如果使用密码管理系统,应确保高质量的密码（见9。3。1d) 适当的情况下,限制用户的访问次数 其他的访问控制方法如询问-响应方法，如果基于商务风险是合理的,也可采用。

1。 自动终端识别

应考虑自动终端识别来认证到特定位置和便携式设备的连接。如果会话只能由特定的位置或计算机终端发起是很重要的话，自动终端识别是一种可用的技术.在终端内或连接到终端上的识别器可用于识别特定的终端是否允许发起或接收特定的业务。对终端实施物理保护,维护终端识别器的安全是很必要的。还有很多其他的技术可用来认证用户（见9。4。3）。

   2. 终端登录流程

对信息服务的访问只有通过安全的登录流程才是可行的.计算机系统的登录流程应被设计成尽量减小未授权访问的可能。因此，登录流程应尽量少的泄漏系统信息，以避免为未授权用户提供不必要的信息。一个好的登录流程应该：

1. 不显示系统或应用识别器，直到登录流程成功的完成之后；
2. 显示一般性通知,提醒计算机只应被已经授权的用户访问；
3. 在登录过程中,不提供可以帮助未授权用户的帮助信息;
4. 在完成所有的输入数据时,才确认登录信息。当发生错误时,系统不应提示时数据的那个部分是错误的还是正确的；
5. 限制所允许的不成功的登录企图的次数,（建议为3次），并考虑:

1. 记录不成功的登录尝试;
2. 在进一步的登录尝试之前，应强制有一个时间延迟,或是拒绝没有特定授权的进一步尝试;
3. 断开数据链路连接；

1. 对登录流程限制最大和最小时间,如果超时，系统则应终止登录过程
2. 在成功的登录流程完成之后,显示如下信息:

1. 上次不成功登录的日期和时间
2. 从上一次成功登录以来的不成功的登录尝试的详细情况

3. 用户识别和确认

所有的用户（包括技术支持人员,如操作人员,网络管理人员，系统程序员和数据库管理人员）都应有唯一的用户识别标识为个人使用。以便于其行为可以最终追踪到责任者。用户的识别符不应显示用户特权级别的任何线索(见9。2。2),如经理,监督员.

在例外的情况下,有明显的商务利益的时候，则用户群或特定的工作可以共享一个用户标识符.管理部门对此种情况的批示要加以记录.为维持责任，则需要有额外的控制措施.

有不同的确认流程可以用来证实用户所声明的身份。密码（见9.3.1及下面）则是在只有用户知道的基础上，用于识别和确认的最常用的方法。使用加密技术和确认协议同样可以证实用户身份.

用户拥有的记忆标记或智能卡一类的实物也可用于识别和确认用户身份。利用个人的特有的特点和属性的生物确认技术也可确认身份。安全连接的技术和机制的组合使用将会使识别更有力度。

4. 密码管理系统

密码是用来证实用户访问计算机服务的权力的主要的方法之一。密码管理系统应该提供有效的、交互的功能，来确保密码的质量(见9。3.1密码使用原则).

一些应用要求有独立的权力机构来分配用户密码。大多数情况下,密码的选择和维护都是由用户来进行的。

   好的密码管理系统应:

1. 主张使用个人密码，以维持责任性；
2. 适当的情况下,允许用户选择和更换自己的密码，并包括一个允许输入错误的确认流程；
3. 如上节条款中所述主张选择高质量密码；
4. 在用户保有个人密码的情况下，主张更换密码，如上节条款所述;
5. 用户自己选择密码的情况下,强制他们第一次登录时即更改临时密码；
6. 保留一份以前的用户密码的记录，如前12个月的，以防止重用;
7. 在输入密码时，屏幕上不要显示出来；
8. 将密码文件和应用系统数据分开保存;
9. 以加密的形式保存用单向加密算法加密的密码；
10. 在软件安装之后，改变厂商的缺省密码

5． 系统工具的使用

多数的计算机设备都有一套或多套可以超越系统和应用程序控制的系统工具。限制和控制其使用时很重要的。应考虑以下的控制措施:

1. 对系统工具实施验证流程；
2. 将系统工具和应用软件隔离开；
3. 将对系统工具的使用限制到值得信任的、授权用户中的最小可行数量；
4. 对系统工具的特殊使用的授权;
5. 限制系统工具的可用性，如授权变动的持续时间的限制;
6. 记录对系统工具的使用;
7. 定义和记录系统工具的授权级别；
8. 移去所有不必要的基于软件的工具和系统软件；

6． 保护用户的强制警报

对可能成为强制对象的用户应考虑强制警报规定。是否提供这种警报的决定应基于对风险的评估。对强制警报的响应应有已经定义的责任和流程。

7． 终端超时

处于高风险区的待用终端,如组织安全管理之外的公共的或外部的区域,或提供高风险服务的待用终端,在所规定的静止状态之后应该关机，以防止未授权的人员的访问。在规定的静止时间之后，超时功能应该清掉终端的屏幕,终止应用软件和网络会话。超时延迟应能反映地区和终端用户的安全风险。

为一些个人电脑所提供的终端超时功能的有限形式,可以清屏，和防止未授权访问，但不能中断应用软件和网络会话.

    8．连接时间的限制

限制连接时间可以对非高风险的应用提供额外的安全保护。对终端连接到计算机服务所允许的时间的限制可以降低未授权访问的机会。对于敏感的计算机应用，应该考虑这样的控制措施，特别是高风险区的终端，如组织安全管理之外的公共的或外部的区域，更应给予考虑。这种限制措施的例子有:

1. 采用预定的时隙，如批文件传输，或规则的短时间的交互式会话；
2. 如果没有超时的或延时的操作,将连接时间限制到正常的办公时间；
   1. 1. 1. 应用访问控制

目标:防止对信息系统内部的信息的未授权访问. 在应用系统内，应采用安全设施来限制访问。 对软件和信息的逻辑访问应该限制在授权用户中. 应用系统应： 依照所定义的商务访问控制方针，控制用户对信息和应用系统功能的访问； 对所有可以忽视系统或应用控制的一切工具和操作系统软件给予保护,防止未授权访问; 不危害共享信息资源的其他系统的安全； 信息所有人,其他的指定的授权个人,或所规定的用户群才能够访问系统；

1。 信息访问限制

应该依照所规定的访问控制方针,基于不同的商务应用的需求,并和组织信息访问保持一致，来对应用系统的用户，包括支持人员提供访问信息和应用系统功能的权力。为支持访问限制需求应考虑应用下述控制措施：

1. 为控制对应用系统功能的访问提供目录；
2. 通过对用户文档进行适当的编辑,来限制用户了解没有被授权访问的应用系统的功能；
3. 控制用户的访问权，如，读、写、删除、和执行；
4. 确保处理敏感信息的应用系统的输出只能包含对输出使用有关的信息，并只能被发送到被授权的终端和地点,还要包括对这些输出进行周期性的检查以确保删除冗余信息。

2。 敏感系统隔离

敏感系统要求有专用的(隔离的）计算环境。有些应用系统敏感到有丢失的可能,需要进行特殊的处理。这种敏感性意味着应用系统应在专用的计算机上运行，只应和值得信赖的应用系统共享资源，或是没有限制。下述考虑的事项应用于：

1. 应有所有人对应用系统的敏感性进行明确定义，并使之文档化。
2. 在共享的环境中运行敏感应用时，和其共享资源的应用系统应该经敏感应用的所有人辨认和同意.
   1. 1. 1. 监控系统访问与使用

目标：检测未授权的行为 应该对系统进行监控，以发现和访问控制方针相背离之处，并记录可监控事件,以便于在发生安全事故时提供线索。 系统监控允许审查所采用的控制措施的有效性，和证实与访问方针模型的一致性

1. 事件日志

应建立记录意外事件和其他与安全相关事件的审核日志，并将其保留已经同意的一段时间，以协助以后的调查和访问控制控工作.审核日志应包括：

1. 用户身份标识符；
2. 登录和退出系统的日期和时间；
3. 如有可能,终端的身份和位置;
4. 成功的和被拒绝的系统访问尝试的记录;
5. 成功的和被拒绝的数据和其他资源的访问尝试的记录。

确定的审核日志应作为记录保留方针的一部分加以存档,或因为收集证据的需要而进行存档。

2. 监控系统的使用

（1） 流程和风险区

应建立监控信息处理设备使用情况的流程。为确保用户只进行被授权的操作,这些流程是必须的。不同设备所需的监督级别应有风险评估来确定.应该给予考虑的方面有:

1. 1. 授权访问，包括如下的详细情况：
2. 用户ID；
3. 关键事件的日期和时间；
4. 事件类型;
5. 被访问的文件；
6. 使用的程序和应用软件；
   1. 所有的特权操作，如:

1. 使用系统管理员的账号；
2. 系统启动和中止；
3. 输入/输出设备的连接与拆卸；
   1. 未授权的访问尝试，如：

1. 失败的尝试;
2. 违反访问方针，网关和防火墙的通告；
3. 入侵检测系统的报警
   1. 系统警报或故障，如：

1. 控制台警报或信息；
2. 系统登录异常；
3. 网络管理警报；

（2） 风险因素

应经常检查监控行为的结果。检查的频繁程度要由所涉及的风险来决定。应给予考虑的风险因素包括：

1. 应用程序的关键程度；
2. 所涉及的信息的价值、敏感性或关键性；
3. 系统渗透和误用的历史记录；
4. 系统互连的广度（特别是公众网)；

（3） 日志和审查事件

日志审查包括了解系统所面临的威胁和威胁发生的方式。在9。7.1中给出了在发生安全事件时，需要深入调查的事件的例子.

系统日志包括大量的信息，其中很多信息和安全控无关。为帮助辨认出对安全监控目的有意义的事件，应考虑将适当的信息类型自动的复制到第二日志中，或使用适当的系统工具软件或审核工具来执行文件审查工作。

分配日志审查责任时,应考虑在执行审查工作的人员和被监督人员之间进行角色划分。

应特别关注记录设备的安全，因为设备遭到损害,将会提供对安全的错误判断。控制措施应针对防止其受到未授权更改和操作问题，此类问题包括:

1. 记录设备无效；
2. 更改记录的信息类型；
3. 日志文件被编辑或删除;
4. 日志文件的媒体被耗尽，不能记录事件，自身不可重写；

3. 时钟同步

对计算机时钟的正确设置对于确保审核日志的准确性是很重要的,因为这些日志是调查所需要的,或是法律事件或违规事件的证据.不准确的审核日志会妨碍调查和毁坏这些证据的可信性。

    计算机或通信设备有能力运行时钟的情况下，它应被设置成公认的标准，如都用协调时间，或标准时间.有些时钟会随时间出现偏差，应有流程来检查和矫正一切明显的偏差。

1. 1. 1. 1. 移动计算和远程工作

目标:确保使用可移动的计算和远程工作设施时的信息的安全。 所需要的保护应和工作的特定方式所引起的风险相一致.当时用移动机算时,应考虑在未受保护的环境中的风险，并应给予适当的保护.在远程工作的情况下,组织应该对远程工作地点应用保护，并确保对这种方式的工作有适当的安排。

1。 移动计算

    当使用移动计算设备时,如笔记本，掌上电脑和移动电话,应该特别注意，以确保商务信息不受到危害。应采用考虑使用移动计算设备而带来的风险的正式方针,特别这种使用是在未受保护的环境中进行的。例如这样一种方针应包括对物理保护、访问控制、加密技术、备份和病毒防护的需求.方针还应包括对移动设备连到网络上的规则和建议，以及在公共场所使用此类设备的原则.

在公共场所、会议室和其他的组织边界之外的未受保护的地区，使用移动的计算设备时,应给予注意.应给予保护,以避免对这些设备储存和处理的信息的未授权保护或泄漏,如利用加密技术进行保护。

    当这些设备在公共场所使用时，应加以注意，避免未授权的人员的窥视问题很重要的。应有防护恶意软件的流程并时常更新。应有可用设备可以快速方便的备份信息.这些备份应给予充足的保护,来防止,诸如信息的盗用或丢失。

对于连接到网络上的可移动设备，也应加以保护。利用移动的计算设备，通过公共网远程访问商务信息，只有经过成功的辨识和确认，并有适当的访问控制措施时才可以进行.

对移动的计算设备应加以保护，以防止盗用，特别是如遗忘在车子里,和其他形式的交通工具、旅馆房间、会议中心和会议室.携带重要的、敏感的或关键性的商务信息的设备不应无人照管,如有可能，应在进行物理锁定，或使用特殊的锁定法来保护设备.对移动设备的物理保护的更多信息可查7。2。5.

对进行移动计算的员工应安排培训，提高他们对这种工作方式所引起的附加风险的意识,并实施控制措施。

2．远程工作

远程工作利用通信技术，使员工在组织之外的远方进行工作。对远程工作地点给予适当的保护,以防止设备和信息的盗用，非授权的泄漏信息，对组织内部系统的未授权的远程访问，或对设备的滥用。管理人员对远程工作的授权和控制是很重要的，同时对这种形式的工作的合适的安排也是很重要的。

组织应考虑制订一种方针、流程和标准来控制远程工作活动。有合适的安全的安排和控制,并且这些安排和控制依从了组织的安全方针,如果组织满足了以上的条件，才可以授权进行远程工作活动.应考虑以下各项：

1. 远程工作地点的当前的物理安全，应当考虑到建筑物和当地环境的物理安全;
2. 推荐的远程工作环境；
3. 通信安全需求，应当考虑对组织内部系统的远程访问的需要，可以通过通信连接访问的或传播的信息的敏感性，内部系统的敏感性;
4. 使用设备的其他人员,如家属和朋友,对信息或资源的未授权访问的威胁；

应考虑的控制措施和安排有:

1. 对远程工作所用的合适的设备和储存设备的规定；
2. 所允许的工作的定义，工作的时间，所包含的信息的分类，远程工作人员被授权访问的内部系统和服务；
3. 对合适的通信设备的规定,包括安全的远程访问的方法的规定；
4. 物理安全;
5. 家属和访问者访问设备和信息的规则和指导；
6. 软件和硬件支持和维护的规定；
7. 备份和商务持续性流程；
8. 审核和安全监控；
9. 远程工作截止时,授权和访问权的撤回，以及设备的归还。
   1. 1. 系统开发和维护
         1. 系统的安全需求

目标：确保把安全置于信息系统内部. 这将包括基础结构，商业应用软件和用户开发的应用软件。支持应用或服务的商业过程的设计和实施，对安全至关重要.在开发信息系统之前,应当识别和议定安全需求。 所有的安全需求，包括备用系统安排的需要,应当在一个方案的需求阶段被识别并被证明是合理的，取得一致意见并将其文档化，作为信息系统整体商业实例的一部分。

1。 安全需求的分析和说明

对于新系统的商业需求的声明，或现有系统的增强应当说明对于控制措施的需求。这样的说明应当考虑并入信息系统的自动的控制措施，以及对于支持性的人工控制措施的需要.当评价商业应用软件的软件包时，应作类似的考虑。如果考虑适当，管理层可能希望使用单独评价过或鉴定过的产品。

安全需求和控制措施应当反映所涉及的信息资产的商业价值，以及可能由故障或安全的缺乏而导致的潜在的商业损失。分析安全需求和识别控制措施以实现他们的框架是风险评估和风险管理。

在设计状态下引入的控制措施，相对于实施中或实施后所包括的那些控制措施，其实施和维护费用要低得多。

1. 1. 1. 应用系统中的安全

目标:防止丢失，修改或误用使用者在应用系统中的数据。 应用系统中应当设计有适当的控制措施和审核记录或活动日志,包括使用者的书面应用.这些应当包括对输入数据，内部处理和输出数据的确认.

对于处理，或影响敏感的、有价值的或重要的组织资产的系统,可能需要额外的控制措施.这样的控制措施应当根据安全需求和风险评估来确定。

1。 输入数据的确认

输入应用系统的数据应当被确认以确保它是正确的和适当的。应检查商业交易、固定数据（名称和地址、信用贷款极限值、客户参考数字）和参数表（销售价格、货币兑换率、税率）的输入。应当考虑下列的控制措施：

1. 通过双重输入或其他输入检查以检测下列错误：

1. 超位数值;
2. 数据区中的无效字符；
3. 丢失的或不完整的数据；
4. 超出数据容量的上下极限;
5. 未授权的或不一致的控制数据；

1. 定期回顾关键区或数据文件的内容，以确定他们的有效性和完整性；
2. 检查硬拷贝输入文件是否有任何对输入数据的未授权改动(对输入文件的任何改动都应当经过授权）；
3. 用于响应确认错误的程序；
4. 用于测试输入数据的合理性的程序；
5. 定义在数据输入过程中所涉及的所有职员的责任。

2。 内部处理的控制

(1） 风险区域

已正确输入的数据可因处理错误或通过故意的行为而被破坏。对合法性的检查应当被并入系统以检测这样的破坏。应用软件的设计应当确保限制的实施以将导致完整性丧失的处理故障的风险降至最低.要考虑的特殊区域包括：

1. 在程序中使用和设置增加与删除功能以实施对数据的改动；
2. 防止程序以错误的顺序运行或在初次处理故障后运行的流程;
3. 使用正确的程序从故障中恢复以确保对数据的正确处理。

（2) 检查和控制措施

所要求的控制措施将取决于应用软件的性质和对任何数据破坏的商业影响。其检查实例包括:

1. 会话或批处理控制措施，在交易更新之后协调数据文件的平衡；
2. 平衡处理控制措施，针对先前的封闭平衡检查开放平衡,即:

1. 运行到运行的控制措施；
2. 文件更新的总计;
3. 程序到程序的控制措施;

1. 对系统产生的数据的确认;
2. 检查中心和远程计算机之间的下载或上传数据或软件的完整性（参见10.3.3）；
3. 记录和文件的无用数据总和；
4. 检查以确保应用程序在正确的时间运行;
5. 检查以确保程序按正确的顺序运行,在出现故障时终止，并在问题解决后才开始进一步的处理。

3。 消息的验证

消息验证是一种技术，用于检测对传输的电子信息的未授权改动或破坏.它可以在硬件或软件中实施，支持物理信息验证装置或软件规则系统。

对于有安全需求的应用软件，应当考虑消息验证以保护消息内容的完整性，例如,非常重要的电子化的资金转移，说明，合同，建议等或其他类似的电子数据的交换.应当进行安全风险的评估以决定是否需要信息的验证并识别最适当的实施方法。

消息验证不是设计用来保护消息的内容免受未授权的透露。加密技术(参见10.3。2和10。3。3）可以用作实施信息验证的一个适当的方法.

4。 输出数据的确认

从应用系统中输出的数据应当被确认以确保对存储的信息的处理对于当时的情形来说是正确的和适当的。典型地，系统建立在这样的前提上，那就是对输出数据所进行的适当的确认，验证和测试总是正确的。情形并不总是这样。输出数据的确认可包括：

1. 进行合理性的检查以测试输出的数据是否合理；
2. 进行一致性的控制计算以确保对所有数据的处理；
3. 为读者提供充足的信息或随后处理系统以决定信息的准确性，完整性，精确度和分类;
4. 用于响应输出数据合法性测试的程序；
5. 定义数据输出过程中所涉及的所有职员的责任.
   1. 1. 1. 加密控制

目标：保护信息的秘密性，真实性或完整性 对于被视为面临风险的信息和其他的控制措施不能对其提供足够保护的信息，应当使用加密系统和技术。

1。 关于使用加密控制措施的方针

决定加密的解决方案是否适当应当被看作评估风险和选择控制措施的较宽范围过程的一部分。应当进行风险评估以决定对信息保护的程度。那么，这种评估就可以被用来决定加密的控制措施是否适当,应当适用哪种类型的控制措施以及用于何种目的和商业过程。

一个组织应当制定一个方针，关于为了保护其信息而对加密控制措施的使用。对于将利益最大化,将使用加密控制措施的风险最小化,以及避免不适当的或不正确的使用来说，这样一种方针是必需的。当制定方针的时候，应当考虑如下方面：

1. 整个组织针对使用加密控制措施的管理方法，包括总的原则，在这种原则的指导下,应当对信息进行保护；
2. 密钥管理的方法，包括在密钥被丢失,损害或破坏的情况下，对加密信息恢复的处理方法；
3. 角色和责任，例如，谁负责：
4. 方针的实施；
5. 密钥的管理；
6. 如何决定加密保护的适当标准；
7. 为在整个组织内的有效实施所采纳的标准（对于哪种商业过程使用哪种解决方案）。

2。 加密

加密是一种密码技术，它可以用于保护信息的秘密性.应当考虑将其用于敏感的或重要信息的保护.

根据风险评估，应当考虑加密规则系统的类型和质量以及所使用的密码的长度来确认所要求的保护标准。

当使用组织的加密方针时，应当考虑世界不同地区对于可能适用于加密技术使用的规则和国家的限制,以及加密信息跨国界流动的问题.另外，应当考虑适用于加密技术进出口的控制措施.

应当寻求专家的建议以确认适当的保护标准，选择合适的产品，这些产品将提供所要求的保护以及密钥管理安全系统的实施.另外，也需要寻求关于法律和规则的法律建议，这些法律和规则可能适用于组织对加密术的使用.

3. 数字签名

数字签名提供了一种保护电子文件真实性和完整性的方法。例如，它们可以被用于电子商务,在电子商务中，需要验证谁签署了一份电子文件并检查所签署的文件内容是否被修改了。

数字签名可以被适用于电子化处理的任何形式的文件,例如，它们可以被用于签署电子支票，资金的转移,合同和协议。可以通过使用一种加密技术来实施数字签名，该加密技术以一种独特相关的一对密钥为基础，其中的一个密钥被用来创立一个签名（私人密钥）而另一个用来检查该签名（公共密钥）。

应当注意保护私人密钥的秘密性。该密钥应当被秘密地保存，因为任何有权访问该密钥的人都能够签署文件,例如，支票,合同，因而伪造密钥所有人的签名。另外,保护公共密钥的完整性是重要的。通过使用一种公共密钥的鉴定来提供这种保护(参见10。3.5).

需要考虑所使用的签名规则系统的类型和质量以及所使用的密码的长度.用于数字签名的密钥应当区别于用于加密的那些密钥（参见10.3.2)。

当使用数字签名的时候，应当考虑任何相关的法规，这些法规描述了数字签名在什么条件下具有法律约束力.例如，在电子商务中,了解数字签名的法律地位是很重要的。在法律结构不足的地方，有具有约束力的合同或其他的协议以支持数字签名的使用可能是必需的。应当寻求关于法律和规则的法律建议，它可能适用于组织对于数字签名的使用。

4. 防抵赖服务

防抵赖服务应当被用于解决关于一种事件或行为出现或未出现的争端，例如,涉及在电子合同或支票上的数字签的争端.它们能够帮助建立证据以证明一种特殊的事件或行为是否已经发生，例如，拒绝使用电子邮件发送经过数字签名的说明书.这些服务以加密技术和数字签名技术的使用为基础。

5. 密钥的管理

（1） 密钥的保护

密钥的管理对于加密技术的有效使用是必要的。密钥的任何损害或丢失都可能导致信息的秘密性，真实性或完整性的损害.应当有适当的管理系统以支持组织对两种类型的加密技术的使用，分别是：

1. 对称密钥技术，两个或更多的当事方共享相同的密钥并且该密钥被用于加密和解密信息。该密钥必须被秘密地保存，因为任何有权访问该密钥的人都能够解密用该密钥所加密的所有信息,或引入非法的信息。
2. 公钥加密技术，每一个使用者都有一对密钥，一个公共密钥（可以透露给任何人)和一个私人密钥(必须秘密地保存）。公钥加密技术可以用于加密和进行数字签名。

应当保护所有的密钥，防止修改和破坏,需要保护秘密的和私人的密钥，防止未授权的透露。加密技术也可以用于这个目的。应当使用物理保护来保护用于产生,存储和将密钥存档的设备.

（2） 标准、程序和方法

密钥管理系统应当以一套议定的标准，程序和安全方法为基础，这些标准，程序和方法用于如下方面：

1. 产生用于不同的加密系统和不同的应用软件的密钥；
2. 产生和获得公共密钥的鉴定;
3. 对预期的使用者发布密钥，包括收到时如何激活密钥；
4. 存储密钥,包括授权的使用者如何获得对密钥的访问；
5. 改动或更新密钥，包括关于密钥应当何时被改动以及如何改动的规则；
6. 处理受到损害的密钥；
7. 撤销密钥包括密钥应当如何被撤回或撤销，例如，当密钥被损坏或当一个使用者离开组织的时候(在这种情形下，密钥也应当被存档）；
8. 恢复丢失或破坏的密钥作为商业持续性管理的一部分，例如,用于加密信息的恢复；
9. 将密钥存档，例如，用于存档或备份的信息的密钥；
10. 销毁密钥；
11. 记录和审核与密钥管理有关的活动。

为了减少危害的可能性，密钥应当有规定的有效期,以便它们仅仅可以用于一段有限的时间。这段时间应当取决于加密的控制措施被使用的环境以及所觉察到的风险。

可能需要考虑处理处理访问密钥的法律要求的程序，例如，加密的信息可能需要以未加密的形式作为法庭案件中的证据。

在除了对秘密的和私人的密钥进行安全管理的问题之外，也应当考虑对公共密钥的保护。对于公共密钥存在一种威胁，那就是某人通过用他们自己的公共密钥代替使用者的公共密钥,从而伪造数字签名。通过使用公共密钥的鉴定来解决这个问题.这些鉴定应当通过一种将与公共/私人密钥对的所有者有关的信息独特地与公共密钥连接在一起的方式进行的。所以，进行这些鉴定的管理过程值得信任是很重要的。这个过程通常由一个认证的权威机构进行，该机构应当是一个被承认的组织，它具有适当的控制措施和适当的流程以提供所要求的信任度。

与外部的加密服务的供应商，如与一个认证机构，所签订的服务标准协议或合同的内容,应当包括责任,服务的可靠性和对服务提供的相应时间。

1. 1. 1. 1. 系统文件的安全

目标:确保以一种安全的方式进行IT计划和支持活动。应当控制对系统文件的访问。 维护系统的完整性应当由用户功能或应用系统或软件所从属的开发组负责.

1. 操作系统软件的控制

应当对操作系统上的软件的实施提供控制.为了最大限度降低操作系统破坏的风险，应当考虑下列的控制措施。

1. 对操作系统程序库的更新只能由指定的程序库管理员根据适当的管理授权来进行。
2. 如有可能，操作系统应只保留执行码.
3. 在证实测试成功和用户接收之前，以及相应的程序资源库被更新之前,操作系统不应运行执行码。
4. 应保存所有操作程序库的更新检查记录.
5. 应当保留以前的软件版本作为临时应变措施。

应当将操作系统中所使用的由销售商所供应的软件维护在由供应商所支持的标准上。对升级到新版本的任何决定都应当考虑该版本的安全性,例如，新的安全功能的引入或影响该版本的安全问题的数量和严重性。如果软件的修补能够有助于消除或减少安全的弱点,那么就应当应用软件的修补。

在必要的时候，经管理层的批准，仅仅是出于支持的目的而给予供应商物理或逻辑上的访问权。应当监控供应商的活动。

2。 系统测试数据的保护

测试数据应当受到保护和控制。系统和接收测试通常要求大量尽可能接近于操作数据的测试数据。应当避免使用含有个人信息的操作数据库。如果使用这种信息,则在使用之前，应当使其失去个性。当用于测试的目的时,应当使用下列控制措施保护操作数据.

1. 适用于操作应用系统的访问控制程序也应当适用于操作应用系统。
2. 操作信息每一次被复制到一个测试应用系统的时候都应当有一个单独的验证。
3. 测试完成后，应当立即将操作信息从测试应用系统中清除。
4. 应当记录操作信息的复制和使用以供以后审核之用.

3。 对程序资源库的访问控制

为了减少计算机程序被破坏的可能性,应当如下所述保持对程序资源库访问的严格控制。

1. 在可能的地方,程序资源库不应当被保存在操作系统中。
2. 应当为每一种应用指定程序库管理程序。
3. IT技术支持人员不应当具有对程序资源库不受限制的访问权。
4. 开发或维护中的程序不应当被保存在操作程序资源库中。
5. 程序源库的更新和向程序员发布的程序源应由指定的程序库管理程序根据信息技术支持经理对应用的授权来完成.
6. 程序清单应当被保存在一个安全的环境中。
7. 应保存对所有程序资源库访问的审核记录。
8. 旧版本的源程序,当它们被操作时，其精确日期和时间的明确指示，连同所有支持软件、工作控制、数据定义和程序，均应归档。
9. 对程序源库的维护和复制应当依从严格的改动控制流程(参见10。4.1）。
   1. 1. 1. 开发和支持过程的安全

目标：保持应用系统软件和信息的安全 应当严格控制项目和支持环境。 负责应用系统的管理人员也应当负责项目或支持环境的安全。他们应当确保所有建议的系统改动都被回顾,以检查他们没有危害系统或操作环境的安全。

1. 改动控制流程

为了将信息系统的损坏减至最小，应当对改动的实施进行严格的控制.应当加强正规的改动控制流程。他们应当确保安全和控制流程不被损害,技术支持程序员只能访问那些他们的工作所必须的部分系统，并应当获得对于任何改动的正式的协议和批准。改动应用软件可能影响操作环境。在切实可行的地方,应当整合应用和操作改动控制流程(参见8。1。2）。这个过程应当包括：

1. 保留一个关于议定的授权标准的记录；
2. 确保改动是由授权的用户所提交的；
3. 回顾控制措施和整合流程以确保它们不会受到改动的损害；
4. 识别所有需要修改的计算机软件,信息，数据库实体和硬件；
5. 在工作开始之前,获得对详细建议的正式批准；
6. 确保授权的用户在任何实施之前接受改动；
7. 确保实施的进行，以使商业受到的破坏最小化；
8. 确保在完成每次改动时，更新建立的系统文件，将旧文件存档或处理掉;
9. 保持对所有软件更新的版本控制；
10. 保持对于所有改动请求的审核追踪；
11. 确保对操作文件和用户程序的必要的适当改动；
12. 确保改动的实施在正确的时间发生并且没有干扰所涉及的商业过程.

许多组织保留了一个用户测试新软件的环境，该环境与开发和生产环境相隔离。这提供了一种方法，可以对新软件进行控制，对用于测试目的的操作信息进行额外的保护。

2. 对操作系统改动的技术回顾

有必要定期改动操作系统,例如安装新提供的软件版本或修补程序。当改动出现的时候，应当回顾和测试应用系统以确保对于操作或安全没有相反的影响.这个过程应当包括：

1. 回顾应用控制措施和整合流程以确保它们没有受到操作系统改动的损害；
2. 确保一年一度的支持计划和预算将涵盖由操作系统改动所导致的回顾和系统测试;
3. 确保及时提供操作系统改动通知,以在实施之前，进行适当的回顾；
4. 确保对商业持续性计划进行适当的改动.

3。 关于对软件包改动的限制

不应当鼓励对软件包的修改.实际上，销售商所提供的软件包应当最大可能的不被修改而使用.在认为必要修改软件包的地方，应当考虑如下几点：

1. 内置的控制措施和整合过程被损害的风险；
2. 是否应当获得销售商的同意；
3. 从厂商那里获得作为标准程序更新所要求的改动的可能性；
4. 如果组织由于软件的改动而对其将来的维护负责所带来的影响。

如果认为有必要改动,则应保留原始软件，并在完全一样的复制件上进行改动。所有的改动应经过充分的测试并形成文件,以便如果有必要的话，它们可以被应用于将来的软件升级.

4。 隐藏的信道和特洛伊代码

隐藏的信道可以通过某些间接的和模糊的方法暴露信息.它可以被激活，通过改变被计算机系统的安全和不安全的因素所访问的参数，或通过将信息置入数据流中。特洛伊代码是被设计用来以一种方式影响一个系统的，该方式未被授权,不容易被发现并且不是程序接收者或用户所要求的。隐藏的信道和特洛伊代码很少偶然出现，在涉及到隐藏的信道或特洛伊代码的地方，应当考虑如下几点：

1. 只能购买规范程序；
2. 购买使用源代码的程序以便代码可以被验证;
3. 使用评估过的产品；
4. 在进行操作使用之前，检查所有的源代码；
5. 代码一旦被安装，就控制对代码的访问和修改；
6. 使用被证明是可靠的职员操作关键的系统。

5．外包的软件开发

在软件的开发被外包的地方，应当考虑如下几点:

1. 许可安排，代码的所有权和知识产权；
2. 质量合格证和所进行的工作的精确度;
3. 在第三方发生故障的情况中，有第三方保存,待条件完成后即交受让人的证书的安排；
4. 质量审核和所作工作精确度的访问权；
5. 对于代码质量的契约上的要求；
6. 在安装之前进行测试以检测特洛伊代码。
   1. 1. 持续运营管理
         1. 持续运营管理的方面

目标：抵制商业活动的中断,保护关键的商业过程免受主要的故障或灾难的影响。 应当实施持续性运营管理过程以通过预防的和恢复的控制措施的结合将由灾难和安全故障所引起的破坏减少到可以接收的程度（例如，安全故障可能是自然灾难，事件,设备故障，和有意行为的结果）。 应当分析灾难,安全故障和服务丢失的后果.应制定和实施偶然事故计划，以确保商业过程可以在所要求的时间范围内恢复.该计划应被保留和实施,使之成为所有其他管理过程的组成部分。 商业持续性管理应当包括识别和减少风险，限制破坏性事件的后果，确保主要操作的及时恢复的控制措施.，保护关键的商业过程免受主要的故障或灾难的影响.

1． 持续运营管理过程

应当有一个适当的管理过程用于发展和维护整个组织的运营持续性.它应当将下列运营持续性管理的关键要素组合在一起：

1. 根据风险出现的可能性和它们的影响，包括对重大运营过程的识别和优先考虑，来理解组织所面临的风险；
2. 理解中断对组织所可能产生的影响（重要的是要找到处理较小事故以及能威胁组织生存的严重事故的解决办法)，并确立信息处理设施的商业目标;
3. 考虑购买合适的保险,它可以形成运营持续性过程的组成部分；
4. 将与议定的商业目标和优先权一致的运营持续运营策略公式化和文件化；
5. 将与议定的策略一致的运营持续计划公式化和文件化;
6. 定期测试和更新处于适当位置上的计划和程序；
7. 确保运营持续性的管理并入组织的过程和结构。协调运营持续性管理过程的责任应当在组织内以一种适当的标准进行分配,如信息安全管理委员会（见4。1。1）。

2. 持续运营和影响的分析

应当从识别可能引起商业过程中断的事件，如设备的故障，洪灾和火灾，来开始商业的持续运营。随后，应当进行风险评估,以决定那些中断的影响(根据破坏的规模和恢复的时间）.这两种活动被进行时，都有商业资源和商业过程所有者的完全参与。该评估考虑所有的运营过程,并不仅限于信息处理设施.

应当根据风险评估的结果，制定一个策略计划，以决定商业持续运营的总体处理方法.计划一旦制定，就应当得到管理层的认可。

3。 制定和实施持续运营计划

应当制定计划，以便在关键的运营过程中断,或出现故障之后的所要求的时间范围内,维护或恢复商业运营.运营持续性计划过程应当考虑如下几点：

1. 识别和认同所有的责任和应急流程；
2. 实施应急流程，以便在所要求的时间范围内恢复和复原。需要特别注意对外部商业从属性以及合同进行适当的评估；
3. 议定的流程和过程的文件化;
4. 在议定的应急流程和过程包括危机的管理中对职员进行适当的教育；
5. 测试和更新计划.

计划的过程应当集中于所要求的商业目标，例如，在一个可以接受的时间范围内，恢复对客户的特殊服务。应当考虑使之出现的服务和资源，包括人员配备，非信息处理资源，以及对信息处理设施的紧急情况安排。

4。 持续运营计划框架

应当维护持续运营计划的单独框架，以确保所有的计划是一致的，并识别测试和维护的优先性。每一个运营持续运营计划都应当明确规定它活动的条件，以及执行每一部分计划的负责人。当新的需求出现时,应当适当修正已建立的应急流程,例如,撤离计划或任何现有的紧急情况的安排.

持续运营计划的框架应当考虑如下几点:

1. 启动计划的条件,它描述了每个计划被启动之前所应遵照的流程（如何评估当时的情形，将涉及到什么人，等);
2. 应急流程，它描述了在事件发生后所应采取的行动，该事件能危及商业的运营和人类的生活.这应当包括公共关系管理的安排以及与适当的公共权威机构的有效联络,如警察局，消防中心和当地的政府;
3. 紧急情况流程，它描述了将必要的商业活动或支持服务转移到可选择的临时位置，并在所要求的时间范围内,使商业过程恢复运营所采取的行动；
4. 恢复流程，它描述了恢复到正常的商业运营所采取的行动；
5. 维护时间表，它规定了如何和何时测试该计划，以及维护该计划的过程；
6. 意识和教育活动，它是被设计用来理解商业持续运营过程并确保该过程持续有效；
7. 个人的职责，描述了谁负责执行哪部分计划.应当按照要求指定备选方案。

每一个计划都应当有一个特定的负责人.应急流程，人工紧急情况计划和恢复计划都应当在适当的商业资源或有关的商业过程的负责人的责任范围之内.对于可选择的技术服务的紧急情况安排，诸如信息处理和通讯设施，通常应当是服务提供者的责任。

5。 测试，维护和重新评估持续运营计划

(1） 测试计划

持续运营计划在被测试的时候可能失败，这常常是由于不正确的假定，疏忽，或设备或人员的变动所造成的。所以,应当定期测试它们以确保它们是最新的和有效的。这样的测试也应当确保恢复小组的所有成员以及其他有关的职员都知道该计划。

对持续运营计划测试的时间表应当指明应如何以及何时测试计划的每个要素.建议经常测试计划的个别部分.应当使用各种技术，以便对计划在实际中运行提供保证。这应当包括:

1. 对不同的计划说明书的桌面测试（通过使用中断实例来讨论商业恢复的安排）；
2. 模拟（尤指培训在事故或紧急情况之后进行管理的人员)；
3. 技术恢复测试（确保信息系统能够被有效地恢复）；
4. 在另外的站点测试恢复（运行与远离主站点的恢复操作并联的商业过程);
5. 测试供应商的设施和服务（确保外部所提供的服务和产品将符合合同的承诺）；
6. 完整的演习(测试组织，职员,设备,设施和过程是否能够应付中断）。

该技术可以被用于任何组织并应当反映特定的恢复计划的性质。

（2） 维护和重新评估计划

应当通过定期的回顾和更新来维护持续运营计划，以确保它们的持续有效性。其过程应当包括在组织的变更管理程序中，以确保商业持续性问题被适当地提出。

应当为每个商业持续运营计划的定期回顾指定职责；对于商业安排中的改动的识别还没有反映在商业持续运营计划中，其后应当对计划进行适当的更新。这个正式的改动控制过程应当确保通过对这个完整计划的定期回顾来发布和加强这个更新后的计划。

需要更新计划的情形可能包括新设备的购买，或操作系统的升级以及下列方面的变动：

1. 人员；
2. 地址或电话号码；
3. 商业策略；
4. 位置、设施和资源；
5. 法规;
6. 承包商、供应商和主要的客户；
7. 程序，或者新的/分离的程序
8. 风险(操作的和财务的）
   1. 1. 遵从性
         1. 遵守法律要求

目标:避免触犯任何刑事、民事法律、法规或违反合同约定的责任和任何安全要求。 对信息系统的设计、操作、使用和管理可能要根据法律、法规和合同的安全要求。 详细而精确的法律要求方面的建议应该从组织的法律顾问，或者合格的法律从业人员处获得.从一个国家到另一个国家以及对于在一个国家产生的信息传送到另一国家（例如：跨国信息流动）的法律要求会有所不同.

1．识别现行的法律

所有相关法律、法规和合同的要求应该针对每一个信息系统进行详细的定义和纪录.为满足这些要求而采取的控制措施和规定的个人责任相似的也应该进行详细的定义和纪录。

2． 知识产权（IPR)

(1) 版权

在使用可能与知识产权,如：版权、设计权、商标权相关的材料时，应采取适当程序来确保遵守法律规定.侵犯版权的行为可能导致法律诉讼甚至刑事诉讼.

法律、法规和合同的要求可能对使用专利产品进行了限制。在某些情况下，法律、法规可能规定只有组织自己开发、或者取得了许可证或者由开发者提供给组织的产品,才能被使用.

(2） 软件版权

专利软件产品通常在许可协议下被提供，将产品的使用限制在特定的机器上，并且复制也只能用于备份.下面的控制措施应当被考虑：

1. 公布一个软件版权遵守方针，定义对软件和信息产品的合法使用；
2. 为取得软件产品的程序制定标准；
3. 保持对软件版权和取得方针的注意，并提请注意：如果员工违反规定将受到惩罚；
4. 保持适当的资产记录;
5. 保有对拥有许可证、母盘和手册等权利的证据;
6. 执行控制措施来确保任何产品使用者的数量都没有超过限制;
7. 进行检查以确保只有经受权的软件和取得许可证的产品才能被安装；
8. 为保证适当的许可证环境制订一个方针;
9. 为处理和传递软件给他人制订一个方针；
10. 使用恰当的审计工具；
11. 遵守从公共网络取得软件和信息的条款和条件。（同样的看8。7。6）。

3. 保护组织纪录

组织的重要记录应该被保护以防止丢失、毁坏和被篡改。如同支持基本的商业活动一样,一些记录可能需要被安全的保留，以达到法律或法规的要求。相应的例子是一些被作为证据的记录，证明组织在法律、法规的范围内运营，或者确保足以防止潜在的民事、刑事诉讼,或者确认与股东、合作伙伴和审计人员相关的财务数据.信息的内容和保留的时间可能由国家法律、法规规定。

记录应该被划分为不同种类，如：财务记录、数据库记录、处理日志、审计日志和操作程序,每一种记录都应详细规定保存期限和存储媒体的种类,如:纸、微缩胶片、磁介质、光介质。任何与加密文档和数字签名相关的密钥（看10。3.2和10.3。3）应该被安全的保管并在需要时能被经受权的人获得。

应考虑到用于存储记录的媒体的损坏问题。应根据生产商的建议来执行存储和持有程序。

一旦选择了电子存储媒体，应建立程序确保在整个保存期间对数据具有访问能力（储存媒体和储存格式的可读性），防止由于未来技术变化造成的数据丢失。

应该选择这种数据存储系统，使所要求的数据能够以一种法庭所接受的方式被找回，如：所有被要求的数据能够被以可接受的时间结构和可接受的存储格式找回。

存储和持有系统应该确保记录的明确分类和法律、法规所要求的保留其间。在该期间届满后,如果这些记录组织不需要，应该能够对这些数据以恰当的方式销毁。

为了履行这些责任，下面的步骤应该在组织内采用：

1. 应该公布保留、存储、持有、和处理记录与信息的指导原则。
2. 应该草拟一个保留时间表来确认基本记录种类和它们应该被保留的时间。
3. 应该保留一个关键信息资源的详细目录。
4. 应该执行恰当的控制措施来保护基本记录和信息，防止丢失、损坏和被篡改。

4。 数据保护和个人信息隐私

一些国家已经制定法律对个人数据的处理和传送进行控制(与个人有关的信息，人们可以通过这些信息确认他的身份）。这类控制措施可能对收集、处理和传播个人信息设置了义务，并且可能对从一个国家到另一个国家传递这类数据设置了限制。

遵守数据保护法需要适当的管理结构和控制.通常,最好的做法是由一个数据保护专员来进行指导,他应该针对管理者、使用者、和服务提供商的个人责任和应该遵守的详细程序提供指导。为了维护在结构性文件中的个人数据，并且确保意识到定义在相关法律中的数据保护原则，将相关建议告诉数据保护专员应该是信息所有者的责任.

5。 防止对信息处理设备的滥用

组织的信息处理设备是为了商业目的而提供的。管理层应该对信息设备的使用进行授权.在没有得到管理层的同意时,任何出于非商业或非经授权目的的使用，都应该被看作不适当得使用设备。如果这类活动通过监督或者其他途径被确认,就应该引起人员管理者的注意，考虑对此进行适当的惩罚。

使用监督措施的合法性在不同的国家情况是不同的,并且可能要求事先通知雇员或者得到他们的同意。在实施监督程序前，应该听取法律建议。

许多国家已经制定出或者正在制定防止计算机被滥用的法律。出于未经授权的目的使用计算机有可能成为犯罪行为。因此使所有的用户意识到他们被允许访问的详细范围是基本的要求。这能够通过一些方式做到，例如:给用户书面授权，该授权应该经用户签字并且被组织安全的保管。组织的雇员以及第三方用户应该被告知,除非经过授权否则一切访问都是被禁止的.

登录警告信息应该在计算机屏幕上显示,指出将进入的系统是保密的并且未经授权的访问不被允许。用户必须认可屏幕上的信息并做出恰当的反应以继续该登录过程。

6. 加密控制规则

一些国家已经通过合同、法律、规章或其他工具来控制对加密措施的接触和使用。这类控制可能包括：

1. 为实施加密功能的硬件和软件的进出口
2. 本身具有加密功能的硬件和软件的进出口
3. 国家针对信息通过硬件和软件加密来保证提供保密内容的强制和任意访问方法。

应该寻求法律建议来确保对国家法律的遵守。在加密信息和加密措施被转移到另一个国家之前，法律建议同样应该被采纳。

7。 证据收集

（1） 证据规则

收集足够的证据来支持针对一个人或组织的行动是必要的。只要这个行动是一个内部惩罚事件，所需的证据将通过内部程序描述。

一旦该行动涉及到法律，无论是民法或刑法，所提供的证据应该符合被相关法律或者该案件的受审法院规定的规则。一般来讲，这些规则包括：

1. 证据的有效性:能否在法庭上使用；
2. 证据的证明力：证据的质量和完整性;
3. 足够的证据证明控制措施在整个数据存储期间已经正确的和始终被执行（如过程控制证明）以确保要被恢复的证据被系统存储和处理。

(2） 证据的有效性

为了满足证据的有效性，组织应该确保他们的信息系统依从任何已公布的针对有效证据产品的标准或操作法规。

（3） 证据的质量和完整性

为了满足证据的质量和完整性,需要严格的证据记录。一般来讲，这种严格的记录能够在下面的情况下被建立。

1. 对于纸介文件：原始版本应该被安全保管并且记录谁发现的它、在哪儿发现的它、什么时间发现的它以及谁能证明此发现的过程.所有的调查都应该确保原始版本没有被篡改.
2. 对于存储于计算机媒体上的信息：应该将任何可移动媒体，硬盘上的或者记忆体中的信息进行拷贝以确保其可用性.在拷贝过程中的所有活动的日志应该被保存并且此过程应该被证明。媒体的拷贝以及该日志应该被安全保管.

在一个事件刚被发现时，它是否将导致诉讼活动并不一定.因此，在事件的严重性被意识到之前,存在着必要证据被意外毁坏的危险.建议使律师和警察介入任何可能的法律活动并且对所需的证据提供建议。

1. 1. 1. 1. 安全方针和技术依从情况检查

目标:确保系统符合组织的安全方针和标准。 信息系统的安全性应该被定期检查。 根据恰当的安全方针和技术平台这些检查应该被执行，并且信息系统应该被审计以遵守安全实施标准。

1。 遵守安全方针

管理者应该确保在他们责任领域内的所有安全程序被正确的实施。另外，组织内的所有领域应该考虑进行定期检查来确保依从安全方针和标准.它们应该包括：

1. 信息系统
2. 系统提供商
3. 信息和信息资产的所有人
4. 用户
5. 管理人员

信息系统的所有人应该支持经常性的对系统是否依从了适当的安全方针、标准和所有得其它的安全需求的审查.

2。 技术依从审查

应定期的审查信息系统是否依从了安全实施标准。技术依从审查涉及到对操作系统的检验，以确保正确的实施了软件和硬件控制。这种类型的依从审查要求有专家的技术支持。此工作应由有经验的系统工程师手工进行，或是由软件包来自动进行,软件包可以生成由技术专家事后进行解释的技术报告。

依从审查还包括，例如，渗透测试,此种测试可以由独立的专家进行，特别是为此目的签约的专家进行。依从审查对于发现系统的脆弱性和审查用来防止由此而导致的未授权访问的控制措施的有效性时很有用的。万一渗透测试危害到系统的安全性或意外的引起其他的脆弱点,则应实行警告。

任何技术依从审查都只能由、或在有能力的、业经授权的人员来进行。

1. 1. 1. 1. 系统审核事项

目标:将系统审核过程的利益最大化,将其干扰最小化。 在系统审核时，应有控制措施来保护操作系统和审核工具为保护审核工具的完整性和防止对其的误用，以需要有保护措施。

1. 系统审核控制

审核需求以及设计到对审查操作系统的活动，都应仔细的规划，并应适合尽量减小中断商务流程的风险。应该遵守以下各项：

1. 审核需求应和适当的管理相一致。
2. 审查的范围应该经过同意和得到控制。
3. 审查应局限于对软件和数据的只读访问。
4. 除了只读之外的访问只允许对系统文件的隔离复制，此复制件在审核之后应该删除。
5. 为执行审核所需的IT资源应该进行明确的定义并保持其可用性.
6. 特殊的和额外的处理的需求应进行定义和经过同意。
7. 应监督和记录所有的访问，以生成参考记录。
8. 对所有的流程,需求和责任都应文档化。

2。 系统审核工具的保护

对系统审核工具的保护，如软件或数据文件，都应给予保护来防止任何可能的误用和危害。这些工具应与开发和操作系统隔离开，不应保留在磁带库或用户区内,除非给予适当等级的附加保护。

• 信息安全工作建设规划及实施方案

• 企业信息安全包含的范围框架—技术方向

从技术能力规划来说，路线：

主机安全--à学会安全工具能力--àWeb安全---学会WEB安全测试工具能力。

主机安全

WEB安全

• 安全工具使用能力

主机漏洞扫描工具：必备：Openvas见6.1

   其次：Nessus 见6.2

WEB漏洞扫描工具：必备：Appscan，见6.3

1. 1. openvas主机漏洞扫描平台

 什么是OpenVAS

OpenVAS是一款开源的漏洞扫描攻击，主要用来检测网络或主机的安全性。其强大的扫描能力来自于集成数万个漏洞测试程序，这些测试程序以插件的形式提供，可以从官方网站免费更新

centos 7 搭建openvas_hobby云说-CSDN博客_openvas搭建

1. 1. Nessus主机漏洞扫描平台

Nessus：Nessus是十分强大的漏洞扫描器，内含最新的漏洞数据库，检测速度快，准确性高。Nessus详细使用教程 (转) - wzl629 - 博客园

1. 1. AppScan安全扫描工具

IBM Security App Scan Standard 资料

AppScan安全扫描工具-IBM Security App Scan Standard_学习那点事儿的专栏-CSDN博客_appscan

1. 1. 端口扫描器：Nmap----必备能力

Nmap是"Network Mapper"的缩写，众所周知，它是一款非常受欢迎的免费开源黑客工具。Nmap被用于发现网络和安全审计。据数据统计，全世界成千上万的系统管理员使用nmap发现网络、检查开放端口、管理服务升级计划，以及监视主机或服务的正常运行时间。Nmap是一种使用原始IP数据包的工具，以非常创新的方式决定网络上有哪些主机，主机上的哪些服务（应用名称和版本）提供什么数据、什么操作系统、什么类型、什么版本的包过滤/防火墙正在被目标使用。使用nmap有什么好处，其中一个就是管理员用户能够确定网络是否需要打包。所有的黑客电影中都出现了nmap的身影，尤其是最近的Mr.Robot系列中。

Nmap学习资料

视频：Resource For Hacker Tools & Growth / SEO Hacking Tools

书籍：Best Hacker Tools of 2022 | Easy Hacking Tools

相似工具：Port Scanning Hacking Tools - Hacking Tools & Growth Marketing Tools

1. 1. 网络漏洞扫描器：Acunetix

WEB网站漏洞扫描，必学，简单操作，容易学。

Acunetix是一款非常受欢迎并且非常使用的自动漏洞扫描器，Acunetix通过抓取和扫描网站和Web应用的SQL注入、XSS、XXE、SSRF和主机头攻击和其他500多个web漏洞。更新！Acunetic爱好者发布了一个100%免费的视频课程，所以你可以有效的学习如何使用这个非常棒的网络漏洞扫描器啦！更多关于Acunetix信息的链接以及注册Acunetix。

Acunetix学习资料

视频：Best Hacker Tools of 2022 | Easy Hacking Tools

书籍：Best Hacker Tools of 2022 | Easy Hacking Tools

漏洞监测工具：Metasploit
---先做了解，等你具备安全能力中等水平的时候再深入，也不迟。

主要用于POC漏洞验证、编写POC验证漏洞、POC漏洞攻击。

Metasploit项目是一个非常受欢迎且受众很广的渗透测试以及攻击框架。如果你刚刚接触Metasploit，你会认为它是一个可用于执行各种任务的"黑客工具总汇"。Metasploit被专业的网络安全研究人员以及大量黑客使用，并且它被认为是研究安全的必学内容。Metasploit本质上是一个为用户提供已知安全漏洞主要信息的计算机安全项目（框架），并且Metasploit帮助指定渗透测试和IDS监测计划、战略以及利用计划。Metasploit的优点太多，小编就不一一列举啦，希望下面的视频可以帮助你学习Metasploit。如果你是一个初学者，这里还有更多的初学者教程供你使用。

Metasploit学习资料

视频：Resource For Hacker Tools & Growth / SEO Hacking Tools

书籍：Best Hacker Tools of 2022 | Easy Hacking Tools

相似工具：Web Vulnerability Scanning Tools and Software - Hacking Tools & Growth Marketing Tools

取证：Maltego—可做了解，

Maltego跟其他取证工具不同，因为它在数字取证范围内工作。Maltego被设计用来把一个全面的网络威胁图片传给企业或者其他进行取证的组织的局部环境，它是一个平台。Maltego非常棒的一点，同时也是它非常受欢迎（因为它在Kali里排名前十）的原因是它的独特视角因为它同时提供了基于实体的网络和源，聚合了整个网络的信息-无论是网络的脆弱路由的当前配置，还是当前你的员工的国际访问，Maltego都可以定位，汇总并可视化这些数据！小编建议有兴趣的同学同时也学习OSINT网络安全数据。

Maltego学习资料

视频：Resource For Hacker Tools & Growth / SEO Hacking Tools

书籍：Best Hacker Tools of 2022 | Easy Hacking Tools

相似工具：Digital Forensic Tools & Software - Hacking Tools & Growth Marketing Tools

网络漏洞扫描器：OWASP Zed
---学WEB安全的必备能力，这个需要你对OWASP十大常见漏洞有基本的了解。相关资料百度“OWASP TOP 10”或见 第八大点。

Zed的代理攻击(ZAP)是现在最流行的OWASP项目之一。你看到这页说明你有可能是一个经验丰富的网络安全研究人员哦，所以你可能非常熟悉OWASP。当然，OWASP在威胁列表中排名前十，它被作为学习web应用安全的指导手册。这个攻击渗透工具非常有效并且用起来非常简单。ZAP受欢迎是因为它有很多扩展支持，OWASP社区真的是一个非常棒的资源地来进行网络安全研究。ZAP提供自动扫描以及很多允许你进行专业发现网络安全漏洞的工具。好好理解这个工具并成为使用这个工具的大师非常有利于让渗透测试员的事业。如果你是一个开发者，那么这个工具会让你成为非常棒的黑客。

OWASP Zed学习资料

视频：Resource For Hacker Tools & Growth / SEO Hacking Tools

书籍：Best Hacker Tools of 2022 | Easy Hacking Tools

相似工具：Web Vulnerability Scanning Tools and Software - Hacking Tools & Growth Marketing Tools

1. 1. 手动分析包工具：Wireshark

这个软件，你会的。

如果说nmap排名黑客工具的第一名，那Wireshark肯定是第二受欢迎的工具。Wireshark已经存在了很长一段时间，并且他被成千上万的安全研究者用于排查、分析网络问题和网络入侵。Wireshark是个抓包工具，或者更确切的说，它是一个有效的分析数据包的开源平台。值得一提的是，Wireshark跨平台，我们本来以为它智能在GNU/Linux中运行，但是我们是错的，无论是Windows还是Linux甚至OS X都有Wireshark，还有一个类似于Wireshark的终端版本叫做TShark。这里有非常多的关于Wireshark的信息可以帮助你成为Wireshark专家。

Wireshark学习资料

视频：Resource For Hacker Tools & Growth / SEO Hacking Tools

书籍：Best Hacker Tools of 2022 | Easy Hacking Tools

相似工具：Packet Sniffers & Crafting Tools - Hacking Tools & Growth Marketing Tools

1. 1. 网络漏洞扫描器：Burp Suite

这个软件作为WEB安全从业人员的必备，可以做WEB网站的账户的暴力破解。这个是很基本的功能，还有很多功能，目前来说，你做个学习了解。

等你学会具备了OWASP TOP10常见的漏洞和OWASP Zed实验（也会用到这个工具）
能力紧急度：低。

Burp Suite在某种程度上很像Maltego，因为它也有一堆帮助渗透测试者和黑客的工具。Burp Suite中有两个常用应用，一个叫"Burp Suite Spider"，它可以通过监测cookie、初始化这些web应用的连接列举并绘制出一个网站的各个页面以及它的参数；另一个叫"Intruder"，它可以自动执行web应用攻击。同样，如果你是网络安全研究员或者正在进行渗透测试，Burp Suite也是一个必学工具。

Burp Suite学习资料

视频：Resource For Hacker Tools & Growth / SEO Hacking Tools

书籍：Best Hacker Tools of 2022 | Easy Hacking Tools

相似工具：Web Vulnerability Scanning Tools and Software - Hacking Tools & Growth Marketing Tools

1. 1. 密码破解：THC Hydra

能力紧急度：中，做密码破解的

THC Hydra是一个非常流行的密码破解，它被一只非常活跃且经验丰富的开发团队开发。基本上THC Hydra是一个快速稳定的网络登录攻击工具，它使用字典攻击和暴力攻击，尝试大量的密码和登录组合来登录页面。攻击工具支持一系列协议，包括邮件（POP3，IMAP等），数据库，LDAP，SMB，VNC和SSH。

THC Hydra学习资料

视频：https://www.concise-courses.com/hacking-tools/videos/

书籍：Best Hacker Tools of 2022 | Easy Hacking Tools

相似工具：Password Hacking Tools & Software - Hacking Tools & Growth Marketing Tools

密码破解：Aircrack-ng

进行Wifi破解的Aircrack组件是攻击工具中的传奇，因为它非常有效！对于不太了解无效攻击的新手来说，Aircrack-ng是一个802.11 WEP和WPA-PSK密钥破解攻击工具并且可以在捕捉到足够数据包时恢复密钥。对于正在钻研无线网络的渗透和审计的朋友们来说，aircrack-ng将成为你最好的伙伴。Aircrack-ng利用标准FMS攻击对KoreK攻击进行了优化，并且让PTW攻击变得更有效。如果你是一个普通黑客，你可以在几分钟内破解WEP，你应该非常精通破解WPA/WPA2。如果你对无线网络攻击很感兴趣，我们强烈建议你看看Reaver，它也是一款非常受欢迎的黑客工具。

Aircrack-ng学习资料

视频：Resource For Hacker Tools & Growth / SEO Hacking Tools

书籍：Best Hacker Tools of 2022 | Easy Hacking Tools

相似工具：Password Hacking Tools & Software - Hacking Tools & Growth Marketing Tools

1. 1. 密码破解：John The Ripper

John The Ripper（开膛手约翰）获得了最酷名字奖！大家一般把它成为"John"，它也是一款非常流行的密码破解渗透测试工具，经常被用于执行字典攻击。John the Ripper把文本字符串作为样本（来自文本文件的样本，被称为单词列表，包含在字典中找到的流行的、复杂的词汇或者之前破解时被用到的词汇），使用和加密方式相同的破解方式（包括加密算法和密钥）进行破解，然后对比加密字符串的输出得到破解密钥。这个工具也可以用来执行变种的字典攻击。

John The Ripper学习资料

视频：Resource For Hacker Tools & Growth / SEO Hacking Tools

书籍：Best Hacker Tools of 2022 | Easy Hacking Tools

相似工具：Best Hacker Tools of 2022 | Easy Hacking Tools

• 开发安全

WEB安全基础知识---OWASP TOP10 -2021

---这个是入门，学习WEB 网站安全的入门知识。

有三个新类别，四个类别的命名和范围发生了变化，并且 2021 年的前 10 名中进行了一些合并。

 

1. 1. 1. A01:2021-Broken Access Control 失效的访问控制

从第五位上升；94% 的应用程序都经过了某种形式的破坏访问控制的测试。映射到 Broken Access Control 的 34 个 CWE 在应用程序中出现的次数比任何其他类别都多。

1. 1. 1. A02:2021-Cryptographic Failures 加密失败

上移一位至 #2，以前称为敏感数据泄露，这是广泛的症状而不是根本原因。此处重新关注与密码学相关的漏洞，这些漏洞通常会导致敏感数据泄露或系统受损。

1. 1. 1. A03:2021-Injection 注入

下滑到第三位。94% 的应用程序都针对某种形式的注入进行了测试，映射到此类别的 33 个 CWE 在应用程序中的出现次数排名第二。跨站点脚本攻击现在是此版本中此类别的一部分。

1. 1. 1. A04:2021-不安全的设计

是2021 年的一个新类别，重点关注与设计缺陷相关的风险。如果我们真的想作为一个行业“安全左移”，就需要更多地使用威胁建模、安全设计模式和原则以及参考架构。

1. 1. 1. A05:2021-安全配置错误

从上一版的第 6 位上升；90% 的应用程序都经过了某种形式的错误配置测试。随着更多定制性高度可配置的软件，看到这一类别上升也就不足为奇了。XML 外部实体 (XXE) 的前一个类别现在属于此类别。

1. 1. 1. A06:2021-Vulnerable and Outdated Components 易受攻击和过时的组件

之前的标题是 使用具有已知漏洞的组件，在行业调查中排名第二，但也有足够的数据通过数据分析进入前 10 名。该类别从 2017 年的第 9 位上升，是我们难以测试和评估风险的已知问题。它是唯一没有任何 CVE 映射到包含的 CWE 的类别，因此默认的利用和影响权重 5.0 被计入他们的分数。

1. 1. 1. A07:2021-Identification and Authentication Failures 认证和授权失败

以前是 Broken Authentication 失效的身份认证并且从第二位下滑，现在包括与识别失败更多相关的 CWE。这个类别仍然是前 10 名的一个组成部分，但标准化框架的可用性增加似乎有所帮助。

1. 1. 1. A08:2021-软件和数据完整性故障

是 2021 年的一个新类别，专注于在不验证完整性的情况下做出与软件更新、关键数据和 CI/CD 管道相关的假设。CVE/CVSS 数据的最高加权影响之一映射到该类别中的 10 个 CWE。2017 年的不安全反序列化现在是这一更大类别的一部分。

1. 1. 1. A09:2021-安全日志记录和监控失败

以前是 日志记录和监控不足，是从行业调查 (#3) 中添加的，从之前的 #10 上升。此类别已扩展为包括更多类型的故障，难以测试，并且在 CVE/CVSS 数据中没有得到很好的体现。但是，此类故障会直接影响可见性、事件警报和取证。

1. 1. 1. A10:2021-Server-Side Request Forgery 服务器请求伪造

是从行业调查 (#1) 中添加的。数据显示发生率相对较低，测试覆盖率高于平均水平，并且利用和影响潜力的评级高于平均水平。此类别代表行业专业人士告诉我们这很重要的场景，即使目前数据中没有说明。

前 10 名的这一部分比以往任何时候都更受数据驱动，但并非盲目地受数据驱动。我们从贡献的数据中选择了十个类别中的八个，从高水平的行业调查中选择了两个类别。我们这样做的根本原因是，查看贡献的数据就是回顾过去。AppSec 研究人员花时间寻找新的漏洞和测试它们的新方法。将这些测试集成到工具和流程中需要时间。当我们能够可靠地大规模测试漏洞时，可能已经过去了很多年。为了平衡这种观点，我们使用行业调查来询问一线人员他们认为数据可能尚未显示的漏洞。

有很多关于十大风险之间重叠的讨论。根据每个（包括 CWE 列表）的定义，确实没有任何重叠。但是，从概念上讲，可能存在基于更高级别命名的重叠或交互。维恩图多次用于显示这样的重叠。

上面的维恩图代表了 2017 年十大风险类别之间的相互作用。这样做时，几个要点变得明显：

有人可能会争辩说，跨站点脚本最终属于注入，因为它本质上是内容注入。看看 2021 年的数据，XSS 需要进入注入变得更加明显。

重叠仅在一个方向。我们通常会根据最终表现或“症状”而不是（可能很深的）根本原因对漏洞进行分类。例如，“敏感数据暴露”可能是“安全配置错误”的结果；但是，您不会从另一个方向看到它。因此，在交互区域中绘制了箭头以指示发生的方向。

有时这些图表是用A06:2021 Using Components with known Vulnerabilities 中的所有内容绘制的。虽然其中一些风险类别可能是第三方漏洞的根本原因，但它们的管理方式和责任通常不同。其他类型通常代表第一方风险。

1. A01:2021 – 失效的访问控制
   1. 概述

从第五位上升，94% 的应用程序都经过了某种形式的访问控制损坏测试。值得注意的CWE包括CWE-200：将敏感信息暴露给未经授权的参与者、CWE-201：通过发送的数据暴露敏感信息和CWE-352：跨站点请求伪造。

描述

访问控制强制执行策略，使用户不能在其预期权限之外采取行动。故障通常会导致未经授权的信息泄露、修改或破坏所有数据或执行超出用户限制的业务功能。常见的访问控制漏洞包括：

• 通过修改 URL、内部应用程序状态或 HTML 页面，或仅使用自定义 API 攻击工具来绕过访问控制检查。
• 允许将主键更改为其他用户的记录，允许查看或编辑其他人的帐户。
• 特权提升。在未登录的情况下充当用户或以用户身份登录时充当管理员。
• 元数据操作，例如重放或篡改 JSON Web 令牌 (JWT) 访问控制令牌，或用于提升权限或滥用 JWT 失效的 cookie 或隐藏字段。
• CORS 错误配置允许未经授权的 API 访问。
• 强制以未经身份验证的用户身份浏览经过身份验证的页面或以标准用户身份浏览特权页面。访问 API 时缺少对 POST、PUT 和 DELETE 的访问控制。

如何预防

访问控制仅在受信任的服务器端代码或无服务器 API 中有效，攻击者无法修改访问控制检查或元数据。

• 除公共资源外，默认拒绝。
• 实施一次访问控制机制并在整个应用程序中重复使用它们，包括最大限度地减少 CORS 的使用。
• 模型访问控制应该强制记录所有权，而不是接受用户可以创建、读取、更新或删除任何记录。
• 独特的应用程序业务限制要求应由领域模型强制执行。
• 禁用 Web 服务器目录列表并确保文件元数据（例如 .git）和备份文件不在 Web 根目录中。
• 记录访问控制失败，在适当时提醒管理员（例如，重复失败）。
• 速率限制 API 和控制器访问，以最大限度地减少自动攻击工具的危害。
• 注销后，JWT 令牌应在服务器上失效。

攻击场景示例

场景 #1：应用程序在访问帐户信息的 SQL 调用中使用未经验证的数据：

pstmt.setString(1, request.getParameter("acct"));

结果集结果 = pstmt.executeQuery();

攻击者只需修改浏览器的“acct”参数即可发送他们想要的任何帐号。如果没有正确验证，攻击者可以访问任何用户的帐户。

https://example.com/app/accountInfo?acct=notmyacct

场景#2：攻击者只是强制浏览到目标 URL。访问管理页面需要管理员权限。

https://example.com/app/getappInfo

https://example.com/app/admin_getappInfo

如果未经身份验证的用户可以访问任一页面，则这是一个缺陷。如果非管理员可以访问管理页面，这是一个缺陷。

1. A02:2021 – 加密失败
   1. 概述

上移一个位置到#2，以前称为敏感数据暴露，这更像是一个广泛的症状而不是根本原因，重点是与密码学相关的失败（或缺乏密码学）。这往往会导致敏感数据的暴露。值得注意的CWE包括CWE-259：使用硬编码密码、CWE-327：损坏或风险的加密算法和CWE-331 熵不足。

描述

首先是确定传输中和静止数据的保护需求。例如，密码、信用卡号、健康记录、个人信息和商业秘密需要额外保护，主要是如果该数据属于隐私法（例如欧盟的通用数据保护条例 (GDPR)）或法规（例如金融数据保护）例如 PCI 数据安全标准 (PCI DSS)。对于所有此类数据：

• 是否有任何数据以明文形式传输？这涉及 HTTP、SMTP 和 FTP 等协议。外部互联网流量是危险的。验证所有内部流量，例如，负载平衡器、Web 服务器或后端系统之间的流量。
• 默认情况下或在较旧的代码中是否使用任何旧的或弱的加密算法？
• 是否正在使用默认加密密钥、生成或重复使用弱加密密钥，或者是否缺少适当的密钥管理或轮换？
• 是否未强制执行加密，例如，是否缺少任何用户代理（浏览器）安全指令或标头？
• 用户代理（例如，应用程序、邮件客户端）是否不验证收到的服务器证书是否有效？

如何预防

至少执行以下操作，并查阅参考资料：

• 对应用程序处理、存储或传输的数据进行分类。根据隐私法、监管要求或业务需求确定哪些数据是敏感的。
• 根据分类应用控制。
• 不要不必要地存储敏感数据。尽快丢弃它或使用符合 PCI DSS 的标记化甚至截断。未保留的数据不能被窃取。
• 确保加密所有静态敏感数据。
• 确保拥有最新且强大的标准算法、协议和密钥；使用适当的密钥管理。
• 使用安全协议（例如具有完美前向保密 (PFS) 密码的 TLS、服务器的密码优先级和安全参数）加密所有传输中的数据。使用 HTTP 严格传输安全 (HSTS) 等指令强制加密。
• 对包含敏感数据的响应禁用缓存。
• 使用具有工作因子（延迟因子）的强自适应和加盐散列函数存储密码，例如 Argon2、scrypt、bcrypt 或 PBKDF2。
• 独立验证配置和设置的有效性。

攻击场景示例

场景#1：应用程序使用自动数据库加密对数据库中的信用卡号进行加密。但是，此数据在检索时会自动解密，从而允许 SQL 注入缺陷以明文形式检索信用卡号。

场景#2：站点不使用或对所有页面强制执行 TLS 或支持弱加密。攻击者监视网络流量（例如，在不安全的无线网络中），将连接从 HTTPS 降级为 HTTP，拦截请求并窃取用户的会话 cookie。然后攻击者重放这个 cookie 并劫持用户的（经过身份验证的）会话，访问或修改用户的私人数据。除了上述之外，他们还可以更改所有传输的数据，例如，汇款的接收者。

场景#3：密码数据库使用未加盐或简单的哈希来存储每个人的密码。文件上传缺陷允许攻击者检索密码数据库。所有未加盐的哈希值都可以通过预先计算的哈希值彩虹表公开。由简单或快速散列函数生成的散列可能会被 GPU 破解，即使它们被加盐。

1. A03:2021 – 注入
   1. 概述

注射向下滑动到第三个位置。94% 的应用程序都针对某种形式的注入进行了测试。值得注意的CWE包括 CWE-79：跨站点脚本、CWE-89：SQL 注入和CWE-73：文件名或路径的外部控制。

1. 1. 描述

应用程序在以下情况下容易受到攻击：

• 应用程序不会验证、过滤或清理用户提供的数据。
• 没有上下文感知转义的动态查询或非参数化调用直接在解释器中使用。
• 在对象关系映射 (ORM) 搜索参数中使用恶意数据来提取额外的敏感记录。
• 直接使用或连接恶意数据。SQL 或命令包含动态查询、命令或存储过程中的结构和恶意数据。

一些更常见的注入是 SQL、NoSQL、OS 命令、对象关系映射 (ORM)、LDAP 和表达式语言 (EL) 或对象图导航库 (OGNL) 注入。这个概念在所有口译员中都是相同的。源代码审查是检测应用程序是否容易受到注入攻击的最佳方法。强烈建议对所有参数、标头、URL、cookie、JSON、SOAP 和 XML 数据输入进行自动化测试。组织可以将静态源 (SAST) 和动态应用程序测试 (DAST) 工具包含到 CI/CD 管道中，以在生产部署之前识别引入的注入缺陷。

• 1. 如何预防
• 防止注入需要将数据与命令和查询分开。
• 首选选项是使用安全的 API，它完全避免使用解释器，提供参数化接口，或迁移到对象关系映射工具 (ORM)。
• 注意：即使在参数化时，如果 PL/SQL 或 T-SQL 连接查询和数据或使用 EXECUTE IMMEDIATE 或 exec() 执行恶意数据，则存储过程仍然会引入 SQL 注入。
• 使用正面或“白名单”服务器端输入验证。这不是一个完整的防御，因为许多应用程序需要特殊字符，例如文本区域或移动应用程序的 API。
• 对于任何残留的动态查询，使用该解释器的特定转义语法转义特殊字符。
• 注意：表名、列名等 SQL 结构不能转义，因此用户提供的结构名是危险的。这是报告编写软件中的常见问题。
• 在查询中使用 LIMIT 和其他 SQL 控件以防止在 SQL 注入的情况下大量披露记录。
  1. 攻击场景示例

场景 #1：应用程序在构建以下易受攻击的 SQL 调用时使用不受信任的数据：

String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";

场景#2：类似地，应用程序对框架的盲目信任可能会导致查询仍然存在漏洞（例如，Hibernate 查询语言 (HQL)）：

Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

在这两种情况下，攻击者都会修改浏览器中的 'id' 参数值以发送：' 或 '1'='1。例如：

http://example.com/app/accountView?id=' 或 '1'='1

这将更改两个查询的含义以返回帐户表中的所有记录。更危险的攻击可能会修改或删除数据，甚至调用存储过程。

1. A04:2021 – 不安全的设计
   1. 概述

2021 年的新类别侧重于与设计和架构缺陷相关的风险，并呼吁更多地使用威胁建模、安全设计模式和参考架构。值得注意的CWE包括 CWE-209：生成包含敏感信息的错误消息、 CWE-256：未受保护的凭证存储、CWE-501：信任边界违规和CWE-522：受保护的凭证不足。

1. 1. 描述

不安全设计是一个广泛的类别，代表许多不同的弱点，表现为“缺失或无效的控制设计”。缺少不安全的设计是缺少控制的地方。例如，想象一下应该加密敏感数据的代码，但没有方法。无效的不安全设计是可以实现威胁的地方，但域（业务）逻辑验证不足会阻止该操作。例如，假设域逻辑应该根据收入等级处理流行病税收减免，但不验证所有输入都已正确签名并提供比应授予的更重要的减免收益。

安全设计是一种文化和方法，它不断评估威胁并确保代码经过稳健设计和测试，以防止已知的攻击方法。安全设计需要安全的开发生命周期、某种形式的安全设计模式或铺砌道路组件库或工具，以及威胁建模。

• 1. 如何预防
• 与 AppSec 专业人员建立并使用安全的开发生命周期，以帮助评估和设计与安全和隐私相关的控制
• 建立和使用安全设计模式库或准备使用组件的铺好的道路
• 将威胁建模用于关键身份验证、访问控制、业务逻辑和关键流
• 编写单元和集成测试以验证所有关键流都能抵抗威胁模型
  1. 攻击场景示例

场景 #1：凭证恢复工作流程可能包括“问答”，这是 NIST 800-63b、OWASP ASVS 和 OWASP Top 10 所禁止的。不能将问答作为多个人身份的证据可以知道答案，这就是为什么它们被禁止。此类代码应删除并替换为更安全的设计。

场景#2：连锁影院允许团体预订折扣，并且在要求押金之前最多有 15 名参与者。攻击者可以对该流程进行威胁建模，并测试他们是否可以在几次请求中一次预订 600 个座位和所有电影院，从而造成巨大的收入损失。

场景 #3：零售连锁店的电子商务网站没有针对由黄牛运行的机器人提供保护，这些机器人购买高端显卡以转售拍卖网站。这对视频卡制造商和零售连锁店主造成了可怕的宣传，并与无法以任何价格获得这些卡的爱好者之间产生了仇恨。仔细的反机器人设计和域逻辑规则，例如在可用性的几秒钟内进行的购买，可能会识别出不真实的购买并拒绝此类交易。

1. A05:2021 – 安全配置错误
   1. 概述

从上一版的第 6 位开始，90% 的应用程序都经过了某种形式的错误配置测试。随着更多转向高度可配置的软件，看到这一类别上升也就不足为奇了。值得注意的CWE包括CWE-16 Configuration和CWE-611 Improper Restriction of XML External Entity Reference。

1. 1. 描述

如果应用程序是：

• 在应用程序堆栈的任何部分缺少适当的安全强化或对云服务的权限配置不正确。
• 启用或安装了不必要的功能（例如，不必要的端口、服务、页面、帐户或权限）。
• 默认帐户及其密码仍处于启用状态且未更改。
• 错误处理向用户显示堆栈跟踪或其他信息过多的错误消息。
• 对于升级的系统，最新的安全功能被禁用或未安全配置。
• 应用程序服务器、应用程序框架（例如，Struts、Spring、ASP.NET）、库、数据库等中的安全设置未设置为安全值。
• 服务器不发送安全标头或指令，或者它们未设置为安全值。
• 软件已过时或易受攻击（请参阅 A06:2021-易受攻击和过时的组件）。

如果没有协调一致的、可重复的应用程序安全配置过程，系统将面临更高的风险。

1. 1. 如何预防

应实施安全安装过程，包括：

• 可重复的强化过程使部署另一个适当锁定的环境变得快速而轻松。开发、QA 和生产环境都应配置相同，在每个环境中使用不同的凭据。这个过程应该是自动化的，以最大限度地减少设置新安全环境所需的工作。
• 一个没有任何不必要的功能、组件、文档和示例的最小平台。删除或不安装未使用的功能和框架。
• 作为补丁管理流程的一部分，审查和更新适用于所有安全说明、更新和补丁的配置的任务（请参阅 A06:2021-易受攻击和过时的组件）。查看云存储权限（例如，S3 存储桶权限）。
• 分段应用程序架构通过分段、容器化或云安全组 (ACL) 在组件或租户之间提供有效且安全的分离。
• 向客户端发送安全指令，例如安全标头。
• 验证配置和设置在所有环境中的有效性的自动化过程。
  1. 攻击场景示例

场景#1：应用程序服务器带有未从生产服务器中删除的示例应用程序。这些示例应用程序具有攻击者用来破坏服务器的已知安全漏洞。假设这些应用程序之一是管理控制台，并且默认帐户未更改。在这种情况下，攻击者使用默认密码登录并接管。

场景#2：服务器上没有禁用目录列表。攻击者发现他们可以简单地列出目录。攻击者找到并下载已编译的 Java 类，对其进行反编译和逆向工程以查看代码。然后攻击者发现应用程序中存在严重的访问控制缺陷。

场景#3：应用服务器的配置允许将详细的错误消息（例如堆栈跟踪）返回给用户。这可能会暴露敏感信息或潜在缺陷，例如已知易受攻击的组件版本。

场景#4：云服务提供商拥有其他 CSP 用户对 Internet 开放的默认共享权限。这允许访问存储在云存储中的敏感数据。

1. A06:2021 – 易受攻击和过时的组件
   1. 概述

它在行业调查中排名第二，但也有足够的数据通过数据进入前 10 名。易受攻击的组件是我们难以测试和评估风险的已知问题，并且是唯一没有任何 CVE 映射到包含的 CWE 的类别，因此使用默认的漏洞利用/影响权重 5.0。值得注意的CWE包括CWE-1104：使用未维护的第三方组件和来自 2013 年和 2017 年前 10 名的两个 CWE。

1. 1. 描述

你可能很脆弱：

• 如果您不知道您使用的所有组件的版本（客户端和服务器端）。这包括您直接使用的组件以及嵌套的依赖项。
• 如果软件易受攻击、不受支持或已过期。这包括操作系统、Web/应用程序服务器、数据库管理系统 (DBMS)、应用程序、API 和所有组件、运行时环境和库。
• 如果您不定期扫描漏洞并订阅与您使用的组件相关的安全公告。
• 如果您没有以基于风险的方式及时修复或升级底层平台、框架和依赖项。这通常发生在修补是变更控制下的每月或每季度任务的环境中，使组织面临数天或数月不必要地暴露于固定漏洞的风险。
• 如果软件开发人员不测试更新、升级或修补的库的兼容性。
• 如果您不保护组件的配置（请参阅 A05:2021-安全配置错误）。
  1. 如何预防

应该有一个补丁管理流程来：

• 删除未使用的依赖项、不必要的功能、组件、文件和文档。
• 使用版本、OWASP Dependency Check、retire.js 等工具持续清点客户端和服务器端组件（例如框架、库）及其依赖项的版本。成分。使用软件组合分析工具来自动化该过程。订阅与您使用的组件相关的安全漏洞的电子邮件警报。
• 仅通过安全链接从官方来源获取组件。首选签名包以减少包含修改后的恶意组件的机会（请参阅 A08:2021-软件和数据完整性故障）。
• 监视未维护或未为旧版本创建安全补丁的库和组件。如果无法打补丁，请考虑部署虚拟补丁来监控、检测或防止发现的问题。

每个组织都必须确保在应用程序或产品组合的生命周期内制定持续的监控、分类和应用更新或配置更改的计划。

1. 1. 攻击场景示例

场景#1：组件通常以与应用程序本身相同的权限运行，因此任何组件中的缺陷都可能导致严重影响。此类缺陷可能是偶然的（例如，编码错误）或有意的（例如，组件中的后门）。发现的一些可利用组件漏洞的示例是：

• CVE-2017-5638 是一个 Struts 2 远程代码执行漏洞，可以在服务器上执行任意代码，已被归咎于重大漏洞。
• 虽然物联网 (IoT) 通常很难或不可能修补，但修补它们的重要性可能很大（例如，生物医学设备）。

有一些自动化工具可以帮助攻击者找到未打补丁或配置错误的系统。例如，Shodan IoT 搜索引擎可以帮助您找到仍然存在 2014 年 4 月修补的 Heartbleed 漏洞的设备。

1. A07:2021 – 认证和授权失败
   1. 概述

以前称为Broken Authentication，此类别从第二位下滑，现在包括与识别失败相关的 CWE。包括的值得注意的CWE包括CWE-297：不正确的证书验证与主机不匹配、CWE-287：不正确的身份验证和 CWE-384：会话固定。

1. 1. 描述

确认用户的身份、身份验证和会话管理对于防止与身份验证相关的攻击至关重要。如果应用程序存在以下情况，则可能存在身份验证漏洞：

• 允许自动攻击，例如撞库，其中攻击者拥有有效用户名和密码的列表。
• 允许蛮力或其他自动攻击。
• 允许使用默认密码、弱密码或众所周知的密码，例如“Password1”或“admin/admin”。
• 使用弱或无效的凭据恢复和忘记密码流程，例如无法确保安全的“基于知识的答案”。
• 使用纯文本、加密或弱散列密码（请参阅 A3:2017-敏感数据暴露）。
• 缺少或无效的多因素身份验证。
• 在 URL 中公开会话 ID（例如，URL 重写）。
• 成功登录后不要轮换会话 ID。
• 不会正确地使会话 ID 无效。用户会话或身份验证令牌（主要是单点登录 (SSO) 令牌）在注销或一段时间不活动期间未正确失效。
  1. 如何预防

• 在可能的情况下，实施多因素身份验证以防止自动凭证填充、暴力破解和被盗凭证重用攻击。
• 不要使用任何默认凭据进行交付或部署，尤其是对于管理员用户。
• 实施弱密码检查，例如针对前 10,000 个最差密码列表测试新密码或更改的密码。
• 将密码长度、复杂性和轮换策略与 NIST 800-63b 的第 5.1.1 节中关于记忆秘密的指南或其他现代的、基于证据的密码策略保持一致。
• 通过对所有结果使用相同的消息，确保注册、凭据恢复和 API 路径能够抵御帐户枚举攻击。
• 限制或增加延迟失败的登录尝试。当检测到凭证填充、暴力破解或其他攻击时，记录所有故障并提醒管理员。
• 使用服务器端、安全、内置的会话管理器，在登录后生成新的高熵随机会话 ID。会话 ID 不应在 URL 中，安全存储，并在注销、空闲和绝对超时后失效。
  1. 攻击场景示例

场景#1：凭证填充（使用已知密码列表）是一种常见的攻击。假设应用程序没有实施自动化威胁或凭证填充保护。在这种情况下，应用程序可以用作密码预言机来确定凭证是否有效。

场景#2：大多数身份验证攻击是由于继续使用密码作为唯一因素而发生的。一经考虑，最佳实践、密码轮换和复杂性要求会鼓励用户使用和重复使用弱密码。建议组织按照 NIST 800-63 停止这些做法并使用多因素身份验证。

场景 #3：应用程序会话超时设置不正确。用户使用公共计算机访问应用程序。用户没有选择“注销”，而是简单地关闭浏览器选项卡并走开。攻击者在一个小时后使用同一个浏览器，而用户仍然通过身份验证。

1. A08:2021 – 软件和数据完整性故障
   1. 概述

2021 年的新类别侧重于在不验证完整性的情况下做出与软件更新、关键数据和 CI/CD 管道相关的假设。来自 CVE/CVSS 数据的最高加权影响之一。著名的CWE包括CWE-502：不可信数据的反序列化、 CWE-829：包含不受信任的控制领域的功能和 CWE-494：下载没有完整性检查的代码。

1. 1. 描述

软件和数据完整性故障与不能防止完整性违规的代码和基础设施有关。例如，在对象或数据被编码或序列化为攻击者可以看到和修改的结构的情况下，很容易受到不安全的反序列化的影响。另一种形式是应用程序依赖来自不受信任的来源、存储库和内容交付网络 (CDN) 的插件、库或模块。不安全的 CI/CD 管道可能会导致未经授权的访问、恶意代码或系统受损。最后，许多应用程序现在包括自动更新功能，其中更新在没有充分完整性验证的情况下被下载并应用于以前受信任的应用程序。攻击者可能会上传自己的更新以分发并在所有安装上运行。

• 1. 如何预防
• 确保未签名或未加密的序列化数据不会在没有某种形式的完整性检查或数字签名的情况下发送到不受信任的客户端，以检测序列化数据的篡改或重放
• 通过签名或类似机制验证软件或数据来自预期来源
• 确保库和依赖项（例如 npm 或 Maven）使用受信任的存储库
• 确保使用软件供应链安全工具（例如 OWASP Dependency Check 或 OWASP CycloneDX）来验证组件不包含已知漏洞
• 确保您的 CI/CD 管道具有正确的配置和访问控制，以确保流经构建和部署过程的代码的完整性。
  1. 攻击场景示例

场景 #1 不安全的反序列化： React 应用程序调用一组 Spring Boot 微服务。作为函数式程序员，他们试图确保他们的代码是不可变的。他们提出的解决方案是序列化用户状态并在每个请求中来回传递它。攻击者注意到“R00”Java 对象签名并使用 Java Serial Killer 工具在应用服务器上获取远程代码执行权。

场景 #2 无需签名即可更新：许多家用路由器、机顶盒、设备固件和其他固件不通过签名固件验证更新。未签名固件是攻击者越来越多的目标，预计只会变得更糟。这是一个主要问题，因为很多时候除了在未来版本中修复并等待以前的版本过时之外，没有任何补救机制。

场景#3 SolarWinds 恶意更新：众所周知，国家会攻击更新机制，最近的一次著名攻击是 SolarWinds Orion 攻击。开发该软件的公司拥有安全的构建和更新完整性流程。尽管如此，这些还是能够被破坏，并且在几个月的时间里，该公司向 18,000 多个组织分发了一个高度针对性的恶意更新，其中大约 100 个组织受到了影响。这是历史上此类性质最深远、最重大的违规行为之一。

1. A09:2021 – 安全日志记录和监控失败
   1. 概述

安全日志记录和监控来自行业调查（#3），比 2017 年 OWASP 前 10 名中的第十位略有上升。日志记录和监控可能很难测试，通常涉及采访或询问是否在渗透测试期间检测到攻击。此类别的 CVE/CVSS 数据不多，但检测和响应漏洞至关重要。尽管如此，它对于可见性、事件警报和取证仍然非常有影响力。此类别扩展到CWE-778 日志记录不足之外，包括CWE-117 日志的不当输出中和、CWE-223 安全相关信息的遗漏和 CWE-532 将敏感信息插入日志文件。

1. 1. 描述

回到 2021 年 OWASP 前 10 名，该类别旨在帮助检测、升级和响应主动违规行为。如果没有日志记录和监控，就无法检测到漏洞。任何时候都会发生日志记录、检测、监控和主动响应不足的情况：

• 不记录可审计的事件，例如登录、失败登录和高价值交易。
• 警告和错误不会生成、不充分或不清楚的日志消息。
• 不会监控应用程序和 API 的日志是否存在可疑活动。
• 日志仅存储在本地。
• 适当的警报阈值和响应升级流程没有到位或有效。
• DAST 工具（例如 OWASP ZAP）的渗透测试和扫描不会触发警报。
• 应用程序无法实时或接近实时地检测、升级或警告主动攻击。

通过使用户或攻击者可以看到日志记录和警报事件，您很容易受到信息泄漏的影响（请参阅 A01:2021 – 损坏的访问控制）。

1. 1. 如何预防

开发人员应实施以下部分或全部控制措施，具体取决于应用程序的风险：

• 确保所有登录、访问控制和服务器端输入验证失败都可以用足够的用户上下文来记录，以识别可疑或恶意帐户，并保留足够的时间以允许延迟取证分析。
• 确保以日志管理解决方案可以轻松使用的格式生成日志。
• 确保日志数据编码正确，以防止对日志或监控系统的注入或攻击。
• 确保高价值交易具有带有完整性控制的审计跟踪，以防止篡改或删除，例如仅追加数据库表或类似的。
• DevSecOps 团队应该建立有效的监控和警报，以便快速检测和响应可疑活动。
• 制定或采用事件响应和恢复计划，例如 NIST 800-61r2 或更高版本。

有商业和开源应用程序保护框架（例如 OWASP ModSecurity 核心规则集）和开源日志关联软件（例如 ELK 堆栈）具有自定义仪表板和警报功能。

1. 1. 攻击场景示例

场景#1：由于缺乏监控和日志记录，一家儿童健康计划提供商的网站运营商无法检测到违规行为。外部方通知健康计划提供者，攻击者访问并修改了超过 350 万儿童的数千份敏感健康记录。事后审查发现网站开发人员没有解决重大漏洞。由于没有对系统进行日志记录或监控，数据泄露可能自 2013 年以来一直在进行，时间超过七年。

场景#2：印度一家大型航空公司发生数据泄露事件，涉及数百万乘客超过十年的个人数据，包括护照和信用卡数据。数据泄露发生在第三方云托管服务提供商处，该提供商在一段时间后将泄露事件通知了航空公司。

场景 #3：一家主要的欧洲航空公司遭遇了 GDPR 可报告的违规行为。据报道，该漏洞是由攻击者利用的支付应用程序安全漏洞引起的，他们收集了超过 400,000 条客户支付记录。该航空公司因此被隐私监管机构罚款 2000 万英镑。

1. A10:2021 – 服务器端请求伪造 (SSRF)
   1. 概述

此类别是从行业调查 (#1) 中添加的。数据显示发生率相对较低，测试覆盖率高于平均水平，利用和影响潜力评级高于平均水平。由于新条目可能是用于关注和意识的单个或一小部分 CWE，因此希望它们受到关注，并且可以在未来版本中纳入更大的类别。

1. 1. 描述

每当 Web 应用程序在未验证用户提供的 URL 的情况下获取远程资源时，就会出现 SSRF 缺陷。它允许攻击者强制应用程序将精心设计的请求发送到意外目的地，即使受到防火墙、VPN 或其他类型的网络 ACL 的保护也是如此。

随着现代 Web 应用程序为最终用户提供方便的功能，获取 URL 成为一种常见情况。因此，SSRF 的发病率正在增加。此外，由于云服务和架构的复杂性，SSRF 的严重性越来越高。

1. 1. 如何预防

开发人员可以通过实施以下部分或全部深度防御控制来防止 SSRF：

• 1. 从网络层
• 在单独的网络中分段远程资源访问功能以减少 SSRF 的影响
• 强制执行“默认拒绝”防火墙策略或网络访问控制规则，以阻止除基本 Intranet 流量之外的所有流量
  1. 从应用层：

• 清理和验证所有客户端提供的输入数据
• 使用肯定的允许列表强制执行 URL 架构、端口和目标
• 不要向客户端发送原始响应
• 禁用 HTTP 重定向
• 注意 URL 一致性，以避免 DNS 重新绑定和“检查时间、使用时间”(TOCTOU) 竞争条件等攻击

不要通过使用拒绝列表或正则表达式来缓解 SSRF。攻击者拥有有效负载列表、工具和技能来绕过拒绝列表。

1. 1. 攻击场景示例

攻击者可以使用 SSRF 攻击受 Web 应用程序防火墙、防火墙或网络 ACL 保护的系统，使用的场景包括：

场景#1：端口扫描内部服务器。如果网络架构是未分段的，攻击者可以绘制内部网络，并根据连接结果或连接或拒绝 SSRF 负载连接所用的时间来确定内部服务器上的端口是打开还是关闭。

场景#2：敏感数据暴露。攻击者可以访问本地文件，例如 或内部服务以获取敏感信息。

场景#3：访问云服务的元数据存储。大多数云提供商都有元数据存储，例如http://169.254.169.254/。攻击者可以读取元数据来获取敏感信息。

场景#4：破坏内部服务——攻击者可以滥用内部服务进行进一步的攻击，例如远程代码执行 (RCE) 或拒绝服务 (DoS)。

• WEB场景漏洞
  1. web安全漏洞场景分析

1. 1. 1. 输入输出检验不充分

1. 1. 1. 设计缺陷

1. 1. 1. 环境缺陷

• 安全开发流程（SDL）学习概述

1.简介

SDL的全称是Security Development Lifecycle,即：安全开发生命周期。由微软最早提出，是一种专注于软件开发的安全保障流程。为实现保护最终用户为目标，它在软件开发流程的各个阶段引入安全和隐私问题。

2.流程

SDL大致如下，包括了以下七个阶段:

• 安全培训:安全培训体系：安全意识+安全测试+安全开发+安全运维+安全产品
• 需求分析:确定安全需求和投入占比，寻找安全嵌入的最优方式
• 系统设计:确定设计要求,分析攻击面,威胁建模
• 实现:使用标准的工具，弃用不安全的函数，静态分析（安全开发规范+代码审计）
• 验证:黑白盒测试，攻击面评估
• 发布:安全事件响应计划、周期性安全评估
• 响应:应急响应，BUG跟踪

 

培训的内容应包括以下方面：
Part 1：安全设计：包括减小攻击面、深度防御、最小权限原则、服务器安全配置等
Part 2：威胁建模：概述、设计意义、基于威胁建模的编码约束
Part 3：安全编码：缓冲区溢出（针对C/C++）、整数算法错误（针对C/C++）、XSS/CSRF（对于Web类应用）、SQL注入（对于Web类应用）、弱加密
Part 4：安全测试：安全测试和黑盒测试的区别、风险评估、安全测试方法（代码审计、fuzz等）
Part 5：隐私与敏感数据：敏感数据类型、风险评估、隐私开发和测试的最佳实践
Part 6：高级概念：高级安全概念、可信用户界面设计、安全漏洞细节、自定义威胁缓解 

3.SDL实战经验

与项目经理进行充分沟通，排出足够的时间

规范公司的立项流程，确保所有项目都能通知到安全团队，避免遗漏

树立安全部门的权威，项目必须由安全部门审核完成后才能发布

将技术方案写入开发、测试的工作手册中

给工程师培训安全方案

记录所有的安全bug，激励程序员编写安全的编码

 

4.需求分析与设计

引用一份之前看到的美的执行SDL的checklist。如下：

 

5.开发与测试

• 使用安全的函数，比如 OWASP ESAPI
• 代码审计工具--Fortify SCA
• 测试阶段--漏洞扫描器 appscan,awvs,webinspect

 

攻防驱动SDL：

• 事前基线：安全编码标准、安全设计
  事中措施：代码审计、发布前的安全测试、系统上线流程规范
  事后机制：http全流量ids、web日志分析、流量实时审计等
  事件驱动：发现了新问题就督促开发部门赶紧修复。

• 数据安全工作方法论

目前从事数据安全的人才工资比信息安全的工作还要高一些。

因为前提是你已经具备了常见的信息安全的能力。以下是相关内容参考。

工作开展方法论步骤：

数据安全资产梳理---定义---形成数据资产清单—数据分级原则--数据分级---分级分类---梳理数据生命周期流向的场景图----梳理并制定数据安全生命周期（采集、传输、存储、数据交换、数据使用、数据销毁）的安全要求----数据安全生命周期管理规范---开展落地落实----首先对公司的数据安全生命周期进行风险评估，依据规范开展-----如采集是否做了身份认证、访问控制等。参加如下。

数据级别	采集	传输	存储	数据处理	数据使用	销毁
Level1-Level2 Leve3 Level4 Level5	身份认证 访问控制 采集异常告警	控制者 对接安全、加密、审计、流量控制 、存储介质吗，管控 管控加密协议，传输审计控制 身份认证，异常操作告警	境内存储、分类分级、去标识 化 、备份，恢复、 存储介质管控 、销毁机制，数据加密，身份认证，访问控制，数据容灾备份机制，异常操作告警，存储安全审计	审批授权 , 身份鉴别，访问控制、审计,异常操作告警，数据处理审计	访问控制，脱敏与匿名，数据交换审计，异常操作告警，身份鉴别、访问控制、敏感数据控制	严格授权

数据安全形势

据IBM《2019年全球数据泄露成本报告》显示，恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失。CNCERT 在2019年全年累计发现我国重要数据泄露风险与事件 3000 余起。数据泄漏对企业来说不仅是经济损失，还有国家层面的巨额罚款;比如Facebook的8700万用户数据的不当泄漏被罚款50亿美金，英国航空公司的50万乘客数据的不当泄漏被罚款2.3亿美元;国内大量企业都号称自己有百万、千万甚至过亿的用户量，但你们是否有相应的数据安全能力来保证用户数据不外泄，或者你们是否有能力应对合规层面的巨额罚款。

数据安全标准

国际层面，各国出台了如GDPR、CCPA、COPPA、LGPD等。

国内层面，近期相继出台了《网络安全法》、《儿童个人信息网络保护规定》、《APP违法违规收集使用个人信息行为认定方法》、 《数据安全管理办法》(征求意见稿)、《网络数据安全标准体系建设指南》(征求意见稿)和《中华人民共和国数据安全法(草案)》等。

数据安全相关定义

(1) 数据的定义：

任何以电子或者非电子形式对信息的记录。

(2) 理解数据的类型：

a. 按照数据性质区分

• 结构化数据：即行数据,存储在数据库里,可以用二维表结构来逻辑表达实现的数据
• 非结构化数据：包括所有格式的工作文档、文本、图片、XML、HTML、各类报表、图像和音频/视频信息等等
• 半结构化数据：就是介于完全结构化数据(如关系型数据库、面向对象数据库中的数据)和完全无结构的数据(如声音、图像文件等)之间的数据，HTML文档就属于半结构化数据

b. 按照数据状态区分

• 静态数据：存储在磁盘、硬盘、SAN等介质上的任何数据
• 动态数据：通过网络传输的任何数据
• 使用中的数据：应用程序使用内存或临时缓冲区中的数据

(3) 数据活动的定义：

数据的收集、存储、加工、使用、提供、交易、公开等行为。

(4) 数据安全的定义：

通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。

数据安全的挑战

(1) 业务系统的灵活多变、需求复杂

互联网+的时代，市场的快速变化，企业业务的极速调整，企业每天都有可能出现系统上线、功能调整、接口的三方接入、数据的线上和线下外发等。面对这些变化和场景，我们如何应对?

(2) 新技术新挑战

新技术带来新风险。云、物联网、大数据和AI等新技术的广泛应用给企业带来了巨大生产力的同时，也改变了传统网络的数据防护思路，新型的网络威胁我们如何应用?

(3) 数据量大

大数据的兴起，数据的起始计量单位变成至少是PB级，甚至是EB级，在如此庞大的数据量面前，如何有效管理，如果做数据的快速识别、监控、检测、处置、响应?

(4) 安全威胁增多

数据价值的提升，导致外部威胁的目的性、隐蔽性、破坏性都成上升趋势。如何降低威胁暴露面和何种体系防护应对?

数据安全的目标

目标：满足合规，贴合业务，将数据风险降低至可接受水平，让数据使用更安全。

办法总比困难多，面对各位数据安全挑战，数据安全从业者要有自己的数据安全防护体系思路，善于学习新技术新经验的能力，总结自己的套路和打法，以终为始，不断更新和进步。

业务面前，安全不是他们的对立面，要采取双赢思维，建立信任关系。业务的目的是盈利，而安全是保证业务稳定盈利，规避风险最佳帮手，彼此相辅相成，相互依存。

数据安全模型框架

数据安全的执行和管理需要以数据为中心，宏观层，在满足合规的基础上，依托组织建设，采取技术和管理的手段，实施层，采取“识别”、“保护”、“监视”、“检测”、“响应”和“恢复”六大安全功能，保证数据全证明周期的安全。

正在上传…重新上传取消

数据安全建设框架

基于数据安全模型框架，梳理数据安全建设过程所需的基本功能和重点功能，制定如下数据安全建设框架：

正在上传…重新上传取消

框架说明

整理来看，数据安全建设框架可以分为三个层面。

(1) 最下面为组织建设层：

数据治理小组负责整体决策层工作，比如数据安全计划的定位，策略、政策和组织等的制定;数据安全团队负责整体战术层和执行层工作，战术层比如具体安全计划的管理管控，如合规管理、风险管理、计划管理、进度管理和指标管理等等;执行层负责整体数据安全计划的落地工作，人员包括专业的数据安全人员和各业务团队的安全接口人。

(2) 中间为能力实现层：

通过“识别”、“保护”、“监视”、“检测”、“响应”和“恢复”六大功能，落地数据安全的合规、管理、技术和运营。

(3) 最上面为目标和愿景层：

通过组织建设和数据安全能力实现，保证组织用户数据、业务数据和公司数据，最终实现使数据使用更安全的愿景。

数据安全实施框架

数据安全工作如此繁杂多样，我们如何具体落地和有序建设执行呢，基于数据安全建设框架，制定如下数据安全实施框架：

 

框架说明

整体来看，每做一件事情，我们都要先做好计划，然后实施，实施中进行复核检测，进而改进，如此反复，阶梯式完成，形成一个PDCA的循环。

(1) Plan：

我们要制定好计划、确定范围和明确目标，识别的重点工作为：范围和边界的识别、账号识别、权限识别、数据识别、系统识别、操作识别、流程识别和数据的分类分级。

(2) Do&Act：

在Plan中的成果进行处置，事前做保护，事中做监视和检测，事后做响应和恢复。重点工作为合规的落地;安全基线的落地;管理制度的建立‘敏感信息在数据生命周期中的管控、处置和审计，如敏感数据打标签、传输的加密、存储的加密或脱敏、使用的脱敏、操作的日志记录等。

注：合规的部分问题可以参考我另两篇文章《数据安全怎么做——合规篇之CCPA》《数据安全怎做——合规篇之数据安全法》

资产梳理的问题可以参考我另一篇文章《企业安全建设之资产库篇》

其他详细内容都在撰写中，后续会一一发出，比如数据安全治理、管理各种子篇、技术各种子篇等等，敬请期待。

(3) Check：

用以对Do的成果的复核检测，提出问题和需求，由Act层跟进解决。

总结

数据安全是企业安全中与业务贴合最近的一项工作，好的落地势必会带来对业务的影响，所以搞定管理层是关键性因素，给数据安全工作戴上数据治理的帽子，

安全牵头，拉上所有数据相关方共同执行和承担责任，这样会大大增加工作开展的效率和有效性。

除此之外，数据安全的工作繁多，数据安全从业者需要为众多事情结合公司业务排好优先级，风险最大的不一定先做，优先做公司业务当前状态最需要的刚需，制定好工作计划，摸清家底，工作有序开展。

• 风险识别&风险分析—理论

在管理风险之前，必须识别出危险和潜在的危险事件。所谓识别过程就是在问题出现之前发现它们，并从是什么、何时、何地、如何发生、为什么发生等多方面进行描述。

风险分析

分析意味着将数据转化为与风险相关的决策支持信息。这些数据可能是危险事件的概率，或者事件发生造成的后果的严重程度。这些分析是企业为关键风险元素进行排序的基础。

首先说到风险识别就不得不提领结图，如下

领结图已被证明是培训操作人员识别风险、采取合理行动避免事故的有效工具。领结图通过一系列事件线将危险和后果连接起来，并指出事故的“路径”。图中可以列出系统中已经安装或者计划安装的安全栈，并跟与之相关的事件序列相连。还可以像上图一样分析工程、维护和运营活动对不同危险和防护安全栈的影响。

风险分析

风险分析最常见的定义为：系统地使用既有信息，识别出危险，并预测其对于人员、财产和环境的风险。

从某种意义上说，风险分析是一种主动的方法，目的是避免可能发生的事故。

风险分析主要按照三个步骤执行

1、危险源辨识。识别潜在的危险事件，以及与系统相关的危险源。同时，也需要识别出可能受损的资产。

2、可能性分析。在这一步中需要进行演绎分析，识别每一危险事件的成因。同时根据危险数据和专家判断预测危险事件的频率。

3、后果分析。这个环节需要进行归纳分析，识别所有由危险事件引起的潜在后果。归纳分析的目的通常是找出所有可能的最终结果，以及它们发生的概率。

风险分析的方法包括定性分析及定量分析，具体采用哪种方法需要取决于分析的目标。

定性风险分析：以完全定性的方法确定概率和后果。

定量风险分析：对概率及后果进行数学估算，有时还需考虑相关的不确定因素。

定量分析适合对那些概率较低、影响较大的事件的风险进行量化，也可进行专门的概率评估和大规模分析。