1.介绍国际行业标准
什么是框架?框架是为了解决什么问题?
2.计算机犯罪
1.国际行业标准及其作用领域
框架是一种概念性的结构,帮助人们理解复杂事物的工具
框架 = 逻辑+管理+物理+程序+业务+人
业务人员和技术人员的冲突:语言不通,框架能让双方以能理解的方式审视同一组织
(1)安全规划开发
ISO/IEC 27000系列:ISO和IEC联合开发的关于如何开发和维护信息安全管理体系的国际标准
ISO/IEC 27000 概述和词汇
ISO/IEC 27001 ISMS要求
ISO/IEC 27002 信息安全管理体系实践代码
ISO/IEC 27003 信息安全管理体系实施指南
ISO/IEC 27004 信息安全管理衡量指南与指标框架
ISO/IEC 27005 信息安全风险管理指南
ISO/IEC 27006 认证机构要求
ISO/IEC 27007 ISMS审计
ISO/IEC 27008 审计师指南
ISO/IEC 27011 通信组织信息安全管理指南
ISO/IEC 27014 信息安全治理指南
ISO/IEC 27015 金融行业信息安全管理指南
ISO/IEC 27031 业务连续性
ISO/IEC 27032 网络空间安全指南
ISO/IEC 27033 网络安全指南
ISO/IEC 27034 应用安全指南
ISO/IEC 27035 安全事件管理指南
ISO/IEC 27037 数字证据收集和保存指南
ISO/IEC 27799 医疗机构信息安全管理指南
信息安全管理“PDCA”模型-戴明环
(2)企业架构开发
Zachman架构:由John Zachman开发的企业框架开发模型
TOGAF:由The Open Group开发的用于企业架构开发的模型和方法论
DoDAF:美国国防部开发的架构框架,主要用于保障军事任务完成过程中系统间的互操作性
MODAF:英国国防部开发的架构框架,主要用于保障军事任务支持方面
SABSA :企业信息安全架构开发的模型和方法论
(3)安全控制开发
COBIT 5:IT企业管理和治理的业务框架,信息系统审计和控制协会(ISACA)开发
NIST SP 800-53:美国国家标准与技术研究院开发的保护联邦系统的控制集
COSO:企业内控:由反欺诈财务报告全国委员会发起组织委员会(Committee of Sponsoring Organizations)开发,降低财务欺诈风险的国内公司控制集
(4)过程管理开发
ITIL:英国商务部开发的IT服务管理的过程
Six Sigma:开展过程改进的业务管理策略
Capability Maturity Model Integration CMMI模型:卡耐基梅隆大学开发,用于改进组织的开发过程
初始化-可管理-可定义-可量化管理-可优化
- 安全是在安全与必要的功能性之间的平衡
2.计算机犯罪
1.计算机辅助犯罪:使用计算机来帮助实施犯罪,没有计算机仍可以进行犯罪,如盗窃,栽赃陷害
2.针对计算机的犯罪:计算机成为专门针对它们及其所有者进行攻击的受害者,如ddos攻击,安装rootkit
3.计算机牵涉型攻击:计算机在犯罪起次要作用
计算机分类的原因:将当前的法律用于数字世界中的犯罪
3.网络犯罪
1.电子资产
(1)保护那些资产和进行到何种保护程度
(2)保护不限于数据,还包括定义敏感及保存这些数据的位置
2.攻击演变
1.炫耀行为
- 自我驱动->组织犯罪,利益驱动
2.攻击类型
- 扫描行为
- APT(Advanced Persistent Threat):一群攻击者,利用各种攻击方法渗入网络,成功后隐藏起来,等待最有利的时间发动攻击或者等待指令发动攻击 ->应对方案流量检测(VPN的流量可能不会检测到?通过vpn日志的方式进行监控?)
3.国际问题
当遇到跨国犯罪时,国与国之间壁垒成为犯罪者的保护伞,为了解决该问题,欧洲理事会创造出网络犯罪公约;与其他国家进行数据交换必须遵循OECD的8个原则:
- 收集限制原则
- 数据性质原则
- 目的说明原则
- 使用限制原则
- 安全防护原则
- 开放原则
- 个人参与原则
- 可被问责原则
进出口法律
- 2017年,中国发布网络安全法和信息安全等级保护管理办法、
- 2017年,欧盟发布GDPR
4.法律的类型
1.普通法系(英美法系、海洋法系)
- 判例法,强调遵循判例(Precedent)
- 使用国家:美国、英格兰、威尔士、爱尔兰、前英国殖民地
2.大陆法系(欧陆法系、罗马法系、民法法系、法典法系)
- 以成文法为主,通常不承认判例法的地位,崇尚理性主义,构建抽象化的概念体系,发源于欧洲大陆
- 使用国家:德国、法国、中国、日本
3.习惯法法系
- 独立于国家法制之外,依据某种社会规范,在世界,依据某种社会权威确立的、具有强制性和习惯性的行为规范的总和
- 介于道德和法律之间
- 使用国家:印度
4.宗教法律体系
- 基于宗教信仰
- 神训导的知识和准则来定义和规范人类的事务,涉及生活的方方面面,立法者和学者并不创建法律,而是试图发现法律的真理
- 使用地区:中东
5.混合法律体系
- 联合使用、累计或交互应用的两个或几个法律
- 使用国家:荷兰、加拿大、南非
5.知识产权
1.商业秘密
- 公司的重要资源,不被未授权使用和公开,不公开,例子:产品配方、程序源代码
- NDA(NonDisclosure Agreement)保密协议
2.版权
- 作者对其原创作品的公开发行、复制、展示和修改的法律权利,公开内容
3.商标
- 定义:公司形象的商业标识,如单词、名称、符合、声音、形状、颜色设备或这些项的组合
- 需注册,不允许使用
4.专利
- 对专利注册人和公司的专利拥有权的法律认可,禁止他人或公司未经拥有人授权而使用复制专利所保护的声明
- 专利有效期:20年
- 登记、可转让、有效期、可收费使用
5.软件盗版
- 盗版软件:软件在作者未授权下进行传播、复制、交易
- 软件许可:自由软件、商业软件、共享软件、学术软件
- 软件保护协会SPA、反软件盗窃联盟(FAST)、数字千年版权法案DMCA
参考:
1.AIO-CISSP认证指南
2.GooAnn 培训讲义