All In One - 第1章 安全与风险管理 (二)

1.介绍国际行业标准

      什么是框架？框架是为了解决什么问题？

2.计算机犯罪

 

1.国际行业标准及其作用领域

框架是一种概念性的结构，帮助人们理解复杂事物的工具

框架 = 逻辑+管理+物理+程序+业务+人 

业务人员和技术人员的冲突：语言不通，框架能让双方以能理解的方式审视同一组织

（1）安全规划开发

ISO/IEC 27000系列：ISO和IEC联合开发的关于如何开发和维护信息安全管理体系的国际标准

ISO/IEC 27000 概述和词汇

ISO/IEC 27001 ISMS要求

ISO/IEC 27002 信息安全管理体系实践代码

ISO/IEC 27003 信息安全管理体系实施指南

ISO/IEC 27004 信息安全管理衡量指南与指标框架

ISO/IEC 27005 信息安全风险管理指南

ISO/IEC 27006 认证机构要求

ISO/IEC 27007 ISMS审计

ISO/IEC 27008 审计师指南

ISO/IEC 27011 通信组织信息安全管理指南

ISO/IEC 27014 信息安全治理指南

ISO/IEC 27015 金融行业信息安全管理指南

ISO/IEC 27031 业务连续性

ISO/IEC 27032 网络空间安全指南

ISO/IEC 27033 网络安全指南

ISO/IEC 27034 应用安全指南

ISO/IEC 27035 安全事件管理指南

ISO/IEC 27037 数字证据收集和保存指南

ISO/IEC 27799 医疗机构信息安全管理指南

 

信息安全管理“PDCA”模型-戴明环

（2）企业架构开发

Zachman架构：由John Zachman开发的企业框架开发模型

TOGAF：由The Open Group开发的用于企业架构开发的模型和方法论

DoDAF：美国国防部开发的架构框架，主要用于保障军事任务完成过程中系统间的互操作性

MODAF：英国国防部开发的架构框架，主要用于保障军事任务支持方面

SABSA ：企业信息安全架构开发的模型和方法论

（3）安全控制开发

COBIT 5：IT企业管理和治理的业务框架，信息系统审计和控制协会（ISACA）开发

NIST SP 800-53：美国国家标准与技术研究院开发的保护联邦系统的控制集

COSO:企业内控：由反欺诈财务报告全国委员会发起组织委员会（Committee of Sponsoring Organizations）开发，降低财务欺诈风险的国内公司控制集

（4）过程管理开发

ITIL：英国商务部开发的IT服务管理的过程

Six Sigma：开展过程改进的业务管理策略                                                                                                               

Capability Maturity Model Integration CMMI模型：卡耐基梅隆大学开发，用于改进组织的开发过程

初始化-可管理-可定义-可量化管理-可优化

 

• 安全是在安全与必要的功能性之间的平衡

 

2.计算机犯罪

1.计算机辅助犯罪：使用计算机来帮助实施犯罪，没有计算机仍可以进行犯罪，如盗窃，栽赃陷害

2.针对计算机的犯罪：计算机成为专门针对它们及其所有者进行攻击的受害者，如ddos攻击，安装rootkit

3.计算机牵涉型攻击：计算机在犯罪起次要作用

计算机分类的原因：将当前的法律用于数字世界中的犯罪

 

3.网络犯罪

1.电子资产

（1）保护那些资产和进行到何种保护程度

（2）保护不限于数据，还包括定义敏感及保存这些数据的位置

2.攻击演变

1.炫耀行为

• 自我驱动->组织犯罪，利益驱动

2.攻击类型

• 扫描行为
• APT（Advanced Persistent Threat）:一群攻击者，利用各种攻击方法渗入网络，成功后隐藏起来，等待最有利的时间发动攻击或者等待指令发动攻击 ->应对方案流量检测（VPN的流量可能不会检测到？通过vpn日志的方式进行监控？）

3.国际问题

       当遇到跨国犯罪时，国与国之间壁垒成为犯罪者的保护伞，为了解决该问题，欧洲理事会创造出网络犯罪公约；与其他国家进行数据交换必须遵循OECD的8个原则：

• 收集限制原则
• 数据性质原则
• 目的说明原则
• 使用限制原则
• 安全防护原则
• 开放原则
• 个人参与原则
• 可被问责原则

进出口法律

• 2017年，中国发布网络安全法和信息安全等级保护管理办法、
• 2017年，欧盟发布GDPR

4.法律的类型

1.普通法系（英美法系、海洋法系）

• 判例法，强调遵循判例（Precedent）
• 使用国家：美国、英格兰、威尔士、爱尔兰、前英国殖民地

2.大陆法系（欧陆法系、罗马法系、民法法系、法典法系）

• 以成文法为主，通常不承认判例法的地位，崇尚理性主义，构建抽象化的概念体系，发源于欧洲大陆
• 使用国家：德国、法国、中国、日本

3.习惯法法系

• 独立于国家法制之外，依据某种社会规范，在世界，依据某种社会权威确立的、具有强制性和习惯性的行为规范的总和
• 介于道德和法律之间
• 使用国家：印度

4.宗教法律体系

• 基于宗教信仰
• 神训导的知识和准则来定义和规范人类的事务，涉及生活的方方面面，立法者和学者并不创建法律，而是试图发现法律的真理
• 使用地区：中东

5.混合法律体系

• 联合使用、累计或交互应用的两个或几个法律
• 使用国家：荷兰、加拿大、南非

5.知识产权

1.商业秘密

• 公司的重要资源，不被未授权使用和公开，不公开，例子：产品配方、程序源代码
• NDA（NonDisclosure Agreement）保密协议

2.版权

• 作者对其原创作品的公开发行、复制、展示和修改的法律权利，公开内容

3.商标

• 定义：公司形象的商业标识，如单词、名称、符合、声音、形状、颜色设备或这些项的组合
• 需注册，不允许使用

4.专利

• 对专利注册人和公司的专利拥有权的法律认可，禁止他人或公司未经拥有人授权而使用复制专利所保护的声明
• 专利有效期：20年
• 登记、可转让、有效期、可收费使用

5.软件盗版

• 盗版软件：软件在作者未授权下进行传播、复制、交易
• 软件许可：自由软件、商业软件、共享软件、学术软件
• 软件保护协会SPA、反软件盗窃联盟（FAST）、数字千年版权法案DMCA

 

参考：

1.AIO-CISSP认证指南

2.GooAnn 培训讲义