2016年信息安全工程师考试案例分析讨论[二].docxVIP

2016年信息安全工程师考试案例分析讨论（二）信息安全工程师考试因为是首次开考，案例分析试题资源比较少，希赛软考学院为大家整理了几篇信息安全工程师案例分析讨论，希望对大家能有所帮助。案例背景：张三是一个大型软件公司的程序员，其工作是编写和测试一些工具软件。他所在的公司采用两班轮换制：白天进行程序开发和联机操作，晚上完成产品的批处理工作。张三通过访问工作负荷数据了解到，晚上的批处理工作是白天编程工作的补充。也就是说，在晚班时增加程序设计工作，不会太多地影响他人使用计算机的操作性能。张三利用晚班时间，花费几个小时编程，开发了一个管理自己股票清单的程序，之后又回到他的公司产品批处理工作。他的编程对系统消耗很小，耗材很少，几乎察觉不到。张三的做法违反法律吗？行为道德吗？讨论：1、资产拥有权问题。计算机资产与时间人员资产。只为公司的工作需要提供资源。2、一人行为对他人的影响问题。尽管程序对系统消耗很小，程序也简单，一般情况也可能无影响。但不能保证程序中没有漏洞。如有就会对系统造成严重影响或故障。3、普遍性问题。如果张三的行为可以接受，许多人都这样作，就可能影响系统效率。4、检测的可能性与处罚问题。不容易发觉并不是不能检测到，如果公司确定他的行为不当，就会受到处罚。案例背景最近网上热炒一个帖子，一名清华理科生根据影星王珞丹的微博，推理出王珞丹的住址。主要过程包括，根据王珞丹微博提到的她当演员这么多年，还没在四环以里买房子，并且在其他微博中提到她在四环堵车的情况，可以知道王珞丹住四环外，然后再根据她发的两张从家里拍小区的照片，大致知道小区中有一个大的四方形花坛。然后在google earth上找北京，找到有方形花坛的小区，然后再根据照片拍摄的位置和角度，就找到了王珞丹住住址。2008年奥运会举办前，因为国家领导万无一失的要求，北京进行了大规模的信息系统安全性检查，我参与了很多系统的安全性测试，遇到了这么一个案例。北京某区政府门户网站上，通过搜索网站，找到了一个邮箱使用说明,该网页说明了如何使用区政府公务员邮件系统。其中有以下描述：从这一段描述中，可以获得以下信息，邮箱命名方式一般用中文拼音的第一个字母，密码默认六个1,那么对于攻击者，只要在网上找找，就能找到区重要领导名字、重要部门的名称，再据此进行攻击。不过在本次测试中不需要，因为帮助说明最后给出了区重要领导的邮件地址（编写者是为了方便人员发邮件，直接告诉别人，给哪个部门发邮件发哪个邮箱等）。对这些公布的邮件进行了简单的口令测试（大纲只测了五分钟后），有重要领导的邮箱密码尚未改变，有两位领导已经改变，不过改得有些简单，123456，与没改一样。登录进行，看到了给领导发的汇报材料，请示之类的。还好我只是测试人员，不是XX功人员，否则以此领导的邮箱群发个XX功的宣传邮件，我想在当时保奥运的严格要求形势下，应该反应会比较激烈，后果很严重。从铁人王进喜照片泄密案到现在的影星隐私泄露表明，很多时候，信息安全问题是在不经意间产生的。公开的信息会出卖你的，不要太不以为意，信息安全如是，生活中如是。案例背景2011年七月，处理了一起服务器入侵事件，这起事件可以说是非常普通的入侵案件，每年都会处理很多起，也没有什么技术含量，只是这起案件带来了一些对安全的思考。因为前几天写的一个案例被杨泉老师说要作为案例在讲课时候进行介绍，为了给以后的各位老师们提供素材，所以准备逐步把自己做这么多年安全中遇到过的案例逐步写出了，给各位CISP老师和其他信息安全培训讲师做参考。事件起因非常简单：管理员发现一台服务器被入侵，但是不知道如何被入侵的，正好此单位信息化领导是朋友，请我去帮忙看看。简单了解了一下情况，服务器前有防火墙，只开放了80、3389端口，服务器补丁打全了。按照老习惯怀疑可能SQL注入，但是看web日志前，习惯性的先简单看了看服务器日志，发现服务器安全日志中存在多个互联网IP地址从远程终端登录的记录，甚至有在夜间的。于是问了一下管理员和开发商人员，在记录的时间段内是否进行过登录，回答均没有在那个时间登录过，初步判断可能是密码被猜出来，攻击者直接从终端服务进行了远程登录，登录到系统上进行了操作。问管理员密码情况如何，管理员说我们密码安全性应该比较好，有字母、有特殊字符，而且12位长，问之什么密码，答约：zaq12wsxZAQ! WSX。大家看起来应该比较复杂，仔细看一下你的计算机键盘，其实就是最左边的一排键，从下按到上，兜一圈按下来，然后按着shift键再重按一次。自认为聪明的管理员啊，这种密码的设置方式，攻击者都知道了，不再是安全的密码了，案例非常简单，似乎没有什么参考价值，其实其中牵涉到了密码设置的问题。账号密码设置是信息安全中最基本的安全措施，尽管非常简单，但是任然有大量的安全事件与密码有关，如何设置一个好的