《信息安全工程与管理》课件第6章.ppt

4.信息泄露

(1)控制措施。应防止信息泄露的可能。

(2)实施指南。

为了限制信息被泄露的风险，应考虑以下要求：

·扫描隐藏信息的对外介质和通信，例如利用隐蔽通道的非法通信。

·掩盖和调整系统和通信的行为，以减少第三方从这些行为中推断信息的可能。

·使用被认为具有高完整性的系统和软件，例如经过评价的产品(见GB/T18336)。·在现在法律法规允许的情况下，定期监视个人和系统的活动。

·监视计算机系统的资源使用。5.外包软件开发

(1)控制措施。组织应管理和监视外包软件的开发。

(2)实施指南。

在外包软件开发时，应考虑以下要求：

·许可证安全、代码所有权和知识产权。

·所完成工作的质量和准确性的认证。

·第三方发生故障时的契约安排。

·审核所完成的工作质量和准备性的访问权。

·代码质量和安全功能的合同要求。

·在安装前，检测恶意代码和特洛伊木马。6.9.6技术脆弱性管理

对技术脆弱性进行管理和控制，降低可能利用已公布的技术脆弱性导致的风险。

(1)控制措施。应及时得到现用信息系统技术脆弱性的信息，评价组织对这些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。

(2)实施指南。

一个组织的技术脆弱性管理过程的正确实施对许多组织来说是非常重要的，因此应定期对其进行监视。一个准确的清单对于确保识别潜在的相关技术脆弱性而言是必要的。支持脆弱性管理所需的特定信息包括软件供应商、版本号、部署的当前状态，以及组织内负责软件的人员。

应采取适当的、及时的措施以响应潜在的技术脆弱性，并遵循以下要求：

·定义和建立与技术脆弱性管理相关的角色和职责。

·用于识别相关的技术脆弱性和维护有关这些脆弱性的认识的信息资源。·要制定时间表对潜在的相关技术脆弱性的通知作出反应。

·一旦潜在的技术脆弱性被确定，组织要识别相关的风险并采取措施。

·如果有可用的补丁，则要评估该补丁的相关风险。

·在安装补丁之前，要进行测试与评价，以确保它们是有效的，且不会导致不能容忍的负面影响。如果不能对补丁进行充分的测试，或由于成本或资源缺乏，那么需要考虑推迟打补丁，以便基于其他用户报告的经验来评价相关的风险。·定期对技术脆弱性管理过程进行监视和评价，以确保其有效性和高效率。

6.10.1报告信息安全事件和弱点

对信息安全事件和弱点进行报告，确保与信息系统有关的信息安全事件和弱点能够以某种方式传达，以便及时采取纠正措施。

1.报告信息安全事件

(1)控制措施。应尽可能快地通过适当的管理渠道报告信息安全事件。6.10安全事件管理(2)实施指南。

应建立正式的信息安全事件报告规程和事件响应及上报规程，以便在收到信息安全事件报告时采取应对措施。为了报告信息安全事件，应建立联络点，确保整个组织都知道该联络点，该联络点一直保持可用并能提供充分和及时地响应。

所有雇员、承包方人员和第三方人员都应知道他们有责任尽可能快地报告任何信息安全事件，他们还应知道报告信息安全事件的规程和联络点。在高风险环境下，可以提供强迫警报，借此被强迫的人员可以指出这个问题。对强迫警报的响应规程应反映该警报所指明的高风险情况。2.报告安全弱点

(1)控制措施。应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。

(2)实施指南。

为了预防信息安全事件，所有雇员、承包方人员和第三方人员应尽可能地将这些事情报告给他们的管理层，或直接报告给服务提供者。报告机制应尽可能方便、可访问和可利用。6.10.2信息安全事件的响应管理

要采用一致和有效的方法对信息安全事件进行响应和总结，并收集相关证据。

1.职责和规程

(1)控制措施。应建立管理职责和规程，以确保快速、有效和有序地响应信息安全事件。

(2)实施指南。

除了对信息安全事件和弱点进行报告外，还应利用对系统、报警和脆弱性的监视来检测信息安全事件。信息安全事件的管理规程应考虑以下要求：·建立规程以处理不同类型的信息安全事件，例如服务丢失、恶意代码、拒绝报务等。

·除了正常的应急计划，规程还应包括事件原因分析与确定、遏制事件影响扩大的策略、计划和实施纠正措施、与涉及事件影响或恢复的人员沟通、报告所采取的措施等。

·适当的时候，收集和保护审核踪迹和类似证据，用于问题分析、谈判、法庭证据等。

·恢复安全违规和纠正系统故障的措施应谨慎地、正式地加以控制。2.对信息安全事件的总结

(1)控制措施。应有一套机制量化和监视信息安全