金融信息安全(11)-系統(tǒng)運營中的風(fēng)險管理課件

《金融信息安全(11)-系統(tǒng)運營中的風(fēng)險管理課件》由會員分享，可在線閱讀，更多相關(guān)《金融信息安全(11)-系統(tǒng)運營中的風(fēng)險管理課件（62頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、,,,,,,,,,,,,,,,,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,,?,?#?,系統(tǒng)運營中的風(fēng)險管理,李改成,lgc@,,?,主要內(nèi)容,資源配置和優(yōu)化,系統(tǒng)切換,日常運行,管理例程、日常操作,備份和恢復(fù),數(shù)據(jù)備份、數(shù)據(jù)恢復(fù) 、安全恢復(fù),災(zāi)難恢復(fù),災(zāi)難恢復(fù)層次 恢復(fù)指標(biāo) 成本-效益分析,安全事件管理,流程,安全事件管理工具,審計、安全警報、,審計日志,事件分析,關(guān)聯(lián),安全事件報告,風(fēng)險實時控制,基于范例的推理,,,?,TPC,TPC(TransactionProcessing PerformanceCouncil，事務(wù)處理性能委員會)制定商務(wù)應(yīng)用

2、基準(zhǔn)程序(Benchmark)的標(biāo)準(zhǔn)規(guī)范、性能和價格度量，并管理測試結(jié)果的發(fā)布。TPC－C是在線事務(wù)處理(OLTP)的基準(zhǔn)程序。,在使用時，考察基準(zhǔn)程序是否符合企業(yè)真實的業(yè)務(wù)流程和運作模式。當(dāng)同樣的主機用在不同的系統(tǒng)中時，tpC值可能有相當(dāng)大的變化。,選擇主機,主機系統(tǒng)應(yīng)該具備與業(yè)務(wù)規(guī)模和特點相適應(yīng)的處理能力。,主機系統(tǒng)的處理要求應(yīng)與每筆業(yè)務(wù)所消耗的主機CPU處理能力和系統(tǒng)要求達到的單位時間內(nèi)的交易筆數(shù)相關(guān)。,由于某種特殊情況的出現(xiàn)，可能導(dǎo)致突發(fā)性的業(yè)務(wù)尖峰，為了避免由于業(yè)務(wù)出現(xiàn)的突發(fā)尖峰導(dǎo)致系統(tǒng)崩潰，我們需要對資源的占用作出相應(yīng)的控制。,,?,冗余,為實現(xiàn)運行過程中的安全恢復(fù)，需要建立一個可

3、靠并經(jīng)過驗證的系統(tǒng)基礎(chǔ)結(jié)構(gòu)，系統(tǒng)的每一級部件都一定要有冗余。,對于關(guān)鍵的IT應(yīng)用來講，管理層應(yīng)有規(guī)律地評估不間斷電源電池和發(fā)電機的需求。對主機房電源要有完整的雙回路備份機制, 不間斷電源（UPS），保證關(guān)鍵的IT應(yīng)用不受電源失效或波動的影響。,主機、網(wǎng)絡(luò)設(shè)備、前置機等關(guān)鍵易損件是否有備份.硬件如多CPU和硬盤鏡像并行服務(wù)器、 廉價磁盤冗余陣列 (RAID s)。,通過通信端口備份 ，可提高網(wǎng)絡(luò)響應(yīng)速度，實現(xiàn)網(wǎng)絡(luò)容錯和恢復(fù)。,操作系統(tǒng)、中間件、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)應(yīng)能提供安全恢復(fù)機制，例如，數(shù)據(jù)庫的日志和鎖定。,應(yīng)用備用系統(tǒng) 一般來說，可實現(xiàn)的服務(wù)級別要低。例如，當(dāng)電子終端不可用時，使用手工壓卡

4、機進行信用卡交易。這是應(yīng)用級冗余的例子。,不同層次使用不同的機制，用于不同的目的。,冗余磁盤不能防止惡意程序員刪除賬戶文件,備份不能阻止它插入越來越多的錯誤，更不能保護數(shù)據(jù)的機密性。,,,,?,系統(tǒng)選擇標(biāo)準(zhǔn),系統(tǒng)配置的考量標(biāo)準(zhǔn),一是性能和容量方面的要求，對資源性能、應(yīng)用規(guī)模和工作量需求方面的數(shù)據(jù)進行收集、分析和報告，,相關(guān)的硬件和軟件的性能/價格比變化。跟蹤所有IT資源的分配成本，包括但不限于此：,硬件、 外圍設(shè)、線路、 應(yīng)用開發(fā)和支持、 行政管理的開銷、? 外部賣主的服務(wù)成本、維護,系統(tǒng)選擇,分析不同的成本分類的性能和關(guān)于成本效益的外部基準(zhǔn)，以便允許與行業(yè)預(yù)期或可選擇的服務(wù)來源進行比較。,同

5、時注意不應(yīng)過于依賴于同一個供應(yīng)商。,關(guān)鍵系統(tǒng)如芯片、操作系統(tǒng)、主要應(yīng)用軟件的國產(chǎn)化問題。,十五期間，中科院計算所將在通用CPU設(shè)計上取得重大突破，表明Linux操作系統(tǒng)在銀行應(yīng)用也是可行的。目前關(guān)鍵的問題 是組織力量開發(fā)與IBM公司軟件相當(dāng)?shù)拇笮蛻?yīng)用軟件。,,?,提高主機的利用效率,IT虛擬化技術(shù) 可達到多操作系統(tǒng)平臺上的集成虛擬化：,在核心的自動化規(guī)則比如可用性、安全、優(yōu)化和預(yù)先配置之間進行協(xié)調(diào)，根據(jù)應(yīng)用的優(yōu)先級自動分配資源，確保需求達到峰值時的應(yīng)用服務(wù)水平。,在年終結(jié)算的業(yè)務(wù)高峰期，只需一個簡單命令，就可以把其他設(shè)備聚合成一臺超大設(shè)備，集中所有資源，全面應(yīng)對峰值業(yè)務(wù)。而在平時，則可把閑置

6、資源用于人事系統(tǒng)、辦公系統(tǒng)等。,能夠?qū)⒂脩舻馁Y源利用率從平均20%提升到50%，并減少30%-40%的管理時間。,更重要的是，即使某個部分出現(xiàn)故障，適應(yīng)性IT系統(tǒng)也能自動調(diào)用資源，接管相應(yīng)計算，避免因故障而宕機，實現(xiàn)不間斷穩(wěn)定的業(yè)務(wù)運行。,,,,?,網(wǎng)絡(luò)配置,網(wǎng)絡(luò)負(fù)擔(dān)是影響系統(tǒng)成敗的一個重要因素。,線路,檢查可供客戶使用的容量，采取必要的措施保證接入線路的通暢，并采用適當(dāng)?shù)膫浞莺拓?fù)載均衡技術(shù)，保證客戶服務(wù)的可用性。,網(wǎng)絡(luò)設(shè)備,所有關(guān)鍵網(wǎng)絡(luò)設(shè)備如交換機、路由器等均采用雙機冗余熱備份措施,采用優(yōu)先級隊列、數(shù)據(jù)壓縮等技術(shù)靈活有效地利用帶寬。,密碼加速設(shè)備,解決對CPU資源過量需求的安全協(xié)議所造成的性

7、能問題。,,?,日常管理例程,人員管理和溝通,在聘用前進行詳細(xì)的考察，確定有無犯罪記錄，確保雇員、合同工和第三方用戶理解其自身責(zé)任，適合角色定位，減少偷竊、欺詐或誤用設(shè)施帶來的風(fēng)險。,確保所有雇員、合同工和第三方用戶都意識到信息安全威脅、利害關(guān)系、責(zé)任和義務(wù)。,加強對從業(yè)人員，特別是一線員工的業(yè)務(wù)培訓(xùn)，促使員工熟練掌握各業(yè)務(wù)環(huán)節(jié)的操作規(guī)范，減少或避免出現(xiàn)操作失誤。,明確解聘責(zé)任，要求返還資產(chǎn)，去除訪問權(quán)限，確保雇員、合同工和第三方用戶按照既定方式離職或變更職位。,,?,日常管理例程,另一個問題是當(dāng)風(fēng)險具有政治上的敏感性時，直接了當(dāng)?shù)乇砻麽槍?nèi)部員工的安全控制會刺激他們的作為主人翁的尊嚴(yán)，可能需

8、要一些遮掩的方法。經(jīng)常，內(nèi)部控制措施需要以降低錯誤和保護員工的面目被引入。,例如， 銀行經(jīng)理樂意使用雙重保險鎖，因為這會降低他們的家人被綁架勒索的危險，同樣，大額交易的雙重簽名會減輕他們的責(zé)任壓力。但是，并不是在任何情況下都能達到這樣的共識。,通過操作員要循環(huán)輪班，采取渡假和休假并維護資格。操作人員更換期間，通過規(guī)定活動、狀態(tài)更新和有關(guān)當(dāng)前責(zé)任報告的正式移交，建立一個處理連續(xù)性的程序。另外，應(yīng)存在一個程序，來確認(rèn)、調(diào)查、審批與標(biāo)準(zhǔn)工作時間安排的背離。,,?,日常操作,操作規(guī)程,處理信息系統(tǒng)運行以完成業(yè)務(wù)目標(biāo)的政策和程序，包括系統(tǒng)啟停、動態(tài)調(diào)整、定期數(shù)據(jù)清理、啟動、關(guān)機、工作負(fù)載計劃安排等。,操

9、作規(guī)程最初的時間安排以及這些時間安排的變更，應(yīng)被適當(dāng)?shù)厥跈?quán)。,通過歸檔、定期地測試以及根據(jù)需要進行調(diào)整，IT管理層應(yīng)確保操作人員對啟動程序和其它操作任務(wù)足夠的熟悉和自信。,管理模式和管理措施應(yīng)隨著業(yè)務(wù)的變化和客觀環(huán)境的需要進行調(diào)整、補充和完善。,針對不同安全崗位的操作管理,對重要設(shè)施設(shè)備的接觸、檢查、維修和應(yīng)急處理，應(yīng)有明確的權(quán)限界定、責(zé)任劃分和操作流程。,網(wǎng)點合法性管理、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)運行監(jiān)控管理、網(wǎng)絡(luò)信道安全管理、網(wǎng)絡(luò)設(shè)備設(shè)施安全管理等內(nèi)容,操作系統(tǒng)安全管理主要包括系統(tǒng)管理員級別劃分、訪問權(quán)限控制管理、日常維護安全管理、故障診斷及處理、審計跟蹤等幾方面內(nèi)容,,?,日常操作,數(shù)據(jù)庫訪問控制管

10、理、數(shù)據(jù)備份管理、數(shù)據(jù)使用授權(quán)管理、數(shù)據(jù)存儲時限管理、數(shù)據(jù)密級管理等,操作安全管理是主要包括操作權(quán)限管理、操作規(guī)范管理、操作責(zé)任管理、操作監(jiān)督管理和誤操作恢復(fù)管理等內(nèi)容,管理和維護失效和例外,跟蹤記錄系統(tǒng)維護方面的問題，以便標(biāo)識需要額外關(guān)注的地方，內(nèi)容包括對正常管理及維護程序的例外情況的描述，其中包括該例外情況出現(xiàn)的原因和持續(xù)的時間。,對系統(tǒng)運行過程中出現(xiàn)的故障，能從系統(tǒng)軟件、應(yīng)用軟件等不同層次提供故障碼。特別是應(yīng)用系統(tǒng)應(yīng)該提供故障點、診斷信息以及故障庫等。,每個安全應(yīng)用必須涉及建立適當(dāng)?shù)陌踩珔?shù)，實現(xiàn)這些參數(shù)，監(jiān)視和分析運行結(jié)果并調(diào)整這些參數(shù)。,,?,數(shù)據(jù)備份,數(shù)據(jù)類型 從數(shù)據(jù)用途角度一

11、般可將數(shù)據(jù)分為系統(tǒng)數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)、應(yīng)用數(shù)據(jù)、臨時數(shù)據(jù)；根據(jù)數(shù)據(jù)存貯與管理方式又可分為數(shù)據(jù)庫數(shù)據(jù)、非數(shù)據(jù)庫數(shù)據(jù)。,(1)系統(tǒng)數(shù)據(jù)（SYSTEM DATA）,系統(tǒng)數(shù)據(jù)主要是指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)執(zhí)行程序。系統(tǒng)數(shù)據(jù)在系統(tǒng)安裝后基本上不再變動，只有在操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)版本升級或應(yīng)用程序調(diào)整時才發(fā)生變化。系統(tǒng)數(shù)據(jù)一般都有標(biāo)準(zhǔn)的安裝介質(zhì)（軟盤、磁帶、光盤）。,(2)基礎(chǔ)數(shù)據(jù)（INFRASTRUCTURE DATA）,基礎(chǔ)數(shù)據(jù)主要是指保證應(yīng)用系統(tǒng)正常運行所使用的系統(tǒng)目錄、用戶目錄、系統(tǒng)配置文件、網(wǎng)絡(luò)配置文件、應(yīng)用配置文件、存取權(quán)限控制等?；A(chǔ)數(shù)據(jù)隨應(yīng)用系統(tǒng)運行環(huán)境的變化而變化，一般作為系統(tǒng)檔案進

12、行保存。,(3)應(yīng)用數(shù)據(jù)（APPLICATION DATA）,應(yīng)用數(shù)據(jù)主要是指應(yīng)用系統(tǒng)的所有業(yè)務(wù)數(shù)據(jù)，對數(shù)據(jù)的安全性、準(zhǔn)確性、完整性要求很高而且變化頻繁,,?,數(shù)據(jù)類型,(4)臨時數(shù)據(jù)（TEMPORARY DATA）,主要是指操作系統(tǒng)、數(shù)據(jù)庫產(chǎn)生的系統(tǒng)日志和應(yīng)用程序在執(zhí)行過程中產(chǎn)生的各種用于打印、傳輸?shù)呐R時文件，隨系統(tǒng)運行和業(yè)務(wù)的發(fā)生而變化。臨時數(shù)據(jù)對業(yè)務(wù)數(shù)據(jù)的完整性影響不大，增大后需要定期進行清理。,(5)數(shù)據(jù)庫數(shù)據(jù)（DATABASE DATA）,是指通過數(shù)據(jù)庫管理系統(tǒng)（DBMS）來進行存取和管理的數(shù)據(jù)。,(6)非數(shù)據(jù)庫數(shù)據(jù)（NON-DATABASE DATA）,是指通過文件管理系統(tǒng)等非數(shù)據(jù)

13、庫管理系統(tǒng)來進行存取和管理的數(shù)據(jù)。,(7)孤立數(shù)據(jù)（ORPHAN DATA）,是指從最后一次應(yīng)用數(shù)據(jù)備份后到事件發(fā)生、系統(tǒng)運行停止前未備份的數(shù)據(jù)。這部分?jǐn)?shù)據(jù)通常需要通過人工等方法重新錄入到系統(tǒng)中。一般情況下，孤立數(shù)據(jù)越多，系統(tǒng)恢復(fù)的時間就越長，業(yè)務(wù)的停頓時間也就越長。孤立數(shù)據(jù)的多少與數(shù)據(jù)備份的周期有很大關(guān)系。,(8)遺失數(shù)據(jù)（LOST DATA）,是指無法恢復(fù)或彌補的數(shù)據(jù)。,,?,數(shù)據(jù)類型特點,,?,數(shù)據(jù)備份策略,根據(jù)采取的數(shù)據(jù)備份技術(shù)和數(shù)據(jù)備份方式可以將數(shù)據(jù)備份策略分為以下幾類:,(1)定期備份,指按一定的時間間隔（一般為一天）將系統(tǒng)某一時刻的數(shù)據(jù)備份到磁帶等介質(zhì)上。,對不同的數(shù)據(jù)類型應(yīng)根據(jù)

14、其易變性采取不同的備份周期。,(2)定期備份＋關(guān)鍵數(shù)據(jù)備份,除對數(shù)據(jù)作定期備份之外，還更新數(shù)據(jù)的日志或流水等關(guān)鍵數(shù)據(jù)及時地備份下來傳送到安全的地方，關(guān)鍵數(shù)據(jù)備份的時間間隔比定期備份要短，也可以是實時備份。,數(shù)據(jù)庫管理系統(tǒng)一般支持此種策略，可以用歸檔／備份工具作定期備份（如informix的０級備份），同時采用日志備份工具對日志作及時備份（如informix的邏輯日志連續(xù)備份）。,,?,數(shù)據(jù)備份策略,此方式孤立數(shù)據(jù)較定期備份方式要少得多。但是，數(shù)據(jù)恢復(fù)的時間仍然較長。有時仍需要依靠紙質(zhì)憑證或其他介質(zhì)來恢復(fù)孤立數(shù)據(jù)。,(3)關(guān)鍵數(shù)據(jù)備份連續(xù)恢復(fù),在備份系統(tǒng)中，裝有運行系統(tǒng)的數(shù)據(jù)影像拷貝，關(guān)鍵數(shù)據(jù)及

15、時地抽取后，立即在備份系統(tǒng)上更新數(shù)據(jù)庫。,由于備份中心已將數(shù)據(jù)恢復(fù)到最近的狀態(tài)，數(shù)據(jù)組織形式與運行系統(tǒng)相同，因而恢復(fù)時間將縮短很多。,在此策略中，投資較大，需要數(shù)據(jù)備份的主機或后備運行主機，如果采用數(shù)據(jù)通信方式傳送關(guān)鍵數(shù)據(jù)，還有一定的通信費用支出。,此外，在此策略中，孤立數(shù)據(jù)與定期備份＋關(guān)鍵數(shù)據(jù)備份策略一樣多。,,?,數(shù)據(jù)備份策略,(4)實時備份異步更新,數(shù)據(jù)更新操作的日志在被記錄進運行系統(tǒng)日志的同時，通過數(shù)據(jù)通信線路傳送到災(zāi)難備份系統(tǒng)，并立即對備份系統(tǒng)的數(shù)據(jù)影像拷貝進行更新。,由于數(shù)據(jù)更新操作被及時追加到災(zāi)難備份系統(tǒng)，因而，孤立數(shù)據(jù)很少，另外備份數(shù)據(jù)的組織形式與運行系統(tǒng)相同，所以恢復(fù)時間很短

16、，主要是追補孤立數(shù)據(jù)和網(wǎng)絡(luò)切換的時間。,支持此策略的技術(shù)一般有遠程磁盤鏡像異步方式、遠程數(shù)據(jù)庫復(fù)制異步方式和網(wǎng)絡(luò)數(shù)據(jù)鏡像異步方式，如IBM ES/9000 XRC, IBM AS/400 MIMIX, EMC SRDF異步方式, INFORMIX HDR異步方式, UNISYS RDB異步方式等。,,?,數(shù)據(jù)備份策略,(5)實時備份同步更新,數(shù)據(jù)更新操作同時在運行系統(tǒng)和備份系統(tǒng)進行，運行系統(tǒng)的數(shù)據(jù)更新操作首先通過高速數(shù)據(jù)通信線路傳送到備份系統(tǒng)，寫入備份系統(tǒng)的磁盤，運行系統(tǒng)在收到備份系統(tǒng)完成數(shù)據(jù)更新操作的確認(rèn)之后，寫入本地磁盤。,由于數(shù)據(jù)更新操作同步寫入備份系統(tǒng)，因而，孤立數(shù)據(jù)極少，基本無需追補

17、。由于備份系統(tǒng)處于熱備份狀態(tài)，因此災(zāi)難發(fā)生后的恢復(fù)時間極短，主要是網(wǎng)絡(luò)切換的時間。,此策略的投資和運行費用最高，由于需要高速數(shù)據(jù)通信線路，在目前通信技術(shù)條件下，只能限于同城范圍，且通信費用很高 。另外，此方式下，數(shù)據(jù)備份對運行系統(tǒng)的性能可能會有一定的影響。,支持此策略的技術(shù)一般有遠程磁盤鏡像同步方式、遠程數(shù)據(jù)庫復(fù)制同步方式和網(wǎng)絡(luò)數(shù)據(jù)鏡像同步方式，如IBM ES/9000 PPRC, IBM RS/6000 HAGEO, EMC SRDF同步方式, INFORMIX HDR同步方式等。,,?,數(shù)據(jù)恢復(fù),數(shù)據(jù)恢復(fù)一般按系統(tǒng)數(shù)據(jù),?,基礎(chǔ)數(shù)據(jù),?,應(yīng)用數(shù)據(jù)的順序進行。,應(yīng)用數(shù)據(jù)恢復(fù),1．已備份的應(yīng)用

18、數(shù)據(jù)的恢復(fù)：根據(jù)所采取的數(shù)據(jù)備份策略制定相應(yīng)的數(shù)據(jù)恢復(fù)方法。,2． 孤立數(shù)據(jù)的恢復(fù)：,人工追帳法,在主機系統(tǒng)進行備份數(shù)據(jù)恢復(fù)之后，直接通過原始憑證重新錄入,流水批量追帳法,將各聯(lián)網(wǎng)方（如網(wǎng)點、前置機、網(wǎng)間交易的對方等）的業(yè)務(wù)流水記錄文件通過網(wǎng)絡(luò)傳送到災(zāi)難備份系統(tǒng)，通過批量追帳功能批量地、自動地錄入系統(tǒng)。,3.數(shù)據(jù)的完整性和一致性檢查可以在三個層次上進行：,檢查數(shù)據(jù)集在物理上是一致的、完整的；,檢查每個數(shù)據(jù)庫在邏輯上是一致的、完整的；,檢查所有應(yīng)用數(shù)據(jù)在邏輯上是一致的、完整的。,,?,數(shù)據(jù)的完整性和一致性檢查,方法一：數(shù)據(jù)庫工具檢查法。,方法二：憑證核對法。,方法三：流水比較法。,方法四：平衡檢

19、查法。,根據(jù)應(yīng)用數(shù)據(jù)之間的關(guān)系進行數(shù)據(jù)的完整性和一致性檢查。,例如，通過應(yīng)用程序檢查應(yīng)用系統(tǒng)的總帳與分戶帳是否平衡、科目余額借貸是否平衡、分戶帳余額與明細(xì)帳余額是否相符、明細(xì)帳逐筆的發(fā)生額與余額是否一致等，另外對當(dāng)天的業(yè)務(wù)進行試算平衡檢查，檢查借貸發(fā)生額是否平衡、業(yè)務(wù)筆數(shù)、發(fā)生額是否與憑證匯總數(shù)和實物清點結(jié)果相符等。,,?,安全恢復(fù),安全恢復(fù)是指在系統(tǒng)中斷運營（由于各種原因造成，包括硬軟件故障、操作失誤、人為破壞、自然災(zāi)害發(fā)生等）之后恢復(fù)系統(tǒng)的運行，可分為內(nèi)部恢復(fù)和災(zāi)難恢復(fù)兩大類別。,恢復(fù)有兩種形式。,第一種是阻斷攻擊，并且評估、修復(fù)由攻擊造成的任何損害。,例如，若攻擊者刪除了一份文件，那么某

20、恢復(fù)機制應(yīng)能從備份磁帶中恢復(fù)該文件?；謴?fù)的功能應(yīng)包括辨識和修復(fù)攻擊者用以闖入系統(tǒng)的系統(tǒng)脆弱性。在某些情況下，追究攻擊者的責(zé)任也是恢復(fù)的一部分。恢復(fù)應(yīng)具備還原正確操作的功能。,第二種恢復(fù)方式要求攻擊正在發(fā)生時，系統(tǒng)還應(yīng)能正常運作。在任何時候這種系統(tǒng)都不會在功能上出錯，而只會將不重要的功能禁用。,,?,安全恢復(fù),當(dāng)多個網(wǎng)絡(luò)被管理員設(shè)置為同樣的優(yōu)先級時，可實現(xiàn)并行數(shù)據(jù)通道，同時在這些網(wǎng)絡(luò)上傳送數(shù)據(jù)，提高數(shù)據(jù)傳輸速度；當(dāng)優(yōu)先級高的網(wǎng)絡(luò)出現(xiàn)故障時，將應(yīng)用轉(zhuǎn)移到優(yōu)先級低的網(wǎng)絡(luò)，然后以一定時間間隔檢查高優(yōu)先級網(wǎng)絡(luò)是否已經(jīng)恢復(fù)。當(dāng)高優(yōu)先級的網(wǎng)絡(luò)恢復(fù)運行后，自動將應(yīng)用系統(tǒng)切換回高優(yōu)先級的網(wǎng)絡(luò),系統(tǒng)恢復(fù)是系統(tǒng)安全

21、的敏感時期，操作系統(tǒng)缺乏相應(yīng)的安全防護，容易留下隱患或被做手腳。整個恢復(fù)過程必須得到嚴(yán)格的監(jiān)控和記錄，恢復(fù)完成后必須進行安全審核。,,?,系統(tǒng)修復(fù),修復(fù),熱修復(fù)是指即時修改錯誤，然后將修正版本發(fā)布。熱修復(fù)雖然能夠立即產(chǎn)生效果，但是可能對系統(tǒng)的安全性帶來一定的影響。,常規(guī)修復(fù)解決不是十分嚴(yán)重的錯誤，一般都是累積到一定程度才發(fā)行出去。,修復(fù)錯誤所采取的措施應(yīng)該和最初系統(tǒng)設(shè)計采用同樣的安全流程。任何新的設(shè)計都應(yīng)該考慮模塊化、設(shè)計基本原則、文檔等問題，并進行相關(guān)的測試。,修復(fù)管理,必須由專門指定的應(yīng)用軟件維護人員，依照軟件維護管理制度，按照嚴(yán)格的程序?qū)嵤┸浖S護，處理運行過程中出現(xiàn)的問題。,對優(yōu)化后或

22、新增投入生產(chǎn)的軟件進行測試，并通過安全可信的渠道對這些軟件進行分發(fā)和安裝。,特別地，對于系統(tǒng)供應(yīng)商或服務(wù)商進行的遠程在線診斷和調(diào)試必須有嚴(yán)格的管理規(guī)程。,,?,災(zāi)難恢復(fù),災(zāi)難恢復(fù)是一個在發(fā)生信息系統(tǒng)災(zāi)難后，在遠離災(zāi)難現(xiàn)場的地方重新組織系統(tǒng)運行和恢復(fù)營業(yè)的過程。,《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》,災(zāi)難備份中心,是一個擁有災(zāi)難備份系統(tǒng)與場地，配備了專職人員，建立并制定了一系列運行管理制度、數(shù)據(jù)備份策略和災(zāi)難恢復(fù)處理流程，負(fù)責(zé)承擔(dān)災(zāi)難恢復(fù)任務(wù)的機構(gòu)。,真正的災(zāi)難備份必須滿足三個要素：,一是系統(tǒng)中的部件、數(shù)據(jù)都具有冗余性，即一個系統(tǒng)發(fā)生故障，另一個系統(tǒng)能夠保持?jǐn)?shù)據(jù)傳送的順暢；,二是具有長距離性，因為災(zāi)害總

23、是在一定范圍內(nèi)發(fā)生，因而保持足夠長的距離才能保證數(shù)據(jù)不會被同一個災(zāi)害全部破壞；,三是災(zāi)難備份系統(tǒng)追求全方位的數(shù)據(jù)復(fù)制。,上述三要素也稱為“3R”（Redundance、Remote 、Replication）,,?,災(zāi)難恢復(fù)層次,,?,災(zāi)難恢復(fù)層次,,?,災(zāi)難恢復(fù)層次的選擇,按照一定的順序，詢問一系列與商業(yè)災(zāi)備需求相關(guān)的問題，通過這些問題，可以確定災(zāi)備方案的基本環(huán)境、基礎(chǔ)構(gòu)件及期望的恢復(fù)時間。,部分問題答案的給出需要基于風(fēng)險評估和商業(yè)影響的分析。,另外一些問題則需要運營部門基于其IT基礎(chǔ)架構(gòu)給出答案。,這些問題可歸納為以下幾個方面的內(nèi)容：,災(zāi)難類型,需要考慮哪些災(zāi)難？怎樣的災(zāi)難？會使業(yè)務(wù)中斷多

24、久？在某一風(fēng)險發(fā)生的可能性極小時，即使造成的損失極大，也可能屬于可接受的風(fēng)險范疇。,需要注意的是，該接受程度是與時俱進的。在“911”事件發(fā)生后，業(yè)界已經(jīng)將低概率事件逐漸納入防護的范圍。,恢復(fù)程度,,?,災(zāi)難恢復(fù)層次的選擇,要保證數(shù)據(jù)的完整性(無數(shù)據(jù)丟失)、一致性(數(shù)據(jù)正確且可用）。,哪個或哪些應(yīng)用需要恢復(fù)？需要恢復(fù)每條記錄和交易嗎？可以使用上星期或昨天的數(shù)據(jù)嗎？需要恢復(fù)一切嗎？有不相關(guān)的文件嗎？什么是合法隱含的要求？有少數(shù)的一組人輸入交易嗎？他們可以重新輸入災(zāi)難期間丟失的交易嗎？這些交易十分重要而不容許丟失嗎？,恢復(fù)速度,災(zāi)難發(fā)生后需要多久來啟動及運行系統(tǒng)？能否承受數(shù)天或數(shù)分鐘的等待？,可用

25、的技術(shù),結(jié)合考慮所選技術(shù)在本地區(qū)的適用性、實現(xiàn)條件以及在實施時是否受某些現(xiàn)有條件的制約?；诰嚯x、平臺等問題的答案，剔除不符合要求的方案。,,?,災(zāi)難恢復(fù)層次的選擇,目前已知的幾種數(shù)據(jù)實時備份技術(shù)，一方面不能實現(xiàn)異種機之間互為備份，且大多數(shù)不能實現(xiàn)一對多備份；另一方面要求高速率的通信線路，一般需要T1級( 1.5Mbps) 甚至更高速率的線路，且對線路的可靠性要求很高,方案總體成本,實現(xiàn)災(zāi)難備份需要多少投資？不實現(xiàn)災(zāi)難備份會損失多少錢？為了達到成本要求，方案可能不能采取最先進有效的技術(shù)，并同時降低對恢復(fù)速度、范圍、災(zāi)難覆蓋面等方面的要求。,出于成本的考慮，仍有銀行只是進行系統(tǒng)冷備份，通過電話撥

26、號或人工傳遞進行異地數(shù)據(jù)保存，或租用其他大銀行的災(zāi)難備份中心來保護數(shù)據(jù)。,業(yè)務(wù)連續(xù)性的要求越來越高，但同時又要考慮成本因素，因此采用實時備份技術(shù)、采用外包方式將成為今后災(zāi)難備份中心發(fā)展的主要趨勢。,,?,基于業(yè)務(wù)的選擇,業(yè)務(wù)的恢復(fù)范圍,比如優(yōu)先恢復(fù)哪些業(yè)務(wù)的服務(wù)。它是連接技術(shù)方案選型及業(yè)務(wù)服務(wù)恢復(fù)承諾目標(biāo)之間的關(guān)鍵可衡量的指標(biāo)，并且決定性地影響著實施此方案的投資額度。,通過對可量化和不可量化損失的綜合考慮，得出各種核心業(yè)務(wù)流程由于災(zāi)難受損的可容忍程度及損失的決策依據(jù)。體現(xiàn)在IT系統(tǒng)上，是三個指標(biāo)：,數(shù)據(jù)恢復(fù)點目標(biāo)（RECOVERY POINT OBJECTIVE）：體現(xiàn)為該流程在災(zāi)難 發(fā)生后，

27、恢復(fù)運轉(zhuǎn)時數(shù)據(jù)丟失的可容忍程度；,恢復(fù)時間目標(biāo)（RECOVERY TIME OBJECTIVE）：體現(xiàn)為該流程在災(zāi)難發(fā)生后，需要恢復(fù)的緊迫性，也即多久能夠得到恢復(fù)的問題；,網(wǎng)絡(luò)恢復(fù)目標(biāo)（NETWORK RECOVERY OBJECTIVE）：即營業(yè)網(wǎng)點什么時候才能通過備份網(wǎng)絡(luò)與數(shù)據(jù)中心重新恢復(fù)通信的指標(biāo)；,根據(jù)計算機應(yīng)用系統(tǒng)的實時性要求及一旦停頓造成的損失，可將其劃分為關(guān)鍵應(yīng)用系統(tǒng)、重要應(yīng)用系統(tǒng)、一般應(yīng)用系統(tǒng)。,,?,關(guān)鍵應(yīng)用系統(tǒng)：,系統(tǒng)特點,業(yè)務(wù)數(shù)據(jù)集中存放，所聯(lián)接的網(wǎng)點及處理的業(yè)務(wù)較多，對保證整個企業(yè)的正常運轉(zhuǎn)至關(guān)重要，一旦業(yè)務(wù)中斷，將會嚴(yán)重地影響整個企業(yè)的正常運作。,一旦在特殊時期中斷如

28、月末、年末、業(yè)務(wù)量高峰期，則不僅會造成巨大的經(jīng)濟損失，而且有可能要承擔(dān)潛在的法律責(zé)任。,允許停頓時間分析：,從停機算起，RTO<8小時，RPO在15分鐘以內(nèi),對于面向客戶的關(guān)鍵應(yīng)用系統(tǒng)，周末、中午、夜晚可容忍的機算機應(yīng)用系統(tǒng)停頓時間可以稍長，業(yè)務(wù)量高峰期、月末、季末、年末應(yīng)用系統(tǒng)停頓時間要求短。,對于區(qū)域性災(zāi)難如地震、機房火災(zāi)、公共數(shù)據(jù)網(wǎng)大面積癱瘓等，客戶心理上容易承受，因此允許信息系統(tǒng)停頓時間相對較長，而對由于企業(yè)自身原因如系統(tǒng)故障造成計算機應(yīng)用系統(tǒng)頻繁停頓，客戶心理上比較難于接受，允許的停頓時間相對較短。,,?,其他應(yīng)用系統(tǒng),重要應(yīng)用系統(tǒng)：,業(yè)務(wù)中斷將對整個企業(yè)的正常、有效運轉(zhuǎn)產(chǎn)生較嚴(yán)重的

29、影響。如企業(yè)信息網(wǎng)絡(luò)系統(tǒng)、審計系統(tǒng)等。,允許停頓時間分析：,從停機算起，RTO<72小時，RPO從停機的那一天開始,一般應(yīng)用系統(tǒng),業(yè)務(wù)中斷將不會立刻對整個企業(yè)的正常運轉(zhuǎn)產(chǎn)生嚴(yán)重影響，可容忍在數(shù)天或數(shù)周內(nèi)恢復(fù)。例如：檔案處理系統(tǒng)、OA系統(tǒng)等。,允許停頓時間分析：,從停機算起，RTO<168小時，RPO48小時以內(nèi),,?,成本-效益分析,,?,成本-效益分析,,?,,,?,,,?,安全事件管理,面向客戶，定義運營服務(wù)水平,響應(yīng)時間，通過業(yè)務(wù)界面對所提供的服務(wù)進行必要的說明，明確啟動服務(wù)的合法渠道與途徑，以及意外事故報告方式、聯(lián)系辦法等。,責(zé)任的定義應(yīng)當(dāng)充分揭示交易過程中客戶可能面臨的風(fēng)險，說明已采

30、取的風(fēng)險控制措施和各方應(yīng)承擔(dān)的責(zé)任。,事件,指沒有包含在服務(wù)標(biāo)準(zhǔn)運作之內(nèi)，并且導(dǎo)致（或可能導(dǎo)致）中斷服務(wù)或降低服務(wù)質(zhì)量的意外事件或突發(fā)事件，其來源包括網(wǎng)點故障、監(jiān)控報警和最終客戶投訴。,受理,在實際運行中，服務(wù)臺與相關(guān)的技術(shù)支持機構(gòu)一起，維護IT部門提供給最終用戶的各種IT服務(wù)，為客戶提供一個唯一的IT支持接觸點，以最快、對業(yè)務(wù)影響最小的基礎(chǔ)上實現(xiàn)IT問題的解決。,服務(wù)臺提供包括Web，電話，電子郵件，等多種接口。用戶可以使用這多種接口 中的任何一種與服務(wù)中心取得聯(lián)系。,,?,安全事件管理,調(diào)派,服務(wù)臺可以接收并記錄所有由用戶提交上來的各種服務(wù)請求，按照規(guī)定的服務(wù)規(guī)范和服務(wù)準(zhǔn)則，分清楚問題的種

31、類，按照問題的類型、發(fā)生的時間、地點以及目前支持人員的任務(wù)隊列長度，判斷緊急程度關(guān)聯(lián)相應(yīng)的服務(wù)水平，分派最合適的人員負(fù)責(zé)。,行動,確保安全事件有所屬，也有所管理。根據(jù)事先制訂的監(jiān)控政策、安全政策、系統(tǒng)配置、響應(yīng)計劃等執(zhí)行控制措施。可能的行動包括：,聯(lián)系執(zhí)法機關(guān)、監(jiān)督可疑用戶、取消可疑用戶的權(quán)限、調(diào)用更強的保護機制，去掉或恢復(fù)故障網(wǎng)絡(luò)或系統(tǒng)的某個組成部件。,在響應(yīng)計劃中，IT管理層應(yīng)定義并實施問題逐步升級程序，確保確認(rèn)的問題以最有效、及時的方式加以解決。,在許多情況中，不協(xié)調(diào)的響應(yīng)可能使情況變得更壞。為進行安全事件處理，關(guān)注開發(fā)和實施一個有效和長遠的風(fēng)險處置計劃是非常重要的。,報告,根據(jù)監(jiān)管要求

32、和組織策略，通報事件處理過程和結(jié)果。,重大事件提交報告：事實描述、攻擊手段或漏洞、采取的措施和建議。,,?,信息安全管理工具,,,監(jiān)控,分析,管理,層次,價值,,,,收集數(shù)據(jù),數(shù)據(jù)規(guī)范化、融合和關(guān)聯(lián),信息,業(yè)務(wù)價值映射和優(yōu)先級管理,可行信息,知識,信息安全,管理工具的層次和價值,,,?,審計,安全審計追蹤對確保任何網(wǎng)絡(luò)安全都起了重要的作用。它可以用來檢測一個安全策略的正確性，確認(rèn)與安全策略的一致性，幫助分析攻擊，并且收集用于起訴攻擊者的證據(jù)。,包括審計在內(nèi)的大多數(shù)監(jiān)視活動都產(chǎn)生結(jié)果數(shù)據(jù)，這種結(jié)果數(shù)據(jù)可以直接發(fā)揮作用，或者記錄在案供以后分析和進一步采取行動。目前還沒有任何一種可行的方法來徹底解決

33、合法用戶在通過身份認(rèn)證后濫用特權(quán)的問題，但審計追蹤仍是保證數(shù)據(jù)庫安全不可缺的一道重要防線。,審計是一種監(jiān)視措施，跟蹤記錄有關(guān)數(shù)據(jù)的訪問活動，尤其是有可能破壞系統(tǒng)安全性的事件,安全審計記錄了任何可疑的事件，也可以記錄許多日常事件，如建立和終止連接，使用安全機制和訪問敏感資源，包括用戶登錄、更換密鑰、授權(quán)、更改口令等。,安全審計依賴于事件報告功能和日志控制功能。同類或不同類的系統(tǒng)都可以檢測到被審計的事件，并由系統(tǒng)中的安全審計追蹤日志來維護。,由系統(tǒng)的安全策略決定對什么樣的事件開啟審計，選擇的依據(jù)是事件的安全相關(guān)度；它還決定審計閾值，即對具有何種操作結(jié)果的事件進行記載。,例如，對“用戶登錄”事件，安

34、全閾值可以設(shè)置為“成功”、“失敗”、“違法”等。,事件信息來源可能有：日志文件、網(wǎng)絡(luò)活動、系統(tǒng)信息和服務(wù)臺。,,?,安全警報,一個與安全相關(guān)的事件會觸發(fā)一個安全警報，原理上，任何網(wǎng)絡(luò)或系統(tǒng)部件都能夠檢測出該事件。,安全警報報告功能標(biāo)準(zhǔn)ISO/IEC10164-1 描述了安全警報調(diào)用所傳遞的信息。受管信息定義ISO/IEC101652 中詳細(xì)說明了交換中所使用的正確的抽象語法。,,,管理系統(tǒng),,事件類型,安全警報產(chǎn)生,安全警報,,,,,,,,,,,檢測事件受管對象,受管系統(tǒng),響應(yīng)（可選）,通知,圖3 安全警報報告過程,,?,安全警報,安全警報報告中傳遞的參數(shù)分為三類：,ISO/IEC9595，

35、事件報告的通用參數(shù)：包括調(diào)用標(biāo)識符、模式、受管對象類、受管對象實例、事件類型、事件時間和當(dāng)前時間,ISO/IEC10164-４，管理警報的通用參數(shù)：包括通知標(biāo)識符、相關(guān)的通知、額外的信息和額外的文本等；,安全警報特有的參數(shù)：包括安全警報原因、安全警報的嚴(yán)重性、安全警報檢測器、使用服務(wù)的用戶和服務(wù)的提供者等。,事件類型和安全警報原因的組合表明了警報的原因，可能的組合值有：,完整性破壞：指出未授權(quán)的修改、插入或刪除數(shù)據(jù)的事件。,安全警報原因的可能值是：復(fù)制信息、信息的丟失、信息修改的檢測、順序混亂的信息和不希望的信息；,違規(guī)操作：指明不能獲得的信息、違法行為或一些服務(wù)的不正確調(diào)用的事件。,安全警報

36、可能的原因是：拒絕服務(wù)，超出服務(wù)，過程出錯和未陳述原因；,,?,安全警報,物理侵入：指明對物理資源有可疑攻擊的事件。,安全警報原因的可能值是：損害電纜、入侵檢測和未陳述原因；,安全服務(wù)或機制的侵犯：指明一個安全服務(wù)或機制檢測到潛在的攻擊的事件。,安全警報原因的可能值是：認(rèn)證失敗、破壞機密性、非否認(rèn)的失敗、為授權(quán)的訪問企圖和未陳述原因。,時間區(qū)域的侵犯：指明在不希望的或禁止的時間里發(fā)生某些事的事件。,安全警報原因的可能值是：延遲的消息(接到信息的時間比預(yù)定時間要晚），密鑰過期（使用過期的密鑰）和上班時間外的活動（在不希望的時間里使用資源）。,安全警報的安全參數(shù)指明了由初始受管客體發(fā)覺的警報的意義

37、，可能值是：,不確定：系統(tǒng)的完整性是未知的；,危險：安全性被損害危及到系統(tǒng)的安全。系統(tǒng)可能不能再正常運轉(zhuǎn)來支持安全策略。例如，未授權(quán)的修改或與安全有關(guān)的敏感信息，如系統(tǒng)口令，或違反物理安全；,,?,安全報告,主要：檢測到違反安全，并且重要的信息或機制已經(jīng)遭到損害；,次要：檢測到違反安全，并且不太重要的信息或機制已經(jīng)遭到損害；,警告：不相信系統(tǒng)的安全性受到威脅。,安全審計功能標(biāo)準(zhǔn)另外定義了兩個特殊的通知，分別與服務(wù)報告和使用報告對應(yīng)。,服務(wù)報告表明了與一些服務(wù)的提供、拒絕或恢復(fù)有關(guān)的事件。使用報告用于有安全意義的日志統(tǒng)計信息。傳遞的參數(shù)和這些事件類型基本上與安全警報報告中使用的一樣。,服務(wù)報告事

38、件類型中定義了一個額外的參數(shù)，稱為服務(wù)報告原因，用于表明報告的原因。這個參數(shù)是一個ＡＳＮ．１對象標(biāo)識符，也就是說任何人可以定義并注冊其值。該標(biāo)準(zhǔn)還定義了一些通用的值：服務(wù)請求、拒絕服務(wù)、來自服務(wù)的回答、服務(wù)失敗、服務(wù)恢復(fù)和其他原因。,,?,審計日志,日志的內(nèi)容應(yīng)該設(shè)計成有助于理解在突發(fā)事件期間出現(xiàn)了什么，并探測出趨勢和可能發(fā)生的變化。,日志應(yīng)該按與所用的策略和規(guī)則相一致的原則進行管理。,一個關(guān)鍵問題是如何操作日志：哪種日志應(yīng)該放在日志文件中，數(shù)據(jù)應(yīng)該如何表述，以便從日志中得出正確的審計結(jié)論。,日志必須是可靠的和受到保護的，能抗篡改或偶然破壞。日志應(yīng)該封存以阻止不可探測的任何修改，還應(yīng)該在法律保

39、護期間內(nèi)歸檔。,日志須包含的內(nèi)容是：事件所涉及的主體和客體、時間、事件的結(jié)果（成功、失敗、違法、報警等）。,,?,安全事件分析,分析可能有兩個不同的目標(biāo),第一個目標(biāo)是檢測對某個安全策略的任何攻擊；包括基于狀態(tài)的審計和基于狀態(tài)轉(zhuǎn)換的審計。,前者決定系統(tǒng)的某個狀態(tài)是否是未授權(quán)狀態(tài)；后者檢查系統(tǒng)的當(dāng)前狀態(tài)和被引發(fā)的狀態(tài)轉(zhuǎn)換來決定結(jié)果是否會將系統(tǒng)置于未授權(quán)狀態(tài)。,第二個是檢測已知的企圖違反安全規(guī)則的操作，可以通過命令的特定次序或系統(tǒng)狀態(tài)的特征來尋找并發(fā)現(xiàn)針對安全的攻擊。,分析器通常運行于一個單獨的系統(tǒng)中，使用分析引擎判斷是否是一個風(fēng)險事件，安全事件可利用歷史事件數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、完整性工具和其他系統(tǒng)

40、信息來檢測。,信息可能有多個層次的視角，必須將多個日志文件的信息進行關(guān)聯(lián),,?,安全事件分析,雖然通常是對相同類型事件進行多事件記錄，但也可以根據(jù)日志記錄和事件（融和）記錄對不同類型的多個記錄進行分析。,對相同類型的多個記錄分析經(jīng)常使用統(tǒng)計或趨勢分析技術(shù)。,建立開放的風(fēng)險數(shù)據(jù)集接口,進行數(shù)據(jù)分析的前提是擁有足夠長時間和范圍內(nèi)的風(fēng)險數(shù)據(jù)。,風(fēng)險管理工具必須建立開放的風(fēng)險數(shù)據(jù)集接口，獲得定期更新的外部損失數(shù)據(jù)，同時實現(xiàn)從數(shù)據(jù)訪問、數(shù)據(jù)遷移和提高數(shù)據(jù)質(zhì)量到分析應(yīng)用的無縫連接，實現(xiàn)信息的集成、交換和共享。,格式化數(shù)據(jù),根據(jù)其來源進行不同的格式化，通過規(guī)范化處理確保后續(xù)的融合和關(guān)聯(lián)功能能以相似的方式處理

41、數(shù)據(jù)。,數(shù)據(jù)聚合,獲取規(guī)范化數(shù)據(jù)，并可按依據(jù)來源、資產(chǎn)價值或業(yè)務(wù)職能等類別對其進行組織。然后將其復(fù)制到多個類別之中，讓更高層的應(yīng)用來處理。,,?,關(guān)聯(lián),作為商業(yè)智能技術(shù)的一部分，關(guān)聯(lián)通過分析數(shù)據(jù)來識別新的模式，重新定義安全預(yù)警引擎，并能有效管理潛在的和新出現(xiàn)的風(fēng)險過程。具體說來，安全關(guān)聯(lián)具有規(guī)則關(guān)聯(lián)、統(tǒng)計關(guān)聯(lián)和異常關(guān)聯(lián)：,規(guī)則關(guān)聯(lián)　　可將預(yù)先打包的轉(zhuǎn)換事件數(shù)據(jù)提供給數(shù)據(jù)的不同“視圖”。例如，規(guī)則可以按照與某個具體交易操作、某一類交易和某個地理地點等準(zhǔn)則相關(guān)的所有事件對數(shù)據(jù)進行詳審。,檢測搜尋已知的不安全狀態(tài)，等系統(tǒng)進入該狀態(tài)后就報告可能發(fā)生了一次入侵。,將系統(tǒng)漏洞的知識結(jié)合到一個規(guī)則集中，使用

42、專家系統(tǒng)來分析數(shù)據(jù)并運用規(guī)則集，判定一系列運行中的指令是否違反了站點的安全策略。,規(guī)則：如果我們從一個防火墻接收到一個針對該DNS服務(wù)器的偵察企圖(DNS版本檢查或其他連接請求)，則如果我們從一個IDS接收到一個或多個針對同一個DNS服務(wù)器的入侵企圖，則向操作員發(fā)出一個通知。,統(tǒng)計關(guān)聯(lián),按資產(chǎn)或資產(chǎn)組將規(guī)范化安全事件歸類為不同安全事件類型 – 事件類型的范圍包括偵察攻擊、病毒攻擊、拒絕服務(wù)攻擊 – 等等。對于每種資產(chǎn)，系統(tǒng)可連續(xù)計算出一個威脅分?jǐn)?shù)，也就是通過將事件嚴(yán)重程度與資產(chǎn)價值相加來確定對安全事件的總體衡量。,,?,異常關(guān)聯(lián),異常關(guān)聯(lián),依賴于事件管理系統(tǒng)所創(chuàng)建的被測量事件數(shù)據(jù)庫，以及從該數(shù)

43、據(jù)庫的“學(xué)習(xí)模式”中收集的一組“基線”數(shù)據(jù)?！盎€”快照一般會運行幾個星期，然后與當(dāng)前事件進行比較，以確定是否正在發(fā)生與基線不同的異常情況。,將來，要想為不斷變化的IT環(huán)境和商業(yè)交易環(huán)境創(chuàng)造價值，基線捕捉功能就必須在啟發(fā)式的穩(wěn)態(tài)模式下工作。,基于模式預(yù)測的異常檢測方法，前提條件是事件序列不是隨機發(fā)生的，而是服從某種可辨別的模式，其特點是考慮了事件序列之間的相互聯(lián)系。,域值度量,預(yù)期中最少有m 個事件最多有n個事件發(fā)生，則被認(rèn)為發(fā)生了異常,確定閾值使得模型的使用變得復(fù)雜，要考慮不同級別的復(fù)雜性和用戶特性、地域特性。,統(tǒng)計動差,分析器知道平均偏差和標(biāo)準(zhǔn)偏差，如果值超出了這些動差的期望間隔，則該值所

44、代表的動作就被認(rèn)定為異常。,比閾值模型提供了更大的靈活性。,,?,安全事件報告,通告器的主要功能是發(fā)給系統(tǒng)安全負(fù)責(zé)人一條相信系統(tǒng)風(fēng)險發(fā)生的報告。在較低的層次上，系統(tǒng)應(yīng)提供交互式、多維數(shù)據(jù)可視化功能。,根據(jù)諸如“對機構(gòu)的影響”和“攻擊的可能性”等簡單而有效的視圖，使企業(yè)能更輕松地根據(jù)自身的獨特需求來安排糾正措施的優(yōu)先級。,企業(yè)中各個部門的人員所關(guān)注的視圖各不相同，例如，IT機構(gòu)的安全管理員可以處理防火墻、IDS檢測器和網(wǎng)絡(luò)路由器等所產(chǎn)生的安全事件，但他們卻不應(yīng)該訪問與財務(wù)記錄和客戶記錄相關(guān)的數(shù)據(jù)，以及其他機密的商業(yè)交易數(shù)據(jù)。,系統(tǒng)應(yīng)可以根據(jù)需要靈活的查看任意聚合級別的信息或詳細(xì)信息，確保用戶的操

45、作員只看到與他們工作相關(guān)的事件。這一方面是企業(yè)機密性的需要，同時也使他們不受受到數(shù)據(jù)泛濫的影響。,信息報告方式：,,?,安全事件報告,文本顯示方式：基于名字、時間或其他特征搜索事件；,超文本顯示方式：顯示日志記錄，使用超文本連接鄂來表示記錄之間的相關(guān)關(guān)系,關(guān)系數(shù)據(jù)庫閱讀方式：向數(shù)據(jù)庫發(fā)起查詢，數(shù)據(jù)庫在返回查詢結(jié)果前執(zhí)行相關(guān)分析,以時間次序列舉感興趣的事件,圖示方式：節(jié)點代表實體，相關(guān)性表示不同實體間的聯(lián)系。一個設(shè)計良好的圖形顯示使得風(fēng)險管理系統(tǒng)可把信息轉(zhuǎn)變?yōu)橐环子陬I(lǐng)會的圖像，允許用戶判斷正在遭受何種攻擊，也可以向有關(guān)的人員發(fā)送電子郵件或在相關(guān)的日志文件中記錄條目。,切片方式：得出影響給定客體

46、的日志事件和客體的最小集。切片是一種程序調(diào)試技術(shù)，能分析提取出影響給定變量的指令的最小值。,,?,取證,使用事件管理系統(tǒng),審計員使用焦點審計瀏覽工具，把文件作為初始的焦點。圖的邊顯示了進程如何改變文件以及如何改變。審計員判定那些可能引起不可預(yù)期改變的進程，即可疑進程，一直追溯到可以判定攻擊者如何得到系統(tǒng)訪問權(quán)限。審計員獲知攻擊者的ＵＩＤ，使用相應(yīng)的ＵＩＤ審計記錄的頁面，并檢查頁面中所有的可疑行為。他也能使用可視框架工具畫出進程產(chǎn)生的次序。一旦審計員發(fā)現(xiàn)入侵點，審計員就能發(fā)現(xiàn)系統(tǒng)的弱點并模擬攻擊者的方法恢復(fù)出攻擊者的行為。最后，使用相關(guān)用具產(chǎn)生短片描述攻擊者是如何進行攻擊的，以便在訴訟時作為證據(jù)

47、使用。,外部調(diào)查,在一些復(fù)雜程度更高的網(wǎng)絡(luò)犯罪案例中，專門的服務(wù)公司的資深安全專家常常扮演“福爾摩斯”的角色，在調(diào)查犯罪過程中扮演重要角色。他們能從一些蛛絲馬跡中尋找出事情真相: 在線支付的IP、非法轉(zhuǎn)賬的銀行卡卡號、巨額的刷卡消費行為、ATM取款機上攝像頭的監(jiān)控等。,,?,風(fēng)險實時控制,當(dāng)前，信息安全管理工具需要實現(xiàn)的一些新特性是，具有“學(xué)習(xí)”功能，適應(yīng)安全系統(tǒng)的動態(tài)變化，可提供經(jīng)過實踐檢驗的降低風(fēng)險的措施，并且與用于修復(fù)和補救的任何系統(tǒng)相集成，使風(fēng)險事件響應(yīng)更接近“實時”。,響應(yīng)包括斷開網(wǎng)絡(luò)、增加日志記錄的級別，給出處理方案等。,基于范例的推理（CBR）,可以根據(jù)記憶或范例庫中找到一個與新

48、問題相似的范例，然后把該范例中的有關(guān)信息和知識復(fù)用到新問題的求解之中，是實現(xiàn)實時控制的較為有效的技術(shù)。,CBR具有以下兩個特點：,（1）知識的表示是以范例為基礎(chǔ)，作為過去經(jīng)驗的范例一般有比較固定的表示結(jié)構(gòu)，通常用框架形式表示，這比基于規(guī)則的表示更容易獲取，同時可以提高對新問題的求解效率、改善求解的質(zhì)量；,（2）欲求解的問題與范例中的問題同屬于一個領(lǐng)域，且一般是同性質(zhì)的，即是兩類同性質(zhì)問題的類比。,,?,CBR工作流程,,?,風(fēng)險案例模板,,?,風(fēng)險案例模板,,?,案例組織,案例組織,設(shè)整個案例庫有N個案例，首先進行聚類分析，即把相似的案例按某種方法進行歸類，得到M個抽象類，以這些抽象類作為一級

49、索引，其下面又含有數(shù)個具體案例，按照案例的某個屬性形成二級索引。,把新范例加入到范例庫中，需要對它建立有效的索引，這樣以后才能對之做出有效的回憶。為此，可能要改變索引的強度或特征權(quán)值。,檢索效率和案例索引結(jié)構(gòu)密切相關(guān)，索引可分為單級和多級索引，多級索引較為有效。,,?,檢索方式,基于范例的檢索是基于異常情況的關(guān)聯(lián)的一種實現(xiàn)形式。在CBR中應(yīng)用的檢索方式主要有：,最相鄰法　適合于案例特征屬性為數(shù)值型的情況，定義相似度最大的案例為匹配案例。,歸納法 提取案例特征上的差異，并根據(jù)這些特征將案例組成一個類似判別網(wǎng)絡(luò)的層次結(jié)構(gòu)，檢索時采用決策樹搜索策略，它適合于案例特征互相獨立或推理結(jié)果只是案例中某一特

50、征的情況。,信息風(fēng)險案例特征屬性可以是“事件類型”和“受影響階段”這樣的描述性字段。,使用歸納法和最相鄰法，可按照查詢條件的優(yōu)先排列順序進行逐步查詢，以檢索出符合要求的最匹配的案例。,知識引導(dǎo)法 采用一套規(guī)則進行索引控制，根據(jù)已知的知識決定案例中哪些特征在進行案例檢索時是最重要的，并根據(jù)這些特征來組織和檢索。,,,?,檢索過程,檢索過程可分為三個子過程:,特征辨識,指對新問題進行的特征獲取,它可以是從對問題的描述中直接獲得的特征；可以是對問題經(jīng)過分析理解后導(dǎo)出的特征；也可以是根據(jù)上下文或知識模型的需要從用戶那兒通過交互方式獲取的。,2初步匹配,指從范例庫中找到一組與當(dāng)前問題相關(guān)的候選范例。這是

51、通過使用上述特征作為范例庫的索引來完成檢索的。,3最佳選定,指從初步匹本過程中獲得的一組候選范例中，選取一個或幾個與當(dāng)前問題最相關(guān)的范例。這一步和領(lǐng)域知識關(guān)系密切。,,?,范例復(fù)用,,檢索到的舊范例中含有對過去問題的解答，把該解簽復(fù)用于新問題或新范例的求解就是范例復(fù)用。該過程涉及兩個方面,它們分別是:,新舊范例間有何不同之處；,舊范例中的哪些部分可以用于新范例。,調(diào)整,調(diào)整系數(shù)的制定依據(jù)可以有多種，如時間、地點、操作流程、影響程度等。,調(diào)整方案有計算機自動調(diào)整和專家調(diào)整兩種方式,如果影響推理結(jié)果的那些主要因素是有限的而且是可以定量的，則可采用自動調(diào)整方式。,如果風(fēng)險因素沒有存儲在案例庫中，則可

52、采用人工調(diào)整方式。在這一過程中，可將CBR方法同其他推理技術(shù)，如基于規(guī)則或基于模型的推理所得到的結(jié)果進行對照。,,?,范例保留,,要存放的信息一般包括以下內(nèi)容：和問題有關(guān)的特征描述、問題的求解結(jié)果,以及解答為什么成功或失敗的原因及解釋。,突發(fā)事件清單和定義――識別出共同的安全突發(fā)事件并進行易于識別的描述。,突發(fā)事件響應(yīng)指南――描述對出現(xiàn)安全突發(fā)事件的恰當(dāng)響應(yīng)。,突發(fā)事件報告――描述出現(xiàn)了什么突發(fā)事件及其全部的相關(guān)詳細(xì)情況，包括突發(fā)事件的來源、任何形式的危險、應(yīng)采取的響應(yīng)和需要進一步采取的行動。,與探測到的每個入侵事件有關(guān)的報告――描述探測到的每個入侵事件并提供全部相關(guān)詳細(xì)情況，包括突發(fā)事件的來

53、源、任何形式的危險、采取的響應(yīng)和需要進一步采取的行動。,周期性的突發(fā)事件的綜述——提供最近的安全突發(fā)事件的概述，指出趨勢，要求更為安全的區(qū)域以及降低安全可能節(jié)約的經(jīng)費。,,?,生活中的辛苦阻撓不了我對生活的熱愛。,11月-24,11月-24,Friday, November 29, 2024,人生得意須盡歡，莫使金樽空對月。,16:18:30,16:18:30,16:18,11/29/2024 4:18:30 PM,做一枚螺絲釘，那里需要那里上。,11月-24,16:18:30,16:18,Nov-24,29-Nov-24,日復(fù)一日的努力只為成就美好的明天。,16:18:30,16:18:30

54、,16:18,Friday, November 29, 2024,安全放在第一位，防微杜漸。,11月-24,11月-24,16:18:30,16:18:30,November 29, 2024,加強自身建設(shè)，增強個人的休養(yǎng)。,2024年11月29日,4:18 下午,11月-24,11月-24,精益求精，追求卓越，因為相信而偉大。,29 十一月 2024,4:18:30 下午,16:18:30,11月-24,讓自己更加強大，更加專業(yè)，這才能讓自己更好。,十一月 24,4:18 下午,11月-24,16:18,November 29, 2024,這些年的努力就為了得到相應(yīng)的回報。,2024/11/29 16:18:30,16:18:30,29 November 2024,科學(xué)，你是國力的靈魂；同時又是社會發(fā)展的標(biāo)志。,4:18:30 下午,4:18 下午,16:18:30,11月-24,每天都是美好的一天，新的一天開啟。,11月-24,11月-24,16:18,16:18:30,16:18:30,Nov-24,相信命運，讓自己成長，慢慢的長大。,2024/11/29 16:18:30,Friday, November 29, 2024,愛情，親情，友情，讓人無法割舍。,11月-24,2024/11/29 16:18:30,11月-24,謝謝大家！,