信息系统安全基础/信息安全与风险管理

简介

信息安全是指保护信息（数据）和信息系统免遭未经授权的访问、使用、披露、中断、修改或破坏。

信息安全管理是一个定义安全控制以保护信息资产的过程。

安全计划

管理计划实施信息安全（iss）的首要行动是制定安全计划。虽然有些人认为第一个行动应该是获得一些真正的“概念证明”，“通过显示器屏幕上的显示解释”安全知识。首先可以从了解 OS 密码存储在代码内的哪个文件中，哪个目录中开始。如果您不了解根目录级别的操作系统，那么在开始实施安全计划管理和目标之前，您可能应该寻求那些了解操作系统的人的建议。

安全计划目标

保护公司及其资产。
通过识别资产、发现威胁并估计风险来管理风险。
通过制定信息安全策略、程序、标准、指南和基线来为安全活动提供方向。
信息分类
安全组织和
安全教育

安全管理职责

确定安全计划的目标、范围、策略、预期要实现的目标
评估业务目标、安全风险、用户生产力和功能需求。
定义步骤以确保上述所有内容都被考虑并在适当的范围内得到解决

构建安全计划的方法

自上而下的方法
- 计划的启动、支持和方向来自高层管理，然后向下传递到中层管理，最后到达员工。
- 被认为是最好的方法，但似乎是基于“我拿的工资更高，因此我必须对所有事情都了解”的心态。
- 确保最终负责保护公司资产的高级管理人员推动计划。
自下而上的方法
- 低端团队在没有适当的管理支持和方向的情况下提出安全控制或计划。
- 它通常被认为效率较低，注定会失败，因为与上述思维方式存在同样的缺陷：我拿的工资更高，因此我必须对所有事情都了解。

由于晋升与您说服他人的能力直接相关，而这些人通常不在您的工作职责和部门范围内，因此您必须通过自己的有效书面沟通来证明自己对公司的更高价值，这导致了出色的简历撰写者和不承担责任的电子邮件回复方式，这似乎肯定会导致公司标准和实际知识的最终失败。它通常被关系所掩盖，这些关系在任何人群中都形成于权力等级，那些被认为是所谓专家的实际上对他们使用的报告/应用程序的底层机制毫无头绪，并且在声明自己专业知识时写下的电子邮件中没有提供任何证据，或者将责任推给其他人。

安全控制

安全控制可以分为三类

管理控制包括

制定和发布策略、标准、程序和指南。
人员筛选。
进行安全意识培训和
实施变更控制程序。

技术或逻辑控制包括

实施和维护访问控制机制。
密码和资源管理。
识别和认证方法
安全设备和
基础设施配置。

物理控制包括

控制个人进入设施和不同部门
锁定系统并移除不必要的软盘或 CD-ROM 驱动器
保护设施的外围
监控入侵和
环境控制。

 Security Note: It is the responsibility of the information owner (usually a Sr. executive within 
 the management group or head of a specific dept) to protect the data and is the due care 
 (liable by the court of law) for any kind of negligence

安全要素

漏洞

它是一个软件、硬件或程序上的弱点，可能为攻击者提供进入计算机或网络的“敞开大门”，使其能够未经授权访问环境中的资源。
漏洞是指安全措施的缺失或弱点，可被利用。
例如：服务器上运行的服务、未修补的应用程序或操作系统软件、不受限制的调制解调器拨号访问、防火墙上的开放端口、缺乏物理安全等。

威胁

对信息或系统的所有潜在危险。
威胁是指有人（个人、软件）可能会识别并利用漏洞的可能性。
利用漏洞的实体被称为威胁代理。例如：威胁代理可能是通过防火墙上的端口访问网络的入侵者。

风险

风险是指威胁代理利用漏洞的可能性及其相应的业务影响。
降低漏洞和/或威胁可以降低风险。
例如：如果防火墙有几个端口打开，则入侵者更有可能利用其中一个以未经授权的方式访问网络。

暴露

暴露是指受到威胁代理造成损失的实例。
漏洞使组织面临潜在损害。
例如：如果密码管理薄弱，并且没有执行密码规则，则公司可能会面临用户密码被盗用并以未经授权的方式使用的风险。

对策或安全措施

它是减轻风险的应用程序或软件配置、硬件或程序。
例如：强大的密码管理、保安人员、操作系统中的访问控制机制、基本输入/输出系统 (BIOS) 密码的实施以及安全意识培训。

安全要素之间的关系

示例：如果公司拥有防病毒软件，但没有及时更新病毒签名，则这属于漏洞。公司容易受到病毒攻击。
威胁是指病毒会出现在环境中并破坏生产力。
病毒出现在环境中并造成损害的可能性就是风险。
如果病毒渗透到公司的环境中，则漏洞已被利用，公司将面临损失。
在这种情况下，对策是更新签名并在所有计算机上安装防病毒软件。

  Threat Agent gives rise to Threat exploits Vulnerability leads to Risk
  can damage Assets and causes an Exposure can be counter measured by Safeguard 
  directly effects Threat Agent

另一种描述
威胁代理通过利用漏洞来实现威胁。衡量这种利用造成损害程度的指标是暴露。暴露中产生的组织损失是影响。风险是指威胁事件在组织内部产生损失并实现的概率。

示例

目标：一家银行存放着资金。
威胁：有些人想要或需要额外的资金。
漏洞：银行使用的软件存在安全漏洞。
暴露：银行 20% 的资产受到该漏洞的影响。
利用：通过运行一小段代码（恶意软件），可以非法访问软件。
威胁代理：有一些黑客学会了如何使用这种恶意软件来控制银行的软件。
利用：黑客使用恶意软件访问软件并盗取资金。
影响：银行损失了货币资产、声誉和未来业务。
风险：黑客利用银行软件漏洞并影响银行声誉和货币资源的可能性。

核心信息安全原则

安全的三项基本原则是可用性、完整性和机密性，通常称为 CIA 或 AIC 三元组，它们也是任何安全计划的主要目标。

实现这些原则所需的安全性级别因公司而异，因为每个公司都有自己独特的业务和安全目标和要求组合。

所有安全控制、机制和安全措施都是为了提供这些原则中的一个或多个。

所有风险、威胁和漏洞都根据其对破坏 AIC 原则中的一个或全部的潜在能力进行衡量。

机密性

确保在数据处理的每个环节都执行必要的保密级别，并防止未经授权的披露。当数据驻留在网络内的系统和设备上时，以及在数据传输和到达目的地时，这种机密性级别应始终保持有效。
威胁来源
- 网络监控
- 肩窥 - 监控按键或屏幕
- 窃取密码文件
- 社会工程学 - 某人假冒实际身份
对策
- 对数据进行存储和传输时的加密。
- 通过使用网络填充
- 实施严格的访问控制机制和数据分类
- 对人员进行适当程序的培训。

完整性

当提供信息和系统准确性和可靠性的保证，并防止未经授权的修改时，数据的完整性将得到保护。
威胁来源
- 病毒
- 逻辑炸弹
- 后门
对策
- 严格的访问控制
- 入侵检测
- 哈希

可用性

可用性确保授权人员能够可靠且及时地访问数据和资源。
威胁来源
- 设备或软件故障。
- 环境问题，如高温、低温、湿度、静电和污染物，也会影响系统可用性。
- 拒绝服务 (DoS) 攻击
对策
- 维护备份以替换故障系统
- IDS 用于监控网络流量和主机系统活动
- 使用某些防火墙和路由器配置

信息安全管理治理

安全治理

治理是指董事会和执行管理层行使的一系列责任和实践，其目标是提供战略方向，确保目标的实现，确定风险得到适当管理，并验证企业的资源得到负责任的使用。

信息安全治理或 ISG 是公司治理的一个子学科，侧重于信息安全系统及其性能和风险管理。

安全策略、程序、标准、指南和基线

策略

安全策略是高级管理人员（或选定的策略委员会）制定的总体一般性声明，规定安全在组织中扮演的角色。

精心设计的策略解决

. 正在保护什么？ - 通常是资产。
. 谁应该遵守该策略？ - 通常是员工。
. 漏洞、威胁或风险在哪里？ - 通常是完整性或责任问题。

策略类型

监管：这种策略确保组织遵循特定行业法规设定的标准。这种策略类型非常详细，特定于某种行业。这适用于金融机构、医疗保健机构、公共事业和政府监管的行业。例如：TRAI。
咨询：这种策略强烈建议员工在组织内应该和不应该进行哪些类型的行为和活动。它还概述了如果员工不遵守既定的行为和活动可能会产生的后果。例如，可以使用这种策略类型来描述如何处理医疗信息、如何处理财务交易或如何处理机密信息。
信息：这种策略向员工通报某些主题。它不是可执行的策略，而是用于教育个人了解与公司相关的特定问题的策略。它可以解释公司如何与合作伙伴互动、公司的目标和使命以及不同情况下的一般报告结构。

安全策略类型

组织
- 管理层确定安全计划的建立方式，制定计划的目标，分配责任，展示安全的战略和战术价值，以及概述如何执行强制执行。
- 为组织内的所有未来安全活动提供范围和方向。
- 该策略必须解决相关法律、法规和责任问题，以及如何满足这些问题。
- 它还描述了高级管理人员愿意接受的风险程度。
- 特点
  - 业务目标应驱动策略的创建、实施和执行。策略不应决定业务目标。
  - 它应该是一份易于理解的文件，作为所有员工和管理层的参考点。
  - 它应被开发和使用，将安全集成到所有业务职能和流程中。
  - 它应源于并支持适用于公司的所有立法和法规。
  - 它应随着公司的变化而进行审查和修改，例如采用新的商业模式、与另一家公司合并或所有权变更。
  - 每个策略迭代都应标注日期并进行版本控制。
  - 受策略约束的部门和个人必须能够访问相关的部分，而不应要求他们阅读所有策略材料才能找到方向和答案。
问题特定
- 解决管理层认为需要更详细说明和关注的特定安全问题，以确保建立一个全面的结构，并且所有员工都了解如何遵守这些安全问题。
- 例如：电子邮件策略可能规定管理层可以阅读驻留在邮件服务器上的任何员工的电子邮件，但不能阅读驻留在用户工作站上的电子邮件。
系统特定
- 介绍管理层对实际计算机、网络、应用程序和数据的特定决策。
- 这种类型的策略可能会提供一个批准的软件列表，其中包含可安装在单个工作站上的应用程序列表。
- 例如：此策略可能描述如何使用和保护数据库，如何锁定计算机以及如何使用防火墙、入侵检测系统和扫描程序。

标准

标准是指强制性活动、行动、规则或法规。
标准可以为策略提供方向上的支持和加强。
标准可以是内部的，也可以是外部强制的（政府法律法规）。

程序

程序是详细的分步任务，应执行这些任务以实现特定目标。
例如：我们可以编写有关如何安装操作系统、配置安全机制、实施访问控制列表、设置新用户帐户、分配计算机权限、审核活动、销毁材料、报告事件以及更多内容的程序。
程序被认为是策略链中最底层，因为它们最接近计算机和用户（与策略相比），并为配置和安装问题提供详细的步骤。
程序详细说明了如何在运行环境中实际实施策略、标准和指南。
如果策略规定所有访问机密信息的个人都必须经过适当的身份验证，则支持程序将通过定义授权的访问标准、如何实施和配置访问控制机制以及如何审核访问活动来解释实现此目的的步骤。

基线

基线可以指一个时间点，该时间点用作未来变化的比较依据。一旦风险得到缓解，并实施了安全措施，就正式审查并商定了基线，之后所有进一步的比较和开发都以该基线为参考。
基线会导致一致的参考点。
基线也用于定义所需的最低保护级别。
在安全方面，可以针对每个系统类型定义特定的基线，这表明所需的设置和提供的保护级别。例如，公司可能会规定所有会计系统必须达到评估保证级别 (EAL) 4 基线。

 Security Note : Baselines that are not technology-oriented should be created and enforced within organizations
 as well. For example, a company can mandate that all employees must have a badge with a picture ID in view while in the 
 facility at all times. It can also state that visitors must sign in at a front desk and be escorted while in the facility. 
 If these are followed, then this creates a baseline of protection.

指南

指南是当特定标准不适用时，向用户、IT 员工、运营人员和其他人推荐的行动和操作指南。
指南可以处理技术、人员或物理安全的方法。

综合起来

策略可能规定必须审核访问机密数据的权限。支持指南可以进一步解释审核应包含足够的信息以允许与之前的审查进行核对。支持程序将概述配置、实施和维护此类审核所需的步骤。
策略是战略性的（长期），而标准、指南和程序是战术性的（中期）。

组织安全模型

一些促进安全控制实施的最佳实践包括信息及相关技术控制目标 (COBIT)、ISO/IEC 17799/BS 7799、信息技术基础设施库 (ITIL) 和运营关键威胁、资产和漏洞评估 (OCTAVE)。

COSO

特雷德韦委员会赞助组织委员会 (COSO) 是一个成立于 1985 年的美国私营部门倡议。其主要目标是确定导致虚假财务报告的因素，并提出建议以减少其发生率。COSO 制定了内部控制的共同定义、标准和准则，公司和组织可以根据这些准则评估其控制系统。

COSO 框架的关键概念

内部控制是一个过程。它是一种手段，而不是目的本身。
内部控制受到人员的影响。它不仅仅是政策手册和表格，而是组织中各个层级的人员。
内部控制只能为实体的管理层和董事会提供合理保证，而不是绝对保证。
内部控制旨在实现一个或多个独立但相互重叠的类别中的目标。

COSO 框架将内部控制定义为一个流程，由实体的董事会、管理层和其他人员实施，旨在就以下类别中的目标的实现提供合理保证

运营的有效性和效率
财务报告的可靠性
遵守适用的法律法规。

COSO 内部控制框架：五个组成部分

根据 COSO 框架，内部控制由五个相互关联的组成部分组成。这些组成部分为描述和分析组织实施的内部控制系统提供了有效的框架。五个组成部分如下：

控制环境：控制环境设定了组织的基调，影响其人员的控制意识。它是所有其他内部控制组成部分的基础，提供纪律和结构。控制环境因素包括诚信、道德价值观、管理层的经营风格、授权系统以及组织中管理和培养人员的流程。
风险评估：每个实体都面临着来自外部和内部来源的各种风险，必须对其进行评估。风险评估的先决条件是建立目标，因此风险评估是识别和分析实现指定目标的相关风险。风险评估是确定如何管理风险的先决条件。
控制活动：控制活动是指帮助确保管理指令得到执行的政策和程序。它们有助于确保采取必要的行动来应对实现实体目标的风险。控制活动发生在整个组织的各个层面和所有职能部门。它们包括各种各样的活动，如批准、授权、核实、核对、运营绩效审查、资产安全以及职责分离/工作分离。
信息和沟通：信息系统在内部控制系统中发挥着关键作用，因为它们会生成报告，包括运营、财务和合规性相关信息，使运行和控制业务成为可能。从更广泛的意义上讲，有效的沟通必须确保信息在组织内部上下流动。还应确保与外部各方（如客户、供应商、监管机构和股东）进行有效沟通。
监控：内部控制系统需要进行监控，这是一个随着时间的推移评估系统性能质量的过程。这是通过持续的监控活动或单独的评估来实现的。通过这些监控活动发现的内部控制缺陷应上报，应采取纠正措施以确保系统不断改进。

ITIL

信息技术基础设施库 (ITIL) 是一套用于管理信息技术 (IT) 基础设施、开发和运营的概念和技术。

ITIL 以一系列书籍的形式出版，每本书涵盖一个 IT 管理主题。

概述和优势

ITIL 为 IT 服务供应管理提供了一种系统化和专业化的方法。采用其指导为用户提供了广泛的益处，包括

降低成本；
通过使用经过验证的最佳实践流程改进 IT 服务；
通过更专业化的服务交付方式提高客户满意度；
标准和指南；
提高生产力；
更有效地利用技能和经验；以及
在服务采购中将 ITIL 或 ISO 20000 指定为服务交付标准，从而改进第三方服务的交付。

ITIL v3

于 2007 年 5 月发布的 ITIL v3 包含 5 个主要卷

. 服务策略
. 服务设计
. 服务过渡
. 服务运营
. 持续服务改进

COBIT 4.X

信息及相关技术控制目标（COBIT 4.X）是由信息系统审计与控制协会（ISACA）和信息技术治理机构（ITGI）于1992年创建的一套信息技术（IT）管理最佳实践（框架）。COBIT 为管理人员、审计人员和 IT 用户提供了一套普遍接受的度量、指标、流程和最佳实践，帮助他们最大限度地利用信息技术带来的益处，并在公司内发展适当的 IT 治理和控制。

概述

COBIT 包含 34 个高级别流程，涵盖 210 个控制目标，分为四个领域。
- 规划与组织
- 获取与实施
- 交付与支持
- 监控
COBIT 为管理人员、IT 用户和审计人员带来益处。
- COBIT 为管理人员带来益处，因为它为他们提供了制定 IT 相关决策和投资的基础。决策更加有效，因为 COBIT 帮助管理人员制定战略性 IT 计划，定义信息架构，获取执行 IT 战略所需的 IT 硬件和软件，确保持续服务，并监控 IT 系统的性能。
- IT 用户从 COBIT 中获益，因为它通过 COBIT 定义的控制、安全性和流程治理为他们提供了保障。
- COBIT 使审计人员受益，因为它帮助他们识别公司 IT 基础设施中的 IT 控制问题。它还有助于他们证实其审计结果。

COBIT 结构

规划与组织：规划与组织领域涵盖信息与技术的运用，以及如何最好地运用信息与技术帮助公司实现其目标和目标。它还强调 IT 为实现最佳效果和从 IT 使用中获得最大收益而采用的组织和基础设施形式。
获取与实施：获取与实施领域涵盖识别 IT 需求、获取技术以及在公司现有业务流程中实施技术。此领域还涉及制定公司应采用的维护计划，以延长 IT 系统及其组件的使用寿命。
交付与支持：交付与支持领域侧重于信息技术的交付方面。它涵盖 IT 系统及其结果中的应用程序执行，以及使这些 IT 系统有效且高效执行的支持流程。这些支持流程包括安全问题和培训。
监控与评估：监控与评估领域涉及公司评估公司需求的策略，以及当前 IT 系统是否仍然满足其设计目标和满足监管要求所需的控制。监控还涵盖独立评估 IT 系统满足业务目标的能力以及公司内部和外部审计人员对控制流程的有效性的问题。

ISO/IEC 27000 系列（原 BS 7799/ISO 17799）

追踪 ISO/IEC 27000 系列标准的历史是一个挑战。本节介绍了信息安全管理 ISO 标准的历史，该标准始于 BS 7799，后来演变为 ISO 17799，最终成为信息安全管理体系 (ISMS) 的 ISO 27000“标准系列”。与其他控制和治理模型一样，ISO 27000 系列提供了一套信息安全管理指南和最佳实践。这些标准是 ISO/IEC JTC1（联合技术委员会 1）SC27（分委员会 27）的产物，这是一个每年举行两次面对面会议的国际机构。国际标准化组织 (ISO) 还制定了质量控制、环境保护、产品可用性、制造等方面的标准。

BS 7799

BS 7799 主要分为 3 部分。

BS 7799 第 1 部分最初于 1995 年由英国标准协会 (BSI) 发布为 BS 7799。
- 它最终被 ISO 采纳为 ISO/IEC 17799，“信息技术 - 信息安全管理实践指南”，于 2000 年发布。
- ISO/IEC 17799 最近一次修订是在 2005 年 6 月，并于 2007 年 7 月更名为 ISO/IEC 27002。
BS 7799 的第 2 部分于 1999 年首次由 BSI 发布，被称为 BS 7799 第 2 部分，标题为“信息安全管理体系 - 规范与使用指南”。它侧重于如何实施信息安全管理体系 (ISMS)
- 2002 年版的 BS 7799-2 引入了计划 - 执行 - 检查 - 行动 (PDCA)（戴明质量保证模型），使其与 ISO 9000 等质量标准保持一致。
- BS 7799 第 2 部分于 2005 年 11 月被 ISO 采纳为 ISO/IEC 27001。
BS 7799 第 3 部分于 2005 年发布，涵盖风险分析和管理。它与 ISO/IEC 27001 保持一致。

ISO 17799

源自 BS 7799
它是一个国际公认的 ISM 标准，为企业安全提供高级别、概念性的建议。
ISO 17799 包含 2 部分。
- 第一部分是实施指南，其中包含有关如何构建全面的信息安全基础设施的指南。
- 第二部分是审计指南，基于组织被认为符合 ISO 17799 所必须满足的要求。
ISO 17799 领域
- 组织的信息安全策略：将业务目标映射到安全性、管理支持、安全目标和职责。
- 信息安全基础设施的创建：通过使用安全论坛、安全官员、定义安全职责、授权流程、外包和独立审查来创建和维护组织安全结构。
- 资产分类与控制：通过问责制和清单、分类和处理程序来开发保护组织资产的安全基础设施。
- 人员安全：通过员工筛选、定义角色和职责、对员工进行适当的培训以及记录未达到期望的员工所要承担的后果来降低人为交互中固有的风险。
- 物理和环境安全：通过正确选择设施位置、建立和维护安全边界、实施访问控制以及保护设备来保护组织的资产。
- 通信和运营管理：通过运营程序、适当的变更控制、事件处理、职责分离、容量规划、网络管理和介质处理来执行运营安全。
- 访问控制：根据业务需求、用户管理、身份验证方法和监控来控制对资产的访问。
- 系统开发与维护：通过制定安全需求、加密、完整性和软件开发程序，在系统的整个生命周期中实施安全。
- 业务连续性管理：通过使用连续性计划和测试来应对正常运营的中断。
- 合规性：通过使用技术控制、系统审计和法律意识来遵守监管、合同和法定要求。

ISO 27000 系列

ISO/IEC 27000 系列（也称为“ISMS 标准系列”或简称“ISO27k”）包含由国际标准化组织 (ISO) 和国际电工委员会 (IEC) 联合发布的信息安全标准。

该系列提供有关信息安全管理、风险和控制的最佳实践建议，这些建议是在信息安全管理体系 (ISMS) 的整体背景下提出的，其设计类似于质量保证（ISO 9000 系列）和环境保护（ISO 14000 系列）的管理体系。

该系列的范围有意涵盖广泛的内容，不仅仅涉及隐私、机密性和 IT 或技术安全问题。它适用于各种规模的组织。鼓励所有组织评估其信息安全风险，然后根据其需求实施适当的信息安全控制，并在相关情况下使用指南和建议。鉴于信息安全的动态特性，ISMS 概念包含持续的反馈和改进活动，由戴明的“计划 - 执行 - 检查 - 行动”方法概括，该方法旨在解决信息安全事件的威胁、漏洞或影响的变化。

以下是目前发布的 27000 系列标准。

ISO 27000 概述和词汇 概述和术语表。
ISO 27001 信息安全管理体系 - 要求。这是信息安全管理体系 (ISMS) 的规范/要求，它取代了旧的 BS7799-2 标准。
ISO 27002 信息安全管理实践指南。这是原来 ISO 17799 标准（本身以前称为 BS7799-1）的 27000 系列标准号。
ISO 27003 信息安全管理体系实施指南。这将是新标准的正式编号，旨在为实施 ISMS（IS 管理体系）提供指导。
ISO 27004 信息安全管理 - 测量。本标准涵盖信息安全系统管理测量和指标，包括建议的与 ISO27002 保持一致的控制。
ISO 27005 信息安全风险管理。这是独立于方法的 ISO 标准，用于信息安全风险管理。
ISO 27006 提供信息安全管理体系审计和认证机构的要求。本标准为提供 ISMS 认证的组织的认证提供了指南。

其他 27000 系列 ISO 出版物

ISO 27011 基于 ISO/IEC 27002 的电信组织信息安全管理指南
ISO 27033 网络安全 - 第 1 部分：概述和概念
ISO 27799 健康信息学 - 使用 ISO/IEC 27002 的健康信息安全管理

尽管 ISO 27000 系列信息安全管理标准的数量不断增加，但ISO/IEC 27002 和 ISO/IEC 27001 仍然是最常用的标准，因为它们为企业信息安全计划实践和流程提供了最基本的指导，而且它们也是其流行前身（BS 7799 和 ISO 17799）的最新版本。

组织行为

组织结构演变

当今的安全组织结构

最佳实践

工作轮换

工作轮换是一种管理发展方法，个人通过一系列安排好的工作轮换，获得对整个运营的广泛了解。

工作轮换也是为了让合格的员工对公司的流程有更多了解，通过工作变化提高工作满意度。

职责分离

职责分离 (SoD) 的概念是指需要多个人才能完成一项任务。它也被称为职责隔离，或者在政治领域被称为权力分立。

***警告*** 关于 SoD 可能的不足之处 ******这种方法在试图确定大型实体生产自动化中错误或故障的根本原因时可能导致高度困难，因为没有人能够从“大局”的角度查看信息流过程，以及自动程序如何启动一个没有创建正确输出数据的应用程序，但没有清楚地失败到运行在虚拟服务器客户端上的错误消息警报，该客户端将创建的数据文件传输到外部客户端等等等等。特别是由于每个独立部门的个人只会快速查看其应用程序软件，用于管理其屏幕上指定的部分，并且没有看到明显的错误，他们会假设导致系统或流程完全失败的未知错误不在其部分内，然后继续进行有效的沟通，同时记录下他们提供的所有帮助实体实现既定目标的出色成果，以便在下次与管理层进行审查时可以提供这些成果，因为这是人力资源部门告诉他们要做的。（并非说这种行为存在缺陷或错误，实际上它是在做实体的激励机制所鼓励的事情，不仅是为了晋升，也是为了保住工作。）

如果没有那些凤毛麟角的专家级技术人员，他们拥有（或能获得）查看任何给定生产过程各个方面的管理权限，几乎不可能确定根本原因，并可能导致对问题的真正原因做出荒谬的判断。（例如：决定放弃使用所有虚拟服务器，回到多个实际服务器机器，每个服务器都连接到自己的监控器，因为在内部编写的 .net 程序中没有编码错误处理。）（或者没有人意识到自动软件机器遇到了 RAM 问题，因为每个自动作业都被设置为在 6:00 准时自动启动，而 MS Windows 在企业级也有一个内置限制，即一次最多只能有 10 个网络连接等等。）***这些 SoD 职位对那些希望不断接受挑战的高级技术专家来说毫无兴趣。***

概述

简而言之，SoD 的意思是，任何个人都不应该控制交易或操作的两个或多个阶段，这样，故意欺诈就更难发生了，因为它需要两个或多个个人或当事方串通。
根据 SoD 的概念，可以将业务关键职责分为四种功能：授权、保管、记录保存和对账。在一个完美的系统中，一个人不应该处理超过一种功能。
在信息系统中，职责分离有助于减少一个人行为造成的潜在损失。应以达到充分职责分离的方式组织 IS 或最终用户部门。

强制执行 SoD 的控制机制

有几种控制机制可以帮助强制执行职责分离

审计跟踪使 IT 管理员或审计员能够从源头到更新文件中存在的位置重建实际交易流程。良好的审计跟踪应能够提供有关谁发起了交易、输入时间和日期、输入类型、它包含的信息字段以及它更新的文件的信息。
应用程序的对账和独立验证过程最终是用户的责任，它可以用来增加对应用程序成功运行的信心水平。
异常报告由监督级别处理，并以证据支持，表明异常得到了妥善和及时处理。通常需要准备报告的人签字。
应维护手动或自动系统或应用程序交易日志，记录所有已处理的系统命令或应用程序交易。
应通过观察和询问进行监督审查，并与上一级管理层建立信任关系。
为了弥补重复错误或故意违反规定的程序，建议进行独立审查。这种审查可以帮助发现错误和违规行为，但通常费用很高，可能会引发疑问，即与内部人员相比，外部独立审查人员每季度能了解多少关于您的流程的信息，以及与这些独立审查人员之间能建立多少信任关系。

最小权限（知情需要）

简介

最小权限原则，也称为最小权限原则或仅称为最小权限，要求在计算环境的特定抽象层中，每个模块（如进程、用户或程序，根据我们正在考虑的层）只能访问其合法目的所必需的信息和资源。

注意： 此原则是一个有用的安全工具，但它从未成功地在系统上强制执行高保证安全。

优点

更好的系统稳定性。当代码在对系统可以进行的更改范围方面受到限制时，更容易测试其可能的动作以及与其他应用程序的交互。例如，在实践中，以受限权限运行的应用程序将无法访问执行可能使机器崩溃或对同一系统上运行的其他应用程序产生不利影响的操作。
更好的系统安全性。当代码在其可以执行的系统范围内的操作方面受到限制时，一个应用程序中的漏洞不能被用来利用机器的其余部分。例如，微软指出，“在标准用户模式下运行可以为客户提供更强的保护，防止因“粉碎攻击”和恶意软件（如 rootkit、间谍软件和无法检测的病毒）造成的无意系统级损坏”。[1]
易于部署。通常，应用程序所需的权限越少，在更大的环境中部署就越容易。这通常源于前两个优点，安装设备驱动程序或需要提升安全权限的应用程序通常需要额外的步骤，例如在 Windows 上，没有设备驱动程序的解决方案可以直接运行而无需安装，而设备驱动程序必须使用 Windows 安装程序服务单独安装才能授予驱动程序提升权限

强制休假

强制休假一到两周用于审计和验证员工的工作任务和权限。这通常会导致轻松发现滥用、欺诈或疏忽。

职位敏感度

安全角色和职责

职责级别

高级管理层和其他管理层了解公司的愿景、业务目标和目标。
职能管理层，其成员了解其各自部门的工作方式、个人在公司中的角色以及安全如何直接影响其部门。
运营经理和员工。这些层级更接近公司的实际运营。他们了解有关技术和流程要求、系统以及系统使用方式的详细信息。这些层级的员工了解安全机制如何集成到系统中、如何配置它们以及它们如何影响日常生产力。

角色分类及其职责

数据所有者

数据所有者（信息所有者）通常是管理层成员，负责特定业务部门，并最终负责特定信息子集的保护和使用。
数据所有者决定他负责的数据的分类，并在业务需要时更改该分类。
此人还负责确保必要的安全控制到位，确保使用适当的访问权限，根据分类定义安全要求和备份要求，批准任何披露活动，并定义用户访问标准。
数据所有者批准访问请求，或者可以选择将此功能委托给业务部门经理。并且，正是数据所有者将处理与其负责保护的数据相关的安全违规行为。
数据所有者（显然他自己的工作已经够多了）将数据保护机制的日常维护职责委托给数据管理员。

数据管理员

数据管理员（信息管理员）负责维护和保护数据。
此角色通常由 IT 部门担任，职责包括执行数据的定期备份、定期验证数据的完整性、从备份介质恢复数据、保留活动记录以及履行公司信息安全和数据保护相关的安全策略、标准和指南中指定的各项要求。

系统所有者

系统所有者负责一个或多个系统，每个系统可能包含和处理由不同数据所有者拥有的数据。
系统所有者负责将安全考虑因素整合到应用程序和系统采购决策以及开发项目中。
系统所有者负责确保必要的控制、密码管理、远程访问控制、操作系统配置等提供足够的安全性。
此角色需要确保对系统进行适当的漏洞评估，并且必须向事件响应团队和数据所有者报告任何漏洞。

安全管理员

安全管理员的任务很多，包括创建新的系统用户帐户、实施新的安全软件、测试安全补丁和组件以及发布新密码。
安全管理员角色需要确保授予用户的访问权限支持策略和数据所有者指令。

安全分析师

此角色的工作比前面描述的角色处于更高、更战略的级别，并帮助制定策略、标准和指南，并设定各种基线。
而前面的角色都“沉浸于细节”，专注于他们各自的安全计划部分，安全分析师则帮助定义安全计划元素，并跟踪以确保元素得到适当执行和实施。此人更多地在设计层面工作，而不是在实施层面工作。

应用程序所有者

应用程序所有者，通常是业务部门经理，负责指定谁可以访问他们的应用程序，例如会计软件、测试和开发软件等。

主管

此角色也称为用户经理，最终负责所有用户活动以及这些用户创建和拥有的任何资产，例如确保所有员工了解其在安全方面的责任、分发初始密码、确保员工帐户信息是最新的，以及在员工被解雇、停职或调动时通知安全管理员。

变更控制分析师

变更控制分析师负责批准或拒绝对网络、系统或软件进行更改的请求。
此角色需要确保更改不会引入任何漏洞，已对其进行适当测试，并且已正确推出。
变更控制分析师需要了解各种更改如何影响安全性、互操作性、性能和生产力。

数据分析师

数据分析师负责确保数据以最适合公司和需要访问和使用数据的人员的方式存储。
数据分析师角色可能负责设计一个将保存公司信息的新系统，或建议购买可以做到这一点的产品。
数据分析师与数据所有者合作，以帮助确保建立的结构与公司业务目标一致并支持公司业务目标。

流程所有者

安全应该被视为和处理为另一个业务流程。流程所有者负责正确定义、改进和监控这些流程。
流程所有者不一定会绑定到一个业务部门或应用程序。复杂的流程涉及许多跨越不同部门、技术和数据类型的变量。

解决方案提供商

当企业遇到问题或需要改进流程时，就会调用此角色。
解决方案提供商与业务部门经理、数据所有者和高级管理层合作，开发和部署解决方案以减少公司的痛点。

用户

用户是任何定期使用数据执行与工作相关的任务的个人。
用户必须拥有访问数据的必要级别才能履行其职位职责，并负责遵循操作安全程序以确保数据的机密性、完整性和对其他人的可用性。

产品线经理

负责向供应商解释业务需求，并筛选他们的言论以查看产品是否适合公司。
负责确保遵守许可协议。
负责将业务需求转换为产品或解决方案开发者的目标和规范。
决定他的公司是否真的需要升级其当前系统。
此角色必须了解业务驱动因素、业务流程以及支持它们所需的技術。
产品线经理评估市场上的不同产品，与供应商合作，了解公司可以采取的不同选择，并向管理层和业务部门提供有关满足其目标所需的适当解决方案的建议。

信息安全官的职责

将风险传达给高层管理人员
为信息安全活动预算
确保制定策略、程序、基线、标准和指南
开发和提供安全意识培训计划
了解业务目标
保持对新兴威胁和漏洞的意识
评估安全事件和响应
制定安全合规计划
建立安全指标
参加管理会议
确保遵守政府法规
协助内部和外部审计人员
了解新兴技术

报告模型

业务关系
向 CEO 报告
向信息技术 (IT) 部门报告
向企业安全部门报告
向行政服务部门报告
向保险和风险管理部门报告
向内部审计部门报告
向法律部门报告
确定最佳方案

企业范围的安全监督

定义目标

愿景声明
使命声明

安全规划

战略规划
战术规划
运营和项目规划

人员安全

人员职责的许多方面都属于管理的职责范围，其中一些方面与环境的整体安全直接相关，例如

聘用最合格的人员
对使用详细职位描述的人员进行背景调查
提供必要的培训
执行严格的访问控制，以及
以保护所有相关方的方式解雇个人。

招聘实践

根据需要填补的职位，人力资源部门应进行一定程度的筛选，以确保公司为合适的职位聘用合适的人选。

应测试和评估技能，并审查个人的素质和品格。
需要制定并由新员工签署保密协议，以保护公司及其敏感信息。
需要解决任何利益冲突，并且应与临时工和合同工签订不同的协议并采取预防措施。
应核实推荐信，审查兵役记录，验证教育背景，并在必要时进行毒品测试。
很多时候，重要的个人行为可以被隐藏，因此招聘实践应包括情景问题、性格测试和对个人的观察，而不仅仅是查看一个人的工作历史。

员工控制

必须建立管理结构，以确保每个人都有上级，并且对他人行为的责任能够公平合理地分担。
必须在事件发生之前传达不遵守规定或行为不当的后果。
需要学习并运用适当的监督技能，以确保运营顺利进行，并且可以及时处理任何异常活动，防止其失控。
应采用职位轮换制度，以保持每个部门的健康和高效状态。任何人都不能在一个职位上呆太长时间，因为他们可能会对业务的一部分拥有过多的控制权，从而导致欺诈、数据修改和资源滥用。
敏感区域的员工应强制休假，即强制休假制度，这为替代人员提供了检测任何欺诈性错误或活动的范围。
职责分离和控制的两种变体是知识分离和双重控制。
- 在这两种情况下，授权并要求两名或多名个人执行一项职责或任务。
- 在知识分离的情况下，没有人知道或掌握执行一项任务的所有细节。
- 在双重控制的情况下，同样授权两个人执行一项任务，但必须两个人都可用并积极参与才能完成任务或使命。

终止

公司应该有一套特定的程序，在每次终止时都要遵循。

安全意识、培训和教育

进行正式的安全意识培训

需求

管理层关于安全的指示在安全策略中都有体现，并且制定了标准、程序和指南来支持这些指示。但是，如果没有人知道这些指示以及公司希望如何实施它们，这些指示将不会有效。

为了使安全成功有效，从高层管理人员到其他员工，所有人都需要充分了解企业和信息安全的重要性。
所有员工都应该了解安全的根本重要性以及对他们期望的特定安全相关要求。
安全程序的控制和程序应反映正在处理数据的性质。
安全程序应以适合不同文化和环境的方式开发。
安全程序应向其员工传达安全的“什么”、“如何”和“为什么”。
安全意识培训应全面、针对特定群体，并覆盖整个组织，目标是让每个员工都了解安全对整个公司和每个人的重要性。
需要澄清预期的责任和可接受的行为，并且需要在实施之前解释不遵守规定造成的后果，这些后果可能包括警告或解雇。

不同类型的安全意识培训

安全意识程序通常至少针对三个不同的受众：管理层、员工和技术人员。

每种类型的意识培训都需要针对不同的受众，以确保每个群体都了解其特定的责任、义务和期望。
管理层成员将从简短的、重点突出的安全意识介绍中获益最多，该介绍讨论了与安全相关的企业资产以及财务收益和损失。
中层管理人员将从对政策、程序、标准和指南的更详细解释中获益，以及这些内容如何与他们负责的各个部门相对应。
应向中层管理人员传达为什么他们对特定部门的支持至关重要，以及他们在确保员工进行安全计算活动方面承担的责任水平。还应向他们展示，他们管辖范围内的人员不遵守规定可能对整个公司造成的影响，以及他们作为管理人员，可能需要对这些不当行为负责。
技术部门必须接受不同的介绍，与他们的日常任务更加一致。他们应该接受更深入的培训，以讨论技术配置、事件处理以及不同类型安全漏洞的迹象，以便能够正确识别这些迹象。
员工不应该试图自行对抗攻击者或处理欺诈活动，而是应该被告知将这些问题上报给上层管理人员，由上层管理人员决定如何处理。
向员工提供的介绍需要说明安全对公司和他们个人而言为什么很重要。他们越了解不安全的活动会如何对他们造成负面影响，他们就越愿意参与到预防此类活动的活动中。
通常最好让每个员工签署一份文件，表明他们已经听过并理解了所有讨论的安全主题，以及不遵守规定的后果。
安全培训应定期和持续进行。

评估程序

安全意识培训是一种控制措施，与任何其他控制措施一样，应监测和评估其有效性。

在员工参加意识培训后，公司可以让他们填写问卷调查和调查，以衡量他们的记忆水平，并征求他们对培训的反馈意见，以评估程序的有效性。
培训有效性的一个良好指标可以通过比较培训前后发生的的事件次数来获取。
对于在线培训，记录个人的姓名以及在特定时间段内已完成或未完成的培训模块。然后，可以将其整合到他们的工作表现文件中。
安全意识培训必须以不同的格式重复最重要的信息，保持最新，有趣、积极和幽默，易于理解，并且最重要的是，得到高层管理人员的支持。

专业培训项目

培训个人使用专门的设备和技术。
不同的角色需要不同类型的培训（防火墙管理、风险管理、策略制定、入侵检测系统等）。一支熟练的员工队伍是公司安全最重要的组成部分之一，而许多公司都没有投入足够的资金和精力来为员工提供适当水平的安全教育。

培训主题

安全意识课程可能是什么样子？

意识活动和方法

工作培训

专业教育

绩效指标

信息风险管理

信息风险管理 (IRM) 是识别和评估风险、认识到将其降低到可接受水平的局限性以及实施正确的机制来维持该水平的过程。

风险管理概念

风险类别

物理损坏- 火灾、水灾、破坏、停电和自然灾害
人机交互- 意外或故意的行为或不作为，可能影响生产力
设备故障- 系统和外围设备的故障
内部和外部攻击- 黑客、入侵和攻击
数据滥用- 分享商业秘密、欺诈、间谍活动和盗窃
数据丢失- 通过破坏性手段故意或无意地丢失信息
应用程序错误- 计算错误、输入错误和缓冲区溢出
社会地位- 失去客户群和信誉

 Security Tip: The threats need to be identified, classified by category, and evaluated to calculate their 
 actual magnitude of potential loss. Real risk is hard to measure, (more accurately stated it is hard to accept) 
 but prioritizing the potential risks in order of which risk needs to be addressed first is attainable

定义风险管理策略

IRM 策略为组织的风险管理流程和程序提供基础架构。
IRM 策略的特征
- 它应涵盖信息安全的所有问题，从人员筛选和内部威胁到物理安全和防火墙。
- 它应提供关于 IRM 团队如何将有关公司风险的信息传递给高层管理人员，以及如何正确执行高层管理人员关于风险缓解任务的决定的指示。
- IRM 策略应是组织整体风险管理策略的一部分，并且应映射到组织安全策略。
IRM 策略应解决以下事项
- 定义 IRM 团队的目标
- 公司将接受的风险水平以及什么是可接受的风险
- 风险识别的正式流程
- IRM 策略与组织战略规划流程之间的联系
- 属于 IRM 的责任以及要履行这些责任的角色
- 将风险映射到内部控制
- 应对风险分析，改变员工行为和资源配置的方法
- 将风险映射到绩效目标和预算
- 监控控制有效性的关键指标

风险管理实践

风险管理团队应具备执行最佳实践的能力，其中一些最佳实践包括

按照高层管理人员提供的规定，建立风险接受水平
记录风险评估流程和程序
建立识别和缓解风险的适当程序
获得高级管理人员的支持，以确保适当的资源和资金分配
在评估表明有必要的情况下，定义应急计划
确保为所有与信息资产相关的员工提供安全意识培训。
在必要时努力在特定领域建立改进（或风险缓解）
应将法律法规合规要求映射到控制和实施要求
开发指标和绩效指标，以便能够衡量和管理各种类型的风险
随着环境和公司发生变化，识别和评估新的风险
整合IRM和组织的变更控制流程，以确保变更不会引入新的漏洞

风险处理策略

由于不可能拥有一个100%安全的系统或环境，因此应该有一个可接受的风险水平。

剩余风险与总风险

剩余风险：始终存在一些需要处理的剩余风险。
总风险：没有风险措施，风险为100%。当成本/效益分析结果表明这是最佳行动方案时，此类风险是可以接受的。
关系:
- 威胁*漏洞*资产价值 = 总风险
- 威胁*漏洞*资产价值*控制差距= 剩余风险

处理风险的方法

有四种基本方法可以处理风险

转移：如果公司的总风险或剩余风险过高，并且它购买了保险，那么它就是将风险转移给了保险公司。
拒绝：如果一家公司否认其风险或忽略其风险，它就是在拒绝风险。
降低：如果一家公司实施了对策，它就是在降低风险。
接受：如果一家公司了解风险并决定不实施任何类型的对策，它就是在接受风险。实际上，所有计算机系统都归结于此。如果系统要连接到互联网，就没有办法减轻风险。只有一个用户，没有任何与其他计算机系统的网络连接，这是你最接近于没有任何风险的方式。

一旦获得控制台访问权限（坐在实际的硬件设备上，无论是计算机、服务器还是路由器），就没有任何安全措施可以阻止熟练的人员进入该系统。一个也没有。 这是计算机系统安全的“知识开端”。知识的增加会增加悲伤。

这两件事你必须接受，因为它们是事实。如果你不能像成年人一样处理这两个绝对事实，也许你应该去从事其他事情。尝试成为一名演员，也许，或者诗人，但如果你不能进入这种心态，就不要继续相信自己有任何计算机安全知识。并非每个人都能处理真相，这没关系，这很困难，令人不舒服，而且它确实很痛苦（这种痛苦的感觉被称为认知失调）。

风险评估/分析

风险分析是一种识别漏洞和威胁并评估可能造成的损害以确定在何处实施安全保障的方法。

为什么要进行风险分析？

确保安全是经济有效的、相关的、及时的，并且对威胁做出反应。
提供成本/效益比较，这将安全措施的年化成本与潜在的损失成本进行比较。
帮助将安全计划目标与公司的业务目标和要求相整合。
在威胁的影响和对策成本之间取得经济平衡。

风险分析活动

识别资产及其价值
识别漏洞和威胁
分析风险 - 两种方法
- 定量方法
- 定性方法
选择和实施对策

识别风险要素

识别资产及其价值

资产类型
- 有形：可衡量 - 计算机、设施、用品
- 无形：不可衡量，难以评估 - 声誉、知识产权。
在评估信息和资产价值时需要考虑的因素。
- 获取或开发资产的成本
- 维护和保护资产的成本
- 资产对所有者和用户的价值
- 资产对对手的价值
- 开发信息所涉及的知识产权的价值
- 其他人愿意为该资产支付的价格
- 如果资产丢失，更换资产的成本
- 如果资产不可用，将受到影响的运营和生产活动
- 如果资产受到损害，责任问题
- 资产在组织中的用途和作用
确定资产价值的必要性
- 进行有效的成本/效益分析
- 选择特定的对策和安全措施
- 确定要购买的保险范围
- 了解究竟是什么在风险之中
- 符合应尽注意义务并遵守法律法规要求

识别漏洞和威胁

有许多类型的威胁代理可以利用几种类型的漏洞，从而导致各种特定的威胁

威胁代理	可以利用此漏洞	导致此威胁
病毒	缺乏防病毒软件	病毒感染
黑客	服务器上运行的强大服务	未经授权访问机密信息
用户	操作系统中配置错误的参数	系统故障
火灾	缺乏灭火器	设施和计算机损坏，可能造成人员伤亡
员工	* 缺乏培训或标准执行 * 缺乏审计	* 共享关键任务信息 * 更改数据处理应用程序的数据输入和输出
承包商	缺乏访问控制机制	窃取商业秘密
攻击者	* 编写不当的应用程序 * 缺乏严格的防火墙设置	* 进行缓冲区溢出 * 进行拒绝服务攻击
入侵者	缺乏保安	破窗而入，盗窃电脑和设备

定量风险分析方法

定量分析使用风险计算，试图预测每种类型的威胁的货币损失水平和发生概率。
定量风险分析还在确定威胁可能性时提供具体的概率百分比。
分析中的每个要素（资产价值、威胁频率、漏洞严重程度、影响损害、安全措施成本、安全措施有效性、不确定性和概率项目）都被量化并输入方程式，以确定总风险和剩余风险。
纯粹的定量风险分析是不可能的，因为该方法试图量化定性项目，并且定量值中总是存在不确定性

定量风险分析的示例步骤

步骤 1：为资产分配价值 - 对于每项资产，回答以下问题以确定其价值
- 该资产对公司的价值是多少？
- 维护成本是多少？
- 它为公司创造多少利润？
- 它对竞争对手来说价值多少？
- 重新创建或恢复的成本是多少？
- 获取或开发的成本是多少？
- 您在保护此资产方面承担多少责任？
步骤 2：估计每项威胁的潜在损失 - 要估计威胁造成的潜在损失，请回答以下问题
- 威胁可能造成多少物理损害，这将花费多少？
- 威胁可能造成多少生产力损失，这将花费多少？
- 如果机密信息泄露，将损失多少价值？
- 从这种威胁中恢复的成本是多少？
- 如果关键设备出现故障，将损失多少价值？
- 每项资产和每项威胁的单次损失期望值 (SLE) 是多少？
步骤 3：进行威胁分析 - 采取以下步骤进行威胁分析
- 从每个部门的人员、过去记录和提供此类数据的官方安全资源中收集有关每项威胁发生的可能性信息。
- 计算年化发生率 (ARO)，即威胁在 12 个月内可能发生的次数。
步骤 4：得出每项威胁的总体损失潜力 - 要得出每项威胁的总体损失潜力，请执行以下操作
- 将潜在损失和概率结合起来。
- 使用前三个步骤中计算的信息，计算每项威胁的年化损失期望值 (ALE)。
- 选择补救措施来抵消每项威胁。
- 对已识别的对策进行成本/效益分析。
步骤 5：降低、转移或接受风险 - 对于每项风险，您可以选择降低、转移或接受风险
- 风险降低方法
  - 安装安全控制和组件。
  - 改进程序。
  - 改变环境。
  - 提供早期检测方法，以便在威胁发生时将其捕获并减少其可能造成的损害。
  - 制定一项应急计划，说明如果发生特定威胁，企业如何继续运营，从而减少威胁可能造成的进一步损害。
  - 建立对威胁的防御措施。
  - 进行安全意识培训。
- 风险转移 - 例如，购买保险来转移部分风险。
- 风险接受 - 接受风险并不再投入更多资金进行防护。

定量风险分析指标

单次损失期望值 (SLE) - 由于一次威胁事件造成的损失金额。
年化损失期望值 (ALE) - 预计的年度损失。
暴露因子 (EF) - 表示已实现威胁可能对特定资产造成的损失百分比。
年化发生率 (ARO) - 表示特定威胁在一年的时间范围内发生的估计频率的值。它的范围可以从 0.0 到 1.0。
关系
- 资产价值 * 暴露因子 (EF) = SLE
  - 示例：如果一个数据仓库的资产价值为 150,000 美元，并且估计如果发生火灾，仓库的 25% 将会损坏，则 SLE = 0.25 * $150000 = $37,500。
- SLE * 年化发生率 (ARO) = ALE。如果 ARO 为 0.1（表示十年一次），则 ALE = $37,500 * 0.1 = $3750。这告诉公司，如果它想投入控制措施或安全措施来保护资产免受这种威胁，它可以在一年内花费不超过 3750 美元来提供必要的防护级别。

定量风险分析的结果

以下是风险分析结果通常预期的简要列表

分配给资产的货币价值
所有可能且重大威胁的综合列表
每种威胁发生的概率
公司在 12 个月时间范围内可以承受的每个威胁的潜在损失
建议的安全措施、对策和行动分析。

定量优势

需要更复杂的计算
更容易自动化和评估
用于风险管理绩效跟踪
提供可靠的成本效益分析
显示可以在一年内累积的明确损失

定量劣势

计算更复杂。管理层能否理解这些值的来源？
如果没有自动工具，此过程非常繁琐。
需要收集有关环境的详细信息。
没有可用的标准。每个供应商都有自己解释流程及其结果的方式。

定性风险分析方法

在定性方法中，我们逐步了解风险可能性不同的场景，并对威胁的严重程度和不同可能的对策的有效性进行排序。
定性分析技术包括判断、最佳实践、直觉和经验。
定性风险分析技术
- 德尔菲 - 一种群体决策方法，用于确保每个成员对他们认为特定威胁的结果给出诚实的意见。此方法用于在没有个人需要口头达成一致的情况下，就成本、损失价值和发生的概率达成一致。
- 头脑风暴
- 故事板
- 焦点小组
- 调查
- 问卷调查
- 清单
- 一对一会议
- 访谈。
风险分析团队将确定针对需要评估的威胁以及公司文化和参与分析的个人的最佳技术。
执行风险分析的团队会召集具有评估威胁方面经验和教育背景的人员。当这个小组被呈现一个描述威胁和潜在损失的场景时，每个成员都会根据他们对威胁的可能性及其可能造成的损害程度的直觉和经验做出回应。

人员	威胁严重程度	威胁发生的可能性	潜在损失	防火墙的有效性	入侵检测系统的有效性
IT 经理	4	2	4	4	3
DBA	4	4	4	3	4
应用程序程序员	2	3	3	4	2
系统操作员	3	4	3	4	2
运营经理	5	4	4	4	4
结果	3.6	3.4	3.6	3.8	3

定性优势

需要简单的计算
涉及高度的猜测
提供一般区域和风险指示
提供最了解流程的个人的意见

定性劣势

评估和结果基本上是主观的。
通常会消除为成本效益讨论创建美元价值的机会。
难以使用主观指标跟踪风险管理目标。
没有可用的标准。每个供应商都有自己解释流程及其结果的方式。

选择和实施对策

对策选择

安全对策应具有成本效益，并应基于一些成本效益分析来决定。
对给定保护措施常用的成本效益计算为

（实施保护措施之前的 ALE） - （实施保护措施之后的 ALE） - （保护措施的年度成本）= 保护措施对公司的价值

对策的功能和有效性

以下列出了一些在承诺使用保护机制之前需要考虑的特征

特征	描述
模块化	它可以安装或从环境中移除，而不会对其他机制产生不利影响。
提供统一保护	它以标准化方法将安全级别应用于所有旨在保护的机制。
提供覆盖功能	管理员可以根据需要覆盖限制。
默认最低权限	安装时，它默认为缺少权限和权利，而不是安装后每个人都拥有完全控制权。
保护措施与其保护的资产相互独立	保护措施可用于保护不同的资产，不同的资产也可以由不同的保护措施保护。
灵活性和安全性	保护措施提供的安全性越高越好。此功能应具有灵活性，使您能够选择不同的功能，而不是全部或无功能。
清楚区分用户和管理员	用户在配置或禁用保护机制方面的权限应该更少。
最少的人工干预	当人类必须配置或修改控制措施时，这会为错误打开大门。保护措施应尽可能减少来自人类的输入。
易于升级	软件不断发展，更新应该能够无缝进行。
审计功能	应该有一个机制作为保护措施的一部分，提供最少和/或详细的审计。
最大程度地减少对其他组件的依赖	保护措施应灵活，并且对安装环境没有严格的要求。
易于使用、可接受且为人员容忍	如果保护措施对生产力构成障碍或为简单的任务添加额外的步骤，用户将无法容忍它。
必须以可使用且易于理解的格式输出	重要信息应以易于人类理解和用于趋势分析的格式呈现。
必须能够重置保护措施	该机制应该能够重置并恢复到原始配置和设置，而不会影响它正在保护的系统或资产。
可测试	保护措施应该能够在不同的环境下，在不同的情况下进行测试。
不会引入其他漏洞	保护措施不应提供任何隐蔽通道或后门。
系统和用户性能	系统和用户性能不应受到很大影响。
适当的警报	应该能够设置阈值，以便在何时向人员发出安全漏洞警报，并且这种类型的警报应是可以接受的。
不影响资产	环境中的资产不应受到保护措施的负面影响。

确定可能性

确定影响

确定风险

报告调查结果

对策选择

信息估值

信息分类

简介

在确定要保护的信息后，有必要对信息进行分类，并根据其对丢失、泄露或不可用的敏感性进行组织。
数据分类的主要目的是指示每种数据集所需的机密性、完整性和可用性保护级别。
数据分类有助于确保以最具成本效益的方式保护数据。
每个分类应具有单独的处理要求和程序，涉及如何访问、使用和销毁该数据。

分类类型

分类	定义	示例	将使用此分类的组织
公开	• 不欢迎泄露，但它不会对公司或人员造成不利影响。	• 正在特定项目上工作的人数 • 未来项目	商业企业
敏感	• 需要采取特殊预防措施以确保数据的完整性和机密性，方法是保护数据免遭未经授权的修改或删除。 • 需要比平时更高的准确性和 \| 完整性保证。	• 财务信息 • 项目详细信息 • 利润收益和预测	商业企业
私人	• 用于公司内部的个人信息。 • 未经授权的泄露可能会对人员或公司造成不利影响	• 工作经历 • 人力资源信息 • 医疗信息	商业企业
机密	• 仅供公司内部使用。 • 根据《信息自由法》或其他法律和法规免于披露的数据。 • 未经授权的泄露可能会严重影响公司。	• 商业秘密 • 医疗保健信息 • 编程代码 • 使公司保持竞争力的信息	商业企业 / 军事
非机密	• 数据不敏感或不保密。	• 计算机手册和保修信息 • 招聘信息	军事
敏感但未经分类 (SBU)	• 轻微机密。 • 如果泄露，可能会造成严重损害。	• 医疗数据 • 考试成绩答案	军事
秘密	• 如果泄露，可能会对国家安全造成严重损害。	• 部署部队的计划 • 核弹放置	军事
绝密	• 如果泄露，可能会对国家安全造成严重损害。	• 新型战时武器的蓝图 • 间谍卫星信息 • 间谍活动数据	军事

信息分类指南

分类不应是冗长的清单，也不应过于限制和细节导向。
每个分类都应该是唯一的，并且不应有任何重叠。
分类过程应概述信息和应用程序在其整个生命周期中的处理方式。

信息分类标准

数据的有用性
数据的价值
数据的年龄
如果数据泄露可能造成的损害程度
如果数据被修改或损坏可能造成的损害程度
保护数据的法律、法规或合同责任
数据对国家安全的影响
谁应该能够访问数据
谁应该维护数据
数据应该保存在哪里
谁应该能够复制数据
哪些数据需要标签和特殊标记
数据是否需要加密
是否需要职责分离
哪种备份策略是合适的
哪种恢复策略是合适的

 Security Note: An organization needs to make sure that whoever is backing up classified data—and whoever has access 
 to backed-up data—has the necessary clearance level. A large security risk can be introduced if low-end technicians with 
 no security clearance can have access to this information during their tasks. Backups contain all your data and deserve the 
 same considerations in terms of security risk as the entire infrastructure because that is exactly what it is only in a single
 location, often stored as a single file and usually with little thought put into what are the risks involved with that appliance.

数据分类程序

以下概述了适当分类程序的必要步骤

定义分类级别。
指定将决定如何对数据进行分类的标准。
让数据所有者指定她负责的数据的分类。
识别将负责维护数据及其安全级别的数据管理员。
指出每个分类级别所需的安全控制或保护机制。
记录对先前分类问题的任何例外情况。
指出将信息的保管权转移给不同的数据所有者的方法。
创建一个定期审查分类和所有权的程序。将任何更改通知数据管理员。
指出对数据进行降级的终止程序。
将这些问题整合到安全意识计划中，以便所有员工了解如何处理不同分类级别的数据。
DataClassificationPolicySample

分类控制

根据管理层和安全团队确定的所需保护级别来实施每种分类的控制类型。一些控制措施是

对所有级别的敏感数据和程序实施严格和细粒度的访问控制
在存储和传输时对数据进行加密
审计和监控（确定所需的审计级别以及日志保留时间）
职责分离（确定是否需要两个人参与访问敏感信息以防止欺诈活动；如果是，定义和记录程序）
定期审查（审查分类级别以及符合其标准的数据和程序，以确保它们仍然与业务需求一致；数据或应用程序也可能需要重新分类或降级，具体情况视情况而定）
备份和恢复程序（定义和记录）
变更控制程序（定义和记录）
文件和文件系统访问权限（定义和记录）

道德

道德是一个与价值问题有关的研究领域，即对在任何特定情况下什么类型的人类行为是“好”或“坏” 的判断。道德是标准、价值观、道德、原则等等，人们以此为基础做出决定或采取行动；通常，没有明确的 “正确”或“错误” 答案。

基本概念

计算机伦理

术语 “计算机伦理” 可以从广义和狭义上进行解释。

在狭义上，计算机伦理可以理解为专业哲学家努力将传统的道德理论（如功利主义、康德主义或德性伦理）应用于与计算机技术使用相关的问题。
在广义上，它可以理解为专业实践标准、行为准则、计算机法律的某些方面、公共政策、企业伦理，甚至计算机社会学和心理学的某些主题。

专业道德准则

认证的专业人士，包括持有 CISSP 认证的专业人士，在道德方面，有时在法律方面，也需要遵守更高的标准。为了在行业内和我们企业边界内促进适当的计算行为，专业人士应将道德纳入其组织政策和意识计划中。

几个组织通过道德指南解决了道德行为的问题。这些组织包括

计算机伦理研究所，
互联网活动委员会，
国际计算机安全协会，
信息系统安全协会，以及
(ISC)² 道德准则。

计算机伦理研究所

CEI 计算机伦理十诫

你不可使用计算机伤害他人。
你不可干扰他人的计算机工作。
你不可窥探他人的计算机文件。
你不可使用计算机盗窃。
你不可使用计算机作伪证。
你不可复制或使用未支付费用的专有软件。
你不可未经授权或适当补偿而使用他人的计算机资源。
你不可挪用他人的知识产权。
你应该思考你正在编写的程序或设计的系统的社会后果。
你应该始终以确保对他人的尊重和考虑的方式使用计算机。

互联网架构委员会

互联网架构委员会 (IAB) 是互联网设计、工程和管理的协调委员会。它是一个独立的由对互联网的健康和发展有技术兴趣的研究人员和专业人士组成的委员会。

IAB 有两个主要的下属工作组
- 互联网工程任务组 (IETF) 和
- 互联网研究任务组 (IRFT)。

IAB 发布了有关互联网使用的与道德相关的声明。它认为互联网是一种资源，它取决于可用性和可访问性，才能对广泛的人群有用。它主要关注互联网上可能威胁到其存在或对他人产生负面影响的不负责任的行为。它将互联网视为一项伟大的礼物，并努力为所有依赖它的人保护它。 IAB 认为使用互联网是一种特权，应该像对待这种特权一样对待它，并以尊重的态度使用它。

IAB 认为以下行为不道德且不可接受
- 故意试图获取对互联网资源的未经授权的访问权限
- 破坏互联网的预期使用目的
- 通过故意的行为浪费资源（人员、容量和计算机）
- 破坏基于计算机的信息的完整性
- 损害他人的隐私
- 以疏忽的方式进行互联网范围的实验

(ISC)² 道德准则

所有由 (ISC)2 认证的信息系统安全专业人员都认识到，这种认证是一种特权，必须同时获得和维护。为了支持这一原则，所有认证信息系统安全专业人员 (CISSP) 都承诺全力支持本道德规范。故意或明知违反本规范任何条款的 CISSP 将受到同行评审小组的处罚，这可能导致其认证被撤销。

道德规范序言

为了社会安全、对我们委托人和彼此的责任，我们必须遵守并被认为遵守最高道德行为标准。
因此，严格遵守本规范是认证的条件。

道德规范原则

保护社会、联邦和基础设施。
以诚实、公正、负责任和合法的方式行动。
为委托人提供勤勉和胜任的服务。
促进和保护职业发展。

道德规范

保护社会、联邦和基础设施
- 促进和维护公众对信息和系统的信任和信心。
- 促进对谨慎的信息安全措施的理解和接受。
- 维护和加强公共基础设施的完整性。
- 阻止不安全的操作。
以诚实、公正、负责任和合法的方式行动
- 说实话；及时让所有利益相关者了解你的行动。
- 遵守所有明示或暗示的合同和协议。
- 公平对待所有相关方。在解决冲突时，应按照以下顺序考虑公共安全和对委托人、个人和职业的义务：公共安全、委托人、个人、职业。
- 提供谨慎的建议；避免引起不必要的恐慌或给予不必要的安慰。注意要诚实、客观、谨慎，并且符合你的能力范围。
- 在解决不同司法管辖区之间不同的法律时，优先考虑你提供服务的司法管辖区的法律。
为委托人提供勤勉和胜任的服务
- 维护其系统、应用程序和信息的价值。
- 尊重他们的信任以及他们赋予你的特权。
- 避免利益冲突或利益冲突的表象。
- 只提供你完全胜任和合格的服务。
促进和保护职业发展
- 推荐最合格的人员进行职业发展。在其他条件相同的情况下，优先考虑那些获得认证并遵守这些原则的人。避免与那些其行为或声誉可能损害职业的人进行专业交往。
- 注意不要通过恶意或漠不关心来损害其他专业人员的声誉。
- 保持你的能力；使你的技能和知识保持最新。在培训他人方面慷慨地付出你的时间和知识。

计算机伦理示例主题

工作场所的计算机

计算机对传统工作的威胁

作为一种“通用工具”，原则上可以执行几乎所有任务，计算机显然对工作构成威胁。

虽然计算机偶尔需要维修，但它们不需要睡眠，它们不会感到疲倦，它们不会生病回家或休息放松。同时，计算机在执行许多任务方面通常比人类效率更高。因此，用计算机设备取代人类的经济激励非常高。
在工业化世界中，许多工人已经被计算机设备取代，甚至像医生、律师、教师、会计师和心理学家这样的专业人士也发现，计算机可以非常有效地执行他们许多传统的专业职责。
然而，就业前景并不全是坏的。从短期来看，计算机造成的失业将是一个重要的社会问题；但从长远来看，信息技术将创造比它消除的更多工作岗位。
即使一项工作没有被计算机淘汰，它也会因“去技能化”而发生根本变化，使工人成为被动的观察者和按钮按压者。
希望随着知识的传播，人们会发现，没有理由实行稀缺驱动型经济（例如，1942 年美国专利了一种用汞辐射形式制造人造黄金的方法，以及类似的钻石、石油等成就），世界可以摆脱过去不人道的做法，让自动化计算机系统来完成下层人民、农民、奴隶和贫困工作者长期以来一直在做的工作。但我们必须始终警惕源于“人人平等但只有我享有特权”的人类缺陷导致的权力滥用，这种缺陷我们每个人都可能屈服于它，并给社会带来可怕的破坏。而且由于我们天生都懒惰（你会在口渴时通常走到最远的水源，而不是走到最近的可饮用水源），我们可以确信很难保持这种状态。

工作场所的健康和安全

另一个工作场所问题涉及健康和安全。根据 Forester 和 Morrison 的说法，当将信息技术引入工作场所时，重要的是要考虑其可能对使用它的工人的健康和工作满意度造成的影响。例如，这样的工人可能会感到压力，因为他们努力跟上高速计算机设备的步伐，或者他们可能会因反复进行相同的身体动作而受伤，或者他们的健康可能会受到计算机显示器发出的辐射的威胁。这些只是将信息技术引入工作场所时出现的一些社会和伦理问题。

计算机犯罪

犯罪背后的安全方面

在这个计算机“病毒”和来自数千英里外的“黑客”进行国际间谍活动的时代，计算机安全显然是计算机伦理领域关注的主题。问题不在于硬件的物理安全（防止被盗、火灾、洪水等），而在于“逻辑安全”，根据 Spafford、Heaphy 和 Ferbrache 的说法，逻辑安全可分为五个方面

隐私和机密性
完整性——确保数据和程序未经授权未被修改
无障碍服务
一致性——确保我们今天看到的数据和行为在明天将保持一致
控制对资源的访问

挑战

恶意软件或“程序化威胁”对计算机安全提出了重大挑战。这些包括

病毒，它们无法独立运行，而是被插入其他计算机程序中；
蠕虫，它们可以在网络中从一台机器移动到另一台机器，并且可能在不同的机器上运行它们的部分内容；
特洛伊木马，它们看起来像是一种程序，但实际上是在幕后造成损害；
逻辑炸弹，它们检查特定的条件，并在这些条件出现时执行；以及
细菌或兔子，它们会迅速繁殖并填满计算机的内存。

可信人员/安全许可人员 vs 黑客/捣乱者

计算机犯罪，如挪用公款、交易中的金融欺诈、利率操纵或逻辑炸弹的植入，通常是由被授权使用计算机系统和/或访问机密信息的可信人员实施的。因此，计算机安全还必须关注可信计算机用户和拥有机密安全许可人员的行为。

可信级别/安全许可访问级别越高，或组织层级中的级别越高，在成本和安全方面造成更大损害的风险越大，而在被发现的可能性方面则呈指数级下降。更令人担忧的是，曾经“最可信”但现在是罪犯的人实际上被提起刑事指控的机会在最高层几乎降至零，因为这些罪犯将在指控被提出之前以被盗金额的一小部分进行和解，而且他们的声誉不会受到任何损害，因此他们可以维持“最可信”的地位。这不仅对组织内部的人员来说是令人担忧的事情，对所有受金融/经济贸易协定约束的国家或国家联盟的人民来说也是如此，因为这些协定基于信任，并可能导致这些国家之间的大规模战争。还有什么比这更令人恐惧的系统性风险吗？

黑客/捣乱者通过未知的安全风险未经许可闯入他人的计算机系统。有些人故意窃取数据或进行破坏活动，而另一些人只是“探索”系统，看看它的工作原理以及它包含哪些文件。这些“探索者”通常声称自己是自由的仁慈捍卫者，以及反对大型公司敲诈勒索和流氓政府间谍活动的人。有些人认为自己是在为信息系统的更多“IT 挑战者”用户提供慈善工作，这些用户要么出于无知，要么出于懒惰，没有发现这些风险。这些自封的网络义警/慈善工作者说他们没有造成任何伤害，并声称通过暴露用户的安全风险来帮助社会，这些用户要么天生没有能力或技能来发现这些风险，要么是故意无知，不愿付出努力。

有些人认为任何黑客行为都是有害的，因为任何已知的成功渗透计算机系统都需要所有者彻底检查损坏或丢失的数据和程序。他们声称，即使黑客确实没有进行任何更改，计算机所有者也必须对受损系统进行昂贵且耗时的调查。其他人可能会声称（实际上在本页上面的单独安全部分中已说明），数据/系统/应用程序所有者应该已经定期检查损坏或丢失的数据或受损的程序和应用程序。这些人问，你宁愿有一个良性入侵者，它找到了一种渗透你的计算机/网络系统的方法，并让你知道潜在的安全漏洞，还是一个犯罪入侵者入侵你的系统，意图从你或你的客户那里窃取数百万美元，在你意识到你所承担的风险或你给客户/客户/机密或专有数据带来的风险之前？如果你持后一种观点，你是否应该承担经济或刑事责任，因为你自愿选择这种方式？

隐私和匿名

隐私问题

隐私是最早引起公众关注的计算机伦理主题之一。

计算机和计算机网络可以轻松有效地用于收集、存储、搜索、比较、检索和共享个人信息，这使得计算机技术对那些希望将各种“敏感”信息（例如，医疗记录）保密或不落入那些被视为潜在威胁的人手中的人来说尤其具有威胁性。

暴露隐私的因素

一些加剧人们对隐私担忧的因素包括：

互联网的商业化和快速发展；
万维网的兴起；
计算机和应用程序的“用户友好性”不断提升
计算机的处理能力；
计算机技术的成本不断下降
数据挖掘和数据匹配，
网络上“点击轨迹”的记录等等。

匿名性

网络匿名性有时与网络隐私问题在同一语境下讨论，因为匿名性可以提供与隐私相同的许多益处。例如，如果有人使用互联网获取医疗或心理咨询，或讨论敏感话题（例如，艾滋病），匿名性可以提供类似于隐私的保护。同样，网络匿名性和隐私都可以在维护人的价值观（如安全、心理健康、自我实现和心灵平静）方面有所帮助。不幸的是，隐私和匿名性也可能被利用，以在网络空间中促进不希望和不良的计算机辅助活动，例如洗钱、毒品交易、恐怖主义或捕食弱者。

知识产权

争论

计算机伦理中最有争议的领域之一涉及与软件所有权相关的知识产权。

有些人，比如启动自由软件基金会的理查德·斯托曼，认为软件囤积不应该被允许。他声称，所有分发给公众的程序都应该是免费的，并且所有分发给公众的程序都应该可以被任何想要这样做的人复制、研究和修改。
有些人认为，如果软件公司或程序员不能以许可费或销售的形式收回投资，他们就不会在软件开发上投入数周和数月的努力以及大量的资金。虽然在过去 20 年里，由全球数千名开发人员免费创建和维护的自由开源软件似乎已经清楚地反驳了这些说法。

场景

当今的软件行业是经济中一个价值数十亿美元的部分；软件公司声称每年因非法复制（“软件盗版”）而损失数十亿美元。
许多人认为软件应该是可拥有的，但“随意复制”个人拥有的程序供朋友使用也应该被允许。
软件行业声称，由于这种复制行为，他们损失了数百万美元的销售额。所有权是一个复杂的问题，因为软件的几个不同方面可以被拥有，并且有三种不同类型的所有权：版权、商业秘密和专利。一个人可以拥有程序的以下方面：
- “源代码”，由程序员用高级计算机语言（如 Java 或 C++）编写。
- “目标代码”，是源代码的机器语言翻译。
- “算法”，是源代码和目标代码所代表的机器指令序列。
- 程序的“外观和感觉”，即程序在屏幕上的显示方式以及与用户的交互方式。
当今一个非常有争议的问题是拥有计算机算法的专利。
- 专利授予对专利项目的独占性垄断权，因此，算法所有者可以禁止他人使用算法中包含的数学公式。
- 数学家和科学家对此表示愤怒，他们声称算法专利实际上将数学的一部分从公共领域中删除，从而威胁到科学的发展。

挑战

运行初步的“专利搜索”以确保你的“新”程序没有侵犯任何人的软件专利，这是一个昂贵且耗时的过程，而且在法庭之外能够达到的置信度几乎为零。因此，只有拥有巨额预算的大公司才能负担得起这样的搜索，或负担得起昂贵的诉讼。这实际上淘汰了许多小型软件公司，抑制了竞争，并减少了社会可获得的程序的多样性和质量。

专业责任

计算机专业人员拥有专业知识，并且通常在社区中拥有权威和尊重。随着改变世界的这种权力而来的是负责任地行使权力的责任。计算机专业人员发现自己与其他人建立了各种专业关系，包括：

雇主-雇员
客户-专业人士
专业人士-专业人士
社会-专业人士

这些关系涉及多种利益，有时这些利益会相互冲突。因此，负责任的计算机专业人员会意识到可能存在的利益冲突，并尽量避免它们，并努力记住所有相关人员都是人，并要有同理心。始终思考的最好方法是问自己：如果我处于他们的位置，我会希望如何被对待？

像美国计算机协会 (ACM) 和电气和电子工程师协会 (IEEE) 这样的专业组织也制定了伦理准则、课程指南和认证要求，以帮助计算机专业人员了解和管理伦理责任。

全球化

当今的计算机伦理正在迅速发展成为一个更广泛、甚至更重要的领域，这个领域可以合理地称为“全球信息伦理”。

在人类历史上，伦理和价值观首次在一个不局限于特定地理区域，也不受特定宗教或文化限制的背景下进行辩论和转变。这很可能是历史上最重要的社会发展之一，但一些问题，如全球法律、全球网络商业、全球教育、信息富裕和信息贫困等，正日益成为网络世界的关注点。

常见的计算机伦理谬误

缺乏早期的、以计算机为导向的童年养育和条件反射导致了几个普遍存在的谬误。计算机用户群体包括 7 到 70 岁的使用计算和其他信息技术的人。就像所有谬误一样，有些人受到它们的强烈影响，而有些人则不太受影响。一些最常见的谬误，可能是最重要的，包括：

电脑游戏谬误
守法公民谬误
坚不可摧的谬误
从婴儿手中夺糖果的谬误
黑客谬误
免费信息谬误

黑客和黑客行动

黑客是指喜欢深入了解系统内部工作原理的人，尤其是计算机和计算机网络。

黑客伦理

两种最常见的但没有得到广泛认可的黑客伦理是：

认为信息共享是强大的积极因素，并且黑客有道德义务通过编写开源代码并尽可能地促进信息和计算资源的访问来分享他们的专业知识。
认为为了乐趣和探索而破解系统在道德上是可以的，只要破解者不进行任何盗窃、破坏或违反保密性。

参考资料

信息安全治理

安全策略信息安全管理第三版作者：迈克尔·E·惠特曼计算机伦理与职业责任

简介