系统运营中的风险管理课件

资源配置和优化资源配置和优化系统切换系统切换日常运行 管理例程、日常操作备份和恢复 数据备份、数据恢复、安全恢复 灾难恢复 灾难恢复层次灾难恢复层次 恢复指标恢复指标 成本成本-效益分析效益分析安全事件管理安全事件管理 流程安全事件管理工具 审计、安全警报、审计、安全警报、审计日志 事件分析 关联 安全事件报告安全事件报告 风险实时控制 基于范例的推理TPC(TransactionProcessing PerformanceCouncil，事务处理性能委员会)制定商务应用基准程序(Benchmark)的标准规范、性能和价格度量，并管理测试结果的发布。TPCC是在线事务处理(OLTP)的基准程序。在使用时，考察基准程序是否符合企业真实的业务流程和运作模式。当同样的主机用在不同的系统中时，tpC值可能有相当大的变化。选择主机 主机系统应该具备与业务规模和特点相适应的处理能力。主机系统的处理要求应与每笔业务所消耗的主机CPU处理能力和系统要求达到的单位时间内的交易笔数相关。由于某种特殊情况的出现，可能导致突发性的业务尖峰，为了避免由于业务出现的突发尖峰导致系统崩溃，我们需要对资源的占用作出相应的控制。为实现运行过程中的安全恢复，需要建立一个可靠并经过验证的系统基础结构，系统的每一级部件都一定要有冗余。对于关键的IT应用来讲，管理层应有规律地评估不间断电源电池和发电机的需求。对主机房电源要有完整的双回路备份机制,不间断电源（UPS），保证关键的IT应用不受电源失效或波动的影响。主机、网络设备、前置机等关键易损件是否有备份.硬件如多CPU和硬盘镜像并行服务器、廉价磁盘冗余阵列(RAID s)。通过通信端口备份，可提高网络响应速度，实现网络容错和恢复。操作系统、中间件、数据库系统和应用系统应能提供安全恢复机制，例如，数据库的日志和锁定。应用备用系统一般来说，可实现的服务级别要低。例如，当电子终端不可用时，使用手工压卡机进行信用卡交易。这是应用级冗余的例子。不同层次使用不同的机制，用于不同的目的。冗余磁盘不能防止恶意程序员删除账户文件 备份不能阻止它插入越来越多的错误，更不能保护数据的机密性。系统配置的考量标准 一是性能和容量方面的要求，对资源性能、应用规模和工作量需求方面的数据进行收集、分析和报告，相关的硬件和软件的性能/价格比变化。跟踪所有IT资源的分配成本，包括但不限于此：硬件、外围设、线路、应用开发和支持、行政管理的开销、外部卖主的服务成本、维护 系统选择 分析不同的成本分类的性能和关于成本效益的外部基准，以便允许与行业预期或可选择的服务来源进行比较。同时注意不应过于依赖于同一个供应商。关键系统如芯片、操作系统、主要应用软件的国产化问题。十五期间，中科院计算所将在通用CPU设计上取得重大突破，表明Linux操作系统在银行应用也是可行的。目前关键的问题 是组织力量开发与IBM公司软件相当的大型应用软件。IT虚拟化技术 可达到多操作系统平台上的集成虚拟化：在核心的自动化规则比如可用性、安全、优化和预先配置之间进行协调，根据应用的优先级自动分配资源，确保需求达到峰值时的应用服务水平。在年终结算的业务高峰期，只需一个简单命令，就可以把其他设备聚合成一台超大设备，集中所有资源，全面应对峰值业务。而在平时，则可把闲置资源用于人事系统、办公系统等。能够将用户的资源利用率从平均20%提升到50%，并减少30%-40%的管理时间。更重要的是，即使某个部分出现故障，适应性IT系统也能自动调用资源，接管相应计算，避免因故障而宕机，实现不间断稳定的业务运行。网络负担是影响系统成败的一个重要因素。线路 检查可供客户使用的容量，采取必要的措施保证接入线路的通畅，并采用适当的备份和负载均衡技术，保证客户服务的可用性。网络设备 所有关键网络设备如交换机、路由器等均采用双机冗余热备份措施 采用优先级队列、数据压缩等技术灵活有效地利用带宽。密码加速设备 解决对CPU资源过量需求的安全协议所造成的性能问题。人员管理和沟通 在聘用前进行详细的考察，确定有无犯罪记录，确保雇员、合同工和第三方用户理解其自身责任，适合角色定位，减少偷窃、欺诈或误用设施带来的风险。确保所有雇员、合同工和第三方用户都意识到信息安全威胁、利害关系、责任和义务。加强对从业人员，特别是一线员工的业务培训，促使员工熟练掌握各业务环节的操作规范，减少或避免出现操作失误。明确解聘责任，要求返还资产，去除访问权限，确保雇员、合同工和第三方用户按照既定方式离职或变更职位。另一个问题是当风险具有政治上的敏感性时，直接了当地表明针对内部员工的安全控制会刺激他们的作为主人翁的尊严，可能需要一些遮掩的方法。经常，内部控制措施需要以降低错误和保护员工的面目被引入。例如，银行经理乐意使用双重保险锁，因为这会降低他们的家人被绑架勒索的危险，同样，大额交易的双重签名会减轻他们的责任压力。但是，并不是在任何情况下都能达到这样的共识。通过操作员要循环轮班，采取渡假和休假并维护资格。操作人员更换期间，通过规定活动、状态更新和有关当前责任报告的正式移交，建立一个处理连续性的程序。另外，应存在一个程序，来确认、调查、审批与标准工作时间安排的背离。操作规程 处理信息系统运行以完成业务目标的政策和程序，包括系统启停、动态调整、定期数据清理、启动、关机、工作负载计划安排等。操作规程最初的时间安排以及这些时间安排的变更，应被适当地授权。通过归档、定期地测试以及根据需要进行调整，IT管理层应确保操作人员对启动程序和其它操作任务足够的熟悉和自信。管理模式和管理措施应随着业务的变化和客观环境的需要进行调整、补充和完善。针对不同安全岗位的操作管理 对重要设施设备的接触、检查、维修和应急处理，应有明确的权限界定、责任划分和操作流程。网点合法性管理、网络隔离、网络运行监控管理、网络信道安全管理、网络设备设施安全管理等内容 操作系统安全管理主要包括系统管理员级别划分、访问权限控制管理、日常维护安全管理、故障诊断及处理、审计跟踪等几方面内容 数据库访问控制管理、数据备份管理、数据使用授权管理、数据存储时限管理、数据密级管理等 操作安全管理是主要包括操作权限管理、操作规范管理、操作责任管理、操作监督管理和误操作恢复管理等内容 管理和维护失效和例外 跟踪记录系统维护方面的问题，以便标识需要额外关注的地方，内容包括对正常管理及维护程序的例外情况的描述，其中包括该例外情况出现的原因和持续的时间。对系统运行过程中出现的故障，能从系统软件、应用软件等不同层次提供故障码。特别是应用系统应该提供故障点、诊断信息以及故障库等。每个安全应用必须涉及建立适当的安全参数，实现这些参数，监视和分析运行结果并调整这些参数。数据类型 从数据用途角度一般可将数据分为系统数据、基础数据、应用数据、临时数据；根据数据存贮与管理方式又可分为数据库数据、非数据库数据。(1)系统数据（SYSTEM DATA）系统数据主要是指操作系统、数据库系统和应用系统执行程序。系统数据在系统安装后基本上不再变动，只有在操作系统、数据库系统版本升级或应用程序调整时才发生变化。系统数据一般都有标准的安装介质（软盘、磁带、光盘）。(2)基础数据（INFRASTRUCTURE DATA）基础数据主要是指保证应用系统正常运行所使用的系统目录、用户目录、系统配置文件、网络配置文件、应用配置文件、存取权限控制等。基础数据随应用系统运行环境的变化而变化，一般作为系统档案进行保存。(3)应用数据（APPLICATION DATA）应用数据主要是指应用系统的所有业务数据，对数据的安全性、准确性、完整性要求很高而且变化频繁 (4)临时数据（TEMPORARY DATA）主要是指操作系统、数据库产生的系统日志和应用程序在执行过程中产生的各种用于打印、传输的临时文件，随系统运行和业务的发生而变化。临时数据对业务数据的完整性影响不大，增大后需要定期进行清理。(5)数据库数据（DATABASE DATA）是指通过数据库管理系统（DBMS）来进行存取和管理的数据。(6)非数据库数据（NON-DATABASE DATA）是指通过文件管理系统等非数据库管理系统来进行存取和管理的数据。(7)孤立数据（ORPHAN DATA）是指从最后一次应用数据备份后到事件发生、系统运行停止前未备份的数据。这部分数据通常需要通过人工等方法重新录入到系统中。一般情况下，孤立数据越多，系统恢复的时间就越长，业务的停顿时间也就越长。孤立数据的多少与数据备份的周期有很大关系。(8)遗失数据（LOST DATA）是指无法恢复或弥补的数据。根据采取的数据备份技术和数据备份方式可以将数据备份策略分为以下几类:(1)定期备份 指按一定的时间间隔（一般为一天）将系统某一时刻的数据备份到磁带等介质上。对不同的数据类型应根据其易变性采取不同的备份周期。(2)定期备份关键数据备份 除对数据作定期备份之外，还更新数据的日志或流水等关键数据及时地备份下来传送到安全的地方，关键数据备份的时间间隔比定期备份要短，也可以是实时备份。数据库管理系统一般支持此种策略，可以用归档备份工具作定期备份（如informix的级备份），同时采用日志备份工具对日志作及时备份（如informix的逻辑日志连续备份）。此方式孤立数据较定期备份方式要少得多。但是，数据恢复的时间仍然较长。有时仍需要依靠纸质凭证或其他介质来恢复孤立数据。(3)关键数据备份连续恢复 在备份系统中，装有运行系统的数据影像拷贝，关键数据及时地抽取后，立即在备份系统上更新数据库。由于备份中心已将数据恢复到最近的状态，数据组织形式与运行系统相同，因而恢复时间将缩短很多。在此策略中，投资较大，需要数据备份的主机或后备运行主机，如果采用数据通信方式传送关键数据，还有一定的通信费用支出。此外，在此策略中，孤立数据与定期备份关键数据备份策略一样多。(4)实时备份异步更新 数据更新操作的日志在被记录进运行系统日志的同时，通过数据通信线路传送到灾难备份系统，并立即对备份系统的数据影像拷贝进行更新。由于数据更新操作被及时追加到灾难备份系统，因而，孤立数据很少，另外备份数据的组织形式与运行系统相同，所以恢复时间很短，主要是追补孤立数据和网络切换的时间。支持此策略的技术一般有远程磁盘镜像异步方式、远程数据库复制异步方式和网络数据镜像异步方式，如IBM ES/9000 XRC,IBM AS/400 MIMIX,EMC SRDF异步方式,INFORMIX HDR异步方式,UNISYS RDB异步方式等。(5)实时备份同步更新 数据更新操作同时在运行系统和备份系统进行，运行系统的数据更新操作首先通过高速数据通信线路传送到备份系统，写入备份系统的磁盘，运行系统在收到备份系统完成数据更新操作的确认之后，写入本地磁盘。由于数据更新操作同步写入备份系统，因而，孤立数据极少，基本无需追补。由于备份系统处于热备份状态，因此灾难发生后的恢复时间极短，主要是网络切换的时间。此策略的投资和运行费用最高，由于需要高速数据通信线路，在目前通信技术条件下，只能限于同城范围，且通信费用很高。另外，此方式下，数据备份对运行系统的性能可能会有一定的影响。支持此策略的技术一般有远程磁盘镜像同步方式、远程数据库复制同步方式和网络数据镜像同步方式，如IBM ES/9000 PPRC,IBM RS/6000 HAGEO,EMC SRDF同步方式,INFORMIX HDR同步方式等。数据恢复一般按系统数据基础数据应用数据的顺序进行。应用数据恢复 1已备份的应用数据的恢复：根据所采取的数据备份策略制定相应的数据恢复方法。2 孤立数据的恢复：人工追帐法 在主机系统进行备份数据恢复之后，直接通过原始凭证重新录入 流水批量追帐法 将各联网方（如网点、前置机、网间交易的对方等）的业务流水记录文件通过网络传送到灾难备份系统，通过批量追帐功能批量地、自动地录入系统。3.数据的完整性和一致性检查可以在三个层次上进行：检查数据集在物理上是一致的、完整的；检查每个数据库在逻辑上是一致的、完整的；检查所有应用数据在逻辑上是一致的、完整的。方法一：数据库工具检查法。方法二：凭证核对法。方法三：流水比较法。方法四：平衡检查法。根据应用数据之间的关系进行数据的完整性和一致性检查。例如，通过应用程序检查应用系统的总帐与分户帐是否平衡、科目余额借贷是否平衡、分户帐余额与明细帐余额是否相符、明细帐逐笔的发生额与余额是否一致等，另外对当天的业务进行试算平衡检查，检查借贷发生额是否平衡、业务笔数、发生额是否与凭证汇总数和实物清点结果相符等。安全恢复是指在系统中断运营（由于各种原因造成，包括硬软件故障、操作失误、人为破坏、自然灾害发生等）之后恢复系统的运行，可分为内部恢复和灾难恢复两大类别。恢复有两种形式。第一种是阻断攻击，并且评估、修复由攻击造成的任何损害。例如，若攻击者删除了一份文件，那么某恢复机制应能从备份磁带中恢复该文件。恢复的功能应包括辨识和修复攻击者用以闯入系统的系统脆弱性。在某些情况下，追究攻击者的责任也是恢复的一部分。恢复应具备还原正确操作的功能。第二种恢复方式要求攻击正在发生时，系统还应能正常运作。在任何时候这种系统都不会在功能上出错，而只会将不重要的功能禁用。当多个网络被管理员设置为同样的优先级时，可实现并行数据通道，同时在这些网络上传送数据，提高数据传输速度；当优先级高的网络出现故障时，将应用转移到优先级低的网络，然后以一定时间间隔检查高优先级网络是否已经恢复。当高优先级的网络恢复运行后，自动将应用系统切换回高优先级的网络 系统恢复是系统安全的敏感时期，操作系统缺乏相应的安全防护，容易留下隐患或被做手脚。整个恢复过程必须得到严格的监控和记录，恢复完成后必须进行安全审核。修复 热修复是指即时修改错误，然后将修正版本发布。热修复虽然能够立即产生效果，但是可能对系统的安全性带来一定的影响。常规修复解决不是十分严重的错误，一般都是累积到一定程度才发行出去。修复错误所采取的措施应该和最初系统设计采用同样的安全流程。任何新的设计都应该考虑模块化、设计基本原则、文档等问题，并进行相关的测试。修复管理 必须由专门指定的应用软件维护人员，依照软件维护管理制度，按照严格的程序实施软件维护，处理运行过程中出现的问题。对优化后或新增投入生产的软件进行测试，并通过安全可信的渠道对这些软件进行分发和安装。特别地，对于系统供应商或服务商进行的远程在线诊断和调试必须有严格的管理规程。灾难恢复是一个在发生信息系统灾难后，在远离灾难现场的地方重新组织系统运行和恢复营业的过程。重要信息系统灾难恢复指南灾难备份中心 是一个拥有灾难备份系统与场地，配备了专职人员，建立并制定了一系列运行管理制度、数据备份策略和灾难恢复处理流程，负责承担灾难恢复任务的机构。真正的灾难备份必须满足三个要素：一是系统中的部件、数据都具有冗余性，即一个系统发生故障，另一个系统能够保持数据传送的顺畅；二是具有长距离性，因为灾害总是在一定范围内发生，因而保持足够长的距离才能保证数据不会被同一个灾害全部破坏；三是灾难备份系统追求全方位的数据复制。上述三要素也称为“3R”（Redundance、Remote、Replication）按照一定的顺序，询问一系列与商业灾备需求相关的问题，通过这些问题，可以确定灾备方案的基本环境、基础构件及期望的恢复时间。部分问题答案的给出需要基于风险评估和商业影响的分析。另外一些问题则需要运营部门基于其IT基础架构给出答案。这些问题可归纳为以下几个方面的内容：灾难类型 需要考虑哪些灾难？怎样的灾难？会使业务中断多久？在某一风险发生的可能性极小时，即使造成的损失极大，也可能属于可接受的风险范畴。需要注意的是，该接受程度是与时俱进的。在“911”事件发生后，业界已经将低概率事件逐渐纳入防护的范围。恢复程度 要保证数据的完整性(无数据丢失)、一致性(数据正确且可用）。哪个或哪些应用需要恢复？需要恢复每条记录和交易吗？可以使用上星期或昨天的数据吗？需要恢复一切吗？有不相关的文件吗？什么是合法隐含的要求？有少数的一组人输入交易吗？他们可以重新输入灾难期间丢失的交易吗？这些交易十分重要而不容许丢失吗？恢复速度 灾难发生后需要多久来启动及运行系统？能否承受数天或数分钟的等待？可用的技术 结合考虑所选技术在本地区的适用性、实现条件以及在实施时是否受某些现有条件的制约。基于距离、平台等问题的答案，剔除不符合要求的方案。目前已知的几种数据实时备份技术，一方面不能实现异种机之间互为备份，且大多数不能实现一对多备份；另一方面要求高速率的通信线路，一般需要T1级(1.5Mbps)甚至更高速率的线路，且对线路的可靠性要求很高 方案总体成本 实现灾难备份需要多少投资？不实现灾难备份会损失多少钱？为了达到成本要求，方案可能不能采取最先进有效的技术，并同时降低对恢复速度、范围、灾难覆盖面等方面的要求。出于成本的考虑，仍有银行只是进行系统冷备份，通过电话拨号或人工传递进行异地数据保存，或租用其他大银行的灾难备份中心来保护数据。业务连续性的要求越来越高，但同时又要考虑成本因素，因此采用实时备份技术、采用外包方式将成为今后灾难备份中心发展的主要趋势。业务的恢复范围 比如优先恢复哪些业务的服务。它是连接技术方案选型及业务服务恢复承诺目标之间的关键可衡量的指标，并且决定性地影响着实施此方案的投资额度。通过对可量化和不可量化损失的综合考虑，得出各种核心业务流程由于灾难受损的可容忍程度及损失的决策依据。体现在IT系统上，是三个指标：数据恢复点目标（RECOVERY POINT OBJECTIVE）：体现为该流程在灾难 发生后，恢复运转时数据丢失的可容忍程度；恢复时间目标（RECOVERY TIME OBJECTIVE）：体现为该流程在灾难发生后，需要恢复的紧迫性，也即多久能够得到恢复的问题；网络恢复目标（NETWORK RECOVERY OBJECTIVE）：即营业网点什么时候才能通过备份网络与数据中心重新恢复通信的指标；根据计算机应用系统的实时性要求及一旦停顿造成的损失，可将其划分为关键应用系统、重要应用系统、一般应用系统。系统特点业务数据集中存放，所联接的网点及处理的业务较多，对保证整个企业的正常运转至关重要，一旦业务中断，将会严重地影响整个企业的正常运作。一旦在特殊时期中断如月末、年末、业务量高峰期，则不仅会造成巨大的经济损失，而且有可能要承担潜在的法律责任。允许停顿时间分析：从停机算起，RTO8小时，RPO在15分钟以内对于面向客户的关键应用系统，周末、中午、夜晚可容忍的机算机应用系统停顿时间可以稍长，业务量高峰期、月末、季末、年末应用系统停顿时间要求短。对于区域性灾难如地震、机房火灾、公共数据网大面积瘫痪等，客户心理上容易承受，因此允许信息系统停顿时间相对较长，而对由于企业自身原因如系统故障造成计算机应用系统频繁停顿，客户心理上比较难于接受，允许的停顿时间相对较短。重要应用系统：业务中断将对整个企业的正常、有效运转产生较严重的影响。如企业信息网络系统、审计系统等。允许停顿时间分析：从停机算起，RTO72小时，RPO从停机的那一天开始 一般应用系统 业务中断将不会立刻对整个企业的正常运转产生严重影响，可容忍在数天或数周内恢复。例如：档案处理系统、OA系统等。允许停顿时间分析：从停机算起，RTO168小时，RPO48小时以内 面向客户，定义运营服务水平 响应时间，通过业务界面对所提供的服务进行必要的说明，明确启动服务的合法渠道与途径，以及意外事故报告方式、联系办法等。责任的定义应当充分揭示交易过程中客户可能面临的风险，说明已采取的风险控制措施和各方应承担的责任。事件 指没有包含在服务标准运作之内，并且导致（或可能导致）中断服务或降低服务质量的意外事件或突发事件，其来源包括网点故障、监控报警和最终客户投诉。受理 在实际运行中，服务台与相关的技术支持机构一起，维护IT部门提供给最终用户的各种IT服务，为客户提供一个唯一的IT支持接触点，以最快、对业务影响最小的基础上实现IT问题的解决。服务台提供包括Web，电话，电子邮件，等多种接口。用户可以使用这多种接口 中的任何一种与服务中心取得联系。调派 服务台可以接收并记录所有由用户提交上来的各种服务请求，按照规定的服务规范和服务准则，分清楚问题的种类，按照问题的类型、发生的时间、地点以及目前支持人员的任务队列长度，判断紧急程度关联相应的服务水平，分派最合适的人员负责。行动 确保安全事件有所属，也有所管理。根据事先制订的监控政策、安全政策、系统配置、响应计划等执行控制措施。可能的行动包括：联系执法机关、监督可疑用户、取消可疑用户的权限、调用更强的保护机制，去掉或恢复故障网络或系统的某个组成部件。在响应计划中，IT管理层应定义并实施问题逐步升级程序，确保确认的问题以最有效、及时的方式加以解决。在许多情况中，不协调的响应可能使情况变得更坏。为进行安全事件处理，关注开发和实施一个有效和长远的风险处置计划是非常重要的。报告 根据监管要求和组织策略，通报事件处理过程和结果。重大事件提交报告：事实描述、攻击手段或漏洞、采取的措施和建议。监控分析管理层次价值收集数据数据规范化、融合和关联信息业务价值映射和优先级管理可行信息知识信息安全信息安全管理工具的层次和价值管理工具的层次和价值安全审计追踪对确保任何网络安全都起了重要的作用。它可以用来检测一个安全策略的正确性，确认与安全策略的一致性，帮助分析攻击，并且收集用于起诉攻击者的证据。包括审计在内的大多数监视活动都产生结果数据，这种结果数据可以直接发挥作用，或者记录在案供以后分析和进一步采取行动。目前还没有任何一种可行的方法来彻底解决合法用户在通过身份认证后滥用特权的问题，但审计追踪仍是保证数据库安全不可缺的一道重要防线。审计是一种监视措施，跟踪记录有关数据的访问活动，尤其是有可能破坏系统安全性的事件 安全审计记录了任何可疑的事件，也可以记录许多日常事件，如建立和终止连接，使用安全机制和访问敏感资源，包括用户登录、更换密钥、授权、更改口令等。安全审计依赖于事件报告功能和日志控制功能。同类或不同类的系统都可以检测到被审计的事件，并由系统中的安全审计追踪日志来维护。由系统的安全策略决定对什么样的事件开启审计，选择的依据是事件的安全相关度；它还决定审计阈值，即对具有何种操作结果的事件进行记载。例如，对“用户登录”事件，安全阈值可以设置为“成功”、“失败”、“违法”等。事件信息来源可能有：日志文件、网络活动、系统信息和服务台。一个与安全相关的事件会触发一个安全警报，原理上，任何网络或系统部件都能够检测出该事件。安全警报报告功能标准ISO/IEC10164-1 描述了安全警报调用所传递的信息。受管信息定义ISO/IEC101652 中详细说明了交换中所使用的正确的抽象语法。管理系统 事件类型安全警报产生安全警报检测事件受管对象受管系统响应（可选）通知图3 安全警报报告过程安全警报报告中传递的参数分为三类：ISO/IEC9595，事件报告的通用参数：包括调用标识符、模式、受管对象类、受管对象实例、事件类型、事件时间和当前时间ISO/IEC10164-，管理警报的通用参数：包括通知标识符、相关的通知、额外的信息和额外的文本等；安全警报特有的参数：包括安全警报原因、安全警报的严重性、安全警报检测器、使用服务的用户和服务的提供者等。事件类型和安全警报原因的组合表明了警报的原因，可能的组合值有：完整性破坏：指出未授权的修改、插入或删除数据的事件。安全警报原因的可能值是：复制信息、信息的丢失、信息修改的检测、顺序混乱的信息和不希望的信息；违规操作：指明不能获得的信息、违法行为或一些服务的不正确调用的事件。安全警报可能的原因是：拒绝服务，超出服务，过程出错和未陈述原因；物理侵入：指明对物理资源有可疑攻击的事件。安全警报原因的可能值是：损害电缆、入侵检测和未陈述原因；安全服务或机制的侵犯：指明一个安全服务或机制检测到潜在的攻击的事件。安全警报原因的可能值是：认证失败、破坏机密性、非否认的失败、为授权的访问企图和未陈述原因。时间区域的侵犯：指明在不希望的或禁止的时间里发生某些事的事件。安全警报原因的可能值是：延迟的消息(接到信息的时间比预定时间要晚），密钥过期（使用过期的密钥）和上班时间外的活动（在不希望的时间里使用资源）。安全警报的安全参数指明了由初始受管客体发觉的警报的意义，可能值是：不确定：系统的完整性是未知的；危险：安全性被损害危及到系统的安全。系统可能不能再正常运转来支持安全策略。例如，未授权的修改或与安全有关的敏感信息，如系统口令，或违反物理安全；主要：检测到违反安全，并且重要的信息或机制已经遭到损害；次要：检测到违反安全，并且不太重要的信息或机制已经遭到损害；警告：不相信系统的安全性受到威胁。安全审计功能标准另外定义了两个特殊的通知，分别与服务报告和使用报告对应。服务报告表明了与一些服务的提供、拒绝或恢复有关的事件。使用报告用于有安全意义的日志统计信息。传递的参数和这些事件类型基本上与安全警报报告中使用的一样。服务报告事件类型中定义了一个额外的参数，称为服务报告原因，用于表明报告的原因。这个参数是一个对象标识符，也就是说任何人可以定义并注册其值。该标准还定义了一些通用的值：服务请求、拒绝服务、来自服务的回答、服务失败、服务恢复和其他原因。日志的内容应该设计成有助于理解在突发事件期间出现了什么，并探测出趋势和可能发生的变化。日志应该按与所用的策略和规则相一致的原则进行管理。一个关键问题是如何操作日志：哪种日志应该放在日志文件中，数据应该如何表述，以便从日志中得出正确的审计结论。日志必须是可靠的和受到保护的，能抗篡改或偶然破坏。日志应该封存以阻止不可探测的任何修改，还应该在法律保护期间内归档。日志须包含的内容是：事件所涉及的主体和客体、时间、事件的结果（成功、失败、违法、报警等）。分析可能有两个不同的目标 第一个目标是检测对某个安全策略的任何攻击；包括基于状态的审计和基于状态转换的审计。前者决定系统的某个状态是否是未授权状态；后者检查系统的当前状态和被引发的状态转换来决定结果是否会将系统置于未授权状态。第二个是检测已知的企图违反安全规则的操作，可以通过命令的特定次序或系统状态的特征来寻找并发现针对安全的攻击。分析器通常运行于一个单独的系统中，使用分析引擎判断是否是一个风险事件，安全事件可利用历史事件数据、系统配置数据、完整性工具和其他系统信息来检测。信息可能有多个层次的视角，必须将多个日志文件的信息进行关联 虽然通常是对相同类型事件进行多事件记录，但也可以根据日志记录和事件（融和）记录对不同类型的多个记录进行分析。对相同类型的多个记录分析经常使用统计或趋势分析技术。建立开放的风险数据集接口 进行数据分析的前提是拥有足够长时间和范围内的风险数据。风险管理工具必须建立开放的风险数据集接口，获得定期更新的外部损失数据，同时实现从数据访问、数据迁移和提高数据质量到分析应用的无缝连接，实现信息的集成、交换和共享。格式化数据 根据其来源进行不同的格式化，通过规范化处理确保后续的融合和关联功能能以相似的方式处理数据。数据聚合 获取规范化数据，并可按依据来源、资产价值或业务职能等类别对其进行组织。然后将其复制到多个类别之中，让更高层的应用来处理。作为商业智能技术的一部分，关联通过分析数据来识别新的模式，重新定义安全预警引擎，并能有效管理潜在的和新出现的风险过程。具体说来，安全关联具有规则关联、统计关联和异常关联：规则关联可将预先打包的转换事件数据提供给数据的不同“视图”。例如，规则可以按照与某个具体交易操作、某一类交易和某个地理地点等准则相关的所有事件对数据进行详审。检测搜寻已知的不安全状态，等系统进入该状态后就报告可能发生了一次入侵。将系统漏洞的知识结合到一个规则集中，使用专家系统来分析数据并运用规则集，判定一系列运行中的指令是否违反了站点的安全策略。规则：如果我们从一个防火墙接收到一个针对该DNS服务器的侦察企图(DNS版本检查或其他连接请求)，则如果我们从一个IDS接收到一个或多个针对同一个DNS服务器的入侵企图，则向操作员发出一个通知。统计关联按资产或资产组将规范化安全事件归类为不同安全事件类型 事件类型的范围包括侦察攻击、病毒攻击、拒绝服务攻击 等等。对于每种资产，系统可连续计算出一个威胁分数，也就是通过将事件严重程度与资产价值相加来确定对安全事件的总体衡量。异常关联依赖于事件管理系统所创建的被测量事件数据库，以及从该数据库的“学习模式”中收集的一组“基线”数据。“基线”快照一般会运行几个星期，然后与当前事件进行比较，以确定是否正在发生与基线不同的异常情况。将来，要想为不断变化的IT环境和商业交易环境创造价值，基线捕捉功能就必须在启发式的稳态模式下工作。基于模式预测的异常检测方法，前提条件是事件序列不是随机发生的，而是服从某种可辨别的模式，其特点是考虑了事件序列之间的相互联系。域值度量预期中最少有m 个事件最多有n个事件发生，则被认为发生了异常确定阈值使得模型的使用变得复杂，要考虑不同级别的复杂性和用户特性、地域特性。统计动差分析器知道平均偏差和标准偏差，如果值超出了这些动差的期望间隔，则该值所代表的动作就被认定为异常。比阈值模型提供了更大的灵活性。通告器的主要功能是发给系统安全负责人一条相信系统风险发生的报告。在较低的层次上，系统应提供交互式、多维数据可视化功能。根据诸如“对机构的影响”和“攻击的可能性”等简单而有效的视图，使企业能更轻松地根据自身的独特需求来安排纠正措施的优先级。企业中各个部门的人员所关注的视图各不相同，例如，IT机构的安全管理员可以处理防火墙、IDS检测器和网络路由器等所产生的安全事件，但他们却不应该访问与财务记录和客户记录相关的数据，以及其他机密的商业交易数据。系统应可以根据需要灵活的查看任意聚合级别的信息或详细信息，确保用户的操作员只看到与他们工作相关的事件。这一方面是企业机密性的需要，同时也使他们不受受到数据泛滥的影响。信息报告方式：文本显示方式：基于名字、时间或其他特征搜索事件；超文本显示方式：显示日志记录，使用超文本连接鄂来表示记录之间的相关关系 关系数据库阅读方式：向数据库发起查询，数据库在返回查询结果前执行相关分析 以时间次序列举感兴趣的事件 图示方式：节点代表实体，相关性表示不同实体间的联系。一个设计良好的图形显示使得风险管理系统可把信息转变为一幅易于领会的图像，允许用户判断正在遭受何种攻击，也可以向有关的人员发送电子邮件或在相关的日志文件中记录条目。切片方式：得出影响给定客体的日志事件和客体的最小集。切片是一种程序调试技术，能分析提取出影响给定变量的指令的最小值。使用事件管理系统 审计员使用焦点审计浏览工具，把文件作为初始的焦点。图的边显示了进程如何改变文件以及如何改变。审计员判定那些可能引起不可预期改变的进程，即可疑进程，一直追溯到可以判定攻击者如何得到系统访问权限。审计员获知攻击者的，使用相应的审计记录的页面，并检查页面中所有的可疑行为。他也能使用可视框架工具画出进程产生的次序。一旦审计员发现入侵点，审计员就能发现系统的弱点并模拟攻击者的方法恢复出攻击者的行为。最后，使用相关用具产生短片描述攻击者是如何进行攻击的，以便在诉讼时作为证据使用。外部调查 在一些复杂程度更高的网络犯罪案例中，专门的服务公司的资深安全专家常常扮演“福尔摩斯”的角色，在调查犯罪过程中扮演重要角色。他们能从一些蛛丝马迹中寻找出事情真相:在线支付的IP、非法转账的银行卡卡号、巨额的刷卡消费行为、ATM取款机上摄像头的监控等。当前，信息安全管理工具需要实现的一些新特性是，具有“学习”功能，适应安全系统的动态变化，可提供经过实践检验的降低风险的措施，并且与用于修复和补救的任何系统相集成，使风险事件响应更接近“实时”。响应包括断开网络、增加日志记录的级别，给出处理方案等。基于范例的推理（CBR）可以根据记忆或范例库中找到一个与新问题相似的范例，然后把该范例中的有关信息和知识复用到新问题的求解之中，是实现实时控制的较为有效的技术。CBR具有以下两个特点：（1）知识的表示是以范例为基础，作为过去经验的范例一般有比较固定的表示结构，通常用框架形式表示，这比基于规则的表示更容易获取，同时可以提高对新问题的求解效率、改善求解的质量；（2）欲求解的问题与范例中的问题同属于一个领域，且一般是同性质的，即是两类同性质问题的类比。案例组织案例组织 设整个案例库有N个案例，首先进行聚类分析，即把相似的案例按某种方法进行归类，得到M个抽象类，以这些抽象类作为一级索引，其下面又含有数个具体案例，按照案例的某个属性形成二级索引。把新范例加入到范例库中，需要对它建立有效的索引，这样以后才能对之做出有效的回忆。为此，可能要改变索引的强度或特征权值。检索效率和案例索引结构密切相关，索引可分为单级和多级索引，多级索引较为有效。基于范例的检索是基于异常情况的关联的一种实现形式。在CBR中应用的检索方式主要有：最相邻法适合于案例特征属性为数值型的情况，定义相似度最大的案例为匹配案例。归纳法 提取案例特征上的差异，并根据这些特征将案例组成一个类似判别网络的层次结构，检索时采用决策树搜索策略，它适合于案例特征互相独立或推理结果只是案例中某一特征的情况。信息风险案例特征属性可以是“事件类型”和“受影响阶段”这样的描述性字段。使用归纳法和最相邻法，可按照查询条件的优先排列顺序进行逐步查询，以检索出符合要求的最匹配的案例。知识引导法采用一套规则进行索引控制，根据已知的知识决定案例中哪些特征在进行案例检索时是最重要的，并根据这些特征来组织和检索。检索过程可分为三个子过程:特征辨识 指对新问题进行的特征获取,它可以是从对问题的描述中直接获得的特征；可以是对问题经过分析理解后导出的特征；也可以是根据上下文或知识模型的需要从用户那儿通过交互方式获取的。2初步匹配 指从范例库中找到一组与当前问题相关的候选范例。这是通过使用上述特征作为范例库的索引来完成检索的。3最佳选定 指从初步匹本过程中获得的一组候选范例中，选取一个或几个与当前问题最相关的范例。这一步和领域知识关系密切。检索到的旧范例中含有对过去问题的解答，把该解签复用于新问题或新范例的求解就是范例复用。该过程涉及两个方面,它们分别是:新旧范例间有何不同之处；旧范例中的哪些部分可以用于新范例。调整 调整系数的制定依据可以有多种，如时间、地点、操作流程、影响程度等。调整方案有计算机自动调整和专家调整两种方式 如果影响推理结果的那些主要因素是有限的而且是可以定量的，则可采用自动调整方式。如果风险因素没有存储在案例库中，则可采用人工调整方式。在这一过程中，可将CBR方法同其他推理技术，如基于规则或基于模型的推理所得到的结果进行对照。要存放的信息一般包括以下内容：和问题有关的特征描述、问题的求解结果,以及解答为什么成功或失败的原因及解释。突发事件清单和定义识别出共同的安全突发事件并进行易于识别的描述。突发事件响应指南描述对出现安全突发事件的恰当响应。突发事件报告描述出现了什么突发事件及其全部的相关详细情况，包括突发事件的来源、任何形式的危险、应采取的响应和需要进一步采取的行动。与探测到的每个入侵事件有关的报告描述探测到的每个入侵事件并提供全部相关详细情况，包括突发事件的来源、任何形式的危险、采取的响应和需要进一步采取的行动。周期性的突发事件的综述提供最近的安全突发事件的概述，指出趋势，要求更为安全的区域以及降低安全可能节约的经费。演讲完毕，谢谢观看！