系统运营中的风险管理课件

系统运行中风险管理李改成lgc@系统运营中的风险管理课件第1页主要内容资源配置和优化系统切换日常运行管理例程、日常操作备份和恢复数据备份、数据恢复、安全恢复灾难恢复灾难恢复层次恢复指标成本-效益分析安全事件管理流程安全事件管理工具审计、安全警报、审计日志事件分析关联安全事件汇报风险实时控制基于范例推理系统运营中的风险管理课件第2页TPCTPC(TransactionProcessingPerformanceCouncil，事务处理性能委员会)制订商务应用基准程序(Benchmark)标准规范、性能和价格度量，并管理测试结果公布。TPC－C是在线事务处理(OLTP)基准程序。在使用时，考查基准程序是否符合企业真实业务流程和运作模式。当一样主机用在不一样系统中时，tpC值可能有相当大改变。选择主机主机系统应该具备与业务规模和特点相适应处理能力。主机系统处理要求应与每笔业务所消耗主机CPU处理能力和系统要求到达单位时间内交易笔数相关。因为某种特殊情况出现，可能造成突发性业务尖峰，为了防止因为业务出现突发尖峰造成系统瓦解，我们需要对资源占用作出对应控制。系统运营中的风险管理课件第3页冗余为实现运行过程中安全恢复，需要建立一个可靠并经过验证系统基础结构，系统每一级部件都一定要有冗余。对于关键IT应用来讲，管理层应有规律地评定不间断电源电池和发电机需求。对主机房电源要有完整双回路备份机制,不间断电源（UPS），确保关键IT应用不受电源失效或波动影响。主机、网络设备、前置机等关键易损件是否有备份.硬件如多CPU和硬盘镜像并行服务器、廉价磁盘冗余阵列(RAIDs)。经过通信端口备份，可提升网络响应速度，实现网络容错和恢复。操作系统、中间件、数据库系统和应用系统应能提供安全恢复机制，比如，数据库日志和锁定。应用备用系统 普通来说，可实现服务级别要低。比如，当电子终端不可用时，使用手工压卡机进行信用卡交易。这是应用级冗余例子。不一样层次使用不一样机制，用于不一样目标。冗余磁盘不能预防恶意程序员删除账户文件备份不能阻止它插入越来越多错误，更不能保护数据机密性。系统运营中的风险管理课件第4页系统选择标准系统配置考量标准一是性能和容量方面要求，对资源性能、应用规模和工作量需求方面数据进行搜集、分析和汇报，相关硬件和软件性能/价格比改变。跟踪全部IT资源分配成本，包含但不限于此：硬件、外围设、线路、应用开发和支持、行政管理开销、•外部卖主服务成本、维护系统选择分析不一样成本分类性能和关于成本效益外部基准，方便允许与行业预期或可选择服务起源进行比较。同时注意不应过于依赖于同一个供给商。关键系统如芯片、操作系统、主要应用软件国产化问题。十五期间，中科院计算所将在通用CPU设计上取得重大突破，表明Linux操作系统在银行应用也是可行。当前关键问题是组织力量开发与IBM企业软件相当大型应用软件。系统运营中的风险管理课件第5页提升主机利用效率IT虚拟化技术可到达多操作系统平台上集成虚拟化：在关键自动化规则比如可用性、安全、优化和预先配置之间进行协调，依据应用优先级自动分配资源，确保需求到达峰值时应用服务水平。在年底止算业务高峰期，只需一个简单命令，就能够把其它设备聚合成一台超大设备，集中全部资源，全方面应对峰值业务。而在平时，则可把闲置资源用于人事系统、办公系统等。能够将用户资源利用率从平均20%提升到50%，并降低30%-40%管理时间。更主要是，即使某个部分出现故障，适应性IT系统也能自动调用资源，接管对应计算，防止因故障而宕机，实现不间断稳定业务运行。

系统运营中的风险管理课件第6页网络配置网络负担是影响系统成败一个重要因素。线路检查可供客户使用容量，采取必要措施保证接入线路通畅，并采用适当备份和负载均衡技术，保证客户服务可用性。网络设备全部关键网络设备如交换机、路由器等均采用双机冗余热备份措施采用优先级队列、数据压缩等技术灵活有效地利用带宽。密码加速设备 解决对CPU资源过量需求安全协议所造成性能问题。系统运营中的风险管理课件第7页日常管理例程人员管理和沟通在聘用前进行详细考查，确定有没有犯罪统计，确保雇员、协议工和第三方用户了解其本身责任，适合角色定位，降低偷窃、欺诈或误用设施带来风险。确保全部雇员、协议工和第三方用户都意识到信息安全威胁、利害关系、责任和义务。加强对从业人员，尤其是一线员工业务培训，促使员工熟练掌握各业务步骤操作规范，降低或防止出现操作失误。明确解聘责任，要求返还资产，去除访问权限，确保雇员、协议工和第三方用户按照既定方式离职或变更职位。系统运营中的风险管理课件第8页日常管理例程另一个问题是当风险含有政治上敏感性时，直接了当地表明针对内部员工安全控制会刺激他们作为主人翁尊严，可能需要一些遮掩方法。经常，内部控制办法需要以降低错误和保护员工面目被引入。比如，银行经理愿意使用双重保险锁，因为这会降低他们家人被绑架勒索危险，一样，大额交易双重署名会减轻他们责任压力。不过，并不是在任何情况下都能到达这么共识。经过操作员要循环轮班，采取渡假和休假并维护资格。操作人员更换期间，经过要求活动、状态更新和相关当前责任汇报正式移交，建立一个处理连续性程序。另外，应存在一个程序，来确认、调查、审批与标准工作时间安排背离。系统运营中的风险管理课件第9页日常操作操作规程处理信息系统运行以完成业务目标政策和程序，包含系统启停、动态调整、定时数据清理、开启、关机、工作负载计划安排等。操作规程最初时间安排以及这些时间安排变更，应被适当地授权。经过归档、定时地测试以及依据需要进行调整，IT管理层应确保操作人员对开启程序和其它操作任务足够熟悉和自信。管理模式和管理办法应伴随业务改变和客观环境需要进行调整、补充和完善。针对不一样安全岗位操作管理对主要设施设备接触、检验、维修和应急处理，应有明确权限界定、责任划分和操作流程。网点正当性管理、网络隔离、网络运行监控管理、网络信道安全管理、网络设备设施安全管理等内容操作系统安全管理主要包含系统管理员级别划分、访问权限控制管理、日常维护安全管理、故障诊疗及处理、审计跟踪等几方面内容系统运营中的风险管理课件第10页日常操作数据库访问控制管理、数据备份管理、数据使用授权管理、数据存放时限管理、数据密级管理等操作安全管理是主要包含操作权限管理、操作规范管理、操作责任管理、操作监督管理和误操作恢复管理等内容管理和维护失效和例外跟踪统计系统维护方面问题，方便标识需要额外关注地方，内容包含对正常管理及维护程序例外情况描述，其中包含该例外情况出现原因和连续时间。对系统运行过程中出现故障，能从系统软件、应用软件等不一样层次提供故障码。尤其是应用系统应该提供故障点、诊疗信息以及故障库等。每个安全应用必须包括建立适当安全参数，实现这些参数，监视和分析运行结果并调整这些参数。系统运营中的风险管理课件第11页数据备份数据类型从数据用途角度普通可将数据分为系统数据、基础数据、应用数据、暂时数据；依据数据存贮与管理方式又可分为数据库数据、非数据库数据。(1)系统数据（SYSTEMDATA）系统数据主要是指操作系统、数据库系统和应用系统执行程序。系统数据在系统安装后基本上不再变动，只有在操作系统、数据库系统版本升级或应用程序调整时才发生改变。系统数据普通都有标准安装介质（软盘、磁带、光盘）。(2)基础数据（INFRASTRUCTUREDATA）基础数据主要是指确保应用系统正常运行所使用系统目录、用户目录、系统配置文件、网络配置文件、应用配置文件、存取权限控制等。基础数据随应用系统运行环境改变而改变，普通作为系统档案进行保留。(3)应用数据（APPLICATIONDATA）应用数据主要是指应用系统全部业务数据，对数据安全性、准确性、完整性要求很高而且改变频繁系统运营中的风险管理课件第12页数据类型(4)暂时数据（TEMPORARYDATA）主要是指操作系统、数据库产生系统日志和应用程序在执行过程中产生各种用于打印、传输暂时文件，随系统运行和业务发生而改变。暂时数据对业务数据完整性影响不大，增大后需要定时进行清理。(5)数据库数据（DATABASEDATA）是指经过数据库管理系统（DBMS）来进行存取和管理数据。(6)非数据库数据（NON-DATABASEDATA）是指经过文件管理系统等非数据库管理系统来进行存取和管理数据。(7)孤立数据（ORPHANDATA）是指从最终一次应用数据备份后到事件发生、系统运行停顿前未备份数据。这部分数据通常需要经过人工等方法重新录入到系统中。普通情况下，孤立数据越多，系统恢复时间就越长，业务停顿时间也就越长。孤立数据多少与数据备份周期有很大关系。(8)遗失数据（LOSTDATA）是指无法恢复或填补数据。系统运营中的风险管理课件第13页数据类型特点系统运营中的风险管理课件第14页数据备份策略依据采取数据备份技术和数据备份方式能够将数据备份策略分为以下几类:(1)定时备份指按一定时间间隔（普通为一天）将系统某一时刻数据备份到磁带等介质上。对不一样数据类型应依据其易变性采取不一样备份周期。(2)定时备份＋关键数据备份除对数据作定时备份之外，还更新数据日志或流水等关键数据及时地备份下来传送到安全地方，关键数据备份时间间隔比定时备份要短，也能够是实时备份。数据库管理系统普通支持此种策略，能够用归档／备份工具作定时备份（如informix０级备份），同时采取日志备份工具对日志作及时备份（如informix逻辑日志连续备份）。系统运营中的风险管理课件第15页数据备份策略此方式孤立数据较定时备份方式要少得多。不过，数据恢复时间依然较长。有时仍需要依靠纸质凭证或其它介质来恢复孤立数据。(3)关键数据备份连续恢复在备份系统中，装有运行系统数据影像拷贝，关键数据及时地抽取后，马上在备份系统上更新数据库。因为备份中心已将数据恢复到最近状态，数据组织形式与运行系统相同，因而恢复时间将缩短很多。在此策略中，投资较大，需要数据备份主机或后备运行主机，假如采取数据通信方式传送关键数据，还有一定通信费用支出。另外，在此策略中，孤立数据与定时备份＋关键数据备份策略一样多。系统运营中的风险管理课件第16页数据备份策略(4)实时备份异步更新数据更新操作日志在被统计进运行系统日志同时，经过数据通信线路传送到灾难备份系统，并马上对备份系统数据影像拷贝进行更新。因为数据更新操作被及时追加到灾难备份系统，因而，孤立数据极少，另外备份数据组织形式与运行系统相同，所以恢复时间很短，主要是追补孤立数据和网络切换时间。支持此策略技术普通有远程磁盘镜像异步方式、远程数据库复制异步方式和网络数据镜像异步方式，如IBMES/9000XRC,IBMAS/400MIMIX,EMCSRDF异步方式,INFORMIXHDR异步方式,UNISYSRDB异步方式等。系统运营中的风险管理课件第17页数据备份策略(5)实时备份同时更新数据更新操作同时在运行系统和备份系统进行，运行系统数据更新操作首先经过高速数据通信线路传送到备份系统，写入备份系统磁盘，运行系统在收到备份系统完成数据更新操作确实认之后，写入当地磁盘。因为数据更新操作同时写入备份系统，因而，孤立数据极少，基本无需追补。因为备份系统处于热备份状态，所以灾难发生后恢复时间极短，主要是网络切换时间。此策略投资和运行费用最高，因为需要高速数据通信线路，在当前通信技术条件下，只能限于同城范围，且通信费用很高。另外，此方式下，数据备份对运行系统性能可能会有一定影响。支持此策略技术普通有远程磁盘镜像同时方式、远程数据库复制同时方式和网络数据镜像同时方式，如IBMES/9000PPRC,IBMRS/6000HAGEO,EMCSRDF同时方式,INFORMIXHDR同时方式等。系统运营中的风险管理课件第18页数据恢复数据恢复普通按系统数据

基础数据

应用数据次序进行。应用数据恢复1．已备份应用数据恢复：依据所采取数据备份策略制订对应数据恢复方法。2．孤立数据恢复：人工追帐法 在主机系统进行备份数据恢复之后，直接经过原始凭证重新录入流水批量追帐法将各联网方（如网点、前置机、网间交易对方等）业务流水统计文件经过网络传送到灾难备份系统，经过批量追帐功效批量地、自动地录入系统。3.数据完整性和一致性检验能够在三个层次上进行：检验数据集在物理上是一致、完整；检验每个数据库在逻辑上是一致、完整；检验全部应用数据在逻辑上是一致、完整。系统运营中的风险管理课件第19页数据完整性和一致性检验方法一：数据库工具检验法。方法二：凭证查对法。方法三：流水比较法。方法四：平衡检验法。依据应用数据之间关系进行数据完整性和一致性检验。比如，经过应用程序检验应用系统总帐与分户帐是否平衡、科目余额借贷是否平衡、分户帐余额与明细帐余额是否相符、明细帐逐笔发生额与余额是否一致等，另外对当日业务进行试算平衡检验，检验借贷发生额是否平衡、业务笔数、发生额是否与凭证汇总数和实物清点结果相符等。系统运营中的风险管理课件第20页安全恢复安全恢复是指在系统中止运行（因为各种原因造成，包含硬软件故障、操作失误、人为破坏、自然灾害发生等）之后恢复系统运行，可分为内部恢复和灾难恢复两大类别。恢复有两种形式。第一个是阻断攻击，而且评定、修复由攻击造成任何损害。比如，若攻击者删除了一份文件，那么某恢复机制应能从备份磁带中恢复该文件。恢复功效应包含辨识和修复攻击者用以闯进系统系统脆弱性。在一些情况下，追究攻击者责任也是恢复一部分。恢复应具备还原正确操作功效。第二种恢复方式要求攻击正在发生时，系统还应能正常运作。在任何时候这种系统都不会在功效上犯错，而只会将不主要功效禁用。系统运营中的风险管理课件第21页安全恢复当多个网络被管理员设置为一样优先级时，可实现并行数据通道，同时在这些网络上传送数据，提升数据传输速度；当优先级高网络出现故障时，将应用转移到优先级低网络，然后以一定时间间隔检验高优先级网络是否已经恢复。当高优先级网络恢复运行后，自动将应用系统切换回高优先级网络系统恢复是系统安全敏感时期，操作系统缺乏对应安全防护，轻易留下隐患或被做手脚。整个恢复过程必须得到严格监控和统计，恢复完成后必须进行安全审核。系统运营中的风险管理课件第22页系统修复修复热修复是指即时修改错误，然后将修正版本公布。热修复即使能够马上产生效果，不过可能对系统安全性带来一定影响。常规修复处理不是十分严重错误，普通都是累积到一定程度才发行出去。修复错误所采取办法应该和最初系统设计采取一样安全流程。任何新设计都应该考虑模块化、设计基本标准、文档等问题，并进行相关测试。修复管理必须由专门指定应用软件维护人员，依照软件维护管理制度，按照严格程序实施软件维护，处理运行过程中出现问题。对优化后或新增投入生产软件进行测试，并经过安全可信渠道对这些软件进行分发和安装。尤其地，对于系统供给商或服务商进行远程在线诊疗和调试必须有严格管理规程。系统运营中的风险管理课件第23页灾难恢复灾难恢复是一个在发生信息系统灾难后，在远离灾难现场地方重新组织系统运行和恢复营业过程。《主要信息系统灾难恢复指南》灾难备份中心是一个拥有灾难备份系统与场地，配置了专职人员，建立并制订了一系列运行管理制度、数据备份策略和灾难恢复处理流程，负责负担灾难恢复任务机构。真正灾难备份必须满足三个要素：一是系统中部件、数据都含有冗余性，即一个系统发生故障，另一个系统能够保持数据传送顺畅；二是含有长距离性，因为灾害总是在一定范围内发生，因而保持足够长距离才能确保数据不会被同一个灾害全部破坏；三是灾难备份系统追求全方位数据复制。上述三要素也称为“3R”（Redundance、Remote、Replication）系统运营中的风险管理课件第24页灾难恢复层次系统运营中的风险管理课件第25页灾难恢复层次系统运营中的风险管理课件第26页灾难恢复层次选择按照一定次序，问询一系列与商业灾备需求相关问题，经过这些问题，能够确定灾备方案基本环境、基础构件及期望恢复时间。部分问题答案给出需要基于风险评定和商业影响分析。另外一些问题则需要运行部门基于其IT基础架构给出答案。这些问题可归纳为以下几个方面内容：灾难类型需要考虑哪些灾难？怎样灾难？会使业务中止多久？在某一风险发生可能性极小时，即使造成损失极大，也可能属于可接收风险范围。需要注意是，该接收程度是与时俱进。在“911”事件发生后，业界已经将低概率事件逐步纳入防护范围。恢复程度系统运营中的风险管理课件第27页灾难恢复层次选择要确保数据完整性(无数据丢失)、一致性(数据正确且可用）。哪个或哪些应用需要恢复？需要恢复每条统计和交易吗？能够使用上星期或昨天数据吗？需要恢复一切吗？有不相关文件吗？什么是正当隐含要求？有少数一组人输入交易吗？他们能够重新输入灾难期间丢失交易吗？这些交易十分主要而不允许丢失吗？恢复速度灾难发生后需要多久来开启及运行系统？能否承受数天或数分钟等候？可用技术结合考虑所选技术在当地域适用性、实现条件以及在实施时是否受一些现有条件制约。基于距离、平台等问题答案，剔除不符合要求方案。系统运营中的风险管理课件第28页灾难恢复层次选择目前已知几种数据实时备份技术，一方面不能实现异种机之间互为备份，且大多数不能实现一对多备份；其次要求高速率通信线路，一般需要T1级(1.5Mbps)甚至更高速率线路，且对线路可靠性要求很高方案总体成本实现灾难备份需要多少投资？不实现灾难备份会损失多少钱？为了达到成本要求，方案可能不能采取最先进有效技术，并同时降低对恢复速度、范围、灾难覆盖面等方面要求。出于成本考虑，仍有银行只是进行系统冷备份，经过电话拨号或人工传递进行异地数据保存，或租用其他大银行灾难备份中心来保护数据。业务连续性要求越来越高，但同时又要考虑成本因素，所以采用实时备份技术、采用外包方式将成为今后灾难备份中心发展主要趋势。系统运营中的风险管理课件第29页基于业务选择业务恢复范围比如优先恢复哪些业务服务。它是连接技术方案选型及业务服务恢复承诺目标之间关键可衡量指标，而且决定性地影响着实施此方案投资额度。经过对可量化和不可量化损失综合考虑，得出各种关键业务流程因为灾难受损可容忍程度及损失决议依据。表达在IT系统上，是三个指标：数据恢复点目标（RECOVERYPOINTOBJECTIVE）：表达为该流程在灾难发生后，恢复运转时数据丢失可容忍程度；恢复时间目标（RECOVERYTIMEOBJECTIVE）：表达为该流程在灾难发生后，需要恢复紧迫性，也即多久能够得到恢复问题；网络恢复目标（NETWORKRECOVERYOBJECTIVE）：即营业网点什么时候才能经过备份网络与数据中心重新恢复通信指标；依据计算机应用系统实时性要求及一旦停顿造成损失，可将其划分为关键应用系统、主要应用系统、普通应用系统。系统运营中的风险管理课件第30页关键应用系统：系统特点业务数据集中存放，所联接网点及处理业务较多，对确保整个企业正常运转至关主要，一旦业务中止，将会严重地影响整个企业正常运作。一旦在特殊时期中止如月末、年末、业务量高峰期，则不但会造成巨大经济损失，而且有可能要负担潜在法律责任。允许停顿时间分析：从停机算起，RTO<8小时，RPO在15分钟以内对于面向客户关键应用系统，周末、中午、夜晚可容忍机算机应用系统停顿时间能够稍长，业务量高峰期、月末、季末、年末应用系统停顿时间要求短。对于区域性灾难如地震、机房火灾、公共数据网大面积瘫痪等，客户心理上轻易承受，所以允许信息系统停顿时间相对较长，而对因为企业本身原因如系统故障造成计算机应用系统频繁停顿，客户心理上比较难于接收，允许停顿时间相对较短。系统运营中的风险管理课件第31页其它应用系统主要应用系统：业务中止将对整个企业正常、有效运转产生较严重影响。如企业信息网络系统、审计系统等。允许停顿时间分析：从停机算起，RTO<72小时，RPO从停机那一天开始普通应用系统业务中止将不会立刻对整个企业正常运转产生严重影响，可容忍在数天或数周内恢复。比如：档案处理系统、OA系统等。允许停顿时间分析：从停机算起，RTO<168小时，RPO48小时以内系统运营中的风险管理课件第32页成本-效益分析系统运营中的风险管理课件第33页成本-效益分析系统运营中的风险管理课件第34页系统运营中的风险管理课件第35页系统运营中的风险管理课件第36页安全事件管理面向客户，定义运行服务水平响应时间，经过业务界面对所提供服务进行必要说明，明确开启服务正当渠道与路径，以及意外事故汇报方式、联络方法等。责任定义应该充分揭示交易过程中客户可能面临风险，说明已采取风险控制方法和各方应负担责任。事件指没有包含在服务标准运作之内，而且造成（或可能造成）中止服务或降低服务质量意外事件或突发事件，其起源包含网点故障、监控报警和最终客户投诉。受理在实际运行中，服务台与相关技术支持机构一起，维护IT部门提供给最终用户各种IT服务，为客户提供一个唯一IT支持接触点，以最快、对业务影响最小基础上实现IT问题处理。服务台提供包含Web，电话，电子邮件，等各种接口。用户能够使用这各种接口中任何一个与服务中心取得联络。系统运营中的风险管理课件第37页安全事件管理调派服务台能够接收并统计全部由用户提交上来各种服务请求，按照要求服务规范和服务准则，分清楚问题种类，按照问题类型、发生时间、地点以及当前支持人员任务队列长度，判断紧急程度关联对应服务水平，分配最适当人员负责。行动确保安全事件有所属，也有所管理。依据事先制订监控政策、安全政策、系统配置、响应计划等执行控制办法。可能行动包含：联络执法机关、监督可疑用户、取消可疑用户权限、调用更强保护机制，去掉或恢复故障网络或系统某个组成部件。在响应计划中，IT管理层应定义并实施问题逐步升级程序，确保确认问题以最有效、及时方式加以处理。在许多情况中，不协调响应可能使情况变得更坏。为进行安全事件处理，关注开发和实施一个有效和久远风险处置计划是非常主要。汇报依据监管要求和组织策略，通报事件处理过程和结果。重大事件提交汇报：事实描述、攻击伎俩或漏洞、采取办法和提议。系统运营中的风险管理课件第38页信息安全管理工具监控分析管理层次价值搜集数据数据规范化、融合和关联信息业务价值映射和优先级管理可行信息知识信息安全管理工具层次和价值系统运营中的风险管理课件第39页审计安全审计追踪对确保任何网络安全都起了主要作用。它能够用来检测一个安全策略正确性，确认与安全策略一致性，帮助分析攻击，而且搜集用于起诉攻击者证据。包含审计在内大多数监视活动都产生结果数据，这种结果数据能够直接发挥作用，或者统计在案供以后分析和深入采取行动。当前还没有任何一个可行方法来彻底处理正当用户在经过身份认证后滥用特权问题，但审计追踪仍是确保数据库安全不可缺一道主要防线。审计是一个监视办法，跟踪统计相关数据访问活动，尤其是有可能破坏系统安全性事件安全审计统计了任何可疑事件，也能够统计许多日常事件，如建立和终止连接，使用安全机制和访问敏感资源，包含用户登录、更换密钥、授权、更改口令等。安全审计依赖于事件汇报功效和日志控制功效。同类或不一样类系统都能够检测到被审计事件，并由系统中安全审计追踪日志来维护。由系统安全策略决定对什么样事件开启审计，选择依据是事件安全相关度；它还决定审计阈值，即对含有何种操作结果事件进行记载。比如，对“用户登录”事件，安全阈值能够设置为“成功”、“失败”、“违法”等。事件信息起源可能有：日志文件、网络活动、系统信息和服务台。系统运营中的风险管理课件第40页安全警报一个与安全相关事件会触发一个安全警报，原理上，任何网络或系统部件都能够检测出该事件。安全警报汇报功效标准ISO/IEC10164-1描述了安全警报调用所传递信息。受管信息定义ISO/IEC101652中详细说明了交换中所使用正确抽象语法。

管理系统

事件类型安全警报产生安全警报检测事件受管对象受管系统响应（可选）通知图3安全警报汇报过程系统运营中的风险管理课件第41页安全警报安全警报汇报中传递参数分为三类：ISO/IEC9595，事件汇报通用参数：包含调用标识符、模式、受管对象类、受管对象实例、事件类型、事件时间和当前时间ISO/IEC10164-４，管理警报通用参数：包含通知标识符、相关通知、额外信息和额外文本等；安全警报特有参数：包含安全警报原因、安全警报严重性、安全警报检测器、使用服务用户和服务提供者等。事件类型和安全警报原因组合表明了警报原因，可能组合值有：完整性破坏：指出未授权修改、插入或删除数据事件。安全警报原因可能值是：复制信息、信息丢失、信息修改检测、次序混乱信息和不希望信息；违规操作：指明不能取得信息、违法行为或一些服务不正确调用事件。安全警报可能原因是：拒绝服务，超出服务，过程犯错和未陈说原因；系统运营中的风险管理课件第42页安全警报物理侵入：指明对物理资源有可疑攻击事件。安全警报原因可能值是：损害电缆、入侵检测和未陈说原因；安全服务或机制侵犯：指明一个安全服务或机制检测到潜在攻击事件。安全警报原因可能值是：认证失败、破坏机密性、非否定失败、为授权访问企图和未陈说原因。时间区域侵犯：指明在不希望或禁止时间里发生一些事事件。安全警报原因可能值是：延迟消息(接到信息时间比预定时间要晚），密钥过期（使用过期密钥）和上班时间外活动（在不希望时间里使用资源）。安全警报安全参数指明了由初始受管客体发觉警报意义，可能值是：不确定：系统完整性是未知；危险：安全性被损害危及到系统安全。系统可能不能再正常运转来支持安全策略。比如，未授权修改或与安全相关敏感信息，如系统口令，或违反物理安全；系统运营中的风险管理课件第43页安全汇报主要：检测到违反安全，而且主要信息或机制已经遭到损害；次要：检测到违反安全，而且不太主要信息或机制已经遭到损害；警告：不相信系统安全性受到威胁。安全审计功效标准另外定义了两个特殊通知，分别与服务汇报和使用汇报对应。服务汇报表明了与一些服务提供、拒绝或恢复相关事件。使用汇报用于有安全意义日志统计信息。传递参数和这些事件类型基本上与安全警报汇报中使用一样。服务汇报事件类型中定义了一个额外参数，称为服务汇报原因，用于表明汇报原因。这个参数是一个ＡＳＮ．１对象标识符，也就是说任何人能够定义并注册其值。该标准还定义了一些通用值：服务请求、拒绝服务、来自服务回答、服务失败、服务恢复和其它原因。系统运营中的风险管理课件第44页审计日志日志内容应该设计成有利于了解在突发事件期间出现了什么，并探测出趋势和可能发生改变。日志应该按与所用策略和规则相一致标准进行管理。一个关键问题是怎样操作日志：哪种日志应该放在日志文件中，数据应该怎样表述，方便从日志中得出正确审计结论。日志必须是可靠和受到保护，能抗篡改或偶然破坏。日志应该封存以阻止不可探测任何修改，还应该在法律保护期间内归档。日志须包含内容是：事件所包括主体和客体、时间、事件结果（成功、失败、违法、报警等）。系统运营中的风险管理课件第45页安全事件分析分析可能有两个不一样目标第一个目标是检测对某个安全策略任何攻击；包含基于状态审计和基于状态转换审计。前者决定系统某个状态是否是未授权状态；后者检验系统当前状态和被引发状态转换来决定结果是否会将系统置于未授权状态。第二个是检测已知企图违反安全规则操作，能够经过命令特定次序或系统状态特征来寻找并发觉针对安全攻击。分析器通常运行于一个单独系统中，使用分析引擎判断是否是一个风险事件，安全事件可利用历史事件数据、系统配置数据、完整性工具和其它系统信息来检测。信息可能有多个层次视角，必须将多个日志文件信息进行关联系统运营中的风险管理课件第46页安全事件分析即使通常是对相同类型事件进行多事件统计，但也能够依据日志统计和事件（融和）统计对不一样类型多个统计进行分析。对相同类型多个统计分析经常使用统计或趋势分析技术。建立开放风险数据集接口进行数据分析前提是拥有足够长时间和范围内风险数据。风险管理工具必须建立开放风险数据集接口，取得定时更新外部损失数据，同时实现从数据访问、数据迁移和提升数据质量到分析应用无缝连接，实现信息集成、交换和共享。格式化数据依据其起源进行不一样格式化，经过规范化处理确保后续融合和关联功效能以相同方式处理数据。数据聚合获取规范化数据，并可按依据起源、资产价值或业务职能等类别对其进行组织。然后将其复制到多个类别之中，让更高层应用来处理。系统运营中的风险管理课件第47页关联作为商业智能技术一部分，关联经过分析数据来识别新模式，重新定义安全预警引擎，并能有效管理潜在和新出现风险过程。详细说来，安全关联含有规则关联、统计关联和异常关联：规则关联可将预先打包转换事件数据提供给数据不一样“视图”。比如，规则能够按照与某个详细交易操作、某一类交易和某个地理地点等准则相关全部事件对数据进行详审。检测搜寻已知不安全状态，等系统进入该状态后就汇报可能发生了一次入侵。将系统漏洞知识结合到一个规则集中，使用教授系统来分析数据并利用规则集，判定一系列运行中指令是否违反了站点安全策略。规则：假如我们从一个防火墙接收到一个针对该DNS服务器侦察企图(DNS版本检验或其它连接请求)，则假如我们从一个IDS接收到一个或多个针对同一个DNS服务器入侵企图，则向操作员发出一个通知。统计关联按资产或资产组将规范化安全事件归类为不一样安全事件类型–事件类型范围包含侦察攻击、病毒攻击、拒绝服务攻击–等等。对于每种资产，系统可连续计算出一个威胁分数，也就是经过将事件严重程度与资产价值相加来确定对安全事件总体衡量。系统运营中的风险管理课件第48页异常关联异常关联依赖于事件管理系统所创建被测量事件数据库，以及从该数据库“学习模式”中搜集一组“基线”数据。“基线”快照普通会运行几个星期，然后与当前事件进行比较，以确定是否正在发生与基线不一样异常情况。未来，要想为不停改变IT环境和商业交易环境创造价值，基线捕捉功效就必须在启发式稳态模式下工作。基于模式预测异常检测方法，前提条件是事件序列不是随机发生，而是服从某种可区分模式，其特点是考虑了事件序列之间相互联络。域值度量预期中最少有m个事件最多有n个事件发生，则被认为发生了异常确定阈值使得模型使用变得复杂，要考虑不一样级别复杂性和用户特征、地域特征。统计动差分析器知道平均偏差和标准偏差，假如值超出了这些动差期望间隔，则该值所代表动作就被认定为异常。比阈值模型提供了更大灵活性。系统运营中的风险管理课件第49页安全事件汇报通告器主要功效是发给系统安全责任人一条相信系统风险发生汇报。在较低层次上，系统应提供交互式、多维数据可视化功效。依据诸如“对机构影响”和“攻击可能性”等简单而有效视图，使企业能更轻松地依据本身独特需求来安排纠正办法优先级。企业中各个部门人员所关注视图各不相同，比如，IT机构安全管理员能够处理防火墙、IDS检测器和网络路由器等所产生安全事件，但他们却不应该访问与财务统计和客户统计相关数据，以及其它机密商业交易数据。系统应能够依据需要灵活查看任意聚合级别信息或详细信息，确保用户操作员只看到与他们工作相关事件。这首先是企业机密性需要，同时也使他们不受受到数据泛滥影响。信息汇报方式：系统运营中的风险管理课件第50页安全事件汇报文本显示方式：基于名字、时间或其它特征搜索事件；超文本显示方式：显示日志统计，使用超文本连接鄂来表示统计之间相关关系关系数据库阅读方式：向数据库发起查询，数据库在返回查询结果前执行相关分析以时间次序列举感兴趣事件图示方式：节点代表实体，相关性表示不一样实体间联络。一个设计良好图形显示使得风险管理系统可把信息转变为一幅易于领会图像，允许用户判断正在遭受何种攻击，也能够向相关人员发送电子邮件或在相关日志文件中统计条目。切片方式：得出影响给定客体日志事件和客体最小集。切片是一个程序调试技术，能分析提取出影响给定变量指令最小值。系统运营中的风险管理课件第51页取证使用事件管理系统审计员使用焦点审计浏览工具，把文件作为初始焦点。图边显示了进程怎样改变文件以及怎样改变。审计员判定那些可能引发不可预期改变进程，即可疑进程，一直追溯到能够判定攻击者怎样得到系统访问权限。审计员获知攻击者ＵＩＤ，使用对应ＵＩＤ审计统计页面，并检验页面中全部可疑行为。他也能使用可视框架工具画出进程产生次序。一旦审计员发觉入侵点，审计员就能发觉系统弱点并模拟攻击者方法恢复出攻击者行为。最终，使用相关用具产生短片描述攻击者是怎样进行攻击，方便在诉讼时作为证据使用。外部调查在一些复杂程度更高网络犯罪案例中，专门服务企业资深安全教授经常饰演“福尔摩斯”角色，在调查犯罪过程中饰演主要角色。他们能从一些蛛丝马迹中寻找出事情真相:在线支付IP、非法转账银行卡卡号、巨额刷卡消费行为、ATM取款机上摄像头监控等。系统运营中的风险管理课件第52页风险实时控制当前，信息安全管理工具需要实现一些新特征是，含有“学习”功效，适应安全系统动态改变，可提供经过实践检验降低风险办法，而且与用于修复和补救任何系统相集成，使风险事件响应更靠近“实时”。响应包含断开网络、增加日志统计级别，给出处理方案等。基于范例推理（CBR）能够依据记忆或范例库中找到一个与新问题相同范例，然后把该范例中相关信息和知识复用到新问题求解之中，是实现实时控制较为有效技术。