正文內(nèi)容

信息安全體系結(jié)構(gòu)與信息安全策略-wenkub

2023-03-18 17:31:57 本頁(yè)面

　

【正文】竊取，對(duì)信息流量的分析等。信息安全體系結(jié)構(gòu)的意義信息安全體系結(jié)構(gòu)的意義無(wú)論是 OSI參考模型還是 TCP／ IP參考模型，它們?cè)谠O(shè)計(jì)之初都沒(méi)有充分考慮網(wǎng)絡(luò)通信中存在的安全問(wèn)題。信息安全體系結(jié)構(gòu)、安全策略的組成及具體內(nèi)容信息安全體系結(jié)構(gòu)、安全策略的組成及具體內(nèi)容 ? 信息安全體系結(jié)構(gòu) ? 信息安全策略的組成 ? 信息安全策略的具體內(nèi)容信息安全體系結(jié)構(gòu) 信息安全體系結(jié)構(gòu)的意義 TCP／ IP參考模型的安全協(xié)議分層 P2DR動(dòng)態(tài)可適應(yīng)安全模型 PDRR模型 WPDRRC模型木桶理論：一個(gè)桶能裝多少水不取決于桶有多高，而取決于組成該桶的最短的那塊木條的高度。因此，只要在參考模型的任何一個(gè)層面發(fā)現(xiàn)安全漏洞，就可以對(duì)網(wǎng)絡(luò)通信實(shí)施攻擊。因此，需要建立網(wǎng)絡(luò)安全體系結(jié)構(gòu)，以實(shí)現(xiàn)數(shù)據(jù)加密、身份認(rèn)證、數(shù)據(jù)完整性鑒別、數(shù)字簽名、訪問(wèn)控制等方面的功能。不過(guò)， P2DR也有不夠完善或者說(shuō)不夠明確的地方，那就是對(duì)系統(tǒng)恢復(fù)的環(huán)節(jié)沒(méi)有足夠重視。保護(hù)、檢測(cè)、恢復(fù)、響應(yīng)這幾個(gè)階段并不是孤立的，構(gòu)建信息安全保障體系必須從安全的各個(gè)方面進(jìn)行綜合考慮，只有將技術(shù)、管理、策略、工程過(guò)程等方面緊密結(jié)合，安全保障體系才能真正成為指導(dǎo)安全方案設(shè)計(jì)和建設(shè)的有力依據(jù)。 ? 人 —— 核心 ? 政策（包括法律、法規(guī)、制度、管理） —— 橋梁 ? 技術(shù) —— 落實(shí)在 WPDRRC六個(gè)環(huán)節(jié)的各個(gè)方面，在各個(gè)環(huán)節(jié)中起作用 WPDRRC模型 Warning：采用多檢測(cè)點(diǎn)數(shù)據(jù)收集和智能化的數(shù)據(jù)分析方法檢測(cè)是否存在某種惡意的攻擊行為，并評(píng)測(cè)攻擊的威脅程度、攻擊的本質(zhì)、范圍和起源，同時(shí)預(yù)測(cè)敵方可能的行動(dòng)。 WPDRRC模型 Respond：對(duì)危及安全的事件、行為、過(guò)程及時(shí)作出響應(yīng)處理，杜絕危害的進(jìn)一步蔓延擴(kuò)大，力求系統(tǒng)尚能提供正常服務(wù)。什么是信息安全策略？ ? 信息安全策略的意義信息安全策略（ Information Security Policy）是一個(gè)組織機(jī)構(gòu)中解決信息安全問(wèn)題最重要的部分。什么是信息安全策略？ ? 什么是信息安全策略信息安全策略是一組規(guī)則，它們定義了一個(gè)組織要實(shí)現(xiàn)的安全目標(biāo)和實(shí)現(xiàn)這些安全目標(biāo)的途徑。信息安全策略必須有清晰和完全的文檔描述，必須有相應(yīng)的措施保證信息安全策略得到強(qiáng)制執(zhí)行。在信息安全策略中不規(guī)定使用什么具體技術(shù)，也不描述技術(shù)配置參數(shù)?！? 這個(gè)敘述沒(méi)有談及加密算法和密鑰長(zhǎng)度，所以當(dāng)舊的加密算法被替換，新的加密算法被公布的時(shí)候，無(wú)須對(duì)信息安全策略進(jìn)行修改。 (2) 先進(jìn)的技術(shù)：先進(jìn)的安全技術(shù)是信息安全的根本保障。內(nèi)容包括： ? 進(jìn)行安全需求分析 ? 對(duì)網(wǎng)絡(luò)系統(tǒng)資源進(jìn)行評(píng)估 ? 對(duì)可能存在的風(fēng)險(xiǎn)進(jìn)行分析 ? 確定內(nèi)部信息對(duì)外開(kāi)放的種類及發(fā)布方式和訪問(wèn)方式 ? 明確網(wǎng)絡(luò)系統(tǒng)管理人員的責(zé)任和義務(wù) ? 確定針對(duì)潛在風(fēng)險(xiǎn)采取的安全保護(hù)措施的主要構(gòu)成方面，制定安全存取、訪問(wèn)規(guī)則制定安全策略的原則 ? 適應(yīng)性原則：在一種情況下實(shí)施的安全策略到另一環(huán)境下就未必適合 ? 動(dòng)態(tài)性原則：用戶在不斷增加，網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，網(wǎng)絡(luò)技術(shù)本身的發(fā)展變化也很快 ? 簡(jiǎn)單性原則：安全的網(wǎng)絡(luò)是相對(duì)簡(jiǎn)單的網(wǎng)絡(luò) ? 系統(tǒng)性原則：應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶、各種設(shè)備、各種情況，有計(jì)劃有準(zhǔn)備地采取相應(yīng)的策略 ? 最小特權(quán)原則：每個(gè)用戶并不需要使用所有的服務(wù)；不是所有用戶都需要去修改系統(tǒng)中的每一個(gè)文件；每一個(gè)用戶并不需要都知道系統(tǒng)的根口令，每個(gè)系統(tǒng)管理見(jiàn)也沒(méi)有必要都知道系統(tǒng)的根口令等制定安全策略的思想方法在制定網(wǎng)絡(luò)安全策略時(shí)有以下兩種思想方法： ? 凡是沒(méi)有明確表示允許的就要被禁止。制定安全策略的思想方法這兩種思想方法所導(dǎo)致的結(jié)果是不相同的。需要注意的是：在網(wǎng)絡(luò)安全策略上，一般采用第一種方法，即明確地限定用戶在網(wǎng)絡(luò)中訪問(wèn)的權(quán)限與能夠使用的服務(wù)。 ? 方便程度和服務(wù)效率的平衡。 RFC 1044 列出了以下需要定義的網(wǎng)絡(luò)資源： ? (1) 硬件處理器、主板、鍵盤、終端、工作站、個(gè)人計(jì)算機(jī)、打印機(jī)、磁盤、通信數(shù)據(jù)、終端服務(wù)器與路由器。 ? (5) 演示程序應(yīng)用軟件的演示程序、網(wǎng)絡(luò)操作系統(tǒng)的演示程序、計(jì)算機(jī)硬件與網(wǎng)絡(luò)硬件的演示程序與網(wǎng)絡(luò)軟件的演示程序。要求被保護(hù)的網(wǎng)絡(luò)資源被定義之后，就需要對(duì)可能對(duì)網(wǎng)絡(luò)資源構(gòu)成威脅的因素下定義，以確定可能造成信息丟失和破壞的潛在因素，確定威脅的類型。要進(jìn)行有效的安全評(píng)估，就必須明確安全威脅、漏洞的產(chǎn)生，以及威脅、安全漏洞和風(fēng)險(xiǎn) 三者之間的關(guān)系。安全漏洞類型示例物理的未鎖門窗自然的滅火系統(tǒng)失靈硬件和軟件防病毒軟件過(guò)期媒介電干擾通信未加密協(xié)議人為不可靠的技術(shù)支持對(duì)計(jì)算機(jī)環(huán)境中的漏洞必須防范什么威脅主要威脅內(nèi)部竊密和破壞竊聽(tīng)和截收非法訪問(wèn) (以未經(jīng)授權(quán)的方式使用網(wǎng)絡(luò)資源 ) 破壞信息的完整性 (通過(guò)篡改、刪除和插入等方式破壞信息的完整性 ) 冒充 (攻擊者利用冒充手段竊取信息、入侵系統(tǒng)、破壞網(wǎng)絡(luò)正常通訊或欺騙合法主機(jī)和合法用戶。 TCSEC最初只是軍用標(biāo)準(zhǔn) ，后來(lái)延至民用領(lǐng)域。需要什么級(jí)別的安全 1)D級(jí) D級(jí)是最低的安全形式，整個(gè)計(jì)算機(jī)是不信任的，只為文件和用戶提供安全保護(hù) 。屬于這個(gè)級(jí)別的操作系統(tǒng)有 DOS、 Windows 9x、Apple公司的 Macintosh System 。這種級(jí)別的系統(tǒng)對(duì)硬件有某種程度的保護(hù)，但硬件受到損害的可能性仍然存在。例如，讓文件擁有者有讀、寫(xiě)和執(zhí)行的權(quán)力；給同組用戶讀和執(zhí)行的權(quán)力；而給其他用戶以讀的權(quán)力。不要把這些身份認(rèn)證和應(yīng)用于程序的用戶 ID許可(SUID)設(shè)置和同組用戶 ID許可 (SGID)設(shè)置相混淆，身份認(rèn)證可以用來(lái)確定用戶是否能夠執(zhí)行特定的命令或訪問(wèn)某些核心表。如果其他程序和數(shù)據(jù)也在同一目錄下，那么用戶也將自動(dòng)得到訪問(wèn)這些信息的權(quán)限。

點(diǎn)擊復(fù)制文檔內(nèi)容

環(huán)評(píng)公示相關(guān)推薦

信息安全策略模板27001資料-資料下載頁(yè)

【總結(jié)】信息安全策略批準(zhǔn)人簽字審核人簽字制訂人簽字變更履歷序號(hào)版本編號(hào)或更改記錄編號(hào)變化狀態(tài)*簡(jiǎn)要說(shuō)明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人

2025-08-03 10:00

[精選]信息安全體系定級(jí)指南-資料下載頁(yè)

【總結(jié)】信息安全體系定級(jí)指南等級(jí)確定的依據(jù)等級(jí)確定方法定級(jí)報(bào)告定級(jí)舉例信息系統(tǒng)安全保護(hù)等級(jí)的依據(jù)?開(kāi)展安全等級(jí)保護(hù)定級(jí)工作依據(jù)的政策和法律依據(jù)?國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2023]27號(hào)）?《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2023]66號(hào)）?《信息安全等級(jí)

2025-02-18 02:18

網(wǎng)絡(luò)安全體系結(jié)構(gòu)ppt課件-資料下載頁(yè)

【總結(jié)】12在網(wǎng)絡(luò)中，計(jì)算機(jī)與計(jì)算機(jī)之間的通信是機(jī)器與機(jī)器之間的通信，其不同于人與人之間通信的最大特點(diǎn)是必須對(duì)所傳遞信息的符號(hào)格式、傳送速率、差錯(cuò)控制、含義理解等，預(yù)先作出明確嚴(yán)格的統(tǒng)一規(guī)定或約定，成為共同承認(rèn)和遵守的規(guī)則，才能保證信息傳遞的可靠和有效，并在傳遞完成后得到相應(yīng)的正確處理。這些為進(jìn)行網(wǎng)絡(luò)中的信息交換而建立的共同規(guī)則、

2025-12-30 22:13

軟件體系結(jié)構(gòu)信息共享體系結(jié)構(gòu)sharedinformation-資料下載頁(yè)

【總結(jié)】軟件體系結(jié)構(gòu)信息共享體系結(jié)構(gòu)SharedInformation孫志崗?22020/11/4Wherearewe??32020/11/4FamiliesofArchitecturalStyles?42020/11/4FamiliesofArchitecturalSty

2025-09-19 09:31

操作系統(tǒng)安全體系結(jié)構(gòu)-資料下載頁(yè)

【總結(jié)】第4章操作系統(tǒng)安全體系結(jié)構(gòu)概述安全問(wèn)題的暴露解決問(wèn)題的方法：1、在現(xiàn)有系統(tǒng)上打補(bǔ)丁來(lái)排除；2、無(wú)法在原有系統(tǒng)上進(jìn)行補(bǔ)救，只有重新改造系統(tǒng)，甚至重新設(shè)計(jì)系統(tǒng)造成的原因：1、由于舊系統(tǒng)增加了新的應(yīng)用（無(wú)法預(yù)測(cè)）2、系統(tǒng)設(shè)計(jì)時(shí)考慮不充分（缺乏有效的系統(tǒng)安全體系結(jié)構(gòu)所致）安全體系結(jié)構(gòu)的含義及內(nèi)容使系統(tǒng)在實(shí)現(xiàn)

2025-12-31 22:35

7信息安全工作總體方針和安全策略-資料下載頁(yè)

【總結(jié)】信息安全工作總體方針和安全策略安全工作方針和目標(biāo) 為貫徹落實(shí)《安全生產(chǎn)法》和國(guó)務(wù)院《關(guān)于進(jìn)一步加強(qiáng)企業(yè)安全生產(chǎn)工作的通知》，加強(qiáng)我司生產(chǎn)安全管理，強(qiáng)化安全生產(chǎn)監(jiān)督職能，防范和減少各類安全事故...

2025-09-17 14:18

信息安全體系規(guī)劃與建立-資料下載頁(yè)

【總結(jié)】信息安全體系規(guī)劃與建設(shè)概述信息安全體系規(guī)劃與建設(shè)?信息安全概述?信息安全體系建設(shè)?風(fēng)險(xiǎn)管理?信息安全服務(wù)過(guò)程?可供借鑒的范圍和標(biāo)準(zhǔn)?信息安全概述?信息和信息安全?組織的信息安全需求來(lái)源?怎樣實(shí)現(xiàn)信息安全?信息安全技術(shù)?信

2026-01-09 08:31

第10章信息系統(tǒng)的安全策略-資料下載頁(yè)

【總結(jié)】第10章信息系統(tǒng)的安全策略?信息安全策略（InformationSecurityPolicies）是對(duì)信息安全管理系統(tǒng)（informationsecuritymanagementsystemISMS）的目的和意

2025-03-08 01:12

物流信息系統(tǒng)的體系結(jié)構(gòu)概述-資料下載頁(yè)

【總結(jié)】《物流信息系統(tǒng)》第2頁(yè)2023/2/2第2章物流信息系統(tǒng)體系結(jié)構(gòu)《物流信息系統(tǒng)》第3頁(yè)2023/2/2學(xué)習(xí)目的?理解物流管理信息系統(tǒng)體系結(jié)構(gòu)；?掌握物流管理信息系統(tǒng)的社會(huì)—技術(shù)特征；?掌握物流信息系統(tǒng)基礎(chǔ)（人員、戰(zhàn)略、組織、管理、數(shù)據(jù)資源和基礎(chǔ)設(shè)施）的特點(diǎn)；?了解物流信息

2026-01-07 06:00

物聯(lián)網(wǎng)體系結(jié)構(gòu)及其信息技術(shù)-資料下載頁(yè)

【總結(jié)】物聯(lián)網(wǎng)武奇生第二章物聯(lián)網(wǎng)體系結(jié)構(gòu)及其信息技術(shù)本章內(nèi)容：?物聯(lián)網(wǎng)的體系結(jié)構(gòu)?支持物聯(lián)網(wǎng)發(fā)展的技術(shù)?現(xiàn)代網(wǎng)絡(luò)通信與物聯(lián)網(wǎng)?無(wú)線通信3G與物聯(lián)網(wǎng)的發(fā)展?集成電路：物聯(lián)網(wǎng)的基石?根據(jù)功能物聯(lián)網(wǎng)技術(shù)可以分為三類：?1）感知技術(shù)：通過(guò)多種傳感器、RFID、二維碼、定位、地理識(shí)別系統(tǒng)、多媒體信息等

2026-01-03 23:32

安全策略-資料下載頁(yè)

【總結(jié)】第5章內(nèi)容回顧?NTFS文件系統(tǒng)的特點(diǎn)?如何獲得NTFS?移動(dòng)和復(fù)制操作對(duì)權(quán)限的影響?AGDLP規(guī)則含義是什么Chapter1/30Version安全策略第6章本章目標(biāo)?本章應(yīng)用域的安全策略，加強(qiáng)了域環(huán)境安全性?理解本地安全策略?理解域控制器安全策略?理解域安全策略

2025-02-12 23:27

信息安全體系風(fēng)險(xiǎn)評(píng)估-資料下載頁(yè)

【總結(jié)】信息安全體系風(fēng)險(xiǎn)評(píng)估基本概念重要意義工作方式幾個(gè)關(guān)鍵問(wèn)題21、什么是風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用

2025-12-31 21:30

1-信息安全工作總體方針和安全策略-資料下載頁(yè)

【總結(jié)】信息安全工作總體方針和安全策略第一章總則第一條為加強(qiáng)和規(guī)范技術(shù)部及各部門信息系統(tǒng)安全工作，提高技術(shù)部信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全的可控、能控、在控，依據(jù)國(guó)家有關(guān)法律、法規(guī)的要求，制定本文檔。第二條本文檔的目的是為技術(shù)部信息系統(tǒng)安全管理提供一個(gè)總體的策略性架構(gòu)文件。該文件將指導(dǎo)技術(shù)部信息系統(tǒng)的安全管理體系的建立。安全管理體系的建立是為技術(shù)部信息系統(tǒng)

2025-06-25 05:04

企業(yè)信息化體系結(jié)構(gòu)-資料下載頁(yè)

【總結(jié)】企業(yè)信息化體系結(jié)構(gòu)企業(yè)信息化戰(zhàn)略信息技術(shù)重組信息與信息資源管理信息資源集成戰(zhàn)略信息管理下一步工作方向企業(yè)IT體系結(jié)構(gòu)與信息化體系結(jié)構(gòu)?IT體系結(jié)構(gòu)就是支持一個(gè)組織內(nèi)部信息技術(shù)服務(wù)供應(yīng)的硬件、軟件、與計(jì)算機(jī)相關(guān)的電子通信技術(shù)的統(tǒng)稱。?IT基礎(chǔ)結(jié)構(gòu)包括下述4種主要元素，即技術(shù)平

2025-02-28 15:41

freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片