freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

信息安全策略體系結(jié)構(gòu)、組成及具體內(nèi)容-wenkub

2023-03-18 17:37:07 本頁面
 

【正文】 息的竊取,對信息流量的分析等。 信息安全體系結(jié)構(gòu)的意義 信息安全體系結(jié)構(gòu)的意義 無論是 OSI參考模型還是 TCP/ IP參考模型,它們在設(shè)計之初都沒有充分考慮網(wǎng)絡(luò)通信中存在的安全問題。信息安全體系結(jié)構(gòu)、安全策略的組成及具體內(nèi)容 信息安全體系結(jié)構(gòu)、安全策略的組成及具體內(nèi)容 ? 信息安全體系結(jié)構(gòu) ? 信息安全策略的組成 ? 信息安全策略的具體內(nèi)容 信息安全體系結(jié)構(gòu) 信息安全體系結(jié)構(gòu)的意義 TCP/ IP參考模型的安全協(xié)議 分層 P2DR動態(tài)可適應(yīng)安全模型 PDRR模型 WPDRRC模型 木桶理論: 一個桶能裝多少水不取決于桶有多高,而取決于組成該桶的最短的那塊木條的高度 。因此,只要在參考模型的任何一個層面發(fā)現(xiàn)安全漏洞,就可以對網(wǎng)絡(luò)通信實施攻擊。因此,需要建立網(wǎng)絡(luò)安全體系結(jié)構(gòu),以實現(xiàn)數(shù)據(jù)加密、身份認(rèn)證、數(shù)據(jù)完整性鑒別、數(shù)字簽名、訪問控制等方面的功能。不過, P2DR也有不夠完善或者說不夠明確的地方,那就是對系統(tǒng)恢復(fù)的環(huán)節(jié)沒有足夠重視。 保護、檢測、恢復(fù)、響應(yīng)這幾個階段并不是孤立的,構(gòu)建信息安全保障體系必須從安全的各個方面進行綜合考慮,只有將技術(shù)、管理、策略、工程過程等方面緊密結(jié)合,安全保障體系才能真正成為指導(dǎo)安全方案設(shè)計和建設(shè)的有力依據(jù)。 ? 人 —— 核心 ? 政策(包括法律、法規(guī)、制度、管理) —— 橋梁 ? 技術(shù) —— 落實在 WPDRRC六個環(huán)節(jié)的各個方面,在各個環(huán)節(jié)中起作用 WPDRRC模型 Warning: 采用多檢測點數(shù)據(jù)收集和智能化的數(shù)據(jù)分析方法檢測是否存在某種惡意的攻擊行為,并評測攻擊的威脅程度、攻擊的本質(zhì)、范圍和起源,同時預(yù)測敵方可能的行動。 WPDRRC模型 Respond: 對危及安全的事件、行為、過程及時作出響應(yīng)處理,杜絕危害的進一步蔓延擴大,力求系統(tǒng)尚能提供正常服務(wù)。 什么是信息安全策略? ? 信息安全策略的意義 信息安全策略( Information Security Policy)是一個組織機構(gòu)中解決信息安全問題最重要的部分。 什么是信息安全策略? ? 什么是信息安全策略 信息安全策略是一組規(guī)則,它們定義了一個組織要實現(xiàn)的安全目標(biāo)和實現(xiàn)這些安全目標(biāo)的途徑。信息安全策略必須有清晰和完全的文檔描述,必須有相應(yīng)的措施保證信息安全策略得到強制執(zhí)行。在信息安全策略中不規(guī)定使用什么具體技術(shù),也不描述技術(shù)配置參數(shù)。” 這個敘述沒有談及加密算法和密鑰長度,所以當(dāng)舊的加密算法被替換,新的加密算法被公布的時候,無須對信息安全策略進行修改。 (2) 先進的技術(shù): 先進的安全技術(shù)是信息安全的根本保障 。內(nèi)容包括: ? 進行安全需求分析 ? 對網(wǎng)絡(luò)系統(tǒng)資源進行評估 ? 對可能存在的風(fēng)險進行分析 ? 確定內(nèi)部信息對外開放的種類及發(fā)布方式和訪問方式 ? 明確網(wǎng)絡(luò)系統(tǒng)管理人員的責(zé)任和義務(wù) ? 確定針對潛在風(fēng)險采取的安全保護措施的主要構(gòu)成方面,制定安全存取、訪問規(guī)則 制定安全策略的原則 ? 適應(yīng)性原則 :在一種情況下實施的安全策略到另一環(huán)境下就未必適合 ? 動態(tài)性原則 :用戶在不斷增加,網(wǎng)絡(luò)規(guī)模在不斷擴大,網(wǎng)絡(luò)技術(shù)本身的發(fā)展變化也很快 ? 簡單性原則 :安全的網(wǎng)絡(luò)是相對簡單的網(wǎng)絡(luò) ? 系統(tǒng)性原則 :應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶、各種設(shè)備、各種情況,有計劃有準(zhǔn)備地采取相應(yīng)的策略 ? 最小特權(quán)原則 :每個用戶并不需要使用所有的服務(wù);不是所有用戶都需要去修改系統(tǒng)中的每一個文件;每一個用戶并不需要都知道系統(tǒng)的根口令,每個系統(tǒng)管理見也沒有必要都知道系統(tǒng)的根口令等 制定安全策略的思想方法 在制定網(wǎng)絡(luò)安全策略時有以下兩種思想方法: ? 凡是沒有明確表示允許的就要被禁止。 制定安全策略的思想方法 這兩種思想方法所導(dǎo)致的結(jié)果是不相同的。 需要注意的是:在網(wǎng)絡(luò)安全策略上,一般采用第一種方法,即明確地限定用戶在網(wǎng)絡(luò)中訪問的權(quán)限與能夠使用的服務(wù)。 ? 方便程度和服務(wù)效率的平衡 。 RFC 1044 列出了以下需要定義的網(wǎng)絡(luò)資源: ? (1) 硬件 處理器、主板、鍵盤、終端、工作站、個人計算機、打印機、磁盤、通信數(shù)據(jù)、終端服務(wù)器與路由器。 ? (5) 演示程序 應(yīng)用軟件的演示程序、網(wǎng)絡(luò)操作系統(tǒng)的演示程序、計算機硬件與網(wǎng)絡(luò)硬件的演示程序與網(wǎng)絡(luò)軟件的演示程序。 要求被保護的網(wǎng)絡(luò)資源被定義之后,就需要對可能對網(wǎng)絡(luò)資源構(gòu)成威脅的因素下定義,以確定可能造成信息丟失和破壞的潛在因素,確定威脅的類型。要進行有效的安全評估,就必須明確 安全威脅 、 漏洞的產(chǎn)生 ,以及 威脅 、 安全漏洞 和 風(fēng)險 三者之間的關(guān)系。 安全漏洞類型 示 例 物 理 的 未鎖門窗 自 然 的 滅火系統(tǒng)失靈 硬件和軟件 防病毒軟件過期 媒 介 電干擾 通 信 未加密協(xié)議 人 為 不可靠的技術(shù)支持 對計算機環(huán)境中的漏洞 必須防范什么威脅 主 要 威 脅 內(nèi)部竊密和破壞 竊聽和截收 非法訪問 (以未經(jīng)授權(quán)的方式使用網(wǎng)絡(luò)資源 ) 破壞信息的完整性 (通過篡改、刪除和插入等方式破壞信息的完整性 ) 冒充 (攻擊者利用冒充手段竊取信息、入侵系統(tǒng)、破壞網(wǎng)絡(luò)正常通訊或欺騙合法主機和合法用戶。 TCSEC最初只是軍用標(biāo)準(zhǔn) , 后來延至民用領(lǐng)域 。 需要什么級別的安全 1)D級 D級是最低的安全形式 , 整個計算機是不信任的 ,只為文件和用戶提供安全保護 。 屬于這個級別的操作系統(tǒng)有 DOS、 Windows 9x、Apple公司的 Macintosh System 。這種級別的系統(tǒng)對硬件有某種程度的保護,但硬件受到損害的可能性仍然存在。 例如 , 讓文件擁有者有讀 、 寫和執(zhí)行的權(quán)力;給同組用戶讀和執(zhí)行的權(quán)力;而給其他用戶以讀的權(quán)力 。 不要把這些身份認(rèn)證和應(yīng)用于程序的用戶 ID許可(SUID)設(shè)置和同組用戶 ID許可 (SGID)設(shè)置相混淆 , 身份認(rèn)證可以用來確定用戶是否能夠執(zhí)行特定的命令或訪問某些核心表 。 如果其他程序和數(shù)據(jù)也在同一目錄下 , 那么用戶也將自動得到訪問這些信息的權(quán)限 。
點擊復(fù)制文檔內(nèi)容
職業(yè)教育相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1