【正文】 過程中的數(shù)據(jù)、在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)、備份數(shù)據(jù)、數(shù)據(jù)庫、用戶登錄。 ? 網(wǎng)絡(luò)性能 。 安全策略設(shè)計依據(jù) 制訂安全策略時應(yīng)考慮如下因素： ? 對于內(nèi)部用戶和外部用戶分別提供哪些服務(wù)程序 。網(wǎng)絡(luò)服務(wù)類型很多，新的網(wǎng)絡(luò)服務(wù)功能將逐漸出現(xiàn)。 按照第一種方法，如果決定某一臺機器可以提供匿名 FTP服務(wù)，那么可以理解為除了匿名 FTP服務(wù)之外的所有服務(wù)都是禁止的。 (3) 嚴格的管理： 各網(wǎng)絡(luò)使用機構(gòu) 、 企業(yè)和單位應(yīng)建立相宜的信息安全管理辦法 ， 加強內(nèi)部管理 ， 建立審計和跟蹤體系 ， 提高整體信息安全意識 。 (1) 威嚴的法律： 安全的基石是社會法律 、 法規(guī)與手段 。 什么是信息安全策略？ ? 信息安全策略的描述方式 信息安全策略的描述語言應(yīng)該是簡潔的、非技術(shù)性的和具有指導(dǎo)性的。 什么是信息安全策略？ ? 信息安全策略與技術(shù)方案的區(qū)別 信息安全策略的內(nèi)容應(yīng)該有別于技術(shù)方案， 信息安全策略只是描述一個組織保證信息安全的途徑的指導(dǎo)性文件，它不涉及具體做什么和如何做的問題，只需指出要完成的目標(biāo)。問題策略描述了一個組織所關(guān)心的安全領(lǐng)域和對這些領(lǐng)域內(nèi)安全問題的基本態(tài)度。 一個組織的信息安全策略反映出一個組織對于現(xiàn)實和未來安全風(fēng)險的認識水平，對于組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風(fēng)險的假定與處理。 Counterattack： 利用高技術(shù)工具，取得證據(jù)，作為犯罪分子犯罪的線索、犯罪依據(jù)，依法偵查處置犯罪分子。 Detect： 利用高級術(shù)提供的工具檢查系統(tǒng)存在的可能提供黑客攻擊、白領(lǐng)犯罪、病毒泛濫脆弱性。 及時恢復(fù)系統(tǒng)，使其盡快正常對外提供服務(wù)，是降低網(wǎng)絡(luò)攻擊造成損失的有效途徑 對危及網(wǎng)絡(luò)安全的事件和行為做出反應(yīng)，阻止對信息系統(tǒng)的進一步破壞并使損失降到最低 檢測本地網(wǎng)絡(luò)的安全漏洞和存在的非法信息流，從而有效阻止網(wǎng)絡(luò)攻擊 PDRR模型 PDRR也是基于時間的動態(tài)模型，其中，恢復(fù)環(huán)節(jié)對于信息系統(tǒng)和業(yè)務(wù)活動的生存起著至關(guān)重要的作用，組織只有建立并采用完善的恢復(fù)計劃和機制，其信息系統(tǒng)才能在重大災(zāi)難事件中盡快恢復(fù)并延續(xù)業(yè)務(wù)。 PDRR模型 PDRR模型，或者叫 PPDRR（或者 P2DR2），與 P2DR唯一的區(qū)別就是把恢復(fù)環(huán)節(jié)提到了和防護、檢測、響應(yīng)等環(huán)節(jié)同等的高度。 P2DR動態(tài)可適應(yīng)安全模型 策略 P P2DR動態(tài)可適應(yīng)安全模型 P2DR模型是建立在基于時間的安全理論基礎(chǔ)之上的： ? Dt：在攻擊發(fā)生的同時，檢測系統(tǒng)發(fā)揮作用，攻擊行為被檢測出來需要的時間 ? Rt：檢測到攻擊之后，系統(tǒng)會做出應(yīng)有的響應(yīng)動作，所需時間被稱作響應(yīng)時間 ? Et：系統(tǒng)暴露時間，即系統(tǒng)處于不安全狀況的時間（ Et = Dt + Rt Pt） ? Pt：攻擊成功所需時間被稱作安全體系能夠提供的防護時間 ? 要實現(xiàn)安全，必須讓防護時間大于檢測時間加上響應(yīng)時間，即： Pt Dt + Rt P2DR動態(tài)可適應(yīng)安全模型 P2DR模型基本上體現(xiàn)了比較完整的信息安全體系的思想，勾畫出信息安全體系建立之后一個良好的表現(xiàn)形態(tài)。主動攻擊包括對用戶信息的篡改、刪除及偽造，對用戶身份的冒充和對合法用戶訪問的阻止。某一方面的缺陷會導(dǎo)致嚴重的安全事故。 所以安全是一個系統(tǒng)工程，涉及到多個方面。 在開放式網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)通信會遭受兩種方式的攻擊：主動攻擊和被動攻擊。 TCP/IP參考模型的安全服務(wù)與安全機制 應(yīng)用層 傳輸層 網(wǎng)際層 網(wǎng)絡(luò)接口層 認證服務(wù) 訪問控制 數(shù)據(jù)完整性 數(shù)據(jù)保密性 不可抵賴性 數(shù)據(jù)加密 數(shù)字簽名 訪問控制 數(shù)據(jù)完整性 實體認證 流量填充 路由控制 安全機制 TCP/IP參考模型 安全服務(wù) TCP／ IP參考模型的安全協(xié)議分層 協(xié)議層 針對的實體 安全協(xié)議 主要實現(xiàn)的安全策略 應(yīng)用層 應(yīng)用程序 SHTTP 信息加密、數(shù)字簽名、數(shù)據(jù)完整性驗證 SET 信息加密、身份認證、數(shù)字簽名、數(shù)據(jù)完整性驗證 PGP 信息加密、數(shù)字簽名、數(shù)據(jù)完整性驗證 S/MIME 信息加密、數(shù)字簽名、數(shù)據(jù)完整性驗證 Kerberos 信息加密、身份認證 SSH 信息加密、身份認證、數(shù)據(jù)完整性驗證 傳輸層 端進程 SSL/TLS 信息加密、身份認證、數(shù)據(jù)完整性驗證 SOCKS 訪問控制、穿透防火墻 網(wǎng)際層 主機 IPSec 信息加密、身份認證、數(shù)據(jù)完整性驗證 網(wǎng)絡(luò)接口層 端系統(tǒng) PAP 身份認證 CHAP 身份認證 PPTP 傳輸隧道 L2F 傳輸隧道 L2TP 傳輸隧道 WEP 信息加密、訪問控制、數(shù)據(jù)完整性驗證 WPA 信息加密、身份認證、訪問控制、數(shù)據(jù)完整性驗證 主要安全協(xié)議 網(wǎng)絡(luò)接口層 ? PAP（ Password Authentication Protocol，密碼認證協(xié)議） ? CHAP（ Challenge Handshake Authentication Protocol，挑戰(zhàn)握手認證協(xié)議） ? PPTP（ PointtoPoint Tunneling Protocol，點對點隧道協(xié)議） ? L2F（ Level 2 Forwarding protocol，第二層轉(zhuǎn)發(fā)協(xié)議） ? L2TP（ Layer 2 Tunneling Protocol，第二層隧道協(xié)議） ? WEP（ Wired Equivalent Privacy，有線等效保密） ? WPA（ WiFi Protected Access， WiFi網(wǎng)絡(luò)保護訪問） 主要安全協(xié)議 網(wǎng)際層 ? IPSec（ IP Security， IP層安全協(xié)議） 傳輸層 ? SSL（ Secure Socket Layer，安全套接字層） ? TLS（ Transport Layer Security，安全傳輸層） ? SOCKS（ Protocol for sessions traversal across firewall securely，防火墻安全會話轉(zhuǎn)換協(xié)議） 主要安全協(xié)議 應(yīng)用層 ? SSH（ Secure Shell