freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

信息安全體系結(jié)構(gòu)與信息安全策略(存儲版)

2025-03-19 17:31上一頁面

下一頁面
  

【正文】 esponse(響應(yīng)) ? 按照 P2DR的觀點(diǎn),一個完整的動態(tài)安全體系,不僅需要恰當(dāng)?shù)姆雷o(hù)(如操作系統(tǒng)訪問控制、防火墻、加密等),而且需要動態(tài)的檢測機(jī)制(如入侵檢測、漏洞掃描等),在發(fā)現(xiàn)問題時還需要及時響應(yīng),這樣的體系需要在統(tǒng)一的、一致的安全策略指導(dǎo)下實(shí)施,形成一個完備的、閉環(huán)的動態(tài)自適應(yīng)安全體系。 所以安全是一個系統(tǒng)工程,涉及到多個方面。主動攻擊包括對用戶信息的篡改、刪除及偽造,對用戶身份的冒充和對合法用戶訪問的阻止。 PDRR模型 PDRR模型,或者叫 PPDRR(或者 P2DR2),與 P2DR唯一的區(qū)別就是把恢復(fù)環(huán)節(jié)提到了和防護(hù)、檢測、響應(yīng)等環(huán)節(jié)同等的高度。 Detect: 利用高級術(shù)提供的工具檢查系統(tǒng)存在的可能提供黑客攻擊、白領(lǐng)犯罪、病毒泛濫脆弱性。 一個組織的信息安全策略反映出一個組織對于現(xiàn)實(shí)和未來安全風(fēng)險的認(rèn)識水平,對于組織內(nèi)部業(yè)務(wù)人員和技術(shù)人員安全風(fēng)險的假定與處理。 什么是信息安全策略? ? 信息安全策略與技術(shù)方案的區(qū)別 信息安全策略的內(nèi)容應(yīng)該有別于技術(shù)方案, 信息安全策略只是描述一個組織保證信息安全的途徑的指導(dǎo)性文件,它不涉及具體做什么和如何做的問題,只需指出要完成的目標(biāo)。 (1) 威嚴(yán)的法律: 安全的基石是社會法律 、 法規(guī)與手段 。 按照第一種方法,如果決定某一臺機(jī)器可以提供匿名 FTP服務(wù),那么可以理解為除了匿名 FTP服務(wù)之外的所有服務(wù)都是禁止的。 安全策略設(shè)計依據(jù) 制訂安全策略時應(yīng)考慮如下因素: ? 對于內(nèi)部用戶和外部用戶分別提供哪些服務(wù)程序 。 需要保護(hù)什么資源 ? (3) 數(shù)據(jù) 在線存儲的數(shù)據(jù)、離線文檔、執(zhí)行過程中的數(shù)據(jù)、在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)、備份數(shù)據(jù)、數(shù)據(jù)庫、用戶登錄。 必須防范什么威脅 為了保護(hù)計算機(jī)系統(tǒng)和網(wǎng)絡(luò)必須對潛在的安全威脅提高警惕。 ) 其他威脅 (病毒、電磁泄漏、各種自然災(zāi)害、戰(zhàn)爭、失竊、操作失誤等 ) 必須防范什么威脅 信息與網(wǎng)絡(luò)安全的攻擊手段 物理破壞 竊聽 數(shù)據(jù)阻斷攻擊 數(shù)據(jù)篡改攻擊 數(shù)據(jù)偽造攻擊 數(shù)據(jù)重放攻擊 盜用口令攻擊 中間人攻擊 緩沖區(qū)溢出攻擊 分發(fā)攻擊 野蠻攻擊 SQL注入攻擊 計算機(jī)病毒 蠕蟲 后門攻擊 欺騙攻擊 拒絕服務(wù)攻擊 特洛伊木馬 需要什么級別的安全 網(wǎng)絡(luò)信息安全等級與標(biāo)準(zhǔn) ? 1. TCSEC標(biāo)準(zhǔn) ? 2.歐洲 ITSEC標(biāo)準(zhǔn) ? 3.加拿大 CTCPEC評價標(biāo)準(zhǔn) ? 4.美國聯(lián)邦準(zhǔn)則 FC ? 5.聯(lián)合公共準(zhǔn)則 CC標(biāo)準(zhǔn) ? 6. BS7799標(biāo)準(zhǔn) ? 7.我國有關(guān)網(wǎng)絡(luò)信息安全的相關(guān)標(biāo)準(zhǔn) ? 橘皮書 (Trusted Computer System Evaluation Criteria— TCSEC)是計算機(jī)系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn) , 具有劃時代的意義 。 擁有這個級別的操作系統(tǒng)就像一個門戶大開的房子 ,任何人可以自由進(jìn)出 , 是完全不可信的 。 這種訪問權(quán)是指對文件和目標(biāo)的訪問權(quán) 。 授權(quán)分級指系統(tǒng)管理員能夠給用戶分組 ,授予他們訪問某些程序的權(quán)限或訪問分級目錄的權(quán)限 。 需要什么級別的安全 5) B2級 B2級又叫做結(jié)構(gòu)保護(hù) (Structured Protection)級別 , 它要求計算機(jī)系統(tǒng)中所有的對象都加標(biāo)簽 , 而且給設(shè)備 (磁盤 , 磁帶和終端 )分配單個或多個安全級別。 可信任分布 (Trusted Distribution)的含義是硬件和軟件在物理傳輸過程中已經(jīng)受到保護(hù) , 以防止破壞安全系統(tǒng) 。進(jìn)行這項(xiàng)工作時需要考慮的關(guān)鍵問題包括需要保護(hù)什么,需要防范哪些威脅,受到攻擊的可能性,在攻擊發(fā)生時可能造成的損失,能夠采取什么防范措施,防范措施的成本和效果評估等等。可以通過組織主要的信息發(fā)布渠道對安全策略進(jìn)行廣泛發(fā)布,例如組織的內(nèi)部信息系統(tǒng)、例會、培訓(xùn)活動等等。 安全策略的具體內(nèi)容 ? 審計策略 描述信息審計要求,包括審計小組的組成、權(quán)限、事故調(diào)查、安全風(fēng)險估計、信息安全策略符合程度評價、對用戶和系統(tǒng)活動進(jìn)行監(jiān)控等活動的要求。 ? 口令防護(hù)策略 定義創(chuàng)建,保護(hù)和改變口令的要求。 謝 謝! 本資料來源 。 安全策略的具體內(nèi)容 ? 內(nèi)部策略 描述對組織內(nèi)部的各種活動安全要求,使組織的產(chǎn)品服務(wù)和利益受到充分保護(hù)。 ? 反病毒策略 給出有效減少計算機(jī)病毒對組織的威脅的一些指導(dǎo)方針,明確在哪些環(huán)節(jié)必須進(jìn)行病毒檢測。在這個階段會往往會有更多的人員參與進(jìn)來,應(yīng)該進(jìn)一步爭取所有相關(guān)人員的支持,至少應(yīng)該獲得足夠的授權(quán)以保障安全策略的實(shí)施。 進(jìn)行安全分析 ? 這是一個經(jīng)常被忽略的工作步驟,同時也是安全策略制訂工作中的一個重要步驟。 與前面提到的各級別一樣 , 這一級別包含了較低級別的所有特性 。 B1級安全措施的計算機(jī)系統(tǒng) , 隨著操作系統(tǒng)而定 。 不要把這些身份認(rèn)證和應(yīng)用于程序的用戶 ID許可(SUID)設(shè)置和同組用戶 ID許可 (SGID)設(shè)置相混淆 , 身份認(rèn)證可以用來確定用戶是否能夠執(zhí)行特定的命令或訪問某些核心表 。這種級別的系統(tǒng)對硬件有某種程度的保護(hù),但硬件受到損害的可能性仍然存在。 需要什么級別的安全 1)D級 D級是最低的安全形式 , 整個計算機(jī)是不信任的 ,只為文件和用戶提供安全保護(hù) 。 安全漏洞類型 示 例 物 理 的 未鎖門窗 自 然 的 滅火系統(tǒng)失靈 硬件和軟件 防病毒軟件過期 媒 介 電干擾 通 信 未加密協(xié)議 人 為 不可靠的技術(shù)支持 對計算機(jī)環(huán)境中的漏洞 必須防范什么威脅 主 要 威 脅 內(nèi)部竊密和破壞 竊聽和截收 非法訪問 (以未經(jīng)授權(quán)的方式使用網(wǎng)絡(luò)資源 ) 破壞信息的完整性 (通過篡改、刪除和插入等方式破壞信息的完整性 ) 冒充 (攻擊者利用冒充手段竊取信息、入侵系統(tǒng)、破壞網(wǎng)絡(luò)正常通訊或欺騙合法主機(jī)和合法用戶。 要求被保護(hù)的網(wǎng)絡(luò)資源被定義之后,就需要對可能對網(wǎng)絡(luò)資源構(gòu)成威脅的因
點(diǎn)擊復(fù)制文檔內(nèi)容
環(huán)評公示相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1