正文內(nèi)容

cisp04信息安全模型(編輯修改稿)

2025-02-05 20:30 本頁面

　

【文章內(nèi)容簡介】 ? 維護內(nèi)部與外部的一致性 ? 訪問授權(quán)但不恰當?shù)男薷? ? 數(shù)據(jù)分類 ? 被限制數(shù)據(jù)（ CDI），完整性保護的客體。 ? 非限制數(shù)據(jù)（ UDI），不需保護的客體。 ? 訪問控制方法 ? 定義可以針對每一個數(shù)據(jù)（數(shù)據(jù)類型）完成的訪問操作（轉(zhuǎn)換過程）； ? 定義可以由主體（角色）完成的訪問操作。 ? 保護方法 ? 完整性確認過程（ IVP）：確認數(shù)據(jù)處于一種有效狀態(tài)。 ? 轉(zhuǎn)換過程（ TP）：將數(shù)據(jù)從一種有效狀態(tài)改變到另一種有效狀態(tài)。 ? 如果只有一個轉(zhuǎn)換過程能夠改變數(shù)據(jù)，則該數(shù)據(jù)是完整的。 ? 完整性系統(tǒng)記錄所有轉(zhuǎn)換過程，并提供對數(shù)據(jù)改變的審計跟蹤。 ? 實踐中， Clark和 Wilson提出完整性監(jiān)控（“證明規(guī)則 ”）和完整性保持（“強制規(guī)則 ”）來實現(xiàn)。前者由管理員來執(zhí)行，后者由系統(tǒng)來保證。多級安全模型 Biba模型 ? 模型簡介 ? 涉及計算機完整性的第一個模型 ? 一個計算機系統(tǒng)由多個子系統(tǒng)組成 ? 子系統(tǒng)是按照功能或權(quán)限將系統(tǒng)（主體和客體）進行劃分的 ? 在子系統(tǒng)級進行評估系統(tǒng)的完整性 ? 系統(tǒng)完整性威脅來源 ? 內(nèi)部威脅：子系統(tǒng)的一個組件是惡意的 /不正確的。 ? 外部威脅：一個子系統(tǒng)通過提供錯誤數(shù)據(jù) /不正確的函數(shù)調(diào)用來修改另一個子系統(tǒng)。 ? Biba認為可以通過程序測試和檢驗來消除內(nèi)部威脅，因此，該模型僅針對外部模型。 ? 完整性策略 ? 最低點策略 ? 針對客體的最低點策略 ? 最低點完整性審計策略 ? Ring策略 ? 嚴格的完整性策略 ? Biba模型的缺點 ? Biba定義的完整性只是一個相對的，而不是絕對的度量。沒有使用明確的屬性來判斷系統(tǒng)是否擁有完整性。 ? 它沒有關(guān)于明確的信息分級的標準。多邊安全模型 ? 信息結(jié)構(gòu) ? 多邊安全控制模型控制數(shù)據(jù)在 A、 B、 C、 D、 E之間的流動。多邊安全模型 Chinese Wall模型 ? 模型簡介 ? 訪問數(shù)據(jù)不是受限于數(shù)據(jù)的屬性（密級），而是受限于主體已經(jīng)獲得了對哪些數(shù)據(jù)的訪問權(quán)限。 ? 將一些可能會產(chǎn)生訪問沖突的數(shù)據(jù)分成不同的數(shù)據(jù)集，并規(guī)定所有主體最多只能訪問一個數(shù)據(jù)集。而不限制到底選擇訪問哪個數(shù)據(jù)集。 ? 模型安全策略 ? 主體只能訪問那些與已經(jīng)擁有的信息不沖突的信息。 ? 一個主體一旦已經(jīng)訪問過一個客體，則該主體只能訪問位于同一公司數(shù)據(jù)集中的客體，或在不同興趣沖突組中的信息。 ? 在一個興趣沖突組中，一個主體最多只能訪問一個公司數(shù)據(jù)集。模型舉例 ? 有公司 A、 B，數(shù)據(jù)類型分為石油業(yè)務(wù)數(shù)據(jù)、銀行數(shù)據(jù) ? 組劃分 ? 訪問控制 ? 第一次訪問是自由的，不妨設(shè)為 A石油業(yè)務(wù)數(shù)據(jù)集； ? 可以訪問 A金融數(shù)據(jù)集； ? 不可以訪問 B石油數(shù)據(jù)集。 ? 總結(jié)： 1）可以訪問與主體曾經(jīng)訪問過的信息同屬于同一個公司的數(shù)據(jù)集，即墻內(nèi)信息； 2）可以訪問一個完全不同的興趣沖突組。多邊安全模型 BMA ? 模型簡介 ? 英國醫(yī)學(xué)會（ BMA）提出的。 ? 由客體同意哪些主體可以有條件地查看并使用客體信息。 ? 保證客體信息的完整性和可用性。 ? BMA安全策略主要原理 ? 訪問控制表 —— 每一份病歷記錄都有一個訪問控制表標記，用以說明可以讀取和添加數(shù)據(jù)的人和組。 ? 打開記錄 —— 醫(yī)生可以打開訪問控制列表中與他有關(guān)的病人的病歷。需要經(jīng)過病人委托。 ? 控制 —— 在每個訪問控制列表中必須有一個是可信的，只有他才能對病歷進行寫入。 ? 同意和通報 ——

點擊復(fù)制文檔內(nèi)容

試題試卷相關(guān)推薦

cisp-1-信息安全保障體系和測評認證-資料下載頁

【總結(jié)】信息安全理論信息安全保障體系和測評認證itsec目錄一．信息系統(tǒng)安全保障測評認證歷史和成績二．信息系統(tǒng)安全保障通用評估準則介紹三．信息系統(tǒng)安全保障測評認證方法和實踐中國信息安全產(chǎn)品測評認證中心信息系統(tǒng)安全測評認證介紹第一部分信息系統(tǒng)安全保障測評認證歷史和成績itsec我國國家

2025-01-08 01:30

cisp信息安全法規(guī)、政策和標準_v30-資料下載頁

【總結(jié)】課程內(nèi)容（1）信息安全法規(guī)與政策知識體知識域信息安全法規(guī)知識子域我國信息安全法規(guī)體系框架信息安全政策信息安全相關(guān)國家法律信息安全相關(guān)行政法規(guī)和部門規(guī)章國外典型信息安全相關(guān)法規(guī)簡介國家信息安全政策概況信息安全相關(guān)國家政策國外信息安全相關(guān)政策信息安

2025-01-08 02:01

信息安全導(dǎo)論2網(wǎng)絡(luò)安全模型-資料下載頁

【總結(jié)】1網(wǎng)絡(luò)安全模型信息安全導(dǎo)論（模塊2－網(wǎng)絡(luò)安全模型）2APPDRR動態(tài)安全模型?風(fēng)險分析（Assessment）?安全策略（Policy）?系統(tǒng)防護（Protection）?實時監(jiān)測（Detection）?實時響應(yīng)（Reaction）?災(zāi)難恢復(fù)（Restoration）3

2025-01-11 10:02

[精選]國內(nèi)外信息安全標準與信息安全模型(ppt48頁)-資料下載頁

【總結(jié)】國內(nèi)外信息安全標準與模型1.信息安全標準概述2.國際標準–ISO/IEC系列信息安全標準3.國際標準–COBIT4.國內(nèi)標準－等級保護5.安全標準的總結(jié)6.問題與回答提綱第2頁第3頁信息安全標準概述?信息安全的重要性得到廣泛的關(guān)注。?與此同時，國際和國內(nèi)的

2025-01-08 10:13

上——cisp0101信息安全保障基本知識-lb-2011-10-v-資料下載頁

【總結(jié)】信息安全保障基本知識培訓(xùn)機構(gòu)名稱講師名字課程內(nèi)容2知識域：信息安全保障背景?知識子域：信息技術(shù)發(fā)展階段?了解電報/電話、計算機、網(wǎng)絡(luò)等階段信息技術(shù)發(fā)展概況?了解信息化和網(wǎng)絡(luò)對個人、企事業(yè)單位和社會團體、經(jīng)濟發(fā)展、社會穩(wěn)定、國家安全等方面的影響：3信息技術(shù)發(fā)展階段網(wǎng)絡(luò)化社會網(wǎng)絡(luò)計算

2025-01-09 21:07

04信息安全保密管理策略-資料下載頁

【總結(jié)】信息安全XX管理第四章信息安全XX管理策略2023秋信息安全XX管理策略?為了保證網(wǎng)絡(luò)信息的安全保密，網(wǎng)絡(luò)的管理和使用人員需要在使用和維護網(wǎng)絡(luò)的過程中遵守一定的行為準則，而這一系列文檔化的準則和規(guī)范，組成了信息安全XX管理策略2信息安全XX管理策略?信息安全XX管理策略的特點–系統(tǒng)化

2025-01-14 02:55

[精選]信息安全模型講義-資料下載頁

【總結(jié)】信息安全模型信息安全模型中國信息安全產(chǎn)品測評認證中心中國信息安全產(chǎn)品測評認證中心徐徐長長醒醒信息安全模型信息安全模型n1安全模型概念安全模型概念n2訪問控制模型訪問控制模型n3信息流模型信息流模型n4完整性模型完整性模型n5信息安全模型信息安全模型1安全模型概念安全模型概念n安全模型用于安全模型用于精確地和形式地描述

2025-01-23 01:46

cisp0204協(xié)議及網(wǎng)絡(luò)架構(gòu)安全-資料下載頁

【總結(jié)】網(wǎng)絡(luò)協(xié)議及架構(gòu)安全中國信息安全測評中心2022-10課程內(nèi)容2網(wǎng)絡(luò)安全網(wǎng)絡(luò)架構(gòu)安全網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)協(xié)議安全無線數(shù)據(jù)網(wǎng)絡(luò)協(xié)議安全無線蜂窩網(wǎng)絡(luò)協(xié)議安全防火墻入侵檢測系統(tǒng)其它網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)架構(gòu)安全的概念TCP/IP協(xié)議簇安全網(wǎng)絡(luò)架構(gòu)安全的實踐知識體知識域知

2025-01-09 20:29

xxxx版-cisp0401信息安全工程_v30-資料下載頁

【總結(jié)】信息安全工程培訓(xùn)機構(gòu)名稱講師姓名版本：發(fā)布日期：2023-12-1生效日期：2023-1-1課程內(nèi)容信息安全工程基礎(chǔ)知識體知識域信息安全工程概述信息安全工程理論基礎(chǔ)信息安全工程概念知識子域信息安全工程實施發(fā)掘信息保護需求定義信息系統(tǒng)安全要求

2025-01-27 06:07

xxxx版-cisp0302信息安全風(fēng)險管理_v30-資料下載頁

【總結(jié)】信息安全風(fēng)險管理培訓(xùn)機構(gòu)名稱講師姓名版本：發(fā)布日期：2023-12-1生效日期：2023-1-1課程內(nèi)容2知識體知識域知識子域信息安全風(fēng)險管理信息安全風(fēng)險管理主要內(nèi)容信息安全風(fēng)險管理的基本內(nèi)容和過程信息安全風(fēng)險管理概述風(fēng)險相關(guān)基本概念信息系統(tǒng)生命周期與信息安全風(fēng)險

2025-01-27 05:41

cisp-21-物理安全-資料下載頁

【總結(jié)】信息安全技術(shù)物理安全——堅韌不拔、追求卓越目錄物理安全概述?物理安全概念?物理資產(chǎn)分類?物理安全威脅?物理安全控制管理控制?設(shè)施選擇和建設(shè)?設(shè)施安全管理?人員管理控制環(huán)境與生命安全控制?電源?防火設(shè)施?供熱通風(fēng)空調(diào)技術(shù)與物理控制?邊界保護措施

2025-01-08 01:58

信息安全技術(shù)導(dǎo)論chap04-資料下載頁

【總結(jié)】-1-第四章密鑰管理-2-第四章密鑰管理與PKI技術(shù)11.密鑰管理概述2.基本概念3.密鑰建立模型4.公鑰傳輸機制5.密鑰傳輸機制6.密鑰導(dǎo)出機制7.PKI技術(shù)-3-概述現(xiàn)代密碼技術(shù)的一個特點是密碼算法公開，所以在密碼系統(tǒng)中密鑰才是系統(tǒng)真正的秘密

2025-02-06 09:31

cisp0501信息安全法規(guī)、政策和標準_v30-資料下載頁

【總結(jié)】信息安全法規(guī)、政策和標準培訓(xùn)機構(gòu)名稱講師姓名版本：發(fā)布日期：2023-12-1生效日期：2023-1-1課程內(nèi)容（1）信息安全法規(guī)與政策知識體知識域信息安全法規(guī)知識子域我國信息安全法規(guī)體系框架信息安全政策信息安全相關(guān)國家法律信息安全相關(guān)行政

2025-01-08 01:33

xxxx版-cisp0303信息安全控制措施_v30-資料下載頁

【總結(jié)】信息安全控制措施培訓(xùn)機構(gòu)名稱講師姓名版本：發(fā)布日期：2023-12-1生效日期：2023-1-1內(nèi)容組織結(jié)構(gòu)?每個主要安全控制措施類別，包括：?一個或多個控制目標，聲明要實現(xiàn)什么?對于每個控制目標，包含一項或多項控制措施，可被用于實現(xiàn)該控制目標不是所有的控制措施適用于任何場合，它也不會考慮到使用者的具體

2025-01-27 06:02