freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

風(fēng)險(xiǎn)評估的工具與基本過程-資料下載頁

2025-04-13 05:42本頁面
  

【正文】 活調(diào)整和擴(kuò)展:提供強(qiáng)大的掃描策略編輯功能,對關(guān)聯(lián)分析掃描策略進(jìn)行適應(yīng)性調(diào)整。支持資產(chǎn)脆弱性資料庫的定期更新:由于實(shí)際環(huán)境的動(dòng)態(tài)變化,為了保證風(fēng)險(xiǎn)分析的準(zhǔn)確性,可以制定定時(shí)的掃描計(jì)劃任務(wù),更新資產(chǎn)脆弱性分析資料庫。入侵風(fēng)險(xiǎn)評估報(bào)告:通過報(bào)告明確給出具體的入侵檢測事件信息、漏洞信息以及相應(yīng)的關(guān)聯(lián)分析結(jié)果,報(bào)告可以輸出多種格式,如:WORD、PDF、HTML等。通過7+7屬性中的7個(gè)信息安全管理屬性分析等級保護(hù)工作在中辦發(fā)【2003】27號文和公通字【2004】66號文中,都明確將信息安全等級保護(hù)制度確定為我國開展信息安全保障工作的一項(xiàng)基本制度。在有關(guān)等級保護(hù)的相關(guān)文件、標(biāo)準(zhǔn)、規(guī)范和指南中,指出了實(shí)施等級保護(hù)的一些基本原則和關(guān)鍵要素。本文提出了信息安全保障工作的7+7安全屬性,并通過對于其中的7個(gè)信息安全管理屬性來分析等級保護(hù)工作的實(shí)現(xiàn)思路。本文認(rèn)為信息安全的屬性實(shí)際上是信息安全目標(biāo)的抽象體現(xiàn),而相關(guān)的信息安全措施的抽象體現(xiàn)就是信息安全機(jī)制。比如,加密技術(shù)(算法)是一個(gè)信息安全機(jī)制,這個(gè)機(jī)制的不同實(shí)現(xiàn)方式,可以滿足不同的信息安全屬性;加密技術(shù)用在數(shù)據(jù)的存儲和傳輸上,可以滿足數(shù)據(jù)的保密性和完整性的要求;加密技術(shù)用在數(shù)字簽名的機(jī)制上,可以滿足對于一個(gè)過程和操作的不可否認(rèn)性要求。抽象的屬性附著在具體的系統(tǒng)或者實(shí)體上的時(shí)候,就成為一個(gè)具體系統(tǒng)的安全目標(biāo);而抽象的機(jī)制以某種方式具體實(shí)現(xiàn),那么就是一個(gè)信息安全產(chǎn)品或者措施了。7+7安全屬性是對于CIA(保密性、完整性、可用性)三性的擴(kuò)展。將CIA三性擴(kuò)展為:保密性、完整性、可用性、真實(shí)性、不可否認(rèn)性、可追究性、可控性等7個(gè)信息安全技術(shù)屬性(目標(biāo))。其中所增加的真實(shí)性、不可否認(rèn)性、可追究性、可控性可以認(rèn)為是完整性的擴(kuò)展和細(xì)化。同時(shí),從管理的角度看,還應(yīng)當(dāng)存在一些純管理的屬性,可以作為實(shí)施信息安全管理工作,實(shí)現(xiàn)“技術(shù)與管理并重”要求的參考目標(biāo)。我們把信息安全管理屬性歸納為:目標(biāo)性、執(zhí)行性、效益性、時(shí)效性、適應(yīng)性、整體性和符合性等7個(gè)屬性。同樣,各種各樣的管理措施或者技術(shù)措施也會對于達(dá)成信息安全管理的屬性(目標(biāo))有幫助。比如:一個(gè)應(yīng)急響應(yīng)體系,作為一個(gè)機(jī)制(措施),可以滿足管理上的時(shí)效性和適應(yīng)性的要求;再比如構(gòu)建一個(gè)符合等級保護(hù)指南要求的信息安全管理體系,作為一些機(jī)制的組合,可以滿足管理上的符合性等要求。下面結(jié)合等級保護(hù)工作,來分析闡述這些與信息安全管理屬性密切相關(guān)的原則、方法和建議。一、目標(biāo)性原則信息安全要達(dá)到一個(gè)機(jī)構(gòu)、一個(gè)單位、一個(gè)地區(qū)、一個(gè)行業(yè)乃至我國整體的信息安全保障目標(biāo),各項(xiàng)安全工作要有很好的針對性和目標(biāo)性。由于信息安全工作非常復(fù)雜,通過等級保護(hù)的思路,可以幫助機(jī)構(gòu)明確保護(hù)的重點(diǎn)和適當(dāng)?shù)膹?qiáng)度。因此,在實(shí)施等級保護(hù)中,并不是為了等級而等級,而是能夠促進(jìn)將自身業(yè)務(wù)工作的、真正的安全要求明確出來。為了明確恰當(dāng)?shù)陌踩繕?biāo),運(yùn)用風(fēng)險(xiǎn)評估的方法是一個(gè)比較可行的途徑。風(fēng)險(xiǎn)評估方法的根本要義,實(shí)際上就是將安全問題和實(shí)際業(yè)務(wù)相結(jié)合,將業(yè)務(wù)及承載它的系統(tǒng)的風(fēng)險(xiǎn)識別出來,進(jìn)而制定出等級。二、執(zhí)行性原則也可稱為實(shí)效性原則。等級保護(hù)工作的實(shí)施中,要能夠切實(shí)幫助達(dá)成信息安全目標(biāo)。因此,等級保護(hù)工作并不是要將信息安全保障工作變得復(fù)雜,而是力圖將整個(gè)工作變得簡單明確,提高可操作性。要想提高整體的可操作性,就要遵循工作的執(zhí)行規(guī)律。用三觀論(宏觀、中觀、微觀)的思路分析整個(gè)工作的可執(zhí)行性是非常好的思路之一,也就是等級保護(hù)工作要貫穿宏觀的業(yè)務(wù)/價(jià)值層面、微觀的技術(shù)/實(shí)現(xiàn)(產(chǎn)品和服務(wù))層面,以及中觀的管理/運(yùn)營層面。使得等級保護(hù)工作不是一個(gè)形象工程或者單純的政策,而是能夠自上而下推進(jìn)和自下而上貫徹的實(shí)效工作。三、效益性原則信息安全工作是做不到100%的。如果要過度地追求接近100%的絕對安全,會導(dǎo)致信息安全工作的成本急劇地升高。如果能夠合適地把握這個(gè)度,就需要等級保護(hù)工作中的“級別”來幫助。也就是根據(jù)自身情況和外部要求制定合適的級別,并且采取相應(yīng)級別的合適的措施(包括管理措施和技術(shù)措施)來達(dá)到恰當(dāng)?shù)陌踩?。這其中實(shí)際上是要考慮投入產(chǎn)出的,投入的是人力、資金、資源、時(shí)間等等,產(chǎn)出的安全保障或者說安全問題損失的減小。所以這里不僅僅有經(jīng)濟(jì)性問題,所以更加廣泛地稱之為效益性。要想能夠更好地把握效益性,通過實(shí)施風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理的理論和方法可以說是最佳實(shí)踐,再進(jìn)一步可以引進(jìn)RoI(投資回報(bào))的分析方法。四、時(shí)效性原則信息安全保障工作是一項(xiàng)非常特殊的工作,其特殊性之一就表現(xiàn)在其密切的時(shí)間相關(guān)性。離開時(shí)間來闡述和分析安全問題是沒有意義的,是會有偏頗的。比如,沒有破不了的加密算法,只有在有限的計(jì)算資源和時(shí)間之內(nèi)破解概率接近零的算法。再比如:安全問題的一個(gè)非常根本的屬性就是潛在性,安全事件沒有發(fā)生之前都是潛在的隱性的,而當(dāng)問題真的發(fā)生的時(shí)候,又需要在有限的時(shí)間內(nèi)馬上解決,盡量避免更大的損失。在我國獲得廣泛認(rèn)可的PDR模型就是一個(gè)基于時(shí)間的安全模型。在考慮等級保護(hù)的策劃和實(shí)施過程中,不能忽視時(shí)間因素,或者說時(shí)間因素應(yīng)當(dāng)作為一個(gè)重要的要素考慮在等級的確定和安全措施的要求上。具體應(yīng)當(dāng)會體現(xiàn)在應(yīng)急等時(shí)效性要求非常明顯的安全要求方面。五、適應(yīng)性原則信息安全工作要面臨不斷變化的內(nèi)外部環(huán)境,外部的威脅在變化,內(nèi)部的組織結(jié)構(gòu)在調(diào)整,自身的業(yè)務(wù)在發(fā)展,新的技術(shù)漏洞在不斷被發(fā)現(xiàn),性能更高功能更強(qiáng)的安全產(chǎn)品在頻頻推出,等等??傊兓谒y免,我們必須主動(dòng)去適應(yīng)變化和利用變化。實(shí)際上,具體到一個(gè)入侵事件的處理,就是對于一個(gè)局部安全狀態(tài)變化的一個(gè)應(yīng)變、調(diào)整。在實(shí)施等級保護(hù)的過程中,這種適應(yīng)性至少會體現(xiàn)在兩個(gè)方面:一方面就是當(dāng)確定了一個(gè)系統(tǒng)的安全等級后,當(dāng)破壞這個(gè)系統(tǒng)安全等級狀態(tài)的情況出現(xiàn)時(shí),安全體系的響應(yīng)、被攻擊系統(tǒng)的恢復(fù)以及針對攻擊源的反擊都力圖將系統(tǒng)調(diào)整會原來應(yīng)有的狀態(tài);另一方面就是根據(jù)情況的變化和發(fā)展,一個(gè)系統(tǒng)的等級可能是需要變化的,以適應(yīng)安全要求的提升或者降低,這都需要適當(dāng)?shù)墓芾砹鞒虂砭唧w落實(shí)。六、整體性原則信息安全保障工作,是不能夠僅僅通過局部的安全產(chǎn)品和服務(wù)等能力來實(shí)現(xiàn)的,必須有一個(gè)整體的部署和安排。而且這個(gè)整體性必須要體現(xiàn)在一些框架、結(jié)構(gòu)、規(guī)劃等上面。等級保護(hù)給出了分析和構(gòu)建信息安全整體框架的一個(gè)角度,這個(gè)角度就是等級。等級關(guān)系是一個(gè)非常簡單可操作的構(gòu)造,在數(shù)學(xué)上,可以對應(yīng)到一個(gè)數(shù)據(jù)結(jié)構(gòu)“格”;這個(gè)結(jié)構(gòu)比數(shù)學(xué)上的圖結(jié)構(gòu)(網(wǎng)狀結(jié)構(gòu),也是更接近我們系統(tǒng)形態(tài)的結(jié)構(gòu))要簡單的多。等級保護(hù)工作所體現(xiàn)的這種框架性、結(jié)構(gòu)性和規(guī)劃性,不僅僅給我們帶來了信息安全保障工作的整體感,同時(shí)反而可以讓我們有可能有計(jì)劃地實(shí)現(xiàn)局部防護(hù)和分階段實(shí)施。比如:對于一個(gè)機(jī)構(gòu)高等級系統(tǒng)的重點(diǎn)防護(hù)。再比如:一個(gè)機(jī)構(gòu)可以分階段逐級提高系統(tǒng)的防護(hù)等級。七、符合性原則我們建議應(yīng)當(dāng)將等級保護(hù)的思路貫徹到具體的要求上去,甚至于可以說在某些環(huán)境和級別上應(yīng)當(dāng)體現(xiàn)出一定的強(qiáng)制性。這種要求的落實(shí),就一定要體現(xiàn)在對于符合性的檢查上。因此,在等級保護(hù)工作的落實(shí)工作中,要切實(shí)體會這項(xiàng)工作的嚴(yán)肅性。借鑒國際標(biāo)準(zhǔn)ISO17799中對于符合性的描述思路:等級保護(hù)作為一項(xiàng)基本制度要從法規(guī)和標(biāo)準(zhǔn)的高度去理解并且遵守,等級保護(hù)工作中的定級和檢查工作要有適當(dāng)?shù)莫?dú)立性并受到保護(hù),等級保護(hù)工作相關(guān)的資料也要注意保密并受到保護(hù),等級保護(hù)工作自身也不能過當(dāng)。在實(shí)際的信息安全工作中,有效地應(yīng)用這7+7信息安全屬性的原則和思考方法,可以幫助我們落實(shí)等級保護(hù)相關(guān)規(guī)范和要求的工作。比如,在風(fēng)險(xiǎn)評估的過程中,針對7+7屬性進(jìn)行評估,在傳統(tǒng)的CIA三性之外,能夠給出更加具體和細(xì)化的安全要求和定級依據(jù)。而且這樣的定級還能體現(xiàn)出管理在級別中的特色。再比如,根據(jù)等級進(jìn)行技術(shù)措施和管理措施的選擇和組合的時(shí)候,可以更加清晰地分析不同的措施對于7+7這不同的安全目標(biāo)的滿足程度和支持程度;仿照國際上ISO133354和NISTSP80037等安全控制措施選擇指南,結(jié)合7+7屬性原則,形成更加細(xì)致的控制措施選擇的指南性規(guī)范。一個(gè)機(jī)構(gòu)、單位、地區(qū)、行業(yè)如果能夠在落實(shí)等級保護(hù)工作的過程中,參考、借鑒上面這七個(gè)信息安全管理屬性所對應(yīng)的原則,相信一定可以更好地幫助把握等級保護(hù)工作的精髓和重點(diǎn)。14 / 14
點(diǎn)擊復(fù)制文檔內(nèi)容
公司管理相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1