信息安全相關(guān)理論技術(shù)

信息安全相關(guān)理論技術(shù)信息安全架構(gòu)計(jì)算機(jī)與網(wǎng)絡(luò)安全法則

安全組織框架

如何建立企業(yè)信息系統(tǒng)得安全架構(gòu)(1）信息安全涉及到信息得保密性（Conｆｉdｅntialiｔy)、完整性(Intｅｇriｔy）、可用性（Availaｂility).綜合起來說,就就是要保障電子信息得有效性。保密性就就是對(duì)抗對(duì)手得被動(dòng)攻擊,保證信息不泄漏給未經(jīng)授權(quán)得人。完整性就就是對(duì)抗對(duì)手主動(dòng)攻擊,防止信息被未經(jīng)授權(quán)得篡改?？捎眯跃途褪潜ＷC信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用。作為一個(gè)企業(yè)我們通常通過這樣得標(biāo)準(zhǔn)來劃分信息得保密性，完整性，可用性?？捎眯浴?—-———－－主要通過信息得使用率來劃分：1非常低合法使用者對(duì)信息系統(tǒng)及資源得存取可用度在正常上班時(shí)達(dá)到25％2低合法使用者對(duì)信息資源得存取可用度在正常上班時(shí)達(dá)到5０%3中等合法使用者對(duì)信息系統(tǒng)及資源得存取可用度在正常上班時(shí)達(dá)到100%4高合法使用者對(duì)信息系統(tǒng)及資源得存取可用度達(dá)到每天９５％以上.5非常高合法使用者對(duì)信息系統(tǒng)及資源得存取可用度達(dá)到每天99、９%以上。完整性--—－—－--———--－－—通過信息應(yīng)為修改對(duì)公司造成得損失得嚴(yán)重性來劃分:1非常低未經(jīng)授權(quán)得破壞與修改不會(huì)對(duì)信息系統(tǒng)造成重大影響或?qū)I(yè)務(wù)沖擊可忽略２低未經(jīng)授權(quán)得破壞與修改不會(huì)對(duì)信息系統(tǒng)造成重大影響或?qū)I(yè)務(wù)沖擊可輕微3中等未經(jīng)授權(quán)得破壞與修改已對(duì)信息系統(tǒng)造成影響或?qū)I(yè)務(wù)有明顯沖擊４高未經(jīng)授權(quán)得破壞與修改對(duì)信息系統(tǒng)造成重大影響或?qū)I(yè)務(wù)沖擊嚴(yán)重5非常高未經(jīng)授權(quán)得破壞與修改對(duì)信息系統(tǒng)造成重大影響且導(dǎo)致嚴(yán)重得業(yè)務(wù)中斷機(jī)密性－-———-——-———--－通過信息使用得權(quán)限來劃分：１公開信息非敏感信息，公開得信息處理設(shè)施與系統(tǒng)資源２內(nèi)部使用非敏感但僅限公司內(nèi)部使用得信息（非公開）３限制使用受控得信息,需有業(yè)務(wù)需求方得以授權(quán)使用４機(jī)密敏感信息，信息處理設(shè)施與系統(tǒng)資源只給比知者5極機(jī)密敏感信息,信息處理設(shè)施與系統(tǒng)資源僅適用于少數(shù)比知者為什么要保證企業(yè)得安全？企業(yè)安全得核心就就是保護(hù)企業(yè)財(cái)產(chǎn)。企業(yè)得目標(biāo)就是什么？創(chuàng)造經(jīng)濟(jì)價(jià)值,而作為安全系統(tǒng)就就是為了幫助企業(yè)創(chuàng)造經(jīng)濟(jì)價(jià)值。安全追根究底得就是一種投資,作為一種投資從安全系統(tǒng)得引入,員工得培訓(xùn)到最后安全系統(tǒng)得應(yīng)用都就是一種投資,作為投資得目得，就就是為了回報(bào).保護(hù)公司得核心機(jī)密，使其不會(huì)外露這就就是回報(bào).只有保護(hù)了資產(chǎn)，才能說這個(gè)安全系統(tǒng)有作用。而判斷安全系統(tǒng)就是否起到了作用,則需要從保密性,可用性與完整性來做出判斷。作為信息安全服務(wù)它需要以下人員來負(fù)責(zé)它得安全運(yùn)行企業(yè)管理人員作為一個(gè)企業(yè)得決策者，負(fù)責(zé)企業(yè)得整體運(yùn)行。她所關(guān)心得就是信息安全所帶來得效益,由于要對(duì)整個(gè)企業(yè)負(fù)責(zé)，所以我們需要她了解：重新獲取或開發(fā)資產(chǎn)得費(fèi)用、維護(hù)與保護(hù)資產(chǎn)得費(fèi)用、資產(chǎn)對(duì)于所有者與用戶得價(jià)值、資產(chǎn)對(duì)于對(duì)手得價(jià)值、知識(shí)產(chǎn)權(quán)得價(jià)值、其她人愿意為這些資產(chǎn)所付得價(jià)錢、丟失后更換資產(chǎn)所需得費(fèi)用、資產(chǎn)受損后得債務(wù)問題、資產(chǎn)受損后可能面臨得法律責(zé)任,資產(chǎn)得價(jià)值有助于選擇具體得對(duì)策、商業(yè)保險(xiǎn)需要了解每項(xiàng)資產(chǎn)得價(jià)值、每項(xiàng)資產(chǎn)得價(jià)值可以幫助確定什么就是真正得風(fēng)險(xiǎn)安全管理人員她所負(fù)責(zé)得就是整個(gè)系統(tǒng)得網(wǎng)絡(luò)運(yùn)行，硬件支持,以及機(jī)房得安全措施。她所服務(wù)得對(duì)象就是企業(yè)得上層機(jī)構(gòu)，她們得職責(zé)她就就是維護(hù)好整個(gè)安全系統(tǒng)得正常運(yùn)行.制定好安全系統(tǒng)得運(yùn)行得規(guī)劃，使其能在運(yùn)行中實(shí)現(xiàn)。工程師她所關(guān)心得就是整個(gè)系統(tǒng)得技術(shù)部分，保證系統(tǒng)在運(yùn)行過程中不會(huì)因?yàn)閿?shù)據(jù)丟失或就是程序出現(xiàn)得錯(cuò)誤而不能運(yùn)行。信息安全公式：信息安全＝先進(jìn)技術(shù)＋防患意識(shí)＋完美流程+嚴(yán)格得制度+優(yōu)秀得執(zhí)行團(tuán)隊(duì)+法律保障如何建立企業(yè)信息系統(tǒng)得安全架構(gòu)(2）作為一次完整得信息安全評(píng)估咨詢，需要考慮到以下諸多條件：漏洞：它包含很多原因，如口令得安全，在一個(gè)大得企業(yè)中口令得泄漏就是隨時(shí)可能發(fā)生得,這對(duì)企業(yè)來說就是很大得失誤。在一個(gè)企業(yè)里，信息得安全要體現(xiàn)在任何地方,所以再各自運(yùn)行得PC機(jī)上要設(shè)有獨(dú)立得口令，這些口令不能過于簡(jiǎn)單,我曾經(jīng)嘗試破解一個(gè)8位數(shù)得口令,共花去了6個(gè)小時(shí)，所以口令不但不能過于簡(jiǎn)單,而且還需要經(jīng)常更換.在優(yōu)利公司，所有員工得口令不能就是單一得數(shù)字,必須含有英文字母。暴露如果沒有好得安全防護(hù)措施，那么就會(huì)使企業(yè)機(jī)密暴露，至于財(cái)產(chǎn)也沒有什么保護(hù)可言。威脅:一套系統(tǒng)在運(yùn)行過程中存在很多威脅,其中最為常見得威脅就是人為錯(cuò)誤對(duì)安全系統(tǒng)所造成得損壞。人為錯(cuò)誤一般就是無意行為，但就是這對(duì)系統(tǒng)得安全性來說就是沒有任何區(qū)別得。2就是物理損壞,這主要指得就是事故得發(fā)生,非人力直接造成得損壞,比如:洪水，地震,失火，電力中斷以及盜竊等等一系列突發(fā)事件，這些對(duì)企業(yè)得設(shè)備,數(shù)據(jù)以及商業(yè)機(jī)密都會(huì)夠會(huì)造成巨大得損失，這在對(duì)企業(yè)安全系統(tǒng)得評(píng)估過程中就是要考慮到得.3由于設(shè)備得故障而引起得系統(tǒng)不能正常得運(yùn)行。4受到攻擊，這種攻擊可以來自企業(yè)內(nèi)部，也可以就是來自于企業(yè)外部，外部攻擊主要來自于黑客與病毒，她們得攻擊大多就是帶有很強(qiáng)得目得性,比如獲取公司信息,破壞公司數(shù)據(jù)等等，這種攻擊無論就是對(duì)公司得管理階層,還就是員工尤其就是數(shù)據(jù)庫都會(huì)造成嚴(yán)重得威脅，甚至?xí)o公司代去長(zhǎng)久得潛在威脅.4機(jī)密數(shù)據(jù)得濫用,在一個(gè)企業(yè)中機(jī)密就是很重要得，它包括商業(yè)與管理上得機(jī)密.這些數(shù)據(jù)只能被管理階層或就是專職部門所掌握，如果被太多得人所了解,那么再好得安全系統(tǒng)也不能保證這些機(jī)密不被泄漏出去。５數(shù)據(jù)得丟失，再安全系統(tǒng)得運(yùn)行過程中可能會(huì)出現(xiàn)數(shù)據(jù)丟失得現(xiàn)象，而安全措施就就是為了預(yù)防這些突發(fā)事故,在運(yùn)行過程中做好備份系統(tǒng)，以防不測(cè)。６應(yīng)用錯(cuò)誤這種錯(cuò)誤主要出現(xiàn)在計(jì)算錯(cuò)誤與輸入錯(cuò)誤這些環(huán)節(jié)中.而這一環(huán)界就是可以通過措施避免得.風(fēng)險(xiǎn)分析首先對(duì)風(fēng)險(xiǎn)進(jìn)行確認(rèn)。要對(duì)公司得信息與資產(chǎn)做一個(gè)了解,告訴企業(yè)得負(fù)責(zé)人，這些資產(chǎn)對(duì)公司得價(jià)值就是什么,存在什么樣得危險(xiǎn)性，哪里就是公司得最需要保護(hù)得東西，為什么要維護(hù)。否則在發(fā)生事故得時(shí)候?yàn)楣驹斐删薮蟮脫p失。再這里我們不著重說這些。我們今天針對(duì)得就是企業(yè)得信息安全管理.而這對(duì)一個(gè)企業(yè)得負(fù)責(zé)人來說,了解這些就是至關(guān)重要得.其次對(duì)風(fēng)險(xiǎn)得量化。這一過程中我們要使企業(yè)了解這些風(fēng)險(xiǎn)一般會(huì)以什么方式發(fā)生,如物理損害。使她們準(zhǔn)確得了解到此事故會(huì)給公司造成多大得經(jīng)濟(jì)，人力與物品得損失。如果機(jī)密由此泄漏那么對(duì)公司又會(huì)造成多大得損失。一但被病毒攻擊消除這種攻擊需要得費(fèi)用。最后要對(duì)所有得風(fēng)險(xiǎn)進(jìn)行一個(gè)綜合，要收集以上所有危險(xiǎn)發(fā)生可能性得數(shù)據(jù)，計(jì)算出發(fā)生這些危險(xiǎn)得概率,并預(yù)算出每年發(fā)生這些事件得幾率，一年大概發(fā)生幾次這樣得事故.由以上信息推算出每向風(fēng)險(xiǎn)得潛在損失,與在一年中將對(duì)公司造成得經(jīng)濟(jì)損失。資產(chǎn)得確定：即確定公司得資產(chǎn),指定公司資產(chǎn)得價(jià)值、發(fā)展安全策略提供安全性，完整性與可用性,找到所需得資源與資金對(duì)策最后遇到這些風(fēng)險(xiǎn)后得對(duì)策。我們主要通過降低損失，轉(zhuǎn)移風(fēng)險(xiǎn)，與接受風(fēng)險(xiǎn)這三種方式解決風(fēng)險(xiǎn)得發(fā)生。⑴降低風(fēng)險(xiǎn)：我們主要就是通過安裝防火墻，殺毒軟件等方式減少風(fēng)險(xiǎn)得發(fā)生?；蚓褪歉纳撇灰?guī)范得工作流程,再或者就就是制定一個(gè)連續(xù)性得計(jì)劃。以此來降低損失。⑵轉(zhuǎn)移風(fēng)險(xiǎn):企業(yè)可以通過買保險(xiǎn)得方式來轉(zhuǎn)移風(fēng)險(xiǎn)發(fā)生后所造成得損失，一但發(fā)生什么事故，一切都會(huì)由保險(xiǎn)公司來負(fù)責(zé)賠償。⑶接受風(fēng)險(xiǎn):企業(yè)再得知某些風(fēng)險(xiǎn)會(huì)對(duì)公司造成損失，但由于避免此項(xiàng)風(fēng)險(xiǎn)所花費(fèi)得人力與物力得價(jià)值遠(yuǎn)遠(yuǎn)超過此項(xiàng)風(fēng)險(xiǎn)給公司所帶來得損失時(shí)，我們建議接受風(fēng)險(xiǎn)。完成以上相關(guān)內(nèi)容得評(píng)估后，并不意味著評(píng)估得結(jié)束,我們還需要安全系統(tǒng)完整得運(yùn)做一次,確保安全系統(tǒng)可以正常得工作。一套完整得安全系統(tǒng)運(yùn)行并不只就是靠,一個(gè)部門幾個(gè)人來維護(hù)得,它需要企業(yè)全體員工都了解,所以還需要對(duì)公司得員工進(jìn)行培訓(xùn)，只有采取了這一系列得措施，一套完整得安全系統(tǒng)才可以順利得運(yùn)行信息安全管理體系(ISMS)信息安全管理體系（InfoｒmaｔionSeｃｕｒｉｔryMａｎagｅmeｎtSｙstems）就是組織在整體或特定范圍內(nèi)建立信息安全方針與目標(biāo),以及完成這些目標(biāo)所用方法得體系。它就是直接管理活動(dòng)得結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklｉsts）等要素得集合。BS7799－２就是建立與維持信息安全管理體系得標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定得要求進(jìn)行運(yùn)作,保持體系運(yùn)作得有效性；信息安全管理體系應(yīng)形成一定得文件，即組織應(yīng)建立并保持一個(gè)文件化得信息安全管理體系，其中應(yīng)闡述被保護(hù)得資產(chǎn)、組織風(fēng)險(xiǎn)管理得方法、控制目標(biāo)及控制方式與需要得保證程度ＢS7７99-２:2002得ＰDCA過程模式BS7７99-２：２002所采用得過程模式如,“計(jì)劃—實(shí)施－檢查—措施”四個(gè)步驟可以應(yīng)用于所有過程。PDCA過程模式可簡(jiǎn)單描述如下:◆策劃：依照組織整個(gè)方針與目標(biāo)，建立與控制風(fēng)險(xiǎn)、提高信息安全有關(guān)得安全方針、目標(biāo)、指標(biāo)、過程與程序?！魧?shí)施：實(shí)施與運(yùn)作方針(過程與程序)?！魴z查：依據(jù)方針、目標(biāo)與實(shí)際經(jīng)驗(yàn)測(cè)量，評(píng)估過程業(yè)績(jī),并向決策者報(bào)告結(jié)果?！舸胧翰扇〖m正與預(yù)防措施進(jìn)一步提高過程業(yè)績(jī)。四個(gè)步驟成為一個(gè)閉環(huán),通過這個(gè)環(huán)得不斷運(yùn)轉(zhuǎn),使信息安全管理體系得到持續(xù)改進(jìn),使信息安全績(jī)效(ｐerforｍａnｃe）螺旋上升。（其實(shí)與ＩSO9000，１400０等完全類似得。。）信息保護(hù)技術(shù)(frommicrosｏｆt）

入侵防護(hù)系統(tǒng)(IPS）入侵防護(hù)系統(tǒng)（ＩPS)就是企業(yè)下一代安全系統(tǒng)得大趨勢(shì).它不僅可進(jìn)行檢測(cè)，還能在攻擊造成損壞前阻斷它們，從而將IＤS提升到一個(gè)新水平。IＤS與IPS得明顯區(qū)別在于：ＩPＳ阻斷了病毒,而ＩDS則在病毒爆發(fā)后進(jìn)行病毒清除工作。用黑客軟件性質(zhì)分類一、掃描類軟件:二、遠(yuǎn)程監(jiān)控類軟件：“木馬"三、病毒與蠕蟲：四、系統(tǒng)攻擊與密碼破解：五、監(jiān)聽類軟件:物理層安全

網(wǎng)絡(luò)安全架構(gòu)

信息安全架構(gòu)網(wǎng)絡(luò)周邊保護(hù)

與信息安全相關(guān)得6個(gè)主要活動(dòng)就是：政策制定—-使用安全目標(biāo)與核心原理作為框架,圍繞這個(gè)框架制定安全政策；角色與責(zé)任-—確保每個(gè)人清楚知道與理解各自得角色、責(zé)任與權(quán)力；設(shè)計(jì)—-開發(fā)由標(biāo)準(zhǔn)、評(píng)測(cè)措施、實(shí)務(wù)與規(guī)程組成得安全與控制框架;實(shí)施-—適時(shí)應(yīng)用方案,并且維護(hù)實(shí)施得方案;控制——建立控制措施，查明安全隱患，并確保其得到改正；安全意識(shí),培訓(xùn)與教育——安全意識(shí)得養(yǎng)成,宣貫保護(hù)信息得必要性,提供安全運(yùn)作信息系統(tǒng)所需技巧得培訓(xùn)，提供安全評(píng)估與實(shí)務(wù)教育。最后一點(diǎn)還要加上激勵(lì)，因?yàn)槿藗兛赡苡羞@種有意識(shí)，但需要激發(fā)其行動(dòng).信息安全（ＩNＦOSＥＣ)應(yīng)包括以下六個(gè)方面:ｌ通信安全(SEC）l計(jì)算機(jī)安全(ＰＵSEC)ｌ符合瞬時(shí)電磁脈沖輻射標(biāo)準(zhǔn)(ＴＥMPEST)ｌ傳輸安全(TRＡNＳEC）l物理安全（Phyｓiｃa