技術(shù)分享-信息安全

主題列表信息平安根本概念平安的定義平安的邊界平安的效勞ISO27001平安標(biāo)準(zhǔn)團(tuán)隊(duì)平安建設(shè)方向1平安根本概念平安根本概念－三要素1.信息與平安框架〔Archi&Frame〕行為主體1〕用戶(hù)2〕黑客行為載體1〕系統(tǒng)2〕設(shè)備行為對(duì)象1〕數(shù)據(jù)文件2〕圖文聲像人計(jì)算機(jī)信息平安三要素平安根本概念－定義ISO的定義為進(jìn)行數(shù)據(jù)處理而建立和采取的技術(shù)和管理保護(hù)措施，以保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的和惡意的原因而遭受破壞、篡改和泄露。

平安根本概念－絕對(duì)平安絕對(duì)平安？平安根本概念－有限平安無(wú)窮域中給出一個(gè)限定解問(wèn)題平安是需要根據(jù)具體的應(yīng)用、具體的需求、具體的客戶(hù)、具體的實(shí)現(xiàn)能力，進(jìn)行實(shí)施的沒(méi)有完美的平安，但要做到“最平安”平安是手段，管理是根本1分技術(shù)，9分管理平安根本概念－策略發(fā)現(xiàn)：掌握信息平安風(fēng)險(xiǎn)狀態(tài)和分布情況的變化規(guī)律，提出平安需求，建立起具有自適應(yīng)能力的信息平安模型，從而駕馭風(fēng)險(xiǎn)，使信息平安風(fēng)險(xiǎn)被控制在可接受的最小限度內(nèi)，并漸近于零風(fēng)險(xiǎn)。實(shí)施：平安與實(shí)現(xiàn)的方便性是矛盾的對(duì)立。必須犧牲方便性求得平安，我們必須在這兩者之間找出平衡點(diǎn)，在可接受的平安狀況下，盡力方便用戶(hù)的使用。平安根本概念－平安屏障平安根本概念－技術(shù)體系ISO7498-2平安根本概念－整體平安機(jī)制技術(shù)體系

1〕物理平安技術(shù)。信息系統(tǒng)的建筑物、機(jī)房條件及硬件設(shè)備條件滿(mǎn)足信息系統(tǒng)的機(jī)械防護(hù)平安；通過(guò)對(duì)電力供給設(shè)備以及信息系統(tǒng)組件的抗電磁干擾和電磁泄露性能的選擇性措施到達(dá)相應(yīng)的平安目的。物理平安技術(shù)運(yùn)用于物理保障環(huán)境(含系統(tǒng)組件的物理環(huán)境)。2〕系統(tǒng)平安技術(shù)。通過(guò)對(duì)信息系統(tǒng)與平安相關(guān)組件的操作系統(tǒng)的平安性選擇措施或自主控制，使信息系統(tǒng)平安組件的軟件工作平臺(tái)到達(dá)相應(yīng)的平安等級(jí)，一方面防止操作平臺(tái)自身的脆弱性和漏洞引發(fā)的風(fēng)險(xiǎn)，另一方面阻塞任何形式的非授權(quán)行為對(duì)信息系統(tǒng)平安組件的入侵或接管系統(tǒng)管理權(quán)。平安根本概念－整體平安機(jī)制1平安根本概念－整體平安機(jī)制2組織機(jī)構(gòu)體系

組織機(jī)構(gòu)體系是信息系統(tǒng)平安的組織保障系統(tǒng)，由機(jī)構(gòu)、崗位和人事三個(gè)模塊構(gòu)成一個(gè)體系。機(jī)構(gòu)的設(shè)置分為三個(gè)層次：決策層、管理層和執(zhí)行層崗位是信息系統(tǒng)平安管理機(jī)關(guān)根據(jù)系統(tǒng)平安需要設(shè)定的負(fù)責(zé)某一個(gè)或某幾個(gè)平安事務(wù)的職位人事機(jī)構(gòu)是根據(jù)管理機(jī)構(gòu)設(shè)定的崗位，對(duì)崗位上在職、待職和離職的雇員進(jìn)行素質(zhì)教育、業(yè)績(jī)考核和平安監(jiān)管的機(jī)構(gòu)。平安根本概念－整體平安機(jī)制3管理體系管理是信息系統(tǒng)平安的靈魂。信息系統(tǒng)平安的管理體系由法律管理、制度管理和培訓(xùn)管理三個(gè)局部組成。1分技術(shù)，9分管理1〕法律管理是根據(jù)相關(guān)的國(guó)家法律、法規(guī)對(duì)信息系統(tǒng)主體及其與外界關(guān)聯(lián)行為的標(biāo)準(zhǔn)和約束。2〕制度管理是信息系統(tǒng)內(nèi)部依據(jù)系統(tǒng)必要的國(guó)家、團(tuán)體的平安需求制定的一系列內(nèi)部規(guī)章制度。3〕培訓(xùn)管理是確保信息系統(tǒng)平安的前提。平安根本概念－平安技術(shù)層次平安防范技術(shù)體系劃分為物理層平安、系統(tǒng)層平安、網(wǎng)絡(luò)層平安、應(yīng)用層平安和管理層平安等五個(gè)層次物理平安技術(shù)〔物理層平安〕。該層次的平安包括通信線(xiàn)路的平安、物理設(shè)備的平安、機(jī)房的平安等。系統(tǒng)平安技術(shù)〔操作系統(tǒng)的平安性〕。該層次的平安問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的平安比方，缺陷，配置問(wèn)題，病毒網(wǎng)絡(luò)平安技術(shù)〔網(wǎng)絡(luò)層平安〕。包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入的平安、域名系統(tǒng)的平安、路由系統(tǒng)的平安、入侵檢測(cè)的手段、網(wǎng)絡(luò)設(shè)施防病毒等。應(yīng)用平安技術(shù)〔應(yīng)用層平安〕。主要由提供效勞所采用的應(yīng)用軟件和數(shù)據(jù)的平安性產(chǎn)生，包括Web效勞、電子郵件系統(tǒng)、DNS等。此外，還包括病毒對(duì)系統(tǒng)的威脅。管理平安性〔管理層平安〕。技術(shù)，設(shè)備和人員的平安管理制度、部門(mén)與人員的組織規(guī)那么等。4.1系統(tǒng)平安－常用平安技術(shù)1防火墻，入侵檢測(cè)和防御(IDSIPS)，VPN4.1系統(tǒng)平安－常用平安技術(shù)2滲透性測(cè)試:評(píng)估整體系統(tǒng)的平安和漏洞。通常有第三方公司用自主或者開(kāi)源檢查工具，對(duì)整個(gè)系統(tǒng)做平安掃描，找出漏洞。也有一些非法分子通過(guò)這個(gè)渠道勒索企業(yè)。工具如：Nessus，第三方公司如：綠盟，360反病毒軟件:客戶(hù)端如：卡巴斯基，效勞的如：ClamAV4.1系統(tǒng)平安－常用平安技術(shù)3身份認(rèn)證:電子證書(shū)，簽名，u盾等通信平安:HTTPS/ECDHE_RSA／PFS／HSTS4.1系統(tǒng)平安－常用平安技術(shù)4帳戶(hù)與登錄口令控制PBKDF2加密口令基于服務(wù)的訪(fǎng)問(wèn)控制技術(shù)JWT/RBAC雙通道一次性口令SMS短信復(fù)雜的驗(yàn)證碼12306用戶(hù)惡意行為分析自建惡意行為規(guī)則其他2ISO