黄色成年人免费观看,亚洲熟女av中文字幕在线播放,另类小说亚洲综合

首頁 > EA > 正文

從信息安全五大要素談安全架構(gòu)建設(shè)

2009-10-21 14:27:37 來源：it168 搶沙發(fā)

2009-10-21 14:27:37 來源：it168

摘要：實現(xiàn)信息化系統(tǒng)安全最基本的出發(fā)點就是認(rèn)識安全體系中的關(guān)鍵核心要素，然后，圍繞這些要素在系統(tǒng)的每一個環(huán)節(jié)和系統(tǒng)運行中進(jìn)行安全防護(hù)。因此，這里首先說明安全的五大核心要素。
關(guān)鍵詞：安全架構(gòu) 信息安全

整個的互聯(lián)網(wǎng)各種應(yīng)用有各種各樣安全的威脅，首先是社交網(wǎng)站和Web2.0網(wǎng)站成為了黑客攻擊的目標(biāo)，其次是僵尸網(wǎng)絡(luò)將繼續(xù)繁殖。面對這種情況，我們?nèi)绾螛?gòu)建更安全的系統(tǒng)，涉及到了不斷升級的安全威脅分布在各個角落。作為企業(yè)如何站在安全的角度去設(shè)置，而不是頭痛醫(yī)頭，腳痛醫(yī)腳。某種程度上，我們應(yīng)該看發(fā)生的情況，從更深的層次找到問題的所在。

認(rèn)識五大關(guān)鍵核心要素

實現(xiàn)信息化系統(tǒng)安全最基本的出發(fā)點就是認(rèn)識安全體系中的關(guān)鍵核心要素，然后，圍繞這些要素在系統(tǒng)的每一個環(huán)節(jié)和系統(tǒng)運行中進(jìn)行安全防護(hù)。因此，這里首先說明安全的五大核心要素。

認(rèn)證（Authentication）。認(rèn)證是安全的最基本要素。信息系統(tǒng)的目的就是供使用者使用的，但只能給獲得授權(quán)的使用者使用，因此，首先必須知道來訪者的身份。使用者可以是人、設(shè)備和相關(guān)系統(tǒng)，無論是什么樣的使用者，安全的第一要素就是對其進(jìn)行認(rèn)證。認(rèn)證的結(jié)果無非是三種：可以授權(quán)使用的對象，不可以授權(quán)使用的對象和無法確認(rèn)的對象。在信息化系統(tǒng)中，對每一個可能的入口都必須采取認(rèn)證措施，對無法采取認(rèn)證措施的入口必須完全堵死，從而防堵每一個安全漏洞。來訪對象的身份得到認(rèn)證之后，對不可授權(quán)的對象就必須拒絕訪問，對可授權(quán)的對象則進(jìn)到下一步安全流程，對無法確認(rèn)的對象則視來訪的目的采取相應(yīng)的步驟。例如，公眾Web的使用和郵件的接收等，雖然對來訪對象無法完全認(rèn)證，但也不能拒之門外。

授權(quán)（Authorization）。授權(quán)就是授予合法使用者對系統(tǒng)資源的使用權(quán)限并且對非法使用行為進(jìn)行監(jiān)測。授權(quán)可以是對具體的對象進(jìn)行授權(quán)，例如，某一用戶或某臺設(shè)備可以使用所指定的資源。授權(quán)可以是對具體的對象進(jìn)行授權(quán)，也可以是對某一組對象授權(quán)，也可以是根據(jù)對象所扮演的角色授權(quán)。授權(quán)除了授予某種權(quán)利之外，對于非法使用的發(fā)現(xiàn)和管理也是很重要的部分。盡管使用各種安全技術(shù)，非法使用并不是可以完全避免的，因此，及時發(fā)現(xiàn)非法使用并馬上采取安全措施是非常重要的。例如，當(dāng)病毒侵入信息系統(tǒng)后，如果不及時發(fā)現(xiàn)并采取安全措施，后果可以是非常嚴(yán)重的。

保密（Confidentiality）。認(rèn)證和授權(quán)是信息安全的基礎(chǔ)，但是光有這兩項是不夠的。保密是要確保信息在傳送過程和存儲時不被非法使用者“看”到。一個典型的例子是，合法使用者在使用信息時要通過網(wǎng)絡(luò)，這時信息在傳送的過程中可能被非法“截取”并導(dǎo)致泄密。一般來說，信息在存儲時比較容易通過認(rèn)證和授權(quán)的手段將非授權(quán)使用者“拒之門外”。但是，數(shù)據(jù)在傳送過程中則無法或很難做到這一點，因此，加密技術(shù)就成為了信息保密的重要手段。

完整性（Integrity）。如果說信息的失密是一個嚴(yán)重的安全問題，那么信息在存儲和傳送過程中被修改則更嚴(yán)重了。例如，A給B傳送一個文件和指令。在其傳送過程中，C將信息截取并修改，并將修改后的信息傳送給B，使B認(rèn)為被C修改了的內(nèi)容就是A所傳送的內(nèi)容。在這種情況下，信息的完整性被破壞了。信息安全的一個重要方面就是保證信息的完整性，特別是信息在傳送過程中的完整性。

不可否認(rèn)（Non-repudiation）。無論是授權(quán)的使用還是非授權(quán)的使用，事后都應(yīng)該是有據(jù)可查的。對于非授權(quán)的使用，必須是非授權(quán)的使用者無法否認(rèn)或抵賴的，這應(yīng)該是信息安全的最后一個重要環(huán)節(jié)。

全方位的安全技術(shù)實現(xiàn)

企業(yè)信息化的安全架構(gòu)就是根據(jù)信息安全的五大要素，從整體上考慮信息的安全防護(hù)問題。企業(yè)的信息化安全架構(gòu)應(yīng)該是一個整體統(tǒng)一考慮，將安全的五大要素落實在信息化系統(tǒng)的每一個環(huán)節(jié)之上，從而形成對企業(yè)信息資源的全面保護(hù)。

首先是要有一個統(tǒng)一的身份管理系統(tǒng)。統(tǒng)一的身份管理系統(tǒng)不僅僅需要對人進(jìn)行管理，也要對相應(yīng)的各種設(shè)備的身份進(jìn)行管理，如自動柜員機(jī)、路由器和主機(jī)等等。另外，對企業(yè)之外的相關(guān)人員和設(shè)備也要進(jìn)行管理，如某個IP地址所代表的設(shè)備等。身份的管理也包含了“黑名單”的管理，如垃圾郵件服務(wù)器等。

在統(tǒng)一的身份管理的基礎(chǔ)上，實現(xiàn)統(tǒng)一的認(rèn)證機(jī)制和認(rèn)證系統(tǒng)。認(rèn)證系統(tǒng)負(fù)責(zé)對所有來訪對象進(jìn)行認(rèn)證以確認(rèn)來訪者的合法身份。一旦來訪者的身份獲得認(rèn)證之后，來訪者取得合法的身份證并獲得對資源訪問的通行證。

然而，有了通行證并不能夠?qū)π畔①Y源進(jìn)行無限制的訪問和使用。對某一個具體資源的使用權(quán)則需要相應(yīng)的授權(quán)管理機(jī)制和系統(tǒng)。因此，建立一個統(tǒng)一的授權(quán)管理機(jī)制和系統(tǒng)也是非常重要的。而且，認(rèn)證機(jī)制和授權(quán)機(jī)制之間的匹配問題也是必須要考慮的，例如，是按組織機(jī)構(gòu)還是按照角色進(jìn)行授權(quán)就決定了“身份證”或“通行證”所必須提供的不同身份信息。

統(tǒng)一的信息保密技術(shù)和完整性保護(hù)技術(shù)也是在安全架構(gòu)體系下必須考慮的問題。PKI技術(shù)的廣泛使用已經(jīng)為信息保密技術(shù)和完整性保護(hù)提供了標(biāo)準(zhǔn)化的技術(shù)。另外，針對安全問題的日志和審計系統(tǒng)也是非常重要的。

有了統(tǒng)一的身份管理、認(rèn)證管理、授權(quán)管理，以及統(tǒng)一的信息保密技術(shù)和完整性保護(hù)技術(shù)，信息化的安全架構(gòu)雛形就基本形成。接下來的問題就是怎樣與各個具體的資源管理和使用系統(tǒng)相結(jié)合，從而形成完整嚴(yán)密的信息安全體系。例如，企業(yè)內(nèi)的認(rèn)證需針對桌面系統(tǒng)用戶，業(yè)務(wù)應(yīng)用系統(tǒng)（基于Web或傳統(tǒng)的）用戶以及網(wǎng)絡(luò)上直接的來訪者，統(tǒng)一的認(rèn)證體系一方面要利用統(tǒng)一的方式給合法用戶“最大的方便”，另一方面要將統(tǒng)一認(rèn)證的技術(shù)與具體的資源環(huán)境相結(jié)合。

企業(yè)的安全架構(gòu)就是要制定出這些統(tǒng)一的安全機(jī)制和系統(tǒng)體系，同時考慮在信息化的各個環(huán)節(jié)的具體實施方法。

安全架構(gòu)的形成也是制定企業(yè)安全標(biāo)準(zhǔn)體系的一個不可缺少的途徑。在安全架構(gòu)之下，結(jié)合國家和國際的安全標(biāo)準(zhǔn)建立起一套完整的企業(yè)安全規(guī)范。

安全涉及到人/技術(shù)/操作三個方面

無論什么樣的安全技術(shù)都不可能十全十美，更何況，在安全技術(shù)的利用上也不可能盡善盡美。因此，僅僅靠技術(shù)手段建立起來的安全體系過于單薄，真正的安全必須是技術(shù)與管理并重。

安全管理的首先第一條就是安全管理的組織保障。安全管理的組織機(jī)構(gòu)要保證安全政策的制定和執(zhí)行，以及對安全問題的應(yīng)急響應(yīng)和支援處理。一支強(qiáng)有力的安全應(yīng)急處理隊伍是非常重要的，安全應(yīng)急處理隊伍由技術(shù)和管理人員組成。當(dāng)信息系統(tǒng)受到攻擊或出現(xiàn)安全隱患時，安全應(yīng)急處理隊伍能快速反應(yīng)，在出現(xiàn)真正危機(jī)時排除安全隱患，或盡量減少因安全問題帶來的損失。

很多安全問題的出現(xiàn)并不一定是技術(shù)上的漏洞，更多的是人為的原因。因此，安全規(guī)章制度的建立和安全意識的培養(yǎng)是信息化安全的重要組成部分。有了安全規(guī)章制度和安全意識的培養(yǎng)機(jī)制之后，對規(guī)章制度落實情況的檢查是必須的。例如，有些企業(yè)對系統(tǒng)進(jìn)行定期的模擬攻擊就是一種很好的辦法。

第三十四屆CIO班招生
北達(dá)軟EXIN網(wǎng)絡(luò)空間與IT安全基礎(chǔ)認(rèn)證培訓(xùn)
北達(dá)軟EXIN DevOps Professional認(rèn)證培訓(xùn)

責(zé)編：

免責(zé)聲明：本網(wǎng)站（http://www.www.gypb.net/）內(nèi)容主要來自原創(chuàng)、合作媒體供稿和第三方投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
本網(wǎng)站刊載的所有內(nèi)容（包括但不僅限文字、圖片、LOGO、音頻、視頻、軟件、程序等）版權(quán)歸原作者所有。任何單位或個人認(rèn)為本網(wǎng)站中的內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，請及時通知本站，予以刪除。