总字符数: 1.40K
代码: 无, 文本: 1.13K
预计阅读时间: 5 分钟
确定基本的安全控制
控制
为避免,缓解或抵消由威胁或攻击引起的安全风险而必须部署的应对对策
- 满足信息安全目标的解决方案和行动
- 逻辑的或物理的保护措施和应对手段
方法
预防控制(Prevention control) 帮助预防因漏洞暴露而遭受到的威胁或攻击
检测控制(Detection control) 帮助你发现威胁或漏洞是否已经进入计算机系统
校正控制(Correction control) 帮助缓解威胁或攻击给计算机系统带来的不利影响
安全管理流程
确定安全控制
检测问题并确定保护系统的最佳方式
实施安全控制
安装控制机制来预防系统中的问题
监控安全控制
包括检测并解决实施安全控制之后出现的任何安全问题
CIA 三位一体
安全控制和管理的三个原则:机密性、完整性、可用性
机密性
保障信息和通讯私密性以及保护其不受未授权访问威胁的基本原则
- 包括商业和军事秘密,职工信息,健康档案,纳税记录
- 通过加密,访问控制,信息隐藏等方式进行控制
完整性
保障组织信息的准确性,无措性,以及未授权的修改
- 包括对存储在网络服务器上的测试成绩或其他信息的修改
- 通过散列,数字签名,证书和变更控制来进行保障
可用性
确保计算机系统持续性运行以及授权人员能按需访问数据
- 包括确保重要数据,如雷达图像既可以被捕获也可以被发送到航空系统
- 通过冗余,容错和补丁的方式进行控制
不可否认性
确保了发起传输或创建数据的乙方保持与数据的连接且不能否认发送或创建过该数据
可追责性
确定对特定活动或事件负有责任的人员的过程
身份识别
对特定实体的性质声明所有权的过程
- 当组织需要更高级别的安全或保护时,往往会在身份识别系统中加大投入
- 身份识别通常会将资源(如电子邮件地址或用户名)与密码关联起来,并在其中包含额外的识别信息
认证
验证特定实体或个人身份及其唯一凭证的方法
- 个人是否具有访问系统的正确凭证?
- 保护凭证的机密性,以防止机密信息的未授权访问
认证因素
- 指纹,掌纹,视网膜
- 密钥,ID卡
- 密码,PIN
- IP地址,MAC地址,GPS位置
- 击键模式或跟踪图片密码
授权
确定特定实体拥有哪些权力和权限的过程
身份识别和认证成功后,系统就能确定实体被授予了哪些资源的访问权限
步骤
- 身份识别
- 认证
- 授权
访问控制
为资源,对象,数据确定并分配权限的过程
步骤
用户—>访问控制(管理员监管)—>服务器授权—>访问成功
计费和审计
计费:跟踪并记录系统活动和资源访问的过程
审计:计费的一部分,安全专家会审核被记录下来的日志
最小特权原则
规定用户和软件只能被赋予执行任务所必须的最低访问级别的原则
- 应用于对设施,计算机硬件,软件和信息的访问
- 仅分配执行必要任务所需的最底层次访问权限
特权管理
特权管理:使用认证和授权机制提供用户和组访问控制的集中式或分散式管理
SSO:特权管理的一个方面,为用户提供了多种资源,服务器或站点一次性登录
本文由 kill3r 原创,采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。
