精华内容
下载资源
问答
  • 基本原则一:确保每个保护对象都需要有一个owner 在日常生活中,我们每个人都作为个体存在,对私有资源和公众资源负有完全不同的责任。我们的银行卡密码只有6位数字,但是可以认为它是很安全的,因为这是我们自己.....

    我们知道,安全的本质是人的安全。但所有学问一旦涉及到人将变得十分复杂,这也是安全至今难以成为一门真正的科学的原因。人是理性和非理性的综合体,难以琢磨。如果无法在一定程度上解决人的安全,那么安全进步则无从谈起。为了最大程度去掉影响安全的不可控因素,就需要有一些原则来制约人、制约人的非理性因素。

     

    基本原则一:确保每个保护对象都需要有一个owner

    在日常生活中,我们每个人都作为个体存在,对私有资源和公众资源负有完全不同的责任。我们的银行卡密码只有6位数字,但是可以认为它是很安全的,因为这是我们自己的个人资产,不会把密码主动告知他人。

    我们的操作系统账户administrator的账户密码虽然很复杂,但几乎所有人都知道,因为这是公共账户,每个使用者都可以知道它的账号密码,但没有人会像对待自己银行卡密码一样的去谨慎保护。举个很简单的例子,比如A和B是最好的朋友,A在某一天给B说了一个秘密,并且保证不告诉别人。但真实情况往往是过不了多久,C、D、E都会知道,因为这个秘密跟B不相关,所以他不会对这个秘密负责。

    所以为了最大化资源资产安全,我们需要为每一份受保护的资产分配一个owner,他对这份资产所有的一切负责,不论是有意或者无意的安全事件发生,即使这份资产是一个账户、一台终端、一个文件、一个数据库、一张表格,表格中的几行或者几个字段。可以认为只有确定了我的,你的,大家的,才可以开始安全之旅。如果一份资产没有定义和分配Owner,要保持这份资产的持续安全就会变得非常困难。

    只有将责任人落实到实处,资产的持续安全才有保障,可以说如果一份资产没有定义和分配Owner,那么保持这份资产的持续安全将会变得非常困难。

    一般情况下,生活中的你我他对自己拥有的资源或者资产拥有完全的处置权。但是网络世界中资源资产的owner往往是部分权力的让渡者,一般具有明确的权力边界,在让渡的权限范畴之内工作。网络世界中的资源资产的owner也不仅仅是生活中的人,可以是应用程序等计算机对象。当owner对象分配不是生活中的人时,我们往往需要再分配一个代理owner,让渡部分管理权力给代理owner,让其完成一些管理性工作。

     

    基本原则二:最小权限原则

    关于最小权限原则,可以说众所周知。安全从业者如果做不到最小权限分配必然存在着权限滥用和越权访问的风险。但遗憾的是,在现实生活中,最小权限几乎没有实践的可能性,成本太高甚至于完全不可实践。现代网络世界的账户体系,基于模仿生活世界的自由处置体系而完成:我对我所拥有的东西具有完全的处置权,最小权限原则在这里也因此完全失效。

    不可否认,最小权限原则是个法宝,但要把这个法宝用好,确实不容易。首先要遵循基本原则一,也就是确保每个保护对象都有一个owner,只有确保了这一点你才能够对最小权限有更全面、正确的认知。对其有了认知以后,接下来就是要打破账户的自由处置体系,也就是要实现所谓的基本原则三:三权分立。

     

    基本原则三:三权分立

    生活中除了完全自由处置权之外,还运行着另一套机制:三权分立机制。

    当涉及到大众利益或者重要权力的时候,往往是需要多方决策制衡,一致同意才可以完成。甚至于重要的私人物品,比如文物孤品,收藏家未必具有完全的处置权;比如私有林场,林场主也未必有自由砍伐权。

    三权分立设立了一套科学的分权与制衡模式,但是生活中的三权分立机制并没有被广泛引入到网络世界的基础设施建设中。比如操作系统,数据库等基础设施都充斥着特权账户。也正因此,特权账户成为网络世界中的最大威胁之一,想在网络世界的基础设施中贯彻三权分立原则,并非易事,需要作出特别的努力。

     

    基本原则四:责任到人

    除非是疯子,才会在探照灯下从事不法活动,当确认你的行动是在别人的注视之下之时,每个人都会守规矩。但如果你确认在别人的注视之下,依然无法准确的识别你,你将会铤而走险,甚至肆无忌惮。

    网络世界也同样如此,如果你的安全系统记录了一切,并且能将每一条记录跟现实生活中的人实现高精准匹配,那么这个安全系统将会产生巨大的震慑作用,也就实现了责任到人。反之,如果系统记录了一切,但并不能识别匹配到隐藏在阴影之下的个体,那么这个记录是没有任何作用。

    所以责任到人,就需要我们可以识别到真正的人,让他无所遁形。

     

    基本原则五:遵循四条基本原则

    原则让人畏惧和逃避,只有坚毅的人才可以坚持。上文提到四条基本原则,每条都困难重重,做到并不容易。但既然是原则,身处网络世界中的每一企业组织都应遵循。我们要知道,脱离了基本原则谈安全就是空中楼阁,企业运营在网络上的业务也只能堕入“皮之不存,毛将焉附”的悲惨境地。

    展开全文
  • 从工程技术角度出发,信息系统管理工程师在设计网络系统时,至少应该遵守以下安全设计原则原则1:“木桶原则”,即,对信息均衡、全面地进行保护。 “木桶的最大容积取决于最短的一块木板”,攻击者必然在系统中...

    虽然任何人都不可能设计出绝对安全的网络系统,但是,如果在设计之初就遵从一些合理的原则,那么相应网络系统的安全性就更加有保障。第一代互联网的教训已经告诉我们:设计时不全面考虑,消极地将安全措施寄托在事后“打补丁”的思路是相当危险的!从工程技术角度出发,信息系统管理工程师在设计网络系统时,至少应该遵守以下安全设计原则:

    原则1:“木桶原则”,即,对信息均衡、全面地进行保护。

    “木桶的最大容积取决于最短的一块木板”,攻击者必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击),是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段;根本目标是提高整个系统的“安全最低点”的安全性能。

    原则2:“整体性原则”,即, 安全防护、监测和应急恢复

    没有百分之百的信息安全,因此要求在网络被攻击、破坏事件的情况下,必须尽可能快地恢复网络的服务,减少损失。所以信息安全系统应该包括三种机制:安全防护机制;安全监测机制;安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施,避免非法攻击的进行;安全监测机制是监测系统的运行情况,及时发现和制止对系统进行的各种攻击;安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少攻击的破坏程度。

    原则3:“有效性与实用性”,即,不能影响系统的正常运行和合法操作

    如何在确保安全性的基础上,把安全处理的运算量减小或分摊,减少用户记忆、存储工作和安全服务器的存储量、计算量,应该是一个信息安全设计者主要解决的问题。

    原则4:“安全性评价”原则,即,实用安全性与用户需求和应用环境紧密相关。

    评价系统是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,比如,1)系统的规模和范围(比如,局部性的中小型网络和全国范围的大型网络对信息安全的需求肯定是不同的);2)系统的性质和信息的重要程度(比如,商业性的信息网络、电子金融性质的通信网络、行政公文性质的管理系统等对安全的需求也各不相同)。另外,具体的用户会根据实际应用提出一定的需求,比如,强调运算实时性或注重信息完整性和真实性等等。

    原则5:“等级性”,即,安全层次和安全级别

    良好的信息安全系统必然是分为不同级别的,包括:对信息保密程度分级(绝密、机密、秘密、普密);对用户操作权限分级(面向个人及面向群组),对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面的、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。

    原则6:“动态化”原则,即,整个系统内尽可能引入更多的可变因素,并具有良好的扩展性。

    被保护的信息的生存期越短、可变因素越多,系统的安全性能就越高。安全系统要针对网络升级保留一定的冗余度,整个系统内尽可能引入更多的可变因素。

    原则7:设计为本原则,即,安全系统的设计应与网络设计相结合

    在网络进行总体设计时考虑安全系统的设计,二者合二为一。避免因考虑不周,出了问题之后拆东墙补西墙,不仅造成经济上的巨大损失,而且也会对国家、集体和个人造成无法挽回的损失。由于安全问题是一个相当复杂的问题,因此必须群策群力搞好设计,才能保证安全性。

    原则8:自主和可控性原则。

    安全问题关系着一个国家的主权和安全,所以网络安全不可能依赖于国外,必须解决网络安全的自主权和自控权问题

    原则9:权限分割、互相制约、最小化原则。

    在很多系统中都有一个系统超级用户或系统管理员,拥有对系统全部资源的存取和分配权,所以它的安全至关重要,如果不加以限制,有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系统造成不可估量的损失和破坏。因此有必要对系统超级用户的权限加以限制,实现权限最小化原则。管理权限交叉,有几个管理用户来动态地控制系统的管理,实现互相制约。而对于非管理用户,即普通用户,则实现权限最小原则,不允许其进行非授权以外的操作。

    原则10:有的放矢、各取所需原则。

    在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的网络系统所要求的安全侧重点各不相同。必须有的放矢,具体问题具体分析,把有限的经费花在刀刃上。

    展开全文
  • 做好网络安全工作对于小学生的教育有很大的作用接下来整理了屈村小学网络与信息安全管理制度欢迎阅读 屈村小学网络与信息安全管理制度 组织工作人员认真学习计算机信息网络国际互联网安全保护管理办法提高工作人员的...
  • 信息安全8个总原则

    千次阅读 2019-09-21 15:32:54
    信息安全保护工作事关大局,影响组织和机构的全局,主要领导人必须把信息安全列为其最关心的问题之一,并负责提高、加强部门人员的认识,组织有效队伍,调动必要资源和经费,协调信息安全管理工作与各部门的工作,使...

    1、主要领导人负责原则。

    信息安全保护工作事关大局,影响组织和机构的全局,主要领导人必须把信息安全列为其最关心的问题之一,并负责提高、加强部门人员的认识,组织有效队伍,调动必要资源和经费,协调信息安全管理工作与各部门的工作,使之落实、有效。

    2、规范定级原则。

    有关部门或组织根据其信息重要程度和敏感程度以及自身资源的客观条件,应按标准确定信息安全管理要求的相应等级,并在履行相应的审批手续后,切实遵从相应等级的规范要求,制定相应的安全策略,并认真实施。

    3、依法行政原则。

    信息安全管理工作主要体现为行政行为,因此必须保证信息系统安全行政主体合法、行政行为合法、行政内容合法、行政程序合法。

    4、以人为本原则。

    威胁和保护这两个对立面是信息安全管理工作的主体。实践表 明它们在很大程度上受制于人为的因素。加强信息安全教育、培训和管理,强化安全意 识和法治观念,提升职业道德,掌握安全技术是做好信息安全管理工作的重要保证。

    5、注重效费比原则。

    安全需求的不断增加和现实资源的有限性使安全决策赴于两难境地。恰当地把握效费比是从全局上处置好信息安全管理工作的一个平衡点。

    6、全面防范、突出重点原则。

    全面防范是信息系统综合保障措施。它需要从人员、管理和技术多方面,在预警、保护、检测、反应、恢复和跟踪等多个环节上采用多种技术实施。同时,又要从组织和机构的实际情况出发,突出自身的信息安全管理重点。不同的部门、不同的信息系统应有不同的信息安全管理重点。

    7、系统、动态原则。

    信息系统安全管理的系统特征突出。要按照系统工程的要求,注意各方面,各层次、各时期的相互协调、匹配和衔接,以便能按照“木桶原理”体现信息保护安全管理的系统集成效果。同时,信息保护安全管理又是一种状态和过程,随着系统脆弱性及其强度的时空分布的变化,威胁程度的提高,系统环境的变化以及人员对系统安全认识的深化等,必须及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级。

    8、特殊的安全管理原则。

    在制定和实施安全策略和技术措施时,必须遵循安全管理的10个特殊原则。

    展开全文
  • 随着时代的发展,网络技术逐渐深入到我们的生活之中,很多数据都会存放在网络上,这些数据的安全存储关系到的方面有很多。...下面就让小编简单的为大家介绍一下信息安全系统的基本原则有哪些。  信息安全系统...

      随着时代的发展,网络技术逐渐深入到我们的生活之中,很多数据都会存放在网络上,这些数据的安全存储关系到的方面有很多。尤其是对于企业来说正确的进行信息安全存储是十分重要的,所以大多数企业都会选择应用信息安全系统。下面就让小编简单的为大家介绍一下信息安全系统的基本原则有哪些。

      信息安全系统的基本原则之一:最小化原则

      受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须和用所必须的原则。

      信息安全系统的基本原则之二:分权制衡原则

      在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。

      信息安全系统的基本原则之三:安全隔离原则

      隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。

      在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。

      上文简单的为大家介绍了三点信息安全系统所必须要遵循的原则,对于消费者来说上文所述的内容是一定要进行了解的,只有了解清楚才能保障信息的安全存储。

      信息安全  http://www.suninfo.com

    转载于:https://my.oschina.net/u/2310044/blog/370924

    展开全文
  • javaWEB安全开发基本原则

    千次阅读 2019-01-14 19:49:35
    javaWEB安全开发基本原则 最小化设计 用户输入最小化,尽可能少地使用用户的输入 用户输入范围最小化,过滤参数时尽量使用白名单策略 用户权限最小化,只对用户进行所需的最少授权 输出数据字段最小化,限制数据输出...
  • 安全管理信息系统的基本构成和设计原则 安全管理信息安全管理信息系统收集 加工和提供因此 研究安全管理信息 必然要研 究安全管理信息系统 一安全管理信息系统的构成 管理信息系统 国外简称 MIS 是专指以电子...
  • 信息安全管理实践.pdf

    2021-03-16 23:34:04
    国内信息安全建设现状; 安全技术与安全管理的关系; 安全管理体系最佳实践; 信息安全落实难点; 信息安全建设基本原则(八要八不要)
  • 信息安全管理基本概念信息安全管理的作用安全管理控制措施的概念和作用风险管理的概念和作用课程内容信息安全管理基本概念知识域信息安全管理基本概念知识子域 信息安全管理的作用理解信息安全技管并重原则的意义...
  • 详细阐述信息安全建设基本原则以及从实践角度看信息安全体系建设、信息安全管理与信息安全技术的关系,从战略及战术角度阐述信息安全如何建设。
  • 课程内容 信息安全管理的作用 信息安全管理 基本概念 风险管理的概念和作用 安全管理控制措施的概念和作用 知识域信息安全管理基本概念 知识子域 信息安全管理的作用 理解信息安全技管并重原则的意义 理解成功实施...
  • 信息安全概述 课程导论;什么是信息;...信息安全设计基本原则;企业安全防护体系;1有时候读书是一种巧妙地避开思考的方法5月-205月-20Thursday, May 21, 2020 2阅读一切好书如同和过去最杰出的人谈话2
  • 但是,紧随信息化发展而来的网络安全问题日渐凸出,网络安全问题已成为信息时代人类共同面临的挑战,网络信息安全问题成为当务之急,如果不很好地解决这个问题,必将阻碍信息化发展的进程。 二、安全***、安全机制...
  • 完整英文版ISO/IEC 27035-1:2016 Information technology - Security ...它提出了信息安全事件管理的基本概念和阶段,并将这些概念与结构化方法中的原则相结合,以检测、报告、评估和响应事件,并应用所学到的经验。
  • 信息安全等级保护制度遵循以下基本原则: 一、明确责任,共同保护 通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护...
  • 国家信息安全监管部门对等级保护的指导 第一级 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。  第一级信息系统运营、使用单位应当依据国家...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。
  • 信息安全

    千次阅读 2018-12-30 21:17:03
    第二章 什么是信息安全 •保密性(Confidentiality):保密性是指保证信息与信息系统不被非授权者所获取与使用。 •完整性(Integrity):指信息是真实可信的,其发布者不被冒充,来源不被伪造,内容不被篡改。 ...
  • 信息安全总体规划,包括信息安全建设思路、建设内容、建设原则基本方针、建设目标、安全策略、安全体系框架等内容。
  • 第2章 信息安全基本概念和技术;21 信息安全的概念和技术;211 信息安全问题 ;212 信息安全的研究范畴;213 信息安全系统的基本要求 ;214 信息防护过程;215 系统安全体系结构;OSI安全体系 ;216 信息安全的内容 ;22 ...
  • 了解信息安全管理体系的基本思路

    千次阅读 2018-03-26 10:34:39
    为便于信息安全管理体系的理解与应用,现结合ISO/IEC27001:2016、GB/T22080-2016/ISO/IEC27001:2013及GB/T22081-2016/ISO/IEC27002:2013的相关要求,进行管理基本思路的整理,供参考。1 信息也是资产,值得或...
  • CISP-信息安全保障-信息安全保障基础 信息安全定义 ISO(国际化标准组织)给出的定义:为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露 ...
  • 信息安全管理体系ISMS基本概念讲解,ISMS的前世今生,信息安全工作原则、深刻认识ISMS,27001运行框架、ISMS实施流程、管理体系的认可认证框架、等
  • 本标准介绍了信息安全风险评估的基本概念、原则和要求,提出了信息安全风险评估的一般方法。 本标准由国务院信息化工作办公室提出。 本标准由全国信息安全标准化技术委员会归口。 本标准由国家信息中心、信息安全...
  • 1云计算环境下校园网络信息安全技术的基本目标 1.1数据保密性 基于云计算环境下的校园网络安全信息技术对于数据往往有着一定的保密性在计算机加密技术的运用过程中结合数据的加密和用户访问授权过程在数据安全传输...
  • 1.3 信息安全管理基础 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。 备考交流QQ群:39460595 https://www.moondream.cn/?p=521 一.大纲要求 1.3.1 信息安全管理制度与政策 * 熟悉...
  • 信息安全简答题

    千次阅读 2020-12-28 11:57:49
    一、区块链技术在网络与信息安全领域的应用 1.1区块链概念 在2008年由署名为中本聪的作者在《比特币:一种点对点的电子现金系统》一文提出,指的是一种在对等网络环境下,通过透明和可信规则,构建防伪造、防篡改...
  • 信息安全风险评估教程.pdf

    热门讨论 2012-12-03 12:49:18
    吴晓平、付钰编著《信息安全风险评估教程》较系统地介绍了信息安全风险评估的基本概念、风险要素与分布、评估准则与流程、风险评估工具与基本方法,构建了信息安全风险系统综合评估模型和计算机网络空间下的风险评估...
  • 全国计算机信息安全技术

    千次阅读 2019-06-11 21:31:45
    了解信息安全保障工作的总体思路和基本实践方法  2. 掌握信息安全技术的基本概念、原理、方法和技术  3. 熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能  4. 掌握信息安全设备的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 171,318
精华内容 68,527
关键字:

信息安全的基本原则是什么