① 信息安全管理體系
7.2.1信息安全管理體系概述
我們知道保障信息安全有兩大支柱:技術和管理。而我們日常提及信息安全時,多是在技術相關的領域,例如IDS入侵檢測技術、Firewall防火牆技術、Anti-Virus防病毒技術、加密技術CA認證技術等。這是因為信息安全技術和產品的採納,能夠快速見到直接效益,同時,技術和產品的發展水平也相對較高。此外,技術廠商對市場的培育,不斷提升著人們對信息安全技術和產品的認知度。
伴隨著威脅的發展趨勢,安全技術部署的種類和數量不斷增加,但並不是安全技術、安全產品種類、數量越多越好,只有技術的堆積而不講究管理,必然會產生很多安全疏漏。雖然大家在面對信息安全事件時總是在嘆息:「道高一尺、魔高一丈」,在反思自身技術的不足,實質上人們此時忽視的是另外兩個層面的保障。正如沈昌祥院士所指出的:「傳統的信息安全措施主要是堵漏洞、做高牆、防外攻等老三樣,但最終的結果是防不勝防。」
技術要求與管理要求是確保信息系統安全不可分割的兩個部分,兩者之間既互相獨立,又互相關聯,在一些情況下,技術和管理能夠發揮它們各自的作用;在另一些情況下,需要同時使用技術和管理兩種手段,實現安全控制或更強的安全控制;在大多數情況下,技術和管理要求互相提供支撐以確保各自功能的正確實現。我們通常用水桶效應來描述分布式系統的安全性問題,認為整個系統的安全性取決於水桶中最薄弱的那塊木條。平台就像是這個水桶的箍,有了這個箍,水桶就很難崩潰。即使出現個別的漏洞,也不至於對整個體系造成災難性的破壞。
信息安全管理體系(Information Security Management Systems)是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是直接管理活動的結果,表示為方針、原則、目標、方法、過程、核查表等要素的集合。體系是針對傳統管理方式的一種重大變革。它將不同位置、不同安全系統中分散且海量的單一安全事件進行匯總、過濾、搜集和關聯分析,得出全局角度的安全風險事件,並形成統一的安全決策,對安全事件進行響應和處理。
目前,各廠商、各標准化組織都基於各自的角度提出了各種信息安全管理的體系標准,這些基於產品、技術與管理層面的標准在某些領域得到了很好的應用,但從組織信息安全的各個角度和整個生命周期來考察,現有的信息安全管理體系與標準是不夠完備的,特別是忽略了組織中最活躍的因素——人的作用。考察國內外的各種信息安全事件,我們不難發現,在信息安全事件表象後面其實都是人的因素在起決定作用。不完備的安全體系是不能保證日趨復雜的組織信息系統安全性的。
7.2.2信息安全管理體系結構
信息安全的建設是一個系統工程,它需求對信息系統的各個環節進行統一的綜合考慮、規劃和構架,並要時時兼顧組織內不斷發生的變化,任何環節上的安全缺陷都會對系統構成威脅。在這里我們可以引用管理學上的木桶原理加以說明。木桶原理指的是:一個木桶由許多塊木板組成,如果組成木桶的這些木板長短不一,那麼木桶的最大容量不取決於最長的木板,而取決於最短的那塊木板。這個原理同樣適用於信息安全。一個組織的信息安全水平將由與信息安全有關的所有環節中最薄弱的環節決定。信息從產生到銷毀的生命周期過程中包括了產生、收集、加工、交換、存儲、檢索、存檔、銷毀等多個事件,表現形式和載體會發生各種變化,這些環節中的任何一個都可能影響整體信息安全水平。要實現信息安全目標,一個組織必須使構成安全防範體系這只「木桶」的所有木板都要達到一定的長度。從宏觀的角度來看,我們認為信息安全管理體系結構可以由以下 HTP模型來描述:人員與管理(Human and Management)、技術與產品(Technology and Procts)、流程與體系(Process and Framework)。
其中人是信息安全最活躍的因素,人的行為是信息安全保障最主要的方面。人特別是內部員工既可以是對信息系統的最大潛在威脅,也可以是最可靠的安全防線。統計結果表明,在所有的信息安全事故中,只有 20%~30%是由於黑客入侵或其他外部原因造成的,70%~80%是由於內部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網路安全的全貌就會發現安全問題實際上都是人的問題,單憑技術是無法實現從「最大威脅」到「最可靠防線」轉變的。以往的各種安全模型,其最大的缺陷是忽略了對人的因素的考慮,在信息安全問題上,要以人為本,人的因素比信息安全技術和產品的因素更重要。與人相關的安全問題涉及面很廣,從國家的角度考慮有法律、法規、政策問題;從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓、組織文化、應急計劃和業務持續性管理等問題;從個人角度來看有職業要求、個人隱私、行為學、心理學等問題。在信息安全的技術防範措施上,可以綜合採用商用密碼、防火牆、防病毒、身份識別、網路隔離、可信服務、安全服務、備份恢復、PKI服務、取證、網路入侵陷阱、主動反擊等多種技術與產品來保護信息系統安全,但不應把部署所有安全產品與技術和追求信息安全的零風險為目標,安全成本太高,安全也就失去其意義。組織實現信息安全應採用「適度防範」(Rightsizing)的原則,就是在風險評估的前提下,引入恰當的控制措施,使組織的風險降到可以接受的水平,保證組織業務的連續性和商業價值最大化,就達到了安全的目的。
7.2.3信息安全管理體系功能
7.2.3.1安全策略
安全策略管理可以說是整個安全管理平台的中心,它根據組織的安全目標制訂和維護組織的各種安全策略以及配置信息。安全策略是指在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。實現網路安全,不但靠先進的技術,而且也得靠嚴格的安全管理、法律約束和安全教育。
安全策略建立在授權行為的概念上。在安全策略中,一般都包含「未經授權的實體,信息不可給予、不被訪問、不允許引用、不得修改」等要求,這是按授權區分不同的策略。按授權性質可分為基於規則的安全策略和基於身份的安全策略。授權服務分為管理強加的和動態選取的兩種。安全策略將確定哪些安全措施須強制執行,哪些安全措施可根據用戶需要選擇。大多數安全策略應該是強制執行的。
(1)基於身份的安全策略。基於身份的安全策略目的是對數據或資源的訪問進行篩選。即用戶可訪問他們的資源的一部分(訪問控製表),或由系統授予用戶特權標記或權力。兩種情況下,數據項的多少會有很大變化。
(2)基於規則的安全策略。基於規則的安全策略是系統給主體(用戶、進程)和客體(數據)分別標注相應的安全標記,制定出訪問許可權,此標記作為數據項的一部分。
兩種安全策略都使用了標記。標記的概念在數據通信中是重要的,身份鑒別、管理、訪問控制等都需要對主體和客體做出相應的標記並以此進行控制。在通信時,數據項、通信的進程與實體、通信信道和資源都可用它們的屬性做出標記。安全策略必須指明屬性如何被使用,以提供必要的安全。
根據系統的實際情況和安全要求,合理地確定安全策略是復雜而重要的。因為安全是相對的,安全技術也是不斷發展的,安全應有一個合理和明確的要求,這主要體現在安全策略中。網路系統的安全要求主要是完整性、可用性和機密性。其中完整性、可用性是由網路的開放和共享所決定的。按照用戶的要求,提供相應的服務,是網路最基本的目的。機密性則對不同的網路有不同的要求,即網路不一定都是保密網。因此,每個內部網要根據自身的要求確定安全策略。現在的問題是硬、軟體大多很先進,大而全,而在安全保密方面沒有明確的安全策略,一旦投入使用,安全漏洞很多。而在總體設計時,按照安全要求制定出網路的安全策略並逐步實施,則系統的漏洞少、運行效果好。
在工程設計中,按照安全策略構造出一系列安全機制和具體措施,來確保安全第一。多重保護的目的是使各種保護措施相互補充。底層靠安全操作系統本身的安全防護功能,上層有防火牆、訪問控製表等措施,防止一層措施攻破後,安全性受到威脅。最少授權原則是指採取制約措施,限制超級用戶權力並全部使用一次性口令。綜合防護要求從物理上、硬體和軟體上、管理上採取各種措施,分層防護,確保系統安全。
7.2.3.2安全機制
信息的安全管理體系中,安全機制是保證安全策略得以實施的和實現的機制和體制,它通常實現三個方面的功能:預防、檢測、恢復。典型的安全機制有以下幾種:
(1)數據保密變換。數據保密變換,即密碼技術,是許多安全機制和安全服務的基礎。密碼是實現秘密通訊的主要手段,是隱蔽語言、文字、圖像的特種符號。凡是用特種符號按照通訊雙方約定的方法把電文的原形隱蔽起來,不為第三者所識別的通訊方式稱為密碼通訊。在計算機通訊中,採用密碼技術將信息隱蔽起來,再將隱蔽後的信息傳輸出去,使信息在傳輸過程中即使被竊取或截獲,竊取者也不能了解信息的內容,從而保證信息傳輸的安全。採用密碼技術,可有效地防止:信息的未授權觀察和修改、抵賴、仿造、通信業務流分析等。
(2)數字簽名機制。數字簽名機制用於實現抗抵賴、鑒別等特殊安全服務的場合。數字簽名(Digital Signature)是公開密鑰加密技術的一種應用,是指用發送方的私有密鑰加密報文摘要,然後將其與原始的信息附加在一起,合稱為數字簽名。
(3)訪問控制機制。訪問控制機制實施是對資源訪問加以限制的策略。即規定出不同主體對不同客體對應的操作許可權,只允許被授權用戶訪問敏感資源,拒絕未經授權用戶的訪問。首先,要訪問某個資源的實體應成功通過認證,然後訪問控制機制對該實體的訪問請求進行處理,查看該實體是否具有訪問所請求資源的許可權,並做出相應的處理。採用的技術有訪問控制矩陣、口令、權能等級、標記等,它們可說明用戶的訪問權。
(4)數據完整性機制。用於保護數據免受未經授權的修改,該機制可以通過使用一種單向的不可逆函數——散列函數來計算出消息摘要(Message Digest),並對消息摘要進行數字簽名來實現。
(5)鑒別交換機制。鑒別交換機制指信息交換雙方(如內部網和互聯網)之間的相互鑒別。交換鑒別是以交換信息的方式來確認實體身份的機制。用於交換鑒別的技術有:口令,由發送實體提供,接收實體檢測;密碼技術,即將交換的數據加密,只有合法用戶才能解密,得出有意義的明文;利用實體的特徵或所有權,如指紋識別和身份卡等。
(6)路由選擇控制機制。用來指定數據通過網路的路徑。這樣就可以選擇一條路徑,這條路徑上的節點都是可信任的,確保發送的信息不會因通過不安全的節點而受到攻擊。
(7)公證機制。由通訊各方都信任的第三方提供。由第三方來確保數據完整性以及數據源、時間及目的地的正確。
還有物理環境的安全機制、人員審查與控制機制等。其實防護措施均離不開人的掌握和實施,系統安全最終是由人來控制的。因此,安全離不開人員的審查、控制、培訓和管理等,要通過制定、執行各項管理制度等來實現。
7.2.3.3風險與安全預警管理
風險分析是了解計算機系統安全狀況和辨別系統脆弱性並提出對策的科學方法。在進行風險分析時,應首先明確分析的對象。如對象應是整個系統明確范圍和安全敏感區,確定分析的內容,找出安全上的脆弱點,並確定重點分析方向。接著仔細分析重點保護目標,分析風險的原因、影響、潛在的威脅、造成的後果等,應有一定的定量評估數據。最後根據分析的結果,提出有效的安全措施和這些措施可能帶來的風險,確認資金投入的合理性。
安全預警是一種有效預防措施。結合安全漏洞的跟蹤和研究,及時發布有關的安全漏洞信息和解決方案,督促和指導各級安全管理部門及時做好安全防範工作,防患於未然。同時通過安全威脅管理模塊所掌握的全網安全動態,有針對性地指導各級安全管理組織,做好安全防範工作,特別是針對當前發生頻率較高的攻擊做好預警和防範工作。
7.2.4信息安全管理體系標准和認證
信息安全管理體系標準的制定開始於1995年,經過10多年的修改與完善,形成了現在廣泛應用的ISO27001:2005認證標准。英國標准協會(BSI)於1995年2月提出了BS7799,並於1995年和1999年兩次修訂。BS7799分為兩個部分:BS7799-1,信息安全管理實施規則;BS7799-2,信息安全管理體系規范。
第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。
2000年,國際標准化組織(ISO)在 BS7799-1的基礎上制定通過了ISO17799標准。ISO/IEC17799:2000(BS7799-1)包含了127個安全控制措施來幫助組織識別在運作過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制。BS7799-2在2002年也由BSI進行了重新的修訂。2005年,ISO組織再次對ISO17799進行了修訂,BS7799-2也於2005年被採用為ISO27001:2005,修訂後的標准作為ISO27000標准族的第一部分——ISO/IEC 27001,新標准去掉9點控制措施,新增17點控制措施,並重組部分控制措施而新增一章,重組部分控制措施,關聯性邏輯性更好,更適合應用;並修改了部分控制措施措辭。
然而,由於ISO17799並非基於認證框架,它不具備關於通過認證所必需的信息安全管理體系的要求。而ISO/IEC27001則包含這些具體詳盡的管理體系認證要求。從技術層面來講,這就表明一個正在獨立運用ISO17799的機構組織,完全符合實踐指南的要求,但是這並不足以讓外界認可其已經達到認證框架所制定的認證要求。不同的是,一個正在同時運用ISO27001和ISO17799標準的機構組織,可以建立一個完全符合認證具體要求的ISMS,同時這個ISMS也符合實踐指南的要求,於是,這一組織就可以獲得外界的認同,即獲得認證。
② IP網路安全技術的目錄
一、網路安全基礎篇
Q1.為什麼網路安全不是絕對的?
Q2.什麼是網路安全的「木桶原理」?
Q3.為什麼系統會存在網路安全漏洞?
Q4.使用他人計算機時需要注意哪些安全問題?
Q5.如何選擇一個易記難猜的口令?
Q6.使用代理伺服器上網安全嗎?
Q7.瀏覽網頁時需要注意哪些安全問題?
Q8.在瀏覽器中輸入的口令等信息是否會被別人看到?
Q9.發郵件時如何對敏感的郵件內容進行保護?
Q10.如何降低郵件附件中惡意代碼帶來的風險?
Q11.如何判斷一封電子郵件是否經過偽造?
Q12.如何對重要的Word文檔進行安全保護?
Q13.如何減少收到的垃圾郵件?
Q14.哪些計算機埠容易受到網路攻擊?
Q15.通過無線上網有哪些安全隱患?
Q16.如何提高無線上網的安全性?
Q17.WLAN支持哪些安全加密協議?支持哪些認證協議?
二、攻擊和防範篇
Q18.常見的網路攻擊方式有哪些?
Q19.什麼是緩沖區溢出攻擊?
Q20.如何防範對計算機的掃描探測攻擊?
Q21.Windows系統賬號是弱口令時會導致哪些嚴重後果?
Q22.如何防止計算機系統賬號、共享等敏感信息被遠程竊取?
Q23.如何避免個人計算機成為網路攻擊的跳板?
Q24.什麼是TCP-SYNflood攻擊,網路攻擊對系統有何影響?
Q25.什麼是ARP欺騙?
Q26.區域網環境內如何防止通信數據被監聽?
Q27.拒絕服務攻擊主要有哪幾種類型?
Q28.DDoS攻擊對網路或系統有何影響?
Q29.對於DDoS攻擊,一般可以利用路由器的哪些安全特徵進行控制?
Q30.網路蠕蟲會對網路或系統造成哪些影響?
Q31.異常流量監測方式主要有哪幾種,有何特點?
Q32.TCP攔截技術可以用來防範何種攻擊,它是如何工作的?
Q33.如果網路流量突然異常增大,應該如何處理?
Q34.通過哪些網路安全手段可以提高IP承載網的安全性?
Q35.網路安全建設主要包括哪幾方面的內容?
三、病毒、木馬及惡意代碼防範篇
Q36.什麼是計算機病毒?有什麼特徵?
Q37.病毒入侵計算機的常見途徑有哪些?
Q38.計算機感染病毒的症狀有哪些?
Q39.如何預防計算機病毒?
Q40.如何減少郵件病毒的危害?
Q41.為什麼病毒會反復出現?
Q42.蠕蟲病毒與一般病毒的區別在哪裡?
Q43.安裝防病毒軟體後,為何還會被病毒感染?
Q44.正常情況下,當病毒不能被成功清除時該如何處理?
Q45.病毒是怎麼利用U盤傳播的?
Q46.如何防範病毒通過U盤傳播?
Q47.什麼是木馬?有什麼危害?
Q48.我的計算機是否已被裝了木馬?如何檢測?
Q49.如何識別木馬的偽裝?
Q50.木馬防範工具有哪些?
Q51.為什麼電腦總是莫名其妙地彈出很多窗口、廣告?
Q52.什麼是流氓軟體?
Q53.如何清除計算機上的流氓軟體?
Q54.什麼是僵屍網路?
Q55.什麼是僵屍程序?
Q56.僵屍程序與蠕蟲、木馬有什麼聯系和區別?
Q57.企業網應如何防範病毒?
Q58.網吧該如何防病毒?
四、Linux/UNIX安全篇
Q59.忘記Linux的root用戶口令怎麼辦?
Q60.如果沒有對Linux引導裝載程序進行口令保護,有什麼風險?應如何保護?
Q61.Linux賬號長期保持登錄狀態可能會導致對賬號的非法使用,應如何讓Linux賬號登錄在超時後自動注銷?
Q62.普通用戶使用su命令可以切換到root用戶,為防止對root的濫用,希望限制可使用su命令的用戶,應如何實現?
Q63.怎樣禁止root用戶遠程登錄以防止對root身份的濫用?
Q64.為防止用戶大量擠占磁碟空間,應如何對用戶設置磁碟配額限制?
Q65.普通用戶登錄到Linux控制台後,將可以執行poweroff、halt、reboot等普通用戶通常無權執行的命令,應如何禁用這些命令以保護控制台?
Q66.如何設置最短口令長度以增強Linux用戶口令的強壯性?
Q67.如何調整Linux系統參數以增強其抵禦synflood攻擊的能力?
Q68.不必要的SUID許可權會給系統帶來什麼風險?
Q69.異常的網路開放埠可能意味著系統已經被入侵,因此應定期查看埠開放情況。對於Linux系統,應如何查看其正在監聽的網路埠?
Q70.怎樣阻止對Linux系統的ping掃描?
Q71.怎樣保護Linux系統的重要配置文件不被非法刪除?
Q72.如何配置Linux的防火牆保護?
Q73.為什麼使用Linux-PAM可方便替換Linux應用程序的驗證機制?
Q74.在UNIX系統中怎樣進行文件許可權控制?
Q75.如何保障UNIX系統的網路服務安全?
Q76.怎樣利用syslog記錄UNIX系統日誌?
Q77.如何解決Telnet、rsh、rlogin等常見的UNIX遠程管理方式存在的安全隱患?
Q78.$HOME/.rhosts和hosts.eQuiv信任機制存在什麼安全隱患?
Q79.如何發現UNIX文件系統被非法篡改的跡象?
Q80.如何通過安全配置降低UNIX系統遭受緩沖區溢出攻擊的風險?
Q81.典型的安全加固流程是怎樣的?
五、Windows安全篇
Q82.忘記Windows2000管理員密碼怎麼辦?
Q83.如何使用「密碼保護」功能來加強計算機的物理安全?
Q84.Windows系統為什麼要經常打補丁呢?
Q85.WindowsSP補丁和hotfix修補程序有何區別和聯系?
Q86.如何進行Windows系統安全補丁安裝?
Q87.為什麼最好不要啟用Windows系統的賬號鎖定功能?
Q88.如何提高系統用戶密碼的安全性?
Q89.如何控制用戶對某些磁碟或者文件夾的本地訪問?
Q90.如何對Windows主機進行簡單的網路訪問控制?
Q91.在Windows系統中如何發現黑客入侵的痕跡?
Q92.Windows2000系統的安全架構是怎麼樣的?
Q93.用戶的安全標識符(SID)能夠唯一標識每個用戶嗎?
Q94.Windows用戶的訪問令牌(Accesstokens)有何作用?
Q95.Windows系統自帶防火牆嗎,怎樣啟用?
Q96.為什麼要禁止Windows系統不必要的服務,如何關閉?
Q97.怎樣查看Windows主機開放了哪些埠?
Q98.預設情況下,Windows系統開放了哪些埠,有什麼風險?
Q99.如何關閉Windows系統中的一些高風險的埠?
Q100.網路共享文件有何風險?怎樣降低風險?
Q101.如何防止別人遠程掃描到我的Windows主機?
Q102.Windows系統的「本地安全設置」有何功能?
Q103.如何知道Windows系統已經建立了哪些網路連接?
Q104.WindowsXP系統的「安全中心」有什麼作用呢?
Q105.用戶如何選擇比較強壯的密碼,不設置有什麼風險?
Q106.在安裝某些軟體或更改配置後,WindowsXP系統工作不正常,能否恢復到以前的配置?
Q107.如何知道Windows系統已經共享了哪些文件夾?
Q108.怎樣提高Windows系統注冊表的安全性?
Q109.對Windows系統進行安全加固,主要包括哪些方面?
六、網路設備安全篇
Q110.哪些措施可以提高網路設備遠程訪問的安全性?
Q111.為保證網路的安全性,在配置路由器時應注意關閉哪些路由選項?
Q112.什麼是AAA協議,主要有哪幾種標准?
Q113.訪問網路設備時,對用戶進行AAA認證授權有何優點?
Q114.如何提高網路設備SNMP服務的安全性?
Q115.在用戶配置網路設備時,如何保證操作的安全性?
Q116.哪些路由協議提供了認證機制,分別支持哪種認證方式?
Q117.訪問控制列表在網路安全方面主要有哪些應用?
Q118.為什麼我的ADSLModem設備會遭到攻擊?
Q119.攻擊者是怎樣通過ADSLModem設備遠程獲得寬頻用戶上網口令的?
Q120.為什麼要修改ADSLModem設備的預設口令?如何修改預設口令?
Q121.ADSLModem設備有哪些默認的服務?如何保證這些服務的安全性?
Q122.黑客是如何入侵無線網路路由器的?如何防範?
Q123.保證用戶正常使用的情況下,如何讓無線路由器隱身?
Q124.如何限制只有特定的主機才能夠接入到無線網路中?
Q125.忘記交換機的密碼怎麼辦?
Q126.交換機生成樹協議存在什麼安全問題?
Q127.交換機CAM表攻擊是怎麼一回事,具有什麼危害?
Q128.如何防範交換機的CAM表溢出?
Q129.如何利用交換機來防範DHCP欺騙?
Q130.如何利用交換機防範ARP欺騙?
Q131.忘記路由器的密碼怎麼辦?
七、網上交易安全篇
Q132.把銀行賬號、網上交易口令等信息存儲在計算機里,安全嗎?
Q133.如何提高網上交易的安全性?
Q134.網上購物時,對方要求提供信用卡賬號時,該怎麼辦?
Q135.網上交易時經常會遇到軟鍵盤輸入方式,它有什麼作用?
Q136.網上銀行一般向用戶提供兩種數字證書,兩者有何不同?
Q137.手機動態密碼是如何保護網上銀行安全的?
Q138.什麼是網路釣魚?
Q139.網上交易過程中有哪些常見的釣魚方式?
Q140.為什麼有時在瀏覽器上輸入網站的正確地址也會進入釣魚網站?
Q141.網上銀行操作時應該注意什麼問題?
Q142.網上進行證券交易存在哪些風險?
Q143.如何減少網上證券交易的風險?
八、即時通信安全篇
Q144.用QQ、MSN是通過明文傳遞即時消息嗎?有何加密工具可對即時消息的傳遞加密?
Q145.為什麼有的網路游戲、QQ等賬號口令容易被盜,有什麼防範措施?
Q146.如何保護QQ/MSN聊天記錄?
Q147.如何檢查QQ/MSN是否被植入了木馬?
Q148.通過QQ/MSN接收文件時,應該具備哪些安全意識?
Q149.QQ如何自動拒收特定類型的文件以防範有害程序的入侵?
Q150.在網吧上QQ/MSN聊天有哪些安全注意事項?
Q151.QQ/MSN也需要定期更新升級嗎?
Q152.如何保護QQ共享空間的文件安全?
Q153.QQ的通訊錄上存放了朋友的個人資料,該如何保護這些信息的安全?
九、數據安全篇
Q154.數據有哪些安全屬性?
Q155.對稱加密和非對稱加密有什麼區別?
Q156.DES、3DES和AES,哪種對稱加密演算法更安全?
Q157.如何通過數據摘要驗證數據的完整性?
Q158.如何實現口令等信息的安全存儲?
Q159.想把機密信息通過網路途徑安全地傳遞給對方,有哪些方法?
Q160.VPN如何保障數據傳輸安全?
Q161.什麼是IPSecVPN?
Q162.IPSecVPN如何實現企業分支機構之間的安全互聯?
Q163.IPSecVPN如何實現出差人員以安全方式訪問企業內網?
Q164.IPSecVPN設備是否支持Radius認證方式,對用戶進行集中認證管理?
Q165.IPSec如何防範重放攻擊?
Q166.怎樣保護Web伺服器和用戶瀏覽器之間的信息傳輸安全?
Q167.Telnet採用明文傳輸口令,如何解決這個問題?
Q168.FTP口令是明文傳輸的,有什麼辦法實現口令的加密傳遞?
Q169.可以參考哪些標准或協議開發一個基於指定埠的加密應用?
Q170.能否通過加密的方式實現不同PC機之間文件的網路拷貝?
Q171.如何在區域網內實現基於二層身份認證的安全接入?
Q172.802.1x認證機制是如何工作的?
Q173.什麼是數字證書?
Q174.什麼是數字簽名?
Q175.如何對郵件進行簽名和加密保護?
Q176.如何規避數據存儲所面臨的安全風險?
Q177.怎樣合理制訂數據備份策略?
Q178.有哪些常見的資料庫防入侵保護措施?
Q179.如何實現資料庫加密?
十、安全產品篇
Q180.目前有哪些種類的防病毒產品,各自的功能是什麼?
Q181.如何合理部署防病毒產品?
Q182.選購防病毒產品應遵循哪些原則?
Q183.個人電腦在安裝了防病毒產品之後為什麼還需安裝個人防火牆?
Q184.什麼是防火牆?
Q185.防火牆有哪些組網模式?
Q186.配置防火牆時應該遵循什麼原則?
Q187.為什麼在部署防火牆產品之後需要定期檢查其安全策略?
Q188.防火牆也能被滲透嗎?
Q189.安全掃描工具有什麼作用,目前有哪些種類的安全掃描產品,其主要的功能定位是什麼?
Q190.使用安全掃描工具時需要注意什麼問題?
Q191.IDS與IPS有何異同?
Q192.如何看待IDS的漏報和誤報?
Q193.使用IDS時需要注意哪些問題?
Q194.異常流量檢測系統有何作用?
Q195.內容過濾系統有何作用?
Q196.有哪些產品可以提高儲存在計算機上的文檔或數據的安全性?
Q197.終端安全管理產品的主要功能是什麼?
Q198.為什麼部署終端安全管理產品可以防範蠕蟲病毒的傳播?
Q199.針對Windows系統有哪幾種補丁管理產品,其作用是什麼?
Q200.部署安全審計產品能起到什麼作用?在哪些安全需求下需要部署安全審計產品?
Q201.目前有哪些種類的安全審計產品?
Q202.資料庫安全審計產品一般能完成哪些審計功能?
Q203.統一身份認證系統的主要功能是什麼?
Q204.什麼是動態令牌,採用動態令牌有什麼好處?
Q205.什麼是USBKey,採用這類產品能夠防止哪些網路安全問題?
Q206.部署VPN等遠程接入類產品時如何防止非安全終端接入網路?
Q207.什麼是統一威脅管理(UTM)安全設備?
Q208.在哪些環境下適合部署UTM系統?
Q209.什麼是安全操作中心(SOC),其主要功能和作用是什麼?
縮略語
參考文獻
③ 利用木桶原理論述,如果你是某企業設備主管,你如何開展生產線的維護工作
哎..這木桶原理有本書的!建議你去好好看下!簡單的維護工作方面就和安全生產有關系!既然和安全生產有關系就必須有完善安全生產檢查檢查制度,並且落實專業人專管等維護、維修工作,並且做好「三化管理」也是就所謂的制度化、規范化、程序化!這個木桶的原理最簡單、直接告訴我們就是如何找自己存在的不足,找到並加以修正。
④ 網路安全的兩個支柱是指
摘要 您好,網路安全有兩個支柱,一個是技術、一個是管理。條萊垍頭
⑤ 如何正確理解木桶原理
一隻木桶能夠裝多少水,取決於它最短的那塊木板。當木桶上每一塊木板都一樣長,而且沒有缺的、裂的,那麼這只木桶能夠裝最多的水,也就是裝滿,當木桶上的木板都參差不齊,有一塊特別的短,那麼這只木桶能夠裝的水,最多隻能夠與這塊短板齊平。這就是我們所說的木桶原理,也有人稱之為短板效應。
002:木桶原理的別樣解法
我們都認為,木桶能夠裝多少水,取決於最短的板。換個角度來想,如果我們把木桶傾斜,它能夠裝多少水,不就取決於最長的那塊板了,最短的板反而變得不重要了。
在職場上,有不少人會成為其他企業高薪聘請的人才,關鍵就在於他們所掌握的資源和能力。他們的綜合能力不一定有多高,像程序員、設計師,他們靠技術吃飯,技術越厲害,就越是值錢,很少有人在乎他們在其他方面的能力,企業要聘用他們,在乎的就是他們的技術,就是他們最擅長的方面。
總而言之一句話,木桶原理有其道理所在,但是也不可完全聽信木桶理論,要具體情況具體分析,盲目套用不僅不能達到目的,反而還可能耽誤自己的發展。
⑥ 木桶原理所適用的范圍,以及它深層含義
木桶原理(Cannikin Law)
木桶原理又稱短板理論,木桶短板管理理論。
所謂「木桶理論」也即「木桶定律」,其核心內容為:一隻木桶盛水的多少,並不取決於桶壁上最高的那塊木塊,而恰恰取決於桶壁上最短的那塊。根據這一核心內容,「木桶理論」還有兩個推論:其一,只有桶壁上的所有木板都足夠高,那木桶才能盛滿水。其二,只要這個木桶里有一塊不夠高度,木桶里的水就不可能是滿的。
對這個理論,初聽時你會覺得懷疑:最長的怎麼反而不如最短的?繼而就會是理解和贊同了:確實!木桶盛水的多少,起決定性作用的不是那塊最長的木板,而是那塊最短的木板。因為長的板子再長也沒有用,水的界面是與最短的木板平齊的。「決定木桶容量大小的竟然不是其中最長的那塊木板,而是其中最短的木板!」這似乎與常規思維格格不入,然而卻被證明為正確的論斷。
「木桶理論」可以啟發我們思考許多問題,比如企業團隊精神建設的重要性。在一個團隊里,決定這個團隊戰鬥力強弱的不是那個能力最強、表現最好的人,而恰恰是那個能力最弱、表現最差的落後者。因為,最短的木板在對最長的木板起著限制和制約作用,決定了這個團隊的戰鬥力,影響了這個團隊的綜合實力。也就是說,要想方設法讓短板子達到長板子的高度或者讓所有的板子維持「足夠高」的相等高度,才能完全發揮團隊作用,充分體現團隊精神。
⑦ 管理學中的木桶原理是指什麼
管理學中的木桶原理是指多塊木板構成的水桶,其價值在於其盛水量的多少,但決定水桶盛水量多少的關鍵因素不是其最長的板塊,而是其最短的板塊。這就是說任何一個組織,可能面臨的一個共同問題,即構成組織的各個部分往往是優劣不齊的,而劣勢部分往往決定整個組織的水平。
「木桶定律」極為巧妙和別致的。但隨著它被應用得越來越頻繁,應用場合及范圍也越來越廣泛,已基本由一個單純的比喻上升到了理論的高度。這由許多塊木板組成的「木桶」不僅可象徵一個企業、一個部門、一個班組,也可象徵某一個員工,而「木桶」的最大容量則象徵著整體的實力和競爭力。
木桶理論的動態演變
首先,在儲水前要清楚這樣一個疑問,是先有水還是先有桶,先有大木桶還是先有小木桶,按照木桶理論,必然是先有木桶,再有水,然後不斷調整,從小木桶到大木桶,從短木桶到長木桶,沒有哪只木桶一開始就非常大非常深的。
然而在實踐上,也許是先有水再有木桶,或者是先有不成形的木桶,甚至只有幾塊木板,而不是桶,然後通過這幾塊緊缺的壟斷的木板資源,賺到第一桶金,然後才做出第一個木桶。
其次,儲水量的多少是動態的,目標設定儲多少水,決定於做多少長的木板,而不是越多越好。多了是浪費投資,少了是不求進取。
儲水量的多少,有時並不是企業競爭的全部,市場競爭並不是所有木板都超過對手,有時為了競爭需要還故意賣個破碇給對手,而以自己的集中優勢攻別人的相對弱勢取得勝利。
以上內容參考網路-木桶原理
⑧ 信息安全的「木桶原理」是什麼
木桶盛水的多少…不取決於最長的那塊兒木板!而是最短的!
⑨ 網路安全中木桶原理通常是指
在網路管理的某一方面存在不足,整體拉低了安全防護水準。比如沒有做好物理防護等等
⑩ 網路安全方案框架編寫時需要注意什麼
總體上說,一份安全解決方案的框架涉及6大方面:
1、概要安全風險分析;
2、實際安全風險分析;
3、網路系統的安全原則;
4、安全產品;
5、風險評估;
6、安全服務。
一份網路安全方案需要從以下8個方面來把握
1、體現唯一性,由於安全的復雜性和特殊性,唯一性是評估安全方案最重要的一個標准。實際中,每一個特定網路都是唯一的,需要根據實際情況來處理。
2、對安全技術和安全風險有一個綜合把握和理解,包括可能出現的所有情況。
3、對用戶的網路系統可能遇到的安全風險和安全威脅,結合現有的安全技術和安全風險,要有一個合適、中肯的評估,不能誇大,也不能縮小。
4、對症下葯,用相應的安全產品、安全技術和管理手段,降低用戶的網路系統當前可能遇到的風險和威脅,消除風險和威脅的根源,增強整個網路系統抵抗風險和威脅的能力,增強系統本身的免疫力。
5、方案中要體現出對用戶的服務支持。
6、在設計方案的時候,要明白網路系統安全是一個動態的、整體的、專業的工程,不能一步到位解決用戶所有的問題。
7、方案出來後,要不斷的和用戶進行溝通,能夠及時的得到他們對網路系統在安全方面的要求、期望和所遇到的問題。
8、方案中所涉及的產品和技術,都要經得起驗證、推敲和實施,要有理論根據,也要有實際基礎。