① 信息安全管理体系
7.2.1信息安全管理体系概述
我们知道保障信息安全有两大支柱:技术和管理。而我们日常提及信息安全时,多是在技术相关的领域,例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术CA认证技术等。这是因为信息安全技术和产品的采纳,能够快速见到直接效益,同时,技术和产品的发展水平也相对较高。此外,技术厂商对市场的培育,不断提升着人们对信息安全技术和产品的认知度。
伴随着威胁的发展趋势,安全技术部署的种类和数量不断增加,但并不是安全技术、安全产品种类、数量越多越好,只有技术的堆积而不讲究管理,必然会产生很多安全疏漏。虽然大家在面对信息安全事件时总是在叹息:“道高一尺、魔高一丈”,在反思自身技术的不足,实质上人们此时忽视的是另外两个层面的保障。正如沈昌祥院士所指出的:“传统的信息安全措施主要是堵漏洞、做高墙、防外攻等老三样,但最终的结果是防不胜防。”
技术要求与管理要求是确保信息系统安全不可分割的两个部分,两者之间既互相独立,又互相关联,在一些情况下,技术和管理能够发挥它们各自的作用;在另一些情况下,需要同时使用技术和管理两种手段,实现安全控制或更强的安全控制;在大多数情况下,技术和管理要求互相提供支撑以确保各自功能的正确实现。我们通常用水桶效应来描述分布式系统的安全性问题,认为整个系统的安全性取决于水桶中最薄弱的那块木条。平台就像是这个水桶的箍,有了这个箍,水桶就很难崩溃。即使出现个别的漏洞,也不至于对整个体系造成灾难性的破坏。
信息安全管理体系(Information Security Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、过程、核查表等要素的集合。体系是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、搜集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策,对安全事件进行响应和处理。
目前,各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准,这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从组织信息安全的各个角度和整个生命周期来考察,现有的信息安全管理体系与标准是不够完备的,特别是忽略了组织中最活跃的因素——人的作用。考察国内外的各种信息安全事件,我们不难发现,在信息安全事件表象后面其实都是人的因素在起决定作用。不完备的安全体系是不能保证日趋复杂的组织信息系统安全性的。
7.2.2信息安全管理体系结构
信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么木桶的最大容量不取决于最长的木板,而取决于最短的那块木板。这个原理同样适用于信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件,表现形式和载体会发生各种变化,这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标,一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看,我们认为信息安全管理体系结构可以由以下 HTP模型来描述:人员与管理(Human and Management)、技术与产品(Technology and Procts)、流程与体系(Process and Framework)。
其中人是信息安全最活跃的因素,人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线。统计结果表明,在所有的信息安全事故中,只有 20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。以往的各种安全模型,其最大的缺陷是忽略了对人的因素的考虑,在信息安全问题上,要以人为本,人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广,从国家的角度考虑有法律、法规、政策问题;从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题;从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。在信息安全的技术防范措施上,可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全,但不应把部署所有安全产品与技术和追求信息安全的零风险为目标,安全成本太高,安全也就失去其意义。组织实现信息安全应采用“适度防范”(Rightsizing)的原则,就是在风险评估的前提下,引入恰当的控制措施,使组织的风险降到可以接受的水平,保证组织业务的连续性和商业价值最大化,就达到了安全的目的。
7.2.3信息安全管理体系功能
7.2.3.1安全策略
安全策略管理可以说是整个安全管理平台的中心,它根据组织的安全目标制订和维护组织的各种安全策略以及配置信息。安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全,不但靠先进的技术,而且也得靠严格的安全管理、法律约束和安全教育。
安全策略建立在授权行为的概念上。在安全策略中,一般都包含“未经授权的实体,信息不可给予、不被访问、不允许引用、不得修改”等要求,这是按授权区分不同的策略。按授权性质可分为基于规则的安全策略和基于身份的安全策略。授权服务分为管理强加的和动态选取的两种。安全策略将确定哪些安全措施须强制执行,哪些安全措施可根据用户需要选择。大多数安全策略应该是强制执行的。
(1)基于身份的安全策略。基于身份的安全策略目的是对数据或资源的访问进行筛选。即用户可访问他们的资源的一部分(访问控制表),或由系统授予用户特权标记或权力。两种情况下,数据项的多少会有很大变化。
(2)基于规则的安全策略。基于规则的安全策略是系统给主体(用户、进程)和客体(数据)分别标注相应的安全标记,制定出访问权限,此标记作为数据项的一部分。
两种安全策略都使用了标记。标记的概念在数据通信中是重要的,身份鉴别、管理、访问控制等都需要对主体和客体做出相应的标记并以此进行控制。在通信时,数据项、通信的进程与实体、通信信道和资源都可用它们的属性做出标记。安全策略必须指明属性如何被使用,以提供必要的安全。
根据系统的实际情况和安全要求,合理地确定安全策略是复杂而重要的。因为安全是相对的,安全技术也是不断发展的,安全应有一个合理和明确的要求,这主要体现在安全策略中。网络系统的安全要求主要是完整性、可用性和机密性。其中完整性、可用性是由网络的开放和共享所决定的。按照用户的要求,提供相应的服务,是网络最基本的目的。机密性则对不同的网络有不同的要求,即网络不一定都是保密网。因此,每个内部网要根据自身的要求确定安全策略。现在的问题是硬、软件大多很先进,大而全,而在安全保密方面没有明确的安全策略,一旦投入使用,安全漏洞很多。而在总体设计时,按照安全要求制定出网络的安全策略并逐步实施,则系统的漏洞少、运行效果好。
在工程设计中,按照安全策略构造出一系列安全机制和具体措施,来确保安全第一。多重保护的目的是使各种保护措施相互补充。底层靠安全操作系统本身的安全防护功能,上层有防火墙、访问控制表等措施,防止一层措施攻破后,安全性受到威胁。最少授权原则是指采取制约措施,限制超级用户权力并全部使用一次性口令。综合防护要求从物理上、硬件和软件上、管理上采取各种措施,分层防护,确保系统安全。
7.2.3.2安全机制
信息的安全管理体系中,安全机制是保证安全策略得以实施的和实现的机制和体制,它通常实现三个方面的功能:预防、检测、恢复。典型的安全机制有以下几种:
(1)数据保密变换。数据保密变换,即密码技术,是许多安全机制和安全服务的基础。密码是实现秘密通讯的主要手段,是隐蔽语言、文字、图像的特种符号。凡是用特种符号按照通讯双方约定的方法把电文的原形隐蔽起来,不为第三者所识别的通讯方式称为密码通讯。在计算机通讯中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,从而保证信息传输的安全。采用密码技术,可有效地防止:信息的未授权观察和修改、抵赖、仿造、通信业务流分析等。
(2)数字签名机制。数字签名机制用于实现抗抵赖、鉴别等特殊安全服务的场合。数字签名(Digital Signature)是公开密钥加密技术的一种应用,是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。
(3)访问控制机制。访问控制机制实施是对资源访问加以限制的策略。即规定出不同主体对不同客体对应的操作权限,只允许被授权用户访问敏感资源,拒绝未经授权用户的访问。首先,要访问某个资源的实体应成功通过认证,然后访问控制机制对该实体的访问请求进行处理,查看该实体是否具有访问所请求资源的权限,并做出相应的处理。采用的技术有访问控制矩阵、口令、权能等级、标记等,它们可说明用户的访问权。
(4)数据完整性机制。用于保护数据免受未经授权的修改,该机制可以通过使用一种单向的不可逆函数——散列函数来计算出消息摘要(Message Digest),并对消息摘要进行数字签名来实现。
(5)鉴别交换机制。鉴别交换机制指信息交换双方(如内部网和互联网)之间的相互鉴别。交换鉴别是以交换信息的方式来确认实体身份的机制。用于交换鉴别的技术有:口令,由发送实体提供,接收实体检测;密码技术,即将交换的数据加密,只有合法用户才能解密,得出有意义的明文;利用实体的特征或所有权,如指纹识别和身份卡等。
(6)路由选择控制机制。用来指定数据通过网络的路径。这样就可以选择一条路径,这条路径上的节点都是可信任的,确保发送的信息不会因通过不安全的节点而受到攻击。
(7)公证机制。由通讯各方都信任的第三方提供。由第三方来确保数据完整性以及数据源、时间及目的地的正确。
还有物理环境的安全机制、人员审查与控制机制等。其实防护措施均离不开人的掌握和实施,系统安全最终是由人来控制的。因此,安全离不开人员的审查、控制、培训和管理等,要通过制定、执行各项管理制度等来实现。
7.2.3.3风险与安全预警管理
风险分析是了解计算机系统安全状况和辨别系统脆弱性并提出对策的科学方法。在进行风险分析时,应首先明确分析的对象。如对象应是整个系统明确范围和安全敏感区,确定分析的内容,找出安全上的脆弱点,并确定重点分析方向。接着仔细分析重点保护目标,分析风险的原因、影响、潜在的威胁、造成的后果等,应有一定的定量评估数据。最后根据分析的结果,提出有效的安全措施和这些措施可能带来的风险,确认资金投入的合理性。
安全预警是一种有效预防措施。结合安全漏洞的跟踪和研究,及时发布有关的安全漏洞信息和解决方案,督促和指导各级安全管理部门及时做好安全防范工作,防患于未然。同时通过安全威胁管理模块所掌握的全网安全动态,有针对性地指导各级安全管理组织,做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
7.2.4信息安全管理体系标准和认证
信息安全管理体系标准的制定开始于1995年,经过10多年的修改与完善,形成了现在广泛应用的ISO27001:2005认证标准。英国标准协会(BSI)于1995年2月提出了BS7799,并于1995年和1999年两次修订。BS7799分为两个部分:BS7799-1,信息安全管理实施规则;BS7799-2,信息安全管理体系规范。
第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
2000年,国际标准化组织(ISO)在 BS7799-1的基础上制定通过了ISO17799标准。ISO/IEC17799:2000(BS7799-1)包含了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。BS7799-2在2002年也由BSI进行了重新的修订。2005年,ISO组织再次对ISO17799进行了修订,BS7799-2也于2005年被采用为ISO27001:2005,修订后的标准作为ISO27000标准族的第一部分——ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。
然而,由于ISO17799并非基于认证框架,它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/IEC27001则包含这些具体详尽的管理体系认证要求。从技术层面来讲,这就表明一个正在独立运用ISO17799的机构组织,完全符合实践指南的要求,但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是,一个正在同时运用ISO27001和ISO17799标准的机构组织,可以建立一个完全符合认证具体要求的ISMS,同时这个ISMS也符合实践指南的要求,于是,这一组织就可以获得外界的认同,即获得认证。
② IP网络安全技术的目录
一、网络安全基础篇
Q1.为什么网络安全不是绝对的?
Q2.什么是网络安全的“木桶原理”?
Q3.为什么系统会存在网络安全漏洞?
Q4.使用他人计算机时需要注意哪些安全问题?
Q5.如何选择一个易记难猜的口令?
Q6.使用代理服务器上网安全吗?
Q7.浏览网页时需要注意哪些安全问题?
Q8.在浏览器中输入的口令等信息是否会被别人看到?
Q9.发邮件时如何对敏感的邮件内容进行保护?
Q10.如何降低邮件附件中恶意代码带来的风险?
Q11.如何判断一封电子邮件是否经过伪造?
Q12.如何对重要的Word文档进行安全保护?
Q13.如何减少收到的垃圾邮件?
Q14.哪些计算机端口容易受到网络攻击?
Q15.通过无线上网有哪些安全隐患?
Q16.如何提高无线上网的安全性?
Q17.WLAN支持哪些安全加密协议?支持哪些认证协议?
二、攻击和防范篇
Q18.常见的网络攻击方式有哪些?
Q19.什么是缓冲区溢出攻击?
Q20.如何防范对计算机的扫描探测攻击?
Q21.Windows系统账号是弱口令时会导致哪些严重后果?
Q22.如何防止计算机系统账号、共享等敏感信息被远程窃取?
Q23.如何避免个人计算机成为网络攻击的跳板?
Q24.什么是TCP-SYNflood攻击,网络攻击对系统有何影响?
Q25.什么是ARP欺骗?
Q26.局域网环境内如何防止通信数据被监听?
Q27.拒绝服务攻击主要有哪几种类型?
Q28.DDoS攻击对网络或系统有何影响?
Q29.对于DDoS攻击,一般可以利用路由器的哪些安全特征进行控制?
Q30.网络蠕虫会对网络或系统造成哪些影响?
Q31.异常流量监测方式主要有哪几种,有何特点?
Q32.TCP拦截技术可以用来防范何种攻击,它是如何工作的?
Q33.如果网络流量突然异常增大,应该如何处理?
Q34.通过哪些网络安全手段可以提高IP承载网的安全性?
Q35.网络安全建设主要包括哪几方面的内容?
三、病毒、木马及恶意代码防范篇
Q36.什么是计算机病毒?有什么特征?
Q37.病毒入侵计算机的常见途径有哪些?
Q38.计算机感染病毒的症状有哪些?
Q39.如何预防计算机病毒?
Q40.如何减少邮件病毒的危害?
Q41.为什么病毒会反复出现?
Q42.蠕虫病毒与一般病毒的区别在哪里?
Q43.安装防病毒软件后,为何还会被病毒感染?
Q44.正常情况下,当病毒不能被成功清除时该如何处理?
Q45.病毒是怎么利用U盘传播的?
Q46.如何防范病毒通过U盘传播?
Q47.什么是木马?有什么危害?
Q48.我的计算机是否已被装了木马?如何检测?
Q49.如何识别木马的伪装?
Q50.木马防范工具有哪些?
Q51.为什么电脑总是莫名其妙地弹出很多窗口、广告?
Q52.什么是流氓软件?
Q53.如何清除计算机上的流氓软件?
Q54.什么是僵尸网络?
Q55.什么是僵尸程序?
Q56.僵尸程序与蠕虫、木马有什么联系和区别?
Q57.企业网应如何防范病毒?
Q58.网吧该如何防病毒?
四、Linux/UNIX安全篇
Q59.忘记Linux的root用户口令怎么办?
Q60.如果没有对Linux引导装载程序进行口令保护,有什么风险?应如何保护?
Q61.Linux账号长期保持登录状态可能会导致对账号的非法使用,应如何让Linux账号登录在超时后自动注销?
Q62.普通用户使用su命令可以切换到root用户,为防止对root的滥用,希望限制可使用su命令的用户,应如何实现?
Q63.怎样禁止root用户远程登录以防止对root身份的滥用?
Q64.为防止用户大量挤占磁盘空间,应如何对用户设置磁盘配额限制?
Q65.普通用户登录到Linux控制台后,将可以执行poweroff、halt、reboot等普通用户通常无权执行的命令,应如何禁用这些命令以保护控制台?
Q66.如何设置最短口令长度以增强Linux用户口令的强壮性?
Q67.如何调整Linux系统参数以增强其抵御synflood攻击的能力?
Q68.不必要的SUID权限会给系统带来什么风险?
Q69.异常的网络开放端口可能意味着系统已经被入侵,因此应定期查看端口开放情况。对于Linux系统,应如何查看其正在监听的网络端口?
Q70.怎样阻止对Linux系统的ping扫描?
Q71.怎样保护Linux系统的重要配置文件不被非法删除?
Q72.如何配置Linux的防火墙保护?
Q73.为什么使用Linux-PAM可方便替换Linux应用程序的验证机制?
Q74.在UNIX系统中怎样进行文件权限控制?
Q75.如何保障UNIX系统的网络服务安全?
Q76.怎样利用syslog记录UNIX系统日志?
Q77.如何解决Telnet、rsh、rlogin等常见的UNIX远程管理方式存在的安全隐患?
Q78.$HOME/.rhosts和hosts.eQuiv信任机制存在什么安全隐患?
Q79.如何发现UNIX文件系统被非法篡改的迹象?
Q80.如何通过安全配置降低UNIX系统遭受缓冲区溢出攻击的风险?
Q81.典型的安全加固流程是怎样的?
五、Windows安全篇
Q82.忘记Windows2000管理员密码怎么办?
Q83.如何使用“密码保护”功能来加强计算机的物理安全?
Q84.Windows系统为什么要经常打补丁呢?
Q85.WindowsSP补丁和hotfix修补程序有何区别和联系?
Q86.如何进行Windows系统安全补丁安装?
Q87.为什么最好不要启用Windows系统的账号锁定功能?
Q88.如何提高系统用户密码的安全性?
Q89.如何控制用户对某些磁盘或者文件夹的本地访问?
Q90.如何对Windows主机进行简单的网络访问控制?
Q91.在Windows系统中如何发现黑客入侵的痕迹?
Q92.Windows2000系统的安全架构是怎么样的?
Q93.用户的安全标识符(SID)能够唯一标识每个用户吗?
Q94.Windows用户的访问令牌(Accesstokens)有何作用?
Q95.Windows系统自带防火墙吗,怎样启用?
Q96.为什么要禁止Windows系统不必要的服务,如何关闭?
Q97.怎样查看Windows主机开放了哪些端口?
Q98.缺省情况下,Windows系统开放了哪些端口,有什么风险?
Q99.如何关闭Windows系统中的一些高风险的端口?
Q100.网络共享文件有何风险?怎样降低风险?
Q101.如何防止别人远程扫描到我的Windows主机?
Q102.Windows系统的“本地安全设置”有何功能?
Q103.如何知道Windows系统已经建立了哪些网络连接?
Q104.WindowsXP系统的“安全中心”有什么作用呢?
Q105.用户如何选择比较强壮的密码,不设置有什么风险?
Q106.在安装某些软件或更改配置后,WindowsXP系统工作不正常,能否恢复到以前的配置?
Q107.如何知道Windows系统已经共享了哪些文件夹?
Q108.怎样提高Windows系统注册表的安全性?
Q109.对Windows系统进行安全加固,主要包括哪些方面?
六、网络设备安全篇
Q110.哪些措施可以提高网络设备远程访问的安全性?
Q111.为保证网络的安全性,在配置路由器时应注意关闭哪些路由选项?
Q112.什么是AAA协议,主要有哪几种标准?
Q113.访问网络设备时,对用户进行AAA认证授权有何优点?
Q114.如何提高网络设备SNMP服务的安全性?
Q115.在用户配置网络设备时,如何保证操作的安全性?
Q116.哪些路由协议提供了认证机制,分别支持哪种认证方式?
Q117.访问控制列表在网络安全方面主要有哪些应用?
Q118.为什么我的ADSLModem设备会遭到攻击?
Q119.攻击者是怎样通过ADSLModem设备远程获得宽带用户上网口令的?
Q120.为什么要修改ADSLModem设备的缺省口令?如何修改缺省口令?
Q121.ADSLModem设备有哪些默认的服务?如何保证这些服务的安全性?
Q122.黑客是如何入侵无线网络路由器的?如何防范?
Q123.保证用户正常使用的情况下,如何让无线路由器隐身?
Q124.如何限制只有特定的主机才能够接入到无线网络中?
Q125.忘记交换机的密码怎么办?
Q126.交换机生成树协议存在什么安全问题?
Q127.交换机CAM表攻击是怎么一回事,具有什么危害?
Q128.如何防范交换机的CAM表溢出?
Q129.如何利用交换机来防范DHCP欺骗?
Q130.如何利用交换机防范ARP欺骗?
Q131.忘记路由器的密码怎么办?
七、网上交易安全篇
Q132.把银行账号、网上交易口令等信息存储在计算机里,安全吗?
Q133.如何提高网上交易的安全性?
Q134.网上购物时,对方要求提供信用卡账号时,该怎么办?
Q135.网上交易时经常会遇到软键盘输入方式,它有什么作用?
Q136.网上银行一般向用户提供两种数字证书,两者有何不同?
Q137.手机动态密码是如何保护网上银行安全的?
Q138.什么是网络钓鱼?
Q139.网上交易过程中有哪些常见的钓鱼方式?
Q140.为什么有时在浏览器上输入网站的正确地址也会进入钓鱼网站?
Q141.网上银行操作时应该注意什么问题?
Q142.网上进行证券交易存在哪些风险?
Q143.如何减少网上证券交易的风险?
八、即时通信安全篇
Q144.用QQ、MSN是通过明文传递即时消息吗?有何加密工具可对即时消息的传递加密?
Q145.为什么有的网络游戏、QQ等账号口令容易被盗,有什么防范措施?
Q146.如何保护QQ/MSN聊天记录?
Q147.如何检查QQ/MSN是否被植入了木马?
Q148.通过QQ/MSN接收文件时,应该具备哪些安全意识?
Q149.QQ如何自动拒收特定类型的文件以防范有害程序的入侵?
Q150.在网吧上QQ/MSN聊天有哪些安全注意事项?
Q151.QQ/MSN也需要定期更新升级吗?
Q152.如何保护QQ共享空间的文件安全?
Q153.QQ的通讯录上存放了朋友的个人资料,该如何保护这些信息的安全?
九、数据安全篇
Q154.数据有哪些安全属性?
Q155.对称加密和非对称加密有什么区别?
Q156.DES、3DES和AES,哪种对称加密算法更安全?
Q157.如何通过数据摘要验证数据的完整性?
Q158.如何实现口令等信息的安全存储?
Q159.想把机密信息通过网络途径安全地传递给对方,有哪些方法?
Q160.VPN如何保障数据传输安全?
Q161.什么是IPSecVPN?
Q162.IPSecVPN如何实现企业分支机构之间的安全互联?
Q163.IPSecVPN如何实现出差人员以安全方式访问企业内网?
Q164.IPSecVPN设备是否支持Radius认证方式,对用户进行集中认证管理?
Q165.IPSec如何防范重放攻击?
Q166.怎样保护Web服务器和用户浏览器之间的信息传输安全?
Q167.Telnet采用明文传输口令,如何解决这个问题?
Q168.FTP口令是明文传输的,有什么办法实现口令的加密传递?
Q169.可以参考哪些标准或协议开发一个基于指定端口的加密应用?
Q170.能否通过加密的方式实现不同PC机之间文件的网络拷贝?
Q171.如何在局域网内实现基于二层身份认证的安全接入?
Q172.802.1x认证机制是如何工作的?
Q173.什么是数字证书?
Q174.什么是数字签名?
Q175.如何对邮件进行签名和加密保护?
Q176.如何规避数据存储所面临的安全风险?
Q177.怎样合理制订数据备份策略?
Q178.有哪些常见的数据库防入侵保护措施?
Q179.如何实现数据库加密?
十、安全产品篇
Q180.目前有哪些种类的防病毒产品,各自的功能是什么?
Q181.如何合理部署防病毒产品?
Q182.选购防病毒产品应遵循哪些原则?
Q183.个人电脑在安装了防病毒产品之后为什么还需安装个人防火墙?
Q184.什么是防火墙?
Q185.防火墙有哪些组网模式?
Q186.配置防火墙时应该遵循什么原则?
Q187.为什么在部署防火墙产品之后需要定期检查其安全策略?
Q188.防火墙也能被渗透吗?
Q189.安全扫描工具有什么作用,目前有哪些种类的安全扫描产品,其主要的功能定位是什么?
Q190.使用安全扫描工具时需要注意什么问题?
Q191.IDS与IPS有何异同?
Q192.如何看待IDS的漏报和误报?
Q193.使用IDS时需要注意哪些问题?
Q194.异常流量检测系统有何作用?
Q195.内容过滤系统有何作用?
Q196.有哪些产品可以提高储存在计算机上的文档或数据的安全性?
Q197.终端安全管理产品的主要功能是什么?
Q198.为什么部署终端安全管理产品可以防范蠕虫病毒的传播?
Q199.针对Windows系统有哪几种补丁管理产品,其作用是什么?
Q200.部署安全审计产品能起到什么作用?在哪些安全需求下需要部署安全审计产品?
Q201.目前有哪些种类的安全审计产品?
Q202.数据库安全审计产品一般能完成哪些审计功能?
Q203.统一身份认证系统的主要功能是什么?
Q204.什么是动态令牌,采用动态令牌有什么好处?
Q205.什么是USBKey,采用这类产品能够防止哪些网络安全问题?
Q206.部署VPN等远程接入类产品时如何防止非安全终端接入网络?
Q207.什么是统一威胁管理(UTM)安全设备?
Q208.在哪些环境下适合部署UTM系统?
Q209.什么是安全操作中心(SOC),其主要功能和作用是什么?
缩略语
参考文献
③ 利用木桶原理论述,如果你是某企业设备主管,你如何开展生产线的维护工作
哎..这木桶原理有本书的!建议你去好好看下!简单的维护工作方面就和安全生产有关系!既然和安全生产有关系就必须有完善安全生产检查检查制度,并且落实专业人专管等维护、维修工作,并且做好“三化管理”也是就所谓的制度化、规范化、程序化!这个木桶的原理最简单、直接告诉我们就是如何找自己存在的不足,找到并加以修正。
④ 网络安全的两个支柱是指
摘要 您好,网络安全有两个支柱,一个是技术、一个是管理。条莱垍头
⑤ 如何正确理解木桶原理
一只木桶能够装多少水,取决于它最短的那块木板。当木桶上每一块木板都一样长,而且没有缺的、裂的,那么这只木桶能够装最多的水,也就是装满,当木桶上的木板都参差不齐,有一块特别的短,那么这只木桶能够装的水,最多只能够与这块短板齐平。这就是我们所说的木桶原理,也有人称之为短板效应。
002:木桶原理的别样解法
我们都认为,木桶能够装多少水,取决于最短的板。换个角度来想,如果我们把木桶倾斜,它能够装多少水,不就取决于最长的那块板了,最短的板反而变得不重要了。
在职场上,有不少人会成为其他企业高薪聘请的人才,关键就在于他们所掌握的资源和能力。他们的综合能力不一定有多高,像程序员、设计师,他们靠技术吃饭,技术越厉害,就越是值钱,很少有人在乎他们在其他方面的能力,企业要聘用他们,在乎的就是他们的技术,就是他们最擅长的方面。
总而言之一句话,木桶原理有其道理所在,但是也不可完全听信木桶理论,要具体情况具体分析,盲目套用不仅不能达到目的,反而还可能耽误自己的发展。
⑥ 木桶原理所适用的范围,以及它深层含义
木桶原理(Cannikin Law)
木桶原理又称短板理论,木桶短板管理理论。
所谓“木桶理论”也即“木桶定律”,其核心内容为:一只木桶盛水的多少,并不取决于桶壁上最高的那块木块,而恰恰取决于桶壁上最短的那块。根据这一核心内容,“木桶理论”还有两个推论:其一,只有桶壁上的所有木板都足够高,那木桶才能盛满水。其二,只要这个木桶里有一块不够高度,木桶里的水就不可能是满的。
对这个理论,初听时你会觉得怀疑:最长的怎么反而不如最短的?继而就会是理解和赞同了:确实!木桶盛水的多少,起决定性作用的不是那块最长的木板,而是那块最短的木板。因为长的板子再长也没有用,水的界面是与最短的木板平齐的。“决定木桶容量大小的竟然不是其中最长的那块木板,而是其中最短的木板!”这似乎与常规思维格格不入,然而却被证明为正确的论断。
“木桶理论”可以启发我们思考许多问题,比如企业团队精神建设的重要性。在一个团队里,决定这个团队战斗力强弱的不是那个能力最强、表现最好的人,而恰恰是那个能力最弱、表现最差的落后者。因为,最短的木板在对最长的木板起着限制和制约作用,决定了这个团队的战斗力,影响了这个团队的综合实力。也就是说,要想方设法让短板子达到长板子的高度或者让所有的板子维持“足够高”的相等高度,才能完全发挥团队作用,充分体现团队精神。
⑦ 管理学中的木桶原理是指什么
管理学中的木桶原理是指多块木板构成的水桶,其价值在于其盛水量的多少,但决定水桶盛水量多少的关键因素不是其最长的板块,而是其最短的板块。这就是说任何一个组织,可能面临的一个共同问题,即构成组织的各个部分往往是优劣不齐的,而劣势部分往往决定整个组织的水平。
“木桶定律”极为巧妙和别致的。但随着它被应用得越来越频繁,应用场合及范围也越来越广泛,已基本由一个单纯的比喻上升到了理论的高度。这由许多块木板组成的“木桶”不仅可象征一个企业、一个部门、一个班组,也可象征某一个员工,而“木桶”的最大容量则象征着整体的实力和竞争力。
木桶理论的动态演变
首先,在储水前要清楚这样一个疑问,是先有水还是先有桶,先有大木桶还是先有小木桶,按照木桶理论,必然是先有木桶,再有水,然后不断调整,从小木桶到大木桶,从短木桶到长木桶,没有哪只木桶一开始就非常大非常深的。
然而在实践上,也许是先有水再有木桶,或者是先有不成形的木桶,甚至只有几块木板,而不是桶,然后通过这几块紧缺的垄断的木板资源,赚到第一桶金,然后才做出第一个木桶。
其次,储水量的多少是动态的,目标设定储多少水,决定于做多少长的木板,而不是越多越好。多了是浪费投资,少了是不求进取。
储水量的多少,有时并不是企业竞争的全部,市场竞争并不是所有木板都超过对手,有时为了竞争需要还故意卖个破碇给对手,而以自己的集中优势攻别人的相对弱势取得胜利。
以上内容参考网络-木桶原理
⑧ 信息安全的“木桶原理”是什么
木桶盛水的多少…不取决于最长的那块儿木板!而是最短的!
⑨ 网络安全中木桶原理通常是指
在网络管理的某一方面存在不足,整体拉低了安全防护水准。比如没有做好物理防护等等
⑩ 网络安全方案框架编写时需要注意什么
总体上说,一份安全解决方案的框架涉及6大方面:
1、概要安全风险分析;
2、实际安全风险分析;
3、网络系统的安全原则;
4、安全产品;
5、风险评估;
6、安全服务。
一份网络安全方案需要从以下8个方面来把握
1、体现唯一性,由于安全的复杂性和特殊性,唯一性是评估安全方案最重要的一个标准。实际中,每一个特定网络都是唯一的,需要根据实际情况来处理。
2、对安全技术和安全风险有一个综合把握和理解,包括可能出现的所有情况。
3、对用户的网络系统可能遇到的安全风险和安全威胁,结合现有的安全技术和安全风险,要有一个合适、中肯的评估,不能夸大,也不能缩小。
4、对症下药,用相应的安全产品、安全技术和管理手段,降低用户的网络系统当前可能遇到的风险和威胁,消除风险和威胁的根源,增强整个网络系统抵抗风险和威胁的能力,增强系统本身的免疫力。
5、方案中要体现出对用户的服务支持。
6、在设计方案的时候,要明白网络系统安全是一个动态的、整体的、专业的工程,不能一步到位解决用户所有的问题。
7、方案出来后,要不断的和用户进行沟通,能够及时的得到他们对网络系统在安全方面的要求、期望和所遇到的问题。
8、方案中所涉及的产品和技术,都要经得起验证、推敲和实施,要有理论根据,也要有实际基础。