-
- 保密:确保信息只能授权人;
- 完整性:保存信息的准确性和完整性以及加工方法;
- 可用性:确保授权用户访问信息和相关资源。
信息安全是通过实施适当的政策、实践、程序、组织结构和软件功能。这些元素必须在某种程度上,具体实现可以实现安全目标。
是很重要的对于每一个组织能够识别他们自己的安全需求。为此,组织必须使用三个主要来源:
-
- 风险评估:威胁资源识别、脆弱性评估这些威胁,他们发生的可能性和潜在影响估计;
- 现有的立法一个组织必须遵守;
- 安全分析:一组特定的原则、目标和需求信息处理(阅读更多:www.computerworld.com/article/2572970/10-steps-to-a-successful-security-policy.html)
为了分析风险,一个组织可以识别自己的安全需求。这样一个过程一般包括四个主要阶段:
-
- 识别资源保护;
- 识别风险/威胁特定于每个资源;
- 风险等级;
- 控制来消除或降低风险的识别。
安全分析应包括以下步骤:
-
- 选择可行的解决方案;
- 建立安全策略;
- 区分和控制连接:
- 通信的划分;
- 网络划分;
- 服务和应用程序使用的划分;
- 国防水平;
- 事件响应策略;
- 资源分配用于安全目的。
- 区分和控制连接:
- 建立安全策略:
- 正式的政策:监视、Graham-Denning贝尔La-Padula,成员,Clark-Wilson,晶格或中国墙;
- 特定的政策:互联网的使用,使用VPN(阅读更多:the-bestvpn.com)、电子邮件的使用,使用加密,使用电子签名,密码管理等;
- 安全机制的实现和程序:
- 系统文档:
- 安全策略——通过管理的最高水平;
- 组安全记录(可追溯性的活动,安全事故,控制,培训、审计和评估报告,等等)。
- 完成工作描述与安全职责;
- 执行安全操作规程(面向流程)。
- 安全认证——周期性控制系统符合文档的起草(内部和外部的审计);
- 安全系统通过安全测试的评估,评估级别的文档和功能满足安全需求的安全机制实施的环境;
- 安全认证——主管机关的决定(业主)授权操作和隐式假设剩余的风险。
- 系统文档:
为了定义其安全策略,公司必须决定:
-
- 哪些威胁应该取消,哪些可以容忍;
- 哪些资源应该被保护和在何种水平;
- 这意味着可以实现安全;
- 价格(财务、人力、社会等)的安全措施,可以接受。
建立安全机制的一个重要方面是金融的部分。一个控制机制的价值不应超过保护。
设置安全策略的目标之后,下一步就是选择安全服务——个体功能,增加了安全性。每个服务可以通过各种方法实现(安全机制)。的实现,它需要所谓的安全管理功能。安全管理包括控制和信息分发系统。目的是使用安全服务和机制报告安全事件可能发生的网络管理员。
下一步是成就的安全模型(阅读更多:en.wikipedia.org/wiki/Information_security # Basic_principles)计算机系统的安全模型可以有几层代表围绕主题的安全级别将得到保护。每一层隔离了主题和使它更难访问它,用不同的方式从底层。
物理安全代表的外部级别安全模型。一般来说,它包括计算机设备的封闭另一个外壳以及确保安全性和访问它。问题之一是备份,备份的数据的形式和程序,以及保持安全的备份媒体。当地的网络,在这种情况下,很有帮助;备份副本可以在单个机器上通过网络可以更容易获得。
物理安全必须接近非常认真,因为所有逻辑安全措施,如设置密码在各自的系统,成为无足轻重的未经授权的访问设备。
另一个重要的问题在计算机系统的物理安全设备或备份媒体的盗窃。
逻辑安全包括的逻辑方法(软件)的控制,以确保访问系统资源和服务。在转,几个水平分成两个大组:级别的访问安全和服务安全水平。
访问安全包括:
-
- 访问系统,负责确定在什么条件和什么时候可以访问系统的用户。访问系统也可能迫使硬断开在某些情况下(如帐户过期,峰值时间等);
- 访问帐户,检查如果用户试图登录一个有效的用户名和密码;
- 访问权限(文件、资源、服务等),确定哪些特权一个给定的用户(或用户组)。
服务安全控制访问服务系统(计算机、网络)。
-
- 服务的控制负责适当的功能和报告,以及激活和失活的各自提供的各种服务系统;
- 权利服务,准确地确定一个特定的帐户如何使用给定的服务(访问文件、资源、优先级等)。
获得一个完美的安全系统应该执行上面所描述的那样,通过这些安全级别从“向上”、“向下”不允许任何的规避。