安全问题的本质是信任的问题,并是一个持续的过程。
安全三要素
Confidentiality:机密性-----要求保护数据内容不能泄密
Integrity:完整性-----要求保护数据内容的完整,没有被篡改
Availability :可用性----要求保护资源是“随需而得”
如何实施安全评估
资产等级划分、威胁分析、风险分析、确认解决方案,这个实施过程是层层递进的,前后之间有因果关系。
资产登记划分:该项是所有工作基础,明确目标是什么,要保护什么;
威胁分析 :就是把所有的威胁都找出来(常用头脑风暴法)
可能造成危害的来源称为威胁(Threat)
互联网安全的核心问题,是数据安全的问题
威胁 | 定义 | 对应的安全属性 |
Spoofing(伪装) | 冒充他人身份 | 认证 |
Tampering(篡改) | 修改数据或代码 | 完整性 |
Repudiation(抵赖) | 否认做过的事情 | 不可抵赖性 |
informationdisclosure(信息泄露) | 机密信息泄露 | 机密性 |
Denial of Service (拒绝服务) | 拒绝服务 | 可用性 |
Elevation of Privilege(提升权限) | 未经授权获得许可 | 授权 |
风险分析:
可能出现的损失称为风险(Risk)
Risk = Probability * damage Potential
y影响风险高低的因素,除了造成损失大小外,还需要考虑到发生的可能性。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。