返回
制定安全规划.pdf

制定安全规划.pdf

ID:53005051

大小:568.72 KB

页数:9页

时间:2020-04-10

制定安全规划.pdf_第1页
制定安全规划.pdf_第2页
制定安全规划.pdf_第3页
制定安全规划.pdf_第4页
制定安全规划.pdf_第5页
资源描述:

《制定安全规划.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、下载第2章制定安全规划好的安全管理开始于合理的规划。本章覆盖了制定安全规划的基本步骤,帮助用户确定需要保护的信息和系统资产,估计它们所面临的威胁,进行开销与收益分析,并制定应用安全措施之前所需的安全策略。为了向规划提供一些额外内容,作者给出了一个多层防御的UNIX安全模型。本章还涉及到一些有关人员的论题,如用户的培训和系统管理员的道德问题等。安全是一个从规划开始的过程。UNIX系统安全管理也许可以不要规划,但这样迟早会导致灾难发生。好的安全规划形成一个防御策略,这反过来成为安全策略的基础。一个安全规划和相随的安全

2、策略是其他安全措施的根基。一个安全规划可以在一份正式文件中声明,由委员会起草,或者是基于安全策略表达成一组简单的方式。如果用户为一家大机构工作,那么肯定存在已经形成的规划。如果第一次为一个突然出现或与Internet相连接的机构工作,则需要临时开发一个安全规划和策略。开发一个安全策略和规划的第一步是通过分析站点面临的危险来产生一个安全评价。一个安全评价应包含一个危险评估,能回答像下面这样的问题:哪些系统和信息资源需要保护?系统中有多少数据且有多大价值?系统面临哪些危险?它们发生的可能性有多大?保护系统所需的时间和

3、工具要多少开销?危险评估提供一个开销和收益的分析。完美的安全性在理论上是可能的,但实际却支付不起。在现实世界中,不安全所受的损失和安全保护的开销之间要进行权衡。一旦一个机构执行了危险评估和开销分析,就可以开始形成安全策略和规划并基于该策略来实现安全。2.1危险评估危险评估需要决定4件事情:1)哪些需要保护;2)它们有多大价值;3)要使它抵御哪些危险;4)怎样来保护。用户需要判定自己的资产、危险并用有效的开销方式判定需要使危险最小化的资源。2.1.1资产确认列出安全域内所有的资产,包括所有的系统,硬件和软件,系统上

4、的所有数据以及人力(时间就是金钱)。考虑硬件、软件和人员。还需要考虑无形的东西,如诚意和名誉等。一个完整的清单上包括的硬件有CPU、主板、RAM、磁盘驱动器、显示器、打印机、电话线、调制解调器、网络缆线、路由器和交换机等。软件资产应包括操作系统二进制代码、操作系统源代码、应用程序、工具,安全软件和诊断程序等。安全域中所有的数据有多少价值?解释并对私有或保密数据进行分类(从顾客数据库到专用应用程序)。另外加上常规数据,包括数据库、文档、备份、系统日志和掉线数据。至于人,就是依赖该系统的用户。他们的时间是很值钱的。如

5、果他们在为一个重要任务工作,则时间也许极其值钱。职员的健康和安全也许同样关键。还要考虑管理员、IT支持人员,甚至顾客和供应商。16UNIX系统安全工具下载最后,更明智的是要确定机构公众形象、声誉和顾客诚意等无形资产。例如对银行来说,诚实可靠的声誉是最根本的。2.1.2资产评估确定资产的价值可能令人生畏。因为是安全评价,所以资产价值不需要很精确。多类资产可以货币为基础估价。有些如软件包、硬件和邮件列表有明显的市场价值。其他可以通过业务中断来估计。对于一个产业集团,应该知道当Web服务器中断一段时间有多大的损失。也可

6、以用另一种方式评估资产。把它作为总预算、资产或整个产业价值的百分比。一个高价值的Internet公司的IT资产可能比它的市场价值更高。资产评估可能会更复杂,因为资产对于拥有者和垂涎者可能有不同的价值。职员名单和合约信息对于HR部门也许没有多少价值,但对代表竞争对手的集团来说则是价值连城的。考虑四种价值评估:所有者的平均期望损失,所有者的最大期望损失,攻击者的平均获利和攻击者的最大获利。自然,对于大机构来说,资产确认和评估是一个更为复杂的过程。在大型公司中,这也许要成立一个委员会,从各个部门也包括IT部门召集人员来

7、参加。如果一个机构有大量机密数据,就可能要以需要知道的为基础,让每个部门报告并仅找出那些在其范围之内的资产。2.1.3判断危险性给出需要保护的资产后,那么危险是什么呢?在这个Internet时代,系统破坏者或侵入者比一些好莱坞电影中描写的还要流行。从大众媒介上来判断,破坏者似乎立刻能出现在任何地方,在这里撕开某机构的防御系统,又到那儿更换一个主页。当网络安全被任何与Internet连接的系统所关注时,在机构内部可能发生更严重的威胁。在内部,从不满的职员到承包商,团体的安全危险评估都相当高。除了恶意侵入者和内部人员

8、外,对于任何计算机系统还有许多威胁安全的方面:从软件缺陷到硬件失效;从把一杯咖啡泼到键盘上到锄耕机切断了上千万根电话线等。下面是对计算机危险的部分分类:¥内部失效—硬件缺陷、软件缺陷、硬件失效。¥环境—火灾、洪水、雷击、龙卷风、地震、爆炸、建筑倒塌、垃圾、灰尘、烟雾、强电磁辐射。¥人员—关键人员的生病死亡、辞职,用户错误、职员能力不足,在Internet上发生信息泄露,蓄

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。