十九.信息安全体系

最新推荐文章于 2023-01-30 13:47:21 发布
最新推荐文章于 2023-01-30 13:47:21 发布
阅读量775 收藏
点赞数
分类专栏: 项目管理 文章标签: 加密 算法 解密 通讯 工作 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happypolo/article/details/4722238
版权

1.risk acessment 风险评估 是信息安全的基础性工作;安全系统建设的第一步,起点;

 

2.安全风险是可能性影响的函数,前者是威胁源利用系统本身一种脆弱性的可能性;后者是是风险造成对组织的影响程度;

 

残余风险是指进行了安全管理后仍然存在的风险;只要残余风险在企业的认可范围内,都可以说信息系统是安全的

 

3.风险评估常包括:--->基线评估,详细评估和组合评估三种

 

>>根据安全基线:进行评估,简单,操作性强

>>组合评估是基线和详细评估的综合;;;

 

4. 造成信息资产风险的三要素: 脆弱性(自身漏洞),威胁(外部环境),资产的危险程度(资产本身的重要性)

    风险价值矩阵----进行识别;

 

5.风险管理6步骤:风险管理计划-识别-定性分析-定量分析-应对计划-风险控制

 

--------------------

6.信息安全策略:以密码学为基础

 

A> 密码技术:

 

1>> 对称密码体制:加密及解密密钥(可理解为算法)相同(或者从一个可以推出另外一个)成为对称密码体制:典型的有:DES;

 

.... ====秘密密码体制>>> 加密算法计算速度快;对大数据量的信息的加密码采用这种方法;

 

.... 存在的主要问题是:如何保证通讯各方单独(密钥)的秘密性;如何在发方\接受方间传递---(密钥);

.... 可用于数据加密/信息认证

 

2>> 非对称密码体制:加密及解密密钥(可理解为算法)相同(2个算法); 存在一个加密密钥和一个解密密钥; 

.... ====公钥密码体制>>> 加密速度慢;但管理简单;建立在未证明的理论上,不一定绝对安全;

.... 典型的是RSA(针对大素数分解的算法):两大素数乘积容易,但逆向却非常困难的原理;

 

3.>>实际通讯过程中采用以上2中方法结合: 混合加密体制:大数据量的信息才用对称加密体制进行加密,而对对称密码体制的(密钥)的传递则采用"公钥密码体制";RSA+DES混合加密方法称为"RSA数字信封"

 

=== PKI/CA

 

B> 访问控制技术

 

>>>身份认证

>>>网络安全访问控制

 

 

C>

 

 

 

 

 

 

 

 

 

 

 

happypolo
关注
专栏目录
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3108
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
信息安全体系
Ding 的博客
09-27 674
信息安全体系 信息安全的属性 保密性-信息不被泄露给未经授权方 完整性-信息在存储和传输过程中未经授权不能改变 不可否认性-所有参与者都不可能否认或抵赖曾经完成的操作和承诺 可用性-信息可被授权者访问并按需使用 可控性-对信息的传播及内容具有控制能力 (控制舆论) 系统应当提供的五种服务 认证 --你是谁 访问控制 --你能干什么 数据保密性 数据完整性 不可否认 --发送...
水利网络信息安全体系建设基本技术要求
04-02
水利信息化进入快速发展、全面应用的新阶段,组织开展《技术要求》编制工作,对落实国家有关信息系统等级保护要求、加强水利信息化支撑保障环境建设、保障信息系统的安全稳定运行、促进水利信息化的健康发展是十分必要的;《技术要求》目标明确,网络信息安全体系架构合理,内容全面,符合国家有关等级保护政策和标准要求,对水利网络信息安全体系建设具有重要的指导作用;《技术要求》依据国家信息系统等级保护要求,结合水利信息化实际,提出“两网三区四级”的水利网络信息安全体系框架和分区、分域防护的安全策略,设计合理;《技术要求》提出了各安全区域的安全要素,并对实现安全要素制定了相关措施,具有较强的可操作性。 《技术要求》对指导水利行业各单位、各部门在信息安全等级保护定级以及开展信息系统安全规划、整改及建设工作具有较强的指导作用,会议要求根据专家意见进行修改完善,尽快发布实施。
ISMS信息安全体系与等级保护管理的四层文件架构设计
watermelonbig的专栏
01-31 6074
ISMS信息安全体系与等级保护管理的四层文件架构设计 第一层为:政策方针第二层为:管理制度第三层为:操作规程第四层为:各种记录
应用软件安全开发的基本流程
m0_60258751的博客
11-09 955
应用软件存在大量的漏洞是当前信息安全领域面临的极大困境,云应用软件也同样如此。如何有效减少应用软件内的漏洞,提高应用软件安全是目前应用软件开发中亟待解决的问题,尤其在云计算中,应用软件安全尤为重要。在进行应用软件开发时,应充分参考安全软件开发生命周期相关模型,如下图1所示,强化应用软件在开发、部署和运行的各个阶段中的安全,建立规范化的安全开发流程。
第20章 软件开发安全
HeLLo_a119的博客
01-30 1681
软件开发安全
信息安全管理体系解决方案.docx
09-01
12. **第十二章:信息安全管理体系咨询** - 此章节深入探讨如何设计和实施一个全面的信息安全管理体系,以支持组织的整体信息安全战略。 13. **第十三章:技术方案** - 技术方案可能涵盖各种安全技术,如防火墙、...
数据安全运营体系建设方案.pptx
最新发布
12-15
* 相关法规,如《网络安全法》《数据安全法》(草案)《个人信息安全规范》等。 二、安全系统建设方案简介 * 数据安全运营体系建设目标:技术+管理+运营,形成闭环可持续的数据安全管理、监控、运营能力。 * 安全...
十九大安全保卫工作应急预案.pdf
11-08
总体而言,这个预案充分体现了预先规划、预防为主和应急响应相结合的安保理念,通过组织结构、日常管理和应急操作的具体规定,构建了一套全面的安全保障体系,旨在最大程度地降低潜在风险,确保十九大的顺利进行。
「安全方案」龙芯CPU芯片级内生安全体系 - AI安全.zip
11-25
综上所述,「安全方案」龙芯CPU芯片级内生安全体系 - AI安全,展示了硬件层面的安全设计如何与AI技术结合,构建出更为坚固的信息安全防线,对于保障云计算、物联网和企业信息化的安全具有重要意义。
网络安全体系
11-07
网络安全技术,这是一个网络安全技术的入门书籍,网络安全体系讲的非常详细
了解【信息安全】互联网攻防/渗透、漏洞、安全
pengfei.xu的博客
10-10 1392
信息安全主要保证信息的保密性、真实性、完整性、安全性、抄袭性。信息安全体现了如何防范商业企业机密泄露、国家安全信息机密泄漏、防范青少年对不良信息的浏览、个人信息的泄露等 网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括
ISMS信息安全管理体系与信息系统安全等级保护标准的异同点
watermelonbig的专栏
12-21 6516
两个信息安全标准的相同点 都是为了保护信息安全;都采用了过程方法,前一个过程的输出作为后一个过程的输入;都采用了PDCA的模型,实现持续安全建设;都发布了基本要求,27000信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求;在控制措施或安全子类层面的安全要求上,都或多或少的存在共性。 二、两个信息安全标准的不
信息安全管理体系--文件的等级划分
热门推荐
xiaoemo0725的博客
04-18 1万+
一级文件:纲领性文件;二级文件:程序文件;三级文件:作业指导书; 四级文件:记录
计算机信息安全技术第二版习题参考答案
计算机信息安全技术第二版付永钢课后习题参考答案 计算机信息安全技术是指保护计算机系统、网络和数据免受未经授权的访问、使用、披露、修改或破坏的技术。以下是计算机信息安全技术付永钢第二版课后习题参考答案中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值