安全性基础知识
安全保护等级
-
用户自主–用户需要具备安全保护的能力
-
系统审计–在用户自主的基础上对用户的访问行为进行跟踪和记录(添加日志),要求用户对自己的行为进行负责
-
安全标记–在系统审计级的基础上为访问者和访问对象指定安全标记,以访问对象的安全标记级别限制访问者的传讯,从而实现对访问对象的安全防护
-
结构化–在安全标记级的基础上,将安全保护的对象划分为关键部分和非关键部分,其中关键部分直接控制访问者对访问对象的存储控制
-
访问验证–在结构化的基础上,还具有仲裁访问者能否访问某些对象的能力。为此,本级的安全保护机制不能被攻击、被篡改的,具有极强的抗渗透能力。
安全防护体系
- 实体安全–基础的安全(物理设备的实体安全)
- 平台安全—网络平台、操作系统平台、通用平台(服务、数据库、通信网络)
- 数据安全—数据的机密性、完整性,访问的可控性和数据的可恢复性
- 通信安全—系统之间的数据通信、会话的访问是否可以非法侵犯
- 应用安全—业务逻辑方面
- 运行安全—是动态的,随着系统的运行变化,在安全与不安全之间来回变换
- 管理安全—对安全各个要素的整体控制
数据安全策略
备份与回复是一种数据安全策略
存储设备–磁盘阵列、磁带机(磁带库)、光盘库、SAN设备
存储优化–DAS(直接附加存储)、NAS(网络区域存储)、SAN(存储区域网络)
存储保护–磁盘阵列、双机容错、集群、备份与恢复
存储管理–数据库备份与恢复、文件与卷管理、复制、SAN管理
安全防护策略
安全防护策略是软件系统对抗攻击的主要手段
-
安全日志—是一种被动的防护策略,该策略只记录非法用户的操作日志,不会主动干预措施;可以帮助管理员在事后进行安全分析,排查问题
-
入侵检测(IDS)—是一种主动的防护策略,从网络中采集网络通讯的信息,并执行分析,分析后根据网络通讯的数据特征与攻击库中的进行比较,如果两者相同,就说明有网络攻击产生,有网络攻击产生时,入侵检测可以按照预定的规则进行(产生警报、通知防火墙进行联动)
-
隔离防护—将系统中安全与不安全的部分隔离开来,对于系统的隔离,采用逻辑隔离(防火墙,通过防火墙使IP地址访问到对应的服务器,其他的隔离)、物理隔离(隔离网闸)
-
漏洞扫描—对系统以及网络中的设备的安全相关问题进行扫描,以此发现系统和网络中存在的漏洞,发现后会呈现给管理者,对漏洞给出对应的建议ÿ