通用安全原则
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
檢視每個部門是如何使用安全策略。 提防允許每個部門各自解釋策略或擁有自 己的策略,否則會影響整個安全策略的效 果,並造成安全漏洞。 確保組織機構中的所有等級,包括高層管 理人員也要遵守這個安全策略。
8-2-3 根據需求安置設備
購買最新設備和軟體的願望是容易實現的。
但是,你應該時常考慮技術要如何才能滿 足特殊業務的需求。為做到這一點,需要 實施需求評估稽核。這種評估稽核是幫助 你確定一個特殊設備或軟體是否必需的主 要工具。
Hat Linux 發動一次實體攻擊。本練習假設你的Linux 系統正在使用預設的Linux載入器(LILO) 安裝,而不是使用GRUB的開機管理程式。
8-2-7 對Windows 2000伺服器進行 實體攻擊
在這個練習中,將使用免費軟體更改密碼
程式對Windows 2000伺服器獲得管理者 存取權。這個應用程式是超級更改的實例。
intrusion)到災難性事件(catastrophic event)。 保護資料的最好方法是對它進行完全的備 份。 即使做過備份,災難性事件也會導致資料 永久性的遺失,因此,可以把異地備援作 為一種選擇。
8-1-5 校驗資料備份
未經核對的資料備份與根本沒有備份一樣
是沒有價值的。採取特殊措施確認所有的 備份正確地保存著資料。 確保資料備份和儲存安全的方法︰ 1.資料校驗 2.介質校驗 3.儲存地點校驗 4.過程校驗
一個成功的安全系統是矩陣(matrix),
或個人方法、技術和子系統的組合。 在各個方面使用多種技巧和技術的組合, 可以避免單一技術的弱點,而能夠全面提 高安全的有效性。 沒有一種產品、技術或解決方案能夠提供 全面的保護以對付所有的威脅。
8-1-4 盡可能使損壞最小化
安全威脅的範圍從簡單入侵(simple
需求評估稽核的元素
8-2-4 確定業務問題
安全已經成為重要的業務問題,主要是因
為涉及費用。 費用支援(Chargeback)是正確使用各種 網路安全服務成本的能力。 同一家大企業內的部門和小組經常採用費 用支援方式。
8-2-5 考慮實體安全性
許多組織機構已經使用了完善的安全軟體,
安全策略的特性
強制執行的安全策略提供貫穿組織機構的連
續性。 當對攻擊做出回應的時候,你的安全策略是 第一個需要考慮的資源。 安全策略應該可以進行變動。有時,為了反 映當前業務的需求,你的策略將被更新。 當安全策略發生變化時,要讓所有的員工都 知道這些變化很重要。
8-1-3 沒有獨立的系統或技術
第八章 通用安全原則
8-1 通用安全概述 8-2 部署全公司的執行策略
8-1 通用安全概述
隨著網際網路的快速發展,資訊安全也漸
受重視,病毒的猖獗不僅對使用者個人產 生不便,更影響了許多企業網路的運作, 即使身為使用者,亦應了解基本的安全課 題。
8-1-1 警惕所有的網路活動
系統安全管理員必須比較敏感,在設計和
但沒有想到他們的系統還是被擊敗了,這 是因為目前的機器沒有被有效保護。或許 一個公司會把防火牆和網路放在一個公共 區域,使之受到損害的威脅。另一種可能 是忽略了對不同安全場所的存取限制,讓 伺服器房間的門開著和無人照管。
8-2-6 使用LILO開發和保護Red Hat Linux單啟動模式
在這個小節中,你將練習對Red
8-2-8 建立有效的解決方案
1.經常升級系統
2.檢查系統日誌
3.檢查網路
4.保持最新
Leabharlann Baidu
本章中,你瞭解了在網站中實現安全性時 所要考慮的關鍵原則。如果能堅持這些原 則,就能夠建立一個既有效也容易理解的 安全基礎結構,並且組織中的每個人都會 遵守。安全性必須達到安全要求、公司需 求和政策問題之間的均衡。
適當的培訓是你可以採用的最有效的和最 容易的安全措施之一。
三種常見用戶的培訓步驟
1.終端用戶
必須通知用戶那些被侵入網路的新病毒。 2.管理員 安全管理員必須對最新的威脅和防範措施 保持消息靈通。 3.高層管理人員 需要讓高層管理人員知道最新的工具,它 們用來保護網站的最新安全威脅。
8-2-2 使用完整的安全策略
8-2 部署全公司的執行策略
公司的高級管理人員特別容易忽略安全措
施,那些措施對於必須盡可能快速存取資 訊的一些人來說似乎很不方便。 好的規則是要盡可能設置較少的管理帳號。 公司的計畫中必須讓每個人在每個等級對 安全負有責任。
8-2-1 提供培訓
在安全措施中所有的員工都需要接受培訓。
執行安全系統的時候,要始終假設:駭客 將對它進行圍攻。 把備份放在適當的地方,這樣做的好處是 如果駭客突破一個區域,那麼另一個區域 能夠牽制駭客的行為。這種安全策略雖然 簡單,但它可以拯救整個網路。
8-1-2 必須要有一個安全策略
安全策略是制定所有安全決策的基礎。如
果沒有一個有效的安全策略,管理上將會 前後矛盾,為駭客提供入侵點。 一個全面的安全策略會幫助你校正許多疏 失,並使你在保戶網路安全時做出一致的 決定。 安全策略定義每條需要遵循的規則,並且 包括規則用途的明確解釋。
8-2-3 根據需求安置設備
購買最新設備和軟體的願望是容易實現的。
但是,你應該時常考慮技術要如何才能滿 足特殊業務的需求。為做到這一點,需要 實施需求評估稽核。這種評估稽核是幫助 你確定一個特殊設備或軟體是否必需的主 要工具。
Hat Linux 發動一次實體攻擊。本練習假設你的Linux 系統正在使用預設的Linux載入器(LILO) 安裝,而不是使用GRUB的開機管理程式。
8-2-7 對Windows 2000伺服器進行 實體攻擊
在這個練習中,將使用免費軟體更改密碼
程式對Windows 2000伺服器獲得管理者 存取權。這個應用程式是超級更改的實例。
intrusion)到災難性事件(catastrophic event)。 保護資料的最好方法是對它進行完全的備 份。 即使做過備份,災難性事件也會導致資料 永久性的遺失,因此,可以把異地備援作 為一種選擇。
8-1-5 校驗資料備份
未經核對的資料備份與根本沒有備份一樣
是沒有價值的。採取特殊措施確認所有的 備份正確地保存著資料。 確保資料備份和儲存安全的方法︰ 1.資料校驗 2.介質校驗 3.儲存地點校驗 4.過程校驗
一個成功的安全系統是矩陣(matrix),
或個人方法、技術和子系統的組合。 在各個方面使用多種技巧和技術的組合, 可以避免單一技術的弱點,而能夠全面提 高安全的有效性。 沒有一種產品、技術或解決方案能夠提供 全面的保護以對付所有的威脅。
8-1-4 盡可能使損壞最小化
安全威脅的範圍從簡單入侵(simple
需求評估稽核的元素
8-2-4 確定業務問題
安全已經成為重要的業務問題,主要是因
為涉及費用。 費用支援(Chargeback)是正確使用各種 網路安全服務成本的能力。 同一家大企業內的部門和小組經常採用費 用支援方式。
8-2-5 考慮實體安全性
許多組織機構已經使用了完善的安全軟體,
安全策略的特性
強制執行的安全策略提供貫穿組織機構的連
續性。 當對攻擊做出回應的時候,你的安全策略是 第一個需要考慮的資源。 安全策略應該可以進行變動。有時,為了反 映當前業務的需求,你的策略將被更新。 當安全策略發生變化時,要讓所有的員工都 知道這些變化很重要。
8-1-3 沒有獨立的系統或技術
第八章 通用安全原則
8-1 通用安全概述 8-2 部署全公司的執行策略
8-1 通用安全概述
隨著網際網路的快速發展,資訊安全也漸
受重視,病毒的猖獗不僅對使用者個人產 生不便,更影響了許多企業網路的運作, 即使身為使用者,亦應了解基本的安全課 題。
8-1-1 警惕所有的網路活動
系統安全管理員必須比較敏感,在設計和
但沒有想到他們的系統還是被擊敗了,這 是因為目前的機器沒有被有效保護。或許 一個公司會把防火牆和網路放在一個公共 區域,使之受到損害的威脅。另一種可能 是忽略了對不同安全場所的存取限制,讓 伺服器房間的門開著和無人照管。
8-2-6 使用LILO開發和保護Red Hat Linux單啟動模式
在這個小節中,你將練習對Red
8-2-8 建立有效的解決方案
1.經常升級系統
2.檢查系統日誌
3.檢查網路
4.保持最新
Leabharlann Baidu
本章中,你瞭解了在網站中實現安全性時 所要考慮的關鍵原則。如果能堅持這些原 則,就能夠建立一個既有效也容易理解的 安全基礎結構,並且組織中的每個人都會 遵守。安全性必須達到安全要求、公司需 求和政策問題之間的均衡。
適當的培訓是你可以採用的最有效的和最 容易的安全措施之一。
三種常見用戶的培訓步驟
1.終端用戶
必須通知用戶那些被侵入網路的新病毒。 2.管理員 安全管理員必須對最新的威脅和防範措施 保持消息靈通。 3.高層管理人員 需要讓高層管理人員知道最新的工具,它 們用來保護網站的最新安全威脅。
8-2-2 使用完整的安全策略
8-2 部署全公司的執行策略
公司的高級管理人員特別容易忽略安全措
施,那些措施對於必須盡可能快速存取資 訊的一些人來說似乎很不方便。 好的規則是要盡可能設置較少的管理帳號。 公司的計畫中必須讓每個人在每個等級對 安全負有責任。
8-2-1 提供培訓
在安全措施中所有的員工都需要接受培訓。
執行安全系統的時候,要始終假設:駭客 將對它進行圍攻。 把備份放在適當的地方,這樣做的好處是 如果駭客突破一個區域,那麼另一個區域 能夠牽制駭客的行為。這種安全策略雖然 簡單,但它可以拯救整個網路。
8-1-2 必須要有一個安全策略
安全策略是制定所有安全決策的基礎。如
果沒有一個有效的安全策略,管理上將會 前後矛盾,為駭客提供入侵點。 一個全面的安全策略會幫助你校正許多疏 失,並使你在保戶網路安全時做出一致的 決定。 安全策略定義每條需要遵循的規則,並且 包括規則用途的明確解釋。