信息安全的目的:保护企业信息资产。 信息安全的核心目标是为关键资产提供资产提供机密性、完整性和可用性(CIA三元组)保护。 机密性:信息不会被泄露给非授权用户或实体; 威胁信息安全的因素有:自然灾害、硬件故障、软件故障、未授权访问、拒绝服务、数据泄露、假冒和欺诈、线路窃听、计算机病毒、特洛伊木马、后门和陷阱、电磁辐射、盗窃。
对称密钥技术:又叫专用密钥加密,即发送和接收数据的双方比使用相同的密钥对明文进行加密和解密运算。对称密钥加密算法主要包括:DES、3DES。 非对称密钥技术:又叫公开密钥加密。用两对密钥:一个公共密钥和一个专用密钥。 信息安全管理是人员、管理与技术三者的互动。
信息安全管理体系的建设流程是有标准可循的,主要有风险评估、风险处理、风险管理、管理风险。 风险评估是信息安全管理的基础,风险处理时信息安全管理的核心,风险管理时信息安全管理的根本方法,控制措施时管理风险的具体手段, 信息安全管理--控制子域: TCP/IP协议栈常见安全风险: 各协议栈常见安全威胁:物理层-线路侦听,链路层-MAC欺骗,网络层-Smurf,传输层-TCP欺骗、UDP Flood攻击,应用层-缓冲区溢出攻击。 OSI安全体系:
5种安全服务:鉴别服务、访问控制、数据完整性、数据保密性、抵抗依赖性。 安全服务和安全机制的关系: 功能层和安全机制的关系: 安全协议分层: 安全保证系统包括物理安全、网络安全、主机安全、应用安全、应用安全、数据安全。 来源:https://www./content-4-746951.html |
|