建議樓主去非黑客論壇看看 裡面有很多值得學習的地方
有三種網路安全機制。 概述:
隨著TCP/IP協議群在互聯網上的廣泛採用,信息技術與網路技術得到了飛速發展。隨之而來的是安全風險問題的急劇增加。為了保護國家公眾信息網以及企業內聯網和外聯網信息和數據的安全,要大力發展基於信息網路的安全技術。
信息與網路安全技術的目標
由於互聯網的開放性、連通性和自由性,用戶在享受各類共有信息資源的同事,也存在著自己的秘密信息可能被侵犯或被惡意破壞的危險。信息安全的目標就是保護有可能被侵犯或破壞的機密信息不被外界非法操作者的控制。具體要達到:保密性、完整性、可用性、可控性等目標。
網路安全體系結構
國際標准化組織(ISO)在開放系統互聯參考模型(OSI/RM)的基礎上,於1989年制定了在OSI環境下解決網路安全的規則:安全體系結構。它擴充了基本參考模型,加入了安全問題的各個方面,為開放系統的安全通信提供了一種概念性、功能性及一致性的途徑。OSI安全體系包含七個層次:物理層、數據鏈路層、網路層、傳輸層、會話層、表示層和應用層。在各層次間進行的安全機制有:
1、加密機制
衡量一個加密技術的可靠性,主要取決於解密過程的難度,而這取決於密鑰的長度和演算法。
1)對稱密鑰加密體制對稱密鑰加密技術使用相同的密鑰對數據進行加密和解密,發送者和接收者用相同的密鑰。對稱密鑰加密技術的典型演算法是DES(Data Encryption Standard數據加密標准)。DES的密鑰長度為56bit,其加密演算法是公開的,其保密性僅取決於對密鑰的保密。優點是:加密處理簡單,加密解密速度快。缺點是:密鑰管理困難。
2)非對稱密鑰加密體制非對稱密鑰加密系統,又稱公鑰和私鑰系統。其特點是加密和解密使用不同的密鑰。
(1)非對稱加密系統的關鍵是尋找對應的公鑰和私鑰,並運用某種數學方法使得加密過程成為一個不可逆過程,即用公鑰加密的信息只能用與該公鑰配對的私鑰才能解密;反之亦然。
(2)非對稱密鑰加密的典型演算法是RSA。RSA演算法的理論基礎是數論的歐拉定律,其安全性是基於大數分解的困難性。
優點:(1)解決了密鑰管理問題,通過特有的密鑰發放體制,使得當用戶數大幅度增加時,密鑰也不會向外擴散;(2)由於密鑰已事先分配,不需要在通信過程中傳輸密鑰,安全性大大提高;(3)具有很高的加密強度。
缺點:加密、解密的速度較慢。
2、安全認證機制
在電子商務活動中,為保證商務、交易及支付活動的真實可靠,需要有一種機制來驗證活動中各方的真實身份。安全認證是維持電子商務活動正常進行的保證,它涉及到安全管理、加密處理、PKI及認證管理等重要問題。目前已經有一套完整的技術解決方案可以應用。採用國際通用的PKI技術、X.509證書標准和X.500信息發布標准等技術標准可以安全發放證書,進行安全認證。當然,認證機制還需要法律法規支持。安全認證需要的法律問題包括信用立法、電子簽名法、電子交易法、認證管理法律等。
1)數字摘要
數字摘要採用單向Hash函數對信息進行某種變換運算得到固定長度的摘要,並在傳輸信息時將之加入文件一同送給接收方;接收方收到文件後,用相同的方法進行變換運算得到另一個摘要;然後將自己運算得到的摘要與發送過來的摘要進行比較。這種方法可以驗證數據的完整性。
2)數字信封
數字信封用加密技術來保證只有特定的收信人才能閱讀信的內容。具體方法是:信息發送方採用對稱密鑰來加密信息,然後再用接收方的公鑰來加密此對稱密鑰(這部分稱為數字信封),再將它和信息一起發送給接收方;接收方先用相應的私鑰打開數字信封,得到對稱密鑰,然後使用對稱密鑰再解開信息。
3)數字簽名
數字簽名是指發送方以電子形式簽名一個消息或文件,表示簽名人對該消息或文件的內容負有責任。數字簽名綜合使用了數字摘要和非對稱加密技術,可以在保證數據完整性的同時保證數據的真實性。
4)數字時間戳
數字時間戳服務(DTS)是提供電子文件發表時間認證的網路安全服務。它由專門的機構(DTS)提供。
5)數字證書
數字證書(Digital ID)含有證書持有者的有關信息,是在網路上證明證書持有者身份的數字標識,它由權威的認證中心(CA)頒發。CA是一個專門驗證交易各方身份的權威機構,它向涉及交易的實體頒發數字證書。數字證書由CA做了數字簽名,任何第三方都無法修改證書內容。交易各方通過出示自己的數字證書來證明自己的身份。
在電子商務中,數字證書主要有客戶證書、商家證書兩種。客戶證書用於證明電子商務活動中客戶端的身份,一般安裝在客戶瀏覽器上。商家證書簽發給向客戶提供服務的商家,一般安裝在商家的伺服器中,用於向客戶證明商家的合法身份。
3、訪問控制策略
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用。下面我們分述幾種常見的訪問控制策略。
1)入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,以及用戶入網時間和入網地點。
用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。只有通過各道關卡,該用戶才能順利入網。
對用戶名和口令進行驗證是防止非法訪問的首道防線。用戶登錄時,首先輸入用戶名和口令,伺服器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證輸入的口令,否則,用戶將被拒之網路之外。用戶口令是用戶入網的關鍵所在。為保證口令的安全性,口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密,加密的方法很多,其中最常見的方法有:基於單向函數的口令加密,基於測試模式的口令加密,基於公鑰加密方案的口令加密,基於平方剩餘的口令加密,基於多項式共享的口令加密,基於數字簽名方案的口令加密等。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。
2)網路的許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問許可權將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;(3)審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。
3)目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在月錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權(Supervisor)、讀許可權(Read)、寫許可權(Write)、創建許可權(Create)、刪除許可權(Erase)、修改許可權(MOdify)、文件查找許可權(FileScan)、存取控制許可權(AccessControl)。用戶對文件或目標的有效許可權取決於以下二個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問,從而加強了網路和伺服器的安全性。
隨著計算機技術和通信技術的發展,計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各個領域。因此,認清網路的脆弱性和潛在威脅,採取強有力的安全策略,對於保障網路信息傳輸的安全性將變得十分重要。
Ⅱ 網路信息安全包括哪些方面
網路信息安全包括以下方面:
1、網路安全模型
通信雙方在網路上傳輸信息,需要先在發收之間建立一條邏輯通道。這就要先確定從發送端到接收端的路由,再選擇該路由上使用的通信協議,如TCP/IP。
2、信息安全框架
網路信息安全可看成是多個安全單元的集合。其中,每個單元都是一個整體,包含了多個特性。一般,人們從三個主要特性——安全特性、安全層次和系統單元去理解網路信息安全。
3、安全拓展
網路信息安全往往是根據系統及計算機方面做安全部署,很容易遺忘人才是這個網路信息安全中的脆弱點,而社會工程學攻擊則是這種脆弱點的擊破方法。社會工程學是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊,是防不勝防的。
(2)網路的安全機制有哪些擴展閱讀:
網路信息安全的主要特徵:
1、完整性
指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性,即保持信息原樣性,使信息能正確生成、存儲、傳輸,這是最基本的安全特徵。
2、保密性
指信息按給定要求不泄漏給非授權的個人、實體或過程,或提供其利用的特性,即杜絕有用信息泄漏給非授權個人或實體,強調有用信息只被授權對象使用的特徵。
3、可用性
指網路信息可被授權實體正確訪問,並按要求能正常使用或在非正常情況下能恢復使用的特徵,即在系統運行時能正確存取所需信息,當系統遭受攻擊或破壞時,能迅速恢復並能投入使用。可用性是衡量網路信息系統面向用戶的一種安全性能。
4、不可否認性
指通信雙方在信息交互過程中,確信參與者本身,以及參與者所提供的信息的真實同一性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。
5、可控性
指對流通在網路系統中的信息傳播及具體內容能夠實現有效控制的特性,即網路系統中的任何信息要在一定傳輸范圍和存放空間內可控。除了採用常規的傳播站點和傳播內容監控這種形式外,最典型的如密碼的託管政策,當加密演算法交由第三方管理時,必須嚴格按規定可控執行。
Ⅲ 網路系統安全性設計原則有哪些
根據防範安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素,參照SSE-CMM("系統安全工程能力成熟模型")和ISO17799(信息安全管理標准)等國際標准,綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面,網路安全防範體系在整體設計過程中應遵循以下9項原則:
1.網路信息安全的木桶原則
網路信息安全的木桶原則是指對信息均衡、全面的進行保護。「木桶的最大容積取決於最短的一塊木板」。網路信息系統是一個復雜的計算機系統,它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是多用戶網路系統自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的「最易滲透原則」,必然在系統中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統的安全漏洞和安全威脅進行分析,評估和檢測(包括模擬攻擊)是設計信息安全系統的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段,根本目的是提高整個系統的"安全最低點"的安全性能。
2.網路信息安全的整體性原則
要求在網路發生被攻擊、破壞事件的情況下,必須盡可能地快速恢復網路信息中心的服務,減少損失。因此,信息安全系統應該包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據具體系統存在的各種安全威脅採取的相應的防護措施,避免非法攻擊的進行。安全檢測機制是檢測系統的運行情況,及時發現和制止對系統進行的各種攻擊。安全恢復機制是在安全防護機制失效的情況下,進行應急處理和盡量、及時地恢復信息,減少供給的破壞程度。
3.安全性評價與平衡原則
對任何網路,絕對安全難以達到,也不一定是必要的,所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與代價的關系,做到安全性與可用性相容,做到組織上可執行。評價信息是否安全,沒有絕對的評判標准和衡量指標,只能決定於系統的用戶需求和具體的應用環境,具體取決於系統的規模和范圍,系統的性質和信息的重要程度。
4.標准化與一致性原則
系統是一個龐大的系統工程,其安全體系的設計必須遵循一系列的標准,這樣才能確保各個分系統的一致性,使整個系統安全地互聯互通、信息共享。
5.技術與管理相結合原則
安全體系是一個復雜的系統工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現。因此,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。
6.統籌規劃,分步實施原則
由於政策規定、服務需求的不明朗,環境、條件、時間的變化,攻擊手段的進步,安全防護不可能一步到位,可在一個比較全面的安全規劃下,根據網路的實際需要,先建立基本的安全體系,保證基本的、必須的安全性。隨著今後隨著網路規模的擴大及應用的增加,網路應用和復雜程度的變化,網路脆弱性也會不斷增加,調整或增強安全防護力度,保證整個網路最根本的安全需求。
7.等級性原則
等級性原則是指安全層次和安全級別。良好的信息安全系統必然是分為不同等級的,包括對信息保密程度分級,對用戶操作許可權分級,對網路安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網路層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全演算法和安全體制,以滿足網路中不同層次的各種實際需求。
8.動態發展原則
要根據網路安全的變化不斷調整安全措施,適應新的網路環境,滿足新的網路安全需求。
9.易操作性原則
首先,安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。
Ⅳ 網路安全機制有哪些
1、安全攻擊、安全機制和安全服務
ITU-T X.800標准將我們常說的「網路安全(networksecurity)。
Ⅳ 關於計算機網路安全制度有哪些
網路安全管理機構和制度 網路安全管理機構和規章制度是網路安全的組織與制度保障。網路安全管理的制度包括人事資源管理、資產物業管理、教育培訓、資格認證、人事考核鑒定製度、動態運行機制、日常工作規范、崗位責任制度等。建立健全網路安全管理機構和各項規章制度,需要做好以下幾個方面。 1.完善管理機構和崗位責任制 計算機網路系統的安全涉及整個系統和機構的安全、效益及聲譽。系統安全保密工作最好由單位主要領導負責,必要時設置專門機構,如安全管理中心SOC等,協助主要領導管理。重要單位、要害部門的安全保密工作分別由安全、保密、保衛和技術部門分工負責。所有領導機構、重要計算機系統的安全組織機構,包括安全審查機構、安全決策機構、安全管理機構,都要建立和健全各項規章制度。 完善專門的安全防範組織和人員。各單位須建立相應的計算機信息系統安全委員會、安全小組、安全員。安全組織成員應由主管領導、公安保衛、信息中心、人事、審計等部門的工作人員組成,必要時可聘請相關部門的專家組成。安全組織也可成立專門的獨立、認證機構。對安全組織的成立、成員的變動等應定期向公安計算機安全監察部門報告。對計算機信息系統中發生的案件,應當在規定時間內向當地區(縣)級及以上公安機關報告,並受公安機關對計算機有害數據防治工作的監督、檢查和指導。 制定各類人員的崗位責任制,嚴格紀律、管理和分工的原則,不準串崗、兼崗,嚴禁程序設計師同時兼任系統操作員,嚴格禁止系統管理員、終端操作員和系統設計人員混崗。 專職安全管理人員具體負責本系統區域內安全策略的實施,保證安全策略的長期有效:負責軟硬體的安裝維護、日常操作監視,應急條件下安全措施的恢復和風險分析等;負責整個系統的安全,對整個系統的授權、修改、特權、口令、違章報告、報警記錄處理、控制台日誌審閱負責,遇到重大問題不能解決時要及時向主管領導報告。 安全審計人員監視系統運行情況,收集對系統資源的各種非法訪問事件,並對非法事件進行記錄、分析和處理。必要時將審計事件及時上報主管部門。 保安人員負責非技術性常規安全工作,如系統周邊的警衛、辦公安全、出入門驗證等。 2.健全安全管理規章制度 建立健全完善的安全管理規章制度,並認真貫徹落實非常重要。常用的網路安全管理規章制度包括以下7個方面: 1)系統運行維護管理制度。包括設備管理維護制度、軟體維護制度、用戶管理制度、密鑰管理制度、出入門衛管理值班制度、各種操作規程及守則、各種行政領導部門的定期檢查或監督制度。機要重地的機房應規定雙人進出及不準單人在機房操作計算機的制度。機房門加雙鎖,保證兩把鑰匙同時使用才能打開機房。信息處理機要專機專用,不允許兼作其他用途。終端操作員因故離開終端必須退出登錄畫面,避免其他人員非法使用。 2)計算機處理控制管理制度。包括編制及控制數據處理流程、程序軟體和數據的管理、拷貝移植和存儲介質的管理,文件檔案日誌的標准化和通信網路系統的管理。 3)文檔資料管理。各種憑證、單據、賬簿、報表和文字資科,必須妥善保管和嚴格控制;交叉復核記賬;各類人員所掌握的資料要與其職責一致,如終端操作員只能閱讀終端操作規程、手冊,只有系統管理員才能使用系統手冊。 4)操作及管理人員的管理制度。建立健全各種相關人員的管理制度,主要包括: ① 指定具體使用和操作的計算機或伺服器,明確工作職責、許可權和范圍; ② 程序員、系統管理員、操作員崗位分離且不混崗; ③ 禁止在系統運行的機器上做與工作無關的操作; ④ 不越權運行程序,不查閱無關參數; ⑤ 當系統出現操作異常時應立即報告; ⑥ 建立和完善工程技術人員的管理制度; ⑦ 當相關人員調離時,應採取相應的安全管理措施。如人員調離的時馬上收回鑰匙、移交工作、更換口令、取消賬號,並向被調離的工作人員申明其保密義務。 5) 機房安全管理規章制度。建立健全的機房管理規章制度,經常對有關人員進行安全教育與培訓,定期或隨機地進行安全檢查。機房管理規章制度主要包括:機房門衛管理、機房安全工作、機房衛生工作、機房操作管理等。 6)其他的重要管理制度。主要包括:系統軟體與應用軟體管理制度、數據管理制度、密碼口令管理制度、網路通信安全管理制度、病毒的防治管理制度、實行安全等級保護制度、實行網路電子公告系統的用戶登記和信息管理制度、對外交流維護管理制度等。 7)風險分析及安全培訓 ① 定期進行風險分析,制定意外災難應急恢復計劃和方案。如關鍵技術人員的多種聯絡方法、備份數據的取得、系統重建的組織。 ② 建立安全考核培訓制度。除了應當對關鍵崗位的人員和新員工進行考核之外,還要定期進行計算機安全方面的法律教育、職業道德教育和計算機安全技術更新等方面的教育培訓。 對於從事涉及國家安全、軍事機密、財政金融或人事檔案等重要信息的工作人員更要重視安全教育,並應挑選可靠素質好的人員擔任。 3.堅持合作交流制度 計算機網路在快速發展中,面臨嚴峻的安全問題。維護互聯網安全是全球的共識和責任,網路運營商更負有重要責任,應對此高度關注,發揮互聯網積極、正面的作用,包括對青少年在內的廣大用戶負責。各級政府也有責任為企業和消費者創造一個共享、安全的網路環境,同時也需要行業組織、企業和各利益相關方的共同努力。因此,應當大力加強與相關業務往來單位和安全機構的合作與交流,密切配合共同維護網路安全,及時獲得必要的安全管理信息和專業技術支持與更新。國內外也應當進一步加強交流與合作,拓寬網路安全國際合作渠道,建立政府、網路安全機構、行業組織及企業之間多層次、多渠道、齊抓共管的合作機制。 拓展閱讀:網路安全技術及應用(第2版)機械工業出版社 賈鐵軍主編 上海優秀教材獎
Ⅵ OSI網路安全體系結構的五類安全服務和八類安全機制分別是什麼
八大類特定安全機制包括加密機制、數據簽名機制、訪問控制機制、數據完整性機制、認證機制、業務流填充機制、路由控制機制、公正機制。
五類安全服務包括認證(鑒別)服務、訪問控制服務、數據保密性服務、數據完整性服務和抗否認性服務。
Ⅶ 物聯網的網路安全機制有哪幾種
是如何確保設備本身安全。某些設備或設施可能無人值守地運行,因此不受頻繁的安全性影響。報告稱,使這些設備防篡改可能是有利的,因為這種類型的端點強化可以幫助阻止潛在的入侵者獲取數據。它也可能抵禦黑客或其他網路犯罪分子的攻擊。
作為一種最佳實踐,安全端點強化可能意味著部署一種分層方法,要求攻擊者繞過多重障礙,旨在保護設備及其數據免遭未經授權的訪問和使用。企業應該保護已知的漏洞,如開放的TCP/UDP埠,開放的串列埠,開放的密碼提示,Web伺服器、未加密的通信、無線連接等注入代碼的位置。
另一個保護設備的辦法是根據需要升級或部署安全補丁。但請記住,許多設備供應商在構建和銷售設備時並不關注安全性。正如調查報告指出的那樣,許多物聯網設備被破壞後是不可修補的,因此無法保證安全。在投資的設備採用工業物聯網之前,需要評估設備的安全功能,並確保供應商對設備進行徹底的安全測試。
當物聯網設備試圖連接到網路或服務時,要小心地管理物聯網設備的身份驗證,以確保信任是非常重要的。公鑰基礎設施(PKI)和數字證書為物聯網設備身份和信任提供了安全基礎。
如何保障物聯網的安全?
物聯網安全解決方案
Ⅷ 網路安全技術機制主要有哪些
有三種網路安全機制。 隨著TCP/IP協議群在互聯網上的廣泛採用,信息技術與網路技術得到了飛速發展。隨之而來的是安全風險問題的急劇增加。為了保護國家公眾信息網以及企業內聯網和外聯網信息和數據的安全,要大力發展基於信息網路的安全技術。
信息與網路安全技術的目標:由於互聯網的開放性、連通性和自由性,用戶在享受各類共有信息資源的同事,也存在著自己的秘密信息可能被侵犯或被惡意破壞的危險。信息安全的目標就是保護有可能被侵犯或破壞的機密信息不被外界非法操作者的控制。具體要達到:保密性、完整性、可用性、可控性等目標。
國際標准化組織(ISO)在開放系統互聯參考模型(OSI/RM)的基礎上,於1989年制定了在OSI環境下解決網路安全的規則:安全體系結構。它擴充了基本參考模型,加入了安全問題的各個方面,為開放系統的安全通信提供了一種概念性、功能性及一致性的途徑。OSI安全體系包含七個層次:物理層、數據鏈路層、網路層、傳輸層、會話層、表示層和應用層。
Ⅸ 什麼是網路安全,常用的安全措施有那些
網路安全(Network Security)指利用網路技術、管理和控制等措施,保證網路系統和信息的保密性、完整性、可用性、可控性和可審查性受到保護。即保證網路系統的硬體、軟體及系統中的數據資源得到完整、准確、連續運行與服務不受干擾破壞和非授權使用。ISO/IEC27032的網路安全定義則是指對網路的設計、實施和運營等過程中的信息及其相關系統的安全保護。
網路安全的主要措施包括:操作系統安全、資料庫安全、網路站點安全、病毒與防護、訪問控制、加密與鑒別等方面,具體內容將在以後章節中分別進行詳細介紹。從層次結構上,也可將網路安全相關的措施概括為以下五個方面。網路安全措施及體系見圖書。
1)實體安全。也稱物理安全,指保護網路設備、設施及其他媒介免遭地震、水災、火災、有害氣體和其他環境事故破壞的措施及過程。&具體參見1.5介紹。
2)系統安全。系統安全包括網路系統安全、操作系統安全和資料庫系統安全。主要以網路系統的特點、條件和管理要求為依據,通過有針對性地為系統提供安全策略機制、保障措施、應急修復方法、安全要求和管理規范等,確保整個網路系統安全。
3)運行安全。包括網路系統的運行安全和訪問控制安全,如用防火牆進行內外網隔離、訪問控制、系統恢復。運行安全包括:內外網隔離機制、應急處置機制和配套服務、網路系統安全性監測、網路安全產品運行監測、定期檢查和評估、系統升級和補丁處理、跟蹤最新安全漏洞、災難恢復機制與預防、安全審計、系統改造、網路安全咨詢等。
4)應用安全。由應用軟體平台安全和應用數據安全兩部分組成。應用安全包括:業務應用軟體的程序安全性測試分析、業務數據的安全檢測與審計、數據資源訪問控制驗證測試、實體身份鑒別檢測、業務數據備份與恢復機制檢查、數據唯一性或一致性、防沖突檢測、數據保密性測試、系統可靠性測試和系統可用性測試等。
5)管理安全。也稱安全管理,主要指對人員、網路系統和應用與服務等要素的安全管理,涉及的各種法律、法規、政策、策略、機制、規范、標准、技術手段和措施等內容。主要包括:法律法規管理、政策策略管理、規范標准管理、人員管理、應用系統管理、軟體管理、設備管理、文檔管理、數據管理、操作管理、運營管理、機房管理、安全培訓管理等。