- Văn bản
- Lịch sử
11.1 The BasicsTwo basic patterns i
11.1 The Basics
Two basic patterns in security policy are perimeter security and defense in
depth.
1. Perimeter security is like a castle with a high wall around it. Make
a good wall, and you are free to do what you want inside. Put a good
firewall at the entry to your network, and you don’t have to worry
about what’s inside. Bellovin, Cheswick, and Rubin (2003) refer to
this as the crunchy candy shell with the soft gooey center, or a policy
of putting all your eggs in one basket and then making sure that you
have a really good basket. The problem with perimeter security is that
the crunchy candy shell is disappearing as wireless networks become
common and as organizations cross-connect networks with partners.
2. Defense in depth refers to placing security measures at all points
in a network. For example, a firewall protects the organization from
attacks via the Internet, an antivirus system scans each email message,
antimalware software runs on each individual PC, and encryption
is used between computers to ensure privacy and authentication.
11.1 The Basics 273
As with the design of other infrastructure components, the design of
a security system should be based on simplicity, usability, and minimalism.
Complexity obscures errors or chinks in your armor. An overly complex system will prove to be inflexible and difficult to use and maintain and will
ultimately be weakened or circumvented for people to be able to work effectively. In addition, a successful security architecture has security built into
the system, not simply bolted on at the end. Good security involves an indepth approach with security hooks at all levels of the system. If those hooks
are not there from the beginning, they can be very difficult to add and
integrate later.
Some consider security and convenience to be inversely proportional.
That is, to make something more secure makes it more difficult to use. This
certainly has been true for a number of security products. We believe that
when security is done correctly, it takes into account the customer’s ease of
use. The problem is that often, it takes several years for technology to advance
to this point. For example, passwords are a good start, but putting a password
on every application becomes a pain for people who use a lot of applications
in a day’s work. However, making things even more secure by deploying a
secure single-sign-on system maximizes security and convenience by being
much more secure yet nearly eliminating the users’ need to type passwords.
When security is inconvenient, your customers will find ways around it.
When security technology advances sufficiently, however, the system becomes
more secure and easier to use.
❖ Security and Reliability Reliability and security go hand in hand. An
insecure system is open to attacks that make it unreliable. Attackers can
bring down an unreliable system by triggering the weaknesses, which
is a denial-of-service (DoS) attack. If management is unconcerned with
security, find out whether it is concerned with reliability. If so, address
all security issues as realiability issues instead.
11.1.1 Ask the Right Questions
Before you can implement a successful security program, you must find out
what you are trying to protect, from whom it must be protected, what the risks
are, and what it is worth to the company. These business decisions should
be made through informed discussion with the executive management of
the company. Document the decisions that are made during this process,
274 Chapter 11 Security Policy
and review the final document with management. The document will need
to evolve with the company but should not change too dramatically or
frequently.
11.1.1.1 Information Protection
Corporate security is about protecting assets. Most often, information is the
asset that a company is most concerned about. The information to be protected can fall into several categories. A mature security program defines a
set of categories and classifies information within those categories.
The classification of the information determines what level of security is
applied to it. For example, information could be categorized as public, company confidential, and strictly confidential. Public information might include
marketing literature, user manuals, and publications in journals or conferences. Company-confidential information might include organization charts,
phone lists, internal newsletters with financial results, business direction, articles on a product under development, source code, or security policies.
Strictly confidential information would be very closely tracked and available
on a need-to-know basis only. It could include contract negotiations, employee information, top-secret product-development details, or a customer’s
intellectual property.
Another aspect of information protection includes protecting against malicious alteration, deliberate and accidental release of information, and theft
or destruction.
Case Study: Protect Against Malicious Alteration
Staff members from a major New York newspaper revealed to a security consultant
that although they were concerned with information being stolen, their primar y concern was with someone modifying information without detection. What if a report
about a company was changed to say something false? What if the headline was replaced with foul language? The phrase ‘‘T oday, the [insert your favorite major newspaper] reported . . . ’’ has a lot of value, which would be diminished if intruders were
able to change the paper’s content.
11.1.1.2 Service Availability
In most cases, a company wants to protect service availability. If a company
relies on the availability of certain electronic resources to conduct its business,
part of the mission of the security team will be to prevent malicious DoS
11.1 The Basics 275
attacks against those resources. Often, companies do not start thinking about
this until they provide Internet-based services, because employees generally
tend not to launch such attacks against their own company.
11.1.1.3 Theft of Resources
Sometimes, the company wants to protect against theft of resources. For
example, if a production line is operated by computer equipment at less than
full capacity because the computer has cycles being used for other purposes,
the company will want to reduce the chance that compute cycles are used by
intruders on that machine. The same applies to computer-controlled hospital
equipment, where lives may depend on computing resources being available
as needed. E-commerce sites are also concerned with theft of resources. Their
systems can be slowed down by bandwidth pirates hiding FTP or chat servers
in the infrastructure, resulting in lost business for the e-commerce company.
11.1.1.4 Summary
In cooperation with your management team, decide what you need to protect
and from whom, how much that is worth to the company, and what the
risks are. Define information categories and the levels of protection afforded
to them. Document those decisions, and use this document as a basis for
your security program. As the company evolves, remember to periodically
reevaluate the decisions in that document with the management team.
Two basic patterns in security policy are perimeter security and defense in
depth.
1. Perimeter security is like a castle with a high wall around it. Make
a good wall, and you are free to do what you want inside. Put a good
firewall at the entry to your network, and you don’t have to worry
about what’s inside. Bellovin, Cheswick, and Rubin (2003) refer to
this as the crunchy candy shell with the soft gooey center, or a policy
of putting all your eggs in one basket and then making sure that you
have a really good basket. The problem with perimeter security is that
the crunchy candy shell is disappearing as wireless networks become
common and as organizations cross-connect networks with partners.
2. Defense in depth refers to placing security measures at all points
in a network. For example, a firewall protects the organization from
attacks via the Internet, an antivirus system scans each email message,
antimalware software runs on each individual PC, and encryption
is used between computers to ensure privacy and authentication.
11.1 The Basics 273
As with the design of other infrastructure components, the design of
a security system should be based on simplicity, usability, and minimalism.
Complexity obscures errors or chinks in your armor. An overly complex system will prove to be inflexible and difficult to use and maintain and will
ultimately be weakened or circumvented for people to be able to work effectively. In addition, a successful security architecture has security built into
the system, not simply bolted on at the end. Good security involves an indepth approach with security hooks at all levels of the system. If those hooks
are not there from the beginning, they can be very difficult to add and
integrate later.
Some consider security and convenience to be inversely proportional.
That is, to make something more secure makes it more difficult to use. This
certainly has been true for a number of security products. We believe that
when security is done correctly, it takes into account the customer’s ease of
use. The problem is that often, it takes several years for technology to advance
to this point. For example, passwords are a good start, but putting a password
on every application becomes a pain for people who use a lot of applications
in a day’s work. However, making things even more secure by deploying a
secure single-sign-on system maximizes security and convenience by being
much more secure yet nearly eliminating the users’ need to type passwords.
When security is inconvenient, your customers will find ways around it.
When security technology advances sufficiently, however, the system becomes
more secure and easier to use.
❖ Security and Reliability Reliability and security go hand in hand. An
insecure system is open to attacks that make it unreliable. Attackers can
bring down an unreliable system by triggering the weaknesses, which
is a denial-of-service (DoS) attack. If management is unconcerned with
security, find out whether it is concerned with reliability. If so, address
all security issues as realiability issues instead.
11.1.1 Ask the Right Questions
Before you can implement a successful security program, you must find out
what you are trying to protect, from whom it must be protected, what the risks
are, and what it is worth to the company. These business decisions should
be made through informed discussion with the executive management of
the company. Document the decisions that are made during this process,
274 Chapter 11 Security Policy
and review the final document with management. The document will need
to evolve with the company but should not change too dramatically or
frequently.
11.1.1.1 Information Protection
Corporate security is about protecting assets. Most often, information is the
asset that a company is most concerned about. The information to be protected can fall into several categories. A mature security program defines a
set of categories and classifies information within those categories.
The classification of the information determines what level of security is
applied to it. For example, information could be categorized as public, company confidential, and strictly confidential. Public information might include
marketing literature, user manuals, and publications in journals or conferences. Company-confidential information might include organization charts,
phone lists, internal newsletters with financial results, business direction, articles on a product under development, source code, or security policies.
Strictly confidential information would be very closely tracked and available
on a need-to-know basis only. It could include contract negotiations, employee information, top-secret product-development details, or a customer’s
intellectual property.
Another aspect of information protection includes protecting against malicious alteration, deliberate and accidental release of information, and theft
or destruction.
Case Study: Protect Against Malicious Alteration
Staff members from a major New York newspaper revealed to a security consultant
that although they were concerned with information being stolen, their primar y concern was with someone modifying information without detection. What if a report
about a company was changed to say something false? What if the headline was replaced with foul language? The phrase ‘‘T oday, the [insert your favorite major newspaper] reported . . . ’’ has a lot of value, which would be diminished if intruders were
able to change the paper’s content.
11.1.1.2 Service Availability
In most cases, a company wants to protect service availability. If a company
relies on the availability of certain electronic resources to conduct its business,
part of the mission of the security team will be to prevent malicious DoS
11.1 The Basics 275
attacks against those resources. Often, companies do not start thinking about
this until they provide Internet-based services, because employees generally
tend not to launch such attacks against their own company.
11.1.1.3 Theft of Resources
Sometimes, the company wants to protect against theft of resources. For
example, if a production line is operated by computer equipment at less than
full capacity because the computer has cycles being used for other purposes,
the company will want to reduce the chance that compute cycles are used by
intruders on that machine. The same applies to computer-controlled hospital
equipment, where lives may depend on computing resources being available
as needed. E-commerce sites are also concerned with theft of resources. Their
systems can be slowed down by bandwidth pirates hiding FTP or chat servers
in the infrastructure, resulting in lost business for the e-commerce company.
11.1.1.4 Summary
In cooperation with your management team, decide what you need to protect
and from whom, how much that is worth to the company, and what the
risks are. Define information categories and the levels of protection afforded
to them. Document those decisions, and use this document as a basis for
your security program. As the company evolves, remember to periodically
reevaluate the decisions in that document with the management team.
0/5000
11.1 phần khái niệm cơ bảnHai mô hình cơ bản trong chính sách bảo mật là vành đai an ninh và quốc phòng trongchiều sâu.1. chu vi an ninh là giống như một lâu đài với một bức tường cao xung quanh nó. Làm chomột bức tường tốt, và bạn được tự do làm những gì bạn muốn bên trong. Đặt một tốttường lửa tại mục mạng của bạn, và bạn không phải lo lắngvề những gì là bên trong. Bellovin, Cheswick, và Rubin (2003) đề cập đếnĐiều này là vỏ giòn kẹo với Trung tâm gooey mềm, hoặc một chính sáchĐặt tất cả trứng trong một giỏ và sau đó làm cho chắc chắn rằng bạncó một giá trong giỏ hàng thực sự tốt. Vấn đề với chu vi an ninh làvỏ giòn kẹo biến mất như trở thành mạng không dâyphổ biến và như tổ chức chữ thập-kết nối mạng với các đối tác.2. quốc phòng sâu đề cập đến việc đặt các biện pháp an ninh tại tất cả các điểmtrong một mạng. Ví dụ, một bức tường lửa bảo vệ tổ chức từcuộc tấn công thông qua Internet, một hệ thống chống virus quét mỗi tin nhắn email,antimalware phần mềm chạy trên mỗi máy tính cá nhân, và mã hóađược sử dụng giữa các máy tính để đảm bảo bảo mật và xác thực.11.1 phần khái niệm cơ bản 273Như với thiết kế của các thành phần cơ sở hạ tầng khác, việc thiết kếmột hệ thống an ninh nên được dựa trên đơn giản, khả năng sử dụng, và phong cách tối giản.Phức tạp che lấp lỗi hoặc chinks trong áo giáp của bạn. Một hệ thống quá phức tạp sẽ chứng minh là thiếu và khó khăn để sử dụng và duy trì và sẽcuối cùng là làm suy yếu hoặc circumvented để mọi người có thể làm việc một cách hiệu quả. Ngoài ra, một kiến trúc thành công an ninh đã an ninh được xây dựng vàoHệ thống, không chỉ đơn giản là bolted ngày vào cuối. An ninh tốt liên quan đến một cách tiếp cận indepth với an ninh móc ở mọi cấp của hệ thống. Nếu những móclà không có từ đầu, họ có thể rất khó để thêm vàtích hợp sau đó.Một số xem xét bảo mật và tiện lợi là tỷ lệ nghịch với.Đó là, để làm cho một cái gì đó an toàn hơn làm cho nó khó khăn hơn để sử dụng. Điều nàychắc chắn đã được đúng đối với một số sản phẩm bảo mật. Chúng tôi tin rằngKhi an ninh được thực hiện một cách chính xác, nó sẽ đưa vào tài khoản của khách hàng một cách dễ dàng củasử dụng. Vấn đề là rằng thông thường, phải mất nhiều năm cho các công nghệ để nâng caođến thời điểm này. Ví dụ, mật khẩu là một tốt bắt đầu, nhưng đặt một mật khẩutrên mỗi ứng dụng sẽ trở thành một nỗi đau cho những người sử dụng rất nhiều ứng dụngtrong một ngày làm việc. Tuy nhiên, làm việc an toàn hơn bằng cách triển khai mộtHệ thống đơn-đăng nhập an toàn tối đa hóa bảo mật và tiện lợi bằng cáchnhiều hơn nữa an toàn được loại bỏ gần như người dùng cần phải nhập mật khẩu.Khi an ninh là bất tiện, khách hàng của bạn sẽ tìm cách xung quanh nó.Khi an ninh công nghệ tiến bộ đầy đủ, Tuy nhiên, Hệ thống trở nênan toàn hơn và dễ dàng hơn để sử dụng.❖ an ninh và độ tin cậy độ tin cậy và bảo mật đi tay trong tay. Mộtkhông an toàn hệ thống là mở cửa cho các cuộc tấn công mà làm cho nó không đáng tin cậy. Kẻ tấn công có thểlật đổ một hệ thống không đáng tin cậy bằng cách kích hoạt các điểm yếu, màlà một cuộc tấn công từ chối của dịch vụ (DoS). Nếu quản lý là không lo âu vớian ninh, tìm hiểu cho dù nó là có liên quan với độ tin cậy. Nếu vậy, giải quyếtan ninh tất cả các vấn đề như vấn đề realiability thay vào đó.11.1.1 hỏi những câu hỏi đúngTrước khi bạn có thể thực hiện một chương trình an ninh thành công, bạn phải tìm hiểunhững gì bạn đang cố gắng để bảo vệ, từ người mà nó phải được bảo vệ, những gì các rủi rođược, và những gì nó có giá trị cho công ty. Các quyết định kinh doanh nênđược thực hiện thông qua các thông báo thảo luận với quản lý điều hành củacông ty. Tài liệu các quyết định được thực hiện trong quá trình này,274 chương 11 an ninh chính sáchvà xem xét các tài liệu cuối cùng với quản lý. Tài liệu sẽ cầnphát triển với công ty nhưng không nên thay đổi quá đáng kể hoặcthường xuyên.11.1.1.1 bảo vệ thông tinCông ty an ninh là về bảo vệ tài sản. Thông thường, thông tin là cáctài sản mà một công ty là có liên quan nhất về. Thông tin được bảo vệ có thể rơi vào một số loại. Một chương trình trưởng thành an ninh định nghĩa mộtthiết lập của thể loại và phân loại các thông tin trong các loại.Phân loại các thông tin xác định mức bảo mậtáp dụng cho nó. Ví dụ, thông tin có thể được phân loại là công ty công cộng, bí mật, và mật nghiêm ngặt. Thông tin công cộng có thể bao gồmtiếp thị văn học, hướng dẫn sử dụng, và các ấn phẩm trong tạp chí hoặc hội nghị. Thông tin công ty bí mật có thể bao gồm các biểu đồ tổ chức,điện thoại danh sách, các bản tin nội bộ với kết quả tài chính, kinh doanh hướng, các bài viết về một sản phẩm theo phát triển, mã nguồn hoặc chính sách bảo mật.Thông tin mật nghiêm ngặt sẽ rất chặt chẽ theo dõi và có sẵntrên một cần phải biết cơ sở chỉ. Nó có thể bao gồm đàm phán hợp đồng, thông tin nhân viên, phát triển sản phẩm tối mật chi tiết hoặc một khách hàngtài sản trí tuệ.Một khía cạnh của bảo vệ thông tin bao gồm bảo vệ chống lại độc hại thay đổi, cố ý và tình cờ phát hành thông tin, và hành vi trộm cắphoặc phá hủy.Trường hợp nghiên cứu: Bảo vệ chống lại độc hại thay đổiNhân viên từ một tờ báo lớn của New York tiết lộ với một nhà tư vấn an ninhrằng mặc dù họ đã được quan tâm với thông tin bị đánh cắp, y primar của họ quan tâm là với một ai đó sửa đổi các thông tin mà không phát hiện. Điều gì nếu một báo cáovề một công ty được thay đổi để nói điều gì đó sai? Nếu các tiêu đề được thay thế bằng ngôn ngữ hôi? Cụm từ '' T oday, các [chèn tờ báo lớn yêu thích của bạn] báo cáo... '' có rất nhiều giá trị, mà sẽ được giảm bớt nếu những kẻ xâm nhậpcó thể thay đổi nội dung của giấy.11.1.1.2 dịch vụ sẵn cóTrong hầu hết trường hợp, một công ty muốn bảo vệ dịch vụ sẵn có. Nếu một công tyDựa vào sự sẵn có của một số tài nguyên điện tử để tiến hành kinh doanh của mình,một phần của nhiệm vụ của nhóm bảo mật sẽ là để ngăn ngừa độc hại DoS11.1 phần khái niệm cơ bản 275cuộc tấn công chống lại các nguồn lực. Thông thường, công ty không bắt đầu suy nghĩ vềĐiều này cho đến khi họ cung cấp dịch vụ dựa trên Internet, vì nhân viên nói chungcó xu hướng không để khởi động các cuộc tấn công chống lại công ty riêng của họ.11.1.1.3 hành vi trộm cắp tài nguyênĐôi khi, công ty muốn bảo vệ chống lại trộm cắp tài nguyên. ChoVí dụ, nếu một dây chuyền sản xuất được điều hành bởi thiết bị máy tính tại ít hơnđầy đủ khả năng bởi vì máy tính có chu kỳ được sử dụng cho các mục đích khác,công ty sẽ muốn làm giảm cơ hội mà tính toán chu kỳ được sử dụng bởinhững kẻ xâm nhập trên máy đó. Cùng áp dụng để kiểm soát máy tính bệnh việnthiết bị, nơi mà cuộc sống có thể phụ thuộc vào máy tính tài nguyên đang có sẵnKhi cần thiết. Các trang web thương mại điện tử cũng có liên quan với hành vi trộm cắp tài nguyên. Của họHệ thống có thể được làm chậm lại xuống của băng thông hải tặc ẩn máy chủ FTP hoặc trò chuyệncơ sở hạ tầng, dẫn đến mất kinh doanh cho công ty thương mại điện tử.11.1.1.4 bản tóm tắtTrong hợp tác với đội ngũ quản lý của bạn, quyết định những gì bạn cần để bảo vệvà từ đó, bao nhiêu đó là giá trị để công ty, và những gì cácrủi ro. Xác định thông tin thể loại và mức độ bảo hộ dànhĐối với họ. Tài liệu các quyết định đó, và sử dụng tài liệu này như là một cơ sở chochương trình an ninh của bạn. Khi công ty phát triển, hãy nhớ để định kỳtái thẩm định các quyết định trong tài liệu đó với đội ngũ quản lý.
đang được dịch, vui lòng đợi..
11.1 Khái niệm cơ bản
Hai mô hình cơ bản trong chính sách an ninh là vành đai an ninh, quốc phòng trong
chiều sâu.
1. Phạm vi an ninh giống như một lâu đài với một bức tường cao xung quanh nó. Làm
tường tốt, và bạn được tự do làm những gì bạn muốn bên trong. Đặt một tốt
tường lửa tại mục nhập vào mạng của bạn, và bạn không phải lo lắng
về những gì bên trong. Bellovin, Cheswick, và Rubin (2003) đề cập đến
điều này như là vỏ kẹo giòn với các trung tâm dính mềm, hoặc một chính sách
đặt tất cả trứng vào một giỏ và sau đó đảm bảo rằng bạn
có một rổ thực sự tốt. Các vấn đề có phạm vi an ninh là
vỏ kẹo giòn đang biến mất như các mạng không dây trở nên
phổ biến và tổ chức qua kết nối mạng với các đối tác.
2. Vệ theo chiều sâu để chỉ việc đặt các biện pháp an ninh tại tất cả các điểm
trong một mạng. Ví dụ, một bức tường lửa bảo vệ các tổ chức từ
các cuộc tấn công qua mạng Internet, một hệ thống chống virus quét mỗi tin nhắn email,
phần mềm chống malware chạy trên mỗi máy tính cá nhân, và mã hóa
được sử dụng giữa các máy tính để đảm bảo sự riêng tư và xác thực.
11.1 Khái niệm cơ bản 273
Như với các thiết kế các thành phần cơ sở hạ tầng khác, các thiết kế của
một hệ thống bảo mật nên được dựa trên sự đơn giản, tiện ích, và tối giản.
Phức tạp che lấp lỗi hoặc khe hở trong áo giáp của bạn. Một hệ thống quá phức tạp sẽ chứng minh là không linh hoạt và khó sử dụng và duy trì và sẽ
cuối cùng bị suy yếu hoặc phá vỡ kế để mọi người có thể làm việc hiệu quả. Ngoài ra, một kiến trúc an ninh bảo mật thành công đã được xây dựng thành
hệ thống, không chỉ đơn giản là bắt vít vào lúc kết thúc. An ninh tốt liên quan đến một cách tiếp cận sâu sắc với móc an ninh tại tất cả các cấp của hệ thống. Nếu những lưỡi câu
không có ngay từ đầu, họ có thể rất khó khăn để thêm và
tích hợp sau đó.
Một số xem xét an ninh và thuận tiện để tỉ lệ nghịch.
Đó là, để làm một cái gì đó an toàn hơn làm cho nó khó khăn hơn để sử dụng. Điều này
chắc chắn đã được đúng đối với một số sản phẩm bảo mật. Chúng tôi tin rằng
khi an ninh được thực hiện một cách chính xác, nó sẽ đưa vào tài khoản một cách dễ dàng của khách hàng
sử dụng. Vấn đề là thường, phải mất vài năm cho công nghệ để tiến
đến thời điểm này. Ví dụ, mật khẩu là một khởi đầu tốt, nhưng đặt một mật khẩu
trên tất cả các ứng dụng trở thành một nỗi đau cho những người sử dụng rất nhiều ứng dụng
trong công việc của một ngày. Tuy nhiên, làm cho mọi thứ thậm chí an toàn hơn bằng cách triển khai một
hệ thống đăng nhập một lần an toàn tối đa an ninh và tiện lợi bằng cách là
an toàn hơn nhiều nhưng gần như loại bỏ nhu cầu của người sử dụng để gõ mật khẩu.
Khi an ninh là bất tiện, khách hàng của bạn sẽ tìm cách xung quanh nó.
Khi công nghệ an ninh tiến bộ đầy đủ, tuy nhiên, hệ thống trở nên
an toàn hơn và dễ dàng hơn để sử dụng.
❖ an ninh và độ tin cậy Độ tin cậy và an ninh đi tay trong tay. Một
hệ thống bảo mật được mở cửa cho các cuộc tấn công mà làm cho nó không đáng tin cậy. Những kẻ tấn công có thể
mang xuống một hệ thống đáng tin cậy bằng cách kích hoạt các điểm yếu, đó
là một (DoS) tấn công từ chối dịch vụ. Nếu quản lý là không quan tâm đến
an ninh, tìm hiểu xem nó là có liên quan với độ tin cậy. Nếu vậy, giải quyết
tất cả các vấn đề an ninh như các vấn đề realiability thay thế.
11.1.1 Hỏi những câu hỏi phải
Trước khi bạn có thể thực hiện một chương trình bảo mật thành công, bạn phải tìm ra
những gì bạn đang cố gắng để bảo vệ, từ người mà nó phải được bảo vệ, những rủi ro
là , và những gì nó có giá trị cho công ty. Những quyết định kinh doanh nên
được thực hiện thông qua các cuộc thảo luận thông báo với ban quản lý điều hành của
công ty. Tài liệu các quyết định được đưa ra trong quá trình này,
274 Chương 11 chính sách bảo mật
và xem xét các tài liệu cuối cùng với quản lý. Tài liệu sẽ cần phải
phát triển với công ty nhưng không nên thay đổi quá đột ngột hoặc
thường xuyên.
11.1.1.1 Thông tin Bảo vệ
công ty an ninh là về bảo vệ tài sản. Thông thường, thông tin là
tài sản mà một công ty được quan tâm nhất. Các thông tin được bảo vệ có thể rơi vào nhiều loại. Một chương trình bảo mật trưởng thành định nghĩa một
tập hợp các chuyên mục và phân loại các thông tin thuộc những loại.
Việc phân loại các thông tin xác định mức độ an ninh được
áp dụng cho nó. Ví dụ, thông tin có thể được phân loại là công cộng, công ty bảo mật, và bảo mật nghiêm ngặt. Thông tin công cộng có thể bao gồm
tài liệu tiếp thị, hướng dẫn sử dụng, và các ấn phẩm trong các tạp chí hoặc hội nghị. Thông tin công ty bí mật có thể bao gồm các biểu đồ tổ chức,
danh sách điện thoại, bản tin nội bộ với kết quả tài chính, phương hướng kinh doanh, các bài viết về một sản phẩm được phát triển, mã nguồn, hoặc chính sách bảo mật.
Strictly thông tin bí mật sẽ được theo dõi rất chặt chẽ và có sẵn
trên một nhu cầu để cơ sở -know chỉ. Nó có thể bao gồm các cuộc đàm phán hợp đồng, nhân viên thông tin, chi tiết sản phẩm, phát triển tối mật, hay của một khách hàng
sở hữu trí tuệ.
Một khía cạnh khác của bảo vệ thông tin bao gồm bảo vệ chống lại sự thay đổi độc hại, có chủ ý và sự cố liên quan của thông tin, và trộm cắp
hoặc phá hủy.
Trường hợp nghiên cứu: Bảo vệ chống độc hại Thay đổi
thành viên Nhân viên của một tờ báo lớn của New York tiết lộ cho một cố vấn an ninh
rằng mặc dù họ lo ngại với thông tin bị đánh cắp, mối quan tâm primar y của họ là với một người nào đó thay đổi thông tin mà không bị phát hiện. Điều gì nếu một báo cáo
về một công ty được thay đổi để nói điều gì đó sai? Điều gì nếu tiêu đề đã được thay thế bằng ngôn ngữ hôi? Các cụm từ '' T oday, các [chèn tờ báo lớn yêu thích của bạn] đã báo cáo. . . '' Có rất nhiều giá trị, trong đó sẽ được giảm bớt nếu kẻ xâm nhập là
có thể thay đổi nội dung. Của giấy
11.1.1.2 Dịch vụ Availability
Trong hầu hết trường hợp, một công ty muốn bảo vệ dịch vụ sẵn có. Nếu một công ty
dựa trên sự sẵn có của một số tài nguyên điện tử để tiến hành kinh doanh của mình,
một phần của nhiệm vụ của đội ngũ an ninh sẽ được để ngăn chặn mã độc DoS
11.1 Khái niệm cơ bản 275
cuộc tấn công chống lại những tài nguyên. Thông thường, các công ty không bắt đầu suy nghĩ về
điều này cho đến khi họ cung cấp dịch vụ dựa trên Internet, bởi vì nhân viên thường
có xu hướng không để khởi động các cuộc tấn công như vậy đối với công ty riêng của họ.
11.1.1.3 Theft Tài
Đôi khi, các công ty muốn bảo vệ chống lại hành vi trộm cắp tài nguyên. Ví
dụ, nếu một dây chuyền sản xuất được vận hành bằng các thiết bị máy tính tại dưới
công suất do máy tính đã chu kỳ được sử dụng cho các mục đích khác,
các công ty sẽ muốn giảm nguy cơ tính toán chu kỳ được sử dụng bởi
những kẻ xâm nhập trên máy đó. Điều tương tự cũng áp dụng cho bệnh viện máy tính điều khiển
thiết bị, nơi mà cuộc sống có thể phụ thuộc vào tài nguyên máy tính đang được sẵn sàng
khi cần thiết. Các trang web thương mại điện tử cũng có liên quan với hành vi trộm cắp tài nguyên. Họ
các hệ thống có thể bị chậm lại bởi những tên cướp biển băng ẩn FTP hoặc chat máy chủ
trong các cơ sở hạ tầng, kết quả kinh doanh bị mất cho các công ty thương mại điện tử.
11.1.1.4 Tóm tắt
Trong hợp tác với đội ngũ quản lý của bạn, quyết định những gì bạn cần để bảo vệ
và từ ai, bao nhiêu mà là giá trị cho công ty, và những gì các
rủi ro có thể. Xác định loại thông tin và mức độ bảo hộ
cho họ. Tài liệu các quyết định đó, và sử dụng tài liệu này như một cơ sở cho
chương trình bảo mật của bạn. Khi công ty phát triển, nhớ định kỳ
đánh giá lại các quyết định trong tài liệu đó với đội ngũ quản lý.
Hai mô hình cơ bản trong chính sách an ninh là vành đai an ninh, quốc phòng trong
chiều sâu.
1. Phạm vi an ninh giống như một lâu đài với một bức tường cao xung quanh nó. Làm
tường tốt, và bạn được tự do làm những gì bạn muốn bên trong. Đặt một tốt
tường lửa tại mục nhập vào mạng của bạn, và bạn không phải lo lắng
về những gì bên trong. Bellovin, Cheswick, và Rubin (2003) đề cập đến
điều này như là vỏ kẹo giòn với các trung tâm dính mềm, hoặc một chính sách
đặt tất cả trứng vào một giỏ và sau đó đảm bảo rằng bạn
có một rổ thực sự tốt. Các vấn đề có phạm vi an ninh là
vỏ kẹo giòn đang biến mất như các mạng không dây trở nên
phổ biến và tổ chức qua kết nối mạng với các đối tác.
2. Vệ theo chiều sâu để chỉ việc đặt các biện pháp an ninh tại tất cả các điểm
trong một mạng. Ví dụ, một bức tường lửa bảo vệ các tổ chức từ
các cuộc tấn công qua mạng Internet, một hệ thống chống virus quét mỗi tin nhắn email,
phần mềm chống malware chạy trên mỗi máy tính cá nhân, và mã hóa
được sử dụng giữa các máy tính để đảm bảo sự riêng tư và xác thực.
11.1 Khái niệm cơ bản 273
Như với các thiết kế các thành phần cơ sở hạ tầng khác, các thiết kế của
một hệ thống bảo mật nên được dựa trên sự đơn giản, tiện ích, và tối giản.
Phức tạp che lấp lỗi hoặc khe hở trong áo giáp của bạn. Một hệ thống quá phức tạp sẽ chứng minh là không linh hoạt và khó sử dụng và duy trì và sẽ
cuối cùng bị suy yếu hoặc phá vỡ kế để mọi người có thể làm việc hiệu quả. Ngoài ra, một kiến trúc an ninh bảo mật thành công đã được xây dựng thành
hệ thống, không chỉ đơn giản là bắt vít vào lúc kết thúc. An ninh tốt liên quan đến một cách tiếp cận sâu sắc với móc an ninh tại tất cả các cấp của hệ thống. Nếu những lưỡi câu
không có ngay từ đầu, họ có thể rất khó khăn để thêm và
tích hợp sau đó.
Một số xem xét an ninh và thuận tiện để tỉ lệ nghịch.
Đó là, để làm một cái gì đó an toàn hơn làm cho nó khó khăn hơn để sử dụng. Điều này
chắc chắn đã được đúng đối với một số sản phẩm bảo mật. Chúng tôi tin rằng
khi an ninh được thực hiện một cách chính xác, nó sẽ đưa vào tài khoản một cách dễ dàng của khách hàng
sử dụng. Vấn đề là thường, phải mất vài năm cho công nghệ để tiến
đến thời điểm này. Ví dụ, mật khẩu là một khởi đầu tốt, nhưng đặt một mật khẩu
trên tất cả các ứng dụng trở thành một nỗi đau cho những người sử dụng rất nhiều ứng dụng
trong công việc của một ngày. Tuy nhiên, làm cho mọi thứ thậm chí an toàn hơn bằng cách triển khai một
hệ thống đăng nhập một lần an toàn tối đa an ninh và tiện lợi bằng cách là
an toàn hơn nhiều nhưng gần như loại bỏ nhu cầu của người sử dụng để gõ mật khẩu.
Khi an ninh là bất tiện, khách hàng của bạn sẽ tìm cách xung quanh nó.
Khi công nghệ an ninh tiến bộ đầy đủ, tuy nhiên, hệ thống trở nên
an toàn hơn và dễ dàng hơn để sử dụng.
❖ an ninh và độ tin cậy Độ tin cậy và an ninh đi tay trong tay. Một
hệ thống bảo mật được mở cửa cho các cuộc tấn công mà làm cho nó không đáng tin cậy. Những kẻ tấn công có thể
mang xuống một hệ thống đáng tin cậy bằng cách kích hoạt các điểm yếu, đó
là một (DoS) tấn công từ chối dịch vụ. Nếu quản lý là không quan tâm đến
an ninh, tìm hiểu xem nó là có liên quan với độ tin cậy. Nếu vậy, giải quyết
tất cả các vấn đề an ninh như các vấn đề realiability thay thế.
11.1.1 Hỏi những câu hỏi phải
Trước khi bạn có thể thực hiện một chương trình bảo mật thành công, bạn phải tìm ra
những gì bạn đang cố gắng để bảo vệ, từ người mà nó phải được bảo vệ, những rủi ro
là , và những gì nó có giá trị cho công ty. Những quyết định kinh doanh nên
được thực hiện thông qua các cuộc thảo luận thông báo với ban quản lý điều hành của
công ty. Tài liệu các quyết định được đưa ra trong quá trình này,
274 Chương 11 chính sách bảo mật
và xem xét các tài liệu cuối cùng với quản lý. Tài liệu sẽ cần phải
phát triển với công ty nhưng không nên thay đổi quá đột ngột hoặc
thường xuyên.
11.1.1.1 Thông tin Bảo vệ
công ty an ninh là về bảo vệ tài sản. Thông thường, thông tin là
tài sản mà một công ty được quan tâm nhất. Các thông tin được bảo vệ có thể rơi vào nhiều loại. Một chương trình bảo mật trưởng thành định nghĩa một
tập hợp các chuyên mục và phân loại các thông tin thuộc những loại.
Việc phân loại các thông tin xác định mức độ an ninh được
áp dụng cho nó. Ví dụ, thông tin có thể được phân loại là công cộng, công ty bảo mật, và bảo mật nghiêm ngặt. Thông tin công cộng có thể bao gồm
tài liệu tiếp thị, hướng dẫn sử dụng, và các ấn phẩm trong các tạp chí hoặc hội nghị. Thông tin công ty bí mật có thể bao gồm các biểu đồ tổ chức,
danh sách điện thoại, bản tin nội bộ với kết quả tài chính, phương hướng kinh doanh, các bài viết về một sản phẩm được phát triển, mã nguồn, hoặc chính sách bảo mật.
Strictly thông tin bí mật sẽ được theo dõi rất chặt chẽ và có sẵn
trên một nhu cầu để cơ sở -know chỉ. Nó có thể bao gồm các cuộc đàm phán hợp đồng, nhân viên thông tin, chi tiết sản phẩm, phát triển tối mật, hay của một khách hàng
sở hữu trí tuệ.
Một khía cạnh khác của bảo vệ thông tin bao gồm bảo vệ chống lại sự thay đổi độc hại, có chủ ý và sự cố liên quan của thông tin, và trộm cắp
hoặc phá hủy.
Trường hợp nghiên cứu: Bảo vệ chống độc hại Thay đổi
thành viên Nhân viên của một tờ báo lớn của New York tiết lộ cho một cố vấn an ninh
rằng mặc dù họ lo ngại với thông tin bị đánh cắp, mối quan tâm primar y của họ là với một người nào đó thay đổi thông tin mà không bị phát hiện. Điều gì nếu một báo cáo
về một công ty được thay đổi để nói điều gì đó sai? Điều gì nếu tiêu đề đã được thay thế bằng ngôn ngữ hôi? Các cụm từ '' T oday, các [chèn tờ báo lớn yêu thích của bạn] đã báo cáo. . . '' Có rất nhiều giá trị, trong đó sẽ được giảm bớt nếu kẻ xâm nhập là
có thể thay đổi nội dung. Của giấy
11.1.1.2 Dịch vụ Availability
Trong hầu hết trường hợp, một công ty muốn bảo vệ dịch vụ sẵn có. Nếu một công ty
dựa trên sự sẵn có của một số tài nguyên điện tử để tiến hành kinh doanh của mình,
một phần của nhiệm vụ của đội ngũ an ninh sẽ được để ngăn chặn mã độc DoS
11.1 Khái niệm cơ bản 275
cuộc tấn công chống lại những tài nguyên. Thông thường, các công ty không bắt đầu suy nghĩ về
điều này cho đến khi họ cung cấp dịch vụ dựa trên Internet, bởi vì nhân viên thường
có xu hướng không để khởi động các cuộc tấn công như vậy đối với công ty riêng của họ.
11.1.1.3 Theft Tài
Đôi khi, các công ty muốn bảo vệ chống lại hành vi trộm cắp tài nguyên. Ví
dụ, nếu một dây chuyền sản xuất được vận hành bằng các thiết bị máy tính tại dưới
công suất do máy tính đã chu kỳ được sử dụng cho các mục đích khác,
các công ty sẽ muốn giảm nguy cơ tính toán chu kỳ được sử dụng bởi
những kẻ xâm nhập trên máy đó. Điều tương tự cũng áp dụng cho bệnh viện máy tính điều khiển
thiết bị, nơi mà cuộc sống có thể phụ thuộc vào tài nguyên máy tính đang được sẵn sàng
khi cần thiết. Các trang web thương mại điện tử cũng có liên quan với hành vi trộm cắp tài nguyên. Họ
các hệ thống có thể bị chậm lại bởi những tên cướp biển băng ẩn FTP hoặc chat máy chủ
trong các cơ sở hạ tầng, kết quả kinh doanh bị mất cho các công ty thương mại điện tử.
11.1.1.4 Tóm tắt
Trong hợp tác với đội ngũ quản lý của bạn, quyết định những gì bạn cần để bảo vệ
và từ ai, bao nhiêu mà là giá trị cho công ty, và những gì các
rủi ro có thể. Xác định loại thông tin và mức độ bảo hộ
cho họ. Tài liệu các quyết định đó, và sử dụng tài liệu này như một cơ sở cho
chương trình bảo mật của bạn. Khi công ty phát triển, nhớ định kỳ
đánh giá lại các quyết định trong tài liệu đó với đội ngũ quản lý.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Chú
- vong lan quan
- 支承。
- bạn có thể nói về một kì quan trên đất n
- I got all I need when I got you and II l
- 11.1.2 Document the Company’s Security P
- Ngày giỗ tổ hùng vương
- 32 million viewers can be reached in Vie
- We can place the seismographs in any ord
- And now for the weather. As we go throug
- We can place the seismographs in any ord
- dụng cụ bếp
- At last count, the suit involves 12 part
- leaking on floor flooding water on floor
- a girl wants to see my dick . but its my
- 翔太さんお疲れ様ですー!次はみんなで一緒にー!(*´・∀・)
- 急招兼职人员工作,时间自由,刷单任务一个一结算的,最后一天了,即将截止 报名!!
- Hôm nay cứ cười khóc để dành ngày mai
- tôi thích điều tra phá án và bắt những n
- băng dính giấy trắng
- tôi thích điều tra phá án và bắt những n
- sắp xếp thời gian hợp lýđồng hồ có thể t
- I am writing to inquire whether your com
- LIMITS The amount of losartan potassium
