整个的互联网各种应用有各种各样安全的威胁,首先是社交网站和Web2.0网站成为了黑客攻击的目标,其次是僵尸网络将继续繁殖。面对这种情况,我们如何构建更安全的系统,涉及到了不断升级的安全威胁分布在各个角落。作为企业如何站在安全的角度去设置,而不是头痛医头,脚痛医脚。某种程度上,我们应该看发生的情况,从更深的层次找到问题的所在。
认识五大关键核心要素
实现信息化系统安全最基本的出发点就是认识安全体系中的关键核心要素,然后,围绕这些要素在系统的每一个环节和系统运行中进行安全防护。因此,这里首先说明安全的五大核心要素。
认证(Authentication)。认证是安全的最基本要素。信息系统的目的就是供使用者使用的,但只能给获得授权的使用者使用,因此,首先必须知道来访者的身份。使用者可以是人、设备和相关系统,无论是什么样的使用者,安全的第一要素就是对其进行认证。认证的结果无非是三种:可以授权使用的对象,不可以授权使用的对象和无法确认的对象。在信息化系统中,对每一个可能的入口都必须采取认证措施,对无法采取认证措施的入口必须完全堵死,从而防堵每一个安全漏洞。来访对象的身份得到认证之后,对不可授权的对象就必须拒绝访问,对可授权的对象则进到下一步安全流程,对无法确认的对象则视来访的目的采取相应的步骤。例如,公众Web的使用和邮件的接收等,虽然对来访对象无法完全认证,但也不能拒之门外。
授权(Authorization)。授权就是授予合法使用者对系统资源的使用权限并且对非法使用行为进行监测。授权可以是对具体的对象进行授权,例如,某一用户或某台设备可以使用所指定的资源。授权可以是对具体的对象进行授权,也可以是对某一组对象授权,也可以是根据对象所扮演的角色授权。授权除了授予某种权利之外,对于非法使用的发现和管理也是很重要的部分。尽管使用各种安全技术,非法使用并不是可以完全避免的,因此,及时发现非法使用并马上采取安全措施是非常重要的。例如,当病毒侵入信息系统后,如果不及时发现并采取安全措施,后果可以是非常严重的。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!