随笔分类 - 安全
摘要:8.1 防火墙概述 防火墙是网络安全区域边界保护的重要技术,主要介绍防火墙基本概念,防火墙工作原理,防火墙安全风险,并分析防护墙技术的发展趋势。 8.1.1 防火墙概念 根据网络的安全信任程度和需要保护的对象,人为地划分若干安全区域,这些安全区域如下: 公共外部网络,如:Internet; 内联网(
阅读全文
摘要:1.1 指南概述和目的 项目管理并非新概念,它已存在数百年之久。 世界各地成功的项目成果是领导者和项目经理在工作中应用项目管理实践,原则,过程,工具和技术的结果。 《PMBOK指南》收录项目管理知识体系中被普遍认可为“良好实践”的那一部分。 所谓普遍认可,是指这些知识和做法在大多数时候适用于大多数项
阅读全文
摘要:7.1 访问控制概述 访问控制是网络信息系统的基本安全机制,主要阐述访问控制的概念和访问控制目标。 7.1.1 访问控制概念 在网络信息化环境中,资源不是无限制开放的,而是在一定约束条件下,用户才能使用。 访问控制是指对资源对象的访问者授权,控制的方法及运行机制。 访问者又称为主体,可以是用户,进程
阅读全文
摘要:安全事件应急 针对突发性的安全事件,组织机构应具备快速响应和及时处置的能力,把事件造成的损失降到最小,同时应在事件发生之前就做好准备,比如风险评估、制定安全计划、培训员工的安全意识、以发布安全通告的方式进行预警,以及采取各种防范措施。 建立负责安全事件应急的职能部门 组织机构需要设立专门负责安全事件
阅读全文
摘要:需求分析 需求分析是企业建设的必修课,在如今的数字时代,企业的数据安全建设同样也需要进行数据安全需求分析。建立组织业务的数据安全需求分析体系,可用于快速有效地找到组织机构目前最亟需解决的数据安全需求,然后根据具体的需求进行针对性的实现,从而实现企业整体的数据安全建设。 建立负责需求分析的职能部门 为
阅读全文
摘要:鉴别与访问控制 随着企业业务的不断发展,满足组织内部的数据安全合规性需求正变得越来越迫切和重要。建立合适的身份鉴别与访问控制机制,可以有效消除组织机构内部的核心敏感数据被未授权访问的风险。 建立负责鉴别与访问控制的职能部门 为了避免组织内部出现敏感数据被未授权访问的安全事件,同时也为了进一步满足数据
阅读全文
摘要:监控与审计 监控与审计是对访问控制的必要补充,是访问控制的一个重要内容。该阶段会记录与监控用户使用的数据信息资源、使用的时间,以及使用的过程(即执行了何种操作)。审计和监控是实现数据安全的最后一道防线,处于数据安全治理的最高层。审计与监控能够再现原有的数据操作问题,这一点对于责任追查和数据恢复非常重
阅读全文
摘要:终端数据安全 随着网络规模的不断扩大,企业的不断发展,对于现代企业来说,终端已然成为每个公司不可缺少的重要设备之一,其本身具备两个特性:高价值性和低安全性,因此终端极易成为被攻击者攻破的对象。进行终端数据安全管理,可以有效预防IT资产管理失控、勒索/挖矿病毒入侵、数据资源对外泄露等问题。 建立负责终
阅读全文
摘要:6.1 认证概述 认证机制是网络安全的基础性保护措施,是实施访问控制的前提,主要阐述认证的基本概念,认证依据,认证原理和认证的发展。 6.1.1 认证概念 认证是一个实体向另外一个实体证明其所声称的身份的过程。在认证过程中,需要被证实的实体是声称者,负责检查确认声称者的实体是验证者。 通常情况下,双
阅读全文
摘要:元数据管理 元数据是组织机构最重要的数据类型之一,也是价值最高的数据之一。对元数据进行管理不仅可以提升组织内部数据的使用效率,还可以帮助企业建立数据上下游关系。 建立负责元数据管理的职能部门 为了提高企业内部对元数据的使用和管理效率,在条件允许的情况下,组织机构应该设立元数据管理部门并招募相关的管理
阅读全文
摘要:数据供应链安全 放眼全球各产业界,分工越来越细化,各企业在专注于核心竞争力的同时,也将工作重点聚焦于全球供应链之上。在质量、成本、速度、效率等业绩指标的压力下,安全方面的投入只能被一再挤压,天平开始失衡。 一个组织,不管规模有多大,业务有多综合繁杂,都将不可避免地与第三方进行直接或间接的业务合作,以
阅读全文
摘要:5.1 物理安全概念与要求 物理安全是网络安全的基础,分析物理安全的威胁类型,并给出物理安全保护及安全相关内容。 5.1.1 物理安全概念 传统上的物理安全也称为实体安全,是指包括环境,设备和记录介质在内的所有支持网络信息系统运行的硬件的总体安全,是网络信息系统安全,可靠,不间断运行的基本保证,并确
阅读全文
摘要:4.1 网络安全体系概述 网络安全保障是一项复杂的系统工程,是安全策略,多种技术,管理方法和人员安全素质的综合。 4.1.1 网络安全体系概念 现代的网络安全问题变化莫测,要保障网络系统的安全,应当把相应的安全策略,各种安全技术和安全管理融合在一起,建立网络安全防御体系,使之成为一个有机的整体安全屏
阅读全文
摘要:数据资产管理 有效的数据资产管理是组织实现数据运营与数据资产变现的基础,数据资产管理强调的是组织内生的力量,需要依赖于组织高效的人员管理架构、明确清晰的制度流程,以及可靠且可用的管理技术能力与工具。 建立负责数据资产管理的职能部门 数据资产管理对组织建设的要求是设立数据资产管理的专项岗位或团队,明确
阅读全文
摘要:合规管理 组织机构需要建立数据安全合规文化和有效的合规风险预防、预警及监督机制,从而避免组织因违反相关的国内外法律、行业监管指引、制度、规范等而导致的风险,是组织机构能够长久稳定运营的基础。 建立负责合规管理的职能部门 在数据安全合规管理的建设上,组织层面首先应设立专职岗位,分别负责个人信息保护、重
阅读全文
摘要:组织和人员管理 组织和人员管理强调的是在数据安全场景下的组织架构改进及人员协作,组织架构改进从上至下包含策略层、管理层和执行层,同时包含监督层,对各流程实例的执行情况和数据操作行为进行审计和监督。 建立负责组织和人员管理的职能部门 基于数据安全的组织和人员管理需求,组织机构需要对当前架构中的策略层、
阅读全文
摘要:3.1 密码学概况 密码技术是保障网络与信息安全的核心技术和基础支撑。 3.1.1 密码学发展简况 密码学是一门研究信息安全保护的科学,以实现信息的保密性,完整性,可用性及抗抵赖性。密码学主要由密码编码和密码分析两个部分组成。其中密码编码学研究信息的交换处理以实现信息的安全保护,而密码分析学则研究通
阅读全文
摘要:数据安全策略规划 数据安全本身不可能脱离安全体系而独立存在,因此数据安全的建设将会借助大量通用安全技术的辅助。 数据安全建设与传统网络安全建设类似,两者均不能仅依赖于安全技术手段,以及相关人员都需要意识到数据安全与数据保护并不只是某个安全或科技部门的事,而是组织机构管理层及所有部门的事。 建立负责数
阅读全文
摘要:2.1 网络攻击概述 《孙子兵法》曰:知己知彼,百战不殆,现在的网络攻击活动日益频繁,要掌握网络信息安全主动权,就要了解网络威胁者的策略方法。 2.1.1 网络攻击概念 网络攻击是指损害网络系统安全属性的危害行为。其中危害行为导致网络系统的机密性,完整性,可用性,可控性,真实性,抗抵赖性等受到不同程
阅读全文
摘要:介质销毁处理 在数据销毁过程中,为了防止攻击者通过对存储介质进行数据恢复操作,以至造成数据泄露的安全问题,组织机构需要对被替换或淘汰的存储介质进行物理销毁,不同的存储介质会使用不同的销毁方法。 建立负责介质销毁处理的职能部门 为了保证能够彻底销毁掉已经替换掉的存储介质,在条件允许的情况下,组织机构应
阅读全文
浙公网安备 33010602011771号