有韶光可以看看这本书,市情上很多信息安全干系的书,可是大家都很忙,没什么韶光看这种悠长且羞涩的技能书本。而且我们不是从事信息安全事情,但是我们事情中或多或少都要与信息化与安全保密打仗。以是我们很有必要对此构建一个完全的安全性、保密性的知识架构,有利于我们事情进行。
这样,虽然说不会去忽悠别人,最少不会别别人忽悠。由于我创造很多高管领导,只要你和他谈他的信息安全,他就慌,他不懂信息安全,但是他深深知道信息安全的主要性。你搞得他慌了一逼,他就什么都听你的了。
毕竟有出台《信息安全等级保护管理办法》,都伤不起。我就见过一个卖软件产品的哥们趁别人加存储硬是忽悠别人要卖他们的物理硬件存储,以保障他们系统的信息安全。没想到一个运用层的软件还涉及绑定到底层硬件兼容问题,这个让Linux/Window很是不安啊!
本文部分内容涉及到信息安全的,头条号不许可发布,以是完全版本技能文章,请参考我们"大众年夜众号:freo-studio
适用于
-常常与信息化系统打交道的同学-须要常常写方案的同学,方案里面多写点信息安全,显得高大上-项目管理,系统架构-做二次开拓的程序员等-即将成为不想被信息安全技能忽悠的企业高管、老板等-已经成为高管领导、老板的构建一个安全性/保密性的知识体系,免得别忽悠团团转-软考高等系统架构师-开拓入门小白,编程开拓初学者一 信息安全体系总统架构图如下,图片来源优炫软件。
传统运用系统(自己机房自己做事器)的信息安全体系
云打算云平台(阿里云/腾讯云上)的信息安全体系
· SaaS:软件即做事
· PaaS:平台即做事
· IaaS:根本架构即做事
1-安全系统架构
有人会问你这标准谁定的啊,每个人划分都不一样。参考《ISO 7498-2》
根据ISO7层架构进行每一层进行制订安全策略机制及安全做事,如上图ISO-7498-2安全架构三维图。大略补充下运用层的,由于运用层以下的,基本操作系统及硬件厂商已经做好,我们只须要关注运用层自己系统方面的安全做事与安全机制。
安全做事:
· 认证做事
· 访问掌握
· 数据机密性做事
· 数据完全性做事
· 不可否认做事
安全机制:
· 加密机制
· 数字署名机制
· 访问掌握机制
· 数据完全性机制
· 认证交流机制
· 流量添补机制
· 路由掌握机制
· 公证机制
· 可信度功能
· 安全标志
· 事宜检测
· 安全审计
· 安全审计跟踪
· 安全规复
2-安全保护等级
我们常常会听说系统上线或者过保,要做等保或者等级认定,安全漏洞检讨等。那是根据《 打算机信息系统安全保护等级划分准则》的哀求划分安全保护等级:
· 第一级:用户自主保护级,民用一样平常不哀求等保
· 第二级:系统审计保护级,哀求等保,并做审计安全,行业商业秘密
· 第三级:安全标记保护级,二级根本上,并做安全策略模型,国家机关行业信息
· 第四级:构造化保护级,三级根本上,并做暗藏通道、鉴别机制,国家国防部门
· 第五级:访问验证保护级,四级根本上,并做监控器、抗渗透能力,国防关键部门隔离单位
详细详情参考干系文件规定
3-安全保障系统
针对履行安全保障的系统进行划分如下3种架构:
· MIS+S Management Information System+Security 低级信息安全保障系统
1. ·运用基本不变
2. ·硬件和系统软件通用
3. ·安全设备基本不带密码
· S-MIS Security-Management Information System 标准信息安全保障系统
1. ·硬件和系统软件通用
2. ·PKI/CA安全保障系统必须带密码
3. ·运用系统必须根本改变
· S^2-MIS Super Security -Management Information System 超安全的信息安全保障系统
1. ·硬件和系统软件都专用
2. ·PKI/CA安全保障系统必须带密码
3. ·运用系统必须根本改变
4. ·紧张的硬件和系统软件须要PKI/CA
4-数据中央机房安全等级
硬件根本机房安全等级划分,不同规模的机房安全等级哀求不一样。根据工信部的《国家标准GB9361-88》划分数据中央为:A级为容错型,B级为冗余型,C级为基本型
图片详情参考:https://blog.csdn.net/zhaojifang/article/details/80923000
5-数据安全等级-可信打算机系统
根据数据的保护等级进行划建立一条数据可信链,首先构建一个信赖根,再建立一条信赖链,从信赖根开始到硬件平台、到操作系统、运用系统、中间件等(中间件可以参考我们文章《系统架构师之——中间件技能》),一级度量认证一级,一级信赖一级,把这种信赖扩展到全体打算机系统,从而确保全体打算机系统的可信。
紧张运用处景:
1. 数字版权管理,可信打算将使公司很难规避的数字版权管理系统;
2. 身份盗用保护,可以通过认证证书的办法实现防止身份盗用;
3. 游戏防作弊,可以利用安全I/O等关键技能来打击在线游戏作弊;
4. 保护系统,通过软件的数字署名,操作系统可以创造带有特工软件的运用程序,从而实现系统的保护;
5. 保护数据,用于身份认证的生物鉴别设备可以利用可信打算技能保护数据安全;
6. 打算结果,确保网络打算系统的参与者返回的结果不是假造的;
参考:https://pcedu.pconline.com.cn/1192/11921831.html
发展进程:
等级评估:
二 信息安全关键技能
在理解了全体信息安全的体系后,建立了自己的认知体系,以便于自己快速定位和评判。而针对不同区域/不同场景,去查找不同的技能资料及标准。而对此,我们对信息安全的关键技能进行抛砖引玉。
信息系统安全性可靠性设计的时候,就要考虑采取这些干系技能。紧张分以下几方面:
· 数据安全及保密
· 网络安全
· 企业商务安全
· 安全管理策略
· 打算机操作安全
· 系统备份与规复
1-数据安全及保密
· 加密系统编制:对称加密DES,非对称加密RSA
PKI:CA安全认证
数字署名:Hash署名、DSS署名、RSA署名
数字信封:公钥加密,对方收到后,私钥解密
PGP:基于RSA公钥加密体系的邮件加密软件
数字水印:便是加水印,有可见和不可见(暗藏)的水印
2-网络安全
· 单点登录SSO:Kerberos网络身份认证协议机制,例如Apache Kerby;Shell脚本机制
· 无线设备安全:SIM卡认证用户、ECC认证、WAPI安全机制、WPA协议等
· 防火墙技能:网络级防火墙(TCP/IP包过滤)、运用级防火墙(网关防火墙,网关子网过滤与屏蔽)
· 入侵检测:一样平常有专业公司专业软件进行安全漏洞扫描并出报告
· 虚拟网络VPN
· 网络安全策略IPSec: 保护数据包、抵抗网络攻击,网络层保护策略,更多用于管理网络阻隔。
网络安全涉及的知识点非常多,基本涵盖全体信息化过程,详情可以参考知识构造如下:
3-企业商务安全
择要内容
· SSL Secure Sockets Layer 安全套接层:认证、加密、保护等
· SET Secure Electronic Transaction 安全电子交易协议 :认证、交易、支付等
· CA认证中央
4-安全管理
信息安全数据安全不单单靠技能,更须要进行安全管理——操持、组织、领导、掌握,针对人、物、财等资源。
· 管理策略模型:
1. Bell-LaPadule机密性访问模型
2. Biba完全性访问模型
3. Clark-Wilson完全性访问模型
· 安全体系:
1. 病毒木马扫描
2. 安全扫描
3. 日志审计
4. 安全审计
5. 员工信息掌握
6. 安全管理制度确定
· 操作安全:
1. 职员权限登记及授权
2. 物理隔离安全
5-系统备份与规复企业数据的备份和规复关系到企业的死活,之前北京一家初创公司在腾讯云的备份数据丢失导致丢失过千万,详细参考:https://www.thepaper.cn/newsDetail_forward_2323989,以是系统数据的备份及规复不能忽略。要做好方案及容灾。
· 备份方案:
1. 灾害规复方案 DRP,DisasterRecoveryPlanning
2. 业务规复方案BRP,BusinessResumptionPlanning
3. 危急管理方案CMP,CrisisManagementPlanning
4. 持续可用性CA,Continuous Availability
· 备份分类:
案例参考:铱迅公司数据备份与规复系统,http://www.yxlink.com/products.php?cateid=23
三总结以上,基本对信息安全方面的知识有个完全的知识体系了,当你大脑有了安全知识架构体系,基本上不会被别人忽悠,基本上面对企业信息安全数据安全可靠性,有了多角度多方面的切入点。让考虑更全面,认知更全面。虽然你不一定做详细细节的安全技能,但是你可以把控全局。免得管中窥豹,摸不着象。
而详细选择哪种安全体系、安全模型,采取哪种安全技能,哪个技能体系,详细还得根据自己事情哀求和业务需求进行选择,并且深入研究。我们只是对此进行抛砖引玉
