【思维导图】网络安全思维导图-42-入侵(系统安全)
- 格式:xmin
- 大小:197.17 KB
- 文档页数:1


工作模式
要求报文源地址在FIB表中有相应表项并且入接口匹配才
应用场景,两个网络边界间只有一条路径时使用严格模式
不检查接口是否匹配,只要FIB表中存在该报文源地址的
I SP之间有两条连接。
不能够保证Enterprise和ISP之间路
由的对称性,必须使用URPF松散模式。
于二层接口的源IP过滤技术,防止恶意主机伪造合法主
的IP来冒充合法主机,
保非授权主机不能通过自己指定IP地址的方式来访问网
或攻击网络。
用绑定表(源IP、源MAC、所属VLAN、入接口的绑定
系)去匹配检查收到的IP报文,匹配绑定表的报文放
,不匹配就丢弃。
统完整)变更控制(过程完整)访问控制(物理和技术控制)软件数字签名护特定对象的技术和方法Cobit 定义了满足财务报告和控制环境风险评估控制活动应ISO27001信息安全最一般性的声明最高管理层对信息安全承担责任的一种承诺说明要保护的对象和目标全需求步骤的详细描述(HOW )述并委派信息安全责任,需要关注的信息安全问题定安全领域或关注点,例如访问控制、持续性计划、职责分离等如互联网、电子邮件、无线访问、远程访问等受的风险水平述,组织针对该问题的态度、适用范围、符合性要求,惩戒措施领域制定的更细化的策略,如应用或平台定安全基线,明确采购的产品和服务的最低安全要求供应商人员进行安全培训定供应商安全管理策略,定义通用的安全控制方法加对OEM 厂商、分销商和集成商的控制供应商网络安全风险进行审计职责:优先级审查风险评估和审计报告监控安全风险的业务影响审查重大的安全违规和事故由董事会任命,帮助其审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性。
公司财务报表以及财务信息的完整性公司的内部控制系统独立审计员的雇佣和表现内部审计功能的表现遵守与道德有关的法律要求和公司策略体上了解该组织的风险并且协助高层管理者把风险降到可接受的程度。
研究整体的业务风险,而不仅仅是IT安全风险计划行事,安全管理计划应该自上而下组织安全方针全策略完成标准、基线、指南和程序,并监控执行和安全专家负责实施安全管理文件中的制定配置负责遵守组织的所有安全策略长期计划,例如5年相对稳定,定义了组织的目标和使命中期计划,例如1年对实现战略计划中既定目标的任务和进度的细节描述,例如雇佣计划,预算计划等短期的高度细化的计划,经常更新每月或每季度更新,例如培训计划,系统部署计划等理某个业务部门,对特定信息自己的保护和应用负最终责任适当关注”责任决定数据的分类定义每种分类的安全需求和备份需求定义用户访问准则色而非技术角色部门的角色执行数据的常规备份定期验证数据的完整性备份介质还原数据实现公司关于信息安全和数据保护的信息安全策略、标准和指导原则或多个系统,每个系统可能保存并处理由不同数据所有者拥有的数据全因素集成到应用程序和系统中系统脆弱性得到评估的安全措施保证系统安全护企业具体的安全管理设备和软件员会和信息安全官报告策略、标准和指南,并设立各种基准计层面,非实现层面审批或否决网络、系统或软件的请求佳的方式存储数据,为需要访问和应用数据的公司与个人提供便利公司信息的系统有者合作,建立的数据结构符合并支持公司的业务目标断是否满足安全需求以及安全控制是否有效理提供独立保障个负责录入、第二个负责检查、第三个负责确认最终交易全管理/操作/审计,理/密钥更改定职位,避免个人获得过多的控制发现欺诈、数据修改和资源滥用等应当与第三方组织和个人均签订保密协议监控第三方的所有工作行为在接入时,确保对第三方人员的身份进行验证上述措施的基础上,增加人员背景调查三方人员离场,需要收回相关的权限的商务条款认识提供工作所需的专业技技术。