①物理安全。門鎖或其他物理訪問控制、敏感設備的防竄改、環境控制。2人員安全。位置敏感性識別、雇員篩選過程、安全性訓練和安全意識。
③管理安全。控制軟件從國外進口:調査安全泄露、檢査審計跟蹤以及檢查責任控制的工作程序。
④媒體安全。保護信息的存儲;控制敏感信息的記錄、再生和銷毀;確保廢棄的紙張或含有敏感信息的磁性介質得到安全的銷毀:對媒體進行掃描,以便發現病毒。
⑤輻射安全。射頻(RF)及其他電磁(EM)輻射控制(亦稱 TEMPEST保護)。
生命周期控制。可信賴系統設計、實現、評估及擔保:程序設計標準及控制;記錄控制。一個安全系統的強度是與其最弱鏈路的強度相同的。為了提供有效的安全性,我們需要將屬于不同種類的威脅對抗措施聯合起來使用。例如,當用戶將口令遺忘在某個不安全的地方,或者受到欺騙而將口令暴露給某個未知的電話用戶時,即使技術上是完備的,用于對付假冒攻擊的口令系統也將是無效的。
網站建設的防護措施可用來對付大多數的安全威脅,但是每個防護措施均要付出代價。一個網絡用戶需要仔細考慮這樣一個問題,即為了防止某一攻擊所付出的代價是否值得。例如,在商業網絡中,一般不考慮對付電磁(EM)或射頻(RF)泄漏,因為對商用來說其風險是很小的,而且其防護措施又十分昂貴。但是在機密環境中,我們會得出不同的結論。對于某一特定的網絡環境,究竟采用什么安全防護措施,這種決策的作出屬于風險管理的范疇。目前,人們已經開發出各種定性的和定量的風險管理工具。要想進一步了解有關的信息,請看有關文獻。
本文地址:http://m.123beaconmarketing.com//article/3808.html
