论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 40 篇帖子 ]  前往页数 上一页  1, 2, 3
作者 内容
 文章标题 :
帖子发表于 : 2008-07-22 20:19 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2015-10-28 10:36
拥有: 24,445.80 安全币

奖励: 24026 安全币
在线: 12978 点
帖子: 1843
地址: 北京
在这个帖子里面说得话够多了,这些基本概念 澄清就好 更多去关注实际中的安全问题吧 实践才是最有价值的 哪怕解决任何一个最小最琐碎的安全问题 都很有价值。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-23 09:14 
离线
初级用户

注册: 2008-07-18 17:27
最近: 2009-01-11 19:44
拥有: 139.30 安全币

奖励: 62 安全币
在线: 453 点
帖子: 28
chinadoors 写道:
jackhua 写道:
chinadoors 写道:
另外,用户当前的需求是种类繁多,可能是解决数据安全、网络隔离,也可能是提升工作效率等,所以,不变的是根据当前的技术来解决用户的需求,市场决定技术,也决定目标。


数据安全是什么? 机密性?完整性?可用性?

网络隔离目的是什么?可用性?机密性?

提升工作效率,窃以为 跟信息安全没有直接关系。

呵呵,学术讨论,仅供探讨。
1.关于CIA在信息安全中的地位,值得商榷,CIA是否能够上升到与物质第一性这样的高度,是否能够作为真理、公理这样的地位,值得讨论,CIA可以说是信安的基本目标,但是目前信安的目标已经不仅限于CIA。
2.关于信安的作用,例举一二,内网桌面系统的作用主要用于监控,网络审计系统主要用于审计,应用安全中单点登录用于认证便利等等,与CIA的三要素均不太相关。
因此CIA可以作为基本目标,但不能代表实际中的设计目标。



恩 欢迎讨论 这段说的不错

确实 兄弟你举的几个例子 跟CIA 确实不是一回事

事情是这样的

PPDRR 现在都这么看 除了与管理相关的第一个P 后面PDRR四个东西

还是事先预防最重要 也就是protection,CIA概念是从这方面产生的

你举的例子 我可以这样解释

1、为什么要作内网安全,两点 ,要么怕泄密 ,这是保护C,要么怕用户导致安全事件,影响可用,这是保护A,如果仔细分析到底要监控什么的话,可能最终的风险还是跟CIA有关的

2、网络审计,也不是实现预防的P,而是一种D,或者R,但是,你审计什么?审计违规么?怎么算违规?为什么怕漏掉违规行为?你担心的风险是什么?最终很可能还是会落在CIA上

3 单点登录,这个事情,本质上讲与安全无关,是为了简化操作,我也可以说是为了改善可用性,还是A,呵呵,但是要实现单点登录,通常需要有统一身份和认证管理机制作基础,你能说这个跟安全无关么?为什么要认证,就是为了C和I,所以还是跟CIA有关

所以,我在签名帖子里面也说过了,确实,我们很多实际的机制,如果追根溯源,就是CIA,只是看我们能否认清其本质了,我们还可以举例子

最早的CIA,之后,提出了认证A ,授权A,审计A,不可否认NR,这些是为了干什么的,我们说这些都是为CIA服务的,因为CIA是目标,而保证客体的CIA,需要对访问行为发起方主体进行安全控制,因为不对主体作认证,授权,访问控制,审计,抗否认的控制,客体的CIA是白搭。

很精辟,很透彻,足见对信安有很深理解。
返璞归真,信息社会最重要的是信息,一切网络、应用、安全都是围绕信息这个进行的,所以CIA作为信息保护的基本原则的确算做基本目标,这个不容置疑。
PDRR是:protection, detection, reaction, recovery的缩写。
PPDRR是什么意思,兄台赐教。


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-23 12:59 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2015-10-28 10:36
拥有: 24,445.80 安全币

奖励: 24026 安全币
在线: 12978 点
帖子: 1843
地址: 北京
赐教不敢当 咱们多交流

第一个P,就是policy,策略


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-28 10:49 
离线
新手

注册: 2007-01-25 23:45
最近: 2015-09-26 16:02
拥有: 35.40 安全币

奖励: 0 安全币
在线: 232 点
帖子: 19
信息包罗万象-报纸-电视,文档等等,信息安全范畴太大。我们现在通常说的信息安全,还是针对计算机信息系统的安全。那么就需要从计算机信息系统安全方面进行定义,所有关于主体的安全都是我们通常所说的信息安全。


--------本帖迄今已累计获得7安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-28 10:56 
离线
初级用户

注册: 2008-07-18 17:27
最近: 2009-01-11 19:44
拥有: 139.30 安全币

奖励: 62 安全币
在线: 453 点
帖子: 28
fhjant 写道:
信息包罗万象-报纸-电视,文档等等,信息安全范畴太大。我们现在通常说的信息安全,还是针对计算机信息系统的安全。那么就需要从计算机信息系统安全方面进行定义,所有关于主体的安全都是我们通常所说的信息安全。

个人认为信息安全中的信息指shannon信息论中的信息。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-28 11:16 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2015-10-28 10:36
拥有: 24,445.80 安全币

奖励: 24026 安全币
在线: 12978 点
帖子: 1843
地址: 北京
fhjant 写道:
信息包罗万象-报纸-电视,文档等等,信息安全范畴太大。我们现在通常说的信息安全,还是针对计算机信息系统的安全。那么就需要从计算机信息系统安全方面进行定义,所有关于主体的安全都是我们通常所说的信息安全。


在我看来 信息 这东西 的定义 就是ISO的定义

信息是通过在数据上施加某些约定而赋予这些数据的特殊含义

所以 信息跟香农的信息论 本身没什么冲突 关键是信息是无形的

信息 要借助数据等介质载体存在 而且又要被信息系统进行处理

所以通常意义上 咱们关心的信息安全 不是广义的信息安全 这个信息安全的范畴会落在信息系统的建设和管理上

所以说 数据是最重要的信息资产 因为他们是信息的直接载体 数据只是客体 CIA说得就是他们包含的信息

所以 信息安全从最初的客体CIA 后来扩展到了包括主体的安全在内的体系


--------本帖迄今已累计获得27安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-08-05 22:56 
离线
超级用户

注册: 2008-03-03 16:38
最近: 2011-08-24 23:02
拥有: 1,087.50 安全币

奖励: 1571 安全币
在线: 1171 点
帖子: 300
地址: beijing
风险最小化管理.


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-08-06 10:16 
离线
初级用户

注册: 2007-04-27 10:42
最近: 2013-04-10 18:18
拥有: 57.20 安全币

奖励: 0 安全币
在线: 402 点
帖子: 51
学习。。。。。。。。。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-08-06 13:40 
离线
新手

注册: 2008-08-05 16:13
最近: 2008-10-08 18:45
拥有: 61.10 安全币

奖励: 0 安全币
在线: 41 点
帖子: 9
帖子不错,虽然不能发表一点看法,但是总觉得你们说的太简单了。不过,本来吗,有些东西就不是很复杂。信息安全作为一个新兴产业,太多太多浮躁跟风的人在捣乱,以至于迷失了方向。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-12-18 15:47 
离线
新手

注册: 2008-12-18 15:08
最近: 2008-12-18 15:29
拥有: 1.20 安全币

奖励: 0 安全币
在线: 12 点
帖子: 2
分数不够


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 40 篇帖子 ]  前往页数 上一页  1, 2, 3

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012