保密性Confidentiality

–定义：信息不被泄漏给非授权的用户、实体或进程，或被其利用的特性
–信息内容的保密和信息状态的保密
–常用的技术：防侦收、防辐射、信息加密、物理保密、信息隐形

完整性Integrality

–定义：信息未经授权不能进行更改的特性，即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
–主要因素：设备故障、误码、人为攻击、计算机病毒等
–主要保护方法：协议、纠错编码方法、密码校验和方法、数字签名、公证等

可用性Availability

–定义：信息可被授权实体访问并按需求使用的特性
–目前没有理论模型，是综合性的度量
–信息的可用性涉及面广
• 硬件可用性
• 软件可用性
• 人员可用性
• 环境可用性：主要是自然环境和电磁环境

可控性Controllability
–指能够控制使用信息资源的人或实体的使用方式
• 信息的可控
• 安全产品的可控
&b

　　1.在审计员作审计之前先问清楚他们在期待着什么。让他们想清楚审计的目标，即是有时候他们已经做了一些审计前的清单。

　　2.确保列出你能预期到各种风险。分门别类，按降序排列，把风险最大的排在第一位，顺便附上要降低这些风险你所想到的控制管理方法。

　　3.确保你拥有预防性控制，以及在适当的位置有侦探性的控制来指示他们在工作。确保变动管理进程。对于每个认证过的变动，通过探测性的控制来记录这些结构的变化，保证这些变化在工作次序的范围之内。对收集来的变化请求数据进行归档，并且随时可以取得。在某些机构，上述所有的信息都储存在一个物理三环捆绑者内(physical three-ring binder)。

　　4.选择使用变动咨询桌(Change Advisory Board)会议记录来指示有人正在参加会议以及管理各种变动。

　　5.保持做出一个连续的并且准确的硬件和软件的资产详细目录

　　6.确保所有的内部审计程序运行正常。比如你的路线表明你的防火墙日志是由可以回顾例外的系统控制的，那么你必须能够通过其中的一个日志来验证下一个路线。

　　7.弄清所有的储运损耗和系统中的不在计划内的停工

#51 Angry IP Scanner：一款非常快的Windows IP 扫描器和端口扫描器

Angry IP Scanner能够实现最基本的Windows平台上的主机发现和端口扫描。它的体积非常的小，它还可以通过挂载插件（a few plugins）来获得主机其它信息。

--------------------------------------------------------------------------------

#52 RKHunter：一款Unix平台上的Rootkit检测器

RKHunter是一款检测例如rootkit、后门、漏洞等恶意程序的工具。它采用多种检测手段，包括MD5哈希值对比、rootkits原始文件名检测、文件权限检测，以及LKM和KLD模块中的可疑字符串检测。

--------------------------------------------------------------------------------

#53 Ike-scan：VPN检测器和扫描器

Ike -scan是一款检测IKE（Internet Key Exchange）服务传输特性的工具，IKE是VPN网络中服务器和远程客户端建立连接的机制。在扫描到VPN服务器的IP地址后，将改造过的IKE数 据包分发给VPN网中的每一主机。只要是运行IKE的主机就会发回反馈来证明它存在。此工具然后对这些反馈数据包进行记录和显示，并将它们与一

#1 Nessus：最好的UNIX漏洞扫描工具

Nessus 是最好的免费网络漏洞扫描器，它可以运行于几乎所有的UNIX平台之上。它不止永久升级，还免费提供多达11000种插件（但需要注册并接受EULA- acceptance--终端用户授权协议）。它的主要功能是远程或本地（已授权的）安全检查，客户端/服务器架构，GTK（Linux下的一种图形界面）图形界面，内置脚本语言编译器，可以用其编写自定义插件，或用来阅读别人写的插件。Nessus 3 已经开发完成（now closed source），其现阶段仍然免费，除非您想获得最新的插件。

--------------------------------------------------------------------------------

#2 Wireshark：网络嗅探工具

Wireshark （2006年夏天之前叫做 Ethereal）是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据，也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。Wireshark拥有许多强大的特性：包含有强显示过滤器语言（rich display filter language）和查看TCP会话重构流的能力；它更支持上百种协议和媒体类型；拥有一

信息安全风险评估

 

信息安全风险评估是信息安全管理的基础核关键环节，也是难点所在。通过开展信息安全风险评估，对资产的价值，潜在的安全威胁，薄弱环节，可能遭受地危害，及防护措施进行分析，有针对性地提出抵御威胁地防护对策和整改措施，从而最大限度地减少负面影响。风险评估做的不到位，相当于大方向就错了，到时给人一种虚假的安全感，这比没有安全感更糟糕。所以，我认为，风险评估一定要做细致。确保与管理层充分沟通，确保对组织业务的正确理解。

 

虽然风险评估有定量的方法

iso27001文件要求


Level 1–安全政策手册
为管理架构的摘要，其中包括了资讯安全政策和控制措施目标，以及适用性声明中所提及已实施的控制措施。

Level 2–程序
程序用来实施所要求的控制措施，描述who、what 、when 、where等安全流程和不同部部门的控制措施。

Level 3–工作指導書、檢查清單、表格等
解释特殊工作和活动的细节，以及如何完成特定的工作。包括详细的工作指导书、表单、流程图、服务标准和系统手册…等。

Level 4–记录
记录活动执行以符合等級1、2和3文件要求的客观证据。例如：访客登记簿、审核记录和存取授权…等。

IT进入'云'时代


相关链接：云计算

　　云计算是一种共享IT基础架构的方法，它可以将巨大的系统池连接起来提供IT服务。云计算让企业数据中心的运行更加类似互联网，通过安全和可扩 展的方式让计算资源可以像虚拟资源一样被访问和共享，属于下一代的计算平台。如IBM的“蓝云”(Blue Cloud)技术是一系列基于开放标准和开源软件的云计算产品，能够把计算机连接起来提供如：Mashups、开放协作、社会网络和移动商务等 Web2.0应用。

今年谷歌“开发者日”以云计算为中心

在北京亚运村国际会议中心拉开序幕的Google Developer Day 2008(开发者日)。去年Google在全球10个地区举行了开发者日，而今年举办地区将增加至13个，北京则是本年度继日本横滨之后全球第二站。

IBM：未来数据中心就是走向云端运算

趋势开创Web安全云时代 反毒

If this is the information superhignway, it's gonging through a lot of bad, bad neighborhoods.

Dorian Berger,1997

 

Security can only be achieved through constant change, througn discarding old ideas that hae outlived their usefulness and adaping others to current facts.

WILLIAM O.DOUGLAS

 

制定安全计划

 

信息安全意识提升得10条戒律

1．信息安全不仅仅是技术问题，更是人的问题。

2．如果想让他们理解，就得说他们的语言。

3．如果他

标准动态：

ISO/IEC 27000-总则，总体介绍ISO27K标准和ISO27K中的术语。

ISO/IEC 27001:2005-信息安全管理系统标准要求（细则）。

ISO/IEC 27002:2005-信息安全管理实践规则。描述了如何理解信息安全控制目标并提供了一系参考安全控制实践。