关键的安全概念

网络安全对于保护个人网络设备以及客户免受不必要的访问、盗窃、损坏等问题的侵害至关重要。 互联网是安全威胁的主要来源。 控制你的网络，以有效抵御这些威胁。 网络安全的主要目标就是保护那些连接在互联网上的机器，使其免受病毒和黑客的攻击。 防火墙、路由器以及其他设备能够让你掌控网络的安全性。 通过破坏自身的网络安全，让未经授权的人员能够访问您的网络资源。

关键的安全概念：

• 资产：对一家公司来说，任何有价值的资产都可以被视为一种资产。如果你了解那些需要保护的资产、它们的价值、所在位置以及存在的漏洞，那么你在保护这些资产方面所投入的时间、精力和金钱就会更加有效。你可以做出正确的决策。
• 脆弱性：设备或流程的硬件、软件或配置中存在的安全漏洞被称为“漏洞”。负责修复这些漏洞的各方应定期进行漏洞检测。
• 风险：被特定攻击所针对的可能性、成功发动攻击的可能性，以及整体面临特定威胁的风险，都被称为“风险”。正如你所看到的，只要有脆弱性和危险存在的地方，就存在风险。
• 威胁：某种特定的攻击源和手段被称为“威胁”。进行威胁分析的目的是为了确定如何最有效地保护您的系统免受特定威胁或某一类威胁的侵害。
• 剥削：所谓“漏洞利用”，指的是攻击者利用某种方法或工具来利用系统中的漏洞，从而破坏目标系统。
• 对策/措施：对策是一种能够降低潜在风险的防护措施。通过采取对策，可以减少或消除攻击者利用这些风险的可能性。

按数据分类：

为了有效保护资产并合理配置资源，必须采用某种形式的数据分类方法。通过确定哪些数据具有价值，管理员就可以专注于保护那些最宝贵的数据。如果没有这种分类机制，数据管理员就很难有效地保护数据，而IT管理员则难以高效地分配资源。

当信息的分类属于法律要求的内容时，那么保持数据的准确性就可能会涉及到责任问题。 通过正确地对数据进行分类，并实施适当的保密性、完整性和可用性控制措施，数据管理员可以依据法律、责任以及道德标准来有效保护数据。 如果企业能够认真对待分类工作，那么你会发现，所有人也会认真对待信息安全问题。 虽然用于描述数据的技术和术语在不同国家和地区之间存在差异，但一些趋势却越来越明显了。 许多政府机构，尤其是军队，通常会使用以下分类系统来处理他们的数据：

• 未分类：那些在保密性、完整性或可用性方面几乎不需要任何保护的信息。
• 受限：无法使用/访问那些一旦被公开可能会给您的组织带来损害的信息。虽然并非所有国家都采用这种分类方式，但北约（北大西洋公约组织）的成员国普遍采用这种分类方式。
• 那些必须遵循保密标准的数据，会被视为需要特别保护的资料。保密的。这种方法在这一级别上拥有最少的分类数据。
• 秘密：那些你竭尽全力要保密的信息，因为一旦被公开，可能会带来严重的后果。通常情况下，能够访问这些数据的人员数量远远少于那些被授权可以访问这些数据的人。
• 绝密这些信息需要花费大量时间来保密，而且保密的成本也相当高。因为一旦这些信息被泄露，所带来的损害可能是巨大的。通常，只有少数需要了解这些信息的人才能接触到这些敏感信息。
• SBU：敏感但非机密信息。这是一种由政府使用的通用分类方式。虽然这种分类如果被公开的话可能会带来尴尬，但总体上来说，它并不构成严重的安全漏洞。SBU则是一种更为全面的分类方式，其中还包含了“仅限官方使用”这样的标识。

对于一个有效的分类系统来说，它必须承担多种功能。最常见的功能包括：

• 主人：所有者（通常是负责管理该企业的高级经理）对相关信息负有最终责任。所有者负责整理数据、选择管理员，并总体控制相关人员的行动。所有者对其所拥有的资料负有最终责任，因此，定期审查所有机密信息是非常重要的。
• 保管人：通常，负责数据管理的人员是IT团队中的一员。他们负责日常的数据维护工作。数据所有者选择相应的安全控制措施，因为他们不需要具备技术知识。而负责数据管理的人员则负责标记数据，以确保这些控制措施能够得到正确执行。此外，负责数据管理的人员还会定期备份数据，并确保备份数据的安全性，从而确保数据的可用性。作为数据保留义务的一部分，负责数据管理的人员还需要经常审查自己的数据安全设置。
• 用户：用户无需负责对数据进行分类或整理相关材料。用户有责任按照既定的操作程序来使用数据，以确保所控制的数据处于安全状态。

脆弱性分类：

同时，了解操作性和安全性措施的不足之处也是非常重要的。这种理解有助于使安全设计更加有效。为了更清楚地了解系统漏洞的来源，在进行分析时对这些漏洞进行分类可能很有帮助。可以使用以下一些通用类别来对关键系统和资产中的漏洞进行分类：

• 政策中的缺陷/漏洞
• 设计缺陷
• 协议的不足之处
• 软件的弱点/缺陷
• 配置错误/设置不当
• 敌对代码
• 人为因素

此列表仅包含部分漏洞类别。每个类别中都可能存在多个漏洞。
目前，有许多行业性的举措致力于对可能对公众造成危害的灾害进行分类。以下这些知名度较高且可免费获取的目录可以作为进行脆弱性分析的参考模型。

• 常见漏洞与暴露风险（CVE）：这是一个公开可用的列表，其中包含了已知的网络安全漏洞和相关风险信息。请访问 https://cve.mitre.org/ 以获取更多详细信息。该数据库有助于不同安全解决方案之间的数据交换，同时提供了标准标识符，这些标识符可以作为评估工具和服务的覆盖范围的依据。
• 美国政府的国家漏洞数据库（NVD）这是一个符合标准的漏洞管理数据存储库。这些数据有助于实现合规性检查、安全评估以及漏洞管理的自动化处理。NVD还维护着一个数据库，其中包含了产品名称、影响程度、与安全性相关的软件缺陷、配置错误等信息，以及用于安全检查的清单。
• 在计算机和网络领域，用于评估与分类安全漏洞的标准就是……通用漏洞评分系统（Common Vulnerability Scoring System，CVSS）该标准着重于比较不同漏洞的严重程度，从而帮助管理员确定任务的优先级。诸如McAfee、Qualys、Tenable和Cisco等知名企业都采用了这一标准。更多相关信息、数据库以及计算工具，可以访问https://www.first.org/cvss/进行查询。此外，还有许多针对对公众构成威胁的风险的分类方法。以下这些被广泛认可的、且可免费获取的目录可以作为漏洞分析的参考模型。

对策的分类：

在理解威胁时，与资产和数据一样，漏洞也是非常重要的因素。组织会采用各种控制措施来加强其安全架构，从而在实施全面防护的同时，有效应对各种威胁。这些安全措施可以依据不同的方式来分类。其中，其中一种分类方式就是按照控制措施的类型来进行分类。而最能描述这些安全措施的三种分类方式之一，就是……

• 主要被控制的那些事物/因素行政的在本质上，这些规则与程序包括：关于安全意识的培训、安全标准和实践规范、安全相关的测试与审计、对员工和承包商的背景调查、合理的招聘流程，以及用于修改和配置的系统控制机制。
• 技术：硬件、软件、电子设备以及其它控制设备，例如防火墙、RFID卡、网络接入控制系统、RADIUS和TACACS+服务器、生物识别认证设备、入侵防御系统、配备ACL功能的路由器、集中器，以及用于虚拟专用网络的客户端设备。此外，还有用于生成一次性密码的解决方案。
• 身体方面：主要是机械控制方式，例如用于不间断电源系统的控制方法、入侵检测系统、火灾抑制系统、系统性正气流系统、安保人员以及锁具、保险箱和架子等相关设备。