系統安全可靠性是都是需要哪些知識(考察軟件的安全可靠性時(shí),一般從哪幾個(gè)方面來(lái)判斷)
1.考察軟件的安全可靠性時(shí),一般從哪幾個(gè)方面來(lái)判斷
1、用戶(hù)權限限制;軟件是否按功能模塊劃分用戶(hù)權限,權限劃分是否合理,考察超級用戶(hù)對各個(gè)用戶(hù)的權限管理是否合理,包括修改用戶(hù)的登錄資料等。
2、用戶(hù)和密碼封閉性。軟件對用戶(hù)名和密碼有無(wú)校驗,有無(wú)保護措施,尤其對密碼有無(wú)屏蔽功能。
3、系統對用戶(hù)錯誤登錄的次數限制。軟件對用戶(hù)錯誤登錄有無(wú)次數限制,一般做法是連續三次登錄失敗就退出系統。
4、留痕功能。軟件是否提供操作日志,比如某用戶(hù)登錄的時(shí)間,查詢(xún)、修改或刪除的動(dòng)作以及離開(kāi)的時(shí)間等。
5、屏蔽用戶(hù)操作錯誤。考察對用戶(hù)常見(jiàn)的誤操作的提示和屏蔽情況,例如可否有效避免日期的錄入錯誤或寫(xiě)入無(wú)效的日期 6、錯誤提示的準確性。
當用戶(hù)操作錯誤或軟件發(fā)生錯誤時(shí),能否有準確清晰的提示,使用戶(hù)知道造成錯誤的原因。例如當用戶(hù)未輸入完有效信息時(shí)存盤(pán),系統應當給出關(guān)于未輸入項的提示。
7、錯誤是否導致系統異常退出。考察軟件運行的穩定性,當軟件發(fā)生一般錯誤或嚴重錯誤時(shí),軟件是否會(huì )自動(dòng)退出。
8、數據備份與恢復手段。主要針對有數據存儲需要的軟件,有的軟件依靠數據庫操作系統本身的備份與恢復機制,這需要用戶(hù)具備一定的操作知識;好的軟件會(huì )提供備份與恢復的操作,不需要用戶(hù)直接對數據庫系統進(jìn)行操作。
9、輸入數據有效性檢查。當用戶(hù)輸入的數據有錯時(shí),軟件應能判斷數據的有效性,避免無(wú)效數據的生成。
10、異常情況的影響。在程序運行過(guò)程中進(jìn)行掉電等試驗,考查數據和系統的受影響程度;若受損,是否提供補救工具,補救的情況如何。
11、網(wǎng)絡(luò )故障對系統的影響。當網(wǎng)絡(luò )中斷連接時(shí),是否會(huì )造成數據的丟失。
2.系統安全主要是指
信息安全的六個(gè)方面: - 保密性(C, confidentiality ):信息不泄漏給非授權的用戶(hù)、實(shí)體或者過(guò)程的特性 - 完整性(I,integrity ):數據未經(jīng)授權不能進(jìn)行改變的特性,即信息在存儲或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。
- 可用性(A, availability ):可被授權實(shí)體訪(fǎng)問(wèn)并按需求使用的特性,即當需要時(shí)應能存取所需的信息。 - 真實(shí)性:內容的真實(shí)性 - 可核查性:對信息的傳播及內容具有控制能力,訪(fǎng)問(wèn)控制即屬于可控性。
- 可靠性:系統可靠性 信息安全特性: -攻防特性:攻防技術(shù)交替改進(jìn) -相對性:信息安全總是相對的,夠用就行 -配角特性:信息安全總是陪襯角色,不能為了安全而安全,安全的應用是先導 -動(dòng)態(tài)性:信息安全是持續過(guò)程 信息安全范圍(存在IT應用的任何場(chǎng)景): - 管理與技術(shù) - 密碼、網(wǎng)絡(luò )攻防、信息隱藏 - 單機、服務(wù)器、數據庫、應用系統 - 災難恢復、應急響應、日常管理 -…… 信息安全技術(shù)與管理: - 建立安全的主機系統、網(wǎng)絡(luò )系統是信息安全技術(shù)的主要方法;架構信息安全體系是信息安全管理的基本方法。 - 二者配合關(guān)系-三分技術(shù)七分管理,但目前二者脫節很?chē)乐兀?信息安全策略與管理戰略的脫節 將“業(yè)務(wù)的持續性”與“災難恢復”劃等號 信息安全意識的培訓不夠 信息安全的六個(gè)方面: - 保密性(C, confidentiality ):信息不泄漏給非授權的用戶(hù)、實(shí)體或者過(guò)程的特性 - 完整性(I,integrity ):數據未經(jīng)授權不能進(jìn)行改變的特性,即信息在存儲或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。
- 可用性(A, availability ):可被授權實(shí)體訪(fǎng)問(wèn)并按需求使用的特性,即當需要時(shí)應能存取所需的信息。 - 真實(shí)性:內容的真實(shí)性 - 可核查性:對信息的傳播及內容具有控制能力,訪(fǎng)問(wèn)控制即屬于可控性。
- 可靠性:系統可靠性 信息安全特性: -攻防特性:攻防技術(shù)交替改進(jìn) -相對性:信息安全總是相對的,夠用就行 -配角特性:信息安全總是陪襯角色,不能為了安全而安全,安全的應用是先導 -動(dòng)態(tài)性:信息安全是持續過(guò)程 信息安全范圍(存在IT應用的任何場(chǎng)景): - 管理與技術(shù) - 密碼、網(wǎng)絡(luò )攻防、信息隱藏 - 單機、服務(wù)器、數據庫、應用系統 - 災難恢復、應急響應、日常管理 -…… 信息安全技術(shù)與管理: - 建立安全的主機系統、網(wǎng)絡(luò )系統是信息安全技術(shù)的主要方法;架構信息安全體系是信息安全管理的基本方法。 - 二者配合關(guān)系-三分技術(shù)七分管理,但目前二者脫節很?chē)乐兀?信息安全策略與管理戰略的脫節 將“業(yè)務(wù)的持續性”與“災難恢復”劃等號 信息安全意識的培訓不夠。
