⑴ 4a的實際意義可解釋為什麼
4倍的a 或者4A是指:認證Authentication、賬號Account、授權Authorization、審計Audit,中文名稱為統一安全管理平台解決方案。即將身份認證、授權、審計和賬號(即不可否認性及數據完整性)定義為網路安全的四大組成部分,從而確立了身份認證在整個網路安全系統中的地位與作用。4A (認證Authentication、賬號Account、授權Authorization、審計Audit)統一安全管理平台解決方案 1995年,國際網安界最早提出4A(認證Authentication、賬號Account、授權Authorization、審計Audit)統一安全管理平台解決方案概念,正式將身份認證作為整個網路安全的基礎及不可或缺的組成部分,即將身份認證、授權、審計和賬號(即不可否認性及數據完整性)定義為網路安全的四大組成部分,從而確立了身份認證在整個網路安全系統中的地位與作用。 所謂4A統一安全管理平台解決方案,即融合統一用戶賬號管理、統一認證管理、統一授權管理和統一安全審計四要素後的解決方案將涵蓋單點登錄(SSO)等安全功能,既能夠為客戶提供功能完善的、高安全級別的4A管理,也能夠為用戶提供符合薩班斯法案(SOX)要求的內控報表。
⑵ 計算機的脆弱性有哪些
計算機脆弱性無處不在,對其進行評估的最終目的是要指導系統管理員在「提供服務」和「保證安全」這兩者之間找到平衡。
人們在享受網路帶來的種種方便、快捷服務的同時,也不得不面臨來自網路的種種威脅——黑客入侵、計算機病毒等。其實,早在主機終端時代,黑客攻擊和計算機病毒就已經出現,然而網路為它們提供了更多的攻擊對象、更新的攻擊方式,從而也使得它們危害性更大。
近年來,隨著互聯網的迅速發展,黑客、病毒攻擊事件越來越多。根據CNNIC歷年的「中國互聯網路發展狀況統計報告」,我國上網計算機數量已經從1997年的29.9萬台猛增到2002年的1,254萬台。在過去一年內確定被入侵過的用戶計算機比例也從2000年的11.65%上升到2002年的63.3%。另外,根據CERT/CC的統計,2002年報告的安全事件(security incident)的數量達到82,094件,遠遠高於2001年的52,658件和2000年的21,756件。
之所以會有如此眾多的攻擊行為,一方面是由於互聯網的應用范圍越來越廣,另一方面也由於簡單易用的黑客工具越來越多,然而最主要、最根本的原因還是計算機系統存在可以被滲透(exploit)的脆弱性(vulnerability),——或者稱作安全漏洞(security hole)。計算機脆弱性是系統的一組特性,惡意的主體(攻擊者或者攻擊程序)能夠利用這組特性,通過已授權的手段和方式獲取對資源的未授權訪問,或者對系統造成損害。
CERT/CC表示,成功的Web攻擊事件中有大約95%都是由於沒有對已知的漏洞進行修補。SANS和FBI會定期公布最危險的20個漏洞,大多數通過互聯網對計算機系統進行的入侵都可以歸結為沒有對這20個漏洞進行修補,比如:曾經造成很大影響的紅色代碼(Code Red)和尼姆達(Nimda)蠕蟲病毒。因此,對網路上的計算機以及由若干主機組成的區域網進行脆弱性評估就顯得尤為重要。
在網路安全領域,脆弱性評估和入侵檢測系統、防火牆、病毒檢測構成網路安全四要素。脆弱性評估是對目標系統進行脆弱性分析,這里的系統可以是一個服務,也可以是一個網路上的計算機,還可以是整個計算機網路。它是從黑客攻擊技術和對黑客的防範技術發展而來的。
對於特定的服務而言,脆弱性評估和軟體設計階段以及軟體測試階段的故障分析有些類似,但又不完全一樣。在軟體設計階段,主要目的是要努力避免產生滲透變遷(造成標記顏色改變的變遷);在軟體測試階段,主要目的是要找出可能存在的滲透變遷;而脆弱性評估主要是檢驗目標軟體是否具有已知的滲透變遷。盡管這三個階段的主要目的不同,但可以使用類似的模型方法。
計算機系統的脆弱性評估經歷了從手動評估到自動評估的階段,目前正在由局部評估向整體評估發展,由基於規則的評估方法向基於模型的評估方法發展,由單機評估向分布式評估發展。對於一個運行了若干服務的網路上的計算機而言,脆弱性評估不僅要檢驗各個服務是否具有已知的滲透變遷,還要檢驗不同的服務在同一個主機上運行時會不會產生新的滲透變遷。這就好像是在測試一個安裝了眾多服務的計算機主機,不但要保證其上獨立的服務沒有差錯,還要保證服務之間的關系不會產生新的差錯。
計算機脆弱性可以說是無處不在。由於互聯網在最初設計時並沒有考慮安全問題,在互聯網上的計算機要保證信息的完整性、可用性和保密性就比較困難。同時,網路上的計算機總要提供某些服務才能夠與其它計算機相互通信,然而復雜的軟體系統不可能沒有瑕疵,導致計算機系統和計算機網路的脆弱性不可能完全消除,所以脆弱性評估的最終目的不是完全消除脆弱性,而是提供出一份安全解決方案,幫助系統管理員在「提供服務」和「保證安全」之間找到平衡。
⑶ 4a平台指的是什麼
4A管理平台的建設目的是將業務支撐系統中的帳號(Account)管理、認證(Authentication)管理、授權(Authorization)管理和安全審計(Audit) 整合成集中、統一的安全服務系統,簡稱4A管理平台或4A平台。
即將身份認證、授權、記賬和審計定義為網路安全的四大組成部分,從而確立了身份認證在整個網路安全系統中的地位與作用。
4A統一安全管理平台解決方案,即融合統一用戶賬號管理、統一認證管理、統一授權管理和統一安全審計四要素後的解決方案將涵蓋單點登錄(SSO)等安全功能,既能夠為客戶提供功能完善的、高安全級別的4A管理,也能夠為用戶提供符合薩班斯法案(SOX)要求的內控報表。
(3)網路安全四要素擴展閱讀:
1)集中帳號(account)管理
為用戶提供統一集中的帳號管理,支持管理的資源包括主流的操作系統、網路設備和應用系統;不僅能夠實現被管理資源帳號的創建、刪除及同步等帳號管理生命周期所包含的基本功能,而且也可以通過平台進行帳號密碼策略,密碼強度、生存周期的設定。
2)集中認證(authentication)管理
可以根據用戶應用的實際需要,為用戶提供不同強度的認證方式,既可以保持原有的靜態口令方式,又可以提供具有雙因子認證方式的高強度認證(一次性口令、數字證書、動態口令),而且還能夠集成現有其它如生物特徵等新型的認證方式。不僅可以實現用戶認證的統一管理,並且能夠為用戶提供統一的認證門戶,實現企業信息資源訪問的單點登錄。
3)集中許可權(authorization)管理
可以對用戶的資源訪問許可權進行集中控制。它既可以實現對B/S、C/S應用系統資源的訪問許可權控制,也可以實現對資料庫、主機及網路設備的操作的許可權控制,資源控制類型既包括B/S的URL、C/S的功能模塊,也包括資料庫的數據、記錄及主機、網路設備的操作命令、IP地址及埠。
4)集中審計(audit)管理
將用戶所有的操作日誌集中記錄管理和分析,不僅可以對用戶行為進行監控,並且可以通過集中的審計數據進行數據挖掘,以便於事後的安全事故責任的認定。
⑷ 網路系統集成包括四要素是
所謂系統集成,就是通過結構化的綜合布線系統和計算機網路技術,將各個分離的設備(如個人電腦)、功能和信息等集成到相互關聯的、統一和協調的系統之中,使資源達到充分共享,實現集中、高效、便利的管理。系統集成應採用功能集成、網路集成、軟體界面集成等多種集成技術。系統集成實現的關鍵在於解決系統之間的互連和互操作性問題,它是一個多廠商、多協議和面向各種應用的體系結構。這需要解決各類設備、子系統間的介面、協議、系統平台、應用軟體等與子系統、建築環境、施工配合、組織管理和人員配備相關的一切面向集成的問題。 系統集成作為一種新興的服務方式,是近年來國際信息服務業中發展勢頭最猛的一個行業。系統集成的本質就是最優化的綜合統籌設計,一個大型的綜合計算機網路系統,系統集成包括計算機軟體、硬體、操作系統技術、資料庫技術、網路通訊技術等的集成,以及不同廠家產品選型,搭配的集成,系統集成所要達到的目標-整體性能最優,即所有部件和成分合在一起後不但能工作,而且全系統是低成本的、高效率的、性能勻稱的、可擴充性和可維護的系統,為了達到此目標,系統集成商的優劣是至關重要的。 一、簡介 為加強計算機信息系統集成市場的規范化管理,促進計算機信息系統集成企業能力和水平的不斷提高,確保各應用領域計算機系統工程質量,信息產業部從2000年開始建立計算機信息系統集成資質管理制度,制定並發布了《計算機信息系統集成資質管理辦法》。 計算機信息系統集成資質認證是計算機信息系統集成企業為了取得《計算機信息系統集成資質證書》,必須經過信息產業部授權的第三方認證機構進行的一種認證,以評定企業從事計算機信息系統集成的綜合能力,包括技術水平、管理水平、服務水平、質量保證能力、技術裝備、系統建設質量、人員構成與素質、經營業績、資產狀況等要素。 企業只有通過認證機構的認證,才能向信息產業主管部門申報審批。 二、益處 1. 有利於系統集成企業展示自身實力,有利於信息系統項目主建單位對項目承建單位的選擇,降低前期溝通成本。 計算機信息系統集成資質的管理比以往的資質更加規范和市場化,系統集成企業要獲得資質證書必須要經過第三方認證機構的認證,證實企業各方面的綜合能力達到規定的等級水平,也就是說系統集成資質證書的「含金量」更高,更具說服力,系統集成企業自身實力更易於在市場上展示。系統集成企業獲得《資質證書》,改進自身的市場形象,提高在社會的知名度,增加顧客的信任感,從而減少系統集成企業為了向社會和建設單位展示和證實自身能力而進行宣傳、廣告、現場參觀、示範等環節,降低一些不必要的溝通成本。 2.有利於提高系統集成企業參與市場競爭的能力。 隨著系統集成市場的逐漸規范,建設單位對系統集成企業的資質要求會越來越嚴格,國家政府部門對涉及政府投資或涉及安全的項目,也會規定必須取得《資質證書》,這些系統集成項目包括: -各類政務信息系統集成項目; -國有大中型企事業單位信息系統集成項目; -使用政府投資建設的信息系統集成項目; -涉及國家安全、生產安全、信息安全的信息系統集成項目; -國家法律、法規、規章規定要求實施單位具有《計算機信息系統集成企業資質證書》的信息系統集成項目。 目前很多系統集成項目的招標中都會要求投標者要具備一定等級的資質證書,所以,系統集成企業獲得《資質證書》,等於取得進入系統集成市場的鑰匙,反過來也是對沒有獲得《資質證書》的競爭者形成了一道進入的門檻。 3.有利於系統集成企業按照等級標准,加強自身建設,不斷提高企業的經營、技術和管理能力。 系統集成資質等級評定條件所要求的是全方位的綜合實力,包括技術水平、管理水平、服務水平、質量保證能力、技術裝備、系統建設質量、人員構成與素質、經營業績、資產狀況等要素。系統集成企業要取得《資質證書》,必須不斷改善自身的綜合實力,以達到評定條件的要求。 同時,系統集成資質認證要求企業的項目管理達到一定的水平,要求企業要有一定數量的信息系統集成項目經理,企業通過培養項目經理可以提高自身項目管理的能力。 4.有利於系統集成企業享受國務院18號文的優惠政策。 政府部門在制訂政策時,會考慮對系統集成資質的要求,如《軟體企業認定標准及管理辦法》(試行) 中第十二條 軟體企業的認定標準是: (三)或者提供通過資質等級認證的計算機信息系統集成等技術服務;第十三條 申請認定的企業應向軟體企業認定機構提交下列材料:(五)系統集成企業須提交由信息產業部頒發的資質等級證明材料。《涉及國家秘密的計算機信息系統集成資質管理辦法(試行)》第六條 ……涉密系統集成單位應當具備下列條件:(二)具有信息產業部頒發的《計算機信息系統集成資質證書》(一級或二級),並有網路安全集成的成功範例。 三、等級評定條件比較 一級摘要 二級 三級 四級
⑸ 信息安全四要素是什麼 信息安全四要素的介紹
1、信息安全四要素州笑是:技術、制度、流程、人。所有的信息安全技術都是為了達到一定的安全目標,其核心包括保密性、完整性、可用性、可控性和不可否認性五個冊亂含安全目標。
2、網路生產是指在生產經營活動中,為了避免造成人員傷陪祥害和財產損失的事故而採取相應的事故預防和控制措施,以保證從業人員的人身安全,保證生產經營活動得以順利進行的相關活動。