计算机安全的八大要素

phrack

主要计算机安全方法基于以下八大要素：\r\n\r\n计算机安全应该支持机构的使命。 \r\n计算机安全是良好管理不可分割的一部分。 \r\n计算机安全应该是有成本效益的。 \r\n计算机安全的责任和职责应该得到明确。 \r\n系统拥有者对机构外负有责任。 \r\n计算机安全需要广泛和集成的方法。 \r\n计算机安全应该得到定期的重新评估。 \r\n计算机安全受到社会因素的制约。 \r\n熟悉这些要素能够帮助人们更好地理解安全控制是如何支持整体计算机安全项目目标的。

phrack

1. 计算机安全应该支持机构的使命 \r\n计算机安全的目的是保护机构有价值的资源，如信息、硬件、软件。通过选择和实施适当的保护措施，安全能够通过保护其物理的和金融的资源、信誉、合法地位、员工和其它有形及无形资产为机构的使命提供帮助。遗憾的是，有时由于影响恶劣的选择、给用户、管理人和系统带来麻烦的规则和规程使安全被视为机构使命的绊脚石。相反的，选择良好的安全规则和规程不是为自身而存在的，它们的使用保护了重要资产从而支持整个机构的使命。 \r\n\r\n所以不应该为了安全而安全。举例来说，在私营机构的业务中，良好的安全通常要让位于创造利润。所以，安全就应该提高企业创造利润的能力。在公共机构中，安全通常要让位于为公民提供机构的服务。所以，安全就应该帮助改善为公民提供的服务。\r\n\r\n为了达到这个目的，管理人既应该了解机构的使命也应该了解信息系统是如何支持使命的。在系统的角色被确定后，应该明确所定义的角色下的安全需求。这样安全就可以在机构使命中得以明确。\r\n\r\n系统的角色和功能可能不仅被用于一个机构。在机构间的系统中，保护系统可以使每一个机构获益。例如，为了进行成功的电子交易，参与各方都需要安全控制来保护其资源。但是，买方系统的良好安全也会使卖方受益；如果买方系统受到欺诈或无法使用就会对卖方产生不利影响。（反过来也一样。）

eagerly1

continue,please.

phrack

2. 计算机安全是良好管理不可分割的一部分\r\n\r\n信息和计算机系统通常是支持机构使命的关键资产。保护这些资产对于保护机构其它资源如金钱、物理资产或员工是至关重要的。\r\n\r\n但是，信息和计算机管理的安全考虑并不能完全消除这些资产受到伤害的可能性。最终，机构管理者不得不决定其原因接受的风险等级，以便考虑安全控制的成本。\r\n\r\n与其它许多资源一样，信息和计算机的管理可能会穿越机构的边界。当机构的信息和计算机系统与外部系统相连时，管理的责任也延伸到机构以外。这可能会需要管理层（1）外部系统所使用的主要安全级别或类型，或者（2）寻求外部系统为使用机构的需要提供充分的安全保证。

phrack

3. 计算机安全应该是有成本效益的\r\n\r\n应该以货币和非货币的形式对安全的成本和效益进行仔细地研究以确保控制的费用不会超出预期的效益。安全应该是适当的并与相关计算机系统的价值和地位以及潜在损害程度、可能性和范围相称。依据特定系统的不同，安全的需求是多种多样的。\r\n\r\n通常，安全是精明的商业措施。通过对安全方法的投资，机构可以减少与计算机安全相关的损失的频率和程度。例如，机构通过评估发现由于计算机系统遭到欺诈而导致每年有很严重的财产损失。安全方法如改进访问控制系统可能会大量减少这种损失。\r\n\r\n此外，良好的安全项目可以阻止黑客并减少感染病毒的几率。消减这些威胁可以减少不良的公众影响、鼓舞士气和提高生产率。\r\n\r\n获得安全效益既需要直接费用也需要间接费用。直接费用包括购买、安装和管理安全方法，如访问控制软件或消防系统。另外，安全方法有时会影响系统的性能、员工的士气或需要进行培训。所有这些被认为是附加在控制初始费用（通常被视为诸如管理访问控制软件包的费用）之外的费用。如果安全问题方案的直接或间接成本高于容忍问题造成的损失，则不会采用该方案。

phrack

4. 计算机安全的责任和职责应该得到明确\r\n\r\n计算机系统的拥有者、提供者和用户以及其它与计算机系统安全有关的其他参与者的责任和职责应该得到明确。职责的设定可以是针对机构内部的也可以扩展到机构以外。\r\n\r\n依据机构的规模不同，项目可大可小，甚至可以是一个管理人员的附属工作。但是，即使是小机构也要准备叙述机构政策的文件以明确计算机安全责任。这个要素不设定必须为所有系统提供的个人职责。例如，许多信息发布系统不要求进行用户识别，所以也就无法确定用户责任。