系统安全理论的主要观点
.jpg)
丘仲潍
啊,说起来系统安全理论啊,嗯,那可真是挺有意思的。首先啊,它强调系统作为一个整体,嗯,各个部分相互依赖,相互制约。比如说,2022年啊,在某个城市啊,进行了一次大规模的网络安全培训,结果发现,,很多单位啊,对系统安全的理解还停留在表面。
然后呢,这个理论啊,它认为安全是相对的,不是绝对的。就像我当时也懵,觉得啊,花钱买了个保险,就能高枕无忧了,结果我后来才反应过来,,安全得靠全员的参与,不能光靠钱。
再说了,系统安全理论啊,它还特别强调风险评估。嗯,2022年,有个公司因为一次网络攻击损失了上百万,后来人家专家一分析,,原来啊,风险评估这块儿做得不够。
而且啊,它还讲究安全策略的层次性。嗯,就像某个城市啊,为了提高网络安全,制定了一系列政策,从国家层面到企业层面,再到个人层面,层层递进。
最后呢,这个理论啊,它还提倡安全教育与培训。,说起来这个,我就偏激了点,当时觉得啊,培训就是走形式,结果现在我明白,只有不断提高员工的安全意识,才能真正实现系统安全。
嗯,就这样吧,这些观点啊,都是我个人的理解,可能不太全面,也不一定准确。哈哈。
然后呢,这个理论啊,它认为安全是相对的,不是绝对的。就像我当时也懵,觉得啊,花钱买了个保险,就能高枕无忧了,结果我后来才反应过来,,安全得靠全员的参与,不能光靠钱。
再说了,系统安全理论啊,它还特别强调风险评估。嗯,2022年,有个公司因为一次网络攻击损失了上百万,后来人家专家一分析,,原来啊,风险评估这块儿做得不够。
而且啊,它还讲究安全策略的层次性。嗯,就像某个城市啊,为了提高网络安全,制定了一系列政策,从国家层面到企业层面,再到个人层面,层层递进。
最后呢,这个理论啊,它还提倡安全教育与培训。,说起来这个,我就偏激了点,当时觉得啊,培训就是走形式,结果现在我明白,只有不断提高员工的安全意识,才能真正实现系统安全。
嗯,就这样吧,这些观点啊,都是我个人的理解,可能不太全面,也不一定准确。哈哈。
.jpg)
节叔仙
嘿,记得那年在公司做安全培训,有个同事被黑客黑了账户,损失了3000多块,那会儿他懊悔得直拍大腿。后来我查了查资料,发现系统安全理论啊,挺有意思的。
说起来,最早提这个概念的是美国的计算机科学家唐纳德·戴维斯,他在1970年提出了“最小权限原则”。意思就是,系统里的每个用户或进程,都只能有完成其任务所必需的权限。
再往后,1991年,美国国防部发布了《可信计算机系统评估准则》(TCSEC),也就是“橘皮书”,里面详细描述了系统安全的不同等级。比如,C级系统要求有访问控制机制,D级系统则连基本的安全保护都没有。
,我突然想到,还有个事,我记得有一次在某个论坛看到一个讨论,有人说“安全永远是一个动态的过程,而不是一个静态的目标”。这话挺对的,就像我那个被黑了账户的同事,就算系统再安全,如果用户自己不提高警惕,还是会出问题。
那,你觉得我们平时应该怎么做,才能让系统更安全呢?
说起来,最早提这个概念的是美国的计算机科学家唐纳德·戴维斯,他在1970年提出了“最小权限原则”。意思就是,系统里的每个用户或进程,都只能有完成其任务所必需的权限。
再往后,1991年,美国国防部发布了《可信计算机系统评估准则》(TCSEC),也就是“橘皮书”,里面详细描述了系统安全的不同等级。比如,C级系统要求有访问控制机制,D级系统则连基本的安全保护都没有。
,我突然想到,还有个事,我记得有一次在某个论坛看到一个讨论,有人说“安全永远是一个动态的过程,而不是一个静态的目标”。这话挺对的,就像我那个被黑了账户的同事,就算系统再安全,如果用户自己不提高警惕,还是会出问题。
那,你觉得我们平时应该怎么做,才能让系统更安全呢?