物理控制、逻辑控制、行政控制
风险评估
评估损失
脆弱性扫描
漏洞的风险评估
定义级别(红黄蓝级别)
ALE年度损失期望
SLE 年度系统期望
信息分类
公开
敏感
隐私
机密
预防
变更前备份、回退准备
检测
IDS、IPS检测
修复
修复系统、
补偿
任意一种的补偿方法
CIA
C(机密,加密AES、RSA) I(完整性,保证不被破坏更改1、预防合法用户无意更改。2、预防非法用户有意破坏。hash、MAC) A(可用性、冗余、备份)
脆弱性(后门)
风险(可利用)
暴露(实例)
控制(消除风险,风控)
1.保证信息和系统的准确性和可靠性,预防合法用户的无意更改(误操作)和非法用户的有意更改,通过hash和MAC、数字签名等验证
2.可用,冗余,高可用,备份,负载均衡deng
