- 浏览: 696368 次
- 性别:
- 来自: 北京
文章分类
- 全部博客 (272)
- Struts1.x (7)
- 事务 (2)
- Hibernate (11)
- 数据库 (14)
- JavaScript&Ajax (43)
- JSP&Servlet (2)
- Flex (1)
- 其它 (9)
- Java (22)
- 框架集成 (1)
- WebService (3)
- Tomcat (3)
- 加密和安全登录 (13)
- 基于原型的JavaScript (0)
- JavaDoc和Java编码规范 (3)
- CAS (1)
- 加密 (1)
- Axis2 (10)
- Ext2.x (3)
- SSH整合 (2)
- Ext (0)
- 正则表达式 (1)
- 设计模式 (4)
- 对象序列化技术 (3)
- CVS (2)
- Struts2 (6)
- Spring 2.x (7)
- Spring Security (2)
- Java 课程 (20)
- 程序员之死 (1)
- 软件测试 (6)
- UML (5)
- NetBeans (1)
- cxf (1)
- JMS (13)
- 设计 (5)
- ibatis2.x (3)
- Oracle (1)
- WebSphere (7)
- 概要设计 (1)
- DB2 (10)
- PowerDesigner (0)
- 软件工程 (5)
- rose (1)
- EA (1)
- LDAP (7)
- Portal&Portlet (3)
- MQ (10)
- ESB (4)
- EJB (2)
- JBoss (2)
最新评论
-
typeRos:
只有配置文件,没有代码么大神
Spring实现IBMMQ的JMS消息发布/订阅模式 -
panamera:
如果ActiveMQ服务器没有启动,这个时候消息生产者使用Jm ...
Spring JMSTemplate 与 JMS 原生API比较 -
lian819:
顶1楼, 引用文件, 配置属性, 太方便了
EXTJS 同步和异步请求 -
wilhard:
说得清楚明白
<%@ include file=""%>与<jsp:include page=""/>区别 -
刘琛颖:
总结的很好。受益了
javascript 父窗口(父页面)— 子窗口 (子页面)互相调用的方法
[转贴] 数据安全的关键:责任分离
责任分离是内部控制的一项关键机制。责任分离是通过在多个人之间分散任务及其与特定安全过程相关的特权来实现的。9 C3 n0 @, ^) _' D- K 责任分离(SoD)原则广泛应用于金融会计系统中。各个规模大小的公司都明白角色分离的重要性,如接受分期偿还检查、审批销账、存入现金、核对银行对帐单、审批时间登记卡、保管支票等这些工作都需要由不同的人来担任。 责任分离是人们在处理与钱相关的工作时通常采用的一种机制,这样,欺诈行为至少需要双方或多方相互勾结才有可能。这大大降低了欺诈一类的犯罪行为。信息也应该通过类似的方法来处理。因此,一个组织的这种责任分离的设计很重要,这样,就不会有任何人可以单独地泄露组织的安全控制。 虽然SoD对于IT组织来说还属于一种全新的观点,但是在IT领域,SoD受到了越来越多的关注,萨班斯-奥克斯利法案(Sarbanes- Oxley Act)的内部控制问题有很大一部分都来自或依赖IT。责任分离是很多日常管制授权的基本原则,如萨班斯-奥克斯利法案和格雷姆-里奇-比利雷法法案 (Gramm-Leach-Bliley Act)都是依据这种原则的。因此,现在的IT组织必须在所有功能领域中更加重视责任分离机制,特别是在安全领域。9 n; [+ M2 o+ B- M2 n/ Y 责任分离与安全相关,主要体现在两个方面。第一,它能防止利益冲突、侵权行为、欺诈、滥用私权及错误行为。第二,它能检测到控制故障,包括安全侵犯、信息窃取、安全控制欺诈等。(安全控制措施用来保护信息系统免于外界攻击,从而保护其上的计算机系统、网络及其数据的机密性、完整性和可用性。) 责任分离严格限制了每个单独个体的权力和影响力的大小。它还要确保每个个体之间不存在责任冲突,不负责对其自身或上级汇报。 这里简单地对责任分离作了一项测试。首先,看看在没有任何检测的情况下,是否有人可以改变或毁坏你的财务数据?然后,看看是否有人可以窃取或透露敏感信息。最后,看看是否有人可以对控制设计和执行产生影响,以及是否会对这种控制的有效性的汇报产生影响。如果以上3个问题的答案都是“是”,那么你需要重点考虑一下责任分离。& K6 m! l: F- @9 v t 负责设计和执行信息安全性的人和负责安全性测试、安全性审查或是监视和汇报安全性问题的人不应该是同一个人。因此,每个负责信息安全的人不应该向首席信息官(CIO)汇报。 i8 H% {; ?( O. V$ H1 g 以下是在信息安全领域实现责任分离5大关键选项,是基于我的经验按照可接受性程度进行划分的。+ b1 t) c/ n# Q) P ● 选项1:让每一个负责信息安全的人都向首席安全官(也即CSO,负责处理信息和物理安全的人)汇报,然后让CSO向CIO直接汇报。 ● 选项2:让每一个负责信息安全的人向审查委员会主 席汇报。 ● 选项3:使用第三方来监视安全性,对安全检查执行突然袭击,并且做安全测试,然后,让第三方向董事会或者是审查委员会主 席做汇报。 ● 选项4:让每一个负责信息安全的人都向董事会做汇报。 ● 选项5:让每一个负责信息安全的人向内审人员汇报,只要内审人员不向负责财务的执行者汇报。7 T: |3 ~: f& R. w) n; o 责任分离显得越来越重要。由于CSO和首席信息安全官之间的责任不清晰不明确,导致责任的混乱。安全性和所有安全控制的开发、操作和测试的分离很重要。责任必须要按照这种方式分配给每个不同的个体,从而在系统内部建立检查和平衡机制,使非法的访问和欺诈机率降到最低。 记住,与责任分离相关的控制技术需要接受外部审查人员的检查。过去,当外审人员在判断风险高达一定程度时,其会在审查报告中列出SoD故障作为一种重要缺陷。IT安全领域执行这项责任分离技术是迟早的事,既然这样,为什么不现在就开始与外审人员一起讨论责任分离问题呢?尽早地从他们那获得对责任分离的看法和建议,可以节省你很多成本,并且降低政治冲突。 |
发表评论
-
org.apache.commons.lang.StringUtils
2011-05-06 09:33 2556org.apache.commons.lang ... -
Log4j配置详解
2010-09-10 17:27 833原文地址:http://blog.chin ... -
深入研究java.lang.Process类
2010-07-24 06:54 1237原文地址:http://lavasoft.blog.51c ... -
深入研究java.lang.Runtime类
2010-07-24 06:52 1063原文地址:http://lavasoft. ... -
java.util.NavigableSet和NavigableMap
2010-07-03 13:41 2740Java 6对Nevigable接口做了 ... -
遍历 Map 的 N 种方式
2010-07-03 08:46 1752import java.util.HashMap;import ... -
Tomcat内存溢出的原因
2010-06-18 13:37 945在生产环境中tomcat内存设置不好很容易出现 ... -
使用继承的注意点
2010-04-18 22:39 1004为了保证父类 ... -
JDK1.5 新增静态导入语法说明
2010-04-18 18:05 1324JDK1.5 以后新增加一种静态导入语法,用来导入指定 ... -
深入了解JAVA可变长度的参数(Varargs)
2010-03-24 09:34 1600(本文转载自csdn) 到J2SE 1.4为止,一直无法在J ... -
Sun 公司制定的 Java 虚拟机规范在技术上规定的 JVM 的统一标准
2010-03-23 23:25 981Sun 公司制定的 Java 虚拟机规范在技术上规定了 ... -
ArrayList Vector LinkedList 区别与用法
2010-03-20 16:02 802ArrayList 和Vector是采用数组方式存储数据,此 ... -
如何判断字符串是否由纯数字组成(Java版本)
2010-02-03 13:45 4002public static boolean isNumeri ... -
Properties/ClassLoader
2010-01-15 16:08 1082Properties.list(PrintWriter out ... -
Map.Entry 类使用简介
2009-11-11 17:51 2264你是否已经对每次从Map中取得关键字然后再取得相应的值 ... -
List、Set、数组之间的转换
2009-04-06 15:21 1339原文地址: http://hi.baidu.c ... -
Java生成随机字母和数字
2009-02-27 20:47 5524功能: 生成随机的字母和数字混杂的字符串 函数的入参是生成的随 ... -
java版本的escape和unescape函数
2009-02-16 18:21 3528// java版本的escape和unescape函数 cl ... -
String.split()用法的一点经验
2008-11-13 11:20 1579在java.lang包中有String.split()方法,返 ... -
Java clone技术
2008-08-21 16:53 0Clone基本知识储备 在Java里提 ...
相关推荐
转贴 PXE指南 作者:Climbing (xclimbing@msn.com)
转贴:利用钩子技术控制进程创建.txt
lynx286原创文档,数据仓库缓慢变化维之完全解决方案。 欢迎转贴,转贴请注明出处:www.mydwbi.com
易语言动网转贴.rar 易语言动网转贴.rar 易语言动网转贴.rar 易语言动网转贴.rar 易语言动网转贴.rar 易语言动网转贴.rar
分享一下:随心所欲的Web页面打印技术,已通过测试
去除Html中的干扰码等(样例中以轻之国度的干扰码为例) 配置文件语法: 方法类型(整数) 最大匹配长度(整数) 字符串1(删除开头) 字符串2(删除结尾) 方法类型: 1:删除单行 2:删除行与行之间的
由于现在流行的转贴工具都是基于浏览器的,转换速度比较慢,还得打开浏览器才能使用(同时受到浏览器版本限制)。 <br> 而这个小程序则完全不依赖于浏览器,以BFC采集器的UBB转换模块为基础,转换速度超快,...
易语言源码动网转贴.rar 易语言源码动网转贴.rar 易语言源码动网转贴.rar 易语言源码动网转贴.rar 易语言源码动网转贴.rar 易语言源码动网转贴.rar
计算几何函数库 博文链接:https://sysu-zeh.iteye.com/blog/119221
jquery的转贴功能实现,一些网站的转贴链接都在里面有封装
东度极品论坛转贴工具东度极品论坛转贴工具
博文链接:https://lkfnn.iteye.com/blog/33600
动网转贴.e.rar