【信息系统项目管理师】第二十二章 复盘安全管理知识架构
安全管理知识架构目录
-
- 【信息系统项目管理师】第二十二章 复盘安全管理知识架构
-
- 22.1 安全管理的过程说明(1项)
- 22.6 安全管理的概念分类(17项)
-
-
-
- 22.6.1 信息系统安全策略的概念
- 22.6.2 安全策略的核心内容
- 22.6.3 信息系统的安全目标
- 22.6.4 木桶效应的概念
- 22.6.5 安全等级保护的五个等级
- 22.6.6 威胁与脆弱性的概念
- 22.6.7 信息安全系统的三维模型
- 22.6.8 信息系统的三种架构体系
- 22.6.9 ISSE-CMM的四个主要概念和三个过程分解
- 22.6.10 PMI和PKI的概念和区分
- 22.6.11 数字证书的概念,CA的概念,X509的概念
- 22.6.12 访问控制的概念和分类
- 22.6.13 信息系统四个安全属性
- 22.6.14 入侵检测的概念
- 22.6.15 IDS与IPS的区别
- 22.6.16 蜜罐技术的概念
- 22.6.17 信息系统安全策略设计的八大总原则
-
-
- 22.7 安全管理的控制审计(8项)
- 22.8 综合知识历年真题
- 22.9 案例分析历年真题
- 22.10 论文写作历年真题
22.1 安全管理的过程说明(1项)
22.1.1 安全管理与成本,风险之间的关系
22.6 安全管理的概念分类(17项)
22.6.1 信息系统安全策略的概念
- 一个单位的安全策略一定是定制的,是对本单位的安全风险和威胁进行防护。
- 关键字:是措施,是手段,是定制的
- 具体:对安全威胁风险进行有效的识别,评估后,所采取各种措施手段,以及建立管理制度
22.6.2 安全策略的核心内容
- 安全策略的核心内容就是七定,首先是定方案,然后是定岗,定位,定员,定目标,定制度,最后定工作流程。
22.6.3 信息系统的安全目标
- 系统永不停机,数据永不丢失等是不太可能做到的
22.6.4 木桶效应的概念
- 加强的首选应该是短板
22.6.5 安全等级保护的五个等级
第一级:个人合法权益遭到损坏;普通内联网用户
第二级:个人合法权益遭到严重损坏;保密非重要单位
第三级:公共利益遭到严重损坏或国家安全遭到损坏;地方各级国家机关、金融机构、重点工程单位
第四级:公共利益遭到特别严重损害;中央级国家机关、国防建设部门、国家重点科研单位
第五级:国家安全造成特别严重的损害或国家安全造成损害;国防关键部门
用户自主保护级(普通内联网用户)
系统审计保护级(需要保密非重要单位)
安全标记保护级(地方各级国家机关)
结构化保护级(中央国家机关)
访问控制保护级(国防安全部门)
第五级是在对国家安全造成了特别严重的损害的时候使用;第四级是在对国家安全造成严重损害的时候使用;如果是对国家安全造成损害,那么就是第三级;
如果是对公共利益造成特别严重的损害,那么是第四级;如果是对公共利益造成严重的损害,那么是第三级;
心得:对于国家安全造成的损害,一般损害,严重损害,特别严重损害分别对应信息系统安全等级中的3-5级;
对与社会利益造成的损害,一般损害,严重损害和特别严重损害,分别对应信息系统安全等级中的2-4级;
对于个人合法权益造成的损害,一般损害,严重损害和特别严重损害,分别对应信息系统安全等级当中的1-3级;
22.6.6 威胁与脆弱性的概念
- 一个有害事件由威胁,脆弱性和影响三部分组成。脆弱性是内部的,威胁来自外部
22.6.7 信息安全系统的三维模型
Y是OSI七层模型,Z是安全服务,X安全机制
三个轴形成的三维空间就叫做信息系统的安全空间;
认证,权限,不可否认,加密,完整是信息系统中安全空间中的五大属性;
22.6.8 信息系统的三种架构体系
三种分类:MIS+S系统,S+MIS系统,S2+MIS系统
S2+MIS是超安全信息保障系统
硬件软件专用,PKICA安全基础设施必须带密码,业务系统必须根本改变
它适用于专用安全保密系统
S-MIS系统标准信息安全保障系统
软硬件通用,必须带密码,业务应用系统必须根本改变
MIS-S基本信息安全保障系统
业务应用系统不变,软硬件通用,不带密码
关于软硬件,前两者都是通用的,第三个安全性最高,需要专用的软硬件;
关于适用场合,第一种安全架构适用在一般的应用系统中,第三种安全架构用在需要专用的安全保密系统中;
关于业务应用系统,第一种可以基本不变,但是后两种架构就需要对业务流程进行再设计以符合安全性的需要;
关于安全设备,第一种架构不需要密码等的验证;而后两种架构就需要PKICA的认证;
22.6.9 ISSE-CMM的四个主要概念和三个过程分解
ISSE将安全系统工程的实施分为了三类:工程过程(为达到目标而执行的一系列活动),风险过程和保证过程;
ISSE-CMMI就是安全系统成熟度模型的主要概念中有过程,过程域,工作产品和过程能力。
22.6.10 PMI和PKI的概念和区分
- 公钥基础设施PKI:以不对称密钥加密技术为基础,以机密性,完整性,身份认证行为和不可抵赖为安全目的
- PMI权限管理基础设施:以资源管理为核心,由资源的所有者进行访问控制管理
- PMI和PKI的概念区分:
- PMI主要进行授权管理,它负责颁发属性证书,即你能做什么
- PKI主要进行身份鉴别,证明用户身份鉴别,它办法公钥证书,即证明你是谁
22.6.11 数字证书的概念,CA的概念,X509的概念
- CA是PKI的核心,它是一个受信任的机构。它用来对个人机构等颁发证书,以证实他们的身份,并未他们使用证书的一切行为提供担保;它是公证权威的第三方网上认证机构,负责证书的签发,撤销,和生命周期的管理,还提供密钥管理和证书查询的功能
- 数字证书是一种身份认证的机制,用来保证信息和数据的完整性和安全性。
- 数字证书的基本架构是公开密钥PKI,PKICA按照数字证书的生命周期对证书进行管理
- X.509证书包含版本证书的序列号,签名算法标示,证书有效期,证书主体名,主体公钥信息,发布者的数字签名
X.509是由国际电信联盟制定的数字证书标准
22.6.12 访问控制的概念和分类
- DAC自主访问控制:为每个用户指明能够访问的资源,对于不在指定列表中的对象不允许访问;这种方法可以非常灵活的指定哪些主体可以对哪些客体实施怎样的操作;
- MAC强制访问控制:访问者拥有等级列表的许可,其中定义了可以访问哪个级别的目标;在军事和安全部门应用最多,目标具有一个含有等级的标签,
- RBAC基于角色的访问控制:首先定义一组职责内的角色,再根据规定的角色分配相应的权限;角色由应用系统的管理员来分配;
- ACL访问控制列表:目标资源拥有访问权限的列表,资源中指明哪些用户可以访问;该模型目前应用得最多。
- MAC,DAC和RBAC的区别:
RBAC与DAC的根本区别:用户不能将访问权限自主地授权给别的用户
RBAC和MAC的根本区别:MAC是基于多级安全需求的,而RBAC不是
22.6.13 信息系统四个安全属性
保密性,完整性,可用性,不可抵赖性
- 可用性:信息可被授权的实体访问并按需求使用的特征;
- 完整性:应用系统的信息在传输过程中不被修改,删除,重放,增加等;
- 保密性:信息不该被授权给没有授权的个人,实体和过程,或不被其使用的特征;
- 不可抵赖性:所有参与者都不可否认或者抵赖自己曾经完成的操作和承诺;
用于实现完整性的技术有:数字签名,纠错冗余码,密码校验方法,还有协议和公证等;
可实现保密性的技术:最小授权原则,防暴露,信息加密,物理保密
22.6.14 入侵检测的概念
- 入侵检测不但可以用来检测来自网络外部的攻击行为,也可以检测来自网络内部用户的非授权活动;
- 入侵检测是对计算机或者网络资源的恶意使用行为进行识别和响应的处理过程;
22.6.15 IDS与IPS的区别
入侵检测系统IDS:注重网络安全状态的监管;绝大多数IDS是被动的,而且不需要安全审计系统
入侵防护系统IPS:倾向于主动防御,预先拦截网络流量,避免造成损失。它是直接嵌入到网络流量中来实现的
22.6.16 蜜罐技术的概念
定义:一种
最低0.47元/天 解锁文章
259
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
