信息安全工程复习
参考教材:《信息安全工程与实践》 中国工信出版集团 人民邮电出版社
一.信息安全工程基础
信息
定义:
能够用来消除随机不确定性的东西
理解:
信息是对客观世界中各种事物的运动状态和变化的反映,是客观事物之间相互联系和相互作用的表征,表现的是客观事物运动状态和变化的实质内容
价值:
在信息时代,信息已经成为世界第一大产业。信息就像水,电,石油一样,已经成为一种基础资源。在信息时代人们生存在的物理世界、人类社会和信息空间组成的三维世界中。
信息安全
定义:
信息安全是信息对其生存环境的基本要求,即确保信息免受其生存环境的危害
成因(p5):
①内因:主要是信息系统的复杂性,其复杂性又可以分为过程复杂和结构复杂。
②外因:主要指人为威胁和自然威胁。
人为威胁有情报威胁:
自然威胁指恶劣的自然环境所导致的系统瘫痪。
信息系统:
构成:软件,硬件,数据,人,操作
功能:输入,储存,处理,输出,控制
目标:
三大属性安全:CIA 机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)
①机密性(Confidentiality),指只有授权用户可以获取信息
②完整性(Integrity),指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性
③可用性(Availability),指保证合法用户对信息和资源的使用不会被1不正当地拒绝
多层要素的安全:设备安全,数据安全,行为安全,内容安全
①设备(硬设备和软设备)安全是信息系统安全的首要问题。包括稳定性,可靠性,可用性
②数据安全是指采取措施确保数据免受未授权的泄露,篡改,毁坏。包括保密性,完整性,可用性
③行为安全是从主体行为的过程和结果来考察是否会危害信息安全。符合哲学上实践是检验真理的唯一标准的基本原理。包括秘密性,完整性,可控性
④内容安全是信息安全在政治、法律、道德层次上的要求,是语义层次的安全。
发展史(P2):
通信→计算机→信息系统→信息安全保障→CS/IA
网络空间安全:人,物质世界,信息空间
信息安全保障
定义,理解,价值
信息安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
信息安全保障模型:保障要素、生命周期、安全特征
生命周期
计划组织阶段→开发采购阶段→实施交付阶段→运行维护阶段→废弃阶段(变更和反馈)
保障要素
保障要素强调信息安全技术体系、信息安全工程过程、信息安全管理体系和高素质的人员队伍(技术、管理、工程、人员)
①信息安全技术体系
②信息安全工程过程:从工程学、方法论的角度考虑。比如通过风险评估、模拟攻击等等
③信息安全管理体系
④高素质的人员队伍
信息安全专业人员:注册信息安全专业人员(CISP)
信息安全从业人员:注册信息安全员(CISM)
目标
保护信息和信息处理设施等资产的安全,更重要的1是通过保障资产的安全来保障信息系统的安全,进而来保障信息系统所支撑业务的安全,从而1实现组织机构使命的目的
信息安全保障技术框架(IATF)
纵深防御(IATF的信息保障核心思想)
定义:采用多层次的,纵深的安全措施来保障用户信息及信息系统的安全
核心因素:人员 技术 操作、
技术框架焦点域
保护本地计算环境 保护区域边界 保护网络及基础设施 支撑性基础设施建设
信息安全工程
定义
采用工程的概念、原理、技术和方法,来研究、开发、实施与维护信息系统安全的过程,它将经过时间证明是正确的工程实践流程、管理技术和当前能够得到最好的技术方法相结合,来解决信息安全保障问题。
例:银行的ATM系统 网上支付系统 学生管理系统
二.信息安全工程系统(ISSE)
一项工程:系统工程
系统:信息系统
具有特定功能的有机整体
定义:
信息安全工程是作为信息系统安全建设的方法论,是发掘用户信息保护需求,以经济、简明和精确的方法来设计和制作信息系统的一门学科
生命周期:
计算环境 、区域边界 、网络基础设施 、支持性基础设施
九大思想
1.目的:满足顾客安全需要 2.基础:系统风险分析 3.指导:系统工程的方法论
4.要素:技术 运行 人 5.技术支撑:纵深防御 6.运行安全保障:生命期支持
7.安全管理基础:安全实践 8.质量依据:测评认证 9.质量保障:PDCA动态安全原理
六大功能
安全规划与控制、确定安全需求、支持安全设计、
分析安全操作、支持安全生命周期、管理安全风险
五大工程
挖掘信息安全需求→定义信息系统安全→设计信息系统安全→实施信息系统安全
→评估信息系统安全
1.信息安全需求的挖掘
2.信息系统的定义
3.信息安全系统的设计
4.信息系统安全的实施