湖南科技大学信息安全管理期末复习复习重点

本文链接：https://blog.csdn.net/ZiShuiZhou/article/details/134789863

信息安全管理期末复习复习重点：

湖南科技大学计算机科学与工程学院信息安全专业
作者：Dr.Water

前言

应付期末考试基本够用，各种管理实际脱节较大，无法起到指导实践的作用，但是考虑到大家大四才需要所以就发出来了，祝大家考试顺利，前程似锦！

第一部分

信息安全管理概念**[背]**

信息安全管理体系（Information Security Management System，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完整这些目标所用的方法和手段所构成的体系。

ISMS体系建立过程与步骤**[背]**

建立 ISMS 的步骤：1-信息安全管理体系的策划与准备；2-信息安全管理体系文件的编制；3-建立信息安全管理框架；4-信息安全管理体系的运行；5-信息安全管理体系的审核与评审。（5步：准备-写文-框架-运行-审核）

PDCA模型：规划(Plan)-实施(Do)-检查(Check)-处置(Act)

规划（建立ISMS）	建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。
实施(实施和运行ISMS)	实施和运行ISMS方针、控制措施、过程和程序。
检查(监视和评审SMS)	对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。
处置(保持和改进ISMS)	基于ISMS内部审核和管理评审的结果或者其它相关信息，采取纠正和预防措施，以持续改进ISMS。

在这里插入图片描述

第二部分

风险与要素**[背]**

信息安全风险的七大要素：资产、威胁、脆弱点、风险、影响、安全措施和安全需求。

资产：是任何对组织有价值的东西；

威胁：可能导致信息安全事故和组织信息资产损失的活动，是利用脆弱性造成的后果；

脆弱性：与信息资产有关的弱点或安全隐患，本身并不对资产构成危害，但是在一定条件得到满足时，会被威胁利用来危害信息资产；

安全措施：可以降低威胁利用脆弱性导致安全事件发生的可能性；

安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。
风险评估过程

三类风险评估：基线风险评估、详细风险评估、综合风险评估

基线风险评估：制定一个基线然后基于这个基线进行评估，快捷，但是设置基线不容易，而且不易变更。

详细风险评估：就是对所有可能有风险的地方都评估，易变更，容易确定风险，但是消耗大，复杂。[背]

综合风险评估：就是把基线搞的复杂，然后结合详细风险评估，只要基线选的问题不大，就哪哪都好，但是可能会因为基线选的不好造成风险。

详细风险评估流程 [背]

(1) 风险评估准备阶段；(2) 资产识别与评估；(3) 威胁识别与评估；(4) 脆弱点识别与评估；(5)已有安全措施的确认；(6)风险分析；(7)安全措施的选取；(8)风险评估文件和记录

在这里插入图片描述

七大风险要素及其关系**[背]**

以安全风险为核心展开，上面是威胁与脆弱点[问题]，安全风险通过安全措施来降低风险，安全风险会损害资产，根据安全风险提出安全需求，安全风险产生安全影响。

第三部分

环境安全

物理安全威胁：介质安全，人员安全，设备安全，环境安全 [最核心是人员安全，人员最不安全，因为控制不了]

介质安全：本质上不安全，存在丢失、损坏、病毒、公私混用等问题。

设备安全：防盗、电源保护、防毁、防电磁信息泄漏、防止线路截获。防止停电用不间断电源[UPS]

环境安全：
- 机房与设施安全：分类分级，机房各种设施安全定期检修等。
- 安全区域：设置安全区域，进行物理隔离。根据风险评估的结果，严格进出控制，对重要的信息系统基础设施进行全面的物理保护。
区域安全、边界划定与栅栏建立

区域安全：安全区域必须物理隔离，标示敏感信息处理设施位置的目录和内部电话簿不要轻易被公众得到（低调，不搞显著标志）。
- 防火、防水、防潮、防静电、防辐射，选用不易燃，不能燃的材料进行建设。
- 建设各种门禁、监控、物理围栏等，进出需要审批、无权限不能进出。
边界划定：物理安全边界控制，进出控制，安装门禁等。

第四部分

业务连续性管理（BCM）

概念：业务连续性管理是对机构或组织的潜在风险加以评估分析，确定其可能造成的威胁，并建立一个完善的管理机制来防止或减少灾难事件给组织带来的损失。

目标：提升组织的持续运营能力
- 业务持续计划BCP：出了小问题不影响业务进行。
  
  应急响应计划；容灾恢复计划；运维恢复计划；业务恢复计划。
- 灾难恢复计划DRP：出了大问题可以恢复原状。
业务连续性安全

业务连续性是指组织有应对风险、自动调整和快速反应的能力，以保证组织业务的连续运转。

第五部分

灾难恢复

指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。
应急响应与恢复
- 灾难备份系统技术方案的实现
- 灾难备份中心的选择和建设
- 技术支持能力的实现
- 运行维护管理能力的实现
- 灾难恢复预案的实现
区分业务连续性和灾难恢复是很必要的。严格地说，灾难恢复是恢复数据的能力，解决信息系统灾难恢复问题，是业务连续性计划的一部分。而业务连续性强调的是组织业务的不间断能力。
容灾与灾难恢复

第六部分

信息安全等级保护的概念

根据信息系统在国家安全、经济建设、社会生活中的重要程度遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。
信息安全等级保护的流程**[背]**

• 第1步：定级。

• 第2步：备案。在信息安全监管部门备案。

• 第3步：系统安全建设与整改。

• 第4步：等级测评。

• 第5步：检查。信息安全监管部门定期开展监督检查。
信息安全等级保护制度的目的（3个）

体现国家管理意志、构建国家信息安全保障体系、保障信息化发展和维护国家安全。
信息安全等级保护的目的**[背]**
- 一是信息系统安全管理水平明显提高
- 二是信息系统安全防范能力明显增强
- 三是信息系统安全隐患和安全事故明显减少
- 四是有效保障信息化健康发展
- 五是有效维护国家安全、社会秩序和公共利益
信息安全等级保护的定级标准**[背]**

定级标准：信息系统安全等级分 5 级：1－自主保护级，2－指导保护级，3－监督保护级，4－强制保护级，5－专控保护级。
信息安全登记保护定级表**[背]**

客体	对客体的侵害程度
	一般侵害	严重侵害	特别严重侵害
公民、法人和其他组织的合法权益	第1级	第2级	第3级
社会秩序、公共利益	第2级	第3级	第4级
国家安全	第3级	第4级	第5级

信息安全等级保护的定级流程**[背]**

步骤1：确定定级对象—信息系统；

步骤2：分解信息系统安全；

信息系统安全=业务信息的安全+系统服务的安全

步骤3：确定安全保护等级
等保建设与整改的流程**[背]**

例题

知识点

信息安全领域最权威的标准是ISO 17799/ISO 27001（英）
风险评估包括：资产、威胁、脆弱点、风险、影响、安全措施和安全需求。
PDCA循环推进，推进都很重要，最重要的不是P阶段
策略制定的生命周期：需求分析、制定、发布、推行、审核、修订、废除
不用中继技术窃听距离最远的技术是谐波无线窃听
对于信息安全管理中的人力资源安全，最没用的就是设置惩戒措施，最终要的是不犯错。
区域安全管理不要把敏感信息标记出来给别人看
BCM的目的是减少或避免灾难发生的可能
在系统中新安装软件的时候需要进行发布管理避免出现问题

判断

信息安全策略的制定和维护中,最重要是要保证其和相对稳定性。（√）
“资产责任人”是指有权限变更资产安全属性的人。（√）
所有员工应该发现并报告安全方面的漏洞或弱点以及安全事件。（√）
灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。（√）
《信息系统安全等级保护测评准则》将测评分为安全控制测试和系统整体测试两个方面。（√）
安全审计跟踪是审计安全事件并追踪系统安全检测的过程。（×）

审计跟踪（Audit Trail）指按事件顺序检查、审查、检验其运行环境及相关事件活动的过程。审计跟踪主要用于实现重现事件、评估损失、检测系统产生的问题区域、提供有效的应急灾难恢复、防止系统故障或使用不当等方面。
信息安全领域最关键和最薄弱的环节是安全技术。（×）

最薄弱的是人。

综合设计题

查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁的预防；笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全的。请从信息安全管理上分析。

AS：
- 组织场所外的设备安全，应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险。
1. 笔记本带出办公室，有丢失、被非法访问风险；采取随身锁的安全措施；
2. 在家里使用，有感染病毒、泄露单位重要文件信息的风险；采取隔离家庭网络或防火墙、杀毒防护措施；
3. 染毒的笔记本带回办公室，有交叉感染办公室台式电脑的风险，有交叉拷贝数据文件被泄露的风险；采取严格的杀毒与隔离措施。
4. 如果工作有较高等级涉密信息，严禁将电脑带出办公室，并严管 U 盘使用，避免“摆渡”APT 攻击。
5. 定期对单位进行信息安全管理培训，增强领导和员工的信息安全意识。
假设您是某组织的 CIO，请就本单位的人员使用、升迁或离职、新员工招聘谈谈如何进行信息安全管理。

AS：
- 作为组织的CIO，确保信息安全对于组织的成功至关重要。因此在本单位人员的相关管理中践行信息安全管理是十分重要的，主要有以下策略。
1. 对于本组织整体来讲，首先要保证实施组织整体的信息安全管理策略，需要定期提供信息安全培训，以确保员工了解最新的安全最佳实践和公司政策。此外，我们还需要对员工进行定期的技能评估，以确保员工具备必要的信息安全技能。
2. 对于人员管理来讲，需要根据其工作职能来进行安全等级划分，对涉密工作人员进行重点和针对性的培训，对于非涉密人员进行基础培训，并实现涉密业务分离。
3. 对于人员升迁或离职来讲，根据其工作变动情况要及时调整其安全等级及权限范围，同时需要进行全面的背景调查和安全审核。这包括检查员工在过去的工作中是否有任何信息安全违规行为，以及确认员工是否已经完成所有的信息安全培训。在员工离职时，应进行全面的交接工作，确保所有的信息安全责任都得到妥善处理。
4. 在招聘新员工时，需要进行全面的背景调查和安全审核。这包括检查新员工是否有任何信息安全违规行为，以及确认新员工是否具备必要的信息安全技能。我们还会为新员工提供全面的信息安全培训，以确保他们能够遵守组织的信息安全政策。
信息系统安全问题中最核心的问题是管理问题，而其中 “人” 的管理尤为复杂。简述信息安全管理中人员安全管理的三大基本原则，并进行相应的解释。

AS：
1. 多人负责原则，即每一项与安全有关的活动，都必须有两人或更多人在场；
2. 任期有限原则，任何人最好不要长期担任与安全有关的职务，以保持该职务具有竞争性和流动性；
3. 职责分离原则，出于对安全的考虑，科技开发、生产运行和业务操作都应当职责分离。
在当今的数字化世界中，手机APP的下载、安装和使用以及共享充电、公共WIFI的使用是非常普遍的现象，但同时也带来了新的信息安全风险。以下是我对这些过程的信息安全管理建议：
1. 手机APP的下载、安装和使用：
a. 正规渠道下载：始终从官方应用商店或受信任的第三方应用商店下载APP。避免从不明确或非法的来源下载APP，这可能包含恶意软件或潜在的病毒。

b. 权限管理：在安装APP时，要注意它所请求的权限。只给予必要的权限，对于那些请求过多权限的APP要特别警惕。如果一个APP不需要访问你的通讯录或照片库，那就不要给予相应的权限。

c. 及时更新：定期检查并更新手机系统和APP，以修补可能的漏洞和增加的安全功能。

d. 敏感信息保护：避免在公共场合输入或分享敏感信息，如银行账号、密码等。同时，定期清理手机缓存和临时文件。
1. 共享充电：
a. 了解设备：在使用共享充电设备时，要了解其工作原理和安全特性。确保其符合安全标准，并尽量选择受信任的品牌和型号。

b. 保护个人信息：在使用共享充电设备时，不要让自己的手机暴露出个人信息或敏感信息。例如，在输入密码或进行支付时，要确保身体遮挡住手机屏幕，避免被他人窥视。
1. 公共WIFI的使用：
a. 识别不安全的网络：在使用公共WIFI时，要警惕那些没有密码保护的网络，或者密码过于简单的网络。如果可能，尽量避免在这些网络上进行敏感操作，如网银交易或登录重要账号。

b. 使用VPN：在使用公共WIFI时，可以考虑使用VPN来加密你的网络连接，增加一层保护。

c. 禁用不必要的功能：在使用公共WIFI时，关闭手机的蓝牙和NFC功能，以减少被攻击的可能性。