【中项】系统集成项目管理工程师-第8章 信息安全工程-8.2信息安全系统

前言：系统集成项目管理工程师专业，现分享一些教材知识点。觉得文章还不错的喜欢点赞收藏的同时帮忙点点关注。 

       软考同样是国家人社部和工信部组织的国家级考试，全称为“全国计算机与软件专业技术资格（水平）考试”，目前涵盖了计算机软件、计算机网络、计算机应用技术、信息系统、信息服务5大领域，总共27个科目，也是分为初、中、高三个级别。

       通信专业主要需要关注“计算机网络”这个专业类别，可以考的科目有初级资格的“网络管理员”、中级的“网络工程师”。

       还有5个高级资格专业，分别是“信息系统项目管理师“”系统分析师“”系统架构设计师“”网络规划设计师“”系统规划与管理师“。

       软考高级证书在通信行业比较吃香，主要原因有两个： 通信行业与计算机软件是相近专业，评职称满足相近专业的要求； 通信高级不能以考代评，但软考高级可以，很多考生通过考软考高级来评高级职称。
————————————————

                       

8.2信息安全系统

       信息安全保障系统一般简称为信息安全系统，它是“信息系统 ”的一个部分，用于保证“业务应用信息系统 ”正常运营。现在人们己经明确，要建立一个“信息系统 ”，就必须要建 立一个或多个业务应用信息系统和一个信息安全系统。信息安全系统是客观的、独立于业务 应用信息系统而存在的信息系统。

       我们用一个“宏观 ”三维空间图来反映信息安全系统的体系架构及其组成，如图8-1所 示。

       X轴是“安全机制 ”。安全机制可以理解为提供某些安全服务，利用各种安全技术和技 巧，所形成的一个较为完善的结构体系。如“平台安全 ”机制，实际上就是指安全操作系  统、安全数据库、应用开发运营的安全平台以及网络安全管理监控系统等。

       Y轴是“OSI网络参考模型 ”。信息安全系统的许多技术、技巧都是在网络的各个层面上 实施的，离开网络，信息系统的安全也就失去了意义。

       Z轴是“安全服务 ”。安全服务就是从网络中的各个层次提供给信息应用系统所需要的安 全服务支持。如对等实体认证服务、数据完整性服务、数据保密服务等。（ 高22下）

       由X 、Y 、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间 ”。随着网 络逐层扩展，这个空间不仅范围逐步加大，安全的内涵也更加丰富，具有认证、权限、完整、加密和不可否认五大要素，也叫作“安全空间 ”的五大属性。

8.2.1安全机制

       安全机制包含基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、 管理安全、授权和审计安全、安全防范体系等。

（1）基础设施安全。基础设施安全主要包括机房安全、场地安全、设施安全、动力系统 安全、灾难预防与恢复等。

（2）平台安全。平台安全主要包括操作系统漏洞检测与修复、网络基础设施漏洞检测与 修复、通用基础应用程序漏洞检测与修复、网络安全产品部署等。

（3）数据安全。数据安全主要包括介质与载体安全保护、数据访问控制、数据完整性、 数据可用性、数据监控和审计、数据存储与备份安全等。

（4）通信安全。通信安全主要包括通信线路和网络基础设施安全性测试与优化、安装网 络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络 协议运行漏洞等。

（5）应用安全。应用安全主要包括业务软件的程序安全性测试（Bug分析）、业务交往的 防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与  恢复机制检查，以及业务数据的唯一性与一致性及防冲突检测、业务数据的保密性测试、业  务系统的可靠性测试、业务系统的可用性测试等。

（6）运行安全。运行安全主要包括应急处置机制和配套服务、网络系统安全性监测、网 络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞及通报、 灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务等。

（7）管理安全。管理安全主要包括人员管理、培训管理、应用系统管理、软件管理、设 备管理、文档管理、数据管理、操作管理、运行管理、机房管理等。

（8）授权和审计安全。授权安全是指以向用户和应用程序提供权限管理和授权服务为目 标，主要负责向业务应用系统提供授权服务管理，提供用户身份到应用授权的映射功能，实 现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制。

（9）安全防范体系。组织安全防范体系的建立，就是使得组织具有较强的应急事件处理能力，其核心是实现组织信息安全资源的综合管理，即EISRM（Enterprise Information Security Resource Management） 。组织安全防范体系的建立可以更好地发挥以下6项能力，包括预警（Warn）、保护（Protect）、检测（Detect）、反应（Response）、恢复（Recover）和反击 （Counter-attack），即综合的WPDRRC信息安全保障体系。

       组织可以结合WPDRRC能力模型，从人员、技术、政策（包括法律、法规、制度、管  理）三大要素来构成宏观的信息网络安全保障体系结构的框架，主要包括组织机构的建立、 人员的配备、管理制度的制定、安全流程的明确等，并切实做好物理安全管理、中心机房管 理、主机安全管理、数据库安全管理、网络安全管理、网络终端管理、软件安全管理、授权 和访问控制管理、审计和追踪管理，确保日常和异常情况下的信息安全工作持续、有序地开 展。

8.2.2安全服务

       安全服务包括对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数 据源点认证服务、禁止否认服务和犯罪证据提供服务等。

（1）对等实体认证服务。用于两个开放系统同等层中的实体建立链接或数据传输时，对 对方实体的合法性、真实性进行确认， 以防假冒。

（2）访问控制服务。访问控制是指通信双方应该能够对通信的过程、通信的内容具有不 同强度的控制能力，其目的在于保护信息免于被未经授权的实体访问，这是有效和高效通信 的保障。其中，访问的含义较为宽泛，对程序的读、写、修改、执行等都属于访问的范畴。 访问控制可分为自主访问控制、强制访问控制、基于角色的访问控制。实现机制可以是基于 访问控制属性的访问控制表、基于安全标签或用户和资源分档的多级访问控制等。

（3）数据保密服务。包括多种保密服务，为了防止网络中各系统之间的数据被截获或被 非法存取而泄密，提供密码加密保护。数据保密服务可提供链接方式和无链接方式两种数据 保密，同时也可对用户可选字段的数据进行保护。

（4）数据完整性服务。用以防止非法实体对交换数据的修改、插入、删除以及在数据交 换过程中的数据丢失（ 高23上）。数据完整性服务可分为：

●带恢复功能的链接方式数据完整性；

●不带恢复功能的链接方式数据完整性：

●选择字段链接方式数据完整性；

●选择字段无链接方式数据完整性；

●无链接方式数据完整性。

（5）数据源点认证服务。用于确保数据发自真正的源点，防止假冒。

（6）禁止否认服务。用以防止发送方在发送数据后否认自己发送过此数据，接收方在收 到数据后否认自己收到过此数据或伪造接收数据， 由两种服务组成，即不得否认发送和不得 否认接收。

（7）犯罪证据提供服务。指为违反国内外法律法规的行为或活动提供各类数字证据、信 息线索等。

1 #include "stdio.h"
2 void main()
3 {
4     int time;
5     for (time=1;time<=10;time++)
6     printf("%d、喜欢的帮忙点赞收藏加关注哦！\n",time);
7 }