第一章 信息安全基础知识
1.1 信息安全的方法论
信息安全的方法论是研究解决安全问题的方法,具体内容有:理论分析、逆向分析、实验验证、技术实现。
1.2 信息系统的安全层次
- 设备安全:
- 设备稳定性:设备一定时间内不出故障的概率
- 设备可靠性:设备一定时间内正常运行的概率
- 设备可用性:设备随时可以正常使用的高绿
- 数据安全:
- 数据秘密性:数据不被未授权的方使用的属性
- 数据完整性:数据保持真实与完整,不被篡改的属性
- 数据可用性:数据可以随时正常使用的概率
- 内容安全:
- 政治健康
- 合法合规
- 符合道德规范
- 行为安全:
- 行为秘密性:行为的过程和结果是秘密的,不影响数据的秘密性
- 行为完整性:行为的过程和结果是可预期,不影响数据的完整性
- 行为可控性:可及时发现、纠正、控制偏离预期的行为
1.3 信息安全管理体系
信息安全管理体系包含:密码管理、网络管理、设备管理、人员管理
- 《商用密码管理条例》1997年10月7日发布。商用密码是指对不涉及国家秘密内容进行加密保护和安全认证所使用的的密码技术或密码产品。
- OSI定义的功能有:性能管理、配置管理、故障管理、安全管理、计费管理。(详见SNMP部分)
- 相关标准有《电子计算机机房设计规范》(GB50173-9),《计算机站场地技术条件》(GB2887-89),《计算站场地安全要求》(GB9361-88)。
1.4 ISO安全体系结构
ISO的开放系统互连安全体系结构包含了:安全机制,安全服务,以及OSI参考模型。
- 安全机制:保护系统免受攻击、侦听、破坏及恢复系统的机制
- 安全服务:加强数据处理系统和信息传输的安全性服务,利用一种或多种安全机制阻止安全攻击。
- OSI参考模型:开放系统互联参考模型,即常见的七层协议。
OSI | 参考模型 |
---|---|
第七层 | 应用层 |
第六层 | 表示层 |
第五层 | 会话层 |
第四层 | 传输层 |
第三层 | 网络层 |
第二层 | 数据链路层 |
第一层 | 物理层 |
网络安全体系包含三部分内容
- 协议层次:TCP/IP协议
- 系统单元:该安全单元能解决哪些系统环境的安全问题
- 安全服务:该安全单元能解决哪些安全威胁。
1.5 风险管理
系统外部可能造成的损害,成为威胁;系统内部可能造成损害,成为脆弱性。系统风险则是威胁利用脆弱性造成损坏的可能性。
风险评估的系统体系包含:系统基本情况分析,系统安全状况调查,系统安全组织,政策分析,系统弱点,漏洞分析等。
风险评估常用的方法有:层次分析法。
在实施分险控制后,仍会存在风险,成为剩余风险。风险接受是一个对剩余风险进行确认、评价、接受的过程。