信息技术的产生与发展,大致经历的三个阶段是:电讯技术的发展、计算机技术的发展和互联网的使用。
信息安全的发展大致经历了3个主要阶段:通信保密阶段、计算机安全阶段、信息安全保障阶段。
信息系统安全保障涵盖了3个方面:生命周期、保障要素以及安全特征。
信息系统安全保障工作的内容包括:确定安全需求、设计和实施安全方案、进行信息安全评测和实施信息安全监控与维护。
信息安全的五个基本属性是:机密性、可用性、可控性、不可否认性和完整性。
《信息系统安全等级保护基本要求》中基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
信息安全管理的主要内容,包括:信息安全管理体系、信息安全风险评估和信息安全管理措施三个部分。
信息安全风险评估的复杂程度取决于受保护的资产对安全的敏感程度和所面临风险的复杂程度。
信息安全管理体系(ISMS)体现的思想是预防控制为主。
信息安全管理基本技术要求涉及五个层面:物理安全、网络安全、主机安全、应用安全和数据安全。
ISMS即信息安全管理体系,定义ISMS的范围,就是在组织机构选定构架ISMS的范围。
信息安全管理体系(ISMS)构架的具体实施包括:建立相关文档、文档的严格管理、安全事项记录和回馈。
信息安全管理体系评审程序包括:编制评审计划、准备评审材料、召开评审会议、评审报告分发与保存、评审后要求。
计算机信息系统安全的三个特性:机密性、完整性、有效性。
《计算机信息系统安全保护等级划分准则》将信息系统安全分为五个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
《计算机信息系统安全保护等级划分准则》的安全考核对象不包括数据信道传输速率。
《信息系统安全保护等级划分准则》中提出了定级的四个要素:信息系统所属类型、业务数据类型、信息系统服务范围和业务自动化处理程度。
信息安全问题产生内在根源的是:互联网的开放性。
信息技术可能带来的一些负面影响包括:信息泛滥、信息污染和信息犯罪。
信息安全管理中,访问控制分为三类:预防性的访问控制、探查性访问控制、纠正性访问控制。
安全设计原则:最小权限原则、开放设计原则、全面防御原则、权限分开原则、最少公用原则、心里接受性、代码重用性、充分考虑软件运行环境、选择安全的加密算法、充分考虑不安全的条件、失效防护。
Web安全防护技术包括:客户端安全防护、通信信道安全防护、服务器端安全防护。
信息安全技术评估准则将评估过程分为两个部分:功能和保证。
信息安全等级保护的基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
信息安全技术的核心是密码。
信息安全的内因是信息系统的复杂性。
系统安全维护的正确步骤是:报告错误,处理错误,处理错误报告。
信息管理的流程不属于安全管理主要内容。
重要安全管理过程包括:系统获取、开发和维护、信息安全事件管理与应急响应、业务连续性管理与灾难恢复。
计算机系统安全评估的第一个正式标准是可信计算机评估标准(TCSEC标准),它具有划时代的意义,为计算机安全评估奠定了基础。
TCSEC标准将计算机系统的安全划分为四个等级七个级别。
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时侵害的客体、对客体造成侵害的程度。