CISP總結(jié)-信息安全保障知識點

1、1 1 .信息平安特征：信息平安是系統(tǒng)的平安，是動態(tài)的平安，是 無邊界的平安，是非傳統(tǒng)的平安。2 2 .信息系統(tǒng)包含三個要素：信息，計算機網(wǎng)絡(luò)系統(tǒng)和運行環(huán)境。3 3 . . 19851985 年，美國國防部的可信計算機系統(tǒng)評估保障 TCSEC,TCSEC, 橙皮書，將操作系統(tǒng)平安分級D D、C1C1、C2C2、B1B1、B2B2、B3B3、 A1A1. .4 4 .信息技術(shù)平安性評估準(zhǔn)那么，即通用準(zhǔn)那么 CCCC ISO/IECISO/IEC 1540815408 , ,GB/TGB/T 1833618336, ,其中保障定義為，實體滿足其平安目的的信心 根底。5 5 . .風(fēng)險是指威脅利用資

2、產(chǎn)或一組資產(chǎn)的 脆弱性對組織機構(gòu)造成 傷害的潛在可能。6 6 .信息平安管理體系一 ISMS,ISMS,國際上主流的信息系統(tǒng)管理體系 的標(biāo)準(zhǔn)有ISO/IECISO/IEC 17799,17799,英國標(biāo)準(zhǔn)協(xié)會BSIBSI的 779977997 7 .信息平安保障模型：保障要素：管理、工程、技術(shù)、人員。平安特征：保密、完整、可用。生命周期：規(guī)劃組織、開發(fā) 采購、實施交付、運行維護(hù)、廢棄。策略和風(fēng)險是平安保障 的核心問題。信息系統(tǒng)平安保障是在信息系統(tǒng)的 整個生命周期中，通過對 信息系統(tǒng)的風(fēng)險分析，制定并執(zhí)行相應(yīng)的 平安保障策略，從 技術(shù)、管理、工程和人員 等方面提出平安保障要求，確保信 息系統(tǒng)的保

3、密性、完整性和可用性，降低平安風(fēng)險到可接受的程度，從而保障系統(tǒng)實現(xiàn)組織機構(gòu)的使命。8 8 . .風(fēng)險管理貫穿整個信息系統(tǒng)生命周期，包括對象確立，風(fēng)險評估，風(fēng)險控制，審核批準(zhǔn)，監(jiān)控與審查和溝通與咨詢 6 6 個萬面。9 9 . .基于時間的 PDRPDR 模型保護(hù)檢測響應(yīng)是信息平安保障 工作中常用的模型。該模型的出發(fā)點是基于這樣的前提：任 何平安防護(hù)措施都是基于時間的，超過該時間段，這種防護(hù) 措施是可能被攻破。1010 .P2DR.P2DR 策略保護(hù)檢測響應(yīng)：所有的行為都是依據(jù)平安策 略實施的。該模型強調(diào)平安管理的持續(xù)性、平安策略的動態(tài) 性。防護(hù)時間 Pt,Pt,檢測時間 Dt,Dt,反響時間

4、Rt:Rt:如果 ptdt+rt,ptdt+rt,那么系統(tǒng)平安；如果 ptdt+rt,ptdt+rt,那么暴露時間Et=Et=dt+rtdt+rt-pt-pt1111 .PDCA.PDCA方案、實施、檢查、改良是信息平安管理體系 ISMSISMS 的核心。1212 . .深度防御戰(zhàn)略是信息平安保障技術(shù)框架IATFIATF的核心思想，主要包括三個層面：人，技術(shù)和運行維護(hù)。即人在技術(shù)支持 下進(jìn)行運行維護(hù)的信息平安保障問題。從技術(shù)層面，根據(jù)信息平安的需求，把信息系統(tǒng)解構(gòu)為四個 根本方面：保護(hù)網(wǎng)絡(luò)和根底設(shè)施、保護(hù)區(qū)域邊界、保護(hù)計算 環(huán)境和支持性根底設(shè)施。提供了層次化的保護(hù)策略。多點防御、分層防御。13

5、13 . .信息平安保障的根本原那么 信息平安的等級保護(hù)制度1414 .?關(guān)于加強信息平安保障工作的意見?中辦發(fā)200327200327 號是我國信息平安保障工作的根底性文件。1515 .準(zhǔn)確地提取平安需求：一方面可以保證平安措施可以全面覆 蓋信息系統(tǒng)面臨的風(fēng)險，是平安防護(hù)能力到達(dá)業(yè)務(wù)目標(biāo)和法規(guī)政策的要求的根底。另一方面可以提高平安措施的針對性， 防止不必要的平安投入，防止浪費。1616 . .確定信息系統(tǒng)平安保障具體需求的方法：政策符合性和風(fēng)險 評估1717 .信息系統(tǒng)平安保障的具體需求由信息系統(tǒng)保護(hù)輪廓ISPPISPP確定。信息系統(tǒng)保護(hù)輪廓ISPPISPP是根據(jù)組織機構(gòu)使命和所處的運行環(huán)境

6、，從組織機構(gòu)的策略和風(fēng)險的實際情況出發(fā)， 對具體信息系統(tǒng)平安保障需求和能力進(jìn)行具體描述。表達(dá)一 類產(chǎn)品或系統(tǒng)的平安目的和要求。ISPPISPP 是從信息系統(tǒng)的 所有者用戶的角度標(biāo)準(zhǔn)化、結(jié)構(gòu)化 的描述信息系統(tǒng)平安保障需求。1818 .信息平安保障解決方案是一個 動態(tài)的風(fēng)險管理過程，通過 對 信息系統(tǒng)生命周期內(nèi)風(fēng)險的控制 ，來解決在運行環(huán)境中信息 系統(tǒng)平安建設(shè)所面臨的各種問題，從而有效保障業(yè)務(wù)系統(tǒng)及 應(yīng)用的持續(xù)開展。1919 .信息平安保障解決 方案制定的原那么：1 1.以風(fēng)險評估和法規(guī)要求得出的平安需求為依據(jù) 2.2.貼合實際具有可實施性2020 .信息系統(tǒng)平安目標(biāo)ISSTISST是根據(jù)信息系統(tǒng)

7、保護(hù)輪廓ISPPISPP編制的信息系統(tǒng)平安保障方案。是從信息系統(tǒng)平安保障的建設(shè)方廠商的角度制定的信息系統(tǒng)平安保障方案。2121 .信息平安保障實施的原那么：以信息平安保障方案為依據(jù)，覆蓋 方案提出的建設(shè)目標(biāo)和建設(shè)內(nèi)容；標(biāo)準(zhǔn)的實施過程實施的質(zhì)量、進(jìn)度和本錢必須受控，實施過程中出現(xiàn)的變更必須受控，充 分考慮實施風(fēng)險，如資源缺乏、組織文化的抵觸情緒、對業(yè) 務(wù)正常運行造成的影響、信息泄露或破壞等2222 .信息平安保障實施的內(nèi)容：覆蓋信息系統(tǒng)全生命周期，以風(fēng) 險和策略為核心， 風(fēng)險評估貫穿系統(tǒng)全生命周期 ，建立完整 的策略體系，涉及 技術(shù)、管理、工程、人。2323 .評估對象是信息系統(tǒng)，不僅包含了信息

8、系統(tǒng)所處的運行環(huán)境相關(guān)的 種動態(tài)持續(xù)的評估過程。2424 . .?信息平安風(fēng)險評估指南?信息系統(tǒng)等級保護(hù)測評指南?信息系統(tǒng)平安保障評估框架?2525 . .信息產(chǎn)品平安測評依據(jù)的標(biāo)準(zhǔn)是：要求2626 . .產(chǎn)品認(rèn)證的根本要求是對認(rèn)證申請者送達(dá)的樣品進(jìn)行型式試驗測試評估，同時對申請者的質(zhì)量體系即質(zhì)量保證能力進(jìn)行檢查、評審。這兩方面都符合有關(guān)標(biāo)準(zhǔn)要求，那么予以認(rèn)信息技術(shù)系統(tǒng),還包括同 人和管理等領(lǐng)域。評估是一-資產(chǎn)/威脅/脆弱性。-平安保護(hù)基線-平安保障措施與能力CCCC、CEMCEM 和 CNITSECCNITSEC 的證。認(rèn)證通過后，認(rèn)證中心予以發(fā)放證書。證書發(fā)放以后， 認(rèn)證中心再從市場和、或

9、工廠車間抽樣進(jìn)行核查試驗，即監(jiān)督檢驗，同時對其質(zhì)量體系進(jìn)行 監(jiān)督性復(fù)查，假設(shè)兩方面 都合格，即維持認(rèn)證，否那么取消認(rèn)證。2727 .根據(jù)國家標(biāo)準(zhǔn) GB/TGB/T 1833618336 2001,2001,信息產(chǎn)品平安的測評由低 到高劃分為 7 7 級別，即 CCCC 的 EAL1-7EAL1-7 級。2828 . .信息產(chǎn)品平安測評流程：準(zhǔn)備階段-評估-認(rèn)證-監(jiān)督維持2929 . .信息系統(tǒng)平安保障的評估，是從信息系統(tǒng)平安保障的概念出發(fā)，在信息系統(tǒng)的生命周期內(nèi)，根據(jù)組織機構(gòu)的要求在信息 系統(tǒng)的平安技術(shù)、平安管理和平安工程領(lǐng)域內(nèi)對信息系統(tǒng)的平安技術(shù)控制措施和技術(shù)架構(gòu)能力、平安管理控制和管理能力

10、以及平安工程實施控制措施和工程實施能力進(jìn)行評估綜合，從而最終得出信息系統(tǒng)在其運行環(huán)境中 平安保障措施滿 足其平安保障要求的符合性以及信息系統(tǒng)平安保障能力的評估。法規(guī)和政策3030 .?刑法?第六章阻礙社會管理秩序罪第一節(jié)擾亂公共秩序罪 第 285285 3 3 年、286286 5 5 年、287287 條做其他壞事3131 .?電子簽名法?，被稱為“中國首部真正意義上的信息化法 律，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效 力。3232 .27.27 號文件總體要求：堅持 積極防御、綜合防范的方針，全面提高信息平安防護(hù)能力，重點保障根底信息網(wǎng)絡(luò)和重要信息 系統(tǒng)平安，創(chuàng)立平安健康的網(wǎng)絡(luò)

11、環(huán)境，保障和促進(jìn)信息化發(fā) 展，保護(hù)公眾利益，維護(hù)國家平安。3333 .主要原那么：立足國情，以我為主，堅持技術(shù)與管理并重；正 確處理平安和開展的關(guān)系，以平安保開展，在開展中求平安； 統(tǒng)籌規(guī)劃，突出重點，強化根底工作；明確國家、企業(yè)、個 人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家 信息平安保障體系。3434 . .主要任務(wù)重點加強的平安保障工作：3535 . .實行信息平安等級保護(hù)3636 .加強以密碼技術(shù)為根底的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)3737 . .建設(shè)和完善信息平安監(jiān)控體系3838 . .重視信息平安應(yīng)急處理工作3939 .加強信息平安技術(shù)研究開發(fā)，推進(jìn)信息平安產(chǎn)業(yè)開展4040

12、 .加強信息平安法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)4141 .加快信息平安人才培養(yǎng)，增強全民信息平安意識4242 .保證信息平安資金4343 .加強對信息平安保障工作的領(lǐng)導(dǎo)，建立健全信息平安管理責(zé) 任制4444 .信息平安風(fēng)險評估基于風(fēng)險管理功能：1 1 系統(tǒng)分析網(wǎng)絡(luò)與 信息系統(tǒng)所面臨的威脅及其存在的脆弱性2 2 評估平安事件一旦發(fā)生可能造成的危害程度 3 3 提出有針對性的抵御威脅的防護(hù)對策和整改措施.4545 .風(fēng)險評估的主要內(nèi)容：分析信息系統(tǒng)資產(chǎn)的重要程度，評估信息系統(tǒng)面臨的平安 威脅、存在的脆弱性、已有的平安措施 和剩余風(fēng)險的影響等4646 . .涉密信息系統(tǒng)參照“分級保護(hù);進(jìn)行系統(tǒng)測評并履行審批手 續(xù)4747 .非涉