CISP課程培訓(xùn)知識(shí)總結(jié)

CISP課程培訓(xùn)知識(shí)總結(jié)機(jī)構(gòu)名稱講師姓名CISP課程培訓(xùn)知識(shí)總結(jié)機(jī)構(gòu)名稱22CISP課程培訓(xùn)知識(shí)總結(jié)（安全綜合）CISP課程培訓(xùn)知識(shí)總結(jié)（安全綜合）主題一、信息安全保障基本知識(shí)二、信息安全保障實(shí)踐三、信息安全管理體系四、信息安全風(fēng)險(xiǎn)管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實(shí)踐九、法律法規(guī)十、安全標(biāo)準(zhǔn)4主題一、信息安全保障基本知識(shí)4課程內(nèi)容5課程內(nèi)容5信息安全發(fā)展階段6COMSEC通信安全COMPUSEC計(jì)算機(jī)安全I(xiàn)NFOSEC信息系統(tǒng)安全I(xiàn)A信息安全保障CS/IA網(wǎng)絡(luò)空間安全/信息安全保障階段年代安全威脅安全措施通信安全20世紀(jì)，40—70年代搭線竊聽、密碼學(xué)分析加密計(jì)算機(jī)安全20世紀(jì)，70-90年代非法訪問、惡意代碼、脆弱口令等安全操作系統(tǒng)設(shè)計(jì)技術(shù)（TCB）信息系統(tǒng)安全20世紀(jì)，90年代后網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗等防火墻、防病毒、漏洞掃描、入侵檢測(cè)、PKI、VPN等信息安全保障今天，……黑客、恐怖分子、信息戰(zhàn)、自然災(zāi)難、電力中斷等技術(shù)安全保障體系、安全管理體系、人員意識(shí)/培訓(xùn)/教育、認(rèn)證和認(rèn)可網(wǎng)絡(luò)安全空間/信息安全保障2009年開始國(guó)家安全的高度網(wǎng)絡(luò)防御網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)利用信息安全發(fā)展階段6COMSEC通信安全COMPUSEC計(jì)算機(jī)

信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中，通過對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險(xiǎn)到可接受的程度，從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命。信息安全保障定義7信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中，國(guó)家標(biāo)準(zhǔn)：《GB/T20274.1-2019信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分：簡(jiǎn)介和一般模型》信息系統(tǒng)安全保障模型8國(guó)家標(biāo)準(zhǔn)：《GB/T20274.1-2019信息安全技P2DR——策略、防護(hù)、檢測(cè)、響應(yīng)P2DR模型則更強(qiáng)調(diào)控制和對(duì)抗，即強(qiáng)調(diào)系統(tǒng)安全的動(dòng)態(tài)性以安全檢測(cè)、漏洞監(jiān)測(cè)和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全特別考慮人為的管理因素分布式動(dòng)態(tài)主動(dòng)模型——P2DR模型9P2DR——策略、防護(hù)、檢測(cè)、響應(yīng)分布式動(dòng)態(tài)主動(dòng)模型——P2技術(shù)操作深度防御戰(zhàn)略人

人通過技術(shù)進(jìn)行操作計(jì)算環(huán)境區(qū)域邊界網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施密鑰管理檢測(cè)響應(yīng)成功的組織功能信息安全保障（IA）IATF框架10技術(shù)操作深度防御戰(zhàn)略人人計(jì)算環(huán)境區(qū)域主題一、信息安全保障基本知識(shí)二、信息安全保障實(shí)踐三、信息安全管理體系四、信息安全風(fēng)險(xiǎn)管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實(shí)踐九、法律法規(guī)十、安全標(biāo)準(zhǔn)11主題一、信息安全保障基本知識(shí)112課程內(nèi)容1212課程內(nèi)容12國(guó)家信息安全保障工作總體要求堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全的防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全。13國(guó)家信息安全保障工作總體要求堅(jiān)持積極防御、綜合防范的方針，全信息安全保障工作的主要原則立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)并重；正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作；明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。14信息安全保障工作的主要原則立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)國(guó)家信息安全保障重點(diǎn)工作實(shí)行信息安全等級(jí)保護(hù)加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)建設(shè)和完善信息安全監(jiān)控體系重視信息安全應(yīng)急處理工作加強(qiáng)信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)加快信息安全人才培訓(xùn)，增強(qiáng)全民信息安全意識(shí)保證信息安全資金加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制15國(guó)家信息安全保障重點(diǎn)工作實(shí)行信息安全等級(jí)保護(hù)1516制定信息安全保障需求的作用制定信息系統(tǒng)安全保障需求的方法和原則信息安全保障解決方案確定安全保障解決方案的原則實(shí)施信息安全保障解決方案的原則信息安全測(cè)評(píng)信息安全測(cè)評(píng)的重要性國(guó)內(nèi)外信息安全測(cè)評(píng)現(xiàn)狀產(chǎn)品、人員、服務(wù)商、系統(tǒng)測(cè)評(píng)的方法和流程持續(xù)提高信息系統(tǒng)安全保障能力。信息系統(tǒng)安全監(jiān)護(hù)和維護(hù)確定需求制定方案開展測(cè)評(píng)持續(xù)改進(jìn)信息系統(tǒng)安全保障工作建設(shè)步驟1616確定需求制定方案開展測(cè)評(píng)持續(xù)改進(jìn)信息系統(tǒng)安全保障工作建設(shè)17國(guó)家信息安全測(cè)評(píng)主要對(duì)象

信息產(chǎn)品安全測(cè)評(píng)信息系統(tǒng)安全測(cè)評(píng)服務(wù)商資質(zhì)測(cè)評(píng)信息安全人員資質(zhì)測(cè)評(píng)1717國(guó)家信息安全測(cè)評(píng)主要對(duì)象信息產(chǎn)品安全測(cè)評(píng)17主題一、信息安全保障基本知識(shí)二、信息安全保障實(shí)踐三、信息安全管理體系四、信息安全風(fēng)險(xiǎn)管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實(shí)踐九、法律法規(guī)十、安全標(biāo)準(zhǔn)18主題一、信息安全保障基本知識(shí)1三、

信息安全管理體系19三、信息安全管理體系19信息安全管理20什么是信息安全管理組織中為了完成信息安全目標(biāo)，針對(duì)信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒?，而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動(dòng)信息安全管理工作的對(duì)象

規(guī)則

人員目標(biāo)組織·信息輸入·立法·摘要變化？關(guān)鍵活動(dòng)測(cè)量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營(yíng)過程信息安全管理20什么是信息安全管理規(guī)則人員目標(biāo)組織·安全風(fēng)險(xiǎn)的基本概念威脅資威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的環(huán)境或事件威脅是利用脆弱性來造成后果威脅舉例黑客入侵和攻擊

病毒和其他惡意程序軟硬件故障

人為誤操作盜竊

網(wǎng)絡(luò)監(jiān)聽供電故障

后門未授權(quán)訪問…… 自然災(zāi)害如：地震、火災(zāi)21安全風(fēng)險(xiǎn)的基本概念威脅21安全風(fēng)險(xiǎn)的基本概念脆弱性是與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患。脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅加以利用來對(duì)信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞

程序Bug專業(yè)人員缺乏

不良習(xí)慣缺少審計(jì)

缺乏安全意識(shí)后門物理環(huán)境訪問控制措施不當(dāng)……22安全風(fēng)險(xiǎn)的基本概念脆弱性22信息安全的風(fēng)險(xiǎn)模型23沒有絕對(duì)的安全，只有相對(duì)的安全信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當(dāng)、足夠、綜合的安全措施來控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可接受的程度。信息安全的風(fēng)險(xiǎn)模型23沒有絕對(duì)的安全，只有相對(duì)的安全信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全控制措施進(jìn)行界定。信息安全管理體系的建立需要確定信息安全需求信息安全需求獲取的主要手段就是安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ)，沒有風(fēng)險(xiǎn)評(píng)估，信息安全管理體系的建立就沒有依據(jù)。24風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信信息安全管理體系的定義信息安全管理體系（ISMS：Information

Security

Management

System）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合。25信息安全管理體系的定義信息安全管理體系（ISMS：Infor信息安全管理的特點(diǎn)明確建立管理體系的工作確定范圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)和措施管理體系建立有依據(jù)基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律、法規(guī)及其他合同方面的要求強(qiáng)調(diào)過程和動(dòng)態(tài)控制控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式26信息安全管理的特點(diǎn)明確建立管理體系的工作26信息安全管理體系作用保護(hù)資產(chǎn)對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；保護(hù)業(yè)務(wù)持續(xù)性在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；促進(jìn)規(guī)范促使管理層貫徹信息安全管理體系，強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；提高信心使組織的生意伙伴和客戶對(duì)組織充滿信心；27信息安全管理體系作用保護(hù)資產(chǎn)27信息安全管理體系的理念技術(shù)因素人的因素管理因素28在信息安全問題上，要綜合考慮人員與管理、技術(shù)與產(chǎn)品、流程與體系。信息安全管理體系是人員、管理與技術(shù)三者的互動(dòng)。信息安全管理體系的理念技術(shù)因素人的因素管理因素28在信息安全I(xiàn)SO27000系列2927001ISMS要求27004ISMS度量指標(biāo)和衡量27002ISMS實(shí)踐準(zhǔn)則27001的附錄A將兩者聯(lián)系起來，作為ISMS過程的一部分測(cè)量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來ISO27000系列2927001270042700227000：《ISMS基礎(chǔ)和詞匯》30正在啟動(dòng)的新標(biāo)準(zhǔn)項(xiàng)目；它將主要以ISO/IEC13335-1:2019《信息和通信技術(shù)安全管理第1部分：信息和通信技術(shù)安全管理的概念和模型》為基礎(chǔ)進(jìn)行研究；該標(biāo)準(zhǔn)將規(guī)定27000系列標(biāo)準(zhǔn)所共用的基本原則、概念和詞匯。27000：《ISMS基礎(chǔ)和詞匯》30正在啟動(dòng)的新標(biāo)準(zhǔn)項(xiàng)目；27001：《信息安全管理體系要求》312019年10月15日發(fā)布；規(guī)定了一個(gè)組織建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持、改進(jìn)信息安全管理體系的要求；基于風(fēng)險(xiǎn)管理的思想，旨在通過持續(xù)改進(jìn)的過程（PDCA模型）使組織達(dá)到有效的信息安全；使用了和ISO9001、ISO14001相同的管理體系過程模型；是一個(gè)用于認(rèn)證和審核的標(biāo)準(zhǔn)；27001：《信息安全管理體系要求》312019年10月1527002：《信息安全管理實(shí)用規(guī)則》32即17799，2019年6月15日發(fā)布第二版；包含有11個(gè)安全類別、39個(gè)控制目標(biāo)、138個(gè)控制措施；實(shí)施27001的支撐標(biāo)準(zhǔn)，給出了組織建立ISMS時(shí)應(yīng)選擇實(shí)施的控制目標(biāo)和控制措施集；是一個(gè)行業(yè)最佳慣例的匯總集，而不是一個(gè)認(rèn)證和審核標(biāo)準(zhǔn)；27002：《信息安全管理實(shí)用規(guī)則》32即17799，20127003：《ISMS實(shí)施指南》33目前處于工作草案階段；它主要以BS7799-2:2019附錄B的內(nèi)容為基礎(chǔ)進(jìn)行制定；提供了27001具體實(shí)施的指南。27003：《ISMS實(shí)施指南》33目前處于工作草案階段；27004：《信息安全管理度量》34旨在為組織提供一個(gè)如何通過使用度量、測(cè)量項(xiàng)以及合適的測(cè)量技術(shù)來評(píng)估其安全管理狀態(tài)的指南。27004：《信息安全管理度量》34旨在為組織提供一個(gè)如何通27005：《信息安全風(fēng)險(xiǎn)管理》35目前處于委員會(huì)草案階段；它將主要以ISO/IEC13335-2為基礎(chǔ)進(jìn)行制定；描述了信息安全風(fēng)險(xiǎn)管理的過程及每個(gè)過程的詳細(xì)內(nèi)容。27005：《信息安全風(fēng)險(xiǎn)管理》35目前處于委員會(huì)草案階段；信息安全管理體系建設(shè)（一）信息安全管理體系的規(guī)劃和建立（P)（二）信息安全管理體系的實(shí)施和運(yùn)行(D)（三）信息安全管理體系的監(jiān)視和評(píng)審(C)（四）信息安全管理體系的保持和改進(jìn)(A)36信息安全管理體系建設(shè)（一）信息安全管理體系的規(guī)劃和建立（P)信息安全管理體系循環(huán)框架37《GB/T22080-2019信息安全技術(shù)信息安全管理體系要》.信息安全管理體系是PDCA動(dòng)態(tài)持續(xù)改進(jìn)的一個(gè)循環(huán)體。規(guī)劃和建立(plan)實(shí)施和運(yùn)行(do)監(jiān)視和評(píng)審check保持和改進(jìn)action相關(guān)方信息安全要求和期望相關(guān)方受控的信息安全信息安全管理體系循環(huán)框架37《GB/T22080-20193、信息安全管理體系文檔框架383、信息安全管理體系文檔框架38信息安全管理體系規(guī)劃和建立P1-定義ISMS范圍P2-定義ISMS方針P3-確定風(fēng)險(xiǎn)評(píng)估方法P4-分析和評(píng)估信息安全風(fēng)險(xiǎn)P5-識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施P6-為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施P7-準(zhǔn)備詳細(xì)的適用性聲明SoA39信息安全管理體系規(guī)劃和建立P1-定義ISMS范圍39信息安全管理控制規(guī)范十一項(xiàng)條款（一）信息安全策略（二）信息安全組織（三）人力資源安全（四）信息資產(chǎn)分類與控制（五）信息安全訪問控制（六）物理與環(huán)境安全（七）系統(tǒng)開發(fā)與維護(hù)（八）通信與運(yùn)營(yíng)安全（九）信息安全事故管理（十）業(yè)務(wù)持續(xù)性管理（十一）符合性40信息安全管理控制規(guī)范十一項(xiàng)條款40主題一、信息安全保障基本知識(shí)二、信息安全保障實(shí)踐三、信息安全管理體系四、信息安全風(fēng)險(xiǎn)管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實(shí)踐九、法律法規(guī)十、安全標(biāo)準(zhǔn)41主題一、信息安全保障基本知識(shí)442四、

信息安全風(fēng)險(xiǎn)管理42四、信息安全風(fēng)險(xiǎn)管理通用風(fēng)險(xiǎn)管理定義定義是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過程。風(fēng)險(xiǎn)管理包括對(duì)風(fēng)險(xiǎn)的量度、評(píng)估和應(yīng)變策略。理想的風(fēng)險(xiǎn)管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對(duì)風(fēng)險(xiǎn)較低的事情則押后處理。43通用風(fēng)險(xiǎn)管理定義定義43什么是信息安全風(fēng)險(xiǎn)管理定義一：GB/Z24364《信息安全風(fēng)險(xiǎn)管理指南》信息安全風(fēng)險(xiǎn)管理是識(shí)別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二：在組織機(jī)構(gòu)內(nèi)部識(shí)別、優(yōu)化、管理風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)降低到可接受水平的過程。了解風(fēng)險(xiǎn)+控制風(fēng)險(xiǎn)=管理風(fēng)險(xiǎn)44什么是信息安全風(fēng)險(xiǎn)管理了解風(fēng)險(xiǎn)+控制風(fēng)險(xiǎn)=管理風(fēng)險(xiǎn)44何時(shí)作風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作是需要貫穿信息系統(tǒng)生命周期，持續(xù)進(jìn)行的工作規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄45何時(shí)作風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)信息安全風(fēng)險(xiǎn)術(shù)語資產(chǎn)（Asset）威脅源（ThreatAgent）威脅（Threat）脆弱性（Vunerability）控制措施（Countermeasure,safeguard,control）可能性（Likelihood,Probability）影響（Impact,loss）風(fēng)險(xiǎn)（ Risk）殘余風(fēng)險(xiǎn)（ResidentalRisk）46信息安全風(fēng)險(xiǎn)術(shù)語資產(chǎn)（Asset）46信息安全風(fēng)險(xiǎn)管理工作內(nèi)容建立背景風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理批準(zhǔn)監(jiān)督監(jiān)控審查溝通咨詢GB/Z24364《信息安全風(fēng)險(xiǎn)管理指南》四個(gè)階段，兩個(gè)貫穿。--47信息安全風(fēng)險(xiǎn)管理工作內(nèi)容建立背景風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理批準(zhǔn)監(jiān)督監(jiān)控信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的政策要求風(fēng)險(xiǎn)評(píng)估的流程48信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的政策要求48

準(zhǔn)備識(shí)別計(jì)算

報(bào)告一個(gè)簡(jiǎn)化的風(fēng)險(xiǎn)評(píng)估流程：準(zhǔn)備（Readiness）、識(shí)別（Realization）、計(jì)算（Calculation）、報(bào)告（Report）識(shí)別資產(chǎn)威脅漏洞

準(zhǔn)備資料審核

SLA

工作計(jì)劃組隊(duì)計(jì)算威脅概率事件影響風(fēng)險(xiǎn)定級(jí)

報(bào)告整改建議各類文檔

49準(zhǔn)備識(shí)別計(jì)算報(bào)告一個(gè)簡(jiǎn)化的風(fēng)險(xiǎn)評(píng)估流程：準(zhǔn)備（風(fēng)險(xiǎn)分析GB/T20984-2019《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》給出信息安全風(fēng)險(xiǎn)分析思路

50風(fēng)險(xiǎn)值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。風(fēng)險(xiǎn)分析GB/T20984-2019《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)方法優(yōu)點(diǎn)缺點(diǎn)定性簡(jiǎn)易的計(jì)算方式不必精確算出資產(chǎn)價(jià)值不需得到量化的威脅發(fā)生率非技術(shù)或非安全背景的員工也能輕易參與流程和報(bào)告形式比較有彈性本質(zhì)上是非常主觀的對(duì)關(guān)鍵資產(chǎn)的財(cái)務(wù)價(jià)值評(píng)估參考性較低缺乏對(duì)風(fēng)險(xiǎn)降低的成本分析

定量1.結(jié)果建立在獨(dú)立客觀的程序或量化指標(biāo)上大部分的工作集中在制定資產(chǎn)價(jià)值和減緩可能風(fēng)險(xiǎn)主要目的是做成本效益的審核風(fēng)險(xiǎn)計(jì)算方法復(fù)雜需要自動(dòng)化工具及相當(dāng)?shù)幕A(chǔ)知識(shí)投入大個(gè)人難以執(zhí)行定量分析與定性分析51方法優(yōu)點(diǎn)缺點(diǎn)定性簡(jiǎn)易的計(jì)算方式本質(zhì)上是非常主觀的定量1.定量分析方法步驟1-評(píng)估資產(chǎn)：根據(jù)資產(chǎn)價(jià)值（AV）清單,計(jì)算資產(chǎn)總價(jià)值及資產(chǎn)損失對(duì)財(cái)務(wù)的直接和間接影響步驟2-確定單一預(yù)期損失SLESLE是指發(fā)生一次風(fēng)險(xiǎn)引起的收入損失總額。SLE是分配給單個(gè)事件的金額，代表一個(gè)具體威脅利用漏洞時(shí)將面臨的潛在損失。（SLE類似于定性風(fēng)險(xiǎn)分析的影響。）將資產(chǎn)價(jià)值與暴露系數(shù)相乘(EF)計(jì)算出SLE。暴露系數(shù)表示為現(xiàn)實(shí)威脅對(duì)某個(gè)資產(chǎn)造成的損失百分比。步驟3-確定年發(fā)生率AROARO是一年中風(fēng)險(xiǎn)發(fā)生的次數(shù).52定量分析方法步驟1-評(píng)估資產(chǎn)：根據(jù)資產(chǎn)價(jià)值（AV）清單,計(jì)算定量分析方法（續(xù)）步驟4-確定年預(yù)期損失ALEALE是不采取任何減輕風(fēng)險(xiǎn)的措施在一年中可能損失的總金額。SLE乘以ARO即可計(jì)算出該值。ALE類似于定量風(fēng)險(xiǎn)分析的相對(duì)級(jí)別。步驟5-確定控制成本控制成本就是為了規(guī)避企業(yè)所存在風(fēng)險(xiǎn)的發(fā)生而應(yīng)投入的費(fèi)用.步驟6-安全投資收益ROSI(實(shí)施控制前的ALE）–（實(shí)施控制后的ALE）–（年控制成本）=ROSI53定量分析方法（續(xù)）步驟4-確定年預(yù)期損失ALE53主題一、信息安全保障基本知識(shí)二、信息安全保障實(shí)踐三、信息安全管理體系四、信息安全風(fēng)險(xiǎn)管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實(shí)踐九、法律法規(guī)十、安全標(biāo)準(zhǔn)54主題一、信息安全保障基本知識(shí)5五、基本安全管理措施55安全管理措施知識(shí)體知識(shí)域基本安全管理措施重要安全管理過程知識(shí)子域安全策略人員安全管理訪問控制物理與環(huán)境安全系統(tǒng)獲取、開發(fā)和維護(hù)通信及操作管理安全組織機(jī)構(gòu)資產(chǎn)管理符合性管理信息安全事件管理與應(yīng)急響應(yīng)業(yè)務(wù)連續(xù)性管理與災(zāi)難恢復(fù)五、基本安全管理措施55安全管理知識(shí)體知識(shí)域基本安全重要安全什么是控制措施什么是控制措施管理風(fēng)險(xiǎn)的方法。為達(dá)成企業(yè)目標(biāo)提供合理保證，并能預(yù)防、檢查和糾正風(fēng)險(xiǎn)。它們可以是行政、技術(shù)、管理、法律等方面的措施。控制措施的分類：11項(xiàng)控制規(guī)范預(yù)防性控制檢查性控制糾正性控制56什么是控制措施什么是控制措施56基本安全管理措施安全策略安全策略目標(biāo)：提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持信息安全組織組織目標(biāo)組織工作內(nèi)容人員安全管理目標(biāo)：雇傭前、雇傭中、解聘與變更資產(chǎn)資產(chǎn)責(zé)任、信息分類57基本安全管理措施安全策略57基本安全管理措施物理和環(huán)境安全目標(biāo)：安全區(qū)域、設(shè)備安全通信和操作管理目標(biāo)：網(wǎng)絡(luò)安全管理、介質(zhì)處理和安全、信息和軟件的交換、電子商務(wù)服務(wù)、監(jiān)督訪問控制符合性法律符合性組織策略符合性58基本安全管理措施物理和環(huán)境安全58主題一、信息安全保障基本知識(shí)二、信息安全保障實(shí)踐三、信息安全管理體系四、信息安全風(fēng)險(xiǎn)管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實(shí)踐九、法律法規(guī)十、安全標(biāo)準(zhǔn)59主題一、信息安全保障基本知識(shí)5六、

重要信息安全管理過程安全管理措施知識(shí)體知識(shí)域基本安全管理措施重要安全管理過程知識(shí)子域安全策略人員安全管理訪問控制物理與環(huán)境安全系統(tǒng)獲取、開發(fā)和維護(hù)通信及操作管理安全組織機(jī)構(gòu)資產(chǎn)管理符合性管理信息安全事件管理與應(yīng)急響應(yīng)業(yè)務(wù)連續(xù)性管理與災(zāi)難恢復(fù)六、重要信息安全管理過程安全管理知識(shí)體知識(shí)域基本安全重要安信息系統(tǒng)購(gòu)買安全信息系統(tǒng)購(gòu)買流程需求分析市場(chǎng)招標(biāo)評(píng)標(biāo)選擇供應(yīng)商簽訂合同系統(tǒng)實(shí)施系統(tǒng)運(yùn)維61信息系統(tǒng)購(gòu)買安全信息系統(tǒng)購(gòu)買流程需求市場(chǎng)評(píng)標(biāo)選擇簽訂系統(tǒng)系統(tǒng)基本概念62應(yīng)急響應(yīng)計(jì)劃（EmergencyResponsePlan）

是指在突發(fā)/重大信息安全事件后對(duì)包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)的策略和規(guī)程。

信息安全應(yīng)急響應(yīng)計(jì)劃的制定是一個(gè)周而復(fù)始、持續(xù)改進(jìn)的過程，包含以下幾個(gè)階段：（1）應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定；（2）編制應(yīng)急響應(yīng)計(jì)劃文檔；（3）應(yīng)急響應(yīng)計(jì)劃的測(cè)試、培訓(xùn)、演練和維護(hù)?；靖拍?2應(yīng)急響應(yīng)計(jì)劃（EmergencyRespons應(yīng)急響應(yīng)六階段63第一階段：準(zhǔn)備——讓我們嚴(yán)陣以待第二階段：確認(rèn)——對(duì)情況綜合判斷第三階段：遏制——制止事態(tài)的擴(kuò)大第四階段：根除——徹底的補(bǔ)救措施第五階段：恢復(fù)——系統(tǒng)恢復(fù)常態(tài)第六階段：跟蹤——還會(huì)有第二次嗎準(zhǔn)備確認(rèn)遏制根除恢復(fù)跟蹤應(yīng)急響應(yīng)六階段63第一階段：準(zhǔn)備——讓我們嚴(yán)陣以待準(zhǔn)備確認(rèn)遏信息安全應(yīng)急響應(yīng)計(jì)劃編制方法64總則角色及職責(zé)預(yù)防和預(yù)警機(jī)制應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)保障措施附件總則角色及職責(zé)預(yù)防和預(yù)警機(jī)制應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)保障措施附件信息安全應(yīng)急響應(yīng)計(jì)劃編制方法64總則總則角色及職責(zé)預(yù)防和預(yù)警計(jì)算機(jī)取證的步驟65準(zhǔn)備保護(hù)提取分析提交計(jì)算機(jī)取證的步驟65準(zhǔn)備保護(hù)提取分析提交災(zāi)難恢復(fù)相關(guān)概念什么是災(zāi)難備份與恢復(fù)災(zāi)難恢復(fù)規(guī)劃與災(zāi)難恢復(fù)預(yù)案業(yè)務(wù)連續(xù)性規(guī)劃與業(yè)務(wù)連續(xù)性管理RPO（恢復(fù)點(diǎn)目標(biāo)）/RTO（恢復(fù)時(shí)間目標(biāo)）66災(zāi)難恢復(fù)相關(guān)概念什么是災(zāi)難66災(zāi)難恢復(fù)建設(shè)流程67災(zāi)難恢復(fù)建設(shè)流程67災(zāi)難恢復(fù)規(guī)劃的過程階段業(yè)務(wù)影響分析制定恢復(fù)策略災(zāi)難恢復(fù)策略的實(shí)現(xiàn)災(zāi)難恢復(fù)預(yù)案的制定、落實(shí)和管理分析業(yè)務(wù)功能和相關(guān)資源配置評(píng)估中斷影響確定災(zāi)難恢復(fù)資源獲取方式確定災(zāi)難恢復(fù)等級(jí)的要素要求正式文檔化災(zāi)難備份中心的選擇和建設(shè)災(zāi)難備份系統(tǒng)技術(shù)方案的實(shí)現(xiàn)技術(shù)支持能力的實(shí)現(xiàn)運(yùn)行維護(hù)能力的實(shí)現(xiàn)災(zāi)難恢復(fù)預(yù)案的制訂災(zāi)難恢復(fù)預(yù)案的教育、培訓(xùn)和演練災(zāi)難恢復(fù)預(yù)案的管理風(fēng)險(xiǎn)分析標(biāo)識(shí)資產(chǎn)標(biāo)識(shí)威脅標(biāo)識(shí)脆弱性標(biāo)識(shí)現(xiàn)有控制定量/定性風(fēng)險(xiǎn)分析災(zāi)難恢復(fù)需求分析災(zāi)難恢復(fù)策略制定災(zāi)難恢復(fù)預(yù)案制定和管理災(zāi)難恢復(fù)策略實(shí)現(xiàn)確定災(zāi)難恢復(fù)目標(biāo)關(guān)鍵業(yè)務(wù)功能及恢復(fù)的優(yōu)先級(jí)RTO/RPO的范圍68災(zāi)難恢復(fù)規(guī)劃的過程階段業(yè)務(wù)影響制定災(zāi)難恢復(fù)策略的實(shí)現(xiàn)災(zāi)難恢復(fù)災(zāi)難恢復(fù)等級(jí)劃分國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T20988）69災(zāi)難恢復(fù)等級(jí)劃分國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》主題一、信息安全保障基本知識(shí)二、信息安全保障實(shí)踐三、信息安全管理體系四、信息安全風(fēng)險(xiǎn)管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實(shí)踐九、法律法規(guī)十、安全標(biāo)準(zhǔn)70主題一、信息安全保障基本知識(shí)7七、信息安全工程71安全工程原理知識(shí)體知識(shí)域安全工程理論背景安全工程能力成熟度模型知識(shí)子域質(zhì)量管理基礎(chǔ)能力成熟度模型基礎(chǔ)系統(tǒng)工程與項(xiàng)目管理基礎(chǔ)SSE-CMM體系與原理安全工程過程區(qū)域安全工程能力評(píng)價(jià)七、信息安全工程71安全工程知識(shí)體知識(shí)域安全工程安全工程能力學(xué)習(xí)目標(biāo)理解信息安全建設(shè)必須同信息化建設(shè)“同步規(guī)劃、同步實(shí)施”的原則理解如何運(yùn)用信息安全能力成熟度模型理論評(píng)價(jià)和改進(jìn)信息安全工程能力學(xué)習(xí)目標(biāo)理解信息安全建設(shè)必須同信息化建設(shè)“同步規(guī)劃、同步實(shí)施信息安全工程可以參考的理論基礎(chǔ)系統(tǒng)工程思想項(xiàng)目管理方法質(zhì)量管理體系能力成熟度模型73信息安全工程可以參考的理論基礎(chǔ)73系統(tǒng)工程基礎(chǔ)霍爾三維結(jié)構(gòu)圖 系統(tǒng)指標(biāo)設(shè)計(jì)知識(shí)維（專業(yè)、行業(yè)）邏輯維（工作步驟）時(shí)間維（階段、進(jìn)程）工程技術(shù)醫(yī)學(xué)社會(huì)科學(xué)規(guī)劃計(jì)劃系統(tǒng)開發(fā)制造安裝運(yùn)行更新明確問題系統(tǒng)綜合系統(tǒng)分析決策最優(yōu)化實(shí)施計(jì)劃74系統(tǒng)工程基礎(chǔ)霍爾三維結(jié)構(gòu)圖 系統(tǒng)指標(biāo)設(shè)計(jì)知識(shí)維（專業(yè)、行業(yè)）能力成熟度模型的來由由質(zhì)量管理工作發(fā)展出的概念“過程改進(jìn)”，即增加工作過程的能力隨著過程能力的提高，過程變得可預(yù)測(cè)和可度量，控制或消除造成質(zhì)量低劣和生產(chǎn)率不高需要一個(gè)結(jié)構(gòu)化的架構(gòu)來指導(dǎo)一個(gè)組織的過程改進(jìn)，即能力成熟度模型75能力成熟度模型的來由由質(zhì)量管理工作發(fā)展出的概念“過程改進(jìn)”，能力成熟度模型的概念CMM–CapabilityMaturityModel現(xiàn)代統(tǒng)計(jì)過程控制理論表明通過強(qiáng)調(diào)生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品；所有成功企業(yè)的共同特點(diǎn)是都具有一組嚴(yán)格定義、管理完善、可測(cè)可控從而高度有效的業(yè)務(wù)過程；CMM模型抽取了這樣一組好的工程實(shí)踐并定義了過程的“能力”；76能力成熟度模型的概念CMM–CapabilityMatSSE-CMM體系結(jié)構(gòu)能力維（CapabilityDimension）域維（DomainDimension）公共特征2.4跟蹤執(zhí)行PA05評(píng)估脆弱性兩維模型：“域維”由所有定義的安全工程過程區(qū)構(gòu)成。“能力維”代表組織實(shí)施這一過程的能力。77SSE-CMM體系結(jié)構(gòu)能力維（CapabilityDimeSSE-CMM的主要概念過程區(qū)域（PA，ProcessArea）過程的一種單位是由一些基本實(shí)施（BP，BasePractice）組成的，這些BP共同實(shí)施以達(dá)到該P(yáng)A的目標(biāo)。這些BP是強(qiáng)制性的，只有全部成功執(zhí)行，才能滿足PA規(guī)定的目標(biāo)；SSE-CMM包含三類過程區(qū)域：工程、項(xiàng)目和組織三類；78SSE-CMM的主要概念過程區(qū)域（PA，ProcessAr域維過程類域維BasePracticesBasePracticesBasePracticesBasePracticesBasePractices基本實(shí)施ProcessAreasProcessAreasProcessAreas過程區(qū)BP,BasePractice。域維的最小單位。如果選擇執(zhí)行其所屬的PA，則必須執(zhí)行它。共129個(gè)PA，ProcessArea由一些基本實(shí)施構(gòu)成，這些BP共同實(shí)施以達(dá)到該P(yáng)A的目標(biāo)。共22個(gè)PA被分為安全工程類、組織管理類和項(xiàng)目管理類

域維過程類域維BasePracticesBasePracSSE-CMM的主要概念過程能力（ProcessCapability）一個(gè)過程是否可以達(dá)到預(yù)期效果的度量方法，即執(zhí)行一個(gè)過程的成熟度級(jí)別劃分；過程能力可幫助組織預(yù)見達(dá)到過程目標(biāo)的能力，如果一個(gè)組織某個(gè)過程的能力級(jí)別低，意味著完成該過程投入的成本，實(shí)現(xiàn)的進(jìn)度、功能和質(zhì)量都是不穩(wěn)定的；或者說過程能力越高則達(dá)到預(yù)定的成本、進(jìn)度、功能和質(zhì)量目標(biāo)的就越有把握80SSE-CMM的主要概念過程能力（ProcessCapab能力維能力維能力級(jí)別GP，GenericPractice管理、度量和制度方面的活動(dòng)，可用于決定所有活動(dòng)的能力水平CF，CommonFeature由GP組成的邏輯域由公共特征組成的過程能力水平的級(jí)別劃分。0-5共6個(gè)級(jí)別公共特征通用實(shí)踐能力維能力維能力級(jí)別GP，GenericPracticeSSE-CMM能力成熟度評(píng)價(jià)通過設(shè)置這兩個(gè)相互依賴的維，SSE-CMM在各個(gè)能力級(jí)別上覆蓋了整個(gè)安全活動(dòng)范圍。給每個(gè)PA賦予一個(gè)能力級(jí)別評(píng)分，所得到的兩維圖形便形象地反映一個(gè)工程組織整體上的系統(tǒng)安全工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其安全上的可信度。543210PA01PA02PA03PA04PA05能力級(jí)別安全過程區(qū)域82SSE-CMM能力成熟度評(píng)價(jià)通過設(shè)置這兩個(gè)相互依賴的維，SS域維-22個(gè)PA分成三類系統(tǒng)安全工程涉及到三類過程區(qū)域PA工程過程區(qū)域（EngineeringPA）組織過程區(qū)域（OrganizationPA）項(xiàng)目過程區(qū)域（ProjectPA）工程過程區(qū)域11個(gè)PA描述了系統(tǒng)安全工程中實(shí)施的與安全直接相關(guān)的活動(dòng)組織和項(xiàng)目過程區(qū)域（共11個(gè)）并不直接同系統(tǒng)安全相關(guān)，但常與11個(gè)工程過程區(qū)域一起用來度量系統(tǒng)安全隊(duì)伍的過程能力成熟度83域維-22個(gè)PA分成三類系統(tǒng)安全工程涉及到三類過程區(qū)域PA8域維-工程類PA核實(shí)和確認(rèn)安全（VerifyandValidateSecurity）PA11明確安全需求（SpecifySecurityNeeds）PA10提供安全輸入（ProvideSecurityInput）PA09監(jiān)視安全態(tài)勢(shì)（MonitorSecurityPosture）PA08協(xié)調(diào)安全（CoordinateSecurity）PA07建立保證論據(jù)（BuildAssuranceArgument)PA06評(píng)估脆弱性（AssessVulnerability）PA05評(píng)估威脅（AssessThreat）PA04評(píng)估安全風(fēng)險(xiǎn)（AssessSecurityRisk)PA03評(píng)估影響（AssessImpact）PA02管理安全控制（AdministerSecurityControls）PA01風(fēng)險(xiǎn)過程工程過程保證過程84域維-工程類PA核實(shí)和確認(rèn)安全（VerifyandVal域維-項(xiàng)目類和組織類PA與供應(yīng)商協(xié)調(diào)PA22提供持續(xù)發(fā)展的技能和知識(shí)PA21管理系統(tǒng)工程支持環(huán)境PA20管理產(chǎn)品系列進(jìn)化PA19改進(jìn)組織的系統(tǒng)工程過程PA18定義組織的系統(tǒng)工程過程PA17計(jì)劃技術(shù)活動(dòng)PA16監(jiān)視和控制技術(shù)活動(dòng)PA15管理項(xiàng)目風(fēng)險(xiǎn)PA14管理配置PA13保證質(zhì)量PA12項(xiàng)目過程組織過程85域維-項(xiàng)目類和組織類PA與供應(yīng)商協(xié)調(diào)PA22提供持續(xù)發(fā)展的技計(jì)劃執(zhí)行規(guī)范化執(zhí)行跟蹤執(zhí)行驗(yàn)證執(zhí)行定義標(biāo)準(zhǔn)過程協(xié)調(diào)安全實(shí)施執(zhí)行已定義的過程建立可測(cè)量的質(zhì)量目標(biāo)客觀地管理過程的執(zhí)行1非正規(guī)執(zhí)行2計(jì)劃與跟蹤3充分定義4量化控制5連續(xù)改進(jìn)執(zhí)行基本實(shí)施改進(jìn)組織能力改進(jìn)過程的有效性能力級(jí)別

代表安全工程組織的成熟級(jí)別

公共特征未實(shí)施0能力級(jí)別86計(jì)劃執(zhí)行定義標(biāo)準(zhǔn)過程建立可測(cè)量的質(zhì)量目標(biāo)1非正規(guī)2計(jì)劃與跟蹤SSE-CMM的使用SSE-CMM可應(yīng)用于所有從事某種形式的安全工程組織，這種應(yīng)用與生命期、范圍、環(huán)境或?qū)I(yè)無關(guān)。該模型適用于以下三種方式：“評(píng)定”，允許獲取組織了解潛在項(xiàng)目參加者的組織層次上的安全工程過程能力?！案倪M(jìn)”，使安全工程組織獲得自身安全工程過程能力級(jí)別的認(rèn)識(shí)，并不斷地改進(jìn)其能力。“保證”，通過有根據(jù)地使用成熟過程，增加可信產(chǎn)品、系統(tǒng)和服務(wù)的可信度。87SSE-CMM的使用SSE-CMM可應(yīng)用于所有從事某種形式的主題一、信息安全保障基本知識(shí)二、信息安全保障實(shí)踐三、信息安全管理體系四、信息安全風(fēng)險(xiǎn)管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實(shí)踐九、法律法規(guī)十、安全標(biāo)準(zhǔn)88主題一、信息安全保障基本知識(shí)8八、信息安全工程實(shí)踐89信息安全工程監(jiān)理安全工程實(shí)施實(shí)踐知識(shí)域知識(shí)子域課程名稱信息安全工程實(shí)踐信息安全工程各方職責(zé)監(jiān)理階段目標(biāo)ISSE安全工程過程信息系統(tǒng)定義與描述信息系統(tǒng)安全性驗(yàn)證與認(rèn)可信息系統(tǒng)安全監(jiān)控與保持信息系統(tǒng)安全需求提取安全措施設(shè)計(jì)與部署信息安全工程監(jiān)理模型八、信息安全工程實(shí)踐89信息安全工程監(jiān)理安全工程實(shí)施實(shí)踐知信息系統(tǒng)安全工程ISSE發(fā)掘信息保護(hù)需求確定系統(tǒng)安全要求設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)開展詳細(xì)安全設(shè)計(jì)評(píng)估信息保護(hù)有效性實(shí)施系統(tǒng)安全90信息系統(tǒng)安全工程ISSE發(fā)掘信息保護(hù)需求確定系統(tǒng)安全要求設(shè)計(jì)信息安全工程監(jiān)理模型信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素信息安全工程監(jiān)理模型信息安全工程監(jiān)理階段、監(jiān)理管理和控制手主題一、信息安全保障基本知識(shí)二、信息安全保障實(shí)踐三、信息安全管理體系四、信息安全風(fēng)險(xiǎn)管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實(shí)踐九、法律法規(guī)十、安全標(biāo)準(zhǔn)92主題一、信息安全保障基本知識(shí)9九、信息安全法規(guī)、政策與道德規(guī)范93信息安全法規(guī)與政策知識(shí)體知識(shí)域信息安全法律法規(guī)知識(shí)子域國(guó)家信息安全法治總體情況等級(jí)保護(hù)有關(guān)政策規(guī)范風(fēng)險(xiǎn)評(píng)估有關(guān)政策規(guī)范信息安全國(guó)家政策現(xiàn)行重要信息安全法規(guī)電子政務(wù)與重要信息系統(tǒng)信息安全政策國(guó)家信息安全保障總體方針道德規(guī)范信息安全從業(yè)人員道德規(guī)范通行道德規(guī)范CISP職業(yè)道德準(zhǔn)則計(jì)算機(jī)使用道德規(guī)范因特網(wǎng)使用道德規(guī)范

信息安全從業(yè)人員基本道德規(guī)范九、信息安全法規(guī)、政策與道德規(guī)范93信息安全法規(guī)與政策知識(shí)體《憲法》中的有關(guān)規(guī)定《憲法》第二章

公民的基本權(quán)利和義務(wù)

第40條公民的通信自由和通信秘密受法律的保護(hù)。除因國(guó)家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個(gè)人不得以任何理由侵犯公民的通信自由和通信秘密。94《憲法》中的有關(guān)規(guī)定《憲法》第二章公民的基本權(quán)利和義務(wù)《刑法》中的有關(guān)規(guī)定（1）《刑法》第六章

妨礙社會(huì)管理秩序罪

第一節(jié)

擾亂公共秩序罪

第285、286、287條285條：非法侵入計(jì)算機(jī)信息系統(tǒng)罪；非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪；提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪。違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。提供專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。95《刑法》中的有關(guān)規(guī)定（1）《刑法》第六章妨礙社會(huì)管理秩序《刑法》中的有關(guān)規(guī)定（2）《刑法》第六章

妨礙社會(huì)管理秩序罪

第一節(jié)

擾亂公共秩序罪

第285、286、287條286條：破壞計(jì)算機(jī)信息系統(tǒng)罪。違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款的規(guī)定處罰。故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行，后果嚴(yán)重的，依照第一款的規(guī)定處罰。287條：利用計(jì)算機(jī)實(shí)施犯罪的提示性規(guī)定。利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰。96《刑法》中的有關(guān)規(guī)定（2）《刑法》第六章妨礙社會(huì)管理秩序《治安管理處罰法》中的有關(guān)規(guī)定《治安管理處罰法》第三章

違反治安管理的行為和處罰

第一節(jié)

擾亂公共秩序的行為和處罰

第29條有下列行為之一的，處五日以下拘留；情節(jié)較重的，處五日以上十日以下拘留：（一）違反國(guó)家規(guī)定，侵入計(jì)算機(jī)信息系統(tǒng)，造成危害的；（二）違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的；（三）違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的；（四）故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)信息系統(tǒng)正常運(yùn)行的?！吨伟补芾硖幜P法》其他規(guī)定（與非法信息傳等播相關(guān)）：第42、47、68條97《治安管理處罰法》中的有關(guān)規(guī)定《治安管理處罰法》第三章違《國(guó)家安全法》中的有關(guān)規(guī)定《國(guó)家安全法》第二章

國(guó)家安全機(jī)關(guān)在國(guó)家安全工作中的職權(quán)

第10、11條第10條國(guó)家安全機(jī)關(guān)因偵察危害國(guó)家安全行為的需要，根據(jù)國(guó)家有關(guān)規(guī)定，經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵察措施。第11條國(guó)家安全機(jī)關(guān)為維護(hù)國(guó)家安全的需要，可以查驗(yàn)組織和個(gè)人的電子通信工具、器材等設(shè)備、設(shè)施。法律98《國(guó)家安全法》中的有關(guān)規(guī)定《國(guó)家安全法》第二章國(guó)家安全機(jī)《保守國(guó)家秘密法》（保密法1）演進(jìn)《保守國(guó)家秘密暫行條例》（1951年）《保守國(guó)家秘密法》（1989年）《保守國(guó)家秘密法》（2019年修訂，4月29日修訂，10月1日施行）主旨（總則）目的：保守國(guó)家秘密，維護(hù)國(guó)家安全和利益。國(guó)家秘密是關(guān)系國(guó)家安全和利益，依照法定程序確定，在一定時(shí)間內(nèi)只限一定范圍的人員知悉的事項(xiàng)。國(guó)家秘密受法律保護(hù)。一切國(guó)家機(jī)關(guān)、武裝力量、政黨、社會(huì)團(tuán)體、企業(yè)事業(yè)單位和公民都有保守國(guó)家秘密的義務(wù)。國(guó)家保密行政管理部門主管全國(guó)的保密工作。國(guó)家機(jī)關(guān)和涉及國(guó)家秘密的單位（以下簡(jiǎn)稱機(jī)關(guān)、單位）管理本機(jī)關(guān)和本單位的保密工作。保密工作責(zé)任制：健全保密管理制度，完善保密防護(hù)措施，開展保密宣傳教育，加強(qiáng)保密檢查。法律99《保守國(guó)家秘密法》（保密法1）演進(jìn)法律99《保守國(guó)家秘密法》（保密法2）國(guó)家秘密的范圍國(guó)家事務(wù)、國(guó)防武裝、外交外事、政黨秘密國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展、科學(xué)技術(shù)維護(hù)國(guó)家安全的活動(dòng)、經(jīng)保密主管部門確定的事項(xiàng)等國(guó)家秘密的密級(jí)絕密---是最重要的國(guó)家秘密，泄露會(huì)使國(guó)家安全和利益遭受特別嚴(yán)重的損害；保密期限不超過30年；機(jī)密---是重要的國(guó)家秘密，泄露會(huì)使國(guó)家安全和利益遭受嚴(yán)重的損害；保密期限不超過20年；秘密---是一般的國(guó)家秘密，泄露會(huì)使國(guó)家安全和利益遭受損害；保密期限不超過10年。國(guó)家秘密的其他基本屬性定密權(quán)限（定密責(zé)任人）、保密期限、解密條件、知悉范圍國(guó)家秘密載體、國(guó)家秘密標(biāo)志法律100《保守國(guó)家秘密法》（保密法2）國(guó)家秘密的范圍法律100《保守國(guó)家秘密法》（保密法3）保密制度對(duì)國(guó)家秘密載體的行為要求；對(duì)屬于國(guó)家秘密的設(shè)備、產(chǎn)品的行為要求；對(duì)存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)的要求---分級(jí)保護(hù)；對(duì)組織和個(gè)人的行為要求（涉密信息系統(tǒng)管理、國(guó)家秘密載體管理、公開發(fā)布信息、各類涉密采購(gòu)、涉密人員分類管理、保密教育培訓(xùn)、保密協(xié)議等）；對(duì)公共信息網(wǎng)絡(luò)及其他傳媒的行為要求；對(duì)互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商、服務(wù)商的行為要求。監(jiān)督管理國(guó)家保密行政管理部門依照法律、行政法規(guī)的規(guī)定，制定保密規(guī)章和國(guó)家保密標(biāo)準(zhǔn)。組織開展保密宣傳教育、保密檢查、保密技術(shù)防護(hù)和泄密案件查處工作，對(duì)機(jī)關(guān)、單位的保密工作進(jìn)行指導(dǎo)和監(jiān)督。法律101《保守國(guó)家秘密法》（保密法3）保密制度法律101《保守國(guó)家秘密法》（保密法4）法律責(zé)任（第48條

人員處分及追究刑責(zé)）（一）非法獲取、持有國(guó)家秘密載體的；（二）買賣、轉(zhuǎn)送或者私自銷毀國(guó)家秘密載體的；（三）通過普通郵政、快遞等無保密措施的渠道傳遞國(guó)家秘密載體的；（四）郵寄、托運(yùn)國(guó)家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準(zhǔn)，攜帶、傳遞國(guó)家秘密載體出境的；（五）非法復(fù)制、記錄、存儲(chǔ)國(guó)家秘密的；（六）在私人交往和通信中涉及國(guó)家秘密的；（七）在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國(guó)家秘密的；（八）將涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的；（九）在未采取防護(hù)措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換的；（十）使用非涉密計(jì)算機(jī)、非涉密存儲(chǔ)設(shè)備存儲(chǔ)、處理國(guó)家秘密信息的；（十一）擅自卸載、修改涉密信息系統(tǒng)的安全技術(shù)程序、管理程序的；（十二）將未經(jīng)安全技術(shù)處理的退出使用的涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備贈(zèng)送、出售、丟棄或者改作其他用途的。有前款行為尚不構(gòu)成犯罪，且不適用處分的人員，由保密行政管理部門督促其所在機(jī)關(guān)、單位予以處理。法律102《保守國(guó)家秘密法》（保密法4）法律責(zé)任（第48條人員處分《全國(guó)人大關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》背景互聯(lián)網(wǎng)日益廣泛的應(yīng)用，對(duì)于加快我國(guó)國(guó)民經(jīng)濟(jì)、科學(xué)技術(shù)的發(fā)展和社會(huì)服務(wù)信息化進(jìn)程具有重要作用。如何保障互聯(lián)網(wǎng)的運(yùn)行安全和信息安全問題已經(jīng)引起全社會(huì)的普遍關(guān)注?；ヂ?lián)網(wǎng)安全的范疇（法律約束力）互聯(lián)網(wǎng)的運(yùn)行安全（侵入、破壞性程序、攻擊、中斷服務(wù)等）國(guó)家安全和社會(huì)穩(wěn)定（有害信息、竊取/泄露國(guó)家秘密、煽動(dòng)、非法組織等）市場(chǎng)經(jīng)濟(jì)秩序和社會(huì)管理秩序（銷售偽劣產(chǎn)品/虛假宣傳、損害商業(yè)信譽(yù)、侵犯知識(shí)產(chǎn)權(quán)、擾亂金融秩序、淫穢內(nèi)容服務(wù)等）個(gè)人、法人和其他組織的人身、財(cái)產(chǎn)等合法權(quán)利（侮辱或誹謗他人、非法處理他人信息數(shù)據(jù)/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等）法律責(zé)任構(gòu)成犯罪的，依照刑法有關(guān)規(guī)定追究刑事責(zé)任構(gòu)成民事侵權(quán)的，依法承擔(dān)民事責(zé)任尚不構(gòu)成犯罪的：治安管理處罰/行政處罰/行政處分或紀(jì)律處分

法律103《全國(guó)人大關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》背景法律103主題一、信息安全保障基本知識(shí)二、信息安全保障實(shí)踐三、信息安全管理體系四、信息安全風(fēng)險(xiǎn)管理五、基本信息安全管理六、重要信息安全管理措施七、安全工程原理八、安全工程實(shí)踐九、法律法規(guī)十、安全標(biāo)準(zhǔn)104主題一、信息安全保障基本知識(shí)1十、信息安全標(biāo)準(zhǔn)105十、信息安全標(biāo)準(zhǔn)105標(biāo)準(zhǔn)的一些基本概念標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化的定義標(biāo)準(zhǔn)的作用我國(guó)標(biāo)準(zhǔn)代碼的意義GB強(qiáng)制性國(guó)家標(biāo)準(zhǔn)GB/T推薦性國(guó)家標(biāo)準(zhǔn)GB/Z國(guó)家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件106標(biāo)準(zhǔn)的一些基本概念標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化的定義106我國(guó)標(biāo)準(zhǔn)化組織信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組(WG2）密碼技術(shù)標(biāo)準(zhǔn)工作組（WG3）鑒別與授權(quán)工作組（WG4）信息安全評(píng)估工作組（WG5）通信安全標(biāo)準(zhǔn)工作組（WG6）信息安全管理工作組（WG7）107我國(guó)標(biāo)準(zhǔn)化組織信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組(WG1)107信息安全評(píng)估標(biāo)準(zhǔn)安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展歷史了解安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展過程理解可信計(jì)算機(jī)評(píng)估準(zhǔn)則（TCSEC）的局限性理解GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》（CC）的優(yōu)點(diǎn)信息安全技術(shù)評(píng)估準(zhǔn)則了解CC的結(jié)構(gòu)理解CC的術(shù)語（TOE、PP、ST、EAL）和基本思想了解使用CC進(jìn)行信息技術(shù)產(chǎn)品安全性評(píng)估的基本過程了解通用評(píng)估方法（CEM）信息系統(tǒng)安全保證評(píng)估框架了解GB/T20274《信息系統(tǒng)安全保障評(píng)估框架》的目的和意義了解《信息系統(tǒng)安全保障評(píng)估框架》的結(jié)構(gòu)和主要內(nèi)容108信息安全評(píng)估標(biāo)準(zhǔn)安全技術(shù)評(píng)估標(biāo)準(zhǔn)發(fā)展歷史108美國(guó)的安全評(píng)測(cè)標(biāo)準(zhǔn)(TCSEC)1970年由美國(guó)國(guó)防科學(xué)委員會(huì)提出,1985年公布。主要為軍用標(biāo)準(zhǔn),延用至民用。安全級(jí)別從高到低分為A、B、C、D四級(jí)，級(jí)下再分小類，即A1、B3、B2、B1、C2、C1、D分級(jí)分類主要依據(jù)四個(gè)準(zhǔn)則：安全政策可控性保證能力文檔109美國(guó)的安全評(píng)測(cè)標(biāo)準(zhǔn)(TCSEC)1970年由美國(guó)國(guó)防科學(xué)委員通用準(zhǔn)則（CC）國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；1993年開始，2019年出V1.0,2019年出V2.0，2019年6月正式成為國(guó)際標(biāo)準(zhǔn)，2019年12月ISO出版發(fā)行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保護(hù)輪廓”，將評(píng)估過程分“功能”和“保證”兩部分；是目前最全面的評(píng)價(jià)準(zhǔn)則110通用準(zhǔn)則（CC）國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；信息安全管理標(biāo)準(zhǔn)國(guó)際信息安全管理重要標(biāo)準(zhǔn)了解國(guó)外信息安全管理標(biāo)準(zhǔn)發(fā)展概況掌握ISO27001和ISO27002的主要內(nèi)容了解英國(guó)和美國(guó)等發(fā)達(dá)國(guó)家的信息安全管理標(biāo)準(zhǔn)了解CoBIT和ITIL的用途我國(guó)信息安全管理重要標(biāo)準(zhǔn)掌握GB/T20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》的主要內(nèi)容掌握GB/Z24364《信息安全風(fēng)險(xiǎn)管理規(guī)范》的主要內(nèi)容了解GB/Z20985《信息安全事件管理指南》的主要內(nèi)容掌握GB/Z20986《信息安全事件分類分級(jí)指南》的主要內(nèi)容掌握GB/T20988《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》的主要內(nèi)容111信息安全管理標(biāo)準(zhǔn)國(guó)際信息安全管理重要標(biāo)準(zhǔn)111等級(jí)保護(hù)標(biāo)準(zhǔn)等級(jí)保護(hù)定級(jí)指南了解GB/T22240《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》的主要內(nèi)容掌握五個(gè)信息系統(tǒng)安全保護(hù)等級(jí)的定義掌握系統(tǒng)定級(jí)的要素、基本方法和流程等級(jí)保護(hù)基本要求了解GB/T22239《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的主要內(nèi)容掌握五個(gè)信息系統(tǒng)安全保護(hù)等級(jí)對(duì)應(yīng)的安全保護(hù)能力級(jí)別掌握管理基本要求包含的五個(gè)方面以及安全技術(shù)要求包含的五個(gè)方面等級(jí)保護(hù)其它重要標(biāo)準(zhǔn)了解《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》的主要內(nèi)容了解《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》的主要內(nèi)容112等級(jí)保護(hù)標(biāo)準(zhǔn)等級(jí)保護(hù)定級(jí)指南112什么是等級(jí)保護(hù)？《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（1994年國(guó)務(wù)院147號(hào)令）第九條計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定。GB17859-2019《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》第一級(jí):用戶自主保護(hù)級(jí)；第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)；第三級(jí):安全標(biāo)記保護(hù)級(jí)；第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)；第五級(jí):訪問驗(yàn)證保護(hù)級(jí)；113什么是等級(jí)保護(hù)？《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》CISP課程培訓(xùn)知識(shí)總結(jié)（安全技術(shù)）CISP課程培訓(xùn)知識(shí)總結(jié)（安全技術(shù)）主題一、密碼學(xué)基礎(chǔ)二、密碼學(xué)應(yīng)用三、訪問控制與審計(jì)監(jiān)控四、協(xié)議和網(wǎng)絡(luò)架構(gòu)安全五、網(wǎng)絡(luò)安全設(shè)備六、系統(tǒng)安全七、應(yīng)用安全八、惡意代碼及安全漏洞九、安全攻防實(shí)踐十、軟件安全開發(fā)115主題一、密碼學(xué)基礎(chǔ)115密碼學(xué)發(fā)展古典密碼學(xué)（1949年之前）1949年之前，密碼學(xué)是一門藝術(shù)主要特點(diǎn)：數(shù)據(jù)的安全基于算法的保密近代密碼學(xué)（1949～1975年）1949～1975年，密碼學(xué)成為科學(xué)主要特點(diǎn)：數(shù)據(jù)的安全基于密鑰而不是算法的保密現(xiàn)代密碼學(xué)（1976年以后）密碼學(xué)的新方向—公鑰密碼學(xué)主要特點(diǎn)：公鑰密碼使得發(fā)送端和接收端無密鑰傳輸?shù)谋Ｃ芡ㄐ懦蔀榭赡?16密碼學(xué)發(fā)展古典密碼學(xué)（1949年之前）116密碼學(xué)的基礎(chǔ)知識(shí)密碼學(xué)密碼編碼學(xué)——主要研究對(duì)信息進(jìn)行編碼，實(shí)現(xiàn)對(duì)信息的隱蔽（目標(biāo)是使人“看不懂”）密碼分析學(xué)——主要研究加密信息的破譯或信息的偽造分組密碼和流密碼的概念分組密碼：將明文分成固定長(zhǎng)度的組，用同一密鑰和算法對(duì)每一塊加密，輸出也是固定長(zhǎng)度的密文。流密碼（Streamcipher）：又稱序列密碼，序列密碼每次加密一位或一字節(jié)的明文。117密碼學(xué)的基礎(chǔ)知識(shí)密碼學(xué)117對(duì)稱加密算法118DES算法：56bit的密鑰強(qiáng)度3DES：三重DES算法IDEA：128bit密鑰強(qiáng)度AES：高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)，簡(jiǎn)單、靈活、適應(yīng)性好對(duì)稱加密算法118DES算法：56bit的密鑰強(qiáng)度對(duì)稱密碼算法的優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：效率高，算法簡(jiǎn)單，系統(tǒng)開銷小適合加密大量數(shù)據(jù)明文長(zhǎng)度與密文長(zhǎng)度相等

缺點(diǎn)：

需要以安全方式進(jìn)行密鑰交換密鑰管理復(fù)雜119對(duì)稱密碼算法的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：119非對(duì)稱加密（公鑰）算法120RSA算法：基于大數(shù)因子分解，速度較慢DH算法：基于離散對(duì)數(shù)的算法公鑰密碼的適用范圍公鑰密碼的缺陷非對(duì)稱加密（公鑰）算法120RSA算法：基于大數(shù)因子分解，速公鑰密碼體制的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：解決密鑰傳遞的問題大大減少密鑰持有量提供了對(duì)稱密碼技術(shù)無法或很難提供的服務(wù)（數(shù)字簽名）缺點(diǎn)：計(jì)算復(fù)雜、耗用資源大非對(duì)稱會(huì)導(dǎo)致得到的密文變長(zhǎng)121公鑰密碼體制的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：121哈希運(yùn)算——完整性122用戶A用戶B數(shù)據(jù)數(shù)據(jù)哈希值哈希算法數(shù)據(jù)哈希值哈希值哈希算法如果哈希值匹配，說明數(shù)據(jù)有效

用戶A發(fā)送數(shù)據(jù)和哈希值給用戶B哈希運(yùn)算——完整性122用戶A用戶B數(shù)據(jù)數(shù)據(jù)哈希值哈希算法數(shù)數(shù)字簽名——抗抵賴性用戶A用戶B數(shù)據(jù)哈希值哈希算法用戶A的私鑰數(shù)據(jù)哈希值用戶A的公鑰哈希算法哈希值如果哈希值匹配，說明該數(shù)據(jù)由該私鑰簽名。123數(shù)字簽名——抗抵賴性用戶A用戶B數(shù)據(jù)哈希值哈希算法用戶A的私主題一、密碼學(xué)基礎(chǔ)二、密碼學(xué)應(yīng)用三、訪問控制與審計(jì)監(jiān)控四、協(xié)議和網(wǎng)絡(luò)架構(gòu)安全五、網(wǎng)絡(luò)安全設(shè)備六、系統(tǒng)安全七、應(yīng)用安全八、惡意代碼及安全漏洞九、安全攻防實(shí)踐十、軟件安全開發(fā)124主題一、密碼學(xué)基礎(chǔ)124加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份。提供訪問控制，不同的用戶有不同的訪問權(quán)限。VPN基本功能125加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。VPN的類型VPN基本概念虛擬專網(wǎng)（加密數(shù)據(jù)、信息和身份認(rèn)證、訪問控制）VPN的類型按協(xié)議層分（二、三、四層和應(yīng)用層）按應(yīng)用范圍分（遠(yuǎn)程訪問、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)）按體系結(jié)構(gòu)分（網(wǎng)關(guān)到網(wǎng)關(guān)、網(wǎng)關(guān)到主機(jī)、主機(jī)到主機(jī)）VPN關(guān)鍵技術(shù)隧道技術(shù)密碼技術(shù)密鑰管理技術(shù)鑒別技術(shù)

126VPN的類型VPN基本概念126VPN關(guān)鍵技術(shù)VPN主要采用4類技術(shù)來保證安全隧道技術(shù)密碼技術(shù)密鑰管理技術(shù)鑒別技術(shù)

VPN主要協(xié)議二層隧道協(xié)議：PPTP：L2F、L2TPIPSECSSL127VPN關(guān)鍵技術(shù)VPN主要采用4類技術(shù)來保證安全127PKI是什么？PKI：PublicKeyInfrastructurePKI公鑰基礎(chǔ)設(shè)施是以公開密鑰技術(shù)為基礎(chǔ)，以數(shù)據(jù)保密性、完整性和抗抵賴性為安全目的的而構(gòu)建的認(rèn)證、授權(quán)、加密等硬件、軟件的綜合設(shè)施。PKI提供的安全服務(wù)主要包括：身份認(rèn)證支持密鑰管理完整性和抗抵賴性128PKI是什么？PKI：PublicKeyInfrastrPKI/CA的體系結(jié)構(gòu)和工作流程數(shù)字簽名生成PKI認(rèn)證管理核心密鑰生成數(shù)字簽名認(rèn)證密鑰交換數(shù)字公證服務(wù)器授權(quán)代理密鑰恢復(fù)代理認(rèn)證分發(fā)代理安全服務(wù)與代理數(shù)據(jù)存取數(shù)據(jù)庫命名和注冊(cè)系統(tǒng)第三方信任互相信任互相信任CA（證書認(rèn)證中心）129PKI/CA的體系結(jié)構(gòu)和工作流程數(shù)字簽名生成PKI認(rèn)證管理PKI的作用130PKI的作用130CA的功能頒發(fā)功能CA接收、驗(yàn)證用戶，確定是否受理該數(shù)字證書申請(qǐng)；更新功能查詢功能作廢功能歸檔功能131CA的功能頒發(fā)功能131主題一、密碼學(xué)基礎(chǔ)二、密碼學(xué)應(yīng)用三、訪問控制與審計(jì)監(jiān)控四、協(xié)議和網(wǎng)絡(luò)架構(gòu)安全五、網(wǎng)絡(luò)安全設(shè)備六、系統(tǒng)安全七、應(yīng)用安全八、惡意代碼及安全漏洞九、安全攻防實(shí)踐十、軟件安全開發(fā)132主題一、密碼學(xué)基礎(chǔ)132主體與客體主體發(fā)起者，是一個(gè)主動(dòng)的實(shí)體，可以操作被動(dòng)實(shí)體的相關(guān)信息或數(shù)據(jù)用戶、程序、進(jìn)程等客體一種被動(dòng)實(shí)體，被操作的對(duì)象，規(guī)定需要保護(hù)的資源文件、存儲(chǔ)介質(zhì)、程序、進(jìn)程等133主體與客體主體133

授權(quán)規(guī)定主體可以對(duì)客體執(zhí)行的操作：讀寫執(zhí)行拒絕訪問…134授權(quán)規(guī)定主體可以對(duì)客體執(zhí)行的操作：134標(biāo)識(shí)標(biāo)識(shí)是實(shí)體身份的一種計(jì)算機(jī)表達(dá)，每個(gè)實(shí)體與計(jì)算機(jī)內(nèi)部的一個(gè)身份表達(dá)綁定標(biāo)識(shí)的主要作用：訪問控制和審計(jì)訪問控制：標(biāo)識(shí)用于控制是否允許特定的操作審計(jì)：標(biāo)識(shí)用于跟蹤所有操作的參與者，參與者的任何操作都能被明確地標(biāo)識(shí)出來135標(biāo)識(shí)標(biāo)識(shí)是實(shí)體身份的一種計(jì)算機(jī)表達(dá)，每個(gè)實(shí)體與計(jì)算機(jī)內(nèi)部鑒別確認(rèn)實(shí)體是它所聲明的，提供了關(guān)于某個(gè)實(shí)體身份的保證，某一實(shí)體確信與之打交道的實(shí)體正是所需要的實(shí)體口令、挑戰(zhàn)-應(yīng)答、生物特征鑒別所有其它的安全服務(wù)都依賴于該服務(wù)需求：某一成員（聲稱者）提交一個(gè)主體的身份并聲稱它是那個(gè)主體目的：使別的成員（驗(yàn)證者）獲得對(duì)聲稱者所聲稱的事實(shí)的信任136鑒別確認(rèn)實(shí)體是它所聲明的，提供了關(guān)于某個(gè)實(shí)體身份的保證，訪問控制模型主體客體訪問控制實(shí)施訪問控制決策提交訪問

請(qǐng)求請(qǐng)求決策決策提出訪問

請(qǐng)求137什么是訪問控制模型對(duì)一系列訪問控制規(guī)則集合的描述，可以是非形式化的，也可以是形式化的。組成訪問控制模型主體客體訪問控制訪問控制提交訪問訪問控制模型的分類訪問控制模型強(qiáng)制訪問控制模型（MAC）自主訪問控制模型（DAC）訪問矩陣模型訪問控制列表（ACL）權(quán)能列表（CapacityList）Bell-Lapudula模型Biba模型Clark-Wilson模型ChineseWall模型保密性模型完整性

模型基于角色訪問控制模型（RBAC）混合策略模型138訪問控制模型的分類訪問控制模型強(qiáng)制訪問控制模型自主訪問控制模自主訪問控制模型允許客體的屬主（創(chuàng)建者）決定主體對(duì)該客體的訪問權(quán)限機(jī)制：訪問控制表/矩陣方法：訪問控制表(AccessControlLists)和訪問能力表(CapacityList)優(yōu)點(diǎn)根據(jù)主體的身份和訪問權(quán)限進(jìn)行決策具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個(gè)子集授予其它主體靈活性高，被大量采用缺點(diǎn)信息在傳遞過程中其訪問權(quán)限關(guān)系會(huì)被改變139自主訪問控制模型允許客體的屬主（創(chuàng)建者）決定主體對(duì)該客體的訪強(qiáng)制訪問控制模型主體對(duì)客體的所有訪問請(qǐng)求按照強(qiáng)制訪問控制策略進(jìn)行控制，客體的屬主無權(quán)控制客體的訪問權(quán)限，以防止對(duì)信息的非法和越權(quán)訪問主體和客體分配有一個(gè)安全屬性應(yīng)用于軍事等安全要求較高的系統(tǒng)可與自主訪問控制結(jié)合使用140強(qiáng)制訪問控制模型主體對(duì)客體的所有訪問請(qǐng)求按照強(qiáng)制訪問控制策略常見強(qiáng)制訪問控制模型BLP模型1973年提出的多級(jí)安全模型，影響了許多其他模型的發(fā)展，甚至很大程度上影響了計(jì)算機(jī)安全技術(shù)的發(fā)展Biba模型1977年，Biba提出的一種在數(shù)學(xué)上與BLP模型對(duì)偶的完整性保護(hù)模型Clark-Wilson模型1987年，DavidClark和DavidWilson開發(fā)的以事物處理為基本操作的完整性模型，該模型應(yīng)用于多種商業(yè)系統(tǒng)ChineseWall模型1989年，D.Brewer和M.Nash提出的同等考慮保密性與完整性的安全策略模型，主要用于解決商業(yè)中的利益沖突141常見強(qiáng)制訪問控制模型BLP模型141自主訪問控制與強(qiáng)制訪問控制的比較自主訪問控制細(xì)粒度靈活性高配置效率低強(qiáng)制訪問控制控制粒度大靈活性不高安全性強(qiáng)142自主訪問控制與強(qiáng)制訪問控制的比較自主訪問控制142鑒別的基本途徑基于你所知道的（Whatyouknow）知識(shí)、口令、密碼基于你所擁有的（Whatyouhave）身份證、信用卡、鑰匙、智能卡、令牌等基于你的個(gè)人特征（Whatyouare）指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜雙因素、多因素認(rèn)證143鑒別的基本途徑基于你所知道的（Whatyouknow）集中訪問控制的基本概念及實(shí)現(xiàn)RADIUS協(xié)議TACACS協(xié)議TACACS+協(xié)議Diameter協(xié)議144集中訪問控制的基本概念及實(shí)現(xiàn)RADIUS協(xié)議144審計(jì)系統(tǒng)的組成結(jié)構(gòu)審計(jì)系統(tǒng)包含三個(gè)部分：日志記錄器、分析器、通告器，分別用于收集數(shù)據(jù)、分析數(shù)據(jù)及通報(bào)結(jié)果。日志記錄器：日志機(jī)制可以把信息記錄成二進(jìn)制形式或可讀的形式。系統(tǒng)會(huì)提供一個(gè)日志瀏覽工具。用戶能使用工具檢查原始數(shù)據(jù)或用文本處理工具來編輯數(shù)據(jù)。分析器：分析器以日志作為輸入，然后分析日志數(shù)據(jù)。分析的結(jié)果可能會(huì)改變正在記錄的數(shù)據(jù)，也可能只是檢測(cè)一些事件或問題。145審計(jì)系統(tǒng)的組成結(jié)構(gòu)審計(jì)系統(tǒng)包含三個(gè)部分：日志記錄器、分析器、安全監(jiān)控的常用技術(shù)惡意行為監(jiān)控蜜網(wǎng)網(wǎng)站掛馬監(jiān)測(cè)網(wǎng)站篡改監(jiān)測(cè)P2P監(jiān)測(cè)內(nèi)容監(jiān)控網(wǎng)絡(luò)輿情分析146安全監(jiān)控的常用技術(shù)惡意行為監(jiān)控146主題一、密碼學(xué)基礎(chǔ)二、密碼學(xué)應(yīng)用三、訪問控制與審計(jì)監(jiān)控四、協(xié)議和網(wǎng)絡(luò)架構(gòu)安全五、網(wǎng)絡(luò)安全設(shè)備六、系統(tǒng)安全七、應(yīng)用安全八、惡意代碼及安全漏洞九、安全攻防實(shí)踐十、軟件安全開發(fā)147主題一、密碼學(xué)基礎(chǔ)147TCP/IP協(xié)議與OSI模型的對(duì)應(yīng)148物理層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層數(shù)據(jù)鏈路層互聯(lián)網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)接口層TCP/IP協(xié)議與OSI模型的對(duì)應(yīng)148物理層網(wǎng)絡(luò)層傳輸層會(huì)TCP/IP協(xié)議結(jié)構(gòu)149應(yīng)用層傳輸層互聯(lián)網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議應(yīng)用協(xié)議TCPUDPICMPIPIGMPARP硬件接口RARPTCP/IP協(xié)議結(jié)構(gòu)149應(yīng)用層傳輸層互聯(lián)網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層應(yīng)IP是TCP/IP協(xié)議族中最為核心的協(xié)議IP協(xié)議的特點(diǎn)不可靠（unreliable）通信無連接（connectionless）通信IP協(xié)議簡(jiǎn)介150IP是TCP/IP協(xié)議族中最為核心的協(xié)議IP協(xié)議簡(jiǎn)介150TCP:傳輸控制協(xié)議作用：TCP提供一種面向連接的、可靠的字節(jié)流服務(wù)功能數(shù)據(jù)包分塊發(fā)送接收確認(rèn)超時(shí)重發(fā)數(shù)據(jù)校驗(yàn)數(shù)據(jù)包排序控制流量……TCP協(xié)議15116位源端口號(hào)16位目的端口號(hào)32位序號(hào)32位確認(rèn)序號(hào)偏移量保留UAP

RSF16位窗口大小16位緊急指針16位校驗(yàn)和數(shù)據(jù)TCP:傳輸控制協(xié)議TCP協(xié)議15116位源端口號(hào)16位目的特點(diǎn)：UDP是一個(gè)簡(jiǎn)單的面向數(shù)據(jù)報(bào)的傳輸層協(xié)議不具備接收應(yīng)答機(jī)制不能對(duì)數(shù)據(jù)分組、合并不能重新排序 沒有流控制功能協(xié)議簡(jiǎn)單占用資源少，效率高……UDP協(xié)議15216位源端口號(hào)16位目的端口號(hào)16位UDP長(zhǎng)度16位UDP校驗(yàn)和數(shù)據(jù)特點(diǎn)：UDP是一個(gè)簡(jiǎn)單的面向數(shù)據(jù)報(bào)的傳輸層協(xié)議UDP協(xié)議15應(yīng)用層安全拒絕服務(wù)欺騙竊聽偽造暴力破解……153應(yīng)用層安全拒絕服務(wù)欺騙竊聽偽造暴力破解……153無線局域網(wǎng)安全風(fēng)險(xiǎn)

無線局域網(wǎng)安全問題154無線局域網(wǎng)安全風(fēng)險(xiǎn)無線局域網(wǎng)安全問題154基于三元結(jié)構(gòu)和對(duì)等鑒別的訪問控制方法可普遍適用于無線、有線網(wǎng)絡(luò)

WAPI目的：“合法用戶接入合法網(wǎng)絡(luò)”用戶網(wǎng)絡(luò)合法合法WAPI的技術(shù)思想155基于三元結(jié)構(gòu)和對(duì)等鑒別的訪問控制方法用戶網(wǎng)絡(luò)合法合法WA網(wǎng)絡(luò)架構(gòu)安全156安全域安全域的概念為什么要有安全域網(wǎng)絡(luò)邊界網(wǎng)絡(luò)邊界的概念網(wǎng)絡(luò)邊界安全防護(hù)的作用網(wǎng)絡(luò)冗余網(wǎng)絡(luò)冗余的價(jià)值網(wǎng)絡(luò)規(guī)劃IP地址規(guī)劃VLAN劃分網(wǎng)絡(luò)架構(gòu)安全156安全域主題一、密碼學(xué)基礎(chǔ)二、密碼學(xué)應(yīng)用三、訪問控制與審計(jì)監(jiān)控四、協(xié)議和網(wǎng)絡(luò)架構(gòu)安全五、網(wǎng)絡(luò)安全設(shè)備六、系統(tǒng)安全七、應(yīng)用安全八、惡意代碼及安全漏洞九、安全攻防實(shí)踐十、軟件安全開發(fā)157主題一、密碼學(xué)基礎(chǔ)157防火墻的相關(guān)知識(shí)防火墻的分類包過濾技術(shù)應(yīng)用代理技術(shù)狀態(tài)檢測(cè)技術(shù)防火墻的工作模式路由模式透明模式混合模式158防火墻的相關(guān)知識(shí)防火墻的分類158防火墻技術(shù)--弱點(diǎn)和局限性防火墻防外不防內(nèi)；防火墻難于管理和配置，易造成安全漏洞；很難為用戶在防火墻內(nèi)外提供一致的安全策略；防火墻只實(shí)現(xiàn)了粗粒度的訪