全國計算機等級考試《三級信息安全技術(shù)》專用教材【考綱分析＋考點精講＋真題演練】

目錄

考綱分析4

考點精講4

考點1信息技術(shù)及其發(fā)展階段4

2RHI5

1.2信息安全保障基礎(chǔ)6

考點1信息安全發(fā)展的主要階段6

點2息安的含乂7

考點3信息系統(tǒng)面臨的安全風(fēng)險8

考點4信息安全問題產(chǎn)生根源9

5彳【??ii*、,I二彳＞/一口彳/t[????????????????????????????????????????????????????????????????????????????????????????????????????????????????

考點6信息安全技術(shù)9

考點2信息系統(tǒng)安全模型與技術(shù)框架11

1?4彳JI3息、????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????13

考點1國內(nèi)外信息安全保障工作概況13

考點2信息安全保障工作的內(nèi)容15

2彳口4c幣出才t?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????18

考組分析18

木育"^1：?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????18

1亡￡7^^???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????1

考點1對稱密碼與非對稱密碼18

考點2哈希函數(shù)36

7^^：???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????8

,1、1lEE

+：&、二彳＞uE??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????^5^)

|^J????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

考點1訪問控制模型53

考點2訪問控制技術(shù)57

X11I.????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

考點1審計和監(jiān)控基礎(chǔ)62

考點2審計和監(jiān)控技術(shù)64

第3章系統(tǒng)安全66

-Z^*?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????66

AA?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????66

3?1????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????66

1而出66

!條、2彳乍

3.2數(shù)據(jù)庫安全93

考點2數(shù)據(jù)庫安全實踐107

第4章網(wǎng)絡(luò)安全112

考綱分析112

考點精講112

4.1網(wǎng)絡(luò)安全基礎(chǔ)112

考點ITCP/IP協(xié)議架構(gòu)112

考點2網(wǎng)絡(luò)協(xié)議113

4.2網(wǎng)絡(luò)安全威脅技術(shù)119

考點1掃描技術(shù)119

考點2網(wǎng)絡(luò)嗅探122

考點3網(wǎng)絡(luò)協(xié)議欺騙123

考點4誘騙式攻擊126

考點5軟件漏洞攻擊利用技術(shù)129

考點6拒絕服務(wù)攻擊130

考點7Web腳本攻擊133

考點8遠(yuǎn)程控制136

4.3網(wǎng)絡(luò)安全防護(hù)技術(shù)138

考點1防火墻138

考點2入侵檢測系統(tǒng)和入侵防御系統(tǒng)147

考點3PKI153

考點4VPN158

考點5網(wǎng)絡(luò)安全協(xié)議16s

第5章應(yīng)用安全172

考綱分析172

考點精講172

5.1軟件漏洞172

考點1軟件漏洞的概念和特點172

考點2軟件漏洞的分類173

考點3漏洞庫174

考點4常見的軟件漏洞176

考點5軟件漏洞利用及其防護(hù)技術(shù)181

考點6軟件漏洞的發(fā)展趨勢186

5.2軟件安全開發(fā)186

考點1軟件開發(fā)生命周期186

考點2軟件安全開發(fā)187

考點3軟件安全開發(fā)生命周期189

5.3軟件安全檢測192

考點1軟件靜態(tài)安全檢測技術(shù)192

考點2軟件動態(tài)安全檢測技術(shù)194

考點3軟件動靜結(jié)合安全檢測技術(shù)196

5.4軟件安全保護(hù)196

考點1軟件安全保護(hù)的基本概念196

考點2基于軟件技術(shù)的軟件安全保護(hù)技術(shù)197

考點3基于硬件介質(zhì)的軟件安全保護(hù)技術(shù)199

5.5惡意程序200

考點1惡意程序的分類200

考點2惡意程序的傳播方式和破壞功能202

考點3惡意程序檢測查殺技術(shù)203

考點4惡意程序的防范204

5.6Web應(yīng)用系統(tǒng)安全205

考點1web安全威脅205

考點2Web安全防護(hù)209

考點3Web安全檢測210

第6章信息安全管理211

考綱分析211

考點精講211

6.1信息安全管理體系211

考點1建立信息安全管理框架211

考點2ISMS構(gòu)架的具體實施212

考點3信息安全管理體系審核213

考點4信息安全管理體系評審215

考點5信息安全管理體系認(rèn)證216

6.2信息安全風(fēng)險管理217

考點1關(guān)于風(fēng)險管理217

考點2風(fēng)險識別217

考點3風(fēng)險評估219

考點4風(fēng)險控制策略221

6.3信息安全管理措施223

考點1基本安全管理措施223

考點2重要安全管理過程232

第7章信息安全標(biāo)準(zhǔn)與法規(guī)239

考綱分析239

考點精講239

7.1信息安全標(biāo)準(zhǔn)239

考點1安全標(biāo)準(zhǔn)化概述239

考點2信息安全標(biāo)準(zhǔn)化組織239

考點3信息安全評估標(biāo)準(zhǔn)239

考點4等級保護(hù)標(biāo)準(zhǔn)241

考點5等級保護(hù)基本要求242

7.2信息安全相關(guān)法規(guī)與國家政策243

考點1我國信息網(wǎng)絡(luò)安全面臨的挑戰(zhàn)243

考點2現(xiàn)行的重要信息安全法規(guī)243

考點3信息安全國家政策251

7.3信息安全從業(yè)人員道德規(guī)范255

第1章信息安全保障概述

考綱分析

1.信息安全保障的內(nèi)涵和意義。

2.信息安全保障的總體思路和基本實踐方法。

考點精講

1.1信息安全保障背景

考點1信息技術(shù)及其發(fā)展階段

(I)信息相關(guān)概念

①信息與消息消息是信息的外殼，信息則是消息的內(nèi)核；消息是信息的籠統(tǒng)概念，信息則是消息的精確概念。

②信息與信號

信號是信息的載體，信息則是信號所承載的內(nèi)容。

③信息與數(shù)據(jù)

數(shù)據(jù)是記錄信息的一種形式，同樣的信息也可以用文字或圖像來表述。

④信息與情報情報是指秘密的、專門的一類信息，所有的情報都是信息，但信息并不一定是情

報。

⑤信息與知識知識是從信息中抽象出的產(chǎn)物，是一種具有普遍和概括性的信息，是信息的一個特

殊子集。

⑥信息技術(shù)

a.定義信息技術(shù)是能夠延伸或擴展人的信息能力的手段和方法。此處信息技術(shù)是指在計算機技術(shù)和通信技術(shù)

的支持

下，用于獲取、傳輸、處理、存儲、顯示和應(yīng)用文字、數(shù)值、圖像、視頻、音頻等信息，并且包括提供設(shè)備和信

息服務(wù)的方法和設(shè)備的總稱。

b.分類

信息技術(shù)包括生產(chǎn)和應(yīng)用兩個方面：第一，信息技術(shù)的生產(chǎn)體現(xiàn)在信息技術(shù)產(chǎn)業(yè)，包括計算

機軟硬件、電信設(shè)備、微電子生產(chǎn)等；第二，信息技術(shù)的應(yīng)用體現(xiàn)在信息技術(shù)的擴散上，包

括信息服務(wù)、管理信息系統(tǒng)等。c.核心

微電子技術(shù)、通信技術(shù)、計算機技術(shù)、網(wǎng)絡(luò)技術(shù)。

(2)信息技術(shù)的產(chǎn)生與發(fā)展階段

①電訊技術(shù)的發(fā)展

a.1835年莫爾斯(Morse)發(fā)明了電報。

b.1837年莫爾斯電磁式有線電報問世。

c.1878年人工電話交換局出現(xiàn)。

d.1886年，馬可尼發(fā)明了無線電報機。

e.1876年，貝爾(Bell)發(fā)明了電話機。

f.1892年，史瑞橋自動交換局設(shè)立。

g.1912年美國Emerson公司制造出世界上第一臺收音機。

h.1925年，英國人約翰?貝德發(fā)明了世界上第一臺電視機。

i.如今，微波通信、激光通信、電報、廣播、電視、傳真和衛(wèi)星通信等相繼問世，使信息開發(fā)利用趨向全

球化、多樣化、綜合化。

②計算機技術(shù)的發(fā)展

a.1936年，英國數(shù)學(xué)家圖靈(Turing)創(chuàng)造了圖靈機理論。

b.1937年，香農(nóng)發(fā)表的《繼電器和開關(guān)電路的符號分析》碩士論文，奠定了計算機二進(jìn)制基礎(chǔ)。

c.1946年2月140,世界上第一臺現(xiàn)代電子計算機“埃尼阿克（ENIAC）”誕生。

d.20世紀(jì)50年代末，第一代電子管計算機應(yīng)用于軍事科研過程的信息處理。

e.20世紀(jì)60年代中期，第二代晶體管計算機向民用企業(yè)轉(zhuǎn)移。

f.20世紀(jì)60年代末，集成電路和大規(guī)模集成電路計算機接踵而至。

③互聯(lián)網(wǎng)的使用

a.發(fā)展

第一，20世紀(jì)60年代末第一個用于軍事目的的計算機網(wǎng)絡(luò)ARPAnet出現(xiàn)。ARPAnet研究產(chǎn)生的一項非常重

要的成果就是TCP/IP協(xié)議（TransmissionControlProtoeol/IntemetFYotocol）,即傳輸控制協(xié),議/互聯(lián)協(xié)議，使得連

接到網(wǎng)絡(luò)上的所有計算機能夠相互交流信息。

第二，20世紀(jì)90年代計算機網(wǎng)絡(luò)發(fā)展成為全球性網(wǎng)絡(luò)因特網(wǎng)（Internet）,在這一階段中，電信、電話、

電視、計算機、互聯(lián)網(wǎng)絡(luò)等連接起來，實現(xiàn)了多媒體傳輸。

b.范圍目前為止，幾乎每個國家都與國際互聯(lián)網(wǎng)有關(guān)聯(lián)，從電子郵件到互層網(wǎng)的全部功能都得以開

發(fā)利用。

【真題演練】

下列關(guān)于信息的說法（）是錯誤的，［2014年3月真題］

A.信息是人類社會發(fā)展的重要支柱B.信息本身是無形的

C.信息具有價值，需要保護(hù)

D.信息可以以獨立形態(tài)存在

【答案】D

考點2信息技術(shù)的影響

（1）積極影響

①對社會發(fā)展的影響

a.加速了社會生產(chǎn)力的發(fā)展和人們生活質(zhì)量的提高?？茖W(xué)技術(shù)是第一生產(chǎn)力。人類社會正在從工業(yè)社會步

入信息社會。信息資源繼物質(zhì)和能源之后將成為信息化社會最主要的支柱之一。b,減少地域差別和經(jīng)濟(jì)發(fā)展造

成的差異。c.促進(jìn)不同國家、不同民族之間的文化交流與學(xué)習(xí)，還使文化更加開放化和大眾化。

②對科技進(jìn)步的影響

a.解決科學(xué)難題計算機技術(shù)的應(yīng)用使得原本用人工需要花幾十年甚至上百年才能解決的狂雜計算，用計算機

可能幾分鐘就能

完成；應(yīng)用計算機仿真技術(shù)可以模擬現(xiàn)實中可能出現(xiàn)的各種情況，便于驗證各種科學(xué)假設(shè)。b.促進(jìn)尖端技術(shù)發(fā)

展以微電子技術(shù)為核心的信息技術(shù)，帶動了空間開發(fā)、新能源開發(fā)和生物工程等一批尖端技術(shù)的發(fā)展。

c.促進(jìn)新興學(xué)科的發(fā)展信息技術(shù)在基礎(chǔ)學(xué)科中的應(yīng)用及與其他學(xué)科的融合促進(jìn)了新興學(xué)科（如計算物理、計

算化學(xué)等）和交叉學(xué)科

（如人工智能、電子商務(wù)等）的產(chǎn)生和發(fā)展。

③對人類生活的影響

a.工作方式的轉(zhuǎn)變

一部分人可以由原來的按時定點上班變?yōu)榭梢栽诩抑猩习啵W(wǎng)上看病、網(wǎng)上授課、網(wǎng)上學(xué)習(xí)、網(wǎng)上會議、網(wǎng)

上購物、網(wǎng)上洽談生意、網(wǎng)上娛樂等正在成為一種新型的生活方式。b.學(xué)習(xí)方式的轉(zhuǎn)

變網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)在教學(xué)上的應(yīng)用，使得人們的學(xué)習(xí)方式更靈活，內(nèi)容更豐

富。

（2）消極影響

①信息泛濫一方面是信息急劇增長，另一方面是人們消耗了大量的時間卻找不到有用的信息。信息的增長速度

超出了人

們的承受能力，導(dǎo)致信息泛濫的出現(xiàn)。

②信息污染

一些錯誤信息、虛假信息、污穢信息等混雜在各種信息資源中，如果人們不加分析，便容易上當(dāng)受騙。

③信息犯罪一些不法分子利用信息技術(shù)手段及信息系統(tǒng)本身的安全漏洞進(jìn)行犯罪活動，如信息竊取、信息欺詐、

信息攻

擊和破壞等，信息安全己成為日益突出的問題。

1.2信息安全保障基礎(chǔ)

考點1信息安全發(fā)展的主要階段

（I）通信保密階段

①時間：起源于20世紀(jì)40年代的通信保密

②關(guān)注點：信息在通信過程中的安全性問題，即“機密性”。密碼學(xué)是確?！皺C密性”的核心技術(shù)。

（2）計算機安全階段

①20世紀(jì)60年代和70年代計算機安全的概念開始逐步得到推行，安全操作系統(tǒng)設(shè)計技術(shù)得以被采用。主

要開展了Adept-50和Multics操作系統(tǒng)上的安全研究工作。

②20世紀(jì)70年代是計算機安全的奠基時代。a.用途：軍事和科

研b.成果：提出了強制訪問控制策略和自主訪問控制策略c.重

要工作：訪問控制矩陣，HRU模型，BLP模型，BIBA模型

③20世紀(jì)80年代的標(biāo)志性特征之一是計算機安全的標(biāo)準(zhǔn)化工作。

a.安全劃分

計算機系統(tǒng)的安全劃分為A、B（Bl、B2、B3）、C（Cl、C2）、D共四個等級七個級別，等級由A到D依

次降低。

b.各國成果

《H信計算機系統(tǒng)評估準(zhǔn)則》（TCSEC,也稱為橘皮書）；TNLTDI等TCSEC解釋性評估標(biāo)準(zhǔn)；信息技術(shù)

安全評估準(zhǔn)則（ITSEC）；可信計算機產(chǎn)品評價準(zhǔn)則（CTCPEC）；信息技術(shù)安全聯(lián)邦標(biāo)準(zhǔn)（FC）；信息技術(shù)安全

性評估通用準(zhǔn)則（CC：ISO15408）；GB/T18336：2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》。

（3）信息安全保障階段

①概念

信息安全保障階段關(guān)注“預(yù)警、保護(hù)、檢測、響應(yīng)、恢復(fù)、反擊”整個過程,信息安全保障強調(diào)保護(hù)、檢測、

反應(yīng)和恢復(fù)這四種能力，圍繞人員、技術(shù)和管理這三個層面，以支持機構(gòu)的任務(wù)和職能為目標(biāo)，注重體系建設(shè)，

強化組織與協(xié)調(diào)功能。

②時間：20世紀(jì)90年代以后開始倡導(dǎo)信息保障（InfonnationAssurance,IA）。

③模型

a.“信息安全保障體系”（IA）

"保護(hù)（Protection）-監(jiān)測（Detection）晌應(yīng)（Response）”三環(huán)節(jié)動態(tài)模型，即PDR模型。后來增加了恢

復(fù)（Restore）,變?yōu)镻DRR模型。

b.由我國專家在1999年提出的更為完善的“保護(hù)-預(yù)警（Warning）-監(jiān)測?應(yīng)急?恢復(fù)-反擊（Counter-Attack）”

即PWDRRC模型。

④相關(guān)文件：BS7799/ISO17799管理文件。

【真題演練】

1.信息安全經(jīng)歷了三個發(fā)展階段，以下（）不屬于這三個發(fā)展階段。［2015年3月真題］

A.通信保密階段

B.加密機階段C.信息安全

階段D.安全保障階段

【答案】B

2.，'言息安全在通信保密階段對信息安全的關(guān)注局限在（）安全屬性。2014年3月真題］

A.不可否認(rèn)性

B.可用性

C.保密性D.完整

性

【答案】C

3.信息安全在通信保密階段中主要應(yīng)用于（）領(lǐng)域。［2014年9月真題］

A.軍事

B.商業(yè)

C.科研

D.教育

【答案】A

4.安全保障階段中將信息安全體系歸結(jié)為四個主要環(huán)節(jié)，下列（）是正確的。［2015年3月真題］

A.策略、保護(hù)、響應(yīng)、恢復(fù)

B.加密、認(rèn)證、保護(hù)、檢測C.策略、網(wǎng)絡(luò)攻防、密碼學(xué)、備

份D.保護(hù)、檢測、響應(yīng)、恢更

【答案】D

考點2信息安全的含義

<1）定義

①國際標(biāo)準(zhǔn)化組織（ISO）給出的定義信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)

計算機硬件、軟件數(shù)據(jù)不因偶然或者

惡意的原因而遭到破壞、更改和泄露。

②國內(nèi)對信息安全的定義信息安全是信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡

意的原因而遭到破壞、更

改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，信息服務(wù)不中斷。

（2）兩層含義

①運行系統(tǒng)的安全

包括嚴(yán)格而科學(xué)的管理；規(guī)章制度的建立、落實與完善；管理人員的責(zé)任心、預(yù)見性、警惕性等；法律、政

策的保護(hù)；物理控制安全；硬件運行安全；操作系統(tǒng)安全；災(zāi)害、故障恢復(fù)；死鎖的避免和解除；防止電磁信息

泄露等。

②系統(tǒng)信息的安全

包括用戶口令鑒別；用戶存取權(quán)限控制；數(shù)據(jù)存取權(quán)限、方式控制；審計跟蹤；數(shù)據(jù)加密等。

（3）五個基本屬性

①完整性是指信息在存儲和傳輸過程中保持未經(jīng)授權(quán)不能改變的特性，即保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法

用戶篡

改；

②機密性是指信息不被泄露給未經(jīng)授權(quán)者的特性：

③可用性是指信息可被授權(quán)者訪問并按需求使用

的特性；

④可控制性是指對信息的傳播和內(nèi)容具有控制能

力的特性；

⑤不可否認(rèn)性也稱不可抵賴性，即所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作

和承諾。

【真題演練】

1.根據(jù)ISO的信息安全定義，下列選項中（）是信息安全三個基本屬性之一。［2014年9月真題］

A.真實性

B.可用性C.可審

計性D.可靠性

【答案】B

2.為了數(shù)據(jù)傳輸時不發(fā)生數(shù)據(jù)截獲和信息泄密，采取了加密機制。這種做法體現(xiàn)了信息安全的（）屬

性。［2015年3月真題］

A.保密性

B.完整性

C.可靠性

D.可用性

【答案】A

3.定期對系統(tǒng)和數(shù)據(jù)進(jìn)行備份，在發(fā)生災(zāi)難時進(jìn)行恢復(fù)。該機制是為了滿足信息安全的（）屬性。［2014

年3月真題］

A.真實性B.完整

性C.不可否認(rèn)性

D.可用性

【答案】D

考點3信息系統(tǒng)面臨的安全風(fēng)險

（1）信息泄露

信息被泄露或透露給非授權(quán)的實體。

（2）破壞信息的完整性在未授權(quán)的情況下數(shù)據(jù)被增刪、修改或破壞而受到損失。

（3）拒絕服務(wù)

停止服務(wù)，阻止對信息或其他資源的合法訪問。

（4）非授權(quán)訪問

沒有預(yù)先經(jīng)過同意使用網(wǎng)絡(luò)或計算機資源。

（5）授權(quán)侵犯

利用授權(quán)將權(quán)限用于其他非法目的，也稱作“內(nèi)部攻擊”。

（6）業(yè)務(wù)流分析

通過對系統(tǒng)進(jìn)行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)

行研究，從中發(fā)現(xiàn)有價值的信息和規(guī)律。

（7）竊聽借助于相關(guān)設(shè)備和技術(shù)手段竊取系統(tǒng)中的信息資源和敏感信息。例如，對通信線路中傳輸信號搭

線監(jiān)聽，或

者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄漏截取有用信息等。

（8）物理侵入侵入者繞過物理控制而獲得對系統(tǒng)的訪問。例如，旁路控制是指攻擊者利用系統(tǒng)的安全缺陷

或安全性上的脆

弱之處獲得非授權(quán)的權(quán)利或特權(quán)，繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。

（9）惡意代碼計算機病毒、木馬、蠕蟲等破壞計算機系統(tǒng)或竊取計算機中敏感

數(shù)據(jù)的代碼。

（10）假冒和欺詐

通過欺騙通信系統(tǒng)（或用戶）使得非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶。

（11）抵賴否認(rèn)自己曾經(jīng)發(fā)布過的消息，偽造對方來信

等。

（12）重放攻擊

又稱重播攻擊、回放攻擊，是指基于非法的目的，攻擊者發(fā)送一個目的主機已接收過的包，來達(dá)到欺騙系統(tǒng)

的目的。重放攻擊主要用于身份認(rèn)證過程，破壞認(rèn)證的正確性。

(13)陷阱門

通常是編程人員在設(shè)計系統(tǒng)時有意建立的進(jìn)入手段。當(dāng)程序運行時，在正確的時間按下正確的犍，或提供正

確的參數(shù)，就能繞過程序提供的正常安全檢查和錯誤跟蹤檢查。

(14)媒體廢棄從廢棄的磁碟或打印過的存儲介質(zhì)中獲得敏

感信息。

(15)人員不慎

授權(quán)的人為了各種利益或由于粗心，將信息泄露給非授權(quán)的人。

考點4信息安全問題產(chǎn)生根源

(1)信息安全內(nèi)因：信息系統(tǒng)的復(fù)雜性

①信息系統(tǒng)的定義

信息系統(tǒng)(InformationSystem)是由人、計算機及其他外圍設(shè)備等組成的，用于信息收集、傳遞、存儲、加

工、維護(hù)和使用的系統(tǒng)。

②信息系統(tǒng)本身是脆弱的原因a.組成網(wǎng)絡(luò)的通信和信息系

統(tǒng)的自身缺陷。b.互聯(lián)網(wǎng)的開放性。

(2)信息安全的外因：人為的和環(huán)境的威脅

①人為原因。

②自然環(huán)境的原因。

考點5信息安全的地位和作用

(1)信息安全是網(wǎng)絡(luò)時代國家生存和民族振興的根本保障

①信息安全是21世紀(jì)經(jīng)濟(jì)安全、國家安全和民族振興的首要條件。國家安全與經(jīng)濟(jì)安全越來越不可分割，

而經(jīng)濟(jì)安全越來越依賴信息基礎(chǔ)設(shè)施的安全，依靠信息資源的安全。

②信息安全是21世紀(jì)國家生存的前提條件。

(2)信息安全是信息社會健康發(fā)展和信息革命成功的關(guān)鍵因素。

(3)信息安全是網(wǎng)絡(luò)時代人類生存和文明發(fā)展的基本條件。

考點6信息安全技術(shù)

(1)密碼技術(shù)

①密碼技術(shù)主要包括密碼算法和密碼協(xié)議的設(shè)計與分析技術(shù)。

②密碼分析技術(shù)是指在獲得一些技術(shù)或資源的條件下破解密碼算法或密碼協(xié)設(shè)的技術(shù)。密碼分析可被密碼設(shè)

計者用于提高密碼算法和協(xié)議的安全性，也可被惡意的攻擊者利用。

(2)標(biāo)識與認(rèn)證技術(shù)

①定義在信息系統(tǒng)中出現(xiàn)的主體包括人、進(jìn)程和系統(tǒng)等實體。從信息安全的角度看，需要對實體進(jìn)行標(biāo)識和身

份鑒

別，這類技術(shù)稱為標(biāo)識與認(rèn)證技術(shù)。

②實例

口令技術(shù)、公鑰認(rèn)證技術(shù)、在線認(rèn)證服務(wù)技術(shù)、生物認(rèn)證技術(shù)與公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastruclure,

PKI)技術(shù)等。

(3)授權(quán)與訪問控制技術(shù)

①授權(quán)

為了使得合法用戶正常使用信息系統(tǒng)，需要給已通過認(rèn)證的用戶授予相應(yīng)的操作權(quán)限，這個過程被稱為授權(quán)。

②授權(quán)技術(shù)在信息系統(tǒng)中，可授權(quán)的權(quán)限包括讀/寫文件、運行程序和訪問網(wǎng)絡(luò)等，實施和管理這些權(quán)限的

技術(shù)稱為授

權(quán)技術(shù)。

③實例

訪問控制技術(shù)和授權(quán)管理基礎(chǔ)設(shè)施技術(shù)。

(4)網(wǎng)絡(luò)與系統(tǒng)攻擊技術(shù)

①定義：指攻擊者利用信息系統(tǒng)弱點破壞或非授權(quán)地侵入網(wǎng)絡(luò)和系統(tǒng)的技術(shù)。

②實例

網(wǎng)絡(luò)與系統(tǒng)調(diào)查、口令攻擊、拒絕服務(wù)攻擊(DenialofServices,DoS)＞線沖區(qū)溢出攻擊等。

(5)網(wǎng)絡(luò)與系統(tǒng)安全防護(hù)與應(yīng)急響應(yīng)技術(shù)實例：防火墻

和入侵檢測技術(shù)。

(6)安全審計與責(zé)任認(rèn)定技術(shù)

(7)主機系統(tǒng)安全技術(shù)

①主機系統(tǒng)的定義：主要包括操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等。

②主機系統(tǒng)安全技術(shù)的定義操作系統(tǒng)需要保護(hù)所管理的軟硬件、操作和資源等的安全，數(shù)據(jù)庫需要保護(hù)業(yè)務(wù)

操作、數(shù)據(jù)存儲等的安全，

這些安全技術(shù)稱為主機系統(tǒng)安全技術(shù)。

(8)網(wǎng)絡(luò)系統(tǒng)安全技術(shù)在基于網(wǎng)絡(luò)的分布式系統(tǒng)或應(yīng)用中，信息需要在網(wǎng)絡(luò)中傳輸，用戶需要利用網(wǎng)絡(luò)登

錄并執(zhí)行操作，因此需要

相應(yīng)的信息安全措施，這些安全技術(shù)稱為網(wǎng)絡(luò)系統(tǒng)安全技術(shù)。

(9)惡意代碼檢測與防范技術(shù)

(10)信息安全測評技術(shù)信息安全測評是指對信息安全產(chǎn)品或信息系統(tǒng)的安全性等進(jìn)行驗證、測試、評價和

定級，以規(guī)范它們的安全

特性。

(11)安全管理技術(shù)

包括安全管理制度的制定、物理安全管理、系統(tǒng)與網(wǎng)絡(luò)安全管理、信息安全等級保護(hù)及信息資產(chǎn)的風(fēng)險管理

等。

1.3信息安全保障體系

考點1信息安全保障體系框架

(1)概念

信息系統(tǒng)安全保障是指在信息系統(tǒng)的整個生命周期中，通過分析信息系統(tǒng)的風(fēng)險，制定并執(zhí)行相應(yīng)的安全保

障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的機密性、完整性和可用性，降低

安全風(fēng)險到可接受的程度，保障信息系統(tǒng)能夠?qū)崿F(xiàn)組織機構(gòu)的使命。

(2)框架圖

信息安全保障體系框架如圖1-1所示。

圖信息安全保障體系框架

(3)目的

不僅要保護(hù)信息和資產(chǎn)的安全，還要通過保障信息系統(tǒng)安全來保障信息系統(tǒng)所支持的業(yè)務(wù)安全。

(4)信息系統(tǒng)安全保障的三個方面

①生命周期

信息系統(tǒng)安全保障應(yīng)貫穿信息系統(tǒng)的整個生命周期，包括規(guī)劃組織、開發(fā)采購、實施交付、運行維護(hù)和廢棄

等5個階段，以獲得信息系統(tǒng)安全保障能力的持續(xù)性。

②保障要素

a.在安全技術(shù)上，不僅要考慮具體的產(chǎn)品和技術(shù)，而且要考慮信息系統(tǒng)的安全技術(shù)體系架構(gòu)。b.在安全

管理上，不僅要考慮基本安全管理實踐，而且要結(jié)合組織或機構(gòu)的特點建立相應(yīng)的安全保障管理

體系，形成長效和持續(xù)改進(jìn)的安全管理機制。

c.在安全工程上，不僅要考慮信息系統(tǒng)建設(shè)的最終結(jié)果，而且要結(jié)合系統(tǒng)工程的方法，注重工程過程各個

階段的規(guī)范化實施。

d.在人員安全上，要考慮與信息系統(tǒng)相關(guān)的所有人員，包括規(guī)劃者、設(shè)計者、管理者、運營維護(hù)者、評估

者、使用者等的安全意識以及安全專業(yè)技能和能力等。

③安全特征

a.實現(xiàn)

它通過風(fēng)險識別、風(fēng)險分析、風(fēng)險評估、風(fēng)險控錨等風(fēng)險管理活動，降低信息系統(tǒng)的風(fēng)險，從而實現(xiàn)信息系

統(tǒng)機密性、完整性和可用性的安全保障。

b.職責(zé)

保障信息系統(tǒng)安全不僅要滿足系統(tǒng)所有者的安全需求，而且要滿足國家相關(guān)法律、政策的要求，需要為其他

機構(gòu)或者個人提供保密、公共安全和國家安全等社會職責(zé)。

考點2信息系統(tǒng)安全模型與技術(shù)框架

(1)P2DR安全模型

①P2DR模型是動態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動態(tài)安全模型的雛形。P2DR模型如圖1-2所示。

②P2DR安全模型的四個主要部分

a.策略

策略是模型的核心，所有的防護(hù)、檢測和響應(yīng)都是依據(jù)安全策略實施的。網(wǎng)絡(luò)安全策略通常由總體安全策略

和具體安全策略組成。

b.防護(hù)防護(hù)是根據(jù)系統(tǒng)可能出現(xiàn)的安全問題而采取的預(yù)防措施。

第一，實現(xiàn)：這些措施通過傳統(tǒng)的靜態(tài)安全技術(shù)實現(xiàn)。

第二，內(nèi)容：通常包括數(shù)據(jù)加密、身份認(rèn)證、訪問控制、授權(quán)和虛擬專用網(wǎng)技術(shù)、防火墻、安全掃描和數(shù)據(jù)

備份等。

c.險測當(dāng)攻擊者穿透防護(hù)系統(tǒng)時，檢測功能就會發(fā)揮作用，與防護(hù)系統(tǒng)形成互補。檢測是動態(tài)響應(yīng)的依據(jù)。

d.響應(yīng)系統(tǒng)一旦檢測到入侵，響應(yīng)系統(tǒng)就開始工作，進(jìn)行事件處理。響應(yīng)包括緊急響應(yīng)和恢復(fù)處理，恢復(fù)處

理包括

系統(tǒng)恢復(fù)和信息恢及。

③公式

a.P2DR模型可以用下面典型的數(shù)學(xué)公式來表達(dá)安全的要求

Pt>Dt+Rt(1)

第一，R表示系統(tǒng)為了保護(hù)安全目標(biāo)設(shè)置各種保護(hù)后的防護(hù)時間，或者理解為在這樣的保護(hù)方式下，黑客(入

侵者)攻擊安全目標(biāo)所花費的時間；

第二，Dt代表從入侵者開始發(fā)動入侵開始，到系統(tǒng)能夠檢測到入侵行為所花費的時間：

第三，Rt代表從發(fā)現(xiàn)入侵行為開始，到系統(tǒng)能夠做出足夠的響應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時間。

b.典型公式的擴展

F<=Dt+Rt(Pt=0)(2)

第一，公式(2)的前提是假設(shè)防護(hù)時間R為0。

第二，Dt代表從入侵者破壞了安全目標(biāo)系統(tǒng)開始，到系統(tǒng)能夠檢測到破壞行為所花費的時間。第三，

R,代表從發(fā)現(xiàn)遭到破壞開始，到系統(tǒng)能夠做出足夠的相應(yīng)，將系統(tǒng)調(diào)整到正常狀態(tài)的時間。第四，D(與

R,的和是安全目標(biāo)系統(tǒng)的暴露時間E”針對于需要保護(hù)的安全目標(biāo)，E越小系統(tǒng)就越安全。

④全新的安全定義及時地檢測和響應(yīng)就是安全，及時地檢測和恢復(fù)就是安全。這樣的定義為安全問題的解決給

出了明確的方向：

提高系統(tǒng)的防護(hù)時間R，降低檢測時間D和響應(yīng)時間Rl0

⑤缺點

忽略了內(nèi)在的變化因素、系統(tǒng)本身安全免疫力的增強、系統(tǒng)和整個網(wǎng)絡(luò)的優(yōu)化以及人員這個系統(tǒng)中最重要角

色的素質(zhì)提升。

(2)信息保障技術(shù)框架

①概念

《信息保障技術(shù)框架》(InfbrmationAssuranceTechnicalFramework,IATF)是由美國國家安全局(NSA)制

定的描述信息保障的指導(dǎo)性文件。廣泛適用于政府和各行各業(yè)的信息安全保障工作。

②核心思想：縱深防御戰(zhàn)略(DefenseinEfeph)0a.定義：采用多層次的、縱

深的安全措施來保障用戶信息及信息系統(tǒng)的安全。b.核心因素：人員、技術(shù)

和操作c.三個主要層面:人員、技術(shù)和操作,如圖1-3所示。

網(wǎng)絡(luò)q基礎(chǔ)設(shè)施防翎

人費依光技術(shù)區(qū)域邊界防御

人員進(jìn)行操作1

11算環(huán)境防御

技術(shù)1

密鑰管管理基收幡(KMD；

操作

形成縱深支律性公鑰基咄設(shè)版(PKJ)

防御基礎(chǔ)設(shè)施

依浦勺響應(yīng)基他段班；

圖1-3縱深防御戰(zhàn)略的3個主要層面

③IATF的三個核心要素

人員、技術(shù)和操作，如表1?1所示。人即管理，管理在信息安全保障體系建設(shè)中同樣起著十分關(guān)鍵的作用。

可以說，技術(shù)是安全的基礎(chǔ)，管理是安全的靈魂。

表1-1IATF的核心要素

人員技術(shù)操作

培訓(xùn)縱深防御技術(shù)框架域分析

意識安全標(biāo)準(zhǔn)監(jiān)視

物理安全獲得IA/TA入侵檢測

人員安全風(fēng)險分析警告

系統(tǒng)安全管理證書與信任恢復(fù)

?IATF的4個技術(shù)框架焦點域

a.保護(hù)本地計算環(huán)境

第一，用戶需要保護(hù)內(nèi)部系統(tǒng)應(yīng)用和服務(wù)器，這包括在系統(tǒng)高端環(huán)境中，多種現(xiàn)有和新出現(xiàn)的應(yīng)用充分利用

識別與認(rèn)證訪問控制、機密性、數(shù)據(jù)完整性和不可否認(rèn)性等安全服務(wù)。

第二，安全目標(biāo)i.確保對客戶機、服務(wù)器和應(yīng)用實施充分的保護(hù)，以防止拒絕服務(wù)、數(shù)據(jù)未授權(quán)泄露和數(shù)

據(jù)更改；ii.無論客戶機、服務(wù)器或應(yīng)用位于某區(qū)域之內(nèi)或之外，都必須確保由其所處理的數(shù)據(jù)具有機密性和

完整性；

iii.防止未授權(quán)使用客戶機、服務(wù)器或應(yīng)用的情況；

iv.保障客戶機和服務(wù)器遵守安全配置指南并正確安裝了所有補??；V.對所有的客戶機與服務(wù)器的

配置管理進(jìn)行維護(hù)，跟蹤補丁和系統(tǒng)配置更改信息：vi.對于內(nèi)部和外部的受信任人員對系統(tǒng)從事違

規(guī)和攻擊活動具有足夠的防范能力。b.保護(hù)區(qū)域邊界

第一，為了從專用或公共網(wǎng)絡(luò)上獲得信息和服務(wù)，許多組織通過其信息基礎(chǔ)設(shè)施與這些網(wǎng)絡(luò)連接，這些組織

必須對其信息基礎(chǔ)設(shè)施實施保護(hù)。第二，目標(biāo)i.確信對物理和邏輯區(qū)域

進(jìn)行充分保護(hù)；ii.針對變化性的威脅采用動態(tài)抑制服務(wù)；

iii.確信在被保護(hù)區(qū)域內(nèi)的系統(tǒng)與網(wǎng)絡(luò)保持其可接受的可用性，并能夠完全防范拒絕服務(wù)攻擊：iv.確信在

區(qū)域之間或通過遠(yuǎn)程訪問所交換的數(shù)據(jù)受到保護(hù)，并且不會被不適宜地泄露：V.為區(qū)域內(nèi)由于技術(shù)或配置

問題無法自行實施保護(hù)的系統(tǒng)提供邊界保護(hù)；Vi.提供風(fēng)險管理方法，有選擇地允許重要信息跨區(qū)域邊界流

動；Vii.對被保護(hù)區(qū)域內(nèi)的系統(tǒng)和數(shù)據(jù)進(jìn)行保護(hù)，使之免受外部系統(tǒng)或攻擊的破壞；viii.針對用戶向區(qū)域

之外發(fā)送或接受區(qū)域之外的信息提供強認(rèn)證以及經(jīng)認(rèn)證的訪問控制。C.保護(hù)網(wǎng)絡(luò)及基礎(chǔ)設(shè)施第一，為維護(hù)

信息服務(wù)，并對公共的、私人的或保密的信息進(jìn)行保護(hù)，機構(gòu)必須保護(hù)其網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。第二，目標(biāo)

i.保證整個廣域網(wǎng)上交換的數(shù)據(jù)不會泄露給任何未獲授權(quán)的網(wǎng)絡(luò)訪問者；ii.保證廣域

網(wǎng)支持關(guān)鍵任務(wù)和支持?jǐn)?shù)據(jù)任務(wù)，防止受到拒絕服務(wù)攻擊：iii.防止受到保護(hù)的信息在發(fā)

送過程中的時延、誤傳或未發(fā)送；iv.保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施控制信息；V.確信保護(hù)機制不

受那些存在于其他授權(quán)樞紐或區(qū)域網(wǎng)絡(luò)之間的各種無縫操作的干擾。d.保護(hù)支撐性基礎(chǔ)

設(shè)施

第一，支撐性基礎(chǔ)設(shè)施是實現(xiàn)縱深防御的另一技術(shù)層面。它可為縱深防御策咯提供密鑰管理、檢測和響應(yīng)功

能。

第二，目標(biāo)i.提供支持密鑰、優(yōu)先權(quán)與證書管理的密碼基礎(chǔ)設(shè)施，并能夠識別使用網(wǎng)絡(luò)服務(wù)的個人；

ii.能夠?qū)θ肭趾推渌`規(guī)事件快速進(jìn)行檢測與響應(yīng)；iii.執(zhí)行計劃并報告持續(xù)性與重建方面的要

求。

【真題演練】

下列關(guān)于訪問控制主體和客觀的說法中，錯誤的是()。［2015年3月真題］

A.客觀是含有被訪問信息的被動實體B.主體是一個主體的實體，它提供對

客體中的對象或數(shù)據(jù)的訪問要求C.主體可以是能夠訪問信息的用戶、程序、

進(jìn)程D.一個對象或數(shù)據(jù)如果是主體，則其不可能是客體

【答案】D

1.4信息安全保障基本實踐

考點1國內(nèi)外信息安全保障工作概況

(1)美國

①1998年5月22H,美國頒布了《保尹美國關(guān)鍵基礎(chǔ)設(shè)施》總統(tǒng)令(PDD-63),首次提出信息保障的概念。

此后，美國國家安全局進(jìn)一步制定了《信息保障技術(shù)框架》(IATF),提出了縱深防御策略的思想。

②2002年9月，美國國家安全局頒布了IATF3.1版。

③2002年10月24日和2003年2月6日，美國國防部分別頒布了信息保障訓(xùn)令8500.1和8500.2o

④2002年7月16日，美國國防部公布了《國土安全國家戰(zhàn)略》，并于2003年2月14日配套出臺了《保護(hù)

網(wǎng)絡(luò)空間的國家戰(zhàn)略》，以實現(xiàn)保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施免遭網(wǎng)絡(luò)攻擊、降低網(wǎng)絡(luò)的脆弱性、縮短網(wǎng)絡(luò)攻擊發(fā)生后

的破壞和恢復(fù)時間這三大戰(zhàn)略目標(biāo)。

⑤2005年3月，美國國防部公布了《國防戰(zhàn)略報告》，明確將網(wǎng)絡(luò)空間和陸、海、空及太空定義為同等重要,

需要美國維持決定性優(yōu)勢的五大空間。

(2)俄羅斯

①1"5年，俄羅斯頒布了《聯(lián)邦信息化和信息保護(hù)法》。該法規(guī)強調(diào)了國家在建立信息資源和信息化中的責(zé)

任是旨在完成俄聯(lián)邦社會和經(jīng)濟(jì)發(fā)展的戰(zhàn)略、戰(zhàn)役任務(wù)，提供高效益、高質(zhì)量的信息保障創(chuàng)造條件。

②1997年，俄羅斯出臺的《俄羅斯國家安全構(gòu)思》明確指出：保障國家安全應(yīng)把保障經(jīng)濟(jì)安全放在第一位,

而信息安全又是經(jīng)濟(jì)安全的重中之重。

③2000年，普京總統(tǒng)批準(zhǔn)了《國家信息安全學(xué)說》，把信息安全正式作為一種戰(zhàn)略問題來考慮，并從理論與

實踐上加緊準(zhǔn)備，認(rèn)真探討進(jìn)行信息戰(zhàn)的各種措施。

④SORM-2系統(tǒng)，俄羅斯的安全部門使用了名為“操作與調(diào)查程序系統(tǒng)”的網(wǎng)絡(luò)監(jiān)視系統(tǒng)對互聯(lián)網(wǎng)信息進(jìn)行

監(jiān)視。

(3)日本

①日本從1999年開始制定國家信息通信技術(shù)發(fā)展戰(zhàn)略，并于1999年擬定了《21世紀(jì)信息通信構(gòu)想》和《信

息通信產(chǎn)業(yè)技術(shù)戰(zhàn)略》。

②2000年3月，日本政府對1996年制定的《21世紀(jì)信息通訊技術(shù)研究開發(fā)基本計劃》再次進(jìn)行了修改。日

本還加緊制定與信息安全相關(guān)的政策、法律和法規(guī)。

③2000年6月和12月，郵政省分別發(fā)布了《信息通信網(wǎng)絡(luò)安全可靠性基礎(chǔ)》和《IT安全政策指南》。

@2000年2月，日本在內(nèi)閣秘書處成立信息安全措施促進(jìn)辦公室。

⑤2000年2月，日本首相決定成立三個重要機構(gòu)：由每個政府部門或機構(gòu)委派的負(fù)責(zé)IT安全的首長組成的

“綜合安全保障閣僚會議”，旨在從安全保障的角度將信息、、經(jīng)濟(jì)、外交等政策統(tǒng)一起來，協(xié)調(diào)各有關(guān)行政機構(gòu)

的工作；另外兩個機構(gòu)分別是IT安全專家委員會和內(nèi)閣辦公室下的IT安全分局。

(§)2000年6月，日本通產(chǎn)省宣布放寬企業(yè)向國外提供網(wǎng)絡(luò)密碼技術(shù)的出口限制。

?2000年度，日本政府撥款24億日元，以通產(chǎn)省和郵政省為主，加緊研究開發(fā)提高計算機系統(tǒng)保密和安全

性能的技術(shù)，以便在2003年之前建成使用i-算機處理辦公事務(wù)的電子政府。

⑧2000年4月，日本通產(chǎn)省和郵政省成立了密碼技術(shù)評價委員會。

⑨2001年4月，日本開始實行安全測評認(rèn)證制度。

(4)韓國

①韓國情報通信部發(fā)表了《信息安全技術(shù)開發(fā)5年計劃》，計劃投資2777億元以產(chǎn)、學(xué)、研等形式共同開發(fā)

國內(nèi)信息安全核心技術(shù)。

②韓國情報通信部還決定投資巨資開發(fā)下一代能動型網(wǎng)絡(luò)信息保護(hù)系統(tǒng)。該系統(tǒng)可以在信息通信網(wǎng)受到網(wǎng)絡(luò)

攻擊時自動提供保護(hù)，是一種能夠擺脫信息通信網(wǎng)的安全漏洞，并將黑客或信息外流從源頭加以阻斷的世界高水

平的能動型信息保護(hù)系統(tǒng)。

(5)中國

①我國的信息安全保障體系建設(shè)始于2003年9月，中央頒布的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保

障工作的意見》(中辦發(fā)27號文件)提出要在5年內(nèi)建設(shè)中國信息安全保障體系。

②2006年上半年，公安部會同國務(wù)院信息辦在全國范圍內(nèi)開展了等級保護(hù)基礎(chǔ)調(diào)查。

③2006年下半年，在13個省區(qū)市和3個部委聯(lián)合開展了等級保護(hù)試點工作。

④2007年7月20日，“全國重要信息系統(tǒng)安全等級保護(hù)定級工作電視電話會議”召開，這標(biāo)志著信息安全

等級保護(hù)工作在全國范圍內(nèi)的開展與實施。

⑤2006年9月，科技部發(fā)布的《國家科技支撐計劃“十一五”發(fā)展綱要》提出了科技支撐發(fā)展的重要思想，

計劃要攻克一批關(guān)鍵技術(shù)，推動以我為主的相關(guān)國際標(biāo)準(zhǔn)、行業(yè)技術(shù)標(biāo)準(zhǔn)的制定，初步形成國家技術(shù)自主創(chuàng)新支

撐體系，提高我國信息產(chǎn)業(yè)核心技術(shù)自主開發(fā)能力和整體水平，初步建立有中國特色的信息安全保障體系。

⑥為了適應(yīng)信息安全和網(wǎng)絡(luò)安全的發(fā)展形勢，我國政府也制定了一系列管理辦法，包括《中華人民共和國計

算機安全保護(hù)條例》、《中華人民共和國商用密碼管理條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行

辦法》、《關(guān)于對國際聯(lián)網(wǎng)的計算機信息系統(tǒng)進(jìn)行備案工作的通知》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》

等。

⑦在刑法修正案中還增加了有關(guān)計算機犯罪的條款。

⑧在國家技術(shù)監(jiān)督局和相關(guān)主管部U的指導(dǎo)下，信息安全與網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品標(biāo)準(zhǔn)也陸續(xù)出臺，安全產(chǎn)品

檢測認(rèn)證機構(gòu)相繼成立。我國不僅成立了全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會信息技術(shù)安全分技術(shù)委員會；而且經(jīng)國

家技術(shù)監(jiān)督局和公安部授權(quán)，成立了公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心。

⑨我國信息安全保障的國家戰(zhàn)略目標(biāo)是：保證國民經(jīng)濟(jì)基礎(chǔ)設(shè)施的信息安全，抵御有關(guān)國家、地區(qū)、集團(tuán)可

能對我實施的信息戰(zhàn)的威脅，打擊國內(nèi)外的高技術(shù)犯罪，保障國家安全、社會穩(wěn)定和經(jīng)濟(jì)發(fā)展。

⑩信息安全戰(zhàn)略防御的重點任務(wù)是：保障國民經(jīng)濟(jì)中的國家關(guān)鍵基礎(chǔ)設(shè)施，包括金融、銀行、稅收、能源生

產(chǎn)儲備、糧油生產(chǎn)儲備、水電氣供應(yīng)、交通運輸、郵電通信、廣播電視、商業(yè)貿(mào)易等的安全。

考點2信息安全保障工作的內(nèi)容

（1）確定安全需求

①安全需求分析的依據(jù)：信息安全保障體系的結(jié)構(gòu)框架。

②信息安全保障體系的技術(shù)體系依據(jù)：信息安全的三維結(jié)構(gòu)和P2DR模型進(jìn)行安全需求分析。a.對三維結(jié)

構(gòu)中的各系統(tǒng)單元（即物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺）以及安全管理

面臨的安全風(fēng)險進(jìn)行識別和分析。

b.按照P2DR模型分別從策略、防護(hù)、檢測和響應(yīng)4個方面提出控制風(fēng)險的要求（即安全需求）。

（2）設(shè)計和實施安全方案

①依據(jù)：信息安全方案是保障信息安全的基礎(chǔ)，安全方案的設(shè)計與實施是以安全需求分析為依據(jù)的。

②制定原則a.綜合性、整體性原則。

b.需求、風(fēng)險、代價平衡的原則。

c.標(biāo)準(zhǔn)性原則。d.一致性原則。

e.分步實施原則。f.易操作性原則。

g.多重保護(hù)原則。

（3）進(jìn)行信息安全評測

①評估內(nèi)容a.系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性。

b.評估安全事件一旦發(fā)生可能造成的危害程度。c.提出有針對性

的抵御威脅的防護(hù)對策和整改措施。

d.為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，從而最大限度地為保障信息安全提供科學(xué)依

據(jù)。

②評估方式

a.配置核查評測人員在委托單位現(xiàn)場，根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時的安全配置參數(shù)。

b.工具測試

由資深評測人員采用自動化工具對被評估系統(tǒng)進(jìn)行漏洞檢測。

c.專家訪談

由資深評測人員到委托單位同信息安全主管、IT審計部門、開發(fā)部門及運維部門按調(diào)查模版要求進(jìn)行面對

面訪談。

d.資料審閱查閱信息系統(tǒng)建設(shè)、運維過程中的過程文檔、記錄，采用分時段系統(tǒng)查閱和有針對性抽樣查閱

的方法進(jìn)行。e.專家評議

組織行業(yè)專家運用恰當(dāng)?shù)娘L(fēng)險分析方法進(jìn)行集體會診評議。

③評估角度a.安全技術(shù)方面的評估

角度第一，物理安全；第二，網(wǎng)絡(luò)層

安全；第三，主機系統(tǒng)層安全；第四，

應(yīng)用層安全；

第五，數(shù)據(jù)安全。

b.安全管理方面的評估角度

第一，安全管理組織機構(gòu)：主要從崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等方面對安

全管理的級別進(jìn)行評估。

第二，安全管理制度：主要從管理制度本身以及對管理制度的制定和發(fā)布、評審和修訂等方面對安全管理制

度的級別進(jìn)行評估。

第三，人員安全管理：主要從人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)、第三方人員訪問管理

等方面對人員安全管理的級別進(jìn)行評估。

第四，系統(tǒng)建設(shè)管理：主要從系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購、自行軟件開發(fā)、外包軟件開發(fā)、工程實

施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、安全服務(wù)商選擇等方面對系統(tǒng)建設(shè)管理的級別進(jìn)行評估。

第五，系統(tǒng)運維管理：主要從環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)

安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等方面對

系統(tǒng)運維管理的級別進(jìn)行評估。

④評估流程：如圖14所示。

圖1-4信息安全風(fēng)險評估流程

（4）實施信息安全監(jiān)控

①概念

信息安全監(jiān)控是指對信息系統(tǒng)的黑客入侵、網(wǎng)站掛馬等行為進(jìn)行安全監(jiān)控，經(jīng)過內(nèi)部分析提交重大安全隱患

分析報告和安全態(tài)勢分析報告，以便在系統(tǒng)生命周期中持續(xù)提高信息系統(tǒng)安全俁