【信息安全工程】期末考试
附件
信息安全工程的实验报告
链接: https://pan.baidu.com/s/1fFeykV8HBbEEBw-fV4YFAQ 提取码: 16u7 复制这段内容后打开百度网盘手机App,操作更方便哦
题型
1、单选题:20题20分
2、填空题:10题10分
3、判断题:10题10分
4、简单题:3题30分
5、综合题:2题30分
第一章:信息安全工程基础
信息
定义
信息是能够用来消除随机不确定性的东⻄—香农
理解
信息是对客观世界中各种事物的运动状态和变化的反映,是客观事物之间相互联系和相互作用的表征,表现的是客观事物运动状态和变化的实质内容。
价值
当今人们正处在一个“信息时代”,信息如水,石油一样,成为我们维持正常生活必不可少的资 源,人类离不开信息。
信息安全
定义
网络空间安全的核心内涵是信息安全。
成因
内因:
信息技术与产业的空前繁荣,使我们需要重视信息的安全。
信息系统的复杂性,易导致错误。
结构复杂,容易让不法分子有机可乘。
外因:人为威胁与自然威胁
信息系统
构成:软件、硬件、数据、人、操作
功能:输入、储存、处理、输出、控制
目标
总体目标:保护信息不受到损害。确保业务连续性、缝风险最小化。投资和回报最大化。
基本目标:
三大属性安全:CIA 机密性、完整性、可用性
多层要素安全:
设备安全、数据安全、行为安全、内容安全
发展史
网络空间安全:人、物质世界、信息空间
通信 → 计算机 → 信息系统 → 信息安全保障 → CS/IA
信息安全保障
定义
对信息系统风险分析,制定安全策略,保障信息系统CIA,降低风险
理解、价值
信息系统安全保障模型的3个方面:保障要素、生命周期、安全特征。
生命周期
计划组织阶段→开发采购阶段→实施交付阶段→运行维护阶段→废弃阶段 (变更和反馈)
保障要素
技术、管理、工程、人员
目标
信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全保障技术框架(IATF)
纵深防御
技术框架焦点域
计算环境、区域边界、网络基础设施、支持性基础设施
信息安全工程
定义
信息安全工程是采用工程的概念、原理、技术和方法,来研究、开发、实施与维护信息系统安全的过程,它将经过时间证明是正确的工程实践流程、管理技术和当前能够得到的最好的技术方法相结合,来解决信息安全保障问题。
第二章:信息系统安全工程
信息系统安全工程(ISSE)
一项工程:系统工程
系统:信息系统:具有特定功能的有机整体
生命周期:计算环境、区域边界、网络基础设施、支持性基础设施
九大思想
目的:满足用户安全需求 2. 基础:系统风险分析 3. 指导:系统工程方法论
要素:技术、运行、人 5. 技术支撑:纵深防御 6.运行安全保证:生命期支持
安全管理基础:安全实践 8. 质量依据:测评认证 9. 质量保证:PDCA
六大功能
安全规划与控制、确定安全需求、支持安全设计、分析安全操作、支持安全生命周期、管理安全风险
五大过程
挖掘信息安全需求→定义信息系统安全→设计信息系统安全→实施信息系统安全→评估信息系统安全
第三章:信息安全工程能力成熟度模型
能力成熟度模型
框架
按成熟度分成5个级别:初始级、可重复级、已定义级、已管理级、优化级
每个成熟级别指示了这个级别所对应的过程能力,包含关键过程域(KPA),每个KPA代表一组相关工作,完成该目标认为该过程能力提高。
每个KPA的工作,以组织方式细化为一般特性(CF),由若干个关键实施KP组成,KP是软件过程的基础/结构
名词解释
CMM(Capability Maturity Model):能力成熟度模型
CMMI(Capability Maturity Model Integration):能力成熟度模型集成
SSE-CMM:系统安全能力成熟度模型
DMM:数据管理成熟度模型
CMMC(Cybersecurity Maturity Model Certification):网络安全成熟度模型
DCMM:数据管理能力成熟度评估模型
DSMM:数据安全能力成熟度模型
Level: 级别 ← CF: 一般特征 ←GP: 通用实施
Process: 过程 ← PC: 过程类别 ← PA: 过程域 ← BP: 基本实施
系统安全工程能力成熟度模型
结构
Level: 级别 ← CF: 一般特征 ←GP: 通用实施
Process: 过程 ← PC: 过程类别 ← PA: 过程域 ← BP: 基本实施PC:1.安全工程过程 + 2.项目过程 + 3.组织过程
安全工程过程: 1.风险过程 + 2.工程过程 + 3.保证过程
第四章:信息安全等级保护制度
网络安全等级保护制度
等保1.0→等保2.0
实施信息安全等级保护制度
- 有效地提高我国信息和信息系统安全建设的整体水平。
- 有利于实现保障信息安全与信息化建设相协调,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。
实施网络安全等级保护制度
- 实现国家对重要信息系统、网络重点的保护;促进信息化、维护国家信息安全;是事关国家安全、社会稳定、公共利益的基础性工作。
- 有效解决我国信息安全面临的威胁和存在的主要问题,加强网络安全管理,有效提高我国信息安全
保障工作的整体水平。 - 有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全
建设成本。 - 有利于优化信息安全资源的配置,保障重要信息系统的安全
- 有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展和网络强国发展的信
息安全模式。
保护对象
基础信息网络、云计算、大数据、物联网、工业控制系统和采用移动互联技术的系统等
保护流程
定级备案→安全建设→等级测评→安全整改 (监督检查)
保护要求
通用要求:一个中心,三重防护
扩展要求:云计算、移动互联、物联网、工控
保护流程
定级备案→安全建设→等级测评→安全整改 (监督检查)
安全通用要求
- 安全物理环境
- 安全通信网络
- 安全区域边界
- 安全计算环境
- 安全管理制度
- 安全管理机构
- 安全管理人员
- 安全建设管理
- 安全运维管理
第五章:信息安全风险评估
信息安全风险评估
关系
核心:风险
三大要素:资产、威胁、脆弱性
流程
准备:目标、范围、团队、调研、依据、方案、支持
识别:资产、威胁、脆弱性(已有安全措施)
计算:风险值
处理:要干什么,怎么干
第六章:信息安全管理基础
信息安全管理基础
概念
对信息系统进行规划和管理,保证其正常运行,对提高系统运行的可用性和连续性有着至关重
要的意义。涵盖4个层次,信息系统管理规范化、流程的规范化、组织结构的规范化、规章制度的规范化
意义
管理是贯穿信息安全整个过程的生命线。有助于贯彻实施信息安全等级保护制度,有助于达到
高级别的安全要求、是许多安全技术和机制发挥作用的保证
内容
- 信息安全⻛险管理
- 设施的安全管理包括
- 网络的安全管理
- 保密设备的安全管理
- 硬件设施的安全管理
- 场地设施的安全管理
- 信息的安全管理
- 存储介质的安全管理
- 技术文档的安全管理
- 软件设施的安全管理
- 密钥和口令的安全管理
- 运行的安全管理
- 安全审计
- 安全恢复
原则
规范化原则 2. 系统化原则 3. 合保障原则 4. 以人为本原则 5. 预防原则 6. 风险评估原则
动态原则 8. 成本效益原则 9. 其他原则:分权制衡原则、最小特权原则、职权分离原则、普遍参与原则、审计独立原则等。
信息安全管理体系(ISMS)
演变
BS7799 → ISO/IEC17799→ ISO/IEC 27000→GB/T
概念、原则(就是上面的那9个原则)
概念:指的是在一定范围内建立的信息安全方针和目标,以及为实现这些方针和目标所采用的文件体
系和方法的总和。
流程
识别资产、明确要求 → 风险评估、处置 → 风险控制 → 持续改进
第七章:信息安全策略
网络安全体系
PDR模型
PDRR模型
PPDR模型
PPDRR模型
策略、保护、检测、响应、恢复、安全、能力定义(基于时间)
信息安全策略
概念、意义
概念:
是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划。信息安全策
略是进一步制定控制规则和安全程序的必要基础;是一组规则,这组规则描述了一个组织要实现的信息安全目标和实现 这些信息安全目标的途径。
意义:
信息安全策略是一个有效的信息安全项目制定的必要基础。(2)信息安全策略的制定和
实施决定了任何一个信息安全项目的成功(3)改善了信息安全管理的可扩展性和灵活性是应用信息安全策略的主要优势。
制定流程
调查与分析阶段→设计阶段→实施阶段→维护阶段
书写
