信息安全保障

第一章 信息安全保障基础

1、信息安全发展阶段：

通信安全——计算机安全——信息系统安全——信息系统安全保障 2、信息系统安全的特征：

系统性——动态性——无边界性——非传统性 3、信息安全、系统及业务的关系 信息安全为了完成组织机构的使命 4、信息系统保障的定义

GB/T18336|ISO15408实体满足其安全目的的信心基础

5、信息系统安全保障模型

保障要素——管理、工程、技术、人员 生命周期——规划组织、开发采购、实施交付、运行维护、废弃

安全特征——保密性、完整性、可用性 6、信息系统安全保障模型主要特点：

将风险和策略作为基础和核心

动态安全模型，贯穿信息系统生命周期的全国产

强调保障观念，提供了对信息系统安全保障的信心

通过风险和策略为基础，实施技术、管理、工程、人员保障要素，实现安全特征-保密性-完整性-可用性，达到 保障组织机构使命的目的 7、IATF

三个主要层面：人员——技术——运行 深度防御技术方案：多点防御——分层防御 8、信息化安全问题：

针对信息网络的破坏活动日益严重 安全漏洞和隐患增多 黑客攻击、恶意代码、病毒 9、构建国家安全保障体系内容： 组织与管理体制机制 健全法律法规体系 完善标准体制 建立技术体系 建设基础设施 建立人才培养体系

第二章 信息安全法规与政策

10、全面规范信息安全的法律法规 18部 11、刑法——侧重于信息安全犯罪处罚

285——非法侵入计算机信息系统罪——3年以下、3~7年

286——破坏计算机信息系统罪——5年以下，5年以上

287——利用计算机实施犯罪的提示性规定

12、相关法律法规 宪法第二章第40条

全国人大关于维护互联网安全的决定——2000.12.28

中华人民共和国计算机信息系统安全保护条例——1994.2.18

中华人民共和国计算机信息网络国际联网管理暂行规定——1997.5.20

计算机信息网络国际联网安全保护管理办法（公安部）——1997.12.16

互联网信息服务管理办法——2000.9.25 计算机信息系统安全专用产品检测和销售许可证管理办法（公安部）——1997.12.12 商用密码管理条例——1999.10.7

计算机信息系统保密管理暂行规定（保密局）——1998.2.26

计算机信息系统国际联网保密管理规定（保密局）——2000.1.25

计算机病毒防治管理办法（公安部）——2000.4.26

保守国家秘密法——2010.4.29 13、国家政策

国家信息化领导小组关于加强信息安全保障工作的意见——中办发【2003】27号

总体要求和主要原则-等保-密码-安监-应急-技术-法规和标准化-人才-资金-领导 14、关于开展信息安全风险评估的意见——国信办【2006】5号

等保——中办43号

成立测评中心——中办51号

第三章 信息安全标准 15、标准和标准化基本概念：

为了在一定范围内获得最佳秩序，经协商一致，由公认机构批准，共同使用和重复使用，的规范性文件 16、标准化工作原则：

简化——统一——协调——优化 17、国际信息安全标准化组织

ISO——国际标准化组织 IEC——国际电工委员会 ITU——国际电信联盟 IETF——internet工程任务组 ISO/SC27——安全技术分委员会 ISO/IEC JTC1——信息技术标准化委员会——属于SC27

ANSI——美国国家标准化协会 NIST——美国国家标准技术研究所 DOD——美国国防部

IEEE——美国电气电工工程师协会

ISO-JTC1-SC27——国际信息安全技术标准

WG1：管理体系 WG2：密码和安全机制 WG3：安全评估

18、我国信息安全标准化组织

CITS——信息技术安全标准化技术委员会 TC260——全国信息安全标准化技术委员会

CCSA——中国通信标准化协会 CITS下属工作组：

WG1——标准体系与协调 WG2——安全保密标准 WG3——密码技术 WG4——鉴别与授权 WG5——评估 WG6——通信安全 WG7——管理 19、标准类型与代码

GB——强制 GB/T——推荐 GB/Z——指导

20、信息安全产品分类

TEMPEST——电磁安全 COMSEC——通信安全

CRYPT——密码 ITSEC——信息技术安全 SEC INSPECTION——安全检查 其他专业安全产品

21、TCSEC——可信计算机安全评估准则分级：4等 8级

D,C1，C2，B1，B2，B3，A1，超A1 22、CC——通用准则

1——功能 2——结构 3、4——方法 5、6——半形式化 7——形式化 CC=ISO15408=GB/T18336 意义：

增强用户对产品的安全信心 促进IT产品和系统的安全性 消除重复的评估 局限性：

难以理解

不包括没有直接关系、行政性安全措施的评估

重点关注人为，没有考虑其他威胁源 不针对物理方面评估 不涉及评估防范性

不包括密码算法固有质量的评估 保护资产是所有者的责任

所有者分析资产和环境中可能存在的威胁 PP——保护轮廓——用户提出 ST——安全目标——厂商提出 23、ISO27000

01——管理体系要求——源自BS7799-2 02——实用规则——源自BS7799-1 03——实施指南 04——管理测量 05——风险管理

06——审核认证机构要求 24、我国信息安全管理重要标准

GB/T20984——信息安全风险评估规范 GB/Z24364——信息安全风险管理规范 GB/Z20985——信息安全事件管理指南 GB/Z20986——信息安全事件分类分级指南

GB/T20988——信息系统灾难恢复规范

?

GB/T20984 各阶段要求：

规划设计——通过风险评估确定安全目标 建设验收——通过风险评估确定目标达到与否

运行维护——识别不断变化，确定安全措施的有效性 ?

GB/Z24364步骤：

背景建立—风险评估——风险处理——批准监督

监控审查—————————————沟通咨询 ? GB/Z20986分级要素：

重要程度——系统损失——社会影响 ?

GB/T20988灾难恢复能力等级： 1——基本支持 2——备用场地支持

3——电子传输和部分设备支持 4——电子传输及完整设备支持 5——实施数据传输及完整设备支持 6——数据零丢失和远程集群支持 25、等保 基本原则：

明确责任，共同保护 依照标准，自行保护 同步建设，动态调整 指导监督，重点保护 分级：

1——自主保护

2——指导保护——一次性

3——监督保护——2年1次——以上需要公安机关备案

4——强制保护——1年1次 5——专控保护

定级要素：受侵害的客体——对客体的侵害程度

第四章 信息安全道德规范 26、CISP职业准则

维护国家、社会、公众的信息安全 省市守信，遵纪守法 努力工作，尽职尽责 发展自身，维护荣誉

第八章 信息安全管理体系

27、什么是信息安全管理

针对特定对象，遵循确定原则，按照规定程序，运用恰当方法，为完成某项任务并实现既定目标而进行的——计划、组织、指导、协调、控制等——活动

28、信息安全管理成功实施的关键：

反应组织机构目标的——策略、目标、活动

实施、维护、监控、改进符合组织机构文化的——方案、框架

来自所有管理层的——支持、承诺 对信息安全要求、风险评估、风险管理的——良好理解

向管理站、员工、其他方宣贯——具备安全意识

提供合适的意识、培训、教育 建立有效地——事故管理过程 实施测量系统——评价、改进

29、安全管理体系——方针和目标，以及完成目标所用方法的体系

风险管理——风险评估、风险处置、风险接受、风险沟通——组织机构识别、评估风险、降低风险到可接受范围

安全管理控制措施——通过识别要求和风险，确定风险的处置，选择实施控制，确保风险减少到可接受的级别 ISMS——信息安全管理体系

ISO/17799——11项控制内容、39个主要安全类、133个具体控制措施 BS7799 ISO27001

30、PDCA

计划——实施——检查——改进