信息安全的复习资料_第1页
信息安全的复习资料_第2页
信息安全的复习资料_第3页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、1. 计算机病毒的类型: 系统病毒:感染特定类型的文件,破坏操作系统的完整性,破坏硬盘数据,破坏计算 机硬件。病毒前缀为: win32 ,PE,Win95 等。例如 CIH 病毒; 蠕虫病毒:利用操作系统漏洞进行感染和传播,产生大量垃圾流量,严重影响网络性 能。病毒前缀: Worm ,例如冲击波病毒; 木马病毒、黑客病毒:实现对计算机系统的非法远程控制、窃取包含敏感信息的重要 数据,木马病毒前缀: Trojan ,黑客病毒前缀为 Hack. 后门病毒:前缀: Backdoor ,该类病毒的公有特性是通过网络传播,给系统开后门。 其他:脚本病毒、宏病毒、玩笑病毒等。2. 三分技术、七分管理。引起

2、信息安全问题的主要因素:技术因素 网络系统本身存在安全脆弱性;管理因素 组织内部没有建立相应的信息安全管理制度;据有关部分统计, 在所有的计算机安全事件中, 约有 52%是人为因素造成的, 25% 是火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占 10%,仅有3%左右是由外部不法人员的攻击造成的。 简单的说, 属于管理方面的原因比重高达 70% 以上,故而说“三分技术、七分管理” 。3. 信息安全( Information Security )的特征: 保密性 (confidentiality) :保证信息只让合法用户访问; 完整性 (integrity) :保障信息及其处理

3、方法的准确性、完全性; 可用性 (usability) :保证合法用户在需要时可以访问到信息及相关资产; 可控性、可靠性。4. 信息安全管理( Information Security Management ):通过维护信息机密性、完整性和可用 性,来管理和保护组织所有信息资产的一项体制, 是信息安全治理的主要内容和途径, 信息 安全治理为信息安全管理提供基础的制度支持。 其内容为信息安全管理体系的建立、 风险评 估、安全规划、项目管理、物理安全管理、信息安全培训。5. 信息安全管理的基本原则: 分权制衡原则; 最小特权原则; 选用成熟技术原则; 普遍参与原则;6. 信息安全管理体系( Inf

4、ormation Security Management System, ISMS ):是一个系统化、程 序化和文件化的管理体系,属于风险管理的范畴, 体系的建立基于系统、全面、科学的安全 风险评估,以保障组织的技术和商业机密,保障信息的完整性和可用性,最终保持其生产、 经营活动的连续性。7.8.PDCA 过程管理模型:策划( plan )建立 ISMS 模型:根据组织的整体方针和目标,建立安全策略、目标以及 管理风险和改进信息安全相关的过程和程序,以获得结果。实施( do)实施和运行 ISMS: 实施和运行安全策略、控制、过程和程序。检查( check)监视和评审 ISMS:适用时,根据安全

5、策略、目标和惯有经验评估和测量 过程业绩,向管理层报告结果,进行审核。改进( act)改进和保持 ISMS ,根据内部 ISMS 审核和管理评审或其他信息,采取纠正 和预防措施,以实现 ISMS 的持续改进。9.建立 ISMS 过程 :定义信息安全政策(最高方针) ;定义 ISMS 的范围;进行信息安全风险 评估;确定管制目标选择管制措施;准备信息安全适用性申明。10.ISMS 的符合性:与法律要求的符合性;符合安全方针、标准,技术符合性;信息系统审 计的考虑。11. 信息安全管理体系认证的目的: 获得最佳的信息安全运行方式; 保证商业安全; 降低风险,避免损失; 保持核心竞争优势; 提高商业

6、活动中的信誉;增强竞争能力;满足客户需求; 保证可持续发展;符合法律法规的要求;认证依据: BS7799-2:2002 标准, ISO27001 系列, ISO27001: 2005; 认证流程:启动审核(提出申请、信息交流、受理申请) ,预审(模拟审核) ; 文件审核(检查组织所建立的文件化体系是否符合标准化要求,若未通过则需修改) 现场审核(审核计划:现场观察) ,获证并维持(注册、发证、定期复审、期满重新审核)12. 风险管理五要素:资产、威胁、弱点、风险、影响13. 风险管理:识别和控制机构面临的风险的过程。包括风险评估和风险控制两个内容。风险管理描述性定义: 识别和评估资产及其价值。

7、 识别资产面临的威胁,评估威胁发生的可能性。 识别资产中存在的弱点,评估被利用的容易程度。 评估威胁事件发生的后果或影响。 风险控制策略的选择。14. 基线评估:基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查 (拿现有的安全措施与安全基线规定的措施进行比较, 找出其 中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。优点:需要的资源少,周期短,操作简单,对于环境相似且安全需求相当的诸多组织, 基线评估显然是最经济有效的风险评估途径。缺点: 基线水平的高低难以设定, 如果过高, 可能导致资源浪费和限制过度, 如果过低,

8、可能难以达到充分的安全。此外,在管理安全相关的变化方面,基线评估比较困难。15. 风险评估自动化工具: COBRA ( Consultative, Objective and Bi-functional Risk Analysis ) CRAMM ( CCTA Risk Analysis and Management Method ) ASSET ASSET ( Automated Security Self-Evaluation Tool ) NIST SpecialPublication 800-26 CORA CORA (Cost-of-Risk Analysis )16. 资产识别:资

9、产识别是风险评估的第一步,主要是确定机构的资产、有多大价值及资产 的重要性,以保证资产有适当程度的保护 。最后应该形成一份资产清单。资产评估:得到完整的信息资产清单后,组织应该对每种资产进行赋值。17. 威胁评估:识别资产面临的威胁后,还应该评估威胁发生的可能性。组织应该根据经验 或者相关的统计数据来判断威胁发生的频率或概率。18. 弱点识别:组织应该针对每一项需要保护的信息资产,找到可被威胁利用的弱点;弱点评估: 考虑两个因素 (严重程度; 暴露程度, 即被利用的容易程度) ;可用“高”、“中”、 “低”三个等级来衡量。19. 现有措施识别与评估:威胁被利用成弱点,弱点引发威胁事件,从而造成

10、影响。威慑性 控制防止威胁,预防性控制保护弱点,检测性控制发现威胁性事件,纠正性控制减少影响。20. 风险识别与评估:两个关键因素 : 威胁对信息资产造成的影响;威胁发生的可能性。21. 定量风险识别与评估: 暴露因子( Exposure Factor, EF) 特定威胁对特定资产造成损失的百分比,或 者说损失的程度。 单一损失期望( Single Loss Expectancy , SLE)即特定威胁可能造成的潜在损失 总量。 年度发生率( Annualized Rate of Occurrence , ARO ) 即威胁在一年内估计会发 生的频率。 年度损失期望( Annualized L

11、oss Expectancy , ALE )表示特定资产在一年内遭受 损失的预期值。定量分析流程及公式 :(1) 识别资产并为资产赋值;(2) 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0100%之间);(3)计算特定威胁发生的频率,即ARO ;(4)计算资产的 SLE:SLE = Asset Value × EF(5)计算资产的 ALE :ALE = SLE × ARO22. 风险评估矩阵:24. 项目管理的优势: 确保没有遗漏的步骤; 缩短学习过程,提高效率; 明确责任;增加项目被控制在约束范围内的可能性; 简化对项目的监控; 尽可能早发

12、现质量、时间和预算的偏差;25. 信息安全转化策略:直接转化、分阶段实施、示范实施、并行操作。26. 信息安全项目计划的靶心模型:由内向外一次是政策、网络、系统、应用软件。27. 变更控制的作用: 促进整个机构关于变更的控制; 当变更按计划进行和完成时,提高机构内部团队之间的协调关系 通过解决可能导致内部不协调变化的冲突和矛盾因素,来减少对机构不利的事件; 消除潜在的失败因素,加强团队合作,改善服务质量; 管理层要确保所有团队都要遵从公司的技术监督、采购、会计和信息安全策略。28. Lewin 变更模型:解冻现状,移动到新状态,重新冻结新变革使之持久。29. 访问控制的实现的三种类型:行政、逻

13、辑技术或物理访问控制。行政访问控制是依照机构的安全性策略定义的策略和执行的过程, 实现并加强全局的访 问控制;逻辑性访问控制和技术性访问控制作为硬件或软件机制, 可以用来管理对资源和系统的 访问,并且提供对这些资源和系统的保护。物理访问控制作为物理屏障,可以用来保护对系统的直接访问。30. 主体对客体实际访问前需执行的步骤:标识、验证、授权、责任衡量。31. 主要的访问控制方法:任意访问控制、强行访问控制、基于角色访问控制。32. 影响计算机电磁辐射强度的因素:功率和频率、距离因素、屏蔽状况。33. 计算机系统在实际应用中防泄漏的主要措施: 选用低辐射设备; 利用噪声干扰源; 采取屏蔽措施;

14、距离防护; 利用微波吸收材料34. 国外的主要的 TEMPEST 标准:美国 FCC 标准、 CISRP 标准、德国 VDE 标准。35. 我国计算机安全管理组织 4 个层面: 各部委计算机安全管理部门; 各省计算机安全管理部门; 各基层计算机安全管理部门以及经营单位;36. 安全组织的控制目标:在组织中管理信息安全,即应当建立适当管理构架,在组织内部 启动和控制信息安全的措施。37. 国际信息系统安全认证机构的两大认证:SSCP和 CISSP。38.SCP认证提供的两种途径: SCNP(安全认证网络专业人员 )和 SCNA (安全认证网络设计 师)。39. 安全事故与故障的反应过程: 确保及

15、时发现问题; 对事故、故障、薄弱点作出迅速、有序、有效的响应,减少损失; 从事故中吸取教训; 建立惩罚机制;40. 软件安全:保证计算机软件的完整性及软件不会被破坏或泄露。软件包括:系统软件、数据库管理软件、应用软件及相关资料。41. 软件选型应考虑的因素有:软件的适用性、软件开放性、软件开放性、软件商品化程度 及使用的效果、软件的可靠性及可维护性、软件的性价比。42. 应用系统的可行性评估分析内容:目标和方案的可行性、实现技术方面的可行性、实现 技术方面的可行性、社会及经济可行性、操作和进度可行性。43. CMM 能力成熟模型分类:44. 设备安全管理包括设备的选型、检测、安装、等记、使用、

16、维修和储存管理等几个方面。45. 网线检测器和网线探测器的区别:基本的网线检查器只检查网线是否还能提供连接,一 个好的网线检查器可以验证网线装备是否正确, 有没有短路、 裸露或缠绕。 网线检查器不能 检查光缆的连接。 而网络探测器除了可测试网线的连接和错误外, 还可以: 确认网线不是太 长;确定网线损坏的位置;测量网线的损坏率;测量网络的远近串扰; 测量以太网网线的终 端电阻的阻抗;按 CAT3CAT5CA T6 和 CAT7 标准提供通断率。46. 防火墙:防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护, 以防止发生不可预测的、 潜在破坏性的侵入。 防火墙本身具有较强的

17、抗攻击能力, 它是提供 信息安全服务、 实现网络和信息安全的基础设施。 也可以是是一台专属的硬件也可以是架设 在一般硬件上的一套软件。使用防火墙的目的:(1)限制他人进入内部网络(2)过滤掉不安全的服务和非法用户( 3)阻止入侵者进入内部网络(4)限定对特殊站点的访问(5)监视局域网的安全功能:(1) 访问控制功能(2)内容控制功能( 3)日志功能(4)集中管理功能(5)自身的安全和可用性分类:1包过滤防火墙(屏蔽路由器) 2代理防火墙(双宿堡垒主机) 3状态监测防火墙(屏蔽主机防火墙) 4复合式防火墙(屏蔽子网防火墙)47. 入侵检测:对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者

18、攻击结果, 以保证系统资源的机密性、 完整性和可用性。 进行入侵检测的软件与硬件的组合便是入侵检 测系统。按照分析方法(检测方法) : 异常检测模型( Anomaly Detection ): 首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型( Misuse Detection) :假定所有入侵行为都能被检测到的特征,收集非 正常操作的行为特征, 建立相关的特征库, 当监测的用户或系统行为与库中的记录相匹配时, 系统就认为这种行为是入侵 特征检测模型: 定义系统行为轮廓, 并将系统行为与轮廓进行比较, 对未指明为正常 行为的行为定义为入侵

19、。入侵检测相关的数学模型:实验模型( Operational Model ); 平均值和标准差模型( Mean and Standard Deviation Model ); 多变量模型( Multivariate Model ); 马尔可夫过程模型( Markov Process Model ); 时序模型( Time Series Model ); 入侵检测响应机制:准备、检测、响应。48. 对称加密算法与非对称加密算法比较:密钥分配管理:对称加密算法需要管理的密钥多; 安全方面:公钥加密体系更具有优越性 对称加密技术不支持数字签名 公钥加密技术可以进行数字签名和验证 速度:对称加密算法的速度较快; 假设有 n 个用户,对称加密需要 n

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论