CISP总结-信息安全保障知识点

1、1 1 .信息平安特征：信息平安是系统的平安，是动态的平安，是 无边界的平安，是非传统的平安。2 2 .信息系统包含三个要素：信息，计算机网络系统和运行环境。3 3 . . 19851985 年，美国国防部的可信计算机系统评估保障 TCSEC,TCSEC, 橙皮书，将操作系统平安分级D D、C1C1、C2C2、B1B1、B2B2、B3B3、 A1A1. .4 4 .信息技术平安性评估准那么，即通用准那么 CCCC ISO/IECISO/IEC 1540815408 , ,GB/TGB/T 1833618336, ,其中保障定义为，实体满足其平安目的的信心 根底。5 5 . .风险是指威胁利用资

2、产或一组资产的 脆弱性对组织机构造成 伤害的潜在可能。6 6 .信息平安管理体系一 ISMS,ISMS,国际上主流的信息系统管理体系 的标准有ISO/IECISO/IEC 17799,17799,英国标准协会BSIBSI的 779977997 7 .信息平安保障模型：保障要素：管理、工程、技术、人员。平安特征：保密、完整、可用。生命周期：规划组织、开发 采购、实施交付、运行维护、废弃。策略和风险是平安保障 的核心问题。信息系统平安保障是在信息系统的 整个生命周期中，通过对 信息系统的风险分析，制定并执行相应的 平安保障策略，从 技术、管理、工程和人员 等方面提出平安保障要求，确保信 息系统的保

3、密性、完整性和可用性，降低平安风险到可接受的程度，从而保障系统实现组织机构的使命。8 8 . .风险管理贯穿整个信息系统生命周期，包括对象确立，风险评估，风险控制，审核批准，监控与审查和沟通与咨询 6 6 个万面。9 9 . .基于时间的 PDRPDR 模型保护检测响应是信息平安保障 工作中常用的模型。该模型的出发点是基于这样的前提：任 何平安防护措施都是基于时间的，超过该时间段，这种防护 措施是可能被攻破。1010 .P2DR.P2DR 策略保护检测响应：所有的行为都是依据平安策 略实施的。该模型强调平安管理的持续性、平安策略的动态 性。防护时间 Pt,Pt,检测时间 Dt,Dt,反响时间

4、Rt:Rt:如果 ptdt+rt,ptdt+rt,那么系统平安；如果 ptdt+rt,ptdt+rt,那么暴露时间Et=Et=dt+rtdt+rt-pt-pt1111 .PDCA.PDCA方案、实施、检查、改良是信息平安管理体系 ISMSISMS 的核心。1212 . .深度防御战略是信息平安保障技术框架IATFIATF的核心思想，主要包括三个层面：人，技术和运行维护。即人在技术支持 下进行运行维护的信息平安保障问题。从技术层面，根据信息平安的需求，把信息系统解构为四个 根本方面：保护网络和根底设施、保护区域边界、保护计算 环境和支持性根底设施。提供了层次化的保护策略。多点防御、分层防御。13

5、13 . .信息平安保障的根本原那么 信息平安的等级保护制度1414 .?关于加强信息平安保障工作的意见?中办发200327200327 号是我国信息平安保障工作的根底性文件。1515 .准确地提取平安需求：一方面可以保证平安措施可以全面覆 盖信息系统面临的风险，是平安防护能力到达业务目标和法规政策的要求的根底。另一方面可以提高平安措施的针对性， 防止不必要的平安投入，防止浪费。1616 . .确定信息系统平安保障具体需求的方法：政策符合性和风险 评估1717 .信息系统平安保障的具体需求由信息系统保护轮廓ISPPISPP确定。信息系统保护轮廓ISPPISPP是根据组织机构使命和所处的运行环境

6、，从组织机构的策略和风险的实际情况出发， 对具体信息系统平安保障需求和能力进行具体描述。表达一 类产品或系统的平安目的和要求。ISPPISPP 是从信息系统的 所有者用户的角度标准化、结构化 的描述信息系统平安保障需求。1818 .信息平安保障解决方案是一个 动态的风险管理过程，通过 对 信息系统生命周期内风险的控制 ，来解决在运行环境中信息 系统平安建设所面临的各种问题，从而有效保障业务系统及 应用的持续开展。1919 .信息平安保障解决 方案制定的原那么：1 1.以风险评估和法规要求得出的平安需求为依据 2.2.贴合实际具有可实施性2020 .信息系统平安目标ISSTISST是根据信息系统

7、保护轮廓ISPPISPP编制的信息系统平安保障方案。是从信息系统平安保障的建设方厂商的角度制定的信息系统平安保障方案。2121 .信息平安保障实施的原那么：以信息平安保障方案为依据，覆盖 方案提出的建设目标和建设内容；标准的实施过程实施的质量、进度和本钱必须受控，实施过程中出现的变更必须受控，充 分考虑实施风险，如资源缺乏、组织文化的抵触情绪、对业 务正常运行造成的影响、信息泄露或破坏等2222 .信息平安保障实施的内容：覆盖信息系统全生命周期，以风 险和策略为核心， 风险评估贯穿系统全生命周期 ，建立完整 的策略体系，涉及 技术、管理、工程、人。2323 .评估对象是信息系统，不仅包含了信息

8、系统所处的运行环境相关的 种动态持续的评估过程。2424 . .?信息平安风险评估指南?信息系统等级保护测评指南?信息系统平安保障评估框架?2525 . .信息产品平安测评依据的标准是：要求2626 . .产品认证的根本要求是对认证申请者送达的样品进行型式试验测试评估，同时对申请者的质量体系即质量保证能力进行检查、评审。这两方面都符合有关标准要求，那么予以认信息技术系统,还包括同 人和管理等领域。评估是一-资产/威胁/脆弱性。-平安保护基线-平安保障措施与能力CCCC、CEMCEM 和 CNITSECCNITSEC 的证。认证通过后，认证中心予以发放证书。证书发放以后， 认证中心再从市场和、或

9、工厂车间抽样进行核查试验，即监督检验，同时对其质量体系进行 监督性复查，假设两方面 都合格，即维持认证，否那么取消认证。2727 .根据国家标准 GB/TGB/T 1833618336 2001,2001,信息产品平安的测评由低 到高划分为 7 7 级别，即 CCCC 的 EAL1-7EAL1-7 级。2828 . .信息产品平安测评流程：准备阶段-评估-认证-监督维持2929 . .信息系统平安保障的评估，是从信息系统平安保障的概念出发，在信息系统的生命周期内，根据组织机构的要求在信息 系统的平安技术、平安管理和平安工程领域内对信息系统的平安技术控制措施和技术架构能力、平安管理控制和管理能力

10、以及平安工程实施控制措施和工程实施能力进行评估综合，从而最终得出信息系统在其运行环境中 平安保障措施满 足其平安保障要求的符合性以及信息系统平安保障能力的评估。法规和政策3030 .?刑法?第六章阻碍社会管理秩序罪第一节扰乱公共秩序罪 第 285285 3 3 年、286286 5 5 年、287287 条做其他坏事3131 .?电子签名法?，被称为“中国首部真正意义上的信息化法 律，自此电子签名与传统手写签名和盖章具有同等的法律效 力。3232 .27.27 号文件总体要求：坚持 积极防御、综合防范的方针，全面提高信息平安防护能力，重点保障根底信息网络和重要信息 系统平安，创立平安健康的网络

11、环境，保障和促进信息化发 展，保护公众利益，维护国家平安。3333 .主要原那么：立足国情，以我为主，坚持技术与管理并重；正 确处理平安和开展的关系，以平安保开展，在开展中求平安； 统筹规划，突出重点，强化根底工作；明确国家、企业、个 人的责任和义务，充分发挥各方面的积极性，共同构筑国家 信息平安保障体系。3434 . .主要任务重点加强的平安保障工作：3535 . .实行信息平安等级保护3636 .加强以密码技术为根底的信息保护和网络信任体系建设3737 . .建设和完善信息平安监控体系3838 . .重视信息平安应急处理工作3939 .加强信息平安技术研究开发，推进信息平安产业开展4040

12、 .加强信息平安法制建设和标准化建设4141 .加快信息平安人才培养，增强全民信息平安意识4242 .保证信息平安资金4343 .加强对信息平安保障工作的领导，建立健全信息平安管理责 任制4444 .信息平安风险评估基于风险管理功能：1 1 系统分析网络与 信息系统所面临的威胁及其存在的脆弱性2 2 评估平安事件一旦发生可能造成的危害程度 3 3 提出有针对性的抵御威胁的防护对策和整改措施.4545 .风险评估的主要内容：分析信息系统资产的重要程度，评估信息系统面临的平安 威胁、存在的脆弱性、已有的平安措施 和剩余风险的影响等4646 . .涉密信息系统参照“分级保护;进行系统测评并履行审批手 续4747 .非涉