信息安全与法规复习提纲

信息系统安全课程复习提纲1、信息安全发展的五个阶段：通信安全保密性完整性计算机安全对数据保护可控性信息安全信息存储处理传输安全综合通信和计算机安全信息安全保障体系信息和信息系统资产保密完整可⽤性⽹络空间安全从保障到防御攻击利⽤2、信息系统的基本概念：信息系统是集数据录⼊、存储、加⼯为⼀体，传递信息、知识和数字产品的完整体系。

商业公司和其他组织，通过信息系统来实现业务管理，为顾客和供应商提供信息交互，圆满完成各类业务。

构成要素：环境主体客体架构模型：应⽤业务软件——应⽤平台软件——操作系统平台软件——硬件系统风险是指系统遭受意外损失的可能性风险来源：1.威胁2.⾃⾝脆弱性3.应对威胁失策威胁分类：1.破坏2.泄漏3.假冒否认脆弱性根源：1.信息本源脆弱性2.系统结构脆弱性3.攻防不对称信息系统脆弱性表现：1.硬件组件物理安全2.软件组建漏洞3.通信协议协议缺陷信息系统安全：与⼈、⽹络、环境有关的技术安全、结构安全和管理安全的总和，旨在确保在计算机⽹络系统中进⾏⾃动通信、处理和利⽤的、以电磁信号为主要形式的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，始终具有可信性、机密性、完整性、可⽤性、和抗抵赖性等安全特质。

PDRR模型：保护采⽤⼀切⼿段（主要指静态防护⼿段）保护信息系统的五⼤特性检测检测本地⽹络的安全漏洞和存在的⾮法信息流，从⽽有效阻⽌⽹络攻击恢复及时恢复系统，使其尽快正常对外提供服务，是降低⽹络攻击造成损失的有效途径响应对危及⽹络安全的事件和⾏为做出反应，阻⽌对信息系统的进⼀步破坏损失降到最低资产损失：资⾦形象业务⼈员资产损失形式：暂时损失长期恢复潜在损失安全投⼊与侵⼊可能性呈反⽐进不来拿不⾛看不懂改不了跑不掉信息系统安全体系ISSA（Information Systems Security Architecture）是⼀个能为所保障对象提供的可⽤性、机密性、完整性、不可抵赖性、可授权性的可持续性的系统信息安全4⼤体系：技术管理标准法律风险分析：静态动态运⾏后安全⽬标：信息保护系统保护信息安全：防⽌任何对数据进⾏未授权访问的措施，或者防⽌造成信息有意⽆意泄漏、破坏、丢失等问题的发⽣，让数据处于远离危险、免于威胁的状态或特征。

1、信息安全法律法规名称和大致内容（1）《中华人民共和国国家保护法》规定一切国家机关，武装力量，政党，社会团体，企业事业单位和公民都有保守国家秘密的义务。

国家秘密分为“绝密”、“机密”、“秘密”三级。

违法此法，将会受到行政处分，直至追究刑事责任。

（2）《计算机软件保护条例》中国公民和单位对其所开发的软件，不论是否发表，不论在何地发表，均享有著作权。

软件著作权人享有发表权，开发者身份权，使用权，使用许可权和获得报酬权，转让权。

未经软件著作权人许可，复制或者部分复制著作权人的软件属于侵权行为。

（3）中华人民共和国计算机信息系统安全保护条例》计算机信息系统是由计算机及其相关的和配套的设备，设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集，加工，存储，传输，检索等处理的人机系统。

任何组织或者个人，不得利用计算机信息系统从事危害国家利益，集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。

（4）计算机信息网络国际联网安全保护管理办法》任何单位和个人不得利用国际联网危害国家安全，泄露国家机密，不得侵犯国家的，社会的，集体的利益和公民的合法利益，不得从事违法犯罪活动。

（5）刑法》违反国际规定，侵入国家事务，国防建设，尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

违反国家规定，对计算机信息系统功能进行删除，修改，增加，干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役，后果特别严重的，处五年以上有期徒刑。

2、信息安全的基本属性（1）信息的保密性：保证信息为授权者享有而不泄露给未经授权者（2）信息的隐蔽性（3）信息的真实性（不可否认性）（4）信息的完整性：保证信息从真实的发信者传送到真实的收信者，传送过程没有被非法用户添加、删除、替换等（5）信息的可控性：出于国家和机构的利益和社会管理的需要，保证管理者能够对信息实施必要的控制管理，以对抗社会犯罪和外敌侵犯3、密码系统的设计遵循kerchkoffs原则百度：kerckhoffs原则：即使密码系统中的算法为密码分析者所知，也难以从截获的密文推导出明文或密钥【密码体质的安全性仅应依赖于密钥的保密，而不应依赖于对算法的保密（只有在假设攻击者对密码算法有充分的研究，并且拥有足够的计算资源的情况下仍然安全的密码才是安全的密码系统）】“一切秘密寓于密钥之中”课件：假设攻击者知道密码算法的所有细节，包括具体算法和如何实现。

信息安全培训提纲一、信息安全概述
1. 什么是信息安全
2. 信息安全的原因和重要性
3. 信息安全面的威胁和风险
4. 信息安全管理的基本原则
二、密码学基础知识
1. 对称加密算法原理与应用
2. 非对称加密算法原理与应用
3. 数字签名和证书的概念
4. 哈希算法原理与应用
三、网络安全
1. 防火墙配置与管理
2. 入侵检测系统配置与管理
3. 网络连接与数据传输的安全性问题
4. 网络攻击手段及防御对策
四、操作系统安全
1. 权限管理基本知识
2. 常见系统漏洞分析
3. 系统更新与补丁管理
4. 主流操作系统的安全设置
五、应用安全
1. 应用常见漏洞
2. 注入和攻击
3. 网站防火墙与
4. 应用代码安全编写规范
六、电子邮件安全
1. 电子邮件危害类型概述
2. 防止邮件病毒和钓鱼邮件
3. /加密邮件与/签名
4. 域名策略与邮件安全
如上是一个信息安全培训的提纲内容,列出了主要知识点,侧重信息安全的基础理论知识和常见技术手段,供参考修改使用。

网络信息安全1.信息安全概述1.1信息安全的内容1.2信息安全问题产生的原因1.3信息安全的属性1.3.1可用性1.3.2机密性1.3.3完整性1.3.4可靠性1.3.5不可抵赖性2. 网络安全2.1网络安全本质2.2网络安全特征2.3网络安全要求2.3.1数据的保密性2.3.2数据的完整性2.3.3数据的可用性2.3.4数据的可控性2.4信息安全、计算机安全和网络安全的关系2.5网络信息安全现状3.网络信息安全的威胁3.1网络黑客3.1.1黑客概述3.1.2黑客攻击的步骤3.1.3黑客攻击的对象3.1.4黑客攻击的主要方法3.1.5防御黑客攻击的方法3.2计算机病毒3.2.1计算机病毒的定义3.2.2计算机病毒的特征3.2.3计算机病毒的分类3.2.4计算机病毒的检测与防治4.网络信息安全的防御4.1访问控制技术4.1.1自主访问控制（DAC）4.1.2强制访问控制（MAC）4.1.3角色访问控制（RBAC）4.2身份认证技术4.2.1身份认证的重要性4.2.2认证的五种信息4.3数据加密技术4.3.1加密4.3.2加密解密的过程4.3.3加密技术4.4防火墙4.4.1防火墙的概念4.4.2防火墙的功能与特性4.4.3防火墙的优缺点4.4.4防火墙的类型4.5入侵检测技术4.5.1入侵检测技术（TDS）的定义4.5.2 TDS的作用4.5.3 TDS的优缺点4.5.4 TDS的实现技术5．我国面临的网络信息安全问题与解决措施5.1网络间谍5.2我国机关单位存在的安全漏洞5.3 Phishing5.4如何防范。

通信安全复习提纲信息安全的目标？在信息采集、储存、处理、传播和运用过程中，达到信息的自由性、秘密性、完整性、共享性。

古典密码思想？1.单表代换密码：将明文用字母、数字或符号代替，置换技术是将明文位置发生变化，重新排列。

2.多表代换密码：以一系列代替表依次对明文消息的字母进行替换的加密方法3.多字母代替密码：Hill密码分成m个字母一组的明文组，若最后一组不够m个字母就用字母补足，每组用m个密文字母代替。

当Hill密码的密钥矩阵为一置换矩阵时，相应的密码就是置换密码，它对明文m长字母组中的字母位置重新排列，而不改变明文字母。

4.转轮密码：用一组转轮或接线编码轮所组成的机器，用以实现长周期的多表代换密码凯撒加密算法？维吉尼亚密码？将字母a,b.....y,z的自然顺序保持不变，将字母表中的每个字母用其后的第三个字母进行循环替换。

维吉尼亚密码引入密钥的概念，即根据密钥来决定用哪一个密表来进行替换，以此来对抗字频统计。

历史上知名黑客？李纳斯·托沃兹——Linux之父米切尔·卡普尔——闯入AT&T的计算机更改内部收费时钟凯文·米特尼克——耶路撒冷病毒，是最早的感染文件病毒之一，出书《欺骗的艺术》罗伯特·莫里斯——蠕虫病毒埃里克·雷蒙德——杀手级应用软件“Lotus1-2-3”RSA的安全性主要依赖于什么？基于数论中大整数分解的困难性。

对称算法与非对称算法对称算法：(分为流加密码和块加密码）分组密码DES：明文长度64bit，密钥长度56bit，加密后的密文长度64bit，PC-1是将64bit长的串缩减为56bit,减去8的倍数即奇偶校验位，PC-2是将56bit长的串缩减为48bit国际数据加密算法IDEA：由8次循环组成，一个数据分组被分为四个16bit的子分组RC5算法：引入数据相依旋转非对称算法：公钥密码单项函数，即一个函数正向计算很容易，但是反向计算是非常困难的RSA、Rabin密码体制、基于椭圆曲线的公开密钥密码体制混合加密方式其实现方式即：1、信息(明文)采用DES密钥加密。

信息安全法律法规1~6章复习第一章绪论补充：保障信息安全的三大支柱-信息安全技术、信息安全法律法规、信息安全标准1、犯罪的概念：刑法第13条规定：一切危害国家主权、领土完整和安全，分裂国家、颠覆人民民主专政的政权和推翻社会主义制度，破坏社会秩序和经济秩序，侵犯国有财产或者劳动群众集体所有的财产，侵犯公民私人所有的财产，侵犯公民的人身权利、民主权利和其他权利，以及其他危害社会的行为，依照法律应当受刑罚处罚的，都是犯罪，但是情节显著轻微危害不大的，不认为是犯罪。

2、计算机犯罪的概念：计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统安全以及其他严重危害社会的并应当处以刑罚的行为。

——犯罪分子所犯罪行必须是通过计算机或网络系统实施的行为。

——构成信息网络系统“犯罪”的必须是犯罪行为。

3、以网络为工具的犯罪：工具型的计算机犯罪是指以计算机信息系统为犯罪工具所实施的各种犯罪。

例如：一些用户通过窃取口令等手段，从网络上登录到别的系统，取得对该系统的控制权，对计算机进行一些非法的操作，以达到自己的非法目的；通过修改企业的一些账户或重要文件来达到窃取电子货币或达到其他非法的经济目的。

4、以网络系统为侵害对象的犯罪：对象型的计算机犯罪是指以计算机信息系统为犯罪对象的犯罪。

例如：编写并传播病毒程序，使一些网络服务不能正常运行。

5、计算机犯罪的特征：计算机本身的不可或缺性和不可替代性；在某种意义上作为犯罪对象出现的特性；明确了计算机犯罪侵犯的客体。

6、计算机犯罪的主要形式：1）非法侵入计算机信息系统罪：技术攻击、通过后门进行非法入侵、通过陷阱门进行非法入侵以及非法的用户冒充合法的用户进入计算机信息系统等2）破坏计算机信息系统罪：计算机病毒、数据欺骗等7、刑法关于计算机犯罪的规定：1）第二百八十五条(非法侵入计算机信息系统罪)违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

信息安全导论复习提纲第1章绪论1.1 计算机的基本概念1.1.1 什么是计算机计算机的概念。

计算机系统的组成，硬件的概念，硬件的五个组成部分，软件的概念一个计算机系统包括硬件和软件两大部分。

硬件是由电子的、磁性的、机械的器件组成的物理实体，包括运算器、存储器、控制器、输入设备和输出设备等5个基本组成部分；软件则是程序和有关文档的总称，包括系统软件和应用软件两类。

什么是系统软件，常用的系统软件有哪些？什么是应用软件，常用的应用软件有哪些？1.1.2计算机的分类按规模分类有：巨型计算机，大中型计算机、小型计算机、微型计算机1.1.4 计算机的用途计算机的主要用途有哪些？科学计算，数据处理，实时控制，人工智能，计算机辅助工程和辅助教育，娱乐与游戏。

这些各用途的含义是什么CAD CAM CAI的含义1.1.5计算机的发展计算机发展史中的“代”是如何划分的？每代计算机的使用的主要器件是什么？1946年，第一台计算机ENIAC冯·诺依曼的存储程序的含义第五代计算机的主要特征是人工智能1.5 信息化社会的挑战信息化社会的特征是什么？internet的起源是什么？我国的互联网络：中国教育科研网、中国公用信息网、中国科学技术网、中国金桥信息网。

以及这几个互联网络的主要用途。

习题答案二、选择题1-6： A B D C CC 7-12: B C D B B C第2章计算机的基础知识2.1 计算机的运算基础2.1.1数制的概念2.1.2 掌握进制之间的相互转换10进制转换为2,8,16进制；2，8,16进制转换为10进制；2进制与8进制的相互转换；2进制与16进制之间的相互转换。

2,8,16→10 位权法：把各非十进制数按权展开，然后求和。

10→2,8,16 整数部分：除基取余法：“除基取余，先余为低（位），后余为高（位）”。

小数部分：乘基取整法:“乘基取整，先整为高(位),后整为低(位)”2→8：以小数点为界，将整数部分自右向左和小数部分自左向右分别按每三位为一组（不足三位用0补足），然后将各个三位二进制数转换为对应的一位八进制数。

《信息安全法律基础》复习提纲第一讲1.法律意义的信息应该具备哪些特征？答：法学意义上的信息作为人类认识的独立对象，特别是作为法律调整和规范的对象，必须要具备如下特征：（1）社会性。

法律所规范的主要是对人类社会的生产、生活产生影响的社会信息，而不是自然科学中的信息，更不是所有的信息。

强调具有法律意义的信息要具有社会性，实质是通过强调信息的社会性来体现人的社会性。

法律保护何种信息、如何保护信息都与特定社会价值和伦理机制有关，而不是或主要不是只与信息的真实性和科学价值有关。

（2）传播性。

法律所关注的信息应该是能够借助现有媒介传播的信息，而不是所有的信息。

法律关注的是围绕信息传播过程中所产生的利益关系和矛盾，而不是所有与信息有关的问题。

（3）法定性。

法律调整的信息是处于一定法律保护状态下的信息。

信息的这种状态受到法律的确认和保护，不容非权利人的非法侵犯，否则要承担相应的法律后果。

2.信息的法律状态一般分为公开的信息和不公开的信息、有产权的信息和无产权的信息。

例如，将秘密信息非法公开，就属于泄密行为，行为人要承担相应的法律后果；将应该公开的行政公共信息封锁，则属于违反行政法和侵犯公众得知权的行为，相关的行政主体要承担相应的法律后果。

3.什么是法律关系？信息法律关系的构成要素有哪些？答：法律关系是指，法律规范在调整人们行为过程中形成的权利义务关系，有法律关系主体、法律关系内容和法律关系客体三要素构成。

信息法律关系包括法律关系的主体、客体和内容三个方面：（1）信息法律关系的主体指信息法律关系的参加者，即在信息法律关系中享有权利、承担义务的人或组织；（2）信息法律关系的客体，也就是信息主体权利和义务所指向的对象；（3）信息法律关系的内容，指信息法律关系主体之间的权利与义务，即信息权利与信息义务。

4.什么叫法律部门？信息法部门由哪些法律规范构成？答：法律部门，又称为部门法，是运用特殊调整方法调整同一类社会关系的法律规范的总和。

信息安全法规基础知识文档第一页：信息安全法规概述信息安全法规是保护信息和信息系统安全的法律和标准。

信息安全法规的主要目的是确保信息的机密性、完整性和可用性。

信息安全法规适用于所有处理、存储和传输信息的组织和个人。

第二页：主要法规概述以下是几个主要的信息安全法规：•GDPR（通用数据保护条例）：欧盟的数据保护法规，适用于所有处理欧盟公民个人数据的组织。

•HIPAA（健康保险可携性和责任法案）：美国的医疗保健信息安全法规，适用于所有处理医疗保健信息的组织。

•PCI-DSS（支付卡行业数据安全标准）：支付卡行业的数据安全标准，适用于所有处理支付卡信息的组织。

第三页：注册流程以下是信息安全法规注册流程的概述：1.确定适用的法规：确定组织需要遵守哪些信息安全法规。

2.收集和准备文件：收集和准备必要的文件，包括信息安全政策、风险评估报告等。

3.提交注册申请：提交注册申请到相关的监管机构。

4.审查和批准：监管机构审查注册申请，并批准或拒绝注册。

第四页：信息安全管理体系要求以下是信息安全管理体系的要求：•建立信息安全政策：建立信息安全政策，包括信息安全目标、风险管理等。

•实施风险管理：实施风险管理，包括风险评估、风险缓解等。

•建立安全控制措施：建立安全控制措施，包括访问控制、数据加密等。

•实施安全培训：实施安全培训，包括员工安全培训、第三方安全培训等。

第五页：信息安全案例分析以下是几个信息安全案例分析：•案例1：数据泄露事件某公司发生了数据泄露事件，导致客户个人数据泄露。

公司需要立即采取措施，包括通知客户、修复漏洞等。

•案例2：网络攻击事件某公司遭受了网络攻击，导致信息系统瘫痪。

公司需要立即采取措施，包括隔离受影响的系统、修复漏洞等。

第六页：流程图和对比表以下是几个流程图和对比表：•注册流程图•信息安全管理体系流程图第七页：结论信息安全法规是保护信息和信息系统安全的关键。

组织需要了解和遵守相关法规，以保证信息安全。