1、信息安全定义:在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭至破坏、更改和泄露;2、信息安全的内容:实体安全、运行安全、信息安全、管理安全;3、信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程;信息安全管理是信息安全保障体系建设的重要组成部分;4、信息安全管理的内容:安全方针和策略;组织安全;资产分类与控制;人员安全;物理与环境安全;通信、运行与操作安全;访问控制;系统获取、开发与维护;安全事故管理;业务持续性;符合性;5、信息安全技术体系:基础支撑技术:密码技术、认证技术、访问控制理论;被动防御技术:IDS、密罐、数据备份与恢复;主动防御技术:防火墙、VPN、计算机病毒查杀;面向管理的技术:安全网管系统、网络监控、资产管理;6、建立ISMS的步骤:信息安全管理体系的策划与准备;信息安全管理体系文件的编制;建立信息安全管理框架;信息安全管理体系的运行;信息安全管理体系的审核与评审7、信息安全管理体系Information Security Management System,ISMS是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和手段所构成的体系;8、ISMS的作用:强化员工的信息安全意识,规范组织信息安全行为;促使管理层贯彻信息安全保障体系;对关键信息资产进行全面系统的保护,维持竞争优势;确保业务持续开展并将损失降到最低程度;使组织的生意伙伴和客户对组织充满信心;如果通过体系认证,可以提高组织的知名度与信任度;9、三种基本测评方法:访谈Interview、检查Examine、测试Test1访谈的对象是人员;典型的访谈包括:访谈信息安全主管、信息系统安全管理员、系统管理员、网络管理员、人力资源管理员、设备管理员和用户等;工具:管理核查表checklist;适用情况:对技术要求,使用‘访谈’方法进行测评的目的是为了了解信息系统的全局性包括局部,但不是细节、方向/策略性和过程性信息,一般不涉及到具体的实现细节和具体技术措施;对管理要求,访谈的内容应该较为详细和明确的;2检查包括:评审、核查、审查、观察、研究和分析等方式;检查对象包括文档、机制、设备等;工具:技术核查表checklist;适用情况:对技术要求,‘检查’的内容应该是具体的、较为详细的机制配置和运行实现;对管理要求,‘检查’方法主要用于规范性要求检查文档;3测试包括:功能/性能测试、渗透测试等;测评对象包括机制和设备等;测试一般需要借助特定工具:扫描检测工具、网络协议分析仪、攻击工具、渗透工具;适用情况:对技术要求,‘测试’的目的是验证信息系统当前的、具体的安全机制或运行的有效性或安全强度;对管理要求,一般不采用测试技术;10、信息安全管理体系建立步骤:信息安全管理体系的策划与准备;信息安全管理体系文件的编制;建立信息安全管理框架;信息安全管理体系的运行;信息安全管理体系的审核与评审;11、信息安全风险评估的要素:资产、威胁、脆弱点资产Asset就是被组织赋予了价值、需要保护的有用资源;资产、威胁、脆弱点之间的关系略;12、基本风险评估又称基线风险评估Baseline Risk Assesment,是指应用直接和简易的方法达到基本的安全水平,就能满足组织及其业务环境的所有要求;详细风险评估要求对资产、威胁和脆弱点进行详细识别和评价,并对可能引起风险的水平进行评估,这通过不期望事件的潜在负面业务影响评估和他们发生的可能性来完成;联合风险评估首先使用基本风险评估,识别信息安全管理体系范围内具有潜在高风险或对业务运作来说极为关键的资产,然后根据基本风险评估的结果,将信息安全管理体系范围内的资产分成两类;13、风险评估可分为四个阶段:第一阶段为风险评估准备;第二阶段为风险识别,包括资产识别、威胁识别、脆弱点识别等工作;第三阶段为风险评价,包括风险的影响分析、可能性分析以及风险的计算等,具体涉及到资产、威胁、脆弱点、当前安全措施的评价等;第四阶段为风险处理,主要工作是依据风险评估的结果选取适当的安全措施,将风险降低到可接受的程度;14、某企业有三个网络系统:研发、生产与销售;系统的保密性、完整性、可用性均定性划分为低1、中2、高3三个等级;PO、PD均划分为5级,并赋予以下数值:很低0.1、低0.3、中0.5、高0.7、很高0.9;请完成该企业网络系统的风险计算结果表;15.、风险计算:风险可形式化的表示为R=A,T,V,其中R表示风险、A表示资产、T表示威胁、V表示脆弱点;相应的风险值由A、T、V的取值决定,是它们的函数,可以表示为:VR=RA,T,V=RLA,T,V,FA,T,V其中,LA,T,V、FA,T,V分别表示对应安全事件发生的可能性及影响,它们也都是资产、威胁、脆弱点的函数,但其表达式很难给出;而风险则可表示为可能性L和影响F的函数,简单的处理就是将安全事件发生的可能性L与安全事件的影响F相乘得到风险值,实际就是平均损失,即VR= LA,T,V×FA,T,V;16、人员安全审查:人员审查必须根据信息系统所规定的安全等级确定审查标准;关键的岗位人员不得兼职,并要尽可能保证这部分人员安全可靠;人员聘用要因岗选人,制定合理的人员选用方案;人事安全审查是指对某人参与信息安全保障和接触敏感信息是否合适,是否值得信任的一种审查;审查内容包括:思想观念方面;对信息安全的认识程度;身体状况;17、物理安全边界是指在信息系统的实体和环境这一层次上建立某种屏障;18、系统安全原则:1.保护最薄弱的环节:系统最薄弱部分往往就是最易受攻击影响的部分;在系统规划和开发过程中应首先消除最严重的风险;2.纵深防御:纵深防御的思想是,使用多重防御策略来管理风险;“纵深防御”所提供的整体保护通常比任意单个组件提供的保护要强得多;3.保护故障:及时发现故障、分离故障,找出失效的原因,并在可能的情况下解决故障; 4.最小特权:最小特权策略是指只授予主体执行操作所必需的最小访问权限,并且对于该访问权限只准许使用所需的最少时间;5.分隔:分隔的基本思想是,如果将系统分成尽可能多的独立单元,那么就可以将对系统可能造成损害的量降到最低;19、最小特权原则一方面给予主体"必不可少"的特权,这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作;另一方面,它只给予主体"必不可少"的特权,这就限制了每个主体所能进行的操作;20、程序测试的目的有两个,一个是确定程序的正确性,另一个是排除程序中的安全隐患;程序测试:恢复测试、渗透测试、强度测试、性能测试21、工作版本:是正处于设计进行阶段的版本,是在设计者开发环境中正在进行设计开发的版本,是还不能实用的或还没有配置好的版本;因此它是当前设计者私有的,其他用户不能被授权访问;工作版本常存在于一个专有开发环境中,并避免它被其他开发引用;提交版本:是指设计已经完成,需要进行审批的版本;提交版本必须加强安全管理,不允许删除和更新,只供设计和审批人员访问;其他人员可以参阅提交版本,但不能引用;发放版本:提交版本通过所有的检测、测试和审核人员的审核和验收后,变为发放版本;发放版本又称为有用版本,有用版本也可能经过更新维护,形成新的有用版本;还要对正在设计中的版本和发放版本进行区别,版本一旦被发放,对它的修改就应被禁止;发放后的版本应归档存放,这时不仅其他设计人员,即使版本的设计者也只能查询,作为进一步设计的基础,不能修改;冻结版本:冻结版本是设计达到某种要求,在某一段时间内保持不变的版本;22、信息安全事件information security incident由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性;信息安全事态information security event是指系统、服务或网络的一种可识别的状态的发生; 信息安全事件管理就是通过及时报告安全事故和弱点、建立安全事故职责和程序、收集证据、总结信息安全事故以便从安全事故中学习经验等对信息安全事故进行管理,对信息系统弱点进行纠正和改进;应急响应Incident Response:指一个组织为应对各种意外事件发生所做的准备以及在事件发生后所采取的措施,其目的是避免、降低危害和损失,以及从危害和损失中恢复;23、根据信息安全事件的起因、表现、结果等的不同,信息安全事件可分为:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他信息安全事件24、灾难恢复:指在发生灾难性事故的时候,能利用已备份的数据或其它手段,及时对原系统进行恢复,以保证数据的安全性以及业务的连续性;25、灾难恢复一般步骤:1恢复硬件;2重新装入操作系统;3设置操作系统驱动程序设置、系统、用户设置;4重新装入应用程序,进行系统设置;5用最新的备份恢复系统数据;26、在制定灾难恢复策略时应考虑以下几个因素:一是保护完整的系统配置文档;二是根据业务需要决定数据异地存储的频率;三是保护关键业务的服务器;灾难恢复最重要的是建立异地存储备份中心;数据备份的最终目的就是灾难恢复,一旦系统遭到攻击或因自然因素导致数据的破坏或丢失,灾难恢复可以最大程度恢复系统,保证系统的可用性;27、应急响应的组织分类:第一类是网络服务提供上的TRT组织;第二类为企业或政府组织的的IRT组织;第三类是厂商IRT组织;第四类为商业化的IRT,面向全社会提供商业化的安全救援服务;第五类是一些国内或国际间的协调组织;28、应急响应的流程:事件通告、事件分类分级、应急启动、应急处置、恢复顺序、恢复规程;具体内容略;29、信息安全事件管理的主要内容:信息安全事管理过程、信息安全事件分类分级、信息安全应急响应及信息安全灾难恢复30、常用的备份策略:完全备份、增量备份、差分备份和综合型完全备份;具体内容略;31、灾难恢复的组织机构由管理、业务、技术和行政后勤人员组成,分为灾难领导小组、灾难恢复规划实施组合灾难恢复日常运行组;其中,实施组的人员在任务完成后为日常运行组的成员;重点:信息安全组织、人员安全、物理和环境的安全、访问控制、系统的开发与维护信息安全事件分类分级、应急响应重中之重、灾难恢复的组织机构信息安全风险评估的相关要素、信息安全风险评估策略、风险评估的计算ISMS实施模型和实施过程;测评认证的方式方法法规体系的一些条例信息安全的内涵已从传统的机密性、完整性和可用性三个方面扩展到机密性、完整性、可用性、抗抵赖性、可靠性、可控性和真实性等更多领域;。
