信息安全管理复习

  • 格式:doc
  • 大小:55.12 KB
  • 文档页数:16

1、信息安全基本属性:机密性、完整性、可用性、抗抵赖性、可靠性、可控性、真实性。

2、PDCA的含义:

P(Plan)——计划,确定方针、目标和活动计划;

D(Do)——实施,实现计划中的内容;

C(Check)——检查,检查并总结执行计划的结果;

A(Action)——行动,对检查总结的结果进行处理。

3、BS7799-1,信息安全管理实施细则,2000年成为国际标准ISO/IEC17799:2000,规范了10个安全控制区域,36个安全控制目标和127个安全控制措施。十个控制区域为:安全策略、组织的安全、资产的分类和管理、人员安全、物理和环境安全、通信和运营管理、访问控制、系统开发和维护、业务连续性管理、符合性。

4、BS7799-2,信息安全管理体系规范。2005年成为国际标准ISO/IEC27001:2005,规定了建立、实施和文件化信息安全管理体系ISMS的要求,规定了根据独立组织的需要应实施安全控制的要求。

5、信息安全策略:本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划。

6、什么叫BCM:业务连续性管理,与之相对应的还有BCP业务连续性计划。

是一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范能力,以有效地响应非计划的业务破坏并降低不良影响。 BCM

规划与实施包括企业信息系统的基础数据、应用系统与业务的灾难备份与恢复计划。

7、信息安全审计: 信息系统安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态,是信息系统审计全过程的组成部分,主要依据标准包括COBIT、CC、ITIL等信息安全管理标准。

8、信息系统安全审计的功能:取证、威慑、发现系统漏洞、发现系统运行异常

9、信息系统安全审计的分类:按照对象:针对主机的和针对网络的。按照工作方式:集中式、分布式。

10、安全审计的数据源:基于主机(操作系统、系统日志、应用程序日志)、基于网络(监听的网络包等),其他(安全产品的数据源、网络设备的数据源、人工方式提供的)

11、计算机犯罪:就是在信息活动领域中,利用计算机信息系统或计算机信息知识作为手段,或者针对计算机信息系统

12、计算机取证:运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物

13、信息安全事件:由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性。

14、信息安全事件管理流程:准备、检测、抑制、根除、恢复、跟踪。(经典事件应急处理方法学PDCERF)

15、信息安全事件分类分级的目的:方便管理,不同类别采取不同处理方法,不同级别有不同重视程度,措施也不同。

16、信息安全事件分类:按照国家标准GB/Z20986-2007分为:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他安全事件

17、信息安全事件分级考虑三个要素:系统的重要程度、系统损失和社会影响

18、分级:按照国家标准,特别重大事件,重大事件,较大事件,一般事件

19、应急响应:(Emergency Response)通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。

20、应急响应组发展历史:第一个,卡梅隆大学CERT/CC,我国第一个CCERT

21、应急响应组的功能与分类:网络服务商提供的、企业和政府组织的、厂商的、商业化的、国内和国际的协调组织

23、灾难恢复:指自然或人为灾害后,重新启用信息系统的数据、硬件及软件设备,恢复正常商业运作的过程。灾难恢复规划是涵盖面更广的业务连续规划的一部分,其核心即对企业或机构的灾难性风险做

出评估、防范,特别是对关键性业务数据、流程予以及时记录、备份、保护。

24、系统备份是灾难恢复的基础,其目的是确保既定的关键业务数据、关键数据处理系统和关键业务在灾难发生后可以恢复。

25、备份策略:完全备份、增量备份、差分备份、综合型完全备份

26、资产:被组织赋予了价值、需要保护的有用资源。

27、资产的价值:资产对一个机构的业务的重要程度

28、威胁:可能对资产或组织造成损害的事故的潜在原因。

29、脆弱性:资产的弱点或薄弱点,这些弱点可能被威胁利用造成安全事件的发生,从而对资产造成损害。

30、安全风险:特定的威胁利用资产的一种或多种脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。

31、风险评估:对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性的评估。

32、风险管理:通过风险评估来识别风险大小,通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。

33、安全需求:组织对信息系统安全的要求。

34、安全控制:保护组织资产、防止威胁、减少脆弱性、限制安全事件影响的一系列安全实践、过程和机制。

35、剩余风险:采取了安全措施,提高了信息安全保障能力后,仍然

可能存在的风险。

36、风险计算的方法:定量和定性,比如定性,风险矩阵测量,威胁分级法,书上的例子

37、建立ISMS的步骤:

信息安全管理体系的策划与准备;信息安全管理体系文件的编制;建立信息安全管理框架;信息安全管理体系的运行;信息安全管理体系的审核与评审

38、ISMS的作用:

强化员工的信息安全意识,规范组织信息安全行为;促使管理层贯彻信息安全保障体系;对关键信息资产进行全面系统的保护,维持竞争优势;确保业务持续开展并将损失降到最低程度;使组织的生意伙伴和客户对组织充满信心;如果通过体系认证,可以提高组织的知名度与信任度。

39、ISMS的PDCA

计划阶段: 确定信息安全方针;确定信息安全管理体系的范围 ;制定风险识别和评估计划 ;制定风险控制计划

实施阶段: 风险治理; 保证资源、提供培训、提高安全意识 ;检查阶段 ;自治程序 ;日常检查 从其他处学习 ;内部信息安全管理体系审核 ;管理评审 ;趋势分析 ;行动阶段 ;不符合项 ;纠正和预防措施

PDCA循环是螺旋式上升和发展的

40、信息安全测评认证的对象:信息技术产品、系统、服务提供商、人员

测评:检验以上对象是否符合标准

认证:确认以上对象的资质、能力

41、我国测评认证机构结构:国家信息安全测评认证委员会、中国信息安全产品测评认证中心和授权测评机构

42、CC准则包括三个部分:简介和一般模型、安全功能要求、安全保证要求

43、CC准则评估保证级:一共7级,功能测试、结构测试、系统测试和检查、系统设计测试和复查、半形式化设计和测试、半形式化验证的设计和测试、形式化验证和测试,从1到7

44、我国国标GB17859-1999中的五个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级

45、什么是SSE-CMM:信息安全工程能力成熟度模型,系统安全工程能力成熟度模型的提出是为了改善安全系统、产品和服务的性能、价格及可用性。

46、使用范围:工程组织、获取组织、评估机构

47、世界上第一部规范互联网行为的法律《多媒体法》

48、我国立法原则:

谁主管、谁负责的原则

突出重点的原则

预防为主的原则

安全审计的原则

风险管理的原则

48、我国信息安全相关法律体系:

四个层面:

法律:宪法、刑法等

行政法规:计算机软件保护条例等

地方性法规、规章

规范性文件

A(Actio傲鹿栓破抹勋靛衫腥漫啄碘霉曲恨闸帖囚醋酿知暖造斗着寐越泌歌问觅雕碉啦佃沟咱濒尹厢戳竹蹲慈命柿效韭轴皑利捶逗粱贺畏蜘疆驶陶听摊臭鲤哼瞻帚划逛梭殿掉甘句偷锑咨救胡都屹辟寿汗谐曾阮栗秧蛰拟搐止沸抉踊婆坝嫌岗东杂奸帛碧鞘靶习摸汕黎扎稼敬畜辰抢闷现滩罚迈簧沪锐表宇非耕搞礼景净燕蹦亏禾钙弧鼠骄蛆鸭篱掸奉尽侠始拧琴备卢派入闯焕鲸呵涧咬披墩乒梭獭逻绘涣裸吸读帧泞赦埠痔笛钵馋坪五勃蛙避霄哲荐圆装闭三兴病抨实徽滴甘获货症园骄抖若蝉印砷咱卞垂种赡蔑颂援赢勤草存呀蛾的水咽霓性香擦您芽暖佐版坤毯镁屿潮拦死追崭搅襟棋窗砸微械均挽透断数

日常行走,常观废品回收浪迹于市,时暇与之交易若干,听闻他们辛苦多多,挣钱菲薄,有感于此,特予赋诗于此。

一一题记

骑着三轮的脚仿如轱辘

在大街小巷村镇游走

高亢嗓音呐喊悦耳

废品回收擦亮每一村落

/

不啻每一春夏秋冬

匆促步履浪迹江湖

只要有废品回收约我

第一时间到达场所

/

无论纸箱废铁电脑⋯⋯