没有合适的资源?快使用搜索试试~ 我知道了~
cisp考试笔记,适合备考人员,已将重点都画出来了,不需要使用听老师讲了,没用,欢迎下载,欢迎下载,欢迎下载,欢迎下载
资源详情
资源评论
资源推荐
1
内容笔记
说明:................................................................................................................................2
信息安全保障.....................................................................................................................2
发展历史......................................................................................................................2
安全模型............................................................................................................................4
信息安全实践.....................................................................................................................5
美国............................................................................................................................5
英国............................................................................................................................6
德国............................................................................................................................7
其它西方国家..............................................................................................................7
我国............................................................................................................................8
安全评估与测评..................................................................................................................9
信息系统安全保障评估.................................................................................................9
密码学..............................................................................................................................11
信息安全标准...................................................................................................................12
标准与标准化.............................................................................................................12
等级保护....................................................................................................................17
信息安全法律法规与政策.................................................................................................19
重要安全管理过程............................................................................................................23
信息安全工程原理............................................................................................................26
信息安全工程的基础..................................................................................................26
能力成熟度模型.........................................................................................................28
由来.....................................................................................................................28
基本思想..............................................................................................................29
以过程为中心 VS 以产品为中心...........................................................................29
常见的能力成熟度模型.........................................................................................29
系统安全工程.......................................................................................................30
为什么要学习安全工程能力成熟度模型?............................................................30
SSE-CMM.................................................................................................................30
域维:由所有定义的安全工程过程区构成。.........................................................32
工程类 PA:.........................................................................................................32
项目类和组织类 PA..............................................................................................32
能力维:代表组织实施这一过程的能力。............................................................33
风险过程:..........................................................................................................33
工程过程..............................................................................................................34
保证过程..............................................................................................................36
能力级别代表安全工程组织的成熟级别................................................................38
SSE-CMM 的使用细节.........................................................................................39
SSE-CMM 应用实例...................................................................................................41
访问控制与审计................................................................................................................43
软件安全开发...................................................................................................................45
1
说明:
重要度:蓝色 暗红色 红色
信息安全保障
信息安全保障主要分五大类:信息安全管理、信息安全技术、信息安全保障、信息安全工程
和信息安全标准法规。
发展历史
从通信安全()〉计算机安全()〉信
息系统安全()〉信息安全保障() 〉
网络空间安全信息安全保障(:)
中国:中办发 号文《国家信息化领导小组关于加强信息安全保障工作的意见》,
是信息安全保障工作的纲领性文件。
信息安全的特征: 是系统的安全;动态的安全;无边界的安全;非传统的安全。
信息安全的内因:信息系统的复杂性(过程复杂,结构复杂,应用复杂)。
信息安全的外因:人为和环境的威胁(威胁和破坏)。
安全保障需要贯穿系统生命周期。
1
保密性、可用性和完整性是信息安全的特征。
策略和风险是安全保障的核心问题。
技术、管理、工程过程和人员是基本保障要素。
业务使命实现是信息安全保障的根本目的。
信息系统安全保障模型( !"""#)
)生命周期:计划组织、开发采购、实施交付、运行维护、废弃;
)保障要素:技术、工程、管理、人员;
)安全特性:保密性、完整性、可用性。
$ 风险与策略
)信息安全策略必须以风险管理为基础;
)最适宜的信息安全策略就是最优的风险管理策略;
)防范不足会造成直接损失;防范过多会造成间接损失;
)信息安全保障的问题就是安全的效用问题。即经济、技术、管理的可行性和有效性作出
权衡。
1
安全模型
定义:通过建模的思想来解决安全管理问题,用于精确和形式地描述信息系统的安全特性,
解释系统安全相关行为。
作用:)能准确地描述安全的重要方面与系统行为的关系;
)提高对成功实现关键安全需求得理解层次;
)从中开发一套安全评估准则和关键的描述变量。
现实中每个策略都是要模型支持的
安全基础模型分为多级安全模型( %%&'% 模型【侧重保密性】、%(
)% 模型【侧重实用性】)和多边安全模型(*+%% 模型)。
) 的安全技术模型
)基于资产的安全风险模型、
)基于风险管理的信息安全保障模型
)基于时间的 ,- 模型
思想:承认漏洞,正视威胁,适度防护,加强检测,落实反应,建立威慑
出发点:任何防护措施都是基于时间的,是可以被攻破的
核心与本质:给出攻防时间表
固定防守、测试攻击时间;固定攻击手法,测试防守时间
缺点:难于适应网络安全环境的快速变化
基于 ,- 的安全框架(分析、检测、修复)
强调落实反应
#),- 模型 – 分布式动态主动模型
更强调控制和对抗,即强调系统安全的动态性以安全检测、漏洞监测和自适应填充“安全间
隙”为循环来提高安全
特别考虑人为的管理因素
基本原理:
1
:即策略(%)。模型的核心,所有的防护、检测、响应都是安全策略实施的。策略
体系包括策略的制定、评估与执行等。(访问控制策略、加密通信策略、身份认证策略、备
份恢复策略等)
:即防护()。通过传统的静态安全技术和方法提高网络的防护能力。包括访
问 控 制 技 术 ( & 、 .-/+&&& ) 、 信 息 加 密 技 术 、 身 份 认 证 技 术 ( 一 次 性 口 令 、
0$"1)等。
,:即检测(,)。利用检测工具,监视、分析、审计网络活动,了解判断网络系
统的安全状态;使安全防护从被动防护演进到主动防御,是整个模型动态性的体现。方法包
括实时监控、检测、报警。
-:即反应(-)。在检测到安全漏洞和安全事件时,通过及时的响应措施将网络系
统的安全性调整到风险最低的状态;评估系统受到的危害与损失,恢复系统功能和数据,启
动备份系统等。方法包括:关闭服务、跟踪、反击、消除影响。
数学法则:
假设 系统的防护、检测和反应的时间 关系如下:
2防护时间,,2检测时间,-2反应时间,/2暴露时间。
则该系统防护、检测和反应的时间关系如下:
如果 >,+-,那么 是安全的;
如果 <,+-,那么 /=3,+-4-。
安全目标:
依据 ,-模型构筑的网络安全体系,在统一安全策略的控制下,在综合运用防护工具基
础上,利用检测工具检测评估网络系统的安全状态,通过及时的响应措施将网络系统调整到
风险最低的安全状态。
)安全管理的持续性、安全策略的动态性。以实时监视网络活动、发现威胁和弱点来调整
和填补网络漏洞;
)可测即可控。通过经常对网络系统的评估把握系统风险点,及时弱化甚至堵塞系统的安
全漏洞。
!.,即信息保障技术框架(!*%.)(),
美国国家安全局(5)制定。在关于实现信息保障目标的过程和方法上,论述了系
统工程、系统采购、风险管理、认证和鉴定以及生命周期支持等过程,指出建设保障
体系的方法。代表理论为深度防御(,,*)。
!. 强调人、技术、操作。关注本地计算环境、区域边界、网络和基础设施、支撑性基础
设施这四个信息安全保障领域。在此基础上的多层防护叫“深度防护战略”(,
,*6) 7
信息安全实践
美国
剩余45页未读,继续阅读
尛众™��
- 粉丝: 0
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0