《信息安全保障》知识点复习总结.doc

《《信息安全保障》知识点复习总结.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、CISP-信息安全保障第一节信息安全保障基础1.信息安全保障基础1.1信息安全的定义：狭义和广义之分。1.2信息安全的特点：系统、动态、无边界、非传统。1.3信息安全的属性：保密性、完整性、可用性；真实性、不可否认、可追责、可靠性。1.4信息安全问题根源：内因和外因，外因包括自然和人为威胁；人为威胁包括故意威胁和非故意威胁。1.5信息安全的视角：国家、商业（企业）和个人视角的内容。2.信息安全发展阶段2.1通信安全：采用加密的措施解决信息窃听、密码分析问题。2.2计算机系统安全：采用计算机防护的系列手段，提高系统安全性。2.3网络安全：通过防火墙等成熟的措施解决网络信息系统安全问

2、题。2.4网络空间安全：防御措施、威慑措施以及情报利用。3.了解《国家网络空间安全发展战略》。第二节信息安全保障模型1.P2DR1.1P2DR：策略-防护-检测-响应1.2P2DR思想：基于时间的防护与安全的有效性1.3P2DR公式：Pt>Dt+Rt那么系统是安全的。Pt

3、在空间上每个节点安全有效性。3.系统安全保护评估框架3.1原理：1）实现全生命周期的安全。2）通过人员要素、技术要素、管理要素和工程要素来综合实现安全。3）实现目的是保密性、完整性、可用性，以及最终的业务使命。3.2评估框架1）ISPP：标准化信息系统的安全需求。2）ISST：标准化信息系统的安全方案。3）评估：技术TCML1-5级；管理MCML1-5级；工程ECML1-5级。4.商业应用安全架构4.1常用的参考：舍伍德的商业应用安全架构（SherwoodAppliedBusinessSecurityArchitecture，SABSA）、Zachman框架、开放群组架构框架（T

4、heOpenGroupArchitectureFramework，TOGAF）。4.2舍伍德应用安全架构：以业务安全为导向，进行风险的管理，采用模型、方法和流程来进行实现。4.3舍伍德应用安全架构生命周期：战略与规划、设计、实施、管理与测量。4.4舍伍德应用安全架构的内容层面：背景层、概念层、逻辑层、物理层、组件层、运营层。第二节信息安全保障的工作内容1.回顾我国已经开展的信息安全工作1.1标准化建设：TC2601.2应急响应和通报：CNCERT1.3等级保护：5级1.4风险评估。1.5灾备建设和恢复。1.6人才培养。1.7法制的建设。1.8产业技术发展。2.信息安全保障流程2.

5、1安全需求：来源于合规、业务和风险，标准的需求文档ISPP。2.2安全设计：标准的安全设计文档是ISST。2.3安全实施：略。2.4安全测评：产品CC标准EAL1-7；系统测评1-5级；服务商1-5级，人员测评CISM和CISP。2.5运维阶段：风险监控和风险处理手段。2.6系统废弃。3.风险管理模型：3.1基于风险要素关系图：风险要素导向（资产、威胁、脆弱性等）。3.2基于COSO的风险管理：治理和战略目标导向。3.3基于ITIL的风险管理：IT服务、流程、改进导向的。3.4基于COBIT的风险管理：业务商业目标、以活动为依托、以控制目标和措施为手段。4.风险管理过程GB/Z2

6、4364标准。4.1背景建立：了解风险管理对象、业务要求、系统特性、安全特性。4.2风险评估：风险评估准备、要素识别、风险分析、结果判定。4.3风险处理：通过措施进行处理，降低、转移、规避、接受风险。4.4批准监督：对风险管理工作的认可和评价。4.5两个贯穿：—监控审查：风险管理过程中的偏查、延误进行纠正和控制。—沟通咨询：加强风险管理过程的交流和咨询。（完成）