信息系统项目管理-信息系统安全管理-二十二
一、安全策略的归宿点(立脚点)就是单位的资产得到充分的保护。
二、安全策略的核心内容就是“七定”,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
三、安全策略一定具有科学性、严肃性、非二义性和可操作性。
四、《计算机信息系统安全保护等级划分准则》将计算机信息系统分为以下5个安全保护等级:
第一级:用户自主保护级。该级适用于普通内联网用户。
第二级:系统审计保护级。该级适用于用户通过内联网或国际网进行商务活动,需要保密的非重要单位。
第三级:安全标记保护级。该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
第四级:结构化保护级。该级适用于中央级国家机关、广播电视部门、重要物质储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设的部门。
第五级:访问验证保护级。该级适用于国防关键部门和依法需要对技术及信息系统实施特殊隔离的单位。
五、信息系统安全策略设计的8个原则:主要领导人负责原则;规范定级原则;依法执行原则;注重效费比原则;全面防范、突出重点原则;系统、动态原则;特殊的安全管理原则
六、信息系统安全策略设计的10个特殊原则:分权隔离原则;最小特权原则;标准化原则;用成熟的先进技术原则;失效保护原则;普遍参与原则;职责分离原则;设计独立原则;控制社会影响原则;保护资源和效率原则。
七、信息安全系统——安全机制
第一层:基础设施实体安全(机房、场地、设施、电源、灾难预防)
第二层:平台安全(操作系统、网络漏洞、网络安全)
第三次:数据安全(介质与载体安全保护、数据完整性、数据可用性、数据监控和审计)
第四层:通信安全(通信线路、通信加密软件、网络加密设施、身份鉴别机制)
第五层:应用安全(软件程序测试、业务系统保密性,可靠性,可用性测试)
第六层:运行安全(系统安全性监测、定期检查和评估、系统升级和补丁)
第七层:管理安全(人员管理、系统管理、软件管理、设备管理、文档管理、数据管理、机房管理、操作管理)
第八层:授权和审计安全(授权安全是指向用户和应用程序提供权限管理和授权服务为目标。审计安全是指:监控网络内部的用户活动、侦查系统中存在的潜在威胁、对日常运行状况的统计和分析)
第九层:安全防范体系(安全防范体系的建立可以更好的发挥以下六项能力:预警、保护、检测、反应、恢复、反击)
七、信息安全系统——安全服务
1.对等实体认证服务
2.数据保密服务
3.数据完整性服务
4.数据源点认证服务
5.禁止否认服务
6.犯罪证据提供服务
七、信息安全系统——安全技术
1.加密技术 2.数据签名技术 3.访问控制技术
4.数据完整性技术 5.认证技术 6.数据挖掘技术
八、信息安全系统架构体系
1.MIS+S(基本信息安全保障系统)
·业务应用系统基本不变 ·硬件和软件通用 ·安全设备基本不带密码
2.S-MIS(标准信息安全保障系统)
·硬件和系统通用 ·PKI/CA安全保障系统必须带密码 ·业务应用系统必须根本改变
·主要的通用硬件、软件也要通过PKI/CA认证
3.S2_MIS(超安全的信息安全保障系统)
·硬件和软件都专用 ·PKI/CA安全基础设施必须带密码 ·业务应用系统必须根本改变
九、ISSE-CMM的主要概念包括 过程、过程域、工作产品、过程能力。
十、公钥基础设施PKI是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。
十一、双密钥证书的生成过程
1.用户使用客户端产生签名密钥对 2.用户的签名私钥保存在客户端
3.用户将签名密钥对的公钥传送给CA中心 4.CA中心为用户的公钥签名,产生签名证书
5.CA中心将签名证书传回客户端进行保存
6.KMC(密钥管理中心)为用户生成加密密钥对
7.在KMC中备份加密密钥对以备以后进行密钥恢复
8.CA中心为加密密钥对生成加密证书
9.CA中心将用户的加密私钥和加密证书打包成标准格式PKCS#12
10.将打包后的文件传回客户端
11.用户的客户端装入加密公钥证书和加密私钥
十二、申请和颁发证书的过程
1.生成一个密钥对
2.收集登记信息
3.申请证书申请人发送一个证书申请
4.用CA的公开密钥对申请进行加密,然后把加密的申请发送给CA
5.验证信息
6.创建证书
7.发送或邮寄证书
十三、访问控制安全模型
等级制度:公开->受限->秘密->机密->高密
1.BLP该模型基于强制访问控制系统,以敏感度来划分资源的安全级别
不能上读,不能下写
2.Biba该模型对数据提供分级别的完整性保证(不能下读,不能上写)
十四、访问控制的应用
1.DAC自主访问控制方式:针对每个用户指明能够访问的资源
2.ACL访问控制列表方式:目标资源拥有访问权限列表,指明允许哪些用户访问
3.MAC强制访问控制方式:在军事和安全部门应用较多,访问的资源划分等级
4.RBAC基于角色的访问控制方式:给相应的角色分配相应的权限
十五、单位组织实施PMI(权限管理),建议采取的步骤为建立属性权威,制定授权策略,进行授权、访问控制和审计的程序编制与应用实施
十六、安全审计功能
CC标准将安全审计功能分为6个部分:安全审计自动响应功能;安全审计自动生成功能;安全审计分析功能;安全审计浏览功能;安全审计事件选择功能;安全审计事件存储功能;