系统集成项目管理工程师(软考中级)—— 第五章 信息系统安全 笔记分享

前言

本人两个月准备软考中级,还要兼顾六级和绩点,功夫不负有心人,也是让我通过了,现在想想要不要再报考个高级比较好,可是高级还要写论文……算了,到时等到报名再想吧,其实还有很多任务要准备,好像大创啊,考研啊,看自己能不能抗住这一切吧。

因为本人实用幕布记的,用幕布的思维导图查看会更好一些,而且我也标注了花里胡哨的颜色,一看就知道哪些是重点,所以更推荐大家用幕布看哦~

现在分享一些笔记给大家,希望能够帮助大家并顺利通过软考。

幕布地址:第五章 信息系统安全 - 幕布

  • 概要

    • 数据加密与认证
    • 信息系统安全
    • 网络安全
    • 物理安全管理
    • 人员安全管理
    • 应用系统安全管理
  • 数据加密与认证

    • 加密体系

      • 对称加密

        系统集成项目管理工程师(软考中级)—— 第五章 信息系统安全 笔记分享_第1张图片

        • 要求:需要强大的加密算法,发送方和接收方必须保证密钥的安全
        • 优点:加密速度快
        • 缺点:加密强度不高、密钥分发困难应用:大量数据的加密
        • 算法:DES、3DES、RC-5、IDEA
      • 非对称加密

        系统集成项目管理工程师(软考中级)—— 第五章 信息系统安全 笔记分享_第2张图片

        • 会用到两把不一样的钥匙
        • 优点:加密强度高,密钥分发简单
        • 缺点:加密速度慢,算法复杂
        • 应用:少量数据的加密
        • 常见算法:RSA (512、1024、2048)、ElGamal、ECC、DSA算法
    • 数字签名

      系统集成项目管理工程师(软考中级)—— 第五章 信息系统安全 笔记分享_第3张图片

      • 保证信息传输的完整性
      • 发送者的身份认证
      • 防止交易中的抵赖发生
      • 应用最为广泛的三种数字签名是Hash签名、DSS签名、RSA签名
      • 常用的消息摘要算法有MD5(消息摘要为128位)、SHA(消息摘要为160位)
    • 信息摘要

      • 数据加密-信息摘要
      • 数字摘要:由单向散列函数加密成固定长度的散列值。

      • 常用的消息摘要算法有MD5,SHA等,市场上广泛使用的MD5,SHA算法的散列值分别为128和160位。
      • 由于SHA通常采用的密钥长度较长,因此安全性高于MD5
  • 信息系统安全

    • 安全保护等级

      系统集成项目管理工程师(软考中级)—— 第五章 信息系统安全 笔记分享_第4张图片

    • 管理体系

      • 配备安全管理人员
      • 建立安全职能部门
      • 成立安全领导小组
      • 主要负责人出任领导
      • 建立信息安全保密管理部门
    • 技术体系

      • 硬件系统安全和物理安全
      • 数据网络传输、交换安全、网络安全
      • 操作系统、数据库管理系统安全
      • 应用软件安全运行
      • 物理安全
      • 运行安全数据安全
    • 安全属性

      • 保密性

        • 应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。
        • 对应措施
          • 最小授权原则
          • 防暴露
          • 信息加密
          • 物理保密
      • 完整性

        • 整性是信息未经授权不能进行改变的特性。即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。
        • 对应措施
          • 协议
          • 纠错编码方法
          • 密码校验
          • 数字签名
          • 公证
      • 可用性

        • 可用性是应用系统信息可被授权实体访问并按需求使用的特性。即信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。
          • 对应措施
            • 身份识别与确认、
            • 访问控制
            • 业务流控制
            • 路由选择控制
            • 审计跟踪
      • 不可抵赖性

        • 在应用系统的信息交互过程中,确信参与者的真实同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
        • 对应措施:数字签名
  • 网络安全

    • 信息安全基本要素

      • 机密性:确保信息不暴露给未授权的实体或进程
      • 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改
      • 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作
      • 可控性:可以控制授权范围内的信息流向及行为方式
      • 可审查性:对出现的网络安全问题提供调查的依据和手段
    • 防火墙

      • 防火墙通常被比喻为网络安全的大门,用来鉴别什么样的数据包可以进出企业内部网。
      • 可以阻止基于IP包头的攻击和非信任地址的访问。
      • 无法阻止和检测基于数据内容的黑客攻击和病毒入侵,
      • 无法控制内部网络之间的违规行为。
    • 扫描器、安全审计

      • 安全审计系统通过独立的、对网络行为和主机操作提供全面与忠实的记录,
      • 方便用户分析与审查事故原因,很像机上的“黑匣子”
      • 扫描器是入侵检测的一种,用于发现网络服务、网络设备和主机的漏洞。
      • 扫描器无法发现正在进行的入侵行为,还有可能成为攻击者的工具
    • 计算机病毒

      系统集成项目管理工程师(软考中级)—— 第五章 信息系统安全 笔记分享_第5张图片

      • 计算机病毒:编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
      • 木马:利用计算机程序漏洞侵入后窃取文件的程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。
      • 蠕虫:一种独立的计算机软件程序,它复制自身以便传播到其他计算机。
      • 防病毒软件对于基于网络的攻击行为(
      • 如扫描、针对漏洞的攻击)却无能为力.
  • 物理安全管理

    • 机房与设施

      • √计算机机房
      • √电源
      • √计算机设备
      • √通信线路
    • 技术控制(监视,出入)

      • √检测监视系统
      • √人员进出机房和操作权限范围控制
    • 环境与人身安全

      • √防火
      • √防漏水和水灾
      • √防静电
      • 防自然灾害
      • 防物理安全威胁
    • 电磁泄露

      • 电磁干扰设备
      • 屏蔽机房(随时关屏蔽门、墙面不允许打孔、线缆需经过过滤器)
  • 人员安全管理

    • 安全组织

    • 岗位安全考核与培训

      • √关键岗位人员统一管理,允许一人多岗,但业务应用操作人员不能由其他关键岗位人员兼任
        • 系统 数据库 网络 不能相互监督
      • √兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作
      • √权限分散要求:“权限分散、不得交叉覆盖”的原则,系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作
      • √多人共管要求:关键岗位人员处理重要事务或操作时,应保持二人同时在场,关键事务应多人共管。
      • √全面控制要求
  • 系统运行安全与保密层次

    • 系统级安全

      • 敏感系统的隔离、访问IP地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制;应用系统的第一道防护大门
    • 资源访问安全

      • 对程序资源访问进行安全控制。客户端控制菜单和操作按钮;服务器端对URL程序资源访问控制、业务服务类方法访问控制
    • 功能性安全

      • 对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小
    • 数据域安全

      • 行级数据域安全;字段级数据域安全
  • 小结

    • 网络安全机密性-完整性-可用性-可控性-可审查性-防火墙-扫描器-防病毒-安全审计系统
    • 信息安全管理-信息系统安全属性(保密性-完整性-可用性-不可抵赖性)-信息系统安全体系(物理安全-运行安全-数据安全)---信息系统安全保护等级---物理安全管理----安全人员安全(岗位安全考核与培训)-应用系统安全管理(系统运行安全域保密的层次构成-系统运行安全检查与记录)

你可能感兴趣的:(系统集成项目管理工程师,软考中级,系统安全,安全)