【信息系统项目管理师】第二十二章 信息系统安全管理思维导图

【信息系统项目管理师】第二十二章 信息系统安全管理思维导图

【信息系统项目管理师】第二十二章 信息系统安全管理思维导图_第1张图片

系统安全管理主要分为信息系统的安全策略,安全工程,安全审计和PMI授权这四类;国家安全保护等级属于信息系统的安全策略,它一共有五种。

【信息系统项目管理师】第二十二章 信息系统安全管理思维导图_第2张图片

安全策略包括木桶理论,七定原则,总原则和特殊原则,还有策略的四大错误目标定位;木桶理论,这个就不用多解释了,最短那块木板就决定了信息系统的安全能力,安全策略要定得比较靠谱才可以,系统永不停机,网络永不瘫痪,信息永不泄密,数据永不丢失,这些策略说实话,有些不靠谱了,不能这样错误定位;安全策略一定要定制,因为需要针对自己单位的安全风险;安全策略中还要记住七定法则:定岗,定方案,定位,定员,定目标,定工作流程,其中应该先定方案再定岗。

在安全策略中有几个原则需要注意,最小特权原则和职责分离原则是两个特殊原则。

除此以外还有什么以人为本,规范定级原则,全面防范,突出重点原则等。

【信息系统项目管理师】第二十二章 信息系统安全管理思维导图_第3张图片

接下来说说国家的安全等级保护等级,第一级是用户自主保护级,保护普通内联网用户,当互联网那个人用户受到损害的时候适用;第二级是系统审计保护级,需要保密的重要单位,对公共利益造成损害的时候使用该保护级;第三级是安全标记保护级,在对国家利益造成损害的时候使用,适用于地方各级国家机关金融机构单位;第四期是结构化保护级,一般在对国家利益造成严重损害时使用,或者在对公共事业造成特别严重损害的时候,也可以使用,适用单位有中央国家机关和国家重点科研机构;访问验证保护级是第五级,也是最高的安全级,适用在国防安全部门,需要对信息系统进行隔离的单位,当对国家利益造成特别严重损害的时候才拿出来使用。

【信息系统项目管理师】第二十二章 信息系统安全管理思维导图_第4张图片

接下来说说安全审计的内容,它的作用可以对攻击威胁起到威慑作用,对于已经发生的系统破坏行为,提供有效的追溯证据,为系统安全管理员提供有价值的系统日志,为系统管理员提供系统运行的日志。提供有价值的日志,帮助发现系统的漏洞,提供运行的日志,帮助发现性能不足和需要改善的地方,所以安全审计也被比喻为黑匣子和守护神。安全审计分类为三类:系统级审计,用户级审计,应用级审计。审计代理(Agent)也有三种:网络监听型,系统嵌入型,主动信息获取型。说到安全审计,不得不提及入侵检测,这两个方法一般都是同时使用到信息系统的开发中,任何一方都不能单独另一方而存在,因为完整的安全审计需要入侵检测系统和应用系统的审核分析资料,那么什么是入侵检测呢?它采用了以攻为守的策略,不仅对外检测还对内检测,看看内部是否有未授权的活动,对恶意行为进行积极识别和响应的过程,为恶意入侵进行有效留证。其实从概念上就可以看出,入侵检测和安全审计之间的关系,入侵检测的手段就是为了安全审计,而入侵检测获取的数据就可以用于安全审计。最后是审计分析和分布式审计系统的概念,分布式审计系统分为审计中心,审计Agent,审计控制台三个;审计分析则是潜在攻击分析,基于模版的异常检测,简单攻击试探和复杂攻击试探。

【信息系统项目管理师】第二十二章 信息系统安全管理思维导图_第5张图片

PMI权限里面一共需要了解PMI和PKI之间的区别,访问控制授权方案以及四种访问授权方案之间的区别和联系;PMI用来进行授权管理,简单来说就是告诉你我能做什么;而PKI用来身份鉴别,告诉别人我是谁;他们两者就如同护照和签证的区别。CA是PKI的核心,是公正权威并且可信的第三方机构。

授权访问的控制方案一共有四种;RBAC是基于角色的访问控制,给不同的角色以不同的权限;MAC强制访问控制方式,访问者拥有包含列表的许可,列表以外的就没有权限;DAC是自主访问控制的方式,针对每个用户,指定能够访问的资源,你用户为本;ACL叫做访问控制列表方式,他是以资源为本,告诉大家哪些资源有哪些人可以访问。RBAC规定用户不能将自己的权限授权给别的用户,而DAC沒有這個限制;MAC相比于其他的安全机制,他还有多级安全需求的特点。

【信息系统项目管理师】第二十二章 信息系统安全管理思维导图_第6张图片

最后聊聊信息系统安全工程,首先有一个三维空间的概念,X代表安全机制,Y代表OSI网络参考模型,Z代表安全服务;安全服務有五大要素:认证,权限,完整性,加密和不可否认。 而跟安全相關的安全技術也有五個:加密技术,访问控制技术,数字签名技术,认证技术,数据完整性技术。信息工程安全中有三个架构:MIS-S是初级,S-MIS是中级,S2-MIS是高级;在安全过程的概念中,有威胁和脆弱性这两个概念,威胁一般来自信息系统外部,而脆弱性则来自信息系统的内部;数字证书的概念是认证机构经过数字签名之后,发给网上信息交易主体。X.509是密码学里公钥证书的格式标准。 X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里,同时它也用在很多非在线应用场景里,比如电子签名服务。

  • Back To Root

【信息系统项目管理师】第二十二章 信息系统安全管理(考点汇总篇)_千月星跡-CSDN博客_信息系统项目安全管理

你可能感兴趣的:(#,大话项目管理)