CISP总结-信息安全保障知识点
1. 信息安全特征:信息安全是系统的安全,是动态的安全,是无边界的安全,是非传统的安全。
2. 信息系统包含三个要素:信息,计算机网络系统和运行环境。
3. 1985年,美国国防部的可信计算机系统评估保障(TCSEC,橙皮书),将操作系统安全分级(D、C1、C2、B1、B2、B3、A1).
4. 信息技术安全性评估准则,即通用准则CC(ISO/IEC 15408,GB/T 18336),其中保障定义为,实体满足其安全目的的信心基础。
5. 风险是指威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。
6. 信息安全管理体系-ISMS,国际上主流的信息系统管理体系的标准有ISO/IEC 17799,英国标准协会(BSI)的7799
7. 信息安全保障模型:保障要素:管理、工程、技术、人员。安全特征:保密、完整、可用。生命周期:规划组织、开发采购、实施交付、运行维护、废弃。策略和风险是安全保障的核心
问题。
信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
8. 风险管理贯穿整个信息系统生命周期,包括对象确立,风险评估,风险控制,审核批准,监控与审查和沟通与咨询6个方面。
9. 基于时间的PDR模型(保护-检测-响应)是信息安全保障工作中常用的模型。该模型的出发点是基于这样的前提:任何安全防护措施都是基于时间的,超过该时间段,这种防护措施是可能被攻破。
10. P2DR(策略-保护检测响应):所有的行为都是依据安全策略实施的。该模型强调安全管理的持续性、安全策略的动态性。防护时间Pt,检测时间Dt,反应时间Rt:
如果pt>dt+rt,则系统安全;如果pt<dt+rt,则暴露时间Et=(dt+rt)-pt
11. PDCA(计划、实施、检查、改进)是信息安全管理体系ISMS的核心。
12. 深度防御战略是信息安全保障技术框架(IATF)的核心思想,主要包括三个层面:人,技术和运行维护。即人在技术支持下进行运行维护的信息安全保障问题。
从技术层面,根据信息安全的需求,把信息系统解构为四个基本方面:保护网络和基础设施、保护区域边界、保护计算环境和支持性基础设施。
提供了层次化的保护策略。多点防御、分层防御。
13. 信息安全保障的基本原则——信息安全的等级保护制度
14. 《关于加强信息安全保障工作的意见》(中办发[2003]27号)是我国信息安全保障工作的基础性文件。
15. 准确地提取安全需求:一方面可以保证安全措施可以全面覆盖信息系统面临的风险,是安全防护能力达到业务目标法规政策的要求的基础。另一方面可以提高安全措施的针对性,避免不必要的安全投入,防止浪费。
16. 确定信息系统安全保障具体需求的方法:政策符合性和风险评估
17. 信息系统安全保障的具体需求由信息系统保护轮廓(ISPP)确定。  信息系统保护轮廓(IS
PP)是根据组织机构使命和所处的运行环境,从组织机构的策略和风险的实际情况出发,对具体信息系统安全保障需求和能力进行具体描述。表达一类产品或系统的安全目的和要求。
ISPP是从信息系统的所有者(用户)角度规范化、结构化的描述信息系统安全保障需求。
18. 信息安全保障解决方案是一个动态的风险管理过程,通过对信息系统生命周期内风险的控制,来解决在运行环境中信息系统安全建设所面临的各种问题,从而有效保障业务系统及应用的持续发展。
19. 信息安全保障解决方案制定的原则:1.以风险评估法规要求非传统安全包括哪些内容得出的安全需求为依据2. 贴合实际具有可实施性
20. 信息系统安全目标ISST)是根据信息系统保护轮廓(ISPP)编制的信息系统安全保障方案。是从信息系统安全保障的建设方(厂商)的角度制定的信息系统安全保障方案。
21. 信息安全保障实施的原则:以信息安全保障方案为依据,覆盖方案提出的建设目标和建设内容;规范的实施过程(实施的质量、进度和成本必须受控,实施过程中出现的变更必须受控,充分考虑实施风险,如资源不足、组织文化的抵触情绪、对业务正常运行造成的影响、信息泄露或破坏等)

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。