学信息系统项目管理师第4版系列11_信息安全管理

news2024/12/24 23:59:37

1. 信息安全基础

1.1. 保密性(Confidentiality)

1.1.1. 信息不被未授权者知晓的属性

1.1.2. 确保信息不暴露给未授权的实体或进程

1.2. 完整性(Integrity)

1.2.1. 信息是正确的、真实的、未被篡改的、完整无缺的属性

1.2.2. 只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改

1.2.2.1. 【高21上选13】
1.2.2.1.1. 【高20下选12】

1.3. 可用性(Availability)

1.3.1. 信息可以随时正常使用的属性

1.3.2. 得到授权的实体在需要时可访问数据,即攻击者不能占用所有资源而阻碍授权者工作

1.4. 可控性

1.4.1. 可以控制授权范围内的信息流向及行为方式

1.5. 可审查性

1.5.1. 对出现的网络安全问题提供调查的依据和手段

1.6. 3版

1.7. 【高20下选73】

1.7.1. 【高23上选74】

1.8. 信息系统“安全空间”三个维度包括安全机制、网络参考模型和安全服务

1.8.1. 【高22下选65】

1.9. 四个层次

1.9.1. 设备安全

1.9.1.1. ①设备的稳定性
1.9.1.2. ②设备的可靠性
1.9.1.3. ③设备的可用性
1.9.1.4. 【高21下选13】
1.9.1.4.1. 【高18上选15】

1.9.2. 数据安全

1.9.3. 数据安全

1.9.3.1. 数据加密
1.9.3.2. 安全的数据使用行为
1.9.3.3. 数据流通的安全可控
1.9.3.4. 磁盘阵列数据备份和恢复以及异地容灾等为了防止数据丢失或损坏
1.9.3.4.1. 【高22上选12】
1.9.3.5. 具体到功能就是数据加密、数据操作行为的审计以及操作权限的分配、数据在不同场景的安全流通,预防各种流通过程的泄密行为发生
1.9.3.5.1. 【高19下选11】

1.9.4. 内容安全

1.9.5. 行为安全

1.9.5.1. 【高19上选15】

2. 安全工程

2.1. 信息安全系统服务于业务应用信息系统并与之密不可分,但又不能混为一谈

2.2. 信息系统工程

2.2.1. 信息安全系统工程

2.2.1.1. 为了达到建设好信息安全系统的特殊需要而组织实施的工程
2.2.1.2. 不是信息系统安全工程
2.2.1.3. 建设一个信息安全系统

2.2.2. 业务应用信息系统工程

2.2.2.1. 信息系统集成项目工程
2.2.2.2. 为了达到建设好业务应用信息系统所组织实施的工程

3. 安全系统

3.1. 信息安全保障系统一般简称为信息安全系统

3.2. 安全机制

3.2.1. 基础设施实体安全

3.2.1.1. 机房安全
3.2.1.2. 场地安全
3.2.1.3. 设施安全
3.2.1.4. 动力系统安全
3.2.1.5. 灾难预防与恢复

3.2.2. 平台安全

3.2.2.1. 操作系统漏洞检测与修复
3.2.2.2. 网络基础设施漏洞检测与修复
3.2.2.3. 通用基础应用程序漏洞检测与修复
3.2.2.4. 网络安全产品部署

3.2.3. 数据安全

3.2.3.1. 介质与载体安全保护
3.2.3.2. 数据访问控制
3.2.3.3. 数据完整性
3.2.3.4. 数据可用性
3.2.3.5. 数据监控和审计
3.2.3.6. 数据存储与备份安全

3.2.4. 通信安全

3.2.4.1. 通信线路和网络基础设施安全性测试与优化
3.2.4.2. 安装网络加密设施
3.2.4.3. 设置通信加密软件
3.2.4.4. 设置身份鉴别机制
3.2.4.5. 设置并测试安全通道
3.2.4.6. 测试各项网络协议运行漏洞

3.2.5. 应用安全

3.2.5.1. 业务软件的程序安全性测试(Bug分析)
3.2.5.2. 业务交往的防抵赖测试
3.2.5.3. 业务资源的访问控制验证测试
3.2.5.4. 业务实体的身份鉴别检测
3.2.5.5. 业务现场的备份与恢复机制检查
3.2.5.6. 业务数据的唯一性与一致性及防冲突检测
3.2.5.7. 业务系统的可用性测试
3.2.5.8. 业务数据的保密性测试
3.2.5.9. 业务系统的可靠性测试
3.2.5.10. 业务系统的可用性测试

3.2.6. 运行安全

3.2.6.1. 应急处置机制和配套服务
3.2.6.2. 网络系统安全性监测
3.2.6.3. 网络安全产品运行监测
3.2.6.4. 定期检查和评估
3.2.6.5. 系统升级和补丁提供
3.2.6.6. 跟踪最新安全漏洞及通报
3.2.6.7. 灾难恢复机制与预防
3.2.6.8. 系统改造管理
3.2.6.9. 网络安全专业技术咨询服务

3.2.7. 管理安全

3.2.7.1. 人员管理
3.2.7.2. 培训管理
3.2.7.3. 应用系统管理
3.2.7.4. 软件管理
3.2.7.5. 设备管理
3.2.7.6. 文档管理
3.2.7.7. 数据管理
3.2.7.8. 操作管理
3.2.7.9. 运行管理
3.2.7.10. 机房管理

3.2.8. 授权和审计安全

3.2.9. 安全防范体系

3.2.9.1. 综合的WPDRRC信息安全保障体系
3.2.9.1.1. 预警(Warn)
3.2.9.1.2. 保护(Protect)
3.2.9.1.3.  检测(Detect)
3.2.9.1.4. 反应(Response)
3.2.9.1.5. 恢复(Recover)
3.2.9.1.6. 和反击(Counter-attack)

4. 安全服务

4.1. 对等实体认证服务

4.1.1. 两个开放系统同等层中的实体建立链接或数据传输时,对对方实体的合法性、真实性进行确认,以防假冒

4.2. 数据保密服务

4.3. 数据完整性服务

4.3.1. 防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失

4.3.2. 带恢复功能的链接方式数据完整性

4.3.3. 不带恢复功能的链接方式数据完整性

4.3.4. 选择字段链接方式数据完整性

4.3.5. 选择字段无链接方式数据完整性

4.3.6. 无链接方式数据完整性

4.3.7. 【高23上选12】

4.4. 数据源点认证服务

4.4.1. 确保数据发自真正的源点,防止假冒

4.5. 禁止否认服务

4.5.1. 不得否认发送

4.5.2. 不得否认接收

4.5.3. 数字签名具备发送方不能抵赖、接收方不能伪造的能力

4.5.3.1. 【高18上选16】

4.6. 犯罪证据提供服务

4.6.1. 为违反国内外法律法规的行为或活动,提供各类数字证据、信息线索

5. 安全技术

5.1. 加密解密

5.1.1. 对称加密以数据加密标准(Data Encryption Standard, DES)算法为典型代表

5.1.1.1. 对称加密的加密密 钥和解密密钥相同

5.1.2. 非对称加密通常以RSA (Rivest Shamir Adleman)算法为代表

5.1.2.1. 公开密钥密码有基于大合数因子分解困难性的 RSA 密码类和基于离散对数问题困难性的 ELGamal 密码类
5.1.2.1.1. 【高22上选14】
5.1.2.2. RSA
5.1.2.2.1. 非对称加密通常以 RSA 算法为代表。对称加密的加密密钥和解密密钥相同, 而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密
5.1.2.2.1.1. 【高21下选15】
5.1.2.2.2. 它基于一个非常简单的数论事实:将两个大素数相乘十分容易,但是要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥
5.1.2.2.2.1. 【高21上选14】

5.2. 安全行为分析技术

5.2.1. 用户和实体行为分析(User and Entity Behavior Analytics,UEBA)

5.2.1.1. 数据获取层
5.2.1.2. 算法分析层
5.2.1.3. 场景应用层

5.3. 网络安全态势感知(Network Security Situation Awareness)

5.3.1. 在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示,并据此预测未来的网络安全发展趋势

5.3.2. 安全态势感知的前提是安全大数据,其在安全大数据的基础上进行数据整合、特征提取等,然后应用一系列态势评估算法生成网络的整体态势状况,应用态势预测算法预测态势的发展状况,并使用数据可视化技术,将态势状况和预测情况展示给安全人员,方便安全人员直观便捷地了解网络当前状态及预期的风险

5.3.2.1. 【高23上选03】

5.3.3. 海量多元异构数据的汇聚融合技术

5.3.4. 面向多类型的网络安全威胁评估技术

5.3.5. 网络安全态势评估与决策支撑技术

5.3.6. 网络安全态势可视化

5.4. 只有防火墙需要部署策略

5.4.1. 【高19下选12】

5.4.2. 防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,所以是一种静态安全技术

5.4.2.1. 【高19上选17】

5.5. 入侵检测系统(IDS)注重的是网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。因此绝大多数 IDS 系统都是被动的

5.5.1. 【高18上选17】

5.6. 网页防篡改技术包括时间轮询技术、核心内嵌技术、事件触发技术、文件过滤驱动技术等

5.6.1. 【高19上选18】

5.6.1.1. 【高18上选18】

6. 访问控制

6.1. 访问控制是为了限制访问主体 (或称为发起者,是一个主动的实体,如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限,从而使计算机信息应用系统在合法范围内使用;访问控制机制决定用户以及代表一定用户利益的程序能做什么及做到什么程度

6.1.1. 【高21上选63】

6.2. 认证通过数字证书进行,而访问控制通过属性证书或访问控制列表(ACL)完成

6.2.1. AC 即属性证书,表示证书的持有者(主体)对于一个资源实体(客体)所具有的权限,它是由一个做了数字签名的数据结构来提供的,这种数据结构称为属性证书,由属性证书管理中心 AA 签发并管理

6.2.1.1. 【高22上选64】

6.3. 访问控制授权方案有 4 种

6.3.1. DAC 自主访问控制方式

6.3.1.1. 【高21上选64】
6.3.1.1.1. 【高20下选64】

6.3.2. MAC 强制访问控制方式

6.3.2.1. 该模型在军事和安全部门中应用较多,目标具有一个包含等级的安全标签(如:不保密、限制、秘密、机密、绝密)
6.3.2.1.1. 【高19下选64】
6.3.2.2. 访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标
6.3.2.2.1. 【高21下选64】

6.3.3. ACL 访问控制列表方式:该模型是目前应用最多的方式。

6.3.4. RBAC 基于角色的访问控制方式

7. 安全审计

7.1. 两方面的内容

7.1.1. 【高22上选65】

7.1.1.1. 【高21下选65】

7.1.2. 采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断

7.1.3. 对信息内容和业务流程进行审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失

7.1.3.1. 【高19下选65】

7.2. CC (即 Common Criteria ISO/IEC 17859)标准将安全审计功能分为 6个部分

7.2.1. 【高18下选18】

7.2.2. 安全审计自动响应功能

7.2.3. 安全审计自动生成功能

7.2.4. 安全审计分析(AU_SAA)功能定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应

7.2.4.1. 【高20下选65】

7.2.5. 安全审计浏览功能

7.2.6.  安全审计事件选择功能

7.2.7. 安全审计事件存储功能

8. 信息安全系统工程能力成熟度模型(ISSE-CMM)

8.1. 信息安全系统工程能力成熟度模型是一种衡量信息安全系统工程实施能力的方法,是使用面向工程过程的一种方法

8.1.1. 【高22上选63】

8.2. ISSE 将信息系统安全系统工程实施过程分为工程过程、风险过程、保证过程

8.2.1. 【高21下选63】

8.3. 充分定义级(Level3级)的公共特性逻辑域

8.3.1. 【高21上选65】

9. 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立风险得到充分管理的信心

9.1. 【高21下选73】

10. 系统安全策略“七定”要求

10.1. 定方案

10.1.1. 【高20下选63】

10.2. 定岗

10.3. 定位

10.4. 定员

10.5. 定目标

10.6. 定制度

10.7. 定工作流程

10.8. 【高18下选16】

11. 信息安全等级保护管理办法

11.1. 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害

11.1.1. 【高19上选16】

12. 《计算机信息系统安全保护等级划分准则》(GB17859—1999)

12.1. 信息系统的安全保护等级由两个定级要素决定

12.1.1. 【高19下选63】

12.1.2. 等级保护对象受到破坏时所侵害的客体

12.1.3. 对客体造成侵害的程度

12.2. 第一级用户自主保护级。通过隔离用户与数据,使用户具备自主安全保护的能力。

12.2.1. 适用于普通内联网用户

12.3. 第二级系统审计保护级。实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责

12.3.1. 适用于通过内联网或国际网进行商务活动,需要保密的非重要单位

12.4. 第三级安全标记保护级。具有系统审计保护级的所有功能

12.4.1. 还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力;消除通过测试发现的任何错误

12.4.2. 适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位

12.4.2.1. 【高22下选64】

12.5. 第四级结构化保护级。建立于一个明确定义的形式安全策略模型之上,要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体

12.5.1. 适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部月、尖端科技企业集团、国家重点科研单位机构和国防建设等部门

12.6. 第五级访问验证保护级。满足访问控制器需求。

12.6.1. 适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位

12.7. 【高18下选17】

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1038262.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

React中的受控组件(controlled component)和非受控组件(uncontrolled component)

聚沙成塔每天进步一点点 ⭐ 专栏简介⭐ 组件⭐ 写在最后 ⭐ 专栏简介 前端入门之旅:探索Web开发的奇妙世界 欢迎来到前端入门之旅!感兴趣的可以订阅本专栏哦!这个专栏是为那些对Web开发感兴趣、刚刚踏入前端领域的朋友们量身打造的。无论你是…

【李沐深度学习笔记】自动求导

课程地址和说明 自动求导p1 本系列文章是我学习李沐老师深度学习系列课程的学习笔记,可能会对李沐老师上课没讲到的进行补充。 吸取上一次写文章的经验,这次公式部分尽量采用直接截图,不用lateX,用lateX有一些浪费时间 自动求导…

MySQL 的 C 语言接口

1. mysql_init MYSQL *mysql_init(MYSQL *mysql); mysql_init函数的作用:创建一个 MYSQL 对象(该对象用于连接数据库)。 mysql_init函数的参数: ① mysql:MYSQL 结构体指针,一般设置为 NULL 。 mysql_init函…

国产5G手机20天销量不及苹果一天,被iPhone15按在地上摩擦

iPhone15的上市销售,最大竞争对手无疑是国产5G手机,如今iPhone15上市首日的销量数据也已经出炉,高达200万台,这比国产5G手机卖20天的销量还要多,iPhone15让国产手机领教了什么叫遥遥领先。 据了解苹果对iPhone15的预期…

【动手学深度学习-Pytorch版】门控循环单元GRU

关于GRU的笔记 支持隐状态的门控:这意味着模型有专门的机制来确定应该何时更新隐状态, 以及应该何时重置隐状态。 这些机制是可学习的,并且能够解决了上面列出的问题。 例如,如果第一个词元非常重要, 模型将学会在第一…

SpringMVC基础(一)——Servlet简介

1. Hello Servlet (1) 创建父工程 删除src文件夹 引入一些基本的依赖 <!--依赖--> <dependencies><dependency><groupId>junit</groupId><artifactId>junit</artifactId><version>4.12</version><scope>test<…

Spring学习笔记8 Bean的循环依赖问题

Spring学习笔记7 Bean的生命周期_biubiubiu0706的博客-CSDN博客 什么是Bean的循环依赖 A对象中有B属性,B对象中有A属性.这就是循环依赖,我依赖你,你依赖我。你侬我侬 这种情况下会不会出问题? 1.singleton下的set注入产生的循环依赖 2.prototype下的set注入产生的循环依赖 B…

010_第一代软件开发(二)

第一代软件开发(二) 文章目录 第一代软件开发(二)项目介绍界面布局功能完善快照功能获取可用串口播放按键提示音 关键字&#xff1a; Qt、 Qml、 QSerialPort、 QPixmap、 QSoundEffect 项目介绍 欢迎来到我们的 QML & C 项目&#xff01;这个项目结合了 QML&#xff…

论文《Enhancing Hypergraph Neural Networks with Intent Disentanglement for SBR》阅读

论文《Enhancing Hypergraph Neural Networks with Intent Disentanglement for Session-based Recommendation》阅读 IntroductionPreliminaries问题形式化Hypergraph Methodology嵌入层 &#xff08;Intent-Aware Embedding&#xff09;会话超图构建 微观解耦宏观解耦预测层模…

SpringMVC+入门案例

一、入门案例 1.依赖导入 <!--1. 导入SpringMVC与servlet的坐标--> <dependencies> <dependency> <groupId>javax.servlet</groupId> <artifactId>javax.servlet-api</artifactId> <version>3.1.0</version> <scop…

postgresql-数据库与模式

postgresql-数据库 基本概念创建数据库修改数据库删除数据库管理模式 基本概念 数据库管理系统&#xff08;DBMS&#xff09;是用于管理数据库的软件系统。常见的关系型DBMS有PostgreSQL、 MySQL、Oracle、Microsoft SQL Server、SQLite 等。常见的 NoSQL 数据库有 Redis、Mon…

vue3-ts-vite:Google 多语言调试 / 翻译

一、实现目标 二、代码实现 2.1、项目vue3 - ts - vite 2.2、index.html 引入文件 <script>window.onload function () {const script document.createElement(SCRIPT)script.src https://translate.google.com/translate_a/element.js?cbgoogleTranslateElementI…

kr 第三阶段(六)C++ 逆向

结构体 结构体对齐 设置结构体对齐值 方法1&#xff1a;在 Visual Studio 中可以在 项目属性 -> 配置属性 -> C/C -> 所有选项 -> 结构体成员对齐 中设置结构体对齐大小。方法2&#xff1a;使用 #pragma pack(对齐值) 来设置&#xff0c;不过要想单独设置一个结…

2023 “华为杯” 中国研究生数学建模竞赛(D题)深度剖析|数学建模完整代码+建模过程全解全析

问题一&#xff1a;区域碳排放量以及经济、人口、能源消费量的现状分析 思路&#xff1a; 定义碳排放量 Prediction 模型: CO2 P * (GDP/P) * (E/GDP) * (CO2/E) 其中: CO2:碳排放量 P:人口数量 GDP/P:人均GDP E/GDP:单位GDP能耗 CO2/E:单位能耗碳排放量 2.收集并统计相关…

vuereact质检工具(eslint)安装使用总结

1、ESLint ESLint工具主要类似java中的checkStyle和findbugs&#xff0c;是检查代码样式和逻辑规范的工具。 1.1、ESLint安装流程 打开VSCode软件&#xff0c;打开扩展中心&#xff0c;下载ESLint插件 图1.1 点击后面的install按进行安装&#xff0c;如图1.2所示&#xff1…

MySQL(8) 优化、MySQL8、常用命令

一、MySQL优化 从上图可以看出SQL及索引的优化效果是最好的&#xff0c;而且成本最低&#xff0c;所以工作中我们要在这块花更多时间。 服务端参数配置&#xff1b; max_connections3000 连接的创建和销毁都需要系统资源&#xff0c;比如内存、文件句柄&#xff0c;业务说的支持…

代码随想录算法训练营第四十二天| 01背包问题,你该了解这些! 01背包问题,你该了解这些! 滚动数组 416. 分割等和子集

正式开始背包问题&#xff0c;背包问题还是挺难的&#xff0c;虽然大家可能看了很多背包问题模板代码&#xff0c;感觉挺简单&#xff0c;但基本理解的都不够深入。 如果是直接从来没听过背包问题&#xff0c;可以先看文字讲解慢慢了解 这是干什么的。 如果做过背包类问题&…

网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson反序列化漏洞)

文章目录 一、什么是json?二、Fastjson介绍三、Fastjson-历史漏洞四、Fastjson特征1、在请求包里面有json格式的2、报错信息中会显示fastjson字眼 五、Fastjson序列化和反序列化六、Fastjson反序列化漏洞原理七、Fastjson反序列化漏洞过程八、Fastjson反序列化漏洞&#xff08…

农林种植类VR虚拟仿真实验教学整体解决方案

传统的葡萄嫁接需要在固定月份&#xff0c;实操成本高&#xff0c;管理周期长&#xff0c;葡萄嫁接VR虚拟仿真实训是VR虚拟仿真公司深圳华锐视点通过在虚拟环境中模拟葡萄嫁接过程&#xff0c;融入教学和实训考核多种模式&#xff0c;打造了全新的职业技能培训方式。 葡萄嫁接V…

【Java实战项目】【超详细过程】—— 大饼的图片服务器6

目录 前言一、引入MD51.引入md5计算依赖2.按照md5值查找图片属性3.存储图片4.删除图片 二、防盗链三、分类查看图片1.思路&#xff1a;2.数据库3.Image4.from表单5.ImageDao类中原有方法6.按照类型sort在数据库中查找图片属性7.ImageServlet 类8.ImageSortServlet类9.WEB.xml绑…