信息安全的复习资料.docVIP

计算机病毒的类型： ①系统病毒：感染特定类型的文件，破坏操作系统的完整性，破坏硬盘数据，破坏计算机硬件。病毒前缀为：win32，PE，Win95等。例如CIH病毒； ②蠕虫病毒：利用操作系统漏洞进行感染和传播，产生大量垃圾流量，严重影响网络性能。病毒前缀：Worm，例如冲击波病毒； ③木马病毒、黑客病毒：实现对计算机系统的非法远程控制、窃取包含敏感信息的重要数据，木马病毒前缀：Trojan，黑客病毒前缀为Hack. ④后门病毒： 前缀：Backdoor，该类病毒的公有特性是通过网络传播，给系统开后门。 其他：脚本病毒、宏病毒、玩笑病毒等。 三分技术、七分管理。 引起信息安全问题的主要因素： 技术因素 网络系统本身存在安全脆弱性； 管理因素 组织内部没有建立相应的信息安全管理制度； 据有关部分统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%是火灾、水灾等自然灾害引起的，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成的。简单的说，属于管理方面的原因比重高达70%以上，故而说“三分技术、七分管理”。 信息安全（Information Security）的特征： ①保密性(confidentiality)：保证信息只让合法用户访问； ②完整性(integrity)：保障信息及其处理方法的准确性、完全性； ③可用性(usability)：保证合法用户在需要时可以访问到信息及相关资产； ④可控性、可靠性。 信息安全管理（ Information Security Management）：通过维护信息机密性、完整性和可用性，来管理和保护组织所有信息资产的一项体制，是信息安全治理的主要内容和途径，信息安全治理为信息安全管理提供基础的制度支持。其内容为信息安全管理体系的建立、风险评估、安全规划、项目管理、物理安全管理、信息安全培训。 信息安全管理的基本原则： ①分权制衡原则； ②最小特权原则； ③选用成熟技术原则； ④普遍参与原则； 信息安全管理体系（Information Security Management System, ISMS）：是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立基于系统、全面、科学的安全风险评估，以保障组织的技术和商业机密，保障信息的完整性和可用性，最终保持其生产、经营活动的连续性。 PDCA过程管理模型： 策划（plan）建立ISMS模型：根据组织的整体方针和目标，建立安全策略、目标以及管理风险和改进信息安全相关的过程和程序，以获得结果。 实施（do）实施和运行ISMS:实施和运行安全策略、控制、过程和程序。 检查（check）监视和评审ISMS：适用时，根据安全策略、目标和惯有经验评估和测量过程业绩，向管理层报告结果，进行审核。 改进（act）改进和保持ISMS，根据内部ISMS审核和管理评审或其他信息，采取纠正和预防措施，以实现ISMS的持续改进。 建立ISMS过程:定义信息安全政策（最高方针）；定义ISMS的范围；进行信息安全风险评估；确定管制目标选择管制措施；准备信息安全适用性申明。 ISMS的符合性：与法律要求的符合性；符合安全方针、标准，技术符合性；信息系统审计的考虑。 信息安全管理体系认证的目的： ①获得最佳的信息安全运行方式； ②保证商业安全； ③降低风险，避免损失； ④保持核心竞争优势； ⑤提高商业活动中的信誉； ⑥增强竞争能力； ⑦满足客户需求； ⑧保证可持续发展； ⑨符合法律法规的要求； 认证依据：BS7799-2:2002标准，ISO27001系列，ISO27001：2005; 认证流程： 启动审核（提出申请、信息交流、受理申请），预审（模拟审核）； 文件审核（检查组织所建立的文件化体系是否符合标准化要求，若未通过则需修改）； 现场审核（审核计划：现场观察），获证并维持（注册、发证、定期复审、期满重新审核） 风险管理五要素：资产、威胁、弱点、风险、影响 风险管理：识别和控制机构面临的风险的过程。包括风险评估和风险控制两个内容。 风险管理描述性定义： ①识别和评估资产及其价值。 ②识别资产面临的威胁，评估威胁发生的可能性。 ③识别资产中存在的弱点，评估被利用的容易程度。 ④评估威胁事件发生的后果或影响。 ⑤风险控制策略的选择。 基线评估：基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。 优点：需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。 缺点：基线水平的高低