CISP知识点总结.doc

信息安全保障 第一章 信息安全保障基础 1、信息安全发展阶段： 通信安全——计算机安全——信息系统安全——信息系统安全保障 2、信息系统安全的特征： 系统性——动态性——无边界性——非传统性 3、信息安全、系统及业务的关系 信息安全为了完成组织机构的使命 4、信息系统保障的定义 GB/T18336|ISO15408实体满足其安全目的的信心基础 5、信息系统安全保障模型 保障要素——管理、工程、技术、人员 生命周期——规划组织、开发采购、实施交付、运行维护、废弃 安全特征——保密性、完整性、可用性 6、信息系统安全保障模型主要特点： 将风险和策略作为基础和核心 动态安全模型，贯穿信息系统生命周期的全国产 强调保障观念，提供了对信息系统安全保障的信心 通过风险和策略为基础，实施技术、管理、工程、人员保障要素，实现安全特征-保密性-完整性-可用性，达到 保障组织机构使命的目的 7、IATF 三个主要层面：人员——技术——运行 深度防御技术方案：多点防御——分层防御 8、信息化安全问题： 针对信息网络的破坏活动日益严重 安全漏洞和隐患增多 黑客攻击、恶意代码、病毒 9、构建国家安全保障体系内容： 组织与管理体制机制 健全法律法规体系 完善标准体制 建立技术体系 建设基础设施 建立人才培养体系 第二章 信息安全法规与政策 10、全面规范信息安全的法律法规 18部 11、刑法——侧重于信息安全犯罪处罚 285——非法侵入计算机信息系统罪——3年以下、3~7年 286——破坏计算机信息系统罪——5年以下，5年以上 287——利用计算机实施犯罪的提示性规定 12、相关法律法规 宪法第二章第40条 全国人大关于维护互联网安全的决定——2000.12.28 中华人民共和国计算机信息系统安全保护条例——1994.2.18 中华人民共和国计算机信息网络国际联网管理暂行规定——1997.5.20 计算机信息网络国际联网安全保护管理办法（公安部）——1997.12.16 互联网信息服务管理办法——2000.9.25 计算机信息系统安全专用产品检测和销售许可证管理办法（公安部）——1997.12.12 商用密码管理条例——1999.10.7 计算机信息系统保密管理暂行规定（保密局）——1998.2.26 计算机信息系统国际联网保密管理规定（保密局）——2000.1.25 计算机病毒防治管理办法（公安部）——2000.4.26 保守国家秘密法——2010.4.29 13、国家政策 国家信息化领导小组关于加强信息安全保障工作的意见——中办发【2003】27号 总体要求和主要原则-等保-密码-安监-应急-技术-法规和标准化-人才-资金-领导 14、关于开展信息安全风险评估的意见——国信办【2006】5号 等保——中办43号 成立测评中心——中办51号 第三章 信息安全标准 15、标准和标准化基本概念： 为了在一定范围内获得最佳秩序，经协商一致，由公认机构批准，共同使用和重复使用，的规范性文件 16、标准化工作原则： 简化——统一——协调——优化 17、国际信息安全标准化组织 ISO——国际标准化组织 IEC——国际电工委员会 ITU——国际电信联盟 IETF——internet工程任务组 ISO/SC27——安全技术分委员会 ISO/IEC JTC1——信息技术标准化委员会——属于SC27 ANSI——美国国家标准化协会 NIST——美国国家标准技术研究所 DOD——美国国防部 IEEE——美国电气电工工程师协会 ISO-JTC1-SC27——国际信息安全技术标准 WG1：管理体系 WG2：密码和安全机制 WG3：安全评估 18、我国信息安全标准化组织 CITS——信息技术安全标准化技术委员会 TC260——全国信息安全标准化技术委员会 CCSA——中国通信标准化协会 CITS下属工作组： WG1——标准体系与协调 WG2——安全保密标准 WG3——密码技术 WG4——鉴别与授权 WG5——评估 WG6——通信安全 WG7——管理 19、标准类型与代码 GB——强制 GB/T——推荐 GB/Z——指导 20、信息安全产品分类 TEMPEST——电磁安全 COMSEC——通信安全 CRYPT——密码 ITSEC——信息技术安全 SEC INSPECTION——安全检查 其他专业安全产品 21、TCSEC——可信计算机安全评估准则分级：4等 8级 D,C1，C2，B1，B2，B3，A1，超A1 22、CC——通用准则 1——功能 2——结构 3、4——方法 5、6——半形式化 7——形式化 CC=ISO15408=GB/T18336 意义： 增强用户对产品的安全信心 促进IT产品和系统的安全性 消除重复的评估 局限性： 难以理解 不包括没有