[其它考试]信息安全基础总结.pptVIP

* * * * * * * * * * * * * * 3、信息安全管理体系 信息安全管理的基本概念 ISO27001的用途和主要内容 ISO27002的用途和主要内容 基本安全管理措施：策略、组织和人员 重要安全管理措施：资产管理、通信和操作管理、访问控制和符合性 信息安全管理模型 PDCA模型应用于ISMS过程 在当前计算机系统安全建设中，“目标应该是可实现的“这一目标是最重要的 如果对于程序变动的手工控制收效甚微，自动软件管理方法将是最有效的 数据所有者负有决定信息分类级别的责任 信息系统安全主要从3个方面进行评估：技术、管理、工程 作为业务持续性计划的一部分，在进行风险评价的时候的步骤是： 1.考虑可能的威胁 2.评价潜在的影响  3.评价紧急性需求 4.建立恢复优先级 制度和措施是计算机安全程序组成部分中其它组成部分的基础 风险的定义 风险分析的目的：识别资产、脆弱性并计算潜在的风险 信息安全风险管理是基于可接受的成本，对影响信息系统的安全风险进行识别、控制、减少或消除的过程 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险 风险管理的4个控制方法有：减低风险/转嫁风险/规避风险/接受风险 能力维 能力级别 加强任何过程 能力的实现和制度 化实施 一组实施列出管理 和制度化过程的相 同方面 共同工作的一组公共 特征主要加强执行一 个过程的能力 公共特征 通用实践 4、安全工程 “信息安全工程能力成熟度模型”（SSE-CMM） 计划执行 规范化执行 跟踪执行 验证执行 定义标准过程 协调安全实施 执行已定义的过程 建立可测量的质量目标 客观地管理过程的执行 1 非正式 执行 2 计划与跟踪 3 充分定义 4 量化控制 5 连续改进 执行 基本 实施 改进组织能力 改进过程的有效性 能力级别代表安全工程组织的成熟级别 公共特征 仅要求一个过程区域的所有基本实践都被执行，但对执行的结果无明确要求； 强调过程执行前的计划和执行中的检查，使工程组织可以基于最终结果的质量来管理其实践活动； 要求过程区域包括的所有基本实践均应依照一组完善定义的操作规范来进行，即“标准过程”； 能够对工程组织的表现进行定量的度量和预测。过程管理成为客观的和准确的实践活动 为过程行为的高效和实用建立定量目标，可以准确地度量过程持续改善所收到的效益。 域维/过程区域 系统安全工程涉及到三类过程区域PA，即工程（Engineering PA）、组织（Organization PA）和项目（Project PA）过程区域。组织和项目过程区域（共11个）并不直接同系统安全相关，在SE-CMM中定义，但常与SSE-CMM的11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度。 SSE-CMM将工程过程区域分为三类，即风险过程、工程过程和保证过程； 4个风险过程：PA04评估威胁，PA05评估脆弱性，PA02评估影响，PA03评估安全风险； 5个工程过程：PA07，PA10，PA09，PA01，PA08； 2个保证过程：PA11，PA06； 并不定义各过程区域在系统安全工程生命周期中出现的顺序，而是依照过程区域的英文字母顺序编号； 每个过程区域包括一组集成的基本实践（BP，Base Practice），BP定义了实现过程区域目标的必要活动，代表业界的最佳惯例。 域维 过程类 域维 Base Practices Base Practices Base Practices Base Practices Base Practices 基本实践 Process Areas Process Areas Process Areas 过程区 工程和安全实施是安全工程过 程中必须存在的性质，指出特 殊过程区的目的并属于该过程 区 每个过程区（PA）是一组相关 安全工程过程的性质，当这些 性质全部实施后则能够达到过 程区定义的目的。 一组过程区指出活动的同一通用区 工程过程区域 核实和确认安全（Verify and Validate Security） PA11 明确安全需求（Specify Security Needs） PA10 提供安全输入（Provide Security Input） PA09 监视安全态势（Monitor Security Posture） PA08 协调安全（Coordinate Security） PA07 建立保证论据（Build Assurance Argument) PA06 评估脆弱性（Assess Vulnerability） PA05 评估威胁（Assess Threat） PA04 评估安全风险（Assess Security Risk) PA03 评估影响（Assess Imp