CISP-V4.0-01-《信息安全保障》知识点讲解复习总结.docxVIP

CISP-信息安全保障 第一节 信息安全保障基础 信息安全保障基础 信息安全的定义：狭义和广义之分。 信息安全的特点：系统、动态、无边界、非传统。 信息安全的属性：保密性、完整性、可用性；真实性、不可否认、可追责、可靠性。 信息安全问题根源：内因和外因，外因包括自然和人为威胁；人为威胁包括故意威胁和非故意威胁。 信息安全的视角：国家、商业（企业）和个人视角的内容。 信息安全发展阶段 2.1 通信安全：采用加密的措施解决信息窃听、密码分析问题。 2.2 计算机系统安全：采用计算机防护的系列手段，提高系统安全性。 2.3 网络安全：通过防火墙等成熟的措施解决网络信息系统安全问题。 2.4 网络空间安全：防御措施、威慑措施以及情报利用。 3. 了解《国家网络空间安全发展战略》。 信息安全保障模型 P2DR P2DR：策略-防护-检测-响应 P2DR思想：基于时间的防护与安全的有效性 P2DR公式：PtDt+Rt 那么系统是安全的。 PtDt+Rt，那么（Dt+Rt）- Pt =Et，要求Et=0 P2DR作用：实现系统在时间上的防护是有效的。 IATF 2.1 IATF核心：人、技术、操作。 2.2 IATF保护方面：本地计算环境、网络基础设施、区域边界，支撑性基础设施。 2.3 IATF思想：深度防护的思想。 2.4 IATF作用：实现被保护的网络系统在空间上每个节点安全有效性。 3.系统安全保护评估框架 3.1 原理： 1）实现全生命周期的安全。 2）通过人员要素、技术要素、管理要素和工程要素来综合实现安全。 3）实现目的是保密性、完整性、可用性，以及最终的业务使命。 3.2 评估框架 1）ISPP：标准化信息系统的安全需求。 2）ISST：标准化信息系统的安全方案。 3）评估：技术TCML1-5级；管理MCML1-5级；工程ECML1-5级。 4.商业应用安全架构 4.1 常用的参考：舍伍德的商业应用安全架构（Sherwood Applied Business Security Architecture，SABSA）、Zachman框架、开放群组架构框架（The Open Group Architecture Framework，TOGAF）。 4.2 舍伍德应用安全架构：以业务安全为导向，进行风险的管理，采用模型、方法和流程来进行实现。 4.3 舍伍德应用安全架构生命周期：战略与规划、设计、实施、管理与测量。 4.4 舍伍德应用安全架构的内容层面：背景层、概念层、逻辑层、物理层、组件层、运营层。 信息安全保障的工作内容 回顾我国已经开展的信息安全工作 标准化建设：TC260 应急响应和通报：CNCERT 等级保护：5级 风险评估。 灾备建设和恢复。 人才培养。 法制的建设。 产业技术发展。 信息安全保障流程 2.1 安全需求：来源于合规、业务和风险，标准的需求文档ISPP。 2.2 安全设计：标准的安全设计文档是ISST。 2.3 安全实施：略。 2.4 安全测评：产品CC标准EAL1-7；系统测评1-5级；服务商1-5级，人员测评CISM和CISP。 2.5 运维阶段：风险监控和风险处理手段。 2.6 系统废弃。 3.风险管理模型： 3.1 基于风险要素关系图：风险要素导向（资产、威胁、脆弱性等）。 3.2 基于COSO的风险管理：治理和战略目标导向。 3.3 基于ITIL的风险管理：IT服务、流程、改进导向的。 3.4 基于COBIT的风险管理：业务商业目标、以活动为依托、以控制目标和措施为手段。 4.风险管理过程GB/Z 24364标准。 4.1 背景建立：了解风险管理对象、业务要求、系统特性、安全特性。 4.2 风险评估：风险评估准备、要素识别、风险分析、结果判定。 4.3 风险处理：通过措施进行处理，降低、转移、规避、接受风险。 4.4 批准监督：对风险管理工作的认可和评价。 4.5 两个贯穿： —监控审查：风险管理过程中的偏查、延误进行纠正和控制。 —沟通咨询：加强风险管理过程的交流和咨询。 （完成）