22讲-【第22章】信息安全管理.pdfVIP

无忧考培教育学院2019年正版课程 全国计算机技术与软件专业技术资格(水平)考试 信息系统项目管理师 精讲班*22讲-信息安全管理 讲师：朱建军（江山老师） 祝您必高分各种培训资料需要购买微信：bigaofen 信息系统安全管理 1、一个单位的安全策略一定是定制的，都是针对本单位的“安全风险（威胁）”进行 防护的。（了解） ★2、安全策略的核心内容就是“七定”，即定方案、定岗、定位、定员、定目标、定 制度、定工作流程。首先要解决定方案，其次就是定岗。（掌握） 3、把信息系统的安全目标定位于“系统永不停机、数据永不丢失、网络永不瘫痪、信 息永不泄密”，是错误的，是不现实的，也是不可能的。（掌握） 4、木桶效应的观点是将整个信息系统比作一个木桶，其安全水平是由构成木桶的最短 的那块木板决定的。（了解） 信息系统安全管理 ★5、信息系统安全等级保护：（掌握） 分级 适用范围 第一级 普通内联网用户 用户自主保护级 第二级 通过内联网或国际网进行商务活动，需要保密的非重要单位 系统审计保护级 第三级 地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部 安全标记保护级 门、交通运输、大型工商与信息技术企业、重点工程建设等单位 第四级 中央级国家机关、广播电视部门、重要物资储备单位、社会应急服 结构化保护级 务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等 第五级 国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位 访问验证保护级 祝您必高分各种培训资料需要购买微信：bigaofen 信息系统安全管理 ★6、《信息安全等级保护管理办法》将信息系统安全保护等级分为5级：（掌握） 第一级（个人合法权益造成损害）； 第二级（个人合法权益严重损害，或社会利益遭到损害）； 第三级（公共利益造成严重损害或国家安全造成损害）； 第四级（公共利益造成特别严重损害国家安全造成严重损害）； 第五级（国家安全造成特别严重损害）。 7、信息系统安全策略设计8个总原则：①主要领导人负责原则②规范定级原则③依法行 政原则④以人为本原则⑤注重效费比原则⑥全面防范、突出重点原则⑦系统、动态原则 ⑧特殊的安全管理原则（掌握） ★8、10个特殊原则：①分权制衡原则②最小特权原则③标准化原则④用成熟的先进技 术原则⑤失效保护原则⑥普遍参与原则⑦职责分离原则（专人专职）⑧审计独立原则⑨ 控制社会影响原则 最小特权原则。对信息、信息系统的访问采用最小特权原则。（掌握） 职责分离原则。有条件的组织或机构，应执行专职专责。 信息系统安全管理 9、信息系统业界又叫作信息应用系统、信息应用管理系统、管理信息系统，简称MIS。 信息安全系统不能脱离业务应用信息系统而存在（了解） 10、业务应用信息系统支撑业务运营的计算机应用信息系统，如银行柜台业务信息系统、 国税征收信息系统等。（了解） 11、信息系统工程即建造信息系统的工程，包括两个独立且不可分割的部分，即信息安 全系统工程和业务应用信息系统工程。（了解） 祝您必高分各种培训资料需要购买微信：bigaofen 信息系统安全管理 22.2信息安全系统工程 ★1、信息安全系统三维空间：（掌握） X：安全机制（安全操作系统、安全数据库、应用开发运营） Y：OSI网络参考模型 Z：安全服务（认证、权限、完整、加密、不可否认） 2、安全空间五大要素：认证、权限、完整、加密、不可否认。（掌握） 3、安全服务：①对等实体认证服务②数据保密服务③数据完整性服务④数据源点认证 服务⑤禁止否认服务（掌握） 信息系统安全管理 ★4、安全技术：①加密技术②数字签名技术③访问控制技术④数据完整性技术⑤认证 技术（掌握） 数字签名可以确保电子文档的真实性并可以进行身份验证，以确认其内容是否被篡改 后伪造。数字签名是确保电子文档真实性的技术手段。 加密是实现