2023年CISP培训笔记精选.docVIP

2015-8-10 PPT 信息安全保障10 注册信息安全专业人员 注册信息安全专业人员 (CISP) 知识体系结构 信息安全技术 操作系统安全 数据库安全 信息安全 网络安全 应用安全 信息安全 标准 信息安全管理 信息安全 管理基础 应急响应与 灾难恢复 信息安全 风险管理 信息内 容安全 信息安全管理体系 信息安全工程 安全工程 基础 安全工程 能力评估 鉴别与访问控制 密码技术 软件安全开发 安全攻击与防护 信息安全 保障 信息安全 法规标准 信息安全 保障实践 信息安全 保障基础 信息安全 道德规范 法规与政策 信息安全保障 1 、 中办 2 7 号 文 《国家信息化领导小组关于加强信息安全保障工作的意见》室信息安全保 障工作的大纲性文献 2 、信息的安全属性CIA:保密性、完整性、可用性 3、 信息安全的范畴：信息技术问题、组织管理问题，社会问题，国家安全问题 4 、信息安全特性： 系统性、动态性，无边界性、非传统性 (最终保障业务的安全) 5、 信息安全问题根源： (信息战士和网络战士是最严重的) 内因，过程复杂、结构复杂、应用复杂 外因，人(个人威胁、组织威胁、国家威胁)和自然 6、 信息安全发展阶段 通信安全COMSEC, 信息窃取，加密，保证保密性、完整性 计算机安全 COMPUSEC, 操作系统技术 信息系统安全 INFOSEC, 防火墙、 VPN 、PKI公钥基础设施、 信息安全保障 IA,技术、管理、人员培训等 网络空间安全/信息安全保障CS/IA,防御、袭击、运用，强调威慑 7、 传统信息安全的重点是保护和防御；信息安全保障是保护、检测和响应，袭击后的修复 8、 信息安全保障模型 PDR 防护一-检测--响应，安防措施是基于时间的，给出攻防时间表，假设了隐患和措施， 不适应变化，时间 PPDR 策略--防护--检测一-响应， 突出控制和对抗，强调系统安全的动态性 9、 信息安全保障技术框架 IATF, 深度防御的思想，层次化保护，人、技术、操作，关注4 个领域： 本地的计算机环境 区域边界 网络和基础设施 支撑性技术设施 10、 信息系统：每一个资质中信息流动的总和，含输入输出、存储、控制、解决等。 11 、 信息系统安全保障，从技术、管理、工程、人员方面提出保障规定 12 、 信息系统安全保障模型 GB/T 20274 保障要素4:技术、管理、工程、人员 生命周期5:规划组织、开发采购、实行交付、运营维护、废弃 安全特性3:保密性、完整性、可用性 13 、 信息系统安全保障工作阶段 保证信息安全需求、设计并实行信息安全方案、信息安全测评、检测与维护信息安全 14 、 我国信息安全保障体系 建立信息安全技术体系，实现国家信息化发展的自主可控 信息安全保障实践 1、 现状 美国CNNI 《国家网络安全综合倡议》,3道防线 1、减少漏洞和隐患，防止入侵 2、全面应对各类威胁，增强反映能力，加强供应链安全低于各种威胁 3、 强化未来安全环境，增强研究、开发和教育，投资先进技术 2、 我国的信息安全保障战略规划，信息安全分：基础信息网络安全、重要信息系统安全和 信息内容安全 3、 信息安全保障工作方法，信息系统保护轮廓 ISPP (所有者角度考虑安保需求),信息系 统安全目的ISST,从建设方制定保障方案 4 、拟定信息系统安全保障的具体需求：法规符合性、风险评估、业务需求 (只放前2个也 对) 5、 信息安全测评对象：信息产品安全测评、信息系统安全测评、服务商资质、信息安全人 员资质测评 6、 信息系统安全测评标准 过程测评标准： GB/T 20274 产品安全测评标准： CCG B/T 18336 信息安全管理体系 ISMS 1、ISMS 信息安全管理体系，按照ISO 27001定义，基于业务风险的方法 2、 信息安全管理体系建设 规划与建立、实行和运营、监视和评审、保持和改善 3、ISMS 的层次化文档结构 一级文献， 顶层文献，方针、手册 二级文献，信息安全管控程序、管理规定性文献，管理制度、程序、策略文献 三级文献， 操作指南、作业指导书、操作规范、实行标准等 四级文献， 各种登记表单，计划、表格、报告、日记文献等 4、ISMS 方法：风险管理方法、过程方法 5、 风险管理方法 风险评估是信息安全管理的基础，风险解决时信息安全管理的核心，风险管理是信 息安全管理的主线方法，控制措施是风险管控的具体手段 6、 控制措施的类别 从手段来看，分为技术性、管理性、物理性、法律性等控制措施 从功能来看，分为防止性、检测性、纠正性、威慑性等控制措施 从影响范围来看，常被分为安全方针、信息安全组织、资产管理、人力资源安 全、物理和环境安全、通信和操作管理、访问控制、