当前位置: 首页 > 信息安全基础 > 正文

软考信息安全工程师学习笔记三(1.3 信息安全管理基础)

1.3 信息安全管理基础
信息安全的定义:保护信息系统的硬件,软件及相关数据,使之不因为偶然或恶意的侵犯而遭受破坏,更改和泄露;保证信息系统中信息的机密性(Confidentiality),完整性(Integrity)和可用性(Availability).★
信息安全管理体系是信息安全管理活动的直结果,可表示为策略,原则,目标,方法,程序和资源等总的集合。
密码管理,密码除了用于信息加密外,也用于数据信息签名和安全认证。我国的商用密码管理原则:统一领导,集中管理,定点研制,专控经营,满足使用。
商用密码的应用领域十分广泛,主要用于对不涉及国家密秘码内容但又具有敏感性的内部信息,行政事物信息,经济信息等进行加密保护。
《商用密码管理条例》中所称商用密码,是指对不涉及国家密码内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
国家密码管理局公布了无线局域网产品须使用的系列密码算法,包括★
对称密码算法:SMS4
签名算法:ECDSA
密钥协商算法:ECDH
杂凑算法:SHA-256
随机数生成算法;自行选择
其中ECDSA和ECDH密码算法须采用国家密码管理制定的椭圆曲线和参数。★
这是国内官方公布的第一个商用密码算法系列。
网络管理从功能上讲一般包括配置管理,性能管理,安全管理,故障管理等。
管理管理最突出的特点是对网络组成成分管理的统一性和远程性。是以保证网络传输的性能和安全性为前提的。
网络管理体系结构包括以下四个方面★
协议:因为SNMP属于应用层
表示:适用面向对象式的表示方法
安全:管理者和被管理者之间要有认证和加密协议
对象:包括设备,各种协议,业务和交易过程
总体而言,网络管理的4个确定性特征是:统一化,智能化,安全化和主动化
网络管理的几个主要开发方向:网管系统,应用性能管理,桌面管理,员工行为管理,安全管理
网管系统:主要针对网络设备进行监测,配置和故障诊断。
通用软件供应商开发的NMS系统试针对各个厂商网络设备的通用网管系统
应用性能管理:
(1)应用性能管理师一个比较新的网络管理方向,主要指对企业的关键业务应用进行监测,优化,提高企业应用的可靠性和质量,保证用户得到良好的服务,降低IT总拥有成本。
(2)应用性能管理主要功能如下
监测企业关键应用性能
快速定位应用系统性能故障
优化系统性能
桌面管理系统:由最终用户的电脑组成,这些电脑运行Windows,MAC系统。
员工行为管理:一部分是员工网上行为管理(EIM),另一部是员工桌面行为监测。
安全管理:保障合法用户对资源安全访问,防止病杜绝黑客蓄意攻击和破坏。
设备安全管理包括设备的选型,检测,安装,等级,使用,维护和存储管理等多方面的内容。
《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级:★
第一级:信息系统受到破坏后,会对公民,法人和其他组织的合法权益造成损害,但不损害国家安全,社会秩序和公共利益。
第二级:信息系统受到破坏后,会对公民,法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。

《信息安全等级保护管理办法》明确规定,在信息系统建设过程中,运营,使用单位应当按照《计算机信息系统安全保护等级划分准则》
GB17859-1999标准规定了计算机系统安全保护能力的五个等级★
第一级:用户自主保护级,通过隔离用户与数据,使用户具备自主安全保护的能力。
第二级:系统审计保护级,通过登录规程,审计安全性相关事件和隔离资源,使用户对自己的行为负责
第三级:安全标记保护级,具有系统审计保护级所有功能,还提供有关安全策略模型,数据标记以及主体对客体强制性访问控制的非形式化描述,具有准确地标记输出信息的能力,消除通过测试发现的任何错误
第四级:结构化保护级,要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。
第五级:访问验证保护级,满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。

涉密信息系统安全分级保护可以划分为秘密级,机密级和机密级(增强),绝密级三个等级
秘密级:不低于国家信息安全等级保护三级的要求
机密级:不低于国家信息安全等级保护四级的要求
属于下列情况之一的机密级信息系统应选择机密级(增强)的要求★
副省级以上的党政首脑机关,以及国防,外交,国家安全,军工等要害部门。
机密级信息含量较高或数量较多。
使用单位对信息系统的依赖程度较高。
绝密级:信息系统中包含有最高为绝密级的国家秘密,不低于国家信息安安等级保护五级的要求。

涉密信息系统分级保护的管理过程分为八个阶段,即系统定级阶段,安全规划方案设计阶段,安全工程实施阶段,信息系统测评阶段,系统审批阶段,安全运行及维护阶段,定期评测与检查阶段和系统隐退终止阶段等。★

涉密信息系统定级遵循“谁建设,谁定级”的原则

目前国内外的趋势都是用网络隔离这个概念来代替物理隔离或安全隔离等
隔离技术
第一代隔离技术:完全地隔离
第二代隔离技术:硬件卡隔离
第三代隔离技术:数据传播隔离
第四代隔离技术:空气开关隔离
第五代隔离技术:安全通道隔离

防火墙是最常用的网络隔离手段
防火墙有一个很显著的缺点:就是防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法。对于安全要求初级的隔离是可以的。★

网闸的设计形象的借鉴了船闸的概念,设计采用“代理+摆渡”。不在河上架桥,可以设摆渡船,摆渡船不直接连接两岸,安全性当然要比桥好,即使是攻击,也不可能一下就进入,在船上总要收到管理者的各种控制。
网络隔离结束的安全要点
要具有高度的自身安全性
要确保网络之间是隔离的
要保证网间交换的只是应用数据
要对网闸的访问进行严格的控制和检查
要在坚持隔离的前提下保证网络畅通和应用透明
网络隔离的关键是在于系统对通信数据的控制,即通过不可路由的协议来完成网闸的数据交换。

安全监控可以分为网络安全监控和主机安全监控两大类。★

信息安全风险评估,则是指依据有关信息安全技术标准,对信息系统及由其处理,传输和存储的信息的保密性,完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性,信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
任何系统的安全性都可以通过风险的大小来衡量
风险评估:指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。
风险评估的过程★
确定资产
脆弱性和威胁分析
制定及评估控制措施
决策
沟通与交流
监督实施
风险评估的方法

典型的定量分析方法有因子分析法,聚类分析法,时序模型,回归模型,等风险图发,决策树法等
典型的定性分析方法有因素分析法,逻辑分析法,历史比较法,德尔菲法。
定性与定量相结合的综合评估方法
典型的风险评估方法:层次分析法,它的基本步骤是
(1)系统分解
(2)构造判断矩阵
(3)层次总排序
风险管理就是以可以接受的费用识别,控制,降低或消除可能影响信息系统的安全风险的过程。
降低风险的途经★
避免风险
转移风险
减少威胁
减少脆弱性
减少威胁可能的影响
检测意外事件
风险接受是一个对残留风险进行确认和评价的过程。

本文固定链接: https://www.moondream.cn/?p=521 | 月梦工作室

该日志由 moondream 于2018年05月18日发表在 信息安全基础 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 软考信息安全工程师学习笔记三(1.3 信息安全管理基础) | 月梦工作室
关键字:

软考信息安全工程师学习笔记三(1.3 信息安全管理基础):等您坐沙发呢!

发表评论

快捷键:Ctrl+Enter