导图社区 高项第二十二章-信息系统安全管理 思维导图
这是一篇关于高项第二十二章-信息系统安全管理的思维导图。重点部分用红色标红,考试必备,需要的请收藏。
这是一篇关于高项第二十六章-知识产权与标准规范的思维导图。对于知识产权的,进行了重点梳理,内容详实,结构清晰,逻辑严密。
这是一篇关于高项第十三章-项目合同管理的思维导图。分为基础和过程两大部分进行了概述,需要的请收藏,考试必备。
社区模板帮助中心,点此进入>>
项目时间管理6大步骤
项目管理的五个步骤
电商部人员工作结构
暮尚正常运转导图
产品经理如何做好项目管理
车队管理
创业者10条创业经
创业十大思维误区
管培生课程作业
商业模型
第二十二章-信息系统安全管理
22.1信息系统安全策略
定义
指针对本单位的计算机业务应用信息系统的安全风险(安全威胁)进行有效的识别、评估后,所采取的各种措施、手段,以及建立的各种管理制度、规章等
安全策略一定是定制的,针对本单位的安全风险进行防护
核心内容
定方案
定岗
定位
定员
定目标
定制度
定流程
木桶效应
信息系统安全保护登记由两个定级要素决定
受侵害的客体
对客体的侵害程度
信息系统安全保护等级
用户自主保护等级
适用于普通内联网用户
系统审计保护级
适用于通过内联网或国际网进行商务活动,需要保密的非重要单位
安全标记保护级
适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位
结构化保护级
适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门
访问验证保护级
适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位
安全策略设计8个总原则
22.2信息系统安全工程
信息安全系统三维空间
X:安全机制
Y:OSI
Z:安全服务
(1)对等实体认证服务。(2)数据保密服务。(3)数据完整性服务。(4)数据源点认证服务。(5)禁止否认服务。(6)犯罪证据提供服务。
安全空间五大要素
认证
权限
完整
加密
不可否认
安全技术
①加密技术②数字签名技术③访问控制技术④数据完整性技术⑤认证技术
数字签名
公钥签名体制的基本思想是:(1)发送者 A 用自己的私钥加密信息,从而对文件签名;(2)将签名的文件发送给接受者 B:(3)B 利用 A 的公钥(可从 CA 机构等渠道获得)解密文件,从而验证签名。
信息安全系统工程能力成熟度模型ISSE-CMM
(1)过程。 (2)过程域。(3)工作产品。(4)过程能力。
22.3PKI公开密钥基础设施
22.4PMI权限管理基础设施
DAC
自主访问控制方式:该模型针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。
ACL
访问控制列表方式:该模型是目前应用最多的方式。目标资源拥有访问权限列表,指明允许哪些用户访问。如果某个用户不在访问控制列表中,则不允许该用户访问这个资源。
MAC
强制访问控制方式:该模型在军事和安全部门中应用较多,目标具有一个包含等级的安全标签(如:不保密、限制、秘密、机密、绝密) ;访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标:例如允许访问秘密级信息,这时,秘密级、限制级和不保密级的信息是允许访问的,但机密和绝密级信息不允许访问。
RBAC
基于角色的访问控制方式:该模型首先定义一些组织内的角色,如局长、科长、职员;再根据管理规定给这些角色分配相应的权限,最后对组织内的每个人根据具体业务和职位分配一个或多个角色。
信息安全系统架构
MIS+S
初级信息安全保障系统
(1)业务应用系统基本不变。(2)硬件和系统软件通用。(3)安全设备基本不带密码。适用于:一般应用系统。
S-MIS
标准信息安全保障系统
(1)业务应用系统必须根本改变。(2)硬件和系统软件通用。(3)PKI/CA安全保障系统必须带密码。 (4)主要的通用的硬件、软件也要通过PKI/CA认证。适用于:一般电子商务、电子政务,有安全保密要求的系统。
S²-MIS
超安全的信息安全保障系统
(1)业务应用系统必须根本改变。(2)硬件和系统软件都专用。(3)PKI/CA安全基础设施必须带密码。适用于:专用的安全保密系统。
22.5信息安全审计
两方面内容
采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断
对信息内容和业务流程进行审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
安全审计系统的作用
对潜在的攻击者起到震慑或警告作用。
对于已经发生的系统破坏行为提供有效的追究证据。
为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。
为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。
CC标准将安全审计功能分为6个部分
安全审计自动响应功能(定义在被测事件指示出一个潜在的安全攻击时做出的响应)
安全审计自动生成功能(记录与安全相关的事件的出现,包括鉴别审计层次、列举可被审计的事件类型)
安全审计分析功能(定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作)
安全审计浏览功能(授权用户有效的地浏览审计数据)
安全审计事件选择功能(维护、检查或修改审计事件)
安全审计事件存储功能(防止资源不可用丢失审计数据)
分布式审计系统
审计中心
审计控制台
审计Agent
网络监听型
主动信息获取型
系统嵌入型
