导图社区 软考高项之信息系统安全管理
信息系统安全管理,信息安全基本概念,加密、解密与常用算法,操作系统安全,密钥加密技术。数字签名与认证,PMI权限认证,信息系统安全等级等
关于DeepSeek及Qwen模型部署指南,Main content: Qwen 模型部署硬件需求, DeepSeek R1模型部署硬件需求、 常见部署方法、 推荐部署框架、 输入输出需求,总结与建议等
经营人生就好比经营一家公司,要有自己的价值观和愿景,要有持续进化的理念,持续学习,持续迭代,经营好自己的人生。
哈利波特人物关系,魔法学院同学关系,主要情节人物关系,HarryPotter经典魔法名著,人物关系图。
社区模板帮助中心,点此进入>>
计算机操作系统思维导图
简单介绍MYSQL数据库软件的基本命令
计算机基础知识
.net学习总结
python基础知识点简单总结
序列类型的方法
管理信息系统
Python3.0入门知识思维导图
java 从入门到精通(第四版本)
软考架构设计师
信息安全技术
信息安全基本概念
安全属性
秘密性:信息不被未授权者知晓的属性
完整性:信息是正确的、真实的、为被算改的、完整无缺的属性
可用性:信息可以随时正常使用的属性
安全层次
设备安全
数据安全(静态安全)
内容安全
行为安全(动态安全)
加密、解密与常用算法
密钥加密技术
对称加密
DES、AES、IDEA、RC4
非对称加密
RSA
可用于数字签名
ECC椭圆曲线
加密强度高于RSA
对比
消息摘要
单向哈希(HASH)函数
把任意长度的输入字符串x变化成固定长度的输出字符串y的一种函数。
它是单向的不可逆的。
数字签名与认证
数字签名:签名者不可抵赖、他人不可伪造、允许第三方验证
认证:基于双方共享的保密数据来认证鉴别真实性,不准许第三方验证
数字信封
数字证书
又称为数字凭证,即用电子手段来证实一个用户的身份和对网络资源的访问权限。
数字证书拥有者可以将其证书提供给其他人、web 站点及网络资源,以证实他的合法身份, 并且与对方建立加密的、可信的通信。
数字证书也可称为公钥证书,是用于证明公钥的所有权的电子文档。
身份认证与密钥管理
数字证书认证机构CA
是第三方网上认证机构,负责使用数字证书的签发、撤销、生命周期管理,密钥管理服务和证书在线查询等服务
CA可以证明数字证书的持有者合法拥有证书中列出的公开密钥
公开密钥基础设施PKI
PKI就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。
服务及组成
安全服务包含
身份认证
完整性保护
数字签名
会话加密管理
密钥恢复
PKI涉及多个实体之间的协商和操作
主要实体包括:
CA
主要进行证书的颁发、废止和更新;
密钥管理服务以及证书在线查询
认证机构负责签发、管理和撤销一组终端用户的证书
RA
证书登记权威机构,将公钥和对应的证书持有者的身份及其他属性联系起来, 进行注册和担保
终端实体
指需要认证的对象,如服务器、E-mail地址
客户端
指需要基于PKI安全服务的使用者,包括用户、服务进程等
目录服务器
CA通常使用一个目录服务器,提供证书管理和分发的服务
权限(授权)管理基础设施PMI
PMI建立在PKI基础上,以向用户和应用程序提供权限管理和授权服务为目标
主要负责向业务应用信息系统提供授权服务管理。
与PKI对比
PKI:身份鉴别,证明身份用户是谁
PMI:授权管理,证明用户权限(能干什么)
操作系统安全
安全威胁划分
切断
对可用性威胁
截取
对机密性威胁
篡改
对完整性威胁
伪造
对合法性威胁
身份认证机制、访问控制机制数据保密性、数据完整性系统可用性、审计
应用系统安全
WEB控制技术
单点登录技术
网页防算改技术
时间轮询
核心内嵌
事件融发
文件过滤驱动
WEB内容安全
电子邮件过滤
网页过滤
反间谍软件
网络安全
防火墙
用于逻辑隔离外部网络与受保护的内部网络
入侵检测与防护
入侵检测系统(IDS)
注重的是网络安全状况的监管
入侵防护系统(IPS)
注重对入侵行为的控制
VPN(虚拟专用网络)
安全扫描
可用扫描器完成
网络蜜罐技术
是一个包含漏洞的诱骗系统
信息系统安全管理
安全系统工程
ISSE-CMM
概述
主要概念
过程
过程域:
工作产品;
过程能力
组织
信息安全的工程组织:
信息安全的组织获取组织:
信息安全的评估组织
信息安全系统的工程过程
信息安全系统的风险过程
信息系统安全的保证过程
体系结构
基本模型
域维/安全过程域
能力维/公共特性
能力级别
安全体系结构
安全机制
安全服务
安全技术
BLP模型
两种方式实现
自主访问控制
强制访问控制
基本安全策略是“下读上写”,即主体对客体向下读、向上写
保证了数据库中的所有数据只能按照安全级别从低到高的流向流动
保证了信息的机密性
BLP模型的优缺点
优点
是一种严格的形式化描述;
控制信息只能由低向高流动,能满足军事部门等一类对数据保密性要求特别高的机构的需求。
缺点
1. 上级对下级发文受到限制;
2. 部门之间信息的横向流动被禁止;
3. 缺乏灵活、安全的授权机制。
访问控制
访问控制基本概念
认证
授权
访问控制三要素
主体、客体、控制策略
访问控制应用
自主访问控制(DAC)
针对每个用户指明能够访问的资源
访问控制列表(ACL)
目标资源拥有访问权限列表,指明允许哪些用户访问
是目前应用最多的方式
强制访问控制(MAC)
访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标
军事和安全部门应用较多
基于角色的访问控制(RBAC)
定义组织角色,给角色分配相应权限
信息系统安全策略
安全策略基本内容
7定
1)定方案
2)定岗
3)定位
4)定员
5)定目标
6)定制度
7)定工作流程
安全策略设计原则
主要领导人负责原则
规范定级原则
依法行政原则
安全行政主体合法
行政行为合法
行政内容合法
行政程序合法
以人为本原则
加强安全教育、培训管理,强化安全意识和法治观念,提升职业道德。 掌握安全技术是重要保证。
注重效费比原则
全面防范、突出重点原则
系统、动态原则
特殊安全管理原则
分权制衡原则
最小特权原则
标准化原则
用成熟先进技术原则
普遍参与原则
失效保护原则
职责分离原则
审计独立原则
保护资源和效率原则
系统安全方案
与方案有关的系统因素
主要硬件设备选型
操作系统和数据库的选型
网络拓扑结构的选型
数据存贮方案和设备选型
安全设备选型
应用软件开发平台的选型
应用软件系统结构的确定
供货商和集成商的选择
业务运营与安全管理的职责(岗位)划分
应急处理方案的确定和人员落实
主要内容
1、确定安全体系统架构(MIS+S, S-MIS)
2、确定业务和数据存贮方案
3、网络拓扑方案
4、基础安全设施和主要安全设备选型
5、业务应用系统的安全级别的确定
6、系统资金和人员投入的档案
相关法律法规
信息安全保护等级
用户自主保护级
普通内联网用户
合理权益损害
系统审计保护级
商务活动、保密非重要单位
合理权利严重损害
安全标记保护级
地方各级国家机关
国家安全造成损害
结构化保护级
中央级国家机关
国家安全严重损害
访问验证保护级
国防关键部门
国家安全特别严重损害
决定因素
等级保护对急受到破坏时所侵害的客体(公民、法人和其它组织)的合法权利
社会秩序、公共利益
国家安全
《关键信息基础设施安全保护条例》
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
信息系统项目管理之信息系统安全管理
