第1页 / 共56页
第2页 / 共56页
第3页 / 共56页
第4页 / 共56页
第5页 / 共56页
第6页 / 共56页
第7页 / 共56页
第8页 / 共56页
CISP培训内容笔记.pdf
CISP 内容笔记
说明: .......................................................................................................................................................
信息安全保障 ...........................................................................................................................................
3
3
发展历史 ...........................................................................................................................................
3
安全模型 ...................................................................................................................................................
5
信息安全实践 ...........................................................................................................................................
7
美国 ...................................................................................................................................................
7
英国 ...................................................................................................................................................
7
德国 ...................................................................................................................................................
8
其它西方国家 ...................................................................................................................................
8
我国 ...................................................................................................................................................
安全评估与测评 .................................................................................................................................... 11
9
信息系统安全保障评估 ............................................................................................................... 11
密码学 .................................................................................................................................................... 13
信息安全标准 ........................................................................................................................................ 15
标准与标准化 ................................................................................................................................ 15
等级保护 ........................................................................................................................................ 21
信息安全法律法规与政策 ................................................................................................................... 23
重要安全管理过程 ................................................................................................................................ 28
信息安全工程原理 ................................................................................................................................ 31
信息安全工程的基础 ................................................................................................................... 31
能力成熟度模型 ........................................................................................................................... 34
由来 ........................................................................................................................................ 34
基本思想 ................................................................................................................................ 35
以过程为中心 VS 以产品为中心 ..................................................................................... 35
常见的能力成熟度模型 ....................................................................................................... 36
系统安全工程 ....................................................................................................................... 36
为什么要学习安全工程能力成熟度模型? ..................................................................... 36
SSE-CMM ..................................................................................................................................... 36
1
域维:由所有定义的安全工程过程区构成。 ................................................................. 38
工程类 PA: ......................................................................................................................... 39
项目类和组织类 PA ............................................................................................................. 39
能力维:代表组织实施这一过程的能力。 ..................................................................... 40
风险过程: ........................................................................................................................... 40
工程过程 ................................................................................................................................ 41
保证过程 ................................................................................................................................ 44
能力级别代表安全工程组织的成熟级别 ......................................................................... 45
SSE-CMM 的使用细节 ...................................................................................................... 47
SSE-CMM 应用实例 ................................................................................................................... 49
访问控制与审计 .................................................................................................................................... 51
软件安全开发 ........................................................................................................................................ 54
2
说明:
重要度: 蓝色 < 暗红色 < 红色
信息安全保障
信息安全保障主要分五大类: 信息安全 管理 、信息安全 技术 、信息安全 保障 、信息安全 工程
和信息安全 标准法规 。
发展历史
从通信安全 (Com munication Security )- 〉计算机安全 (Com puter Security )-〉信息
系统安全 (Inf ormation Security )- 〉信息安全保障 (Information Assurance ) -〉网络
空间安全 / 信息安全保障 (CS/IA :Cyber Security/Information Assurance
)
1. 中国:中办发 27 号文《国家信息化领导小组关于加强信息安全保障工作的意见》
,
是信息安全保障工作的 纲领性文件 。
2. 信息安全的 特征 : 是系统的安全;动态的安全;无边界的安全;非传统的安全。
信息安全的 内因 :信息系统的复杂性(过程复杂,结构复杂,应用复杂)。
信息安全的 外因 :人为和环境的威胁(威胁和破坏)。
3. 安全保障 需要贯穿系统生命周期。
保密性、可用性和完整性 是信息安全的 特征。
策略和风险 是安全保障的 核心 问题。
技术、管理、工程过程和人员 是基本保障要素。
业务使命实现 是信息安全保障的根本目的。
4. 信息系统安全保障模型( GB/T 20274.1-2006 )
1)生命周期: 计划组织、开发采购、实施交付、运行维护、废弃 ;
2)保障要素:技术、工程、管理、人员;
3)安全特性:保密性、完整性、可用性。
5. 风险与策略
3
1)信息 安全 策略 必须以风险管理为基础 ;
2)最适宜的 信息安全策略 就是最优的 风险管理策略;
3)防范不足 会造成 直接 损失;防范 过多 会造成 间接损失;
4)信息 安全 保障 的问题就是安全的 效用问题 。即 经济、技术、管理的可行性和有效性作出
权衡。
4
安全模型
定义: 通过建模的思想来解决安全 管理 问题 ,用于精确和形式地描述信息系统的安全特性,
解释系统安全相关行为。
作用: 1)能准确地描述安全的重要方面与系统行为的关系;
2)提高对成功实现关键安全需求得理解层次;
3)从中开发一套安全评估准则和关键的描述变量。
1. 现实中每个策略都是要模型支持的
2. 安全基础模型分为 多级安全模型( Bell-Lapadula 模型【 侧重保密性 】、 Clark-
wilson 模型【 侧重实用性 】)和多边安全模型( ChineseWall 模型)。
1)Cc 的安全技术模型
2)基于资产的安全风险模型、
3)基于风险管理的信息安全保障模型
4)基于时间的 PDR 模型
思想:承认漏洞,正视威胁,适度防护,加强检测,落实反应,建立威慑
出发点: 任何防护措施都是基于时间的,是可以被攻破的
核心与本质:给出攻防时间表
固定防守、测试攻击时间;固定攻击手法,测试防守时间
缺点:难于适应网络安全环境的快速变化
基于 PDR 的安全框架( 分析、检测、修复 )
强调落实反应
6)P2DR 模型 –分布式动态主动模型
更强调 控制和对抗 ,即强调 系统安全的动态性 以安全检测、漏洞监测和自适应填充“安全间
隙”为循环来提高安全
特别考虑人为的管理因素
基本原理:
P:即策略 (Policy )。模型的核心, 所有的防护、检测、响应都是安全策略实施的 。策略
体系包括策略的制定、评估与执行等。( 访问控制策略、加密通信策略、身份认证策略、备
5
份恢复策略等 )
2:即防护 (Protection )。通过传统的 静态安全技术和方法 提高网络的防护能力。包括 访
问控制技术( ACL、FIREWALLL)、信息加密技术、身份认证技术(一次性口令、 X.509 )
等。
D :即检测 (Detection )。利用检测工具 ,监视、分析、审计网络活动 ,了解判断网络系
统的安全状态;使安全防护从被动防护演进到主动防御,是整个模型动态性的体现。
方法包
括实时监控、检测、报警 。
R:即反应 (Resonse )。在检测到安全漏洞和安全事件时,通过 及时的响应措施 将网络系
统的安全性 调整到 风险最低 的状态;评估系统受到的危害与损失,恢复系统功能和数据,启
动备份系统等。 方法包括:关闭服务、跟踪、反击、消除影响。
数学法则:
假设 S 系统的防护、检测和反应的时间 关系如下:
Pt= 防护时间, Dt= 检测时间, Rt= 反应时间, Et= 暴露时间。
则该系统防护、检测和反应的时间关系如下:
如果 Pt>Dt +Rt,那么 S 是安全的;
如果 Pt<Dt +Rt,那么 Et=(Dt +Rt)-Pt。
安全目标:
依据 P2DR 模型构筑的网络安全体系,在统一安全策略的控制下,在综合运用防护工具基
础上,利用检测工具检测评估网络系统的安全状态,通过及时的响应措施将网络系统调整到
风险最低的安全状态。
1)安全管理的持续性、安全策略的动态性。 以实时监视网络活动、发现威胁和弱点来调整
和填补网络漏洞;
2)可测即可控。 通过经常对网络系统的评估把握系统风险点,及时弱化甚至堵塞系统的安
全漏洞。
3.
IATF,即信息保障技术框架 (Information Assurance Technical Framework
),美
国国家安全局( NSA) 制定。在关于实现信息保障目标的过程和方法上,论述了系统
工程、系统采购、风险管理、认证和鉴定以及生命周期支持等过程,指出建设保障体
系的方法。 代表理论为深度防御( Defense-in-Depth )。
IATF 强调人、技术、操作。 关注本地计算环境、区域边界、网络和基础设施、支撑性基础
设施这四个信息安全保障领域。在此基础上的多层防护叫“深度防护战略”(
Depth Strategy ) ;
Defense-in-
6
信息安全实践
美国
1. 安全保障机构:
a)网络安全协调官
b) 国土安全部( DHS )、国家安全局( NSA )、国防部( DOD )、联邦调查局( FBI)、中
央情报局( CIA)、国家标准技术研究所( NIST)
c)公私合作机构:国家基础设施顾问委员会( NIAC )、信息共享和分析中心( ISAC)、网
络安全全国联盟( NCSA )
2. 1993 年,克林顿政府提出“国家信息基础设施(信息高速公路)”
3. 1998 年 5 月,国家安全局《信息保障技术框架》( IATF)
4. 保障的重点对象:
2001 年《爱国者法案》 ,定义“关键基础设施” ;
2002 年《联邦信息安全管理法案》
2003 年 12 月《国土安全总统令 /HSPD-7 》,确定 17 个关键基础设施;
2008 年 3 月国土安全部将关键制造业列为第 18 项关键基础设施;
目前的关键基础设施和主要资源部门。
5. 2002 年下半年,以《国土安全战略》为指导, 2003 年 2 月, 《网络空间安全国家
战略》、《保护关键基础设施和重要资产的国家战略》
6. 2005 年,建立国家漏洞库( NVD )
7. 2008 年 1 月,建立 国家网络安全综合计划( CNCI )即“网络曼哈顿计划”
8. 2010 年 5 月,网络战司令部成立。 8 月正式运行。
英国
1. 安全保障机构:
国家基础设施安全协调中心和信息保障中央主办局和民事应急局
7
2. 立法过程: 1984 年《数据保护法》、 1990 年《反计算机滥用法》、 1997 年《电
信诈骗法》、 2000 年《信息自由法》
3. 1998 年,贸易和工业部《加强竞争力白皮书》,确定建设方式
4. 2005 年《信息保障管理框架》
5. 2009 年 6 月《国家网络安全战略》,成立“网络安全办公室”和“网络安全运行中
心”
6. 建立两个国家级计算机应急响应小组:
政府计算机响应小组
国防部计算机应急响应小组
7. BS7799 是国际信息安全管理标准 ISO27000 的前身
德国
1. 是第一个建立电子政务标准的国家
2. 1991 年,建立信息安全局( BSI)
3. 1997 年建立部际关键基础设施工作组
2005 年出台《信息基础设施保护计划》和《关键基础设施保护的基线保护概念》
4. 2003 年 12 月总理办公室《强化信息系统安全国家计划》
5. 2009 年 7 月 7 日,成立国家级“网络和信息安全局”,置于总理领导下,隶属国防
部
其它西方国家
1. 加拿大
2004 年提出《国家安全政策》
2004 年 11 月《国家关键基础设施保护战略》
2010 年 10 月 3 日《加拿大网络安全战略》
8
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
