信息系统项目管理师-信息系统安全管理核心知识思维脑图
生活随笔
收集整理的這篇文章主要介紹了
信息系统项目管理师-信息系统安全管理核心知识思维脑图
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
場景
信息系統(tǒng)安全管理有關(guān)的知識整理。
信息系統(tǒng)安全策略
?1、信息系統(tǒng)安全策略是指針對本單位的計算機業(yè)務(wù)應(yīng)用系統(tǒng)安全風險(安全威脅)進行有效的識別、評估后,所采用的各種措施、手段,以及建立的各種管理制度、規(guī)章等。由此可見,一個單位的安全策略一定是定制的,都是針對本單位的
?2、安全策略的核心內(nèi)容就是"七定",即定方案、定崗、定位、定員、定目標、定制度、定工作流程
?建立安全策略需要處理好的關(guān)系
??1、系統(tǒng)安全是一個動態(tài)的過程,今天看來是安全的系統(tǒng),明天可能就不再安全
??2、把信息系統(tǒng)的安全目標定位于‘系統(tǒng)永不停機、數(shù)據(jù)永不丟失、網(wǎng)絡(luò)永不泄密’,是錯誤的,是不現(xiàn)實的,也是不可能的
??3、適度的安全觀點
???安全代價低,顯然安全風險肯定大;反之,安全風險要降得很低,安全的代價也就很大
??4、木桶效應(yīng)的觀點
???木桶效應(yīng)的觀點是將整個信息系統(tǒng)比作一個木桶,其安全水平是構(gòu)成木桶的最短的那塊木板決定的
??5、計算機信息系統(tǒng)分為以下5個安全保護等級
???第一級
????用戶自主保護級
?????該級適用于普通互聯(lián)網(wǎng)用戶
???第二級
????系統(tǒng)審計保護級
?????該級適用于通過內(nèi)聯(lián)網(wǎng)或國際網(wǎng)進行商業(yè)活動,需要保密的非重要單位
???第三級
????安全標記保護級
?????該級適用于地方各級國家機關(guān)、金融單位機構(gòu)、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術(shù)企業(yè)、重點工程建設(shè)等單位
???第四級
????結(jié)構(gòu)化保護級
?????該級適用于中央級國家機關(guān)、廣播電視部門、重要物質(zhì)儲備單位、社會應(yīng)急服務(wù)部門、尖端科技企業(yè)集團、國家重點科研單位機構(gòu)和國防建設(shè)等部門
???第五級
????訪問驗證保護級
?????該級適用于國防關(guān)鍵部門和依法需要對計算機信息系統(tǒng)實施特殊隔離的單位
??6、信息系統(tǒng)的安全保護等級由兩個定級要素決定
???一是受侵害的客體
????等級保護對象受到破壞時所侵害的客體包括公民、法人和其他組織的合法權(quán)益;社會秩序、公共利益;國家安全
???二是對客體的侵害程度
????對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定
?信息系統(tǒng)安全策略設(shè)計原則
??1、分權(quán)制衡原則
??2、最小特權(quán)原則
??3、標準化原則
??4、用成熟的先進計劃原則
??5、失效保護原則
??6、普通參與原則
??7、職責分離原則
??8、審計獨立原則
??9、控制社會影響原則
??10、保護資源和效率原則
?信息系統(tǒng)安全方案
信息安全系統(tǒng)工程
?信息安全系統(tǒng)工程概述
??1、信息系統(tǒng)業(yè)界又叫做信息應(yīng)用系統(tǒng)、信息應(yīng)用管理系統(tǒng)、管理信息系統(tǒng),簡稱MIS。信息安全系統(tǒng)不能脫離業(yè)務(wù)應(yīng)用系統(tǒng)而存在
??2、業(yè)務(wù)應(yīng)用信息系統(tǒng)支撐業(yè)務(wù)運營的計算機應(yīng)用信息系統(tǒng),如銀行柜臺業(yè)務(wù)信息系統(tǒng)、國稅征收信息系統(tǒng)
??3、信息系統(tǒng)工程即建造信息系統(tǒng)的工程,包括兩個獨立且不可分割的部分,即信息安全系統(tǒng)工程和業(yè)務(wù)應(yīng)用信息系統(tǒng)工程
?信息安全系統(tǒng)
??1、三維模型
???信息安全空間示意圖
??2、X軸是“安全機制”,Y軸是“OSI網(wǎng)絡(luò)參考模型”,Z軸是“安全服務(wù)”。由X、Y、Z三個軸組成的信息安全系統(tǒng)三維空間就是信息系統(tǒng)的“安全空間”。隨著網(wǎng)絡(luò)逐層擴展,這個空間不僅范圍逐步加大,安全的內(nèi)涵也就更豐富,達到具有認證、權(quán)限、完整、加密好不可否認五大要素,也叫做“安全空間”的五大屬性
??3、安全服務(wù)
???1、對等實體認證服務(wù)
????對對方實體的合法性、真實性進行確認,以防假冒
???2、數(shù)據(jù)保密服務(wù)
???3、數(shù)據(jù)完整性服務(wù)
????數(shù)據(jù)完整性服務(wù)用以防止非法實體對交換數(shù)據(jù)的修改、插入、刪除以及在數(shù)據(jù)交換過程中的數(shù)據(jù)丟失
???4、數(shù)據(jù)源點認證服務(wù)
????用于確保數(shù)據(jù)發(fā)出真正的源點,防止假冒
???5、禁止否則服務(wù)
???6、犯罪證據(jù)提供服務(wù)
?信息安全系統(tǒng)架構(gòu)體系
??1、信息安全系統(tǒng)大體劃分為三種機構(gòu)體系:MIS+S系統(tǒng)、S-MIS系統(tǒng)和S2-MIS系統(tǒng)
??2、MIS+S系統(tǒng)為初級信息安全保障系統(tǒng)或“基本信息安全保障系統(tǒng)”
???1、業(yè)務(wù)應(yīng)用系統(tǒng)基本不變
???2、硬件和系統(tǒng)軟件通用
???3、安全設(shè)備基本不帶密碼
??3、S-MIS系統(tǒng)為“標準信息安全保障系統(tǒng)”。
???1、 硬件和系統(tǒng)軟件通用
???2、PKI/CA安全保障系統(tǒng)必須帶密碼
???3、業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變
???4、主要的通用的硬件、軟件也要通過PKI/CA認證
??4、S2-MIS系統(tǒng)為“超安全的信息安全保障系統(tǒng)”
???1、硬件和系統(tǒng)軟件都專用
???2、PKI/CA安全基礎(chǔ)設(shè)施必須帶密碼
???3、業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變
?信息安全系統(tǒng)工程基礎(chǔ)
?信息安全系統(tǒng)工程體系結(jié)構(gòu)
??1、信息安全系統(tǒng)功能能力成熟度模型(ISSE-CMM)主要用于指導信息安全系統(tǒng)工程的完善和改進,使信息安全系統(tǒng)成為一個清晰定義的、成熟的、可管理的、可控制的、有效的和可度量的學科
??2、ISSE-CMM主要概念
???過程
????為了達到某一給定目標而執(zhí)行的一系列活動,這些活動可以重復、遞歸和并發(fā)地執(zhí)行
???過程域
????是由一些基本實施組成的,它們共同實施來達到該過程域規(guī)定的目標
???工作產(chǎn)品
???過程能力
??3、ISSE將信息安全系統(tǒng)工程實施過程分解為:工程過程、風險過程和保證過程三個基本的部分
??4、信息安全系統(tǒng)工程與其他工程活動一樣,是一個包括概念、設(shè)計、實現(xiàn)、測試、部署、運行、維護、退出的完整過程
??5、一個有害事件由威脅、脆弱性和影響三個部分組成
PKI公開密鑰基礎(chǔ)設(shè)施
?公鑰基礎(chǔ)設(shè)施(PLI)基本概念
??1、公鑰基礎(chǔ)設(shè)施PKI
???以不對稱密鑰加密技術(shù)為基礎(chǔ),以數(shù)據(jù)機密性、完整性、身份認證和行為不可抵賴性為安全目的,來實施和提供安全服務(wù)的具有普遍性的安全基礎(chǔ)設(shè)施
??2、數(shù)字證書
???這是由認證機構(gòu)經(jīng)過數(shù)字簽名后發(fā)給網(wǎng)上信息交易主體(企業(yè)或個人、設(shè)備或程序)的一段電子文檔。數(shù)字證書提供了PKI的基礎(chǔ)
??3、認證中心
???CA是PKI的核心。它是公正、權(quán)威、可信的第三方網(wǎng)上認證機構(gòu),負責數(shù)字證書的簽發(fā)、撤銷和生命周期的管理,還提供密鑰管理和證書在線查詢等服務(wù)
??4、每一個版本的X.509必須包含下列信息
???1、版本號
???2、序列號
???3、簽名算法標識符
???4、認證機構(gòu)
???5、有效期限
???6、主體信息
???7、認證機構(gòu)的數(shù)字簽名
???8、公鑰信息
?數(shù)字證書及其生命周期
??1、PKI/CA對數(shù)字證書的管理是按照數(shù)字證書的生命周期實施的,包括證書的安全需求確定、證書申請、證書登記、分發(fā)、審計、撤回和更新
??2、CA是一個受信任的機構(gòu),為了當前和以后的事務(wù)處理,CA給個人、計算機設(shè)備和組織頒發(fā)證書,以證實它們的身份,并為他們使用證書的一切提供信譽的擔保
?信任模型
?應(yīng)用模式
PMI權(quán)限(授權(quán))管理基礎(chǔ)設(shè)施
?PMI定義
??PMI即權(quán)限管理基礎(chǔ)設(shè)施或授權(quán)管理基礎(chǔ)設(shè)施。PMI授權(quán)技術(shù)的核心思想是以資源管理為核心,將對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機構(gòu)進行管理,即由資源的所有者來進行訪問控制管理
?PMI和PKI的區(qū)別
??PMI主要進行授權(quán)管理,證明這個用戶有什么權(quán)限,能干什么,即“你能做什么”,PKI主要進行身份鑒別,證明用戶身份,即“你是誰”
?屬性證書定義
?訪問控制
??訪問控制是為了限制訪問主體(或稱為發(fā)起者,是一個主動的實體,如用戶、進程、服務(wù)等)對訪問客體(需要保護的資源)的訪問權(quán)限;從而使計算機信息應(yīng)用系統(tǒng)在合法范圍內(nèi)使用;訪問控制機制決定用戶以及代表一定用戶利益的程序能做什么及做到什么程度
??1、訪問控制有兩個重要過程
???1、認證過程
????通過“鑒別”來檢驗主體的合法身份
???2、授權(quán)管理
????通過“授權(quán)”來賦予用戶對某項資源的訪問權(quán)限
??2、訪問控制機制分類
???強制性訪問控制
???自主訪問控制
?基于角色的訪問控制
??RBAC與MAC的區(qū)別:MAC是基于多級安全需求的,而RBAC不是
?PMI支撐體系
??4種訪問控制授權(quán)方案
???1、DAC自主訪問控制方式
????該模型針對每個用戶指明能夠訪問的資源,對于不在指定的資源列表中的對象不允許訪問
???2、ACL訪問控制列表方式
????該模型是目前應(yīng)用最多的方式。目標資源擁有訪問權(quán)限列表,指明允許那些用戶訪問。如果某個用戶不在訪問控制列表中,則不允許該用戶訪問這個資源
???3、MAC自主訪問控制方式
????該模型在軍事和安全部門中應(yīng)用較多,目標具有一個包含等級的安全標簽(如:不保密、限制、秘密、機密、絕密);訪問者擁有包含等級列表的許可,其中定義了可以訪問那個級別的目標:例如允許訪問秘密級信息,這時,秘密級、限制級和不保密級的信息是允許訪問的,但機密和絕密級信息不允許訪問
???4、RBAC基于角色的訪問控制方式
????該模型首先定義一些組織內(nèi)的角色:如局長、科長、職員;再根據(jù)管理規(guī)定給這些角色分配相應(yīng)的權(quán)限,最后對組織內(nèi)的每個人根據(jù)具體業(yè)務(wù)和職位分配一個或多個角色
?PMI實施
信息安全審計
?安全審計概念
??1、安全審計是記錄、審查主體對客體進行訪問和使用情況,保證安全規(guī)則被正確執(zhí)行,并幫助分析安全事故產(chǎn)生的原因
??2、安全審計具體包括兩方面的內(nèi)容
???1、采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為,即時響應(yīng)(如報警)并進行阻斷
???2、對信息內(nèi)容和業(yè)務(wù)流程進行審計,可以防止內(nèi)部機密或敏感信息的非法泄露和單位資產(chǎn)的流失
??3、安全審計系統(tǒng)采用數(shù)據(jù)挖掘和數(shù)據(jù)倉庫技術(shù),對歷史數(shù)據(jù)進行分析、處理和跟蹤,實現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中終端對終端的監(jiān)控和管理,必要時通過多種途徑向管理員發(fā)出警告或自動采取拍錯措施。因此信息安全審計系統(tǒng)被形象地比喻為“黑匣子”和“監(jiān)護神”
??4、黑匣子
???信息安全審計系統(tǒng)就是業(yè)務(wù)應(yīng)用信息系統(tǒng)的“黑匣子”。即在整個系統(tǒng)遭到滅頂之災的破壞后,“黑匣子”也能安然無恙,并確切記錄破壞系統(tǒng)的各種痕跡和“現(xiàn)場記錄”
???5、監(jiān)護神
????信息安全審計系統(tǒng)就是業(yè)務(wù)信息系統(tǒng)的“監(jiān)護神”,隨時對一切現(xiàn)行的犯罪行為、違法行為進行監(jiān)視、追蹤、抓捕,同時對隱藏的、隱患的犯罪傾向、違法跡象進行“堵漏”、“鏟除”
???6、安全審計產(chǎn)品主要包括主機類、網(wǎng)絡(luò)類及數(shù)據(jù)庫類和業(yè)務(wù)應(yīng)用系統(tǒng)級的審計產(chǎn)品
???7、一個安全審計系統(tǒng)的作用
????1、對潛在的攻擊者起到震懾或警告作用
????2、對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù)
????3、為系統(tǒng)安全管理員提供有價值的系統(tǒng)使用日志,從而幫助系統(tǒng)安全管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞
????4、為系統(tǒng)安全管理員提供系統(tǒng)運行的統(tǒng)計日志,使系統(tǒng)安全管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進與加強的地方
???8、網(wǎng)絡(luò)安全審計的內(nèi)容
????1、監(jiān)控網(wǎng)絡(luò)內(nèi)部的用戶活動
????2、偵查系統(tǒng)中存在的潛在威脅
????3、對日常運行狀況的統(tǒng)計和分析
????4、對突發(fā)案件和異常事件的事后分析
????5、輔助偵破和取證
?建立安全審計系統(tǒng)
??1、網(wǎng)絡(luò)安全入侵檢測預警系統(tǒng)基本功能是負責監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流和網(wǎng)絡(luò)服務(wù)器系統(tǒng)中的審核信息,捕捉可疑的網(wǎng)絡(luò)和服務(wù)器系統(tǒng)活動,發(fā)現(xiàn)其中存在的安全問題,當網(wǎng)絡(luò)和主機被非法使用或破壞時,進行實時響應(yīng)和報警;產(chǎn)生通告信息和日志,系統(tǒng)審計管理人員根據(jù)這些通告信息、日志和分析結(jié)果,調(diào)整和更新已有的安全管理策略或進行跟蹤追查等事后處理措施。所以,在這個層次上的入侵監(jiān)測和安全審計是一對多因果關(guān)系,前者獲取的記錄結(jié)果是后者審核分析資料的來源,或者說前者是手段而后者是目的,任何一方都不能脫離另一方單獨工作。作為一個完整的安全審計需要入侵監(jiān)測系統(tǒng)實時、準確提供基于網(wǎng)絡(luò)、主機(服務(wù)器、客戶端)和應(yīng)用系統(tǒng)的審核分析資料
??2、入侵監(jiān)測是指為對計算機和網(wǎng)絡(luò)資源上的惡意使用行為進行識別和響應(yīng)的處理過程。它不僅檢測來自外部的入侵行為,同時也檢測內(nèi)部用戶的未授權(quán)活動
??3、從安全審計的角度看,入侵檢測采用的是以攻為守的策略,它所提供的數(shù)據(jù)不僅可以用來發(fā)現(xiàn)合法用戶是否濫用特權(quán)還可以為追究入侵者法律責任提供有效證據(jù)
??4、從已知的現(xiàn)有技術(shù)分析,主要有4種解決方案
???1、基于主機操作系統(tǒng)代理
???2、基于應(yīng)用系統(tǒng)代理
???3、基于應(yīng)用系統(tǒng)獨立程序
???4、基于網(wǎng)絡(luò)旁路監(jiān)控方式
?分布式審計系統(tǒng)
??分布式審計系統(tǒng)組成部分
???審計中心
???審計控制臺
???審計Agent
??審計中心
???是對整個審計系統(tǒng)的數(shù)據(jù)進行集中存儲和管理,并進行應(yīng)急響應(yīng)的專用軟件,它基于數(shù)據(jù)庫平臺,采用數(shù)據(jù)庫方式進行審計數(shù)據(jù)管理和系統(tǒng)控制,并在無人看守情況下長期運行
??審計控制臺
???是提供給管理員用于對審計數(shù)據(jù)進行查閱,對審計系統(tǒng)進行規(guī)劃設(shè)置,實現(xiàn)報警功能的界面軟件,可以有多個審計控制臺軟件同時運行
??審計Agent
???是直接同被審計網(wǎng)絡(luò)和系統(tǒng)連接的部件,不同的審計Agent完成不同的功能
???審計Agent將報警數(shù)據(jù)和需要記錄的數(shù)據(jù)自動報送到審計中心,并由審計中心進行統(tǒng)一的調(diào)度管理
???審計Agent分類
????網(wǎng)絡(luò)監(jiān)聽型Agent
????系統(tǒng)嵌入型Agent
????主動信息獲取型Agent
實現(xiàn)
信息系統(tǒng)安全策略
?
信息安全系統(tǒng)工程
?
PKI公開密鑰基礎(chǔ)設(shè)施
?
PMI權(quán)限(授權(quán))管理基礎(chǔ)設(shè)施
?
信息安全審計
?
信息系統(tǒng)安全管理完整思維導圖
?
?
總結(jié)
以上是生活随笔為你收集整理的信息系统项目管理师-信息系统安全管理核心知识思维脑图的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 信息系统项目管理师-项目集、项目组合管理
- 下一篇: 信息系统项目管理师-信息系统综合测试与管