1、安全策略的核心内容就是"七定",即定方案、定岗、定位、定员、定目标、定制度、定工作流程。
2、《计算机信息系统安全保护等级划分准则》将计算机信息系统分为以下5个安全保护等级:
第一级:用户自主保护级。该级适用于普通内联网用户。
第二级:系统审计保护级。该级适用于用户通过内联网或国际网进行商务活动,需要保密的非重要单位。
第三级:安全标记保护级。该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
第四级:结构化保护级。该级适用于中央级国家机关、广播电视部门、重要物质储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设的部门。
第五级:访问验证保护级。该级适用于国防关键部门和依法需要对技术及信息系统实施特殊隔离的单位。
3、信息系统安全策略设计的10个特殊原则:分权隔离原则;最小特权原则;标准化原则;用成熟的先进技术原则;失效保护原则;普遍参与原则;职责分离原则;设计独立原则;控制社会影响原则;保护资源和效率原则。
4、信息安全系统工程,术语之间的关系:
信息系统业界又叫做信息应用系统、信息应用管理系统、管理信息系统、简称MIS。
信息安全系统不能脱离业务应用信息系统而存在。
业务应用信息系统支撑业务运营的计算机应用信息系统,如银行柜台业务信息系统、国税征收信息系统等。
信息系统工程即建造信息系统的工程,包括两个独立且不可分割的部分,即信息安全系统工程和业务应用信息系统工程。
业务应用信息系统工程是信息系统工程的一部分
信息安全系统工程,而不是信息系统安全工程。信息安全系统工程就明白无误地确定了,这个工程就是建设一个信息安全的系统。
5、信息安全系统的体系架构及其组成:
X轴:安全机制 Y轴:OSI网络参考模型 Z轴:安全服务
6、MIS+S系统为"初级信息安全保障系统"。其特点如下:业务应用系统基本不变;硬件和系统软件通用;安全设备基本不带密码。
S-MIS系统为"标准信息安全保障系统"。其特点如下:硬件和系统软件通用;PKI/CA安全保障系统必须带密码;业务应用系统必须根本改变;主要通用的硬件、软件也要通过PKI/CA认证。
S2-MIS系统为"超安全的信息安全保障系统"。其特点如下:硬件和系统软件都专用;PKI/CA安全设施必须带密码;业务应用系统必须根本改变。
7、ISSE-CMM——信息安全系统工程成熟度模型:
ISSE-CMM主要概念:
1)过程。活动可以重复、递归和并发的执行。
2)过程域。过程域是由一些基本实施组成的,它们共同实施来达到该过程域规定的目标。这些基本实施是强制性的。因为只有他们全部成功地得到执行,才能满足过程域规定的目标。ISSE-CMM包含工程、项目和组织三类过程域。
3)工作产品
4)过程能力
8、公钥基础设施PKI是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。
9、PMI即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心,将对资源访问控制权统一将由授权机构进行管理,即由资源的所有者来进行控制管理。
10、PMI与PKI的区别:
1、PMI主要进行授权管理,证明这个用户是什么权限,能干什么,即"你能做什么"
2、PKI主要进行身份鉴别,证明用户身份,即"你是谁"
它们之间的关系如同签证和护照的关系。签证具有属性类别,持有哪一类别的才能在该国家进行哪一类的活动。护照是身份证明,唯一表示个人信息,只有持有护照才能证明你是一个合法的人。
11、信息安全审计
安全审计是记录、审查主体对客体进行访问和使用情况,保证安全规则被正确执行,并帮助分析安全事故产生的原因。
安全审计具体包括两方面内容:
1)采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断。
2)对信息内容和业务流程进行审计,可以防止内部机密或敏感信息的非法泄漏和单位资产流失。
信息安全审计系统被形象地比喻为"黑匣子"和"监护神"
信息安全审计系统就是业务应用信息系统的"黑匣子","黑匣子"也能安然无恙,并确切记录破坏系统的各种痕迹和"现场记录"。
信息安全审计系统就是业务应用信息系统的"监护神",随时对一切现行的犯罪行为、违法行为进行监视、追踪、抓捕、同时对暗藏的、隐患的犯罪倾向、违法迹象进行"堵漏"、铲除。