​​ 点击报名后领取>>>软考16本电子版教材 & 36本辅导教材 + 27套历年真题试卷 + 21套精编知识点6G资料包​​

第22章 信息系统安全管理

脑图见图22-1

图22-1 第22章 信息系统安全管理

22.1 信息系统安全策略

22.1.1 信息系统安全策略的概念与内容

知识点22-1：安全策略的核心内容就是“七定”，定方案、定岗、定位，定员、定目标、定制度、定工作流程

22.1.2 建立安全策略需要处理好的关系

1.安全与应用的依存关系

2.风险度的观点

3.适度安全的观点

4.木桶效应的观点

5.信息系统安全等级保护的概念

知识点22-2：5个安全等级

（1）用户自主保护级

（2）系统审计保护级

（3）安全标记保护级

（4）结构化保护级

（5）访问验证保护级

22.1.3 信息系统安全策略设计原则

知识点22-3：8个总原则

（1）主要领导人负责原则

（2）规范定级原则

（3）依法行政原则

（4）以人为本原则

（5）注重效费比原则

（6）全面防范，突出重点原则

（7）系统，动态原则

（8）特殊的安全管理原则

知识点22-4：10个特殊原则

（1）分权制衡原则（2）最小特权原则（3）标准化原则（4）用成熟的先进技术原则（5）失效保护原则（6）普遍参与原则（7）职责分离原则（8）审计独立原则（9）控制社会影响原则（10）保护资源合效率原则

22.1.4 信息系统安全方案

知识点22-5：与信息系统安全方案相关的系统组成因素

(1) 主要硬件设备的选型。

（2）操作系统是哪个合数据库的选型

(3) 网络拓扑结构的选型。

(4)数据存储方案合存储设备的选型

(5) 安全设备的选型

(6)应用软件的开发平台的选型

(7) 应用软件的系统结构的确定

(8) 供货商和集成商的选择等。

(9) 业务运营与安全管理的职责（岗位）划分。

(10) 应急处理方案的确定及人员的落实。

2.确定信息系统安全方案

22.2 信息安全系统工程

22.2.1 信息安全系统工程概述

22.2.2 信息安全系统

知识点22-6：安全机制

第一层：基础设施实体安全

第二层：平台安全

第三层：数据安全

第四层：通信安全

第五层：应用安全

第六层：运行安全

第七层：管理安全

知识点22-7：安全服务

（1）对等实体认证服务

（2）数据保密服务

（3）数据完整性服务

（4）数据源认证服务

（5）禁止否认服务

（6）犯罪证据提供服务

知识点22-8：安全技术

（1）加密技术（2）数字签名技术（3）访问控制技术（4）数据完整性技术（5）认证技术（6）数据挖掘技术

22.2.3 信息安全系统架构体系

知识点22-9：MIS+S系统的特点

（1）业务应用系统基本不变。（2）硬件和系统软件通用。（3）安全设备基本不带密码。

知识点22-10：S-MIS系统架构的特点

（1）硬件和系统软件通用。（2）PKI/CA 安全保障系统必须带密码。（3）业务应用系统必须根本改变。（4）主要的通用的硬件、软件也要通过PKI/CA 认证。

知识点22-11：S2-MIS系统架构的特点

（1）硬件和系统软件都专用。（2）PKI/ CA 安全基础设施必须带密码（3）业务应用系统必须根本改变

22.2.4 信息安全系统工程基础

知识点22-12：信息安全系统工程与技术工程的关系

(1) 硬件工程。(2) 软件工程。(3) 通信及网络工程。(4) 数据存储和灾备工程。(5) 系统工程。(6) 测试工程。(7) 密码工程。(8) 企业信息化工程。

知识点22-13：信息安全系统工程与安全管理的关系

(1) 物理安全。(2)计算机安全。(3) 网络方全。(4) 通信安全。(5) 输入／输出产品的安全。(6) 操作系统安全。(7)数据库系统安全(8) 数据安全。(9) 信息审计安全(10) 人员安全。(11) 管理安全。(12) 辐射立全。

22.2.5 信息安全系统工程体系结构

1.ISSE-CMM概述

2.ISSE过程：工程过程(Engineering Process) 、风险过程(Risk Process） 保证过程

3.ISSE体系结构

22.3 PKI公开密钥基础设施

22.3.1 公钥基础设施（PKI）基本概念

1.PKI的总体架构

2.双证书、双密钥机制

3.双密钥证书的生成过程

4.X.509证书标准

5.公开密钥证书的标准扩展

6.数字证书的主要内容

22.3.2 数字证书及其生命周期

1.PKI/CA对数字证书的管理

知识点22-14：数字证书的生命周期

阶段一：安全需求确定。

（1）标识需要证书的应用程序

（2）确定所需要的安全级别

（3）标识需要证书的用户，计算机合服务

（4）确定如何保护私有密钥

阶段二：证书登记

（1）生成一个密钥对

（2）收集登记信息

（3）申请证书申请人发送一个证书申请，它包括用户的公开密钥合另外所需要的信息

（4）用CA的公开密钥对申请进行加密，然后把加密的申请发送给CA

（5）验证信息

（6）创建证书

（7）发送或邮寄证书

第三阶段：证书分发

第四阶段：证书撤回

第五阶段：证书更新

第六阶段：证书审计

3.映射证书到用户的账户

22.3.3 信任模型

1.信任的概念

2.PKI/CA的信任结构

3.实体命名（DN）信任机制

22.3.4 应用模式

22.4 PMI权限（授权）管理基础设施

22.4.1 PMI与PKI的区别

1.PMI与PKI逐项比较

2.属性证书及其管理中心

22.4.2 属性证书定义

1.属性证书的格式

知识点22-15：属性证书的特点

（1）分立的发行机构。

（2）基于属性，而不是基于身份进行访问控制

（3）属性证书与身份证书的相互关联。

（4）时效短。

3.属性证书的使用

22.4.3 访问控制

知识点22-16：访问控制的基本概念：

（1）认证过程

（2）授权管理

知识点22-17：访问控制机制分类

（1）强制访问控制

（2）自主访问控制

知识点22-18：访问控制安全模型

（1）Bell-LaPadula 访问控制安全模型：公开，受限，秘密，机密，高密

BLP 保密模型基于两种规则来保障数据的机密度与敏感度。

上读(NRU) : 主体不可读安全级别的高于它的数据。

下写(NWD) : 主体不可写安全级别低于它的数据。

（2）Biba完整性模型

下读：主体不能读取安全级别低于他的数据

上写：主体不能写入安全级别高于他的数据

22.4.4 基于角色的访问控制

22.4.5 PMI支撑体系

1.PMI平台

知识点22-19：访问控制的应用

（1）访问控制授权方案：DAC自主访问控制方式；ACL访问控制列表方式；MAC自主访问控制方式；RBAC基于角色的访问控制方式

（2）访问控制决策的基本因素：访问者；目标；动作；权限信任源；访问规则

（3）基于角色的访问控制

22.4.6 PMI实施

1.建立属性权威：嵌入式属性权威管理；在单位内部建立属性权威；建立属性权威中心

2.制订授权策略

3.授权

4.访问控制

5.审计

6.PMI实施的工作流程

22.5 信息安全审计

22.5.1 安全审计概念

1.安全审计

知识点22-20：安全审计的作用

（1）对潜在的攻击者起到震慑或警告作用

（2）对于已经发生的系统破坏行为提供有效的追究证据

（3）为系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞

（4）为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方

知识点22-21：网络安全审计的具体内容 。

(1) 监控网络内部的用户活动。

(2）侦察系统中存在的潜在威胁。

(3) 对日常运行状况的统计和分析

(4) 对突发案件和异常事件的事后分析。

(5) 辅助侦破和取证

知识点22-22：安全审计功能

（1）安全审计自动响应功能

（2）安全审计数据生成功能

（3）安全审计分析功能

（4）安全审计浏览功能

（5）安全审计事件选择功能

（6）安全审计事件存储功能

22.5.2 建立安全审计系统

1.基于入侵监测预警系统的网络与主机信息监测审计

知识点22-23：重要应用系统运行情况审计

（1）基于主机操作系统代理

（2）基于应用系统代理

（3）基于应用系统独立程序

（4）基于网络旁路监控方式

22.5.3 分布式审计系统

1.审计中心

2.审计控制台

知识点22-24：审计Agent：

（1）网络监听型Agent：

(a) 入侵检测Agent: 主要实现对已知入侵手段的检测功能

(b) 典型应用Agent: 实现在Telent ，HTTP, FTP ，SMTP 、 POP3 上的应用审计功能。

(c) 流量检测Agent:主要实现对实时和历史流量的检测功能。

(d)文件共享Agent: 要实现对Windows 环境中的基于Netbios Over TCP/IP 的文件共享审计功能

(e) 用户自定义数据审计Agent: 实现对用户自定义服务的审计功主。

（f）主机服务审计Agent:实现读网络上的主机所开放的服务端口进行审计的功能

（2）系统嵌入式Agent

（3）主动信息获取型Agent

文章源于网络，如有侵权，请私信文章标题联系删除，谢谢。

为了能让更多人享受软考的政策福利和现实功利，51CTO旗下软考教研团队联合薛大龙老师，认真严肃向大家推出软考2日直播特训营。

扫码入群0元领取6G的软考6资料包+2天软考特训营名额

软考资料包括：软考16本电子版教材 & 36本辅导教材 + 27套历年真题试卷 + 21套精编知识点6G资料包​

软考训练营名额+资料领取方式>>>

扫下方码入群后按照老师的要求操作即可领取。

51CTO软考两天直播训练营

这门课恰好能够为你答疑解惑，助你快速入门并掌握软考知识要点，获得技能提升。为自己的职业发展规划制定一个更明确的规划，迈出升职加薪的第一步。

训练营周期为 两天直播课 晚8：00-9：00

心急的小伙伴可直接扫码解锁。

☟☟☟

2天软考直播特训营

3大必备技能

↓↓↓

限时 0 元 即可解锁

点击下方链接报名

仅限前100个名额

报名链接: ​ ​​https://edu.51cto.com/surl=oR9sp3​​​

课程涵盖：高分知识点梳理，案例分析解题方法、论文通用模板等。我们力争通过2天的直播课程，助力您快速入门并一次性通关软考！

如果你对这门课程还不太了解的话，就跟我一起往下看吧。

我们的主讲老师薛大龙老师，深耕软考教育培训20余年，主编出版软考辅导教材60余本，非常熟悉软考题目的要求、难度、以及判卷标准。

完成本体验营2天所有课程及作业考核，学员将掌握信息系统项目管理师、系统集成项目管理工程师的高频考点及答题技巧：

①掌握信息系统项目管理师知识体系；

②掌握考试高分占比知识领域；

③掌握考试考情前沿分析；

④掌握论文与案例超干货答题方法；

⑤掌握名师对真题的独到解析。

报名前，你还需要知道的3件事

1）课程形式

直播课程+社群学习活动

2）课程时间

报名后老师安排上课 晚8:00-9:00

3）报名后要做什么？

付费后根据提示添加学姐为好友，开营前学姐会统一拉人入群。

2天软考考证特训营

0 元 解锁课程

还可 领取「6G课程资料」

点击下方链接报名 仅限前100个名额

报名链接: ​​https://edu.51cto.com/surl=oR9sp3​​​