网络安全复习CLASSIFIED.docVIP

网络安全与管理复习提纲 1.1.2 一般认为，软件工程是要保证某些事情能够发生，而安全工程是确保某些事情不能发生。 1.2.2 1、信息保障强调信息安全的保护能力，同时重视提高系统的如前检测能力、事件相应能力和快速恢复能力，它关注的是信息系统整个生命周期的保护、检测、响应和恢复等安全机制，即PDRR安全模型。 2、信息保障是一种确保信息和信息系统能够安全运行的防护性行为，是信息安全在当前信息时代的新发展。 3、“深度防御”的基本思想就是要对攻击者和目标之间的信息环境进行分层，然后在每一层都“搭建”由技术手段和管理策略等综合错事构成的一道道“屏障”，形成连续的、层次化的多重防御机制，保障用户信息及信息系统的安全，消除给攻击网络的企图提供的“缺口”。 4、“深度防御”的信息保障战略强调人、技术和操作三个核心的原则，对技术和信息基础设施的管理也离不开这三个要素。 （1）人（People）：人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，是第一位的要素，同时也是最脆弱的。正因为如此，关于人的安全管理在安全保障体系中非常重要，可以这么说，信息安全保障体系，实质上就是一个安全管理 的体系，其中包括意识培训、组织管理、技术管理和操作管理等多个方面。技术是安全的基础，管理是安全的灵魂，所以应当在重视安全技术应用的同时，必须加强安全管理。 （2）技术（Technology）：技术是实现信息保障的重要手段，信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然，这里所说的技术，已经不单是以防护为主的静态技术体系，而是关于防护、检测、响应和恢复并重的动态的技术体系。 （3）操作（Operation）：或者叫运行，它构成了安全保障的主动防御体系，如果说技术的构成是被动的，那么操作及其流程就是将各方面技术紧密结合在一起的主动的过程，其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。 1.3.1 信息安全保障体系包含多子目、多层次、多方面的内容 信息安全保障过程中，需要实施信息安全工程，这是由信息安全的特性决定的： 信息安全具有社会性。 信息安全具有全面性。 信息安全具有必然性。 信息安全具有过程性。 信息安全具有动态性。 信息安全具有相对性。 实施信息安全工程更充分权衡风险威胁与防御措施的利弊与得失，在安全级别与投资代价之间取得一个企业相对能够接受的平衡点，讲究成本与效率。 信息安全具有层次性。 物理层安全、系统层安全、网络层安全、应用层安全、管理层安全 3.2.2 SSE-CMM的过程域 与基于时间维的 ISSE 过程不同，SSE-CMM 是将通用的安全工程过程分为三个不同的基本单元：风险、工程和信任度。 3.2.3.1 1、SSE-CMM 包括“域”和“能力”两个维数。其中域维仅仅包含了所有的共同定义安全工程的实施活动，这些实施在SSE-CMM 模型中称为“基本实践”。能力维表示的实践代表了组织对过程的管理和制度化能力，它们称为“通用实践”。通用实践是基本实践过程中必须要完成的活动。 2、通过把基本实践和通用实践放在两个维上综合考察，便可以检验一个组织执行某项特定活动能力的方法。 3.3.1 SSE-CMM 可用于以下三种场合： （1）过程改进：使从事安全工程的组织能够了解他们的安全工程过程等级，设计所要改进的安全工程过程，改进他们的安全工程过程能力。 （2）能力评估：使消费者能够了解产品、系统或者服务提供商组织的安全工程过程能力。 （3）信任度：通过证据来说明已经使用了成熟的过程，以此来增加对一个产品、系统或服务可信度的信心。 3.3.2 IDEAL 方法描述如下： （1）初始化：为安全工程过程的成功改进奠定基础。 （2）诊断：判断当前的工程过程能力状况。 （3）建立：为实现目标建立详细的行动计划。 （4）执行：根据计划展开行动。 （5）学习：吸取经验，改进过程能力。 4.2.1 1993年6月，美国政府同加拿大及欧共体共同起草单一的通用准则（CC标准） 1996 年CC 的1.0 版本出版，2.0 版本在1998 年正式公行。 1999 年12 月CC 2.0 版被ISO 批准为国际标准。我国于2001 年将CC等同采用为国家标准 4.4 1、实施信息安全等级保护，有以下重要的意义： （1）有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调。 （2）有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务。 （3）有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。 （4）有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理。 （5）有利于推动信