第一章
1.1 信息安全保障基础
v信息安全视角
§了解国家视角对信息安全关注点(网络战、关键基础设施保护、法律建设与标准化)相关概念;
§了解企业视角对信息安全关注点(业务连续性管理、资产保护、合规性)相关概念;
§了解个人视角对信息安全关注点(隐私保护、个人资产保护、社会工程学)相关概念;
信息安全的属性:
基本属性:CIA 保密性、完整性、可用性。
其他属性:真实性、可问责性、不可否认性、可靠性。
v我国信息安全保障工作
§总体要求:积极防御,综合防范
§主要原则:技术与管理并重,正确处理安全与发展的关系
1.2基于时间的PDR与PPDR模型
P2DR比PDR多了一个 Policy策略,Pt防护时间,Dt 检测时间,Rt响应时间,Et,收到攻击后的暴露时间。
1.3 ITAF 信息保障技术框架(IATF)
美国国家安全局(NSA)制定,为保护美国政府和工业界的信息与信息技术设施提供技术指南
核心思想:“深度防御”
三个要素:人、技术、操作
四个焦点领域
- 保护网络和基础设施 :
- 保护区域边界:{
v区域边界:区域的网络设备与其它网络设备的接入点被称为“区域边界”。目标:对进出某区域(物理区域或逻辑区域)的数据流进行有效的控制与监视。
方法:病毒、恶意代码防御,防火墙,入侵检测,远程访问,多级别安全} - 保护计算环境: 【如何保护计算环境? 使用安全的操作系统, 使用安全的应用程序,主机入侵检测,防病毒系统,主机脆弱性扫描,文件完整性保护】
- 支持性基础设施 { v目标:为安全保障服务提供一套相互关联的活动与基础设施。如PMI密钥管理基础设施,检查响应基础设施。}
1.4 信息系统安全保障评估框架
信息安全保障评估体系 --概念关系理解图
信息系统安全保障评估模型
以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素。通过信息系统安全保障实现信息安全的安全特征:信息的保密性、完整性和可用性特征,从而达到保障组织机构执行其使命的根本目的
1.5 舍伍德的商业应用安全架构
SABSA 生命周期:战略与规划→设计→实施→管理与测量
|
资产(什么) |
动机(为什么) |
过程(如何) |
人(谁) |
地点(何地) |
时间(何时) |
背景层 |
业务 |
业务风险模型 |
业务过程模型 |
业务组织和关系 |
业务地理布局 |
业务时间依赖性 |
概念层 |
业务属性配置文件 |
控制目标 |
安全战略和架构分层 |
安全实体模型和信任框架 |
安全域模型 |
安全有效期和截止时间 |
逻辑层 |
业务信息模型 |
安全策略 |
安全服务 |
实体概要和特权配置文件 |
安全域定义和关系 |
安全过程循环 |
物理层 |
业务数据模型 |
安全规则、实践和规程 |
安全机制 |
用户、应用程序和用户接口 |
平台和网络基础设施 |
控制结构执行 |
组件层 |
数据结构细节 |
安全标准 |
安全产品和工具 |
标识、功能、行为和访问控制列表(ACL) |
过程、节点、地址和协议 |
安全步骤计时和顺序 |
运营层 |
业务连续性保障 |
运营风险管理 |
安全服务管理和支持 |
应用程序和用户管理与支持 |
站点、网络和平台的安全 |
安全运营日程表 |
第三章
3.3. 信息安全管理体系建设
应用信息安全风险管理 (ISO/IEC 27005) 实现信息资产管理的理解。 <