《信息安全体系整理》由会员分享,可在线阅读,更多相关《信息安全体系整理(10页珍藏版)》请在金锄头文库上搜索。
1、一、总论一、总论 1 1。什么是信息安全管理。什么是信息安全管理, ,为什么需要信息安全管理为什么需要信息安全管理? ?信息安全管理是组织为实现信息安全目标而进行的管理活动, 是组织完整的管理体系中的一个重要组成部分,是为保护信息资产安全,指导和控制组织的关于信息安全风险的相互协调的活动。信息安全管理是通过维护信息的机密性、 完整性和可用性等, 来管理和保护组织所有信息资产的一系列活动.信息、 信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。 信息的保密性、完整性 和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。 由于信息具有易传输、易扩散、易
2、破损的特点,信息资产比传统资产更加脆弱,更易受到损害,信息及信息系统需要严格管理和妥善保护。2. 2.系统列举常用的信息安全技术?系统列举常用的信息安全技术?密码技术、访问控制和鉴权;物理安全技术:环境安全、设备安全、人员安全;网络安全技术:防火墙、VPN、入侵检测/入侵防御、安全网关;容灾与数据备份3. 3.信息安全管理的主要内容有哪些?信息安全管理的主要内容有哪些?信息安全需求是信息安全的出发点,它包括机密性需求、完整性需求、可用性需求、抗抵赖性、真实性需求、可控性需求和可靠性需求等.信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点, 对这些实施适当的控制措施可确保组织相应环节
3、的信息安全, 从而确保组织整体的信息安全水平。 信息安全控制措施是指为改善具体信息安全问题而设置技术或管理手段,信息安全控制措施是信息安全管理的基础。4. 4.什么是信息安全保障体系,它包含哪些内容?什么是信息安全保障体系,它包含哪些内容?( (见一、见一、3 3 图图) )5. 5.信息安全法规对信息安全管理工作意义如何?信息安全法规对信息安全管理工作意义如何?法律法规是组织从事各种政务、 商务活动所处社会环境的重要组成部分, 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面:1.为人们从事在信息安全方面从事各种活动提供规范性指导2.能够预防信息安全事件的发生3。保障
4、信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段二、信息安全风险评估二、信息安全风险评估1 1。 什么是信息安全风险评估什么是信息安全风险评估? ?它由哪些基本步骤组成?它由哪些基本步骤组成?信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程.风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。2 2。 信息资产可以分为哪几类?请分别举出一两个例子说明。信息资产可以分为哪几类?请分别举出一两个例子说明。根据 ISO/IEC 13335
5、-1,资产是指任何对组织有价值的东西, 资产包括: 物理资产、 信息/数据 、软件、提供产品和服务的能力(注:供应能力) 、人员、无形资产(商标等) 。3. 3. 威胁源有哪些?其常见表现形式分别是什么?威胁源有哪些?其常见表现形式分别是什么?4 4。 请解释以下名词:请解释以下名词:(1)1)资产;资产是指任何对组织有价值的东西(二、资产;资产是指任何对组织有价值的东西(二、2)2)(2 2)威胁)威胁; ;威胁是可能对资产或组织造成损害的潜在原因威胁是可能对资产或组织造成损害的潜在原因. .(3 3)脆弱点;脆弱点是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱)脆弱点;脆弱点
6、是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节。环节。(4(4)风险;信息安全风险是指威胁利用利用一个或一组资产的脆弱点导致组织受损的潜在,)风险;信息安全风险是指威胁利用利用一个或一组资产的脆弱点导致组织受损的潜在,并以威胁利用脆弱点造成的一系列不期望发生的事件(或称为安全事件)来体现并以威胁利用脆弱点造成的一系列不期望发生的事件(或称为安全事件)来体现(5)5)影响。影响。 影响是威胁利用资产的脆弱点导致不期望发生事件的后果。影响是威胁利用资产的脆弱点导致不期望发生事件的后果。 这些后果可能表现为这些后果可能表现为直接形式直接形式5. 5. 风险评估方法分为哪几种?其优缺
7、点分别是什么?风险评估方法分为哪几种?其优缺点分别是什么?常见的风险评估方法有三种:基线风险评估方法详细风险评估方法综合风险评估方法基线评估基线评估的优点是:(1)风险分析和每个防护措施的实施管理只需要最少数量的资源,并且在选择防护措施时花费更少的时间和努力;(2)如果组织的大量系统都在普通环境下运行并且如果安全需要类似,那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力.基线评估的的缺点是: 基线水平难以设置(2)风险评估不全面、不透彻,且不易处理变更。详细评估的优点是:详细评估的优点是:(1)有可能为所有系统识别出适当的安全措施; (2)详细分析的结果可用于安全变更管理. 详
8、细评估的缺点:需要更多的时间、努力和专业知识。综合评估方法综合评估方法将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果, 而且, 组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。 综合评估也有缺点: 如果初步的高级风险分析不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致某些严重的风险未被发现.6. 6. 请写出风险计算公式,并解释其中各项所代表的含义。请写出风险计算公式,并解释其中各项所代表的含义。风险可形式化的表示为R=(A,T,V),其中R表示风险、A表示资产、T表示威胁、V表示脆弱点.相应的风险值
9、由A、 T、 V的取值决定, 是它们的函数, 可以表示为: VR=R(A,T,V)=R (L(A,T,V),F(A,T,V))其中,L(A,T,V)、F(A,T,V)分别表示对应安全事件发生的可能性及影响,它们也都是资产、威胁、脆弱点的函数,但其表达式很难给出。而风险则可表示为可能性L和影响F的函数,简单的处理就是将安全事件发生的可能性L与安全事件的影响F相乘得到风险值,实际就是平均损失,即VR=L(A,T,V)F(A,T,V)7 7。 风险评估文件由哪些主要文档组成?风险评估文件由哪些主要文档组成?风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档, 这些文档包括:(1)风
10、险评估计划(2)风险评估程序(3)资产识别清单(4)重要资产清单(5)威胁列表(6)脆弱点列表(7)已有安全措施确认表(8)风险评估报告(9)风险处理计划(10)风险评估记录8 8。 常用的综合评价方法有哪些常用的综合评价方法有哪些, ,试进行比较试进行比较. .常用的综合评价方法有综合指数法、 功效评分法、TOPSIS 法、层次分析法、主成份分析法、聚类分析法等。(1)综合指数法是多指标系统的一种评价方法.综合指数法通过计算各评价对象对每个指标折算指数值来实现不同指标值的无量纲化,并通过加权平均方法计算综合指数值,(2) 功效评分法通过功效系数来实现不同指标的无量纲化,然后在利用其他方法来确
11、定功效权值,如均权法、层次分析法、离差权法等。(3)TOPSIS 法是通过检测评价对象与最优解、最劣解的距离来进行排序, 若评价对象最靠近最优解同时又最远离最劣解,则为最好;否则不为最优。(4) 层次分析法是将决策问题的有关元素分解成目标、准则、方案等层次,在此基础上进行定量和定性分析的一种决策方法。层次分析法的决策过程如下:a)分析各影响因素间的关系,建立层次模型b)构建两两比较判断矩阵c)计算单个判断矩阵对应的权重向量d)计算各层元素对目标层的合成权重向量(5) 主成分分析是一种多元统计分析方法,对于多指标的复杂评价系统,由于指标多,数据处理相当复杂,由于指标之间存在一定的关系,可以适当简
12、化.主成分分析的思想是通过一定的变换,用较少的指标来代替原先较多的指标,从而达到简化问题的处理与分析的目的。(6)聚类分析法是解决“物以类聚, 解决事务分类的一种数学方法。 它是在没有或不用样品所述类别信息的情况下, 依据对样品采集的数据的内在结构以及相互间的关系, 在样品间相似性度量的基础上,对样品进行分类的一种方法。9 9。 常用的定性与定量的风险分析方法有哪些?各有什么特点?常用的定性与定量的风险分析方法有哪些?各有什么特点?定量方法定量方法试图用具体的货币表示形式的损失值来分析和度量风险,定量方法主要有基于期望损失的风险评估方法与基于期望损失效用的风险评估方法等.基于期望损失的风险评估
13、方法以期望损失作为风险大小的度量标准。基于期望损失效用的风险评估方法好处就是能够更好的区分“高损失、 低可能性”及“低损失、高可能性”两种不同安全事件的风险.定性方法定性方法不是给出具体的货币形式的损失,而是用诸如 “极为严重、严重、一般、可忽略”等定性方法来度量风险。定性方法一般基于一定的定量方法,在定量方法的基础上进行裁剪和简化.典型的定性风险分析与评价方法有风险矩阵测量、威胁分级法、风险综合评价等。1风险矩阵测量这种方法的特点是事先建立资产价值、 威胁等级和脆弱点等级的一个对应矩阵, 预先将风险等级进行了确定。然后根据不同资产的赋值从矩阵中确定不同的风险。2威胁分级法这种方法是直接考虑威
14、胁、 威胁导致的安全事件对资产产生的影响以及威胁导致安全事件发生的可能性来确定风险.3风险综合评价这种方法中风险由威胁导致的安全事件发生的可能性、 对资产的影响程度以及已经存在的控制措施三个方面来确定。 与风险矩阵法和威胁分级法不同, 本方法将控制措施的采用引入风险的评价之中。三、网络无习题三、网络无习题四、物理安全四、物理安全1. 1.为了保证信息系统安全,应当从哪些方面来保证环境条件为了保证信息系统安全,应当从哪些方面来保证环境条件应当从机房安全,安全区域来保证环境条件防盗、防毁、防电磁泄漏、加强设备的安全管理和规范存储媒介的使用是设备安全防护的基本要求;为防止未经授权的访问,预防对信息系
15、统基础设施(设备)和业务信息的破坏与干扰, 应当对信息系统所处的环境进行区域划分, 并把关键的和敏感的业务信息处理设施放置在安全区域,同时要对放置信息系统的空间进行细致周密的规划,并从温度和湿度、空气含尘度、噪声、电磁干扰、供电等方面来保证环境条件。2 2。移动存储介质的安全隐患有哪些?。移动存储介质的安全隐患有哪些?如体积小、易丢失; “摆渡”技术的威胁;信息失效;公私混用;病毒危害;管理困难等3 3。电磁泄漏的技术途径有哪些?。电磁泄漏的技术途径有哪些?计算机电磁泄漏电磁泄漏信息泄露主要有两种途径: 一是被处理的信息会通过计算机内部产生的电磁波向空中发射,称为辐射发射(见图 4-1);二是
16、这种含有信息的电磁波也可以通过计算机内部产生的电磁波向空中发射,称为传导发射抑制计算机中信息泄露的技术途径有两种:一是电子隐蔽技术,二是物理抑制技术4. 4.信息系统的记录按其重要性和机密程度可以分为哪几类?信息系统的记录按其重要性和机密程度可以分为哪几类?一类记录关键性记录这类记录对设备的功能来说是最重要的、不可替换的,是火灾或其它灾害后立即需要,但又不能再复制的那些记录。二类记录-重要记录这类记录对设备的功能来说很重要,可以在不影响系统最主要功能的情况下进行复制。但比较困难和昂贵。三类记录有用记录这类记录的丢失可能引起极大的不便,但可以很快复制。四类记录不重要记录5 5。简述计算机机房安全
17、等级的划分。简述计算机机房安全等级的划分。A 类:对计算机机房的安全有严格的要求, 有完善的计算机机房安全措施。 该类机房放置需要最高安全性和可靠性的系统和设备.B 类:对计算机机房的安全有较严格的要求,有较完善的计算机机房安全措施。它的安全性介于 A 类和 C 类之间。C 类:对计算机机房的安全有基本的要求, 有基本的计算机机房安全措施。 该类机房存放只需要最低限度的安全性和可靠性的一般性系统。6 6。信息安全人员的审查应当从哪几个方面进行?。信息安全人员的审查应当从哪几个方面进行?审查范围:人员安全意识、法律意识和安全技能等.人员审查标准:1、人员审查必须根据信息系统所规定的安全等级确定审
18、查标准.2、信息系统的关键岗位人选,如安全负责人、安全管理员、系统管理员和保密员等,必须经过严格的政审并要考核其业务能力。3、因岗挑选人,制定选人方案。遵循“先测评、后上岗;先试用、后聘用”原则。4、所有人员都应遵循“最小特权”原则,并承担保密义务和相关责任。7. 7.人员安全管理的基本原则是什么人员安全管理的基本原则是什么? ?人员管理的三个基本原则为:1.多人负责原则;2。任期有限原则;3、职责分离原则。8 8。职员授权管理的主要内容有哪些?。职员授权管理的主要内容有哪些?职员授权管理主要涉及职员定岗、 用户管理及承包人或公众访问系统时需要考虑的特殊因素五、信息系统安全审计五、信息系统安全
19、审计1. 1.什么是信息安全审计,它主要有哪些方面的功能什么是信息安全审计,它主要有哪些方面的功能? ?安全审计是对信息系统的各种事件及行为实行监测、 信息采集、 分析并针对特定事件及行为采取相应响应动作。 网络安全审计是指对与网络安全有关的活动的相关信息进行识别、 记录、存储和分析,并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。信息安全审计的有多方面的作用与功能, 包括取证、威慑、发现系统漏洞、发现系统运行异常等。(1)取证:利用审计工具,监视和记录系统的活动情况。(2)威慑:通过审计跟踪,并配合相应的责任追究机制,对外部的入侵者以及内部人员的恶意行为具有威慑和警告作用。(3)
20、发现系统漏洞:安全审计为系统管理员提供有价值的系统使用日志, 从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。(4)发现系统运行异常:通过安全审计,为系统管理员提供系统运行的统计日志,管理员可根据日志数据库记录的日志数据,分析网络或系统的安全性,输出安全性分析报告,因而能够及时发现系统的异常行为,并采取相应的处理措施.2.CC2.CC 在安全审计方面有哪些要求?我国国标在安全审计方面有哪些要求?我国国标 GB17859GB17859 又有什么要求?又有什么要求?CC 是美国、 加拿大、 英国、 法国、 德国、 荷兰等国家联合提出的信息安全评价标准, 在 1999年通过国际标准化组织认可
21、,成为信息安全评价国际标准。 CC 标准基于安全功能与安全保证措施相独立的观念,在组织上分为基本概念、安全功能需求和安全保证需求三大部分。CC中,安全需求都以类、族、组件的层次结构形式进行定义。我国的信息安全国家标准GB 178591999计算机信息系统安全保护等级划分准则定义了五个安全等级, 从第二级“系统审计保护级”开始有了对审计的要求, 它规定计算机信息系统可信计算基(TCB)可以记录以下事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其它与系统安全相关的事件。第三级 “安全标记保护级”在第
22、二级的基础上,要求对于客体的增加和删除这类事件要在审计记录中增加对客体安全标记的记录。 另外, TCB也要审计对可读输出记号 (如输出文件的安全标记)的更改这类事件。 第四级“结构化保护级”的审计功能要求与第三级相比,增加了对可能利用存储型隐蔽通道的事件进行审计的要求。第五级“访问验证保护级”在第四级的基础上,要求 TCB 能够监控可审计安全事件的发生与积累,当(这类事件的发生或积累)超过预定阈值时,TCB 能够立即向安全管理员发出警报.并且,如果这些事件继续发生,系统应以最小的代价终止它们.3 3。试比较集中式安全审计与分布式安全审计两种结构。试比较集中式安全审计与分布式安全审计两种结构。按
23、照审计的工作方式,安全审计可分为集中式安全审计和分布式安全审计。集中式体系结构采用集中的方法,收集并分析数据源,所有的数据都要交给中央处理机进行审计处理。 中央处理机承担数据管理引擎及安全审计引擎的工作, 而部署在各受监视系统上的外围设备只是简单的数据采集设备,承担事件检测及数据采集引擎的作用。随着分布式网络技术的广泛应用,集中式的审计体系结构越来越显示出其缺陷,主要表现在:(1)由于事件信息的分析全部由中央处理机承担,势必造成CPU、I/O 以及网络通信的负担,而且中心计算机往往容易发生单点故障(如针对中心分析系统的攻击) 。另外,对现有的系统进行用户的增容(如网络的扩展,通信数据量的加大)
24、是很困难的。(2)由于数据的集中存储,在大规模的分布式网络中,有可能因为单个点的失败造成整个审计数据的不可用。(3)集中式的体系结构,自适应能力差,不能根据环境变化自动更改配置。通常,配置的改变和增加是通过编辑配置文件来实现的,往往需要重新启动系统以使配置生效。因此,集中式的体系结构已不能适应高度分布的网络环境。分布式安全审计系统实际上包含两层涵义:一是对分布式网络的安全审计,其二是采用分布式计算的方法,对数据源进行安全审计。它由三部分组成:(1)主机代理模块.主机代理模块是部署在受监视主机上,并作为后台进程运行的审计信息收集模块。2)局域网监视器代理模块。局域网监视器代理模块是部署在受监视的
25、局域网上,用以收集并对局域网上的行为进行审计的模块, 主要分析局域网网上的的通信信息, 并根据需要将结果报告给中央管理者。(3)中央管理者模块接收包括来自局域网监视器和主机代理的数据和报告, 控制整个系统的通信信息,对接收到的数据进行分析。相对于集中式结构,它有以下优点:(1) 扩展能力强;(2) 容错能力强(3) 兼容性强(4) 适应性强.4 4。常用的安全审计分析方法有哪些?。常用的安全审计分析方法有哪些?基于规则库的安全审计方法、 基于数理统计的安全审计方法、 基于日志数据挖掘的安全审计方法、其它安全审计方法5 5。安全审计有哪些可用的数据源。安全审计有哪些可用的数据源? ?安全审计的数
26、据源,可以分为三类:基于主机、基于网络和其他途径。基于主机的数据源(1)操作系统的审计记录(2)系统日志(3)应用程序日志信息基于网络的安全审计系统所采用的输入数据即网络中传输的数据。其它数据源(1)来自其它安全产品的数据源(2)来自网络设备的数据源(3)带外数据源6 6。什么是计算机取证,有哪些相关技术?。什么是计算机取证,有哪些相关技术?计算机取证是对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,按照符合法律规范的方式,进行识别、保存、分析和提交数字证据的过程。计算机取证相关技术(1)电子证据监测技术(2)物理证据获取技术(3)电子证据收集技术(4)电子证据保全技术。 (5
27、)电子证据处理及鉴定技术7. 7.简述计算机取证的步骤简述计算机取证的步骤计算机取证的一般步骤应由以下几个部分组成。保护目标计算机系统电子证据的确定电子证据的收集电子证据的保护电子证据的分析归档在处理电子证据的过程中,为保证数据的可信度,必须确保“ 证据链的完整性即证据保全,对各个步骤的情况进行归档,包括收集证据的地点、日期、时间和人员、方法及理由等,以使证据经得起法庭的质询。六、灾难恢复与业务连续性六、灾难恢复与业务连续性1 1。 什么是什么是 BCMBCM(业务连续性管理)?(业务连续性管理)?BCMBCM 的目标是什么?的目标是什么?业务连续性是指组织为了维持其生存,一旦发生突发事件或灾
28、难后,在其所规定的时间内必须恢复关键业务功能的强制性要求.减少信息系统灾难对社会的危害和人民财产带来的损失保证信息系统所支持的关键业务能在灾害发生后及时恢复并继续运作,是灾难恢复与业务连续性管理的主要目标。2. 2. 请解释请解释 BCPBCP、DRPDRP?阐述它们的区别?阐述它们的区别业务连续性计划(Business Continuity Planning,BCP)是一套事先被定义和文档化的计划,明确定义了恢复业务所需要的关键人员、资源、行动、任务和数据。灾难恢复计划(Disaster Recovery PlanningDRP) 灾难恢复计划是对于紧急事件的应对过程,它包括在事前,事中,和
29、灾难对信息系统资源造成重大损失后所采取的行动。Bcp 过程包含:计划和范围的初始化、业务影响分析、业务可持续计划开发DRP 过程包含:灾难恢复计划步骤、测试灾难恢复计划、灾难恢复计划程序两者的主要区别:bcp 强调使关键业务经得起不同的意外事件的影响DRP 强调对于灾难的预防措施,以及在灾难发生时和灾难发生之后所采取的行为和措施3 3。 什么是应急响应?其目的是什么?什么是应急响应?其目的是什么?应急响应:指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生初期所采取的措施。目的:避免、降低危害和损失,以及从危害和损失中恢复。4 4。 应急响应预案制定的原则有哪些?应急响应预案制定的原
30、则有哪些?基本原则:集中管理、统一指挥、规范运行、标准操作、反应迅速和响应高效。七、信息安全标准七、信息安全标准Ling ren fa zhiLing ren fa zhi1 1。简述信息安全的标准体系。简述信息安全的标准体系。2 2。描述。描述 TCSECTCSEC 各级关键点,各级关键点,GB/T17859GB/T17859 中的各级与之有什么对应关系?中的各级与之有什么对应关系?(注:TCSEC 将计算机操作系统的安全从高到底分为四级(A、B、C、D) ,级下再细分为七小级(A1、B3、B2、B1、C2、C1、D) )TCSECTCSECD:低级保护C1:自主安全保护C2:受控访问保护B
31、1:标记安全保护B2:结构化保护B3:安全区域A1:验证设计GB 17859-1999GB 17859-19991:用户自主保护级2:系统审计保护级3:安全标记保护级4:结构化保护级5:访问验证保护级3 3。阐述信息安全等级保护基本要求。阐述信息安全等级保护基本要求 GB/TGB/T 222392223920082008 分别对技术和管理要求划分了哪些分别对技术和管理要求划分了哪些层面层面? ?一级基本要求在安全技术方面要求:身份鉴别、 自主访问控制、恶意代码防范、数据的完整性保护、通信完整性保护、软件容错和备份与恢复等控制点。 管理方面提出了安全管理制度、安全管理机构、人员管理、系统建设管理
32、、系统运行维护管理的相关要求.二级基本要求在一级基本要求的基础上, 在技术方面, 二级要求在控制点上增加了安全审计、边界完整性检查、入侵防范、资源控制以及通信保密性等控制点身份鉴别则要求在系统的整个生命周期, 每一个用户具有唯一标识,具有可查性。 同时,要求访问控制具有更细的访问控制粒度等。在管理方面,增加了审核和检查、管理制度的评审和修订、人员考核、密码管理、变更管理和应急预案管理等控制点.三级基本要求在二级基本要求的基础上,在技术方面,在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。同时,对身份鉴别、访问控制、安全审计、数据完整性、数据保密性等均提出更高要求,在管理方面,在安全管
33、理制度制定和发布、评审和修订等某些管理要求上要求项增加,强度增强。四级基本要求在三级基本要求的基础上, 在技术方面,在控制点上增加了安全标记、 可信路径,同时,对身份鉴别、访问控制、安全审计、数据完整性、数据保密性等均有更进一步的要求,在管理方面,增加了系统备案、 等级测评、监控管理和安全管理中心等控制点,同时要求设置必要的安全管理职能部门,加强了安全管理制度的评审以及人员安全的管理,对系统建设过程加强了质量管理。4. 4.列举列举“ 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则(GB 17859-1999(GB 17859-1999)的五个保护等级,以及各)的五个保护
34、等级,以及各个等级的特点。个等级的特点。(1)第一级 用户自主保护级(2)第二级 系统审计保护级(3)第三级 安全标记保护级(4)第四级 结构化保护级(5)第五级 访问验证保护级5. 5.阐述阐述 CCCC 刻画信息系统安全性的基本方法。刻画信息系统安全性的基本方法。CC 是从安全功能和安全保证两方面对IT 安全技术的要求进行描述CC 标准分为三个部分:(1)第一部分-简介和一般模型,正文介绍了CC 中的有关术语、基本概念和一般模型以及与评估有关的一些框架,附录部分主要介绍保护轮廓(PP)和安全目标(ST)的基本内容。(2)第二部分-安全功能要求,按“类族组件”的方式提出安全功能要求,作为表达
35、产品或系统安全功能要求的标准方法。 每一个类除正文以外, 还有对应的提示性附录做进一步解释。 在此部分中共列出 11 个类,66 个子类和 135 个功能组件。(3)第三部分-安全保证要求,提出了一系列保证组件、族和类,作为表达产品和系统安全保证要求的标准方法。在此部分列出 7 个保证类和 1 个保证维护类、还定义了 PP 评估类和 ST 评估类.除此之外,还定义了评价产品或系统保证能力水平的一组尺度评估保证级。6. 6.阐述阐述 ISO/IEC27000ISO/IEC27000 系列标准及其关键标准发展史。系列标准及其关键标准发展史。 (no zuo no die)no zuo no die
36、)下图备用ISO/IEC 27001:2005信息技术安全技术-信息安全管理体系要求是建立信息安全管理系统(ISMS)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。ISO/IEC 27002信息安全管理实用规则对组织实施信息安全管理提供建议,供一个组织中负责信息安全工作的人员使用。 该标准适用于任何类型、 任何规模的组织,对于标准中提出的任何一项具体的信息安全控制措施, 组织应考虑我国的法律法规以及组织的实际情况来选择使用.ISO 27000(信息安全管理体系基础和术语 ),属于 A 类标准。ISO/IEC 27000 提供了 ISM
37、S标准族中所涉及的通用术语及基本原则。ISO/IEC 27003( 信息安全管理体系实施指南 ) ,属于 C 类标准。ISO/IEC 27003 为建立、实施、监视、评审、保持和改进符合ISO/IEC 27001 的 ISMS 提供了实施指南和进一步的信息。ISO/IEC 27004( 信息安全管理测量 ) ,属于 C 类标准。该标准主要为组织测量信息安全控制措施和 ISMS 过程的有效性提供指南.ISO/IEC 27005( 信息安全风险管理 ) ,属于 C 类标准。该标准给出了信息安全风险管理的指南,其中所描述的技术遵循ISO/IEC 27001 中的通用概念、模型和过程.ISO/IEC
38、27006( 信息安全管理体系认证机构的认可要求),属于 D 类标准。该标准的主要内容是对从事 ISMS 认证的机构提出了要求和规范,或者说它规定了一个机构“具备怎样的条件就可以从事 ISMS 认证业务”。信息安全管理要求 ISO/IEC27001 的前身为英国的 BS7799 标准,该标准由英国标准协会(BSI)于 1995 年 2 月提出, 并于 1995 年 5 月修订而成的。 1999 年 BSI 重新修改了该标准。2000 年 12 月,BS 77991:1999信息安全管理实施细则通过了国际标准化组织 ISO的认可,正式成为国际标准-ISO/IEC17799:2000信息技术 -信
39、息安全管理实施细则.2002 年 9 月 5 日,BS 77992:2002 草案经过广泛的讨论之后,终于发布成为正式标准,同时 BS 77992:1999 被废止。2004 年 9 月 5 日,BS 77992:2002 正式发布。2005 年,BS 7799-2:2002 终于被 ISO 组织所采纳,于同年 10 月推出 ISO/IEC27001:2005.2005 年 6 月,ISO/IEC 17799:2000经过改版,形成了新的 ISO/IEC 17799:2005,新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升.ISO/IEC17799:2005 已更新并在 20
40、07 年 7 月 1 日正式发布为 ISO/IEC 27002:2005,这次更新只是在标准上的号码,内容并没有改变.7. 7.简要描述简要描述 ISMSISMS 从建立(从建立(PlanPlan)到实施和操作()到实施和操作(Do)Do)、监视和复查(、监视和复查(Check)Check)以及维护并改以及维护并改进(进(ActAct)的过程中所涉及的关键要求。)的过程中所涉及的关键要求。8 8。在国际上,信息安全标准化组织有几个,分别关注于哪些领域的标准化工作?。在国际上,信息安全标准化组织有几个,分别关注于哪些领域的标准化工作?国际标准化组织(International Organizat
41、ion for Standardization) 简称 ISO,涉及包括电工标准在内的各个技术领域的标准化活动.IEC 国际电工委员会,IEC 的任务覆盖了包括电子、电磁、电工、电气、电信、能源生产和分配等所有电工技术的标准化.ITU 国际电信联盟。IETF,Internet 工程任务组,主要任务是负责互联网相关技术规范的研发和制定。ECMA 欧洲计算机制造商协会,负责信息技术设备的安全标准,主要制定商用和政用信息技术产品和系统安全评估标准框架,以及在开放系统环境下逻辑安全设备的框架。9. 9.我国有哪些重要的信息安全标准,并说明与国际对应标准之间的关系?我国有哪些重要的信息安全标准,并说明与
42、国际对应标准之间的关系?( (自行把握吧)自行把握吧) 1。计算机信息系统 安全保护等级划分准则(GB 17859-1999)2.信息安全技术 信息安全风险评估规范(GB/T 209842007)3。信息安全技术 信息系统安全等级保护基本要求(GB/T 222392008) 4.信息安全技术 信息系统通用安全技术要求(GB/T 202712010)5。信息安全技术 信息系统安全管理要求(GB/T 202692006)6.信息安全技术 信息安全事件管理指南(GB/Z 209852007)7。信息安全技术 信息安全事件分类分级指南(GB/Z 20986-2007)8。信息安全技术 信息系统灾难恢复
43、规范(GB/T 209882007)9.信息安全技术 信息系统安全等级保护实施指南(GB/T 25058-2010)10。信息安全技术 信息系统安全等级保护定级指南(GB/T 222402008)11.信息安全技术 信息系统等级保护安全设计技术要求(GB/T 250702010)12。信息安全技术 信息系统物理安全技术要求(GB/T 21052-2007凡有国际标准的应当以其为基础制定我国标准 ;凡无国际标准或不能适应需要的 ,应当积极采用国外先进标准.对国际标准中的安全标准应当先行采用。八、信息安全法律法规八、信息安全法律法规1 1。我国信息安全法律法规有哪些不同层次?。我国信息安全法律法规
44、有哪些不同层次?我国现有的信息安全法律法规体系可分为三个层次, 一是法律层次, 从国家宪法和其他部门法的高度对个人、法人和其他组织的涉及国家安全的信息活动的权利和义务进行规范,如1997 年新刑法首次界定了计算机犯罪.二是行政法规层次,三是部门规章层次,二者直接约束计算机安全和互联网安全.此外,我国很多地方也出台了直接针对信息安全的地方性法规和地方政府规章,丰富了我国信息安全法律法规体系的内容。2. 2.简述我国法律的立法程序。简述我国法律的立法程序。我国法律的制度程序主要有以下四个步骤:(1)法律方案的提出(2)法律草案的审议(3)法律草案的表决和通过(4)法律的公布3. 3.什么是计算机犯
45、罪什么是计算机犯罪? ?计算机犯罪是指行为人通过计算机操作所实施的危害计算机信息系统(包括内存数据及程序)安全以及其他严重危害社会的并应当处以刑罚的行为。4 4。知识产权包括哪些类别?。知识产权包括哪些类别?知识产权的两大类保护对象,即创造性智力成果权和工商业标记权5 5。简述我国电子签名法的意义?。简述我国电子签名法的意义?电子签名法赋予电子签章与数据电文以法律效力,将在很大程度上消除网络信用危机。从一定意义上说, 电子签名法拉开了信息数字化时代的立法序幕而且也将大大促进和规范我国电子交易的发展。 为电子认证服务业、 电子商务安全认证体系和网络信任体系的建立奠定了基础。6 6。分析信息安全法律法规在构建信息安全保障体系中的作用。分析信息安全法律法规在构建信息安全保障体系中的作用。 (注:自行)(注:自行)信息安全保障体系的建设中的必要环节。(见一、5)7. 7.分析我国计算机犯罪立法的缺陷分析我国计算机犯罪立法的缺陷. .(注:主要为刑法)其主要体现在以下几个方面。(1)犯罪化的范围偏窄(2)犯罪构成中犯罪主体设计不合理(3)罪名欠缺(4)行为人刑事责任年龄制度的不足(5)刑罚设置不科学(6)刑事诉讼法等相关法律不健全
