学系统集成项目管理工程师（中项）系列06a_信息系统安全管理（上）.png

1. 信息安全

1.1. 保护信息的保密性、完整性、可用性

1.2. 另外也包括其他属性，如：真实性、可核查性、不可抵赖性和可靠性

2. 信息安全属性及目标

2.1. 保密性(Confidentiality）

2.1.1. 信息不被泄露给未授权的个人、实体和过程或不被其使用的特性

2.1.2. 确保所传输的数据只被其预定的接收者读取

2.1.3. 网络安全协议

2.1.4. 身份认证服务

2.1.5. 数据加密

2.1.6. 信息安全三元组

2.2. 完整性(Integrity）

2.2.1. 保护资产的正确和完整的特性

2.2.2. 确保接收到的数据就是发送的数据

2.2.3. 数据不应该被改变，这需要某种方法去进行验证

2.2.4. CA认证

2.2.5. 数字签名

2.2.6. 防火墙系统

2.2.7. 传输安全(通信安全)

2.2.8. 入侵检测系统

2.2.9. 信息安全三元组

2.3. 可用性(Availability)

2.3.1. 需要时，授权实体可以访问和使用的特性。

2.3.2. 磁盘和系统的容错

2.3.3. 可接受的登录及进程性能

2.3.4. 可靠的功能性的安全进程和机制

2.3.5. 数据冗余及备份

2.3.6. 信息安全三元组

2.4. 真实性

2.4.1. 对信息的来源进行判断，能对伪造来源的信息予以鉴别

2.5. 可核查性

2.5.1. 系统实体的行为可以被独一无二地追溯到该实体的特性，这个特性就是要求该实体对其行为负责

2.5.2. 为探测和调查安全违规事件提供了可能性

2.6. 不可抵赖性

2.6.1. 建立有效的责任机制，防止用户否认其行为

2.7. 可靠性

2.7.1. 系统在规定的时间和给定的条件下，无故障地完成规定功能的概率

2.7.2. 平均故障间隔时间(Mean Time Between Failure, MTBF)来度量

3. 14个方面是ISO/IEC27000系列标准中提出的信息安全管理的主要内容

3.1. 当前全球业界信息安全管理实践的最新总结，为各种类型的组织引进、实施、维护和改进信息安全管理提供了最佳实践和评价规范

3.1.1. 【22下选68】

4. 信息系统安全

4.1. 侧重点会随着信息系统使用者的需求不同而发生变化

4.2. 属性

4.2.1. 保密性

4.2.1.1. 应用系统的信息不被泄露给非授权的用户、实体或过程，或供其利用的特性

4.2.1.2. 在可用性基础之上，是保障应用系统信息安全的重要手段

4.2.1.3. 最小授权原则

4.2.1.4. 防暴露

4.2.1.5. 信息加密

4.2.1.5.1. 【20下选68】

4.2.1.6. 物理保密

4.2.2. 完整性

4.2.2.1. 信息未经授权不能进行改变的特性

4.2.2.2. 信息的正确生成及正确存储和传输

4.2.2.3. 要求信息不致受到各种原因的破坏

4.2.2.4. 一种面向信息的安全性，它要求保持信息的原样

4.2.2.5. 纠错编码方法

4.2.2.5.1. 奇偶校验法

4.2.2.6. 协议

4.2.2.7. 密码校验和方法

4.2.2.7.1. 【19下选68】

4.2.2.8. 数字签名

4.2.2.8.1. 【21下选68】

4.2.2.9. 公证

4.2.3. 可用性

4.2.3.1. 应用系统信息可被授权实体访问并按需求使用的特性

4.2.3.2. 应用系统面向用户的安全性能

4.2.3.3. 身份识别与确认

4.2.3.4. 访问控制

4.2.3.4.1. 自主访问控制

4.2.3.4.2. 强制访问控制

4.2.3.5. 业务流控制

4.2.3.6. 路由选择控制

4.2.3.7. 审计跟踪

4.2.4. 不可抵赖性

4.2.4.1. 不可否认性

4.2.4.2. 确信参与者的真实同一性

4.2.4.3. 所有参与者都不可能否认或抵赖曾经完成的操作和承诺

4.2.4.3.1. 利用信息源证据可以防止发信方不真实地否认已发送信息

4.2.4.3.2. 利用递交接收证据可以防止收信方事后否认已经接收的信息

4.3. 管理体系

4.3.1. 配备安全管理人员

4.3.2. 建立安全职能部门

4.3.3. 成立安全领导小组

4.3.4. 主要负责人出任领导

4.3.5. 建立信息安全保密管理部门

4.4. 技术体系

4.4.1. 物理安全

4.4.1.1. 环境安全

4.4.1.2. 设备安全

4.4.1.3. 记录介质安全

4.4.2. 运行安全

4.4.2.1. 风险分析

4.4.2.2. 信息系统安全性检测分析

4.4.2.3. 信息系统安全监控

4.4.2.4. 安全审计

4.4.2.5. 信息系统边界安全防护

4.4.2.6. 备份与故障恢复

4.4.2.7. 恶意代码防护

4.4.2.8. 信息系统的应急处理

4.4.2.9. 可信计算和可信连接技术

4.4.3. 数据安全

4.4.3.1. 身份鉴别

4.4.3.2. 用户标识与鉴别

4.4.3.3. 用于主体绑定

4.4.3.4. 抗抵赖

4.4.3.5. 自主访问控制

4.4.3.6. 标记

4.4.3.7. 强制访问控制

4.4.3.8. 数据完整性保护

4.4.3.9. 用户数据保密性保护

4.4.3.10. 数据流控制

4.4.3.11. 可信路径

4.4.3.12. 密码支持