信管知识点.docx
- 文档编号:5394943
- 上传时间:2023-05-08
- 格式:DOCX
- 页数:66
- 大小:91.87KB
信管知识点.docx
《信管知识点.docx》由会员分享,可在线阅读,更多相关《信管知识点.docx(66页珍藏版)》请在冰点文库上搜索。
信管知识点
信管知识点
一、计算机网络知识1
网络的功能、分类与组成1
虚拟专用网和虚拟本地网4
二、信息安全审计系统S-Audit4
安全审计的概念4
如何建立安全审计系统6
利用入侵监测预警系统实现网络与主机信息监测审计6
三、信息安全系统工程ISSE-CMM7
信息安全系统工程概述7
信息系统安全架构体系8
信息系统安全和安全体系8
信息系统安全三维空间8
安全机制8
系统安全方案9
信息系统安全管理的原则10
安全策略10
建立安全策略10
需要处理好的关系11
信息系统安全风险评估11
信息安全与安全风险11
风险识别12
安全威胁的分类12
安全威胁的对象及资产评估鉴定12
信息系统安全薄弱环节鉴定评估12
风险识别与风险评估的方法13
四、信息安全技术基础13
安全技术13
PMI的术语与概念13
PMI应用支撑框架14
PMI权限(授权)管理基础设施14
访问控制的基础概念14
X.509的信任模型15
数字证书的生命周期16
PKI公开密钥基础设施17
安全五要素17
PKI基础概念17
国家密码和安全产品管理18
信息安全技术基础-哈希算法、数字签名、数字时间戳19
哈希算法19
消息摘要算法与数字指纹19
数字签名与数字签名验证19
数字时间戳技术19
对称与不对称加密20
密码技术20
对称与不对称加密20
五、软件工程21
面向对象分析21
OMT(对象建模技术)21
UML(统一建模语言)21
消息通信24
继承与多态24
类与类库25
对象与封装25
六、信息系统工程监理26
项目监理范围26
监理分类26
实施全过程监理的一般工作内容26
监理的依据、监理的基本方法和工作流程27
监理的依据27
监理的基本方法27
监理工作流程28
监理规划、监理实施细则28
监理规划28
监理实施细则28
监理组织机构、项目监理的组织形式29
监理组织机构29
项目监理的组织形式29
七、项目整体绩效评估30
项目整体绩效评估概念30
信息系统绩效评估原则31
项目整体绩效评估方法32
项目财务绩效评估32
八、知识管理32
知识管理概述32
显性知识管理33
隐性知识管理34
信息系统项目中的知识产权管理35
九、业务流程管理36
业务流程管理的概念36
业务流程分析设计方法37
业务流程重组37
十、战略管理38
企业战略的概念38
战略管理过程39
战略制定39
十一、信息系统项目管理基础42
信息系统项目的特点42
项目生命周期和组织43
项目管理过程44
信管知识点
一、计算机网络知识
网络的功能、分类与组成
计算机网络是由通信线路互相连接的许多独立自主工作的计算机构成的资源共享集合体。
计算机网络的作用:
资源共享
计算机网络的组成:
许多独立自主工作的计算机
计算机网络的实现方式:
使用通信线路互相连接
计算机网络的分类(按传输距离):
1、局域网(LAN):
特点:
距离短,0.1km~25km、速度快,4Mb/s~1Gb/s、高可靠性、成本较低
传输媒介:
双绞线、细/粗同轴电缆、微波、射频信号、红外等
2、广域网(WAN):
特点:
长距离、低速率、高成本
传输媒介:
电话线路、光纤、卫星
3、城域网(MAN):
城域网的覆盖范围介于局域网和广域网之间,城域网的主要技术是分布式队列总线(DQDB)
计算机网络分类(按工作模式分类)
1、对等网络:
由直接面向用户的PC组成,这些PC机在网络中没有主次之分,互相作为其他PC的资源来共享和使用
优点:
架设成本低廉、技术简单、用户对自己的资源能够完全管理
缺点:
扩充能力有限、无法进行集中的管理所以管理相对混乱、安全性不高
2、基于服务器的网络:
在一组PC中,包含有专用的高性能计算机,这些计算机专门执行某些任务,如文件服务器、打印服务器、数据库服务器、WEB服务器、电子邮件服务器等,普通PC机与高性能计算机之间是客户/服务器的关系,一个提供服务,一个使用服务,有鲜明的主次之分
优点:
整个网络的可控制性较好、网络安全性较高、利于网络的扩大,
缺点:
专用的高性能服务器使网络整体成本较高、管理相对复杂
计算机网络的组成
1、服务器:
是专门为网络其他计算机提供服务的计算机,如文件服务器、打印服务器等,服务器的处理速度是整个网络交通的瓶颈点
2、工作站:
也称客户机
3、传输媒体:
计算机通信的基础是各种传输媒体,传输媒体可分为有线、无线两大类,有线包括:
双绞线、细/粗同轴电缆、光纤等,无线包括:
无线电、微波、红外、激光、卫星通信等。
传输媒介
指标
速率
成本
安装
抗扰
备注
同轴电缆
细同轴电缆(RG58)
185m,50欧
10Mb/s,电缆较细、弹性好
最低
容易
较强
5-4-3规则:
最多只能用4个中继器连接5个区域,仅有3个区域可以连接工作站,适用于室内小型局域网架设
粗同轴电缆(RG11)
500m,50欧
10Mb/s,电缆较粗、弹性较差、
较低
较难
强
常用于主干或建筑间连接,由于仅能提供10Mb/s,逐渐被光纤替代
双绞线
无屏蔽双绞线(UTP)
100m
10Mb/s~1000Mb/s
最低
最容易
最低
按双绞线外是否多加一层外皮包覆分为UTP和STP,UTP应用较广泛
1类:
无缠绕,只能传输声音,不能传输数据
2类:
无缠绕,最大4Mb/s
3类:
每分米缠绕一次,10Mb/s
4类:
过渡型线材,16Mb/s
5类:
100Mb/s
超5类:
6类:
1000Mb/
屏蔽双绞线(STP)
100m
10Mb/s~1000Mb/s
较低
容易
强
光纤
多模
2km
51Mb/s~1000Mb/s
次贵
最难
最强
宽芯线,用LED作为发光源,以多个方向射入光纤,信号相对较弱,适用短距离或速度更低一些的领域,成本较低
单模
2~10km
1~10Gb/s
最贵
最难
最强
窄芯线,用激光作为发光源,激光以一个方向射入光纤,信号比较强,适用于高速度、长距离的传输,成本较高
单模光纤:
适用于传输要求高的网络,或者作为网络主干或高速广域网的连接
多模光纤:
适用于广域网的连接
无屏蔽双绞线:
最适合用于局域网布线,可选用3、5、6类
细同轴电缆:
适用于以最低的价格建立一个最简单、最小型的工作组级小网络
传输媒介
特点
无线电波
不沿地球表面弯曲,与卫星结合,可提供长距离的通信,向各个方向传播,安全性较低,需要天线接收
微波
传播时集中于某一方向,安全性较好,不能透过金属,一般需要发送端与接收端之间无障碍
红外
距离短,不需要天线
激光
光束走直线,收、发方之间不能有障碍物,不能穿过植物、雨、雪,雾等。
局限性较大。
4、网卡(NIC):
完成以下功能
1、读入由其他网络设备传输过来的数据包,并将其变成计算机可以识别的数据
2、将PC设备发送的数据,打包后输送至其他的网络设备中
3、代表着一个固定的地址(MAC地址):
拥有一个6字节的全球唯一地址。
5、调制解调器:
将计算机的数字信号转换为模拟信号发送到电话线路上,将电话线路上的模拟信号转换为数字信号输入到计算机上
6、中继器:
工作在物理层,将衰减了的信号放大后,再传送出去
7、集线器:
工作在数据链路层,是一个多端口的中继器,并加上一些数据链路控制的功能
8、网桥:
工作在数据链路层,增加了“过滤帧”的功能,降低整个网络的通信负荷
9、路由器:
工作在网络层,可以连接遵守不同协议的网络,能从多条路径中选择最佳的路径发送数据
10、网关:
工作在网络层,可以连接网络协议不同,而且硬件和数据结构都大相径庭的网络
交换机:
第二层交换机工作在数据链路层,用来代替集线器的一种应用在小型网络中的设备,第三层交换机工作在网络层,可以完成普通路由器的部分或全部功能,高层交换机工作在网络层之上,在完成普通路由器功能的基础上,实现一些特殊的功能。
虚拟专用网和虚拟本地网
VPN和VLAN
VPN虚拟专用网/虚拟个人网,VLAN虚拟本地网,在共享的基础公共网络上(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,向用户提供等同于专有网络的通信结果。
VPN能够抗拒非法入侵、防范网络阻塞、安全及时地交付用户的重要数据。
目前有两种VPN:
IPSecVPN和MPLSVPN
IPSec在IP协议层定义了用于网络加密的协议,它不需要基于PK的技术,它可用共享密钥在网络端点进行加密。
IPSecVPN是基于设备的,而不是基于网络的,它比BGP/MPLSVPN在实施上提供了更大的灵活性,IPSecVPN可以在主机或站点之间通过安全网关实现。
IPSec使用两个协议来保障IP上的安全传输,AH(认证头)协议为IP数据报提供无连接的数据完整性和数据源身份认证,同时具有防重放攻击的能力,ESP(封装安全载荷)协议为IP数据提供加密机制,为数据流提供有限的机密性保护。
IPSec传输加密数据的两种模式:
传输模式和隧道模式。
IPSec有以下优点:
1、IPSec服务在IP层提供,能被更高层次的协议所利用(如TCP、UDP、ICMP、BGP)
2、对于应用程序和终端用户来说是透明的,应用和终端用户不需要更改程序和进行安全方面的专门培训
3、对现有网络的改动最小。
MPLSVPN
二、信息安全审计系统S-Audit
安全审计的概念
中华人民共和国国家标准-计算机信息系统安全保持等级划分准则,规定了计算机系统安全保护能力的五个等级
1、第一级:
用户自主保护级
2、第二级:
系统审计保护级
3、第三级:
安全标记保护级
4、第四级:
结构化保护级
5、第五级:
访问验证保护级
安全审计是指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。
安全审计机制应作为C2及以上安全级别的计算机系统必须具备的安全机制,其功能包括:
1、能够记录系统被访问的过程以及系统保护机制的运行情况
2、能够发现试图绕过保护机制的行为
3、能够及时发现用户身份的跃迁
4、能够报告并阻碍绕过保护机制的行为并记录相关过程
5、为灾难恢复提供信息等
安全审计是落实系统安全策略的重要机制和手段,通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。
安全审计主要由两部分组成:
1、采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(报警)并进行阻断
2、对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
安全审计是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,在必要进通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。
安全审计属于安全管理类产品,主要包括主机类、网络类、数据库类和应用系统级的审计产品。
入侵检测是从信息安全审计派生出来的,彼此涉及的内容、要达到的目的以及采用的方式、方法都非常接近,信息安全审计更偏向业务应用系统的范畴,入侵检测更偏向入侵的、业务应用系统之外的范畴
安全审计的作用
1、对潜在的攻击者起到震慑或警告作用
2、对已经发生的系统破坏行为提供有效的追究证据
3、对系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现入侵行为或潜在的系统漏洞
4、为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。
网络安全审计的具体内容包括:
1、监控网络内部的用户活动
2、侦察系统中存在的潜在威胁
3、对日常运行状况的统计和分析
4、对突发案件和异常事件的事后分析
5、辅助侦破和取证
CC标准与安全审计功能
CC标准将安全审计功能分为6个部分
1、安全审计自动响应:
在检测到一个潜在的安全攻击时作出响应,如报警、中断服务、终止进程,帐号失效等。
2、安全审计自动生成:
记录与安全相关的事件的出现,如对敏感数据项的访问,目标对象的删除,改变主体的安全属性
3、安全审计分析:
分析系统活动和审计数据来寻找可能的安全违规操作,可以用于入侵检测或对安全违规的自动响应。
4、安全审计浏览:
使授权的用户有效地浏览审计数据
5、安全审计事件选择:
要求系统管理员能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计,如目标标识、用户标识、主体标识
6、安全审计事件存储:
防止由于资源的不可用丢失审计数据,能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。
网络与主机信息监测审计,应用系统信息监测审计,网络安全系统设备信息审计和系统安全评估报告作为安全审计系统的主体,物理安全日志记录作为安全审计系统的辅助系统。
如何建立安全审计系统
利用入侵监测预警系统实现网络与主机信息监测审计
1、基于网络和主机监测的安全审计基本结构:
由一台安全审计、控制中心和若干台网络探测器组成,网络探测器负责监视通过网络相连的计算机主机,向安全控制中心发送报警和网络活动信息,实时阻断非法的网络连接等。
探测器设置在网络的敏感部位,如内部网络的入口处或担负重要任务或具有重要数据的用血器的周围。
探测器应与被监测的主机或网络处于一个共享的以太网环境内。
2、基于主机监测的安全审计:
由一台安全审计、控制中心和安装于网内若干台服务器和网络工作站中的系统代理程序组成,运行于重要的网络服务器上的系统代理,实时监视分析系统活动和系统日志审计数据,对敏感事件和用户关注的事件实时报警,基于主机的监测与基于网络的监测相比最显著的弱点就是它不具备入侵实时阻断功能,因而,难以阻止非法操作。
对重要应用系统运行情况的审计
1、基于主机操作系统代理:
应用系统在启动自身审计功能之后自动将部分系统审核数据传送到主机系统审计日志,再通过运行于主机操作系统下的实时监控代理程序来读取并分析系统审计日志中的相关数据。
与应用编程无关,通用性、实时性好,但审计粒度粗,对确认的违规行为不能实现阻断控制。
2、基于应用系统代理:
根据不同应用,开发不同的应用代理程序,并在相应应用系统内运行,实时性好,审计粒度由用户控制,缺点是应用单独编写代理程序,通用性差。
3、在应用系统内嵌入一个与应用服务同步运行专用的审计服务应用进程。
用以全程跟踪应用服务进程的运行。
与应用系统密切相关,每个应用系统需要开发相应的独立程序,通用性、实时性不好,审计粒度可设置。
基于网络旁路监控方式
与基于网络监测的安全审计实现原理及系统配置相同(由网络探测器和安全控制中心组成。
),仅是作用目标不同系统结构,基于网络监测的安全审计作用于网络安全,基于网络旁路监控方式作用于应用系统。
此种方式的优点是审计系统的运行不对应用系统本身的正常运行产生任何影响。
不需要战胜数据库主机上的CPU,内存和硬盘。
三、信息安全系统工程ISSE-CMM
信息安全系统工程概述
信息安全系统又称为信息安全保障系统,是信息系统的一部分,并且与信息系统工程同步进行,工程的目的是为了保证信息系统正常运营,信息安全系统与信息系统有着相同的生命周期,没有信息系统也就不存在信息安全系统。
建设信息安全系统的工程称为信息安全系统工程。
信息安全系统工程活动
1、信息安全风险评估
2、信息安全策略制订
3、信息安全需求确定
4、信息安全人员组织和培训
5、信息安全岗位、制度和信息安全系统运营策划和管理
6、信息安全系统总体设计
7、信息安全系统详细设计
8、信息安全系统设备选型
9、信息安全工程招投标
10、 密钥密码机制确定
11、 资源界定和授权
ISSE-CMM基础
ISSE-CMM即信息安全系统工程能力成熟度模型是一种衡量信息安全系统工程实施能力的方法。
主要用于指导信息安全系统工程的完善和改进,使信息安全系统工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科。
ISSE是系统工程的一部分,分为发现信息安全需求、定义信息安全系统、设计信息安全系统和信息安全系统实施四个阶段
ISSE-CMM本身并不是安全技术模型,它给的是信息系统安全工程需要考虑的关键过程域。
ISSE体系结构:
发现需求、定义系统需求、设计系统需求、详细设计、系统设计
信息系统安全架构体系
1、MIS+S,初级信息安全保障系统(基本信息安全保障系统),特点是应用基本不变、硬件和系统软件通用、安全设备基本不带密码。
2、S-MIS,标准信息安全保障系统,特点是应用系统根本改变、硬件和系统软件软件通用、PKI/CA安全保障系统必须带密码。
3、S2-MIS,超安全的信息安全保障系统,特点是应用系统根本改变、硬件和系统软件专用、PKI/CA安全保障系统必须带密码,主要的硬件和系统软件需要PKI/CA认证。
信息安全保障系统是一个在网络上,集成各种硬件、软件和密码设备,以保障其他应用信息系统正常运行的信息应用系统,以及与之相关的岗位、人员、策略、制度和规程的总和。
信息系统安全和安全体系
信息系统安全三维空间
1、OSI(开放式系统互连):
物理层、数据链路层、网络层、传输层、会话层、表示层、应用层
2、安全服务:
提供给信息系统中各个层次需要的安全服务支持。
对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务、犯罪证据提供服务。
3、安全机制:
提供某些安全服务,利用各种安全技术和技巧所形成的一个较为完善的结构体系。
基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系。
安全机制
1、第一层:
基础设施实体安全:
机房安全、场地安全、设施安全、动力系统安全、灾难预防与恢复。
2、第二层:
平台安全:
操作系统漏洞检测与修复、网络基础设施漏洞检测与修复、通用基础应用程序漏洞检测与修复、网络安全产品部署。
3、第三层:
数据安全:
介质与载体安全保护、数据访问控制、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。
4、第四层:
通信安全:
通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制。
5、第五层:
应用安全:
业务软件的程序安全性测试、业务交往的防抵赖测试、业务资源的访问控制验证、业务实体的身份鉴别、业务现场的备份与恢复机制、业务系统的可靠性、业务系统的可用性。
6、第六层:
运行安全:
应急处置机制和配套服务、定期检查和评估、系统升级和补丁提供、系统改造管理。
7、第七层:
管理安全:
人员管理、培训管理、设备管理、文档管理、操作管理。
8、第八层:
授权和审计安全:
授权安全提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制。
审计安全是指监控网络内部的用户活动、侦察系统中存在的潜在威胁、对日常运行状况的统计和分析、对突发案件和异常事件的事后分析、辅助侦破和取证。
安全审计是一个安全的网络必须支持的功能特性。
9、第九层:
安全防范体系:
企业安全防范体系建立的核心是实现企业信息安全资源的综合管理(EISRM),使其包含预警、保护、检测、反应、恢复和反击(WPDRRC)六项能力
系统安全方案
系统安全方案有关的系统组成的因素包括:
1、主要硬件设备的选型
2、操作系统和数据库的选型
3、网络拓扑结构的选型
4、数据存储方案和存储设备的选型
5、安全设备的选型
6、应用软件开发平台的选型
7、应用软件的系统结构的确定
8、供货商和集成商的选择
确定系统安全方案主要包括以下内容
1、首先确定采用MIS+S、S-MIS或S2-MIS系统架构
2、确定业务和数据存储的方案
3、网络拓扑结构
4、基础安全设施和主要安全设备的选型
5、信息应用系统的安全级别的确定
6、系统资金和人员投入的档次
信息系统安全管理的原则
信息系统安全管理的总原则
1、主要领导人负责原则
2、规范定级原则
3、依法行政原则
4、以人为本原则
5、注重效费比原则
6、全面防范、突出重点原则
7、系统、动态原则
8、特殊的安全管理原则
1、分权制衡
2、最小特权原则
3、准化原则
4、用成熟的先进技术原则
5、失效保护原则
6、普遍参与原则
7、职责分离原则
8、审计独立原则
9、控制社会影响原则
10、保护资源和效率原则,这是安全管理的最终目的
安全策略
建立安全策略
安全策略是指人们为保护因为使用计算机信息应用系统可能招致的对单位资产造成损失而进行保护的各种措施、手段,以及建立的各种管理制度、法规等。
安全策略必须由单位的最高行政执行长官和部门或组织授权完成安全策略的制定。
安全策略的核心内容是七定:
定方案、定岗、定位、定员、定目标、定制度、定工作流程。
具体的安全策略包括:
机房设备安全管理策略、主机和操作系统管理策略、网络和数据库管理策略、应用和输入输出管理策略、应用开发管理策略、应急事故管理策略、密码和安全设备管理策略、信息审计管理策略等。
需要处理好的关系
1、安全与应用的依存关系:
应用需要安全,安全为了应用。
没有应用,就不会产生相应的安全需求;不妥善地解决安全问题,就不能更好地开展应用。
安全是有代价的,会增加系统建设和运行的费用,会增加系统的开销,会规定对使用的限制,给应用带一些不便。
2、风险度的观点:
安全是相对的,是一个风险大小的问题,它是一个动态的过程,没有所谓的绝对安全,而是要将安全风险控制在合理程度或允许的范围内,这就是风险度的观点。
3、适度安全观点:
应评估控制风险所需的安全代价,在此基础上对风险和代价进行均衡,确定相应的安全策略。
安全代价低,安全肯定大,安全代价大,安全风险相应地降低,代价不仅指资金投入,包括系统性能下降、效率低下等引出的代价。
4、木桶效应的观点:
5、全等级保护的概念:
国家强制性安全标准《计算机信息安全保护等级划分准则》将计算机信息系统分为五个安全保护等级
第一级:
用户自主保护级,适用于普通内联网用户
第二级:
系统审计保护级,适用于通过内联网或国际网进行商务活动、要保密的非重要单位;
第三级:
为安全标记保护级,适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位
第四级:
为结构化保护级,适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门
第五级:
为访问验证保护级,适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
信息系统安全风险评估
信息安全与安全风险
为一个新系统设计信息安全保障系统的过程
1、拟定新系统的功能、目标
2、风险识别,对现有系统、业务流程分析
3、风险评估,对识别的风险预估出可能造成的后果
4、控制风险,按照风险大小和主次、设计相应的对策
5、对设计的对策进行投入产出评估
6、设计实施方案
7、实施
风险识别
安全风险识别就是把安全威胁找出来。
有形资产指银行的账户、存折、信用卡、商家的商品证券、债券、股票,产品,产品生产的工艺、工艺参数,无形资产指诚信、可靠的信誉,以及产品的商标、商家的专利、知识产权等。
从计算机信息应用信息系统安全威
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 知识点