第1章:信息安全基礎
信息安全基礎備考要點
https://www.moondream.cn/?p=1315
掃一掃加入信息安全工程師備考羣
歡迎加入最棒的信息安全工程師社羣,分享信息安全工程師備考乾貨資料。
備考交流QQ羣:39460595
考點1、信息安全概念
【考法分析】
本考點主要是對信息安全技術相關概念的考查。
【要點分析】
1.我國居民二代身份證正在使用256位的橢圓曲線新密碼;國內外的許多電子商務系統正在使用1024位的RSA密碼,與量子計算機類似,DNA計算機也是並行計算的,因此同樣對現有密碼構成嚴重的潛在威脅,目前可用於密碼破譯的量子計算算法主要有Grover算法和Shor算法。
2.在量子計算環境下,RSA,EIGamal,ECC公鑰密碼和DH密鑰協商協議將不再安全;物理世界,人類社會和信息空間(Cyberspace)組成的三元世界。
3.信息空間突出了信息化的特徵和核心內涵是信息,網絡空間突出了網絡互聯的特徵;網絡空間安全的核心內涵仍是信息安全。沒有信息安全,就沒有網絡空間安全。
4.信息安全的屬性主要包含:
① 信息的保密性:信息不被未授權者知曉的屬性;
② 信息的完整性:信息是正確的,真實的,未被篡改的,完整無缺的屬性;
③ 信息的可用性:信息可以隨時正常使用的屬性。
5.能源,材料,信息是支撐現代社會大廈的三根支柱;信息系統安全可以劃分爲以下四個層次:設備安全,數據安全,內容安全,行爲安全。其中數據安全即是傳統的信息安全。
6.信息系統設備的安全是信息系統安全的首要問題;信息系統的設備安全是信息系統安全的物質基礎,除了硬件設備外,軟件系統也是一種設備。信息系統設備穩定可靠地工作是第一位的安全。
7.數據安全:採取措施確保數據免受未授權的泄露,篡改和毀壞;內容安全:信息安全在政治,法律,道德層次上的要求,還包括信息內容保密,知識產權保護,信息隱藏和隱私保護等諸多方面。行爲安全:數據安全本質上是一種靜態的安全,行爲安全是一種動態安全。行爲體現在過程和結果之中。程序的執行學列和相應的硬件動作構成了系統的行爲,數據可以影響程序的執行走向。從而可以影響系統的行爲。因此,信息系統的行爲由硬件,軟件和數據共同確定。所以,必須從硬件,軟件和數據三方面來確保系統的行爲安全。
8.網絡空間安全學科是研究信息獲取,信息存儲,信息傳輸和信息處理領域中信息安全保障問題的一門新興學科。
9.2015年6月,國務院學位委員會和教育部正式增設網絡空間安全一級學科;網絡空間安全學科的主要研究方向有:密碼學,網絡安全,信息系統安全,信息內容安全和信息對抗。
10.在這些衆多的技術措施中,信息系統的硬件系統安全和操作系統安全是信息系統安全的基礎,密碼和網絡安全等技術是關鍵技術。
11.密碼學:由密碼編碼學和密碼分析學組成;網絡安全的基本思想是在網絡的各個層次和範圍內採取防護措施;信息系統安全的特點是從系統整體上考慮信息安全的威脅和防護;信息內容安全是信息安全在政治,法律,道德層次上的要求。也包括信息內容的保密,知識產權保護,信息隱藏,隱私保護等諸多方面。
12.信息對抗的實質是鬥爭雙方利用電磁波和信息的作用來爭奪電磁頻譜和信息的有效使用和控制權。
13.數學是一切自然科學的理論基礎,當然也是網絡空間安全學科的理論基礎;現代密碼可以分爲兩類:基於數學的密碼和基於非數學的密碼;設計一個密碼就是設計一個數學函數,而破譯一個密碼就是求解一個數學難題。
14.協議是網絡的核心,因此協議安全是網絡安全的核心。
15.博弈論便成爲網絡空間安全學科的理論基礎之一;博弈論(Game Theory)是現代數學的一個分支;信息安全領域的鬥爭,本質上都是人與人之間的攻防鬥爭,因此博弈論便成爲網絡空間安全學科的理論基礎之一,而且是網絡空間安全學科所特有的理論基礎。
16.信息論,控制論和系統論是現代科學的理論基礎,因此也是網絡空間安全學科的理論基礎;信息論是商農爲解決現代通信問題而創立的,控制論是維納在解決自動控制技術問題中建立的,系統論是爲了解決現代化大科學工程項目的組織管理問題而誕生的;信息論奠定了密碼學的基礎,信息論也奠定了信息隱藏的基礎,因此,信息論構成了信息隱藏的理論基礎;信息論的核心思想是整體觀念。
17.控制論是研究機器,生命社會中控制和通信的一般規律的科學;控制的基礎是信息。
18.保護,檢測,響應(RDP)策略是確保信息系統和網絡系統安全的基本策略;只有從信息系統的硬件和軟件的低層做起,才能比較有效地確保信息系統的安全。
19.網絡空間安全學科的許多問題是計算安全問題,因此計算理論也是網絡空間安全學科的理論基礎,其中包括可計算性理論和計算複雜性理論等;可計算理論是研究計算的一般性質的數學理論。它通過建立計算的數學模型,精確卻分那些問題是可計算的,那些問題是不可計算的。
20.計算複雜性理論:研究現實的可計算性,如研究計算一個問題類需要多少時間,多少存儲空間。
21.授權是信息系統訪問控制的核心,信息系統是安全的,其授權系統必須是安全的;一般操作性的安全問題是1個不可判定問題,而具體的操作系統安全問題卻是可判定問題。
22.本質上,密碼破譯就是求解一個數學難題,如果這個難題是理論不可計算的,則這個密碼就是理論上安全的。
23.訪問控制理論是網絡空間安全學科所特有的理論基礎;訪問控制是信息系統安全的核心問題;訪問控制理論包括各種訪問控制模型與授權理論,例如,矩陣模型,BLP模型,BIBA模型,中國牆模型,基於角色的模型(RBAC),屬性加密等,其中屬性加密是密碼技術與訪問控制結合的新型訪問控制;訪問控制理論是網絡空間安全學科的理論基礎,而且是網絡空間安全學科所特有的理論基礎。
24.密碼學理論是網絡空間安全學科所特有的理論基礎;數學,信息理論(信息論,系統論,控制論),計算理論(可計算理論,計算複雜性理論)是網絡空間安全學科的理論基礎,而博弈論,訪問控制理論和密碼學理論是網絡空間安全學科所特有的理論基礎。
25.笛卡爾方法分爲4步:
① 永不接受任何我自己不清楚的真理。
② 將要研究的複雜問題,儘量分解爲多個比較簡單的小問題,一個一個地解決。
③ 將這些小問題從簡單到複雜排序,先從容易解決的問題入手
④ 將所有問題解決後,再綜合起來檢驗,看是否安全,是否將問題徹底解決了。
笛卡爾的方法論強調了把複雜問題分解成一些細小的問題分別解決,是一種分而治之的思想,是一種行之有效的方法;用整體的思想和方法來處理,由傳統的方法論發展到系統性的方法論。
26.網絡空間安全學科有自己的方法論,即包含分而治之的傳統方法論,又包含綜合治理的系統工程方法論,而且將這兩者有機地融合爲一體;網絡空間安全學科具體概括爲理論分析,逆向分析,實驗驗證,技術實現四個核心內容;必須強調指出的是,逆向分析是網絡空間安全學科所特有的方法論。
27.網路空間安全學科的每一分支都具有攻和防兩個方面:
① 在進行網絡安全防護設計時,首先要進行安全威脅分析和風險評估;
② 認識系統的管理者和使用者,因此認識影響信息系統安全的重要因數。
以人爲核心,運用定性分析和定量分析相結合,注意量變會引發質變,綜合處理,追求整體效能,解決網絡空間安全中的理論,技術和應用問題。
【備考點撥】
主要在上午題中涉及,瞭解並理解相關知識點內容。
考點2、信息安全法律法規
【考法分析】
本考點主要是對信息安全相關法律法規的考查。
【要點分析】
1.我國信息安全的法律體系可分爲4個層面:
① 一般性法律規定;
② 規範和懲罰信息網絡犯罪的法律;
③ 針對信息安全的特別規定;
④ 具體規範信息安全技術,信息安全管理等方面的法律法規。
2.計算機犯罪的明顯特徵:
① 隱祕性強;
② 高智能型;
③ 破壞性強;
④ 無傳統犯罪現場;
⑤ 偵查和取證困難;
⑥ 公衆對計算機犯罪認識不如傳統犯罪清晰;
⑦ 計算機犯罪的誘惑性強:技術性強,富於挑戰性;
⑧ 計算機犯罪經常是跨國犯罪。
3.計算機犯罪分爲以下六類:
① 竊取和破壞計算機資產;
② 未經批准使用計算機信息系統資源;
③ 未批准或超越權限接受計算機服務;
④ 篡改或竊取計算機中保存的信息或文件;
⑤ 計算機信息系統裝入欺騙性數據和記錄;
⑥ 竊取或詐騙系統中的電子錢財。
4.互聯網安全的刑事責任:
① 威脅互聯網運行安全的行爲;
② 威脅國家安全和社會穩定的行爲;
③ 威脅社會主義市場經濟秩序和社會管理秩序的行爲;
④ 威脅個人,法人和其他組織的人身,財產等合法權利的行爲。
5.網絡安全問題日益凸顯。一是,網絡入侵,二是非法獲取,三是,宣揚恐怖主義,極端主義,煽動顛覆國家政權,推翻社會主義制度,以及淫穢色情等違法信息。
6.網絡運營者應履行下列安全保護義務:
① 制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
② 採取防範計算機病毒和網絡攻擊,網絡入侵等危害網絡安全行爲的技術措施;
③ 採取記錄,跟蹤網絡運行狀態,監測,記錄網絡安全事件的技術措施,並按照規定留存網絡日誌;
④ 採取數據分類,重要數據備份和加密等措施;
⑤ 法律,行政法規規定的其他義務。
7.對關鍵信息基礎設施,應實行重點保護;網絡安全,是指通過採取必要措施,防範對網絡的攻擊,入侵,干擾,破壞和非法使用以及意外事故,使網絡處於穩定可靠運行的狀態,以及保障網絡存儲,傳輸,處理信息的完整性,保密性可用性的能力。
8.中國計算機信息系統安全保護條例中計算機信息系統的概念,是指由計算機及其相關的和配套的設備,設施和網絡構成的,按照一定的應用目標和規則對信息進行採集,加工,存儲,傳輸,檢索等處理的人機系統。
9.計算機病毒:是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能自我複製的一組計算機指令或者程序代碼。
10.計算機信息系統安全專用產品:是指用於保護計算機i信息系統安全的專用硬件和軟件產品;知識產權包括著作權(也稱版權),工業產權(包括專利權和商標權),技術祕密和商業祕密。
11.2002年,國務院《計算機軟件保護條例》正式施行。該條例稱軟件是指計算機程序及其有關文檔。同一計算機程序的源程序和目標程序爲同一作品。對軟件著作權的保護不延及開發軟件所用的思想,處理過程,操作方法或者數學概念等。
12.計算機軟件受保護的條件有三個:原創性,可感知性,可再現性;計算機軟件著作權人享有人身權和財產權。
考點3、信息安全管理基礎
【考法分析】
本考點主要是對信息安全管理相關內容的考查。
【要點分析】
1.信息安全的定義:保護信息系統的硬件,軟件及相關數據,使之不因爲偶然或惡意的侵犯而遭受破壞,更改和泄露;保證信息系統中信息的機密性(Confidentiality),完整性(Integrity)和可用性(Availability)。
2.信息安全管理體系是信息安全管理活動的直結果,可表示爲策略,原則,目標,方法,程序和資源等總的集合。
3.密碼管理,密碼除了用於信息加密外,也用於數據信息簽名和安全認證。我國的商用密碼管理原則:統一領導,集中管理,定點研製,專控經營,滿足使用。
4.商用密碼的應用領域十分廣泛,主要用於對不涉及國家密祕碼內容但又具有敏感性的內部信息,行政事物信息,經濟信息等進行加密保護。
5.《商用密碼管理條例》中所稱商用密碼,是指對不涉及國家密碼內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。
6.商用密碼技術是商用密碼的核心,國家將商用密碼技術列入國家祕密,任何單位和個人都有責任和義務保護商用密碼技術的祕密。
7.國家密碼管理局公佈了無線局域網產品須使用的系列密碼算法,包括:
① 對稱密碼算法:SMS4;
② 簽名算法:ECDSA;
③ 密鑰協商算法:ECDH;
④ 雜湊算法:SHA-256;
⑤ 隨機數生成算法;自行選擇。
其中ECDSA和ECDH密碼算法須採用國家密碼管理制定的橢圓曲線和參數;這是國內官方公佈的第一個商用密碼算法系列。
8.網絡管理從功能上講一般包括配置管理,性能管理,安全管理,故障管理等;網絡管理最突出的特點是對網絡組成成分管理的統一性和遠程性。是以保證網絡傳輸的性能和安全性爲前提的。
9.網絡管理體系結構包括以下四個方面:
協議:因爲SNMP屬於應用層
表示:適用面向對象式的表示方法
安全:管理者和被管理者之間要有認證和加密協議
對象:包括設備,各種協議,業務和交易過程
總體而言,網絡管理的4個確定性特徵是:統一化,智能化,安全化和主動化。
10.網絡管理的幾個主要開發方向:網管系統,應用性能管理,桌面管理,員工行爲管理,安全管理。
11.網管系統:主要針對網絡設備進行監測,配置和故障診斷;通用軟件供應商開發的NMS系統試針對各個廠商網絡設備的通用網管系統。
12.應用性能管理:
① 應用性能管理師一個比較新的網絡管理方向,主要指對企業的關鍵業務應用進行監測,優化,提高企業應用的可靠性和質量,保證用戶得到良好的服務,降低IT總擁有成本。
② 應用性能管理主要功能如下:監測企業關鍵應用性能;快速定位應用系統性能故障;優化系統性能。
13.桌面管理系統:由最終用戶的電腦組成,這些電腦運行Windows,MAC系統。
14.員工行爲管理:一部分是員工網上行爲管理(EIM),另一部是員工桌面行爲監測。
15.安全管理:保障合法用戶對資源安全訪問,防止病杜絕黑客蓄意攻擊和破壞。
16.設備安全管理包括設備的選型,檢測,安裝,等級,使用,維護和存儲管理等多方面的內容。
17.《信息安全等級保護管理辦法》將信息系統的安全保護等級分爲以下五級:
第一級:信息系統受到破壞後,會對公民,法人和其他組織的合法權益造成損害,但不損害國家安全,社會秩序和公共利益。
第二級:信息系統受到破壞後,會對公民,法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級:信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級:信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級:信息系統受到破壞後,會對國家安全造成特別嚴重損害。
《信息安全等級保護管理辦法》明確規定,在信息系統建設過程中,運營,使用單位應當按照《計算機信息系統安全保護等級劃分準則》。
18.GB17859-1999標準規定了計算機系統安全保護能力的五個等級:
第一級:用戶自主保護級,通過隔離用戶與數據,使用戶具備自主安全保護的能力。
第二級:系統審計保護級,通過登錄規程,審計安全性相關事件和隔離資源,使用戶對自己的行爲負責。
第三級:安全標記保護級,具有系統審計保護級所有功能,還提供有關安全策略模型,數據標記以及祖逖對客體強制性訪問控制的非形式化描述,具有準確地標記輸出信息的能力,消除通過測試發現的任何錯誤。
第四級:結構化保護級,要求將第三級系統中的自主和強制訪問控制擴展到所有主體與客體。此外,還要考慮隱蔽通道。
第五級:訪問驗證保護級,滿足訪問監控器需求。訪問監控器仲裁主體對客體的全部訪問。
19.涉密信息系統安全分級保護可以劃分爲祕密級,機密級和機密級(增強),絕密級三個等級:
① 祕密級:不低於國家信息安全等級保護三級的要求
② 機密級:不低於國家信息安全等級保護四級的要求
屬於下列情況之一的機密級信息系統應選擇機密級(增強)的要求:副省級以上的黨政首腦機關,以及國防,外交,國家安全,軍工等要害部門;機密級信息含量較高或數量較多;使用單位對信息系統的依賴程度較高。
③ 絕密級:信息系統中包含有最高爲絕密級的國家祕密,不低於國家信息安安等級保護五級的要求。
20.涉密信息系統分級保護的管理過程分爲八個階段,即系統定級階段,安全規劃方案設計階段,安全工程實施階段,信息系統測評階段,系統審批階段,安全運行及維護階段,定期評測與檢查階段和系統隱退終止階段等。
21.涉密信息系統定級遵循“誰建設,誰定級”的原則。
22.目前國內外的趨勢都是用網絡隔離這個概念來代替物理隔離或安全隔離等;隔離技術的發展:
第一代隔離技術:完全地隔離
第二代隔離技術:硬件卡隔離
第三代隔離技術:數據傳播隔離
第四代隔離技術:空氣開關隔離
第五代隔離技術:安全通道隔離
23.防火牆是最常用的網絡隔離手段;防火牆有一個很顯著的缺點:就是防火牆只能做網絡四層以下的控制,對於應用層內的病毒、蠕蟲都沒有辦法。對於安全要求初級的隔離是可以的。
24.網閘的設計形象的借鑑了船閘的概念,設計採用“代理+擺渡”。不在河上架橋,可以設擺渡船,擺渡船不直接連接兩岸,安全性當然要比橋好,即使是攻擊,也不可能一下就進入,在船上總要收到管理者的各種控制。
25.網絡隔離技術的安全要點:
① 要具有高度的自身安全性;
② 要確保網絡之間是隔離的;
③ 要保證網間交換的只是應用數據;
④ 要對網閘的訪問進行嚴格的控制和檢查;
⑤ 要在堅持隔離的前提下保證網絡暢通和應用透明。
網絡隔離的關鍵是在於系統對通信數據的控制,即通過不可路由的協議來完成網閘的數據交換。
26.安全監控可以分爲網絡安全監控和主機安全監控兩大類。
27.信息安全風險評估,則是指依據有關信息安全技術標準,對信息系統及由其處理,傳輸和存儲的信息的保密性,完整性和可用性等安全屬性進行科學評價的過程,它要評估信息系統的脆弱性,信息系統面臨的威脅以及脆弱性被威脅源利用後所產生的實際負面影響,並根據安全事件發生的可能性和負面影響的程度來識別信息系統的安全風險;任何系統的安全性都可以通過風險的大小來衡量。
28.風險評估:指確定在計算機系統和網絡中每一種資源缺失或遭到破壞對整個系統造成的預計損失數量。
29.風險評估的過程:
① 確定資產
② 脆弱性和威脅分析
③ 制定及評估控制措施
④ 決策
⑤ 溝通與交流
⑥ 監督實施
30.風險評估的方法:
① 典型的定量分析方法有因子分析法,聚類分析法,時序模型,迴歸模型,等風險圖發,決策樹法等
② 典型的定性分析方法有因素分析法,邏輯分析法,歷史比較法,德爾菲法。
③ 定性與定量相結合的綜合評估方法。
④ 典型的風險評估方法:層次分析法,它的基本步驟是:系統分解→構造判斷矩陣→層次總排序。
31.風險管理就是以可以接受的費用識別,控制,降低或消除可能影響信息系統的安全風險的過程。
32.降低風險的途經:
① 避免風險
② 轉移風險
③ 減少威脅
④ 減少脆弱性
⑤ 減少威脅可能的影響
⑥ 檢測意外事件
風險接受是一個對殘留風險進行確認和評價的過程。
考點4、信息安全標準化知識
【考法分析】
本考點主要是對信息安全標準化相關內容的考查。
【要點分析】
1.標準是人們以某種目的和需要而提出的統一性要求,是對一定範圍內的重複性事物和概念所做的同意規定。
2.標準化則是制定標準並使其在社會一定範圍內得到推廣應用的一系列活動。
① 強制性標準:由法律規定必須遵照執行的標準。代號:GB
② 推薦性標準:非強制性標準,代號:GB/T
3.信安標委的成立標誌着我國信息安全標準化工作步入了“統一領導,協調發展”的新時期。
4.信息安全管理的國際標準,主要可分爲信息安全管理與控制類標準和技術與工程類標準;BS7799標準是英國標準協會(Birtishu Standards Institution,BSI)制定的信息安全管理體系標準。
5.《信息技術,安全技術,信息技術安全性評估準則》(簡稱CC)相當於最後的集大成者,是目前國際上最通行的信息技術產品及系統安全性評估準則,也是信息技術安全性評估結果國際互認的基礎。
6.CC標準分爲3個部分:
第1部分:簡介和一般模型;
第2部分:安全功能要求;
第3部分:安全保證要求。
CC標準的核心思想有兩點:一是信息安全技術提供的安全功能本身和對信息安全技術的保證承諾之間獨立;二是安全工程的思想,即通過對信息安全產品的開發,評價,使用全過程的各個環節實施安全工程來確保產品的安全性。
7.2001年參照國際標準ISO/IEC15408,制定了國家標準GB/T18336《信息技術安全性評估準則》,作爲評估信息技術產品與信息安全特性的基礎準則。
【備考點撥】
主要在上午題中涉及,瞭解並理解相關知識點內容。