CISP总结-信息安全保障知识点

1.信息安全特征：信息安全是系统的安全，是动态的安全，是
无边界的安全，是非传统的安全。

2.信息系统包含三个要素：信息，计算机网络系统和运行环境。

3.1985年，美国国防部的可信计算机系统评估保障（TCSEC，
橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）.
4.信息技术安全性评估准则，即通用准则CC（ISO/IEC 15408，
GB/T 18336），其中保障定义为，实体满足其安全目的的信心基础。

5.风险是指威胁利用资产或一组资产的脆弱性对组织机构造成
伤害的潜在可能。

6.信息安全管理体系－ISMS,国际上主流的信息系统管理体系
的标准有ISO/IEC 17799,英国标准协会（BSI）的7799
7.信息安全保障模型：保障要素：管理、工程、技术、人员。

安全特征：保密、完整、可用。

生命周期：规划组织、开发采购、实施交付、运行维护、废弃。

策略和风险是安全保障的核心问题。

信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受
的程度，从而保障系统实现组织机构的使命。

8.风险管理贯穿整个信息系统生命周期，包括对象确立，风险
评估，风险控制，审核批准，监控与审查和沟通与咨询6个方面。

9.基于时间的PDR模型（保护－检测－响应）是信息安全保障
工作中常用的模型。

该模型的出发点是基于这样的前提：任何安全防护措施都是基于时间的，超过该时间段，这种防护措施是可能被攻破。

10.P2DR（策略－保护检测响应）：所有的行为都是依据安全策
略实施的。

该模型强调安全管理的持续性、安全策略的动态性。

防护时间Pt，检测时间Dt,反应时间Rt：
如果pt>dt+rt,则系统安全；如果pt<dt+rt,则暴露时间Et=(dt+rt)-pt
11.PDCA(计划、实施、检查、改进)是信息安全管理体系ISMS
的核心。

12.深度防御战略是信息安全保障技术框架（IATF）的核心思想，
主要包括三个层面：人，技术和运行维护。

即人在技术支持下进行运行维护的信息安全保障问题。

从技术层面，根据信息安全的需求，把信息系统解构为四个基本方面：保护网络和基础设施、保护区域边界、保护计算环境和支持性基础设施。

提供了层次化的保护策略。

多点防御、分层防御。

13.信息安全保障的基本原则——信息安全的等级保护制度
14.《关于加强信息安全保障工作的意见》（中办发[2003]27号）
是我国信息安全保障工作的基础性文件。

15.准确地提取安全需求：一方面可以保证安全措施可以全面覆
盖信息系统面临的风险，是安全防护能力达到业务目标和法规政策的要求的基础。

另一方面可以提高安全措施的针对性，避免不必要的安全投入，防止浪费。

16.确定信息系统安全保障具体需求的方法：政策符合性和风险
评估
17.信息系统安全保障的具体需求由信息系统保护轮廓(ISPP)确
定。

信息系统保护轮廓（ISPP）是根据组织机构使命和所处的运行环境，从组织机构的策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述。

表达一类产品或系统的安全目的和要求。

ISPP是从信息系统的所有者（用户）的角度规范化、结构化的描述信息系统安全保障需求。

18.信息安全保障解决方案是一个动态的风险管理过程，通过对
信息系统生命周期内风险的控制，来解决在运行环境中信息系统安全建设所面临的各种问题，从而有效保障业务系统及应用的持续发展。

19.信息安全保障解决方案制定的原则：1.以风险评估和法规要求
得出的安全需求为依据2.贴合实际具有可实施性
20.信息系统安全目标（ISST）是根据信息系统保护轮廓（ISPP）
编制的信息系统安全保障方案。

是从信息系统安全保障的建设方（厂商）的角度制定的信息系统安全保障方案。

21.信息安全保障实施的原则:以信息安全保障方案为依据，覆盖
方案提出的建设目标和建设内容;规范的实施过程(实施的质量、进度和成本必须受控,实施过程中出现的变更必须受控,充分考虑实施风险，如资源不足、组织文化的抵触情绪、对业务正常运行造成的影响、信息泄露或破坏等)
22.信息安全保障实施的内容：覆盖信息系统全生命周期，以风
险和策略为核心，风险评估贯穿系统全生命周期，建立完整的策略体系，涉及技术、管理、工程、人。

23.评估对象是信息系统，不仅包含了信息技术系统，还包括同
信息系统所处的运行环境相关的人和管理等领域。

评估是一种动态持续的评估过程。

24.《信息安全风险评估指南》-资产/威胁/脆弱性。

《信息系统等级保护测评指南》-安全保护基线《信息系统安全保障评估框架》-安全保障措施与能力25.信息产品安全测评依据的标准是：CC、CEM和CNITSEC的
要求
26.产品认证的基本要求是对认证申请者送达的样品进行型式试
验（测试评估），同时对申请者的质量体系（即质量保证能力）进行检查、评审。

这两方面都符合有关标准要求，则予以认
证。

认证通过后，认证中心予以发放证书。

证书发放以后，认证中心再从市场和、或工厂（车间）抽样进行核查试验，即监督检验，同时对其质量体系进行监督性复查，若两方面都合格，即维持认证，否则取消认证。

27.根据国家标准GB/T 18336－2001，信息产品安全的测评由低
到高划分为7级别，即CC的EAL1-7级。

28.信息产品安全测评流程：准备阶段－评估－认证－监督维持
29.信息系统安全保障的评估，是从信息系统安全保障的概念出
发，在信息系统的生命周期内，根据组织机构的要求在信息系统的安全技术、安全管理和安全工程领域内对信息系统的安全技术控制措施和技术架构能力、安全管理控制和管理能力以及安全工程实施控制措施和工程实施能力进行评估综合，从而最终得出信息系统在其运行环境中安全保障措施满足其安全保障要求的符合性以及信息系统安全保障能力的评估。

法规和政策
30.《刑法》第六章妨碍社会管理秩序罪第一节扰乱公共
秩序罪第285（3年）、286（5年）、287条（做其他坏事）31.《电子签名法》，被称为“中国首部真正意义上的信息化法
律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。

32.27号文件总体要求：坚持积极防御、综合防范的方针，全面
提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。

33.主要原则：立足国情，以我为主，坚持技术与管理并重；正
确处理安全和发展的关系，以安全保发展，在发展中求安全；
统筹规划，突出重点，强化基础工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。

34.主要任务（重点加强的安全保障工作）：
35.实行信息安全等级保护
36.加强以密码技术为基础的信息保护和网络信任体系建设
37.建设和完善信息安全监控体系
38.重视信息安全应急处理工作
39.加强信息安全技术研究开发，推进信息安全产业发展
40.加强信息安全法制建设和标准化建设
41.加快信息安全人才培养，增强全民信息安全意识
42.保证信息安全资金
43.加强对信息安全保障工作的领导，建立健全信息安全管理责
任制
44.信息安全风险评估（基于风险管理）功能：1系统分析网络与
信息系统所面临的威胁及其存在的脆弱性2评估安全事件一旦发生可能造成的危害程度3提出有针对性的抵御威胁的防
护对策和整改措施.
45.风险评估的主要内容：分析信息系统资产的重要程度，评估
信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等
46.涉密信息系统参照“分级保护”，进行系统测评并履行审批手
续
47.非涉密信息系统参照“等级保护”，完成等级测评和风险评估
工作，并形成相关报告
48.信息和信息系统的安全保护等级（及其适用范围）
49.第一级为自主保护级
50.第二级为指导保护级
51.第三级为监督保护级
52.第四级为强制保护级
53.第五级为专控保护级
54.国家信息安全等级保护坚持“自主定级、自主保护”的原则
55.
56.
57.。