信息安全(概念性知识)

一、名词解释：

1、资产：被组织赋予了价值、需要保护的有用资源。

2、资产的价值：资产对一个机构的业务的重要程度

3、威胁：可能对资产或组织造成损害的事故的潜在原因。

4、脆弱性：资产的弱点或薄弱点，这些弱点可能被威胁利用造成安全事件的发生，从而对资产造成损害。

5、安全风险：特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。

6、风险评估：对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性的评估。

7、风险管理：通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。

8、安全需求：组织对信息系统安全的要求。

9、安全控制：保护组织资产、防止威胁、减少脆弱性、限制安全事件影响的一系列安全实践、过程和机制。

10、剩余风险：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险。

11、适用性声明：指对适用于组织需要的目标和控制的描述。

12、安全的信息系统：并不是指“万无一失”的信息系统，而是指残余风险可以被接受的安全系统。

13、信息安全策略：本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。

14、应急响应：通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。

15、基本风险评估：指应用直接和简易的方法达到基本的安全水平，就能满足组织及其业务环境的所有要求。

二、填空题

1、根据目标、系统类型以及系统服务对象的不同，信息系统主要分为业务处理系统、职能系统、组织系统、决策支持系统。

2、系统的整个开发过程可以划分为规划、分析、设计、实现和运行5个阶段。

3、系统面临的技术安全问题包括网络安全性、系统安全性、用户安全性、应用程序安全性、数据安全性、

4、信息安全策略分为信息安全方针和具体的信息安全策略两个层次。

5、系统安全管理的目标是确保系统运行过程中的安全性，主要包括可靠性、可用性、保密性、完整性、不可抵赖性、可控性等几个方面。

6、信息安全事件分类分级指南把信息安全划分为四个级别:特别重大事件,重大事件,较大事件和一般事件

三.简答题

1、等级保护的含义

信息安全等级保护是根据信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度，结合系统面临的风险，应对风险的安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全。

等级划分：

自我保护级；指导保护级；监督保护剂；强制保护级；专控保护级

实施阶段：

定级阶段：a系统识别与描述b等级确定

规划与设计阶段a系统分域保护框架建立b选择和调整安全措施c安全规划和方案设计

实施、等级评估与改进阶段：a安全措施的实施b评估与验收c运行监控与改进

2、信息安全管理体系

信息安全管理的内涵

信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理是信息安全保障体系建设的重要组成部分。

信息安全管理的内容：

安全方针和策略；组织安全；资产分类与控制；人员安全；物理与环境安全；通信、运行与操作安全；访问控制；系统获取、开发与维护；安全事故管理；业务持续性；符合性。

3、信息安全管理体系

信息安全管理体系概念：

是组织在整体或特定范围内建立的信息安全方针和目标，以及完整这些目标所用的方法和手段所构成的体系。

信息安全管理体系的特点:

以预防控制为主的思想；强调合规性；强调全过程和动态控制；关注关键性信息资产。

建立ISMS的步骤：

信息安全管理体系的策划与准备;信息安全管理体系文件的编制;建立信息安全管理框架;信息安全管理体系的运行;信息安全管理体系的审核与评审

ISMS的作用:

强化员工的信息安全意识，规范组织信息安全行为；促使管理层贯彻信息安全保障体系；对关键信息资产进行全面系统的保护，维持竞争优势；确保业务持续开展并将损失降到最低

程度；使组织的生意伙伴和客户对组织充满信心；如果通过体系认证，可以提高组织的知名度与信任度。

4、信息安全策略

网络设备安全

服务器安全

信息分类

信息保密

用户账户与口令

远程访问

反病毒

防火墙及入侵检测

安全事件调查与响应

灾难恢复与业务持续性计划

风险评估

信息系统审计

5、基于SSE-CMM的信息安全管理体系

系统安全工程能力成熟度模型的提出是为了改善安全系统、产品和服务的性能、价格及可用性。

SSE-CMM的作用

工程组织包括系统集成商、应用开发者、产品厂商和服务供应商。对于这些组织，SSE-CMM的作用包括：通过可重复和可预测的过程及实施来减少返工；获得真正工程执行能力的认可，特别是在资源选择方面；侧重于组织的资格（成熟度）度量和改进。

获取组织包括从内部/外部获取系统、产品和服务的组织以及最终用户。对于这些组织，SSE-CMM的作用：可重用的标准语言和评定方法；减少选择不合格投标者的风险（性能、成本和工期风险）；进行基于工业标准的统一评估，减少争议；在产品生产和提供服务过程中建立可预测和可重复级的可信度。

评估机构包括系统认证机构、系统授权机构和产品评估机构。对于这些机构，SSE-CMM的作用包括：可重用的过程评定结果，并与系统或产品变化无关；在安全工程中以及安全工程与其他工程集成中的信任度；基于能力的显见可信度，减少安全评估工作量。SSE-CMM的基本概念

组织被定义为公司内部的单位、整个公司或其他实体项目是各种活动和资源的总和，这些活动和资源用于开发或维护一个特定的产品或提供一种服务。

提供某种能力用以满足一种需要或目标的人员、产品、服务和过程的综合；事物或部件的汇集形成了一个复杂或单一整体（即用来完成某个特定或—组功能的组件的集合）；功能相关的元素相互组合。

能力成熟度模型CMM ：CMM经过确定当前特定过程的能力和在一个特定域中识别出关键的质量和过程改进问题，来指导和选择过程改进策略。

通过SSE-CMM可以将复杂的信息系统安全工程管理成为严格的工程学和可依赖的体系。SSE-CMM是一个评估标准，它定义了实现最终安全目标所需要的一系列过程，并对组织执行这些过程的能力进行等级划分。