软考-高项-第二十二章 信息系统安全管理

22.1信息系统安全策略

22.1.1信息系统安全策略的概念与内容

1. 概念⭐
1. 是指针对本单位的计算机业务应用信息系统的安全风险（安全威胁）进行有效的识别、评估后，所采取的各种措施、手段，以及建立的各种管理制度、规章等。
2. 🚩由此可见，一个单位的安全策略一定是定制的，都是针对本单位的。
2. 核心内容⭐
1. 🚩就是“七定” 即定方案、定岗、定位、定员、定目标、定制度、定工作流程
2. 🚩按照系统安全策略“七定”要求，系统安全策略首先要解决定方案，其实就是定岗

22.1.2建立安全策略需要处理好的关系

1. ⭐系统安全是一个动态的过程，今天看来是安全的系统，明天可能就不再安全
2. ⭐把信息系统的安全目标定位于“系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密”是错误的，是不现实的，也是不可能的。
3. ⭐适度的安全观点 安全代价低，显然安全风险肯定大；反之，安全风险要降的很低，安全的代价就很大

4. ⭐木桶效应的观点 木桶效应的观点是将整个信息系统比作一个木桶，其安全水平是由构成木桶的最短的那块木板决定的

 

 

5. ⭐计算机信息系统分为以下5各安全保护等级（背诵，用系安结访）
1. 用户自主保护级⭐ 该级适用于普通内联网用户
2. 系统审计保护级⭐ 该级适用于通过内联网或国际网进行商务活动，需要保密的非重要单位
3. 安全标记保护级⭐ 该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位
4. 结构化保护级⭐ 该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门
5. 访问验证保护级⭐ 该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位
6. 信息系统的安全保护等级由两个定级要素决定
1. 一是受侵害的客体🚩 等级保护对象受到破坏时所侵害的客体包括公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全
2. 二是对客体的侵害程度🚩 对客体的侵害程度由客观方面的不同外在表现综合决定

22.1.3信息系统安全策略设计原则

1. 8个总原则
1. 主要领导人负责原则
2. 规范定级原则
3. 依法行政原则
4. 以人为本
5. 注重费效比原则
6. 全面防范、突出重点原则
7. 系统、动态原则
8. 特殊的安全管理原则
2. 10个特殊原则
1. 分权制衡原则
2. 最小特权原则
3. 标准化原则
4. 用成熟的先进技术原则
5. 失效保护原则
6. 普遍参与原则
7. 职责分离原则
8. 审计独立原则
9. 控制社会影响原则
10. 保护资源和效率原则

21.1.4信息系统安全方案 无重点考点

 

22.2信息安全系统工程

22.2.1信息安全系统工程概述

1. 信息系统业界也叫做信息应用系统、信息应用管理系统、管理信息，简称MIS。信息安全系统不能脱离业务应用信息系统而存在。
2. 业务应用信息系统支撑业务运营的计算机应用信息系统，如银行柜台业务信息系统、国税征收信息系统等
3. 信息系统工程即建造信息系统的工程，包括两个独立且不可分割的部分，即信息安全系统工程和业务应用系统工程

 

 

22.2.2信息安全系统

1. 三维模型⭐
1. X轴 是“安全机制”
2. Y轴 是"OSI网络参考模型"
3. Z轴 是“安全服务”

 

 

2. 安全空间⭐
1. 由X,Y,Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”
2. 🚩随着网络逐层扩展，这个空间不仅范围逐步扩大，安全的内涵也就更丰富，达到具有认证、权限、完整、加密和不可否认五大要素，也叫做“安全空间”的五大属性
3. 安全服务
1. 对等实体认证服务 对方实体的合法性、真实性进行确认，以防假冒
2. 数据保密服务
3. 数据完整性服务 数据完整性服务用以防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
4. 数据源点认证服务 数据源点认证服务用于确保数据发自真正的源点，防止假冒
5. 禁止否认服务
6. 犯罪证据提供服务

22.2.3信息安全系统架构体系

分为三种架构体系⭐

1. MIS+S系统🚩
1. 全称 Management Infomation System +Security
2. 定义 为初级信息安全保障系统 或 基本信息系统安全保障系统
3. 特点
1. 业务应用系统基本不变
2. 硬件和系统软件通用
3. 安全设备基本不带密码
2. S-MIS系统🚩
1. 全称 Security+Management Infomation System
2. 定义 为“标准信息安全保障系统”
3. 特点
1. 硬件和系统软件通用
2. PKI/CA安全保障系统必须带密码
3. 业务应用系统必须根本改变
4. 主要的通用的硬件、软件也要通过PKI/CA认证
3. S²-MIS系统🚩
1. 全程 Super Security +Management Infomation System
2. 定义 为“超安全的信息安全保障系统”
3. 特点
1. 硬件和软件都专用
2. PKI/CA安全基础设施必须带密码
3. 业务应用系统必须根本改变

 

 

22.2.4 信息安全系统工程基础 无考点

22.2.5信息安全系统工程体系结构

1. ISSE-CMM概述🚩
1. ISSE ISSE是一门系统工程学，它的主要内容是去欸的那个系统和过程的安全风险，并且使安全风险降到最低或使其得到有效控制
2. ISS-CMM
1. 全称 信息安全系统工程能力成熟度模型
2. 定义 是一种衡量信息安全系统工程实施能力的方法，是使用面向工程过程的一种方法
3. 作用 主要用于指导信息安全系统工程的完善和改进，使信息安全系统工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科
4. 主要概念
1. 过程 是指为了达到某一给定目标而执行的一系列活动，这些活动可以重复、递归和并发的执行
2. 过程域 是由一些基本实施组成的，它们共同实施来达到该过程域规定的目标
3. 工作产品 是指在执行任何过程中产生的所有文档、报告、文件和数据
4. 过程能力 是通过跟踪一个过程能达到期望结果的可量化范围
2. ISSE过程

将信息安全系统工程实施过程分解成

1. 工程过程🚩 信息安全系统工程与其他工程活动一样，是一个包含概念、设计、实现、测试、部署、运行、维护、退出的完整过程
2. 风险过程🚩
1. 信息安全系统工程的一个主要目标是降低信息系统运行的风险
2. ⭐一个有害事件由威胁、脆弱性和影响三个部分组成
3. 保证过程🚩 保证过程是指安全需求得到满足的可信程度，它是信息安全系统工程非常重要的产品
• ISSE体系结构
1. 基础模型
2. 域维/安全过程域
3. 能力维/公共特征 下面的公共特征表示了为取得每一个界别需满足的成熟的信息安全工程特征
4. 能力级别

 

 

 

 

22.3PKI公开密钥基础设施

22.3.1公钥基础设施（PKI）基本概念

1. 公钥基础设施 PKI 以不对成密钥加密技术为基础，以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的，来实施和提供安全服务的具有普适性的安全基础设施
2. 数字证书 这是由认证机构经过数字签名后发给网上信息交易主体（企业或个人、设备或程序）的一段电子文档，数字证书提供了PKI的基础。
3. 认证中心 CA是PKI的核心。它是公正、权威、可信的第三方网上认证机构，负责数字政府的签发、撤销和生命周期的管理，还提供密钥管理和证书在线查询等服务。
4. 双密钥证书生成过程
1. 用户使用客户端产生签名密钥对
2. 用户的签名私钥保存在客户端
3. 用户的签名密钥对的公钥传送给CA中心
4. CA中心为用户的公钥签名，产生签名证书
5. CA中心将签名证书传回客户端进行保存
6. KMC(密钥管理中心)为用户生成加密密钥对
7. 在KMC中备份加密密钥已被以后进行密钥恢复
8. CA中心为加密密钥对生成加密证书
9. CA中心将用户的加密私钥和加密证书打包成标准格式PKCS#12
10. 将打包后的问价你传回客户端
11. 用户的客户端装入加密公钥证书和加密私钥
5. 每一个版本的X.509必须包含以下信息
1. 版本号
2. 序列号
3. 签名算法标识符
4. 认证机构
5. 有效期限
6. 主题信息
7. 认证机构的数字签名
8. 公钥信息

22.3.2数字证书及其生命周期

1. PKI/CA对数字证书的管理是按照数字证书的生命周期实施的，包括证书的安全需求确定、证书申请、证书登记、分发、审计、撤回和更新
2. CA是一个受信任的机构，为了当前和以后的事务处理，CA给个人、计算机设备和组织机构颁发证书，以证实它们的身份，并为他们使用证书的一切行为提供信誉的担保。

22.4PMI权限（授权）管理基础设施

PMI定义

PMI即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。

22.4.1PMI和PKI的区别

⭐PMI主要进行授权管理，证明这个用户有什么权限，能干什么，即“你能做什么”。PKI主要进行身份鉴别，证明用户身份，即“你是谁”

1. PMI和PKI逐项比较
2. 属性证书及其管理中心

🚩属性证书 表示证书的持有者（主体）对于一个资源实体（客体）所具有的权限，它是由一个做了数字签名的数据结构提供的，这种数据结构成为属性证书，由属性证书管理中心AA签发并管理

 

 

22.4.3访问控制

访问控制是为了限制访问主体（或称为发起者，是一个主动的实体，如用户、进程、服务等）对访问客体（需要保护的资源）的访问权限；从而使计算机信息应用系统在合法范围内使用；访问控制机制决定用户以及代表一定用户利益的程序能做什么及做到什么程度。

1. 访问控制有两个重要过程
1. 认证过程⭐ 通过“鉴别”来检验主体的合法身份
2. 授权管理⭐ 通过“授权”来赋予用户对某项资源的访问权限
2. 访问控制机制分类
1. 强制性访问控制⭐ 系统独立于用户行为为强制执行访问控制（MAC）,用户不能改变他们的安全级别或对象的安全属性
2. 自主访问控制⭐ 自主访问控制（DAC）机制允许对象的属主来制定自己的保护策略

22.4.4基于角色的访问控制

1. RBAC和DAC的区别⭐ 用户不能自主地将访问权限授予给别的用户
2. RBAC和MAC的区别⭐ MAC是基于多级安全需求，而RBAC不是
3. ⭐基于角色的访问控制中，角色由应用系统的管理员定义
4. 而且授权规定是强加给用户，用户只能被动接受，不能自主地决定

 

 

22.4.5PMI支撑体系

4种访问控制授权方案

1. DAC ⭐（用户对应权限）
1. Discretionary Access Control 自主访问控制方式
2. 该模型 针对每个用户指明能够访问的资源，对于不再制定的资源列表中的对象不允许访问
2. ACL⭐ （权限对应用户列表）
1. Access Control List 访问控制列表方式
2. 该模型是目前应用最多的方式。目标资源拥有访问权限列表，指明允许哪些用户访问。如果某个用户不再访问控制列表中，则不允许该用户访问这个资源
3. MAC⭐
1. Mandatory Access Control 强制访问控制方式
2. 该模型在军事和安全部门中应用较多，目标具有一个包含等级的安全标签（如：不保密、限制、秘密、机密、绝密）
3. 访问者拥有包含等级列表的许可，其中定义了可以访问哪个级别的目标：例如允许访问秘密级信息，这时，秘密级、限制级和不保密级的信息是允许访问的，但机密和绝密级信息不允许访问
4. RBAC⭐（角色权限）
1. Role-Base Access Control 基于角色的访问控制方式
2. 该模型首先定义一些组织内的橘色，如局长、科长、职员；再根据管理规定给这些橘色分配相应的权限，最后对组织内的每个人根据具体业务和职位分配一个或多个角色

补充：

Rolebased access control ( RBAC) represents an important advancement in flexibility andgranularity of control from the classical discretionary and mandatory（DAC） access control.

22.5信息安全审计

22.5.1安全审计概念

1. 安全审计定义⭐ 是记录、审查主体对客体进行访问和使用情况，保证安全规则被正确执行，并帮助分析安全事故产生原因
2. 包括两方面的内容⭐
1. 采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应（如报警）并进行阻断。
2. 对信息内容和业务流程进行审计，可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
3. 安全审计系统采用技术
1. 数据挖掘和数据仓库技术，对历史数据进行分析、处理和追踪，实现在不同网络环境中终端对终端的监控和管理，必要时通过多种途径向管理员发出警告或自动采取排错措施
2. 因此信息安全审计系统被形象地比喻为“黑匣子”和“监护神”
4. 黑匣子 信息安全审计系统就是业务应用信息系统的“黑匣子”。即使在整个系统遭到灭顶之灾的破坏后，“黑匣子”也能安然无恙，并确切记录破坏系统的各种痕迹和“现场记录”
5. 监护神 信息安全审计系统就是业务应用信息系统的“监护神”，随时对一切现行的犯罪行为、违法行为进行监控、追踪、抓捕，同时对暗藏的、隐蔽的犯罪倾向、违法迹象进行“堵漏”、铲除。
6. 安全审计产品包括⭐
1. 主机类
2. 网络类
3. 数据库类
4. 业务应用系统级
7. 一个安全审计系统的作用⭐
1. 对潜在的攻击者起到震慑和警告作用
2. 对于已经发生的系统破坏行为提供有效的追究证据
3. 为系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞
4. 为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方
8. 网络安全审计的内容
1. 监控网络内部的用户活动
2. 侦察系统中存在的潜在威胁
3. 对日常运行状况的统计与分析
4. 对突发案件和异常事件的事后分析
5. 辅助侦破和取证
9. 安全审计功能
1. 🚩安全审计自动响应功能 被测事件指示一个潜在的安全攻击时做出的响应，它是管理审计事件的需要，这些需要包括报警和行动
2. 🚩安全审计数据生成功能 记录与安全相关的事件的出现，包括鉴别审计层次、列举可被审计的事件类型，以及鉴别由各种审计记录类型提供的相关审计信息的最小集合
3. 🚩安全审计分析功能 分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应
4. 🚩安全审计浏览功能 要求审计系统能够使授权的用户有效地浏览审计数据，它包括审计浏览、有限审计浏览、可选审计浏览
5. 🚩安全审计事件选择功能 要求系统管理员能够维护、检查或修改审计事件的集合，能够选择对哪些安全属性进行审计
6. 🚩安全审计事件存储 要求审计系统将提供控制措施；以防止由于资料的不可用丢失审计数据

22.5.2建立安全审计系统

1. 网络安全入侵检测预警系统
1. 基本功能
1. 是负责监控网络上的通信数据流和网络服务器系统中的审计信息，捕捉可疑的网络和服务器系统活动，发现其中存在的安全问题，当网络和主机被非法使用或破坏时，进行实时响应和报警
2. 产生通告信息和日志，系统审计管理人员根据这些通告信息、日志和分析结果，调整和更新已有的安全管理策略或进行跟踪追查等时候处理措施。
2. 🚩在这个层次上的入侵检测和安全审计是一对因果关系，前者获取的记录结果时后者审查分析资料的来源，或者说前者是手段而后者是目的，任何一方都不能脱离另一方单独工作。
3. 作为一个完整的安全审计需要入侵检测系统实时、准确提供基于网络、主机（服务器、客户端）和应用系统的审查分析资料
2. 🚩入侵检测是指为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。
3. 从安全审计的角度看，入侵检测采用的是以攻为守的策略，它所提供的数据不仅可用来发现合法用户是否滥用特权还可以为追究入侵者法律责任提供有效证据
4. 从已知的现有技术分析，主要有4中解决方案
1. 基于主机操作系统代理
2. 基于应用系统代理
3. 基于应用系统独立程序
4. 基于网络旁路监控方式

22.5.3分布式审计系统

分布式审计系统组成部分

• 审计中心
• 审计控制台
• 审计Agent

审计中心

是对整个审计系统的数据进行集中存储和管理，并进行应急响应的专用软件，它基于数据库平台，采用数据库方式进行审计数据管理和系统控制，并在无人看守情况下长期进行

审计控制台

是提供给管理员用于对审计数据进行查阅，对审计系统进行规则设置，实现报警功能的界面软件，可以有多个审计控制台软件同时运行

审计Agent

• 直接同被审计网络和系统连接的部件，不同的审计Agent完成不同的功能
• 审计Agent将报警数据和需要记录的数据自动保送到审计中心，并由审计中心进行统一的调度管理
• 审计Agent分类
• 网络监听型Agent
• 系统嵌入型Agent
• 主动信息获取型Agent等

 

题目

1. 按照信息系统安全策略“七定”要求，系统安全策略首先需要 定方案
2. 在信息系统安全建设中，安全策略 确定全方位的防御体系，一般会告诉用户应有的责任，组织规定的网络访问、服务访问、本地和远程的用户认证拨入和拨出、磁盘数据加密、病毒防护措施，以及雇员培训等，并保证所有可能收到攻击的地方必须以同样的安全级别加以保护。