思维导图,【中级职称】项目集成管理工程师(新版教材) 第8章、信息安全工程
2024-09-18 23:41:02 0 举报AI智能生成
【中级职称】项目集成管理工程师(新版教材) 第8章、信息安全工程重点介绍了信息安全工程的相关知识。本章首先阐述了信息安全的基本概念和重要性,以及信息安全管理体系的建立和实施。随后,详细讲解了信息安全工程中的风险评估、防护措施和技术应用,如加密技术、身份认证技术、访问控制技术等。此外,本章还介绍了信息安全法律法规和标准化知识,以及信息安全工程在实践中的应用案例。通过学习本章,读者将能够更好地理解信息安全工程在项目管理中的重要性,并掌握相关的理论知识和实践技能。
作者其他创作
大纲/内容
1、信息安全管理
1.1、保障要求
1.1.1、5项原则
1、网络与信息安全管理要做到整体策划,确保安全的总体目标和所遵循的原则
2、建立相关的组织机构,要明确责任部门,落实具体实施部门
3、做好信息资产分类与控制,达到员工安全、物理环境安全和业务连续性管理等
4、使用技术方法解决通信和操作安全、访问控制、系统开发与维护,以支撑安全目标、安全策略和安全内容的实施
5、实施检查安全管理与审计,主要用于检查安全措施的效果,评估安全措施执行的情况和实施效果
1.1.2、3个保障要求
1、安全运行组织应该包括主管领导、信息中心和业务应用等相关部门,领导是核心,信息中心是实体,业务部门是使用者
2、安全管理制度要 明确安全责任,制定安全管理细则,做到多人负责、任期有限、职责分离的原则
3、应急相应机制是主要有管理人员和技术人员共同参与的内部机制,要提出应急相应计划和程序,提供对安全事件的技术支持和指导,提供安全漏洞或隐患信息的分析和安全事件处理等相关培训
1.2、管理内容
1.2.1、组织控制
1、信息安全策略
2、信息安全角色与职责
3、职责分离
4、管理职责
5、威胁情报
6、身份管理
7、访问控制
1.2.2、人员控制
1、筛选
2、雇佣
3、信息安全意识与教育
4、保密和保密协议
5、远程办公
6、安全纪律
1.2.3、物理控制
1、物理安全边界
2、物理入口
3、物理安全监控
4、防范物理和环境威胁
5、设备选址和保护
6、存储介质
7、布线安全
8、设备维护
1.2.4、技术控制
1、用户终端设备
2、特殊访问权限
3、信息访问限制
4、访问源代码
5、身份验证
6、容量管理
7、恶意代码与软件防范
8、技术漏洞管理
9、配置管理
10、信息删除
11、数据屏蔽
12、数据泄露预防
13、网络安全
14、信息备份
1.3、管理体系
建立参考步骤
1、配备安全管理人员
2、建立安全职能部门
3、成立安全领导小组
4、主要负责人出任领导
5、建立信息安全保密管理部门
1.4、等级保护
1.4.1、安全等级保护划分
1.4.2、安全保护能力等级
1、应能够防护免收来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾害灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能
2、应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能
3、应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当程度的威胁所造成的主要资源损害,能够及时发现、检测攻击行为和处置安全事件,在自身遭到损害后,能够较快的恢复绝大部分功能
4、应能够在同一的安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、检测攻击行为和处置安全事件,在自身遭到损害后,能够迅速恢复所有功能
5、第五级(略)
1.4.3、等级保护“2.0”的核心内容
1、将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施
2、将网络基础设施、信息系统、网站、数据资源、云计算、物联网、移动互联网、工控系统、公众服务平台、智能设备等全部纳入等级保护和安全监管
1.4.4、等级保护“2.0”的技术变更
1、物理和环境安全实质性变更
2、网络和通信安全实质性变更
3、设备和计算安全实质性变更
4、应用和数据安全实质性变更
1.4.5、等级保护“2.0”的管理变更
1、安全策略和管理制度实质性变更
2、安全管理机构和人员实质性变更
3、安全建设管理实质性变更
4、安全运维管理实质性变更
2、信息安全系统
2.1、信息安全系统的体系架构及其组件
2.2、安全机制
2.2.1、基础设施安全
1、机房安全
2、场地安全
3、设施安全
4、动力系统安全
5、灾难预防与恢复
2.2.2、平台安全
1、操作系统漏洞检测与修复
2、网络基础设施漏洞检测与修复
3、通用基础应用程序漏洞检测与修复
4、网络安全产品部署
2.2.3、数据安全
1、介质与载体安全保护
2、数据访问控制
3、数据完整性
4、数据监控和审计
5、数据可用性
6、数据存储与备份安全
2.2.4、通信安全
1、通信线路和网络基础设施安全性测试与优化
2、安装网络加密设施
3、设置通信加密软件
4、设置身份鉴别机制
5、设置并测试安全通道
6、测试各项网络协议
7、运行漏洞
2.2.5、应用安全
1、业务软件的程序安全性测试(Bug分析)
2、业务交往的防抵赖测试
3、业务资源的访问控制验证测试
4、业务实体的身份鉴别检测
5、业务想吃的备份与恢复机制检查
6、业务数据的唯一性与一致性及防冲突检测
7、业务数据保密性测试
8、业务系统可靠性测试
9、业务系统可用性测试
2.2.6、运行安全
1、应急处置机制与配套服务
2、网络系统安全性检测
3、网络安全产品运行监测
4、定期检查和评估
5、系统升级和补丁提供
6、跟踪最新安全漏洞及通报
7、灾难恢复机制与预防
8、系统改造管理
9、网络完全专业技术咨询服务
2.2.7、管理安全
1、人员管理
2、培训管理
3、应用系统管理
4、软件管理
5、设备管理
6、文档管理
7、数据管理
8、操作管理
9、运行管理
10、机房管理
2.2.8、授权和审计安全
2.2.9、安全防范体系
1、预警(Warn)
2、保护(Protect)
3、检测(Detect)
4、反应(Response)
5、恢复(Recover)
6、反击(Counter-attack)
2.3、安全服务
2.3.1、对等实体认证服务
2.3.2、访问控制服务
2.3.3、数据保密服务
2.3.4、数据完整性服务
1、带恢复功能的连接方式数据完整性
2、不带恢复功能的链接方式数据完整性
3、选择字段链接方式数据完整性
4、选择字段无连接方式素具完整性
5、无连接方式数据完整性
2.3.5、数据源点认证服务
2.3.6、禁止否认服务
2.3.7、犯罪证据提供服务
3、工程体系架构
3.1、安全工程基础
3.2、ISSE-CMM基础
3.2.1、信息安全系统工程能力成熟度模型(ISSE-CMM),是一种衡量信息安全系统工程实施能力的方法,是使用面向工程过程的一种方法
3.2.2、度量标准
1、全生命周期,包括工程开发、运行、维护和终止
2、管理、组织和工程活动等的组织
3、与其他规范(如系统、软件、应用、人的因素、测试工程、系统管理、运行和运维等)并行的相互作用
4、与其他组织(包括获取、系统管理、认证、认可和评估组织)的相互作用
3.2.3、适用范围
1、过程组织
2、获取组织
3、评估组织
3.3、ISSE过程
3.3.1、目标
提供一个框架,每个工程项目都可以对这个框架进行剪裁以符合自己特有产品或服务定的需求
3.3.2、组成部分
3.3.3、过程工程
3.3.4、风险过程
3.3.5、保证过程
3.4、ISSE-CMM体系结构
3.4.1、域维/安全工程过程域
3.4.1.1、6个基本实施的特性
1、应用于整个组织生命周期
2、和其他BP互不覆盖
3、代表安全业界“最好的实施”
4、不是简单的反应当前技术
5、可在业务环境下以多种方法使用
6、不指定特定的方法或工具
3.4.1.2、11个安全工程过程域
PA01、实施安全控制
PA02、评估影响
PA03、评估安全风险
PA04、评估威胁
PA05、评估脆弱性
PA06、建立保证论据
PA07、协调安全
PA08、监控安全太
PA09、提供安全输入
PA10、确定安全需求
PA11、验证和证实安全
3.4.1.3、11个与项目和组织实施有关的过程域
PA12、保证质量
PA13、管理配置
PA14、管理项目风险
PA15、监测和控制技术工程项目
PA16、规划技术工程项目
PA17、定义组织的系统工程过程
PA18、改进组织的系统工程过程
PA19、管理产品线的演变
PA20、管理系统工程支持环境
PA21、提供不断更新的技能和知识
PA22、与供应商的协调
3.4.2、能力维/公共特性
3.4.2.1、非正规实施级别
执行基本实施
3.4.2.2、规划和跟踪级别
1、规划执行
2、规范化执行
3、验证执行
4、跟踪执行
3.4.2.3、充分定义级别
1、定义标准化过程
2、执行已定义的过程
3、协调安全实施
3.4.2.4、量化控制级别
1、建立可测度的质量目标
2、对执行情况实施客观管理
3.4.2.5、持续改进级别
1、改进组织能力
2、改进过程效能
3.4.3、能力级别
1、能力级别代表工程组织的成熟度级别的5级模型
2、能力级别的重点和能力特点
0 条评论
下一页
为你推荐
查看更多
