《CISP》信息安全保障

Posted 杰西啊杰西

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了《CISP》信息安全保障相关的知识,希望对你有一定的参考价值。

本系列是学习《CISP》中易混淆点的记录,文章顺序是按照教材讲解而定

目录

一、信息

特性:CIA(保密性、完整性、可用性)

  • 保密性C:确保信息没有非授权泄露,进行文件权限、访问控制列表、文件和卷加密
  • 完整性I:不被为授权方修改或删除,进行版本控制、备份、只读权限
  • 可用性A:数据、系统正常工作随时可用

二、信息安全

信息安全问题:系统性、动态性、开放性和互通性、非传统

态势感知SA:对时间或空间的环境因素和时间的理解,对意识的理解,以及在某些变量发生变化后的状态。是一种基于环境的、动态、整体地洞悉安全风险的能力。

三、信息安全发展阶段

1、通信安全阶段

保密成为核心安全需求,主要通过密码技术对通信内容进行加密,保证数据的保密性和完整性

现代:针对移动通信的伪基站、对通信链路的破坏和干扰

2、计算机安全阶段

世界上第一台通用计算机:ENIAC

计算机安全的主要目的是确保信息系统资产的CIA,通过操作系统的访问控制手段防止非授权用户的访问。

可信计算基评估准则TCSEC(橙皮书)
低——>高:D,C1,C2,B1,B2,B3,A1

3、信息系统安全阶段

信息系统安全是通信安全+计算机安全,确保信息系统的CIA
开始使用防火墙、防病毒、PKI、VPN等安全产品

《信息技术安全评估通用准则》CC(Common Criteria)
后转变为国际标准ISO/IEC 15408,我国等同采用此国际标准为国家标准GB/T 18336

4、信息安全保障阶段

信息安全保障把信息系统安全从技术扩展到管理,从静态扩展到动态,通过各种安全保障技术和安全保障管理措施的综合融合到信息化中,形成对信息、信息系统乃至业务以及使命的保障。

《关于加强信息安全保障工作的意见》,即27号文

  • 方针(总体要求):积极防御、综合防范
  • 主要原则:
    立足国情、以我为主、坚持管理与技术并重;
    正确处理安全与发展的关系,以安全保发展,在发展中求安全;
    统筹规划,突出重点,强化基础性工作;
    明确国家、企业、个人的责任与义务,充分发挥各方面积极性,共同铸建国家信息安全保障体系。

5、网络空间安全阶段

网络空间是信息环境中的一个整体域,它由独立且相互依存的信息基础设施和网络组成,包括互联网、电信网、计算机系统、嵌入式处理器和控制系统

《国家网络空间安全战略》:明确网络空间是国家安全的新疆域,已经成为与陆地、海洋、天空、太空等同中重要的人类活动新领域,国家主权拓展延伸到网络空间,网络空间主权成为国家主权的重要组成部分。

四、信息安全保障框架

1、基于时间的安全模型

(1)PDR模型(保护-检测-响应)

思想:承认信息系统中漏洞的存在
前提:任何安全防护措施都是基于时间的,超过改时间端,这种防护措施是可能被攻破的。
缺点:理想模型,难于适应网络安全环境的快速变化。
系统是安全的:Pt>Dt+Rt,防护时间>检测时间+响应时间

(2)PPDR模型/P2DR模型(策略-保护-监测-响应)

思想:所有的防护、监测、响应都是依据安全策略实施的
强调:控制和对抗
及时地检测和响应就是安全
考虑了管理因素,强调安全管理的持续性、安全策略的动态性

  • 策略:总体安全策略+具体安全策略
  • 防护:根据系统可能出现的安全问题采取的预防措施。数据加密、身份认证、访问控制、授权和虚拟专用网VPN,防火墙、安全扫描、数据备份
  • 监测:当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统互补,是动态响应的依据。审计
  • 响应:系统一旦检测到入侵,响应系统就开始工作进行事件处理。响应包括应急响应和恢复处理,恢复处理包括系统恢复和信息恢复。

Et=(Dt+Rt)-Pt

2、信息安全保障技术框架 IATF

采用一个多层次、纵深的安全措施来保障信息系统的安全
思想:纵深防御
核心要素:人、技术、操作(运行)

  • 人是信息安全保障的第一要素
  • 操作是将各方面技术结合在一起主动的过程,风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复…
  • 信息安全技术方案:从内而外、自上而下、从端到边界


四个焦点:网络和基础设施、区域边界】计算环境、支撑性基础设施(KMI、PKI)

五、信息系统安全保障评估模型

基础和前提:风险管理

模型:保障要素、生命周期、安全特征

安全保障的目的:信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的、工程安全保障目的

六、企业安全架构

1、舍伍德的应用安全架构 SABSA

六层级:背景、概念、逻辑、物理、组件、运营
资产(什么)、动技(为什么)、过程(如何)、人(谁)、地点(何地)、时间(何时)
生命周期:规划——设计——实施——管理度量(循环)

六、相关文件

中国:

  1. 《关于大力推进信息化发展和切实保障信息安全的若干意见》,即23号文
  2. 《网络安全法》
  3. 《国家网络安全空间战略》

以上是关于《CISP》信息安全保障的主要内容,如果未能解决你的问题,请参考以下文章

CISP 考试教材《第 7 章 知识域:信息安全支撑技术》知识整理

CISP 考试教材《第 3 章 知识域:信息安全管理》知识整理

cisp题库700道(带答案)

CISP 考试教材《第 8 章 知识域:物理与网络通信安全》知识整理

为什么说在国内考CISP比CISSP要好?

《CISP》软件安全开发