希賽小編為考生整理了2022年信息安全工程師考試知識點(diǎn)（三）：信息安全管理基礎(chǔ)，希望對大家備考信息安全工程師考試會有幫助。

【考法分析】

本知識點(diǎn)主要是對信息安全管理相關(guān)內(nèi)容的考查。

【要點(diǎn)分析】

1．信息安全的定義：保護(hù)信息系統(tǒng)的硬件，軟件及相關(guān)數(shù)據(jù)，使之不因?yàn)榕既换驉阂獾那址付馐芷茐模暮托孤?；保證信息系統(tǒng)中信息的機(jī)密性（Confidentiality），完整性（Integrity）和可用性（Availability）。

2．信息安全管理體系是信息安全管理活動(dòng)的直結(jié)果，可表示為策略，原則，目標(biāo)，方法，程序和資源等總的集合。

3．密碼管理，密碼除了用于信息加密外，也用于數(shù)據(jù)信息簽名和安全認(rèn)證。我國的商用密碼管理原則：統(tǒng)一領(lǐng)導(dǎo)，集中管理，定點(diǎn)研制，專控經(jīng)營，滿足使用。

4．商用密碼的應(yīng)用領(lǐng)域十分廣泛，主要用于對不涉及密秘碼內(nèi)容但又具有敏感性的內(nèi)部信息，行政事物信息，經(jīng)濟(jì)信息等進(jìn)行加密保護(hù)。

5．《商用密碼管理?xiàng)l例》中所稱商用密碼，是指對不涉及密碼內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。

6．商用密碼技術(shù)是商用密碼的核心，將商用密碼技術(shù)列入秘密，任何單位和個(gè)人都有責(zé)任和義務(wù)保護(hù)商用密碼技術(shù)的秘密。

7．密碼管理局公布了無線局域網(wǎng)產(chǎn)品須使用的系列密碼算法，包括：

① 對稱密碼算法：SMS4；

② 簽名算法：ECDSA；

③ 密鑰協(xié)商算法：ECDH；

④ 雜湊算法：SHA-256；

⑤ 隨機(jī)數(shù)生成算法；自行選擇。

其中ECDSA和ECDH密碼算法須采用密碼管理制定的橢圓曲線和參數(shù)；這是國內(nèi)公布的第一個(gè)商用密碼算法系列。

8．網(wǎng)絡(luò)管理從功能上講一般包括配置管理，性能管理，安全管理，故障管理等；網(wǎng)絡(luò)管理最突出的特點(diǎn)是對網(wǎng)絡(luò)組成成分管理的統(tǒng)一性和遠(yuǎn)程性。是以保證網(wǎng)絡(luò)傳輸?shù)男阅芎桶踩詾榍疤岬摹?/p>

9．網(wǎng)絡(luò)管理體系結(jié)構(gòu)包括以下四個(gè)方面：

協(xié)議：因?yàn)镾NMP屬于應(yīng)用層

表示：適用面向?qū)ο笫降谋硎痉椒?/p>

安全：管理者和被管理者之間要有認(rèn)證和加密協(xié)議

對象：包括設(shè)備，各種協(xié)議，業(yè)務(wù)和交易過程

總體而言，網(wǎng)絡(luò)管理的4個(gè)確定性特征是：統(tǒng)一化，智能化，安全化和主動(dòng)化。

10．網(wǎng)絡(luò)管理的幾個(gè)主要開發(fā)方向：網(wǎng)管系統(tǒng)，應(yīng)用性能管理，桌面管理，員工行為管理，安全管理。

11．網(wǎng)管系統(tǒng)：主要針對網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)測，配置和故障診斷；通用軟件供應(yīng)商開發(fā)的NMS系統(tǒng)試針對各個(gè)廠商網(wǎng)絡(luò)設(shè)備的通用網(wǎng)管系統(tǒng)。

12．應(yīng)用性能管理：

① 應(yīng)用性能管理師一個(gè)比較新的網(wǎng)絡(luò)管理方向，主要指對企業(yè)的關(guān)鍵業(yè)務(wù)應(yīng)用進(jìn)行監(jiān)測，優(yōu)化，提高企業(yè)應(yīng)用的可靠性和質(zhì)量，保證用戶得到良好的服務(wù)，降低IT總擁有成本。

② 應(yīng)用性能管理主要功能如下：監(jiān)測企業(yè)關(guān)鍵應(yīng)用性能；快速定位應(yīng)用系統(tǒng)性能故障；優(yōu)化系統(tǒng)性能。

13．桌面管理系統(tǒng)：由最終用戶的電腦組成，這些電腦運(yùn)行Windows，MAC系統(tǒng)。

14．員工行為管理：一部分是員工網(wǎng)上行為管理（EIM），另一部是員工桌面行為監(jiān)測。

15．安全管理：保障合法用戶對資源安全訪問，防止病杜絕黑客蓄意攻擊和破壞。

16．設(shè)備安全管理包括設(shè)備的選型，檢測，安裝，等級，使用，維護(hù)和存儲管理等多方面的內(nèi)容。

17．《信息安全等級保護(hù)管理辦法》將信息系統(tǒng)的安全保護(hù)等級分為以下五級：

第一級：信息系統(tǒng)受到破壞后，會對公民，法人和其他組織的合法權(quán)益造成損害，但不損害安全，社會秩序和公共利益。

第二級：信息系統(tǒng)受到破壞后，會對公民，法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害安全。

第三級：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對安全造成損害。

第四級：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對安全造成嚴(yán)重?fù)p害。

第五級：信息系統(tǒng)受到破壞后，會對安全造成特別嚴(yán)重?fù)p害。

《信息安全等級保護(hù)管理辦法》明確規(guī)定，在信息系統(tǒng)建設(shè)過程中，運(yùn)營，使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》。

18．GB17859-1999標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級：

第一級：用戶自主保護(hù)級，通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。

第二級：系統(tǒng)審計(jì)保護(hù)級，通過登錄規(guī)程，審計(jì)安全性相關(guān)事件和隔離資源，使用戶對自己的行為負(fù)責(zé)。

第三級：安全標(biāo)記保護(hù)級，具有系統(tǒng)審計(jì)保護(hù)級所有功能，還提供有關(guān)安全策略模型，數(shù)據(jù)標(biāo)記以及祖逖對客體強(qiáng)制性訪問控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力，消除通過測試發(fā)現(xiàn)的任何錯(cuò)誤。

第四級：結(jié)構(gòu)化保護(hù)級，要求將第三級系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。此外，還要考慮隱蔽通道。

第五級：訪問驗(yàn)證保護(hù)級，滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。

19．涉密信息系統(tǒng)安全分級保護(hù)可以劃分為秘密級，機(jī)密級和機(jī)密級（增強(qiáng)），絕密級三個(gè)等級：

① 秘密級：不低于信息安全等級保護(hù)三級的要求

② 機(jī)密級：不低于信息安全等級保護(hù)四級的要求

屬于下列情況之一的機(jī)密級信息系統(tǒng)應(yīng)選擇機(jī)密級（增強(qiáng)）的要求：副省級以上的黨政首腦機(jī)關(guān)，以及國防，外交，安全，軍工等要害部門；機(jī)密級信息含量較高或數(shù)量較多；使用單位對信息系統(tǒng)的依賴程度較高。

③ 絕密級：信息系統(tǒng)中包含有較高為絕密級的秘密，不低于信息安安等級保護(hù)五級的要求。

20．涉密信息系統(tǒng)分級保護(hù)的管理過程分為八個(gè)階段，即系統(tǒng)定級階段，安全規(guī)劃方案設(shè)計(jì)階段，安全工程實(shí)施階段，信息系統(tǒng)測評階段，系統(tǒng)審批階段，安全運(yùn)行及維護(hù)階段，定期評測與檢查階段和系統(tǒng)隱退終止階段等。

21．涉密信息系統(tǒng)定級遵循“誰建設(shè)，誰定級”的原則。

22．目前國內(nèi)外的趨勢都是用網(wǎng)絡(luò)隔離這個(gè)概念來代替物理隔離或安全隔離等；隔離技術(shù)的發(fā)展：

第一代隔離技術(shù)：完全地隔離

第二代隔離技術(shù)：硬件卡隔離

第三代隔離技術(shù)：數(shù)據(jù)傳播隔離

第四代隔離技術(shù)：空氣開關(guān)隔離

第五代隔離技術(shù)：安全通道隔離

23．防火墻是最常用的網(wǎng)絡(luò)隔離手段；防火墻有一個(gè)很顯著的缺點(diǎn)：就是防火墻只能做網(wǎng)絡(luò)四層以下的控制，對于應(yīng)用層內(nèi)的病毒、蠕蟲都沒有辦法。對于安全要求初級的隔離是可以的。

24．網(wǎng)閘的設(shè)計(jì)形象的借鑒了船閘的概念，設(shè)計(jì)采用“代理+擺渡”。不在河上架橋，可以設(shè)擺渡船，擺渡船不直接連接兩岸，安全性當(dāng)然要比橋好，即使是攻擊，也不可能一下就進(jìn)入，在船上總要收到管理者的各種控制。

25．網(wǎng)絡(luò)隔離技術(shù)的安全要點(diǎn)：

① 要具有高度的自身安全性；

② 要確保網(wǎng)絡(luò)之間是隔離的；

③ 要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)；

④ 要對網(wǎng)閘的訪問進(jìn)行嚴(yán)格的控制和檢查；

⑤ 要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明。

網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對通信數(shù)據(jù)的控制，即通過不可路由的協(xié)議來完成網(wǎng)閘的數(shù)據(jù)交換。

26．安全監(jiān)控可以分為網(wǎng)絡(luò)安全監(jiān)控和主機(jī)安全監(jiān)控兩大類。

27．信息安全風(fēng)險(xiǎn)評估，則是指依據(jù)有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理，傳輸和存儲的信息的保密性，完整性和可用性等安全屬性進(jìn)行科學(xué)評價(jià)的過程，它要評估信息系統(tǒng)的脆弱性，信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險(xiǎn)；任何系統(tǒng)的安全性都可以通過風(fēng)險(xiǎn)的大小來衡量。

28．風(fēng)險(xiǎn)評估：指確定在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中每一種資源缺失或遭到破壞對整個(gè)系統(tǒng)造成的預(yù)計(jì)損失數(shù)量。

29．風(fēng)險(xiǎn)評估的過程：

① 確定資產(chǎn)

② 脆弱性和威脅分析

③ 制定及評估控制措施

④ 決策

⑤ 溝通與交流

⑥ 監(jiān)督實(shí)施

30．風(fēng)險(xiǎn)評估的方法：

① 典型的定量分析方法有因子分析法，聚類分析法，時(shí)序模型，回歸模型，等風(fēng)險(xiǎn)圖發(fā)，決策樹法等。

② 典型的定性分析方法有因素分析法，邏輯分析法，歷史比較法，德爾菲法。

③ 定性與定量相結(jié)合的綜合評估方法。

④ 典型的風(fēng)險(xiǎn)評估方法：層次分析法，它的基本步驟是：系統(tǒng)分解→構(gòu)造判斷矩陣→層次總排序。

31．風(fēng)險(xiǎn)管理就是以可以接受的費(fèi)用識別，控制，降低或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。

32．降低風(fēng)險(xiǎn)的途經(jīng)：

① 避免風(fēng)險(xiǎn)

② 轉(zhuǎn)移風(fēng)險(xiǎn)

③ 減少威脅

④ 減少脆弱性

⑤ 減少威脅可能的影響

⑥ 檢測意外事件

風(fēng)險(xiǎn)接受是一個(gè)對殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評價(jià)的過程。