希賽小編為考生整理了2022年信息安全工程師考試知識(shí)點(diǎn)（三）：信息安全管理基礎(chǔ)，希望對(duì)大家備考信息安全工程師考試會(huì)有幫助。

【考法分析】

本知識(shí)點(diǎn)主要是對(duì)信息安全管理相關(guān)內(nèi)容的考查。

【要點(diǎn)分析】

1．信息安全的定義：保護(hù)信息系統(tǒng)的硬件，軟件及相關(guān)數(shù)據(jù)，使之不因?yàn)榕既换驉阂獾那址付馐芷茐模暮托孤?；保證信息系統(tǒng)中信息的機(jī)密性（Confidentiality），完整性（Integrity）和可用性（Availability）。

2．信息安全管理體系是信息安全管理活動(dòng)的直結(jié)果，可表示為策略，原則，目標(biāo)，方法，程序和資源等總的集合。

3．密碼管理，密碼除了用于信息加密外，也用于數(shù)據(jù)信息簽名和安全認(rèn)證。我國(guó)的商用密碼管理原則：統(tǒng)一領(lǐng)導(dǎo)，集中管理，定點(diǎn)研制，專(zhuān)控經(jīng)營(yíng)，滿(mǎn)足使用。

4．商用密碼的應(yīng)用領(lǐng)域十分廣泛，主要用于對(duì)不涉及密秘碼內(nèi)容但又具有敏感性的內(nèi)部信息，行政事物信息，經(jīng)濟(jì)信息等進(jìn)行加密保護(hù)。

5．《商用密碼管理?xiàng)l例》中所稱(chēng)商用密碼，是指對(duì)不涉及密碼內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。

6．商用密碼技術(shù)是商用密碼的核心，將商用密碼技術(shù)列入秘密，任何單位和個(gè)人都有責(zé)任和義務(wù)保護(hù)商用密碼技術(shù)的秘密。

7．密碼管理局公布了無(wú)線(xiàn)局域網(wǎng)產(chǎn)品須使用的系列密碼算法，包括：

① 對(duì)稱(chēng)密碼算法：SMS4；

② 簽名算法：ECDSA；

③ 密鑰協(xié)商算法：ECDH；

④ 雜湊算法：SHA-256；

⑤ 隨機(jī)數(shù)生成算法；自行選擇。

其中ECDSA和ECDH密碼算法須采用密碼管理制定的橢圓曲線(xiàn)和參數(shù)；這是國(guó)內(nèi)公布的第一個(gè)商用密碼算法系列。

8．網(wǎng)絡(luò)管理從功能上講一般包括配置管理，性能管理，安全管理，故障管理等；網(wǎng)絡(luò)管理最突出的特點(diǎn)是對(duì)網(wǎng)絡(luò)組成成分管理的統(tǒng)一性和遠(yuǎn)程性。是以保證網(wǎng)絡(luò)傳輸?shù)男阅芎桶踩詾榍疤岬摹?/p>

9．網(wǎng)絡(luò)管理體系結(jié)構(gòu)包括以下四個(gè)方面：

協(xié)議：因?yàn)镾NMP屬于應(yīng)用層

表示：適用面向?qū)ο笫降谋硎痉椒?/p>

安全：管理者和被管理者之間要有認(rèn)證和加密協(xié)議

對(duì)象：包括設(shè)備，各種協(xié)議，業(yè)務(wù)和交易過(guò)程

總體而言，網(wǎng)絡(luò)管理的4個(gè)確定性特征是：統(tǒng)一化，智能化，安全化和主動(dòng)化。

10．網(wǎng)絡(luò)管理的幾個(gè)主要開(kāi)發(fā)方向：網(wǎng)管系統(tǒng)，應(yīng)用性能管理，桌面管理，員工行為管理，安全管理。

11．網(wǎng)管系統(tǒng)：主要針對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)測(cè)，配置和故障診斷；通用軟件供應(yīng)商開(kāi)發(fā)的NMS系統(tǒng)試針對(duì)各個(gè)廠商網(wǎng)絡(luò)設(shè)備的通用網(wǎng)管系統(tǒng)。

12．應(yīng)用性能管理：

① 應(yīng)用性能管理師一個(gè)比較新的網(wǎng)絡(luò)管理方向，主要指對(duì)企業(yè)的關(guān)鍵業(yè)務(wù)應(yīng)用進(jìn)行監(jiān)測(cè)，優(yōu)化，提高企業(yè)應(yīng)用的可靠性和質(zhì)量，保證用戶(hù)得到良好的服務(wù)，降低IT總擁有成本。

② 應(yīng)用性能管理主要功能如下：監(jiān)測(cè)企業(yè)關(guān)鍵應(yīng)用性能；快速定位應(yīng)用系統(tǒng)性能故障；優(yōu)化系統(tǒng)性能。

13．桌面管理系統(tǒng)：由最終用戶(hù)的電腦組成，這些電腦運(yùn)行Windows，MAC系統(tǒng)。

14．員工行為管理：一部分是員工網(wǎng)上行為管理（EIM），另一部是員工桌面行為監(jiān)測(cè)。

15．安全管理：保障合法用戶(hù)對(duì)資源安全訪(fǎng)問(wèn)，防止病杜絕黑客蓄意攻擊和破壞。

16．設(shè)備安全管理包括設(shè)備的選型，檢測(cè)，安裝，等級(jí)，使用，維護(hù)和存儲(chǔ)管理等多方面的內(nèi)容。

17．《信息安全等級(jí)保護(hù)管理辦法》將信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：

第一級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民，法人和其他組織的合法權(quán)益造成損害，但不損害安全，社會(huì)秩序和公共利益。

第二級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)公民，法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害安全。

第三級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)安全造成損害。

第四級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)安全造成嚴(yán)重?fù)p害。

第五級(jí)：信息系統(tǒng)受到破壞后，會(huì)對(duì)安全造成特別嚴(yán)重?fù)p害。

《信息安全等級(jí)保護(hù)管理辦法》明確規(guī)定，在信息系統(tǒng)建設(shè)過(guò)程中，運(yùn)營(yíng)，使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》。

18．GB17859-1999標(biāo)準(zhǔn)規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)：

第一級(jí)：用戶(hù)自主保護(hù)級(jí)，通過(guò)隔離用戶(hù)與數(shù)據(jù)，使用戶(hù)具備自主安全保護(hù)的能力。

第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)，通過(guò)登錄規(guī)程，審計(jì)安全性相關(guān)事件和隔離資源，使用戶(hù)對(duì)自己的行為負(fù)責(zé)。

第三級(jí)：安全標(biāo)記保護(hù)級(jí)，具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能，還提供有關(guān)安全策略模型，數(shù)據(jù)標(biāo)記以及祖逖對(duì)客體強(qiáng)制性訪(fǎng)問(wèn)控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力，消除通過(guò)測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。

第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)，要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪(fǎng)問(wèn)控制擴(kuò)展到所有主體與客體。此外，還要考慮隱蔽通道。

第五級(jí)：訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)，滿(mǎn)足訪(fǎng)問(wèn)監(jiān)控器需求。訪(fǎng)問(wèn)監(jiān)控器仲裁主體對(duì)客體的全部訪(fǎng)問(wèn)。

19．涉密信息系統(tǒng)安全分級(jí)保護(hù)可以劃分為秘密級(jí)，機(jī)密級(jí)和機(jī)密級(jí)（增強(qiáng)），絕密級(jí)三個(gè)等級(jí)：

① 秘密級(jí)：不低于信息安全等級(jí)保護(hù)三級(jí)的要求

② 機(jī)密級(jí)：不低于信息安全等級(jí)保護(hù)四級(jí)的要求

屬于下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)選擇機(jī)密級(jí)（增強(qiáng)）的要求：副省級(jí)以上的黨政首腦機(jī)關(guān)，以及國(guó)防，外交，安全，軍工等要害部門(mén)；機(jī)密級(jí)信息含量較高或數(shù)量較多；使用單位對(duì)信息系統(tǒng)的依賴(lài)程度較高。

③ 絕密級(jí)：信息系統(tǒng)中包含有較高為絕密級(jí)的秘密，不低于信息安安等級(jí)保護(hù)五級(jí)的要求。

20．涉密信息系統(tǒng)分級(jí)保護(hù)的管理過(guò)程分為八個(gè)階段，即系統(tǒng)定級(jí)階段，安全規(guī)劃方案設(shè)計(jì)階段，安全工程實(shí)施階段，信息系統(tǒng)測(cè)評(píng)階段，系統(tǒng)審批階段，安全運(yùn)行及維護(hù)階段，定期評(píng)測(cè)與檢查階段和系統(tǒng)隱退終止階段等。

21．涉密信息系統(tǒng)定級(jí)遵循“誰(shuí)建設(shè)，誰(shuí)定級(jí)”的原則。

22．目前國(guó)內(nèi)外的趨勢(shì)都是用網(wǎng)絡(luò)隔離這個(gè)概念來(lái)代替物理隔離或安全隔離等；隔離技術(shù)的發(fā)展：

第一代隔離技術(shù)：完全地隔離

第二代隔離技術(shù)：硬件卡隔離

第三代隔離技術(shù)：數(shù)據(jù)傳播隔離

第四代隔離技術(shù)：空氣開(kāi)關(guān)隔離

第五代隔離技術(shù)：安全通道隔離

23．防火墻是最常用的網(wǎng)絡(luò)隔離手段；防火墻有一個(gè)很顯著的缺點(diǎn)：就是防火墻只能做網(wǎng)絡(luò)四層以下的控制，對(duì)于應(yīng)用層內(nèi)的病毒、蠕蟲(chóng)都沒(méi)有辦法。對(duì)于安全要求初級(jí)的隔離是可以的。

24．網(wǎng)閘的設(shè)計(jì)形象的借鑒了船閘的概念，設(shè)計(jì)采用“代理+擺渡”。不在河上架橋，可以設(shè)擺渡船，擺渡船不直接連接兩岸，安全性當(dāng)然要比橋好，即使是攻擊，也不可能一下就進(jìn)入，在船上總要收到管理者的各種控制。

25．網(wǎng)絡(luò)隔離技術(shù)的安全要點(diǎn)：

① 要具有高度的自身安全性；

② 要確保網(wǎng)絡(luò)之間是隔離的；

③ 要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)；

④ 要對(duì)網(wǎng)閘的訪(fǎng)問(wèn)進(jìn)行嚴(yán)格的控制和檢查；

⑤ 要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明。

網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對(duì)通信數(shù)據(jù)的控制，即通過(guò)不可路由的協(xié)議來(lái)完成網(wǎng)閘的數(shù)據(jù)交換。

26．安全監(jiān)控可以分為網(wǎng)絡(luò)安全監(jiān)控和主機(jī)安全監(jiān)控兩大類(lèi)。

27．信息安全風(fēng)險(xiǎn)評(píng)估，則是指依據(jù)有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理，傳輸和存儲(chǔ)的信息的保密性，完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程，它要評(píng)估信息系統(tǒng)的脆弱性，信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)；任何系統(tǒng)的安全性都可以通過(guò)風(fēng)險(xiǎn)的大小來(lái)衡量。

28．風(fēng)險(xiǎn)評(píng)估：指確定在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中每一種資源缺失或遭到破壞對(duì)整個(gè)系統(tǒng)造成的預(yù)計(jì)損失數(shù)量。

29．風(fēng)險(xiǎn)評(píng)估的過(guò)程：

① 確定資產(chǎn)

② 脆弱性和威脅分析

③ 制定及評(píng)估控制措施

④ 決策

⑤ 溝通與交流

⑥ 監(jiān)督實(shí)施

30．風(fēng)險(xiǎn)評(píng)估的方法：

① 典型的定量分析方法有因子分析法，聚類(lèi)分析法，時(shí)序模型，回歸模型，等風(fēng)險(xiǎn)圖發(fā)，決策樹(shù)法等。

② 典型的定性分析方法有因素分析法，邏輯分析法，歷史比較法，德?tīng)柗品ā?/p>

③ 定性與定量相結(jié)合的綜合評(píng)估方法。

④ 典型的風(fēng)險(xiǎn)評(píng)估方法：層次分析法，它的基本步驟是：系統(tǒng)分解→構(gòu)造判斷矩陣→層次總排序。

31．風(fēng)險(xiǎn)管理就是以可以接受的費(fèi)用識(shí)別，控制，降低或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過(guò)程。

32．降低風(fēng)險(xiǎn)的途經(jīng)：

① 避免風(fēng)險(xiǎn)

② 轉(zhuǎn)移風(fēng)險(xiǎn)

③ 減少威脅

④ 減少脆弱性

⑤ 減少威脅可能的影響

⑥ 檢測(cè)意外事件

風(fēng)險(xiǎn)接受是一個(gè)對(duì)殘留風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過(guò)程。