很多考生在備考2022年系統(tǒng)集成項目管理工程師考試，希賽小編為大家整理了2022年系統(tǒng)集成項目管理工程師考試知識點：信息安全，供大家備考復習。

1.網(wǎng)絡安全

信息安全的基本要素有：

?機密性：確保信息不暴露給未授權的實體或進程。

?完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。

?可用性：得到授權的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權者的工作。

?可控性：可以控制授權范圍內(nèi)的信息流向及行為方式。

?可審查性：對出現(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。

信息系統(tǒng)安全產(chǎn)品如下：

①防火墻，通常被比喻為網(wǎng)絡安全的大門，用來鑒別什么樣的數(shù)據(jù)包可以進出企業(yè)內(nèi)部網(wǎng)。在應對黑客入侵方面，可以阻止基于IP包頭的攻擊和非信任地址的訪問。但傳統(tǒng)防火墻無法阻止和檢測基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵，同時也無法控制內(nèi)部網(wǎng)絡之間的違規(guī)行為。

②掃描器，可以說是入侵檢測的一種，主要用來發(fā)現(xiàn)網(wǎng)絡服務、網(wǎng)絡設備和主機的漏洞，定期的檢測與比較，發(fā)現(xiàn)入侵或違規(guī)行為留下的痕跡。當然，掃描器無法發(fā)現(xiàn)正在進行的入侵行為，而且它還有可能成為攻擊者的工具。

③防毒軟件是最為人熟悉的安全工具，可以檢測、清除各種文件型病毒、宏病毒和郵件病毒等。在應對黑客入侵方面，它可以查殺特洛伊木馬和蠕蟲等病毒程序，但對于基于網(wǎng)絡的攻擊行為（如掃描、針對漏洞的攻擊）卻無能為力。

④安全審計系統(tǒng)通過獨立的、對網(wǎng)絡行為和主機操作提供全面與忠實的記錄，方便用戶分析與審查事故原因，很像飛機上的黑匣子。

2.人員安全其中包括崗位安全考核與培訓

對信息系統(tǒng)崗位人員的管理，應根據(jù)其關鍵程度建立相應的管理要求。

（1）對安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、重要業(yè)務開發(fā)人員、系統(tǒng)維護人員和重要業(yè)務應用操作人員等信息系統(tǒng)關鍵崗位人員進行統(tǒng)一管理；允許一人多崗，但業(yè)務應用操作人員不能由其他關鍵崗位人員兼任；關鍵崗位人員應定期接受安全培訓，加強安全意識和風險防范意識。

（2）兼職和輪崗要求：業(yè)務開發(fā)人員和系統(tǒng)維護人員不能兼任或擔負安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員和重要業(yè)務應用操作人員等崗位或工作；必要時關鍵崗位人員應采取定期輪崗制度。

（3）權限分散要求：在上述基礎上，應堅持關鍵崗位“權限分散、不得交叉覆蓋”的原則，系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員不能相互兼任崗位或工作。

（4）多人共管要求：在上述基礎上，關鍵崗位人員處理重要事務或操作時，應保持二人同時在場，關鍵事務應多人共管。

（5）全面控制要求：在上述基礎上，應采取對內(nèi)部人員全面控制的安全保證措施，對所有崗位工作人員實施全面安全管理。

3.應用系統(tǒng)安全管理

應用系統(tǒng)運行中涉及的安全和保密層次包括系統(tǒng)級安全、資源訪問安全、功能性安全和數(shù)據(jù)域安全。這4個層次的安全，按粒度從大到小的排序是：系統(tǒng)級安全、資源訪問安全、功能性安全、數(shù)據(jù)域安全。程序資源訪問控制安全的粒度大小介于系統(tǒng)級安全和功能性安全兩者之間，是最常見的應用系統(tǒng)安全問題，幾乎所有的應用系統(tǒng)都會涉及這個安全問題。

4.安全保護等級

標準《計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）》規(guī)定了計算機系統(tǒng)安全保護能力的五個等級，即用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。計算機信息系統(tǒng)安全保護能力隨著安全保護等級的增高，逐漸增強。

《信息安全等級保護管理辦法》將信息系統(tǒng)的安全保護等級分為以下五級。

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害安全、社會秩序和公共利益。第一級信息系統(tǒng)運營、使用單位應當依據(jù)有關管理規(guī)范和技術標準進行保護。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，伯不損害安全。第二級信息系統(tǒng)運營、使用單位應當依據(jù)有關管理規(guī)范和技術標準進行保護。信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對安全造成損害。第三級信息系統(tǒng)運營、使用單位應當依據(jù)有關管理規(guī)范和技術標準進行保護。信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對安全造成嚴重損害。第四級信息系統(tǒng)運營、使用單位應當依據(jù)有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。

第五級，信息系統(tǒng)受到破壞后，會對安全造成特別嚴重損害。第五級信息系統(tǒng)運營、 使用單位應當依據(jù)管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。