信息安全的复习资料

1、1. 计算机病毒的类型： 系统病毒：感染特定类型的文件，破坏操作系统的完整性，破坏硬盘数据，破坏计算机硬件。病毒前缀为：win32，PE，Win95等。例如CIH病毒； 蠕虫病毒：利用操作系统漏洞进行感染和传播，产生大量垃圾流量，严重影响网络性能。病毒前缀：Worm，例如冲击波病毒； 木马病毒、黑客病毒：实现对计算机系统的非法远程控制、窃取包含敏感信息的重要数据，木马病毒前缀：Trojan，黑客病毒前缀为Hack.后门病毒：前缀：Backdoor，该类病毒的公有特性是通过网络传播，给系统开后门。其他：脚本病毒、宏病毒、玩笑病毒等。2. 三分技术、七分管理。引起信息安全问题的主要因素：技术因素

2、网络系统本身存在安全脆弱性；管理因素 组织内部没有建立相应的信息安全管理制度；据有关部分统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%是火灾、水灾等自然灾害引起的，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成的。简单的说，属于管理方面的原因比重高达70%以上，故而说“三分技术、七分管理”。3. 信息安全（Information Security）的特征：保密性(confidentiality)：保证信息只让合法用户访问；完整性(integrity)：保障信息及其处理方法的准确性、完全性；可用性(usability)：保证合法用户在需要时

3、可以访问到信息及相关资产；可控性、可靠性。4. 信息安全管理（ Information Security Management）：通过维护信息机密性、完整性和可用性，来管理和保护组织所有信息资产的一项体制，是信息安全治理的主要内容和途径，信息安全治理为信息安全管理提供基础的制度支持。其内容为信息安全管理体系的建立、风险评估、安全规划、项目管理、物理安全管理、信息安全培训。5. 信息安全管理的基本原则：分权制衡原则；最小特权原则； 选用成熟技术原则； 普遍参与原则；6. 信息安全管理体系（Information Security Management System, ISMS）：是一个系统化、程

4、序化和文件化的管理体系，属于风险管理的范畴，体系的建立基于系统、全面、科学的安全风险评估，以保障组织的技术和商业机密，保障信息的完整性和可用性，最终保持其生产、经营活动的连续性。7.8. PDCA过程管理模型：策划（plan）建立ISMS模型：根据组织的整体方针和目标，建立安全策略、目标以及管理风险和改进信息安全相关的过程和程序，以获得结果。实施（do）实施和运行ISMS:实施和运行安全策略、控制、过程和程序。检查（check）监视和评审ISMS：适用时，根据安全策略、目标和惯有经验评估和测量过程业绩，向管理层报告结果，进行审核。改进（act）改进和保持ISMS，根据内部ISMS审核和管理评审

5、或其他信息，采取纠正和预防措施，以实现ISMS的持续改进。9. 建立ISMS过程:定义信息安全政策（最高方针）；定义ISMS的范围；进行信息安全风险评估；确定管制目标选择管制措施；准备信息安全适用性申明。10. ISMS的符合性：与法律要求的符合性；符合安全方针、标准，技术符合性；信息系统审计的考虑。11. 信息安全管理体系认证的目的：获得最佳的信息安全运行方式；保证商业安全；降低风险，避免损失；保持核心竞争优势；提高商业活动中的信誉；增强竞争能力；满足客户需求；保证可持续发展；符合法律法规的要求；认证依据：BS7799-2:2002标准，ISO27001系列，ISO27001：2005;认证

6、流程：启动审核（提出申请、信息交流、受理申请），预审（模拟审核）；文件审核（检查组织所建立的文件化体系是否符合标准化要求，若未通过则需修改）；现场审核（审核计划：现场观察），获证并维持（注册、发证、定期复审、期满重新审核）12. 风险管理五要素：资产、威胁、弱点、风险、影响13. 风险管理：识别和控制机构面临的风险的过程。包括风险评估和风险控制两个内容。风险管理描述性定义：识别和评估资产及其价值。识别资产面临的威胁，评估威胁发生的可能性。识别资产中存在的弱点，评估被利用的容易程度。评估威胁事件发生的后果或影响。风险控制策略的选择。14. 基线评估：基线风险评估，组织根据自己的实际情况（所在行业

7、、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。优点：需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。缺点：基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全。此外，在管理安全相关的变化方面，基线评估比较困难。15. 风险评估自动化工具：COBRA （Consultative, Objective and Bi-functional Risk Analysis

8、）CRAMM （CCTA Risk Analysis and Management Method）ASSET ASSET（Automated Security Self-Evaluation Tool）NIST SpecialPublication 800-26CORA CORA（Cost-of-Risk Analysis）16. 资产识别：资产识别是风险评估的第一步，主要是确定机构的资产、有多大价值及资产的重要性，以保证资产有适当程度的保护 。最后应该形成一份资产清单。 资产评估：得到完整的信息资产清单后，组织应该对每种资产进行赋值。17. 威胁评估：识别资产面临的威胁后，还应该评估威胁发生

9、的可能性。组织应该根据经验或者相关的统计数据来判断威胁发生的频率或概率。 18. 弱点识别：组织应该针对每一项需要保护的信息资产，找到可被威胁利用的弱点； 弱点评估：考虑两个因素（严重程度；暴露程度，即被利用的容易程度）；可用“高”、“中”、 “低”三个等级来衡量。19. 现有措施识别与评估：威胁被利用成弱点，弱点引发威胁事件，从而造成影响。威慑性控制防止威胁，预防性控制保护弱点，检测性控制发现威胁性事件，纠正性控制减少影响。20. 风险识别与评估：两个关键因素: 威胁对信息资产造成的影响；威胁发生的可能性。21. 定量风险识别与评估：暴露因子（Exposure Factor，EF） 特定威胁

10、对特定资产造成损失的百分比，或者说损失的程度。单一损失期望（Single Loss Expectancy，SLE）即特定威胁可能造成的潜在损失总量。年度发生率（Annualized Rate of Occurrence，ARO） 即威胁在一年内估计会发生的频率。年度损失期望（Annualized Loss Expectancy，ALE）表示特定资产在一年内遭受损失的预期值。定量分析流程及公式 ：（1） 识别资产并为资产赋值；（2） 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0100%之间）； （3） 计算特定威胁发生的频率，即ARO；（4） 计算资产的SLE：S

11、LE = Asset Value EF（5） 计算资产的ALE：ALE = SLE ARO22. 风险评估矩阵：23. 风险控制策略与选择：24. 项目管理的优势：确保没有遗漏的步骤；缩短学习过程，提高效率；明确责任；增加项目被控制在约束范围内的可能性；简化对项目的监控；尽可能早发现质量、时间和预算的偏差；25. 信息安全转化策略：直接转化、分阶段实施、示范实施、并行操作。26. 信息安全项目计划的靶心模型：由内向外一次是政策、网络、系统、应用软件。27. 变更控制的作用：促进整个机构关于变更的控制；当变更按计划进行和完成时，提高机构内部团队之间的协调关系通过解决可能导致内部不协调变化的冲突和

12、矛盾因素，来减少对机构不利的事件；消除潜在的失败因素，加强团队合作，改善服务质量；管理层要确保所有团队都要遵从公司的技术监督、采购、会计和信息安全策略。28. Lewin变更模型：解冻现状，移动到新状态，重新冻结新变革使之持久。29. 访问控制的实现的三种类型：行政、逻辑技术或物理访问控制。行政访问控制是依照机构的安全性策略定义的策略和执行的过程，实现并加强全局的访问控制；逻辑性访问控制和技术性访问控制作为硬件或软件机制，可以用来管理对资源和系统的访问，并且提供对这些资源和系统的保护。物理访问控制作为物理屏障，可以用来保护对系统的直接访问。30. 主体对客体实际访问前需执行的步骤：标识、验证、

13、授权、责任衡量。31. 主要的访问控制方法：任意访问控制、强行访问控制、基于角色访问控制。32. 影响计算机电磁辐射强度的因素：功率和频率、距离因素、屏蔽状况。33. 计算机系统在实际应用中防泄漏的主要措施：选用低辐射设备；利用噪声干扰源；采取屏蔽措施；距离防护；利用微波吸收材料34. 国外的主要的TEMPEST标准：美国FCC标准、CISRP标准、德国VDE标准。35. 我国计算机安全管理组织4个层面：各部委计算机安全管理部门；各省计算机安全管理部门；各基层计算机安全管理部门以及经营单位；36. 安全组织的控制目标：在组织中管理信息安全，即应当建立适当管理构架，在组织内部启动和控制信息安全的

14、措施。37. 国际信息系统安全认证机构的两大认证：SSCP和CISSP。38. SCP认证提供的两种途径：SCNP(安全认证网络专业人员)和SCNA（安全认证网络设计师）。39. 安全事故与故障的反应过程：确保及时发现问题；对事故、故障、薄弱点作出迅速、有序、有效的响应，减少损失；从事故中吸取教训；建立惩罚机制；40. 软件安全：保证计算机软件的完整性及软件不会被破坏或泄露。 软件包括：系统软件、数据库管理软件、应用软件及相关资料。41. 软件选型应考虑的因素有：软件的适用性、软件开放性、软件开放性、软件商品化程度及使用的效果、软件的可靠性及可维护性、软件的性价比。42. 应用系统的可行性评估

15、分析内容：目标和方案的可行性、实现技术方面的可行性、实现技术方面的可行性、社会及经济可行性、操作和进度可行性。43. CMM能力成熟模型分类：44. 设备安全管理包括设备的选型、检测、安装、等记、使用、维修和储存管理等几个方面。45. 网线检测器和网线探测器的区别：基本的网线检查器只检查网线是否还能提供连接，一个好的网线检查器可以验证网线装备是否正确，有没有短路、裸露或缠绕。网线检查器不能检查光缆的连接。而网络探测器除了可测试网线的连接和错误外，还可以：确认网线不是太长；确定网线损坏的位置；测量网线的损坏率；测量网络的远近串扰；测量以太网网线的终端电阻的阻抗；按CAT3CAT5CAT6和CAT

16、7标准提供通断率。46. 防火墙：防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。也可以是是一台专属的硬件也可以是架设在一般硬件上的一套软件。使用防火墙的目的：（1）限制他人进入内部网络（2）过滤掉不安全的服务和非法用户（3）阻止入侵者进入内部网络（4）限定对特殊站点的访问（5）监视局域网的安全功能： (1） 访问控制功能 （2）内容控制功能（3）日志功能（4）集中管理功能（5）自身的安全和可用性分类： 1包过滤防火墙（屏蔽路由器） 2代理防火墙（双

17、宿堡垒主机） 3状态监测防火墙（屏蔽主机防火墙） 4复合式防火墙（屏蔽子网防火墙）47. 入侵检测：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。进行入侵检测的软件与硬件的组合便是入侵检测系统。按照分析方法（检测方法）：异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：假定所有入侵行为都能被检测到的特征，收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，

18、系统就认为这种行为是入侵特征检测模型：定义系统行为轮廓，并将系统行为与轮廓进行比较，对未指明为正常行为的行为定义为入侵。入侵检测相关的数学模型：实验模型（Operational Model）；平均值和标准差模型（Mean and Standard Deviation Model）；多变量模型（Multivariate Model）；马尔可夫过程模型（Markov Process Model）；时序模型（Time Series Model）；入侵检测响应机制：准备、检测、响应。48. 对称加密算法与非对称加密算法比较 ：密钥分配管理：对称加密算法需要管理的密钥多；安全方面： 公钥加密体系更具有优越性 对称加密技术不支持数字签名 公钥加密技术可以进行数字签名和验证速度：对称加密算法的速度较快；假设有n个用户，对称加