信息安全体系结构知识点
体系结构分为硬件体系结构和软件体系结构
硬件体系结构通常包含了计算机组成原理与设计、计算机系统结构、数字逻辑与数字电路等一系列内容
硬件体系结构的定义由计算机科学中的计算机体系结构发展而来。
软件体系结构指软件系统在其分析和设计过程中确立的系统中基本元素相互作用的方式。 体系结构有六种基本的模式:(1) 管道和过滤器(2) 数据抽象和面向对象(3) 事件驱动(4) 分层次(5) 知识库(6) 解释器
填空:
借鉴软件工程中的相关知识,对体系结构的描述经常采用视图的方法,并且主要有三类视图,即物理视图、逻辑视图和概念视图。
通用数据安全体系结构(CDSA)
国际标准化组织和国际电工委员会提出了“OSI安全体系结构”
五个基本信息安全属性:可用性、完整性、机密性、可认证性、不可否认性
四个动态信息安全环节:保护、检测、响应、恢复
信息安全三要素:人、技术、管理
信息安全三要素相互关系:相辅相成,缺一不可(简答)
数据安全主要关注信息系统中存储、传输和处理等过程中的数据的安全性,
数据安全目的是实现数据的机密性、完整性、可控性、不可否认性,数据备份和恢复。 信息安全体系结构的设计遵循的六项基本原则:1. 需求明确2. 代价平衡3. 标准优先4. 技术成熟5. 管理跟进6. 综合防护
安全策略分为管理性安全策略和技术性安全策略
管理性安全策略?
密码服务系统由密码芯片、密码模块、客户端密码服务设备、服务器端密码服务设备等组成。
(选)密码服务技术要求:1. 安全要求(1) 采用可信计算机。(2) 具备设备安全和敏感信息保护机制。 (3) 关键设备的真实性鉴别。(4) 具备完善的密钥管理机制。 (5) 符合工业标准。 (6) 提供日志审计及统计服务。(7) 支持监测响应系统的统一监测。(8) 支持安全管理系统的统一管理。
2. 功能要求 (1) 密钥管理服务。(2) 数字证书管理服务。 (3) 数字证书运算:提供数字证书签发和验证等基本的证书运算服务功能。(4) 数据加解密运算。(5) 数字签名运算(6)数字信封(7)信息摘要和完整性验证
密钥管理基础设施(KMI)
公开密钥基础设施(PKI)
密钥管理系统由密钥管理服务器、管理终端、数据库服务器、密码服务系统等组成
密钥管理系统又由密钥生成子系统、密钥库子系统、密钥恢复子系统、密钥管理子系统和管理终端组成
认证由数字证书认证机构(CA)、数字证书审核注册中心(RA)、密钥管理中心(KMC)、目录服务系统、可信时间戳系统组成。
LDAP:轻量级目录访问协议
PKI:公开密钥基础设施
证书LDAP 服务器和OCSP 服务器,提供包括各类证书发布、CRL 发布和证书状态在线查询服务。
认证体系基本模型:1树状模型,2. 信任链模型3. 网状模型
(选)CA 结构:证书管理模块,密钥管理模块,注册管理模块
(简,填)证书查询验证服务系统的应用模式
当客户端访问服务端应用时,需要向服务器证明其合法身份。
客户端会提交能够证明用户身份的身份证书,证书查询验证服务就会验证用户证书的颁发机构是否可信、证书的签名是否有效、证书是否过期。
这些验证都通过后,证书查询验证服务器系统就会去LDAP 服务器或者OCSP 服务器请求验证用户证书是否已经被吊销。OCSP 会返回“有效、无效、未知”三种状态,应用服务器根据返回结果来验证用户的真实身份。
(简,填)容灾备份包括系统备份和数据备份。
病毒主要通过:SMTP,HTTP,FTP 进行入侵
(简)通用入侵检测框架(CIDF )定义的入侵检测系统构件:1事件构件2响应构件3分析构件4数据库构件5目录服务构件
(简)入侵检测系统分为基于主机的、基于网络的和基于代理的入侵检测系统。 (填)检测方法分成:1、异常入侵检测2、误用检测
无线局域网:WLAN
无线局域网安全保障性的技术措施六种: 1、服务区标识符匹配2、无线网卡物理地址过滤
入侵检测系统:IDS
(选)3、有线等效保密4、端口访问控制技术和可扩展认证协议5、WPA 技术6、高级的无线局域网安全标准——IEEE 802.11i
(选)IDS 存在的问题,局限性主要有: 1、误报(误警) 率高2、产品适应能力低3、大型网络的管理存在缺陷4、主动防御功能不足5、处理速度上的瓶颈6、评价IDS 产品没有统一的标准
(简,填)入侵检测系统发展趋势:1、智能关联2、告警泛滥抑制3、告警融合4、可信任防御模型
(简,填)防火墙的类型或者其表现形式主要有四种:1嵌入式防火墙2软件防火墙3硬件防火墙4应用程序防火墙
(简)防火墙技术有:静态分组过滤、动态分组过滤、状态过滤和代理服务器
(选)路由器缺点(局限)1安装复杂2不支持非路由协3议价格高
路由器优点1适用于大规模的网络2能更好的处理多媒体3安全性高4隔离不需要的通信量5节省带宽6减少主机负担
安全网关的未来发展特点(发展趋势):1、结合专用操作系统2、硬件化和芯片化3、硬件平台多样化4、基于通用CPU 的X86架构
(简,选)IPSec VPN和SSL VPN对比:
VPN 发展趋势:1、结合目录服务功能2、实现QoS3、安全性
国内市场上的杀毒软件缺点,局限:1、对新病毒和变种病毒的识别和杀除能力较差2、系统资源占用较高3、杀毒和监测引擎不够成熟稳定,系统实时监测的速度太慢4、与某些操作系统的兼容性低
(选)密码机功能模块:1硬件加密部件2密钥管理菜单3密码机后台进程4密码机监控程序和后台监控进程
(论述)两种不同的PKI 开发模式:1面向产品的开发模式2面向服务的开发模式。 面向产品的开发模式:自建PKI/CA模式,指的是企业购买整套的PKI/CA软件,然后自行建立一整套相关的服务体系。
面向服务的开发模式:购买PKI/CA服务的模式,指的是企业利用第三方CA 服务提供商的集成PKI 平台,通过配置和管理,将企业端的前台与第三方高可靠性、高安全性的PKI 后台组合在一起,对外提供证书服务。
P133??????
(填)安全运营管理是面向信息系统运行阶段的安全服务产品
国际标准化组织ISO
IEC 国际电子技术协会
(填)标准化组织最重要的是ISO,IEC, 此外还有OMG 对象管理组织ITU 国际电信联合会,IETF 互联网工程任务组,ECMA 欧洲电脑厂商协会, IEEE电气与电子工程师协会.
(简)风险评估进行步骤:1资产识别与估价,2威胁识别与评价,3脆弱性4对已有的安全控制进行确认,5确定风险大小与等级(风险评估)
(选)信息安全管理体系背景?????p174
人员能力成熟度模型(P-CMM )
(简)人员能力成熟度划分为5个级别:1初始级2可管理级3可定义级4可预知级5优化级
(选)标准的P-CMM 评价方法分为4个人阶段:1准备阶段2问卷调查阶段3评价阶段4报告阶段