信息安全的复习资料

1.计算机病毒的类型：

①系统病毒：感染特定类型的文件，破坏操作系统的完整性，破坏硬盘数据，破坏计算机硬件。病毒前缀为：win32，PE，Win95等。例如CIH病毒；

②蠕虫病毒：利用操作系统漏洞进行感染和传播，产生大量垃圾流量，严重影响网络性能。病毒前缀：Worm，例如冲击波病毒；

③木马病毒、黑客病毒：实现对计算机系统的非法远程控制、窃取包含敏感信息的重要数据，木马病毒前缀：Trojan，黑客病毒前缀为Hack.

④后门病毒：

前缀：Backdoor，该类病毒的公有特性是通过网络传播，给系统开后门。

其他：脚本病毒、宏病毒、玩笑病毒等。

2.三分技术、七分管理。

引起信息安全问题的主要因素：

技术因素网络系统本身存在安全脆弱性；

管理因素组织内部没有建立相应的信息安全管理制度；

据有关部分统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%是火灾、水灾等自然灾害引起的，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成的。简单的说，属于管理方面的原因比重高达70%以上，故而说“三分技术、七分管理”。

3.信息安全（Information Security）的特征：

①保密性(confidentiality)：保证信息只让合法用户访问；

②完整性(integrity)：保障信息及其处理方法的准确性、完全性；

③可用性(usability)：保证合法用户在需要时可以访问到信息及相关资产；

④可控性、可靠性。

4.信息安全管理（Information Security Management）：通过维护信息机密性、完整性和可用性，来管理和保护组织所有信息资产的一项体制，是信息安全治理的主要内容和途径，信息安全治理为信息安全管理提供基础的制度支持。其内容为信息安全管理体系的建立、风险评估、安全规划、项目管理、物理安全管理、信息安全培训。

5.信息安全管理的基本原则：

①分权制衡原则；

②最小特权原则；

③选用成熟技术原则；

④普遍参与原则；

6.信息安全管理体系（Information Security Management System, ISMS）：是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立基于系统、全面、科学的安全风险评估，以保障组织的技术和商业机密，保障信息的完整性和可用性，最终保持其生产、经营活动的连续性。

7.

8.PDCA过程管理模型：

策划（plan）建立ISMS模型：根据组织的整体方针和目标，建立安全策略、目标以及管理风险和改进信息安全相关的过程和程序，以获得结果。

实施（do）实施和运行ISMS:实施和运行安全策略、控制、过程和程序。

检查（check）监视和评审ISMS：适用时，根据安全策略、目标和惯有经验评估和测量过程业绩，向管理层报告结果，进行审核。

改进（act）改进和保持ISMS，根据内部ISMS审核和管理评审或其他信息，采取纠正和预防措施，以实现ISMS的持续改进。

9.建立ISMS过程:定义信息安全政策（最高方针）；定义ISMS的范围；进行信息安全风险评估；确定管制目标选择管制措施；准备信息安全适用性申明。

10.ISMS的符合性：与法律要求的符合性；符合安全方针、标准，技术符合性；信息系统审计的考虑。

11.信息安全管理体系认证的目的：

①获得最佳的信息安全运行方式；

②保证商业安全；

③降低风险，避免损失；

④保持核心竞争优势；

⑤提高商业活动中的信誉；

⑥增强竞争能力；

⑦满足客户需求；

⑧保证可持续发展；

⑨符合法律法规的要求；

认证依据：BS7799-2:2002标准，ISO27001系列，ISO27001：2005;

认证流程：

启动审核（提出申请、信息交流、受理申请），预审（模拟审核）；

文件审核（检查组织所建立的文件化体系是否符合标准化要求，若未通过则需修改）；

现场审核（审核计划：现场观察），获证并维持（注册、发证、定期复审、期满重新审核）

12.风险管理五要素：资产、威胁、弱点、风险、影响

13.风险管理：识别和控制机构面临的风险的过程。包括风险评估和风险控制两个内容。

风险管理描述性定义：

①识别和评估资产及其价值。

②识别资产面临的威胁，评估威胁发生的可能性。

③识别资产中存在的弱点，评估被利用的容易程度。

④评估威胁事件发生的后果或影响。

⑤风险控制策略的选择。

14.基线评估：基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。

优点：需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。

缺点：基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全。此外，在管理安全相关的变化方面，基线评估比较困难。

15.风险评估自动化工具：

①COBRA （Consultative, Objective and Bi-functional Risk Analysis）

②CRAMM （CCTA Risk Analysis and Management Method）

③ASSET ——ASSET（Automated Security Self-Evaluation Tool）

④NIST SpecialPublication 800-26

⑤CORA ——CORA（Cost-of-Risk Analysis）

16.资产识别：资产识别是风险评估的第一步，主要是确定机构的资产、有多大价值及资产的重要性，以保证资产有适当程度的保护。最后应该形成一份资产清单。

资产评估：得到完整的信息资产清单后，组织应该对每种资产进行赋值。

17.威胁评估：识别资产面临的威胁后，还应该评估威胁发生的可能性。组织应该根据经验或者相关的统计数据来判断威胁发生的频率或概率。

18.弱点识别：组织应该针对每一项需要保护的信息资产，找到可被威胁利用的弱点；

弱点评估：考虑两个因素（严重程度；暴露程度，即被利用的容易程度）；可用“高”、“中”、“低”三个等级来衡量。

19.现有措施识别与评估：威胁被利用成弱点，弱点引发威胁事件，从而造成影响。威慑性控制防止威胁，预防性控制保护弱点，检测性控制发现威胁性事件，纠正性控制减少影响。

20.风险识别与评估：两个关键因素: 威胁对信息资产造成的影响；威胁发生的可能性。

21.定量风险识别与评估：

①暴露因子（Exposure Factor，EF）——特定威胁对特定资产造成损失的百分比，或者说损失的程度。

②单一损失期望（Single Loss Expectancy，SLE）——即特定威胁可能造成的潜在损失总量。

③年度发生率（Annualized Rate of Occurrence，ARO）——即威胁在一年内估计会发生的频率。

④年度损失期望（Annualized Loss Expectancy，ALE）——表示特定资产在一年内遭受损失的预期值。

定量分析流程及公式：

（1）识别资产并为资产赋值；

（2）通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值在