软考中级:第8章 信息安全工程 学习笔记
一、章节核心内容摘要
根据最新考纲及《系统集成项目管理工程师第3版章节占分比》分析,本章节 “第8章:信息安全工程” 在2024下半年至2025上半年(新大纲稳定期)的考查占分为 2~3 分。考查形式包含综合知识+案例分析。趋势分析指出,本章的重点内容主要集中在等保2.0、安全策略等。
【核心内容摘要】本章系统阐述了信息安全工程的体系建设。主要内容涵盖:信息安全管理(三分技术、七分管理,ISO/IEC 27000系列包含的组织、人员、物理、技术四大控制方面);等级保护(等保2.0的五个安全保护等级及对应的防护能力,技术与管理变更);信息安全系统(宏观三维空间架构:安全机制、OSI网络参考模型、安全服务,以及WPDRRC信息安全保障体系);信息安全系统工程体系架构(ISSE实施的三个过程:工程过程、风险过程、保证过程,以及衡量工程实施能力的ISSE-CMM五个成熟度级别)。
二、核心学习笔记
一、信息安全管理基础
信息安全管理贯穿信息安全的全过程和全生命周期,业界常说 “三分技术、七分管理”。
1. 安全管理保障要求(5项原则与3个方面)
五项原则:总体策划、建立组织、资产分控、使用技术、管理审计。
安全运行组织三个方面:
|
方面 |
核心内容 |
|
安全运行组织 |
领导是核心,信息中心是实体,业务部门是使用者 |
|
安全管理制度 |
多人负责、任期有限、职责分离 |
|
应急响应机制 |
由管理人员和技术人员共同参与的内部机制 |
2. ISO/IEC 27000 系列控制内容(4大控制领域)
|
控制领域 |
主要内容 |
|
组织控制 |
信息安全策略、角色职责、职责分离、威胁情报、项目信息安全等 |
|
人员控制 |
筛选(背景调查)、劳动合同与协议、教育和培训、惩戒程序、远程工作等 |
|
物理控制 |
物理安全边界、物理入口、防范物理和环境威胁、设备选址、桌面和屏幕清理等 |
|
技术控制 |
特殊访问权限、恶意代码与软件防范、技术漏洞管理、密码使用、网络隔离、备份等 |
二、网络安全等级保护(等保 2.0)重点
“等保 2.0” 将“信息系统安全”的概念扩展到了 “网络安全”。
1. 安全保护等级划分(5个级别)
【导图助记口诀】:“越来越严重。社会二三四;国家三四五。”
|
等级 |
损害程度 |
|
第一级 |
损害公民、法人合法权益,不损害国家安全、社会秩序和公共利益 |
|
第二级 |
严重损害公民、法人合法权益,或损害社会秩序和公共利益,不损害国家安全 |
|
第三级 |
严重损害社会秩序和公共利益,或对国家安全造成损害 |
|
第四级 |
特别严重损害社会秩序和公共利益,或对国家安全造成严重损害 |
|
第五级 |
对国家安全造成特别严重损害 |
2. 安全保护能力等级划分
【导图助记提示】:级别越高,防护能力越强。概括为:一级个人、二级小型组织、三级团体、四级国家级。
|
等级 |
防护能力描述 |
|
第一级 |
防个人、极少资源威胁、一般自然灾难。受损后能恢复部分功能 |
|
第二级 |
防外部小型组织、少量资源威胁。受损后能在一段时间内恢复部分功能 |
|
第三级 |
防外部有组织团体、较丰富资源威胁、较严重灾难。受损后能较快恢复绝大部分功能 |
|
第四级 |
防国家级/敌对组织、丰富资源威胁、严重灾难。受损后能迅速恢复所有功能 |
三、信息安全系统架构与防范体系
信息安全系统是独立的系统,保障业务应用信息系统正常运营。
1. 信息安全系统三维空间(XYZ轴)
由X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的 “安全空间”,具有认证、权限、完整、加密和不可否认五大属性。
|
轴 |
代表 |
内容 |
|
X轴 |
安全机制 |
提供安全服务的结构体系,包括基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系 |
|
Y轴 |
OSI网络参考模型 |
物理层至应用层七层结构 |
|
Z轴 |
安全服务 |
包括对等实体认证、访问控制、数据保密、数据完整性、数据源点认证、禁止否认、犯罪证据提供 |
2. 综合安全防范体系(WPDRRC模型)
核心是实现组织信息安全资源的综合管理(EISRM)。包含6项能力:
【记忆口诀】:预保检反恢反(预警、保护、检测、反应、恢复、反击)
|
能力 |
英文 |
含义 |
|
预警 |
Warn |
利用模拟攻击技术检查薄弱环节 |
|
保护 |
Protect |
采用加密、数字签名、访问控制、防火墙等技术 |
|
检测 |
Detect |
入侵检测、脆弱性检测、完整性检测等 |
|
反应 |
Response |
报警、跟踪和处理(封堵、隔离等) |
|
恢复 |
Recover |
容错、冗余、备份、替换等手段 |
|
反击 |
Counter-attack |
取证和依法打击 |
四、信息安全系统工程 (ISSE)
ISSE的目的是使安全风险降到最低或使其得到有效控制。
1. ISSE 实施的 3 个基本过程
|
过程 |
核心内容 |
|
工程过程 (Engineering Process) |
包括概念、设计、实现、测试、部署、运行等,需与其他系统工程组合作 |
|
风险过程 (Risk Process) |
有害事件由威胁、脆弱性和影响3个部分组成。如果不存在脆弱性和威胁,就不存在有害事件与风险。安全措施可减轻风险,但不可能消除所有威胁 |
|
保证过程 (Assurance Process) |
安全需求得到满足的可信程度。可信性的基础是工程组织的成熟性 |
2. ISSE-CMM 能力成熟度模型
ISSE-CMM 采用两维设计:一维是 “域”(Domain)即实施活动,另一维是 “能力”(Capability)。能力维分5个级别,依次表示增强的组织能力:
|
级别 |
名称 |
重点与能力特点 |
|
1级 |
非正规实施级 |
必须首先做它,然后才能管理它。仅执行了包含基本实施的过程 |
|
2级 |
规划和跟踪级 |
着重于项目层面的定义、规划和执行问题 |
|
3级 |
充分定义级 |
着重于规范化地裁剪组织层面的过程定义。用项目中学到的最好的东西来定义 |
|
4级 |
量化控制级 |
着重于测量 。当被测量的对象正确时,基于测量的管理才有意义 |
|
5级 |
持续改进级 |
以完备的管理实施、已定义的过程和可测量的目标为基础,强调文化转变 |
三、本章精选习题及详细解析
题目1:________不属于 CIA 三要素。
A. 可靠性
B. 保密性
C. 完整性
D. 可用性
答案:A
详细解析:CIA三要素通常指保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。可靠性不包含在CIA缩写内。
教材页码:第301页(本章练习题第1题)
题目2:在 ISO/IEC 27000 系列标准中,给出了以下几方面的控制:________。
A. 组织、战略、管理、实施
B. 组织、人员、物理、技术
C. 人员、过程、技术、资源
D. 机房、数据、系统、设备
答案:B
详细解析:在 ISO/IEC 27000 系列标准中,给出了组织、人员、物理和技术方面的控制参考,这些控制参考是组织需要策划、实施和监测信息安全管理的主要内容。
教材页码:第280页、第301页(本章练习题第2题)
题目3:《信息安全等级保护管理办法》将信息系统的安全保护等级分为________。
A. 3级
B. 4级
C. 5级
D. 6级
答案:C
详细解析:《信息安全等级保护管理办法》将信息系统的安全保护等级分为5级(第一级至第五级)。
教材页码:第287页、第302页(本章练习题第3题)
题目4:________不属于基础设施实体安全。
A. 机房安全
B. 场地安全
C. 动力系统安全
D. 数据安全
答案:D
详细解析:安全机制中的基础设施安全主要包括机房安全、场地安全、设施安全、动力系统安全、灾难预防与恢复等。数据安全是一个独立的分类,主要包括介质与载体安全保护、数据访问控制、数据完整性等。
教材页码:第291页、第302页(本章练习题第4题)
题目5:信息安全系统工程(ISSE)实施过程的组成部分包括:________。
A. 开发过程、测试过程、验收过程
B. 定义过程、实施过程、改进过程
C. 工程过程、风险过程、保证过程
D. 治理过程、管理过程、操作过程
答案:C
详细解析:ISSE将信息安全系统工程实施过程分解为工程过程 (Engineering Process)、风险过程 (Risk Process) 和保证过程 (Assurance Process) 3个基本的部分。
教材页码:第296页、第302页(本章练习题第5题)
题目6:根据等保2.0安全保护能力等级划分,应能够防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击,在自身遭到损害后,能够较快恢复绝大部分功能的,属于第________级安全保护能力。
A. 一级
B. 二级
C. 三级
D. 四级
答案:C
详细解析:第三级安全保护能力应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击。损害后能较快恢复绝大部分功能。(提示:“三级团体”)。第二级针对外部小型组织,第四级针对国家级别/敌对组织。
教材页码:第288页
题目7:反映信息安全系统体系架构及其组成的“宏观”三维空间图中,X轴、Y轴、Z轴分别代表________。
A. 物理层至应用层、安全机制、安全服务
B. 安全机制、OSI网络参考模型、安全服务
C. 安全服务、OSI网络参考模型、安全机制
D. 安全防范体系、网络设备、访问控制
答案:B
详细解析:宏观三维空间图中,X轴是“安全机制”(包含基础设施、平台、数据安全等);Y轴是“OSI网络参考模型”(物理层到应用层);Z轴是“安全服务”(如对等实体认证、访问控制等)。
教材页码:第291页(图8-1)
题目8:在综合的 WPDRRC 信息安全保障体系中,不包含以下哪项能力?
A. 预警 (Warn)
B. 保护 (Protect)
C. 控制 (Control)
D. 反击 (Counter-attack)
答案:C
详细解析:WPDRRC 模型包含6项能力:**预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack)**。不包含控制(Control)。
教材页码:第292页
题目9:在 ISSE 的风险过程中,一个有害事件由哪三个部分组成?
A. 威胁、脆弱性、影响
B. 人员、技术、管理
C. 资产、漏洞、攻击
D. 风险、概率、危害
答案:A
详细解析:在ISSE的风险过程中,一个有害事件由威胁、脆弱性和影响3个部分组成。如果不存在脆弱性和威胁,则不存在有害事件,也就不存在风险。
教材页码:第297页
题目10:在 ISSE-CMM 衡量信息安全工程实施能力的模型中,“着重于测量,且只有知道它是什么,才能测量它”描述的是哪个能力成熟度级别?
A. Level 2:规划与跟踪级
B. Level 3:充分定义级
C. Level 4:量化控制级
D. Level 5:持续改进级
答案:C
详细解析:Level 4(量化控制级) 的重点是着重于测量,测量是与组织业务目标紧密联系在一起的。其能力特点是“只有知道它是什么,才能测量它。当被测量的对象正确时,基于测量的管理才有意义”。
教材页码:第301页(表8-3 能力级别的重点与能力特点)
💡 备考小贴士(手机记忆版)
|
考点 |
速记 |
|
等保2.0等级 |
社会二三四;国家三四五 |
|
安全保护能力 |
一级个人、二级小型组织、三级团体、四级国家级 |
|
ISO 27000四大领域 |
组织、人员、物理、技术 |
|
信息安全三维空间 |
X安全机制、Y OSI模型、Z安全服务 |
|
WPDRRC六项能力 |
预警、保护、检测、反应、恢复、反击 |
|
ISSE三个过程 |
工程过程、风险过程、保证过程 |
|
ISSE-CMM 4级特征 |
着重于测量 |
把这些核心考点记牢,2-3分轻松到手,案例分析也能从容应对!
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
4
0- 0
已为社区贡献8条内容
所有评论(0)