信息安全标准

前言：摘自信管网（https://www.cnitpm.com/dagang.html） 软考高级信管的考试范围 ------------------------------------------正文分割线--------------------------------- 考试科目1：信息系统项目管理综合知识 1．信息化和信息系统 1.1 信息系统及其技术和开发方法 1.1.1 信息系统基础 ·信息和信息系统的定义、特征或属性 ·信息系统的目标和构成 ·信息系统生命周期模型 1.1.2信息系统的设计和开发方法 1.1.3 常规信息系统集成技术 ·计算机网络技术（标准与协议、网络设备、网络接入、网络设计与规划、性能指标） ·服务器技术（体系结构、性能指标） ·存储技术 ·数据库技术（数据库管理系统、数据仓库） ·中间件技术 ·高可用性和高可靠性的规划与设计 1.1.4软件工程 ·软件工程及其生命周期 ·软件架构（定义、模式、分析与评估） ·面向对象的分析、设计与开发 ·软件工程的过程管理 ·软件配置管理 ·软件的质量管理及其评估 ·软件测试及其管理 ·软件集成技术与管理 1.1.5新一代信息技术 ·物联网 ·云计算 ·大数据 ·移动互联 ·大型信息系统 1.2信息系统安全技术 1.2.1 信息安全基础 ·信息安全的有关概念 ·信息加密、解密与常用算法 1.2.2信息系统安全

第一章 信息安全基础 信息安全概念、信息安全法律法规、信息安全管理基础、信息安全标准化知识。 1.1 信息安全概念 1.1.1 信息安全是信息时代永恒的需求 超级计算机、量子计算机、DNA计算机 1448量子位计算机可以攻破256椭圆曲线密码、2048量子位的量子计算机可以攻破1024位RSA密码。我国居民二代身份证是256位椭圆曲线密码。 密码破译的量子计算算法主要有： Grover算法 和 Shor算法 。 1.1.2 网络空间安全学科的内涵 Cyberspace： 信息空间、网络空间、网电空间、数字世界等。称之为赛博空间。 网络空间安全的核心内涵是信息安全。 信息安全主要包含：信息的 秘密性、完整性、可用性 。 信息安全科划分为四个层次： 设备安全、数据安全、内容安全、行为安全 。 网络空间安全学科是研究信息获取、信息存储、信息传输和信息处理领域中信息安全保障问题的一门新兴科学 。 1.1.3 网络空间安全学科的主要研究方向和研究内容 密码学： 对称密码、公钥密码、摘要函数、密码协议、新型密码、密钥管理、密码应用。 网络安全： 网络安全威胁、通信安全、协议安全、网络防护、入侵检测、入侵响应、可信网络。 信息系统安全： 信息系统的安全威胁、信息系统的硬件系统安全、信息系统的软件系统安全、访问控制、可信计算、信息系统安全等级保护、信息系统安全测评认证、应用信息系统安全。

三级信息安全技术考核内容： 信息安全保障概论、信息安全基础技术与原理、系统安全、网络安全、应用安全、信息安全管理、信息安全标准与法规。 形式： 完全采取上机考试形式。各科上机考试时间均为 120 分钟， 满分 100 分。 （1）单项选择题，50题，60分（1-40题每题1分，41-50每题2分）； （2）填空题，20题，20分； （3）综合应用题，3题，20分。 获证条件： 总分不低于 60 分。 成绩查询 考后 50 个工作日，考生可登录教育部考试中心综合查询网（chaxun.neea.edu.cn）进行成绩查询。 NCRE考试实行百分制计分，但以等第通知考生成绩。等第共分优秀、良好、及格、不及格四等。90－100分为优秀、80－89分为良好、60－79分为及格、0－59分为不及格。 —————————————————————————————————————————————— 考试时间： 目前一年四次，其中 3月和9月 考试开考全部级别全部科目，6月和12 月只开考一级和二级，由各省级承办机构根据实际情况确定是否开考6月和12月的考试。 报名资格 考生不受年龄、职业、学历等背景的限制。 报名时间 上半年报名一般在 11 月至第二年 1 月之间； 下半年报名一般在 5 月至 7 月之间。（具体时间由各省规定） ———————————————————————————————————

文章目录 三级信息安全技术考试大纲 基本要求 考试内容 一、信息安全保障概述 二、信息安全基础技术与原理 三、系统安全 四、网络安全 五、应用安全 六、信息安全管理 七、信息安全标准与法规 考试方式 三级信息安全技术考试大纲 基本要求 1.了解信息安全保障工作的总体思路和基本实践方法 　　2.掌握信息安全技术的基本概念、原理、方法和技术 　　3.熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能 　　4.掌握信息安全设备的安装、配置和使用的基本方法 　　5.了解信息系统安全设施部署与管理基本技术 　　6.了解信息安全风险评估和等级保护原理与方法 　　7.了解信息安全相关的标准、法律法规和道德规范 考试内容 一、信息安全保障概述 1.信息安全保障的内涵和意义 　　2.信息安全保障的总体思路和基本实践方法 二、信息安全基础技术与原理 1.密码技术 　　(1)对称密码与非对称密码 　　(2)哈希函数 　　(3)数字签名 　　(4)密钥管理 　　2.认证技术 　　(1)消息认证 　　(2)身份认证 　　3.访问控制技术 　　(1)访问控制模型 　　(2)访问控制技术 　　4.审计和监控技术 　　(1)审计和监控基础 　　(2)审计和监控技术 三、系统安全 1.操作系统安全 　　(1)操作系统安全基础 　　(2)操作系统安全实践 　　2.数据库安全 　　(1

基本概念 安全事件（Security Accident） 是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。 应急响应（Emergency Response） 是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。 应急响应是信息安全防护的最后一道防线！ 应急响应体系（Emergency Response System） 是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略和规程。 信息安全应急响应体系的制定是一个周而复始、持续改进的过程，包含以下几个阶段： 应急响应需求分析和应急响应策略的确定； 编制应急响应计划文档和技术管理规范； 应急响应计划的测试、培训、演练和维护。 应急响应目的 应急响应服务的目的是尽可能地减小和控制住网络安全事件的损失，提供有效的响应和恢复指导，并努力防止安全事件的发生。 政策要求 《关于加强信息安全保障工作的意见》（ 中办发『2003』27号文 ）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系， 重视信息安全应急处理工作 ，推动信息安全技术研发与产业发展，建设信息安全法制与标准” 国家信息安全战略的近期目标：通过五年的努力

1、加强企业工控系统态势感知平台建设，提升全天候，全方位态势感知能力，健全数据采集，追踪情报与大数据分析，检测预警，分析研判 ，应急处理。追踪溯源等平台功能的开发，加快退静工控系统安全防护核心技术的突破，研发工控系统登记保护检查工具，有效推动登记保护2.0标准的实施。 2、目前我国工业实践中对工控系统常用的防护手段主要包括玩那个罗安全测试工具，工控系统网络健壮性的测试工具，白名单技术，防火墙技术等 在工控安全上面很多传统安全的公司也开始注重工控安全的发展，像深信服集团，大象，六方，灯塔实验室等。还有一些事国企下属的全资安全公司专门负责工控系统的安全评估和审查工作。 3、工业控制系统安全扩展的要求 物理和环境安全：增加了对室外控制设备的安全防护要求，如放置控制设备的箱体或装置以及控制设备周围的环境； 网络和通信安全：增加了适配于工业控制系统网络环境的网络架构安全防护要求、通信传输要求以及访问控制要求，增加了拨号使用控制和无线使用控制的要求； 设备和计算安全：增加了对控制设备的安全要求，控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备，如PLC、DCS控制器等；安全建设管理：增加了产品采购和使用和软件外包方面的要求，主要针对工控设备和工控专用信息安全产品的要求，以及工业控制系统软件外包时有关保密和专业性的要求； 安全运维管理：调整了漏洞和风险管理

等级保护 　　《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级： 　　　　第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 　　　　第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。 　　　　第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。 　　　　第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。 　　　　第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务特殊需求进行保护

常用网络安全标准 /*--> */ /*--> */ All + All - 常用网络安全标准 + - 等级保护 《计算机信息系统安全保护等级划分准则》（GB 17859-1999） 《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019) 《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019) 《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019） 《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-2018） 《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2008) 《信息安全技术 网络安全等级保护测试评估技术指南》（GB/T 36627-2018） 《信息安全技术 网络安全等级保护安全管理中心技术要求》（GB/T 36958-2018） 《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》（GB/T 36959-2018） + - 风险评估 《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007） 《信息安全技术 信息安全风险评估实施指南》（GB/T 31509-2015） 《信息安全技术 信息安全风险处理实施指南》（GB/T 33132-2016） + - 应急响应 《信息安全技术 信息安全应急响应计划规范》（GB/T 24363-2009）