索罗笔记-信息安全工程师-1.3.1信息安全管理
1.3 信息安全管理基础
1.3.1信息安全管理
1.3.2信息安全政策
1.3.3信息安全风险评估与管理
1.3.1信息安全管理
信息安全的定义(P25)、信息安全管理的内容
信息安全管理应当涉及信息安全的各个方面,包括制定信息安全策略、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全培训等一系列工作。
信息安全管理体系是信息安全管理活动的直接结果,可表示为策略、原则、目标、方法、程序和资源等总的集合。
信息安全管理体系可以从1、密码管理;2、网络管理;3、设备管理;4、人员管理等几个方面进行进一步描述。
1.3.1.1密码管理
密码除了用于信息加密外,也用于数据信息签名和安全认证。
我国的商用密码管理原则20字方针:“统一领导、集中管理、定点研制、专控经营、满足使用”。
商用密码:是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密。
(五星考点)国家密码管理局于2006年公布了“无线局域网产品须使用的系列密码算法”,包括:
对称密码算法:SMS4;
签名算法:ECDSA;
密钥协商算法:ECDH;
杂凑算法:SHA-256;
随机数生成算法:自行选择;
其中,ECDSA和ECDH密码算法须采用国家密码管理局指定的椭圆曲线和参数。
1.3.1.2网络管理
网络管理从功能上讲一般包括配置管理、性能管理、安全管理、故障管理等。
网络管理体系结构应该包括以下四个方面(三星考点)
- 协议:以SNMP为主
- 表示:适用面向对象式的表示方法。
- 安全:管理者和被管理者之间要有认证和加密协议。
- 对象:包括设备、各种协议、业务和交易过程。
总体而言,网络管理的四个确定性特征是:统一化、智能化、安全化和主动化。
1.3.1.3设备管理
设备安全管理包括设备的选型、检测、安装、登记、使用、维护和存储管理等多方面的内容。
1.3.1.4人员管理
人始终是影响信息系统安全的最大因素,人员管理也就成为信息系统安全管理的关键。
信息安全教育和培训的具体内容和要求因对象不同而不同,主要包括法规教育、安全技术教育和安全意识教育等。
法规教育是信息安全教育的核心。所有的信息系统相关人员都应该接受信息安全意识教育。