CISP思维导图高清pdf下载

一、信息安全保障
1、信息安全保障基础 2、安全保障框架
ISO对信息安全的定义
其他相关定义 美国法典中的定义
欧盟的定义
“为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不
因偶然的或恶意的原因而受到破坏、更改、泄露” 信息安全的定义
信息安全问题
狭义的信息安全概念
广义的信息安全问题
信息安全问题的根源及特征
信息安全问题的根源
信息安全的特征
系统性
动态性
无边界
非传统
威胁情报与态势感知
信息安全概念
信息安全属性
信息安全视角
基本属性
保密性
完整性
可用性
其他属性
真实性
可问责性
不可否认性
可靠性
国家视角
网络战
国家关键基础设施保护
法律建设与标准化
企业视角
个人视角
信息安全发展阶段
通信安全
计算机安全
信息系统安全
信息安全保障
网络空间安全
信息安全保障新领域
工业控制系统基本结构
分布式控制系统（DCS）
数据采集与监控系统（SCADA）
可编程逻辑控制器（PLC）
工业控制系统体系结构
工业控制系统安全威胁
缺乏足够安全防护
安全可控性不高
缺乏安全管理标准和技术
工业控制系统安全架构
管理控制
操作控制
技术控制
一是风险评价，二是规划，三是系统和服务采购，四是认证、认可和安全评价
人员安全、物理和环境保护、意外防范计划、配置管理、维护、系统和信息完整性、媒
体保护、事件响应、意识和培训
识别和认证、访问控制、审计和追责、系统和通信保护
云计算的安全风险
云计算安全架构
虚拟化安全
物联网基本概念
物联网安全威胁及安全架构
大数据安全
移动互联网安全问题及策略
移动互联网安全问题
安全策略
系统安全问题
移动应用安全问题
个人隐私保护问题
政策管控
应用分发管控
加强隐私保护要求
基于时间的PDR与PPDR模型
PDR模型思想 承认漏洞，正视威胁，采取适度防护、加强检测工作、落实响应、建立对威胁的防护来
保障系统的安全
PPDR模型核心思想 所有的防护、检测、响应都是依据安全策略实施
PDR
PPDR(（P2DR）
出发点：基于时间的可证明的安全模型
局限性：Pt、Dt、Rt很难准确定义
当Pt>Dt+Rt，系统是安全的
全新定义：及时的检测和响应就是安全 如果Pt < Dt + Rt 那么，Et=（Dt + Rt）- Pt
PPDR模型则更强调控制和对抗、考虑了管理的因素，强调安全管理的持续性、安全策
略的动态性等
信息保障技术框架（IATF）
美国国家安全局（NSA）制定，为保护美国政府和工业界的信息与信息技术设施提供技
术指南
核心思想：“深度防御”
三个核心要素
四个焦点领域
保护网络和基础设施
保护区域边界
保护计算环境
支持性基础设施
目标 使用信息保障技术确保数据在进人、离开或驻留客户机和服务器时具有保密性、完整性
和可用性
方法
使用安全的操作系统,
使用安全的应用程序
主机入侵检测
防病毒系统
主机脆弱性扫描
文件完整性保护
目标 对进出某区域（物理区域或逻辑区域）的
数据流进行有效的控制与监视。
方法
病毒、恶意代码防御
防火墙
人侵检测
远程访问
多级别安全
目标
方法
防止数据非法泄露
防止受到拒绝服务的攻击
防止受到保护的信息在发送过程中的时延、误传或未发送
骨干网可用性
无线网络安全框架
系统高度互联和虚拟专用网
目标 为安全保障服务提供一套相互关联的活动与基础设施
密钥管理基础设施（KMI）
检测和响应基础设施
提供一种通用的联合处理方式，以便安全地创建、分发和管理公钥证书和传统的对称密
钥，使它们能够为网络、区域和计算环境提供安全服务
能够迅速检测并响应入侵行为，需要入侵检测与监视软件等技术解决方案以及训练有素
的专业人员（通常指计算机应急响应小级（CERT））的支持。
安全原则与特点
安全原则
IATF特点
保护多个位置
分层防御
安全强健性
全方位防御、纵深防御将系统风险降到最低
信息安全不纯粹是技术问题，而是一项复杂的系统工程
提出“人”这一要素的重要性，人即管理
信息系统安全保障评估框架
基本概念
信息系统安全保障评估概念和关系
评估的描述
企业安全架构
信息系统保护轮廓（ISPP）
信息系统安全目标（ISST）
模型特点
将风险和策略作为信息系统安全保障的基础和核心
强调安全贯彻信息系统生命周期
强调综合保障的观念
基于信息系统生命周期的信息安全保障
信息系统的生命周期层面和保障要素层面不是相互
孤立的，而是相互关联、密不可分的。
在信息系统生命周期中的任何时间点上，都需要综
合信息系统安全保障的技术、管理、工程和人员保
障要素。
信息安全保障要素-信息安全技术
密码技术
访问控制技术
审计和监控技术
网络安全技术
操作系统技术
数据库安全技术
安全漏洞与恶意代码
软件安全开发
信息安全保障要素-信息安全管理 信息安全管理体系
风险管理
信息安全保障要素-信息安全工程
信息安全保障要素-信息安全人才
信息安全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以及产品的开
发、交付和升级。
信息安全保障诸要素中，人是最关键、也是最活跃的要素。网络攻防对抗，最终较量的
是攻防两端的人，而不是设备。
信息安全保障解决方案
什么是企业安全架构
常见企业安全架构
舍伍德的商业应用安全架构（Sherwood Applied Business Security Architecture，
SABSA）
Zachman框架
开放群组架构框架（The Open Group Architecture Framework，TOGAF）
企业安全架构
企业架构的一个子集
定义了信息安全战略、包括分层级的解决方案、流程和规程
确保安全工作以一个标准化和节省承办的方式与业务实践想结合
企业架构的一个子集，它定义了信息安全战略，包括各层级的解决方案、流程和规程，
以及它们与整个企业的战略、战术和运营链接的方式。
开发企业安全架构的主要原因是确保安全工作以一个标准化的和节省成本的方式与业务
实践相结合。
分层的模型，包括六个层级
狭建立在以IT技术为主的安全范畴
一个跨学科领域的安全问题
安全的根本目的是保证组织业务可持续性运行
信息安全应该建立在整个生命周期中所关联的人、事、物的基础上，综合考虑人、技
术、管理和过程控制，使得信息安全不是一个局部而是一个整体
安全要考虑成本因素
信息系统不仅仅是业务的支撑，而是业务的命脉
内因：信息系统复杂性导致漏洞的存在不可避免
外因：环境因素、人为因素
威胁情报
为管理人员提供行动和制定决策的依据
建立在大量的数据搜集和处理的基础上，通过对搜集数据的分析和评估，从而形成相应
的结论
威胁情报成为信息安全保障中的关键性能力
态势感知 建立在威胁情报的基础上
利用大数据和高性能计算为支撑，综合网络威胁相关的形式化及非形式化数据进行分
析，并形成对未来网络威胁状态进行预判以便调整安全策略
“一个民族国家为了造成损害或破坏而渗透另一个国家的计算机或网络的行动”
网络战其作为国家整体军事战略的一个组成部分已经成为趋势
2016年11月通过的《网络安全法》第三章第二节第三十一条定义了我国关键基础设
施，“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行
业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、
国计民生、公共利益的基础设施”为关键基础设施。
由互联网的开放、自由和共有的脆弱性，使国家安全、社会公共利益以及个人权利在网
络活动中面临着来自各方面的威胁，国家需要在技术允许的范围内保持适当的安全要
求。
所谓适度安全是指安全保护的立法的范围要和应用的重要性相一致，不要花费过多的成
本，限制信息系统的可用性。
信息安全风险具有“不可逆”的特点，需要信息安全法律采取以预防为主的法律原则。
但是由于信息安全威胁的全局性特点，其法律原则更应当采取积极主动的预防原则。
业务连续性 业务数据对组织的重要性使得组织必须关注业务连续性
资产保护
有什么
用来做什么
需要保护他们吗
合规性 法律法规的合规
标准的合规性
从个人角度而言，这不仅仅是一个技术问题，还是一个社会问题、法律问题以及道德问
题。
隐私保护
社会工程学
个人资产安全
个人信息资产问题思考
哪些信息资产被恶意利用后会形成人身的损害？
哪些信息资产被恶意利用后会形成财务的损失？
哪些信息资产被恶意利用后会形成法律责任？
20世纪，40年代-70年代
主要关注传输过程中的数据保护
安全威胁：搭线窃听、密码学分析
核心思想：通过密码技术解决通信保密，保证数据的保密性和完整性
安全措施：加密
20世纪，70-90年代
主要关注于数据处理和存储时的数据保护
安全威胁：非法访问、恶意代码、脆弱口令等
核心思想：预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用