一、信息安全保障基礎(chǔ)

CISP相關(guān)文檔已經(jīng)上傳至Github：https://github.com/Double-q1015/cisp

• 1. 信息安全定義：
  • ISO 定義：通過技術(shù)和管理的手段防護(hù)信息系統(tǒng)不破壞、篡改等，掌握
    不同定義（數(shù)據(jù)安全、信息安全、通信安全、信息系統(tǒng)安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全）
    的使用場(chǎng)景。
  • 美國(guó)法典定義
  • 歐盟定義
• 2. 信息問題分類：狹義（技術(shù)）和廣義（業(yè)務(wù)）問題，根源包括內(nèi)因和外因。
• 3. 信息安全特征：系統(tǒng)、動(dòng)態(tài)、無邊界、非傳統(tǒng)。
• 4. 信息安全屬性（特征）：保密性、完整性和可用性（CIA）。

威脅情報(bào)：情報(bào)的主要作用是為管理人員提供行動(dòng)和制定決策的依據(jù)。
態(tài)勢(shì)感知（SA）：概念起源于20世紀(jì)80年代的美國(guó)空軍，指分析空戰(zhàn)環(huán)境信息，快速判斷當(dāng)前及未來形式并做出正確反應(yīng)。

信息系統(tǒng)安全保障要素：技術(shù)、管理、工程、人員
例題：

image.png

• 5. 信息安全視角：國(guó)家、企業(yè)、個(gè)人。
• 6. 信息安全發(fā)展：通信安全、計(jì)算機(jī)安全、信息系統(tǒng)安全、信息安全保障、網(wǎng)絡(luò)空間安全。
• 7. 網(wǎng)絡(luò)空間安全：學(xué)科、應(yīng)用和物理范圍上擴(kuò)展了；防御、情報(bào)和威懾三位一體的安全；
• 8.信息安全保障新領(lǐng)域：
  • a)工業(yè)控制系統(tǒng)安全
  • b)云計(jì)算安全與虛擬化
  • c)物聯(lián)網(wǎng)安全
  • d)大數(shù)據(jù)安全
  • e)移動(dòng)互聯(lián)網(wǎng)安全
  • f)智慧的世界（智慧/智能地球）
    例題：

image.png

二、信息安全保障框架

1. PPDR 模型

1）PPDR：策略、保護(hù)、檢測(cè)和響應(yīng)。
2）思想：填充安全間隙，安全在時(shí)間上連續(xù)性。
3）公式：Pt>攻擊時(shí)間>Dt+Rt, Et<=0；

2. IATF 模型

1）思想：深度防御。
2）三要素：人、技術(shù)、操作。
3）四個(gè)方面：本地計(jì)算環(huán)境、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施。
4）從內(nèi)而外 自上而下 從端到邊界的防御
例題：

image.png

3. 保障評(píng)估框架
   1）內(nèi)容：安全保障對(duì)象的全生命周期中通過人、技術(shù)、管理和工程實(shí)現(xiàn)保密、完整和可用，
   最終服務(wù)于業(yè)務(wù)使命。
   2）流程：ISPP->ISST->建設(shè)->評(píng)估（TCML1-5,MCML1-5,ECML1-5）。
   3）ISPP：標(biāo)準(zhǔn)化信息系統(tǒng)安全需求；ISST：標(biāo)準(zhǔn)化信息系統(tǒng)安全設(shè)計(jì)方案。
4. 商業(yè)應(yīng)用架構(gòu)（SABSA）
   1）出發(fā)：業(yè)務(wù)安全和業(yè)務(wù)風(fēng)險(xiǎn)為出發(fā)點(diǎn)，為組織架構(gòu)建設(shè)和安全提供方法和流程。
   2）內(nèi)容：背景（業(yè)務(wù)）、概念（架構(gòu)）、邏輯（設(shè)計(jì)）、物理（工程）、組件（實(shí)施）、運(yùn)營(yíng)
   （運(yùn)維）。
   3）階段：規(guī)劃、設(shè)計(jì)、實(shí)施、管理和測(cè)量（PDCA,計(jì)劃、實(shí)施、檢查、改進(jìn)）
   例題：

image.png

三、信息安全工作流程

1. 需求：來源要全面（合規(guī)、業(yè)務(wù)、風(fēng)險(xiǎn)評(píng)估），建議使用 ISPP 的方法。
2. 設(shè)計(jì)：建議使用 ISST 的方法。
3. 工程：建議使用 SW-CMM\CMMI\ISO/IEC 21827 SSE-CMM（分為 1-5 級(jí)）方法。

4. 測(cè)評(píng)：產(chǎn)品 CC 標(biāo)準(zhǔn)（ISO/IEC 15408,GB/T 18336）EAL1-7；信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng) 1-5；
   工程服務(wù)商 1-5（SSE-CMM）；人員測(cè)評(píng)（NISP/CISM/CISP 等）。

   
   
   image.png
   
   

   例題：

image.png

5. 運(yùn)維：主要方法是風(fēng)險(xiǎn)管理。
6. 廢棄。

四、安全保障新領(lǐng)域

1. 云計(jì)算安全：IaaS\PaaS\SaaS。核心問題是開源工具。
2. 物聯(lián)網(wǎng)安全：感知、傳輸、支撐、應(yīng)用。核心問題是感知和傳輸安全問題。
3. 移動(dòng)互聯(lián)網(wǎng)安全：核心問題是系統(tǒng)和芯片。
4. 大數(shù)據(jù)安全：海量、高速、多變、多樣性，GDPR 作為關(guān)注。大數(shù)據(jù)自身的安全和大數(shù)據(jù)平臺(tái)的安全。