项管（十七）——信息系统安全管理

·计算机信息系统五个保护等级：

1、用户自主保护级，通过隔离用户数据，使用户具备自主安全保护能力。该级适用于普通内联网用户；

2、系统审计保护级，通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。适用于通过内联网或国际网进行商务活动，需要保密的非重要单位；

3、安全标记保护级，具有系统审计保护级的所有功能。此外，还需要提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记输出信息的能力；消除通过测试发现的任何错误。适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程单位等；

4、结构化保护级，建立于一个明确定义的形式安全策略模型之上，要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门，尖端科技企业集团、国家重点科研单位机构和国防建设部门；

5、访问验证保护级，用于国防关键部门和依法要对计算机信息系统实施特殊隔离的单位；

·信息系统安全三维模型：X轴是『安全机制』，Y轴是『OSI网络参考模型』，Z轴是『安全服务』；

·信息安全系统三种架构体系：

1、MIS+S系统：业务应用系统基本不变；硬件和系统软件通用；安全设备基本不带密码；

2、S—MIS系统：硬件和系统软件能用；PKI/CA安全保障系统必须带密码；业务应用系统必须根本改变；主要的能用硬件、软件也要通过PKI/CA认证；

3、S2-MIS系统：硬件和软件专用；PKI/CA安全基础设施必须带密码；业务应用系统必须根本改变。

·访问授权方案主要有四种：

1、DAC自主访问式：对每个用户指明能够访问的资源，对于不在指定的资源列表中的对象不允许访问。

2、ACL访问控制列表方式：目标资源拥有访问权限列表，指明允许哪些用户访问。

3、MAC强制访问控制方式：在军事和安全部门应用最多。访问者拥有包含等级列表的许可，其中定义了可以访问哪个级别的目标。

4、RBAC基于角色的访问控制方式：该模型首先定义一个组织内的角色，再根据管理规定给这些角色分配相应的权限，最后对组织内的每个人根据具体业务和职务分配一个或多个角色。

·网络安全审计主要内容：

1、监控网络内部的用户活动；

2、侦察系统中存在的潜在威胁；

3、对日常运行状况的统计和分析；

4、对突发案件和异常事件的事后分析；

5、辅助侦破和取证；

·审计Agent（代理）是直接同被审计网络和系统连接的部件，不同审计Agent完成不同功能。主要可以分为：网络监听型、系统嵌入型、主动信息获取型等；

·对称加密技术：IDEA（**长度128位）、DES（有效**长度56位）、3DES（有效**长度112位）；对称加密算法简单，**长度有限，加密强度不高，**分发困难，不易一对多的加密信息传递等；

·非对称加密技术：RSA。加密算法复杂，**长度任意，强度高，适宜一对多加密交换，但加解密速度慢，**管理复杂的缺点。