品信股票网-信息安全工程师-重磅!信息安全工程师自学宝典第一波 信息安全工程师

重磅!信息安全工程师自学宝典第一波 信息安全工程师

发布时间:2019-09-26 15:00 来源:PMP大神点击 :
信息安全工程师?
原文标题:重磅!信息安全工程师自学宝典第一波
原文发布时间:2019-03-14 10:13
原文作者:PMP大神。
如果您喜欢本文,请关注头条号【PMP大神】阅读更多相关文章。
如果您是本文作者,不希望我们转载此文,请联系我们删除。

每天2个考点,助您自学通过软考!

第一章

信息安全基础

考点1、信息安全概念

【考法分析】

本考点主要是对信息安全技术相关概念的考查。

【要点分析】

1.我国居民二代身份证正在使用256位的椭圆曲线新密码;国内外的许多电子商务系统正在使用1024位的RSA密码,与量子计算机类似,DNA计算机也是并行计算的,因此同样对现有密码构成严重的潜在威胁,目前可用于密码破译的量子计算算法主要有Grover算法和Shor算法。

2.在量子计算环境下,RSA,EIGamal,ECC公钥密码和DH密钥协商协议将不再安全;物理世界,人类社会和信息空间(Cyberspace)组成的三元世界。

3.信息空间突出了信息化的特征和核心内涵是信息,网络空间突出了网络互联的特征;网络空间安全的核心内涵仍是信息安全。没有信息安全,就没有网络空间安全。

4.信息安全的属性主要包含:

① 信息的保密性:信息不被未授权者知晓的属性;

② 信息的完整性:信息是正确的,真实的,未被篡改的,完整无缺的属性;

③ 信息的可用性:信息可以随时正常使用的属性。

5.能源,材料,信息是支撑现代社会大厦的三根支柱;信息系统安全可以划分为以下四个层次:设备安全,数据安全,内容安全,行为安全。其中数据安全即是传统的信息安全。

6.信息系统设备的安全是信息系统安全的首要问题;信息系统的设备安全是信息系统安全的物质基础,除了硬件设备外,软件系统也是一种设备。信息系统设备稳定可靠地工作是第一位的安全。

7.数据安全:采取措施确保数据免受未授权的泄露,篡改和毁坏;内容安全:信息安全在政治,法律,道德层次上的要求,还包括信息内容保密,知识产权保护,信息隐藏和隐私保护等诸多方面。行为安全:数据安全本质上是一种静态的安全,行为安全是一种动态安全。行为体现在过程和结果之中。程序的执行学列和相应的硬件动作构成了系统的行为,数据可以影响程序的执行走向。从而可以影响系统的行为。因此,信息系统的行为由硬件,软件和数据共同确定。所以,必须从硬件,软件和数据三方面来确保系统的行为安全。

8.网络空间安全学科是研究信息获取,信息存储,信息传输和信息处理领域中信息安全保障问题的一门新兴学科。

9.2015年6月,国务院学位委员会和教育部正式增设网络空间安全一级学科;网络空间安全学科的主要研究方向有:密码学,网络安全,信息系统安全,信息内容安全和信息对抗。

10.在这些众多的技术措施中,信息系统的硬件系统安全和操作系统安全是信息系统安全的基础,密码和网络安全等技术是关键技术。

11.密码学:由密码编码学和密码分析学组成;网络安全的基本思想是在网络的各个层次和范围内采取防护措施;信息系统安全的特点是从系统整体上考虑信息安全的威胁和防护;信息内容安全是信息安全在政治,法律,道德层次上的要求。也包括信息内容的保密,知识产权保护,信息隐藏,隐私保护等诸多方面。

12.信息对抗的实质是斗争双方利用电磁波和信息的作用来争夺电磁频谱和信息的有效使用和控制权。

13.数学是一切自然科学的理论基础,当然也是网络空间安全学科的理论基础;现代密码可以分为两类:基于数学的密码和基于非数学的密码;设计一个密码就是设计一个数学函数,而破译一个密码就是求解一个数学难题。

14.协议是网络的核心,因此协议安全是网络安全的核心。

15.博弈论便成为网络空间安全学科的理论基础之一;博弈论(Game Theory)是现代数学的一个分支;信息安全领域的斗争,本质上都是人与人之间的攻防斗争,因此博弈论便成为网络空间安全学科的理论基础之一,而且是网络空间安全学科所特有的理论基础。

16.信息论,控制论和系统论是现代科学的理论基础,因此也是网络空间安全学科的理论基础;信息论是商农为解决现代通信问题而创立的,控制论是维纳在解决自动控制技术问题中建立的,系统论是为了解决现代化大科学工程项目的组织管理问题而诞生的;信息论奠定了密码学的基础,信息论也奠定了信息隐藏的基础,因此,信息论构成了信息隐藏的理论基础;信息论的核心思想是整体观念。

17.控制论是研究机器,生命社会中控制和通信的一般规律的科学;控制的基础是信息。

18.保护,检测,响应(RDP)策略是确保信息系统和网络系统安全的基本策略;只有从信息系统的硬件和软件的低层做起,才能比较有效地确保信息系统的安全。

19.网络空间安全学科的许多问题是计算安全问题,因此计算理论也是网络空间安全学科的理论基础,其中包括可计算性理论和计算复杂性理论等;可计算理论是研究计算的一般性质的数学理论。它通过建立计算的数学模型,精确却分那些问题是可计算的,那些问题是不可计算的。

20.计算复杂性理论:研究现实的可计算性,如研究计算一个问题类需要多少时间,多少存储空间。

21.授权是信息系统访问控制的核心,信息系统是安全的,其授权系统必须是安全的;一般操作性的安全问题是1个不可判定问题,而具体的操作系统安全问题却是可判定问题。

22.本质上,密码破译就是求解一个数学难题,如果这个难题是理论不可计算的,则这个密码就是理论上安全的。

23.访问控制理论是网络空间安全学科所特有的理论基础;访问控制是信息系统安全的核心问题;访问控制理论包括各种访问控制模型与授权理论,例如,矩阵模型,BLP模型,BIBA模型,中国墙模型,基于角色的模型(RBAC),属性加密等,其中属性加密是密码技术与访问控制结合的新型访问控制;访问控制理论是网络空间安全学科的理论基础,而且是网络空间安全学科所特有的理论基础。

24.密码学理论是网络空间安全学科所特有的理论基础;数学,信息理论(信息论,系统论,控制论),计算理论(可计算理论,计算复杂性理论)是网络空间安全学科的理论基础,而博弈论,访问控制理论和密码学理论是网络空间安全学科所特有的理论基础。

25.笛卡尔方法分为4步:

① 永不接受任何我自己不清楚的真理。

② 将要研究的复杂问题,尽量分解为多个比较简单的小问题,一个一个地解决。

③ 将这些小问题从简单到复杂排序,先从容易解决的问题入手

④ 将所有问题解决后,再综合起来检验,看是否安全,是否将问题彻底解决了。

笛卡尔的方法论强调了把复杂问题分解成一些细小的问题分别解决,是一种分而治之的思想,是一种行之有效的方法;用整体的思想和方法来处理,由传统的方法论发展到系统性的方法论。

26.网络空间安全学科有自己的方法论,即包含分而治之的传统方法论,又包含综合治理的系统工程方法论,而且将这两者有机地融合为一体;网络空间安全学科具体概括为理论分析,逆向分析,实验验证,技术实现四个核心内容;必须强调指出的是,逆向分析是网络空间安全学科所特有的方法论。

27.网路空间安全学科的每一分支都具有攻和防两个方面:

① 在进行网络安全防护设计时,首先要进行安全威胁分析和风险评估;

② 认识系统的管理者和使用者,因此认识影响信息系统安全的重要因数。

以人为核心,运用定性分析和定量分析相结合,注意量变会引发质变,综合处理,追求整体效能,解决网络空间安全中的理论,技术和应用问题。

【备考点拨】

主要在上午题中涉及,了解并理解相关知识点内容。

考点2、信息安全法律法规

【考法分析】

本考点主要是对信息安全相关法律法规的考查。

【要点分析】

1.我国信息安全的法律体系可分为4个层面:

① 一般性法律规定;

② 规范和惩罚信息网络犯罪的法律;

③ 针对信息安全的特别规定;

④ 具体规范信息安全技术,信息安全管理等方面的法律法规。

2.计算机犯罪的明显特征:

① 隐秘性强;

② 高智能型;

③ 破坏性强;

④ 无传统犯罪现场;

⑤ 侦查和取证困难;

⑥ 公众对计算机犯罪认识不如传统犯罪清晰;

⑦ 计算机犯罪的诱惑性强:技术性强,富于挑战性;

⑧ 计算机犯罪经常是跨国犯罪。

3.计算机犯罪分为以下六类:

① 窃取和破坏计算机资产;

② 未经批准使用计算机信息系统资源;

③ 未批准或超越权限接受计算机服务;

④ 篡改或窃取计算机中保存的信息或文件;

⑤ 计算机信息系统装入欺骗性数据和记录;

⑥ 窃取或诈骗系统中的电子钱财。

4.互联网安全的刑事责任:

① 威胁互联网运行安全的行为;

② 威胁国家安全和社会稳定的行为;

③ 威胁社会主义市场经济秩序和社会管理秩序的行为;

④ 威胁个人,法人和其他组织的人身,财产等合法权利的行为。

5.网络安全问题日益凸显。一是,网络入侵,二是非法获取,三是,宣扬恐怖主义,极端主义,煽动颠覆国家政权,推翻社会主义制度,以及淫秽色情等违法信息。

6.网络运营者应履行下列安全保护义务:

① 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

② 采取防范计算机病毒和网络攻击,网络入侵等危害网络安全行为的技术措施;

③ 采取记录,跟踪网络运行状态,监测,记录网络安全事件的技术措施,并按照规定留存网络日志;

④ 采取数据分类,重要数据备份和加密等措施;

⑤ 法律,行政法规规定的其他义务。

7.对关键信息基础设施,应实行重点保护;网络安全,是指通过采取必要措施,防范对网络的攻击,入侵,干扰,破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储,传输,处理信息的完整性,保密性可用性的能力。

8.中国计算机信息系统安全保护条例中计算机信息系统的概念,是指由计算机及其相关的和配套的设备,设施和网络构成的,按照一定的应用目标和规则对信息进行采集,加工,存储,传输,检索等处理的人机系统。

9.计算机病毒:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

10.计算机信息系统安全专用产品:是指用于保护计算机i信息系统安全的专用硬件和软件产品;知识产权包括著作权(也称版权),工业产权(包括专利权和商标权),技术秘密和商业秘密。

11.2002年,国务院《计算机软件保护条例》正式施行。该条例称软件是指计算机程序及其有关文档。同一计算机程序的源程序和目标程序为同一作品。对软件著作权的保护不延及开发软件所用的思想,处理过程,操作方法或者数学概念等。

12.计算机软件受保护的条件有三个:原创性,可感知性,可再现性;计算机软件著作权人享有人身权和财产权。

更多资讯可搜索希赛网点击软考频道,或直接关注软考之家:ruankao_home。


猜你喜欢