《信息系统项目管理师教程》第22章： 信息系统安全管理

信息系统安全策略

每个单位的安全策略一定是定制的，都是针对本单位的。

1. 安全策略核心内容“七定”
   1）定方案
   2）定岗
   3）定位
   4）定员
   5）定目标
   6）定制度
   7）定工作流程
   “七定”的结果确定了该单位组织的计算机业务应用信息系统的安全如何具体地实现和保证。

2. 计算机信息系统分为5个等级
   1）第一级用户自主保护级 (损害 合法权益）
   2）第二级系统审计保护级（严重损害 合法权益）（损害 社会秩序和公共利益）
   3）第三级安全标记保护级（严重损害 社会秩序和公共利益）（损害 国家安全）
   4）第四级结构化保护级（特别严重损害 社会秩序和公共利益）（严重损害 国家安全）
   5）第五级访问验证保护级（特别严重损害 国家安全）

   
   

3. 信息安全系统划分三种架构体系
   1）MIS+S系统 ： 初级信息安全保障系统
   2）S-MIS系统 ： 标准信息安全保障系统
   3）S2-MIS系统：超安全的信息安全保障系统

   
   

PKI 公开密钥基础设施

公钥基础设施PKI 是以不对称钥加密技术为基础，以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的，来实施和提供安全服务的具有普适性的安全基础设施。
PK包含以下几个基本构件：

1. 数字证书：由认证机构经过数字签名后发给网上信息交易主体（企业或个人、设备或程序）的一段电子文档。数字证书提供了PKI的基础。
2. 认证中心（Cetification Authority)：CA是PKI的核心。它是公正、权威、可信的第三方网上认证机构，负责数字证书的签发、撤销和生命周期的管理，还提供密钥管理和证书在线查询等服务。
3. 数字证书注册审批机构：RA（Registration Authorith）系统是CA的数字证书的发放、管理的延伸。它负责数字证书申请者的信息录入、审核以及数字证书发放等工作，同时，对发放数字证书完成相应的管理功能。发放的数字证书可以存放在IC卡、硬盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。
4. 数字签名：利用发信者的私钥和可靠的密码算法对待发信息或其电子摘要进行加密处理，这个过程和结果就是数字签名。收信者可以用发信者的公钥对收到的信息进行解密从而辨别真伪。经过数字签名后的信息具有真实性和不可否认性。
5. 密钥和证书管理工具：管理和审计数字证书的工具，认证中心使用它来管理在一个CA上的证书。
6. 双证体系：PKI采用双证书体系，非对称算法支持RSA和ECC算法，对称密码算法支持国家密码管理委员会指定的算法。
7. PKI的体系架构：宏观来看，PKI概括为两大部分，即信任服务体系和密钥管理中心。
   1）PKI信任服务体系，是为整个业务应用系统（如电子政务、电子商务等）提供基于PKI数字证书认证机制的实体身份签别服务，它包括认证机构、注册机构、证书库、证书撤销和交叉认证等。
   2）PKI密钥管理中心（KMC)提供密钥管理服务，向授权管理部门提供应急情况下的特殊密钥回复功能。它包括密钥管理机构、密钥备份和恢复、密钥更新和密钥历史档案等。

X.509证书标准

在PKI/CA架构中，一个重要的标准就是X.509标准；在本质上，数字证书是把一个密钥对（明确的公钥，而暗含的是私钥）绑到一个身份上的被签署的数据结构。整个证书有可信赖的第三方签名。典型的第三方即大型用户群体（如政府或金融机构）所信赖的CA。X.509证书标准必须包含以下信息：
1）版本号
2）序号号
3）签名算法标识符
4）认证机构
5）有效期限
6）主题信息
7）认证机构的数字签名
8）公钥信息

第22章 信息系统安全管理 609
22.1 信息系统安全策略 609
22.1.1 信息系统安全策略的概念与内容 609
22.1.2 建立安全策略需要处理好的关系 610
22.1.3 信息系统安全策略设计原则 613
22.1.4 信息系统安全方案 614
22.2 信息安全系统工程 615
22.2.1 信息安全系统工程概述 615
22.2.2 信息安全系统 617
22.2.3 信息安全系统架构体系 621
22.2.4 信息安全系统工程基础 623
22.2.5 信息安全系统工程体系结构 625
22.3 PKI公开密钥基础设施 633
22.3.1 公钥基础设施（PKI）基本概念 633
22.3.2 数字证书及其生命周期 638
22.3.3 信任模型 642
22.3.4 应用模式 646
22.4 PMI权限（授权）管理基础设施 648
22.4.1 PMI与PKI的区别 649
22.4.2 属性证书定义 650
22.4.3 访问控制 651
22.4.4 基于角色的访问控制 653
22.4.5 PMI支撑体系 654
22.4.6 PMI实施 658
22.5 信息安全审计 659
22.5.1 安全审计概念 659
22.5.2 建立安全审计系统 662
22.5.3 分布式审计系统 667

返回目录