## 1. 信息系统安全策略 信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险（安全威胁）进行有效的识别、评估外，所采取的各种措施、手段，以及建立的各种管理制度、规章等。 信息系统安全保护等级 * 第一级： 用户自主保护级 * 第二级 系统审计保护级 * 第三级 安全标记保护级 * 第四级 结构化保护级 * 第五级 访问验证保护级 信息系统的安全保护等级由两个定级要素决定 * 等级保护对象受到破坏时所侵害的客体 * 对客体造成侵害的程度 我国信息化建设总结出来的宝贵经验有8个总原则和10个特殊原则： 8个总原则 1. 主要领导人负责原则 2. 规范定级原则 3. 依法行政原则 4. 以人为本原则 5. 注重效费原则 6. 全面防范、突出重点原则 7. 系统、动态原则 8. 特殊的安全管理原则 10个特殊原则 1. 分权制衡原则 2. 最小特权原则 3. 标准化原则 4. 用成熟的先进技术原则 5. 失效保护原则 6. 普遍参与原则 7. 职责分离原则 8. 审计独立原则 9. 控制社会影响原则 10. 保护资源和效率原则 与系统安全方案有关的系统包括的组成因素： 1. 主要硬件设备的选型 2. 操作系统和数据库的选型 3. 网络拓扑结构的选型 4. 数据存储方案和存储设备的选型 5. 安全设备的选型 6. 应用软件开发平台的选型 7. 应用软件的系统结构的确定 8. 供货商和集成商的选择等 9. 业务运营与安全管理的职责划分 10. 应急处理方案的确定及人员的落实 ## 2. 信息安全系统工程 安全机制： * 第一层 基础设施实体安全 * 第二层 平台安全 * 第三层 数据安全 * 第四层 通信安全 * 第五层 应用安全 * 第六层 运行安全 * 第七层 管理安全 * 第八层 授权和审计安全 * 第九层 安全防范体系 安全服务： 1. 对等实体认证服务 2. 数据保密服务 3. 数据完整性服务 4. 数据源点认证服务 5. 禁止否认服务 6. 犯罪证据提供服务 安全技术 1. 加密技术 2. 数字签名技术 3. 访问控制技术 4. 数据完整性技术 5. 认证技术 6. 数据挖掘技术 ## 3. PKI 公开密钥基础设施 PKI 的体系架构，宏观来看，概况为两大部分： * 信任服务体系： 包括认证机构、注册机构、证书库、证书撤销和交叉认证。 * 密钥管理中心： 密钥管理机构、密钥备份和恢复、密钥更新和密钥历史档案等。 X.509 标准 ##4. PMI 权限管理基础 ##5. 信息安全审计 安全审计具体包括两方面的内容： 1. 采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为， 即时响应并进行阻断 2. 对信息内容和业务流程进行审计