系统集成项目管理工程师第八章:信息安全工程(精简版)
系统集成项目管理工程师第八章:信息安全工程(精简版)
一、信息安全管理:3大高频考点
1. 安全运行组织与制度
- 组织架构(必记):3要素对应关系直接考选择题
角色 定位 记忆技巧 主管领导 核心 领导定方向,是核心 信息中心 实体(基础) “实心”谐音联想 业务应用部门 使用者 最终用系统的部门 - 制度3大原则:
多人负责(互相牵制)、任期有限(定期轮岗)、职责分离(如会计≠出纳)
✦ 易错点:与WBS“单一负责人”原则相反,安全强调“制衡”。
2. 信息系统安全等级划分
按“损害对象+程度”分级,口诀直接对应真题:
| 等级 | 损害描述 | 记忆口诀 |
|---|---|---|
| 一级 | 仅损害公民/组织权益 | 一公损 |
| 二级 | 严重损害公民权益+危害社会秩序 | 二社损 |
| 三级 | 严重危害社会秩序+危害国家安全 | 三国损 |
| 四级 | 特别严重危害社会秩序+严重危害国家安全 | 四国严损 |
| 五级 | 特别严重危害国家安全 | 五国特严损 |
- 威胁源与恢复能力:辅助记忆
一级(个人,资源少,恢复部分功能)→ 四级(国家级,资源多,迅速恢复所有功能)。
3. 安全管理体系构建顺序(真题高频)
从低到高,严格记顺序:
- 配备安全管理人员(基础)
- 建立安全职能部门
- 成立安全领导小组
- 主要负责人出任领导(核心)
- 建立信息安全保密管理部门(最高层级)
二、信息安全系统:三维模型是核心
安全系统用“X-Y-Z轴”构建“安全空间”,五大要素必记:
1. 三维模型拆解
| 轴 | 内容 | 记忆口诀/关键词 |
|---|---|---|
| X轴 | 安全机制(8类) | 基础设施安全、数据安全、应用安全等 |
| Y轴 | OSI七层模型 | “武术忘传会飙鹰”(物理→数据链路→网络→传输→会话→表示→应用) |
| Z轴 | 安全服务(6类) | 对等实体认证、数据保密、不可否认等 |
2. 安全空间五大要素(必考)
认证、权限、完整、加密、不可否认
✦ 易错点:别和X轴(机制)、Y轴(OSI层)混淆,要素是“安全的核心属性”。
三、等保2.0:3个核心变化
等保2.0是本章新考点,记“1个扩展+2个纳入”:
- 概念扩展:从“信息系统安全”升级为“网络安全”(覆盖计算机及相关设备组成的信息处理系统)。
- 纳入监管:云计算、物联网、移动互联网、工控系统、智能设备等新型技术领域。
- 纳入管理:互联网企业的网络、系统、大数据(专属考点,选择题常考)。
四、ISSE-CMM工程模型:口诀破题
ISSE-CMM(信息安全系统工程能力成熟度模型),考“适用组织+过程组成+能力分级”:
1. 适用组织与过程组成
- 适用组织(口诀“取公平”):工程组织、获取组织、评估组织。
- 核心过程(口诀“疯保工”):风险过程、保证过程、工程过程。
2. 能力成熟度分级(记前4级)
| 等级 | 名称 | 核心特征(真题关键词) |
|---|---|---|
| Level 1 | 非正规实施级 | 无标准化过程 |
| Level 2 | 规划和跟踪级 | 规划执行、验证执行 |
| Level 3 | 充分定义级 | 定义标准化过程、协调安全实施 |
| Level 4 | 量化控制级 | 量化目标管理 |
- ✦ 易错点:“验证执行”属于Level 2,不是Level 3。
五、安全服务:6类功能速记
| 服务类型 | 核心作用 |
|---|---|
| 对等实体认证服务 | 确认对方合法性,防假冒 |
| 数据保密服务 | 加密防数据截获/非法存取 |
| 数据完整性服务 | 防数据修改/插入/删除 |
| 数据源点认证服务 | 确保数据来自真实源点 |
| 禁止否认服务 | 防收发方否认数据交互 |
| 犯罪证据提供服务 | 为违法行为提供数字证据 |