很多考生在備考2022年系統(tǒng)集成項(xiàng)目管理工程師考試，希賽小編為大家整理了2022年系統(tǒng)集成項(xiàng)目管理工程師考試知識(shí)點(diǎn)：信息安全，供大家備考復(fù)習(xí)。

1.網(wǎng)絡(luò)安全

信息安全的基本要素有：

?機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。

?完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。

?可用性：得到授權(quán)的實(shí)體在需要時(shí)可訪問(wèn)數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。

?可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。

?可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。

信息系統(tǒng)安全產(chǎn)品如下：

①防火墻，通常被比喻為網(wǎng)絡(luò)安全的大門，用來(lái)鑒別什么樣的數(shù)據(jù)包可以進(jìn)出企業(yè)內(nèi)部網(wǎng)。在應(yīng)對(duì)黑客入侵方面，可以阻止基于IP包頭的攻擊和非信任地址的訪問(wèn)。但傳統(tǒng)防火墻無(wú)法阻止和檢測(cè)基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵，同時(shí)也無(wú)法控制內(nèi)部網(wǎng)絡(luò)之間的違規(guī)行為。

②掃描器，可以說(shuō)是入侵檢測(cè)的一種，主要用來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備和主機(jī)的漏洞，定期的檢測(cè)與比較，發(fā)現(xiàn)入侵或違規(guī)行為留下的痕跡。當(dāng)然，掃描器無(wú)法發(fā)現(xiàn)正在進(jìn)行的入侵行為，而且它還有可能成為攻擊者的工具。

③防毒軟件是最為人熟悉的安全工具，可以檢測(cè)、清除各種文件型病毒、宏病毒和郵件病毒等。在應(yīng)對(duì)黑客入侵方面，它可以查殺特洛伊木馬和蠕蟲(chóng)等病毒程序，但對(duì)于基于網(wǎng)絡(luò)的攻擊行為（如掃描、針對(duì)漏洞的攻擊）卻無(wú)能為力。

④安全審計(jì)系統(tǒng)通過(guò)獨(dú)立的、對(duì)網(wǎng)絡(luò)行為和主機(jī)操作提供全面與忠實(shí)的記錄，方便用戶分析與審查事故原因，很像飛機(jī)上的黑匣子。

2.人員安全其中包括崗位安全考核與培訓(xùn)

對(duì)信息系統(tǒng)崗位人員的管理，應(yīng)根據(jù)其關(guān)鍵程度建立相應(yīng)的管理要求。

（1）對(duì)安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、重要業(yè)務(wù)開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員和重要業(yè)務(wù)應(yīng)用操作人員等信息系統(tǒng)關(guān)鍵崗位人員進(jìn)行統(tǒng)一管理；允許一人多崗，但業(yè)務(wù)應(yīng)用操作人員不能由其他關(guān)鍵崗位人員兼任；關(guān)鍵崗位人員應(yīng)定期接受安全培訓(xùn)，加強(qiáng)安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)。

（2）兼職和輪崗要求：業(yè)務(wù)開(kāi)發(fā)人員和系統(tǒng)維護(hù)人員不能兼任或擔(dān)負(fù)安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員和重要業(yè)務(wù)應(yīng)用操作人員等崗位或工作；必要時(shí)關(guān)鍵崗位人員應(yīng)采取定期輪崗制度。

（3）權(quán)限分散要求：在上述基礎(chǔ)上，應(yīng)堅(jiān)持關(guān)鍵崗位“權(quán)限分散、不得交叉覆蓋”的原則，系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員不能相互兼任崗位或工作。

（4）多人共管要求：在上述基礎(chǔ)上，關(guān)鍵崗位人員處理重要事務(wù)或操作時(shí)，應(yīng)保持二人同時(shí)在場(chǎng)，關(guān)鍵事務(wù)應(yīng)多人共管。

（5）全面控制要求：在上述基礎(chǔ)上，應(yīng)采取對(duì)內(nèi)部人員全面控制的安全保證措施，對(duì)所有崗位工作人員實(shí)施全面安全管理。

3.應(yīng)用系統(tǒng)安全管理

應(yīng)用系統(tǒng)運(yùn)行中涉及的安全和保密層次包括系統(tǒng)級(jí)安全、資源訪問(wèn)安全、功能性安全和數(shù)據(jù)域安全。這4個(gè)層次的安全，按粒度從大到小的排序是：系統(tǒng)級(jí)安全、資源訪問(wèn)安全、功能性安全、數(shù)據(jù)域安全。程序資源訪問(wèn)控制安全的粒度大小介于系統(tǒng)級(jí)安全和功能性安全兩者之間，是最常見(jiàn)的應(yīng)用系統(tǒng)安全問(wèn)題，幾乎所有的應(yīng)用系統(tǒng)都會(huì)涉及這個(gè)安全問(wèn)題。

4.安全保護(hù)等級(jí)

標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）》規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)，即用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力隨著安全保護(hù)等級(jí)的增高，逐漸增強(qiáng)。

《信息安全等級(jí)保護(hù)管理辦法》將信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)。

第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害安全、社會(huì)秩序和公共利益。第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。

第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，伯不損害安全。第二級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。

第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)安全造成損害。第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。

第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)安全造成嚴(yán)重?fù)p害。第四級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。

第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)安全造成特別嚴(yán)重?fù)p害。第五級(jí)信息系統(tǒng)運(yùn)營(yíng)、 使用單位應(yīng)當(dāng)依據(jù)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。指定專門部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行專門監(jiān)督、檢查。