很多考生在備考2022年系統(tǒng)集成項(xiàng)目管理工程師考試，希賽小編為大家整理了2022年系統(tǒng)集成項(xiàng)目管理工程師考試知識點(diǎn)：信息安全，供大家備考復(fù)習(xí)。

1.網(wǎng)絡(luò)安全

信息安全的基本要素有：

?機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。

?完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。

?可用性：得到授權(quán)的實(shí)體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。

?可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。

?可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

信息系統(tǒng)安全產(chǎn)品如下：

①防火墻，通常被比喻為網(wǎng)絡(luò)安全的大門，用來鑒別什么樣的數(shù)據(jù)包可以進(jìn)出企業(yè)內(nèi)部網(wǎng)。在應(yīng)對黑客入侵方面，可以阻止基于IP包頭的攻擊和非信任地址的訪問。但傳統(tǒng)防火墻無法阻止和檢測基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵，同時也無法控制內(nèi)部網(wǎng)絡(luò)之間的違規(guī)行為。

②掃描器，可以說是入侵檢測的一種，主要用來發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備和主機(jī)的漏洞，定期的檢測與比較，發(fā)現(xiàn)入侵或違規(guī)行為留下的痕跡。當(dāng)然，掃描器無法發(fā)現(xiàn)正在進(jìn)行的入侵行為，而且它還有可能成為攻擊者的工具。

③防毒軟件是最為人熟悉的安全工具，可以檢測、清除各種文件型病毒、宏病毒和郵件病毒等。在應(yīng)對黑客入侵方面，它可以查殺特洛伊木馬和蠕蟲等病毒程序，但對于基于網(wǎng)絡(luò)的攻擊行為（如掃描、針對漏洞的攻擊）卻無能為力。

④安全審計系統(tǒng)通過獨(dú)立的、對網(wǎng)絡(luò)行為和主機(jī)操作提供全面與忠實(shí)的記錄，方便用戶分析與審查事故原因，很像飛機(jī)上的黑匣子。

2.人員安全其中包括崗位安全考核與培訓(xùn)

對信息系統(tǒng)崗位人員的管理，應(yīng)根據(jù)其關(guān)鍵程度建立相應(yīng)的管理要求。

（1）對安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、重要業(yè)務(wù)開發(fā)人員、系統(tǒng)維護(hù)人員和重要業(yè)務(wù)應(yīng)用操作人員等信息系統(tǒng)關(guān)鍵崗位人員進(jìn)行統(tǒng)一管理；允許一人多崗，但業(yè)務(wù)應(yīng)用操作人員不能由其他關(guān)鍵崗位人員兼任；關(guān)鍵崗位人員應(yīng)定期接受安全培訓(xùn)，加強(qiáng)安全意識和風(fēng)險防范意識。

（2）兼職和輪崗要求：業(yè)務(wù)開發(fā)人員和系統(tǒng)維護(hù)人員不能兼任或擔(dān)負(fù)安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員和重要業(yè)務(wù)應(yīng)用操作人員等崗位或工作；必要時關(guān)鍵崗位人員應(yīng)采取定期輪崗制度。

（3）權(quán)限分散要求：在上述基礎(chǔ)上，應(yīng)堅持關(guān)鍵崗位“權(quán)限分散、不得交叉覆蓋”的原則，系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員不能相互兼任崗位或工作。

（4）多人共管要求：在上述基礎(chǔ)上，關(guān)鍵崗位人員處理重要事務(wù)或操作時，應(yīng)保持二人同時在場，關(guān)鍵事務(wù)應(yīng)多人共管。

（5）全面控制要求：在上述基礎(chǔ)上，應(yīng)采取對內(nèi)部人員全面控制的安全保證措施，對所有崗位工作人員實(shí)施全面安全管理。

3.應(yīng)用系統(tǒng)安全管理

應(yīng)用系統(tǒng)運(yùn)行中涉及的安全和保密層次包括系統(tǒng)級安全、資源訪問安全、功能性安全和數(shù)據(jù)域安全。這4個層次的安全，按粒度從大到小的排序是：系統(tǒng)級安全、資源訪問安全、功能性安全、數(shù)據(jù)域安全。程序資源訪問控制安全的粒度大小介于系統(tǒng)級安全和功能性安全兩者之間，是最常見的應(yīng)用系統(tǒng)安全問題，幾乎所有的應(yīng)用系統(tǒng)都會涉及這個安全問題。

4.安全保護(hù)等級

標(biāo)準(zhǔn)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859-1999）》規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的五個等級，即用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級、訪問驗(yàn)證保護(hù)級。計算機(jī)信息系統(tǒng)安全保護(hù)能力隨著安全保護(hù)等級的增高，逐漸增強(qiáng)。

《信息安全等級保護(hù)管理辦法》將信息系統(tǒng)的安全保護(hù)等級分為以下五級。

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害安全、社會秩序和公共利益。第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，伯不損害安全。第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對安全造成損害。第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對安全造成嚴(yán)重?fù)p害。第四級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。

第五級，信息系統(tǒng)受到破壞后，會對安全造成特別嚴(yán)重?fù)p害。第五級信息系統(tǒng)運(yùn)營、 使用單位應(yīng)當(dāng)依據(jù)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。指定專門部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。