信息系统项目管理师重点难点摘要第24-32章-信息安全管理.docVIP

什么是信息安全保障系统？????一般简称为信息安全系统，可从宏观的三维空间直观地理解信息安全系统的体系架构以及它的组成：??????1、X轴是安全机制??????2、Y轴是OSI网络参考模型??????3、Z轴是安全服务 信息安全系统架构体系有哪几个？??????1、MIS+S：称为初级信息安全保障系统或基本信息安全保障系统。?????????? 特点一：业务应用系统基本不变?????????? 特点二：硬件和系统软件通用?????????? 特点三：安全设备基本不带密码??????2、S-MIS：称为标准信息安全保障系统。?????????? 特点一：硬件和系统软件通用?????????? 特点二：PKI/CA安全保障系统必须带密码?????????? 特点三：主要的通用的硬件、软件也要PKI/CA认证??????3、S2-MIS：称为超安全的信息安全保障系统。?????????? 特点一：硬件和系统软件都专用?????????? 特点二：PKI/CA安全基础设施必须带密码?????????? 特点三：业务应用系统必须根本改变?????????? 特点四：主要的硬件和系统软件需要PKI/CA认证 ?? 业务应用信息系统的安全威胁（风险）可以有多种不同的分类方法。??????现从风险源的角度来分类：??????1、自然风险：是不以人的意志为转移的不可抗拒的天灾人祸。如地震、雷击、洪灾等。另外，恐怖事件造成的风险也属于自然风险。??????2、人为风险：可分为意外的人为事件风险和有意的人为事件风险。?????????? 意外的人为事件风险是各种不确定因素综合在一起时偶然发生的，并不是有人故意造成的。?????????? 有意的人为事件风险包括欺诈或偷窃、内部员工的有意破坏、怀有恶意的黑客行为等。 ??威胁、脆弱弱、影响之间的关系是什么？?? ???? 威胁、脆弱性、影响这三者之间存在一定的对应关系。???? 威胁可以看成是系统外部对系统产生的作用，而导致系统功能及目标受阻的所有现象。???? 脆弱性可以看成是系统内部的薄弱点。它是客观存在的，本身没有实际的伤害，但威胁可以利用脆弱性发挥作用。???? 影响可以看成是威胁与脆弱性的特殊组合。???? 三者的关系可以用以下的公式来表示：风险=威胁*弱点*影响 风险识别和风险评估的方法 [复制链接] 查看:286回复:0 1# 字体大小: t T 发表于 2011-04-03 08:15 |只看楼主 尽管特定事件的发生具有不可预测性，但在一定时期的多数事件发生的可能性可以凭借一定的技术手段和经验进行可信度评估，基本能够对项目的风险做出比较准确的识别和评估。???? 风险识别的常用方法有：???? 1、问询法：头脑风暴法、面谈法、德尔菲法???? 2、财务报表法：各种财务报表和记录???? 3、流程图法：网络图法或WBS法 ???? 4、现场观察法???? 5、历史资料???? 6、环境分析法???? 7、类比法???? 8、专家咨询风险评估的常用方法有：????1、概率分布：专家预测????2、外推法：使用历史数据????3、定性评估????4、矩阵图分析????5、风险发展趋势评价方法????6、项目假设前提评价及数据准确度评估 安全策略的概念及核心内容 [复制链接] 查看:238回复:0 1# 字体大小: t T 发表于 2011-04-03 10:25 |只看楼主 ??什么是安全策略？???? 安全策略是指计算机业务应用信息系统的“安全策略”，是指人们为保护因为使用计算机业务应用信息系统可能招致来的对单位资产造成损失而进行保护的各种措施、手段，以及建立的各种管理制度、法规等。安全策略的核心内容为“七定“???? 1、定方案???? 2、定岗???? 3、定位???? 4、定员 ???? 5、定目标???? 6、定制度???? 7、定工作流程 ?????????? S-MIS：称为（????????????）。?????????? 特点一：硬件和系统软件通用?????????? 特点二：（????????????????）?????????? 特点三：主要的通用的硬件、软件也要PKI/CA认证 ?????????? S2-MIS：称为超安全的信息安全保障系统。?????????? 特点一：硬件和系统软件都专用?????????? 特点二：PKI/CA安全基础设施必须带密码?????????? 特点三：（??????????????）?????????? 特点四：主要的硬件和系统软件需要（????????）认证 ??????从风险源