信息系统安全培训课程.ppt

信息系统项目管理师;第24章 信息安全系统和安全体系;●需要时，授权实体可以访问和使用的特性指的是信息安全的（15）。 　　（15）A．保密性 　 　B．完整性 　　C．可用性 　　D．可靠性 ;24.1 安全机制 1、基础设施实体安全 2、平台安全 3、数据安全 4、通信安全 5、应用安全 6、运行安全 7、管理安全 8、授权和审计安全 9、安全防范体系;安全服务 1、对等实体论证服务 2、数据保密服务 3、数据完整性服务 4、数据源点论证服务 5、禁止否认服务 6、??罪证据提供服务;安全技术 1、加密技术 2、数据签名技术 3、访问控制技术 4、数据完整性技术 5、认证技术 6、数据挖掘技术; 信息系统的安全贯穿于系统的全生命周期，为了其安全，必须从物理安全、技术安全和安全管理三方面入手，只有这三种安全一起实施，才能做到对信息系统的安全保护。其中的物理安全又包括环境安全、设施和设备安全以及介质安全。 ;24.2 信息安全系统架构体系;S-MIS ;S2-MIS——Super Security-MIS ;　●（16）不是超安全的信息安全保障系统（S2-MIS）的特点或要求。 　　（16）A．硬件和系统软件通用 　 　B．PKI/CA安全保障系统必须带密码 　　C．业务应用系统在实施过程中有重大变化 　　D．主要的硬件和系统软件需要PKI/CA认证 ;ERP为Enterprise Resource Planning的缩写，中文的名称是企业资源规划。 CRM为Customer Relationship Management的缩写，中文的名称为客户关系管理。 MRPII为Manufacturing Resource Planning的缩写，中文名称为制造资源计划。 ;24.3 信息安全系统支持背景;● 信息安全从社会层面来看，反映在(17)这三个方面。 （17）A．网络空间的幂结构规律、自主参与规律和冲突规律 　　B．物理安全、数据安全和内容安全 　　C．网络空间中的舆论文化、社会行为和技术环境 　　D．机密性、完整性、可用性 ;第25章 信息系统安全风险评估;25.2 安全风险识别 ;25.2.2安全威胁的对象及资产评估鉴定;资产评估鉴定的目的是区别对待，分等级保护;25.2.3 信息系统安全薄弱环节鉴定评估;25.3 风险识别与风险评估方法;25.3 风险评估方法：;;;第26章 安全策略;适度安全的观点;等级保护;26.3 设计原则;制定安全方案要点： ;26.5 系统安全策略主要内容;第27章 信息安全技术基础;27.1.2 对称与不对称加密;DES算法;3DES算法;;主要的公钥算法有：RSA、DSA、DH和ECC。;（2）RSA算法 当前最著名、应用最广泛的公钥系统RSA是在1978年，由美国麻省理工学院(MIT)的Rivest、Shamir和Adleman在题为《获得数字签名和公开钥密码系统的方法》的论文中提出的。它是一个基于数论的非对称(公开钥)密码体制，是一种分组密码体制。其名称来自于三个发明者的姓名首字母。 它的安全性是基于大整数素因子分解的困难性，而大整数因子分解问题是数学上的著名难题，至今没有有效的方法予以解决，因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法，大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。;RSA算法如下： 1、找出三个大数, p, q, r, 其中 p, q 是两个相异的质数, r 是与 (p-1)(q-1) 互质的数 p, q, r 这三个数便是 private key 2、找出 m，使得 rm == 1 mod (p-1)(q-1) 这个 m 一定存在, 因为 r 与 (p-1)(q-1) 互质，用辗转相除法就可以得到了 3、再来, 计算 n = pq m, n 这两个数便是 public key 加密过程是： 假设明文资料为 a，将其看成是一个大整数，假设 a n 如果 a = n 的话，就将 a 表成 s 进位 (s = n, 通常取 s = 2^t)， 则每一位数均小于 n, 然後分段加密 接下来, 计算 b == a^m mod n, (0 = b n) b 就是加密後的资料 解码的过程是： 计算 c == b^r mod pq (0 = c pq) 可以证明 c 和 a 其实是相等的 ;(3) 椭圆曲线密码体制(ECC) 1985年，N. Koblitz和V. Miller分别独立提出了椭圆曲线密码体制(ECC)，其依据就是定义在椭圆曲线点群上的离散对数问