信息系统项目管理师.pptxVIP

信息系统项目管理师信息系统安全柳栋桢第24章 信息安全系统和安全体系24.1 信息安全系统三维空间●需要时，授权实体可以访问和使用的特性指的是信息安全的（15）。 　（15）A．保密性 　B．完整性 　C．可用性 　D．可靠性 24.1 安全机制 1、基础设施实体安全 2、平台安全 3、数据安全 4、通信安全 5、应用安全 6、运行安全 7、管理安全 8、授权和审计安全 9、安全防范体系安全服务 1、对等实体论证服务 2、数据保密服务 3、数据完整性服务 4、数据源点论证服务 5、禁止否认服务 6、犯罪证据提供服务安全技术 1、加密技术 2、数据签名技术 3、访问控制技术 4、数据完整性技术 5、认证技术 6、数据挖掘技术 信息系统的安全贯穿于系统的全生命周期，为了其安全，必须从物理安全、技术安全和安全管理三方面入手，只有这三种安全一起实施，才能做到对信息系统的安全保护。其中的物理安全又包括环境安全、设施和设备安全以及介质安全。 24.2 信息安全系统架构体系三种不同的系统架构：MIS+S、S-MIS S2-MIS业务应用系统基本不变硬件和系统软件通用安全设备基本不带密码不使用PKI/CA技术应用系统S-MIS1、硬件和系统软件通用2、PKI/CA安全保障系统必须带密码3、业务应用系统必须根本改变4、主要的通用硬件、软件也要通过PKI/CA论证应用系统S2-MIS——Super Security-MIS1、硬件和系统软件都是专用系统2、PKI/CA安全基础设施必须带密码3、业务应用系统必须根本改变4、主要硬件和软件需要PKI/CA论证　●（16）不是超安全的信息安全保障系统（S2-MIS）的特点或要求。 　（16）A．硬件和系统软件通用 　B．PKI/CA安全保障系统必须带密码 　C．业务应用系统在实施过程中有重大变化 　D．主要的硬件和系统软件需要PKI/CA认证 ERP为Enterprise Resource Planning的缩写，中文的名称是企业资源规划。 CRM为Customer Relationship Management的缩写，中文的名称为客户关系管理。 MRPII为Manufacturing Resource Planning的缩写，中文名称为制造资源计划。 24.3 信息安全系统支持背景信息安全保障系统的核心就是保证信息、数据的安全24.4 信息安全保障系统定义信息安全保障系统是一个在网络上，集成各种硬件、软件和密码设备，以保障其他业务应用信息系统正常运行的专用的信息应用系统，以及与之相关的岗位、人员、策略、制度和规程的总和。● 信息安全从社会层面来看，反映在(17)这三个方面。 （17）A．网络空间的幂结构规律、自主参与规律和冲突规律 　B．物理安全、数据安全和内容安全 　C．网络空间中的舆论文化、社会行为和技术环境 　D．机密性、完整性、可用性 第25章 信息系统安全风险评估25.1 信息安全与安全风险 如何建设信息安全保障系统——对现有系统进行风险分析、识别、评估，并为之制定防范措施。25.2 安全风险识别安全威胁也叫安全风险，风险是指特定的威胁或因单位资产的脆弱性而导致单位资产损失或伤害的可能性。三方面含义：1、对信息或资产产生影响2、威胁的发生会对资产产生影响3、威胁具有发生的可能性（概率）25.2.1 分类：按性质划分：静态、动态按结果划分：纯粹风险、投机风险按风险源划分：自事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、应用风险、用户使用风险25.2.2安全威胁的对象及资产评估鉴定1、安全威胁的对象资产评估鉴定的目的是区别对待，分等级保护资产评估鉴定分级：1、可忽略级别2、较低级3、中等级4、较高级5、非常高资产之间的相关性在进行资产评估时必须加以考虑 资产评估的结果是列出所有被评估的资产清单，包括资产在保密性、可用性、完整性方面的价值极其重要性25.2.3 信息系统安全薄弱环节鉴定评估1、威胁、脆弱性、影响这三者之间存在的对应关系，威胁是系统外部对系统产生的作用，而导致系统功能及目标受阻的所有现象，而脆弱性是系统内部的薄弱点，威胁可以利用系统的脆弱性发挥作用，系统风险可以看做是威胁利用了脆弱性而引起的。影响可以看做是威胁与脆弱性的特殊组合：25.3 风险识别与风险评估方法25.3.1风险识别方法25.3 风险评估方法：定量评估法：将某一项具体的风险划分成了一些等级将不同的安全事件用与其相关的安全资产价值及其发生的概率来进行比较和等级排序关注意外事故造成的影响，并由此决定哪些系统应该给予较高的优先级。012123234确定某一资产或系统的安全风险是否在可以接受的范围内第26章 安全策略26.1 建立安全策略 概念：人们为了保护因为使用计算机信息应用系统可能招致的对单位资产造成损