软件项目管理师教程安全部分.ppt

信息系统项目管理师 信息系统安全 柳栋桢 第24章 信息安全系统和安全体系 24.1 信息安全系统三维空间 24.1 安全机制 1、基础设施实体安全 2、平台安全 3、数据安全 4、通信安全 5、应用安全 6、运行安全 7、管理安全 8、授权和审计安全 9、安全防范体系 安全服务 1、对等实体论证服务 2、数据必威体育官网网址服务 3、数据完整性服务 4、数据源点论证服务 5、禁止否认服务 6、犯罪证据提供服务 安全技术 1、加密技术 2、数据签名技术 3、访问控制技术 4、数据完整性技术 5、认证技术 6、数据挖掘技术 信息系统的安全贯穿于系统的全生命周期，为了其安全，必须从物理安全、技术安全和安全管理三方面入手，只有这三种安全一起实施，才能做到对信息系统的安全保护。其中的物理安全又包括环境安全、设施和设备安全以及介质安全。 24.2 信息安全系统架构体系 S-MIS S2-MIS——Super Security-MIS 24.3 信息安全系统支持背景 第25章 信息系统安全风险评估 25.1 信息安全与安全风险 25.2 安全风险识别 25.2.2安全威胁的对象及资产评估鉴定 资产评估鉴定的目的是区别对待，分等级保护 25.2.3 信息系统安全薄弱环节鉴定评估 25.3 风险识别与风险评估方法 25.3 风险评估方法： 第26章 安全策略 26.1 建立安全策略 适度安全的观点 等级保护 26.3 设计原则 26.5 系统安全策略主要内容 第27章 信息安全技术基础 27.1 密码技术 DES算法 3DES算法 主要的公钥算法有：RSA、DSA、DH和ECC。 27.1.3 哈希算法-摘要算法 27.1.5数字签名与验证 27.1.6 数字时间戳 27.1.7 利用非对称密钥传输对称加密密钥 27.1.8 国家密码和安全产品管理 27.2 虚拟专用 网和虚拟本地网 27.3 无线安全网络WLAN 第28章 PKI公钥基础设施 PKI特点 28.3 数字证书的生命周期 28.4 X.509信任模型 28.6 CA应用 第29章 PMI权限管理基础设施 第30章 信息安全审计 30.2 安全审计系统建设 第31章 信息安全系统的组织与管理 1、利用入侵监测预警系统实现网络与主机信息监测审计 2、对重要应用系统运行情况的审计 3、基于网络旁路监控方式 安全审计是保障计算机系统安全的重要手段之一，其作用不包括（1）。 （1）A. 检测对系统的入侵 B. 发现计算机的滥用情况 C. 发现系统入侵行为和潜在的漏洞 D. 保证可信网络内部信息不外泄 1、信息安全管理国际标准 涉及10个领域： 2、信息安全管理体系实施 31.5.5 ISO27000系列标准 2005年10月15日ISO发布了国际标准ISO/IEC27001：2005，正式标题为 《BS7799-2：2005 信息技术-安全技术-信息安全管理体系-要求》 PKI作为一般通用性的安全基础设施，必须具备如下主要特点： 1、节省费用：在一个大型组织中，实施统一的安全解决方案，比起实施多个有限的解决方案，费用要节省得多。分散的方案集成困难，新增接入代价大，实施、维护、运营多个点对点的解决方案与单一的基本方案比，开销要高很多。 2、互操作性：统一的基础设施要比分散多个解决方案具有更高的互操作性，统一安全基础设施平台，开发方案等标准化，更具互操作性，而分散的解决方案可能采用互不兼容的操作流程和工具平台。 3、开放性：任何技术的早期设计，都希望将来能和其它企业间实现互操作。一个基于开放的、国际标准公认的基础设施技术比一个专有的点对点的技术方案更可信和方便。点对点的技术方案不能处理多域间的复杂性，不具有开放性。 4、一致性：安全基础设施为所有的应用程序和设备提供了可靠的、一致的解决方案。与一系列互不兼容的解决方案比，这种一致性的解决方案在一个企业内更易于安装、管理和维护。 5、可验证性：安全基础设施为各种应用系统和设备之间的交互提供了可能，因为，所有的交互采用统一的处理方式。也就是说，基础设施的操作和交互可以被验证是否正确，这个独立的、可信任的验证机构就是认证机构CA。在独立的点对点解决方案之间，安全性很难得到保证，因为即使每一个解决方案都经过严格测试，但方案间的交互很难进行大规模的、全面测试。 6、可选择性：公钥基础设施会建立许多被授权的提供者，基础设施提供者可以是一个企业内部的特设机构，更主要的是经论证的第三方机构。使用者可以根据这些机构的专业技术水平、价格、服务功能等因素，自由选择，这和其它基础设施一样，比如我们