信息安全系统工程考试复习2011.docVIP

1、用WPDRRC这六个环节和人、政策（包括法律、法规、制度、管理）和技术三大要素来构成宏观的信息网络安全保障体系结构的框架。 Warn protect detect react restore counterattack 切克兰德的“调查学习模式” 3、典型的系统工程模型 系统工程过程概述（针对信息系统） 发掘信息保护需求过程 TOE评估过程 CC对TOE开发过程的概述 我国信息安全保障体系的基本构架 9、安全工程过程的分类 ISSE(information systems security engineer)信息系统工程安全：是采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全的过程，是将经过时间考验证明是正确的工程实践流程、管理技术和当前能够得到的最好的技术方法相结合的过程 安全：1. 安全是指客观事物的危险程度能够为人们普遍接受的状态 2. 安全是指没有引起死亡、伤害、职业病或财产、设备的损坏或损失或环境危害 的条件。（美国军用标准MIL—STD— 382C ） 3. 安全是指不因人、机、媒介的相互作用而导致系统损失、人员伤害、任务受影 响或造成时间的损失。 生命周期：从其创建或诞生，到被使用或操作，到存储，再到被传递，直至其生命期结束而被销毁或丢弃，各个环节各个阶段都应该被考虑到，安全保护应该兼顾信息存在的各种状态，不能够有所遗漏。 系统生命周期包括以下几个阶段：启动、开发/采办、实现、运行/维护、废弃 4、必威体育官网网址性Confidentiality：信息不被泄漏给非授权的用户、实体或进程，或被其利用的特性 5、完整性Integrality：信息未经授权不能进行更改的特性，即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 6、可用性Availability ：信息可被授权实体访问并按需求使用的特性 7、可控性Controllability ：指能够控制使用信息资源的人或实体的使用方式 8、不可否认性Non-repudiation ：也称抗抵赖性，是防止实体否认其已经发生的行为 9、可追究性Accountability ：指确保某个实体的行动能唯一地追溯到该实体 10、可靠性：系统在一定时间内、在一定条件下无故障地执行指定功能的能力或可能性 11、信息安全策略：信息安全策略是一组规则，这组规则描述了一个组织实现的信息安全目标和实现这些信息安全目标的途径。（从管理角度看，信息安全策略是组织关于信息安全的文件，是一个组织关于信息安全的基本指导规则。它通常由组织最高管理层批准，在整个组织内发布其目标在于减少信息安全事故的发生，将信息安全事故的影响与损失减低到最小） 12、SSE-CMM：Systems Security Engineering – Capability SSAM（SSE-CMM Appraisal Method）： SSAM（SSE-CMM Appraisal Method））：SSAM是组织层面或项目层面的评定方法。 评估目标(TOE)：IT产品或系统及其相关的管理指南和用户指南文档，是评估的对象。 共同准则(Common Criteria )：是一个国际认可的ISO标准（ISO15408），被用于政府以及其他组织去评定IT产品的安全和保障 软件模块的内聚性：内聚是一个模块内部各个元素彼此结合的紧密程度的度量。 软件模块的耦合性: 耦合是模块间互相连接的紧密程度的度量，它取决于各个模块之间接口的复杂度、调用方式以及哪些信息通过接口。 脆弱性： 需求跟踪矩阵： BP的工作结果/产品： CA的定义： PDRR： WPDRRC： 简答题 软件设计过程模型（至少五个）：瀑布模型，演化模型，螺旋模型，增量模型，喷泉模型，快速应用开发（ RAD ）模型。 软件设计过程的体系结构：一个程序或计算机系统的软件体系结构包括一个或一组软件构件、软件构件的外部可见特性及其相互关系。软件体系结构的基本单位是软件构件，软件构件是一个软件体系结构的核心。 信息安全保障：对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程。它运用源于人、管理、技术等因素所形成的预警能力、保护能力、检测能力、反应能力、恢复能力和反击能力，在信息和系统生命周期全过程的各个状态下，保证信息内容、计算环境、边界与连接、网络基础设施的真实性、可用性、完整性、必威体育官网网址性、可控性、不可否认性等安全属性，从而保障应用服务的效率和效益，促进信息化的可持续健康发展。 我国信息安全保障现状：信息系统也逐步成为国家关键基础设施 安全问题不容乐观 核心技术在他人之后 信息安全政策、法规不完善 信息安全管理机构混乱 信息安全产业相对滞后