信息系统项目管理师重点难点摘要第24-32章-信息安全管理.doc

什么是信息安全保障系统？一般简称为信息安全系统，可从宏观的三维空间直观地理解信息安全系统的体系架构以及它的组成：1、X轴是安全机制2、Y轴是OSI网络参考模型3、Z轴是安全服务信息安全系统架构体系有哪几个？1、MIS+S：称为初级信息安全保障系统或基本信息安全保障系统。 特点一：业务应用系统基本不变 特点二：硬件和系统软件通用 特点三：安全设备基本不带密码2、S-MIS：称为标准信息安全保障系统。 特点一：硬件和系统软件通用 特点二：PKI/CA安全保障系统必须带密码 特点三：主要的通用的硬件、软件也要PKI/CA认证3、S2-MIS：称为超安全的信息安全保障系统。 特点一：硬件和系统软件都专用 特点二：PKI/CA安全基础设施必须带密码 特点三：业务应用系统必须根本改变 特点四：主要的硬件和系统软件需要PKI/CA认证 业务应用信息系统的安全威胁（风险）可以有多种不同的分类方法。现从风险源的角度来分类：1、自然风险：是不以人的意志为转移的不可抗拒的天灾人祸。如地震、雷击、洪灾等。另外，恐怖事件造成的风险也属于自然风险。2、人为风险：可分为意外的人为事件风险和有意的人为事件风险。 意外的人为事件风险是各种不确定因素综合在一起时偶然发生的，并不是有人故意造成的。 有意的人为事件风险包括欺诈或偷窃、内部员工的有意破坏、怀有恶意的黑客行为等。威胁、脆弱弱、影响之间的关系是什么？ 威胁、脆弱性、影响这三者之间存在一定的对应关系。 威胁可以看成是系统外部对系统产生的作用，而导致系统功能及目标受阻的所有现象。 脆弱性可以看成是系统内部的薄弱点。它是客观存在的，本身没有实际的伤害，但威胁可以利用脆弱性发挥作用。 影响可以看成是威胁与脆弱性的特殊组合。 三者的关系可以用以下的公式来表示：风险=威胁*弱点*影响风险识别和风险评估的方法 复制链接 查看:286回复:0 1# 字体大小: t T 发表于 2011-04-03 08:15 |只看楼主 尽管特定事件的发生具有不可预测性，但在一定时期的多数事件发生的可能性可以凭借一定的技术手段和经验进行可信度评估，基本能够对项目的风险做出比较准确的识别和评估。 风险识别的常用方法有： 1、问询法：头脑风暴法、面谈法、德尔菲法 2、财务报表法：各种财务报表和记录 3、流程图法：网络图法或WBS法 4、现场观察法 5、历史资料 6、环境分析法 7、类比法 8、专家咨询风险评估的常用方法有：1、概率分布：专家预测2、外推法：使用历史数据3、定性评估4、矩阵图分析5、风险发展趋势评价方法6、项目假设前提评价及数据准确度评估安全策略的概念及核心内容 复制链接 查看:238回复:0 1# 字体大小: t T 发表于 2011-04-03 10:25 |只看楼主 什么是安全策略？ 安全策略是指计算机业务应用信息系统的“安全策略”，是指人们为保护因为使用计算机业务应用信息系统可能招致来的对单位资产造成损失而进行保护的各种措施、手段，以及建立的各种管理制度、法规等。安全策略的核心内容为“七定“ 1、定方案 2、定岗 3、定位 4、定员 5、定目标 6、定制度 7、定工作流程 S-MIS：称为（）。 特点一：硬件和系统软件通用 特点二：（） 特点三：主要的通用的硬件、软件也要PKI/CA认证 S2-MIS：称为超安全的信息安全保障系统。 特点一：硬件和系统软件都专用 特点二：PKI/CA安全基础设施必须带密码 特点三：（） 特点四：主要的硬件和系统软件需要（）认证从风险源的角度来分类：1、（ ）风险：是不以人的意志为转移的不可抗拒的天灾人祸。如地震、雷击、洪灾等。另外，恐怖事件造成的风险也属于自然风险。2、（）风险：可分为意外的人为事件风险和有意的人为事件风险。 意外的人为事件风险是各种不确定因素综合在一起时偶然发生的，并不是有人故意造成的。 有意的人为事件风险包括欺诈或偷窃、内部员工的有意破坏、怀有恶意的黑客行为等。 MIS+S：称为初级信息安全保障系统或基本信息安全保障系统。 特点一：业务应用系统基本不变 特点二：硬件和系统软件通用 特点三：（）建立安全策略需处理好的几种关系：1、安全与应用的依存关系：安全与应用既是一对矛盾，又相互依存。没有应用，就不会产生相应的安全需求；不妥善地解决安全问题，就不将能更好地开展应用。2、风险度的观点：安全是相对的，是一个风险大小的问题。它是一个动态的过程。我们不能一厢情愿地追求所谓绝对安全，而是要将安全风险控制在合理程度或允许的范围，这就是风险度的观点。3、适度安全的观点： 安全代价低，安全风险肯定大。安全风险要降得很低，安全的代价也就越大。一个好的信息安全保障系统的标志就是有效控制两者的”平衡点“。4、木桶效应的观点：该观点是将整个信息安全系统从一个完整的系统角度，比作一个木桶，其安全水平是由构成木桶的最短的那块木板决定的。也就是说，我们的信息安全系统中，各个安全要素是同等重要的。5、安全等级保护的概念：计算机信息安全保护等级划分准则建立了安全等级保护制度。它将计算机信息系统分为五个安全保护等级：（1）第一级为用户自主保护级（2）第二级为系统审计保护级（3）第三级为安全标记保护级（4）第四级为结构化保护级（5）第五级为访问验证保护级回复 深X22郭磊的帖子高级教程571页：1、用户自主保护级：适用于普通内联网用户2、系统审计保护级：适用于通过内联网或国际网进行商务活动，需要保密的非重要单位3、安全标记保护级：适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位4、结构化保护级：适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设