文档介绍：信息系统项目管理师
信息系统安全
柳栋桢
整理课件
第24章信息安全系统和安全体系
信息安全系统三维空间
整理课件
●"需要时，授权实体可以访问和使用的特性"指的是信息安全的（15）。
　　（15）A．保目标受阻的所有现象，而脆弱性是系统内部的薄弱点，威胁可以利用系统的脆弱
性发挥作用，系统风险可以看做是威胁利用了脆弱性而引起的。
影响可以看做是威胁与脆弱性的特殊组合：
整理课件
风险识别与风险评估方法

整理课件
风险评估方法：
定量评估法：
整理课件
将某一项具体的风险划分成了一些等级
将不同的安全事件用与其相关的安全资产价值及其发生的概率来进行比较和
等级排序
整理课件
关注意外事故造成的影响，并由此决定哪些系统应该给予较高的优先级。
0
1
2
1
2
3
2
3
4
确定某一资产或系统的安全风险是否在可以接受的范围内
整理课件
第26章安全策略
建立安全策略
概念：人们为了保护因为使用计算机信息应用系统可能招致的对单位资产造成损失而进行保护的各种措施、手段，以及建立的各种管理制度、法规等。
安全策略的归宿点就是单位的资产得到有效保护。
风险度的概念：
整理课件
适度安全的观点
木桶效应观点
整理课件
等级保护
整理课件
整理课件
设计原则
系统安全方案
与安全方案有关的系统组成要素
整理课件
制定安全方案要点：
整理课件
系统安全策略主要内容
主要内容：
整理课件
第27章信息安全技术基础
密码技术
密码技术是信息安全的根本，是建立“安全空间”“论证”、权限、完整、加密和
不可否认“5大要素不可或缺的基石
整理课件
整理课件
整理课件
对称与不对称加密
整理课件
DES算法
美国国家标准局1973年开始研究除国防部外的其它部门的计算机系统的数据加密标准，于1973年5月15日和1974年8月27日先后两次向公众发出了征求加密算法的公告。加密算法要达到的目的（通常称为DES 密码算法要求）主要为以下四点：
1、提供高质量的数据保护，防止数据未经授权的泄露和未被察觉的修改；
2、具有相当高的复杂性，使得破译的开销超过可能获得的利益，同时又要便于理解和掌握；
3、DES密码体制的安全性应该不依赖于算法的保密，其安全性仅以加密密钥的保密为基础；
4、实现经济，运行有效，并且适用于多种完全不同的应用。
1977年1月，美国政府颁布：采纳IBM公司设计的方案作为非机密数据的正式数据加密标准(DES：Data Encryption Standard)。
整理课件
3DES算法
在1977年，人们估计要耗资两千万美元才能建成一个专门计算机用于DES的解密，而且需要12个小时的破解才能得到结果。所以，当时DES被认为是一种十分强壮的加密方法。
但是，当今的计算机速度越来越快了，制造一台这样特殊的机器的花费已经降到了十万美元左右，所以用它来保护十亿美元的银行间线缆时，就会仔细考虑了。另一个方面，如果只用它来保护一台服务器，那么DES确实是一种好的办法，因为黑客绝不会仅仅为入侵一个服务器而花那么多的钱破解DES密文。由于现在已经能用二十万美圆制造一台破译DES的特殊的计算机，所以现在再对要求“强壮”加密的场合已经不再适用了。
因为确定一种新的加密法是否真的安全是极为困难的，而且DES的唯一密码学缺点，就是密钥长度相对比较短，所以人们并没有放弃使用DES，而是想出了一个解决其长度问题的方法，即采用三重DES。这种方法用两个密钥对明文进行三次加密，假设两个密钥是K1和K2，其算法的步骤如下：
1. 用密钥K1进行DES加密。
2. 用K2对步骤1的结果进行DES解密。
3. 用步骤2的结果使用密钥K1进行DES加密。
这种方法的缺点，是要花费原来三倍时间，从另一方面来看，三重DES的112（2倍DES密钥长度）位密钥长度是很“强壮”的加密方式了。
整理课件
整理课件
整理课件
主要的公钥算法有：RSA、DSA、DH和ECC。
1、。此算法是最早的公钥算法。它实质是一个通信双方进行密钥协定的协议：两个实体中的任何一个使用自己的私钥和另一实体的公钥，得到一个对称密钥，这一对称密钥其它实体都计算不出来。DH算法的安全性基于有限域上计算离散对数的困难性。离散对数的研究现状表明：所使用的DH密钥至少需要1024位，才能保证有足够的中、长期安全。