文档介绍:信息系统项目管理师
信息系统安全
柳栋桢
信息系统项目管理师概述
第1页
第24章 信息安全系统和安全体系
信息安全系统三维空间
信息系统项目管理师概述
第2页
●"需要时,授权实体能够访问和使用特征"指分等级保护
资产评定判定分级:
1、可忽略级别
2、较低级
3、中等级
4、较高级
5、非常高
资产之间相关性在进行资产评定时必须加以考虑
资产评定结果是列出全部被评定资产清单,包含资产在保密性、可用性、完整性方面价值极其主要性
信息系统项目管理师概述
第20页
信息系统安全微弱步骤判定评定
1、威胁、脆弱性、影响
这三者之间存在对应关系,威胁是系统外部对系统产生作用,而造成系统功效
及目标受阻全部现象,而脆弱性是系统内部微弱点,威胁能够利用系统脆弱
性发挥作用,系统风险能够看做是威胁利用了脆弱性而引发。
影响能够看做是威胁与脆弱性特殊组合:
信息系统项目管理师概述
第21页
风险识别与风险评定方法
信息系统项目管理师概述
第22页
风险评定方法:
定量评定法:
信息系统项目管理师概述
第23页
将某一项详细风险划分成了一些等级
将不一样安全事件用与其相关安全资产价值及其发生概率来进行比较和
等级排序
信息系统项目管理师概述
第24页
关注意外事故造成影响,并由此决定哪些系统应该给予较高优先级。
0
1
2
1
2
3
2
3
4
确定某一资产或系统安全风险是否在能够接收范围内
信息系统项目管理师概述
第25页
第26章 安全策略
建立安全策略
概念:人们为了保护因为使用计算机信息应用系统可能招致对单位资产造成损失而进行保护各种办法、伎俩,以及建立各种管理制度、法规等。
安全策略归宿点就是单位资产得到有效保护。
风险度概念:
信息系统项目管理师概述
第26页
适度安全观点
木桶效应观点
信息系统项目管理师概述
第27页
等级保护
信息系统项目管理师概述
第28页
信息系统项目管理师概述
第29页
设计标准
系统安全方案
与安全方案相关系统组成要素
信息系统项目管理师概述
第30页
制订安全方案关键点:
信息系统项目管理师概述
第31页
系统安全策略主要内容
主要内容:
信息系统项目管理师概述
第32页
第27章 信息安全技术基础
密码技术
密码技术是信息安全根本,是建立“安全空间”“论证”、权限、完整、加密和
不可否定“5大要素不可或缺基石
信息系统项目管理师概述
第33页
信息系统项目管理师概述
第34页
信息系统项目管理师概述
第35页
对称与不对称加密
信息系统项目管理师概述
第36页
DES算法
美国国家标准局1973年开始研究除国防部外其它部门计算机系统数据加密标准,于1973年5月15日和1974年8月27日先后两次向公众发出了征求加密算法公告。加密算法要到达目标(通常称为DES 密码算法要求)主要为以下四点:
1、提供高质量数据保护,预防数据未经授权泄露和未被觉察修改;
2、含有相当高复杂性,使得破译开销超出可能取得利益,同时又要便于了解和掌握;
3、DES密码体制安全性应该不依赖于算法保密,其安全性仅以加密密钥保密为基础;
4、实现经济,运行有效,而且适合用于各种完全不一样应用。
1977年1月,美国政府颁布:采纳IBM企业设计方案作为非机密数据正式数据加密标准(DES:Data Encryption Standard)。
信息系统项目管理师概述
第37页
3DES算法
在1977年,人们预计要耗资两千万美元才能建成一个专门计算机用于DES解密,而且需要12个小时破解才能得到结果。所以,当初DES被认为是一个十分强壮加密方法。
不过,当今计算机速度越来越快了,制造一台这么特殊机器花费已经降到了十万美元左右,所以用它来保护十亿美元银行间线缆时,就会仔细考虑了。另一个方面,假如只用它来保护一台服务器,那么DES确实是一个好方法,因为黑客绝不会仅仅为入侵一个服务器而花那么多钱破解DES密文。因为现在已经能用二十万美圆制造一台破译DES特殊计算机,所以现在再对要求“强壮”加密场所已经不再适用了。
因为确定一种新加密法是否真安全是极为困难,而且DES唯一密码学缺点,就是密钥长度相对比较短,所以人们并没有放弃使用DES,而是想出了一个解决其长度问题方法,即采用三重DES。这种方法用两个密钥对明文进行三次加密,假设两个密钥是K