|
千呼萬喚始出來���,最近工作實在太忙了���,所以第22章的第一節(jié)和第二節(jié)間隔時間太長了����,估計快有兩個月了�����,所以還是先給大家回顧一下22章的主要章節(jié)構(gòu)成?。 月底就要考試了���,大家加油哈?����! 第22 章 信息系統(tǒng)安全管理(609—670頁,共62頁)包括5節(jié)����,分別是22.1 信息系統(tǒng)安全策略���;22.2信息安全系統(tǒng)工程��;22.3 PKI公開密鑰基礎(chǔ)設(shè)施�;22.4 PMI權(quán)限(授權(quán))管理基礎(chǔ)設(shè)施����;22.5 信息安全審計。今天分享第二節(jié)���,這節(jié)內(nèi)容其實比較多�����,所以總結(jié)的圖表也比較多��,花了大概兩個全天的時間整理的?���。 22.2信息安全系統(tǒng)工程(是整個信息系統(tǒng)工程的一部分) 本節(jié)包括信息安全系統(tǒng)工程概述、信息安全系統(tǒng)及其架構(gòu)體系����、工程基礎(chǔ)、工程體系結(jié)構(gòu)五小部分����。 信息系統(tǒng)=一個或多個業(yè)務(wù)應(yīng)用信息系統(tǒng)(主要)+一個信息安全系統(tǒng)(次要���,但又必不可少) 【業(yè)務(wù)應(yīng)用信息系統(tǒng)工程關(guān)注的問題】客戶的需求����、業(yè)務(wù)流程、價值鏈等的企業(yè)的業(yè)務(wù)優(yōu)化和改造的問題�。 信息安全系統(tǒng)是客觀的、獨立于業(yè)務(wù)應(yīng)用信息系統(tǒng)而存在的信息系統(tǒng)�����,用于保證“業(yè)務(wù)應(yīng)用信息系統(tǒng)”正常運營。 信息安全系統(tǒng)與業(yè)務(wù)應(yīng)用信息系統(tǒng)既有區(qū)別又有緊密聯(lián)系。 【相同點】用戶的業(yè)務(wù)應(yīng)用信息系統(tǒng)生命周期與信息安全系統(tǒng)生命周期的關(guān)系幾乎是一樣的��,因為它們是同步進行的����。 【不同點】但是,它們在工程實施過程和工程保證過程則完全不同的。其中最大不同點是����,信息安全系統(tǒng)從項目啟動(立項)開始�����,需要嚴格保密的。一般情況下,不允許外單位人員參加���。所有參加該項目的人員,不僅需要簽訂工程建設(shè)期間的保密協(xié)議����,還要簽訂3-5年不泄密的保密協(xié)議。 1、信息安全系統(tǒng)工程概述 【背景】由業(yè)務(wù)應(yīng)用信息系統(tǒng)再來解決安全����,?已經(jīng)不能勝任�����。再由操作系統(tǒng)���、數(shù)據(jù)庫系統(tǒng)���、網(wǎng)絡(luò)管理系統(tǒng)來解決安全問題,也不能滿足實際的需要�����,于是才不得不建立獨立的信息安全系統(tǒng)。 【定義及內(nèi)容】信息安全系統(tǒng)工程就是要建造一個信息安全系統(tǒng)����,而且最好是與業(yè)務(wù)應(yīng)用信息系統(tǒng)工程同步進行���,圍繞“信息安全”的內(nèi)容,如信息安全風險評估、信息安全策略制定、信息安全需求確定��、信息安全系統(tǒng)總體設(shè)計�����、信息安全系統(tǒng)詳細設(shè)計����、信息安全系統(tǒng)設(shè)備選型、信息安全系統(tǒng)工程招投標���、密鑰密碼機制確定��、資源界定和授權(quán)���、信息安全系統(tǒng)施工中需要注意防泄密問題和施工中后期的信息安全系統(tǒng)測試���、運營、維護的安全管理等問題����。 【注意事項】信息安全系統(tǒng)工程和信息系統(tǒng)安全工程兩個是完全不一樣的,前者主體信息安全系統(tǒng)���,后者主體的信息系統(tǒng)。 2����、信息安全系統(tǒng)架構(gòu)體系 (1)X軸—安全機制:為提供某些安全服務(wù),利用各種安全技術(shù)和技巧���,所形成的一個較為完善的結(jié)構(gòu)體系��。如平臺安全機制��,主要指安全操作系統(tǒng)�����、安全數(shù)據(jù)庫���、應(yīng)用開發(fā)運營的安全平臺以及網(wǎng)絡(luò)安全管理監(jiān)控系統(tǒng)等����。 (2)Y軸—OSI網(wǎng)絡(luò)參考模型:信息安全系統(tǒng)的許多技術(shù)���、技巧都是在網(wǎng)絡(luò)的各個層面上實施的��,離開網(wǎng)絡(luò)�,信息系統(tǒng)的的安全也就失去意義����。 (3)Z軸—安全服務(wù):就是從網(wǎng)絡(luò)中的各個層次提供給信息應(yīng)用系統(tǒng)所需要的安全服務(wù)支持。如對等實體認證服務(wù)��、訪問控制服務(wù)���、數(shù)據(jù)保密服務(wù)等��。 由X, Y, Z三個軸形成的信息安全系統(tǒng)三維空間就是信息系統(tǒng)的“安全空間”�。 隨著網(wǎng)絡(luò)逐層擴展,這個空間不僅范圍逐步加大���,安全的內(nèi)涵也就更豐富����,達到具有認證����、權(quán)限、完整�、加密和不可否認五大要素,也叫作“安全空間”的五大屬性���。 3�����、信息安全系統(tǒng)工程基礎(chǔ) (1)與技術(shù)工程的關(guān)系:離不開以下8個相關(guān)工程:硬件���、軟件����、通信及網(wǎng)絡(luò)、數(shù)據(jù)存儲和災(zāi)備����、系統(tǒng)、測試����、密碼、企業(yè)信息化工程��。 (2)與安全管理的關(guān)系:應(yīng)該吸納安全管理的成熟規(guī)范部分���,主要包括以下內(nèi)容: 4�����、信息安全系統(tǒng)工程體系結(jié)構(gòu) ISSE是一門系統(tǒng)工程學����,它的主要內(nèi)容是確定系統(tǒng)和過程的安全風險�,并且使安全風險降到最低或使其得到有效控制�。 信息安全系統(tǒng)工程能力成熟度模型(Information Security System Engineering Capability Maturity Model���,ISSE-CMM)是一種衡量信息安全系統(tǒng)工程實施能力的方法��,是使用面向工程過程的一種方法���。 ISSE-CMM是建立在統(tǒng)計過程控制理論基礎(chǔ)上的。統(tǒng)計過程控制理論認為���,所有成功企業(yè)的共同特點是它們都具有一整套嚴格定義�����、管理完善�、可測可控的有效業(yè)務(wù)過程�����。 ISSE-CMM模型抽取了這樣一組“好的”工程實施并定義了過程的“能力”�。主要用于指導信息安全系統(tǒng)工程的完善和改進,使信息安全系統(tǒng)工程成為一個清晰定義的��、成熟的��、可管理的��、可控制的����、有效的和可度量的學科。 ISSE-CMM模型是信息安全系統(tǒng)工程實施的度量標準��,它覆蓋了: (1)整個生命期�,包括工程開發(fā)、運行���、維護和終止����。 (2)管理����、組織和工程活動等的組織。 (3)與其他規(guī)范如系統(tǒng)���、軟件����、硬件、人的因素���、測試工程����、系統(tǒng)管理�����、運行和維護等規(guī)范并行的相互作用���。 (4)與其他組織(包括獲取���、系統(tǒng)管理、認證���、認可和評估組織)的相互作用����。  ?表22-2 公共特性表示為取得每一個級別需滿足的成熟的信息安全工程特性 上一篇:軟考高項學習筆記|22-1 信息系統(tǒng)安全策略
2021下半年高級信息系統(tǒng)項目管理師(綜合知識)真題參考答案及詳細解析: 軟考高項2021下半年真題參考答案及詳細解析(一)
軟考高項2021下半年真題答案及詳細解析(二)
軟考高項2021下半年真題答案及詳細解析(三)
2021下半年軟考高項真題及參考答案詳細解析(四)
2021下半年軟考高項真題及參考答案詳細解析(五)
2021下半年軟考高項真題及參考答案詳細解析(六)
2021下半年軟考高項真題及參考答案詳細解析(八)
2021下半年軟考高項真題及參考答案詳細解析(七)
2021上半年高級信息系統(tǒng)項目管理師(綜合知識)真題參考答案及詳細解析: 2021上半年軟考真題及參考答案解析(一)
2021上半年軟考真題及參考答案解析(二)
2021上半年軟考真題及參考答案解析(三)
2021上半年軟考真題及參考答案解析(四)
2021上半年軟考試題及參考答案解析(五)
2021上半年軟考高項真題及參考答案解析(六)
2021上半年軟考高項真題及參考答案解析(七)
2021上半年軟考高項真題及參考答案解析(八)
|
