信息系统项目管理师考前培训2017年下半年全国计算机技术与软件专业技术资格(水平)考试2017年9月讲师:朱建军(江山老师)联系QQ:915446173第三版教程16讲-信息系统安全管理信息系统安全管理2信息系统安全管理322.1信息系统安全策略1、一个单位的安全策略一定是定制的,都是针对本单位的“安全风险(威胁)”来进行防护的。2、安全策略的核心内容就是“七定”,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。首先要解决定方案,其次就是定岗。3、把信息系统的安全目标定位于“系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密”,是错误的,是不现实的,也是不可能的。4、木桶效应的观点是将整个信息系统比作一个木桶,其安全水平是由构成木桶的最短的那块木板决定的。信息系统安全管理45、信息系统安全等级保护:信息系统安全管理56、《信息安全等级保护管理办法》将信息系统的安全保护等级分为5级。第一级(个人合法权益造成损害);第二级(个人合法权益严重损害,或社会利益遭到损害);第三级(公共利益造成严重损害或国家安全造成损害);第四级(公共利益造成特别严重损害国家安全造成严重损害);第五级(国家安全造成特别严重损害)。。7、信息系统安全策略设计8个总原则:①主要领导人负责原则②规范定级原则③依法行政原则④以人为本原则⑤注重效费比原则⑥全面防范、突出重点原则⑦系统、动态原则⑧特殊的安全管理原则8、10个特殊原则:①分权制衡原则②最小特权原则③标准化原则④用成熟的先进技术原则⑤失效保护原则⑥普遍参与原则⑦职责分离原则(专人专职)⑧审计独立原则⑨控制社会影响原则信息系统安全管理622.2信息安全系统工程1、信息安全系统三维空间:X轴是安全机制;Y轴是网络模型;Z轴是安全服务X:安全机制(安全操作系统、安全数据库、应用开发运营)Y:OSI网络参考模型Z:安全服务(认证、权限、完整、加密、不可否认)2、安全空间五大要素:认证、权限、完整、加密、不可否认。3、安全服务:①对等实体认证服务②数据保密服务③数据完整性服务④数据源点认证服务⑤禁止否认服务4、安全技术:①加密技术②数字签名技术③访问控制技术④数据完整性技术⑤认证技术信息系统安全管理75、信息安全保障三种架构:MIS+S(初级)、S-MIS(标准)、S2-MIS(超安全)6、安全管理包括:①物理安全②计算机安全③网络安全④通信安全⑤输入/输出产品的安全⑥操作系统安全⑦数据库系统安全⑧数据安全⑨信息...
