信息系统项目管理师概述

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,信息系统项目管理师,信息系统安全,柳栋桢,第,24,章 信息安全系统和安全体系,24.1,信息安全系统三维空间,需要时，授权实体可以访问和使用的特性,指的是信息安全的（,15,）。,（,15,）,A,保密性,B,完整性,C,可用性,D,可靠性,24.1,安全机制,1,、基础设施实体安全,2,、平台安全,3,、数据安全,4,、通信安全,5,、应用安全,6,、运行安全,7,、管理安全,8,、授权和审计安全,9,、安全防范体系,安全服务,1,、对等实体论证服务,2,、数据保密服务,3,、数据完整性服务,4,、数据源点论证服务,5,、禁止否认服务,6,、犯罪证据提供服务,安全技术,1,、加密技术,2,、数据签名技术,3,、访问控制技术,4,、数据完整性技术,5,、认证技术,6,、数据挖掘技术,信息系统的安全贯穿于系统的全生命周期，为了其安全，必须从物理安全、技术安全和安全管理三方面入手，只有这三种安全一起实施，才能做到对信息系统的安全保护。其中的物理安全又包括环境安全、设施和设备安全以及介质安全。,24.2,信息安全系统架构体系,三种不同的系统架构：,MIS+S,、,S-MIS S2-MIS,业务应用系统基本不变,硬件和系统软件通用,安全设备基本不带密码,不使用,PKI/CA,技术,应用系统,S-MIS,1,、硬件和系统软件通用,2,、,PKI/CA,安全保障系统必须带密码,3,、业务应用系统必须根本改变,4,、主要的通用硬件、软件也要通过,PKI/CA,论证,应用系统,S2-MISSuper Security-MIS,1,、硬件和系系统软件都都是专用系系统,2,、,PKI/CA,安全基础设设施必须带带密码,3,、业务应用用系统必须须根本改变变,4,、主要硬件件和软件需需要,PKI/CA,论证,（,16,）不是超安安全的信息息安全保障障系统（,S2-MIS,）的特点或或要求。,（,16,）,A,硬件和系系统软件通通用,B,PKI/CA,安全保障系系统必须带带密码,C,业务应用用系统在实实施过程中中有重大变变化,D,主要的硬硬件和系统统软件需要要,PKI/CA,认证,ERP,为,Enterprise ResourcePlanning,的缩写，中中文的名称称是企业资资源规划。,CRM,为,CustomerRelationship Management,的缩写，中中文的名称称为客户关关系管理。,MRPII,为,Manufacturing Resource Planning,的缩写，中中文名称为为制造资源源计划。,24.3,信息安全系系统支持背背景,信息安全保保障系统的的核心就是是保证信息息、数据的的安全,24.4,信息安全保保障系统定定义,信息安全保保障系统是是一个在网网络上，集集成各种硬硬件、软件件和,密码设备，以保障其其他业务应应用信息系系统正常运运行的专用用的,信息应用系系统，以及及与之相关关的岗位、人员、策策略、制度度和,规程的总和和。,信息安全从从社会层面面来看，反反映在,(17),这三个方面面。,（,17,）,A,网络空间间的幂结构构规律、自自主参与规规律和冲突突规律,B,物理安全全、数据安安全和内容容安全,C,网络空间间中的舆论论文化、社社会行为和和技术环境境,D,机密性、完整性、可用性,第,25,章 信息系系统安全风风险评估,25.1,信息安全与与安全风险险,如何建设信信息安全保保障系统,对现有系统统进行风险险分析、识识别、评估估，并为之之制定防范范措施。,25.2,安全风险识识别,安全威胁也也叫安全风风险，风险险是指特定定的威胁或或因单位资资产的脆弱弱性而导致致单位资产产损失或伤伤害的可能能性。三方方面含义：,1,、对信息或或资产产生生影响,2,、威胁的发发生会对资资产产生影影响,3,、威胁具有有发生的可可能性（概概率）,分类：,按性质划分分：静态、动态,按结果划分分：纯粹风风险、投机机风险,按风险源划划分：自事事件风险、人为事件件风险、软软件风险、软件过程程风险、项项目管理风风险、应用用风险、用用户使用风风险,安全威胁的的对象及资资产评估鉴鉴定,1,、安全威胁胁的对象,资产评估鉴鉴定的目的的是区别对对待，分等等级保护,资产评估鉴鉴定分级：,1,、可忽略级级别,2,、较低级,3,、中等级,4,、较高级,5,、非常高,资产之间的的相关性在在进行资产产评估时必必须加以考考虑,资产评估的的结果是列列出所有被被评估的资资产清单，包括资产产在保密性性、可用性性、完整性性方面的价价值极其重重要性,信息系统安安全薄弱环环节鉴定评评估,1,、威威胁胁、脆脆弱弱性性、影影响响,这三三者者之之间间存存在在的的对对应应关关系系，威威胁胁是是系系统统外外部部对对系系统统产产生生的的作作用用，而而导导致致系系统统功功能能,及目目标标受受阻阻的的所所有有现现象象，而而脆脆弱弱性性是是系系统统内内部部的的薄薄弱弱点点，威威胁胁可可以以利利用用系系统统的的脆脆弱弱,性发发挥挥作作用用，系系统统风风险险可可以以看看做做是是威威胁胁利利用用了了脆脆弱弱性性而而引引起起的的。,影响响可可以以看看做做是是威威胁胁与与脆脆弱弱性性的的特特殊殊组组合合：,25.3,风险险识识别别与与风风险险评评估估方方法法,风险险识识别别方方法法,25.3,风险险评评估估方方法法：,定量量评评估估法法：,将某某一一项项具具体体的的风风险险划划分分成成了了一一些些等等级级,将不不同同的的安安全全事事件件用用与与其其相相关关的的安安全全资资产产价价值值及及其其发发生生的的概概率率来来进进行行比比较较和和,等级级排排序序,关注注意意外外事事故故造造成成的的影影响响，并并由由此此决决定定哪哪些些系系统统应应该该给给予予较较高高的的优优先先级级。,0,1,2,1,2,3,2,3,4,确定定某某一一资资产产或或系系统统的的安安全全风风险险是是否否在在可可以以接接受受的的范范围围内内,第,26,章安安全全策策略略,26.1,建立立安安全全策策略略,概念念：人人们们为为了了保保护护因因为为使使用用计计算算机机信信息息应应用用系系统统可可能能招招致致的的对对单单位位资资产产造造成成损损失失而而进进行行保保护护的的各各种种措措施施、手手段段，以以及及建建立立的的各各种种管管理理制制度度、法法规规等等。,安全全策策略略的的归归宿宿点点就就是是单单位位的的资资产产得得到到有有效效保保护护。,风险险度度的的概概念念：,适度度安安全全的的观观点点,木桶桶效效应应观观点点,等级级保保护护,26.3,设计计原原则则,26.4,系统统安安全全方方案案,与安安全全方方案案有有关关的的系系统统组组成成要要素素,制定定安安全全方方案案要要点点：,26.5,系统统安安全全策策略略主主要要内内容容,主要要内内容容：,第,27,章信信息息安安全全技技术术基基础础,27.1,密码码技技术术,密码码技技术术是是信信息息安安全全的的根根本本，是是建建立立,“,安全空间间,”“,论证,”,、权限、完整、加密和和,不可否认认,“,5,大要素不不可或缺缺的基石石,对称与不不对称加加密,DES,算法,美国国家家标准局局,1973,年开始研研究除国国防部外外的其它它部门的的计算机机系统的的数据加加密标准准，于,1973,年,5,月,15,日和,1974,年,8,月,27,日先后两两次向公公众发出出了征求求加密算算法的公公告。加加密算法法要达到到的目的的（通常常称为,DES,密码算法法要求）主要为为以下四四点：,1,、提供高高质量的的数据保保护，防防止数据据未经授授权的泄泄露和未未被察觉觉的修改改；,2,、具有相相当高的的复杂性性，使得得破译的的开销超超过可能能获得的的利益，同时又又要便于于理解和和掌握；,3,、,DES,密码体制制的安全全性应该该不依赖赖于算法法的保密密，其安安全性仅仅以加密密密钥的的保密为为基础；,4,、实现经经济，运运行有效效，并且且适用于于多种完完全不同同的应用用。,1977,年,1,月，美国国政府颁颁布：采采纳,IBM,公司设计计的方案案作为非非机密数数据的正正式数据据加密标标准,(DES,：,Data EncryptionStandard),。,3DES,算法,在,1977,年，人们们估计要要耗资两两千万美美元才能能建成一一个专门门计算机机用于,DES,的解密，而且需需要,12,个小时的的破解才才能得到到结果。所以，当时,DES,被认为是是一种十十分强壮壮的加密密方法。,但是，当当今的计计算机速速度越来来越快了了，制造造一台这这样特殊殊的机器器的花费费已经降降到了十十万美元元左右，所以用用它来保保护十亿亿美元的的银行间间线缆时时，就会会仔细考考虑了。另一个个方面，如果只只用它来来保护一一台服务务器，那那么,DES,确实是一一种好的的办法，因为黑黑客绝不不会仅仅仅为入侵侵一个服服务器而而花那么么多的钱钱破解,DES,密文。由由于现在在已经能能用二十十万美圆圆制造一一台破译译,DES,的特殊的的计算机机，所以以现在再再对要求求,“,强壮,”,加密的场场合已经经不再适适用了。,因为确定定一种新新的加密密法是否否真的安安全是极极为困难难的，而而且,DES,的唯一密密码学缺缺点，就就是密钥钥长度相相对比较较短，所所以人们们并没有有放弃使使用,DES,，而是想想出了一一个解决决其长度度问题的的方法，即采用用三重,DES,。这种方方法用两两个密钥钥对明文文进行三三次加密密，假设设两个密密钥是,K1,和,K2,，其算法法的步骤骤如下：,1.,用密钥,K1,进行,DES,加密。,2.,用,K2,对步骤,1,的结果进进行,DES,解密。,3.,用步骤,2,的结果使使用密钥钥,K1,进行,DES,加密。,这种方法法的缺点点，是要要花费原原来三倍倍时间，从另一一方面来来看，三三重,DES,的,112,（,2,倍,DES,密钥长度度）位密密钥长度度是很,“,强壮,”,的加密方方式了。,主要的公公钥算法法有：,RSA,、,DSA,、,DH,和,ECC,。,1,、,DH,算法是,W.Diffie,和,M.Hellman,提出的。此算法法是最早早的公钥钥算法。它实质质是一个个通信双双方进行行密钥协协定的协协议：两两个实体体中的任任何一个个使用自自己的私私钥和另另一实体体的公钥钥，得到到一个对对称密钥钥，这一一对称密密钥其它它实体都都计算不不出来。,DH,算法的安安全性基基于有限限域上计计算离散散对数的的困难性性。离散散对数的的研究现现状表明明：所使使用的,DH,密钥至少少需要,1024,位，才能能保证有有足够的的中、长长期安全全。,首先，发发送方和和接收方方设置相相同的大大素数,n,和,g,，这两个个数不是是保密的的，他们们可以通通过非安安全通道道来协商商这两个个素数；,接着，他他们用下下面的方方法协商商密钥：,发送方选选择一个个大随机机整数,x,，计算,X=gxmod n,，发送,X,给接收者者；,接收方选选择一个个大随机机整数,y,，计算,Y =gy modn,，发送,Y,给发送方方；,双方方计计算算密密钥钥：发发送送方方密密钥钥为为,k1=Yxmodn,，接接收收方方密密钥钥为为,k2=Xymodn,。,其中中,k1=k2=g(xy)modn,。,（,2,）,RSA,算法法,当前前最最著著名名、应应用用最最广广泛泛的的公公钥钥系系统统,RSA,是在在,1978,年，由由美美国国麻麻省省理理工工学学院院,(MIT),的,Rivest,、,Shamir,和,Adleman,在题题为为,获得得数数字字签签名名和和公公开开钥钥密密码码系系统统的的方方法法,的论论文文中中提提出出的的。它它是是一一个个基基于于数数论论的的非非对对称称,(,公开开钥钥,),密码码体体制制，是是一一种种分分组组密密码码体体制制。其其名名称称来来自自于于三三个个发发明明者者的的姓姓名名首首字字母母。它它的的安安全全性性是是基基于于大大整整数数素素因因子子分分解解的的困困难难性性，而而大大整整数数因因子子分分解解问问题题是是数数学学上上的的著著名名难难题题，至至今今没没有有有有效效的的方方法法予予以以解解决决，因因此此可可以以确确保保,RSA,算法法的的安安全全性性。,RSA,系统统是是公公钥钥系系统统的的最最具具有有典典型型意意义义的的方方法法，大大多多数数使使用用公公钥钥密密码码进进行行加加密密和和数数字字签签名名的的产产品品和和标标准准使使用用的的都都是是,RSA,算法。,RSA,算法是第一个个既能用于数数据加密也能能用于数字签签名的算法，因此它为公公用网络上信信息的加密和和鉴别提供了了一种基本的的方法。,它通常是先生生成一对,RSA,密钥，其中之之一是保密密密钥，由用户户保存；另一一个为公开密密钥，可对外外公开，甚至至可在网络服服务器中注册册，人们用公公钥加密文件件发送给个人人，个人就可可以用私钥解解密接受。为为提高保密强强度，,RSA,密钥至少为,500,位长，一般推推荐使用,1024,位。,RSA,算法的安全性性基于数论中中大素数分解解的困难性，所以，,RSA,需采用足够大大的整数。因因子分解越困困难，密码就就越难以破译译，加密强度度就越高。,RSA,算法如下：,1,、找出三个大大数, p,q, r,其中,p, q,是两个相异的的质数, r,是与,(p-1)(q-1),互质的数,p, q,r,这三个数便是是,private key,2,、找出,m,，使得,rm =1 mod (p-1)(q-1),这个,m,一定存在,因为,r,与,(p-1)(q-1),互质，用辗转转相除法就可可以得到了,3,、再来,计算,n = pq,m, n,这两个数便是是,public key,加密过程是：,假设明文资料料为,a,，将其看成是是一个大整数数，假设,a =n,的话，就将,a,表成,s,进位,(s =n,通常取,s = 2t),，,则每一位数均均小于,n,然後分段加密密,接下来,计算,b =am mod n,(0 = b n),b,就是加密後的的资料,解码的过程是是：,计算,c=brmodpq(0=cpq),可以证证明,c,和,a,其实是是相等等的,(3),椭圆曲曲线密密码体体制,(ECC),1985,年，,N.Koblitz,和,V.Miller,分别独独立提提出了了椭圆圆曲线线密码码体制制,(ECC),，其依依据就就是定定义在在椭圆圆曲线线点群群上的的离散散对数数问题题的难难解性性。,为了用用椭圆圆曲线线构造造密码码系统统，首首先需需要找找到一一个单单向陷陷门函函数，椭圆圆曲线线上的的数量量乘就就是这这样的的单向向陷门门函数数。,椭圆曲曲线的的数量量乘是是这样样定义义的：设,E,为域,K,上的椭椭圆曲曲线，,G,为,E,上的一一点，这个个点被被一个个正整整数,k,相乘的的乘法法定义义为,k,个,G,相加，因而而有,kG=G+G+,+G(,共有,k,个,G),若存在在椭圆圆曲线线上的的另一一点,NG,，满足足方程程,kG=N,。容易易看出出，给给定,k,和,G,，计算算,N,相对容容易。而给给定,N,和,G,，计算算,k=logGN,相对困困难。这就就是椭椭圆曲曲线离离散对对数问问题。,离散对对数求求解是是非常常困难难的。椭圆圆曲线线离散散对数数问题题比有有限域域上的的离散散对数数问题题更难难求解解。对对于有有理点点数有有大素素数因因子的的椭圆圆离散散对数数问题题，目目前还还没有有有效效的攻攻击方方法。,哈希算算法,-,摘要算算法,摘要算算法是是一种种能产产生特特殊输输出格格式的的算法法，这这种算算法的的特点点是：无论论用户户输入入什么么长度度的原原始数数据，经过过计算算后输输出的的密文文都是是固定定长度度的，这种种算法法的原原理是是根据据一定定的运运算规规则对对原数数据进进行某某种形形式的的提取取，这这种提提取就就是摘摘要，被摘摘要的的数据据内容容与原原数据据有密密切联联系，只要要原数数据稍稍有改改变，输出出的,“,摘要,”,便完全不不同，因因此，基基于这种种原理的的算法便便能对数数据完整整性提供供较为健健全的保保障。但但是，由由于输出出的密文文是提取取原数据据经过处处理的定定长值，所以它它已经不不能还原原为原数数据，即即消息摘摘要算法法是不可可逆的，理论上上无法通通过反向向运算取取得原数数据内容容，因此此它通常常只能被被用来做做数据完完整性验验证。,如今常用用的,“,消息摘要要,”,算法经历历了多年年验证发发展而保保留下来来的算法法已经不不多，这这其中包包括,MD2,、,MD4,、,MD5,、,SHA,、,SHA-1/256/383/512,等。,常用的摘摘要算法法主要有有,MD5,和,SHA1,。,MD5,的输出结结果为,16,字节，,sha1,的输出结结果为,20,字节。,数字签名名与验证证,数字时间间戳,利用非对对称密钥钥传输对对称加密密密钥,国家密码码和安全全产品管管理,27.2,虚拟专用用 网和和虚拟本本地网,VPN,即虚拟专专用网,(Virtal PrivateNetwork),，是一条条穿过混混乱的公公用网络络的安全全、稳定定的隧道道。通过过对网络络数据的的封包和和加密传传输，在在一个公公用网络络（通常常是因特特网）建建立一个个临时的的、安全全的连接接，从而而实现在在公网上上传输私私有数据据、达到到私有网网络的安安全级别别，如果果接入方方式为拨拨号方式式，则称称之为,VPDN,。通常，,VPN,是对企业业内部网网的扩展展，通过过它可以以帮助远远程用户户、公司司分支机机构、商商业伙伴伴及供应应商同公公司的内内部网建建立可信信的安全全连接，并保证证数据的的安全传传输。,VPN,可用于不不断增长长的移动动用户的的全球因因特网接接入，以以实现安安全连接接；可用用于实现现企业网网站之间间安全通通信的虚虚拟专用用线路，用于经经济有效效地连接接到商业业伙伴和和用户的的安全外外联网虚虚拟专用用网。,SSL,是一种国国际标准准的加密密及身份份认证通通信协议议，您用用的浏览览器就支支持此协协议。,SSL,（,SecureSocketsLayer,）最初是是由美国国,Netscape,公司研究究出来的的，后来来成为了了,Internet,网上安全全通讯与与交易的的标准。,SSL,协议使用用通讯双双方的客客户证书书以及,CA,根证书，允许客客户,/,服务器应应用以一一种不能能被偷听听的方式式通讯，在通讯讯双方间间建立起起了一条条安全的的、可信信任的通通讯通道道。它具具备以下下基本特特征：信信息保密密性、信信息完整整性、相相互鉴定定。主主要用于于提高应应用程序序之间数数据的安安全系数数。,SSL,协议的整整个概念念可以被被总结为为：一个个保证任任何安装装了安全全套接字字的客户户和服务务器间事事务安全全的协议议，它涉涉及所有有,TC/IP,应用程序序。,openssl,是一个功功能丰富富且自包包含的开开源安全全工具箱箱。它提提供的主主要功能能有：,SSL,协议实现现,(,包括,SSLv2,、,SSLv3,和,TLSv1),、大量软软算法,(,对称,/,非对称,/,摘要,),、大数运运算、非非对称算算法密钥钥生成、,ASN.1,编解码库库、证书书请求,(PKCS10),编解码、数字证证书编解解码、,CRL,编解码码、,OCSP,协议、数字字证书书验证证、,PKCS7,标准实实现和和,PKCS12,个人数数字证证书格格式实实现等等功能能。,openssl,采用,C,语言作作为开开发语语言，这使使得它它具有有优秀秀的跨跨平台台性能能。,openssl,支持,Linux,、,UNIX,、,windows,、,Mac,等平台台。,openssl,目前最最新的的版本本是,0.9.8e.,27.3,无线安安全网网络,WLAN,第,28,章,PKI,公钥基基础设设施,28.1,安全,5,要素,28.2PKI,基本概概念,为了保保证,Internet,的安全全问题题，世世界各各国对对其进进行了了多年年的研研究,初步形形成了了一套套完整整的,Internet,安全解解决方方案，即目目前被被广泛泛采用用的,PKI,技术,(PublicKeyInfrastructure,公钥基基础设设施,),PKI(,公钥基基础设设施,),技术采采用证证书管管理公公钥，通过过第三三方的的可信信任机机构认认证中中心,CA(CertificateAuthority),，把把用用户户的的公公钥钥和和用用户户的的其其它它标标识识信信息息,(,如名名称称、,e-mail,、身身份份证证号号等等,),捆绑绑在在一一起起，在在,Internet,网上上验验证证用用户户的的身身份份。目目前前,通用用的的办办法法是是采采用用建建立立在在,PKI,基础础之之上上的的数数字字证证书书，通通过过把把要要传传输输的的数数字字信信息息进进行行加加密密和和签签名名，保保证证信信息息传传输输的的机机密密性性、真真实实性性、完完整整性性和和不不可可否否认认性性，从从而而保保证证信信息息的的安安全全传传输输。,PKI,特点点,PKI,作为为一一般般通通用用性性的的安安全全基基础础设设施施，必必须须具具备备如如下下主主要要特特点点：,1,、节省费费用：在在一个大大型组织织中，实实施统一一的安全全解决方方案，比比起实施施多个有有限的解解决方案案，费用用要节省省得多。分散的的方案集集成困难难，新增增接入代代价大，实施、维护、运营多多个点对对点的解解决方案案与单一一的基本本方案比比，开销销要高很很多。,2,、互操作作性：统统一的基基础设施施要比分分散多个个解决方方案具有有更高的的互操作作性，统统一安全全基础设设施平台台，开发发方案等等标准化化，更具具互操作作性，而而分散的的解决方方案可能能采用互互不兼容容的操作作流程和和工具平平台。,3,、开放性性：任何何技术的的早期设设计，都都希望将将来能和和其它企企业间实实现互操操作。一一个基于于开放的的、国际际标准公公认的基基础设施施技术比比一个专专有的点点对点的的技术方方案更可可信和方方便。点点对点的的技术方方案不能能处理多多域间的的复杂性性，不具具有开放放性。,4,、一致性性：安全全基础设设施为所所有的应应用程序序和设备备提供了了可靠的的、一致致的解决决方案。与一系系列互不不兼容的的解决方方案比，这种一一致性的的解决方方案在一一个企业业内更易易于安装装、管理理和维护护。,5,、可验证证性：安安全基础础设施为为各种应应用系统统和设备备之间的的交互提提供了可可能，因因为，所所有的交交互采用用统一的的处理方方式。也也就是说说，基础础设施的的操作和和交互可可以被验验证是否否正确，这个独独立的、可信任任的验证证机构就就是认证证机构,CA,。在独立立的点对对点解决决方案之之间，安安全性很很难得到到保证，因为即即使每一一个解决决方案都都经过严严格测试试，但方方案间的的交互很很难进行行大规模模的、全全面测试试。,6,、可选择择性：公公钥基础础设施会会建立许许多被授授权的提提供者，基础设设施提供供者可以以是一个个企业内内部的特特设机构构，更主主要的是是经论证证的第三三方机构构。使用用者可以以根据这这些机构构的专业业技术水水平、价价格、服服务功能能等因素素，自由由选择，这和其其它基础础设施一一样，比比如我们们接入宽宽带可以以选择不不通的接接入服务务商。,国家公共共,PKI,体系信任任模型,国家公共共,PKI,体系采用用网状信信任模型型，由国国家桥桥中心（,NBCA,）、地区区桥中心心（,LBCA,）、公众众服务认认证中心心（,SCA,）和注册册机构组组成。,国家桥中中心,NBCA,是沟通各各地方、各行业业 建立立的,CA,认证中心心的桥梁梁，它只只与,CA,进 行交交叉认证证，不向向最终用用户发放放证书； 地区区桥中心心,LBCA,功能与,NBCA,类似，但但它是自自发组织织的机构构，代表表一批,CA,与,NBCA,交叉认证；,国家公共,PKI,体系示意图,CA,总体结构,为实现相关服服务所需要硬硬件体系结构构和软件系统统功能,DMZ,是英文,“,demilitarized zone,”,的缩写，中文文名称为,“,隔离区,”,，也称,“,非军事化区,”,。它是为了解解决安装防火火墙后外部网网络不能访问问内部网络服服务器的问题题，而设立的的一个非安全全系统与安全全系统之间的的缓冲区，这这个缓冲区位位于企业内部部网络和外部部网络之间的的小网络区域域内，在这个个小网络区域域内可以放置置一些必须公公开的服务器器设施，如企企业,Web,服务器、,FTP,服务器和论坛坛等。另一方方面，通过这这样一个,DMZ,区域，更加有有效地保护了了内部网络，因为这种网网络部署，比比起一般的防防火墙方案，对攻击者来来说又多了一一道关卡。,一个标准的,X.509,数字证书包含含以下一些内内容：,1,、版本号,标识证书的版版本（版本,1,、版本,2,或是版本,3,）。,2,、序列号,由证书颁发者者分配的本证证书的唯一标标识符。,3,、签名,签名算法标识识符，由对象象标识符加上上相关的参数数组成，用于于说明本证书书所用的数字字签名算法。例如，,SHA-1,和,RSA,的对象标识符符就用来说明该该数字签名是是利用,RSA,对,SHA-1,杂凑加密。,4,、颁发者,证书颁发者的的可识别名（,DN,），这是必须须说明。,5,、有效期,证书有效期的的时间段。本本字段由,”,NotBefore,”,和,”,NotAfter,”,两项组成，它它们分别由,UTC,时间或一般的的时间表示（在,RFC2459,中有详细的时时间表示规则则）。,6,、主体,证书拥有者的的可识别名，这个字段必必须是非空的的，除非你在在证书扩展中中有别名。,7,、主体公钥信信息,主体的公钥（以及算法标标识符），这这一项必须说说明。,8,、颁发者唯一一标识符,证书颁发者的的唯一标识符符，仅在版本本,2,和版本,3,中有要求，属属于可选项。,9,、主体唯一标识符,证书拥有者的的唯一标识符符，仅在版本本,2,和版本,3,中有要求，属属于可选项。,10,、扩展,可选的标准和和专用的扩展展（仅在版本本,2,和版本,3,中使用）, 在,X,509,标准中，数字字证书一般不不包含（,18,）,（,18,）,A,版本号,B,序列号,C,有效期,D,密钥,28.3,数字证书的生生命周期,数字证书映射射,信任模型,28.6CA,应用,第,29,章,PMI,权限管理基础础设施,Source ofattributeauthority,第,30,章 信息安安全审计,功能：,30.2,安全审计系统统建设,1,、利用入侵监监测预警系统统实现网络与与主机信息监监测审计,2,、对重要应用用系统运行情情况的审计,3,、基于网络旁旁路监控方式式,安全审计是保保障计算机系系统安全的重重要手段之一一，其作用不不包括（,1,）。,（,1,）,A.,检测对系统的的入侵,B.,发现计算机的的滥用情况,C.,发现系统入侵侵行为和潜在在的漏洞,D.,保证可信网络络内部信息不不外泄,第,31,章信信息息安安全全系系统统的的组组织织与与管管理理,1,、信信息息安安全全管管理理国国际际标标准准,涉及及,10,个领领域域：,2,、信信息息安安全全管管理理体体系系实实施施,系列列标标准准,2005,年,10,月,15,日,ISO,发布布了了国国际际标标准准,ISO/IEC27001,：,2005,，正正式式标标题题为为,BS7799-2,：,2005,信息息技技术术,-,安全全技技术术,-,信息息安安全全管管理理体体系系,-,要求求,如何何构构建建企企业业信信息息安安全全管管理理体体系系,任何何技技术术措措施施只只能能够够起起到到加加强强信信息息安安全全防防范范能能力力作作用用，只只有有管管理理到到位位，才才能能够够保保障障技技术术措措施施从从分分发发挥挥作作用用，才才能能对对信信息息网网络络有有效效地地管管理理和和控控制制。,ISO/IEC27001,的,11,个控控制制域域，企企业业信信息息安安全全管管理理在在此此基基础础上上面面增增加加,4,个安安全全域域，其其中中包包括括信信息息安安全全教教育育和和培培训训、外外部部合合作作伙伙伴伴的的安安全全、加加密密、检检查查,/,监督督和和审审计计。这这使使企企业业信信息息安安全全管管理理体体系系更更佳佳的的合合理理，全全面面。建建立立和和管管理理企企业业信信息息安安全全管管理理体体系系需需要要采采用用与与建建立立和和管管理理其其他他管管理理体体系系相相同同的的方方法法。其其中中主主要要包包括括策策划划、实实施施、检检查查和和处处理理全全过过程程的的安安全全管管理理，同同时时也也要要注注重重建建立立评评估估、响响应应、防防护护、评评估估的的动动态态闭闭环环的的管管理理流流程程。,ISO/IEC20000,建立在国际际公认的英英国标准,BS 15000,的基础之上上并取而代代之。,ISO/IEC20000,的发布分为为两个部分分：,第一部分是是服务管理理规范，涵涵盖了,IT,服务管理。 认证机机构根据此此部分对您您的组织进进行审核，它规定了了要通过认认证须达到到的最低要要求。,第二部分是是服务管理理的实施准准则，描述述了规范范范围内服务务管理流程程的最佳做做法。,适用于哪些些组织？,任何依赖,IT,服务的组织织，不论其其规模大小小、所属行行业或地理理位置如何何，均可使使用,ISO/IEC20000,。 该标准准尤其适合合于内部,IT,服务提供商商（如,IT,部门）和外外部,IT,服务提供商商（如,IT,外包组织）。,该标准已经经对一些依依赖,IT,的主要行业业产生了积积极影响，例如业务务流程外包包、电信、金融和公公共部门。,2007,年,10,月，,WiMAX,被,ITU,正式纳为新新的,3G,标准，对已已有的三大大主流,3G,标准构成了了挑战。,WiMAX,可能成为固固网运营商商与移动通通信运营商商进行竞争争的有力武武器，可以以改善企业业与服务供供应商的认认知度。但但由于技术术成熟度、运营牌照照发放等原原因，当前前国内各通通信运营商商对,WiMAX,的态度主要要以跟踪或或试验为主主。,IEEE802.16,系列标准，又称为,IEEEWireless MAN,标准，它对对工作于不不同频带的的无线接入入系统空中中接口的一致性和和共存问题题进行了规规范。由于于它所规定定的无线系系统覆盖范范围在千米米量级，因因而,802.16,系统主要应应用于城域域网。,WiMAX,，又称,IEEE802.16,标准，或广广带无线接接入,(Broadband WirelessAccess,，,BWA),标准。它是是一项无线线城域网,(WMAN),技术，是针针对微波和和毫米波频频段提出的的一种新的的空中接口口标准。一一般在文献献中，名词词,WiMAX,与,IEEE802.16,可通用。但但实际上,WiMAX,与,IEEE802.16,存在一定区区别。,WiMAX,基于,IEEE802.16,协议族，包包含多个协协议。其中中主流的标标准有：,IEEE802.16-2004,它由,IEEE,于,2004,年通过，采采用,266GHz,频段，支持持多种,QoS,优先级。,802.16d,涵盖了,802.16-2001,至,802.16a,标准，是相相对成熟的的一个标准准。为了更更好地支持持移动性，提供移动动宽带接入入，,IEEE,于,2005,年底通过、并在,2006,年,2,月发布了,802.16e(IEEE802.16-2005),规范。协议议对,802.16d,协议,OFDMA(,正交频分复复用接入,) PHY,进行了扩展展和改进，同时在,MAC,层增加了切切换流程和和信令支持持，通常认认为,802.16d,使用,OFDM-PHY,规范，,802.16e,使用,OFDMA-PHY,规范。,IEEE802.16j,，是移动多多跳中继,(MMR),系统规范，用于扩大大覆盖范围围，提高系系统容量，负载均衡衡等用途，预计于,2008,年发布。,IEEE802.16m,是以,ITU-R,所提的,4G,规格做为目目标来制定定的，目前前已初步完完成技术需需求文件。,第,32,章 信息息安全系统统工程,32.3ISSE-CMM,基础,9,、静夜四无无邻，荒居居旧业贫。2023/1/72023/1/7,Saturday, January 7,2023,10,、雨中黄叶树树，灯下白头头人。2023/1/72023/1/72023/1/7,1/7/2023 6:55:12 PM,11,、以我我独沈沈久，愧君君相见见频。2023/1/72023/1/72023/1/7,Jan-2307-Jan-23,12,、故人江海别别，几度隔山山川。2023/1/72023/1/72023/1/7,Saturday,January 7,2023,13,、乍见翻疑疑梦，相悲悲各问年。2023/1/72023/1/72023/1/72023/1/7,1/7/2023,14,、他乡生白发发，旧国见青青山。07 一月20232023/1/72023/1/72023/1/7,15,、比不了得就就不比，得不不到的就不要要。一月 232023/1/72023/1/72023/1/7,1/7/2023,16,、行行动动出出成成果果，工工作作出出财财富富。2023/1/72023/1/7,07January2023,17,、做前，能够环环视四周周；做时时，你只只能或者者最好沿沿着以脚脚为起点点的射线线向前。2023/1/72023/1/72023/1/72023/1/7,9,、没有失败，只有暂时停停止成功！。2023/1/72023/1/7,Saturday,January 7,2023,10,、很很多多事事情情努努力力了了未未必必有有结结果果，但但是是不不努努力力却却什什么么改改变变也也没没有有。2023/1/72023/1/72023/1/7,1/7/20236:55:13PM,11,、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。2023/1/72023/1/72023/1/7,Jan-2307-Jan-23,12,、世间成事，不求其绝对对圆满，留一一份不足，可可得无限完美美。2023/1/72023/1/72023/1/7,Saturday,January 7,2023,13,、不不知知香香积积寺寺，数数里里入入云云峰峰。2023/1/72023/1/72023/1/72023/1/7,1/7/2023,14,、意志坚坚强的人人能把世世界放在在手中像像泥块一一样任意意揉捏。07一一月20232023/1/72023/1/72023/1/7,15,、楚楚塞塞三三湘湘接接，荆荆门门九九派派通通。一月月232023/1/72023/1/72023/1/7,1/7/2023,16,、少年十五五二十时，步行夺得得胡马骑。2023/1/72023/1/7,07January 2023,17,、空山新雨雨后，天气气晚来秋。2023/1/72023/1/72023/1/72023/1/7,9,、杨柳散散和风，青山澹澹吾虑。2023/1/72023/1/7,Saturday,January7,2023,10,、阅读读一切切好书书如同同和过过去最最杰出出的人人谈话话。2023/1/72023/1/72023/1/7,1/7/20236:55:13PM,11,、越是是没有有本领领的就就越加加自命命不凡凡。2023/1/72023/1/72023/1/7,Jan-2307-Jan-23,12,、越是无能的的人，越喜欢欢挑剔别人的的错儿。2023/1/72023/1/72023/1/7,Saturday,January 7,2023,13,、知人者智智，自知者者明。胜人人者有力，自胜者强强。2023/1/72023/1/72023/1/72023/1/7,1/7/2023,14,、意志志坚强强的人人能把把世界界放在在手中中像泥泥块一一样任任意揉揉捏。07一一月月20232023/1/72023/1/72023/1/7,15,、最最具具挑挑战战性性的的挑挑战战莫莫过过于于提提升升自自我我。一月月232023/1/72023/1/72023/1/7,1/7/2023,16,、业余余生活活要有有意义义，不不要越越轨。2023/1/72023/1/7,07January2023,17,、一一个个人人即即使使已已登登上上顶顶峰峰，也也仍仍要要自自强强不不息息。2023/1/72023/1/72023/1/72023/1/7,MOMODA POWERPOINT,Lorem ipsum dolor sit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis amet, consectetur adipiscing elit. Fusce id urna blanditut cursus.,感谢谢您您的的下下载载观观看看,专家家告告诉诉,