信息安全工程总结.docxVIP

ISSE的主要活动；(1) 分析并描述信息保障的用户愿望。(2) 在系统工程过程的早期，基于愿望产生信息保障的需求。(3) 确定信息保护的级别，以一个可接受的信息保障的风险水准来满足要求。(4) 根据需求，构建一个功能上的信息保障体系结构。(5) 根据物理体系结构和逻辑体系结构分配信息保障的具体功能。(6) 设计信息系统，实现信息保障的功能构架。(7) 考虑成本、规划、进度和操作的适宜性及有效性等因素，平衡信息保障风险与其他的ISSE问题。(8) 研究与其他的信息保障和系统工程原则如何进行权衡。(9) 将ISSE过程与系统工程和采购过程集成。(10) 测试与评估系统，验证是否达到设计保护的要求和信息保障的需求。(11) 创建并保留标准化的文档。SSE-CMM的主要内容（1）工程的整个生命周期，包括开发、实施、运行、维护及淘汰等（2）整个组织机构的管理、组织和工作过程等。（3）与其他学科和领域的紧密联系及作用，包括系统、软硬件、人类活动、测试工程、以及系统管理、运行和维护等。（4）与其他组织结构的相互作用，包括信息获取、系统管理、产品认证与认可、可信度评估等。ISSE与SSE-CMM的异同点.相同点：ISSE与SSE-CMM都是信息系统安全保障的方法，它们都是将信息系统安全保障问题作为一个系统工程来考虑的，既不是依靠单纯的技术，也不是依靠简单的安全产品的堆砌，而是将有效的管理职能、先进的技术方法和正确的工程操作相结合，达到全方位的信息安全保障的目的。不同点：ISSE提供了开发信息安全系统的系统分析方法及子过程，SSE-CMM则可以有效地评估了这些分析方法和子过程的质量。信息安全控制规范的内容内容：信息安全方针、安全组织、资产管理、人员安全、物理与环境安全、通信与操作安全、访问控制、系统开发与维护、安全事件管理、业务持续性管理、符合性保证等11打控制方面，39个控制目标，133想信息安全控制措施的规范内容。信息安全管理定义及其涉及的方面定义：信息安全管理是通过维护信息的必威体育官网网址性、完整性和可用性等来管理和保护信息资源的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。所涉及的方面：（1）落实安全管理机构及安全管理人员，明确角色与职责，制定安全规划。（2）开发安全策略。（3）实施风险管理。（4）制定业务持续性计划和灾难恢复计划。（5）选择与实施安全措施。（6）保证配置、变更的正确与安全、（7）进行安全审计。（8）进行维护支持（9）进行监控、检查，处理安全事件。（10）安全意识与安全教育。（11）人员安全管理等。分析目前所使用的各类软件存在的安全隐患，例如手机，网上支付，office系统，internet等对于网上支付，当前的主流方式是通过银行卡（包括信用卡、借记卡和支付卡等）这种支付工具，通过浏览器输入必要的支付认证信息，经发卡行认证授权后扣款完成在线支付。现阶段的隐患主要存在于：●支付密码泄漏。一旦攻击者通过某种方式得到支付密码，可以轻易地冒充持卡人通过互联网进行消费，给持卡人带来损失。这是网上支付安全的主要担心所在。●支付数据被篡改。在缺乏必要的安全防范措施情况下，攻击者可以通过修改互联网传输中的支付数据。譬如，攻击者可以修改付款银行卡号、修改支付金额、修改收款人账号等，达到谋利目的并制造互联网支付事件。●否认支付。网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作，若付款人否认发出资金划出指令，商业银行将处于被动局面；对于资金划入操作，若商业银行否认资金划入操作，收款人将处于不利境地。Internet的安全隐患主要体现在下列6方面：?1． Internet是一个开放的、无控制机构的网络??，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。??2．Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。??3．Internet上的通信业务多数使用Unix操作系统来支持，Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。??4．在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。??5．电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。??6．计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。分析