信息系统项目管理师安全

信息系统项目管理师信息系统安全第24章信息安全系统和安全体系24.1信息安全系统三维空间●"需要时，授权实体可以访问和使用的特性"指的是信息安全的（15）。（15）A．保密性

B．完整性

C．可用性

D．可靠性24.1安全机制

1、基础设施实体安全

2、平台安全

3、数据安全

4、通信安全

5、应用安全

6、运行安全

7、管理安全

8、授权和审计安全

9、安全防范体系安全服务

1、对等实体论证服务

2、数据保密服务

3、数据完整性服务

4、数据源点论证服务

5、禁止否认服务

6、犯罪证据提供服务安全技术

1、加密技术

2、数据签名技术

3、访问控制技术

4、数据完整性技术

5、认证技术

6、数据挖掘技术

信息系统的安全贯穿于系统的全生命周期，为了其安全，必须从物理安全、技术安全和安全管理三方面入手，只有这三种安全一起实施，才能做到对信息系统的安全保护。其中的物理安全又包括环境安全、设施和设备安全以及介质安全。

24.2信息安全系统架构体系三种不同的系统架构：MIS+S、S-MISS2-MIS业务应用系统基本不变硬件和系统软件通用安全设备基本不带密码不使用PKI/CA技术应用系统S-MIS1、硬件和系统软件通用2、PKI/CA安全保障系统必须带密码3、业务应用系统必须根本改变4、主要的通用硬件、软件也要通过PKI/CA论证应用系统S2-MIS————SuperSecurity-MIS1、硬硬件件和和系系统统软软件件都都是是专专用用系系统统2、PKI/CA安全基基础设设施必必须带带密码码3、业务务应用用系统统必须须根本本改变变4、主要要硬件件和软软件需需要PKI/CA论证●（16）不是是超安安全的的信息息安全全保障障系统统（S2-MIS）的特特点或或要求求。（16）A．硬件件和系系统软软件通通用B．PKI/CA安全保保障系系统必必须带带密码码C．业务务应用用系统统在实实施过过程中中有重重大变变化D．主要要的硬硬件和和系统统软件件需要要PKI/CA认证ERP为EnterpriseResourcePlanning的缩写写，中中文的的名称称是企企业资资源规规划。。CRM为CustomerRelationshipManagement的缩写写，中中文的的名称称为客客户关关系管管理。。MRPII为ManufacturingResourcePlanning的缩写写，中中文名名称为为制造造资源源计划划。24.3信息安安全系系统支支持背背景信息安安全保保障系系统的的核心心就是是保证证信息息、数数据的的安全全24.4信息安安全保保障系系统定定义信息安安全保保障系系统是是一个个在网网络上上，集集成各各种硬硬件、、软件件和密码设设备，，以保保障其其他业业务应应用信信息系系统正正常运运行的的专用用的信息应应用系系统，，以及及与之之相关关的岗岗位、、人员员、策策略、、制度度和规程的的总和和。●信息安安全从从社会会层面面来看看，反反映在在(17)这三个个方面面。（17）A．网络络空间间的幂幂结构构规律律、自自主参参与规规律和和冲突突规律律B．物理理安全全、数数据安安全和和内容容安全全C．网络络空间间中的的舆论论文化化、社社会行行为和和技术术环境境D．机密密性、、完整整性、、可用用性第25章信信息系系统安安全风风险评评估25.1信息安安全与与安全全风险险如何建建设信信息安安全保保障系系统——对现有有系统统进行行风险险分析析、识识别、、评估估，并并为之之制定定防范范措施施。25.2安全风风险识识别安全威威胁也也叫安安全风风险，，风险险是指指特定定的威威胁或或因单单位资资产的的脆弱弱性而而导致致单位位资产产损失失或伤伤害的的可能能性。。三方方面含含义：：1、对信信息或或资产产产生生影响响2、威胁胁的发发生会会对资资产产产生影影响3、威胁胁具有有发生生的可可能性性（概概率））分类：：按性质质划分分：静静态、、动态态按结果果划分分：纯纯粹风风险、、投机机风险险按风险险源划划分：：自事事件风风险、、人为为事件件风险险、软软件风风险、、软件件过程程风险险、项项目管管理风风险、、应用用风险险、用用户使使用风风险安全威威胁的的对象象及资资产评评估鉴鉴定1、安全全威胁胁的对对象资产评评估鉴鉴定的的目的的是区区别对对待，，分等等级保保护资产评评估鉴鉴定分分级：：1、可忽忽略级级别2、较低低级3、中等等级4、较高高级5、非常常高资产之之间的的相关关性在在进行行资产产评估估时必必须加加以考考虑资产评评估的的结果果是列列出所所有被被评估估的资资产清清单，，包括括资产产在保保密性性、可可用性性、完完整性性方面面的价价值极极其重重要性性信息系系统安安全薄薄弱环环节鉴鉴定评评估1、威胁、、脆弱性性、影响响这三者之之间存在在的对应应关系，，威胁是是系统外外部对系系统产生生的作用用，而导导致系统统功能及目标受受阻的所所有现象象，而脆脆弱性是是系统内内部的薄薄弱点，，威胁可可以利用用系统的的脆弱性发挥作作用，系系统风险险可以看看做是威威胁利用用了脆弱弱性而引引起的。。影响可以以看做是是威胁与与脆弱性性的特殊殊组合：：25.3风险识别别与风险险评估方方法风险识别别方法25.3风险评估估方法：：定量评估估法：将某一项项具体的的风险划划分成了了一些等等级将不同的的安全事事件用与与其相关关的安全全资产价价值及其其发生的的概率来来进行比比较和等级排序序关注意外外事故造造成的影影响，并并由此决决定哪些些系统应应该给予予较高的的优先级级。012123234确定某一一资产或或系统的的安全风风险是否否在可以以接受的的范围内内第26章安全全策略26.1建立安全全策略概念：人人们为了了保护因因为使用用计算机机信息应应用系统统可能招招致的对对单位资资产造成成损失而而进行保保护的各各种措施施、手段段，以及及建立的的各种管管理制度度、法规规等。安全策略略的归宿宿点就是是单位的的资产得得到有效效保护。。风险度的的概念：：适度安全全的观点点木桶效应应观点等级保护护26.3设计原则则26.4系统安全全方案与安全方方案有关关的系统统组成要要素制定安全全方案要要点：26.5系统安全全策略主主要内容容主要内容容：第27章信息息安全技技术基础础27.1密码技术术密码技术术是信息息安全的的根本，，是建立立“安全空间间”“论证”、权限、、完整、、加密和和不可否认认“5大要素不不可或缺缺的基石石对称与不不对称加加密DES算法美国国家家标准局局1973年开始研研究除国国防部外外的其它它部门的的计算机机系统的的数据加加密标准准，于1973年5月15日和1974年8月27日先后两两次向公公众发出出了征求求加密算算法的公公告。加加密算法法要达到到的目的的（通常常称为DES密码算法法要求））主要为为以下四四点：1、提供高高质量的的数据保保护，防防止数据据未经授授权的泄泄露和未未被察觉觉的修改改；2、具有相相当高的的复杂性性，使得得破译的的开销超超过可能能获得的的利益，，同时又又要便于于理解和和掌握；；3、DES密码体制制的安全全性应该该不依赖赖于算法法的保密密，其安安全性仅仅以加密密密钥的的保密为为基础；；4、实现经济，，运行有效，，并且适用于于多种完全不不同的应用。。1977年1月，美国政府府颁布：采纳纳IBM公司设计的方方案作为非机机密数据的正正式数据加密密标准(DES：DataEncryptionStandard)。3DES算法在1977年，人们估计计要耗资两千千万美元才能能建成一个专专门计算机用用于DES的解密，而且且需要12个小时的破解解才能得到结结果。所以，，当时DES被认为是一种种十分强壮的的加密方法。。但是，当今的的计算机速度度越来越快了了，制造一台台这样特殊的的机器的花费费已经降到了了十万美元左左右，所以用用它来保护十十亿美元的银银行间线缆时时，就会仔细细考虑了。另另一个方面，，如果只用它它来保护一台台服务器，那那么DES确实是是一种种好的的办法法，因因为黑黑客绝绝不会会仅仅仅为入入侵一一个服服务器器而花花那么么多的的钱破破解DES密文。。由于于现在在已经经能用用二十十万美美圆制制造一一台破破译DES的特殊殊的计计算机机，所所以现现在再再对要要求“强壮”加密的的场合合已经经不再再适用用了。。因为确确定一一种新新的加加密法法是否否真的的安全全是极极为困困难的的，而而且DES的唯一一密码码学缺缺点，，就是是密钥钥长度度相对对比较较短，，所以以人们们并没没有放放弃使使用DES，而是是想出出了一一个解解决其其长度度问题题的方方法，，即采采用三三重DES。这种种方法法用两两个密密钥对对明文文进行行三次次加密密，假假设两两个密密钥是是K1和K2，其算算法的的步骤骤如下下：1.用密钥钥K1进行DES加密。。2.用K2对步骤骤1的结果果进行行DES解密。。3.用步骤骤2的结果果使用用密钥钥K1进行DES加密。。这种方方法的的缺点点，是是要花花费原原来三三倍时时间，，从另另一方方面来来看，，三重重DES的112（2倍DES密钥长长度））位密密钥长长度是是很“强壮”的加密密方式式了。。主要的的公钥钥算法法有：：RSA、DSA、DH和ECC。1、DH算法是是W.Diffie和M.Hellman提出的的。此此算法法是最最早的的公钥钥算法法。它它实质质是一一个通通信双双方进进行密密钥协协定的的协议议：两两个实实体中中的任任何一一个使使用自自己的的私钥钥和另另一实实体的的公钥钥，得得到一一个对对称密密钥，，这一一对称称密钥钥其它它实体体都计计算不不出来来。DH算法的的安全全性基基于有有限域域上计计算离离散对对数的的困难难性。。离散散对数数的研研究现现状表表明：：所使使用的的DH密钥至至少需需要1024位，才才能保保证有有足够够的中中、长长期安安全。。首先，，发送送方和和接收收方设设置相相同的的大素素数n和g，这两两个数数不是是保密密的，，他们们可以以通过过非安安全通通道来来协商商这两两个素素数；；接着，，他们们用下下面的的方法法协商商密钥钥：发送方方选择择一个个大随随机整整数x，计算算X=g^xmodn，发送送X给接收收者；；接收方方选择择一个个大随随机整整数y，计算算Y=g^ymodn，发送送Y给发送送方；；双方计计算密密钥：：发送送方密密钥为为k1=Y^xmodn，接收收方密密钥为为k2=X^ymodn。其中k1=k2=g^(xy)modn。（2）RSA算法当前最最著名名、应应用最最广泛泛的公公钥系系统RSA是在1978年，由由美国国麻省省理工工学院院(MIT)的Rivest、Shamir和Adleman在题为为《获得数数字签签名和和公开开钥密密码系系统的的方法法》的论文文中提提出的的。它它是一一个基基于数数论的的非对对称(公开钥钥)密码体体制，，是一一种分分组密密码体体制。。其名名称来来自于于三个个发明明者的的姓名名首字字母。。它它的安安全性性是基基于大大整数数素因因子分分解的的困难难性，，而大大整数数因子子分解解问题题是数数学上上的著著名难难题，，至今今没有有有效效的方方法予予以解解决，，因此此可以以确保保RSA算法的的安全全性。。RSA系统是是公钥钥系统统的最最具有有典型型意义义的方方法，，大多多数使使用公公钥密密码进进行加加密和和数字字签名名的产产品和和标准准使用用的都都是RSA算法。。RSA算法是是第一一个既既能用用于数数据加加密也也能用用于数数字签签名的的算法法，因因此它它为公公用网网络上上信息息的加加密和和鉴别别提供供了一一种基基本的的方法法。它通常常是先先生成成一对对RSA密钥，，其中中之一一是保保密密密钥，，由用用户保保存；；另一一个为为公开开密钥钥，可可对外外公开开，甚甚至可可在网网络服服务器器中注注册，，人们们用公公钥加加密文文件发发送给给个人人，个个人就就可以以用私私钥解解密接接受。。为提提高保保密强强度，，RSA密钥至至少为为500位长，，一般般推荐荐使用用1024位。RSA算法的的安全全性基基于数数论中中大素素数分分解的的困难难性，，所以以，RSA需采用用足够够大的的整数数。因因子分分解越越困难难，密密码就就越难难以破破译，，加密密强度度就越越高。。RSA算法如如下：：1、找出出三个个大数数,p,q,r,其中p,q是两个相相异的质质数,r是与(p-1)(q-1)互质的数数p,q,r这三个数数便是privatekey2、找出m，使得rm==1mod(p-1)(q-1)这个m一定存在在,因为r与(p-1)(q-1)互质，用用辗转相相除法就就可以得得到了3、再来,计算n=pqm,n这两个数数便是publickey加密过程程是：假设明文文资料为为a，将其看看成是一一个大整整数，假假设a<n如果a>=n的话，就就将a表成s进位(s<=n,通常取s=2^t)，则每一位位数均小小于n,然後分段段加密接下来,计算b==a^mmodn,(0<=b<n)b就是加密密後的资资料解码的过过程是：：计算c==b^rmodpq(0<=c<pq)可以证明明c和a其实是相相等的(3)椭圆曲线线密码体体制(ECC)1985年，N.Koblitz和V.Miller分别独立立提出了了椭圆曲曲线密码码体制(ECC)，其依据据就是定定义在椭椭圆曲线线点群上上的离散散对数问问题的难难解性。。为了用椭椭圆曲线线构造密密码系统统，首先先需要找找到一个个单向陷陷门函数数，椭圆圆曲线上上的数量量乘就是是这样的的单向陷陷门函数数。椭圆曲线线的数量量乘是这这样定义义的：设设E为域K上的椭圆圆曲线，，G为E上的一点点，这个个点被一一个正整整数k相乘的乘乘法定义义为k个G相加，因因而有kG=G+G+…+G(共有k个G)若存在椭椭圆曲线线上的另另一点N≠G，满足方方程kG=N。容易看看出，给给定k和G，计算N相对容易易。而给给定N和G，计算k=logGN相对困难难。这就就是椭圆圆曲线离离散对数数问题。。离散对数数求解是是非常困困难的。。椭圆曲曲线离散散对数问问题比有有限域上上的离散散对数问问题更难难求解。。对于有有理点数数有大素素数因子子的椭圆圆离散对对数问题题，目前前还没有有有效的的攻击方方法。哈希算法法-摘要算法法摘要算法法是一种种能产生生特殊输输出格式式的算法法，这种种算法的的特点是是：无论论用户输输入什么么长度的的原始数数据，经经过计算算后输出出的密文文都是固固定长度度的，这这种算法法的原理理是根据据一定的的运算规规则对原原数据进进行某种种形式的的提取，，这种提提取就是是摘要，，被摘要要的数据据内容与与原数据据有密切切联系，，只要原原数据稍稍有改变变，输出出的“摘要”便完全全不同同，因因此，，基于于这种种原理理的算算法便便能对对数据据完整整性提提供较较为健健全的的保障障。但但是，，由于于输出出的密密文是是提取取原数数据经经过处处理的的定长长值，，所以以它已已经不不能还还原为为原数数据，，即消消息摘摘要算算法是是不可可逆的的，理理论上上无法法通过过反向向运算算取得得原数数据内内容，，因此此它通通常只只能被被用来来做数数据完完整性性验证证。如今常常用的的“消息摘摘要”算法经经历了了多年年验证证发展展而保保留下下来的的算法法已经经不多多，这这其中中包括括MD2、MD4、MD5、SHA、SHA-1/256/383/512等。常用的的摘要要算法法主要要有MD5和SHA1。MD5的输出出结果果为16字节，，sha1的输出出结果果为20字节。。数字签签名与与验证证数字时时间戳戳利用非非对称称密钥钥传输输对称称加密密密钥钥国家密密码和和安全全产品品管理理27.2虚拟专专用网网和和虚拟拟本地地网VPN即虚拟拟专用用网(VirtalPrivateNetwork)，是一一条穿穿过混混乱的的公用用网络络的安安全、、稳定定的隧隧道。。通过过对网网络数数据的的封包包和加加密传传输，，在一一个公公用网网络（（通常常是因因特网网）建建立一一个临临时的的、安安全的的连接接，从从而实实现在在公网网上传传输私私有数数据、、达到到私有有网络络的安安全级级别，，如果果接入入方式式为拨拨号方方式，，则称称之为为VPDN。通常常，VPN是对企企业内内部网网的扩扩展，，通过过它可可以帮帮助远远程用用户、、公司司分支支机构构、商商业伙伙伴及及供应应商同同公司司的内内部网网建立立可信信的安安全连连接，，并保保证数数据的的安全全传输输。VPN可用于于不断断增长长的移移动用用户的的全球球因特特网接接入，，以实实现安安全连连接；；可用用于实实现企企业网网站之之间安安全通通信的的虚拟拟专用用线路路，用用于经经济有有效地地连接接到商商业伙伙伴和和用户户的安安全外外联网网虚拟拟专用用网。。SSL是一种种国际际标准准的加加密及及身份份认证证通信信协议议，您您用的的浏览览器就就支持持此协协议。。SSL（SecureSocketsLayer）最初初是由由美国国Netscape公司研研究出出来的的，后后来成成为了了Internet网上安安全通通讯与与交易易的标标准。。SSL协议使使用通通讯双双方的的客户户证书书以及及CA根证书书，允允许客客户/服务器器应用用以一一种不不能被被偷听听的方方式通通讯，，在通通讯双双方间间建立立起了了一条条安全全的、、可信信任的的通讯讯通道道。它它具备备以下下基本本特征征：信信息保保密性性、信信息完完整性性、相相互鉴鉴定。。主主要用用于提提高应应用程程序之之间数数据的的安全全系数数。SSL协议的的整个个概念念可以以被总总结为为：一一个保保证任任何安安装了了安全全套接接字的的客户户和服服务器器间事事务安安全的的协议议，它它涉及及所有有TC/IP应用程程序。。openssl是一个个功能能丰富富且自自包含含的开开源安安全工工具箱箱。它它提供供的主主要功功能有有：SSL协议实实现(包括SSLv2、SSLv3和TLSv1)、大量量软算算法(对称/非对称称/摘要)、大数数运算算、非非对称称算法法密钥钥生成成、ASN.1编解码码库、、证书书请求求(PKCS10)编解码、数字字证书编解码码、CRL编解码、OCSP协议、数字证证书验证、PKCS7标准实现和PKCS12个人数字证书书格式实现等等功能。openssl采用C语言作为开发发语言，这使使得它具有优优秀的跨平台台性能。openssl支持Linux、UNIX、windows、Mac等平台。openssl目前最新的版版本是0.9.8e.27.3无线安全网络络WLAN第28章PKI公钥基础设施施28.1安全5要素28.2PKI基本概念为了保证Internet的安全问题，，世界各国对对其进行了多多年的研究,初步形成了一一套完整的Internet安全解决方案案，即目前被被广泛采用的的PKI技术(PublicKeyInfrastructure公钥基础设施施),PKI(公钥基础设施施)技术采用证书书管理公钥，，通过第三方方的可信任机机构认证中心心CA(CertificateAuthority)，把用户的公公钥和用户的的其它标识信信息(如名称、e-mail、身份证号等等)捆绑在一起，，在Internet网上验证用户户的身份。目目前,通用的办法是是采用建立在在PKI基础之上的数数字证书，通通过把要传输输的数字信息息进行加密和和签名，保证证信息传输的的机密性、真真实性、完整整性和不可否否认性，从而而保证信息的的安全传输。。PKI特点PKI作为一般通用用性的安全基基础设施，必必须具备如下下主要特点：：1、节省费用：：在一个大型型组织中，实实施统一的安安全解决方案案，比起实施施多个有限的的解决方案，，费用要节省省得多。分散散的方案集成成困难，新增增接入代价大大，实施、维维护、运营多多个点对点的的解决方案与与单一的基本本方案比，开开销要高很多多。2、互操作性：：统一的基础础设施要比分分散多个解决决方案具有更更高的互操作作性，统一安安全基础设施施平台，开发发方案等标准准化，更具互互操作性，而而分散的解决决方案可能采采用互不兼容容的操作流程程和工具平台台。3、开放性：任任何技术的早早期设计，都都希望将来能能和其它企业业间实现互操操作。一个基基于开放的、、国际标准公公认的基础设设施技术比一一个专有的点点对点的技术术方案更可信信和方便。点点对点的技术术方案不能处处理多域间的的复杂性，不不具有开放性性。4、一致性：安安全基础设施施为所有的应应用程序和设设备提供了可可靠的、一致致的解决方案案。与一系列列互不兼容的的解决方案比比，这种一致致性的解决方方案在一个企企业内更易于于安装、管理理和维护。5、可验证性：：安全基础设设施为各种应应用系统和设设备之间的交交互提供了可可能，因为，，所有的交互互采用统一的的处理方式。。也就是说，，基础设施的的操作和交互互可以被验证证是否正确，，这个独立的的、可信任的的验证机构就就是认证机构构CA。在独立的点点对点解决方方案之间，安安全性很难得得到保证，因因为即使每一一个解决方案案都经过严格格测试，但方方案间的交互互很难进行大大规模的、全全面测试。6、可可选选择择性性：：公公钥钥基基础础设设施施会会建建立立许许多多被被授授权权的的提提供供者者，，基基础础设设施施提提供供者者可可以以是是一一个个企企业业内内部部的的特特设设机机构构，，更更主主要要的的是是经经论论证证的的第第三三方方机机构构。。使使用用者者可可以以根根据据这这些些机机构构的的专专业业技技术术水水平平、、价价格格、、服服务务功功能能等等因因素素，，自自由由选选择择，，这这和和其其它它基基础础设设施施一一样样，，比比如如我我们们接接入入宽宽带带可可以以选选择择不不通通的的接接入入服服务务商商。。国家家公公共共PKI体系系信信任任模模型型国家家公公共共PKI体系系采采用用网网状状信信任任模模型型，，由由国国家家桥桥中中心心（（NBCA）、、地地区区桥桥中中心心（（LBCA）、、公公众众服服务务认认证证中中心心（（SCA）和和注注册册机机构构组组成成。。国家家桥桥中中心心NBCA是沟沟通通各各地地方方、、各各行行业业建建立立的的CA认证证中中心心的的桥桥梁梁，，它它只只与与CA进行行交交叉叉认认证证，，不不向向最最终终用用户户发发放放证证书书；；地地区区桥桥中中心心LBCA功能能与与NBCA类似似，，但但它它是是自自发发组组织织的的机机构构，，代代表表一一批批CA与NBCA交叉叉认认证证；；国家家公公共共PKI体系系示示意意图图CA总体体结结构构为实实现现相相关关服服务务所所需需要要硬硬件件体体系系结结构构和和软软件件系系统统功功能能DMZ是英英文文“demilitarizedzone”的缩缩写写，，中中文文名名称称为为“隔离离区区”，也也称称“非军事化区区”。它是为了了解决安装装防火墙后后外部网络络不能访问问内部网络络服务器的的问题，而而设立的一一个非安全全系统与安安全系统之之间的缓冲冲区，这个个缓冲区位位于企业内内部网络和和外部网络络之间的小小网络区域域内，在这这个小网络络区域内可可以放置一一些必须公公开的服务务器设施，，如企业Web服务器、FTP服务器和论论坛等。另另一方面，，通过这样样一个DMZ区域，更加加有效地保保护了内部部网络，因因为这种网网络部署，，比起一般般的防火墙墙方案，对对攻击者来来说又多了了一道关卡卡。一个标准的的X.509数字证书包包含以下一一些内容：：1、版本号—标识证书的的版本（版版本1、版本2或是版本3）。2、序列号—由证书颁发发者分配的的本证书的的唯一标识识符。3、签名—签名算法标标识符，由由对象标识识符加上相相关的参数数组成，用用于说明本本证书所用用的数字签签名算法。。例如，SHA-1和RSA的对象标识识符就用来说明明该数字签签名是利用用RSA对SHA-1杂凑加密。。4、颁发者—证书颁发者者的可识别别名（DN），这是必必须说明。。5、有效期—证书有效期期的时间段段。本字段段由”NotBefore”和”NotAfter”两项组成，，它们分别别由UTC时间或一般般的时间表表示（在RFC2459中有详细的的时间表示示规则）。。6、主体—证书拥有者者的可识别别名，这个个字段必须须是非空的的，除非你你在证书扩扩展中有别别名。7、主体公钥钥信息—主体的公钥钥（以及算算法标识符符），这一一项必须说说明。8、颁发者唯唯一标识符符—证书颁发者者的唯一标标识符，仅仅在版本2和版本3中有要求，，属于可选选项。9、主体唯唯一标识符符—证书拥有有者的唯唯一标识识符，仅仅在版本本2和版本3中有要求求，属于于可选项项。10、扩展—可选的标标准和专专用的扩扩展（仅仅在版本本2和版本3中使用））●在X．509标准中，，数字证证书一般般不包含含（18）（18）A．版本号号B．序列号号C．有效期期D．密钥28.3数字证书书的生命命周期数字证书书映射28.4X.509信任模型型28.6CA应用第29章PMI权限管理理基础设设施Sourceofattributeauthority第30章信信息安全全审计功能：30.2安全审计计系统建建设1、利用入入侵监测测预警系系统实现现网络与与主机信信息监测测审计2、对重要要应用系系统运行行情况的的审计3、基于网网络旁路路监控方方式安全审计计是保障障计算机机系统安安全的重重要手段段之一，，其作用用不包括括（1）。（1）A.检测对系系统的入入侵B.发现计算算机的滥滥用情况况C.发现系统统入侵行行为和潜潜在的漏漏洞D.保证可信信网络内内部信息息不外泄泄第31章信息息安全系系统的组组织与管管理1、信息安安全管理理国际标标准涉及10个领域：：2、信息安安全管理理体系实实施系列标准准2005年10月15日ISO发布布了了国国际际标标准准ISO/IEC27001：2005，正正式式标标题题为为《BS7799-2：2005信息息技技术术-安全全技技术术-信息息安安全全管管理理体体系系-要求求》如何何构构建建企企业业信信息息安安全全管管理理体体系系任何何技技术术措措施施只只能能够够起起到到加加强强信信息息安安全全防防范范能能力力作作用用，，只只有有管管理理到到位位，，才才能能够够保保障障技技术术措措施施从从分分发发挥挥作作用用，，才才能能对对信信息息网网络络有有效效地地管管理理和和控控制制。。ISO/IEC27001的11个控控制制域域，，企企业业信信息息安安全全管管理理在在此此基基础础上上面面增增加加4个安安全全域域，，其其中中包包括括信信息息安安全全教教育育和和培培训训、、外外部部合合作作伙伙伴伴的的安安全全、、加加密密、、检检查查/监督督和和审审计计。。这这使使企企业业信信息息安安全全管管理理体体系系更更佳佳的的合合理理，，全全面面。。建建立立和和管管理理企企业业信信息息安安全全管管理理体体系系需需要要采采用用与与建建立立和和管管理理其其他他管管理理体体系系相相同同的的方方法法。。其其中中主主要要包包括括策策划划、、实实施施、、检检查查和和处处理理全全过过程程的的安安全全管管理理，，同同时时也也要要注注重重建建立立评评估估、、响响应应、、防防护护、、评评估估的的动动态态闭闭环环的的管管理理流流程程。。ISO/IEC20000建立在国际公公认的英国标标准BS15000的基础之上并并取而代之。。ISO/IEC20000的发布分为两两个部分：第一部分是服服务管理规范范，涵盖了IT服务管理。认认证机构根根