三E审计是经济审计、效率审计和效果审计的合称。
从逻辑、时间和知识三方面考察系统的工作过程。
投资回收期pt=(累计净现金流量开始出现正值的年份数)-1+(上年累计净现金流量的绝对值/当前净现金流量)
上年累计净现金流量是到上年末为止,尚未被弥补的初始投资额,要在本年被弥补的金额。由于其为负,故取绝对值,该绝对值占本年净现金流量的比值就是在本年均匀弥补时所需用的时间。
如:初始投资1 000 000元,第一年回收200 000元,第二年回收400 000元,第三年回收300 000元,第四年回收400 000元,则:
第三年累计净现金流量:-1 000000+200 000+400 000+300 000=-100 000元,
第四年累计净现金流量:-1 000000+200 000+400 000+300 000+400 000=300 000元,
在第四年累计净现金流量开始出现正值。
投资回收期=4-1+|-100 000|/400000=3+0.25=3.25年
X轴:“安全机制”(基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系)
Y轴:“OSI网络参考模型“(物理层、链路层、网络层、传输层、会话层、表示层、应用层)
Z轴:“安全服务”(对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务、犯罪证据提供服务)
MIS+S==management information system + security “初级信息安全系统”或“基本信息安全保障系统。”
特点:应用基本不变;硬件和系统软件通用;安全设备基本不带密码。
S-MIS:security-management information system“标准信息安全保障系统”
特点:硬件和系统软件通用;PKI/CA安全保障系统必须带密码;应用系统必须根本改变。
S2-MIS:super security management informationsystem “超安全的信息安全保障系统”
特点:硬件和系统软件都专用;PKI/CA安全保障系统必须带密码;应用系统必须根本改变;主要的硬件和系统软件需要PKI/CA认证。
有形资产。
威胁可看成从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。
脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。但如果威胁不存在,系统本身的脆弱仍然带来一定的风险。
影响可以看作是威胁与脆弱性的特殊组合。受时间、地域、行业、性质的影响,系统面临的威胁也不一样,风险发生的频率、概率都不尽相同,因此影响程序也很难确定。
如数据管理中的数据不同步导致完整性遭到破坏;存储设备硬件故障使大量数据丢失。
定方案、定岗、定位、定员、定目标、定制度、定工作流程。
首先是解决定方案,其次是定岗。
第一级为用户自主保护级,适用于普通内联网用户;
第二级为系统审计保护级,适用于通过内联网或国际网进行商务活动、要保密的非重要单位;
第三级为安全标记保护级,适用于地主各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位;
第四级为结构化保护级,适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
第五级为访问验证保护级,适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
1) 首先确定采用MIS+S、S-MIS或S2-MIS系统架构。
2) 确定业务和数据存储方案。
3) 网络拓扑结构。
4) 基础安全设施和主要安全设备的选型。
5) 信息应用系统的安全级别的确定。
6) 系统资金和人员投入的档次。
密码技术是信息安全的根本,是建立安全空间认证、权限、完整、加密、不可否认五大要素所不可缺少的技术。
认证、权限、完整、加密、不可否认。
SDBI(国家密码办公室批准的国内算法,仅硬件中存在)、IDEA、RC4、DES、3DES等。
优点:加/解密速度快;密钥管理简单;适宜一对一的信息加密传输。
缺点:加密算法简单,密钥长度有限,加密强度不高;密钥分发困难,不适宜一对多的加密信息传输。
可以解决验证签名和用户身份验证、不可抵赖性的问题。
常见的哈希算法有SDH(国家密码办公室批准的HASH算法)、SHA、MD5等。
商用密码—国内企业、事业单位。
普用密码—政府、党政部门
绝密密码—中央和机要部门
军用密码—军队
WPA。
信任服务体系和密钥管理中心。
PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。
PKI主要进行身份鉴别,证明用户身份,即“你是谁”。
概括地讲,安全审计是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理 ,在必要时通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。
知识级培训、政策级培训、实施级培训和执行级培训。
1) 信息安全政策。
2) 安全组织。
3) 资产分类与管理。
4) 个人信息安全守则。
5) 设备及使用环境的信息安全管理。
6) 沟通和操作管理。
7) 系统访问控制。
8) 系统开发和维护。
9) 业务持续经营计划。
10) 合规性。
业务持续经营计划的制定和实施,是防止商业活动的中断和防止关键商业过程免受重大失误或灾难的影响。
过程、过程区、工作产品、过程能力
ISSE:information system security engineering ,信息安全系统工程
SSE:system security engineering,系统安全工程
SE:system engineering ,系统工程
SA:system acquisition ,系统获取
信息系统工程质量控制
信息系统工程进度控制
信息系统工程成本控制
信息系统工程变更控制
信息系统工程合同管理
信息系统工程信息管理
信息系统工程安全管理
在信息系统工程实施过程中协调有关单位及人员间的工作关系。
1) 主持编写工程监理规划,审批工程监理细则。
2) 协调建设单位和承建单位的合同争议,参与索赔的处理,审批工程延期。
3) 根据工程项目的进展情况进行监理人员的调配,调换不称职的监理人员。
4) 审核签认承建单位的付款申请、付款证书和竣工结算。
监理大纲是在建设单位选择合适的监理单位时,监理单位为了获得监理任务,在项目监理招标阶段项目监理单位案性文件。监理大纲的作用,是为监理单位的经营目标服务的,起着承接监理任务的作用。
监理规划是在监理委托合同签订后,由监理单位制定的指导监理工作开展的纲领性文件。在内容和深度方面比监理委托合同更加具体化,更加具有指导监理工作的实际价值。
监理实施细则是在监理规划指导下,监理项目部已建立,各项专业监理工作责任制已经落实,配备的专业监理工程师已经上岗,再由专业监理工程师根据专业特点及本专业技术要求编制的、具有实施性和可操作性的业务性文件。细则由各专业监理工程师主持编制,并报送项目总监理工程师认可批准执行。
总监代表。
1) 工程暂停令必须由总监签发
2) 当承建单位要求暂停,且工程需要暂停时
3) 施工单位未经批准擅自施工或拒绝项目监理机构管理。
4) 施工单位未按照审查通过的工程设计文件施工;
5) 施工单位违反工程建设强制性标准的;
6) 施工单位存在重大质量、安全事故隐患或发生质量、安全事故的。
错。
由中国电子企业协会监理分会颁发。资质分为甲级(25个)、乙级(12个)、丙级(5个)、临时级(2个)
原文地址:http://afanny.blog.51cto.com/1336374/1768767
