信息系统项目管理师PPT精品文档
合集下载
信息系统项目管理师需求管理培训教材(PPT 108页)
软件需求的重要性
需求管理与项目管理的关系
项目需求是制定项目计划,开发项目产品 和从事项目活动的依据。
项目的计划、项目的开发活动及开发的产 品应与项目需求保持一致,随需求的变化 而调整。
需求工程(RE)
需求工程是指应用已证实有效的技术、方 法进行需求分析,确定客户需求,帮助分 析人员理解问题并定义目标系统的所有外 部特征一门学科。
如果被开发软件只是一个大系统中的一个元素, 那么整个大系统也包括在规格说明的描述之中
规格说明必须包括系统运行环境
规格说明必须是一个认识模型
规格说明必须是可操作的
规格说明必须容许不完备性并允许扩充
需求规格说明书文档参考
1. 引言 2. 系统定义 3. 应用环境 4. 功能规格 5. 性能需求 6. 产品提交 7. 实现约束 8. 质量描述 9. 其它 10. 签字认证
需求管理
需求:指的是由项目接受的或项目产生的 产品和产品构件需求。包括由组织征集的 对项目的需求。
Requirement Management 需求管理
确保各方对需求的一致理解,管理和控制需求 的变更,从需求到最终产品的双向跟踪。
软件需求定义
需求是指用户对软件的功能和性能 的要求,就是用户希望软件能做什 么事情,完成什么样的功能,达到 什么性能。
注意事项
识别真正的客户. 正确理解客户的需求 具备较强的忍耐力和清晰的思维 说服和教育客户
需求分析
定义:需求分析是为最终用户所看到的系 统建立一个概念模型,是对需求的抽象描 述。
需求分析也称为需求建模
需求分析模型
需求分析的时间
设计方案的时候 项目开始的时候 接管一个项目的时候 需求变更的时候
分层数据流图
信息系统项目管理概论精精品PPT课件
知识和经验 项目成员缺乏一种事业上的保障
信息系统项目管理 19
项目组织机构-弱矩阵型
信息系统项目管理 20
项目组织机构-强矩阵型
信息系统项目管理 21
项目组织机构-均衡矩阵型
信息系统项目管理 22
项目组织机构—矩阵型特点
矩阵型优点:
项目经理和职能部门经理发挥各自的优势 资源的重复减少到最低,减少人员冗余 项目组成员在项目完成后仍然在职能部门,不用担心
项目干系人之间利益折衷
项目干系人对项目往往存在不同的期望,且这些期望之间 存在较大的差异
以客户为中心的思想
信息系统项目管理 14
1.3 项目组织机构
项目隶属于组织
项目往往隶属于组织,所以不可避免地受到组织结构 的影响
影响项目的组织结构类型
职能式组织结构类型 项目型组织结构类型 矩阵型组织结构类型
信息系统项目管理 15
根据组织目标和发展战略,确定信息系统的发展战略, 对建设新系统的需求做出分析和预测,同时考虑建设 新系统所受的各种约束,研究建设新系统的必要性和 可能性,对备选方案进行可行性分析,通过后将新系 统建设方案及实施计划编写成系统规划报告。
信息系统项目管理 28
信息系统项目的生命期
(2)系统分析阶段 ➢ 根据系统规划报告所确定范围,对现行系统进行详细
信息系统项目管理 17
项目组织机构-项目型
信息系统项目管理 18
项目组织机构—项目型特点
项目型优点:
项目经理对项目全权负责,可以充分调用项目内资源。 项目组团队精神得以充分发挥 决策速度得以加快,能够对客户需求和高层的意图做
出更快的响应
项目型缺点:
项目成员的工作出现忙闲不均的现象 设备和人员不能在项目间共享,不同项目组很难共享
信息系统项目管理 19
项目组织机构-弱矩阵型
信息系统项目管理 20
项目组织机构-强矩阵型
信息系统项目管理 21
项目组织机构-均衡矩阵型
信息系统项目管理 22
项目组织机构—矩阵型特点
矩阵型优点:
项目经理和职能部门经理发挥各自的优势 资源的重复减少到最低,减少人员冗余 项目组成员在项目完成后仍然在职能部门,不用担心
项目干系人之间利益折衷
项目干系人对项目往往存在不同的期望,且这些期望之间 存在较大的差异
以客户为中心的思想
信息系统项目管理 14
1.3 项目组织机构
项目隶属于组织
项目往往隶属于组织,所以不可避免地受到组织结构 的影响
影响项目的组织结构类型
职能式组织结构类型 项目型组织结构类型 矩阵型组织结构类型
信息系统项目管理 15
根据组织目标和发展战略,确定信息系统的发展战略, 对建设新系统的需求做出分析和预测,同时考虑建设 新系统所受的各种约束,研究建设新系统的必要性和 可能性,对备选方案进行可行性分析,通过后将新系 统建设方案及实施计划编写成系统规划报告。
信息系统项目管理 28
信息系统项目的生命期
(2)系统分析阶段 ➢ 根据系统规划报告所确定范围,对现行系统进行详细
信息系统项目管理 17
项目组织机构-项目型
信息系统项目管理 18
项目组织机构—项目型特点
项目型优点:
项目经理对项目全权负责,可以充分调用项目内资源。 项目组团队精神得以充分发挥 决策速度得以加快,能够对客户需求和高层的意图做
出更快的响应
项目型缺点:
项目成员的工作出现忙闲不均的现象 设备和人员不能在项目间共享,不同项目组很难共享
信息系统项目管理师在线培训PPT课件
集
六甲天书 自由贸易区 需求将成为工作分解结构(WBS)的基础。信息系统项目管理师在线培
需
训PPT课件六甲天书 喜马拉雅山信息系统项目管理师在线培训PPT课件
求
六甲天书 自由贸易区
需求也是成本、进度和质量规划的基础,有时也是采购工作的基础信息系
统项目管理师在线培训PPT课件六甲天书 喜马拉雅山信息系统项目管理
02 项目范围管理
信息系统项目管理师在线培训PPT课件六甲天书 自由贸易区 信息系统项目管理师在线培训PPT课件六甲天书 自由贸易区
信息系统项目管理师在线培训PPT课件六甲天书 自由贸易区
需求是指根据特定协议或其他强制性规范,项目必须满足的条件或能力,或产
收
品、服务或成果必须具备的条件或能力。信息系统项目管理师在线培训PPT课件
PART 01
项目整合管理
信息系统项目管理师在线培训PPT课件六甲天书 自由贸
------信信息息系系统统项项目目管管理理师师在在线线培培训训PPPTP课T课件件六六甲甲天天书书自自由由贸贸易易区
01 项目整合管理
信息系统项目管理师在线培训PPT课件六甲天书 自由贸易区 信息系统项目管理师在线培训PPT课件六甲天书 自由贸易区
指导与管理项目工作对项目所有变更的影响进行审查,并实施已 批准的变更,包括
纠正措施 预防措施 缺陷措施
信息系统项目管理师在线培训PPT课件六甲天书 自由贸易区为使项目 工作绩效重新与项目管理计划一致而进行的有目的的活动。
信息系统项目管理师在线培训PPT课件六甲天书 自由贸易区为确保项目 工作的未来绩效符合项目管理计划而进行的有目的的活动。
信息系统项目管理师在线培训PPT课件六甲天书 自由贸易 区为了修正不一致产品或产品组件而进行的有目的的活 动。
信息系统的项目管理PPT课件
以上资料说明,20世纪90年代以来,商业环境比过去 几十年要复杂得多。如今,新技术应用对许多企业来说已经 成为一个极为重要的成功因素。计算机硬件、软件和网络已 经彻底改变了我们的工作环境。这些变化使得现代项目的规 模不断加大,投资越来越高,涉及专业越来越广泛,项目内 部关系越来越复杂,传统的管理模式已经不能满足运作好一 个项目的需要,于是也就增加了对项目进行管理的要求。实 际上,如今的公司都已经认识到,要想获得成功,就必须熟 悉并能够运用现代项目管理方法。
用人年数表示的工作量来确定项目所需的时间, 主要取决于投人的开发人员数,但研究表明,信息系 统的开发人员与开发时间不能正比互换。
第二步:制定项目工作计划,通常有甘特图与网络计 划法:
①甘特图(Gantt Chart,又称线条图) 法:
②网络计划: 用网状图表安排与控制各项活动的方法,一
般适应于工作步骤密切相关、错综复杂的工程项 目的计划管理。
信息系统开发项目的工作计划一般应分两个层次: 1)第一层次:按开发阶段安排,以作总体进度的控
制。该层次宜采用甘特图; 2)第二层次:按各开发阶段或子项目的工作步骤安
排,以便能在细节上安排人力,对项目进度进行控制,该 层次宜采用网络计划方法。
由于信息系统开发项目带有不确定性与不稳定性因 素,工作计划不宜也不可能制定得过于具体,一般可 在计划前预留一定的机动时间,随着计划的进行,情 况会逐步明朗,因此可在计划落实过程中不断修订与 充实。
关、当综合性地采用多种开发策略与方法时,可以存 有并列的开发阶段。
结构化方法
原型法
系统分析 系统设计 系统实施
初步分析 原型设计制作 原型评价与改进
系统成型
购置商品软件与 专门开发并举 除了上述阶段外
信息系统项目管理师培训课件01--信息系统项目管理基础
矩阵型项目的缺点; 1、管理成本增加; 2、多头领导; 3、难以监测和控制; 4、资源分配与项目优先的问题产生冲突; 5、权利难以保持平衡等。
多数现代组织在不同层次上包含所有这些结构,如图2-9所示(复合型 组织)。例如,即使一个完全职能型的组织也可能会组建一个专门的项目团 队来操作重要的项目,这样的项目团队可能具有很多项目型组织中项目的特 征。团队中拥有来自不同职能部门的专职人员,可以制定自己的运作过程, 并且可以脱离标准的正式报告机制进行运作。
2.2.2 应用领域的知识、标准和规定 我们把项目按应用领域进行分类,同一应用领域的项目具有一些公共的元素,这些 公共元素对于某些项目来说是重要的因素,但对于所有项目来说不是必须的或存在 的。应用领域通常根据如下几方面来定义。 1、职能部门和支持领域,如法律、产品和库存管理、市场营销、后勤和人事等。 2、技术因素,如软件开发、水利和卫生工程、建筑工程。 3、管理专业领域,例如政府合同、地区开发和新产品开发等。 4、工业组织,如汽车、化工、农业和金融服务等。
2.3IPMP/PMP 2.3.1 IPMA和IPMP简介
国际项目管理协会IPMA创建于1965年,是一个非赢利性的专业性国际学 术组织,其职能是促进国际项目管理的专业化发展。
国际项目管理资质标准ICB是IPMA建立的知识体系。IPMA将ICB的知识 和经验部分划分为28个核心要素和14个附加要素,如表2-2所示:
PMP指项目管理专业人员资格认证
2.4 PRINCE2
2.4.1 PRINCE2定义与结构
PRINCE2认证在国际上被称为项目管理王者认证,它是一种基于流程的结构 化项目管理方法。
PRINCE2包括4个被称为要素的主要部分。这4个要素包括原则、流程、主题 以及项目环境。
多数现代组织在不同层次上包含所有这些结构,如图2-9所示(复合型 组织)。例如,即使一个完全职能型的组织也可能会组建一个专门的项目团 队来操作重要的项目,这样的项目团队可能具有很多项目型组织中项目的特 征。团队中拥有来自不同职能部门的专职人员,可以制定自己的运作过程, 并且可以脱离标准的正式报告机制进行运作。
2.2.2 应用领域的知识、标准和规定 我们把项目按应用领域进行分类,同一应用领域的项目具有一些公共的元素,这些 公共元素对于某些项目来说是重要的因素,但对于所有项目来说不是必须的或存在 的。应用领域通常根据如下几方面来定义。 1、职能部门和支持领域,如法律、产品和库存管理、市场营销、后勤和人事等。 2、技术因素,如软件开发、水利和卫生工程、建筑工程。 3、管理专业领域,例如政府合同、地区开发和新产品开发等。 4、工业组织,如汽车、化工、农业和金融服务等。
2.3IPMP/PMP 2.3.1 IPMA和IPMP简介
国际项目管理协会IPMA创建于1965年,是一个非赢利性的专业性国际学 术组织,其职能是促进国际项目管理的专业化发展。
国际项目管理资质标准ICB是IPMA建立的知识体系。IPMA将ICB的知识 和经验部分划分为28个核心要素和14个附加要素,如表2-2所示:
PMP指项目管理专业人员资格认证
2.4 PRINCE2
2.4.1 PRINCE2定义与结构
PRINCE2认证在国际上被称为项目管理王者认证,它是一种基于流程的结构 化项目管理方法。
PRINCE2包括4个被称为要素的主要部分。这4个要素包括原则、流程、主题 以及项目环境。
信息系统项目管理(ppt 92页)
信息系统项目管理(ppt 92页)
2021/11/5
第一页,共91页。
信息系统的项目管理
项目管理是指在一定资源如时间、资 金、人力、设备、材料、能源、动力等约 束条件下,为了高效率地实现项目的既定 目标,按照项目的内在规律和程序 (chéngxù),对项目的全过各进行有效地计 划、组织、协调、领导和控制的系统管理 活动。
第十一页,共91页。
项目管理内容(nèiróng)
费用估算及成本管理、审计与控制 风险管理 计划安排及管理 项目质量跟踪管理与控制 人员管理 运行管理 文档管理 主要活动包括: 编写项目建议书;项目成本的度量;项目 计划和进度安排;项目监控和复审(fùshěn);人 员选择和评估;项目报告的准备和发布
4月
5月
6月
前期准备
系统调查
系统分析 系统设计
勇于开始,才能找到成 功的路
系统实施
试运行
系统测试
系统验收
运行
第十七页,共91页。
任务分配表
任务
T1 T2 T3 T4 T5 T6
程序员
程序员1 程序员2 程序员1 程序员3 程序员4 程序员2
任务
T7 T8 T9 T10 T11 T12
程序员
程序员5 程序员3 程序员1 程序员2 程序员3 程序员3
一种常用的数学分析技术,它根据指定的网络顺序逻辑 关系和单一的历时估算,计算每一活动(任务)的单一、确定 的最早开始和最迟结束时间,通过网络分析研究项目费用(fèi yong)与工期的相互关系,并找出在编制计划时及计划执行过程 中的关键路线。
其核心是计算浮动时间,计算出来的日期不是项目的进 度计划,而是计划的重要依据。
4 4F
E
2021/11/5
第一页,共91页。
信息系统的项目管理
项目管理是指在一定资源如时间、资 金、人力、设备、材料、能源、动力等约 束条件下,为了高效率地实现项目的既定 目标,按照项目的内在规律和程序 (chéngxù),对项目的全过各进行有效地计 划、组织、协调、领导和控制的系统管理 活动。
第十一页,共91页。
项目管理内容(nèiróng)
费用估算及成本管理、审计与控制 风险管理 计划安排及管理 项目质量跟踪管理与控制 人员管理 运行管理 文档管理 主要活动包括: 编写项目建议书;项目成本的度量;项目 计划和进度安排;项目监控和复审(fùshěn);人 员选择和评估;项目报告的准备和发布
4月
5月
6月
前期准备
系统调查
系统分析 系统设计
勇于开始,才能找到成 功的路
系统实施
试运行
系统测试
系统验收
运行
第十七页,共91页。
任务分配表
任务
T1 T2 T3 T4 T5 T6
程序员
程序员1 程序员2 程序员1 程序员3 程序员4 程序员2
任务
T7 T8 T9 T10 T11 T12
程序员
程序员5 程序员3 程序员1 程序员2 程序员3 程序员3
一种常用的数学分析技术,它根据指定的网络顺序逻辑 关系和单一的历时估算,计算每一活动(任务)的单一、确定 的最早开始和最迟结束时间,通过网络分析研究项目费用(fèi yong)与工期的相互关系,并找出在编制计划时及计划执行过程 中的关键路线。
其核心是计算浮动时间,计算出来的日期不是项目的进 度计划,而是计划的重要依据。
4 4F
E
系统集成信息系统项目管理教材(PPT 35张)
掌握
7
/35
第7讲 项目范围管理
7.2 项目范围规划
P.231
单击此处编辑母版文本样式 范围规划就是确定项目范围,明确项目的主要可交付 第二级 成果,制定项目范围管理计划,记载如何确定、核实与 控制项目范围,以及如何制定与定义 WBS。 第三级 第四级 项目范围的确定与管理直接关系到项目的整体成功。 第五级 对项目经理而言,项目范围规划和软件规模的 控制既是技术工作的一部分,也是管理工作的一 部分。
①范围控制是必须的,世界上不存在没有变化的 IT项目。 第五级 ②项目范围变化,并不仅仅意味着工作量的增加。
③项目范围控制的目的不是阻止变更的发生。
④积极地、主动地进行项目范围管理,使变更朝着有利于 项目顺利完成的方向发展。
掌握
25
/35
第7讲 项目范围管理
7.6 项目范围控制
范围控制过程
P.245
单击此处编辑母版文本样式 第二级 第三级 第四级 第五级
项目范围控制过程是监控项目状态的过程,也 是控制范围变更的过程。
掌握
26
/35
第7讲 项目范围管理
7.6 项目范围控制
软件项目范围变更控制
⑤ 项目配置关系及其管理要求 ⑥ 项目批准的规定
掌握
15
/35
第7讲 项目范围管理
7.3 项目范围定义
P.234
软件项目范围说明书 单击此处编辑母版文本样式 在软件项目中,软件系统范围经常表现为软件需求规 第二级Specifications,SRS)。 格说明书(Software Requirements
项目产品范围 项目工作范围
1)项目范围的定义
掌握
3
/35
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
制定安全方案要点:
26.5 系统安全策略主要内容
主要内容:
第27章 信息安全技术基础
27.1 密码技术
密码技术是信息安全的根本,是建立“安全空间”“论证”、权限、完整、加密 不可否认“5大要素不可或缺的基石
27.1.2 对称与不对称加密
2、安全通道传输密钥
明文
1、生成密钥 6、解密
3、接收密钥
B.物理安全、数据安全和内容安全 C.网络空间中的舆论文化、社会行为和技术环境 D.机密性、完整性、可用性
第25章 信息系统安全风险评估
25.1 信息安全与安全风险
如何建设信息安全保障系 统——对现有系统进行风险 分析、识别、评估,并为之 制定防范措施。
25.2 安全风险识别
安全威胁也叫安全风险,风险是指特定的威胁或因单位资产 的脆弱性而导致单位资产损失或伤害的可能性。三方面含义:
1、安全威胁的对象
资产评估鉴定的目的是区别对待,分等级保护
资产评估鉴定分级: 1、可忽略级别 2、较低级 3、中等级 4、较高级 5、非常高 资产之间的相关性在进行资产评估时必须加以考虑
资产评估的结果是列出所有被评估的资产清单,包 括资产在保密性、可用性、完整性方面的价值极其 重要性
25.2.3 信息系统安全薄弱环节鉴定评估
RSA算法是第一个既能用于数据加密也能用于数字签名的算法,因 此它为公用网络上信息的加密和鉴别提供了一种基本的方法。
它通常是先生成一对RSA 密钥,其中之一是保密密钥,由用户保存;另一个为 公开密钥,可对外公开,甚至可在网络服务器中注册,人们用公钥加密文件发 送给个人,个人就可以用私钥解密接受。为提高保密强度,RSA密钥至少为 500位长,一般推荐使用1024位。
安全服务 1、对等实体论证服务 2、数据保密服务 3、数据完整性服务 4、数据源点论证服务 5、禁止否认服务 6、犯罪证据提供服务
安全技术 1、加密技术 2、数据签名技术 3、访问控制技术 4、数据完整性技术 5、认证技术 6、数据挖掘技术
信息系统的安全贯穿于系统的全生命周期,为 了其安全,必须从物理安全、技术安全和安全管 理三方面入手,只有这三种安全一起实施,才能 做到对信息系统的安全保护。其中的物理安全又 包括环境安全、设施和设备安全以及介质安全。
26.1 建立安全策略
概念:人们为了保护因为使用计算机信息应用系统可能招致的对单位资产造成 损失而进行保护的各种措施、手段,以及建立的各种管理制度、法规等。
安全策略的归宿点就是单位的资产得到有效保护。
风险度的概念:
适度安全的观点 木桶效应观点
等级保护
26.3 设计原则
26.4 系统安全方案
与安全方案有关的系统组成要素
ERP为Enterprise Resource Planning的缩写,中文的名称是企业 资源规划。
CRM为Customer Relationship Management的缩写,中文的名 称为客户关系管理。
MRPII为ห้องสมุดไป่ตู้anufacturing Resource Planning的缩写,中文名称为 制造资源计划。
(2)RSA算法 当前最著名、应用最广泛的公钥系统RSA是在1978年,由美国麻省理工 学院(MIT)的Rivest、Shamir和Adleman在题为《获得数字签名和公开钥密 码系统的方法》的论文中提出的。它是一个基于数论的非对称(公开钥)密码 体制,是一种分组密码体制。其名称来自于三个发明者的姓名首字母。 它 的安全性是基于大整数素因子分解的困难性,而大整数因子分解问题是数 学上的著名难题,至今没有有效的方法予以解决,因此可以确保RSA算法的 安全性。RSA系统是公钥系统的最具有典型意义的方法,大多数使用公钥密 码进行加密和数字签名的产品和标准使用的都是RSA算法。
椭圆曲线的数量乘是这样定义的:设E为域K上的椭圆曲线,G为E上的一 点,这个点被一个正整数k相乘的乘法定义为 k个G相加,因而有 kG = G + G + … + G (共有k个G) 若存在椭圆曲线上的另一点N ≠ G,满足方程kG = N。容易看出,给定k 和G,计算N相对容易。而给定N和G,计算k = logG N相对困难。这就 是椭圆曲线离散对数问题。
1、对信息或资产产生影响 2、威胁的发生会对资产产生影响 3、威胁具有发生的可能性(概率)
25.2.1 分类: 按性质划分:静态、动态 按结果划分:纯粹风险、投机风险 按风险源划分:自事件风险、人为事件风险、软件风险、软 件过程风险、项目管理风险、应用风险、用户使用风险
25.2.2安全威胁的对象及资产评估鉴定
解码的过程是: 计算 c == b^r mod pq (0 <= c < pq)
可以证明 c 和 a 其实是相等的
(3) 椭圆曲线密码体制(ECC) 1985年,N. Koblitz和V. Miller分别独立提出了椭圆曲线密码体制
(ECC),其依据就是定义在椭圆曲线点群上的离散对数问题的难解性。 为了用椭圆曲线构造密码系统,首先需要找到一个单向陷门函数,椭圆曲 线上的数量乘就是这样的单向陷门函数。
用户A
明文
4、加密
MICROSOFT CORPORATION
密文
5、传输密文 用户B
DES算法
美国国家标准局1973年开始研究除国防部外的其它部门的计算机系统的数据 加密标准,于1973年5月15日和1974年8月27日先后两次向公众发出了征求加密 算法的公告。加密算法要达到的目的(通常称为DES 密码算法要求)主要为以 下四点: 1、提供高质量的数据保护,防止数据未经授权的泄露和未被察觉的修改; 2、具有相当高的复杂性,使得破译的开销超过可能获得的利益,同时又要便于 理解和掌握; 3、DES密码体制的安全性应该不依赖于算法的保密,其安全性仅以加密密钥的 保密为基础; 4、实现经济,运行有效,并且适用于多种完全不同的应用。
24.3 信息安全系统支持背景
信息安全保障系统的核心就是保证信息、数据的安全
24.4 信息安全保障系统定义
信息安全保障系统是一个在网络上,集成各种硬件、软件和 密码设备,以保障其他业务应用信息系统正常运行的专用的 信息应用系统,以及与之相关的岗位、人员、策略、制度和 规程的总和。
● 信息安全从社会层面来看,反映在(17)这三个方面。 (17)A.网络空间的幂结构规律、自主参与规律和冲突规律
1、威胁、脆弱性、影响
这三者之间存在的对应关系,威胁是系统外部对系统产生的作用,而导致系统功能 及目标受阻的所有现象,而脆弱性是系统内部的薄弱点,威胁可以利用系统的脆弱 性发挥作用,系统风险可以看做是威胁利用了脆弱性而引起的。
影响可以看做是威胁与脆弱性的特殊组合:
25.3 风险识别与风险评估方法
25.3.1风险识别方法
25.3 风险评估方法:
定量评估法:
将某一项具体的风险划分成了一些等级
将不同的安全事件用与其相关的安全资产价值及其发生的概率来进行比较和 等级排序
关注意外事故造成的影响,并由此决定哪些系统应该给予较 高的优先级。
0
1
21
23
2
3
4
确定某一资产或系统的安全风险是否在可以接受的范围内
第26章 安全策略
密文
4、用A的公钥加密
主要的公钥算法有:RSA、DSA、DH和ECC。
1、DH算法是W.Diffie和M.Hellman提出的。此算法是最早的公钥算法。它实质 是一个通信双方进行密钥协定的协议:两个实体中的任何一个使用自己的私钥 和另一实体的公钥,得到一个对称密钥,这一对称密钥其它实体都计算不出来。 DH算法的安全性基于有限域上计算离散对数的困难性。离散对数的研究现状表 明:所使用的DH密钥至少需要1024位,才能保证有足够的中、长期安全。
应用系统
S2-MIS——Super Security-MIS
1、硬件和系统软件都是专用系统 2、PKI/CA安全基础设施必须带密码 3、业务应用系统必须根本改变 4、主要硬件和软件需要PKI/CA论证
●(16)不是超安全的信息安全保障系统(S2-MIS)的特点或要求。 (16)A.硬件和系统软件通用 B.PKI/CA安全保障系统必须带密码 C.业务应用系统在实施过程中有重大变化 D.主要的硬件和系统软件需要PKI/CA认证
RSA算法的安全性基于数论中大素数分解的困难性,所以,RSA需采用足够 大的整数。因子分解越困难,密码就越难以破译,加密强度就越高。
RSA算法如下: 1、找出三个大数, p, q, r, 其中 p, q 是两个相异的质数, r 是与 (p-1)(q-1) 互质的数 p, q, r 这三个数便是 private key 2、找出 m,使得 rm == 1 mod (p-1)(q-1) 这个 m 一定存在, 因为 r 与 (p-1)(q-1) 互质,用辗转相除法就可以得到了 3、再来, 计算 n = pq m, n 这两个数便是 public key 加密过程是: 假设明文资料为 a,将其看成是一个大整数,假设 a < n 如果 a >= n 的话,就将 a 表成 s 进位 (s <= n, 通常取 s = 2^t), 则每一位数均小于 n, 然後分段加密 接下来, 计算 b == a^m mod n, (0 <= b < n) b 就是加密後的资料
这种方法的缺点,是要花费原来三倍时间,从另一方面来看,三重DES的112 (2倍DES密钥长度)位密钥长度是很“强壮”的加密方式了。
保留 私钥 1、生成密钥对
用户A
2、公钥发布
3、获取公钥
公共基础设施
用户B
6、用私钥解密
MICROSOFT CORPORATION
明文
密文
5、密文传输
明文
MICROSOFT CORPORATION
首先,发送方和接收方设置相同的大素数n和g,这两个数不是保密的,他 们可以通过非安全通道来协商这两个素数; 接着,他们用下面的方法协商密钥: 发送方选择一个大随机整数x,计算X= g^x mod n ,发送X给接收者; 接收方选择一个大随机整数y,计算Y = g^y mod n ,发送Y给发送方; 双方计算密钥:发送方密钥为k1=Y^x mod n,接收方密钥为k2=X^y mod n。 其中k1=k2=g^(xy) mod n。