版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、一、概述,1、什么是信息安全工程2、為什么需要信息安全工程3、信息安全工程的發(fā)展,什么是信息安全工程,信息安全保障問(wèn)題的解決既不能只依靠純粹的技術(shù),也不能靠簡(jiǎn)單的安全產(chǎn)品的堆砌,它要依賴復(fù)雜的系統(tǒng)工程——信息安全工程。信息安全工程:是采用工程的概念、原理、技術(shù)和方法,來(lái)研究、開(kāi)發(fā)、實(shí)施與維護(hù)信息系統(tǒng)安全的過(guò)程,它是將經(jīng)過(guò)時(shí)間考驗(yàn)證明是正確的工程實(shí)施流程、管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過(guò)程。,為什么需要信息安全工程
2、,信息安全的現(xiàn)狀是比較脆弱的,在安全體制、安全管理等各個(gè)方面存在的問(wèn)題十分嚴(yán)重而突出,且不容樂(lè)觀;但也可以看到,從20世紀(jì)90年代中期到21世紀(jì)初,無(wú)論是政府部門、企業(yè),還是個(gè)人用戶,安全意識(shí)明顯增強(qiáng)在Internet發(fā)展的短短幾年,人們對(duì)安全的理解,從早期的安全就是殺毒防毒,到后來(lái)的安全就是安裝防火墻,到現(xiàn)在的購(gòu)買系列安全產(chǎn)品,在一步一步地加深。但是應(yīng)該注意到,這些理解依然存在著“頭痛醫(yī)頭,腳痛醫(yī)腳”的片面性,沒(méi)有將信息安全問(wèn)題作
3、為一個(gè)系統(tǒng)工程來(lái)考慮對(duì)待;由于信息安全保障問(wèn)題的極端復(fù)雜性,因此在信息系統(tǒng)建設(shè)中必須遵循信息安全工程方法。,信息安全的復(fù)雜性,1)信息安全具有社會(huì)性信息安全問(wèn)題具有前所未有的廣泛性和綜合性,由于可能影響到安全的因素不斷增多,即使是一個(gè)簡(jiǎn)單的信息系統(tǒng),也往往因?yàn)槿藱C(jī)交互而涉及到組織結(jié)構(gòu)、人員、物理安全、培訓(xùn)等方面的要求;在面對(duì)每一個(gè)信息系統(tǒng)的安全保障問(wèn)題時(shí),都要考慮這個(gè)系統(tǒng)與非技術(shù)因素的交互,將其放在整個(gè)社會(huì)化的環(huán)境下考慮。2)信
4、息安全具有全面性信息安全問(wèn)題需要全面考慮,系統(tǒng)安全程度取決于系統(tǒng)最薄弱的環(huán)節(jié)。,信息安全的復(fù)雜性(續(xù)),3)信息安全具有過(guò)程性或生命周期性一個(gè)完整的安全過(guò)程至少應(yīng)包括安全目標(biāo)與原則的確定、風(fēng)險(xiǎn)分析、需求分析、安全策略研究、安全體系結(jié)構(gòu)的研究、安全實(shí)施領(lǐng)域的確定、安全技術(shù)與產(chǎn)品的測(cè)試與選型、安全工程的實(shí)施、安全工程的實(shí)施監(jiān)理、安全工程的測(cè)試與運(yùn)行、安全意識(shí)的教育與技術(shù)培訓(xùn)、安全稽核與檢查、應(yīng)急響應(yīng)等,這一個(gè)過(guò)程是一個(gè)完整的信息安全工程
5、的生命周期。經(jīng)過(guò)安全稽核與檢查后,又形成新一輪的生命周期,是一個(gè)不斷往復(fù)的不斷上升的螺旋式安全模型。,信息安全的復(fù)雜性(續(xù)),4)信息安全具有動(dòng)態(tài)性信息技術(shù)在發(fā)展,黑客水平也在提高,安全策略、安全體系、安全技術(shù)也必須動(dòng)態(tài)地調(diào)整,在最大程度上使安全系統(tǒng)能夠跟上實(shí)際情況的變化發(fā)揮效用,使整個(gè)安全系統(tǒng)處于不斷更新、不斷完善、不斷進(jìn)步的動(dòng)態(tài)過(guò)程中。5)信息安全具有層次性信息系統(tǒng)的構(gòu)成本身就是層次性的(主要有物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等
6、層面),需要用多層次的安全技術(shù)、方法與手段,分層次地化解安全風(fēng)險(xiǎn)。,信息安全的復(fù)雜性(續(xù)),6)信息安全具有相對(duì)性安全是相對(duì)的,沒(méi)有絕對(duì)的安全可言;首先,安全的動(dòng)態(tài)性決定了所謂的安全只能是相對(duì)于過(guò)去的安全,相對(duì)未來(lái)而言,當(dāng)前的安全很可能會(huì)表現(xiàn)為不安全;其次,安全不是目的,安全措施應(yīng)該與保護(hù)的信息與網(wǎng)絡(luò)系統(tǒng)的價(jià)值相稱,因此,實(shí)施信息安全工程要充分權(quán)衡風(fēng)險(xiǎn)威脅與防御措施的利弊與得失,在安全級(jí)別與投資代價(jià)之間取得一個(gè)企業(yè)能夠接受的平衡點(diǎn)
7、,人們追求的是在適度風(fēng)險(xiǎn)下的相對(duì)安全,而非絕對(duì)的安全。,信息安全工程的發(fā)展,早期的信息安全工程方法理論來(lái)自于系統(tǒng)工程(SE)過(guò)程方法。美國(guó)軍方最早在系統(tǒng)工程理論基礎(chǔ)之上開(kāi)發(fā)了信息系統(tǒng)安全工程(ISSE),并于1994年2月28日發(fā)表了《信息系統(tǒng)安全工程手冊(cè)v1.0》。ISSE由系統(tǒng)工程過(guò)程發(fā)展而來(lái),因而其風(fēng)格仍然沿襲了以時(shí)間維劃定工程元素的方法學(xué),這也暴露出了一些不足:,信息安全工程的發(fā)展(續(xù)),1)很多安全要求應(yīng)該貫徹在整個(gè)工程過(guò)
8、程之中,尤其是信息安全的保證要求,而ISSE對(duì)其缺乏有針對(duì)性的討論;2)此外,信息安全的內(nèi)容及其龐雜,一次完整的信息安全工程過(guò)程,往往會(huì)涉及到多個(gè)復(fù)雜的安全領(lǐng)域,而有些領(lǐng)域的時(shí)間過(guò)程性卻不明顯,以時(shí)間維為線索的描述方式不適合反映出這些內(nèi)容。后來(lái),在信息系統(tǒng)安全工程方法的發(fā)展上,出現(xiàn)了第二種思路:過(guò)程能力成熟度的方法,其基礎(chǔ)是CMM(能力成熟度模型)。,信息安全工程的發(fā)展(續(xù)),CMM的1.0版在1991年8月由卡內(nèi)基-梅隆大學(xué)軟件工
9、程研究所發(fā)布。同期,NSA也開(kāi)始了對(duì)信息安全工程能力的研究,并選取了CMM的思想作為其方法學(xué),正式啟動(dòng)了SSE-CMM—《系統(tǒng)安全工程—能力成熟度模型》研究項(xiàng)目。1996年10月發(fā)布了SSE-CMM的1.0版本,繼而在1997年春制定完成了SSE-CMM評(píng)定方法的1.0版本。1999年4月,形成了SSE-CMMv2.0和SSE-CMM評(píng)定方法v2.0。2002年3月,SSE-CMM得到了ISO的采納,成為ISO的標(biāo)準(zhǔn)—ISO/I
10、EC 21827,冠名為《信息技術(shù)—系統(tǒng)安全工程—能力成熟度模型》。,二、系統(tǒng)工程(SE)過(guò)程,1、系統(tǒng)工程過(guò)程概況2、通用系統(tǒng)工程過(guò)程活動(dòng)3、系統(tǒng)工程過(guò)程的幾個(gè)原則,2.1 系統(tǒng)工程過(guò)程概況,2.2 系統(tǒng)工程過(guò)程活動(dòng),通用SE過(guò)程由如下活動(dòng)構(gòu)成:1、發(fā)掘需求;2、定義系統(tǒng)要求;3、設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu);4、開(kāi)展詳細(xì)設(shè)計(jì);5、實(shí)現(xiàn)系統(tǒng);6、評(píng)估有效性。在上圖中,箭頭顯示了信息在不同活動(dòng)間的流向,但并不一定意味著各活動(dòng)之間的
11、順序或時(shí)間性。用戶/用戶代表并不是一個(gè)系統(tǒng)工程活動(dòng),之所以標(biāo)注用戶/用戶代表的原因在于提醒我們,所有的活動(dòng)中,必須不斷地在系統(tǒng)工程師或信息系統(tǒng)安全工程師與用戶之間進(jìn)行交流和反饋。,2.2.1 發(fā)掘需求,系統(tǒng)工程師幫助客戶理解并記錄用來(lái)支持其業(yè)務(wù)(business)或任務(wù)(mission)的信息管理的需求(Needs),信息需求說(shuō)明可以在信息管理模型(IMM- information management model )中記錄。發(fā)掘需
12、求是SE過(guò)程的起點(diǎn),是針對(duì)用戶需求以及用戶環(huán)境中的相關(guān)策略、法規(guī)和標(biāo)準(zhǔn)的一系列判斷。系統(tǒng)工程師要標(biāo)識(shí)所有的用戶及這些用戶與系統(tǒng)的交互,標(biāo)識(shí)他們所扮演的角色、承擔(dān)的責(zé)任以及在系統(tǒng)生命周期各階段中的授權(quán)。需求應(yīng)該來(lái)自用戶的視角,不應(yīng)該對(duì)設(shè)計(jì)產(chǎn)生過(guò)度的約束,并且要通過(guò)用戶語(yǔ)言來(lái)進(jìn)行文檔化。,發(fā)掘需求(續(xù)),業(yè)務(wù)(business) /任務(wù)(mission)描述SE或ISSE的全部工作都是為了使一個(gè)機(jī)構(gòu)的本職業(yè)務(wù)/任務(wù)能夠順利實(shí)施;因此
13、,在挖掘需求時(shí),首要的一步就是確定任務(wù)/業(yè)務(wù)的需求,而不是工程或信息安全需求;任務(wù)描述的重點(diǎn)之一是對(duì)任務(wù)環(huán)境進(jìn)行描述。需要考慮的策略和政策在進(jìn)行系統(tǒng)工程時(shí)必須考慮對(duì)機(jī)構(gòu)具有約束力的政策、法規(guī)和標(biāo)準(zhǔn);事實(shí)上,政策、法規(guī)問(wèn)題是導(dǎo)致很多系統(tǒng)工程失敗的主要原因之一。,2.2.2 定義系統(tǒng),在該階段,系統(tǒng)工程師必須明確系統(tǒng)要完成的功能,包括該功能的實(shí)現(xiàn)應(yīng)達(dá)到的程度以及系統(tǒng)的外部接口。由需求到目標(biāo)、目標(biāo)到要求以及要求到功能的各個(gè)翻譯環(huán)節(jié)均
14、要采用工程語(yǔ)言。目標(biāo)描述能夠通過(guò)描述系統(tǒng)的預(yù)期運(yùn)行效果而滿足需求,系統(tǒng)工程師必須能將目標(biāo)同此前提出的需求相聯(lián)系,并且能夠從理論上加以解釋。系統(tǒng)工程師要在該階段考慮一套或多套能夠滿足由客戶提出并記錄在IMM中的系統(tǒng)需求的解決方案集。,定義系統(tǒng)(續(xù)),系統(tǒng)要求可分為功能要求和性能要求功能要求描述系統(tǒng)需要完成的任務(wù)、動(dòng)作和行為;性能要求包括系統(tǒng)的質(zhì)、量、適用范圍、使用頻度、響應(yīng)性、可靠性、可維護(hù)性、可用性等;此外,內(nèi)外接口要求與互操
15、作性要求是系統(tǒng)成員之間或系統(tǒng)與環(huán)境、其他系統(tǒng)之間的互作用概念的重要要求。當(dāng)明確所有的要求后,系統(tǒng)工程師必須同其它系統(tǒng)負(fù)責(zé)人一起評(píng)估這些要求的正確性、完整性、一致性、互依賴性、沖突和可測(cè)試性。,定義系統(tǒng)(續(xù)),在要求的分析過(guò)程中,系統(tǒng)工程師要審查可追蹤性文檔,確保發(fā)掘出的所有需求都已經(jīng)分配到了目標(biāo)或外部系統(tǒng)之中,確保目標(biāo)系統(tǒng)的背景環(huán)境描述中包含了所有的外部接口和信息流。系統(tǒng)工程師還應(yīng)確保概要性的CONOPS能覆蓋所有的功能性和任務(wù)或業(yè)
16、務(wù)需求,并且系統(tǒng)運(yùn)行的內(nèi)在風(fēng)險(xiǎn)也得到了提及。,定義系統(tǒng)(續(xù)),功能(Functions)由要求決定,每個(gè)要求將產(chǎn)生一項(xiàng)或幾項(xiàng)功能。功能分析的主要內(nèi)容是分析功能之間或功能與環(huán)境之間的聯(lián)系。有很多方法可以通過(guò)圖表來(lái)描述功能的相關(guān)聯(lián)系最簡(jiǎn)單的圖表是文本功能列表,它通過(guò)習(xí)慣性的縮進(jìn)、標(biāo)號(hào)、字體來(lái)描述一系列功能的層次結(jié)構(gòu)。功能列表將對(duì)功能進(jìn)行命名,并且描述其定義、行為、何時(shí)被調(diào)用以及輸入\輸出。,2.2.3 設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu),系統(tǒng)工程師應(yīng)
17、該分析待建系統(tǒng)的體系結(jié)構(gòu),完成功能的分析和分配,同時(shí)分配系統(tǒng)的要求,并選擇相關(guān)機(jī)制。系統(tǒng)工程師還應(yīng)確定系統(tǒng)中的組件或要素,將功能分配給這些要素,并描述這些要素間的關(guān)系。在SE的“定義系統(tǒng)要求”活動(dòng)中,系統(tǒng)要求是分配到整個(gè)信息系統(tǒng)中的,它只是指明了系統(tǒng)的功能,卻沒(méi)有定義系統(tǒng)的組件;而在“設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu)”活動(dòng)中,SE小組將對(duì)功能進(jìn)行分解,選擇具體功能的執(zhí)行組件,這是體系結(jié)構(gòu)設(shè)計(jì)的核心內(nèi)容。,描述了“定義系統(tǒng)要求”與“設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu)
18、”的區(qū)別。前者將目標(biāo)系統(tǒng)視為“黑盒”,后者則創(chuàng)建系統(tǒng)的內(nèi)部結(jié)構(gòu);,設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu)(續(xù)),功能分析要將此前的要求分析階段所確定的高層功能分解至低層功能,與高層功能相關(guān)的性能要求也要分解至低層。功能分析的結(jié)果是描述每個(gè)產(chǎn)品或項(xiàng)目的邏輯功能或性能。分析的對(duì)象包括待建系統(tǒng)的體系結(jié)構(gòu)、功能和過(guò)程、接口(內(nèi)部和外部)、元素(組件)、信息的流動(dòng)情況、環(huán)境和用戶/訪問(wèn)。上述描述通常稱為產(chǎn)品或項(xiàng)目的功能體系結(jié)構(gòu)。功能分析和分配使得可以對(duì)系統(tǒng)的功
19、能目的及其實(shí)現(xiàn)方式形成更好的理解,并在一定程度上獲知低層功能的優(yōu)先級(jí)和沖突。它提供了對(duì)于優(yōu)化物理解決方案來(lái)說(shuō)重要的信息。,2.2.4 開(kāi)展詳細(xì)設(shè)計(jì),系統(tǒng)工程師應(yīng)分析系統(tǒng)的設(shè)計(jì)約束和均衡取舍,完成詳細(xì)的系統(tǒng)設(shè)計(jì),并考慮生命周期的支持。系統(tǒng)工程師應(yīng)將所有的系統(tǒng)要求跟蹤至系統(tǒng)組件,直至無(wú)一遺漏。最終的詳細(xì)設(shè)計(jì)結(jié)果應(yīng)反映出組件和接口規(guī)范,為系統(tǒng)實(shí)現(xiàn)時(shí)的采辦工作提供充分的信息。詳細(xì)設(shè)計(jì)將產(chǎn)生更低層次的產(chǎn)品規(guī)范、具體的工程與接口控制圖、原型
20、、具體的測(cè)試計(jì)劃與流程和具體的集成后勤支持計(jì)劃(ILSP-Integrated Logistics Support Plan)。,2.2.5 實(shí)現(xiàn)系統(tǒng),系統(tǒng)工程師將系統(tǒng)從規(guī)范變?yōu)楝F(xiàn)實(shí),該階段的主要活動(dòng)包括采辦、集成、配置、測(cè)試、記錄和培訓(xùn)。采辦本階段的工作必須在開(kāi)發(fā)或購(gòu)買能夠滿足詳細(xì)設(shè)計(jì)規(guī)范的組件這二者之間做出決定。系統(tǒng)工程師必須權(quán)衡兩種方式的利弊并進(jìn)行深入研究。建設(shè)在本階段,已開(kāi)發(fā)的系統(tǒng)方法將被轉(zhuǎn)化為一個(gè)穩(wěn)定的、可生產(chǎn)的、性
21、價(jià)比合理的系統(tǒng)設(shè)計(jì)實(shí)踐,涉及到了所有產(chǎn)品級(jí)的軟件、硬件和固件。該階段在采辦過(guò)程完成后進(jìn)行,即系統(tǒng)的裝配或建設(shè)。,實(shí)現(xiàn)系統(tǒng)(續(xù)),測(cè)試組件開(kāi)發(fā)后,要接受測(cè)試和評(píng)估,以確保它們能夠滿足規(guī)范(單元測(cè)試)。測(cè)試過(guò)程和預(yù)期的測(cè)試結(jié)果在定義方案之后由工程師寫(xiě)出。成功的完成組件測(cè)試之后,各組件—硬件、軟件、固件—要進(jìn)行集成和正確的配置,并作為一個(gè)系統(tǒng)接受整體集成測(cè)試。集成測(cè)試用于驗(yàn)證較高級(jí)的系統(tǒng)性能水平。集成測(cè)試可能導(dǎo)致要改變某些系統(tǒng)組件,
22、這將立即反饋給系統(tǒng)設(shè)計(jì),以供其做出判斷。,2.2.6 評(píng)估有效性,各項(xiàng)活動(dòng)的結(jié)果都要接受評(píng)估,其中必須檢測(cè)兩個(gè)主要因素:1)系統(tǒng)是否達(dá)到了任務(wù)的需求?2)系統(tǒng)是否能夠依照機(jī)構(gòu)所期望的方式操作?除此之外,還要注意可能影響評(píng)估結(jié)果的如下因素:1)互操作性;2)可用性;3)人員培訓(xùn);4)人機(jī)接口;5)建設(shè)和維護(hù)成本。,2.3 系統(tǒng)工程過(guò)程的幾個(gè)原則,1、始終將問(wèn)題空間和解決方案空間相分離。2、問(wèn)題空間要根據(jù)客戶的任務(wù)或業(yè)務(wù)需
23、求來(lái)定義。3、解決方案空間要由問(wèn)題空間相驅(qū)動(dòng),并由系統(tǒng)工程師和信息系統(tǒng)安全工程師來(lái)定義。,始終將問(wèn)題空間和解決方案空間相分離,“問(wèn)題”是“我們期望系統(tǒng)做什么?”,表示“解決方案”這一概念的約束條件、風(fēng)險(xiǎn)、策略和一些界限(值)?!敖鉀Q方案”是“系統(tǒng)怎樣實(shí)現(xiàn)我們的期望?”,代表了在開(kāi)發(fā)系統(tǒng)以滿足用戶需求時(shí)所有已經(jīng)結(jié)束的行為和創(chuàng)造出的產(chǎn)品。當(dāng)我們關(guān)注解決方案時(shí),很容易忽視對(duì)問(wèn)題的注意,這便會(huì)導(dǎo)致錯(cuò)誤問(wèn)題的解決和錯(cuò)誤系統(tǒng)的建造。,問(wèn)題空間
24、要根據(jù)客戶的任務(wù)或業(yè)務(wù)需求來(lái)定義,有些客戶經(jīng)常同工程師討論技術(shù)或?qū)鉀Q方案的想法,而不是告訴工程師問(wèn)題在哪系統(tǒng)工程師(或信息系統(tǒng)安全工程師)必須把客戶的這些想法放到一邊,發(fā)掘出客戶的基本問(wèn)題。如果客戶的需求不是基于其任務(wù)或業(yè)務(wù)需求而提出的,則最終系統(tǒng)可能難以滿足客戶的需求,這樣會(huì)導(dǎo)致錯(cuò)誤系統(tǒng)的建造。,解決方案空間要由問(wèn)題空間相驅(qū)動(dòng),并由系統(tǒng)工程師來(lái)定義,是系統(tǒng)工程師精通系統(tǒng)的解決方案,而不是客戶。如果客戶是解決方案的設(shè)計(jì)專家,那就
25、沒(méi)必要再去雇用系統(tǒng)工程師了。一個(gè)堅(jiān)持介入設(shè)計(jì)工程的客戶很可能會(huì)對(duì)解決方案帶來(lái)限制,影響到系統(tǒng)工程師的靈活性,從而影響到系統(tǒng)的任務(wù)或業(yè)務(wù)支持目標(biāo),影響到用戶需求的滿足。,三、信息系統(tǒng)安全工程(ISSE)過(guò)程,1、 ISSE概述2、 ISSE過(guò)程,ISSE概述,ISSE —Information Systems Security Engineering。ISSE是發(fā)掘用戶的信息保護(hù)需求并隨后設(shè)計(jì)和實(shí)現(xiàn)信息系統(tǒng)的一門藝術(shù)和科學(xué),在一定的
26、經(jīng)濟(jì)成本和精心設(shè)計(jì)下,這些系統(tǒng)便能夠安全地抵御其面對(duì)的各種攻擊。ISSE過(guò)程是系統(tǒng)工程(SE)的一個(gè)組成部分,并應(yīng)當(dāng)對(duì)認(rèn)證和認(rèn)可(C&A)過(guò)程提供支持。,ISSE過(guò)程,ISSE過(guò)程覆蓋了6項(xiàng)活動(dòng),它們與通用的SE過(guò)程相對(duì)應(yīng):1、發(fā)掘信息保護(hù)需求(發(fā)掘需求);2、定義系統(tǒng)安全要求(定義系統(tǒng)要求);3、設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)(設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu));4、開(kāi)展詳細(xì)的安全設(shè)計(jì)(開(kāi)展詳細(xì)設(shè)計(jì));5、實(shí)現(xiàn)系統(tǒng)安全(實(shí)現(xiàn)系統(tǒng));6、評(píng)
27、估信息保護(hù)的有效性(評(píng)估有效性)。,1、發(fā)掘信息保護(hù)需求,在這個(gè)過(guò)程中,ISSE將首先調(diào)查在信息方面的用戶任務(wù)需求、相關(guān)政策、法規(guī)、標(biāo)準(zhǔn)以及威脅。然后,ISSE將標(biāo)識(shí)信息系統(tǒng)的具體用戶、他們與信息系統(tǒng)和信息的交互作用的實(shí)質(zhì)以及他們?cè)谛畔⒈Wo(hù)生命周期各階段的角色、責(zé)任和權(quán)力。在此過(guò)程中,重要的一步是應(yīng)用“最小權(quán)限”規(guī)則,用戶只能接觸為完成其工作所必不可少的過(guò)程和信息。信息保護(hù)需求應(yīng)該來(lái)自于用戶的視角,并且不能對(duì)系統(tǒng)的設(shè)計(jì)和實(shí)施造成過(guò)
28、度的限制。,任務(wù)、安全威脅和政策對(duì)信息保護(hù)需求的影響,2、定義系統(tǒng)安全要求,信息系統(tǒng)安全工程師要將信息保護(hù)需求分配到系統(tǒng)中系統(tǒng)安全的背景環(huán)境、概要性的系統(tǒng)安全CONOPS以及基線安全要求均應(yīng)得到確定。在確定系統(tǒng)的安全背景環(huán)境時(shí),需要定義系統(tǒng)的邊界以及對(duì)SE的接口,并要將安全功能分配到目標(biāo)系統(tǒng)和外部系統(tǒng)中,標(biāo)識(shí)出目標(biāo)系統(tǒng)和外部系統(tǒng)之間的數(shù)據(jù)流以及這些數(shù)據(jù)流的保護(hù)需求IMM中的信息管理需求以及IPP中的信息保護(hù)需求均要在目標(biāo)系統(tǒng)和外部
29、系統(tǒng)中進(jìn)行分配,在外部系統(tǒng)中的功能分配必須得到系統(tǒng)所有者的同意。,定義系統(tǒng)安全要求(續(xù)),信息系統(tǒng)安全工程師要確保所選擇的解決方案集能夠滿足任務(wù)或業(yè)務(wù)的安全需求,系統(tǒng)邊界已經(jīng)得到協(xié)調(diào),并確保安全風(fēng)險(xiǎn)可以達(dá)到可接受的級(jí)別。信息系統(tǒng)安全工程師將向客戶提交安全背景環(huán)境、安全CONOPS以及系統(tǒng)安全要求,并得到客戶的認(rèn)同。,3、設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu),信息系統(tǒng)安全工程師要與系統(tǒng)工程師合作,一起分析待建系統(tǒng)的體系結(jié)構(gòu),完成功能的分析和分配,同時(shí)分
30、配安全服務(wù),并選擇安全機(jī)制。信息系統(tǒng)安全工程師還應(yīng)確定安全系統(tǒng)的組件或要素,將安全功能分配給這些要素,并描述這些要素間的關(guān)系在本項(xiàng)活動(dòng)中,信息系統(tǒng)安全工程師要與系統(tǒng)工程師合作,確保安全要求能正確地流向體系結(jié)構(gòu),且體系結(jié)構(gòu)不會(huì)對(duì)安全造成削弱。,設(shè)計(jì)系統(tǒng)安全體系結(jié)構(gòu)(續(xù)),信息系統(tǒng)安全工程師要負(fù)責(zé)向目標(biāo)系統(tǒng)和外部系統(tǒng)分配安全要求,并確保外部系統(tǒng)可以支持這些安全要求。信息系統(tǒng)安全工程師還要在此項(xiàng)活動(dòng)中確定高層安全機(jī)制(例如加密和數(shù)字簽名
31、),這樣,安全機(jī)制間的依賴性,例如密鑰管理和加密,才能得到討論和分配。信息系統(tǒng)安全工程師還要將安全機(jī)制與安全服務(wù)的強(qiáng)度相匹配,落實(shí)設(shè)計(jì)中的約束因素,分析并記錄下發(fā)現(xiàn)的不足,實(shí)施互依賴分析,確定安全機(jī)制的可行性,并評(píng)估這些安全機(jī)制中存在的任何殘余風(fēng)險(xiǎn)。,4、開(kāi)展詳細(xì)的安全設(shè)計(jì),信息系統(tǒng)安全工程師應(yīng)分析設(shè)計(jì)約束和均衡取舍,完成詳細(xì)的系統(tǒng)和安全設(shè)計(jì),并考慮生命周期的支持。信息系統(tǒng)安全工程師應(yīng)將所有的系統(tǒng)安全要求跟蹤至系統(tǒng)組件,直至無(wú)一遺漏
32、。最終的詳細(xì)安全設(shè)計(jì)結(jié)果應(yīng)反映出組件和接口規(guī)范,為系統(tǒng)實(shí)現(xiàn)時(shí)的采辦工作提供充分的信息。,開(kāi)展詳細(xì)的安全設(shè)計(jì)(續(xù)),在本活動(dòng)中,信息系統(tǒng)安全工程師將確保對(duì)安全體系結(jié)構(gòu)的遵循,實(shí)施均衡取舍研究,并定義系統(tǒng)安全的設(shè)計(jì)要素,包括:1) 向系統(tǒng)安全設(shè)計(jì)要素中分配安全機(jī)制;2) 確定備選的商業(yè)現(xiàn)貨(COTS)/政府現(xiàn)貨(GOTS)安全產(chǎn)品;3) 確定需要定制的安全產(chǎn)品;4)檢驗(yàn)設(shè)計(jì)要素和系統(tǒng)接口(內(nèi)部及外部);5) 制定規(guī)范(例如CC的
33、保護(hù)輪廓)。,5、實(shí)現(xiàn)系統(tǒng)安全,“實(shí)現(xiàn)系統(tǒng)安全”的目標(biāo)是采辦、集成、配置、測(cè)試、記錄和培訓(xùn),它使系統(tǒng)從設(shè)計(jì)轉(zhuǎn)入運(yùn)行。該項(xiàng)活動(dòng)的結(jié)束標(biāo)志是最終系統(tǒng)有效性評(píng)估行為,給出系統(tǒng)滿足要求和任務(wù)需求的證據(jù)。,實(shí)現(xiàn)系統(tǒng)安全(續(xù)),在該階段,信息系統(tǒng)安全工程師將:1)提供對(duì)認(rèn)證和認(rèn)可(C&A)過(guò)程的輸入;2)驗(yàn)證系統(tǒng)的確能夠防御此前的威脅評(píng)估中確定的威脅;3)跟蹤或參與信息保護(hù)保障機(jī)制在系統(tǒng)實(shí)現(xiàn)和測(cè)試活動(dòng)中的運(yùn)用;4)審查系統(tǒng)的生命周
34、期計(jì)劃、運(yùn)行流程以及運(yùn)轉(zhuǎn)培訓(xùn)材料,并向這些文檔提供輸入;5)實(shí)施正式的信息保護(hù)評(píng)估,為最終的系統(tǒng)有效性評(píng)估作出準(zhǔn)備;6)參與對(duì)所有系統(tǒng)事項(xiàng)作出的多學(xué)科檢查。,實(shí)現(xiàn)系統(tǒng)安全(續(xù)),選擇需要在解決方案中集成的具體安全產(chǎn)品是本階段的工作任務(wù)之一。這些產(chǎn)品可通過(guò)購(gòu)買、租用、借貸等多種選擇來(lái)獲得,影響選擇的因素包括組件成本、可用性、形式以及適宜性。其它的因素包括系統(tǒng)組件的依賴性效果、組件的最低性能可能對(duì)系統(tǒng)性能的影響以及組件或替代品在將來(lái)
35、的可用性。不能購(gòu)買的組件必須自制。所有的接口均需要測(cè)試,系統(tǒng)和設(shè)計(jì)工程師將撰寫(xiě)測(cè)試流程,并通過(guò)集成測(cè)試將驗(yàn)證子系統(tǒng)或系統(tǒng)的性能在集成和測(cè)試時(shí),重要的一項(xiàng)工作是記錄下安裝、操作、維護(hù)和支持的流程。,6、評(píng)估信息保護(hù)的有效性,評(píng)估信息保護(hù)的有效性活動(dòng)跨越了整個(gè)SE/ISSE過(guò)程,下表摘要描述了ISSE各項(xiàng)活動(dòng)中的有效性評(píng)估任務(wù)。,四、風(fēng)險(xiǎn)分析,1、資產(chǎn)保護(hù)2、風(fēng)險(xiǎn)管理,1、資產(chǎn)保護(hù),任何有效的風(fēng)險(xiǎn)分析始于需要保護(hù)的資產(chǎn)和資源的鑒別。
36、,1.1 資產(chǎn)的類型,1) 物理資源:物理資源是具有物理形態(tài)的資產(chǎn)包括工作站、服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備、外圍設(shè)備等,基本上,凡是具有物理形態(tài)的計(jì)算資源都是物理資源。2)知識(shí)資源:和物理資源相比,知識(shí)資源更難鑒別,因?yàn)樗灰噪娮拥男问酱嬖谥R(shí)資源可以是任何信息的形式,并且在組織的事務(wù)處理中起一定的作用。它包括軟件、財(cái)務(wù)信息、數(shù)據(jù)庫(kù)記錄以及計(jì)劃圖表等。例如,公司通過(guò)電子郵件交換信息,這些電子報(bào)文的存儲(chǔ)應(yīng)看成知識(shí)資產(chǎn)。,資產(chǎn)的類型(續(xù))
37、,3)時(shí)間資源:時(shí)間也是一個(gè)重要的資源,甚至是一個(gè)組織最有價(jià)值的資源當(dāng)評(píng)估時(shí)間損失對(duì)一個(gè)組織的影響時(shí),應(yīng)考慮由于時(shí)間損失引起的全部后果。4)信譽(yù)(感覺(jué))資源在2000年2月,大部分網(wǎng)絡(luò)公司諸如Yahoo、Amazon、eBay和Buy.com等在受到拒絕服務(wù)攻擊以后,他們的股票價(jià)狂跌。雖然這是暫時(shí)的,但足以說(shuō)明消費(fèi)者和股票持有者對(duì)他們的可信度確實(shí)存在影響,且可測(cè)量。,1.2 潛在的攻擊源,潛在的網(wǎng)絡(luò)攻擊可來(lái)自任何能訪問(wèn)網(wǎng)絡(luò)的源,這
38、些源之間有很大差異,它依賴于一個(gè)組織的規(guī)模以及提供的網(wǎng)絡(luò)訪問(wèn)的類型。當(dāng)作風(fēng)險(xiǎn)分析時(shí),要能識(shí)別所有的攻擊源這些攻擊源包括內(nèi)部系統(tǒng)、來(lái)自辦公室的訪問(wèn)、通過(guò)廣域網(wǎng)聯(lián)到經(jīng)營(yíng)伙伴的訪問(wèn)、通過(guò)Internet的訪問(wèn),以及通過(guò)modem池的訪問(wèn)等。,1.3 資產(chǎn)的有效保護(hù),資產(chǎn)一旦受到威脅和破壞,就會(huì)帶來(lái)兩類損失1)即時(shí)的損失,如由于系統(tǒng)被破壞,員工無(wú)法使用,因而降低了勞動(dòng)生產(chǎn)率。2)長(zhǎng)期的恢復(fù)所需花費(fèi),也就是從攻擊或失效到恢復(fù)正常需要的花費(fèi)
39、,例如,受到拒絕服務(wù)攻擊,在一定期間內(nèi)資源無(wú)法訪問(wèn)帶來(lái)的損失。為了有效保護(hù)資產(chǎn),應(yīng)盡可能降低資產(chǎn)受危害的潛在代價(jià);另一方面,由于采取一些安全措施,也要付出安全的操作代價(jià)信息安全最終是一個(gè)折中的方案,需要對(duì)危害和降低危害的代價(jià)進(jìn)行權(quán)衡。,資產(chǎn)的有效保護(hù)(續(xù)),在評(píng)估時(shí)要考慮網(wǎng)絡(luò)的現(xiàn)有環(huán)境,以及近期和遠(yuǎn)期網(wǎng)絡(luò)發(fā)展變化的趨勢(shì)選用先進(jìn)的安全體系結(jié)構(gòu)和系統(tǒng)安全平臺(tái)可減少安全操作代價(jià),獲得良好的安全強(qiáng)度。要獲得安全強(qiáng)度和安全代價(jià)的折中,需要
40、考慮以下因素:1)用戶的方便程度,不應(yīng)由于增加安全強(qiáng)度給用戶帶來(lái)很多麻煩。2)管理的復(fù)雜性,對(duì)增加安全強(qiáng)度的網(wǎng)絡(luò)系統(tǒng)要易于配置、管理。3)對(duì)現(xiàn)有系統(tǒng)的影響,包括增加的性能開(kāi)銷以及對(duì)原有環(huán)境的改變等。4)對(duì)不同平臺(tái)的支持,網(wǎng)絡(luò)安全系統(tǒng)應(yīng)能適應(yīng)不同平臺(tái)的異構(gòu)環(huán)境的使用。,安全強(qiáng)度和安全代價(jià)的折中,為了有效保護(hù)資產(chǎn),需要性能良好的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺(tái),能以小的安全代價(jià)換取高的安全強(qiáng)度。,2、風(fēng)險(xiǎn)管理,從本質(zhì)上講,安全就是風(fēng)險(xiǎn)管理
41、一個(gè)組織者如果不了解其信息資產(chǎn)的安全風(fēng)險(xiǎn),很多資源就會(huì)被錯(cuò)誤地使用。風(fēng)險(xiǎn)管理提供信息資產(chǎn)評(píng)估的基礎(chǔ)通過(guò)風(fēng)險(xiǎn)識(shí)別,可以知道一些特殊類型的資產(chǎn)價(jià)值以及包含這些信息的系統(tǒng)的價(jià)值。,2.1 風(fēng)險(xiǎn)的概念,風(fēng)險(xiǎn)是構(gòu)成安全基礎(chǔ)的基本觀念,指丟失需要保護(hù)的資產(chǎn)的可能性如果沒(méi)有風(fēng)險(xiǎn),就不需要安全了。風(fēng)險(xiǎn)=威脅+漏洞風(fēng)險(xiǎn)是威脅和漏洞的綜合結(jié)果。沒(méi)有漏洞的威脅沒(méi)有風(fēng)險(xiǎn),沒(méi)有威脅的漏洞也沒(méi)有風(fēng)險(xiǎn)。,漏洞和威脅的關(guān)系,漏洞,漏洞是攻擊的可能途徑漏
42、洞有可能存在于計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中,它允許打開(kāi)系統(tǒng),使技術(shù)攻擊得逞;漏洞也有可能存在于管理過(guò)程中,它使系統(tǒng)環(huán)境對(duì)攻擊開(kāi)放。漏洞的多少是由需要打開(kāi)系統(tǒng)的技術(shù)熟練水平和困難程度來(lái)確定的,還要考慮系統(tǒng)暴露的后果如果漏洞易于暴露,并且一旦受到攻擊,攻擊者可以完全控制系統(tǒng),則稱高值漏洞或高脆弱性。如果攻擊者需要對(duì)設(shè)備和人員投入很多資源,漏洞才能暴露,并且受到攻擊后,也只能獲取一般信息,而非敏感信息,則稱低值漏洞或低脆弱性。,威脅,威脅是一個(gè)
43、可能破壞信息系統(tǒng)環(huán)境安全的動(dòng)作或事件。威脅包含以下3個(gè)組成部分:1)目標(biāo):威脅的目標(biāo)通常是針對(duì)安全屬性或安全服務(wù),包括機(jī)密性、完整性、可用性、可審性等。這些目標(biāo)是在威脅背后的真正理由或動(dòng)機(jī)。2)代理(攻擊主體),有3個(gè)特性訪問(wèn):代理必須有訪問(wèn)所需要系統(tǒng)、網(wǎng)絡(luò)、設(shè)施或信息的能力。知識(shí):代理必須具有目標(biāo)的知識(shí),有用的知識(shí)包括用戶ID、口令、文件位置、物理訪問(wèn)過(guò)程、員工的名字、訪問(wèn)電話號(hào)碼、網(wǎng)絡(luò)地址、安全程序等。動(dòng)機(jī):一個(gè)代理對(duì)目
44、標(biāo)發(fā)出威脅,需要有動(dòng)機(jī),通常動(dòng)機(jī)是考慮代理攻擊目標(biāo)的關(guān)鍵特性。,威脅(續(xù)),根據(jù)代理的3個(gè)特性,應(yīng)該考慮的代理可能是各種各樣的,包括員工、和組織有關(guān)的外部員工、黑客、商業(yè)對(duì)手、恐怖分子、罪犯、客戶、訪問(wèn)者以及自然災(zāi)害等。3)事件(攻擊行為):事件是代理采取的行為,從而導(dǎo)致對(duì)組織的傷害例如,一個(gè)黑客改變一個(gè)組織的Web頁(yè)面來(lái)傷害它。另外要考慮的是假如代理得到訪問(wèn)會(huì)產(chǎn)生什么樣的傷害。常見(jiàn)的事件如下:對(duì)信息、系統(tǒng)、場(chǎng)地濫用授權(quán)訪問(wèn);惡意
45、地改變信息; 偶然地改變信息; 對(duì)信息、系統(tǒng)、場(chǎng)地非授權(quán)訪問(wèn);被動(dòng)地竊聽(tīng)通信;等等。,風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)可劃分成低、中、高3個(gè)級(jí)別:1)低級(jí)別風(fēng)險(xiǎn)是漏洞使組織的風(fēng)險(xiǎn)達(dá)到一定水平,然而不一定發(fā)生。如有可能應(yīng)將這些漏洞去除,但應(yīng)權(quán)衡去除漏洞的代價(jià)和能減少的風(fēng)險(xiǎn)損失。2)中級(jí)別風(fēng)險(xiǎn)是漏洞使組織的信息系統(tǒng)或場(chǎng)地的風(fēng)險(xiǎn)(機(jī)密性、完整性、可用性、可審性)達(dá)到相當(dāng)?shù)乃?,并且已有發(fā)生事件的現(xiàn)實(shí)可能性。應(yīng)采取措施去除漏洞。3)高級(jí)別風(fēng)險(xiǎn)是漏洞對(duì)組織的
46、信息、系統(tǒng)或場(chǎng)地的機(jī)密性、完整性、可用性和可審性已構(gòu)成現(xiàn)實(shí)危害,必須立即采取措施去除漏洞。,2.2 風(fēng)險(xiǎn)識(shí)別,對(duì)一個(gè)組織而言,識(shí)別風(fēng)險(xiǎn)除了要識(shí)別漏洞和威脅外,還應(yīng)考慮已有的對(duì)策和預(yù)防措施,2.2.1 識(shí)別漏洞,識(shí)別漏洞時(shí),從確定對(duì)該組織的所有入口開(kāi)始,也就是尋找該組織內(nèi)的系統(tǒng)和信息的所有訪問(wèn)點(diǎn)這些入口包括Internet的連接、遠(yuǎn)程訪問(wèn)點(diǎn)、與其他組織的連接、設(shè)備的物理訪問(wèn)以及用戶訪問(wèn)點(diǎn)等。對(duì)每個(gè)訪問(wèn)點(diǎn)識(shí)別可訪問(wèn)的信息和系統(tǒng),然后識(shí)別
47、如何通過(guò)入口訪問(wèn)這些信息和系統(tǒng),應(yīng)該包括操作系統(tǒng)和應(yīng)用程序中所有已知的漏洞。,2.2.2 識(shí)別現(xiàn)實(shí)的威脅,一個(gè)目標(biāo)威脅是對(duì)一個(gè)已知的目標(biāo)具有已知的代理、已知的動(dòng)機(jī)、已知的訪問(wèn)和執(zhí)行已知的事件的組合。例如,有一個(gè)不滿意的員工(代理)希望得到正在該組織進(jìn)行的最新設(shè)計(jì)的知識(shí)(動(dòng)機(jī)),該員工能訪問(wèn)組織的信息系統(tǒng)(訪問(wèn)),并知道信息存放的位置(知識(shí))。該員工正窺測(cè)新設(shè)計(jì)的機(jī)密并且企圖獲得所需文件。識(shí)別所有的目標(biāo)威脅是非常費(fèi)時(shí)和困難的可以變更
48、一種方法,即假設(shè)存在一個(gè)威脅的通用水平,這個(gè)威脅可能包括任何具有訪問(wèn)組織信息或系統(tǒng)的可能性的人。假如假設(shè)一個(gè)通用的威脅,就能檢查組織內(nèi)允許這些訪問(wèn)發(fā)生可能產(chǎn)生的漏洞。,2.2.3 檢查對(duì)策和預(yù)防措施,在分析評(píng)估攻擊的可能途徑時(shí),必須同時(shí)檢查如果漏洞真正存在,相應(yīng)環(huán)境采取的對(duì)策和預(yù)防措施。這些預(yù)防措施包括防火墻、防病毒軟件、訪問(wèn)控制、雙因子身份鑒別系統(tǒng)、仿生網(wǎng)絡(luò)安全程序、用于訪問(wèn)設(shè)備的卡讀出器、文件訪問(wèn)控制、對(duì)員工進(jìn)行安全培訓(xùn)等。對(duì)
49、于組織內(nèi)的每個(gè)訪問(wèn)點(diǎn)都應(yīng)有相應(yīng)的預(yù)防措施。例如,該組織有一個(gè)Internet連接,這就提供了訪問(wèn)該組織內(nèi)部系統(tǒng)的可能性??梢圆捎梅阑饓?lái)保護(hù)這個(gè)訪問(wèn)點(diǎn),設(shè)置和檢查防火墻的規(guī)則,可以很好地識(shí)別來(lái)自外部對(duì)內(nèi)部系統(tǒng)訪問(wèn)的企圖。這樣外部攻擊者不能用訪問(wèn)點(diǎn)的某些漏洞,因?yàn)榉阑饓ψ柚乖L問(wèn)這些漏洞和系統(tǒng)。,2.2.4 識(shí)別風(fēng)險(xiǎn),一旦對(duì)漏洞、威脅、預(yù)防措施進(jìn)行了識(shí)別,就可確定該組織的風(fēng)險(xiǎn)。首先確定每個(gè)訪問(wèn)點(diǎn)的可能威脅或通用威脅,并檢查通過(guò)每個(gè)訪問(wèn)點(diǎn)
50、的可能的目標(biāo)(機(jī)密性、完整性、可用性、可審性)。基于它的危險(xiǎn)程度給每個(gè)風(fēng)險(xiǎn)分成高、中、低等級(jí)。必須指出,對(duì)于相同的漏洞,可能得出基于訪問(wèn)點(diǎn)的不同級(jí)別的風(fēng)險(xiǎn)。,2.3 風(fēng)險(xiǎn)測(cè)量,風(fēng)險(xiǎn)測(cè)量必須識(shí)別出在受到攻擊后該組織需要付出的代價(jià)。認(rèn)識(shí)到風(fēng)險(xiǎn)使該組織付出的代價(jià)也是確定如何管理風(fēng)險(xiǎn)的決定因素風(fēng)險(xiǎn)永遠(yuǎn)不可能完全去除,風(fēng)險(xiǎn)必須管理。代價(jià)是多方面的,包括資金、時(shí)間、資源、信譽(yù)以及丟失生意等。,代價(jià),1、資金資金是最顯而易見(jiàn)的風(fēng)險(xiǎn)代價(jià),包
51、括損失的生產(chǎn)能力、設(shè)備或金錢的被竊、調(diào)研的費(fèi)用、修理或替換系統(tǒng)的費(fèi)用、專家費(fèi)用、員工加班時(shí)間等。2、時(shí)間時(shí)間的代價(jià)很難量化。但時(shí)間損失必須計(jì)入風(fēng)險(xiǎn)測(cè)量中。,代價(jià)(續(xù)),3. 資源資源可以是人、系統(tǒng)、通信線路、應(yīng)用程序或訪問(wèn)。資源代價(jià)指如攻擊得逞,需要多少資源來(lái)恢復(fù)正常。4、 信譽(yù)一個(gè)組織的信譽(yù)損失是十分關(guān)鍵的損失,然而這類損失的代價(jià)也難以測(cè)量。信譽(yù)就是誠(chéng)信、可信。一個(gè)組織在公眾心目中的可信度是十分重要的。,小結(jié),1、系統(tǒng)工程
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 信息安全系統(tǒng)工程ssl和openssl
- 安全系統(tǒng)工程(英)
- 安全系統(tǒng)工程試題
- 安全系統(tǒng)工程課件
- 信息安全系統(tǒng)工程公鑰密碼體制
- 安全系統(tǒng)工程總復(fù)習(xí)
- 安全系統(tǒng)工程課后答案
- 《安全系統(tǒng)工程》ppt課件
- 《安全系統(tǒng)工程》試卷答案
- 安全系統(tǒng)工程課程設(shè)計(jì)
- 安全系統(tǒng)工程課后題答案
- 安全系統(tǒng)工程試題庫(kù)
- 安全系統(tǒng)工程課程設(shè)計(jì)
- 《安全系統(tǒng)工程》試卷.考研的
- 安全工程安全系統(tǒng)工程課程設(shè)計(jì)
- 安全系統(tǒng)工程的回顧與展望
- 信息安全系統(tǒng)工程密碼學(xué)基礎(chǔ)和古典加密
- 安全系統(tǒng)工程_張景林++崔國(guó)...
- 安全系統(tǒng)工程復(fù)習(xí)題附答案
- 2019江蘇大學(xué)安全系統(tǒng)工程考試大綱
評(píng)論
0/150
提交評(píng)論