中高软是培训机构吗

信息系统安全策略是针对本单位的计算机业务应用信息系统的安全风险（安全威胁）进行有效的识别、评估后，所采取的措施、手段，以及建立的各种管理制度。 1、安全策略的核心内容是“七定”：定方案、定岗、定位、定员、定目标、定制度、定工作流程。 2、安全策略需要处理好的关系 ①安全与应用的依存关系：安全与应用是矛盾统一的。没有应用就不会产生相应的安全需求；发生安全问题，就不能更好地开展应用； ②风险度的观点：信息系统的安全目标定位于“系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密”； ③适度安全的观点； ④木桶效应的观点； ⑤信息系统安全等级保护概念。 a、第一级：用户自主保护级：通过隔离用户与数据，使用户具备自主安全保护的能力； b、第二级：系统审计保护级：适用于通过内网或国际网进行商务活动，需要保密的非重要单位； c、第三级：安全标记保护级：具有系统审计保护级的所有功能。适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设邓单位； d、第四级：结构化保护级：建立于一个明确定义的形式安全策略模型之上，要求将第三级中的自主和强制访问控制扩展到所有主体与客体。适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位和国防建设部门； e、访问验证保护级：满足访问控制器需求。访问控制器本身是抗篡改的，必须足够小，能够分析和测试。适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。 安全保护等级由2个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 3、信息安全系统：是信息系统的一部分，用于保证“业务应用信息系统”正常运营。用三维空间来反映信息安全系统的体系架构及其组成： ①X轴是“安全机制”。安全机制可以理解为提供某些安全服务，利用各种安全技术和技巧，所形成的一个较为完善的结构体系； ②Y轴是“OSI网络参考模型”。信息安全系统的许多技术、技巧都是在网络的各个层面上实施的，包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层； ③Z轴是“安全服务”，从网络中的各个层次提供给信息应用系统所需要的安全服务支持。 X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。包含“认证、权限、完整、加密和不可否认”五大要素，也叫作“安全空间”的五大属性。 4、安全服务：分为对等实体认证服务（对对方实体的合法性、真实性进行确认，以防假冒）、数据保密服务、数据完整性服务、数据源点认证服务、截止否认服务、犯罪证据提供服务。 5、安全技术：加密技术、数字签名技术、访问控制技术、数据完整性技术、认证技术、数据挖掘技术。 6、信息安全系统架构体系 ①MIS+S系统：初级信息安全保障系统或基本信息安全保障系统，其特点包括：业务应用系统基本不变、硬件和系统软件通用、安全设备基本不带密码； ②S-MIS系统：标准信息安全保障系统，其特点包括：硬件和系统团建通用，PKI/CA安全保障系统必须带密码、业务应用系统必须根本改变、主要的通用的硬件、软件也要通过PKI/CA认证； ③S2-MIS系统：超安全的信息安全保障系统：其特点为硬件和系统软件都专用，PKI/CA安全基础设施必须带密码，业务应用系统必须根本改变。 7、ISSE过程：工程过程、风险过程（一个有害事件由外部威胁、内部脆弱性和影响三个部分组成）和保证过程。 8、PKI（公钥基础设施）：以不对称秘钥加密技术为基础，以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的，来实施和提供安全服务的具有普适性的安全基础设施，PKI的基本构件包括： ①数字证书：由认证机构经过数字签名后发给网上信息交易主体的一段电子文档校验对方的身份真伪，保证交易信息的真实性、完整性、机密性和不可否认性。数字证书是PKI的基础； ②认证中心：CA是PKI的核心，由公正、权威、可信的第三方认证机构，负责数字证书的签发、撤销和生命周期的管理，还提供秘钥管理和证书在线查询等服务； ③数字证书注册审批机构：RA系统是CA的数字证书发放、管理的延伸； ④其它：数字签名、密钥和证书管理工具、双证书体系、PKI的体系架构、PKI信任服务体系、PKI密钥管理中心。 9、证书标准：版本号、序列号、签名算法标识符、认证机构、有效期限、主题信息、认证机构的数字签名、公钥信息。 10、PKI/CA对数字证书的管理：按照数字证书的生命周期实施的，包括证书的安全需求确定、证书申请、证书登记、分发、审计、撤回和更新。 11、CA是一个受信任的机构，为了当前和以后的事务处理，CA给个人、计算机设备和组织机构颁发证书，以证实他们的身份，并为他们使用证书的一切行为提供信誉的担保。 12、PMI即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。 13、PMI与PKI的区别：PMI主要进行授权管理，证明这个用户有什么权限，能干什么；PKI主要进行身份鉴别，证明用户身份。 14、访问控制的基本概念：信息安全保证机制的核心内容之一。访问控制是为了限制访问主体对访问客体的访问权限，从而使计算机信息应用系统在合法范围内使用；访问控制机制决定用户以及代表一定用户利益的程序能做什么及做到什么程度，有两个重要过程： ①认证过程：通过“鉴别”来检验主体的合法身份； ②授权管理：通过“授权”那赋予用户对某项资源的访问权限。 15、访问控制机制分类：强制访问控制（MAC，用户不能改变他们的安全级别或对象的安全属性）和自主访问控制（DAC-允许对象的属主来制定针对该对象的保护策略，那限定哪些主体针对哪些客体可以执行什么操作）。 16、访问控制的应用：有以下4种： ①DAC，自主访问控制方式：针对每个用户指明能够访问的资源，对不在指定资源列表总的对象不允许访问； ②ACL，访问控制列表方式：目标资源拥有访问权限列表，指明允许哪些用户访问； ③MAC，强制访问控制方式：目标具有一个包含等级的安全标签（不保密、限制、秘密、机密等）；访问者拥有包含等级列表的许可，其中定义了可以单温哪个级别的目标。多用于军事和安全部门； ④RBAC，基于角色的访问控制方式：首先定义一些组织内的角色，如局长、科长、职员；再根据管理规定给这些角色分配相应的权限，最后对组织内的每个人根据具体业务和职位分配一个或多个角色。 17、安全审计：记录、审查主体对客体进行访问和使用情况，保证安全规则被正确执行，并帮助分析安全事故产生的原因。 ①安全审计的内容：采用网络监控与入侵防护系统，识别网络各种违规操作与攻击行为，即时相应并进行阻断；对信息内容和业务流程进行审计，可以防止内部机密或敏感信息的非法泄露和单位资产的流失。 ②信息安全审计系统就是业务应用信息系统的“黑匣子”。即使在整个系统遭到灭顶之灾的破坏后，“黑匣子”也能安然无恙，并确切记录破坏系统的各种痕迹和“现场记录”。 ③信息安全审计系统就是业务应用信息系统的“黑匣子监护神”。随时对一切现行的犯罪行为、违法行为进行监视、追踪、抓捕，同时对暗藏的、隐患的犯罪倾向、违法迹象进行“堵漏”、铲除。 ④安全审计的作用：对潜在的攻击者起到震慑或警告作用；对于已经发生的系统破坏行为提供有效的追究证据；为系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞；为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。 ⑤安全审计功能：CC标准将安全审计功能分为6个部分： a、安全审计自动响应功能：定义被测事件指示出一个潜在的安全攻击时做出的响应，他是管理审计事件的需要，这些需要包括报警或行动； b、安全审计数据生成功能：要求记录与安全相关的事件的出现，包括鉴别审计层次、列举可被审计的事件类型，以及鉴别由各种审计记录类型提供的相关审计信息的最小集合； c、安全审计分析功能：定义了分析系统和审计数据来寻找可能的或真正的安全违规操作（分为潜在攻击分析、基于模板的异常检测、简单攻击试探、复杂攻击试探）； d、安全审计浏览功能：要求审计系统能够给使授权的用户有效地浏览审计数据，包括审计浏览、有限审计浏览、可选审计浏览。 e、安全审计事件选择功能：要求系统管理员能够维护、检查或修改审计事件的集合； f、安全审计事件存储功能：要求审计系统将提供控制措施，以防止由于资源不可用丢失审计数据。 18、重要应用系统运行情况审计：包括基于主机操作系统代理、基于应用系统代理、基于应用系统独立程序、基于网络旁路监控方式。 19、分布式审计系统：由审计中心（对整个审计系统的数据进行集中存储和管理）、审计控制台（提供给管理员用于对审计数据进行查阅）和审计Agent（直接同被审计网络和系统连接的部件，不同的审计Agent完成不同的功能）组成。

项目整体管理涉及到项目的整个过程，包括范围、进度、成本、质量、人力资源、沟通、风险和采购，范围管理是十大管理之一，是项目开始后的重要工作，下面对项目的范围与整体管理进行概述。 一、整体管理 整体管理是综合性的、全局性的管理。知识领域包括识别、确定、结合、统一与协调各项目管理过程组内不同过程与项目管理活动所需进行的各种过程和活动。 1、制定项目章程 项目章程是正式批准的文件，由发起人发布，要授权项目经理（规划开始前被委派）在项目活动中动用组织资源，项目章程的内容包括： 项目目的或批准项目的原因；可测量的项目目标和相关的成功标准；项目的总体要求；概括性的项目描述；项目的主要风险；总体里程碑进度计划；总体预算；项目审批要求；委派的项目经理及其职责和职权；发起人或其他批准项目章程的人员的姓名和职权。 ①输入 a、协议（合同）； b、项目工作说明书（项目提供的产品或服务的文字说明，包括业务需求、产品范围说明书、战略计划）； c、商业论证（从商业角度提供必要信息，决定项目是否值得投资），可基于市场、组织需求、客户要求、技术进步、法律要求、生态影响、社会需要等原因编制商业论证； d、事业环境因素（行业、国家、社会、公司层面的内容，项目经理无权改变），主要包括组织、公司文化及架构、政府或行业标准、基础设施、现有人力资源、人事管理等； e、组织过程资产（组织形成的经验、资产，项目经理可选择），包括组织标准过程、标准指导原则、模板、组织沟通要求、项目收尾指导原则及要求、财务控制程序等。 ②工具及技术 a、专家判断：评价制定项目章程所需的依据，来源包括实施组织内部的其它单位、咨询公司、客户或赞助人在内的厉害关系者、专业和技术协会、行业集团。 b、引导技术：指导项目章程的制定，头脑风暴、冲突管理、问题解决和会议管理，都是引导者可以用来帮助团队和个人完成项目活动的关键技术。 ③项目的选择方式包括净现值（NPV）分析、投资收益率（ROI）分析（越大越好）、投资回收期分析（越短越好）。 ④项目启动会议（分内、外会议）：启动会需做好确定会议目标、做好会议前的准备工作、明确并通知会议人员、明确会议主要议题、做好记录。 ⑤项目目标：具体的、可度量的、可达成的、与企业战略目标相关的和有时间限制的。分为成果性目标和约束性目标，确定项目目标应该注意以下几点： a、将成果目标和约束目标区分开来； b、将目的和手段区别开来； c、不制定无法量化或无法实现的目标； d、不转移项目管理人员的努力方向。 2、制定项目管理计划 ①项目管理计划记录了计划过程组的各个计划子过程的全部成果，确定了执行、监视、控制和结束项目的方式方法，包括： a、项目管理团队选择的各个项目管理过程； b、每一选定过程的实施水平； c、对实施这些过程时使用的工具与技术所做的说明； d、在管理具体项目中使用选定过程的方式和方法； e、为了实现项目目标所执行工作的方式方法； f、监控变更的方式、方法； g、实施配置管理的方式、方法等。 初次制定项目计划不要求十分详细，要从宏观上把控项目的主题管理思路，渐进明细。 ②输入：a、项目章程；b、其他过程的输入结果（各子计划互为输入输出）；c、事业环境因素；d、组织过程资产。 ③工具和技术：专家判断、引导技术。 ④输出：项目管理计划 3、指导与管理项目执行 执行过程组，要求项目经理和团队采取多种行动执行项目管理计划，完成项目范围说明书中明确的工作（开展活动实现项目目标、付出努力与资金，实现项目目标、人员分派等）。 指导和管理项目执行还要求实施：批准的纠正措施、预防措施、缺陷补救请求（变更请求）。 ①输入：项目管理计划、批准的变更请求、事业环境因素、组织过程资产； ②工具和技术：专家判断、项目管理信息系统（PMIS）、会议； ③输出：可交付成果、工作绩效数据、变更请求、项目管理计划更新、项目文件更新。 4、监控项目工作 对象包括对照项目管理计划比较项目的实际表现；评价项目绩效、分析、跟踪并监视项目风险等。 ①输入：项目管理计划、进度预测、成本预测、确认的变更、工作绩效信息、事业环境因素、组织过程资产； ②工具和技术：专家判断、分析技术、项目管理信息系统（PMIS）、会议； ③输出：变更请求、工作绩效报告、项目管理计划更新、项目文件更新。 5、实施整体变更控制 变更控制贯穿于整个项目的始终，管理机构是变更控制委员会（CCB）。流程包括：变更申请→影响分析→变更审批（批准/拒绝）→实施变更→变更验证/发布。 ①输入：项目管理计划、工作绩效报告、变更请求、事业环境因素、组织过程资产； ②工具和技术：专家判断、会议、变更控制工具； ③输出：批准的变更请求、变更日志、项目管理计划更新、项目文件更新。 6、结束项目或阶段 完结所有项目管理过程组的所有活动，是正式结束项目或阶段的过程，总结经验教训，正式结束项目工作。 ①输入：项目管理计划、验收的可交付成果、组织过程资产； ②工具和技术：专家判断、分析技术、会议； ③输出：最终产品、服务或成果移交（合同收尾）、组织过程资产更新（审计、总结会）。 二、范围管理 范围管理（Scope Management）就是要做范围内的事情，既不能少做也不多做。需要做好明确项目边界、对项目执行工作进行监督、防止项目范围发生蔓延。 1、产品范围指产品或服务说应该包含的功能；项目范围指为了能够交付产品，项目所必须做的工作。因此产品范围是项目范围的基础。 2、项目的范围基准是经过批准的项目范围说明书、WBS和WBS字典。产品范围变更后，首先影响的是项目范围。 3、项目范围来自项目投资方或客户的明确的项目目标和具体需求。项目的目标是项目范围管理计划编制的基本依据。 4、规划范围管理 ①是编制范围管理计划，描述如何定义、确认和控制项目范围的过程，主要作用是在整个项目中对如何管理范围提供指南和方针。 ②范围管理计划是执行项目管理计划和其它范围管理过程的输入，主要内容包括 a、如何制定项目范围说明书→范围定义； b、如何根据范围说明书创建WBS； c、如何维护和批准WBS； d、如何确认和正式验收已完成的项目可交付成果→范围确认； e、如何处理项目范围说明书的变更→范围控制； f、确定WBS满足职能和项目的要求，包括重置和非重置成本； g、检查WBS是否为所有的项目工作提供了逻辑细分； h、保证每一个特定层的总成本等于下一个层次构成要素的成本和； i、从全面适应和连续角度来检查WBS； j、所有的工作职责需分配到个人或组织单元。 项目范围管理计划可能在项目管理计划之中，也可以是单独的，可以是详细的也可以是概括的，可以是正式的，也可以是非正式的。 ③需求管理计划 需求贯穿于整个项目过程，他的基本任务是明确需求，并达成共识，建立需求基线。需求管理计划包括以下内容： a、如何规划、跟踪和汇报各种需求活动； b、需求管理需要使用的资源； c、培训计划； d、项目干系人参与需求管理的策略； e、判断项目范围与需求不一致的准则和纠正规程； f、需求跟踪结构； g、配置管理活动。 5、收集需求 收集需求是为了实现项目目标而确定、记录并管理干系人的需要和需求的过程，其作用是为了定义和管理项目范围奠定基础。 ①需求分类（业务需求-高层次需求；干系人需求-干系人或干系人群体的需要；解决方案需求-产品、服务或成果必须具备的特性、功能和特征；过渡需求-当前状态过渡到未来状态所需的临时功能；项目需求-项目需要满足的行动、过程或其他条件；质量需求-又分为基本、期望、意外需求）。 ②技术和工具 a、访谈（与干系人直接交谈来获取信息的正式或非正式方法）； b、焦点小组（主持人引导干系人和主题专家引导大家进行互动式讨论）； c、引导式研讨会（快速定义职能需要和协调干系人差异的重要技术）； d、群体创新技术（头脑风暴、名义小组、德尔菲、概念/思维导图、亲和图、多标准决策分析） f、群体决策技术（一致同意、大多数原则、面对多数原则、独裁） g、其它工具（问卷调查、观察、原型法、标杆对照、系统交互图、文件分析） ③输出：需求文件、需求跟踪矩阵，其中需求文件的内容包括（业务需求、干系人需求、解决方案需求、项目需求、过渡需求、与需求有关的假设条件、依赖关系和制约因素） ④需求跟踪：确保产品开发过程中需求一致性和精确性，需求要具有双向可跟踪性（正向跟踪、反向跟踪、第五类跟踪-需求文件之间 的跟踪），需求跟踪矩阵是表格形式，需求跟踪的内容主要包括： 业务需求、机会、目的和目标；项目目标；项目范围；产品设计、产品开发、测试策略和测试场景。 6、定义范围（制定项目和产品详细描述的过程） 主要作用是明确所收集的需求哪些将包含在项目范围内，哪些排除在项目范围外，从而明确产品、服务或成果的边界。 ①工具和技术：专家判断；产品分析；备选方案生成；引导式研讨会 ②输出：项目范围说明书、项目文件更新 ③项目范围说明书的内容包括（产品范围描述；验收标准；可交付成果；项目的除外责任；制约因素；假设条件）。 ④项目范围说明书的作用：确定范围；沟通基础；规划和控制依据；变更基础；规划基础。 6、创建WBS 是将可交付成果和项目工作分解成最小的、更易于管理的组件的过程，主要作用是对说交付内容提供一个结构化视图。 ①WBS的层次：每层中的所有要素之和是下一层的工作之和；每个工作要素应该具体指派一个层次；WBS需要有投入工作的范围描述。主要定义有里程碑、工作包、控制账户、规划包、WBS字典。 重要的检查点是里程碑、重要的里程碑是基线。工作包的分配遵循880原则（一个人8小时或2周的工作量）。层次：控制账户→规划包→工作包，遵循从上往下的分配逻辑。 ②工具和技术：分解、专家判断。 ③WBS分解的内容 a、识别和分析可交付成果及相关工作； b、确定WBS的结构和编排方法； c、自上而下逐层细化分解； d、为WBS组件制定和分配标识编码； e、核实可交付成果分解的程度是恰当的。 ④分解的原则：功能或技术原则；组织结构；系统或子系统（最佳实践：a、项目生命周期的各阶段作为分解的第二层；b、主要可交付成果作为分解的第二层；c、整合可能由项目团队以为的组织来实施各种组件-例外包，然后作为外包工作的一部分）。 ⑤分解过程：全体项目团队成员、用户和项目干系人共同完成并一致确认。WBS表现形式主要有分级的树型结构（层次清晰、直观性和结构性强，但是不易修改难以表示出项目的全貌）和表格形式（直观性较差，但是能反映出项目所有的工作要素）。 创建WBS后需检查每个阶段的主要交付成果，需要交付给项目发起人，项目经理必须向项目发起人解释项目任何阶段的意义。如果WBS不合理，项目团队应该一起改正这些错误。完成的WBS还需要交付给其他项目干系人。确保所有的项目范围都已经包含在WBS中。 ⑥WBS分解注意事项 a、WBS必须是面向可交付成果的； b、WBS必须符合项目的范围； c、WBS的底层应该支持计划和控制； d、WBS中的元素必须有人负责，而且只有一个人负责； e、WBS的指导，应该控制在4-6层； f、WBS应包括项目管理工作； g、WBS的编制需要所有（主要）项目干系人的参与； h、WBS并非是一成不变的。 ⑦WBS的作用：明确和准确说明项目范围、清楚定义项目的边界；为各独立单元分派人员、需求量估算，提高准确定、奠定项目基础、讲项目工作和项目财务账目联系起来、确定工作内容和工作顺序等。 7、确认范围 确认范围是正式验收项目已完成的可交付成果的过程，其主要作用是使验收过程具有客观性，提高最终成果获得验收的可能性。 ①工具和技术：检查（审查、评审、审计、走查、巡检等）、群体决策技术。 ②确定范围的步骤 a、确定需要进行范围确认的时间； b、识别范围确认需要哪些投入； c、确定范围正式被接受的标准和要素； d、确定范围确认会议的组织步骤； e、组织范围确认会议。 ③需要检查的问题 a、可交付成果是否是确定的、可确认的； b、每个可交付成果是否有明确的里程碑，里程碑是否有明确的、可辨别的事件； c、是否有明确的质量标准； d、审查和承诺是否有清晰的表达； e、项目范围是否覆盖了需要完成的产品或服务进行的所有活动； f、项目范围的风险是否太高。 ④干系人的关注点 a、管理层→范围对项目进度、资金和资源的影响； b、客户→项目的可交付成果是否足够完成产品或服务； c、项目管理人员→可交付成果是否足够和必须完成； d、项目成员→项目范围内自己参与的元素和负责的元素，检查自己的工作时间是否足够。 ⑤确认范围与质量控制的区别 确认范围主要强调可交付成果获得客户或发起人的接受，质量控制强调可交付成果的正确性；质量控制一般在确认范围前进行，也可以同时进行，确认范围一般在阶段末尾进行；质量控制是内部检查，确认范围由外部干系人（客户或发起人）对项目可交付成果进行检查验收。 ⑥确认范围与项目收尾的区别 确认范围强调的是核实与接受可交付成果；项目收尾强调的是结束项目所要做的流程性工作；确认范围验收项目的可交付成果，项目验收强调验收产品。 8、控制范围 监督项目、产品的范围状态、管理范围基准变更的过程，主要作用是在整个项目期间保持对项目基准的维护。 ①变更的原因 a、政府政策问题； b、项目范围的计划编制不周密详细； c、市场上出现了或设计人员提出了新技术、新手段或新方案； d、项目执行组织本身发生变化； e、客户对项目、项目产品或服务的要求发生变化。 ②范围变更控制的工作 a、影响导致范围变更的因素，并尽量使这些因素向有利的方面发展； b、判断范围变更是否已经发生； c、范围变更发生时管理实际的变更，确保所有被请求的变更按照项目整体变更控制过程处理。