安全

? ? ? ? 隨著信息化的普及，人們已經(jīng)認(rèn)識(shí)到，業(yè)務(wù)應(yīng)用信息系統(tǒng)越來越龐大，越來越復(fù)雜，涉及到經(jīng)濟(jì)、社會(huì)、生活的各個(gè)方面，各種先進(jìn)技術(shù)，隨著網(wǎng)絡(luò)的延伸，處理信息的種類增多，但是隨之而來的“麻煩”也越來越多，越來越厲害，使得我們不得不考慮系統(tǒng)建設(shè)好后能正常健康地運(yùn)營而建造一個(gè)安全保障系統(tǒng)。

? ? ? ?在業(yè)務(wù)應(yīng)用信息系統(tǒng)建造之前，能否準(zhǔn)確地把影響業(yè)務(wù)應(yīng)用信息系統(tǒng)正常運(yùn)營的“安全威脅”找出來，成為至關(guān)重要的頭等大事。否則，設(shè)計(jì)的再好，設(shè)備再先進(jìn)，一投入運(yùn)營就垮臺(tái)或造成重大經(jīng)濟(jì)、政治損失，這是所有建設(shè)者都不希望的。

? ? ? ?另外，由于現(xiàn)在業(yè)務(wù)應(yīng)用信息系統(tǒng)龐大、復(fù)雜、持久，任何運(yùn)營的“信息（數(shù)據(jù)）”差錯(cuò)造成的后果都是巨大的。因此人們開始從單純的關(guān)心“故障”轉(zhuǎn)化為關(guān)心有形和無形的資產(chǎn)維護(hù)問題上來。

? ? ? ?那什么是“有形資產(chǎn)”和“無形資產(chǎn)”呢？一般“有形資產(chǎn)”指例如銀行的賬戶、存折、信用卡；商家的商品；證券商的證券、債券、股票；保險(xiǎn)公司的保單；生產(chǎn)廠家的產(chǎn)品和產(chǎn)品生產(chǎn)的工藝流程、工藝參數(shù)等?！盁o形資產(chǎn)”指的是誠信、可靠的信譽(yù)，以及產(chǎn)品的商品、商家的專利、知識(shí)產(chǎn)權(quán)等。一般“無形資產(chǎn)”都是在“有形資產(chǎn)”破壞之后才引發(fā)的結(jié)果。因此，信息安全保障系統(tǒng)首要考慮“有形資產(chǎn)”的保護(hù)。

? ? ? ?本小節(jié)是上一小節(jié)的延續(xù)，屬于信息安全的范疇。也是我準(zhǔn)備項(xiàng)目管理基礎(chǔ)知識(shí)的最后一部分。

一、信息安全與安全風(fēng)險(xiǎn)

為一個(gè)還沒有建立的新系統(tǒng)定身打造信息安全保障系統(tǒng)的方法：就是對(duì)信息應(yīng)用系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)分析、識(shí)別、評(píng)估，并為之制定防范措施。

業(yè)務(wù)應(yīng)用信息系統(tǒng)與信息安全、信息安全與安全風(fēng)險(xiǎn)之間的關(guān)系：

1、目標(biāo)：擬定新系統(tǒng)的功能；

2、風(fēng)險(xiǎn)識(shí)別：現(xiàn)有系統(tǒng)（業(yè)務(wù)流程）分析；

3、風(fēng)險(xiǎn)評(píng)估：對(duì)識(shí)別出的風(fēng)險(xiǎn)預(yù)估出可能的后果；

4、控制風(fēng)險(xiǎn)：按照風(fēng)險(xiǎn)的大小和主次、設(shè)計(jì)相應(yīng)的對(duì)策；

5、對(duì)設(shè)計(jì)對(duì)策進(jìn)行投入產(chǎn)出評(píng)估；

6、可行轉(zhuǎn)入7，不可行返回1；

7、設(shè)計(jì)；

8、實(shí)施；

二、安全風(fēng)險(xiǎn)識(shí)別

1、安全威脅的分類：

1）從風(fēng)險(xiǎn)性質(zhì)來分：

靜態(tài)風(fēng)險(xiǎn)：人們的錯(cuò)誤判斷和錯(cuò)誤行為造成的風(fēng)險(xiǎn)；

動(dòng)態(tài)風(fēng)險(xiǎn)：人們欲望的變化，生產(chǎn)方式和生產(chǎn)技術(shù)的變化產(chǎn)生的風(fēng)險(xiǎn)；

2）從風(fēng)險(xiǎn)結(jié)果來分：

純粹風(fēng)險(xiǎn)：僅僅會(huì)造成損害的風(fēng)險(xiǎn)，成為純粹風(fēng)險(xiǎn)；

投機(jī)風(fēng)險(xiǎn)：可能造成利潤也可能造成損失的風(fēng)險(xiǎn)；

3）從風(fēng)險(xiǎn)源劃分：

①自然事件風(fēng)險(xiǎn)；

②人為風(fēng)險(xiǎn)；

⊙意外的人為事件風(fēng)險(xiǎn)；

⊙有意的人為事件威脅；

-內(nèi)部竊密和破壞；

-惡意的黑客行為；

-工（商）業(yè)間諜；

-惡意代碼；

-侵犯?jìng)€(gè)人隱私；

-其他有意的人為事件威脅：截收，冒充，破壞系統(tǒng)的可用性，重放，抵賴；

③軟件風(fēng)險(xiǎn)：⊙兼容風(fēng)險(xiǎn)；⊙維護(hù)風(fēng)險(xiǎn)；⊙使用風(fēng)險(xiǎn)；

④軟件過程風(fēng)險(xiǎn)：

⊙軟件需求階段風(fēng)險(xiǎn):

首先，要保證軟件需求的變化不會(huì)持續(xù)蔓延，而使系統(tǒng)無法按期完成，另一方面，要保證開發(fā)能夠?yàn)橛脩羲邮埽?/p>

⊙設(shè)計(jì)階段的風(fēng)險(xiǎn)：

設(shè)計(jì)階段的主要任務(wù)：一方面，要完成系統(tǒng)體系結(jié)構(gòu)的定義，使之能夠完成需求階段既定目標(biāo)；另一方面，檢驗(yàn)需求的一致性和需求分析的完整性和正確性。

設(shè)計(jì)本身的風(fēng)險(xiǎn)：一種來自于系統(tǒng)分析人員；另一種是來自于設(shè)計(jì)文檔；

⊙實(shí)施階段的風(fēng)險(xiǎn)：

本階段的風(fēng)險(xiǎn)來源：源代碼書寫的規(guī)范性、可讀性。（源代碼是文檔的一部分，又是計(jì)算機(jī)系統(tǒng)的實(shí)體）

⊙維護(hù)階段的風(fēng)險(xiǎn)：

軟件維護(hù)的兩個(gè)階段：

第一、試運(yùn)行階段維護(hù)，目的是發(fā)現(xiàn)測(cè)試階段未發(fā)現(xiàn)的錯(cuò)誤；

第二、軟件升級(jí)或移植維護(hù)；

⑤項(xiàng)目管理風(fēng)險(xiǎn)：

項(xiàng)目管理風(fēng)險(xiǎn)的來源：

⊙應(yīng)用軟件產(chǎn)品的不可預(yù)見性；

⊙軟件的生產(chǎn)過程不存在絕對(duì)正確的過程形式；

⊙信息系統(tǒng)應(yīng)用項(xiàng)目的獨(dú)特性；

⑥應(yīng)用風(fēng)險(xiǎn)：

應(yīng)用相關(guān)的風(fēng)險(xiǎn)：⊙安全性；⊙未授權(quán)訪問或修改數(shù)據(jù)；⊙未授權(quán)遠(yuǎn)程訪問；⊙不精確的信息；⊙錯(cuò)誤或虛假信息的輸入；⊙授權(quán)的終端用戶濫用；⊙不完整的處理；⊙重復(fù)數(shù)據(jù)處理；⊙不及時(shí)處理；⊙通信系統(tǒng)失敗；⊙不充分的測(cè)試；⊙不充分的培訓(xùn)；⊙不充分的支持；⊙不充分的文檔；

⑦用戶風(fēng)險(xiǎn)：包括

⊙不充分的使用資源；⊙不兼容的系統(tǒng)；⊙冗余系統(tǒng)；⊙無效的應(yīng)用；⊙職責(zé)不分明；⊙需求分析不全面；

⊙非授權(quán)訪問數(shù)據(jù)或程序；⊙侵犯版權(quán)；⊙病毒破壞信息；

三、風(fēng)險(xiǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估的方法

1、風(fēng)險(xiǎn)識(shí)別常用的方法有：

⊙問詢法（頭腦風(fēng)暴法、面談法）；

⊙財(cái)務(wù)報(bào)表法（各種財(cái)務(wù)報(bào)表和記錄）；

⊙流程圖法（網(wǎng)絡(luò)法或WBS法）；

⊙現(xiàn)場(chǎng)觀察法；

⊙歷史資料（索賠記錄及其他風(fēng)險(xiǎn)信息）；

⊙環(huán)境分析法（相關(guān)方和社會(huì)環(huán)境變化趨勢(shì)，可能變更的法律法規(guī)）等；

⊙類比法；

⊙專家咨詢；

2、風(fēng)險(xiǎn)評(píng)估常用的方法：

⊙概率分布（專家預(yù)測(cè)）；

⊙外推法（使用歷時(shí)數(shù)據(jù)）；

⊙定性評(píng)估；

⊙矩陣圖分析；

⊙風(fēng)險(xiǎn)發(fā)展趨勢(shì)評(píng)價(jià)方法；

⊙項(xiàng)目假設(shè)前提評(píng)價(jià)及數(shù)據(jù)準(zhǔn)確度評(píng)估；

? ? ? 好了，近一個(gè)月整理完成項(xiàng)目管理的基礎(chǔ)知識(shí)，接下來要進(jìn)行進(jìn)一步的組合分析，更加精進(jìn)。

打卡