以下內(nèi)容由信管網(wǎng)考友：沖上云霄&馬狼狂分享，信管網(wǎng)整理發(fā)布，供信息系統(tǒng)項目管理師與系統(tǒng)集成項目管理工程師考生參考復習。

信息系統(tǒng)項目管理師考試重點：信息安全

1、信息定義：信息就是不確定性的減少。

2、信息化定義：有很多種定義。比如信息化是計算機、通信和網(wǎng)絡技術的現(xiàn)代化。比如信息化是從工業(yè)社會向信息社會演進的過程。
3、信息安全保障系統(tǒng)簡稱為信息安全系統(tǒng)。包括安全機制、安全服務、安全技術這三維體系架構。（1）安全機制：第一層：基礎設施實體安全；第二層：平臺安全；第三層：數(shù)據(jù)安全；第四層：通信安全；第五層：應用安全；第六層：運行安全；第七層：管理安全；第八層：授權和審計安全，其中審計安全是信息安全系統(tǒng)必須支持的功能特性；第九層：安全防范體系，其核心是實現(xiàn)企業(yè)信息安全資源的綜合管理，就是EISRM。這個體系的建立可以更好的發(fā)揮以下六項能力：預警、保護、檢測、反應、恢復和反擊，也就是WPDRRC信息安全保障體系。（2）安全服務：第一、對等實體認證服務，用于兩個開放系統(tǒng)同等層中的實體建立鏈接或數(shù)據(jù)傳輸時，對對方的合法性和真實性進行確認，以防假冒；第二、數(shù)據(jù)保密服務，防止網(wǎng)絡中各系統(tǒng)之間的數(shù)據(jù)被截獲或被非法存取而泄密，提供密碼加密保護；第三、數(shù)據(jù)完整性服務，防止非法實體對交換數(shù)據(jù)的增刪改以及在數(shù)據(jù)交換過程中的數(shù)據(jù)丟失；第四、數(shù)據(jù)源點認證服務。用于確保數(shù)據(jù)發(fā)自真正的源點，以防假冒；第五、禁止否認服務。防止發(fā)送方在發(fā)送數(shù)據(jù)后否認自己發(fā)送過此數(shù)據(jù)，接收方在收到數(shù)據(jù)后否認自己收到過此數(shù)據(jù)或偽造接收數(shù)據(jù)；第六、犯罪證據(jù)提供服務。（3）安全技術：一、加密技術。確保數(shù)據(jù)安全性；二、數(shù)字簽名技術。確保數(shù)據(jù)真實性。三、訪問控制技術。按事先定義的規(guī)則決定主體對客體的訪問是否合法。四、數(shù)據(jù)完整性技術。包括兩種，數(shù)據(jù)單元的完整性、數(shù)據(jù)單元序列的完整性。五、認證技術。多數(shù)采用密碼技術和數(shù)字簽名技術。六、數(shù)據(jù)挖掘技術。能及早發(fā)現(xiàn)隱患，將犯罪扼殺在萌芽階段并及時修補不健全的安全防范體系。
4、區(qū)分信息安全系統(tǒng)的三種不同系統(tǒng)架構：（1）MIS+S系統(tǒng)架構。初級信息安全保障系統(tǒng)。特點主要是業(yè)務應用系統(tǒng)基本不變；硬件和系統(tǒng)軟件通用；安全設備基本不帶密碼。（2）S—MIS系統(tǒng)架構。標準信息安全保障系統(tǒng)。這種系統(tǒng)是建立在世界公認的PKI/CA標準的信息安全基礎上。特點是硬件和系統(tǒng)軟件通用；PKI/CA安全保障系統(tǒng)必須帶密碼；業(yè)務應用系統(tǒng)必須根本改變；主要的通用的硬件和軟件也要通過PKI/CA認證。（3）S2—MIS系統(tǒng)架構。超安全的信息安全保障系統(tǒng)。特點是硬件和軟件都專用；PKI/CA安全基礎設施必須帶密碼；業(yè)務應用系統(tǒng)必須根本改變；主要的通用的硬件和軟件要通過PKI/CA認證。
5、信息系統(tǒng)安全風險評估。（1）風險識別的主要方法有：訪談法（頭腦風暴、德爾菲法、面談法等）；財務報表法；流程圖法；現(xiàn)場觀察法；歷史資料；環(huán)境分析法；類比法；專家咨詢。（2）識別之后，就是風險評估。主要方法有：概率分布；外推法（使用歷史數(shù)據(jù)）；定性評估；矩陣圖分析；風險發(fā)展趨勢評價方法；項目假設前提評價和數(shù)據(jù)準確度評估。
6、信息系統(tǒng)安全策略。指人們?yōu)楸Ｗo因為使用計算機業(yè)務應用信息系統(tǒng)可能招致的對單位資產(chǎn)造成損失而進行保護的各種措施和手段，以及建立的各種管理制度和法規(guī)等。涉及技術和非技術的；硬件和非硬件的；法律和非法律的各個方面。核心內(nèi)容是“七定”：定方案、定崗、定位、定員、定目標、定制度、定工作流程。可以歸納為一句話，七定的結果就是確定了該單位或組織的計算機業(yè)務應用信息系統(tǒng)安全如何具體的實施和保證。必須由單位的最高行政執(zhí)行長官、部門或組織授權完成安全策略的制定，并經(jīng)過單位全員討論修訂。從安全策略宣布實行之日起，安全策略就是單位內(nèi)部的一個重要法規(guī)，任何人不得違反。嚴重者送交國家法律機關審理處置。安全策略具有科學性、嚴肅性、非二義性、可操作性。（1）建立安全策略的設計原則。在決策之前，需要理清頭緒，抓住關鍵細節(jié)，確定安全系統(tǒng)如何建、怎么建、建好之后如何管，怎么管等事關大局的事情。這就是設計原則。（2）信息系統(tǒng)安全管理的總原則。也就是最高原則。主要有8個總原則和10個特殊原則。8個總原則包括：主要領導人負責原則、規(guī)范定級原則、依法行政原則、以人為本原則、注重效費比原則、全面防范，突出重點原則、系統(tǒng)，動態(tài)原則、特殊的安全管理原則。10個特殊原則包括：分權制衡原則、最小特權原則、標準化原則、用成熟的先進技術原則、失效保護原則、普遍參與原則、職責分離原則、審計獨立原則、控制社會影響原則、保護資源和效率原則。
7、SSL（安全端口接層）：傳輸層的安全協(xié)議；Ipsec（互聯(lián)網(wǎng)協(xié)議安全）：網(wǎng)絡層的安全協(xié)議；PPTP（點到點隧道協(xié)議）：鏈路層的安全協(xié)議
8、DES是一種對稱加密算法，77年美國作為非機要部門使用的數(shù)據(jù)加密標準，是使用最廣泛的密鑰算法，長度56位，每個第8位都用做奇偶校驗。由于計算機技術的發(fā)展遠超想象，DES已經(jīng)不堪暴力破解，所以3DES和IDEA就出生了。
3DES的密鑰長度是112位，IDEA的密鑰長度是128位
9、Kerberos協(xié)議是對稱密鑰，在使用其認證時，首先向密鑰中心發(fā)送初始票據(jù)TGT。PKI是非對稱密鑰，用來發(fā)布管理公鑰，公鑰封裝在PKI證書里面，用戶可以通過證書來獲取數(shù)字簽名中的公鑰。
10、在計算機信息安全保護等級劃分準則中，確定了5個安全保護等級：1、用戶自主保護，適用于普通內(nèi)聯(lián)網(wǎng)用戶；2、系統(tǒng)審計保護，適用于通過內(nèi)聯(lián)網(wǎng)或國際網(wǎng)進行商務活動，需要保密的非重要單位；3、安全標記保護，適用于地方各級國家機關，金融，郵電通信，能源水源，交通運輸，大型工商與信息技術企業(yè)，重點工程建設等單位；4、結構化保護，適用于中央國家機關，廣播電視，重要物資儲備單位，尖端科技，國家重點科研單位，國防建設等；5、訪問驗證保護，適用于國防關鍵部門和依法需要對計算機信息系統(tǒng)實施特殊隔離的單位。
11、從數(shù)學角度，加密只是一種從M 定義域到C值域的函數(shù)變換，解密剛好是對加密的反函數(shù)變換。
12、數(shù)字簽名 是非對稱密鑰加密技術與數(shù)字摘要hash技術的綜合應用，可以用于防止信息抵賴；
加密技術用于防止信息被竊取，包括各種對稱密鑰和非對稱密鑰
完整性技術用于防止信息被篡改，常見的數(shù)字摘要hash算法有MD5,SHA
認證技術用于防止信息被假冒，通常是PKI/CA證書體系
13、IKE是一種網(wǎng)絡協(xié)議，用于交換和管理在VPN中使用的加密密鑰，不是消息摘要算法
14、腳本病毒：一般出現(xiàn)在網(wǎng)頁中
木馬病毒：通過偽裝吸引用戶下載執(zhí)行，木馬實施者以此打開被種者電腦的門戶，遠程控制被種者的電腦
蠕蟲病毒：是一種自包含的程序，可以在互聯(lián)網(wǎng)環(huán)境下復制自身傳播

宏病毒：主要是office文件

點擊查看：高項信息系統(tǒng)項目管理師考試重點