以下內(nèi)容由信管網(wǎng)考友：沖上云霄&馬狼狂分享，信管網(wǎng)整理發(fā)布，供信息系統(tǒng)項(xiàng)目管理師與系統(tǒng)集成項(xiàng)目管理工程師考生參考復(fù)習(xí)。

信息系統(tǒng)項(xiàng)目管理師考試重點(diǎn)：信息安全

1、信息定義：信息就是不確定性的減少。

2、信息化定義：有很多種定義。比如信息化是計(jì)算機(jī)、通信和網(wǎng)絡(luò)技術(shù)的現(xiàn)代化。比如信息化是從工業(yè)社會(huì)向信息社會(huì)演進(jìn)的過程。
3、信息安全保障系統(tǒng)簡(jiǎn)稱為信息安全系統(tǒng)。包括安全機(jī)制、安全服務(wù)、安全技術(shù)這三維體系架構(gòu)。（1）安全機(jī)制：第一層：基礎(chǔ)設(shè)施實(shí)體安全；第二層：平臺(tái)安全；第三層：數(shù)據(jù)安全；第四層：通信安全；第五層：應(yīng)用安全；第六層：運(yùn)行安全；第七層：管理安全；第八層：授權(quán)和審計(jì)安全，其中審計(jì)安全是信息安全系統(tǒng)必須支持的功能特性；第九層：安全防范體系，其核心是實(shí)現(xiàn)企業(yè)信息安全資源的綜合管理，就是EISRM。這個(gè)體系的建立可以更好的發(fā)揮以下六項(xiàng)能力：預(yù)警、保護(hù)、檢測(cè)、反應(yīng)、恢復(fù)和反擊，也就是WPDRRC信息安全保障體系。（2）安全服務(wù)：第一、對(duì)等實(shí)體認(rèn)證服務(wù)，用于兩個(gè)開放系統(tǒng)同等層中的實(shí)體建立鏈接或數(shù)據(jù)傳輸時(shí)，對(duì)對(duì)方的合法性和真實(shí)性進(jìn)行確認(rèn)，以防假冒；第二、數(shù)據(jù)保密服務(wù)，防止網(wǎng)絡(luò)中各系統(tǒng)之間的數(shù)據(jù)被截獲或被非法存取而泄密，提供密碼加密保護(hù)；第三、數(shù)據(jù)完整性服務(wù)，防止非法實(shí)體對(duì)交換數(shù)據(jù)的增刪改以及在數(shù)據(jù)交換過程中的數(shù)據(jù)丟失；第四、數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)。用于確保數(shù)據(jù)發(fā)自真正的源點(diǎn)，以防假冒；第五、禁止否認(rèn)服務(wù)。防止發(fā)送方在發(fā)送數(shù)據(jù)后否認(rèn)自己發(fā)送過此數(shù)據(jù)，接收方在收到數(shù)據(jù)后否認(rèn)自己收到過此數(shù)據(jù)或偽造接收數(shù)據(jù)；第六、犯罪證據(jù)提供服務(wù)。（3）安全技術(shù)：一、加密技術(shù)。確保數(shù)據(jù)安全性；二、數(shù)字簽名技術(shù)。確保數(shù)據(jù)真實(shí)性。三、訪問控制技術(shù)。按事先定義的規(guī)則決定主體對(duì)客體的訪問是否合法。四、數(shù)據(jù)完整性技術(shù)。包括兩種，數(shù)據(jù)單元的完整性、數(shù)據(jù)單元序列的完整性。五、認(rèn)證技術(shù)。多數(shù)采用密碼技術(shù)和數(shù)字簽名技術(shù)。六、數(shù)據(jù)挖掘技術(shù)。能及早發(fā)現(xiàn)隱患，將犯罪扼殺在萌芽階段并及時(shí)修補(bǔ)不健全的安全防范體系。
4、區(qū)分信息安全系統(tǒng)的三種不同系統(tǒng)架構(gòu)：（1）MIS+S系統(tǒng)架構(gòu)。初級(jí)信息安全保障系統(tǒng)。特點(diǎn)主要是業(yè)務(wù)應(yīng)用系統(tǒng)基本不變；硬件和系統(tǒng)軟件通用；安全設(shè)備基本不帶密碼。（2）S—MIS系統(tǒng)架構(gòu)。標(biāo)準(zhǔn)信息安全保障系統(tǒng)。這種系統(tǒng)是建立在世界公認(rèn)的PKI/CA標(biāo)準(zhǔn)的信息安全基礎(chǔ)上。特點(diǎn)是硬件和系統(tǒng)軟件通用；PKI/CA安全保障系統(tǒng)必須帶密碼；業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變；主要的通用的硬件和軟件也要通過PKI/CA認(rèn)證。（3）S2—MIS系統(tǒng)架構(gòu)。超安全的信息安全保障系統(tǒng)。特點(diǎn)是硬件和軟件都專用；PKI/CA安全基礎(chǔ)設(shè)施必須帶密碼；業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變；主要的通用的硬件和軟件要通過PKI/CA認(rèn)證。
5、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估。（1）風(fēng)險(xiǎn)識(shí)別的主要方法有：訪談法（頭腦風(fēng)暴、德爾菲法、面談法等）；財(cái)務(wù)報(bào)表法；流程圖法；現(xiàn)場(chǎng)觀察法；歷史資料；環(huán)境分析法；類比法；專家咨詢。（2）識(shí)別之后，就是風(fēng)險(xiǎn)評(píng)估。主要方法有：概率分布；外推法（使用歷史數(shù)據(jù)）；定性評(píng)估；矩陣圖分析；風(fēng)險(xiǎn)發(fā)展趨勢(shì)評(píng)價(jià)方法；項(xiàng)目假設(shè)前提評(píng)價(jià)和數(shù)據(jù)準(zhǔn)確度評(píng)估。
6、信息系統(tǒng)安全策略。指人們?yōu)楸Ｗo(hù)因?yàn)槭褂糜?jì)算機(jī)業(yè)務(wù)應(yīng)用信息系統(tǒng)可能招致的對(duì)單位資產(chǎn)造成損失而進(jìn)行保護(hù)的各種措施和手段，以及建立的各種管理制度和法規(guī)等。涉及技術(shù)和非技術(shù)的；硬件和非硬件的；法律和非法律的各個(gè)方面。核心內(nèi)容是“七定”：定方案、定崗、定位、定員、定目標(biāo)、定制度、定工作流程?？梢詺w納為一句話，七定的結(jié)果就是確定了該單位或組織的計(jì)算機(jī)業(yè)務(wù)應(yīng)用信息系統(tǒng)安全如何具體的實(shí)施和保證。必須由單位的最高行政執(zhí)行長(zhǎng)官、部門或組織授權(quán)完成安全策略的制定，并經(jīng)過單位全員討論修訂。從安全策略宣布實(shí)行之日起，安全策略就是單位內(nèi)部的一個(gè)重要法規(guī)，任何人不得違反。嚴(yán)重者送交國家法律機(jī)關(guān)審理處置。安全策略具有科學(xué)性、嚴(yán)肅性、非二義性、可操作性。（1）建立安全策略的設(shè)計(jì)原則。在決策之前，需要理清頭緒，抓住關(guān)鍵細(xì)節(jié)，確定安全系統(tǒng)如何建、怎么建、建好之后如何管，怎么管等事關(guān)大局的事情。這就是設(shè)計(jì)原則。（2）信息系統(tǒng)安全管理的總原則。也就是最高原則。主要有8個(gè)總原則和10個(gè)特殊原則。8個(gè)總原則包括：主要領(lǐng)導(dǎo)人負(fù)責(zé)原則、規(guī)范定級(jí)原則、依法行政原則、以人為本原則、注重效費(fèi)比原則、全面防范，突出重點(diǎn)原則、系統(tǒng)，動(dòng)態(tài)原則、特殊的安全管理原則。10個(gè)特殊原則包括：分權(quán)制衡原則、最小特權(quán)原則、標(biāo)準(zhǔn)化原則、用成熟的先進(jìn)技術(shù)原則、失效保護(hù)原則、普遍參與原則、職責(zé)分離原則、審計(jì)獨(dú)立原則、控制社會(huì)影響原則、保護(hù)資源和效率原則。
7、SSL（安全端口接層）：傳輸層的安全協(xié)議；Ipsec（互聯(lián)網(wǎng)協(xié)議安全）：網(wǎng)絡(luò)層的安全協(xié)議；PPTP（點(diǎn)到點(diǎn)隧道協(xié)議）：鏈路層的安全協(xié)議
8、DES是一種對(duì)稱加密算法，77年美國作為非機(jī)要部門使用的數(shù)據(jù)加密標(biāo)準(zhǔn)，是使用最廣泛的密鑰算法，長(zhǎng)度56位，每個(gè)第8位都用做奇偶校驗(yàn)。由于計(jì)算機(jī)技術(shù)的發(fā)展遠(yuǎn)超想象，DES已經(jīng)不堪暴力破解，所以3DES和IDEA就出生了。
3DES的密鑰長(zhǎng)度是112位，IDEA的密鑰長(zhǎng)度是128位
9、Kerberos協(xié)議是對(duì)稱密鑰，在使用其認(rèn)證時(shí)，首先向密鑰中心發(fā)送初始票據(jù)TGT。PKI是非對(duì)稱密鑰，用來發(fā)布管理公鑰，公鑰封裝在PKI證書里面，用戶可以通過證書來獲取數(shù)字簽名中的公鑰。
10、在計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則中，確定了5個(gè)安全保護(hù)等級(jí)：1、用戶自主保護(hù)，適用于普通內(nèi)聯(lián)網(wǎng)用戶；2、系統(tǒng)審計(jì)保護(hù)，適用于通過內(nèi)聯(lián)網(wǎng)或國際網(wǎng)進(jìn)行商務(wù)活動(dòng)，需要保密的非重要單位；3、安全標(biāo)記保護(hù)，適用于地方各級(jí)國家機(jī)關(guān)，金融，郵電通信，能源水源，交通運(yùn)輸，大型工商與信息技術(shù)企業(yè)，重點(diǎn)工程建設(shè)等單位；4、結(jié)構(gòu)化保護(hù)，適用于中央國家機(jī)關(guān)，廣播電視，重要物資儲(chǔ)備單位，尖端科技，國家重點(diǎn)科研單位，國防建設(shè)等；5、訪問驗(yàn)證保護(hù)，適用于國防關(guān)鍵部門和依法需要對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)施特殊隔離的單位。
11、從數(shù)學(xué)角度，加密只是一種從M 定義域到C值域的函數(shù)變換，解密剛好是對(duì)加密的反函數(shù)變換。
12、數(shù)字簽名 是非對(duì)稱密鑰加密技術(shù)與數(shù)字摘要hash技術(shù)的綜合應(yīng)用，可以用于防止信息抵賴；
加密技術(shù)用于防止信息被竊取，包括各種對(duì)稱密鑰和非對(duì)稱密鑰
完整性技術(shù)用于防止信息被篡改，常見的數(shù)字摘要hash算法有MD5,SHA
認(rèn)證技術(shù)用于防止信息被假冒，通常是PKI/CA證書體系
13、IKE是一種網(wǎng)絡(luò)協(xié)議，用于交換和管理在VPN中使用的加密密鑰，不是消息摘要算法
14、腳本病毒：一般出現(xiàn)在網(wǎng)頁中
木馬病毒：通過偽裝吸引用戶下載執(zhí)行，木馬實(shí)施者以此打開被種者電腦的門戶，遠(yuǎn)程控制被種者的電腦
蠕蟲病毒：是一種自包含的程序，可以在互聯(lián)網(wǎng)環(huán)境下復(fù)制自身傳播

宏病毒：主要是office文件

點(diǎn)擊查看：高項(xiàng)信息系統(tǒng)項(xiàng)目管理師考試重點(diǎn)