网络安全法将登记保护制度作为基本国策

开发和测试人员交流的细节是缺陷

搜集的客观证据，提供安全保障工作，评估对象是信息系统，

框架、流程描述、控制目标、管理指南、成熟度模型

取证工作主要围绕两个方面：证据的获取和证据的分析，取证有5个步骤；

对于保密文件，采用传统的格式化，因为快速的格式化只是对数据的删除，没有对数据分区进行重写

2345级需要备案，345需要测评

SSL传输层的安全协议

准备阶段：风险评估计划书、风险评估方案、风险评估方案和工具列表

风险要素识别：资产清单、威胁列表、脆弱性列表、已有安全措施列表

风险分析：风险计算报告

风险结果判定：风险程度等级列表、风险评估报告

如果系统人为具有某一个安全属性的用户不适于访问某个文件，那么任何人（包括文件的拥有者）都无法使用该用户具有访问该文件的权利

应该将《单位信息安全方针》放到一级文件中

建立工程师应按照有关标准审查提交的测试计划，并剔除审查意见

非静态过程

信息安全工程监理的职责包括：质量控制、进度控制、成本控制、合同管理、信息管理和协调

系统管理员不可以剥夺和恢复超级用户的某些权能

三个支柱：应用风险管理、软件安全接触点和安全知识

源代码审核是指无需运行被测试码，仅对源码代码检查分析，检测并报告源代码中可能隐藏的错误和缺陷

大力推进信息化发展和切实保障信息安全，对调整经济结构、转变发展方式、保障和改善民生、维护国家安全具有重大意义

方针、管理措施、控制措施、预防措施、吸取教训

对文件进行操作的用户是一种主体

系统安全工程能力成熟模型是一种衡量安全工程实践能力的方法，是一种使用面向开发的方法

弃用不安全的函数属于实施阶段的安全活动

网站问题是涉及人员不了解安全设计关键要素，设计了不安全的功能，导致网站攻击面增大，产生此问题

ISO/IEC27001《信息技术 安全技术 信息安全管理体系要求》的内容是基于BS7799-2《信息安全管理体规范》

不属于内容安全的范畴：用ip限制，ip限制属于网络安全防护手段

信息中心对的

安全产品选择处于风险管理过程的------风险处理阶段

信息系统安全监控不具有行政法律责任

三级及三级以上的系统每年进行一次等级测评

windowa服务的运行不需要用户的交互登录

公钥密码的应用不包括信息认证码

安全工程组织的成熟性

老王剔除对加密机和红黑电源只能插座应该于涉密信息系统三同步，合格后方可投入使用

与PDR模型对比，P2DR模型则更强调控制和对抗，既强调系统安全的动态性，并且以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全。

IDEA密码算法也可能存在类似的分析（屏幕辐射窃密）

人的习惯特征是生物识别----击键风格和速度方式----所以是实体所有

信息安全工程作为信息安全保障的重要组成部门，主要是为了解决信息系统生命周期的过程问题

做了说没做，抵赖，

对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术。

A -----action，是处置，持续改进的意思

信息系统 的业务特征，找业务内容和业务流程嘛。

错误：由国家密码管理局牵头成立“国家网络应急中心”

源代码审核是指无需运行被测代码，仅对源代码检查分析，检测并报告源代码中可能隐藏的错误和缺陷

1、安全评估过程：toe 评估对象、保护轮廓PP、安全目标ST、评估保证级EAl

当标注该信息系统法人RPO（恢复点目标）指标为3小时，这意味着若信息系统发生重大信息安全事件，工作人员在完成处置和灾难恢复工作后，系统至多能丢失3小时的业务数据。

1、pdca

家人们这两题，这两张图片哪一个答案才是正确的

3 24 32 41  43 44 47 55 67 68 69 70 71 72 74 78 79 80 83 84 91 95 98

信息安全的产生的根源要从内因和外因两个方面入手

SSL加密技术是为保护敏感数据在传送过程中的安全，而设置的加密技术

访问控制（Access Co*ol）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段

访问控制包括三个要素：主体、客体和控制策略；通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问

（1）主体S（Subject）。是指提出访问资源具体请求。是某一操作动作的发起者，但不一定是动作的执行者，可能是某一用户，也可以是用户启动的进程、服务和设备等。

（2）客体O（Object）。是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。客体可以是信息、文件、记录等集合体，也可以是网络上硬件设施、无限通信中的终端，甚至可以包含另外一个客体。

（3）控制策略A（Access Co*ol Policy）。是主体对客体的相关访问规则集合，即属性集合。访问策略体现了一种授权行为，也是客体对主体某些操作行为的默认

主要的访问控制类型有3种模式：自主访问控制（DAC）、强制访问控制（MAC）和基于角色访问控制（RBAC）

自主访问控制（Discretionary Access Co*ol，DAC）是一种接入控制服务，通过执行基于系统实体身份及其到系统资源的接入授权。包括在文件，文件夹和共享资源中设置许可。用户有权对自身所创建的文件、数据表等访问对象进行访问，并可将其访问权授予其他用户或收回其访问权限。允许访问对象的属主制定针对该对象访问的控制策略，通常，可通过访问控制列表来限定针对客体可执行的操作

强制访问控制（MAC）是系统强制主体服从访问控制策略。是由系统对用户所创建的对象，按照规定的规则控制用户权限及操作对象的访问。主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。在MAC中，每个用户及文件都被赋予一定的安全级别，只有系统管理员才可确定用户和组的访问权限，用户不能改变自身或任何客体的安全级别。系统通过比较用户和访问文件的安全级别，决定用户是否可以访问该文件。此外，MAC不允许通过进程生成共享文件，以通过共享文件将信息在进程中传递。MAC可通过使用敏感标签对所有用户和资源强制执行安全策略，一般采用3种方法：限制访问控制、过程控制和系统限制

基于角色的访问控制（Role-Based Access Co*ol，RBAC）是通过对角色的访问所进行的控制。使权限与角色相关联，用户通过成为适当角色的成员而得到其角色的权限。可极大地简化权限管理。为了完成某项工作创建角色，用户可依其责任和资格分派相应的角色，角色可依新需求和系统合并赋予新权限，而权限也可根据需要从某角色中收回。减小了授权管理的复杂性，降低管理开销，提高企业安全策略的灵活性；RBAC支持三个著名的安全原则：最小权限原则、责任分离原则和数据抽象原则

访问控制矩阵（Access Co*o1 Matrix）是最初实现访问控制机制的概念模型，以二维矩阵规定主体和客体间的访问权限。其行表示主体的访问权限属性，列表示客体的访问权限属性，矩阵格表示所在行的主体对所在列的客体的访问授权，空格为未授权，Y为有操作授权

访问控制列表（Access Co*ol List，ACL）是应用在路由器接口的指令列表，用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。是以文件为中心建立访问权限表，表中记载了该文件的访问用户名和权隶属关系。利用ACL，容易判断出对特定客体的授权访问，可访问的主体和访问权限等。当将该客体的ACL置为空，可撤消特定客体的授权访问

能力关系表（Capabilities List）是以用户为中心建立访问权限表。与ACL相反，表中规定了该用户可访问的文件名及权限，利用此表可方便地查询一个主体的所有授权。相反，检索具有授权访问特定客体的所有主体，则需查遍所有主体的能力关系表

安全审计是被动防御手段，只能发现违规行为，无法阻断，不能防止信息外泄

跨脚本攻击（XSS攻击）是指攻击者利用网站程序对用户输入过滤不足的缺陷，输入可以显示在页面上或者对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式

恢复时间目标 (RTO) 是指在出现中断或发生问题后，可用于恢复资源的最长时间

恢复点目标 (RPO) 是指数据库应该恢复到的时间点，相当于企业愿意接受的最大数据丢失量

kerberos认证协议是双向认证协议

强制访问控制模型

自主访问控制模型DAC

访问控制列表

访问控制矩阵

能力表CL

前缀表Profiles

ipsec隧道

软件安全的三根支柱

跨站脚本攻击

DSA

散列函数

信息安全管理体系应包括建立 ISMS、实施和运行ISMS、监视和评审ISMS、保持和 改进ISMS等过程

1、root为超级用户是最高权限系统管理员不能剥夺和恢复超级用户的某些权能

ISO：国际信息安全标准化组织

同步规划、同步建设、同步使用

网络安全法共计7章

网络安全法定义：涵盖处理各种信息的设备的网络空间

网络安全法于2017年6月1日正式实施

网络安全法将等级保护制度作为基本国策