1、Teardaop 不是流量型拒绝服务攻击

2、风险评估

准备阶段:风险评估计划书、风险评估方案、风险评估方法和工具列表

风险要素识别：资产清单、威胁列表、脆弱性列表、已有安全措施列表、漏洞扫描

风险分析：风险计算报告

风险结果判定：风险程度等级列表、风险评估报告

3、文明传输问题：SSH

4、《信息技术安全评估准则》共分为7个递增的评估保证等级

5、“统一威胁管理”简称UTM

6、入侵检测技术不能实现“ip地址欺骗”功能

7、BSI模型由三根支柱来支撑：风险管理、安全接触点、安全知识

8、KPI主要理论基础：公钥密码算法

9、白盒测试的具体优点：确定程序准确性或程序特定逻辑路径的状态

10、CMM（能力成熟度模型）思想来自：系统论

11、我国网络安全等级保护政策顺序（2.5.1.3.4）

①思想提出②保护工作试点③等级保护文件颁布④等级保护标准发布⑤基本国策

传统的防火墙只能做包过滤无法抵御web攻击

PDCA：A是行动，持续改进的意思

AS验证比较俩个口令是挑战/应答

灾难工作原则：统筹规划，资源共享，平战结合

CMM思想来自：系统论，cmm成熟性模型，项目管理

业务连续性计划建立初期最重要的是制定业务连续性策略

PKI理论基础是公钥密码算法

1、

      Ping of Death攻击是用大包进行攻击。

2、

      Teardrop攻击是通过畸形报文来攻击。

信息安全系统风险评估常用工具有：

1.风险评估与管理工具

2.系统基础平台风险评估工具

3.脆弱性扫描工具

4.渗透性测试工具

5.风险评估辅助工具

我国信息安全保障的原则：

1.统筹规划、突出重点、强化基础性工作

2.正确处理安全与发展的关系，以安全保发展，在发展中求安全

3、明确股价、企业、个人的责任和义务，充分发挥各方案的积极性，共同构筑国家信息安全保障体系。

“开展风险评估,可以委托专业机构、社会组织等第三方进行

风险评估方式：自评估和检查评估

（1）自评估：由组织自身发起，组织自己实施或委托第三方实施。

（2）检查评估：由被评估组织的上级主管机关或业务主管机关发起。

4.国家互联网应急中心是国家工业和信息化部组织成立的，而不是国家密码管理局

5.BSI模型以风险管理、软件安全接触点和安全知识作为软件安全的三根支柱。

6.GB强制性国家标准，推荐性国家标准GB/T, 指导性国家标准GB/Z