五、信息系統(tǒng)安全管理
    1. 軟件系統(tǒng)安全的重要性
    2. 信息系統(tǒng)面臨的威脅和攻擊
    （1） 對實體的威脅和攻擊
    （2） 對信息的威脅和攻擊
    （3） 計算機犯罪
    （4） 計算機病毒
    3. 影響信息系統(tǒng)安全的主要因素
    （1） 自然因素
    （2） 認(rèn)為因素
    4. 信息系統(tǒng)安全的定義及其描述
    （1） 保密性
    （2） 可控制性
    （3） 審查性
    （4） 抗攻擊性
    5. 信息系統(tǒng)的安全策略和采取的主要措施
    （1） 法規(guī)保護
    （2） 行政管理
    （3） 人員教育
    （4） 技術(shù)措施
    6. 信息系統(tǒng)的安全技術(shù)
    （1） 實體安全
    （2） 數(shù)據(jù)安全
    （3） 軟件安全
    （4） 網(wǎng)絡(luò)安全
    （5） 安全管理
    （6） 病毒防治
    7. 數(shù)據(jù)庫安全的重要性及其基本安全要求
    8. 數(shù)據(jù)庫的保護機制和安全控制方法
    9. 數(shù)據(jù)加密的主要方法
    10. 影響軟件安全的主要形式
    1） 以軟件為手段，獲取未經(jīng)授權(quán)或授權(quán)以外的信息
    2） 以軟件為手段，阻礙信息系統(tǒng)的正常運行或其他用戶的正常使用
    3） 以軟件為對象，破壞軟件完成指定功能
    4） 以軟件為對象，復(fù)制軟件
    11. 軟件安全的基本要求
    指軟件保護，即要禁止非法的拷貝和使用以及防止非法閱讀和修改。
    12. OS的安全控制手段
    *** 操作系統(tǒng)的安全控制：隔離控制和訪問控制
    1） 隔離控制：物理隔離，時間隔離，加密隔離，邏輯隔離
    2） 訪問控制方式：自主訪問控制，強制訪問控制，有限型訪問控制，共享/獨占型訪問控制
    *** 操作系統(tǒng)對存儲器的保護
    1） 單用戶，只需要防止用戶進程不影響系統(tǒng)運行
    2） 多用戶 ，目的是保證系統(tǒng)內(nèi)各任務(wù)互不干擾
    *** 操作系統(tǒng)對內(nèi)存的保護 （主要采用邏輯隔離的方法）
    1） 基址/邊界寄存器
    2） 內(nèi)存標(biāo)志
    3） 分段技術(shù)
    4） 鎖保護
    13. 可信計算機系統(tǒng)的安全等級
    D級：小保護（基本上是不安全的，所有個人計算機都是D級）
    C級：任意保護 C1級：任意安全保護
    C2級：受控存取保護
    B級：強制保護 B1級：標(biāo)記安全保護
    B2級：結(jié)構(gòu)保護
    B3級：安全域
    A級：經(jīng)過驗證的保護
    A1：經(jīng)過驗證的設(shè)計
    A2：A1級之外的系統(tǒng)
    14. 應(yīng)用軟件安全問題
    ***應(yīng)用軟件的安全問題
    ***應(yīng)用軟件開發(fā)的安全問題
    15. 軟件產(chǎn)品保護的法規(guī)與技術(shù)
    16. 網(wǎng)絡(luò)資源的安全問題
    17. 影響網(wǎng)絡(luò)安全的主要因素
    1） 自然因素
    2） 人為因素
    3） 管理因素
    4） 政策因素
    5） 通信因素
    6） 計算機上
    18. 網(wǎng)絡(luò)系統(tǒng)應(yīng)具備的安全功能
    1） 對象認(rèn)證
    2） 訪問控制
    3） 數(shù)據(jù)保密性
    4） 數(shù)據(jù)可審查性
    5） 不可抵賴性
    19. 網(wǎng)絡(luò)安全的主要技術(shù)措施
    （1） 網(wǎng)絡(luò)中的數(shù)據(jù)加密
    （2） 網(wǎng)絡(luò)中的存取控制
    （3） 安全性檢測
    （4） 有線性檢測
    （5） 防火墻技術(shù)
    （6） 網(wǎng)絡(luò)中的通訊留糧分析流量控制
    （7） 安全管理
    （8） 端口保護
    20. 信息系統(tǒng)安全管理的組織機構(gòu)及其職能
    ***信息系統(tǒng)安全管理機構(gòu)的作用
    ***信息系統(tǒng)安全管理機構(gòu)的構(gòu)成及職能P207
    1） 安全機構(gòu)
    A. 安全審查機構(gòu)
    B. 安全決策機構(gòu)
    C. 高主管領(lǐng)導(dǎo)
    D. 系統(tǒng)主觀領(lǐng)導(dǎo)
    E. 安全管理機構(gòu)
    2） 管理機構(gòu)
    A. 安全管理人員
    B. 安全審計人員
    C. 報安人員
    D. 系統(tǒng)管理人員
    3） 安全人員的管理
    A. 人員審查和錄用
    B. 確定崗位和職責(zé)范圍
    C. 定期培訓(xùn)
    D. 工作評價
    E. 人事檔案管理
    21. 信息系統(tǒng)進行安全管理的原則和主要內(nèi)容
    ***信息系統(tǒng)進行安全管理的原則：
    1） 多人負責(zé)原則
    2） 任期有限原則
    3） 職責(zé)分離原則
    ***信息系統(tǒng)進行安全管理的主要內(nèi)容：
    1） 同一性檢查
    2） 用戶使用權(quán)限檢查
    3） 建立運行日志
    ***安全管理的實現(xiàn)，應(yīng)做好如下工作：
    1） 確定系統(tǒng)的安全等級和安全管理的范圍
    2） 限制數(shù)據(jù)的提供
    3） 建立科學(xué)的機房管理制度
    4） 協(xié)助用戶用好計算機