20151024学习内容：安全相关

一、信息安全系统和安全体系
1、信息安全系统三维空间示意图中，X、Y、Z轴的名称，及它们各自包括的内容:X轴-安全机制，包括设施、平台、数据、通信、应用、运行、管理、授权审计安全和安全防范体系；Y轴-OSI网络参考模型，包括物理层、链路层、网络层、传输层、会话层、表示层和应用层；Z轴-安全服务，包括对等实体、访问控制、数据保密，数据完整、数据源点认证、禁止否认服务和为犯罪证据提供服务。
2、MIS+S、S-MIS、S2-MIS的特点分别是：MIS+S是在现有系统基础上增加安全服务，S-MIS是以通用安全软硬件为基础提供安全服务的系统，而S2-MIS是以专用安全软硬件为基础提供安全服务的系统。
二、信息安全风险评估
1、什么是威胁：威胁是来自外部的，可能通过系统脆弱性造成系统风险的事物，如黑客、恶意代码等。
2、什么是脆弱性（弱点）：脆弱性来自于系统内部，例如存储故障致数据丢失或数据不同步致数据完整性受损等。
3、什么是影响：威胁通过脆弱性使系统承受风险，所产生的结果即是对系统的影响。
计量风险的简单公式：风险=威胁*脆弱性*影响
三、安全策略
1、安全策略的核心内容七定：首先是定方案，其次是定岗，之后为定位、定员、定目标、定制度、定工作流程。
2、《计算机信息安全保护等级划分准则》中信息系统的5个安全保护等级，以及它们的适用范围：第一级，用户自主保护级，适用普通内联网用户；第二级，系统审计保护级，适用于有商务活动且需要保密的非重要单位；第三级，安全标记保护级，适用于地方各级国家机关、金融单位和机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位；第四级，结构化保护级，适用于中央级国家机关、广电部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门；第五级，访问验证保护级，适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
四、信息安全技术基础
1、常见的对称密钥算法和它们的优缺点：SDBI、IDEA、RC4、DES、3DES等，优点是加解密速度快、密钥管理简单、适宜一对一的信息加密传输，缺点是加密强度不高、密钥分发困难、不宜进行一对多的加密信息传输。
2、常见的非对称密钥算法和它们的优缺点：RSA、ECC等，优点是加密强度高、适宜一对多的信息加密传输尤其是互联网上的信息加密传输，缺点是加解密速度慢、密钥管理复杂、明文攻击脆弱不宜用于数据的加密传输。
3、常见的HASH算法有SDH、SHA、MD5等。
4、我国的密码分级管理等级及适用范围：商用密码，适用国内企事业单位；普用密码，适用于政府和党政部门；绝密密码，适用于中央和机要部门；军用密码，适用于军队。
五、PKI公开密钥基础设施
1、x.509规范中认为，如果A认为B严格地执行A的期望，则A信任B。因此信任涉及假设、预期和行为。
2、业务应用信息系统的核心层是PKI/CA。