以下内容由信管网考友：冲上云霄&马狼狂分享，信管网整理发布，供信息系统项目管理师与系统集成项目管理工程师考生参考复习。

信息系统项目管理师考试重点：信息安全

1、信息定义：信息就是不确定性的减少。

2、信息化定义：有很多种定义。比如信息化是计算机、通信和网络技术的现代化。比如信息化是从工业社会向信息社会演进的过程。
3、信息安全保障系统简称为信息安全系统。包括安全机制、安全服务、安全技术这三维体系架构。（1）安全机制：第一层：基础设施实体安全；第二层：平台安全；第三层：数据安全；第四层：通信安全；第五层：应用安全；第六层：运行安全；第七层：管理安全；第八层：授权和审计安全，其中审计安全是信息安全系统必须支持的功能特性；第九层：安全防范体系，其核心是实现企业信息安全资源的综合管理，就是EISRM。这个体系的建立可以更好的发挥以下六项能力：预警、保护、检测、反应、恢复和反击，也就是WPDRRC信息安全保障体系。（2）安全服务：第一、对等实体认证服务，用于两个开放系统同等层中的实体建立链接或数据传输时，对对方的合法性和真实性进行确认，以防假冒；第二、数据保密服务，防止网络中各系统之间的数据被截获或被非法存取而泄密，提供密码加密保护；第三、数据完整性服务，防止非法实体对交换数据的增删改以及在数据交换过程中的数据丢失；第四、数据源点认证服务。用于确保数据发自真正的源点，以防假冒；第五、禁止否认服务。防止发送方在发送数据后否认自己发送过此数据，接收方在收到数据后否认自己收到过此数据或伪造接收数据；第六、犯罪证据提供服务。（3）安全技术：一、加密技术。确保数据安全性；二、数字签名技术。确保数据真实性。三、访问控制技术。按事先定义的规则决定主体对客体的访问是否合法。四、数据完整性技术。包括两种，数据单元的完整性、数据单元序列的完整性。五、认证技术。多数采用密码技术和数字签名技术。六、数据挖掘技术。能及早发现隐患，将犯罪扼杀在萌芽阶段并及时修补不健全的安全防范体系。
4、区分信息安全系统的三种不同系统架构：（1）MIS+S系统架构。初级信息安全保障系统。特点主要是业务应用系统基本不变；硬件和系统软件通用；安全设备基本不带密码。（2）S—MIS系统架构。标准信息安全保障系统。这种系统是建立在世界公认的PKI/CA标准的信息安全基础上。特点是硬件和系统软件通用；PKI/CA安全保障系统必须带密码；业务应用系统必须根本改变；主要的通用的硬件和软件也要通过PKI/CA认证。（3）S2—MIS系统架构。超安全的信息安全保障系统。特点是硬件和软件都专用；PKI/CA安全基础设施必须带密码；业务应用系统必须根本改变；主要的通用的硬件和软件要通过PKI/CA认证。
5、信息系统安全风险评估。（1）风险识别的主要方法有：访谈法（头脑风暴、德尔菲法、面谈法等）；财务报表法；流程图法；现场观察法；历史资料；环境分析法；类比法；专家咨询。（2）识别之后，就是风险评估。主要方法有：概率分布；外推法（使用历史数据）；定性评估；矩阵图分析；风险发展趋势评价方法；项目假设前提评价和数据准确度评估。
6、信息系统安全策略。指人们为保护因为使用计算机业务应用信息系统可能招致的对单位资产造成损失而进行保护的各种措施和手段，以及建立的各种管理制度和法规等。涉及技术和非技术的；硬件和非硬件的；法律和非法律的各个方面。核心内容是“七定”：定方案、定岗、定位、定员、定目标、定制度、定工作流程。可以归纳为一句话，七定的结果就是确定了该单位或组织的计算机业务应用信息系统安全如何具体的实施和保证。必须由单位的最高行政执行长官、部门或组织授权完成安全策略的制定，并经过单位全员讨论修订。从安全策略宣布实行之日起，安全策略就是单位内部的一个重要法规，任何人不得违反。严重者送交国家法律机关审理处置。安全策略具有科学性、严肃性、非二义性、可操作性。（1）建立安全策略的设计原则。在决策之前，需要理清头绪，抓住关键细节，确定安全系统如何建、怎么建、建好之后如何管，怎么管等事关大局的事情。这就是设计原则。（2）信息系统安全管理的总原则。也就是最高原则。主要有8个总原则和10个特殊原则。8个总原则包括：主要领导人负责原则、规范定级原则、依法行政原则、以人为本原则、注重效费比原则、全面防范，突出重点原则、系统，动态原则、特殊的安全管理原则。10个特殊原则包括：分权制衡原则、最小特权原则、标准化原则、用成熟的先进技术原则、失效保护原则、普遍参与原则、职责分离原则、审计独立原则、控制社会影响原则、保护资源和效率原则。
7、SSL（安全端口接层）：传输层的安全协议；Ipsec（互联网协议安全）：网络层的安全协议；PPTP（点到点隧道协议）：链路层的安全协议
8、DES是一种对称加密算法，77年美国作为非机要部门使用的数据加密标准，是使用最广泛的密钥算法，长度56位，每个第8位都用做奇偶校验。由于计算机技术的发展远超想象，DES已经不堪暴力破解，所以3DES和IDEA就出生了。
3DES的密钥长度是112位，IDEA的密钥长度是128位
9、Kerberos协议是对称密钥，在使用其认证时，首先向密钥中心发送初始票据TGT。PKI是非对称密钥，用来发布管理公钥，公钥封装在PKI证书里面，用户可以通过证书来获取数字签名中的公钥。
10、在计算机信息安全保护等级划分准则中，确定了5个安全保护等级：1、用户自主保护，适用于普通内联网用户；2、系统审计保护，适用于通过内联网或国际网进行商务活动，需要保密的非重要单位；3、安全标记保护，适用于地方各级国家机关，金融，邮电通信，能源水源，交通运输，大型工商与信息技术企业，重点工程建设等单位；4、结构化保护，适用于中央国家机关，广播电视，重要物资储备单位，尖端科技，国家重点科研单位，国防建设等；5、访问验证保护，适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
11、从数学角度，加密只是一种从M 定义域到C值域的函数变换，解密刚好是对加密的反函数变换。
12、数字签名 是非对称密钥加密技术与数字摘要hash技术的综合应用，可以用于防止信息抵赖；
加密技术用于防止信息被窃取，包括各种对称密钥和非对称密钥
完整性技术用于防止信息被篡改，常见的数字摘要hash算法有MD5,SHA
认证技术用于防止信息被假冒，通常是PKI/CA证书体系
13、IKE是一种网络协议，用于交换和管理在VPN中使用的加密密钥，不是消息摘要算法
14、脚本病毒：一般出现在网页中
木马病毒：通过伪装吸引用户下载执行，木马实施者以此打开被种者电脑的门户，远程控制被种者的电脑
蠕虫病毒：是一种自包含的程序，可以在互联网环境下复制自身传播

宏病毒：主要是office文件

点击查看：高项信息系统项目管理师考试重点