1.risk acessment 风险评估 是信息安全的基础性工作;安全系统建设的第一步,起点;
2.安全风险是可能性和影响的函数,前者是威胁源利用系统本身一种脆弱性的可能性;后者是是风险造成对组织的影响程度;
残余风险是指进行了安全管理后仍然存在的风险;只要残余风险在企业的认可范围内,都可以说信息系统是安全的;
3.风险评估常包括:--->基线评估,详细评估和组合评估三种
>>根据安全基线:进行评估,简单,操作性强
>>组合评估是基线和详细评估的综合;;;
4. 造成信息资产风险的三要素: 脆弱性(自身漏洞),威胁(外部环境),资产的危险程度(资产本身的重要性)
风险价值矩阵----进行识别;
5.风险管理6步骤:风险管理计划-识别-定性分析-定量分析-应对计划-风险控制
--------------------
6.信息安全策略:以密码学为基础
A> 密码技术:
1>> 对称密码体制:加密及解密密钥(可理解为算法)相同(或者从一个可以推出另外一个)成为对称密码体制:典型的有:DES;
.... ====秘密密码体制>>> 加密算法计算速度快;对大数据量的信息的加密码采用这种方法;
.... 存在的主要问题是:如何保证通讯各方单独(密钥)的秘密性;如何在发方\接受方间传递---(密钥);
.... 可用于数据加密/信息认证
2>> 非对称密码体制:加密及解密密钥(可理解为算法)不相同(2个算法); 存在一个加密密钥和一个解密密钥;
.... ====公钥密码体制>>> 加密速度慢;但管理简单;建立在未证明的理论上,不一定绝对安全;
.... 典型的是RSA(针对大素数分解的算法):两大素数乘积容易,但逆向却非常困难的原理;
3.>>实际通讯过程中采用以上2中方法结合: 混合加密体制:大数据量的信息才用对称加密体制进行加密,而对对称密码体制的(密钥)的传递则采用"公钥密码体制";RSA+DES混合加密方法称为"RSA数字信封"
=== PKI/CA
B> 访问控制技术
>>>身份认证
>>>网络安全访问控制
C>