组合管理

项目，项目集组合起来，进行管理
优先级的分配，战略目标

识别和确认项目的级别

项目组合包含项目集

信息系统安全策略

1 针对本单位的计算机业务系统的安全风险，威胁，评估之后，采取的措施

五个保护等级
1 用户自主保护级 普通内联网用户
2 系统审计保护级 内联网和国际网进行商务活动
3 安全标记保护级 地方国家机关，即溶机构，重点工程建设
4 结构化保护级·中央国家部门
5 访问验证保护级 国防军事部门

等级制定由用户以及客体受造成侵害程度
1 受侵害的客体
2 对客体的侵害程度

信息系统安全策略的设计原则
1 分权制衡原则
2 最小特权原则
3 标准化原则
4 用成熟的先进技术原则
5 失效保护原则
6 普遍参与原则
7 职责分离原则
8审计独立原则
9控制影响原则
10 保护资源和效率原则

信息系统又叫做mis
业务应用系统支撑业务运营的计算机应用信息系统
信息系统工程建造信息系统的工程，包括两个独立且不可分割的部分，即信息安全系统工程和业务应用信息系统工程

安全服务
1 对等实体认证
2 数据保密
3 完整性
4 数据源点认证
5 禁止否认
6 犯罪证据

信息安全系统架构体系
1 mis+s s-mis s-mis

mis+s
1 业务应用系统基本不变
2 硬件和系统软件统用
3 安全设备基本不带密码

s-mis
1 硬件和系统软件统用
2 pki/ca安全保障系统必须带密码
3 业务应用系统必须根本改变
4 主要的通用的硬件软件也要通过pki/ca认证

s-mis 超安全
1 硬件和系统软件都专用
2 pki/ca安全基础设施必须带密码
3 业务应用系统必须根本改变

信息安全系统工程能力成熟度模型isse-cmm
1 过程 由基本实施组成，共同实施来达到该过程域规定的目标
2 过程域 由基本设施组成，他们共同s实施来达到盖过程域规定的目标
3 工作产品
4 过程能力

isse将系系统安全系统工程分解为：工程过程 风险过程 保证过程

一个有害时间 由 威胁 脆弱性 影响三个部分组成

pki/ca
1 证书
2 证书机构
3 认证中心
ca是受信任的机构

x.509
1 版本号
2 序列号
3 签名算法标识符
4 认证机构
5 有效期限
6 主题信息
7 认证机构的数字签名
8 公钥信息

pmi权限管理基础设施
dac 自主访问控制
acl 访问控制列表方式
mac 自主访问控制方式 ，军事用的多
rbac 基于角色访问

安全审计
记录审查对客体进行访问和使用情况，保证安全规则被正确执行，就是监控
安全审计包含两个部分
1 采用网络监控与入侵防范系统
2 对信息内容和业务流程进行审计

用数据挖掘和数据仓库技术，对历史数据进行分析，处理和追踪
1 信息安全审计系统是业务应用信息系统的黑匣子
2 信息安全审计也是监护神，对视对一切现行的犯罪行为，违法行为进行监视，追踪和抓捕

安全审计产品主要包含主机类，网络类，数据库类和业务应用系统

入侵检测
1 网络安全入侵检测预警系统监视网络上的通信数据流和网络服务器系统中的审核信息
2 入侵检测指对·计算机和网络资源上的恶意使用行为
3 安全角度看，入侵检测是以攻为守的策略，监测特权滥用，和提供入侵证据

1 基于主机操作系统代理
2 基于应用系统代理
3 基于应用系统独立程序
4 基于网络旁路监控方式

封面你睡觉哦射门空虚哦图片美国
1 审计中心 存储管理
2 审计控制台 查阅
3 审计代理 监听，嵌入，主动信息获取