信息系统安全管理

1、保密性、完整性、可用性–>信息安全的三元组
2、基于用户名和口令的用户入网访问控制可分为（用户名的识别与验证、用户口令的识别和验证、用户权限的识别与控制）三个步骤
3、物理安全管理中给出了技术控制方法：
（1）检测监视系统
（2）人员进出机房和操作权限范围控制

进入机房的人员应佩戴相应的证件
任何进出机房的人员应经过门禁设施的监控和记录，应有防止绕过门禁设施的手段
机房内进制吸烟及代入火种和水源

4、系统开发人员和系统操作人员应职责分离
5、用户权限设定应遵循“最小特权”原则
6、在数据转存、维护时要有专职安全人员进行监督
7、在系统运行的安全管理组织中，安全组织由单位主要领导人领导，不能属于计算机运行或应用部门。

8、完整性要求信息不致受到各种原因的破坏。保密性要求信息不被泄露给未授权的人。
保证完整性的主要方法：协议、纠错编码、密码教育和方法、数字签名、公证
所以安全协议、纠错编码、数字密码均属于保证应用系统完整性的措施

9、访问控制包括对用户的权限进行控制，只能控制相应权限的资源，防止或限制经隐蔽通道的非法访问。包括自主访问控制，和强制访问控制。即包括对外部网络的访问控制，也包括对内部网络的访问控制

10、按力度从大到小排序为系统级安全、资源访问安全、数据域安全

11、系统级安全是应用系统的第一道防线

功能性安全会对程序流程产生影响

数据域安全可以细分为行级数据域安全和字段级数据域安全

12、安全审计位运行安全
运行安全包括:
风险分析
安全性检测分析
信息系统安全监控
安全审计
防护
备份与恢复

13、某机房部署了多级UPS和线路稳压器，这是出于机房供电的（紧急供电和稳定供电）需要

14、对需要放置电磁泄露的计算机设备应配置电磁干扰设备，在被保护的计算机设备工作时电磁干扰设备不能关机
必要时可以采用屏蔽机房
屏蔽机房应随时关闭屏蔽门
不得在屏蔽墙上打钉钻孔
不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何线缆
应经常测试屏蔽机房的泄露情况并进行必要的维护

15、入侵是在非授权的情况下，不属于物理方面的访问控制