CISA笔记-第五章.docxVIP

第五章信息资产保护（31%） 资产的三个属性CIA（confidentiality、Integrity and availability）机密性、完整性、可用性。 目标 评价信息资产安全控制措施的设计、实施和监测以及物理访问控制从而保证信息资产的CIA。 逻辑访问的设计、实施和监测。 评价网络基础设施的安全性，以保证网络所传输信息的机密性、完整性和可用性及授权使用。 评价环境控制的设计、实施和监督，以保证信息资产得到了充分的保护。 评价物理访问控制。 评价存储、检索、传送和处置机密信息资产的过程与程序。 知识要点 设计、实施和监督信息安全的技术 评估威胁与风险 敏感性分析 隐私影响分析 对用户访问授权的系统功能和数据的行为进行识别、鉴定及限制的逻辑访问控制技术。 动态口令 挑战相应机制 菜单限制 定义安全轮廓 逻辑访问安全结构 单点登录 用户识别策略 身份管理 攻击方法和技术 黑客 身份伪装 特洛伊木马 拒绝服务 垃圾邮件 对安全事件的监督与响应 事件升级程序 紧急事件响应团队 网络和internet安全设备、协议和技术 SSL SET VPN NAT 入侵检测系统和防火墙的配置、实施、运行和维护 加密技术 AES RSA 公钥基础设施PKI的各组成部分 CA RA 数字签名 病毒检测工具和控制技术 安全测试和评估工具 渗透测试 脆弱性扫描 环境保护实务和设备 灭火设备 冷却系统