两天没来写了，不是偷懒噢，而是前两天学习的主要是前沿技术的东西，都是大学的时候学过的，所以也没有太多可以记的。相关知识都可以在云计算，物联网，操作系统等课程中学到。

大概列个提纲吧：

云计算

架构部署模式：公有云，私有云，团体云，混合云

按业务交付模式：Software as a Service，SaaS；Platform as a Service，PaaS；Infrastructure as a Service，IaaS。

动态资源调配：网络资源，计算资源，存储资源，安全资源。

与Google的服务器群组不太一样，虚拟化技术是现在云计算的基础

云计算安全威胁：旁路边界防护，多用户滥用，跳板攻击，管理员权限滥用，未加固虚拟镜像

云计算安全建设：缺乏统一标准，虚拟机之间的攻击，不同安全级别的服务，

—–

物联网技术

—–

信息安全

PS：老师用note II就可以在局域网内session劫持，还是很可怕的

wifi密码设置WPA2要比WPA安全，WEP是最不安全的

—–

系统安全

WIndows，Linux，应用安全，web安全等

邮件系统中使用PGP，是RSA公钥加密

—–

访问控制中：

强制型访问控制有

BLP-保密性

Biba和Clark wilson-完整性

Chinese wall-混合型

访问控制矩阵 – 自主型访问控制：ACL和CL

—–

BLP模型中，简单规则是，向下读，不能向上读（S读O，S》O）

*-规则是，向上写，不能向下写（S写O，O》S）

Biba模型中，完整性的，向上读，向下写

—–

单点登陆，Kerberos协议，获得票据许可票据，获得服务许可票据，获得服务

集中式访问控制技术：RADIUS，TACACS，TACACS+，Diameter

审计是一次性，周期性的，三个部分：日志记录器，分析器，通告器

监控是实时的

—–

CISP知识体系

信息安全保障概述：信息安全基本知识，信息安全基本实践

信息安全技术：密码技术，访问控制与审计，网络安全，系统安全，应用软件安全，安全攻防，软件安全开发

信息安全管理：信息安全管理体系，信息安全风险管理，信息安全管理措施

信息安全工程：信息安全工程原理，信息安全工程实践

信息安全标准法规：信息安全法规与政策，信息安全标准，信息安全道德规范

—–

信息是一种资产，具有价值

信息安全就是保护信息的保密性，完整性和可用性

信息安全管理的相关标准27000系列：27001，引入PDCA模型，是信息安全体系要求

27002，7799-1，17799都是实践准则

27003，信息安全管理实施指南

信息安全管理体系：ISMS，Information Security Management System，从风险评估开始

—–

PDCA模型，又叫戴明环，规划和建立Plan，实施和运行Do，监视和评审Check，保持和改进Action

特点是：循环，组织部分，个人均可采用，阶段总结

风险就是威胁利用脆弱性对资产造成不良后果

项目      风险管理     风险评估

目的：降低风险      确定风险等级

周期：所有阶段      单个阶段

计划：PDCA            按需要

—–

风险管理内容：建立背景，风险评估，风险处理，批准监督；监控审查，沟通咨询

常用风险处置方法：减低风险，转移风险，规避风险，接受风险

风险管理贯穿信息系统生命周期：规划，设计，实施，运维，废弃

—–

应急响应的六个阶段：准备，确认，遏制，根除，恢复，跟踪

信息安全应急响应编制方法：总则，角色及职责，预防和预警机制，应急响应流程，应急响应保障措施，附件

信息安全事件分级方法：系统损失，社会影响，信息系统的重要程度

灾难恢复规划的过程阶段：风险分析，业务影响分析，确定灾难恢复目标，制定恢复策略，灾难恢复策略的实现，灾难恢复预案的制定、落实和管理