一、S+：课程大纲

网络安全

合规与运维安全

安全威胁与漏洞

应用、数据和主机安全

访问控制和身份认证

密码学。

二、安全基本概念

1、什么事信息安全

机密性、完整性、可用性；保护数据和资产的三个特性CIA

其他特性：抗抵赖性，不可否认性，建立有效的责任机制。

信息安全管理体系是保护信息安全的关键

2、保护什么

保护数据、保护资产

3、术语

风险：事态的概率及其结果的组合。

威胁：人为、自然

攻击：物理安全攻击、基于软件的攻击、社会工程学攻击、基于web应用服务攻击、基于网络的攻击

漏洞：信息系统催在的弱点或缺陷

入侵：构成信息安全威胁的具体手段

控制：

控制类型：预防性控制、检测性控制、修正控制、补偿性的控制

身份识别：三个因素，你有什么、你是什么、你知道什么

访问控制：针对的资源设置访问合适的访问限制

访问控制模型：MAC强制访问控制、DAC自由访问控制、RBAC基于角色的访问控制

信息安全的三个基本特性：1，机密性 2，完整性 3，可用性

1、漏洞：弱点或者缺陷

入侵：对信息安全造成威胁的手段

attacks攻击

physical security attacks物理攻击

software-based attacks基于软件攻击

social engineering attacks 社会工程学攻击

web application-based attacks 基于WEB应用服务攻击

network-based attacks 基于网络攻击

controls 控制

prevention预防控制

detection检测   correction改进

2、CIA安全管理三角

confidentially 机密性    integrity完整性

availability 可用性

non-repudiation抗抵赖性（不可否认性）

3、identification 身份识别

authentication 身份认证

authorization 授权

4、access control访问控制

access control models 访问控制模型：

MAC 强制访问控制

DAC 自由访问控制

RBAC基于角色的访问控制

5、implicit deny 默认拒绝

防火墙最后一条都是默认拒绝（考点）

biometrics 生物识别

多因素认证：两个或者两个以上的因素认证

信息安全生命周期 The information security cycle

信息安全控制 information security controls

认证方法 authentication methods

密码学基础 cryptography fundamentals

安全策略基础 security policy fundamentals