1. （脆弱性）是对信息系统弱点的总称，是风险分析中最重要的环节
2. 信息系统安全风险评估是信息安全保障体系建立过程中重要的评价方法和决策机制
3. 信息系统安全管理按照“三同步”原则，既同步设计、同步建设、同步运行
4. 业务连续性管理是一个全盘的管理过程，重在识别潜在的影响，建立整体的恢复能力和顺应能力，在危机或灾害发生时保护信息系统所有者的声誉和利益
5. 《可信计算机系统评测准则》，又称橘皮书，TCSEC将系统分为4类7个安全级别：D级：最低安全性；C1级：自主存取控制；C2级：较完善的自主存取（DAC）、审计；B1级：强制存取控制（MAC）；B2级：良好的结构化设计、形式化安全模型；B3级：全面的访问控制、可信恢复；A1级：形式化认证
6. Android使用Linux为底层操作系统
7. 由于MySQL中可以通过更改mysql数据库的user表进行权限的增加、删除、变更等操作。因此，除了root以外，任何用户都不应该拥有对user表的存取权限（select、update、insert、delete等），避免带来系统的安全隐患
8. 审计和监控是实现系统安全的最后一道防线，处于系统的最高层。审计作为一种事后追查的手段来保证系统的安全，他对涉及系统安全的操作做一个完整的记录
9. 数据库中最小的加密单位是（字段）
10. 表达攻击是让图像水印变形而使水印存在性检测失败，包括置乱攻击、同步攻击等。这种攻击不一定要移去水印，他的目标是对数据做一定的操作和处理，使得检测器不能检测水印的存在
11. BLP模型*特性规则。即主体只能向上写，不能向下写
12. 基于角色的访问控制（RBAC）下，由安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被只排位不同的角色
13. 身份验证可以防止冒名欺骗
14. 增量备份：备份上一次备份（完全备份、差异备份、增量备份）之后所有变化的数据（含删除文件信息）
15. 双机热备用于保证关键设和服务的可用性
16. 计算机病毒：正版的软件也会受计算机病毒的攻击、杀毒软件不是万能的检测出病毒也不一定能清除病毒、任何防病毒软件都不会查出和沙雕所有的病毒、杀完毒应及时给系统打上补丁
17. 安装最新的系统补丁是解决缓冲区溢出的漏洞最好的方法
18. Windows系统安装完成后，默认情况下系统将产生两个账号，分别是管理员账号和来宾账号
19. 容错系统工作方式分为：自动侦测（运行中自动通过专用的冗余侦测路线和软件判断系统运行情况，检测冗余系统各冗余单位是否存在故障。）、自动切换（当确认某一主机出错时，正常主机除了保证自身原来的任务继续运行外，还接管预先设定的后备作业程序，进行后续程序及服务）、自动恢复（故障主机被替换后，进行故障隔离，离线故障恢复。修复后通过冗余通信线与政策主机连线，继而将原来的工作程序和磁盘上的数据自动切换回修复完成的主机上）
20. 根据权限管理的原则，一个计算机操作员不应该具有访问应用程序源代码的权限
21. 评测操作系统安全性的方法主要有三种：形式化验证、非形式化确认和入侵分析。分析操作系统安全性最精确的方式是形式化验证
22. 隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略，非公开的信息泄露路径
23. 向有限的空间输入超长的字符串属于缓冲区溢出攻击
24. 萨尔泽和施罗德提出了下列安全操作系统的设计原则：最小特权（为使无意或恶意的攻击所造成的损失达到最低限度，每个用户和程序必须按照“需要”原则，尽可能地使用最小特权）、机制的经济性（保护系统的设计应小型化、简单、明确。保护系统应该是经过完备测试或严格验证的）、开放系统设计（保护机制应该是公开的，因为安全性不依赖于保密）、完整性的存取控制机制（对每个存取访问控制必须进行检查）
25. 强制存取控制中，用户与访问的信息的读写关系有四种。其中，下读（用户级别高于文件级别的读操作）、上写（用户级别低于文件级别的写操作）、下写（用户级别高于文件级别的写操作）、上读（用户级别低于文件级别的读操作）