5.1 常见攻击手段：黑客/阻塞/窃听/重演/诈骗/中断/病毒

　　5.2 不同层次的信息系统安全控制：一般控制/应用控制一般控制：管理控制：制定政策与程序/职责分离 ——系统实施控制：开发实施过程中建立控制点编制文档/——运行控制：数据存储、运行规范化要求，例如在对不需要的文件要在授权条件下及时删除，管理系统操作、性能监测、系统备份、审计日志__——软件控制：未经许可不得修改、在独立的计算机上测试所有的要进入生产环境的软件——硬件控制：保证正常运行：回拨检测、奇偶校验——访问控制(重点)：标识/口令/授权/访问日志/自动注销登录/回拨/对工具软件的限制

　　5.3 访问控制的类型：标识(唯一确定用户身份)/口令(弱控制)/授权(建立访问控制表预防未经授权访问修改敏感信息)/访问日志(检测性控制措施)/回拨(保护信息按指定路径传送)/自动注销登录(防止通过无人照管的终端来访问主机敏感信息)/对工具软件的限制5.4 加密和解密——算法和密钥——加密密钥和解密密钥——公钥和私钥——数字证书——数字签名——认证中心

　　5.5 电子邮件的安全控制：禁止用EMAIL发送高度敏感或机密信息/加密/限使用数量/工作终端的商用电子邮件保存备查/归档和分级管理。

　　5.6 防火墙：数据包过滤型/应用网关开型

　　5.7 应用软件控制：：输入控制(输入授权、数据转换、编辑检验)——处理控制(运行总数、计算机匹配、并发控制)、输出控制——输出控制(平衡总数、复核日志、审核报告、审核制度文件)

　　5.8 计算机的物理安全：保证传输线路的安全以防止非法访问网络/尽量不要暴露数据中心的位置以防止恐怖分子袭击/不间断电源 可以在停电时维持电脑系统的运行/防火防潮/生物统计访问系统

　　5.9 应急计划：故障弱化保护/灾难恢复计划——第一步风险分析，其次才识策略、文档、计划执行测试等/灾难恢复计划的一个重要组成部分是备份和 重新启动程序/当组织的结构和运营发生改变时，灾难恢复计划必须随之改变以保证恢复计划的及时有效。