cisp知识点

CISP知识点范文CISP（Certified Information Security Professional）是国际上最具权威性和广泛性的信息安全管理认证机构之一、通过CISP认证，标志着持有者具备了信息安全领域的专业知识和技能，能够有效地管理和防范信息安全风险。

下面将从CISP认证的背景、知识点以及认证的价值等方面进行详细介绍。

一、CISP认证的背景随着信息技术的高速发展，信息安全越来越受到人们的关注。

各类安全威胁和攻击也变得日益复杂和隐蔽。

为了提高企业和组织的信息安全能力，减少信息泄露和数据丢失的风险，促进信息安全管理的标准化和规范化，CISP认证应运而生。

二、CISP认证的知识点CISP认证主要包括以下知识点：1.信息系统安全管理概念和原则：介绍信息安全管理的基本概念，包括安全架构、策略和风险管理等。

理解信息风险的评估和管理，掌握保密性、完整性和可用性等信息安全的核心原则。

3.信息安全风险管理：掌握风险管理的概念和方法，包括定性和定量的风险评估，制定风险处理策略和计划，了解风险管理工具和技术。

4.信息安全控制措施：学习各类信息安全控制措施的原理和应用，包括物理安全、逻辑安全、访问控制和身份认证等。

熟悉常见的安全技术和安全产品，了解加密和解密的原理以及应用。

5.业务连续性和灾难恢复：理解业务连续性和灾难恢复的概念，学习制定业务连续性和灾难恢复计划的方法和步骤，了解常见的灾难恢复技术和措施。

6.法律、合规和财务方面的安全要求：了解信息安全与法律、合规和财务方面的关联，掌握相关法律法规和合规要求，了解信息安全对财务管理的影响。

7.信息安全教育和培训：学习信息安全教育和培训的原则和方法，了解如何设计和实施企业内部的安全培训和意识提升活动。

三、CISP认证的价值1.证明专业知识和技能：持有CISP认证可以证明个人在信息安全领域具备专业的知识和技能，对企业和组织的信息安全管理具有实际价值。

2.提升职业竞争力：CISP认证是信息安全领域的国际认可标准，可以为个人的职业发展提供有力的支持和保障，提升在职场上的竞争力。

《计算环境安全》考前知识点串讲第一篇操作系统安全第1节Windows操作系统安全1.标识1.1 主体：用户账号、组账号、计算机、服务。

1.2 方法：SID具有唯一性（编码），用户名相同则SID不同。

2.身份鉴别2.1 分类：本地鉴别和远程鉴别。

2.2 信息文件：SAM仅对System有权限。

2.3 远程：安全性的高低，NTLM>LM>SMB。

3.访问控制3.1 用户的角色分配：RBAC（基于角色的访问控制）3.2 权限管理和分配：ACL3.3 文件的访问控制：ACL3.4 网络访问控制：ACL4.保密性4.1 EFS加密文件系统4.2 BitLocker4.3 四层加密实现：物理层、分卷层、文件系统层、应用层。

层次越低安全性越高，层次越高可移植性越高。

5.完整性：操作完整性、系统完整性等。

6.审计：系统审计、应用审计、安全审计、IE审计。

7.备份恢复：系统还原的方式、OS镜像文件、集群的方式。

8.补丁升级：WSUS的部署。

9.系统的配置：9.1 IPC进程共享对于操作系统关闭后重启无效。

9.2 远程访问CD-ROM等外设禁用。

9.3 匿名禁用。

9.4 不安全服务的关闭的正确流程。

第2节Linux操作系统安全1.标识1.1 用户（UID）、用户组（GID）1.2 用户可以在一个组中，也可以在多个组中。

1.3 Root最高权限的用户1.4 系统中任何用户、程序、设备都是用文件表达。

2.身份鉴别2.1 方式：本地和远程2.2 文件：password（用户描述、早期密码散列）、shadow（当前密码散列、密码策略信息）3.访问控制3.1 权限分类：读、写、执行、S（特殊）。

3.2 权限表达模式位（见PPT）。

Rwx rwx rwx表达方式。

3.3 关于权限二进制标准（见PPT）3.4 关于S位和X位的表达：小写s代表不可删除可以执行，大写S代表不可删除不可以执行。

4.保密性：eCryptFS5.完整性：linux普通版本包括系统完整，SElinux包括强制的完整。

一．信息安全测评服务介绍1.中国信息安全测评中心：1）履行国家信息安全漏洞分析和风险评估职能2）对信息产品、系统和工程进行评估3）对信息安全服务，人员的资质进行审核2.CISP以信息安全保障（IA）作为主线二．信息安全测评认证体系介绍1．由信息安全问题所引起的国家面临的主要威胁：1）信息霸权的威胁2）经济安全3）舆论安全4）社会稳定2．我国测评认证中心的建设过程：1）1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”，1999.2 该中心挂牌运行2）2001.5 中编办“中国信息安全产品测评认证中心”（中编办【2001】51号）CNITSEC 3）2007 改名“中国信息安全测评中心”3．认证要点（1）一个目标：TOE评估的正确性和一致性（2）两种方法：“质量过程核查”，“评估活动评价”（3）三个阶段：准备，评估，认证（4）四类活动4．行业许可证制度1）信息安全产品：公安部3所检测，公安部11局颁发2）防病毒产品：指定单位（天津市公安局）3）商用密码产品：国密办颁发5.商业性测评：制定化，控制，量化6.认证业务的范围：服务商，专业人员，产品，系统三．信息安全测评认标准1.测评标准发展1）美国TCSEC（桔皮书）：美国国防部1985年提出，军用机密性，D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护2）欧共体ITSEC：将安全性分为功能和保证；提出TOE；提出“安全目标”ST；E1-63)加拿大CTCPEC：功能性要求分为机密性，完整性，可用性，可控性4）美国联邦FC：引入了保护轮廓PP；每个轮廓包括功能，保障和评测需求5）通用评估准则CC：1996年V1.0；1998年V2.0；1999年为ISO15408（GB/T18336）；思想框架来源于FC和ITSEC；EAL1-72. CC的评估保证级EALEAL1功能测试；EAL2结构测试；EAL3系统地测试和检查；EAL4系统地设计、测试和复查；EAL5半形式化设计和测试（无隐蔽通道）；EAL6半形式化验证的设计和测试；EAL7形式化验证的设计和测试3. CC的结构：1）简介和一般介绍，以及保护轮廓规范和安全目标规范2）第二部分：安全功能需求3）第三部分：安全保障需求4. CC的范围不包括：1）行政性管理安全措施的评估准则；2）物理安全方面（诸如电磁辐射控制）的评估准则；3）密码算法固有质量评价准则包括：信息系统产品和技术5. 保护轮廓PP（甲方）没有详细的设计方案，安全目标ST（乙方）方案6. APE类：保护轮廓的评估准则；ASE类：安全目标的评估准则7. CC的结构：类，子类，组件8. 其他重要标准1）ITIL：IT服务框架2）Gobit：ISACA协会IT内控审计、IT治理框架四．我国标准1. 我国：国家GB/T; 行业：GA,GJB; 地方：DB/T; 企业：Q2. 标准化：最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。

1.信息安全特征：信息安全是系统的安全，是动态的安全，是无边界的安全，是非传统的安全。

2.信息系统包含三个要素：信息，计算机网络系统和运行环境。

3.1985年，美国国防部的可信计算机系统评估保障（TCSEC，橙皮书），将操作系统安全分级（D、C1、C2、B1、B2、B3、A1）.4.信息技术安全性评估准则，即通用准则CC（ISO/IEC 15408，GB/T 18336），其中保障定义为，实体满足其安全目的的信心基础。

5.风险是指威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。

6.信息安全管理体系－ISMS,国际上主流的信息系统管理体系的标准有ISO/IEC 17799,英国标准协会（BSI）的77997.信息安全保障模型：保障要素：管理、工程、技术、人员。

安全特征：保密、完整、可用。

生命周期：规划组织、开发采购、实施交付、运行维护、废弃。

策略和风险是安全保障的核心问题。

信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。

8.风险管理贯穿整个信息系统生命周期，包括对象确立，风险评估，风险控制，审核批准，监控与审查和沟通与咨询6个方面。

9.基于时间的PDR模型（保护－检测－响应）是信息安全保障工作中常用的模型。

该模型的出发点是基于这样的前提：任何安全防护措施都是基于时间的，超过该时间段，这种防护措施是可能被攻破。

10.P2DR（策略－保护检测响应）：所有的行为都是依据安全策略实施的。

该模型强调安全管理的持续性、安全策略的动态性。

防护时间Pt，检测时间Dt,反应时间Rt：如果pt>dt+rt,则系统安全；如果pt<dt+rt,则暴露时间Et=(dt+rt)-pt11.PDCA(计划、实施、检查、改进)是信息安全管理体系ISMS的核心。

《业务连续性管理》考前知识点串讲一、安全事件和应急响应1.应急响应概念：事件前的充分准备和事件后的应急处置。

2.安全事件分类：有害程序事件、网络攻击事件、信息破坏事件、信息内容事件、设备设施故障事件、自然灾害事件，其他事件。

3.事件分级的要素：系统重要程度、系统损失、社会影响。

4.事件分级：一般事件（4）、较大事件（3）、重大事件（2）、特大事件（1）。

5.事件处理的过程：准备、检测、遏制、根除、恢复、跟踪总结。

6.事件应急预案：制定、评估和批准、演练和演习、预案的修订和升级。

7.计算机取证1）原则：合法、充分授权、优先保护、全程监督。

2）过程：准备、证据保护、证据提取、证据分析、证据报告和提交。

二、业务连续管理基础1.概念：BCM（业务连续性管理）2.业务影响分析：BIA（业务影响分析）3.业务连续性管理过程：需求分析、业务连续性方案、建设、灾备预案。

4.需求分析：业务优先级—风险分析—业务影响分析—业务连续性优先级。

三、灾备恢复1.灾备恢复的概念：灾难性事件的应对所做的备份工作及恢复工作。

2.灾备恢复的过程：1）需求分析：风险评估、BIA（业务影响分析）、需求指标（RTO/RPO）。

2）灾备恢复策略：7个要素来制定，数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、备份的技术支持能力、备用的管理维护能力、灾备恢复的预案。

3）灾备恢复策略实现：7个要素来实现。

4）灾备恢复预案制定和维护：参考安全事件的预案。

3.RTO和RPO的对比1）RTO:恢复的时间多少、恢复的效率、中断的时间。

2）RPO:损失的数据、数据的完整性有关。

4.灾备恢复的能力1）国际标准：0到6级2）国家标准：1-6级。

1级：基本支持级2级：备用场地级3级：电子传输和部分设备支持4级：电子传输和完整设备支持5级：实时传输和完整设备支持6级：数据的零丢失和远程集群5.国标6级参考7要素：数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、备份的技术支持能力、备用的管理维护能力、灾备恢复的预案。

CISP总结-信息安全保障知识点信息安全在现代社会中变得越来越重要。

随着技术的进步和信息的高速传输，我们面临着来自网络黑客、恶意软件和数据泄露等安全威胁。

针对这些威胁，许多组织和个人已经采取了各种信息安全保障措施。

本文将总结一些重要的信息安全保障知识点，以帮助读者更好地了解和应对信息安全挑战。

1. 密码技术密码技术是信息安全的基石之一。

通过加密和解密技术，可以保护敏感信息免受未经授权的访问。

常见的密码技术包括对称加密和非对称加密。

对称加密使用相同的密钥用于加密和解密数据，而非对称加密则使用一对公钥和私钥，公钥用于加密数据，私钥用于解密数据。

同时，密码学中还有其他的技术，如哈希函数和数字签名，用于验证数据的完整性和身份认证。

2. 访问控制访问控制是保护信息资源免受未经授权访问的重要手段。

它通过限制用户的访问权限来确保只有认证和授权的用户可以访问系统和数据。

常见的访问控制机制包括身份验证和授权。

身份验证验证用户的身份以确认其合法性，授权决定用户是否有权访问特定的资源。

此外，还可以采用多因素身份验证和单一登录（SSO）等技术来增强访问控制的安全性。

3. 网络安全网络安全是信息安全的重要组成部分。

它涉及保护网络免受未经授权的访问、恶意软件和网络攻击等威胁。

常见的网络安全措施包括防火墙、入侵检测和预防系统（IDS/IPS）、虚拟专用网络（VPN）和漏洞管理等。

此外，网络安全还需要定期的安全审计和漏洞扫描来发现潜在的安全隐患。

4. 数据保护数据保护是信息安全的核心任务之一。

包括数据备份、容灾和恢复等措施，以防止数据丢失和破坏。

常见的数据保护技术包括数据加密、数据脱敏、数据分类和数据托管。

此外，数据备份和恢复策略需要根据数据的重要性和敏感性进行规划，保证数据在意外情况下的可用性和完整性。

5. 教育和培训教育和培训是信息安全保障中不可或缺的一环。

只有通过教育和培训，组织和个人才能了解信息安全的重要性，并学习如何应对安全威胁。

信息安全保障第一章信息安全保障基础1、信息安全发展阶段：通信安全——计算机安全——信息系统安全——信息系统安全保障2、信息系统安全的特征：系统性——动态性——无边界性——非传统性3、信息安全、系统及业务的关系信息安全为了完成组织机构的使命4、信息系统保障的定义GB/T18336|ISO15408实体满足其安全目的的信心基础5、信息系统安全保障模型保障要素——管理、工程、技术、人员生命周期——规划组织、开发采购、实施交付、运行维护、废弃安全特征——保密性、完整性、可用性6、信息系统安全保障模型主要特点：将风险和策略作为基础和核心动态安全模型，贯穿信息系统生命周期的全国产强调保障观念，提供了对信息系统安全保障的信心通过风险和策略为基础，实施技术、管理、工程、人员保障要素，实现安全特征-保密性-完整性-可用性，达到保障组织机构使命的目的7、IATF三个主要层面：人员——技术——运行深度防御技术方案：多点防御——分层防御8、信息化安全问题：针对信息网络的破坏活动日益严重安全漏洞和隐患增多黑客攻击、恶意代码、病毒9、构建国家安全保障体系内容：组织与管理体制机制健全法律法规体系完善标准体制建立技术体系建设基础设施建立人才培养体系第二章信息安全法规与政策10、全面规范信息安全的法律法规18部11、刑法——侧重于信息安全犯罪处罚285——非法侵入计算机信息系统罪——3年以下、3~7年286——破坏计算机信息系统罪——5年以下，5年以上287——利用计算机实施犯罪的提示性规定12、相关法律法规宪法第二章第40条全国人大关于维护互联网安全的决定——2000.12.28中华人民共和国计算机信息系统安全保护条例——1994.2.18中华人民共和国计算机信息网络国际联网管理暂行规定——1997.5.20计算机信息网络国际联网安全保护管理办法（公安部）——1997.12.16互联网信息服务管理办法——2000.9.25计算机信息系统安全专用产品检测和销售许可证管理办法（公安部）——1997.12.12商用密码管理条例——1999.10.7计算机信息系统保密管理暂行规定（保密局）——1998.2.26计算机信息系统国际联网保密管理规定（保密局）——2000.1.25计算机病毒防治管理办法（公安部）——2000.4.26保守国家秘密法——2010.4.2913、国家政策国家信息化领导小组关于加强信息安全保障工作的意见——中办发【2003】27号总体要求和主要原则-等保-密码-安监-应急-技术-法规和标准化-人才-资金-领导14、关于开展信息安全风险评估的意见——国信办【2006】5号等保——中办43号成立测评中心——中办51号第三章信息安全标准15、标准和标准化基本概念：为了在一定范围内获得最佳秩序，经协商一致，由公认机构批准，共同使用和重复使用，的规范性文件16、标准化工作原则：简化——统一——协调——优化17、国际信息安全标准化组织ISO——国际标准化组织IEC——国际电工委员会ITU——国际电信联盟IETF——internet工程任务组ISO/SC27——安全技术分委员会ISO/IEC JTC1——信息技术标准化委员会——属于SC27ANSI——美国国家标准化协会NIST——美国国家标准技术研究所DOD——美国国防部IEEE——美国电气电工工程师协会ISO-JTC1-SC27——国际信息安全技术标准WG1：管理体系WG2：密码和安全机制WG3：安全评估18、我国信息安全标准化组织CITS——信息技术安全标准化技术委员会TC260——全国信息安全标准化技术委员会CCSA——中国通信标准化协会CITS下属工作组：WG1——标准体系与协调WG2——安全保密标准WG3——密码技术WG4——鉴别与授权WG5——评估WG6——通信安全WG7——管理19、标准类型与代码GB——强制GB/T——推荐GB/Z——指导20、信息安全产品分类TEMPEST——电磁安全COMSEC——通信安全CRYPT——密码ITSEC——信息技术安全SEC INSPECTION——安全检查其他专业安全产品21、TCSEC——可信计算机安全评估准则分级：4等 8级D,C1，C2，B1，B2，B3，A1，超A122、CC——通用准则1——功能2——结构3、4——方法5、6——半形式化7——形式化CC=ISO15408=GB/T18336意义：增强用户对产品的安全信心促进IT产品和系统的安全性消除重复的评估局限性：难以理解不包括没有直接关系、行政性安全措施的评估重点关注人为，没有考虑其他威胁源不针对物理方面评估不涉及评估防范性不包括密码算法固有质量的评估保护资产是所有者的责任所有者分析资产和环境中可能存在的威胁PP——保护轮廓——用户提出ST——安全目标——厂商提出23、ISO2700001——管理体系要求——源自BS7799-202——实用规则——源自BS7799-103——实施指南04——管理测量05——风险管理06——审核认证机构要求24、我国信息安全管理重要标准GB/T20984——信息安全风险评估规范GB/Z24364——信息安全风险管理规范GB/Z20985——信息安全事件管理指南GB/Z20986——信息安全事件分类分级指南GB/T20988——信息系统灾难恢复规范●GB/T20984各阶段要求：规划设计——通过风险评估确定安全目标建设验收——通过风险评估确定目标达到与否运行维护——识别不断变化，确定安全措施的有效性●GB/Z24364步骤：背景建立—风险评估——风险处理——批准监督监控审查—————————————沟通咨询●GB/Z20986分级要素：重要程度——系统损失——社会影响●GB/T20988灾难恢复能力等级：1——基本支持2——备用场地支持3——电子传输和部分设备支持4——电子传输及完整设备支持5——实施数据传输及完整设备支持6——数据零丢失和远程集群支持25、等保基本原则：明确责任，共同保护依照标准，自行保护同步建设，动态调整指导监督，重点保护分级：1——自主保护2——指导保护——一次性3——监督保护——2年1次——以上需要公安机关备案4——强制保护——1年1次5——专控保护定级要素：受侵害的客体——对客体的侵害程度第四章信息安全道德规范26、CISP职业准则维护国家、社会、公众的信息安全省市守信，遵纪守法努力工作，尽职尽责发展自身，维护荣誉第八章信息安全管理体系27、什么是信息安全管理针对特定对象，遵循确定原则，按照规定程序，运用恰当方法，为完成某项任务并实现既定目标而进行的——计划、组织、指导、协调、控制等——活动28、信息安全管理成功实施的关键：反应组织机构目标的——策略、目标、活动实施、维护、监控、改进符合组织机构文化的——方案、框架来自所有管理层的——支持、承诺对信息安全要求、风险评估、风险管理的——良好理解向管理站、员工、其他方宣贯——具备安全意识提供合适的意识、培训、教育建立有效地——事故管理过程实施测量系统——评价、改进29、安全管理体系——方针和目标，以及完成目标所用方法的体系风险管理——风险评估、风险处置、风险接受、风险沟通——组织机构识别、评估风险、降低风险到可接受范围安全管理控制措施——通过识别要求和风险，确定风险的处置，选择实施控制，确保风险减少到可接受的级别IS M S——信息安全管理体系ISO/17799——11项控制内容、39个主要安全类、133个具体控制措施BS7799ISO2700130、PDCA计划——实施——检查——改进第九章信息安全风险管理31、风险的构成起源——方式——途径——受体——后果外部的威胁利用自身的脆弱性——产生风险风险管理是——一个机构要利用其拥有的资产来完成使命32、风险管理工作主要内容贯穿整个生命周期基本步骤：对象确立——风险评估——风险控制——审核批准33、信息安全风险评估定义：从风险管理角度——运行科学的手段和方法——系统地分析网络和信息系统面临的威胁与存在的脆弱性——评估安全事件一旦发生造成的危害程度——提出针对性的防护对称和整改措施——防护和化解信息安全风险34、风险评估方法定性——根据经验——主观性定量——客观计算数字半定量定量分析计算公式：单次损失预期值SLE=暴露系数EF*资产价值年度损失预期值ALE=SLE*年度发生率ARO第十章基本信息安全管理措施35、在岗中的人员安全管理措施：岗位安全考核人员培训保密协议管理36、资产管理的作用：如果不能保证资产，组织无法盈利威胁利用脆弱性后，直接伤害资产组织所面临的风险由资产传递而来第十一章系统采购、开发和维护中的安全管理37、信息系统一般采购流程：需求分析——市场招标——评标——选择供应商——签订合同——系统实施——系统运维第十二章安全事件管理与应急响应38、信息安全事件分类根据事件发生的原因、表现形式分类有害程序——网络攻击——信息破坏——信息内容安全——设备设施故障灾害性——其他信息安全事件39、信息安全事件分级特别重大——重大——较大——一般40、应急响应协调与服务组织IRT1类——国内或国际——FIRST、CN-CERT/CC2类——网络服务提供商的IRT组织——ChinaNet安全小组3类——厂商IRT——思科、IBM等4类——商业化IRT5类——企业或政府自己的IRT——美国银行的BACIRT41、应急响应工作阶段划分：准备——检测——抑制——根除——恢复——总结42、计算机取证是使用先进的技术和工具——按照标准规程全面检查计算机系统——提取和保护有关计算机犯罪的相关证据原则：合法——充分授权——优先保护证据——全程监督方法：准备——保护——提取——分析——提交第十三章信息系统灾难恢复管理43、BCM/DRM业务连续管理/灾难恢复管理包括：业务连续性-业务恢复-运行连续性-支持连续性-危机沟通计划计算机事件响应-灾难恢复-人员紧急计划44、灾难恢复级别划分：0、没有异地数据1、PTAM卡车运送访问方式2、PTAM卡车运送访问方式+热备份中心3、电子链接4、活动状态的备份中心5、两个活动的数据中心，确保数据一致性的两阶段传输承诺6、0数据丢失，自动系统故障切换45、灾难恢复指标RTO——恢复时间目标——从停到启需要多少时间RPO——恢复点目标——允许丢失的数据量46、灾难恢复等级1、基本支持——备份每周一次2、备用场地支持——备份每周一次3、电子传输与部分设备支持——备份每天一次4、电子传输与完整设备支持——备份每天一次5、实施数据传输与完整设备支持——备份每天一次6、数据零丢失与远程集群支持——备份每天一次47、灾难恢复流程风险分析——业务影响分析——确定灾难恢复目标——制定恢复策略——灾难恢复实现——灾难恢复预案的制定、落实、管理48、备份类型全备增备——上一次备份的变化量差分备份——上一次全备的变化量49、RAID0,1,3,550、备用场所站点类型：冷站——空间和基础设施温站——平时它用，临时替换热站——7*24支持移动站——租用镜像站——全部，镜像，冗余第十四章信息安全工程原理51、霍尔三维结构图知识维——专业，行业——法律，社科，医学，工程逻辑维——工作步骤——实施计划，决策，最优化，系统分析，系统综合，评价目标体系设计，明确问题时间维——阶段，进程——规划计划，系统开发，制造，安装，运行，更新52、C MM——能力成熟度模型基本思想：通过改进过程，提高产品质量53、SSE-C MM——系统安全工程能力成熟度模型域维——PA过程区——BP基本实施能力维——CF公共特征——GP通用实践54、SSE-C MM六个级别：未完成非正式执行计划跟踪充分定义量化控制连续改进信息安全技术第一章密码学基础55、发展阶段1、古代-1948——古典密码——字符的替代、置换2、1949-1975——保密系统的同学理论——奠定对称密码学理论基础3、1976-1996——D-H，进入公钥密码学——美国1977DES数据加密标准4、1997-今——密码标准化56、密码学包括密码编码学——密码分析学57、密码系统安全性基本因素密码算法复杂程度——密钥机密性密钥长度——初始化向量58、密码基本类型古典密码——置换，代换现代密码——对称，非对称按对明文的处理方式：流密码——OTP，一次一密分组密码——DES,IDEA——混淆，扩散59、密码破解方式唯密文攻击——只有密文——得出明文或密钥——最难已知明文攻击——有部分明文和用同一密钥加密的对应密文——得到密钥——次选择明文攻击——有任意明文和对应的密文——得到密钥——中选择密文攻击——有目的的选择密文可得到对应的明文——易旁路攻击重放攻击统计式攻击60、密码算法对称——加密也解密的密钥一样或相对容易导出DES,IDEA,AES,RC5非对称——RSA,ECC61、HASH算法——检测完整性——用于数字签名MD5——128位摘要SHA-1——160位摘要第二章密码学应用62、VPN定义：在公共网络中，利用隧道技术，建立一个临时的、安全的网络。

《信息安全支撑技术》考前知识点串讲第一节密码学基础1.密码学发展阶段：古典、近代、现代和公钥密码学及特点。

2.密码系统组成：明文、加密、密钥、解密、密文。

3.柯克霍夫原则：密钥保密，算法公开。

4.对称密码算法（1）加密密钥和解密密钥相同，或实质上等同。

（2）典型算法：DES、3DES、AES、IDEA、RC5、Twofish、CAST-256。

（3）优点：高效；不足：交换密钥问题及密钥管理复杂。

5.非对称密码算法：（1）典型算法：RSA、ECC、ElGamal（2）原理：基于数学难题实现，大整数分解、离散对数、背包问题。

（3）优点：解决密钥传递问题、密钥管理简单、提供数字签名等其他服务。

缺点：计算复杂、耗用资源大。

6.哈希函数：（1）作用：完整性校验；（2）主要算法：MD5、SHA-1、SHA-2、SHA-256\384\512。

（3）特点：具有单向性、抗碰撞性（强弱之分）。

7.消息鉴别码：（1）消息认证、完整性校验、抗重放攻击（时间顺序验证）；（2）消息认证方式：Message encryption、Hash function、MAC。

8.数字签名：（1）原理：见图。

（2）作用：身份鉴别、不可抵赖、消息完整性。

第二节密码学应用1.数字证书：（1）一段电子数据，是经证书权威机构CA签名的、包含拥有者身份信息和密钥的电子文件。

（2）数字证书格式：国际标准X.509定义一个规范的数字证书格式（3）数字证书生命周期：证书申请、证书生成、证书存储、证书发布、证书废止。

2.PKI体系构成（1）KMC或KMS（密码系统）（2）CA（认证权威）（3）RA（注册权威）（4）LDAP(证书管理目录服务）（5）CRL&OCSP（黑名单库或在线认证）（6）终端实体（持有USB-Key和程序）3.区块链（了解，考试不考）（1）区块链是分布式数据存储、点对点传输、密码技术等计算机技术的新型应用模式，解决了去中心化的共识机制的建立和应用。

信息安全工程师知识点信息安全工程师（Certified Information Systems Security Professional，CISSP）是全球认可的信息安全专业人士证书，持有该证书的人员被广泛认可为信息安全领域的专家。

作为一名信息安全工程师，需要掌握一系列的知识点，以确保组织和个人的信息资产得到足够的保护。

本文将介绍一些常见的信息安全工程师知识点。

一、网络安全1.1 网络拓扑和协议网络拓扑指的是网络的物理结构和组织方式，包括总线型、星型、环型等。

信息安全工程师需要了解各种网络拓扑的特点以及其对安全的影响。

此外，还需要熟悉各种网络协议的工作原理，如TCP/IP、HTTP、DNS等，以便能够分析和解决网络安全问题。

1.2 防火墙技术防火墙是网络安全的第一道防线，用于监控和过滤进出网络的流量。

信息安全工程师需要了解不同类型的防火墙，如网络层防火墙、应用层防火墙等，以及相应的配置和管理技术，以确保网络的安全性。

1.3 无线网络安全随着无线网络的普及，无线网络安全成为信息安全的重要组成部分。

信息安全工程师需要了解无线网络的安全威胁和攻击手法，并掌握相关的安全技术，如WEP、WPA、WPA2等。

二、系统安全2.1 操作系统安全操作系统是计算机系统的核心，也是信息安全工程师必须掌握的一项知识。

信息安全工程师需要了解各种操作系统的安全策略和配置方法，如Windows、Linux、Unix等，以确保操作系统的安全性。

2.2 数据库安全数据库存储了组织和个人的重要数据，因此数据库安全很关键。

信息安全工程师需要了解数据库的安全配置和管理技术，如访问控制、加密、备份与恢复等，以确保数据库的安全性和完整性。

2.3 应用程序安全应用程序是组织和个人进行业务处理的核心，因此应用程序安全也非常重要。

信息安全工程师需要了解应用程序的安全设计原则和开发技术，如输入验证、访问控制、异常处理等，以确保应用程序的安全性和可靠性。

CISP-信息安全工程知识点复习总结第一节安全工程概念和理论基础1.安全工程：全生命周期的规划、设计、实施、维护、废弃等安全控制和实施过程。

2.四个方面：策略、机制、保证、动机。

3.理论基础—系统工程3.1 系统工程：基于唯物主义辩证法的方法论实现的，是软科学范畴。

3.2 霍尔模型：时间维—逻辑维—知识维4.理论基础—项目管理3.1 项目管理：有限资源的约束下对项目的所有工作进行管理。

3.2 项目要素：质量管理、成本管理和进度管理是三个核心要素。

5.理论基础—质量管理5.1 质量管理：通过高质量的过程控制实现高质量的产品和服务。

5.2 四个方面：机构、程序、过程和总结，其中过程控制是核心。

6.理论基础—CMM5.1 CMM：面向工程过程的方法，可测量、可控制的过程度量的方法、框架或模型。

5.2 CMM应用范围：凡是任何组织和个人需提高过程能力均可以使用。

7.SSE-CMM：系统安全工程能力成熟度模型第二节系统安全工程过程1.过程：需求—定义安全要求—详细设计—实施—废弃，在该过程中需要评估其有效性（一致性和协调性）。

2.过程各环节的工作内容（理解）。

第三节SSE-CMM的内容1.SSE-CMM的发展—起源：美国国家安全部—标准：ISO/IEC 21827—配套：SSAM（主要是评估方进行使用）—范围：采购方、工程方和评估方均可以使用。

2.SSE-CMM的维度2.1 域维：BP基本实施—PA过程区域—过程类2.2 能力维：GP通用实践—CF公共特征—能力级别3.SSE-CMM的域维3.1 工程类：—4个评估：评估影响、评估威胁、评估脆弱性、评估安全风险；—5个安全：安全需求、安全输入、安全控制、安全态势、协调安全；—2个保证：验证和确认安全、建立保证证据。

3.2 组织类3.3 项目类4.SSE-CMM的能力维—0级：无公共特征—1级：非正式执行级：基本实施。

—2级：计划跟踪级：制定计划、执行计划、跟踪计划、验证计划。

CISP-信息安全保障第一节信息安全保障基础1.信息安全保障基础1.1信息安全的定义：狭义和广义之分。

1.2信息安全的特点：系统、动态、无边界、非传统。

1.3信息安全的属性：保密性、完整性、可用性；真实性、不可否认、可追责、可靠性。

1.4信息安全问题根源：内因和外因，外因包括自然和人为威胁；人为威胁包括故意威胁和非故意威胁。

1.5信息安全的视角：国家、商业（企业）和个人视角的内容。

2.信息安全发展阶段2.1 通信安全：采用加密的措施解决信息窃听、密码分析问题。

2.2 计算机系统安全：采用计算机防护的系列手段，提高系统安全性。

2.3 网络安全：通过防火墙等成熟的措施解决网络信息系统安全问题。

2.4 网络空间安全：防御措施、威慑措施以及情报利用。

3. 了解《国家网络空间安全发展战略》。

第二节信息安全保障模型1.P2DR1.1P2DR：策略-防护-检测-响应1.2P2DR思想：基于时间的防护与安全的有效性1.3P2DR公式：Pt>Dt+Rt 那么系统是安全的。

Pt<Dt+Rt，那么（Dt+Rt）- Pt =Et，要求Et<=01.4P2DR作用：实现系统在时间上的防护是有效的。

2.IATF2.1 IATF核心：人、技术、操作。

2.2 IATF保护方面：本地计算环境、网络基础设施、区域边界，支撑性基础设施。

2.3 IATF思想：深度防护的思想。

2.4 IATF作用：实现被保护的网络系统在空间上每个节点安全有效性。

3.系统安全保护评估框架3.1 原理：1）实现全生命周期的安全。

2）通过人员要素、技术要素、管理要素和工程要素来综合实现安全。

3）实现目的是保密性、完整性、可用性，以及最终的业务使命。

3.2 评估框架1）ISPP：标准化信息系统的安全需求。

2）ISST：标准化信息系统的安全方案。

3）评估：技术TCML1-5级；管理MCML1-5级；工程ECML1-5级。

4.商业应用安全架构4.1 常用的参考：舍伍德的商业应用安全架构（Sherwood Applied Business Security Architecture，SABSA）、Zachman框架、开放群组架构框架（The Open Group Architecture Framework，TOGAF）。

CISP-信息安全风险管理一、思想1、安全与风险，安全是可接受的低风险或风险可控，安全本质上是风险管理。

信息安全保障是基于对风险管理的理解，而实施的一系列的措施（GB/T 20274）2、风险管理，风险、处置则风险识别和风险的控制。

风险管理（管控）=风险识别+风险处置（控制）二、基本要素及含义1、资产：凡是有价值的事物，资产分类：- 硬件资产和软件资产- 物理资产和逻辑资产，eg 设备和逻辑结构（协议、算法）- 有形资产和无形资产- 静态资产和动态资产Eg ISMS文档文件VS对应的体系管理能力因此，1）必须同一个维度，不能漏、不能重复。

2）资产描述的时候要完备性。

避免！资产梳理：1）业务分解梳理方式。

2）资产识别是风险评估的一个工作。

2、脆弱性（内）脆弱性、漏洞、弱点、不足、缺陷.......脆弱性识别（漏洞扫描器、配置核查、ISMS-C）显性、隐性的。

3、威胁（外）威胁源-威胁的路径（方式、手段）-威胁的对象威胁的程度4、可能性针对一个资产来讲，威胁和脆弱性共同发生作用的概率。

5、安全事件安全风险管理中，风险变为现实的一种假定。

6、安全事件的影响内部影响、组织外部影响。

三个要素：系统重要性、系统损失、社会影响。

7、风险尚未发生安全事件及带来的影响。

8、风险处置- 降低风险- 规避风险- 转移风险- 接受风险9、残余风险- 经过风险处置后还剩下的风险- 风险处置后较近的时期内**三、基本要素1、资产、脆弱性、威胁被称为风险三要素，或资产、脆弱性、威胁、现有安全措施称为风险四要素。

2、风险评估：准备环节，风险要素识别环节（资产、脆弱性、威胁、现有安全措施），风险分析环节（可能性、安全事件及影响），风险报告环节（风险高低及报告结果、提出风险处置的建议）。

3、风险管理：1）背景建立、风险评估、风险处置、批准监督。

2）四个过程中，有两个贯穿：沟通咨询、监控审查四、风险管理的6部分四个阶段：1、背景建立单位属性、业务范围、业务特点、组织工作目标、地理位置、发展战略、资金投入等等。