最新CISP考试的考点
cisp考点
一、考试说明1.考试目标通过本考试的合格人员能掌握信息安全的知识体系;能够根据应用单位的信息安全需求和信息基础设施结构,规划设计信息安全方案,并负责单位信息系统安全设施的运行维护和配置管理;能够对信息系统运行安全风险和信息设备的安全风险进行监测和分析,并处理一般的安全风险问题,对于重大安全风险问题能够提出整改建议;能够协助相关部门对单位的信息系统进行安全审计和安全事件调查;能够对信息系统和网络安全事件进行关联分析、应急处理,并撰写处理报告;具有工程师的实际工作能力和业务水平。
2.考试要求(1)熟悉信息安全的基本知识;(2)熟悉计算机网络、操作系统、数据库管理系统的基本知识;(3)熟悉密码学的基本知识与应用技术;(4)掌握计算机安全防护与检测技术;(5)掌握网络安全防护与处理技术;(6)熟悉数字水印在版权保护中的应用技术;(7)了解信息安全相关的法律法规、管理规定;(8)了解信息安全标准化知识;(9)了解安全可靠的软硬件平台的基础知识、集成技术和基础应用;(10)了解云计算、物联网、互联网、工业控制、大数据等领域的安全管理、安全技术集成及应用解决方案;(11)熟练阅读和正确理解相关领域的英文资料。
3.考试科目设置(1)信息安全基础知识,考试时间为150分钟,笔试,选择题;(2)信息安全应用技术,考试时间为150分钟,笔试,问答题。
二、考试范围考试科目1:信息安全基础知识1.信息安全基本知识1.1信息安全概念1.2信息安全法律法规1.2.1我国立法与司法现状1.2.2计算机和网络安全的法规规章1.3信息安全管理基础1.3.1信息安全管理制度与政策1.3.2信息安全风险评估与管理1.4信息安全标准化知识1.4.1熟悉信息安全技术标准的基本知识 1.4.2了解标准化组织1.4.3信息安全系列标准1.5信息安全专业英语2.计算机网络基础知识2.1计算机网络的体系结构2.2 Internet协议2.2.1网络层协议2.2.2传输层协议2.2.3应用层协议3.密码学3.1密码学的基本概念3.1.1密码学定义3.1.2密码体制3.1.3古典密码3.2分组密码3.2.1分组密码的概念3.2.2 DES3.2.3 AES3.2.4 SM43.2.5分组密码工作模式3.3序列密码3.3.1序列密码的概念3.3.2线性移位寄存器序列3.3.3 RC43.3.4 ZUC3.4 Hash函数3.4.1 Hash函数的概念3.4.2 SHA算法3.4.3 SM3算法3.4.4 HMAC3.5公钥密码体制3.5.1公钥密码的概念3.5.2 RSA密码3.5.3 ElGamal密码3.5.4椭圆曲线密码3.5.5 SM2椭圆曲线公钥加密算法 3.6数字签名3.6.1数字签名的概念3.6.2典型数字签名体制3.6.3 SM2椭圆曲线数字签名算法 3.7认证3.7.1认证的概念3.7.2身份认证3.7.3报文认证3.8密钥管理3.8.1密钥管理的概念3.8.2对称密码的密钥管理3.8.3非对称密码的密钥管理4.网络安全4.1网络安全的基本概念4.2网络安全威胁4.2.1威胁来源和种类4.2.2网站安全威胁4.2.3无线网络安全威胁4.3网络安全防御4.3.1网络安全防御原则4.3.2基本防御技术4.3.3安全协议4.4无线网络安全4.4.1无线网络基本知识4.4.2无线网络安全威胁及分析4.4.3无线网络安全机制5.计算机安全5.1计算机设备安全5.1.1计算机安全的定义5.1.2计算机系统安全模型与安全方法 5.1.3电磁泄露和干扰5.1.4物理安全5.1.5计算机的可靠性技术5.2操作系统安全5.2.1操作系统安全基本知识5.2.2操作系统面临的安全威胁5.2.3安全模型5.2.4操作系统的安全机制5.2.5操作系统安全增强的实现方法 5.3数据库系统的安全5.3.1数据库安全的概念5.3.2数据库安全的发展历程5.3.3数据库访问控制技术5.3.4数据库加密5.3.5多级安全数据库5.3.6数据库的推理控制问题5.3.7数据库的备份与恢复5.4恶意代码5.4.1恶意代码定义与分类5.4.2恶意代码的命名规则5.4.3计算机病毒5.4.4网络蠕虫5.4.5特洛伊木马5.4.6后门5.4.7其他恶意代码5.4.8恶意代码的清除方法5.4.9典型反病毒技术5.5计算机取证5.5.1计算机取证的基本概念5.5.2电子证据及特点5.5.3计算机取证技术5.6嵌入式系统安全5.6.1智能卡安全基础知识5.6.2 USB Key技术5.6.3移动智能终端5.6.4熟悉工控系统安全问题及解决途径 5.7云计算安全5.7.1云计算安全基础知识5.7.2 IaaS层安全技术5.7.3 PaaS层安全技术5.7.4 SaaS层安全技术6.应用系统安全6.1 Web安全6.1.1 Web安全威胁6.1.2 Web安全威胁防护技术6.2电子商务安全6.2.1电子商务安全基础知识6.2.2电子商务的安全认证体系6.2.3电子商务的安全服务协议6.3信息隐藏6.3.1信息隐藏基础知识6.3.2数字水印技术6.4网络舆情6.4.1网络舆情的基本概念6.4.2网络舆情的基本技术6.5隐私保护6.5.1隐私保护基础知识6.5.2数据挖掘和隐私保护6.5.3隐私度量与评估标准考试科目2:信息安全应用技术1.密码学应用1.1密码算法的实现1.2密码算法的应用1.2.1典型密码算法的应用1.2.2分组密码工作模式1.2.3公钥密码应用1.3典型认证协议的应用1.3.1身份认证1.3.2典型认证协议的应用1.4密钥管理技术2.网络安全工程2.1网络安全需求分析与基本设计2.2网络安全产品的配置与使用2.2.1网络流量监控和协议分析2.2.2网闸的配置与使用2.2.3防火墙的配置与使用2.2.4入侵检测系统的配置与使用 2.3网络安全风险评估实施2.3.1基本原则与流程2.3.2识别阶段工作2.3.3风险分析阶段工作2.3.4风险处置2.4网络安全防护技术的应用2.4.1网络安全漏洞扫描技术及应用 2.4.2 VPN技术及应用2.4.3网络容灾备份技术及应用2.4.4日志分析3.系统安全工程3.1访问控制3.1.1访问控制技术3.1.2身份认证技术3.2信息系统安全的需求分析与设计3.2.1信息系统安全需求分析3.2.2信息系统安全的设计3.3信息系统安全产品的配置与使用3.3.1 Windows系统安全配置3.3.2 Linux系统安全配置3.3.3数据库的安全配置3.4信息系统安全测评3.4.1信息系统安全测评的基础与原则3.4.2信息系统安全测评方法3.4.3信息系统安全测评过程4.应用安全工程4.1 Web安全的需求分析与基本设计4.1.1 Web安全威胁4.1.2 Web安全威胁防护技术4.2电子商务安全的需求分析与基本设计4.3嵌入式系统的安全应用4.3.1嵌入式系统的软件开发4.3.2移动智能终端4.4数字水印在版权保护中的应用4.5位置隐私保护技术的应用4.5.1位置隐私安全威胁4.5.2位置隐私k-匿名模型的算法和应用三、题型举例(一)选择题BLP模型的设计目标是解决信息系统资源的_(1)__保护。
CISP 4.2版2023 注册信息安全考试_易错题详细解析_第一套题
cisp第一套题库※随着信息技术的不断发展,信息系统的重要性也越来越突出,而与此同时,发生的信息安全事件也越来越多,综合分析信息安全问题产生的根源,下面描述正确的是()。
[1分]正确答案:√信息安全问题产生的根源要从内因和外因两个方面两个方面分析,因为信息系统自身存在脆弱性,同时外部又有威胁源,从而导致信息系统可能发生安全事件。
因此,要防范信息安全风险,需从内外因同时着手解析:※在使用系统安全工程—能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是:[1分]正确答案:√:测量组织能力时,就是成熟能力度级别,由执行安全工程过程时所应具有的“公共特征”CF构成。
※在工程实施阶段,监管机构承建合同,安全设计方案、实施方案、实施记录,国家地方标准和技术文件,正确答案:√:符合性※不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选正确答案:√:×定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析解析:解析:布什以第54号国家安全总统令(NSPD-54)发布※微软SDL将软件开发生命周期划分为七个阶段,并提出了十七项重要的安全活动,其中“威胁建模”属于(设计(Design)阶段)的安全活动。
[1分]正确答案:√:设计(Design)阶段正确答案:√:×信息安全风险评估分自评估、检查评估两形式。
应以检查评估为主,自评估和检查评估相互结合、互为补充解析:※“CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容是针对具体的被评测对象,描※有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP),正确的理解是:[1分]正确答案:√:BP不限定于特定的方法或工具,不同的业务背景中可以使用不同的方法※2005年,RFC4301(Request for Comments 4301:Security Architecture for the Internet Protocol)发布,用以取代原先的RFC2401,该标准建议规定了IPsec系统基础架构,描述如何在IP层(IPv4/IPv6)为流量提供安全业务。
6.CISP 4.1版本《计算环境安全》知识点总结
《计算环境安全》考前知识点串讲第一篇操作系统安全第1节Windows操作系统安全1.标识1.1 主体:用户账号、组账号、计算机、服务。
1.2 方法:SID具有唯一性(编码),用户名相同则SID不同。
2.身份鉴别2.1 分类:本地鉴别和远程鉴别。
2.2 信息文件:SAM仅对System有权限。
2.3 远程:安全性的高低,NTLM>LM>SMB。
3.访问控制3.1 用户的角色分配:RBAC(基于角色的访问控制)3.2 权限管理和分配:ACL3.3 文件的访问控制:ACL3.4 网络访问控制:ACL4.保密性4.1 EFS加密文件系统4.2 BitLocker4.3 四层加密实现:物理层、分卷层、文件系统层、应用层。
层次越低安全性越高,层次越高可移植性越高。
5.完整性:操作完整性、系统完整性等。
6.审计:系统审计、应用审计、安全审计、IE审计。
7.备份恢复:系统还原的方式、OS镜像文件、集群的方式。
8.补丁升级:WSUS的部署。
9.系统的配置:9.1 IPC进程共享对于操作系统关闭后重启无效。
9.2 远程访问CD-ROM等外设禁用。
9.3 匿名禁用。
9.4 不安全服务的关闭的正确流程。
第2节Linux操作系统安全1.标识1.1 用户(UID)、用户组(GID)1.2 用户可以在一个组中,也可以在多个组中。
1.3 Root最高权限的用户1.4 系统中任何用户、程序、设备都是用文件表达。
2.身份鉴别2.1 方式:本地和远程2.2 文件:password(用户描述、早期密码散列)、shadow(当前密码散列、密码策略信息)3.访问控制3.1 权限分类:读、写、执行、S(特殊)。
3.2 权限表达模式位(见PPT)。
Rwx rwx rwx表达方式。
3.3 关于权限二进制标准(见PPT)3.4 关于S位和X位的表达:小写s代表不可删除可以执行,大写S代表不可删除不可以执行。
4.保密性:eCryptFS5.完整性:linux普通版本包括系统完整,SElinux包括强制的完整。
13-CISP0401信息安全工程(知识点标注版)-v3
发掘 客户需求
定义 系统要求
设计系统 体系结构
开发 详细设计
实现系统
评估有效性
17
信息系统安全工程(ISSE)过程
❖理解ISSE的含义: 将系统工程思想应用于信息 安全领域,在系统生命周期的各阶段充分考虑 和实施安全措施
❖了解系统生命周期的概念和组成阶段: 发掘信 息保护需求、确定系统安全要求、设计系统安 全体系结构、开展详细安全设计、实施系统安 全、评估信息保护的有效性
护需求
全要求
全体系结构 全设计
全
评估信息保护有效性
31
设计系统安全体系结构
❖ 该阶段的主要活动
▪ 设计并分析系统安全体系结构 ▪ 向体系结构分配安全服务 ▪ 选择安全机制类别
32
设计系统安全体系结构
❖ 根据安全需求有针对性地设计安全措施是非常必 要的
▪ 安全设计要依据安全需求 ▪ 安全设计要具备可行性和一定的前瞻性 ▪ 达到风险—需求—设计的一致性和协调性
15
能力成熟度模型的应用
CMM 能力成熟模型
软件工程
SW-CMM 软件能力成熟模型
传统制造业
SE-CMM 系统工程能力成熟模型
安全工程 。。。。。。
SSE-CMM 信息系统安全工程能力成熟模型
评定
SSAM 信息系统安全工程能力成熟性模型
评估方法
。。。。。。
16
系统工程(SE)的 一般过程
用户/用户代表
的概念 ❖ 了解能力维的组织结构,理解通用实施、公共特征、能力
级别的概念
44
安全工程能力成熟度模型的价值
❖ SSE-CMM为信息安全工程过程改进建立一个框架模 型
❖ 通过SSE-CMM的学习了解 ❖ 信息安全工程通常要实施哪些活动? ❖ 评价和改进这些过程指标是什么?
cisp考点整理资料
一.信息安全测评服务介绍1.中国信息安全测评中心:1)履行国家信息安全漏洞分析和风险评估职能2)对信息产品、系统和工程进行评估3)对信息安全服务,人员的资质进行审核2.CISP以信息安全保障(IA)作为主线二.信息安全测评认证体系介绍1.由信息安全问题所引起的国家面临的主要威胁:1)信息霸权的威胁2)经济安全3)舆论安全4)社会稳定2.我国测评认证中心的建设过程:1)1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”,1999.2 该中心挂牌运行2)2001.5 中编办“中国信息安全产品测评认证中心”(中编办【2001】51号)CNITSEC 3)2007 改名“中国信息安全测评中心”3.认证要点(1)一个目标:TOE评估的正确性和一致性(2)两种方法:“质量过程核查”,“评估活动评价”(3)三个阶段:准备,评估,认证(4)四类活动4.行业许可证制度1)信息安全产品:公安部3所检测,公安部11局颁发2)防病毒产品:指定单位(天津市公安局)3)商用密码产品:国密办颁发5.商业性测评:制定化,控制,量化6.认证业务的范围:服务商,专业人员,产品,系统三.信息安全测评认标准1.测评标准发展1)美国TCSEC(桔皮书):美国国防部1985年提出,军用机密性,D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护2)欧共体ITSEC:将安全性分为功能和保证;提出TOE;提出“安全目标”ST;E1-63)加拿大CTCPEC:功能性要求分为机密性,完整性,可用性,可控性4)美国联邦FC:引入了保护轮廓PP;每个轮廓包括功能,保障和评测需求5)通用评估准则CC:1996年V1.0;1998年V2.0;1999年为ISO15408(GB/T18336);思想框架来源于FC和ITSEC;EAL1-72. CC的评估保证级EALEAL1功能测试;EAL2结构测试;EAL3系统地测试和检查;EAL4系统地设计、测试和复查;EAL5半形式化设计和测试(无隐蔽通道);EAL6半形式化验证的设计和测试;EAL7形式化验证的设计和测试3. CC的结构:1)简介和一般介绍,以及保护轮廓规范和安全目标规范2)第二部分:安全功能需求3)第三部分:安全保障需求4. CC的范围不包括:1)行政性管理安全措施的评估准则;2)物理安全方面(诸如电磁辐射控制)的评估准则;3)密码算法固有质量评价准则包括:信息系统产品和技术5. 保护轮廓PP(甲方)没有详细的设计方案,安全目标ST(乙方)方案6. APE类:保护轮廓的评估准则;ASE类:安全目标的评估准则7. CC的结构:类,子类,组件8. 其他重要标准1)ITIL:IT服务框架2)Gobit:ISACA协会IT内控审计、IT治理框架四.我国标准1. 我国:国家GB/T; 行业:GA,GJB; 地方:DB/T; 企业:Q2. 标准化:最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动。
CISP整理试题及复习资料讲解
1.在橙皮书的概念中,信任是存在于以下哪一项中的?A. 操作系统B. 网络C. 数据库D. 应用程序系统答案:A2.下述攻击手段中不属于DOS攻击的是: ()A. Smurf攻击B. Land攻击C. Teardrop攻击D. CGI溢出攻击答案:D。
3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()A. “普密”、“商密”两个级别B. “低级”和“高级”两个级别C. “绝密”、“机密”、“秘密”三个级别D. “一密”、“二密”、“三密”、“四密”四个级别答案:C。
4.应用软件测试的正确顺序是:A. 集成测试、单元测试、系统测试、验收测试B. 单元测试、系统测试、集成测试、验收测试C. 验收测试、单元测试、集成测试、系统测试D. 单元测试、集成测试、系统测试、验收测试答案:选项D。
5.多层的楼房中,最适合做数据中心的位置是:A. 一楼B. 地下室C. 顶楼D. 除以上外的任何楼层答案:D。
6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是:A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。
B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。
C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。
D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。
答案:D。
7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:A. 系统管理员B. 律师C. 恢复协调员D. 硬件和软件厂商答案:B。
8.下面的哪种组合都属于多边安全模型?A. TCSEC 和Bell-LaPadulaB. Chinese Wall 和BMAC. TCSEC 和Clark-WilsonD. Chinese Wall 和Biba答案:B。
cisp试题及答案(515多题整理版)
cisp试题及答案(515多题整理版) cisp试题及答案(515多题整理版)1. 以下哪项不是CISP的组成部分?A. 信息安全政策B. 信息安全组织C. 信息安全培训D. 信息安全审计答案:D2. CISP的全称是什么?A. Certified Information Systems ProfessionalB. Certified Information Security ProfessionalC. Certified Information Systems Security ProfessionalD. Certified Information System Professional答案:B3. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 5年答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机试C. 口试D. 实操答案:B5. CISP认证的考试语言有哪些?A. 英语B. 中文C. 法语D. 所有选项答案:D6. CISP认证考试的题型是什么?A. 单选题B. 多选题C. 判断题D. 简答题答案:A7. CISP认证考试的总题数是多少?A. 100题B. 200题C. 300题D. 400题答案:C8. CISP认证考试的通过分数是多少?A. 60%B. 70%C. 80%D. 90%答案:C9. CISP认证考试的考试时间是多长?A. 1小时B. 2小时C. 3小时D. 4小时答案:C10. CISP认证考试的报名费用是多少?A. 500美元B. 700美元C. 1000美元D. 1500美元答案:B11. CISP认证考试的考试内容主要涉及哪些方面?A. 信息安全管理B. 信息安全技术C. 信息安全法律D. 所有选项答案:D12. CISP认证考试的考试内容不包括以下哪项?A. 风险评估B. 业务持续性管理C. 信息安全策略D. 数据库管理答案:D13. CISP认证考试的考试内容中,关于信息安全策略的知识点包括哪些?A. 信息安全策略的制定B. 信息安全策略的实施C. 信息安全策略的评估D. 所有选项答案:D14. CISP认证考试的考试内容中,关于风险评估的知识点包括哪些?A. 风险识别B. 风险分析C. 风险处理D. 所有选项答案:D15. CISP认证考试的考试内容中,关于业务持续性管理的知识点包括哪些?A. 业务影响分析B. 灾难恢复计划C. 应急响应计划D. 所有选项答案:D16. CISP认证考试的考试内容中,关于信息安全技术的知识点包括哪些?A. 加密技术B. 防火墙技术C. 入侵检测系统D. 所有选项答案:D17. CISP认证考试的考试内容中,关于信息安全法律的知识点包括哪些?A. 数据保护法B. 计算机犯罪法C. 知识产权法D. 所有选项答案:D18. CISP认证考试的考试内容中,关于信息安全管理的知识点包括哪些?A. 安全管理的框架B. 安全管理的过程C. 安全管理的控制D. 所有选项答案:D19. CISP认证考试的考试内容中,关于信息安全培训的知识点包括哪些?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 所有选项答案:D20. CISP认证考试的考试内容中,关于信息安全审计的知识点包括哪些?A. 审计计划B. 审计程序C. 审计报告D. 所有选项答案:D21. CISP认证考试的考试内容中,关于信息安全组织管理的知识点包括哪些?A. 组织结构B. 组织政策C. 组织文化D. 所有选项答案:D22. CISP认证考试的考试内容中,关于信息安全培训的知识点不包括以下哪项?A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 培训课程设计答案:D23. CISP认证考试的考试内容中,关于信息安全审计的知识点不。
信息安全工程师考试重点内容
信息安全工程师考试重点内容哎,说起来这信息安全工程师考试啊,可真是个磨人的小妖精。
别看我这人平时大大咧咧的,一到考试这事儿上,也得正儿八经地坐下来,好好琢磨琢磨。
要说这考试的重点内容啊,首先绕不开的就是信息安全的基础知识。
你得先搞清楚,啥是计算机网络,啥是密码学,网络安全、计算机安全、应用系统安全这些个概念,得跟串糖葫芦似的,一个个串起来,记在心里。
就像咱村头那老李头,一辈子记那些个药方,也是这么个理儿。
然后呢,你得琢磨琢磨密码学应用。
你说这密码学,听起来就跟古时候的江湖秘籍似的,什么对称加密、非对称加密,数字签名、消息认证码,听着就让人头疼。
但咱得咬牙学啊,学好了这些,你才能在信息安全这条道上混得开。
再往后,就是网络安全工程、系统安全工程、应用安全工程这些个实际应用了。
你说这网络安全,跟咱平时上网有啥关系?嘿,那可大了去了。
你比如说,你天天刷微博、逛淘宝,要是网络不安全,那你账号里的钱,说不定哪天就让人给偷了。
所以啊,这些个安全工程,你得学透了,学好了,才能保护好自己的“小金库”。
还有啊,这考试里头,法律法规也是少不了的。
什么信息安全管理体系、风险评估、风险管理,还有那些个信息安全的法律法规,你得一条条地背,一个个地琢磨。
你说这法律,咱平时觉得跟咱八竿子打不着,但真要是出了事儿,那法律可就是你的护身符了。
说到这,我想起个事儿。
有回我跟老张聊天,他说他那儿子,也是个爱上网的主儿。
有天晚上,正刷着抖音呢,突然弹出来个窗口,说是他中了大奖,让他先交一笔钱。
老张那儿子,一激动,差点儿就把钱给汇过去了。
幸好老张及时发现,给拦住了。
老张说,要是他儿子学点儿信息安全的知识,也不至于差点儿上当受骗。
所以啊,我说这信息安全工程师考试,虽然难了点儿,但真要是学好了,那可是受益无穷的。
你不仅能保护好自己的信息安全,还能帮别人避免上当受骗。
这不,就像咱村里那李大爷,自从学了点儿信息安全的知识,那网络诈骗的短信,他一看就能识破,还天天在村里头给人普及呢。
cisp试题及答案
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 降低企业运营成本答案:B2. 在信息安全管理中,风险评估的目的是()。
A. 识别潜在的威胁B. 确定安全措施的成本C. 制定安全策略D. 所有以上选项答案:D3. CISP认证考试中,关于数据加密的说法正确的是()。
A. 对称加密算法比非对称加密算法更安全B. 非对称加密算法需要两个密钥C. 哈希函数是可逆的D. 量子加密是目前最安全的加密方式答案:B4. 以下哪项不属于信息安全管理的基本原则?()。
A. 保密性B. 完整性C. 可用性D. 可追溯性答案:D5. CISP认证考试中,关于网络安全的说法正确的是()。
A. 防火墙可以防止所有类型的网络攻击B. VPN提供了数据传输过程中的加密C. 入侵检测系统可以防止入侵行为的发生D. 网络隔离可以完全避免网络攻击答案:B二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持证人在信息安全领域具有专业知识和技能。
答案:(ISC)²2. 在信息安全领域中,________是一种通过隐藏信息内容来保护数据不被未授权访问的技术。
答案:加密3. 为了确保信息的完整性,通常会使用________技术来验证数据在传输或存储过程中是否被篡改。
答案:哈希函数4. 信息安全管理体系(ISMS)的国际标准是ISO/IEC 27001,它包括了一套用于________的准则和规定。
答案:管理信息安全5. 社会工程学是一种利用人的________来获取敏感信息或未授权访问系统的方法。
答案:心理和行为特点三、简答题1. 简述信息安全的重要性。
答案:信息安全对于保护个人隐私、企业商业秘密、国家安全等方面至关重要。
它可以有效防止数据泄露、网络攻击、身份盗窃等风险,确保信息的保密性、完整性和可用性。
cisp试题及答案
cisp试题及答案CISP试题及答案一、选择题(每题1分,共10分)1. 以下哪项不是CISP的认证目标?A. 提升个人网络安全技能B. 增强组织的信息安全防护能力C. 降低网络攻击的风险D. 提高个人编程能力答案:D2. CISP认证的有效期是多久?A. 1年B. 2年C. 3年D. 终身有效答案:C3. 以下哪个不是CISP考试的科目?A. 信息安全基础B. 网络安全C. 软件开发D. 风险管理答案:C4. CISP认证的考试形式是什么?A. 笔试B. 机考C. 面试D. 现场操作答案:B5. CISP认证的考试语言是?A. 英语B. 中文C. 法语D. 德语答案:A6. 以下哪项不是CISP认证的考试内容?A. 法律、法规和合规性B. 业务连续性管理C. 网络设备配置D. 信息安全管理答案:C7. CISP认证适合哪些人员?A. IT管理人员B. 网络安全专家C. 软件开发人员D. 所有以上答案:D8. CISP认证的考试通过标准是什么?A. 60%正确率B. 70%正确率C. 80%正确率D. 100%正确率答案:B9. CISP认证的考试费用是多少?A. 1000元B. 2000元C. 3000元D. 4000元答案:C10. CISP认证的考试时长是多少?A. 1小时B. 2小时C. 3小时D. 4小时答案:C二、简答题(每题5分,共20分)1. 简述CISP认证的重要性。
答案:CISP认证对于个人而言,是专业能力的认可,有助于职业发展和技能提升。
对于组织而言,拥有CISP认证的员工可以增强组织的信息安全防护能力,降低信息安全风险。
2. 描述CISP认证的考试流程。
答案:CISP认证考试流程通常包括注册、备考、参加考试、成绩公布和认证证书的颁发。
考生需要在指定的考试中心完成机考,考试合格后,将获得认证证书。
3. 解释CISP认证的继续教育要求。
答案:CISP认证持有者需要每两年完成一定的继续教育学分,以保持认证的有效性。
1.CISP 4.1版本《信息安全保障》知识点总结
《信息安全保障》考前知识点串讲一、信息安全保障基础1.信息安全定义:ISO定义等,掌握不同定义的使用场景。
2.信息问题及分类:狭义和广义问题,根源包括内因和外因。
3.信息安全特征:系统、动态、无边界、非传统。
4.信息安全属性:保密性、完整性和可用性。
5.信息安全视角:国家、企业、个人。
6.信息安全发展:通信安全、计算机安全、网络安全(信息系统安全)、信息安全保障、网络空间安全。
掌握每一个阶段的内容和特点。
7.网络空间安全:学科、应用和物理范围上扩展了;防御、威慑和情报三位一体的安全;威胁情报和态势感知。
二、信息安全框架模型1.PPDR模型1)PPDR:策略、保护、检测和响应。
2)思想:填充安全间隙,安全在时间上连续性。
3)公式:Pt>Dt+Rt, Et<=0。
2.IATF模型1)思想:深度防御。
2)三要素:人、技术、操作。
3)四个方面:计算环境、网络基础设施、网络边界、支撑性基础设施。
3.保障评估框架1)内容:安全保障对象的全生命周期中通过人、技术、管理和工程实现保密、完整和可用,最终服务于业务使命。
2)使用:ISPP->ISST->建设->评估(TCML1-5,MCML1-5,ECML1-5)。
3)ISPP:标准化信息系统安全需求;ISST:标准化信息系统安全设计方案;4.商业应用架构(SBASA)1)出发:业务安全和业务风险为出发点,为组织架构建设和安全提供方法和流程。
2)内容:背景(业务)、概念(架构)、逻辑(设计)、物理(工程)、组件(实施)、运营(运维)。
3)阶段:规划、设计、实施、管理和测量(PDCA,计划、实施、检查、改进)。
三、信息安全工作流程1.需求:来源要全面(合规、业务、风险评估),建议使用ISPP的方法。
2.设计:建议使用ISST的方法。
3.工程:建议使用ISO/IEC 21827 SSE-CMM(分为1-5级)方法。
4.测评:产品CC标准(ISO/IEC 15408,GB/T 18336)EAL1-7;信息系统等级保护测评1-5;工程服务商1-5(SSE-CMM);人员测评(CISM/CISP等)。
8.CISP 4.1版本《业务连续性管理》知识点总结
《业务连续性管理》考前知识点串讲一、安全事件和应急响应1.应急响应概念:事件前的充分准备和事件后的应急处置。
2.安全事件分类:有害程序事件、网络攻击事件、信息破坏事件、信息内容事件、设备设施故障事件、自然灾害事件,其他事件。
3.事件分级的要素:系统重要程度、系统损失、社会影响。
4.事件分级:一般事件(4)、较大事件(3)、重大事件(2)、特大事件(1)。
5.事件处理的过程:准备、检测、遏制、根除、恢复、跟踪总结。
6.事件应急预案:制定、评估和批准、演练和演习、预案的修订和升级。
7.计算机取证1)原则:合法、充分授权、优先保护、全程监督。
2)过程:准备、证据保护、证据提取、证据分析、证据报告和提交。
二、业务连续管理基础1.概念:BCM(业务连续性管理)2.业务影响分析:BIA(业务影响分析)3.业务连续性管理过程:需求分析、业务连续性方案、建设、灾备预案。
4.需求分析:业务优先级—风险分析—业务影响分析—业务连续性优先级。
三、灾备恢复1.灾备恢复的概念:灾难性事件的应对所做的备份工作及恢复工作。
2.灾备恢复的过程:1)需求分析:风险评估、BIA(业务影响分析)、需求指标(RTO/RPO)。
2)灾备恢复策略:7个要素来制定,数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、备份的技术支持能力、备用的管理维护能力、灾备恢复的预案。
3)灾备恢复策略实现:7个要素来实现。
4)灾备恢复预案制定和维护:参考安全事件的预案。
3.RTO和RPO的对比1)RTO:恢复的时间多少、恢复的效率、中断的时间。
2)RPO:损失的数据、数据的完整性有关。
4.灾备恢复的能力1)国际标准:0到6级2)国家标准:1-6级。
1级:基本支持级2级:备用场地级3级:电子传输和部分设备支持4级:电子传输和完整设备支持5级:实时传输和完整设备支持6级:数据的零丢失和远程集群5.国标6级参考7要素:数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、备份的技术支持能力、备用的管理维护能力、灾备恢复的预案。
CISP考试要点
4.OSI开放系统互连安全体系架构中的安全服务分为鉴别服务、访问控制、机密性服务、完整服务、抗抵赖服务,其中机密性服务描述正确的是:A、包括原发方抗抵赖和接受方抗抵赖B、包括连接机密性、无连接机密性、选择字段机密性和业务流保密C、包括对等实体鉴别和数据源鉴别D、包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性B5.电子商务交易必须具备抗抵赖性,目的在于防止A、一个实体假装另一个实体B、参与此交易的一方否认曾经发生过此次交易C、他人对数据进行非授权的修改、破坏D、信息从被监视的通信过程中泄露出去B6.下列那一项准确地描述了可信计算基(TCB)A、TCB只作用了固件(Firmware)B、TCB描述了一个系统提供的安全级别C、TCB描述了一个系统内部的保护机制D、TCB通过安全标签来表示数据的敏感性C7.下面关于访问控制模型的说法不正确的是:A、DAC模型中主体对它所属的对象和运行的程序有全部的控制权B、DAC实现提供了一个基于“need-to-know”的访问授权的方法,默认拒绝任何人的访问。
访问许可必须被显示地赋予访问者C、在MAC这种模型里,管理员管理访问控制。
管理员定制策略,策略定义了哪个主体能访问哪个对象。
但用户可以改变它。
D、RBAC模型中管理员定义一系列角色(roles)并把他们赋予主体。
系统进程和普通用户可能有不同的角色。
设置对象为某个类型,主体具有相应的角色就可以访问他。
C8.安全模型明确了安全策略所需的数据结构和技术,下列哪项最好描述了安全模型中的“简单安全规则”A、Biba模型中的不允许向上写B、Biba模型中的不允许向下读C、Bell-Lapadula模型中的不允许向下写D、Bell-Lapadula模型中的不允许向上读9.以下关于访问控制模型错误的是A、访问控制模型主要有3种:自主访问控制、强制访问控制和基于角色的访问控制。
3.CISP 4.1版本《安全支撑技术》知识点总结
《信息安全支撑技术》考前知识点串讲第一节密码学基础1.密码学发展阶段:古典、近代、现代和公钥密码学及特点。
2.密码系统组成:明文、加密、密钥、解密、密文。
3.柯克霍夫原则:密钥保密,算法公开。
4.对称密码算法(1)加密密钥和解密密钥相同,或实质上等同。
(2)典型算法:DES、3DES、AES、IDEA、RC5、Twofish、CAST-256。
(3)优点:高效;不足:交换密钥问题及密钥管理复杂。
5.非对称密码算法:(1)典型算法:RSA、ECC、ElGamal(2)原理:基于数学难题实现,大整数分解、离散对数、背包问题。
(3)优点:解决密钥传递问题、密钥管理简单、提供数字签名等其他服务。
缺点:计算复杂、耗用资源大。
6.哈希函数:(1)作用:完整性校验;(2)主要算法:MD5、SHA-1、SHA-2、SHA-256\384\512。
(3)特点:具有单向性、抗碰撞性(强弱之分)。
7.消息鉴别码:(1)消息认证、完整性校验、抗重放攻击(时间顺序验证);(2)消息认证方式:Message encryption、Hash function、MAC。
8.数字签名:(1)原理:见图。
(2)作用:身份鉴别、不可抵赖、消息完整性。
第二节密码学应用1.数字证书:(1)一段电子数据,是经证书权威机构CA签名的、包含拥有者身份信息和密钥的电子文件。
(2)数字证书格式:国际标准X.509定义一个规范的数字证书格式(3)数字证书生命周期:证书申请、证书生成、证书存储、证书发布、证书废止。
2.PKI体系构成(1)KMC或KMS(密码系统)(2)CA(认证权威)(3)RA(注册权威)(4)LDAP(证书管理目录服务)(5)CRL&OCSP(黑名单库或在线认证)(6)终端实体(持有USB-Key和程序)3.区块链(了解,考试不考)(1)区块链是分布式数据存储、点对点传输、密码技术等计算机技术的新型应用模式,解决了去中心化的共识机制的建立和应用。
CISP-V4.0-01-《信息安全保障》知识点复习总结
CISP-信息安全保障第一节信息安全保障基础1.信息安全保障基础1.1信息安全的定义:狭义和广义之分。
1.2信息安全的特点:系统、动态、无边界、非传统。
1.3信息安全的属性:保密性、完整性、可用性;真实性、不可否认、可追责、可靠性。
1.4信息安全问题根源:内因和外因,外因包括自然和人为威胁;人为威胁包括故意威胁和非故意威胁。
1.5信息安全的视角:国家、商业(企业)和个人视角的内容。
2.信息安全发展阶段2.1 通信安全:采用加密的措施解决信息窃听、密码分析问题。
2.2 计算机系统安全:采用计算机防护的系列手段,提高系统安全性。
2.3 网络安全:通过防火墙等成熟的措施解决网络信息系统安全问题。
2.4 网络空间安全:防御措施、威慑措施以及情报利用。
3. 了解《国家网络空间安全发展战略》。
第二节信息安全保障模型1.P2DR1.1P2DR:策略-防护-检测-响应1.2P2DR思想:基于时间的防护与安全的有效性1.3P2DR公式:Pt>Dt+Rt 那么系统是安全的。
Pt<Dt+Rt,那么(Dt+Rt)- Pt =Et,要求Et<=01.4P2DR作用:实现系统在时间上的防护是有效的。
2.IATF2.1 IATF核心:人、技术、操作。
2.2 IATF保护方面:本地计算环境、网络基础设施、区域边界,支撑性基础设施。
2.3 IATF思想:深度防护的思想。
2.4 IATF作用:实现被保护的网络系统在空间上每个节点安全有效性。
3.系统安全保护评估框架3.1 原理:1)实现全生命周期的安全。
2)通过人员要素、技术要素、管理要素和工程要素来综合实现安全。
3)实现目的是保密性、完整性、可用性,以及最终的业务使命。
3.2 评估框架1)ISPP:标准化信息系统的安全需求。
2)ISST:标准化信息系统的安全方案。
3)评估:技术TCML1-5级;管理MCML1-5级;工程ECML1-5级。
4.商业应用安全架构4.1 常用的参考:舍伍德的商业应用安全架构(Sherwood Applied Business Security Architecture,SABSA)、Zachman框架、开放群组架构框架(The Open Group Architecture Framework,TOGAF)。
CISP-V4.0-02-《法律法规标准》知识点复习总结
CISP01-信息安全法律法规和标准第一节信息安全法律法规1.立法体系:1.1分工:全国人大立法机构、国务院和地方人大是法规制定机构、地方地方是规章制度。
1.2法律:宪法—基本法(民法、行政法、刑法)—专门法—法规——规章制度。
1.3专门法:《网络安全法》、《保守国家秘密法》、《国家安全法》、《国家反间谍法》、《反恐怖主义法》、《治安管理处罚法》、《合同法》、《劳动合同法》、《人民警察法》。
1.4法规:《计算机信息系统保护条例》(2017年以前有效)、《商用密码管理条例》(2018年以前有效)、《个人信息保护管理规定》。
2.网络安全法:2.1 总则:网络空间的主权的理解。
2.2 发展与促进:产业、标准、人才、产品与服务。
2.3 网络运行安全:1)一般规定:—实行等级保护—网络运营者的义务—网络产品、服务提供者的安全义务—一般性安全保护义务2)关键信息基础设施的保护—范围—机制(分工)—国务院负责条例制定—运营者义务2.4 网络信息安全1)个人信息保护2)规范信息安全的管理2.5 监测预警和应急处置2.6 法律责任:民事、行政、刑事责任。
3.有关法律3.1 保守国家秘密法:绝密30年、机密20年、秘密10年3.2 刑法的要求3.3 国家安全法的要求。
4.网络安全职业道德第二节网络安全政策1.国家网络空间安全战略2.中央办公厅2003年27号文件2.1 方针:积极防御、综合防范。
2.2 原则:立足国情和以我为主;技管并重;安全保发展和发展求安全。
2.3 内容:等保、密码、监控、应急、产业、法制标准、人才培养、资金保障、工作领导。
3. 十三五规划与网络安全实现以下四个主要目标:1)加强数据资源安全保护2)科学实施网络空间治理3)全面保障重要信息系统安全4)实施网络安全保障方面的重大工程第三节网络安全标准1.标准化组织国际标准化组织(ISO)国际电工委员会(IEC)Internet工程任务组(IETF)国际电信联盟(ITU)及国际电信联盟远程通信标准化组织(ITU-T)2.ISO/IEC JTC1 SC27信息技术安全技术2.1 工作组分工:WG1安全管理标准;WG3安全评估标准;及其他。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CISP考试的考点一、安全管理基础与管理体系1、信息安全管理的概念2、管理的对象:包括人在类的各类信息相关资产3、广义和狭义体系狭义指按照ISO27001标准定义的ISMS 广义的信息安全管理体系:泛指任何一种有关信息安全的管理体系4、组成部分5、管理要发挥能动性作用6、信息安全管理技术与管理并重,3分技术7分管理7、信息安全管理安全要以预防为主8、安全管理对内作用为主9、安全管理的过程方法,要熟悉图10、PDCA记下来规划实施检测处置11、PDCA的特点12、信息安全管理体系13、管理体系的文件要进行管理与控制14、1-4级的图,四个层级与对应的内容15、内审,内部审核用内部组织自己活以组织的名义进行审核,ISMS能够持续改进的重要动力之一16、管理评审为实现已建立的目标,而进行的确定管理体系的适宜性,充分性和有效性活动17、认证的有效期ISMS 包括一组审核初次认证年度监督审核和复审有效期三年18、结构的图,D1-719、风险的四种处理方式 降低 避免 转移 接受 20、纠正措施和预防措施的区别二、网络安全1、ISO 7个层 3、IP 是逻辑寻址 4、传输层是逻辑寻址 5、数据的封装与节封装的顺序6、安全机制每个机制可实现的哪个服务,公正-抗抵赖;应用层、网络层能够实现所有安全服务内容PlanAct维护和改进ISMS监视和评审ISMSDo实施和运行ISMS7、4层的顺序不要错了8、TCP协议与UDP协议的区别9、X.509,数字证书10、IPV6的地址数量2的128次内置IPSEC 安全特性11、无线局域网的构成12、无线局域网的问题信道开放开放式认证共享密钥13、WPA是草案版本,WPA2是正式版本14、WAI负责认证,WPI负责加密WAPI协议安全优势双向三鉴别(服务器AP STA) 高强度传输加密ECC算法15、包过滤防火墙的优点、缺点15、代理网关防火墙的优点与缺点16、地址转换的优点与缺点容易暴露防火墙的网络位置17、防火墙的部署模式中,三种模式注意透明模式不需要做NAT18、给你一个网络拓扑图,问防火墙部署在哪个位置,防火墙部署在路由器的外面19、防火墙的策略,分别适用什么场景,新建的网络、已有的网络的策略20、入侵检测的构成:21、数据检测中误用检测、异常检测的对比22、网闸与防火墙物理隔离、逻辑隔离23、安全域的概念与划分方法,安全域需要考虑物理位置、业务、部门、数据流、生产特性23、IP地址规划原则24、VLAN设计的划分方法三、信息安全保障1、信息安全三要素保密性完整性可用性2、信息安全的基本特征系统动态无边界非传统涉及组织管理社会问题国家安全3、产生信息全的内因(脆弱性)、外因(威胁)4、安全发展的阶段,该场景是发展的哪个阶段5、美国网络空间的三位一体式哪三位一体网络防御攻击利用6、布时政府CNCI 2008年1月曼哈顿项目7、P2DR模型的图8、P2DR的公式,Pt与Dt的公式9、IATF的三要素信息保障技术框架核心人技术操作10、IATF的代表理论为深度防御11、IATF的四个保障领域,三保护一支撑保护本地计算环境区域边界网络和基础设施支撑基础上设施12、信息系统安全保障模型,安全特征、保障要素要填空13、信息安全的最终目的是为了业务14、CNCI三道防线,第一线防御应对各类威胁强化未来安全环境目的是为了进行风险的降低与处理15、关键基础设施保障的原因,是这些领域很关键16、我国信息安全保障工作发展的三个阶段,2001-2002 开始启动2003-2005逐步展开积极推广、2006至今深化落实17、我们国家应急响应的机构名称CNCERT/CC18、我们国家安全委员会TC26019、信息系统安全保障具体需求来源20、需求文档简称ISPP(信息系统保护轮廓),由用户提出21、ISPP是正式文档,由用户提出22、ISST(信息系统安全目标),方案是厂商制定的,一个ISSP可以由多个ISST 满足23、信息安全测评依据的标准是CC,等级是1-7级,1-4级,哪些适用党政、商业24、系统安全工程能力成熟度模型,分别是5级,2182725、信息安全服务资质,SSE-CMM,把五级记下来26、系统在维护过程中最重要的工作是风险管理,发现风险的手段监测、监控系统信息安全保障需要覆盖信息系统的整个生命周期四、信息安全法规、政策和标准1、国家秘密的保密期限:10、20、30 还有长期保密的2、国家秘密是哪个部门主管,国家保密行政管理部门,国家对定密、解密有要求3、商业秘密:给4个答案,如下哪个不属于商业秘密或国家秘密4、电子签名法,签名信息签名者、验证者可访问5、商用密码的定义,商用密码技术属于国家秘密6、商用产品实行的一体化的专控管理7、信息安全保障工作意见,中办发文号27号文,、内容、方针、原则(坚持技术与管理并重)8、27号文没有提到保护隐私、没有提到保护产权、没有提到国产化9、风险评估指导意见(国信办2006 5号文)风险评估要贯穿全过程,要以自评估为主,要相互结合10、等级保护的五级怎么描述的,名称11、等级保护的原则,自主定级12、二级以上要备案,三级以上的要测评,三级、四级每年测评次数,涉密系统要做分级保护13、强制GB、推荐GB/T、指导标准的简称:GB/Z14、TC260下面有7个工作组,要知道第七个工作组负责管理、第二个保密标准制定15、信息安全标准体系中,技术、机制为重点16、等级保护的定级,问系统该定几级17、GB/T 18336标准就是CC标准,具有通用性,适用于用户、开发者、评估者,7级18、安全功能、安全保证,ITSET实现了安全功能、安全保证的分离;保护轮廓叫需求,安全目标叫方案;评估的等级1-7级;19、信息安全道德规范五、密码学基础1、密码学发展的阶段,第一代密码机是近代产生的,1949-1976现代密码1976-至今公钥密码2、代替密码与置换密码的概念3、密码学的两个分支:密码编码密码分析4、19,科克霍夫原则;算法公开、密钥保密一般商用领域5、流密码和分组密码的不同点,多字母代替、单字母代替6、密码的长度不是越长约好,与应用场景有关7、密钥要分片保管8、DH协议,基于离线对数计算的复杂性,密钥协商与交换9、DES算法的密钥的位数,用到的思想两个10、混乱与扩散谁提出的,香浓提出的11、3DES的密码长度,168、112比特56倍数12、IDEA分组长度64比特、密钥长度128比特13、52,AES的分组长度、密钥长度14、对称密码的优缺点优:效率高适合加密大量数据明文与密文长度相等缺:密钥的共享及交换存在风险密钥管理负责15、非对称密码RSA、ECC数学原理16、公钥密码体系的优缺点17、哈希函数的3个特点单向性弱抗碰撞性强抗碰撞性18、场景谷歌3月份破解了sha1算法19、消息鉴别码的作用消息鉴别完整性抗重放攻击20、RSA数字签名图的原理掌握21、哪些是数字签名的算法22、三种算法的比较,关于DH提出了非对称算法,获得了图灵奖,要知道D、H的名字六、密码学应用1、数字信封的原理,结合了对称、非对称算法的优势2、对PKI的理解,负责发证的,和证的应用无关3、数字证书包括哪些内容、不包括哪些内容4、RA的作用,申请、审核、代理维护5、CA的作用,签发、管理、认证(黑名单、在线认证)6、LDAP提供了证书的保存、修改、删除、获取的能力LDAP放的都是公有证书7、不同组建的构成8、X509是证书的格式9、VPN的概念10、VPN的功能,11、二层的隧道协议三种PPTP L2F L2TP12、IPset协议AH的作用,安全特性13、ESP的作用,提供无连接的完整性,数据来源的认证和抗重放攻击还有数据包和数据流的加密作用14、SSL协议,握手协议的作用15、70,OTP的概念,加入不确定因素(口令序列时间同步事件同步挑战应答,口令变化因素不超过2小时16、时间同步,需要维护时钟的同步17、挑战应答,七、操作系统安全1、11,Win系统安全标识符各代表什么,书上有2、13,SAM对system账号有权限3、15,win的访问权限是和客体(文件夹)绑定的,ACL4、19,EFS和Bitlocker的特点5、20,win的日志,给的例子分别是什么类型6、26,锁定是为了应对暴力破解7、34,禁止分享盘符,重启后无效8、linux系统下,用户和和组的关系9、鉴别信息存储位置,各自存储的内容,密码存放在shadow中(密码信息),passwd中密码是星号(用户信息与历史用过的信息)10、in的权限表达,例子11、51,lin分区挂载目录12、lin修改banner信息的两个地方sshd-config motd13、理解补码,给补码给权限14、76,两行命令行,源、目标、地址、端口、入站、出站15、80,安全操作系统TCSEC标准,A级最高,从B1开始强制访问控制保护要求八、安全攻击与防护1、Whois是域名查询2、FTP web 回现信息服务旗帜检测3、社会工程学的攻击方法人是永远的系统弱点4、IP欺骗,步骤图5、ARP欺骗的防护措施6、DNS防护措施,协调运营商进行加固7、缓冲区溢出攻击的原理8、SQL注入的原理9、日志保护的要求不能修改,日志权限的权限最小化规则九、信息安全工程1.原则同步规划同步实施2.系统工程是一种方法论具有普遍的使用意义3.霍尔三维模型包括时间逻辑知识三个维度没有非常严格的映射关系(正确的时间用正确的方法做正确的事情)4.项目管理在有限资源对项目相涉及的全部工作进行管理(技术资源人员)等等5.质量管理:过程质量保证结果质量结果来源于过程过程来体现能力6.CMM过程控制的基本理论可用于各行各业7.安全工程把握重点:风险需求设计实施维护的一致性,协调性8.SSE-CMM的作用获取组织(甲方)工程组织(乙方)认证评估组织(第三方)都可以SSE-CMM开展工作9.SSE-CMM 特点覆盖全周期相互联系的活动(不是独立的)10.SSE-CMM 配套方法SSAM SSE-CMM的评估方法是SSAM11.SSE-CMM体系构成域维能力维12.域维的构成13.能力维通用实践公共特征能力级别14.系统安全工程设计的工程类PA 11个风险过程工程过程保证过程15.管理安全控制过程建立安全职责管理安全配置管理安全意识培训教育管理安全服务和控制机制16.保证过程顺序17.能力级别6级有0级5级没有0级安全工程组织的成熟级别143221-5级的特征的数量18.安全工程监理模型的组成19.项目立项前投资没监理维护没有监理20.监理的角色明确促使推动十、风险管理1.资产的分类和定义:物理逻辑硬件软件等等2.威胁外因3.脆弱性造成风险的内因4.已有安全措施5.已有安全措施处理后的残余风险6.风险管理的对象信息信息载体和环境7.风险管理的内容4个阶段2个贯穿7.1背景建立的内容7.2风险评估内容:7.3风险处理减低转移规避接受风险7.4批准监督批准是对工作的认可就监督是在管理工作看有没有新的风险7.5监控审查的意义:保证过程的一致性7.6沟通咨询8.系统生命周期的风险管理某阶段的风险看该阶段的4个步骤2个贯穿9.风险评估的工作形式:自评估和检查评估都可以委托第三方进行10.定性风险分析矩阵可能性来源内因和外因11.ALE12.定性与定量对比定性分析容易定量难13.威胁分类:人为(故意非故意)自然(环境)14.技术脆弱性(技术管理都属于)15.安全措施预防检测纠正威慑16.风险分析18.风险评估工具:基于标准知识模型(不含环境和经验)十一、安全控制措施1.方针制定和批准方是不同的人方针必须要定期评审方针是微观的2.信息安全组织内部组织措施(很多外部以外就是内部)外部各方措施风险识别与外部各方协议3.资产管理对资产负责资产清单责任人可接受使用信息分类控制措施信息分类指南信息的标记和处理4.人力资源安全任用的前中后三点5.物理和环境安全物理包括人身安全是最重要的人物质自然的6.安全区域物理安全边界入口控制等等7.设备安全TEMPEST (电磁信息泄露总称)HVAC (供暖痛风空调) 消防(气体灭火)通信和操作安全操作有操作程序及流程访问控制分层访问控制系统应用8.符合性符合法律政策方针十二、鉴别访问控制1.标识的定义:唯一性是身份鉴别访问控制审计的基础(不保证合法性)2.鉴别验证身份的合法性3.鉴别系统的三个组成验证者被验证者可信的第三方4.鉴别的类型:单向双向及第三方本地远程5.鉴别的方法基于你所知道(知识、口令、密码)你所有的(身份证、令牌)你的个人实体特征(指纹、虹膜)两种双因素三种多因素6.生物鉴别:虹膜最安全但是也有安全漏洞7.生物鉴别错误拒绝率错误接受率交叉判错率=拒绝=接受8.访问控制的概念合法的主体访问合法的客体9.主客体角色互换访问主被访问客10. 访问控制系统主体客体访问控制角色访问控制实施11.自主访问控制的含义:访问控制权限可以自主分配为主体分配CL(访问能力表) 为客体分配ACL(访问控制列表)12.访问控制列表13.访问能力列表与控制列表对比14.自主优缺点15.强制访问控制策略不可修改和更改16.BLP 模型核心:17.BIBA 模型相反18.19.CLARK-WILSON 实现数据转换过程的完整性20.21.CHINESE WALL 模型在一个冲突域的客体只能访问一个22.强制访问优缺点灵活性低安全性高23.角色访问十三、应急响应与灾难恢复1.基本概念信息安全事件对信息系统造成危害或在信息系统内发生对社会造成负面影响的事件应急响应来应对2.安全应急响应组织CERT 美国CNCERT 中国3.国家政策中办发2003 27号文4.安全事件分类:程序网络攻击信息破坏信息内容设备设施灾害性其他5.安全事件分级方法系统重要程度系统安全损失社会影响1级特别重大2 重大 3 较大 4 一般6.应急响应阶段:准备检测遏制根除恢复跟踪总结7.计算机取证合法、充分授权、优先保护、全程监督原则8.国内灾难恢复的国家政策和标准统筹规划资源共享平战结合9.业务连续性规划BCP 保障关键业务能联系运作业务连续性管理BCM 用来保证BCP10.RPO 恢复点目标RTO 恢复时间目标11.灾难恢复规划管理过程12.灾难恢复资源要素与恢复能力等级划分1-2级数据备份每周3级及以上每天13.备份类型全备份增量备份差分备份(处于前两者之间)。