CISP最新参考资料

注册信息安全专业人员（CISP）知识体系大纲版本：2.0正式版中国信息安全测评中心目录前言 (3)第1 章注册信息安全专业人员（CISP）知识体系概述 (4)1.1 CISP资质认定类别 (4)1.2 大纲范围 (4)1.3 CISP知识体系框架结构 (5)1.4 CISP（CISE/CISO）考试试题结构 (7)第2 章知识类：信息安全保障概述 (9)2.1 知识体：信息安全保障基本知识 (9)2.1.1 知识域：信息安全保障背景 (9)2.1.2 知识域：信息安全保障原理 (10)2.1.3 知识域：典型信息系统安全模型与框架 (10)2.2 知识体：信息安全保障基本实践 (11)2.2.1 知识域：信息安全保障工作概况 (11)2.2.2 知识域：信息系统安全保障工作基本内容 (11)第3 章知识类：信息安全技术 (13)3.1 知识体：密码技术 (13)3.1.1 知识域：密码学基础 (14)3.1.2 知识域：密码学应用 (14)3.2 知识体：访问控制与审计监控 (15)3.2.1 知识域：访问控制模型 (16)3.2.2 知识域：访问控制技术 (16)3.2.3 知识域：审计和监控技术 (17)3.3 知识体：网络安全 (17)3.3.1 知识域：网络协议安全 (17)3.3.2 知识域：网络安全设备 (18)3.3.3 知识域：网络架构安全 (18)3.4 知识体：系统安全 (19)3.4.1 知识域：操作系统安全 (19)3.4.2 知识域：数据库安全 (20)3.5 知识体：应用安全 (21)3.5.1 知识域：网络服务安全 (21)3.5.2 知识域：个人用户安全 (22)3.5.3 知识域：恶意代码 (22)3.6 知识体：安全攻防 (23)3.6.1 知识域：信息安全漏洞 (23)3.6.2 知识域：安全攻防基础 (24)3.6.3 知识域：安全攻防实践 (24)3.7 知识体：软件安全开发 (25)3.7.1 知识域：软件安全开发概况 (25)3.7.2 知识域：软件安全开发的关键阶段 (25)第4 章知识类：信息安全管理 (27)4.1 知识体：信息安全管理体系 (27)4.1.1 知识域：信息安全管理基本概念 (27)4.1.2 知识域：信息安全管理体系建设 (28)4.2 知识体：信息安全风险管理 (29)4.2.1 知识域：风险管理工作内容 (29)4.2.2 知识域：信息安全风险评估实践 (30)4.3 知识体：安全管理措施 (31)4.3.1 知识域：基本安全管理措施 (31)4.3.2 知识域：重要安全管理过程 (33)第5 章知识类：信息安全工程 (35)5.1 知识体：信息安全工程原理 (35)5.1.1 知识域：安全工程理论背景 (35)5.1.2 知识域：安全工程能力成熟度模型 (36)5.2 知识体：信息安全工程实践 (37)5.2.1 知识域：安全工程实施实践 (37)5.2.2 知识域：信息安全工程监理 (38)第6 章知识类：信息安全标准法规 (39)6.1 知识体：信息安全法规与政策 (39)6.1.1 知识域：信息安全相关法律 (39)6.1.2 知识域：信息安全国家政策 (40)6.2 知识体：信息安全标准 (41)6.2.1 知识域：安全标准化概述 (41)6.2.2 知识域：信息安全评估标准 (41)6.2.3 知识域：信息安全管理标准 (42)6.2.4 知识域：等级保护标准 (42)6.3 知识体：道德规范 (43)6.3.1 知识域：信息安全从业人员道德规范 (43)6.3.2 知识域：通行道德规范 (44)前言信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。

CISP相关资料
CISP相关资料
CISP：注册信息安全专业人员
1、发证机构
中国信息安全测评中心
2、知识体系
CISP是让学员有信息安全的总体知识概括，未来想在深入发展，肯定还需要深入学习。

未来适合从事咨询，管理，架构设计的工作。

3、考试形式
CISP属于理论考试，都是客观题，考核知识面，包括安全管理，安全技术，安全审计等。

4、考试详情
100道选择题，每题一分，六十分及格。

5、报考条件
（1）教育与工作经历
硕士研究生以上，具有1年工作经历；或本科毕业，具有2年工作经历；或大专毕业，具有4年工作经历。

（2）专业工作经历
至少具备1年从事信息安全有关的工作经历。

6、CISP知识体系
CISP知识体系结构共包含五个知识类，分别为：
信息安全保障概述：介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。

信息安全技术：主要包括密码技术、访问控制、审计监控等安全技术机制，网络、操作系统、数据库和应用软件等方面的基本安全原理和实践，以及信息安全攻防和软件安全开发相关的技术知识和实践。

信息安全管理：主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。

信息安全工程：主要包括信息安全相关的工程的基本理论和实践
方法。

信息安全标准法规：主要包括信息安全相关的标准、法律法规、政策和道德规范，是注册信息安全专业人员需要掌握的通用基础知识。

cisp试题及答案一、概述CISP（Certified Information Security Professional）是国际上广泛认可的信息安全专业资格认证体系。

通过取得CISP认证，可以证明个人在信息安全领域具备丰富的专业知识和技能，有能力保护企业和组织的信息资产安全。

二、CISP试题内容概述CISP考试内容涵盖了信息安全的各个方面，包括但不限于以下几个领域：1. 信息安全管理和组织- 安全管理原则和方法论- 安全政策、标准和程序- 组织安全文化和意识培养- 风险管理和评估2. 资产安全管理- 资产分类和管理- 物理安全和环境控制- 信息存储和备份- 资产调查和回收3. 安全工程- 安全需求分析和规划 - 安全设计和实施- 安全评估和测试- 安全操作和维护4. 通信和网络安全- 网络拓扑和架构设计 - 网络设备和防护措施 - 网络协议和加密技术 - 网络安全监测和响应5. 身份和访问管理- 身份认证和授权机制 - 访问控制和权限管理 - 用户账号和密码策略 - 身份和访问审计6. 安全风险管理- 安全事件和威胁管理- 安全漏洞和漏洞管理- 恶意代码和攻击方法- 安全事件响应和处置三、CISP答案示例及解析以下是CISP试题中的一道例题及其对应的答案解析：题目：在信息安全管理中，为了确保安全策略的实施和执行，应该采取以下哪些措施？A. 定期进行安全风险评估B. 员工定期接受安全培训C. 建立安全审计和监控机制D. 所有答案都正确答案解析：D. 所有答案都正确在信息安全管理中，为了确保安全策略的实施和执行，应该综合采取多种措施。

定期进行安全风险评估可以识别和评估潜在的威胁和风险，从而采取相应的安全防护措施。

员工定期接受安全培训可以提高员工的安全意识和技能，减少由于人为因素导致的安全漏洞。

建立安全审计和监控机制可以监控信息系统的安全状况，及时发现和响应安全事件。

因此，以上选项都是确保安全策略实施和执行的重要措施。

cisp试题及答案(515多题整理版) cisp试题及答案（515多题整理版）1. 以下哪项不是CISP的组成部分？A. 信息安全政策B. 信息安全组织C. 信息安全培训D. 信息安全审计答案：D2. CISP的全称是什么？A. Certified Information Systems ProfessionalB. Certified Information Security ProfessionalC. Certified Information Systems Security ProfessionalD. Certified Information System Professional答案：B3. CISP认证的有效期是多久？A. 1年B. 2年C. 3年D. 5年答案：C4. CISP认证的考试形式是什么？A. 笔试B. 机试C. 口试D. 实操答案：B5. CISP认证的考试语言有哪些？A. 英语B. 中文C. 法语D. 所有选项答案：D6. CISP认证考试的题型是什么？A. 单选题B. 多选题C. 判断题D. 简答题答案：A7. CISP认证考试的总题数是多少？A. 100题B. 200题C. 300题D. 400题答案：C8. CISP认证考试的通过分数是多少？A. 60%B. 70%C. 80%D. 90%答案：C9. CISP认证考试的考试时间是多长？A. 1小时B. 2小时C. 3小时D. 4小时答案：C10. CISP认证考试的报名费用是多少？A. 500美元B. 700美元C. 1000美元D. 1500美元答案：B11. CISP认证考试的考试内容主要涉及哪些方面？A. 信息安全管理B. 信息安全技术C. 信息安全法律D. 所有选项答案：D12. CISP认证考试的考试内容不包括以下哪项？A. 风险评估B. 业务持续性管理C. 信息安全策略D. 数据库管理答案：D13. CISP认证考试的考试内容中，关于信息安全策略的知识点包括哪些？A. 信息安全策略的制定B. 信息安全策略的实施C. 信息安全策略的评估D. 所有选项答案：D14. CISP认证考试的考试内容中，关于风险评估的知识点包括哪些？A. 风险识别B. 风险分析C. 风险处理D. 所有选项答案：D15. CISP认证考试的考试内容中，关于业务持续性管理的知识点包括哪些？A. 业务影响分析B. 灾难恢复计划C. 应急响应计划D. 所有选项答案：D16. CISP认证考试的考试内容中，关于信息安全技术的知识点包括哪些？A. 加密技术B. 防火墙技术C. 入侵检测系统D. 所有选项答案：D17. CISP认证考试的考试内容中，关于信息安全法律的知识点包括哪些？A. 数据保护法B. 计算机犯罪法C. 知识产权法D. 所有选项答案：D18. CISP认证考试的考试内容中，关于信息安全管理的知识点包括哪些？A. 安全管理的框架B. 安全管理的过程C. 安全管理的控制D. 所有选项答案：D19. CISP认证考试的考试内容中，关于信息安全培训的知识点包括哪些？A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 所有选项答案：D20. CISP认证考试的考试内容中，关于信息安全审计的知识点包括哪些？A. 审计计划B. 审计程序C. 审计报告D. 所有选项答案：D21. CISP认证考试的考试内容中，关于信息安全组织管理的知识点包括哪些？A. 组织结构B. 组织政策C. 组织文化D. 所有选项答案：D22. CISP认证考试的考试内容中，关于信息安全培训的知识点不包括以下哪项？A. 培训需求分析B. 培训计划制定C. 培训效果评估D. 培训课程设计答案：D23. CISP认证考试的考试内容中，关于信息安全审计的知识点不。

1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人【答案】D4. 企业按照ＩＳＯ２７００１标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是A. 不需要全体员工的参入，只要ＩＴ部门的人员参入即可B.来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行【答案】A5. 信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B.ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D.ISMS应该是一步到位的，应该解决所有的信息安全问题【答案】D6. PDCA特征的描述不正确的是A. 顺序进行，周而复始，发现问题，分析问题，然后是解决问题B.大环套小环，安全目标的达成都是分解成多个小目标，一层层地解决问题C.阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足D.信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B.风险评估的结果C.组织原则目标和业务需要D.企业领导的个人意志【答案】D8. ISO27001认证项目一般有哪几个阶段？A. 管理评估，技术评估，操作流程评估B.确定范围和安全方针，风险评估，风险控制（文件编写），体系运行，认证C.产品方案需求分析，解决方案提供，实施解决方案D.基础培训，RA培训，文件编写培训，内部审核培训【答案】B9. 构成风险的关键因素有哪些？A. 人，财，物B.技术，管理和操作C.资产，威胁和弱点D.资产，可能性和严重性【答案】C10. 以下哪些不是应该识别的信息资产？A.网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】C11. 以下哪些是可能存在的威胁因素？BA.设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】B12. 以下哪些不是可能存在的弱点问题？A.保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】C13. 风险评估的过程中，首先要识别信息资产，资产识别时，以下哪个不是需要遵循的原则？A.只识别与业务及信息系统有关的信息资产，分类识别B.所有公司资产都要识别C. 可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】B14. 风险分析的目的是？A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡；B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡；C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡；D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡；【答案】C15. 对于信息安全风险的描述不正确的是？A. 企业信息安全风险管理就是要做到零风险B.在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理（Risk Management）就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程。

cisp试题及答案在本文中，我们将提供CISP试题及答案，帮助读者更好地了解和准备CISP考试。

CISP（Certified Information Security Professional）是一个国际认可的信息安全专业资格认证，通过该认证可以证明个人在信息安全领域具备专业的知识与技能。

一、信息安全管理1. 信息安全管理是指对信息资产进行全面管理和保护的过程。

请简要介绍信息安全管理的目标和重要性。

信息安全管理的目标是保护信息资产的机密性、完整性和可用性，防止信息遭受未经授权的访问、损坏和泄露，并确保信息系统的可靠性和稳定性。

信息安全管理对于组织来说至关重要，可以降低信息安全风险，保护客户数据和企业敏感信息，维护业务连续性并遵守法律法规。

2. 请列举并简要介绍ISO/IEC 27001标准中的信息安全管理体系（ISMS）要素。

ISO/IEC 27001标准中的信息安全管理体系包括以下要素：- 上下文分析：了解和评估组织内外部环境，明确信息安全管理体系的范围和目标。

- 领导力承诺：组织领导层需对信息安全提供明确的承诺和支持，并制定相关政策和目标。

- 风险评估：全面识别、评估和管理信息资产的风险，制定相应的风险处理计划。

- 资产管理：对信息资产进行明确定义、分类和管理，包括信息的获取、使用、存储和销毁。

- 安全控制：通过采取适当的技术和管理措施，确保信息资产的安全性、完整性和可用性。

- 人员安全：建立适当的人员安全政策，包括招聘、培训和意识教育，以及离职员工信息的处理。

- 通信与运营管理：确保信息传输和处理的安全性，包括网络安全、供应商管理和监控措施。

- 环境安全：评估和管理物理环境的安全性，包括设备的安全维护和灾难恢复。

- 合规性管理：遵守法律法规和适用的信息安全要求，包括隐私保护和知识产权保护。

二、网络安全1. 阐述网络安全的概念，并列举常见的网络安全威胁。

网络安全主要涉及保护计算机网络和网络连接的安全性，防止网络系统遭受未经授权的访问、攻击和滥用。

《信息安全保障》考前知识点串讲一、信息安全保障基础1.信息安全定义：ISO定义等，掌握不同定义的使用场景。

2.信息问题及分类：狭义和广义问题，根源包括内因和外因。

3.信息安全特征：系统、动态、无边界、非传统。

4.信息安全属性：保密性、完整性和可用性。

5.信息安全视角：国家、企业、个人。

6.信息安全发展：通信安全、计算机安全、网络安全（信息系统安全）、信息安全保障、网络空间安全。

掌握每一个阶段的内容和特点。

7.网络空间安全：学科、应用和物理范围上扩展了；防御、威慑和情报三位一体的安全；威胁情报和态势感知。

二、信息安全框架模型1.PPDR模型1）PPDR：策略、保护、检测和响应。

2）思想：填充安全间隙，安全在时间上连续性。

3）公式：Pt>Dt+Rt, Et<=0。

2.IATF模型1）思想：深度防御。

2）三要素：人、技术、操作。

3）四个方面：计算环境、网络基础设施、网络边界、支撑性基础设施。

3.保障评估框架1）内容：安全保障对象的全生命周期中通过人、技术、管理和工程实现保密、完整和可用，最终服务于业务使命。

2）使用：ISPP->ISST->建设->评估（TCML1-5,MCML1-5,ECML1-5）。

3）ISPP：标准化信息系统安全需求；ISST：标准化信息系统安全设计方案；4.商业应用架构（SBASA）1）出发：业务安全和业务风险为出发点，为组织架构建设和安全提供方法和流程。

2）内容：背景（业务）、概念（架构）、逻辑（设计）、物理（工程）、组件（实施）、运营（运维）。

3）阶段：规划、设计、实施、管理和测量（PDCA,计划、实施、检查、改进）。

三、信息安全工作流程1.需求：来源要全面（合规、业务、风险评估），建议使用ISPP的方法。

2.设计：建议使用ISST的方法。

3.工程：建议使用ISO/IEC 21827 SSE-CMM（分为1-5级）方法。

4.测评：产品CC标准（ISO/IEC 15408,GB/T 18336）EAL1-7；信息系统等级保护测评1-5；工程服务商1-5（SSE-CMM）；人员测评（CISM/CISP等）。

《业务连续性管理》考前知识点串讲一、安全事件和应急响应1.应急响应概念：事件前的充分准备和事件后的应急处置。

2.安全事件分类：有害程序事件、网络攻击事件、信息破坏事件、信息内容事件、设备设施故障事件、自然灾害事件，其他事件。

3.事件分级的要素：系统重要程度、系统损失、社会影响。

4.事件分级：一般事件（4）、较大事件（3）、重大事件（2）、特大事件（1）。

5.事件处理的过程：准备、检测、遏制、根除、恢复、跟踪总结。

6.事件应急预案：制定、评估和批准、演练和演习、预案的修订和升级。

7.计算机取证1）原则：合法、充分授权、优先保护、全程监督。

2）过程：准备、证据保护、证据提取、证据分析、证据报告和提交。

二、业务连续管理基础1.概念：BCM（业务连续性管理）2.业务影响分析：BIA（业务影响分析）3.业务连续性管理过程：需求分析、业务连续性方案、建设、灾备预案。

4.需求分析：业务优先级—风险分析—业务影响分析—业务连续性优先级。

三、灾备恢复1.灾备恢复的概念：灾难性事件的应对所做的备份工作及恢复工作。

2.灾备恢复的过程：1）需求分析：风险评估、BIA（业务影响分析）、需求指标（RTO/RPO）。

2）灾备恢复策略：7个要素来制定，数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、备份的技术支持能力、备用的管理维护能力、灾备恢复的预案。

3）灾备恢复策略实现：7个要素来实现。

4）灾备恢复预案制定和维护：参考安全事件的预案。

3.RTO和RPO的对比1）RTO:恢复的时间多少、恢复的效率、中断的时间。

2）RPO:损失的数据、数据的完整性有关。

4.灾备恢复的能力1）国际标准：0到6级2）国家标准：1-6级。

1级：基本支持级2级：备用场地级3级：电子传输和部分设备支持4级：电子传输和完整设备支持5级：实时传输和完整设备支持6级：数据的零丢失和远程集群5.国标6级参考7要素：数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、备份的技术支持能力、备用的管理维护能力、灾备恢复的预案。

最新CISP试题及答案-四套题1 信息安全发展各阶段中，下面哪一项是信息安全所面临的主要威胁A病毒B非法访问C信息泄漏D---口令2.关于信息保障技术框架IATF，下列说法错误的是A IATF强调深度防御，关注本地计算环境，区域边境，网络和基础设施，支撑性基础设施等多个领域的安全保障B IATF强调深度防御，针对信息系统采取多重防护，实现组织的业务安全运作。

C IATF强调从技术，管理和人等多个角度来保障信息系统的安全D IATF 强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全3.美国国家安全局的《信息保障技术框架》IATF，在描述信息系统的安全需求时将信息系统分为A 内网和外网两个部分B 本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分C 用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分D 用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别4.下面那一项表示了信息不被非法篡改的属性A 可生存性B 完整性C 准确性D 参考完整性5. 以下关于信息系统安全保障是主关和客观的结论说法准确的是A 信息系统安全保障不仅涉及安全技术，还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全B 通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C 是一种通过客观保证向信息系统评估者提供主观信心的活动D6、一下那些不属于现代密码学研究A Enigma密码机的分析频率B --C diffie-herrman密码交换D 查分分析和线性分析7.常见密码系统包含的元素是：A. 明文、密文、信道、加密算法、解密算法B. 明文，摘要，信道，加密算法，解密算法C. 明文、密文、密钥、加密算法、解密算法D. 消息、密文、信道、加密算法、解密算法8.公钥密码的应用不包括：A. 数字签名B. 非安全信道的密钥交换C. 消息认证码D. 身份认证9.以下哪种公钥密码算法既可以用于数据加密又可以用于密钥交换？A. DSSB. Diffie-HellmanC. RSAD. AES10.目前对MD5，SHAI算法的攻击是指：A. 能够构造出两个不同的消息，这两个消息产生了相同的消息摘要B. 对于一个已知的消息，能够构造出一个不同的消息，这两个消息产生了相同的消息摘要C. 对于一个已知的消息摘要，能够恢复其原始消息D. 对于一个已知的消息，能够构造一个不同的消息摘要，也能通过验证。

《信息安全支撑技术》考前知识点串讲第一节密码学基础1.密码学发展阶段：古典、近代、现代和公钥密码学及特点。

2.密码系统组成：明文、加密、密钥、解密、密文。

3.柯克霍夫原则：密钥保密，算法公开。

4.对称密码算法（1）加密密钥和解密密钥相同，或实质上等同。

（2）典型算法：DES、3DES、AES、IDEA、RC5、Twofish、CAST-256。

（3）优点：高效；不足：交换密钥问题及密钥管理复杂。

5.非对称密码算法：（1）典型算法：RSA、ECC、ElGamal（2）原理：基于数学难题实现，大整数分解、离散对数、背包问题。

（3）优点：解决密钥传递问题、密钥管理简单、提供数字签名等其他服务。

缺点：计算复杂、耗用资源大。

6.哈希函数：（1）作用：完整性校验；（2）主要算法：MD5、SHA-1、SHA-2、SHA-256\384\512。

（3）特点：具有单向性、抗碰撞性（强弱之分）。

7.消息鉴别码：（1）消息认证、完整性校验、抗重放攻击（时间顺序验证）；（2）消息认证方式：Message encryption、Hash function、MAC。

8.数字签名：（1）原理：见图。

（2）作用：身份鉴别、不可抵赖、消息完整性。

第二节密码学应用1.数字证书：（1）一段电子数据，是经证书权威机构CA签名的、包含拥有者身份信息和密钥的电子文件。

（2）数字证书格式：国际标准X.509定义一个规范的数字证书格式（3）数字证书生命周期：证书申请、证书生成、证书存储、证书发布、证书废止。

2.PKI体系构成（1）KMC或KMS（密码系统）（2）CA（认证权威）（3）RA（注册权威）（4）LDAP(证书管理目录服务）（5）CRL&OCSP（黑名单库或在线认证）（6）终端实体（持有USB-Key和程序）3.区块链（了解，考试不考）（1）区块链是分布式数据存储、点对点传输、密码技术等计算机技术的新型应用模式，解决了去中心化的共识机制的建立和应用。

CISP-信息安全保障第一节信息安全保障基础1.信息安全保障基础1.1信息安全的定义：狭义和广义之分。

1.2信息安全的特点：系统、动态、无边界、非传统。

1.3信息安全的属性：保密性、完整性、可用性；真实性、不可否认、可追责、可靠性。

1.4信息安全问题根源：内因和外因，外因包括自然和人为威胁；人为威胁包括故意威胁和非故意威胁。

1.5信息安全的视角：国家、商业（企业）和个人视角的内容。

2.信息安全发展阶段2.1 通信安全：采用加密的措施解决信息窃听、密码分析问题。

2.2 计算机系统安全：采用计算机防护的系列手段，提高系统安全性。

2.3 网络安全：通过防火墙等成熟的措施解决网络信息系统安全问题。

2.4 网络空间安全：防御措施、威慑措施以及情报利用。

3. 了解《国家网络空间安全发展战略》。

第二节信息安全保障模型1.P2DR1.1P2DR：策略-防护-检测-响应1.2P2DR思想：基于时间的防护与安全的有效性1.3P2DR公式：Pt>Dt+Rt 那么系统是安全的。

Pt<Dt+Rt，那么（Dt+Rt）- Pt =Et，要求Et<=01.4P2DR作用：实现系统在时间上的防护是有效的。

2.IATF2.1 IATF核心：人、技术、操作。

2.2 IATF保护方面：本地计算环境、网络基础设施、区域边界，支撑性基础设施。

2.3 IATF思想：深度防护的思想。

2.4 IATF作用：实现被保护的网络系统在空间上每个节点安全有效性。

3.系统安全保护评估框架3.1 原理：1）实现全生命周期的安全。

2）通过人员要素、技术要素、管理要素和工程要素来综合实现安全。

3）实现目的是保密性、完整性、可用性，以及最终的业务使命。

3.2 评估框架1）ISPP：标准化信息系统的安全需求。

2）ISST：标准化信息系统的安全方案。

3）评估：技术TCML1-5级；管理MCML1-5级；工程ECML1-5级。

4.商业应用安全架构4.1 常用的参考：舍伍德的商业应用安全架构（Sherwood Applied Business Security Architecture，SABSA）、Zachman框架、开放群组架构框架（The Open Group Architecture Framework，TOGAF）。

CISP最新参考资料1.中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求，在证书有效期内，应完成至少6次完整的信息安全服务经历，以下哪项不是信息安全服务： BA、为政府单位信息系统进行安全方案设计B、在信息安全公司从事保安工作C、在公开场合宣讲安全知识D、在学校讲解信息安全课程2.确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程，不为其所用，是指（）： CA、完整性B、可用性C、保密性D、抗抵赖性3.下列信息系统安全说法正确的是： DA、加固所有的服务器和网络设备就可以保证网络的安全B、只要资金允许就可以实现绝对的安全C、断开所有的服务可以保证信息系统的安全D、信息系统安全状态会随着业务的变化而变化，因此网络安全状态需要根据不同的业务而调整相应的网络安全策略4.OSI开放系统互联安全体系构架中的安全服务分为鉴别服务、访问控制、机密性服务、完整服务、抗抵赖服务，其中机密性服务描述正确的是： BA、包括原发方抗抵赖和接受方抗抵赖B、包括连接机密性、无连接机密性、选择字段机密性和业务流保密C、包括对等实体鉴别和数据源鉴别D、包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性5.电子商务交易必须具备抗抵赖性，目的在于防止___。

BA、一个实体假装另一个实体B、参与此交易的一方否认曾经发生过此次交易C、他人对数据进行非授权的修改、破坏D、信息从被监视的通信过程中泄露出去6.下列哪一项准确地描述了可信计算基（TCB）? CA、TCB只作用于固件（Firmware）B、TCB描述了一个系统提供的安全级别C、TCB描述了一个系统内部的保护机制D、TCB通过安全标签来表示数据的敏感性7.下面关于访问控制模型的说法不正确的是： CA、DAC模型中主体对它所属的对象和运行的程序有全部的控制权B、DAC实现提供了一个基于“need-to-know”的访问授权的方法，默认拒绝任何人的访问。