CISP-18-信息安全工程-文档资料

注册信息安全专业人员（CISP）知识体系大纲发布日期：2009年5月1日版本：1.2中国信息安全测评中心©版权2009—中国信息安全测评中心注册信息安全专业人员（CISP）知识体系大纲咨询及索取关于中国信息安全测评中心信息安全人员培训相关的文件，请与中国信息安全测评中心信息系统测评服务部接洽。

在中国信息安全测评中心网址：上可获取本文件。

版权©版权2008—中国信息安全测评中心联系信息关于中国信息安全测评中心（CNITSEC）信息安全人员培训相关的更多信息，请与中国信息安全测评中心（CNITSEC）联系：联系方式：中国信息安全测评中心信息安全测评服务部【联系地址】北京市海淀区上地西路8号院1号楼【邮政编码】100085【电话】【传真】(010)【电子邮件】目录目录.................................................................................................................. I I 图表. (IV)注册信息安全专业人员（CISP）知识体系介绍 (1)第1 章注册信息安全专业人员（CISP）知识体系概述 (2)1.1 CISP资质证书介绍 (2)1.2 CISP知识体系介绍 (2)1.2.1 概述 (2)1.2.2 CISP知识体系框架结构介绍 (4)1.2.3 CISP（CISE/CISO/CISA）考试的知识体系结构介绍 (6)第2 章知识类：信息安全体系和模型 (8)2.1 概述 (8)2.2 原理说明 (9)2.2.1 概述 (9)2.2.2 知识体：安全体系 (9)2.2.3 知识体：信息安全模型 (11)2.3 知识体系大纲 (12)2.3.1 BD（知识体）：信息安全体系 (12)2.3.2 BD（知识体）：信息安全模型 (12)第3 章知识类：信息安全技术 (14)3.1 概述 (14)3.2 原理说明 (14)3.2.1 概述 (14)3.2.2 知识体：信息安全技术机制 (15)3.2.3 知识体：信息和通信技术（ICT）安全 (16)3.2.4 知识体：信息安全实践 (17)3.3 知识体系大纲 (18)3.3.1 BD（知识体）：信息安全技术机制 (18)3.3.2 BD（知识体）：信息和通信技术（ICT）安全 (19)3.3.3 BD（知识体）：信息安全实践 (21)第4 章知识类：信息安全管理 (23)4.1 概述 (23)4.2 原理说明 (23)4.2.1 概述 (23)4.2.2 知识体：安全管理体系 (24)4.2.3 知识体：关键安全管理过程 (24)4.3 知识体系大纲 (25)4.3.1 BD（知识体）：安全管理基础 (25)4.3.2 BD（知识体）：关键安全管理过程 (26)第5 章知识类：信息安全工程 (28)5.1 概述 (28)5.2 原理说明 (28)5.2.1 概述 (28)5.2.2 知识体：安全工程基础 (29)5.2.3 知识体：安全工程过程和实践 (29)5.2.4 知识体：项目管理过程和实践 (30)5.3 知识体系大纲 (30)5.3.1 BD（知识体）：安全工程基础 (30)5.3.2 BD（知识体）：安全工程过程和实践 (30)5.3.3 BD（知识体）：项目管理过程和实践 (30)第6 章知识类：信息安全标准和法律法规 (31)6.1 概述 (31)6.2 原理说明 (31)6.3 知识体系大纲 (32)6.3.1 BD（知识体）：概述 (32)6.3.2 BD（知识体）：信息系统相关标准 (32)6.3.3 BD（知识体）：道德规范 (32)6.3.4 BD（知识体）：信息安全标准 (32)6.3.5 BD（知识体）：信息安全法律法规 (33)图表图表1-1：CISP知识体系的组件模块结构 (4)图表1-2：CISP知识体系结构框架 (6)图表2-1：信息安全体系和模型知识类（PT）的知识体系结构概述 (8)图表2-2：信息安全体系和模型知识类（PT）的知识体系结构详细描述 (9)图表2-3：知识体-安全体系原理：信息安全保障模型 (10)图表2-4：知识体：安全模型原理说明 (11)图表3-1：信息安全技术知识类（PT）的知识体系结构概述 (14)图表3-2：知识体：信息安全技术机制原理说明 (16)图表3-3：知识体：信息和通信技术（ICT）安全原理说明 (17)图表3-4：知识体：信息安全实践原理说明 (18)图表4-1：信息安全管理知识类（PT）的知识体系结构概述 (23)图表4-2：知识体：安全管理体系说明 (24)图表4-3：知识体：关键安全管理过程原理说明 (25)图表5-1：信息安全工程知识类（PT）的知识体系结构概述 (28)图表5-2：信息系统安全工程标准背景 (29)图表6-1：信息安全标准和法律法规知识类（PT）的知识体系结构概述 (31)注册信息安全专业人员（CISP）知识体系介绍注册信息安全专业人员知识体系介绍中将介绍注册信息安全专业人员（CISP）考试大纲的结构和内容。

cisp试题及答案一、概述CISP（Certified Information Security Professional）是国际上广泛认可的信息安全专业资格认证体系。

通过取得CISP认证，可以证明个人在信息安全领域具备丰富的专业知识和技能，有能力保护企业和组织的信息资产安全。

二、CISP试题内容概述CISP考试内容涵盖了信息安全的各个方面，包括但不限于以下几个领域：1. 信息安全管理和组织- 安全管理原则和方法论- 安全政策、标准和程序- 组织安全文化和意识培养- 风险管理和评估2. 资产安全管理- 资产分类和管理- 物理安全和环境控制- 信息存储和备份- 资产调查和回收3. 安全工程- 安全需求分析和规划 - 安全设计和实施- 安全评估和测试- 安全操作和维护4. 通信和网络安全- 网络拓扑和架构设计 - 网络设备和防护措施 - 网络协议和加密技术 - 网络安全监测和响应5. 身份和访问管理- 身份认证和授权机制 - 访问控制和权限管理 - 用户账号和密码策略 - 身份和访问审计6. 安全风险管理- 安全事件和威胁管理- 安全漏洞和漏洞管理- 恶意代码和攻击方法- 安全事件响应和处置三、CISP答案示例及解析以下是CISP试题中的一道例题及其对应的答案解析：题目：在信息安全管理中，为了确保安全策略的实施和执行，应该采取以下哪些措施？A. 定期进行安全风险评估B. 员工定期接受安全培训C. 建立安全审计和监控机制D. 所有答案都正确答案解析：D. 所有答案都正确在信息安全管理中，为了确保安全策略的实施和执行，应该综合采取多种措施。

定期进行安全风险评估可以识别和评估潜在的威胁和风险，从而采取相应的安全防护措施。

员工定期接受安全培训可以提高员工的安全意识和技能，减少由于人为因素导致的安全漏洞。

建立安全审计和监控机制可以监控信息系统的安全状况，及时发现和响应安全事件。

因此，以上选项都是确保安全策略实施和执行的重要措施。

注册信息安全专业人员（CISP认证培训）认证介绍国家注册信息安全专业人员(简称：CISP）是有关信息安全企业，信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全测评中心实施注册。

2015年6月，全国获得CISP认证资格人员已超过15000名。

认证目的信息安全人员培训与姊姊认定的目的是构建全面的信息安全人才体系。

构建全面的信息安全人才体系是国家政策的要求，是组织机构信息安全保障建设自身的要求和组织机构人员自身职业发展的要求。

是国家政策的要求：中办发【2003】27号文件《国家信息化领导小组关于加强信息安全保障工作的I 安逸》中提出了“加快悉尼型安全人才培养，增强全民信息安全意识”的知道精神，重点强调了信息安全人才培养的重要性。

是组织机构信息安全保障建设自身的要求：企事业单位、政府机关等组织机构在信息安全保障建设、信息哈U建设中，需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设，从而保障其业务和使命。

是组织机构人员自身职业为发展的要求：作为人员本身，在其工作和职业发展中，需要充实其信息安全保障相关的只是和经验，以更好的开展其工作并为自己的只因为发展提供帮助。

认证价值对组织的价值：高素质的信息安全专业人才队伍，是信息安全的保障；信息安全人员持证上岗，满足政策部门的合规性要求；为组织实施信息安全岗位绩效考核提供了标准和依据；是信息安全企业申请安全服务资质必备的条件对个人的价值：适应市场中越来越热的对信息安全人才的需求；通过专业培训和考试提高个人信息安全从业水平；证明具备从事信息安全技术和管理工作的能力；权威认证提升职场竞争中的自身优势；可以获取信息安全专业人士的认可，方便交流。

认证分类根据工作领域和时间广州的需求，可以分为两类：注册信息安全工程师（CISE ）主要从事信息安全技术开发服务工程建设等工作。

CISP最新参考资料1.中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求，在证书有效期内，应完成至少6次完整的信息安全服务经历，以下哪项不是信息安全服务： BA、为政府单位信息系统进行安全方案设计B、在信息安全公司从事保安工作C、在公开场合宣讲安全知识D、在学校讲解信息安全课程2.确保信息没有非授权泄密，即确保信息不泄露给非授权的个人、实体或进程，不为其所用，是指（）： CA、完整性B、可用性C、保密性D、抗抵赖性3.下列信息系统安全说法正确的是： DA、加固所有的服务器和网络设备就可以保证网络的安全B、只要资金允许就可以实现绝对的安全C、断开所有的服务可以保证信息系统的安全D、信息系统安全状态会随着业务的变化而变化，因此网络安全状态需要根据不同的业务而调整相应的网络安全策略4.OSI开放系统互联安全体系构架中的安全服务分为鉴别服务、访问控制、机密性服务、完整服务、抗抵赖服务，其中机密性服务描述正确的是： BA、包括原发方抗抵赖和接受方抗抵赖B、包括连接机密性、无连接机密性、选择字段机密性和业务流保密C、包括对等实体鉴别和数据源鉴别D、包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性5.电子商务交易必须具备抗抵赖性，目的在于防止___。

BA、一个实体假装另一个实体B、参与此交易的一方否认曾经发生过此次交易C、他人对数据进行非授权的修改、破坏D、信息从被监视的通信过程中泄露出去6.下列哪一项准确地描述了可信计算基（TCB）? CA、TCB只作用于固件（Firmware）B、TCB描述了一个系统提供的安全级别C、TCB描述了一个系统内部的保护机制D、TCB通过安全标签来表示数据的敏感性7.下面关于访问控制模型的说法不正确的是： CA、DAC模型中主体对它所属的对象和运行的程序有全部的控制权B、DAC实现提供了一个基于“need-to-know”的访问授权的方法，默认拒绝任何人的访问。

一．信息安全测评服务介绍1.中国信息安全测评中心：1）履行国家信息安全漏洞分析和风险评估职能2）对信息产品、系统和工程进行评估3）对信息安全服务，人员的资质进行审核2.CISP以信息安全保障（IA）作为主线二．信息安全测评认证体系介绍1．由信息安全问题所引起的国家面临的主要威胁：1）信息霸权的威胁2）经济安全3）舆论安全4）社会稳定2．我国测评认证中心的建设过程：1）1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”，1999.2 该中心挂牌运行2）2001.5 中编办“中国信息安全产品测评认证中心”（中编办【2001】51号）CNITSEC 3）2007 改名“中国信息安全测评中心”3．认证要点（1）一个目标：TOE评估的正确性和一致性（2）两种方法：“质量过程核查”，“评估活动评价”（3）三个阶段：准备，评估，认证（4）四类活动4．行业许可证制度1）信息安全产品：公安部3所检测，公安部11局颁发2）防病毒产品：指定单位（天津市公安局）3）商用密码产品：国密办颁发5.商业性测评：制定化，控制，量化6.认证业务的范围：服务商，专业人员，产品，系统三．信息安全测评认标准1.测评标准发展1）美国TCSEC（桔皮书）：美国国防部1985年提出，军用机密性，D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护2）欧共体ITSEC：将安全性分为功能和保证；提出TOE；提出“安全目标”ST；E1-63)加拿大CTCPEC：功能性要求分为机密性，完整性，可用性，可控性4）美国联邦FC：引入了保护轮廓PP；每个轮廓包括功能，保障和评测需求5）通用评估准则CC：1996年V1.0；1998年V2.0；1999年为ISO15408（GB/T18336）；思想框架来源于FC和ITSEC；EAL1-72. CC的评估保证级EALEAL1功能测试；EAL2结构测试；EAL3系统地测试和检查；EAL4系统地设计、测试和复查；EAL5半形式化设计和测试（无隐蔽通道）；EAL6半形式化验证的设计和测试；EAL7形式化验证的设计和测试3. CC的结构：1）简介和一般介绍，以及保护轮廓规范和安全目标规范2）第二部分：安全功能需求3）第三部分：安全保障需求4. CC的范围不包括：1）行政性管理安全措施的评估准则；2）物理安全方面（诸如电磁辐射控制）的评估准则；3）密码算法固有质量评价准则包括：信息系统产品和技术5. 保护轮廓PP（甲方）没有详细的设计方案，安全目标ST（乙方）方案6. APE类：保护轮廓的评估准则；ASE类：安全目标的评估准则7. CC的结构：类，子类，组件8. 其他重要标准1）ITIL：IT服务框架2）Gobit：ISACA协会IT内控审计、IT治理框架四．我国标准1. 我国：国家GB/T; 行业：GA,GJB; 地方：DB/T; 企业：Q2. 标准化：最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。

cisp试题及答案在本文中，我们将提供CISP试题及答案，帮助读者更好地了解和准备CISP考试。

CISP（Certified Information Security Professional）是一个国际认可的信息安全专业资格认证，通过该认证可以证明个人在信息安全领域具备专业的知识与技能。

一、信息安全管理1. 信息安全管理是指对信息资产进行全面管理和保护的过程。

请简要介绍信息安全管理的目标和重要性。

信息安全管理的目标是保护信息资产的机密性、完整性和可用性，防止信息遭受未经授权的访问、损坏和泄露，并确保信息系统的可靠性和稳定性。

信息安全管理对于组织来说至关重要，可以降低信息安全风险，保护客户数据和企业敏感信息，维护业务连续性并遵守法律法规。

2. 请列举并简要介绍ISO/IEC 27001标准中的信息安全管理体系（ISMS）要素。

ISO/IEC 27001标准中的信息安全管理体系包括以下要素：- 上下文分析：了解和评估组织内外部环境，明确信息安全管理体系的范围和目标。

- 领导力承诺：组织领导层需对信息安全提供明确的承诺和支持，并制定相关政策和目标。

- 风险评估：全面识别、评估和管理信息资产的风险，制定相应的风险处理计划。

- 资产管理：对信息资产进行明确定义、分类和管理，包括信息的获取、使用、存储和销毁。

- 安全控制：通过采取适当的技术和管理措施，确保信息资产的安全性、完整性和可用性。

- 人员安全：建立适当的人员安全政策，包括招聘、培训和意识教育，以及离职员工信息的处理。

- 通信与运营管理：确保信息传输和处理的安全性，包括网络安全、供应商管理和监控措施。

- 环境安全：评估和管理物理环境的安全性，包括设备的安全维护和灾难恢复。

- 合规性管理：遵守法律法规和适用的信息安全要求，包括隐私保护和知识产权保护。

二、网络安全1. 阐述网络安全的概念，并列举常见的网络安全威胁。

网络安全主要涉及保护计算机网络和网络连接的安全性，防止网络系统遭受未经授权的访问、攻击和滥用。

1、从历史演进来看，信息安全的发展经历了多个阶段，其中有一个阶段的特定是，网络信息系统的逐步形成，信息安全注重保护信息是在存储、处理和传输过程中免授非授权访问，开始使用防火墙、防病毒、pki和vpn等安全产品，这个阶段是A通信安全阶段：搭线窃听、密码学分析B计算机安全阶段：非授权访问，恶意代码，弱口令C信息系统安全阶段：网络入侵D信息安全保障阶段：黑客、恐怖分子C2、随着信息技术的不断发展，信息系统的重要性也越来越突出。

与此同时，发生的信息安全事件越来越多，综合分析信息安全问题产生的根源，下面描述正确的是：A信息系统质自身存在脆弱性是根本原因。

信息系统越来越重要，但同时自身开发、部署和使用过程中存在的脆弱性，导致了诸多安全事件发生。

因此杜绝脆弱性的存在，是解决信息安全问题的根本所在B信息系统面临诸多黑客的威胁，包括恶意攻击者和恶作剧攻击者，信息系统的应用越来越广，接触信息系统的人越多，信息系统越可能遭受攻击，因此避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题C信息安全问题产生的根源要从内因和外因两个方面分析，因为信息系统自身有脆弱性，同时外部又有危险，从而导致新系统可能发生安全事件，因此要防范信息安全风险，应该从内外因同时着手D信息安全问题的根本原因是内因、外因、人三个因素的综合作用，内因和外因都可能导致安全事件的发生，但最重要的还是人的因素，外部攻击者和内部人员通过远程攻击、本地破坏和内外勾结等手段，导致安全事件发生，因此对人这个因素的防范是安全工作的重点C3、某学员在学习国家标准《信息系统安全保障评估框架第一部分，简单和一般模型》(GB20274.1-2006）后绘制了一张简化的信息系统安全保障模型图，请在空白处选择合适选项A安全保障（方针和组织）B安全防御（技术和管理）C深度防御（策略、防御、检测、响应）D保障要素（技术、管理、工程、人员）D(安全特征：保密性、完整性、可用性）4、信息系统面临外部攻击者的恶意攻击威胁，从危险能力和掌握资源分，这些危胁可以按照个人危险，组织威胁和国家威胁三个层面划分，下面哪个属于组织威胁A恶作剧，实现自我挑战的娱乐型黑客B实施犯罪，获取非法经济的网络犯罪集团C搜集政治、军事、经济的情报机构D巩固战略优势，执行军事任务，进行目标破坏的信息作战部队B5、2003年以来，我国高度重视信息安全保障工作，先后制定并发布了多个文件，从政策层面为开展并推进信息安全保障工作进行了规划，签名选项中哪个不是我国发布的文件？A《国家信息化领导小组关于加强信息安全保障工作的意见》（中办公【2003】27号)B《国家网络安全综合计划（CNCI）》(国令【2008】54号)美国三道防线，为降威胁C《国家信息安全战略报告》(国信【2005】2号)D《关于全力推进信息化发展和切实保障信息安全的若干意见》(国发23号)B6、我国信息安全保障建设，包括信息安全组织与管理体制，基础设施，技术体系等方面，以下关于信息安全保障建设主要工作内容，说法不正确的是A健全国家信息安全组织与管理体制机制，加强信息安全保障工作的组织保障B建设信息安全基础设施，提供国家信息安全保障能力支撑C建立信息安全技术体系，实现国家信息化发展的自主创新D建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养C7、某银行信息系统为了满足业务发展的需要，准备进行升级改造，以下哪一项不是此次改造中信息系统安全需要分析过程，需要考虑的主要因素A信息系统安全必须遵守相关的法律法规，国家以及金融业安全标准B信息系统所承载的该银行业务正常运行的安全需求C消除或降低该银行信息系统面临的所有安全风险D该银行的整体安全策略C8、信息安全测评是依据相关标准，从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员资质进行评测评和评估，以下关于信息安全测评说法不正确的是A信息产品安全评估是测评机构对产品的安全性作出的独立性评价，增强用户对已评估产品的信任B目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型C信息安全工程能力评估是对信息安全服务者的资格状态，技术实力和实施服务过程质量保证能力的具体衡量和评价D信息系统风险评估是系统的分析网络与信息系统所面临的威胁及其存在脆弱性，评估安全事件可能造成的危害程度，提出有针对性的安全防御策略和整改措施B三项，技术管理和过程9、小李是公司系统规划师，某天他针对公司信息的现状，绘制了一张经济安全图，如图所示，请问这个图列依据下面哪个模型来画的？A PDRB PPDR策略+检测、防护、响应，加入时间因素，自适应填充安全间隙C PDCA人技术操作多层次多角度D IATFB PPDR策略+检测、防护、响应，加入时间因素，自适应填充安全间隙10、在设计信息安全保障方案时，以下哪个做法是错误的？A要充分结合信息安全需求，并且实际可行B要充分考虑成本效益，在满足合规性要求和风险处置要求的前提下，尽量控制成本C要充分采取新技术，在使用过程中不断完善成熟，精益求精，实现技术投入保值要求D要充分用户管理和文件的可接受性，减少系统方案实施障碍C11、关于密钥管理，下面说法错误的是A科克霍克原则指出，算法的安全性不应基于算法的保密，而应基于密钥的安全性B保密通信过程中，通讯方使用之前用过的会话密钥建立会话在，不影响通行安全C密钥管理需要考虑密钥产生、存储，备份，分配，更新，撤销等生命周期的每个过程D在网络通讯中，通信双方可DIFFIE+HELLMAN协议协商出会话密钥B12、在网络信息系统中对用户进行验证识别时，口令是种传统但仍然使用广泛的方法，口令认证过程中常常使用静态口令和动态口令，下面描述错误的是A所谓静态口令方案，是指用户登录验证身份的过程中，每次输入的都是固定静态不变的B使用静态口令方案时，即使对口令简单加密或HASH后进行传输，攻击者依然可以重放攻击来欺骗信息系统的身份认证模块C动态口令方案中，通常需要使用密码算法产生较长的口令序列，攻击者如果连续记录足够的历史口令，则有可能预测出下次要使用的口令D通常，动态口令实现方式分为口令序列，时间同步以及挑战/应答等几种类型C13、公钥基础设施引入数字证书的概念，用来表示用户的身份，下图简单描述了终端实体(用户)从认证权威机构ca申请、撤销和更新数字证书的流程，请为中间空白处选择合适的选项？A证书库LDAPB RAC OCSP在线查询证书状态D CRL库证书撤销列表B证书库14、虚拟专用网（vpn）是指在公共网络中得到的隧道技术，建立临时的安全的网络，这里的p是指A special-purpost，特定专用图的B proprietary专有的专卖的C private，私有的，专有的D specific，特征，具体的C15、IPSEC（ip security）协议标准的设计目标是在ip v4和ip v6环境中为网络层流量提供灵活透明的安全服务，保护tcp ip通信免遭窃听和篡改，保证数据的完整和机密性，下列描述哪个是错误的？A IPSEC协议不支持使用数字证书B IPSEC协议ip4和ip6网络都适用C IPSEC有两种工作模式，传输模式和隧道模式D IPSEC协议包括封装安全载荷（sep）和鉴别头（AH）两种通信保护机制A16、实施身份鉴别方法多种多样，而且随着技术进步，鉴别方法的强度不断提高，常见的方法有利用口令鉴别、令牌鉴别、指纹等，如图（一个指纹，下面是点击进行指纹解锁），小王在登录某移动支持支付平台时，首先需要通过指纹对用户身份进行鉴别，通过鉴别后他才能作为合法用户用自己的账户进行支付，转账等操作，这种方法属于下列选项中的A实体所知的鉴别方法B实体所有的鉴别方法C实体特征的鉴别方法D实体所见的鉴别方法C17、鉴别是用户进入系统的第一道安全防线，用户登录系统时，输入用户名和密码就是对用户身份鉴别。

注册信息安全专业人员（CISP）知识体系大纲版本：3.0 发布日期：2014 年12 月1 日生效日期：2015 年1 月1 日中国信息安全测评中心©版权2014—中国信息安全测评中心注册信息安全专业人员（CISP）知识体系大纲V2.3中国信息安全测评中心1目录目录.............................................................................................................. 1 前言.................................................................................................................. 4 第 1 章注册信息安全专业人员（CISP）知识体系概述.................................. 5 1.1 CISP 资质认定类别............................................................................. 5 1.2 大纲范围............................................................................................. 5 1.3 CISP 知识体系框架结构...................................................................... 5 1.4 CISP（CISE/CISO）考试试题结构..................................................... 7 第 2 章知识类：信息安全保障....................................................................... 9 2.1 知识体：信息安全保障基础................................................................ 9 2.1.1 知识域：信息安全保障背景...................................................... 9 2.1.2 知识域：信息安全保障概念与模型......................................... 10 2.1.3 知识域：信息系统安全保障概念与模型.................................. 10 2.2 知识体：信息安全保障实践.............................................................. 11 2.2.1 知识域：信息安全保障现状.................................................... 11 2.2.2 知识域：我国信息安全保障工作主要内容.............................. 11 2.2.3 知识域：信息安全保障工作方法.............................................12 第3 章知识类：信息安全技术..................................................................... 13 3.1 知识体：密码技术............................................................................ 13 3.1.1 知识域：密码学基础............................................................... 13 3.1.2 知识域：密码学应用............................................................... 14 3.2 知识体：鉴别与访问控制.................................................................. 15 3.2.1 知识域：鉴别......................................................................... 15 3.2.2 知识域：访问控制模型........................................................... 16 3.2.3 知识域：访问控制技术........................................................... 16 3.3 知识体：网络安全............................................................................ 17 3.3.1 知识域：网络协议安全........................................................... 17 3.3.2 知识域：网络安全设备........................................................... 17 3.3.3 知识域：网络架构安全........................................................... 18 3.4 知识体：操作系统与数据库安全....................................................... 19 3.4.1 知识域：操作系统安全........................................................... 19 3.4.2 知识域：数据库安全............................................................... 20 3.5 知识体：应用安全............................................................................ 20 3.5.1 知识域：应用安全 (20)注册信息安全专业人员（CISP）知识体系大纲V2.3中国信息安全测评中心23.6 知识体：安全漏洞、恶意代码与攻防................................................ 21 3.6.1 知识域：安全漏洞与恶意代码................................................ 21 3.6.2 知识域：安全攻击与防护....................................................... 22 3.7 知识体：软件安全开发..................................................................... 23 3.7.1 知识域：软件安全开发概况.................................................... 23 3.7.2 知识域：软件安全开发的关键工作......................................... 24 第 4 章知识类：信息安全管理..................................................................... 25 4.1 知识体：信息安全管理基础.............................................................. 25 4.1.1 知识域：信息安全管理概述.................................................... 25 4.1.2 知识域：信息安全管理方法与实施......................................... 25 4.2 知识体：信息安全风险管理.............................................................. 26 4.2.1 知识域：信息安全风险管理基础............................................. 26 4.2.2 知识域：信息安全风险管理主要内容...................................... 27 4.2.3 知识域：信息安全风险评估.................................................... 27 4.3 知识体：信息安全管理体系.............................................................. 28 4.3.1 知识域：信息安全管理体系基础............................................. 29 4.3.2 知识域：信息安全管理体系建设............................................. 29 4.3.3 知识域：信息安全控制措施.................................................... 30 4.4 知识体：应急响应与灾难恢复.......................................................... 31 4.4.1 知识域：应急响应概况........................................................... 31 4.4.2 知识域：信息系统灾难恢复.................................................... 32 4.4.3 知识域：灾难恢复相关技术.................................................... 32 第 5 章知识类：信息安全工程..................................................................... 34 5.1 知识体：信息安全工程基础.............................................................. 34 5.1.1 知识域：信息安全工程概述.................................................... 34 5.1.2 知识域：信息安全工程实施.................................................... 35 5.1.3 知识域：信息安全工程监理.................................................... 35 5.2 知识体：信息安全工程能力评估....................................................... 36 5.2.1 知识域：SSE-CMM 概述........................................................ 36 5.2.2 知识域：信息安全工程过程.................................................... 37 5.2.3 知识域：信息安全工程能力.................................................... 37 第 6 章知识类：信息安全法规标准............................................................. 38 6.1 知识体：信息安全法规与政策.......................................................... 38 6.1.1 知识域：信息安全法规........................................................... 38 6.1.2 知识域：信息安全政策.. (39)注册信息安全专业人员（CISP）知识体系大纲V2.3中国信息安全测评中心36.2 知识体：信息安全标准..................................................................... 40 6.2.1 知识域：信息安全标准基础.................................................... 40 6.2.2 知识域：信息安全标准化组织................................................ 41 6.2.3 知识域：信息安全标准体系.................................................... 41 6.2.4 知识域：我国信息安全典型标准介绍...................................... 41 6.3 知识体：信息安全道德规范.............................................................. 42 6.3.1 知识域：信息技术通行道德规范............................................. 42 6.3.2 知识域：信息安全从业人员道德规范.. (42)注册信息安全专业人员（CISP）知识体系大纲V2.3中国信息安全测评中心4前言信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会及建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。

2018年研究生入学考试《信息安全工程》考试大纲第一部分考试说明一、考试性质全国硕士研究生入学考试是为高等学校招收硕士研究生而设置的。

其中信息安全工程是安全工程专业考生设置的专业课程考试科目（该专业的业务课有多门考试科目），属招生学校自行命题性质。

其评分标准是高等学校优秀本科生能达到的及格或及格以上水平，以保证被录取者具有坚实的信息安全基本理论和较强的信息安全工程分析实际问题的能力，有利于招生学校在专业上择优录取。

二、考试的学科范围应考范围包括计算机网络安全技术基础、信息加密技术、网络安全技术、系统安全等四个部分。

三、评价目标考试目标在于考查学生信息安全的基本概念、基本理论和方法的掌握以及对实际问题的分析和解决问题的能力。

考生应能：1、掌握网络入侵与攻击、防火墙与入侵检测的基本原理。

2、掌握各种古典密码算法和现代密码算法。

2、掌握对称密码体制和非对称密码体制的模型和代表算法以及密码算法的使用。

3、掌握一些主要的TCP/IP协议的缺陷及其安全改进协议或者安全改进方案。

4、掌握基本的系统安全策略；四、考试形式与考卷结构答卷形式：闭卷、笔试；试卷中的所有题目全部为必答题。

答题时间：180分钟。

试卷分数：满分为150分。

试卷结构及考查比例：试卷主要分为4部分，即：名词解释 20分，选择判断30分，问题简答40，综合问题60分。

第二部分考查要点1．网络安全概述(1)了解：网络安全的定义、主要内容、目标。

(2)理解：网络安全的基础技术与策略、常见的网络服务和对应的协议。

(3)掌握：常用的网络命令。

2．网络安全程序设计(1)了解：程序的工作机制、程序开发工具。

(2)理解：Socket 通信程序实现原理。

(3)掌握：网络安全程序设计的典型案例开发。

3．信息加密原理与技术(1)了解：密码学基本概念。

(2)理解：对称加密算法、公钥加密算法、PGP技术、Hash函数、数字签名、PKI、数字证书等的原理。

(3)掌握：DES、RSA算法的实现。

CISP—安全工程试题1、下面有关能力成熟度模型的说法错误的是：•能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类•使用过程能力方案时，可以灵活选择评估和改进哪个或那些过程域•使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域•SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型2、一个属织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规范的定义？•2级一一计划和跟踪•3级---- 充分定义•4级——量化控制•5级——持续改进3、下列哪项不是信息系统的安全工程的能力成熟度模型(SSE-CMM)的主要过程•风险评估•保证过程•工程过程• 评估过程4、SSE-CMM 1：程过程区域中的风险过程包含哪些过程区域:评估威胁、评估脆弱性、评估影响评估威胁、评估脆弱性、评估安全风险•评估威胁、评估脆弱性、评估影响、评估安全风险•评估威胁、评估脆弱性、评估影响、验证和证实安全5＞信息系统安全工程(ISSE)的一个重要U标就是在IT项H的各个阶段充分考虑安全因素，在IT项H的立项阶段，以下哪一项不是必须进行的工作：•明确业务对信息安全的要求•识别来自法律法规的安全要求•论证安全要求是否正确完整•通过测试证明系统的功能和性能可以满足安全要求6、信息化建设和信息安全建设的关系应当是：信息化建设的结束就是信息安全建设的开始信息化建设和信息安全建设应同步规划、同步实施•信息化建设和信息安全建设是交替进行的，无法区分谁先谁后•以上说法都正确7、如果你作为甲方负责监管一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是：•变更的流程是否符合预先的规定•变更是否会对项U进度造成拖延•变更的原因和造成的影响•变更后是否进行了准确的记录8、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？•应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑•应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品•应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实•应详细规定系统验收测试中有关系统安全性测试的内容9、在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敬感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的？•测试系统应使用不低于生产关系的访问控制措施•未测试系统中的数据部署完善的备份与恢复措施•在测试完成后立即清除测试系统中的所有敬感数据•部署审计措施，记录生产数据拷贝和使用10、关于监理过程中成本控制，下列说法中正确的是？•成本只要不超过预计的收益即可•成本应控制得越低越好•成本控制山承建单位实现，监理单位只能记录实际开销•成本控制的主要U的是在批准的预算条件下确保项U保质按期完成11、以下哪一项是对信息系统经常不能满足用户需求的最好解释：•没有适当的质量管理工具•经常变化的用户需求•用户参与需求挖掘不够•项目管理能力不强12、许多安全管理工作在信息系统生存周期中的运行维护阶段发生。