【CISP】物理环境与网络通信安全

注册信息安全专业人员（CISP）知识体系大纲版本：2.0正式版中国信息安全测评中心目录前言 (3)第1 章注册信息安全专业人员（CISP）知识体系概述 (4)1.1 CISP资质认定类别 (4)1.2 大纲范围 (4)1.3 CISP知识体系框架结构 (5)1.4 CISP（CISE/CISO）考试试题结构 (7)第2 章知识类：信息安全保障概述 (9)2.1 知识体：信息安全保障基本知识 (9)2.1.1 知识域：信息安全保障背景 (9)2.1.2 知识域：信息安全保障原理 (10)2.1.3 知识域：典型信息系统安全模型与框架 (10)2.2 知识体：信息安全保障基本实践 (11)2.2.1 知识域：信息安全保障工作概况 (11)2.2.2 知识域：信息系统安全保障工作基本内容 (11)第3 章知识类：信息安全技术 (13)3.1 知识体：密码技术 (13)3.1.1 知识域：密码学基础 (14)3.1.2 知识域：密码学应用 (14)3.2 知识体：访问控制与审计监控 (15)3.2.1 知识域：访问控制模型 (16)3.2.2 知识域：访问控制技术 (16)3.2.3 知识域：审计和监控技术 (17)3.3 知识体：网络安全 (17)3.3.1 知识域：网络协议安全 (17)3.3.2 知识域：网络安全设备 (18)3.3.3 知识域：网络架构安全 (18)3.4 知识体：系统安全 (19)3.4.1 知识域：操作系统安全 (19)3.4.2 知识域：数据库安全 (20)3.5 知识体：应用安全 (21)3.5.1 知识域：网络服务安全 (21)3.5.2 知识域：个人用户安全 (22)3.5.3 知识域：恶意代码 (22)3.6 知识体：安全攻防 (23)3.6.1 知识域：信息安全漏洞 (23)3.6.2 知识域：安全攻防基础 (24)3.6.3 知识域：安全攻防实践 (24)3.7 知识体：软件安全开发 (25)3.7.1 知识域：软件安全开发概况 (25)3.7.2 知识域：软件安全开发的关键阶段 (25)第4 章知识类：信息安全管理 (27)4.1 知识体：信息安全管理体系 (27)4.1.1 知识域：信息安全管理基本概念 (27)4.1.2 知识域：信息安全管理体系建设 (28)4.2 知识体：信息安全风险管理 (29)4.2.1 知识域：风险管理工作内容 (29)4.2.2 知识域：信息安全风险评估实践 (30)4.3 知识体：安全管理措施 (31)4.3.1 知识域：基本安全管理措施 (31)4.3.2 知识域：重要安全管理过程 (33)第5 章知识类：信息安全工程 (35)5.1 知识体：信息安全工程原理 (35)5.1.1 知识域：安全工程理论背景 (35)5.1.2 知识域：安全工程能力成熟度模型 (36)5.2 知识体：信息安全工程实践 (37)5.2.1 知识域：安全工程实施实践 (37)5.2.2 知识域：信息安全工程监理 (38)第6 章知识类：信息安全标准法规 (39)6.1 知识体：信息安全法规与政策 (39)6.1.1 知识域：信息安全相关法律 (39)6.1.2 知识域：信息安全国家政策 (40)6.2 知识体：信息安全标准 (41)6.2.1 知识域：安全标准化概述 (41)6.2.2 知识域：信息安全评估标准 (41)6.2.3 知识域：信息安全管理标准 (42)6.2.4 知识域：等级保护标准 (42)6.3 知识体：道德规范 (43)6.3.1 知识域：信息安全从业人员道德规范 (43)6.3.2 知识域：通行道德规范 (44)前言信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。

信息安全的物理安全与环境安全信息安全是当今社会中备受关注的一个重要话题。

在数字化时代，网络上的信息泄露、数据被盗等问题层出不穷，给个人和企业带来了严重的损失。

而要保证信息的安全，除了网络安全措施外，物理安全和环境安全也是至关重要的因素。

一、物理安全物理安全是指通过对信息系统的实体设备、硬件等进行保护，防止非法获取、破坏或者盗取信息的安全措施。

以下是一些常见的物理安全措施：1. 门禁控制：在进入信息系统房间的门口设置门禁系统，只允许授权人员进入。

这可以有效防止未经授权的人员进入机房或数据中心，进而减少物理攻击和信息泄露的风险。

2. 锁定服务器：对于存放重要信息的服务器，应采取物理锁定措施，确保只有授权人员才能接触到服务器。

防止未经授权的人员进行破坏或盗取数据的行为。

3. 视频监控：在信息系统房间或者重要设备的周围安装视频监控系统，实时监测设备状况，对异常情况进行及时发现和处理。

4. 灭火系统：信息系统房间应配备适当的自动灭火设备，一旦发生火灾，可以及时扑灭，并减少对设备和数据的损害。

二、环境安全环境安全是指通过对信息系统所处环境的保护，减少环境因素对信息系统正常运行和数据安全的影响。

以下是一些常见的环境安全措施：1. 温湿度控制：信息系统房间应安装温湿度传感器，并配备调控设备，保持适宜的温湿度范围。

过高或过低的温湿度都可能对设备和数据造成损害。

2. 电力保障：信息系统房间应配备稳定的电力供应设备，如UPS不间断电源和发电机组等，以应对断电和电压波动等情况，确保设备稳定运行。

3. 防尘防静电：信息系统房间应进行定期的清洁和消除静电处理，以避免尘埃和静电对设备的损害。

4. 防水防潮：信息系统房间应避免选址在容易受到水患或潮湿环境的地方，同时采取适当的防水措施，防止设备和数据被水损坏。

三、物理安全与环境安全的重要性物理安全和环境安全是信息安全的重要组成部分，它们直接关系到信息系统的稳定运行和数据的安全。

CISP考试(习题卷13)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]以下哪种方法不能有效提高WLAN的安全性：A)修改默认的服务区标识符（SSID）B)禁止SSID广播C)启用终端与AP间的双向认证D)启用无线AP的开放认证模式答案:A解析:2.[单选题]以下哪个属性不会出现在防火墙的访问控制策略配置中?A)本局域网内地址B)百度服务器地址C)HTTP 协议D)病毒类型答案:D解析:3.[单选题]某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时时使Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改。

利用此漏洞，攻击者将价值1000元的商品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题。

对于网站的这个问题原因分析及解决措施，最正确的说法应该是？A)该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决B)该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施C)该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的问题，应对全网站进行安全改造，所有的访问都强制要求使用httpsD)该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可答案:B解析:4.[单选题]PKI的主要理论基础是：A)对称密码算法B)公钥密码算法C)量子密码D)摘要算法答案:B解析:5.[单选题]下列对强制访问控制描述不正确的是A)主题对客体的所有访问B)强制访问控制时，主体和客体分配一个安全属性C)客体的创建者无权控制客体的访问权限6.[单选题]有什么方法可以测试办公部门的无线安全？A)n War dialing战争语言B)n 社会工程学C)n 战争驾驶D)n 密码破解答案:D解析:7.[单选题]以下哪一种人给公司带来最大的安全风险？A)临时工B)咨询人员C)以前员工D)当前员工答案:D解析:8.[单选题]信息安全风险评估对象确立的主要依据是什么A)系统设备的类型B)系统的业务目标和特性C)系统的技术架构D)系统的网络环境答案:B解析:9.[单选题]为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪一项是最好的方法？A)进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码B)进行离职谈话，禁止员工账号，更改密码C)让员工签署跨边界协议D)列出员工在解聘前需要注意的所有责任答案:A解析:10.[单选题]信息安全风险管理的对象不包括如下哪项A)信息自身B)信息载体C)信息网络D)信息环境答案:C解析:11.[单选题]以下哪种访问控制策略需要安全标签？A)基于角色的策略B)基于标识的策略C)用户指向的策略D)强制访问控制策略答案:DA)资产识别是指对需要保护的资产和系统等进行识别和分类B)威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C)脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱 点，并对脆弱性的严重程度进行评估D)确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系 统平台、网络平台和应用平台答案:D解析:13.[单选题]以下哪些不是网络类资产：A)网络设备B)基础服务平台C)网络安全设备D)主干线路答案:B解析:14.[单选题]如果某个网站允许用户能上传任意类型的文件， 黑客最可能进行的攻击是（ ）。

CISP教材简介CISP（计算机信息安全规范）作为信息安全管理方面的国际标准，对于信息安全领域的专业人员来说至关重要。

CISP教材旨在向学习CISP的人员提供一个全面、系统的学习指南，帮助他们掌握CISP的核心概念、原理和实践操作。

本文档是一份完整的CISP教材，包含以下主要内容： 1. CISP概述 2. CISP认证体系 3. CISP培训路径 4. CISP考试准备 5. CISP教材介绍 6. CISP教学资源 7. CISP 实践案例1. CISP概述CISP是一个国际上被广泛接受的信息安全管理标准，它包含一系列标准和规范，旨在帮助组织建立和维护有效的信息安全管理体系。

CISP的核心目标是保护组织的信息资产，预防信息泄露、恶意攻击和服务中断。

CISP强调风险管理和持续改进，以确保信息安全能够与组织的业务需求保持一致。

CISP的标准覆盖了许多关键领域，包括信息安全政策、组织安全、资产管理、访问控制、密码管理、物理和环境安全、通信和操作管理、系统开发和维护、供应商管理等。

通过遵循CISP标准，组织能够有效地识别、评估和处理信息安全风险，降低信息泄露和攻击的风险，并提高组织的整体安全水平。

2. CISP认证体系CISP认证体系由国际信息系统安全认证联盟（ISC2）负责管理。

ISC2是一个全球性的信息安全组织，致力于推动信息安全专业人员的职业发展和认证。

CISP认证体系包括以下几个重要的认证： - CISP认证（CISP）：适用于各级信息安全专业人员，要求候选人具备一定的工作经验和知识，通过考试来验证其对CISP标准的理解和应用能力。

- CISP关联认证（CCSP）：适用于云安全专业人员，要求候选人具备云安全方面的专业知识和经验，通过考试来验证其对云安全和CISP在云环境中的应用能力。

- CISP架构师认证（CISSP-ISSAP）：适用于信息安全架构师，要求候选人具备丰富的信息安全架构设计经验和CISP知识，通过考试来验证其在信息安全架构设计方面的能力。

CISP培训模拟题（3）答案CISP模拟练习题（3）一、模型和保障体系信息安全保障体系信息安全模型信息安全测评认证1、以下哪些模型可以用来保护分级信息的机密性？A Biba模型和Bell－Lapadula模型；B Bell－Lapadula模型和信息流模型；C Bell－Lapadula模型和Clark－Wilson模型；D Clark－Wilson模型和信息流模型答案：B参考：《理论和技术》P41-56多级安全模型：Bell－Lapadula模型（机密性），Clark－Wilson模型（完整性），Biba模型（完整性）多边安全模型：Chinese Wall模型，BMA模型机密性模型：1、信息流模型（非干扰性，非观察性）；2、访问控制模型：MAC强制（BLP，Chinese Wall），DAC自主，RBAC基于角色的访问控制完整性模型：Clark－Wilson模型，Biba模型2、在以下哪种安全模型中，系统的访问至少在最高层是安全的？A 多级安全模型；B Dedicated安全模型；C Compartmented安全模型；D 受控模型答案：C3、给计算机系统的资产分配的记号被称为什么？A 安全属性；B 安全特征；C 安全标记；D 安全级别答案：C 参考：《标准和法规》P85，安全标签，敏感性标签，敏感性标记4、BMA模型是基于?A.B.C.D.答案：5、在参考监视器概念中，一个参考监视器不需要符合以下哪个设计要求？A 必须是TAMPERPROOFB 必须足够大C 必须足够小D 必须总在其中答案：B参考：《标准和法规》P86CC（15408-3）A reference monitor is an abstract machine that enforces the access control policies of a TOE. A reference validation mechanism is an implementation of the reference monitor concept that possesses the following properties: tamperproof, always invoked, and simple enough to be subjected to thorough analysis and testing. The TSF may consist of a reference validation mechanism and/or other security functions necessary for the operation of the TOE.二、标准和法律法规信息安全标准信息安全法律法规6、ITSEC标准不包括以下哪方面内容？A 功能要求；B 通用框架要求；C 保证要求；D 特定系统的安全要求答案：B参考：《标准和法规》P166，D是指“安全目标”7、CTCPEC标准中，安全功能要求包括以下哪方面内容？A 机密性要求；B 完整性要求；C 保证要求；D 可用性要求；E 可控性要求答案：A、B、D、E参考：《标准和法规》P1668、“保护轮廓”最早出现于哪一个标准？A 国际标准ISO/IEC 15408；B 美国FC标准；C 可信计算机系统评估准则TCSEC；D 信息技术安全性评估准则ITSECE 通用评估准则CC2.0答案：B参考：《标准和法规》P1669、桔皮书主要强调了信息的哪个属性？A完整性B机密性C可用性D有效性答案：B10、ITSEC的功能要求不包括以下哪方面内容？B完整性C可用性D有效性答案：D11、我国标准分为几级？A.3级B.4级C.5级D.6级答案：B 参考：《标准和法规》P30：国家标准，行业标准，地方标准，企业标准12、下面哪一个是国家推荐性标准？A. GB/T 18020-1999 应用级防火墙安全技术要求B. SJ/T 30003-93 电子计算机机房施工及验收规范C. GA 243-2000 计算机病毒防治产品评级准则D. ISO/IEC 15408-1999 信息技术安全性评估准则答案：A13、标准采用中的“idt”指的是？A 等效采用B 等同采用C 修改采用D 非等效采用答案：B参考：《标准和法规》P19：idt等同，MOD修改，NEQ非等效14、著名的TCSEC是由下面哪个组织制定的？A ISOB IECC CNITSECD 美国国防部15、TCP/IP协议的4层概念模型是？A. 应用层、传输层、网络层和网络接口层B. 应用层、传输层、网络层和物理层C. 应用层、数据链路层、网络层和网络接口层D. 会话层、数据链路层、网络层和网络接口层答案：A参考：《理论和技术》P75，《标准和法规》P4016、CC标准主要包括哪几个部分？A. 简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南；B. 简介和一般模型、安全功能要求、安全保证要求C. 通用评估方法、安全功能要求、安全保证要求D. 简介和一般模型、安全要求、PP和ST产生指南答案：B17、CC中安全功能/保证要求的三层结构是（按照由大到小的顺序）？A. 类、子类、元素B. 组件、子类、元素C. 类、子类、组件D. 子类、组件、元素答案：C18、CC中的评估保证级（EAL）分为多少级？A. 6级B. 7级C. 5级D. 4级答案：B19、CC中的评估保证级4级（EAL4）对应TCSEC和ITSEC的哪个级别？A. 对应TCSEC B1级，对应ITSEC E4级B. 对应TCSEC C2级，对应ITSEC E4级C. 对应TCSEC B1级，对应ITSEC E3级D. 对应TCSEC C2级，对应ITSEC E3级答案：C参考：《标准和法规》P167，P186：注意规律，先对应ITSEC EAL2：C1；E1EAL3：C2；E2EAL4：B1；E3EAL5：B2；E4EAL6：B3；E5EAL7：A1；E620、PP中的安全需求不包括下面哪一个？（安全环境）A. 有关环境的假设B. 对资产的威胁C. 组织安全策略D. IT保证安全要求答案：D21、中国信息安全产品测评认证中心的四项业务是什么？A. 产品测评认证；B. 信息系统安全测评认证；C. 信息系统安全服务资质认证；D. 注册信息安全专业人员资质认证答案：ABCD22、信息技术安全标准化组织有哪些？A. ISO/IECB. ITU答案：AB参考：《标准和法规》P7 ，P8，P16国际标准化组织：ISO（国际标准化组织）和IEC（国际电工委员会）ISO－International Organization for Standardization（成立于1947年）IEC－International Electricity CommitteeISO/IEC JTC1：负责信息技术领域的国际标准的制定ISO/IEC JTC1/SC27：专门从事通用信息技术安全技术和安全机制的标准的制定ISO/IEC JTC1/SC6，SC17，SC18，SC21，SC22，SC30等6个分技术委员会：分别承担一部分信息技术安全标准的制定ISO/TC68：负责行业应用信息安全标准的制定ITU-T国际电信联盟的电信标准化部门，单独或与ISO/IEC联合制定标准其他：ISO/TC 176：质量管理和质量保证技术委员会制定了ISO 9000族标准23、我国的推荐性国家标准的写法是什么？A. GB/TB.C.D.答案：A24、我国的强制性国家标准的写法？A. GBB.C.D.答案：A25、CC 2.0对应的国际标准是什么？A. ISO/IEC 15408-1999B.C.D.答案：A26、CC 2.0对应的国家标准是什么？A. GB/T 18336-2001B.C.D.答案：A27、关于PP，哪一个论述是正确的？A. 是针对一类产品或系统，为既定的一系列安全对象提出功能和保证要求的完备集合，可复用集合，是对各种应用的抽象。

物理安全网络安全物理安全和网络安全是两个不同但互相关联的概念，都是保护信息和资产安全的重要方面。

物理安全是指保护计算机系统、网络设备和数据中心等物理环境免受侵害的措施。

它包括以下几个方面：1. 门禁控制：通过使用密码、刷卡、指纹等方法来限制未经授权人员进入物理区域，以防止非法访问和窃取。

2. 监控系统：安装安全摄像头和监控设备，能够实时监视物理环境是否存在异常，以便及时采取相应的措施。

3. 环境控制：包括温度、湿度、电力稳定性等，保持在适宜的范围内，以防止设备损坏和信息丢失。

4. 防火措施：使用防火墙、烟雾探测器、灭火系统等来减少火灾的发生以及防止火势蔓延。

5. 数据备份：将重要数据备份到不同的地理位置，以防止设备损坏、数据丢失或被盗。

与物理安全相比，网络安全更关注如何保护计算机网络及其相关设备和数据的安全性。

网络安全的目标是防止未经授权的用户访问和使用网络系统，保护网络免受恶意软件、网络攻击和数据泄露等威胁。

主要的网络安全措施包括以下几个方面：1. 防火墙：设置网络防火墙来监控网络流量，并根据事先设定的规则进行过滤和阻止潜在的攻击。

2. 加密技术：通过使用加密技术来确保数据在传输过程中的机密性和完整性，防止数据被篡改或窃取。

3. 强密码策略：通过要求使用强密码，并定期更新密码来增加账户的安全性，以防止被破解。

4. 安全认证：使用多因素身份验证等安全认证方式，确保只有合法的用户能够访问网络系统。

5. 安全审计和监测：通过使用入侵检测系统（IDS）和入侵预防系统（IPS）等工具，实时监测网络流量和行为，以检测和阻止潜在的攻击。

无论是物理安全还是网络安全，都是确保信息和资产安全的重要措施。

综合考虑并采取恰当的物理安全和网络安全措施，可以最大限度地提高信息安全性，保护个人和组织的隐私和机密信息。

cisp复习资料CISP复习资料在当今信息时代，网络安全问题日益凸显，网络攻击和数据泄露事件频频发生。

为了应对这一挑战，越来越多的人开始关注和学习网络安全知识。

而CISP （Certified Information Security Professional）认证则成为了国际上公认的网络安全专业人士的认证标准。

本文将介绍CISP的复习资料，帮助读者更好地备考和掌握网络安全知识。

一、CISP认证概述CISP是由国际信息系统安全认证联盟（ISC2）颁发的一项国际性网络安全认证。

它旨在评估和认证专业人士在信息安全管理和实践方面的能力。

通过CISP认证，个人能够证明自己在网络安全领域具备高水平的技能和知识，提高自身的职业竞争力。

二、CISP复习资料的重要性备考CISP考试需要大量的学习和准备工作。

而合适的复习资料可以帮助考生系统地学习和掌握考试所需的知识和技能。

CISP复习资料的重要性主要体现在以下几个方面：1. 知识体系全面：CISP考试涵盖了广泛的网络安全知识领域，包括网络安全管理、风险管理、安全架构和设计等。

复习资料能够帮助考生全面了解和掌握这些知识，确保备考的全面性和深度。

2. 学习方法指导：复习资料通常会提供一些学习方法和技巧，帮助考生高效地学习和记忆知识点。

通过合理的学习方法，考生可以更好地利用有限的时间和精力进行备考，提高学习效果。

3. 实践案例分析：网络安全领域的实践案例对于理论知识的理解和应用至关重要。

复习资料通常会提供一些实际案例，帮助考生理解和分析不同情境下的网络安全问题，并提供相应的解决方案。

三、选择合适的CISP复习资料在选择CISP复习资料时，考生需要注意以下几个方面：1. 适合个人学习风格：不同的人有不同的学习风格和偏好。

有些人喜欢通过阅读书籍进行学习，而有些人则更喜欢通过观看视频或参加培训班来学习。

考生应根据自己的学习风格选择适合自己的复习资料。

2. 可信度和权威性：CISP复习资料应来自可信度和权威性较高的来源。

2023年CISP信息安全专业人员考试题及答案1.以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了正确答案：C2.以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D增值性正确答案：D3.以下对信息安全管理的描述错误的是Λ,信息安全管理的核心就是风险管理B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人正确答案：D4.企业按照标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是A.不需要全体员工的参入，只要部门的人员参入即可B.来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行正确答案：A5.信息安全管理体系(ISMS)是一个怎样的体系，以下描述不正确的是Λ.ISMS是一个遵循PDCA模式的动态发展的体系B.ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D.ISMS应该是一步到位的，应该解决所有的信息安全问题正确答案：D6.PDCA特征的描述不正确的是A.顺序进行，周而复始，发现问题，分析问题，然后是解决问题B.大环套小环，安全目标的达成都是分解成多个小目标，一层层地解决问题C.阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足D.信息安全风险管理的思路不符合PDCA的问题解决思路正确答案：D7.以下哪个不是信息安全项目的需求来源Λ,国家和地方政府法律法规与合同的要求8.风险评估的结果C.组织原则目标和业务需要D.企业领导的个人意志正确答案：D8.IS027001认证项目一般有哪几个阶段？A.管理评估，技术评估，操作流程评估8.确定范围和安全方针，风险评估，风险控制（文件编写），体系运行，认证C.产品方案需求分析，解决方案提供，实施解决方案D.基础培训，RA培训，文件编写培训，内部审核培训正确答案：B9.构成风险的关键因素有哪些？A.人,财，物B.技术，管理和操作C.资产，威胁和弱点D.资产，可能性和严重性正确答案：C10.以下哪些不是应该识别的信息资产？Λ.网络设备B.客户资料C.办公桌椅D.系统管理员正确答案：C11.以下哪些是可能存在的威胁因素？BA.设备老化故障B.病毒和蠕虫C.系统设计缺陷D.保安工作不得力正确答案：B12.以下哪些不是可能存在的弱点问题？A.保安工作不得力B.应用系统存在BugC.内部人员故意泄密D.物理隔离不足正确答案：C13.风险评估的过程中，首先要识别信息资产，资产识别时，以下哪个不是需要遵循的原则？Λ,只识别与业务及信息系统有关的信息资产，分类识别B.所有公司资产都要识别C.可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键资产D.资产识别务必明确责任人、保管者和用户正确答案：B14.风险分析的目的是？A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;正确答案：C15.对于信息安全风险的描述不正确的是？Λ,企业信息安全风险管理就是要做到零风险B.在信息安全领域，风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(RiskManagement)就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程。

cisp试题及答案在本文中，我们将提供CISP试题及答案，帮助读者更好地了解和准备CISP考试。

CISP（Certified Information Security Professional）是一个国际认可的信息安全专业资格认证，通过该认证可以证明个人在信息安全领域具备专业的知识与技能。

一、信息安全管理1. 信息安全管理是指对信息资产进行全面管理和保护的过程。

请简要介绍信息安全管理的目标和重要性。

信息安全管理的目标是保护信息资产的机密性、完整性和可用性，防止信息遭受未经授权的访问、损坏和泄露，并确保信息系统的可靠性和稳定性。

信息安全管理对于组织来说至关重要，可以降低信息安全风险，保护客户数据和企业敏感信息，维护业务连续性并遵守法律法规。

2. 请列举并简要介绍ISO/IEC 27001标准中的信息安全管理体系（ISMS）要素。

ISO/IEC 27001标准中的信息安全管理体系包括以下要素：- 上下文分析：了解和评估组织内外部环境，明确信息安全管理体系的范围和目标。

- 领导力承诺：组织领导层需对信息安全提供明确的承诺和支持，并制定相关政策和目标。

- 风险评估：全面识别、评估和管理信息资产的风险，制定相应的风险处理计划。

- 资产管理：对信息资产进行明确定义、分类和管理，包括信息的获取、使用、存储和销毁。

- 安全控制：通过采取适当的技术和管理措施，确保信息资产的安全性、完整性和可用性。

- 人员安全：建立适当的人员安全政策，包括招聘、培训和意识教育，以及离职员工信息的处理。

- 通信与运营管理：确保信息传输和处理的安全性，包括网络安全、供应商管理和监控措施。

- 环境安全：评估和管理物理环境的安全性，包括设备的安全维护和灾难恢复。

- 合规性管理：遵守法律法规和适用的信息安全要求，包括隐私保护和知识产权保护。

二、网络安全1. 阐述网络安全的概念，并列举常见的网络安全威胁。

网络安全主要涉及保护计算机网络和网络连接的安全性，防止网络系统遭受未经授权的访问、攻击和滥用。

第六章物理安全与环境安全物理安全是对环境风险和不可预知的人类活动的第一道防线。

通过环境设计预防犯罪结合了与其有关的物理环境和社会问题,以减少犯罪,降低对犯罪的恐惧。

在决定为物理安全分配适当的预算经费的时候。

应该先确定设施中的财产的价值和设施本身的价值。

自动的环境控制措施有助于减少损害程度,并能够加快恢复进程。

而手工的方法耗费时间、容易出错,而且需要人不断地注意。

需要对物理建筑使用的材料及建筑结构成分的防护特性做出评估,并评估它的效用、成本以及给公司带来的收益。

一些物理安全措施可能和人身生命安全相矛盾,需要注意到这个问题,要意识到人的生命总是比保护设施或其中的设备更加重要。

在为设施寻找建筑地点的时候,需要考虑到当地的犯罪率,发生自然灾害的几率,与医院、警察局、消防局、机场和铁路的距离。

供暖通风和空调系统(HVAC)应该为公司维持适当的温度和湿度。

并提供闭环的空气流通系统,保证正压力及通风。

湿度过高会造成腐蚀,而湿度过低会造成静电。

灰尘和空气的污染物会给计算机硬件造成不利影响,因此它们应该被控制在一个可以接受的水平上。

管理方面的措施包括对紧急:事件处理规程的演习和练习、仿真试验、文件的归档、检查和报告、对员工的预先筛选、解雇后的处理规程、责任的委托.、岗位轮换、安全意识培训。

紧急事件处理规程文档需要能够很容易地拿到,并需要定期检查和更新。

接近式身份验证装置可以是用户激活的(意思是由用户主动完成认证)或是系统激活的(意思是由系统主动完成认证)。

无线电收发器是一种不需要用户采取行动的接近式认证装置,读卡器向该设备传送一个信号,而该设备返回一个认证码。

外部的栅栏可能会花费很多成本而且影响美观,但是能够使建筑周围不那么拥挤并有助于设施的访问控制。

内部的隔间不能够忽视天花板。

因为入侵者可以搬开天花板,越过隔间进入到设施中的关键部位。

入侵检测设备包括运动探测器、闭路电视系统、振动探测器和光束探测器。

入侵检测设备比较敏锐,安装和监视费用很高,需要人的响应,会受误报警的干扰。

网络安全与物理安全保护网络设备和服务器的物理环境网络安全与物理安全在当今数字化时代中扮演着至关重要的角色。

随着信息技术的迅速发展，我们的生活愈发依赖互联网和网络设备。

因此，确保网络设备和服务器的物理环境安全对于保护个人隐私、预防黑客攻击以及维护数据完整性至关重要。

本文将探讨网络安全与物理安全的关系，以及如何保护网络设备和服务器的物理环境。

1. 网络安全的重要性网络安全是指保护计算机网络系统和网络资源免受未经授权的访问、破坏、窃取或更改的一系列措施。

网络安全的威胁形式多样，包括黑客入侵、恶意软件、勒索软件等。

这些威胁对企业和个人都可能造成巨大损失，因此，确保网络设备和服务器的安全至关重要。

2. 物理安全的定义物理安全是指通过保护设备、建筑和设施等手段来防止非法入侵和未经授权的物理接触。

在网络安全领域，物理安全是一种应对黑客攻击和恶意访问的关键防护措施。

物理安全措施包括建立安全区域、控制访问权限、安装监控摄像头等。

3. 保护网络设备的物理环境3.1 安全设备放置将网络设备放置在安全区域内，限制物理接触和操作权限。

可以采用锁定机柜、安装无线探测器等物理安全设备，以便及时发现非法入侵行为。

3.2 控制访问权限设立严格的访问控制措施，只允许授权人员进入网络设备所在的区域。

可以采用刷卡门禁系统、指纹识别系统等技术手段，确保只有授权人员才能进入服务器区域。

3.3 视频监控在关键区域安装监控摄像头，实时监控网络设备和服务器所在的物理环境，及时发现异常情况。

监控录像可以作为证据追踪和事后分析。

4. 保护服务器的物理环境4.1 安全机房设计建立安全的机房环境，包括控制机房入口、设置监测设备、处理机房温度和湿度、防雷接地等。

机房的防火、防水、防尘措施也需要得到重视。

4.2 电力保障为服务器提供稳定的电力供应，防止因为突发停电导致数据丢失。

可以考虑设置UPS不间断电源系统、发电机备份等设备，确保服务器的连续运行。

4.3 温度和湿度控制维持适宜的温度和湿度是保护服务器的重要措施。

网络安全物理安全网络安全是指在互联网环境下，对信息进行保护、防范网络攻击和未经授权的访问、使用、披露、修改、破坏等非法活动的综合性工作。

在网络安全的保护中，除了网络技术和措施之外，物理安全也是非常重要的一环。

物理安全是指对电子设备、网络设备、机房、数据中心等物理环境进行保护，以防止物质的损失和非法的侵入。

物理安全是网络安全的基础，因为没有了物理安全，任何措施都会变得无用。

以下是物理安全的几个重要方面：首先是设备安全。

设备安全包括对服务器、交换机、路由器等设备进行密封和锁定，以防止非法操作和物理攻击。

设备可以采取如加密、访问控制、设备位置、设备摆放等措施来增加安全性。

其次是机房和数据中心的安全。

机房是安放服务器、网络设备的地方，数据中心则是机房的集合。

机房和数据中心的安全包括对门禁系统、监控系统、报警系统的设置和管理，以及对机柜、UPS、变压器、空调等设备的保护和维护。

此外，机房和数据中心的防火和防水措施也非常重要，一旦发生火灾或水灾，将会造成严重的损失。

再次是网络线路的安全。

网络线路是数据传输的媒介，它的安全直接关系到数据的保密性和完整性。

为了保证线路的安全，可以采取物理加密、线路保护、线路纠错等方式来防止非法的监听和篡改。

最后是员工离岗时的安全。

员工离开工作岗位时，必须将电脑锁屏或关机，并将纸质文件和U盘等重要物品妥善存放。

同时，公司应该建立一套完善的员工离岗制度，包括签出、签入等程序。

综上所述，物理安全是网络安全的基础，不可忽视。

只有在完善的物理安全措施下，才能有效地保护网络的安全，确保信息的保密性、完整性和可用性。

因此，在强调网络技术的发展和应用的同时，我们也应该注重物理安全的建设和管理。

1.张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的昵称，然后向该好友的其他好友发送一些欺骗消息。

该攻击行为属于以下哪类攻击?A. 口令攻击B. 拒绝服务攻击C. 社会工程学攻击D. 暴力破解正确答案： C2.下列哪类工具是日常用来扫描web漏洞的工具？A. NMAPB. IBM APPSCANC. X-SCAND. Nessus正确答案： B3.主要用于加密机制的协议是A. SSLB. TELNETC. HTTPD. FTP正确答案： A4.以下哪个服务器未曾被发现文件解析漏洞?A. nginxB. squidC. ApacheD. IIS正确答案： B5.以下哪个工具不可以抓取HTTP数据包?A. FiddlerB. WiresharkC. BurpsuiteD. Nmap正确答案： D6.以下关于VPN说法正确的是A. 进入QQ空间VPN只能提供身份认证、不能提供加密数据的功能B. VPN指的是用户通过公用网络建立的临时的、安全的连接C. VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路D. VPN不能做到信息认证和身份认证正确答案： C7.以下哪个工具不可以抓取HTTP数据包?A. NmapB. FiddleC. BurpsuiteD. Wireshark正确答案： A8.以下哪个数据库不是关系型数据库A. mysqlB. mssqlC. redisD. oracle正确答案： C9.以下命令可以用来获取DNS记录的是A. digB. pingC. whoD. traceroute正确答案： A10.一个网站存在命令执行漏洞，由于服务器不能连外网，这时我们可以利用什么样的方式将文件上传到服务器A. vbsB. powershellC. echoD. ftp正确答案： C11.攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息，重放发往B称为A. 口令猜测器和字典攻击B. 回放攻击C. 强力攻击D. 中间人攻击正确答案： B12.XXE漏洞可以做什么A. 获取用户浏览器信息B. 网络钓鱼C. 盗取用户cookieD. 读取服务器文件正确答案： D13.Mysql数据库若使用load_file()函数读取操作系统文件时需要的权限是A. WriteB. LoadFileC. FileD. Read正确答案： C14.语义攻击利用的是A. 黑客和病毒的攻击B. 黑客对系统攻击C. 病毒对软件攻击D. 信息内容的含义正确答案： D15.张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的昵称，然后向该好友的其他好友发送一些欺骗消息。