CISP2018_信息安全监管_v4.1

CISP-信息安全管理知识点总结第1节信息安全管理体系1.管理的概念和对象：略。

2.管理的作用：2.1 组织整体管理重要、固有组成部分。

*2.2 组织实现其业务目标的重要保障。

*2.3 信息安全管理是信息安全技术的融合剂。

*2.4 信息安全管理能预防、阻止或减少信息安全事件的发生。

*3. 管理对内和对外的作用，以对内作用为主。

*4. 管理成功要素：反映业务目标、文化一致、实质性支持、教育培训、风险管理的理解、测量等。

*5.管理的方法：风险管理和过程管理（PDCA）。

*6. 27001-27005的标准。

*7. ISO/IEC 27001的PDCA各阶段的工作内容：*7.1 P阶段7.2 D阶段7.3 C阶段7.4 A阶段第2节信息安全管理措施1.信息安全方针*1.1制定方针1.2评审方针2.信息安全组织2.1 内部组织*—信息安全的角色和职责—职责分离—与政府部门的联系—与相关利益方的联系—项目管理的信息安全2.2 移动设备与远程办公—移动设备方针—远程工作3.人力资源安全*3.1 任用前：审查、任用条款及条件。

3.2 任用中：管理职责、信息安全意识、教育和培训、纪律处理过程。

3.3 任用终止或变化：雇佣责任的改变和终结4. 资产管理*4.1 资产负责：资产清单、资产责任人、资产的可接受使用、资产归还。

4.2 信息分类：分类指南、信息的标记、资产的处理。

5.访问控制5.1 访问控制-访问控制的业务要求5.2 访问控制-用户访问管理5.3 访问控制-用户职责5.4 访问控制-系统和应用访问控制6.密码学-加密控制—使用加密控制的策略—密钥管理7.物理与环境安全*7.1 物理与环境安全-安全区域7.2 物理与环境安全-设备安全8.操作安全8.1 操作规程和职责8.2 恶意代码防范8.3 备份8.4 日志记录和监视8.5 操作软件控制8.6 信息系统审计的考虑9.通信安全9.1 网络安全管理9.2 信息的交换10.信息获取开发及维护10.1 信息系统的安全要求10.2 开发和支持过程中的安全10.3 测试数据11.供应商的安全11.1 供应商关系中的信息安全11.2 供应商服务交付管理12.信息安全事件管理*12.1 信息安全事件的管理和改进12.2 信息安全事件管理职责和规程12.3 信息安全事件的响应13.信息安全方面的业务连续性管理13.1 信息安全的连续性13.2 冗余14.符合性*14.1 符合性-符合法律和合同规定14.2 符合性-信息安全审核第三节社会工程学攻击*1.概念及危害2.防护措施：提高人的意识和认知水平。

1.人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是出于：A. 为了更好的完成组织机构的使命B. 针对信息系统的攻击方式发生重大变化C. 风险控制技术得到革命性的发展D. 除了保密性，信息的完整性和可用性也引起了人们的关注2.《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指：A. 对抗级B. 防护级C. 能力级D. 监管级3.下面对信息安全特征和范畴的说法错误的是：A. 信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、管理、政策等众多因素B. 信息安全是一个动态的问题，他随着信息技术的发展普及，以及产业基础，用户认识、投入产出而发展C. 信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的D. 信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点4. 美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时，将信息技术系统分为：A. 内网和外网两个部分B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施六个部分5. 关于信息安全策略的说法中，下面说法正确的是：A. 信息安全策略的制定是以信息系统的规模为基础B. 信息安全策略的制定是以信息系统的网络？？？C. 信息安全策略是以信息系统风险管理为基础D. 在信息系统尚未建设完成之前，无法确定信息安全策略6. 下列对于信息安全保障深度防御模型的说法错误的是：A. 信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。

B. 信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。

C I S P试题及答案-一套题1.下面关于信息安全保障的说法错误的是：A.信息安全保障的概念是与信息安全的概念同时产生的B.信息系统安全保障要素包括信息的完整性，可用性和保密性C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施各种保障要素，在系统的生命周期内确保信息的安全属性。

以下哪一项是数据完整性得到保护的例子？A.某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作B.在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作C.某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D.李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？A.通信安全B.计算机安全C.信息安全D.信息安全保障以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？A.提高信息技术产品的国产化率B.保证信息安全资金注入C.加快信息安全人才培养D.重视信息安全应急处理工作以下关于置换密码的说法正确的是：A.明文根据密钥被不同的密文字母代替B.明文字母不变，仅仅是位置根据密钥发生改变C.明文和密钥的每个bit异或D.明文根据密钥作了移位以下关于代替密码的说法正确的是：A.明文根据密钥被不同的密文字母代替B.明文字母不变，仅仅是位置根据密钥发生改变C.明文和密钥的每个bit异或D.明文根据密钥作了移位7常见密码系统包含的元素是：A.明文、密文、信道、加密算法、解密算法B.明文、摘要、信道、加密算法、解密算C.明文、密文、密钥、加密算法、解密算法D.消息、密文、信道、加密算法、解密算法8在密码学的Kerchhoff假设中，密码系统的安全性仅依赖于____________________A.明文B.密文C.密钥D.信道9PKI在验证一个数字证书时需要查看_________来确认该证书是否已经作废A.ARLB.CSSC.KMSD.CRL10、一项功能可以不由认证中心CA完成？A.撤销和中止用户的证书B.产生并分布CA的公钥C.在请求实体和它的公钥间建立链接D.发放并分发用户的证书11、一项是虚拟专用网络（VPN）的安全功能？A.验证，访问控制盒密码B.隧道，防火墙和拨号C.加密，鉴别和密钥管理D.压缩，解密和密码12、为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，列哪一项最好地描述了星或（*-）完整性原则？A.Bell-LaPadula模型中的不允许向下写B.Bell-LaPadula模型中的不允许向上度C.Biba模型中的不允许向上写D.Biba模型中的不允许向下读13、下面哪一个情景属于身份鉴别（Authentication）过程？A.用户依照系统提示输入用户名和口令B.用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改C.用户使用加密软件对自己编写的office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容D.某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程记录在系统日志中14、下列对Kerberos协议特点描述不正确的是：A.协议采用单点登录技术，无法实现分布式网络环境下的认证B.协议与授权机制相结合，支持双向的身份认证C.只要用户拿到了TGT并且该TGT没有过期，就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码D.AS和TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全15、TACACS+协议提供了下列哪一种访问控制机制？A.强制访问控制B.自主访问控制C.分布式访问控制D.集中式访问控制16、下列对蜜网功能描述不正确的是：A.可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击B.吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来C.可以进行攻击检测和实时报警D.可以对攻击活动进行监视、检测和分析17、下列对审计系统基本组成描述正确的是：A.审计系统一般包括三个部分：日志记录、日志分析和日志处理B.审计系统一般包含两个部分：日志记录和日志处理C.审计系统一般包含两个部分：日志记录和日志分析D.审计系统一般包含三个部分：日志记录、日志分析和日志报告18、在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务？A.加密B.数字签名C.访问控制D.路由控制19、在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务？A.网络层B.表示层C会话层D.物理层20、WAPI采用的是什么加密算法？A.我国自主研发的公开密钥体制的椭圆曲线密码算法B.国际上通行的商用加密标准C.国家密码管理委员会办公室批准的流加密标准D.国际通行的哈希算法21、通常在VLAN时，以下哪一项不是VLAN的规划方法？A.基于交换机端口B.基于网络层协议C.基于MAC地址D.基于数字证书22、某个客户的网络现在可以正常访问Internet互联网，共有200台终端PC但此客户从ISP（互联网络服务提供商）里只获得了16个公有的IPv4地址，最多也只有16台PC可以访问互联网，要想让全部200台终端PC访问Internet互联网最好采取什么方法或技术：A、花更多的钱向ISP申请更多的IP地址B、在网络的出口路由器上做源NATC、在网络的出口路由器上做目的NATD、在网络出口处增加一定数量的路由器23、以下哪一个数据传输方式难以通过网络窃听获取信息？A.FTP传输文件B.TELNET进行远程管理C.URL以HTTPS开头的网页内容D.经过TACACS+认证和授权后建立的连接24、桥接或透明模式是目前比较流行的防火墙部署方式，这种方式的优点不包括：A.不需要对原有的网络配置进行修改B.性能比较高C.防火墙本身不容易受到攻击D.易于在防火墙上实现NAT25、下面哪一项是对IDS的正确描述？A、基于特征（Signature-based）的系统可以检测新的攻击类型B、基于特征（Signature-based）的系统化基于行为（behavior-based）的系统产生更多的误报C、基于行为（behavior-based）的系统维护状态数据库来与数据包和攻击相匹配D、基于行为（behavior-based）的系统比基于特征（Signature-based）的系统有更高的误报26、下列哪些选项不属于NIDS的常见技术？A.协议分析B.零拷贝C.SYN CookieD.IP碎片重组27、在UNIX系统中输入命令“IS-AL TEST”显示如下：“-rwxr-xr-x 3 root root 1024 Sep 13 11：58 test”对它的含义解释错误的是：A.这是一个文件，而不是目录B.文件的拥有者可以对这个文件进行读、写和执行的操作C.文件所属组的成员有可以读它，也可以执行它D.其它所有用户只可以执行它28、在Unix系统中，/etc/service文件记录了什么内容？A、记录一些常用的接口及其所提供的服务的对应关系B、决定inetd启动网络服务时，启动那些服务C、定义了系统缺省运行级别，系统进入新运行级别需要做什么D、包含了系统的一些启动脚本29、以下对windows账号的描述，正确的是：A、windows系统是采用SID（安全标识符）来标识用户对文件或文件夹的权限B、windows系统是采用用户名来标识用户对文件或文件夹的权限C、windows系统默认会生成administration和guest两个账号，两个账号都不允许改名和删除D、windows系统默认生成administration和guest两个账号，两个账号都可以改名和删除30、以下对于Windows系统的服务描述，正确的是：A、windows服务必须是一个独立的可执行程序B、windows服务的运行不需要用户的交互登录C、windows服务都是随系统的启动而启动，无需用户进行干预D、windows服务都需要用户进行登录后，以登录用户的权限进行启动31、以下哪一项不是IIS服务器支持的访问控制过滤类型？A.网络地址访问控制B.WEB服务器许可C.NTFS许可D.异常行为过滤32、为了实现数据库的完整性控制，数据库管理员应向DBMS提出一组完整性规则来检查数据库中的数据，完整性规则主要由3部分组成，以下哪一个不是完整性规则的内容？A.完整性约束条件B.完整性检查机制C.完整性修复机制D.违约处理机制33、数据库事务日志的用途是什么？A.事务处理B.数据恢复C.完整性约束D.保密性控制34、下列哪一项与数据库的安全有直接关系？A.访问控制的粒度B.数据库的大小C.关系表中属性的数量D.关系表中元组的数量35、下面对于cookie的说法错误的是：A、cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息B、cookie可以存储一些敏感的用户信息，从而造成一定的安全风险C、通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗D、防范cookie欺骗的一个有效方法是不使用cookie验证方法，而使用session 验证方法36、以下哪一项是和电子邮件系统无关的？A、PEMB、PGPC、X500D、X40037、Apache Web 服务器的配置文件一般位于/usr/local/apache/conf目录，其中用来控制用户访问Apache目录的配置文件是：A、httpd.confB、srm.confC、access.confD、inetd.conf38、Java安全模型（JSM）是在设计虚拟机（JVN）时，引入沙箱（sandbox）机制，其主要目的是：A、为服务器提供针对恶意客户端代码的保护B、为客户端程序提供针对用户输入恶意代码的保护C、为用户提供针对恶意网络移动代码的保护D、提供事件的可追查性39、恶意代码采用加密技术的目的是：A.加密技术是恶意代码自身保护的重要机制B.加密技术可以保证恶意代码不被发现C.加密技术可以保证恶意代码不被破坏D.以上都不正确40、恶意代码反跟踪技术描述正确的是：A反跟踪技术可以减少被发现的可能性B.反跟踪技术可以避免所有杀毒软件的查杀C.反跟踪技术可以避免恶意代码被消除D.以上都不是41、下列关于计算机病毒感染能力的说法不正确的是：A.能将自身代码注入到引导区B.能将自身代码注入到扇区中的文件镜像C.能将自身代码注入文本文件中并执行D.能将自身代码注入到文档或模板的宏中代码42、当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时，就会产生哪种类型的漏洞？A.缓冲区溢出B.设计错误C.信息泄露D.代码注入43、完整性检查和控制的防范对象是________,防止它们进入数据库。

1．美国的关键信息基础设施(critical Information Infrastructure，CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等，美国政府强调重点保障这些基础设施信息安全，其主要原因不包括：A．这些行业都关系到国计民生，对经济运行和国家安全影响深远B．这些行业都是信息化应用广泛的领域C. 这些行业信息系统普遍存在安全隐患，而且信息安全专业人才缺乏的现象比其他行业更突出D．这些行业发生信息安全事件，会造成广泛而严重的损失答案：C2．关于我国信息安全保障工作发展的几个阶段，下列哪个说法不正确：A．2001-2002年是启动阶段，标志性事件是成立了网络与信息安全协调小组，该机构是我国信息安全保障工作的最高领导机构B．2003-2005年是逐步展开和积极推进阶段，标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略C．2005-至今是深化落实阶段，标志性事件是奥运会和世博会信息安全保障取得圆满成功D．2005-至今是深化落实阶段，信息安全保障体系建设取得实质性进展，各项信息安全保障工作迈出了坚实步伐答案：C3．依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标(ISST)中，安全保障目的指的是：A、信息系统安全保障目的B、环境安全保障目的C、信息系统安全保障目的和环境安全保障目的D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的答案：D*4．以下哪一项是数据完整性得到保护的例子?A．某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作B．在提款过程中ATM终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作C．某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作D．李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看答案：B*5.公司甲做了很多政府网站安全项目，在为网游公司乙的网站设计安全保障方案时，借鉴以前项目经验，为乙设计了多重数据加密安全措施，但用户提出不需要这些加密措施，理由是影响了网站性能，使用户访问量受限，双方引起争议。

CISP01-信息安全法律法规和标准第一节信息安全法律法规1.立法体系：1.1分工：全国人大立法机构、国务院和地方人大是法规制定机构、地方地方是规章制度。

1.2法律：宪法—基本法（民法、行政法、刑法）—专门法—法规——规章制度。

1.3专门法：《网络安全法》、《保守国家秘密法》、《国家安全法》、《国家反间谍法》、《反恐怖主义法》、《治安管理处罚法》、《合同法》、《劳动合同法》、《人民警察法》。

1.4法规：《计算机信息系统保护条例》（2017年以前有效）、《商用密码管理条例》（2018年以前有效）、《个人信息保护管理规定》。

2.网络安全法：2.1 总则：网络空间的主权的理解。

2.2 发展与促进：产业、标准、人才、产品与服务。

2.3 网络运行安全：1）一般规定：—实行等级保护—网络运营者的义务—网络产品、服务提供者的安全义务—一般性安全保护义务2）关键信息基础设施的保护—范围—机制（分工）—国务院负责条例制定—运营者义务2.4 网络信息安全1）个人信息保护2）规范信息安全的管理2.5 监测预警和应急处置2.6 法律责任：民事、行政、刑事责任。

3.有关法律3.1 保守国家秘密法：绝密30年、机密20年、秘密10年3.2 刑法的要求3.3 国家安全法的要求。

4.网络安全职业道德第二节网络安全政策1.国家网络空间安全战略2.中央办公厅2003年27号文件2.1 方针：积极防御、综合防范。

2.2 原则：立足国情和以我为主；技管并重；安全保发展和发展求安全。

2.3 内容：等保、密码、监控、应急、产业、法制标准、人才培养、资金保障、工作领导。

3. 十三五规划与网络安全实现以下四个主要目标：1）加强数据资源安全保护2）科学实施网络空间治理3）全面保障重要信息系统安全4）实施网络安全保障方面的重大工程第三节网络安全标准1.标准化组织国际标准化组织（ISO）国际电工委员会（IEC）Internet工程任务组（IETF）国际电信联盟（ITU）及国际电信联盟远程通信标准化组织（ITU-T）2.ISO/IEC JTC1 SC27信息技术安全技术2.1 工作组分工：WG1安全管理标准；WG3安全评估标准；及其他。

cisp试题及答案在本文中，我们将提供CISP试题及答案，帮助读者更好地了解和准备CISP考试。

CISP（Certified Information Security Professional）是一个国际认可的信息安全专业资格认证，通过该认证可以证明个人在信息安全领域具备专业的知识与技能。

一、信息安全管理1. 信息安全管理是指对信息资产进行全面管理和保护的过程。

请简要介绍信息安全管理的目标和重要性。

信息安全管理的目标是保护信息资产的机密性、完整性和可用性，防止信息遭受未经授权的访问、损坏和泄露，并确保信息系统的可靠性和稳定性。

信息安全管理对于组织来说至关重要，可以降低信息安全风险，保护客户数据和企业敏感信息，维护业务连续性并遵守法律法规。

2. 请列举并简要介绍ISO/IEC 27001标准中的信息安全管理体系（ISMS）要素。

ISO/IEC 27001标准中的信息安全管理体系包括以下要素：- 上下文分析：了解和评估组织内外部环境，明确信息安全管理体系的范围和目标。

- 领导力承诺：组织领导层需对信息安全提供明确的承诺和支持，并制定相关政策和目标。

- 风险评估：全面识别、评估和管理信息资产的风险，制定相应的风险处理计划。

- 资产管理：对信息资产进行明确定义、分类和管理，包括信息的获取、使用、存储和销毁。

- 安全控制：通过采取适当的技术和管理措施，确保信息资产的安全性、完整性和可用性。

- 人员安全：建立适当的人员安全政策，包括招聘、培训和意识教育，以及离职员工信息的处理。

- 通信与运营管理：确保信息传输和处理的安全性，包括网络安全、供应商管理和监控措施。

- 环境安全：评估和管理物理环境的安全性，包括设备的安全维护和灾难恢复。

- 合规性管理：遵守法律法规和适用的信息安全要求，包括隐私保护和知识产权保护。

二、网络安全1. 阐述网络安全的概念，并列举常见的网络安全威胁。

网络安全主要涉及保护计算机网络和网络连接的安全性，防止网络系统遭受未经授权的访问、攻击和滥用。

CISP 信息安全标准与法律法规介绍CISP（China Information Security Evaluation Standard）是由中国信息安全测评中心（CISE）制订的信息安全测评标准。

CISP分为5个等级，分别是CISP-1、CISP-2、CISP-3、CISP-4和CISP-5，其中CISP-5是最高等级。

CISP主要用于评估企业的信息安全水平，并根据评估结果给出相应的建议和改进措施。

除了CISP标准，中国还有其他一些相关的信息安全标准和法律法规。

CISP信息安全标准CISP-1CISP-1是最低安全等级，适用于对信息安全要求不高的小型企业。

CISP-1要求企业建立基本的信息安全管理制度，确保开展信息处理活动的合法性、正确性和安全性。

此外，CISP-1还要求企业对重要的信息资产进行分类和保护，并建立基本的安全防护措施，如防火墙、反病毒软件等。

CISP-2CISP-2适用于对信息安全要求较高的中小型企业。

CISP-2包括CISP-1的所有要求，并增加了一些额外要求，如完善的安全管理制度、信息安全培训和考核、网络安全事件的应急处理等。

CISP-3CISP-3适用于对信息安全要求较高的大型企业和政府机构。

CISP-3包括CISP-2的所有要求，并增加了一些更高级别的安全措施，如网络边界控制、网络入侵检测、流量监控等。

CISP-4CISP-4适用于对信息安全要求非常高的特定行业和组织，如金融机构、国家机密单位等。

CISP-4包括CISP-3的所有要求，并增加了一些更严格的安全措施，如网络隔离、异地备份、安全审计等。

CISP-5CISP-5是最高等级，适用于对信息安全要求极高的行业和组织，如核电站、军事领域等。

CISP-5包括CISP-4的所有要求，并增加了更加高级别的安全措施，如身份认证、权限控制、加密等。

法律法规《网络安全法》《网络安全法》是中国首部全面、系统的网络安全立法，于2016年11月7日正式施行。

1.人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于:A.为了更好地完成组织机构的使命B.针对信息系统的攻击方式发生重大变化C.风险控制技术得到革命性的发展D.除了保密性,信息的完整性和可用性也引起人们的关注2.信息安全保障的最终目标是:A.掌握系统的风险,制定正确的策略B.确保系统的保密性、完整性和可用性C.使系统的技术、管理、工程过程和人员等安全保障要素达到要求D.保障信息系统实现组织机构的使命3.关于信息保障技术框架（IATF），下列哪种说法是错误的？A．IATF强调深度防御（Defense-in-Depth）,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障；B. IATF强调深度防御（Defense-in-Depth）,即对信息系统采用多层防护，实现组织的业务安全运作C. IATF强调从技术、管理和人等多个角度来保障信息系统的安全；D. IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全4.依据国家标准GB/T20274《信息系统安全保障评估框架》，信息系统安全目标（ISST）是从信息系统安全保障____的角度来描述的信息系统安全保障方案。

A.建设者B.所有者C.评估者D.制定者5.以下关于信息系统安全保障是主观和客观的结合说法错误的是：A.通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。

B.信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全C.是一种通过客观证据向信息系统所有者提供主观信心的活动D.是主观和客观综合评估的结果；6.信息系统保护轮廓（ISPP）定义了__.A.某种类型信息系统的与实现无关的一组系统级安全保障要求B.某种类型信息系统的与实现相关的一组系统级安全保障要求C.某种类型信息系统的与实现无关的一组系统级安全保障目的D.某种类型信息系统的与实现相关的一组系统级安全保障目的7.以下对PPDR模型的解释错误的是：A．该模型提出以安全策略为核心，防护、检测和恢复组成一个完整的，B．该模型的一个重要贡献是加进了时间因素，而且对如何实现系统安全状态给出了操作的描述C．该模型提出的公式1：Pt>Dt+Rt，代表防护时间大于检测时间加响应时间D．该模型提出的公式1：Pt＝Dt+Rt，代表防护时间为0时，系统检测时间等于检测时间加响应时间8.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项作内容之一？A．提高信息技术产品的国产化率B．保证信息安全资金投入&C．加快信息安全人才培养D．重视信息安全应急处理工作9.谁首先提出了扩散－混淆的概念并应用于密码学领域？A.香农B.ShamirC.HellmanD.图灵10.以下哪些问题、概念不是公钥密码体制中经常使用到的困难问题？A．大整数分解B．离散对数问题C．背包问题D．伪随机数发生器11.下列关于kerckhofff准则的合理性阐述中，哪一项是正确的？A.保持算法的秘密比保持密钥的秘密性要困难得多B.密钥一旦泄漏，也可以方便地更换C.在一个密码系统中，密码算法是可以公开的，密钥应保证安全D.公开的算法能够经过更严格的安全性分析12.以下关于RSA算法的说法，正确的是：A.RSA不能用于数据加密B.RSA只能用于数字签名C.RSA只能用于密钥交换D.RSA可用于加密，数字签名和密钥交换体制13.Hash算法的碰撞是指：A.两个不同的消息，得到相同的消息摘要B.两个相同的消息，得到不同的消息摘要C.消息摘要和消息的长度相同D.消息摘要比消息的长度更长14.下列哪种算法通常不被用于保证机密性？A.AESB.RC4C.RSAD.MD515.数字证书的功能不包括：A.加密B.数字签名C.身份认证D.消息摘要16.下列哪一项是注册机构（RA）的职责？A．证书发放B．证书注销C．提供目录服务让用户查询D．审核申请人信息17.IPsec工作模式分别是：A.一种工作模式：加密模式B.三种工作模式：机密模式、传输模式、认证模式C.两种工作模式：隧道模式、传输模式D.两种工作模式：隧道模式、加密模式18.下列哪些描述同SSL相关？A.公钥使用户可以交换会话密钥，解密会话密钥并验证数字签名的真实性B.公钥使用户可以交换会话密钥，验证数字签名的真实性以及加密数据C.私钥使用户可以创建数字签名，加密数据和解密会话密钥。

CISP-信息安全保障第一节信息安全保障基础1.信息安全保障基础1.1信息安全的定义：狭义和广义之分。

1.2信息安全的特点：系统、动态、无边界、非传统。

1.3信息安全的属性：保密性、完整性、可用性；真实性、不可否认、可追责、可靠性。

1.4信息安全问题根源：内因和外因，外因包括自然和人为威胁；人为威胁包括故意威胁和非故意威胁。

1.5信息安全的视角：国家、商业（企业）和个人视角的内容。

2.信息安全发展阶段2.1 通信安全：采用加密的措施解决信息窃听、密码分析问题。

2.2 计算机系统安全：采用计算机防护的系列手段，提高系统安全性。

2.3 网络安全：通过防火墙等成熟的措施解决网络信息系统安全问题。

2.4 网络空间安全：防御措施、威慑措施以及情报利用。

3. 了解《国家网络空间安全发展战略》。

第二节信息安全保障模型1.P2DR1.1P2DR：策略-防护-检测-响应1.2P2DR思想：基于时间的防护与安全的有效性1.3P2DR公式：Pt>Dt+Rt 那么系统是安全的。

Pt<Dt+Rt，那么（Dt+Rt）- Pt =Et，要求Et<=01.4P2DR作用：实现系统在时间上的防护是有效的。

2.IATF2.1 IATF核心：人、技术、操作。

2.2 IATF保护方面：本地计算环境、网络基础设施、区域边界，支撑性基础设施。

2.3 IATF思想：深度防护的思想。

2.4 IATF作用：实现被保护的网络系统在空间上每个节点安全有效性。

3.系统安全保护评估框架3.1 原理：1）实现全生命周期的安全。

2）通过人员要素、技术要素、管理要素和工程要素来综合实现安全。

3）实现目的是保密性、完整性、可用性，以及最终的业务使命。

3.2 评估框架1）ISPP：标准化信息系统的安全需求。

2）ISST：标准化信息系统的安全方案。

3）评估：技术TCML1-5级；管理MCML1-5级；工程ECML1-5级。

4.商业应用安全架构4.1 常用的参考：舍伍德的商业应用安全架构（Sherwood Applied Business Security Architecture，SABSA）、Zachman框架、开放群组架构框架（The Open Group Architecture Framework，TOGAF）。