CISP考试的考点

CISP考试的考点

一、安全管理基础与管理体系

1、信息安全管理的概念

2、管理的对象：包括人在类的各类信息相关资产

3、广义和狭义体系狭义指按照ISO27001标准定义的ISMS 广义的信息安全管理体系：泛指任何一种有关信息安全的管理体系

4、组成部分

5、管理要发挥能动性作用

6、信息安全管理技术与管理并重，3分技术7分管理

7、信息安全管理安全要以预防为主

8、安全管理对内作用为主

9、安全管理的过程方法，要熟悉图

10、PDCA记下来规划实施检测处置

11、PDCA的特点

12、信息安全管理体系

13、管理体系的文件要进行管理与控制

14、1-4级的图，四个层级与对应的内容

15、内审，内部审核用内部组织自己活以组织的名义进行审核，ISMS能够持续改进的重要动力之一

16、管理评审为实现已建立的目标，而进行的确定管理体系的适宜性，充分性和有效性活动

17、认证的有效期ISMS 包括一组审核初次认证年度监督审核和复审有效期三年

18、结构的图，D1-7

19、风险的四种处理方式降低避免转移接受 20、纠正措施和预防措施的区别

二、网络安全

1、ISO 7个层 3、IP 是逻辑寻址 4、传输层是逻辑寻址 5、数据的封装与节封装的顺序

6、安全机制每个机制可实现的哪个服务，公正-抗抵赖；应用层、网络层能够实现所有安全服务内容

Plan

Act

维护和改进

ISMS

监视和评审ISMS

Do

实施和运行

ISMS

7、4层的顺序不要错了

8、TCP协议与UDP协议的区别

9、X.509,数字证书

10、IPV6的地址数量2的128次内置IPSEC 安全特性

11、无线局域网的构成

12、无线局域网的问题信道开放开放式认证共享密钥

13、WPA是草案版本，WPA2是正式版本

14、WAI负责认证，WPI负责加密WAPI协议安全优势双向三鉴别(服务器AP STA) 高强度传输加密ECC算法

15、包过滤防火墙的优点、缺点

15、代理网关防火墙的优点与缺点

16、地址转换的优点与缺点容易暴露防火墙的网络位置

17、防火墙的部署模式中，三种模式注意透明模式不需要做NAT

18、给你一个网络拓扑图，问防火墙部署在哪个位置，防火墙部署在路由器的外面

19、防火墙的策略，分别适用什么场景，新建的网络、已有的网络的策略

20、入侵检测的构成：

21、数据检测中误用检测、异常检测的对比

22、网闸与防火墙物理隔离、逻辑隔离

23、安全域的概念与划分方法，安全域需要考虑物理位置、业务、部门、数据流、生产特性

23、IP地址规划原则

24、VLAN设计的划分方法

三、信息安全保障

1、信息安全三要素保密性完整性可用性

2、信息安全的基本特征系统动态无边界非传统涉及组织管理社会问题国家安全

3、产生信息全的内因（脆弱性）、外因（威胁）

4、安全发展的阶段，该场景是发展的哪个阶段

5、美国网络空间的三位一体式哪三位一体网络防御攻击利用

6、布时政府CNCI 2008年1月曼哈顿项目

7、P2DR模型的图

8、P2DR的公式，Pt与Dt的公式

9、IATF的三要素信息保障技术框架核心人技术操作

10、IATF的代表理论为深度防御

11、IATF的四个保障领域，三保护一支撑保护本地计算环境区域边界网络和基础设施支撑基础上设施

12、信息系统安全保障模型，安全特征、保障要素要填空

13、信息安全的最终目的是为了业务

14、CNCI三道防线，第一线防御应对各类威胁强化未来安全环境目的是为了进行风险的降低与处理

15、关键基础设施保障的原因，是这些领域很关键

16、我国信息安全保障工作发展的三个阶段，2001-2002 开始启动2003-2005逐步展开积极推广、2006至今深化落实

17、我们国家应急响应的机构名称CNCERT/CC

18、我们国家安全委员会TC260

19、信息系统安全保障具体需求来源

20、需求文档简称ISPP（信息系统保护轮廓），由用户提出

21、ISPP是正式文档，由用户提出

22、ISST（信息系统安全目标），方案是厂商制定的，一个ISSP可以由多个ISST 满足

23、信息安全测评依据的标准是CC，等级是1-7级，1-4级，哪些适用党政、商业

24、系统安全工程能力成熟度模型，分别是5级，21827

25、信息安全服务资质，SSE-CMM，把五级记下来

26、系统在维护过程中最重要的工作是风险管理，发现风险的手段监测、监控系统信息安全保障需要覆盖信息系统的整个生命周期

四、信息安全法规、政策和标准

1、国家秘密的保密期限：10、20、30还有长期保密的

2、国家秘密是哪个部门主管，国家保密行政管理部门，国家对定密、解密有要求

3、商业秘密：给4个答案，如下哪个不属于商业秘密或国家秘密

4、电子签名法，签名信息签名者、验证者可访问

5、商用密码的定义，商用密码技术属于国家秘密

6、商用产品实行的一体化的专控管理

7、信息安全保障工作意见，中办发文号27号文，、内容、方针、原则（坚持技术与管理并重）

8、27号文没有提到保护隐私、没有提到保护产权、没有提到国产化

9、风险评估指导意见（国信办2006 5号文）风险评估要贯穿全过程，要以自评估为主，要相互结合

10、等级保护的五级怎么描述的，名称