信息安全培训和CISP知识体系介绍
中国信息安全测评中心 CISP-02-信息安全培训和CISP知识体系介绍
目录
一.信息安全培训业务介绍
? ? ? ? ? 信息安全培训业务现状 美国政府部委信息安全培训体系介绍 信息安全培训体系介绍 注册信息安全专业人员(CISP)介绍 CISP知识体系大纲介绍
二.CISP知识体系介绍
一、信息安全培训业务介绍
目录
一.信息安全培训业务介绍
? ? ? ? ? 信息安全培训业务现状 美国政府部委信息安全培训体系介绍 信息安全培训体系介绍 注册信息安全专业人员(CISP)介绍 CISP知识体系大纲介绍
二.CISP知识体系介绍
1、信息安全培训业务现状
信息安全培训——人的问题
人是信息安全中 最核心问题之 一! 我们政府部门的 广大干部对信 息安全重要性 的认识和相关 技术问题的了 解还远远不能 满足国家发展 的需要
信息安全人才需求的背景
信息安全保障的重要性
? 中办[2003]27号文件“国家信息化领导小组关于加强 信息安全保障工作的意见”; ? 党的十六届四中全会将“信息安全”提升为国家安全 的组成部分
构建全面的信息安全人才体系的需求
? 是国家政策的要求 ? 是组织机构信息安全保障建设自身的要求 ? 是组织机构人员自身职业发展的要求
我国信息安全从业人员素质现状分析
从数量上来看,信息安全从业人员的数量同实际需求存在巨大缺口。
? ? ? 信息安全人才需求不断增加 培养来源:由高校学历教育以及以各种专业注册培训为核心、辅以各种职业技能培训的社 会培训组成。 从近期来看,信息安全从业人员的数量同社会实际需求仍存在巨大缺口。
从质量上来看,高端信息安全人才,特别是信息安全管理人才以及信息安全高层次 和综合性人才严重缺乏 从行业领域上,信息安全从业人员主要集中在政府、金融、电信等信息化发达的行 业领域以及信息安全专业公司中
? 根据对上千名注册信息安全专业人员(CISP)的分析,其中38%的专业人员来自安全厂 商,20%来自金融领域,26%来自税务、海关和部委等政府机构,8%来自电力和电信领 域,4%来自于测评机构,其他占4%。
从信息安全从业人员更多集中在技术领域,而且主要偏向于具体产品的研发、技术 支持和维护。 信息安全从业人员在组织机构中的地位开始得到显著提高,正逐渐从单纯的技术支 持进入到组织机构技术决策和风险管理的角色。
我国信息安全从业人员素质方面突出的 问题
信息安全人才发展战略缺少系统、全面的规划 和协调。 信息安全学历教育和社会实践、社会认证培训 的结合问题 信息安全人才的管理问题。 信息安全管理人才,特别是懂业务的高层次人 才严重缺乏。 信息安全人才培养不规范。 信息安全意识的缺乏
信息安全培训业务的目的和目标
目标
? 为国家信息安全保障人才体系建设做出应有的贡献
增强政府部委、党政机关、重要信息系统和基础网络的 管理和运行人员排除隐患和漏洞的认识、知识和能力 通过市场化,提高国家信息安全人才素质和能力
? 服务对象:
面向政府部委、党政机关、重要信息系统和基础网络 面向市场
信息安全培训业务介绍
2002年,中心在国内率先推出了专业权威的注册信息安全专业 人员(CISP)资质认证 2003年,中心正式出版了注册信息安全专业人员资质认证教材 2002年—2005年:CISP已成为国内最具含金量的信息安全专 业资质认证品牌
? 遍布全国的18家授权培训机构 ? 已经为对信息安全有较高要求的人民银行、海关、国税等政府机构、金 融电信领域、信息安全专业厂商等培养了大批专业的信息安全技术、管 理和审核人员,得到了广泛的认可 ? 。。。
2005年9月:正式发布注册信息安全员(CISM)资质认证 目前,CISP获证人数为二千多人
注册信息安全专业人员(CISP)统计
CISP获证人数增长图
2200 2000 1800 1600 1400 1200 1000 800 600 400 200 0
CISO CISE CISA
2002
2003
2004
2005
2006
2007
数据截止至2007年4月
2008
正式出版发布资料
正式出版发布资料
? 中心官方网站: https://www.doczj.com/doc/504256605.html, ? 对外发行杂志: 《国家信息安全测评认证》 ? 正式出版教材 CISP培训教材(共三册)
其他培训产品化资料
? ? ? ? 培训管理规章制度 培训申请指南文件 知识体系大纲 奥运信息安全培训手册
2、美国政府部委信息安全培训体系介绍
信息安全培训业务背景
美国FISMA(联邦信息安全管理法案)年度报告要求——解析
信息安全意识和培训 ?全员的信息安全意识培训 ?同岗位相关的模块化的培训 ?计算机化、自动化的课程管理、 跟踪、考核、统计和服务系统 ?同现实需求紧密结合的专业、权 威的课件 负有重要安全职责的专业人员 ?国家权威机构的信息安全专业注 册资质 ?重要岗位的资质准入管理 经费的保证
信息安全培训业务背景
美国FISMA(联邦信息安全管理法案)年度评估报告——总结表
信息安全培训业务背景 美国国防部信息安全人员要求
建立分级分类的信 息安全人才要求
? 分类:分为技术和 管理类 ? 分级:每一类分为 1到3级
要求培训、注册、 在职培训和继续培 训
信息安全培训业务背景 美国国防部信息安全人员要求
借助社会力量完成信 息安全人才的培养
? (ISC)2的 CISSP/SSCP ? ISACA的CISA/CISM ? SANS/GIAC的 GSEC/GSE/GISF ? CompTIA的 A+/Network+/Security + ? …
信息安全培训业务背景 美国国防部信息安全人员培训计划
建立人员数据库,确 认人员及其类别和级 别要求 从2006年开始启动, 2007年开始正式实 施,2010年前完成所 有8万人的基础要求 培训
? 第1年10%,后3年每 年30% ? 2011年继续维护和知 识更新
3、信息安全培训体系介绍
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知,以风险驱动的方法去管理信息安全已经被大部分人所共知和接受,这几年国内等级保护的如火如荼的开展,风险评估工作是水涨船高,加之国内信息安全咨询和服务厂商和机构不遗余力的推动,风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准,一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》,其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象,在参照当前流行的国际国内标准如ISO2700 2,COBIT,信息系统等级保护,识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点,最后从可能性和影响程度这两个方面来评价信息资产的风险,综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上,在实践中摸索和开发出类似与流程风险评估等方法,补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法,银行业业务风险管理的方法已经发展到相当成熟的地步,并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是,风险评估作为信息安全领域的新生事物,或者说舶来之物,尽管信息安全本身在国内开展也不过是10来年,风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤,没有基础的、统计数据做支撑,定量风险评估寸步难移;而定性的风险评估其方法的本质是定性,所谓定性,则意味着估计、大概,不准确,其本质的缺陷给实践带来无穷的问题,重要问题之一就是投资回报问题,由于不能从财务的角度去评价一个/组风险所带来的可能损失,因此,也就没有办法得到投资回报率,尽管这是个问题,但是实践当中,一般大的企业都会有个基本的年度预算,IT/安全占企业年度预算的百分之多少,然后就是反正就这么些钱,按照风险从高到低或者再结合其他比如企业现有管理和技术水平,项目实施的难易度等情况综合考虑得到风险处理优先级,从高到低依次排序,钱到哪花完,风险处理今年就处理到哪。这方法到也比较具有实际价值,操作起来也容易,预算多的企业也不怕钱花不完,预算少的企业也有其对付办法,你领导就给这么些钱,哪些不能处理的风险反正我已经告诉你啦,要是万一出了事情你也怪不得我,没有出事情,等明年有钱了再接着处理。
1.关于微软的SDL 原则,弃用不安全的函数属于哪个阶段?() A、规划 B、设计 C、实现 D、测试 答案:C 2.优秀源代码审核工具具有哪些特点() ①安全性②多平台性③可扩展性④知识性⑤集成性 A.①②③④⑤ B.②③④ C.①②③④ D.②③ 答案:A 3. 信息安全风险管理过程的模型如图所示。按照流程,请问,信息安全风险管理包括()六个方面的内容。( )是信息安全风险管理的四个基本步骤,( )则贯穿于这四个基本步骤中。 A.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建 立、风险评估、风险处理和批准监督;监控审查和沟通咨询
B.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和监控审查;批准监督和沟通咨询 C.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和沟通咨询;监控审查和批准监督 D.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、监控审查和批准监督;风险处理和沟通咨询 答案:A 4.信息安全风险评估是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程,下列选项中不属于风险评估要素的是()。 A.资产 B.跪弱性 C.威胁 D.安全需求 答案:D 5.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法,他们在讨论中就应该采用自主访问控制还是强制访问控创产生了分歧。小本认为应该采用自主访问控制的方法,他的观点主要有;(1)自主访向控制方式,可为用户提供灵活、可调整的安全策略,合法用户可以修改任一文件的存取控制信息;(2)自主访问控制可以抵御木马程序的攻击。小刘认为应该采用强制访问控制的方法,他的观点主要有;(3)强制访问控制中,只有文件的拥有者可以修改文件的安全属性,因此安全性较高;(4)强制访问控制能够保护敏感信息。以上四个观点中,只有一个观点是正确的,它是( ). A.观点(1) B.观点(2) C.观点(3)
网络与信息安全风险评估管理实施细则 第一章编制说明 第一条为在确保(以下简称“”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)、《网络与信息安全风险评估管理办法》等国家政策、行业 标准和集团公司相关规定,特制定本实施细则。 第二条本实施细则所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威 胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险, 有针对性的提出改进措施的活动。 第三条本实施细则适用于省公司、各市分公司根据行业监管要求或者自身安全要求,针对通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯 控制系统、门禁系统等发起的各类风险评估。 第四条涉及的部门及单位包括:省公司网络部,各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心、行政 事务中心及各市分公司等等。 1
第二章职责与分工 第五条总体原则 (一)在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,省公司及各市分公司负责所辖网络和系统的安全风险评估工作。 (二)“自评估为主、第三方评估为辅”原则。省公司应着力推动自有评估队伍的建设,逐步实现自主评估。第三方评估应侧重弥补尤其是在队伍建设初期, 由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水平不高等 方面的不足。 (三)原则上,安全评估服务与系统建设不能采用同一厂家。 第六条发起风险评估的责任主体包括省公司网络部、各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心及 各市分公司等等。 第七条省公司网络部应在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全评估工作: (一)落实上级安全风险评估工作总体安排,配合上级组织的风险评估工作。 在重大活动或敏感时期,应根据上级安排或者自身需要发起对特定网络 及信息系统的专项评估工作; (二)建立和完善风险评估工作考核指标和考核办法,组织考核评比。对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格 把控,确保风险评估资料的机密性、完整性和可用性; 2
( 安全论文 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 电子档案信息安全评价指标体 系研究(新编版) Safety is inseparable from production and efficiency. Only when safety is good can we ensure better production. Pay attention to safety at all times.
电子档案信息安全评价指标体系研究(新 编版) 一、建立电子档案信息安全评价指标体系的必要性 信息技术在档案管理中的广泛应用,一方面提高了档案工作的效率,扩大了档案的社会影响力;另一方面也对档案工作提出了新的要求,例如存储介质的不稳定、技术过时、黑客入侵、电脑病毒破坏等都使得电子档案信息的安全保护面临着前所未有的挑战。 在2002年国家档案局颁发的《全国档案信息化建设实施纲要》和近期各省市的“十一五档案信息化建设纲要”中都提出了“档案信息安全保障体系建设”,但仍缺乏深入、系统的探讨。电子档案信息的安全管理是一个过程,而不是一个产品,我们不能期望通过一个安全产品就能把所有的安全问题都解决。对各档案管理系统来说,解决电子档案信息安全的首要问题就是要识别自身信息系统所面临
的风险,包括这些风险可能带来的安全威胁与影响的程度,然后进行最充分的分析与评价。只有采用科学有效的模型和方法进行全面的安全评价,才能真正掌握内部信息系统的整体安全状况,分析各种存在的威胁,以便针对高风险的威胁采取有效的安全措施,提高整体安全水平,逐步建成坚固的电子档案信息安全管理体系。 二、电子档案信息安全评价指标体系的组成 电子档案信息系统是一个复杂的系统工程,既有硬件,又有软件,既有外部影响,又有内部因素,而且许多方面是相互制约的。因此,必须有一个规范的、统一的、客观的标准。根据国内外的电子档案信息安全评估标准,国家对电子档案信息和网络信息系统安全性的基本要求,结合电子档案管理和网络管理经验,综合考虑影响电子档案信息安全的各种因素,建立电子档案信息安全评价指标体系。该体系主要包括五个大项二十个小项的评价指标。 1、物理安全评价指标 物理安全是指存储档案信息的库房、计算机设备及管理人员工作场所内外的环境条件必须满足档案信息安全、计算机设备和管理
xxx有限公司 信息安全评估报告(管理信息系统) x年x月
1目标 xxxxxxxxx公司信息安全检查工作的主要目标是通过自评估工作,发现本公司电子设备当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007) 《信息技术信息技术安全管理指南》 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。 4安全事件 对公司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记 录,形成本公司的安全事件列表。 本公司至今没有发生较大安全事故。 5安全检查项目评估 5.1 规章制度与组织管理评估 规章制度详见《计算机信息系统及设备管理办法》 5.1.1组织机构
5.1.1.1 评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2 现状描述 本公司已成立了信息安全领导机构,但尚未成立信息安全工作机构。 5.1.1.3 评估结论 完善信息安全组织机构,成立信息安全工作机构。 5.1.2岗位职责 5.1.2.1 评估标准 岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。 5.1.2.2 现状描述 我公司没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。 5.1.2.3 评估结论 我公司已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
CISP信息安全管理章节练习一 一、单选题。(共100题,共100分,每题1分) 1. 小李去参加单位组织的信息安全培训后,他把自己对信息安全管理体系(Information Security Management System, ISMS)的理解画了以下一张图,但是他还存在一个空白处未填写,请帮他选择一个最合适的选项()。 a、监控和反馈ISMS b、批准和监督ISMS c、监视和评审ISMS d、沟通和资询ISMS 最佳答案是:c 2. 在对安全控制进行分析时,下面哪个描述是不准确的? a、对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的 b、应确保选择对业务效率影响最小的安全措施 c、选择好实施安全控制的时机和位置,提高安全控制的有效性 d、仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应最佳答案是:b 3. 以下哪一项不是信息安全管理工作必须遵循的原则? a、风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中 b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作 c、由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低 d、在系统正式运行后,应注重残余风险的管理,以提高快速反应能力 最佳答案是:c 4. 对信息安全风险评估要素理解正确的是: a、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构 b、应针对构成信息系统的每个资产做风险评价 c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项 d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 最佳答案是:a 5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容: a、出入的原因 b、出入的时间 c、出入口的位置 d、是否成功进入 最佳答案是:a 6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中必须包含的内容:
1基于安全相似域的风险评估模型 本文从评估实体安全属性的相似性出发,提出安全相似域的概念,并在此基础上建立起一种网络风险评估模型SSD-REM 风险评估模型主要分为评估操作模型和风险分析模型。评估操作模型着重为评估过程建立模型,以指导评估的操作规程,安全评估机构通常都有自己的操作模型以增强评估的可实施性和一致性。风险分析模型可概括为两大类:面向入侵的模型和面向对象的模型。 面向入侵的风险分析模型受技术和规模方面的影响较大,不易规范,但操作性强。面向对象的分析模型规范性强,有利于持续评估的执行,但文档管理工作较多,不便于中小企业的执行。针对上述问题,本文从主机安全特征的相似性及网络主体安全的相关性视角出发,提出基于安全相似域的网络风险评估模型SSD-REM(security-similar-domain based riskevaluation model)。该模型将粗粒度与细粒度评估相结合,既注重宏观上的把握,又不失对网络实体安全状况的个别考察,有助于安全管理员发现保护的重点,提高安全保护策略的针对性和有效性。 SSD-REM模型 SSD-REM模型将静态评估与动态评估相结合,考虑到影响系统安全的三个主要因素,较全面地考察了系统的安全。 定义1评估对象。从风险评估的视角出发, 评估对象是信息系统中信息载体的集合。根据抽象层次的不同,评估对象可分为评估实体、安全相似域和评估网络。 定义2独立风险值。独立风险值是在不考虑评估对象之间相互影响的情形下,对某对象进行评定所得出的风险,记为RS。 定义3综合风险值。综合风险值是在考虑同其发生关联的对象对其安全影响的情况下,对某对象进行评定所得出的风险,记为RI。 独立域风险是在不考虑各评估实体安全关联的情况下,所得相似域的风险。独立网络风险是在不考虑外界威胁及各相似域之间安全关联的情况下,所得的网络风险 评估实体是评估网络的基本组成元素,通常立的主机、服务器等。我们以下面的向量来描述{ID,Ai,RS,RI,P,μ} 式中ID是评估实体标识;Ai为安全相似识;RS为该实体的独立风险值;RI为该实体合风险值;P为该实体的信息保护等级,即信产的重要性度量;属性μ为该实体对其所属的域的隶属
网络与信息安全工程师简历自我评价 自我评价 我是乐观向上,活波开朗,学习认真,工作负责当然也有些不足,为人处事,社会交际等方面有待提高,进入贵公司我会尽快完善自 己争取做一个好员工。 教育经历 2011-06-2014-07河北工程技术高等专科学校计算机网络大专 专业描述:系统掌握网络工程专业知识能够完成网络工程规划设计、组建、管理和维护以及应用软件开发等,在网络技术、计算机 和通信工程等领域具有一定的应用研究、科技开发、科技管理以及 分析和解决实际问题的能力,能在网络公司、电信运营商、系统集 成商、教育机构、银行以及相关企事业单位的网络技术部门,从事 网络规划师、网络工程师、售前技术工程师、售后技术工程师、网 络管理员等岗位的技术工作。 工作能力及其他专长 主要是以管理网页和编辑、windowsserver2003服务器和linux 服务配置与管理维护、网络管理和安全。 态度认真,热情真诚,团队意识强,吃苦耐劳,时间观念强,学习能力强,善于接受新事物。 自我评价 我出生农村,吃苦耐劳是成长经历带给我的最大的财富,我自学能力强,较好的沟通和协作能力,极强的执行力,具备良好的服务 意识,具有良好的团队合作精神,集体荣誉感强,积极配合上级工作, 以团队为准,从组织出发,适应能力好,能很快地接收新的事物,学会 新的技术和新知识,有强烈的求知欲望,我对工作积极热情,执著
认真负责,有突出的创新能力。工作态度塌实,时间观念强,不迟到旷工。 专业技能 熟悉windows系列、linux操作系统,熟练使用 microsoftoffice系列办公软件;精通pc机和服务器的硬件架构及 故障处理;熟悉dreamweaver,网页设计;精通代理、视频、论坛的架设和维护;熟练掌握局域网搭建和网络设备的基本维护,对osi/rm 和tcp/ip模型有深入的研究;精通cisco路由交换及防火墙设备, 熟悉vlan、vtp、pst、ppp、ospf、vpn等配置命令;精通 server2003平台下web、ftp、mall、sql、isa服务器的架设,精通exchange操作;掌握网络管理的基本原理和操作方法,网络系统的 性能测试和优化技术;熟悉sqlserver2000/2005mysql数据库,熟悉数据的调拨、查询、销售统计、数据汇总;熟悉网络信息安全技术,了解企业安全及解决方案;精通erp(enterpriseresourceplanning)的操作。 自我评价 自学能力强,适应快,具有丰富的项目经验,扎实的专业知识、较好的计算机英语阅读能力,做事认真踏实负责,有始有终。 另:最重要的是能力,相信贵公司会觉得我是此职位的合适人选! 工作描述:职责:公司网络项目的售前售后和代理产品的推广,具体包括:项目的网络规划与设计,技术解决方案制定,投标文件 制作,项目实施与维护;负责arraynetworks产品的全省巡回推广活动,并担任主讲。
注册信息安全专业人员(CISP) 随着信息技术的迅速发展和广泛应用,网络安全威胁向经济社会的各个方面渗透,成为国家安全的重要组成部分。2017年6月1日《中华人民共和国网络安全法》正式施行,保障网络安全对我国网络安全有着重大意义。 CISP即“注册信息安全专业人员”,系国家对信息安全人员资质的最高认可。英文为Certified Information Security Professional (简称CISP),CISP系经中国信息安全产品测评认证中心(已改名中国信息安全测评中心)实施国家认证。CISP是强制培训的。如果想参加CISP考试,必须要求出具授权培训机构的培训合格证明。 一、企业所需 注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。 二、个人所需
CISP作为目前国内最权威的信息安全认证,将会使您的个人职业生涯稳步提升,同时,CISP也是国内拥有会员数最多的信息安全认证,你可以通过CISP之家俱乐部与行业精英交流分享,提高个人信息安全保障水平。 三、适用人群 包括在国家信息安全测评机构、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员、企业信息安全主管、信息安全服务提供商、IT或安全顾问人员、IT审计人员、信息安全类讲师或培训人员、信息安全事件调查人员、其他从事与信息安全相关工作的人员(如系统管理员、程序员等) 1、CISE(注册信息安全工程师): 适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员 2、CISO(注册信息安全管理人员): 适合政府、各大企事业单位的网络安全管理人员,也适合网络安全集成服务提供商的网络安全顾问人员 四、认证要求 1、注册要求 1.教育与工作经历
信息安全产品评估标准综述 全国信息安全标准化技术委员会安全评估标准组崔书昆 信息安全产品,广义地是指具备安全功能(保密性、完整性、可用性、可鉴别性与不可否认性)的信息通信技术(ICT)产品,狭义地是指具备上述功能的专用信息通信技术产品。这些产品可能是硬件、固件和软件,也可能是软、固、硬件的结合。 一、国外信息安全产品评估标准的发展 以美国为首的西方发达国家和前苏联及其盟国,早在20世纪50年代即着手开发用于政府和军队的信息安全产品。到20世纪末,美国信息安全产品产值已达500亿美元。 随着产品研发,有关信息安全产品评估标准的制定也相应地开展起来。 (一)国外信息安全产品评估标准的演变 国际上信息安全产品检测评估标准的发展大体上经历了三个阶段: 1.本土化阶段 1983年,美国国防部率先推出了《可信计算机系统评估准则》(TCSEC),该标准事实上成了美国国家信息安全评估标准,对世界各国也产生了广泛影响。在1990年前后,英国、德国、加拿大等国也先后制定了立足于本国情况的信息安全评估标准,如加拿大的《可信计算机产品评估准则》(CTCPEC)等。在欧洲影响下,美国1991年制定了一个《联邦(最低安全要求)评估准则》(FC),但由于其不完备性,未能推开。 2.多国化阶段 由于信息安全评估技术的复杂性和信息安全产品国际市场的逐渐形成,单靠一个国家自行制定并实行自己的评估标准已不能满足国际交流的要求,于是多国共同制定统一的信息安全产品评估标准被提了出来。 1991年欧洲英、法、德、荷四国国防部门信息安全机构率先联合制定了《信息技术安全评估准则》(ITSEC),并在事实上成为欧盟各国使用的共同评估标准。这为多国共同制定信息安全标准开了先河。为了紧紧把握信息安全产品技术与市场的主导权,美国在欧洲四国出台ITSEC之后,立即倡议欧美六国七方(即英、
胜达集团 信息安全评估报告 (管理信息系统) 胜达集团 二零一六年一月
1目标 胜达集团信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等, 管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。 资产清单见附表1。 4安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述 本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。 5.1.1.3 评估结论
CISP信息安全技术章节练习一 一、单选题。(共100题,共100分,每题1分) 1. 安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全? a、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞 b、为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘 c、操作系统上部署防病毒软件,以对抗病毒的威胁 d、将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能 最佳答案是:b 2. 对于抽样而言,以下哪项是正确的? a、抽样一般运用于与不成文或无形的控制相关联的总体 b、如果内部控制健全,置信系统可以取的较低 c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样 d、变量抽样是估计给定控制或相关控制集合发生率的技术 最佳答案是:b 3. 以下关于账户策略中密码策略中各项作用说明,哪个是错误的: a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令 b、“密码长度最小值”是强制用户使用一定长度以上的密码 c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码 d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换 最佳答案是:c 4. 如图所示,主体S对客体01有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。该图所表示的访问控制实现方法是: a、访问控制表(ACL) b、访问控制矩阵 c、能力表(CL) d、前缀表(Profiles)最佳答案是:c 5. 关于数据库恢复技术,下列说法不正确的是: a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数
附件: 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
信息安全评估报告 (管理信息系统)
二零一六年一月
1目标 XX单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通]2006] 15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求,开展XX单位的信息安全评估。 2.2评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3评估方法 采用自评估方法。
3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。 4安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述 本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
研究报告二网络安全评估标准研究报告 一、研究现状 随着网络技术的发展,计算机病毒、网络入侵与攻击等各种网络安全事件给网络带来的威胁和危害越来越大,需对网络数据流进行特征分析,得出网络入侵、攻击和病毒的行为模式,以采取相应的预防措施。宏观网络的数据流日趋增大,其特征在多方面都有体现。为了系统效率,只需对能体现网络安全事件发生程度与危害的重点特征进行分析,并得出反映网络安全事件的重点特征,形成安全评估指标。 随着信息技术与网络技术的迅猛发展, 信息安全已经成为全球共同关注的话题, 信息安全管理体系逐渐成为确保组织信息安全的基本要求, 同时网络与信息安全标准化工作是信息安全保障体系建设的重要组成部分。网络与信息安全标准研究与制定为管理信息安全设备提供了有效的技术依据, 这对于保证安全设备的正常运行和网络信息系统的运行安全和信息安全具有非常重要的意义。本文将介绍当前网络信息安全标准研究的现状, 并着重介绍几个现阶段国内外较流行的安全标准。 近年来,面对日益严峻的网络安全形式,网络安全技术成为国内外网络安全专家研究的焦点。长期以来,防火墙、入侵检测技术和病毒检测技术被作为网络安全防护的主要手段,但随着安全事件的日益增多,被动防御已经不能满足我们的需要。这种情况下,系统化、自动化的网络安全管理需求逐渐升温,其中,如何实现网络安全信息融合,如何真实、准确的评估对网络系统的安全态势已经成为网络安全领域的一个研究热点。 对网络安全评估主要集中在漏洞的探测和发现上,而对发现的漏洞如何进行安全级别的评估分析还十分有限,大多采用基于专家经验的评估方法,定性地对漏洞的严重性等级进行划分,其评估结果并不随着时间、地点的变化而变化,不能真实地反映系统实际存在的安全隐患状况。再加上现在的漏洞评估产品存在误报、漏报现象,使得安全管理员很难确定到底哪个漏洞对系统的危害性比较大,以便采取措施降低系统的风险水平。因此,我们认为:漏洞的评估应该充分考虑漏洞本身的有关参数及系统的实际运行数据两方面信息,在此基础上,建立一个基于信息融合的网络安全评估分析模型,得到准确的评估结果 2相关工作 现有的安全评估方式可以大致归结为4类:安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSE-CMM ( Systems Security Engineering Capability MaturityModel)等。大部分通用的信息安全标准,如ISO 17799,ISO13335等,其核心思想都是基于风险的安全理念[4-6]。信息技术先进的国家,例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。特别是美国,利用卡内基梅
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产,任对组织有价值的事物。 威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。
风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的法,去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段(60-70年代)以计算机为对象的信息保密阶段1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。 特点: 仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。 第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品,很少延拓至系统,婴儿在格意义上扔不是全面的风险评估。 第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段 随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个面;逐步形成了风险评估、自评估、认证认可的工作思路。
xxx有限公司 信息安全评估报告 (管理信息系统) x年x月 1目标 xxxxxxxxx公司信息安全检查工作的主要目标是通过自评估工作,发现本公司电子设备当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007) 《信息技术信息技术安全管理指南》 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。 4安全事件 对公司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记 录,形成本公司的安全事件列表。 本公司至今没有发生较大安全事故。 5安全检查项目评估 5.1 规章制度与组织管理评估 规章制度详见《计算机信息系统及设备管理办法》 评估标准
信息安全组织机构包括领导机构、工作机构。 现状描述 本公司已成立了信息安全领导机构,但尚未成立信息安全工作机构。 评估结论 完善信息安全组织机构,成立信息安全工作机构。 评估标准 岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。 现状描述 我公司没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。 评估结论 我公司已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。 评估标准 病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。 现状描述 我公司xxx防病毒软件进行病毒防护,定期从省官网病毒库服务器下载、升级安全策略;病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。 评估结论 完善病毒预警和报告机制,制定计算机病毒防治管理制度。 评估标准 运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运5 维流程、值班制度并实行工作票制度;制定机房出入管理制度并上墙,对进出机房情况记录。 现状描述 没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录。 评估结论 结合本公司具体情况,制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,实行工作票制度;机房出入管理制度上墙,记录机房进出情况。
1.下面关于信息安全保障的说法正确的是: A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性、可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施 在系统的生命周期内确保信息的安全属性 2.根据《 GB / T20274 信息安全保障评估框架》,对信息系统安全保障能力 进行评估应 A.信息安全管理和信息安全技术2 个方面进行 B.信息安全管理、信息安全技术和信息安全工程3 个方面进行 C.信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行 D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进 行 3.哪一项不是《 GB / T20274 信息安全保障评估框架》给出的信息安全保障 模 通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征 4.对于信息安全发展历史描述正确的是: A.信息安全的概念是随着计算机技术的广泛应用而诞生的 B.目前信息安全己经发展到计算机安全的阶段 C.目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程和人 员同样是促进系统安全性的重要因素 D.我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安全”, 再到“信息安全”,直至现在的“信息安全保障” 5.ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务 A.加密 B.数字签名 C.访问控制 D.路由控制
6.表示层 7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用 性三项信息安全特性 A.ITSEC B.TCSEC C.GB/T9387.2 D.彩虹系列的橙皮书 8.下面对于CC 的“保护轮廓”( PP )的说法最准确的是: A.对系统防护强度的描述 B.对评估对象系统进行规范化的描述 C.对一类TOE 的安全需求,进行与技术实现无关的描述 D.由一系列保证组件构成的包,可以代表预先定义的保证尺度 9.以下哪一项属于动态的强制访问控制模型? A.Bell一Lapudufa 模型 B. 10. C.Strong star property 处于 D.Bell 一Lapadula 模型的访问规则主要是出于对保密性的保护而制定的 11.下面对于强制访问控制的说法错误的是? A 它可以用来实现完整性保护,也可以用来实现机密性保护 B在强制访问控制的系统中,用户只能定义客体的安全属性 C 它在军方和政府等安全要求很高的地方应用较多 D 它的缺点是使用中的便利性比较低