1.中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求,在证书有效期内,应完成至少6次完整的信息安全服务经历,以下哪项不是信息安全服务: B A、为政府单位信息系统进行安全方案设计 B、在信息安全公司从事保安工作 C、在公开场合宣讲安全知识 D、在学校讲解信息安全课程 2.确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,不为其所用,是指(): C A、完整性 B、可用性 C、保密性 D、抗抵赖性 3.下列信息系统安全说法正确的是: D A、加固所有的服务器和网络设备就可以保证网络的安全 B、只要资金允许就可以实现绝对的安全 C、断开所有的服务可以保证信息系统的安全 D、信息系统安全状态会随着业务的变化而变化,因此网络安全状态需要根据不同的业务而调整相应的网络安全策略 4.OSI开放系统互联安全体系构架中的安全服务分为鉴别服务、访问控制、机密性服务、完整服务、抗抵赖服务,其中机密性服务描述正确的是: B A、包括原发方抗抵赖和接受方抗抵赖 B、包括连接机密性、无连接机密性、选择字段机密性和业务流保密 C、包括对等实体鉴别和数据源鉴别 D、包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性 5.电子商务交易必须具备抗抵赖性,目的在于防止___。 B A、一个实体假装另一个实体 B、参与此交易的一方否认曾经发生过此次交易 C、他人对数据进行非授权的修改、破坏 D、信息从被监视的通信过程中泄露出去 6.下列哪一项准确地描述了可信计算基(TCB)? C A、TCB只作用于固件(Firmware) B、TCB描述了一个系统提供的安全级别 C、TCB描述了一个系统内部的保护机制 D、TCB通过安全标签来表示数据的敏感性 7.下面关于访问控制模型的说法不正确的是: C
注册信息安全专业人员考试 大纲知识点综合测试题(B) (时间:120分钟数量:100题题型:单选题,将正确答案填写在表格中) 姓名单位名称得分 题号答案题号答案题号答案题号答案题号答案 121416181 222426282 323436383 424446484 525456585 626466686 727476787 828486888 929496989 1030507090 1131517191 1232527292 1333537393 1434547494 1535557595 1636567696 1737577797 1838587898 1939597999 20406080100 1.我国信息安全保障工作先后经历启动、逐步展开和积极推进,以及深化落实三个阶段,
以下关于我国信息安全保障各阶段说法不正确的是: A.2001国家信息化领导小组重组,网络与信息安全协调小组成立,我国信息安全保障 工作正式启动 B.2003年7月,国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》 (中办发27号文),明确了“积极防御、综合防范“的国家信息安全保障方针 C.2003年中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段 D.在深化落实阶段,信息安全法律法规、标准化,信息安全基础设施建设,以及信息 安全等级保护和风险评估取得了新进展。 答案:C 解释:2006年进入到深化落实阶段。 2.金女士经常通过计算机在互联网上购物,从安全角度看,下面哪项是不好的习惯: A使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件,应用软件进行升级 B为计算机安装具有良好声誉的安全防护软件,包括病毒查杀,安全检查和安全加固方面的软件 C在IE的配置中,设置只能下载和安装经过签名的,安全的ActiveX控件 D在使用网络浏览器时,设置不在计算机中保留网络历史纪录和表单数据 答案:A 解释:A为正确答案。 3.我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面,以 下关于安全保障建设主要工作内容说法不正确的是: A.建全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障 B.建设信息安全基础设施,提供国家信息安全保障能力支撑 C.建立信息安全技术体系,实现国家信息化发展的自主创新 D.建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养 答案:C 解释:实现自主创新在过去的的保障中为自主可控。 4.某银行信息系统为了满足业务的需要准备进行升级改造,以下哪一项不是此次改造中信 息系统安全需求分析过程需要考虑的主要因素 A.信息系统安全必须遵循的相关法律法规,国家以及金融行业安全标准 B.信息系统所承载该银行业务正常运行的安全需求 C.消除或降低该银行信息系统面临的所有安全风险 D.该银行整体安全策略 答案:C 解释:无法消除或降低该银行信息系统面临的所有安全风险。 5.信息安全测评是指依据相关标准,从安全功能等角度对信息技术产品、信息系统、服务 提供商以及人员进行测试和评估,以下关于信息安全测评说法不正确的是: A.信息产品安全评估是测评机构的产品的安全性做出的独立评价,增强用户对已评估 产品安全的信任 B.目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评 两种类型
1 信息安全发展各阶段中,下面哪一项是信息安全所面临的主要威胁 A病毒 B非法访问 C信息泄漏 D---口令 2.关于信息保障技术框架IATF,下列说法错误的是 A IATF强调深度防御,关注本地计算环境,区域边境,网络和基础设施,支撑性基础设施等多个领域的安全保障 B IATF强调深度防御,针对信息系统采取多重防护,实现组织的业务安全运作。 C IATF强调从技术,管理和人等多个角度来保障信息系统的安全 D IATF 强调的是以安全检测访问监测和自适应填充“安全问责”为循环来提高网络安全 3.美国国家安全局的《信息保障技术框架》IATF,在描述信息系统的安全需求时将信息系统分为 A 内网和外网两个部分 B 本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分 C 用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分 D 用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别 4.下面那一项表示了信息不被非法篡改的属性 A 可生存性 B 完整性 C 准确性 D 参考完整性 5. 以下关于信息系统安全保障是主关和客观的结论说法准确的是 A 信息系统安全保障不仅涉及安全技术,还综合参考安全管理安全工程和人员安全等以安全保障信息系统安全 B 通过在技术、管理、工程和人员方面客观地评估安全保障措施向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心 C 是一种通过客观保证向信息系统评估者提供主观信心的活动 D 6、一下那些不属于现代密码学研究 A Enigma密码机的分析频率 B -- C diffie-herrman密码交换 D 查分分析和线性分析 7.常见密码系统包含的元素是: A. 明文、密文、信道、加密算法、解密算法 B. 明文,摘要,信道,加密算法,解密算法 C. 明文、密文、密钥、加密算法、解密算法 D. 消息、密文、信道、加密算法、解密算法 8.公钥密码的应用不包括: A. 数字签名 B. 非安全信道的密钥交换
1.某公司准备在业务环境中部署一种新的计算机产品,下列哪一项是授权过程的最后一步? A.认证 B.定级 C.认可 D.识别 答案:C 2.下列哪一项准确地描述了可信计算基(TCB)? A.TCB只作用于固件(Firmware) B.TCB描述了一个系统提供的安全级别 C.TCB描述了一个系统内部的保护机制 D.TCB通过安全标签来表示数据的敏感性 答案:C 3.下列哪一项安全机制是一个抽象机,不但确保主体拥有必要的访问权限,而且确保对客体不会有未经 授权的访问以及破坏性的修改行为? A.安全核心 B.可信计算基 C.引用监视器 D.安全域 答案:C 4.安全模型明确了安全策略所需的数据结构和技术,下列哪一项最好地描述了安全模型中的“简单安全 规则”? A.Biba模型中的不允许向上写 B.Biba模型中的不允许向下读 C.Bell-LaPadula模型中的不允许向下写 D.Bell-LaPadula模型中的不允许向上读 答案:D 5.为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,下列哪一项最好 地描述了星或(*-)完整性原则? A.Bell-LaPadula模型中的不允许向下写 B.Bell-LaPadula模型中的不允许向上读 C.Biba模型中的不允许向上写 D.Biba模型中的不允许向下读 答案:C 6.某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来 操作业务数据,这种情况属于下列哪种安全模型的一部分? A.Bell-LaPadula模型 B.Biba模型 C.信息流模型 D.Clark-Wilson模型 答案:D 7.作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动 性较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型?
1. 资产管理是信息安全管理的重要内容,而清楚的管理识 别 信息系统的管理的重要步骤,下列关于信息资产的说法错 误的是: A.资产清单的编制是风险管理的一个的先决条件 B.信息安全管理中涉及的资产是指信息资产,即业务数据、 合同协议 C.在制定资产清单的时候是指信息资产的重要性,业务价 值和安全分类,确----的保护级别 D.在资产单中应当包括将资产从灾难恢复而需要的信息, 如资产类型、--------许可信息等 2. tcp/IP协议的4层网络模型是? A应用层、传输层、网络层和物理层 B应用层、传输层、网络层和网络接口层 C应用层、数据链路层、网络层和网络接口层 D会话层、数据连接层、网络层和网络接口层 3什么设备可以隔离ARP广播帧。 A路由器 B网桥 C以太网交换机 D集线器 4以下那一项不是应用层防火墙的特点?
A更有效的阻止应用层攻击 B工作在OSI模型的第七层 C速度快且对用户透明 D比较容易进行审计 5 桥接或透明模式是目前比较流行的防火墙部署方式,这种方式-------? A不需要对原有的网络配置进行修改 B性能比较高 C防火墙本身不容易受到攻击 D易于在防火墙上实现NAT 6以下哪一项不是IDS可以解决的问题: A弥补网络协议的弱点 B识别和报告对数据文件的改动 C统计分析系统中异常活动模式 D提升系统监控能力 7私网地址用于配置本地网络,下面是地址,属于-------?A100.0.0.0 B172.15.0.0 C192.168.0.0 D244.0.0.0 172.16.-172.31 10. 192.168. 8 在局域网环境中,以下那一项技术主要是用来提供网络冗
安全规划是信息安全生命周期管理的起点和基础,良好的规划设计可以为组织带来正确的指导和方向。根据国家《网络安全法》“第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。” 1.通过保障的思想建立安全规划背景 信息安全规划设计可以根据美国信息保障技术框架(IATF)ISSE过程建立需求,本阶段可对应ISSE中发掘信息保护需求阶段。 根据“信息安全保障基本内容”确定安全需求,安全需求源于业务需求,通过风险评估,在符合现有政策法规的情况下,建立基于风险与策略的基本方针。因此,安全规划首先要熟悉并了解组织的业务特性,在信息安全规划背景设计中,应描述规划对象的业务特性、业务类型、业务范围以及业务状态等相关信息,并根据组织结构选择适用的安全标准,例如国家关键基础设施的信息安全需要建立在信息安全等级保护基础之上、第三方支付机构可选择PCI-DSS作为可依据的准则等。 信息系统保护轮廓(ISPP)是根据组织机构使命和所处的运行环境,从组织机构的策略和风险的实际情况出发,对具体信息系统安全保障需求和能力进行具体描述。传统的风险评估可以基于GB/T 20984《信息安全风险评估规范》执行具体的评估,评估分为技术评估与管理评估两部分。从可遵循的标准来看,技术评估通过GB/T 22240—2008《信息安全等级保护技术要求》中物理安全、网络安全、系统安全、应用安全及数据安全五个层面进行评估;管理安全可以选择ISO/IEC 27001:2013《信息技术信息安全管理体系要求》进行,该标准所包含的14个控制类113个控制点充分体现组织所涉及的管理风险。 在工作中,可以根据信息系统安全目标来规范制定安全方案。信息系统安全目标是根据信息系统保护轮廓编制、从信息系统安全保障的建设方(厂商)角度制定的信息系统安全保
一.信息安全测评服务介绍 1.中国信息安全测评中心: 1)履行国家信息安全漏洞分析和风险评估职能2)对信息产品、系统和工程进行评估3)对信息安全服务,人员的资质进行审核 2.CISP以信息安全保障(IA)作为主线 二.信息安全测评认证体系介绍 1.由信息安全问题所引起的国家面临的主要威胁:1)信息霸权的威胁2)经济安全3)舆论安全4)社会稳定2.我国测评认证中心的建设过程:1)1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”,1999.2 该中心挂牌运行2)2001.5 中编办“中国信息安全产品测评认证中心”(中编办【2001】51号)CNITSEC 3)2007 改名“中国信息安全测评中心” 3.认证要点 (1)一个目标:TOE评估的正确性和一致性 (2)两种方法:“质量过程核查”,“评估活动评价” (3)三个阶段:准备,评估,认证(4)四类活动 4.行业许可证制度 1)信息安全产品:公安部3所检测,公安部11局颁发2)防病毒产品:指定单位(天津市公安局)3)商用密码产品:国密办颁发 5.商业性测评:制定化,控制,量化 6.认证业务的范围:服务商,专业人员,产品,系统 三.信息安全测评认标准 1.测评标准发展 1)美国TCSEC(桔皮书):美国国防部1985年提出,军用机密性,D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护 2)欧共体ITSEC:将安全性分为功能和保证;提出TOE;提出“安全目标”ST;E1-6 3)加拿大CTCPEC:功能性要求分为机密性,完整性,可用性,可控性 4)美国联邦FC:引入了保护轮廓PP;每个轮廓包括功能,保障和评测需求 5)通用评估准则CC:1996年V1.0;1998年V2.0;1999年为ISO15408(GB/T18336);思想框架来源于FC和ITSEC; EAL1-7 2. CC的评估保证级EAL EAL1功能测试;EAL2结构测试;EAL3系统地测试和检查;EAL4系统地设计、测试和复查;EAL5半形式化设计和测试(无隐蔽通道);EAL6半形式化验证的设计和测试;EAL7形式化验证的设计和测试 3. CC的结构:1)简介和一般介绍,以及保护轮廓规范和安全目标规范2)第二部分:安全功能需求3)第三部分:安全保障需求 4. CC的范围不包括:1)行政性管理安全措施的评估准则;2)物理安全方面(诸如电磁辐射控制)的评估准则;3)密码算法固有质量评价准则 包括:信息系统产品和技术 5. 保护轮廓PP(甲方)没有详细的设计方案,安全目标ST(乙方)方案 6. APE类:保护轮廓的评估准则;ASE类:安全目标的评估准则 7. CC的结构:类,子类,组件 8. 其他重要标准 1)ITIL:IT服务框架2)Gobit:ISACA协会IT内控审计、IT治理框架
1. 在橙皮书的概念中,信任是存在于以下哪一项中的? A. 操作系统 B. 网络 C. 数据库 D. 应用程序系统 答案:A 2.下述攻击手段中不属于DOS攻击的是: () A. Smurf攻击 B. Land攻击 C. Teardrop攻击 D. CGI溢出攻击 答案:D。 3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:() A. “普密”、“商密”两个级别 B. “低级”和“高级”两个级别 C. “绝密”、“机密”、“秘密”三个级别 D. “一密”、“二密”、“三密”、“四密”四个级别 答案:C。 4.应用软件测试的正确顺序是: A. 集成测试、单元测试、系统测试、验收测试 B. 单元测试、系统测试、集成测试、验收测试 C. 验收测试、单元测试、集成测试、系统测试 D. 单元测试、集成测试、系统测试、验收测试 答案:选项D。 5.多层的楼房中,最适合做数据中心的位置是: A. 一楼 B. 地下室 C. 顶楼 D. 除以上外的任何楼层 答案:D。 6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信 息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是: A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。 B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。 C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。 D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。 答案:D。 7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知: A. 系统管理员 B. 律师 C. 恢复协调员 D. 硬件和软件厂商 答案:B。 8.下面的哪种组合都属于多边安全模型? A. TCSEC 和Bell-LaPadula B. Chinese Wall 和BMA C. TCSEC 和Clark-Wilson D. Chinese Wall 和Biba 答案:B。 9.下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用? A. 虹膜检测技术 B. 语音标识技术 C. 笔迹标识技术 D. 指纹标识技术 答案:A。 10.拒绝服务攻击损害了信息系统的哪一项性能?
1.在橙皮书的概念中,信任是存在于以下哪一项中的? A. 操作系统 B. 网络 C. 数据库 D. 应用程序系统 答案:A 2.下述攻击手段中不属于DOS攻击的是: () A. Smurf攻击 B. Land攻击 C. Teardrop攻击 D. CGI溢出攻击 答案:D。 3.“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:() A. “普密”、“商密”两个级别 B. “低级”和“高级”两个级别 C. “绝密”、“机密”、“秘密”三个级别 D. “一密”、“二密”、“三密”、“四密”四个级别 答案:C。 4.应用软件测试的正确顺序是: A. 集成测试、单元测试、系统测试、验收测试 B. 单元测试、系统测试、集成测试、验收测试 C. 验收测试、单元测试、集成测试、系统测试 D. 单元测试、集成测试、系统测试、验收测试 答案:选项D。 5.多层的楼房中,最适合做数据中心的位置是: A. 一楼 B. 地下室 C. 顶楼 D. 除以上外的任何楼层 答案:D。 6.随着全球信息化的发展,信息安全成了网络时代的热点,为了保证我国信息产业的发展与安全,必须加强对信息安全产品、系统、服务的测评认证,中国信 息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构,以下对其测评认证工作的错误认识是: A. 测评与认证是两个不同概念,信息安全产品或系统认证需经过申请、测试、评估,认证一系列环节。 B. 认证公告将在一些媒体上定期发布,只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列。 C. 对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制。 D. 通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险。 答案:D。 7.计算机安全事故发生时,下列哪些人不被通知或者最后才被通知: A. 系统管理员 B. 律师 C. 恢复协调员 D. 硬件和软件厂商 答案:B。 8.下面的哪种组合都属于多边安全模型? A. TCSEC 和Bell-LaPadula B. Chinese Wall 和BMA C. TCSEC 和Clark-Wilson D. Chinese Wall 和Biba 答案:B。 9.下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用? A. 虹膜检测技术 B. 语音标识技术 C. 笔迹标识技术 D. 指纹标识技术 答案:A。 10.拒绝服务攻击损害了信息系统的哪一项性能?
干货:一文掌握CISP-PTE与CISP-PTS知识要点 国家级攻防领域(渗透测试/应急响应)认证,自2017年由奇安信集团与中国信息安全测评中心联合成立注册信息安全专业人员攻防领域考试中心,转眼间已近三年,国家注册渗透测试工程师认证(CISP-PTE)逐渐在业内为人熟知和企业认可,此项工作为广大信息安全从业人员尤其是攻防从业者提供专业的技术纲领,填补了国内攻防领域认证的空白。官方根据市场需求和技术延展的必要性,于2018年正式推出国内首个渗透测试专家级认证(CISP-PTS),受到了广大网络安全渗透测试从业者、特别是高级网络安全渗透测试人才的关注与欢迎。根据官方数据,在2019年CISP-PTE国内持证人员突破千人大关,与CISP-PTE(注册渗透测试工程师)相比,CISP-PTS对申请人员的知识掌握深度、广度与实际操作经验与能力的要求更高,考试难度也明显加大,考试推出至今,全国参加CISP-PTS注册考试并顺利通过、取得该项专家级资质的人员总数大致在50人左右,其通过的门槛之高可见一斑。划重点!!!就大家关心的两者区别及判断本人适合学习基础级还是专家级依据可参考如下:
了解完两者之间的简单区别后,我们再来看看课程知识体系方面的区别。2019年10月,CISP渗透测试方向新注册考试大纲(2.0版)正式完成,新大纲涉及到CISP-PTS与CISP-PTE注册考试所需要考察的知识体系。CISP-PTE 考点要求与原大纲相同,CISP-PTS除了要有CISP-PTE所要求的全部知识与能
力以外,在内网安全、数据库安全、中间件安全方面提出了全新的要求。 CISP-PTS在数据库安全方面的知识能力考察要求比CISP-PTE更高。除了需要掌握主流的MySQL、MSSQL数据库渗透知识以外,还需要掌握Oracle 关系型数据库安全、Redis非关系型数据库安全。 中间件作为当前网络应用体系架构中不可缺少的一部分,其安全的重要性不言而喻。CISP-PTS注册考试要求考生除了需要掌握Apache、IIS、Tomcat 等常见中间件的安全知识以外,还需要掌握在Java环境下重要中间件的安全知识。其考察知识内容包括:Weblogic、Websphere、Jboss等中间件的安全设置、日志审计、漏洞利用与防范方法。 除CISP-PTE四大知识域外,PTS增加内网安全。其是网络安全渗透测试过程中需要关注的重点。当渗透测试从外网获得突破口,进入到内网后,无论是模
CISP考试的考点 一、安全管理基础与管理体系 1、信息安全管理的概念 2、管理的对象:包括人在类的各类信息相关资产 3、广义和狭义体系狭义指按照ISO27001标准定义的ISMS 广义的信息安全管理体系:泛指任何一种有关信息安全的管理体系 4、组成部分 5、管理要发挥能动性作用 6、信息安全管理技术与管理并重,3分技术7分管理 7、信息安全管理安全要以预防为主 8、安全管理对内作用为主
9、安全管理的过程方法,要熟悉图 10、PDCA记下来规划实施检测处置 11、PDCA的特点 12、信息安全管理体系
13、管理体系的文件要进行管理与控制 14、1-4级的图,四个层级与对应的内容 15、内审,内部审核用内部组织自己活以组织的名义进行审核,ISMS能够持续改进的重要动力之一 16、管理评审为实现已建立的目标,而进行的确定管理体系的适宜性,充分性和有效性活动 17、认证的有效期ISMS 包括一组审核初次认证年度监督审核和复审有效期三年 18、结构的图,D1-7
D1- 开发风险处置计划D2-实施风险处置计划D3-实施安全控制措施D4-实施安全教育培训D5-管理ISMS 的运行D6-管理ISMS 的资源 D7-执行检测安全事件程序D8-执行响应安全事故程序 A1-实施已识别的ISMS 改进措施A2-执行纠正性和预防性措施A3-通知相关人员ISMS 的变更A4-从安全经验和教训中学习 C1-执行ISMS 监视程序C2-执行ISMS 评价程序C3-定期执行ISMS 评审 C4-测量控制措施的有效性C5-验证安全要求是否被满足C6-按计划进行风险评估C7-评审可接受残余风险C8-按计划进行内部审核C9-按计划进行管理评审C10-更新信息安全计划 C11-记录对ISMS 有影响的行动和事件 P1-定义ISMS 范围P2-定义ISMS 方针 P3-确定风险评估方法 P4-分析和评估信息安全风险 P5-识别和评价风险处理的可选措施 P6-为处理风险选择控制目标和控制措施P7-准备详细的适用性声明SoA Plan 规划和建立ISMS Act 维护和改进 ISMS Check 监视和评审ISMS Do 实施和运行 ISMS ISMS 体系文档化ISMS 文件控制ISMS 纪录控制 19、风险的四种处理方式 降低 避免 转移 接受 20、纠正措施和预防措施的区别 二、网络安全 1、ISO 7个层 3、IP 是逻辑寻址 4、传输层是逻辑寻址 5、数据的封装与节封装的顺序 6、安全机制每个机制可实现的哪个服务,公正-抗抵赖;应用层、网络层能够实现所有安全服务内容
CISSP 2017年10月最新考生复习经验分享汇总 考生1: 本人夏至(网名),今年3月份开始复习备考,先把OSG看了一遍,然后觉得不深刻,就又抄了一遍,记得比较深了。然后又看了AIO,感觉AIO流程的东西写的还是很不错的,就直接跳过了啰嗦的地方看各个章节的流程。然后做了2遍汇安全,一遍官方习题。感觉很多知识点可以从习题中获得。一共复习了6个月。 考试的时候考点很分散,就跟老师说的一样,一英里宽,一英寸深,所以要背很多东西。考完了以后总结了考试重点,感觉很多都是按照实际工作中的来出题的,出的很活。主要考的是思路,例如有一道题:给你一个环境,然后问你这个时候安全经理该怎么做。这个就是完全考的思路了。我觉得考试重点紧跟实际环境,比如这次我考了4道左右工控系统,7~8道云安全,各种问法。我想是因为工业4.0和云的广泛推广和使用吧。过一段时间可能热点就是物联网,大数据,云计算,量子计算也说不定了。总之就是从实际环境中考虑。所以我终于明白为什么有些人不看书都能过了。主要是思路,经验~~~太关键了。最后,再次感谢各位老师的悉心教导
考生2: 简单说一下为什么考CISSP,因为公司业务发展需要,对于这种不拥有但看起来又有点价值的证书有一点好奇,并且听说长远上对个人职业发展有用。所以我早就把考试日期定了,钱也交得早,复习时间也是倒推强制进行的。 本文是给已经或即将准备参加CISSP学习考试的伙伴准备,如果想了解这个认证的详细信息请自行百度,这里不做说明。本文都是亲身经历和比较客观的干货,就考过一次试也没什么牛可吹的,以务实为主,给后面的伙伴做垫脚石,渡人渡己,废话不多说,倒叙分析如下。 第一,本次考试总体说明(仅针对我这次碰到的考试)。 先说结论:这次考试过了挺意外,没过也是情理之中。看到这个结论大家可能会觉得我谦虚,但是我负责任的说,这完全是我的肺腑之言。 首先,遗憾的告诉各位,确实没有已知题库,原题的数量完全可以忽略(不超过5个),之前我问过考过的朋友,他和我说原题可以忽略的时候我还不相信,这次完全坐实了。 其次,再看一个我这次考试的大概数字:交卷前我初步统计了一下,高把握(基本无疑问)的题目大概占不到三分之一,中等把握(我只能排除一到两个选项)大概占百分之五十多点,剩下的就是完全没把握(不知道讲什么,或者一个选项都没法排除的)基本都是瞎蒙。 最后,看下知识点的覆盖情况,我觉得官方教材和各种资料总体知识点覆盖大概百分之八五到九十左右的样子,至少有几十题是完全没有对应知识点的(如SAL、工控相关还有ATM机相关的,因为我第六版和第七版都看过,没有对应知识点)。 考试一般正确率要达到百分之七十,所以我觉得上面的结论还是比较客观的。第二,考试形式和内容。 考试的题型广义上都是选择题,实际上是单选题和拖图题。 首先,说一下拖图题,这个有些小伙伴不太理解,啰嗦两句,一般让你做流程排序或者概念对号入座,像小时候语文考试的连线题目,本质上也算是选择题,只是一个错了会影响到另一个。这种题大概不到二十个。 其次,是考试的侧重点分析。这个分两方面,一方面是出选择题的形式,一半都
1.信息安全特征:信息安全是系统的安全,是动态的安全,是 无边界的安全,是非传统的安全。 2.信息系统包含三个要素:信息,计算机网络系统和运行环境。 3.1985年,美国国防部的可信计算机系统评估保障(TCSEC, 橙皮书),将操作系统安全分级(D、C1、C2、B1、B2、B3、A1). 4.信息技术安全性评估准则,即通用准则CC(ISO/IEC 15408, GB/T 18336),其中保障定义为,实体满足其安全目的的信心基础。 5.风险是指威胁利用资产或一组资产的脆弱性对组织机构造成 伤害的潜在可能。 6.信息安全管理体系-ISMS,国际上主流的信息系统管理体系 的标准有ISO/IEC 17799,英国标准协会(BSI)的7799 7.信息安全保障模型:保障要素:管理、工程、技术、人员。 安全特征:保密、完整、可用。生命周期:规划组织、开发采购、实施交付、运行维护、废弃。策略和风险是安全保障的核心问题。 信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受
的程度,从而保障系统实现组织机构的使命。 8.风险管理贯穿整个信息系统生命周期,包括对象确立,风险 评估,风险控制,审核批准,监控与审查和沟通与咨询6个方面。 9.基于时间的PDR模型(保护-检测-响应)是信息安全保障 工作中常用的模型。该模型的出发点是基于这样的前提:任何安全防护措施都是基于时间的,超过该时间段,这种防护措施是可能被攻破。 10.P2DR(策略-保护检测响应):所有的行为都是依据安全策 略实施的。该模型强调安全管理的持续性、安全策略的动态性。防护时间Pt,检测时间Dt,反应时间Rt: 如果pt>dt+rt,则系统安全;如果pt 1.下面关于信息安全保障的说法错误的是: A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性,可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施各种保障要素,在系统的生命周期内确保信息的安全属性。 以下哪一项是数据完整性得到保护的例子? A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作 B.在提款过程中终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作 C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作 D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看 注重安全管理体系建设,人员意识的培训和教育,是信息安全发展哪一个阶段的特点? A.通信安全 B.计算机安全 C.信息安全 D.信息安全保障 以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一? A.提高信息技术产品的国产化率 B.保证信息安全资金注入 C.加快信息安全人才培养 D.重视信息安全应急处理工作 以下关于置换密码的说法正确的是: A.明文根据密钥被不同的密文字母代替 B.明文字母不变,仅仅是位置根据密钥发生改变 C.明文和密钥的每个异或 D.明文根据密钥作了移位 以下关于代替密码的说法正确的是: A.明文根据密钥被不同的密文字母代替 B.明文字母不变,仅仅是位置根据密钥发生改变 C.明文和密钥的每个异或 D.明文根据密钥作了移位 7常见密码系统包含的元素是: A.明文、密文、信道、加密算法、解密算法 B.明文、摘要、信道、加密算法、解密算 C.明文、密文、密钥、加密算法、解密算法 1.下面关于信息安全保障的说法正确的是: A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性、可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施 在系统的生命周期内确保信息的安全属性 2.根据《 GB / T20274 信息安全保障评估框架》,对信息系统安全保障能力 进行评估应 A.信息安全管理和信息安全技术2 个方面进行 B.信息安全管理、信息安全技术和信息安全工程3 个方面进行 C.信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行 D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进 行 3.哪一项不是《 GB / T20274 信息安全保障评估框架》给出的信息安全保障 模 通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征 4.对于信息安全发展历史描述正确的是: A.信息安全的概念是随着计算机技术的广泛应用而诞生的 B.目前信息安全己经发展到计算机安全的阶段 C.目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程和人 员同样是促进系统安全性的重要因素 D.我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安全”, 再到“信息安全”,直至现在的“信息安全保障” 5.ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务 A.加密 B.数字签名 C.访问控制 D.路由控制 6.表示层 7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用 性三项信息安全特性 A.ITSEC B.TCSEC C.GB/T9387.2 D.彩虹系列的橙皮书 8.下面对于CC 的“保护轮廓”( PP )的说法最准确的是: A.对系统防护强度的描述 B.对评估对象系统进行规范化的描述 C.对一类TOE 的安全需求,进行与技术实现无关的描述 D.由一系列保证组件构成的包,可以代表预先定义的保证尺度 9.以下哪一项属于动态的强制访问控制模型? A.Bell一Lapudufa 模型 B. 10. C.Strong star property 处于 D.Bell 一Lapadula 模型的访问规则主要是出于对保密性的保护而制定的 11.下面对于强制访问控制的说法错误的是? A 它可以用来实现完整性保护,也可以用来实现机密性保护 B在强制访问控制的系统中,用户只能定义客体的安全属性 C 它在军方和政府等安全要求很高的地方应用较多 D 它的缺点是使用中的便利性比较低 CISP相关试题及答案集 1. 人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是出于:A A. 为了更好的完成组织机构的使命 B. 针对信息系统的攻击方式发生重大变化 C. 风险控制技术得到革命性的发展 D. 除了保密性,信息的完整性和可用性也引起了人们的关注 2.《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指:C A. 对抗级 B. 防护级 C. 能力级 D. 监管级 3. 下面对信息安全特征和范畴的说法错误的是: C A. 信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素 B. 信息安全是一个动态的问题,他随着信息技 A. 信息安全策略的制定是以信息系统的规模为基础 B. 信息安全策略的制定是以信息系统的网络??? C. 信息安全策略是以信息系统风险管理为基础 D. 在信息系统尚未建设完成之前,无法确定信息安全策略 6. 下列对于信息安全保障深度防御模型的说法错误的是:C A. 信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。 B. 信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统。 C. 信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系无关紧要 D. 信息安全技术方案:“从外而内、自下而上、形成端到端的防护能力” 7. 全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求。“加快信息安全人才培训,增强全民信息安全意识”的指导精神,是以下哪一个国家政策文件提出的? A A. 《国家信息化领导小组关于加强信息安全保障工作的意见》 B. 《信息安全等级保护管理办法》 C.《中华人民共和国计算机信息系统安全保护条例》 D.《关于加强政府信息系统安全和保密管理工作的通知》 8. 一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案?A A. 公安部公共信息网络安全监察局及其各地相应部门 B. 国家计算机网络与信息安全管理中心 1、信息安全的概念,信息安全理念的三个阶段(信息保护-5特性,信息保障-PDRR,综合应用-PDRR+管理) 概念:信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。 三个阶段: (1)信息保护阶段:信息安全的基本目标应该是保护信息的性、完整性、可用性、可控性和不可抵赖性。 (2)信息综合保障阶段--PDRR模型 保护(Protect)、检测(Detect)、响应(React)、恢复(Restore) (3)信息安全整体解决方案:在PDRR技术保障模型的前提下,综合信息安全管理措施,实施立体化的信息安全防护。即整体解决方案=PDRR模型 + 安全管理。 2、ISC2的五重保护体系,信息安全体系-三个方面,信息安全技术体系 国际信息系统安全认证组织(International Information Systems Security Certification Consortium,简称ISC2)将信息安全划分为5重屏障共10大领域。(1).物理屏障层(2).技术屏障层(3).管理屏障层(4).法律屏障层(5).心理屏障层 信息安全体系-三个方面:信息安全技术体系、信息安全组织机构体系、信息安全管理体系 信息安全技术体系:划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次。 1)物理安全技术(物理层安全)。该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。 2)系统安全技术(操作系统的安全性)。该层次的安全问题来自网络使用的操作系统的安全,主要表现在三个方面:一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。 3)网络安全技术(网络层安全)。主要体现在网络方面的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。 4)应用安全技术(应用层安全)。主要由应用软件和数据的安全性产生,包括Web服务、电子系统、DNS等。此外,还包括病毒对系统的威胁。 5)管理安全性(管理层安全)。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。 3、信息系统安全,等级保护,认证 五个安全等级: 第一级—用户自主保护级第二级—系统审计保护级 第三级—安全标记保护级第四级—结构化保护级 第五级—访问验证保护级 从第一级到第五级安全等级逐级增高,高级别安全要低级别要求的超集。 分级保护的认证: (1)信息安全产品认证(2)信息系统安全认证 (3)信息安全服务资质认证(4)注册信息安全专业人员资质认证(简称CISP) 4、物理安全的概念,涉及的三个方面的容CISP试题及复习资料-一套题
CISP试题及答案-7套题资料
CISP相关试题及答案集
信息安全概论复习资料全
相关主题
文本预览