当前位置:文档之家 › CISP2018_信息安全支撑技术_V4.1

CISP2018_信息安全支撑技术_V4.1

  • 格式:pptx
  • 大小:1.40 MB
  • 文档页数:13

下载文档原格式

  / 13

合集下载

信息安全工程及管理CISP认证培训教程

信息安全工程及管理CISP认证培训教程

加密技术应用场景
包括网络通信、数据存储、身 份认证等领域。
2024/1/30
20
数据备份恢复策略制定
数据备份策略
根据数据类型、重要性等因素 制定备份周期、备份方式等。
2024/1/30
数据恢复策略
确保在数据丢失或损坏时能够 及时恢复,包括定期演练恢复 流程。
备份恢复技术选择
根据实际需求选择适合的备份 恢复技术,如磁带、磁盘、云 备份等。
2024/1/30
28
操作系统安全配置优化建议
最小化安装
在安装操作系统时,仅安 装必需的服务和组件,降 低系统被攻击的风险。
2024/1/30
安全补丁管理
定期更新操作系统安全补 丁,修复已知漏洞,提高 系统安全性。
账户和权限管理
严格控制操作系统账户权 限,避免使用root或管理 员权限运行应用程序,采 用最小权限原则。
信息安全管理
包括信息安全管理体系建设、信息安全风险管理、信息安全策略制 定和实施、信息安全审计和监控等方面的内容。
32
复习方法分享和备考技巧指导
系统学习
建议考生参加专业的CISP认证培训 课程,系统学习信息安全工程及管理 相关知识和技能。
阅读教材
认真阅读CISP认证考试指定教材, 深入理解各个知识点和概念。
,如SQL注入、跨站脚本等。
输入验证和输出编码
对用户输入进行严格的验证和过滤,防止 注入攻击;对所有输出进行编码,防止跨
站脚本攻击。
2024/1/30
会话管理安全
实施安全的会话管理机制,包括使用强随 机数生成器生成会话ID、定期更换会话密 钥、限制会话生存时间等。
最小权限原则
遵循最小权限原则,为每个应用或服务分 配所需的最小权限,减少潜在的安全风险 。

CISP信息安全认证考试指南

CISP信息安全认证考试指南
专业人员(CISP)注册维持要求,并缴付年费;
第 7页
CISP知识框架
• 2018年10月1日生效CISP知识体系4.1结构框架图
第 8页
CISP知识框架
• CISP知识体系
信息安全保障 − 本知识域包括信息安全保障的基本概念、模型、工作内容与工作方法,同时包
括信息安全保障要素中的安全工程相关内容及新技术领域信息安全保障的相关 知识。通过对本知识域的学习,学员应该理解信息安全问题产生的根源,信息 安全基本概念。了解PPDR、IATF、等信息系统安全保障评估框架等安全保障框 架,并理解信息安全保障工作内容及方法、信息系统安全工程(ISSE)及安全 工程能力成熟度模型(SSE-CMM)等相关知识。 信息安全规划 − 本知识域包括信息安全风险管理及密码学、身份鉴别及访问控制等信息安全支 撑技术相关知识。通过本知识域的学习,学员了解风险管理相关概念并掌握风 险管理的工作方法,并且掌握密码学、身份鉴别、访问控制等信息安全基础技 术,为信息系统安全体系规划及信息安全保障工作提供支撑。 安全设计与实现 − 本知识域包括物理和环境安全、网络和通信安全、计算机环境安全和应用与数 据安全四个知识子域。通过对知识域的学习,学员了解并掌握信息系统物理、 网络、主机、应用等多个层面的安全问题及防护措施。
“注册信息安全员”,(Certified Information Security Member ,简称 CISM) 注册信息安全专业人员—渗透测试工程师 (Certified Information Security ProfessionalPenetration Test Engineer,简称 CISP-PTE) 注册信息安全审计师(Certified Information Security Professional -Auditor,简称 CISA)

CISP2018_计算环境安全_v4.1

CISP2018_计算环境安全_v4.1
了解恶意代码的概念、传播方式及安全策略、减少 漏洞和减轻威胁等针对恶意代码的预防措施;
恶意代码的检测分析
理解特征扫描、行为检测的区别及优缺点; 了解静态分析、动态分析的概念及区别。
恶意代码的清除
了解感染引导区、感染文件、独立型和嵌入型恶意 代码清除的方式。
基于互联网的恶意代码防护
目标系统的信息系统相关资料
• 域名、网络拓扑、操作系统、应用软件、相关脆弱 性
目标系统的组织相关资料
• 组织架构及关联组织 • 地理位置细节 • 电话号码、邮件等联系方式 • 近期重大事件 • 员工简历
其他可能令攻击者感兴趣的任何信息
19
公开信息收集-搜索引擎
快速定位
某开源软件xxxx.jsp脚本存在漏洞,Google 搜索 ‚xxxx.jsp‛可以找到存在此脚本的Web网站 Google 搜索‚teweb/default.htm‛就可找到开放着 远程Web连接的服务器
78H 56H
24
栈顶
缓冲区溢出简单示例
程序作用:将用户输入的内容打印在屏幕上
Buffer.c
#include <stdio.h> int main ( ) { char name[8]; printf("Please input your name: "); gets(name); printf("you name is: %s!", name); return 0; }
பைடு நூலகம்
国家漏洞库(CNNVD)2013年漏洞统计
23
缓冲区溢出基础-堆栈、指针、寄存器
堆栈概念
一段连续分配的内存空间
ESP

CISP信息安全支撑技术

CISP信息安全支撑技术

CISP信息安全支撑技术1. 以下对单点登录技术描述不正确的是:() [单选题] *A.单点登录技术实质是安全凭证在多个用户之间的传递或共享(正确答案)B.使用单点登录技术用户只需在登录时进行一次注册,就可以访问多个应用C.单点登录不仅方便用户使用,而且也便于管理D.使用单点登录技术能简化应用系统的开发2.分组密码算法是一类十分重要的密码算法,下面描述中,错误的是() [单选题] *A. 分组密码算法要求输入明文按组分成固定长度的块B. 分组密码算法每次计算得到固定长度的密文输出块C. 分组密码算法也称为序列密码算法(正确答案)D. 常见的 DES、IDEA 算法都属于分组密码算法3. 密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法,密码协议也是网络安全的一个重要组成部分。

下面描述中,错误的是() [单选题] *A. 在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住所有的执行步骤,有些复杂的步骤可以不明确处理方式(正确答案)B. 密码协议定义了两方或多方之间为完成某项任务而制定的一系列步骤,协议中的每个参与方都必须了解协议,且按步骤执行C. 根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信任的人,也可能是敌人和互相完全不信任的人D. 密码协议( cryptographic protocol ),有时也称安全协议( security protocol),是使用密码学完成某项特定的任务并满足安全需求,其目的是提供安全服务4. 美国计算机协会(ACM)宣布将 2015 年的 ACM 奖授予给 Whitfield Diffic和 Wartfield 下面哪项工作是他们的贡献()。

[单选题] *A. 发明并第一个使用 C 语言B. 第一个发表了对称密码算法思想C. 第一个发表了非对称密码算法思想(正确答案)D. 第一个研制出防火墙5.. 口令破解是针对系统进行攻击的常用方法,Windows 系统安全策略中应对口令破解的策略主要是账户策略中的账户锁定策略和密码策略,关于这两个策略说明错误的是 [单选题] *A. 密码策略的主要作用是通过策略避免用户生成弱口令及对用户的口令使用进行管控B. 密码策略对系统中所有的用户都有效C. 账户锁定策略的主要作用是应对口令暴力破解攻击,能有效的保护所有系统用户被口令暴力破解攻击(正确答案)D. 账户锁定策略只适用于普通用户,无法保护管理员 administrator 账户应对口令暴力破解攻击6. 由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置账户锁定策略以对抗口令暴力破解。

cisp试题及答案

cisp试题及答案

cisp试题及答案一、概述CISP(Certified Information Security Professional)是国际上广泛认可的信息安全专业资格认证体系。

通过取得CISP认证,可以证明个人在信息安全领域具备丰富的专业知识和技能,有能力保护企业和组织的信息资产安全。

二、CISP试题内容概述CISP考试内容涵盖了信息安全的各个方面,包括但不限于以下几个领域:1. 信息安全管理和组织- 安全管理原则和方法论- 安全政策、标准和程序- 组织安全文化和意识培养- 风险管理和评估2. 资产安全管理- 资产分类和管理- 物理安全和环境控制- 信息存储和备份- 资产调查和回收3. 安全工程- 安全需求分析和规划 - 安全设计和实施- 安全评估和测试- 安全操作和维护4. 通信和网络安全- 网络拓扑和架构设计 - 网络设备和防护措施 - 网络协议和加密技术 - 网络安全监测和响应5. 身份和访问管理- 身份认证和授权机制 - 访问控制和权限管理 - 用户账号和密码策略 - 身份和访问审计6. 安全风险管理- 安全事件和威胁管理- 安全漏洞和漏洞管理- 恶意代码和攻击方法- 安全事件响应和处置三、CISP答案示例及解析以下是CISP试题中的一道例题及其对应的答案解析:题目:在信息安全管理中,为了确保安全策略的实施和执行,应该采取以下哪些措施?A. 定期进行安全风险评估B. 员工定期接受安全培训C. 建立安全审计和监控机制D. 所有答案都正确答案解析:D. 所有答案都正确在信息安全管理中,为了确保安全策略的实施和执行,应该综合采取多种措施。

定期进行安全风险评估可以识别和评估潜在的威胁和风险,从而采取相应的安全防护措施。

员工定期接受安全培训可以提高员工的安全意识和技能,减少由于人为因素导致的安全漏洞。

建立安全审计和监控机制可以监控信息系统的安全状况,及时发现和响应安全事件。

因此,以上选项都是确保安全策略实施和执行的重要措施。

注册信息安全专业人员(CISP认证培训)

注册信息安全专业人员(CISP认证培训)

注册信息安全专业人员(CISP认证培训)认证介绍国家注册信息安全专业人员(简称:CISP)是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。

2015年6月,全国获得CISP认证资格人员已超过15000名。

认证目的信息安全人员培训与姊姊认定的目的是构建全面的信息安全人才体系。

构建全面的信息安全人才体系是国家政策的要求,是组织机构信息安全保障建设自身的要求和组织机构人员自身职业发展的要求。

是国家政策的要求:中办发【2003】27号文件《国家信息化领导小组关于加强信息安全保障工作的I 安逸》中提出了“加快悉尼型安全人才培养,增强全民信息安全意识”的知道精神,重点强调了信息安全人才培养的重要性。

是组织机构信息安全保障建设自身的要求:企事业单位、政府机关等组织机构在信息安全保障建设、信息哈U建设中,需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设,从而保障其业务和使命。

是组织机构人员自身职业为发展的要求:作为人员本身,在其工作和职业发展中,需要充实其信息安全保障相关的只是和经验,以更好的开展其工作并为自己的只因为发展提供帮助。

认证价值对组织的价值:高素质的信息安全专业人才队伍,是信息安全的保障;信息安全人员持证上岗,满足政策部门的合规性要求;为组织实施信息安全岗位绩效考核提供了标准和依据;是信息安全企业申请安全服务资质必备的条件对个人的价值:适应市场中越来越热的对信息安全人才的需求;通过专业培训和考试提高个人信息安全从业水平;证明具备从事信息安全技术和管理工作的能力;权威认证提升职场竞争中的自身优势;可以获取信息安全专业人士的认可,方便交流。

认证分类根据工作领域和时间广州的需求,可以分为两类:注册信息安全工程师(CISE )主要从事信息安全技术开发服务工程建设等工作。

CISP2018_软件安全开发_V4.1

CISP2018_软件安全开发_V4.1
• 部署方式、配置信息、用户使用方式等 典型场景 • 移动或小型设备物理失窃场景 • Web应用匿名用户场景
30
威胁建模-识别威胁
识别每一个可能面临的威胁
理解软件可能面临的威胁是安全开发的前提 威胁不等于漏洞 威胁永远存在
S Spoolfing Identity 假冒身份/欺骗标识
35
安全需求分析
安全需求分类
安全功能需求 安全保障需求
需求分析的要点
安全需求进行有效定义 不仅考虑系统功能,还要考虑系统不应该做什么 功能需求、安全需求、安全目标要达到平衡
需求工程师不要仅仅从用户的角度出发考虑 系统的功能,还应从攻击者的角度出发考虑 系统的漏洞。
36
需求分析过程
13
软件安全保障
贯彻风险管理的思想
安全不必是完美无缺的,但风险必须是可管理的 树立对软件安全控制的信心,该信心是通过保障活 动来获取的
通过在软件开发生命周期各阶段采取必要的、相 适应的安全措施来避免绝大多数的安全漏洞
采取措施只能有效减少, 但并不能完全杜绝所有的 安全漏洞!
14
软件安全开发生命周期
在软件开发生命周期中,后面的阶段改正错误开 销比前面的阶段要高出数倍 NIST:在软件发布以后进行修复的代价是在软件 设计和编码阶段即进行修复所花代价的30倍
16
相关模型和研究
安全软件开发生命周期


安全设计原则 安全开发方法 最佳实践 安全专家经验
可信计算安全开发生命周期(微软) CLASP(OWASP)综合的轻量应用安全过程 BSI系列模型(Gary McGraw等) SAMM(OWASP)软件保证成熟度模型

2018年CISP练习试题

2018年CISP练习试题

1.美国的关键信息基础设施(critical Information Infrastructure,CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括:A.这些行业都关系到国计民生,对经济运行和国家安全影响深远B.这些行业都是信息化应用广泛的领域C. 这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出D.这些行业发生信息安全事件,会造成广泛而严重的损失答案:C2.关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确:A.2001-2002年是启动阶段,标志性事件是成立了网络与信息安全协调小组,该机构是我国信息安全保障工作的最高领导机构B.2003-2005年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略C.2005-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得圆满成功D.2005-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信息安全保障工作迈出了坚实步伐答案:C3.依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是:A、信息系统安全保障目的B、环境安全保障目的C、信息系统安全保障目的和环境安全保障目的D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的答案:D*4.以下哪一项是数据完整性得到保护的例子?A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作B.在提款过程中ATM终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看答案:B*5.公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。

CISP2018_信息安全保障_V41

CISP2018_信息安全保障_V41

操作控制
人员安全、物理和环境保护、意外防范计划、配置 管理、维护、系统和信息完整性、媒体保护、事件 响应、意识和培训
技术控制
识别和认证、访问控制、审计和追责、系统和通信 保护
26
云计算的安全风险
数据管理和访问失控的风险
数据存储位置对用户失控 云计算服务商对数据权限高于用户 用户不能有效监管云计算厂商内部人员对数据的非 授权访问
传输
移动网络
互联网
无线网络
卫星
Post-IP 网络
感知
射频识别
二维码
传感器网络
短距离无线 通信
实时定位
30
物联网安全威胁及安全架构
感知层安全
网关节点被控制,拒绝服务 接入节点标识、识别、认证和控制
传输层安全
拒绝服务、欺骗
支撑层安全
来自终端的虚假数据识别和处理、可用性保护、人 为干预
利用大数据和高性能计算为支撑,综合如IDS、IPS 、防火墙、防病毒等提供的数据,对相关的形式化 及非形式化数据(已知的攻击行为、可能的攻击行 为、进行中的攻击行为、漏洞等)进行分析,并形 成对未来网络威胁状态进行预判以便调整安全策略 ,实现“御敌于国门之外”的策略
9
知识子域:信息安全保障基础
20世纪,70-90年代 主要关注于数据处理和存储时的数据保护 安全威胁:非法访问、恶意代码、脆弱口令等 核心思想:预防、检测和减小计算机系统(包括 软件和硬件)用户(授权和未授权用户)执行的 未授权活动所造成的后果。 安全措施:通过操作系统的访问控制技术来防止 非授权用户的访问
10
信息安全属性
基本属性
保密性 完整性 可用性

CISP2018_物理与网络通信安全_V4.1

CISP2018_物理与网络通信安全_V4.1

其他:消防、交通便利
5
抗震及承重
抗震:国标 《结构抗震设计规范》)
特殊设防类 重点设防类 标准设防类
承重
考虑设计(建筑的设计是否考虑了应对可能的偶然 事件) 考虑时间因素(建筑有效期一般为50年) 考虑使用因素(正常使用、正常维护)
6
火灾
预防:防火设计及阻燃材料 检测:火灾探测器
我缓存中有记录,我告诉你!
32
基于TCP/IP协议簇的安全架构
网络用户
E-MAIL E-MAIL SNMP 应用层 应用层 SET S-HTTP SSL 传输层 传输层 TCP IPSEC(AH) IP PPTP L2TP PPP L2F IKE SFTP TLS UDP IPSEC(ESP) PGP S/MIME SSH X.509 PEM
共享密钥认证
弱密钥问题 不能防篡改ຫໍສະໝຸດ 没有提供抵抗重放攻击机制
35
无线局域网安全协议-WPA、WPA2
802.11i
WPA(802.11i草案) WPA2(802.11i正式)
Authentication Server(AS)
802.11i运行四阶段
发现AP阶段 802.11i认证阶段 密钥管理阶段 安全传输阶段
使要冒充主机 无法响应目标 主机
确认攻击目标
猜正确的序数
冒充受信主机
进行会话
24
IP欺骗实现
B
伪造B进行系列会话
A
连接请求
SYN flood攻击
A的序数规则
C
25
传输层协议-TCP(传输控制协议)
提供面向连接的、可靠的字节流服务 提供可靠性服务

CISP总结-信息安全保障知识点

CISP总结-信息安全保障知识点

CISP总结-信息安全保障知识点信息安全在现代社会中变得越来越重要。

随着技术的进步和信息的高速传输,我们面临着来自网络黑客、恶意软件和数据泄露等安全威胁。

针对这些威胁,许多组织和个人已经采取了各种信息安全保障措施。

本文将总结一些重要的信息安全保障知识点,以帮助读者更好地了解和应对信息安全挑战。

1. 密码技术密码技术是信息安全的基石之一。

通过加密和解密技术,可以保护敏感信息免受未经授权的访问。

常见的密码技术包括对称加密和非对称加密。

对称加密使用相同的密钥用于加密和解密数据,而非对称加密则使用一对公钥和私钥,公钥用于加密数据,私钥用于解密数据。

同时,密码学中还有其他的技术,如哈希函数和数字签名,用于验证数据的完整性和身份认证。

2. 访问控制访问控制是保护信息资源免受未经授权访问的重要手段。

它通过限制用户的访问权限来确保只有认证和授权的用户可以访问系统和数据。

常见的访问控制机制包括身份验证和授权。

身份验证验证用户的身份以确认其合法性,授权决定用户是否有权访问特定的资源。

此外,还可以采用多因素身份验证和单一登录(SSO)等技术来增强访问控制的安全性。

3. 网络安全网络安全是信息安全的重要组成部分。

它涉及保护网络免受未经授权的访问、恶意软件和网络攻击等威胁。

常见的网络安全措施包括防火墙、入侵检测和预防系统(IDS/IPS)、虚拟专用网络(VPN)和漏洞管理等。

此外,网络安全还需要定期的安全审计和漏洞扫描来发现潜在的安全隐患。

4. 数据保护数据保护是信息安全的核心任务之一。

包括数据备份、容灾和恢复等措施,以防止数据丢失和破坏。

常见的数据保护技术包括数据加密、数据脱敏、数据分类和数据托管。

此外,数据备份和恢复策略需要根据数据的重要性和敏感性进行规划,保证数据在意外情况下的可用性和完整性。

5. 教育和培训教育和培训是信息安全保障中不可或缺的一环。

只有通过教育和培训,组织和个人才能了解信息安全的重要性,并学习如何应对安全威胁。

CISP信息安全标准与法律法规

CISP信息安全标准与法律法规

CISP 信息安全标准与法律法规介绍CISP(China Information Security Evaluation Standard)是由中国信息安全测评中心(CISE)制订的信息安全测评标准。

CISP分为5个等级,分别是CISP-1、CISP-2、CISP-3、CISP-4和CISP-5,其中CISP-5是最高等级。

CISP主要用于评估企业的信息安全水平,并根据评估结果给出相应的建议和改进措施。

除了CISP标准,中国还有其他一些相关的信息安全标准和法律法规。

CISP信息安全标准CISP-1CISP-1是最低安全等级,适用于对信息安全要求不高的小型企业。

CISP-1要求企业建立基本的信息安全管理制度,确保开展信息处理活动的合法性、正确性和安全性。

此外,CISP-1还要求企业对重要的信息资产进行分类和保护,并建立基本的安全防护措施,如防火墙、反病毒软件等。

CISP-2CISP-2适用于对信息安全要求较高的中小型企业。

CISP-2包括CISP-1的所有要求,并增加了一些额外要求,如完善的安全管理制度、信息安全培训和考核、网络安全事件的应急处理等。

CISP-3CISP-3适用于对信息安全要求较高的大型企业和政府机构。

CISP-3包括CISP-2的所有要求,并增加了一些更高级别的安全措施,如网络边界控制、网络入侵检测、流量监控等。

CISP-4CISP-4适用于对信息安全要求非常高的特定行业和组织,如金融机构、国家机密单位等。

CISP-4包括CISP-3的所有要求,并增加了一些更严格的安全措施,如网络隔离、异地备份、安全审计等。

CISP-5CISP-5是最高等级,适用于对信息安全要求极高的行业和组织,如核电站、军事领域等。

CISP-5包括CISP-4的所有要求,并增加了更加高级别的安全措施,如身份认证、权限控制、加密等。

法律法规《网络安全法》《网络安全法》是中国首部全面、系统的网络安全立法,于2016年11月7日正式施行。

CISP认证考试指南2018

CISP认证考试指南2018

CISP认证考试指南⏹认证机构⏹CISP简介⏹CISP知识框架⏹CISP认证过程⏹CISM简介⏹其他相关认证认证机构•中国信息安全测评中心(以下简称测评中心)是我国专门从事信息技术安全测试和风险评估的权威职能机构。

英语简称(CNITSEC)。

•依据中央授权,测评中心的主要职能包括:负责信息技术产品和系统的安全漏洞分析与信息通报;负责党政机关信息网络、重要信息系统的安全风险评估;开展信息技术产品、系统和工程建设的安全性测试与评估;开展信息安全服务和专业人员的能力评估与资质审核;从事信息安全测试评估的理论研究、技术研发、标准研制等。

测评中心是国家信息安全保障体系中的重要基础设施之一,在国家专项投入的支持下,拥有国内一流的信息安全漏洞分析资源和测试评估技术装备;建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分析和测评装备研发等多个专业性技术实验室;具有专门面向党政机关、基础信息网络和重要信息系统开展风险评估的国家专控队伍。

•中国信息安全测评中心负责注册信息安全专业人员(CISP)的咨询和管理工作,包括注册信息安全专业人员(CISP)的培训管理、考试、注册以及教材编写、师资管理、授权培训机构管理等方面。

/认证机构•目前中国信息安全测评中心对于人员的注册分为以下几类:注册信息安全审计师(Certified Information Security Professional -Auditor ,简称CISA )“注册信息安全员”,(Certified Information Security Member ,简称CISM )注册信息安全专业人员—渗透测试工程师(Certified Information Security Professional-Penetration Test Engineer ,简称CISP-PTE )注册信息安全专业人员,(Certified Information Security Professional ,简称CISP )关于我们•汇哲科技(简称“SPISEC”)由上海汇哲信息科技有限公司、北京汇哲信安科技有限公司等多个独立公司组成。

3.CISP 4.1版本《安全支撑技术》知识点总结

3.CISP 4.1版本《安全支撑技术》知识点总结

《信息安全支撑技术》考前知识点串讲第一节密码学基础1.密码学发展阶段:古典、近代、现代和公钥密码学及特点。

2.密码系统组成:明文、加密、密钥、解密、密文。

3.柯克霍夫原则:密钥保密,算法公开。

4.对称密码算法(1)加密密钥和解密密钥相同,或实质上等同。

(2)典型算法:DES、3DES、AES、IDEA、RC5、Twofish、CAST-256。

(3)优点:高效;不足:交换密钥问题及密钥管理复杂。

5.非对称密码算法:(1)典型算法:RSA、ECC、ElGamal(2)原理:基于数学难题实现,大整数分解、离散对数、背包问题。

(3)优点:解决密钥传递问题、密钥管理简单、提供数字签名等其他服务。

缺点:计算复杂、耗用资源大。

6.哈希函数:(1)作用:完整性校验;(2)主要算法:MD5、SHA-1、SHA-2、SHA-256\384\512。

(3)特点:具有单向性、抗碰撞性(强弱之分)。

7.消息鉴别码:(1)消息认证、完整性校验、抗重放攻击(时间顺序验证);(2)消息认证方式:Message encryption、Hash function、MAC。

8.数字签名:(1)原理:见图。

(2)作用:身份鉴别、不可抵赖、消息完整性。

第二节密码学应用1.数字证书:(1)一段电子数据,是经证书权威机构CA签名的、包含拥有者身份信息和密钥的电子文件。

(2)数字证书格式:国际标准X.509定义一个规范的数字证书格式(3)数字证书生命周期:证书申请、证书生成、证书存储、证书发布、证书废止。

2.PKI体系构成(1)KMC或KMS(密码系统)(2)CA(认证权威)(3)RA(注册权威)(4)LDAP(证书管理目录服务)(5)CRL&OCSP(黑名单库或在线认证)(6)终端实体(持有USB-Key和程序)3.区块链(了解,考试不考)(1)区块链是分布式数据存储、点对点传输、密码技术等计算机技术的新型应用模式,解决了去中心化的共识机制的建立和应用。

CISP18信息安全工程

CISP18信息安全工程

系统工程基础
系统工程具有以下特点:系统工程不同于一般的工程技术学科,如水利工程、机械工程等“硬”工程;系统工程偏重于工程的组织与经营管理一类“软”科学的研究。系统工程涉及各种学科、各个领域的各种内容,因此它是跨越不同学科的综合性科学。以整体的、综合的、关联的、科学的、实践的观点来看待研究对象在解决一个具体项目时,它要求把项目或过程分成几大步骤,而每个步骤又按一定的程序展开。这就保证了系统思想在每个部分、每个环节上体现出来。 任何系统都是人、设备和过程的有机组合,其中人是最主要的因素。因此在应用系统工程的方法处理系统问题时,要以人为中心。
系统设计规范
设计、制造、集成和测试
系统运行和生命周期支持
使命需求明细(MNS)
候选系统评审(ASR)
系统要求评审(SRR SFR)
基本设计评审、关键设计评审、系统验证评审(PDR、CDR、SVR)
物理配置评审(PCA)
三、系统安全能力成熟度模型SSE-CMM
能力成熟度模型
SSE-CMM(ISO/IEC IS 21827)
SSE-CMM概述
系统安全工程能力成熟模型(Systems Security Engineering Capability Maturity Model),描述了一个组织的系统安全工程过程必须包含的基本特征,这些特征是完善的安全工程保证,也是系统安全工程实施的度量标准,同时还是一个易于理解的评估系统安全工程实施的框架。 目的促进安全工程成为一个确定的、成熟的和可度量的学科:通过区分投标者的能力级别和相关的计划风险来选择合格的安全工程提供商;工程组把投资集中在安全工程工具、培训、过程定义、管理实施和改进上;基于能力的保证,也就是说,信赖是基于对工程组织安全工程实践和过程成熟的信心

CISP-V4.0-01-《信息安全保障》知识点复习总结

CISP-V4.0-01-《信息安全保障》知识点复习总结

CISP-信息安全保障第一节信息安全保障基础1.信息安全保障基础1.1信息安全的定义:狭义和广义之分。

1.2信息安全的特点:系统、动态、无边界、非传统。

1.3信息安全的属性:保密性、完整性、可用性;真实性、不可否认、可追责、可靠性。

1.4信息安全问题根源:内因和外因,外因包括自然和人为威胁;人为威胁包括故意威胁和非故意威胁。

1.5信息安全的视角:国家、商业(企业)和个人视角的内容。

2.信息安全发展阶段2.1 通信安全:采用加密的措施解决信息窃听、密码分析问题。

2.2 计算机系统安全:采用计算机防护的系列手段,提高系统安全性。

2.3 网络安全:通过防火墙等成熟的措施解决网络信息系统安全问题。

2.4 网络空间安全:防御措施、威慑措施以及情报利用。

3. 了解《国家网络空间安全发展战略》。

第二节信息安全保障模型1.P2DR1.1P2DR:策略-防护-检测-响应1.2P2DR思想:基于时间的防护与安全的有效性1.3P2DR公式:Pt>Dt+Rt 那么系统是安全的。

Pt<Dt+Rt,那么(Dt+Rt)- Pt =Et,要求Et<=01.4P2DR作用:实现系统在时间上的防护是有效的。

2.IATF2.1 IATF核心:人、技术、操作。

2.2 IATF保护方面:本地计算环境、网络基础设施、区域边界,支撑性基础设施。

2.3 IATF思想:深度防护的思想。

2.4 IATF作用:实现被保护的网络系统在空间上每个节点安全有效性。

3.系统安全保护评估框架3.1 原理:1)实现全生命周期的安全。

2)通过人员要素、技术要素、管理要素和工程要素来综合实现安全。

3)实现目的是保密性、完整性、可用性,以及最终的业务使命。

3.2 评估框架1)ISPP:标准化信息系统的安全需求。

2)ISST:标准化信息系统的安全方案。

3)评估:技术TCML1-5级;管理MCML1-5级;工程ECML1-5级。

4.商业应用安全架构4.1 常用的参考:舍伍德的商业应用安全架构(Sherwood Applied Business Security Architecture,SABSA)、Zachman框架、开放群组架构框架(The Open Group Architecture Framework,TOGAF)。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

29
木马窃取密码安全防护
使用密码输入控件
安全的输入框,避免从输入框中还原密码 软键盘,对抗击键记录 随机排列字符,对抗屏幕截图重现
30
密码嗅探攻击安全防护
加密:单向函数
攻击者很容易构造一张q与p对应的表,表中的p尽 可能包含所期望的值
解决办法:在口令中使用随机数
Hale Waihona Puke 31密码嗅探攻击安全防护
14
哈希函数
哈希函数是能将任意长度的数据映射成为一个定 长的字段的函数 作用:数据完整性检查 用户B 用户A 典型算法:MD5、SHA-1 数据 哈希算 数学性质 哈希值 法
单向性 弱抗碰撞性 强抗碰撞性
如果哈希 值匹配, 哈希算法 说明数据 有效 数据 哈希值 用户A发送数 据和哈希值给 用户 B 数据 哈希值
拥有公私密钥对和相应公钥证书的最终用户,可以 是人、设备、进程等
22
PKI体系工作流程
Directory
审核通过的 注册请求发 送给CA
CA
应用/其他用户
证书同时要被 发布出去
CA为用户 签发证书 下载凭证 ...
RA系统 审核用 户身份
RA
提交证 书申请 请求 RA将证书下 载凭证发放 给用户 证书下 载到用 户本地
难以复制、安全性高
35
基于实体所有的鉴别方法
安全威胁及防护
损坏
• 封装应坚固耐用,承受日常使用中各种可能导致卡 片损坏的行为
复制
• 保证IC卡中存储和处理的各种信息不被非法访问、 复制、篡改或破坏PIN码甚至其他技术实现对数据的 安全防护 • 确保逻辑安全措施得到落实
36
基于实体特征的鉴别方法
发送注册 信息给 RA 用户申 请证书
应用程序通过证书: 获取用户的身份信息 进行证书废止检查 检查证书的有效期 校验数字证书 解密数据
23
PKI/CA技术的典型应用


电子商务领域 银行 网购
• •
钓鱼 身份盗窃
电子政务领域 公文扭转 政务门户

访问控制领域 • 机房门禁(物理) • Windows登录( 逻辑)
使用最广泛的身份鉴别方法
实现简单、成本低 提供弱鉴别
面临的威胁
暴力破解 木马窃取 线路窃听 重放攻击 ……
28
密码暴力破解安全防护
暴力破解防护
使用安全的密码(自己容易记,别人不好猜) 系统、应用安全策略(帐号锁定策略) 随机验证码
• 变形 • 干扰 • 滑块 • 图像识别 • ……
提供证书生命期的维护工作
受理用户证书申请 协助颁发用户证书 审核用户真实身份 受理证书更新请求 受理证书吊销
20
证书库/CRL
证书存放管理
信息的存储库 ,提供了证书的保存,修改,删除 和获取的能力 采用LDAP标准的目录服务存放证书,其作用与数据 库相同,优点是在修改操作少的情况下,对于访问 的效率比传统数据库要高
交叉认证 交叉证书更新
CA2
18
CA:认证权威
签发证书 更新证书 管理证书
撤销、查询 审计、统计
验证数字证书
黑名单认证(CRL) 在线认证 (OCSP)
CA是PKI体 系的核心
19
RA:注册权威
受理用户的数字证书申请
对证书申请者身份进行审核并提交CA制证 类似于申请身份证的派出所
15
消息鉴别
对收到的消息进行验证,证明确实是来自声称的 发送方,并且没有被修改过 作用:完整性校验、时间和顺序验证 消息认证方式
Message encryption Hash function MAC
16
数字签名
附加在数据单元上的一些数据,或是对数据单元 所做的密码变换,这种数据或变换能使数据单元 的接收者确认数据单元来源和数据单元的完整性 ,并保护数据,防止被人伪造 作用
密码学的新方向—公钥密码学 主要特点:解决了密钥分发和管理的问题
4
古典密码
安全性在于保持算法本身的保密性
不适合大规模生产 不适合较大的或者人员变动较大的组织 用户无法了解算法的安全性
主要分类
替代密码 置换密码 替代密码与置换密码的组合
5
古典密码学
例如:凯撒密码
公钥基础设施
了解PKI的基本概念及PKI体系构成; 理解CA及其他组件在PKI体系中的作用; 掌握PKI的应用场景。
13
知识子域:密码学
其他密码服务
理解哈希函数、消息认证码、数字签名等密码服务 的作用。
公钥基础设施
了解PKI的基本概念及PKI体系构成; 理解CA及其他组件在PKI体系中的作用; 掌握PKI的应用场景。
随机数 对随机数进行加密的结果 认证结果
33
知识子域:身份鉴别
基于实体所有的鉴别
理解基于实体所有的鉴别方式及特点; 了解集成电路卡、内存卡、安全卡、CPU卡等常用 鉴别物品。
基于实体特征的鉴别
理解基于实体特征的鉴别方式及特点; 了解指纹、虹膜、声纹等常用的生物识别技术; 理解基于实体特征鉴别有效性判定的方法。
明文 密文 ATTACK NOW DWWDFN QRZ
例如:ENIGMA
ENIGMA是由Arthur Scherbius于1919年发明了 密码转轮机,使用机电代 替手工。在二次世界大战 期间, Enigma曾作为德国陆 、海、空三军最高级密码 机
近代密码学
安全性基于密钥而非算法
科克霍夫(Kerckhoff)原则:密码体制应该对外 公开,仅需对密钥进行保密;如果一个密码系统需 要保密的越多,可能的弱点也越多
34
基于实体所有的鉴别方法
采用较多的鉴别方法
使用用户所持有的东西来验证用户的身份 用于鉴别的东西通常不容易复制
鉴别物体
IC卡(Integrated Circuit Card)是将一个微电 子芯片嵌入符合卡基,做成卡片形式的信息载体
• 内存卡 • 逻辑加密卡 • CPU卡
特点
公钥密码算法
理解非对称密码算法(公钥算法)的概念及算法特 点; 了解RSA、SM2等典型非对称密码算法。
3
密码学发展
古典密码学( 1949年之前)
主要特点:数据的安全基于算法的保密
近代密码学(1949~1975年)
主要特点:数据的安全基于密钥而不是算法的保密
现代密码学( 1976年以后)
8
基本保密通信模型
基本概念
明文、密文 加密、解密、加密密钥、解密密钥 ……
加密秘钥 解密秘钥
明文 发送方 加密
密文
明文 解密 接收方
密码分析者
9
密码学技术在信息安全中的应用
信息安全要素 机密性 (Confidentiality) 完整性 (Integrity) 可鉴别性 (Authentication) 不可否认性 (Non-repudiation) 授权与访问控制 (Authorization & Access Control) 所应付的典型威胁 窃听 非法窃取资料 敏感信息泄露 篡改 重放攻击 破坏 冒名 否认已收到资料 否认已送资料 非法存取资料 越权访问 可用的密码技术 对称加密和非对称加密 数字信封 哈希函数和消息认证码 数据加密 数字签名 口令和共享秘密 数字证书和数字签名 数字签名 证据存储 属性证书 访问控制
一次性口令:每次鉴别中所使用的密码不同
有效应对密码嗅探及重放攻击
实现机制
两端共同拥有一串随机口令,在该串的某一位置保 持同步 两端共同使用一个随机序列生成器,在该序列生成 器的初态保持同步 使用时间戳,两端维持同步的时钟
32
密码嗅探及重放攻击防护
挑战机制
客户端:请求登录 服务器:给出随机数作为挑战请求 将登录信息(用户名、密码)与随机数合并,使用 单向函数(如MD5)生产字符串,作为应答返回服 务器 服务认证后返还结果
25
标识与鉴别
标识的概念:标识是实体身份的一种计算机表达 ,每个实体与计算机内部的一个身份表达绑定 鉴别:确认实体是它所声明的,提供了关于某个 实体身份的保证,某一实体确信与之打交道的实 体正是所需要的实体 标识与鉴别的作用
作为访问控制的一种必要支持,访问控制的执行依 赖于确知的身份 作为数据源认证的一种方法 作为审计追踪的支持
使用每个人所具有的唯一生理特征
认证结果 数据 采集设备 数据输入 通道 数据 匹配
CRL(Certificate Revocation List):证书撤销列 表,也称“证书黑名单”
被撤销证书的序列号 证书有效期期间因为某种原因(人员调动、私钥泄 漏等)导致证书不再真实可信,因此需要进行证书 撤销
21
终端实体
数字证书
经证书权威机构CA签名的、包含拥有者身份信息和公 开密钥的数据体 国际标准X.509定义了电子证书的规范格式
PKI体系组成
CA(认证权威) RA(注册权威) 证书存放管理(目录服务) 终端实体(证书持有者和应用程序)
证书下载 CRL查询
终端实体
带外装载(初始化信息)
注册、申请、认证 更新、撤销、恢复
证 书 / C R L 库
PKI用户 PKI管理
证书 发布
RA
证书/CRL发布
证书机构 CA1

通信领域 WiFi 部署
PKI/CA应用


软件开发领域 代码签名
硬件设备领域 • Web 服务器 • 域名控制器 • VPN