下载文档原格式
XX版-CISP信息安全风险管理v课件 (一)XX版-CISP信息安全风险管理课件是信息安全管理方面的重要工具,它能够帮助企业和组织更好地管理其信息安全风险。
以下是该课件的详细介绍。
一、课件的概述1.1 课件的名称和版本:XX版-CISP信息安全风险管理课件。
1.2 课件内容:课件内容主要包括信息安全风险管理基础、信息资产分析、信息安全风险评估、信息安全控制、安全监控和应急处理等。
1.3 课件使用对象:该课件主要适用于需要进行信息安全管理的企业和组织,也适用于信息安全从业人员和学生。
二、课件的主要特点2.1 实用性强:该课件以实践为基础,重点关注信息安全风险的实际应用,帮助企业和组织更好地管理其信息安全风险。
2.2 体系化:该课件建立了完整的信息安全风险管理体系,包括了信息安全风险分析、信息安全风险评估、信息安全控制等环节。
2.3 可操作性强:该课件提供了丰富的案例和实践演练,使学生能够通过实际操作加深理解和掌握信息安全风险管理知识。
2.4 通俗易懂:该课件采用简单明了的语言,易于理解和掌握,适合不同层次、不同专业人员的学习。
三、课件的使用方法3.1 了解课件结构:学生应该先了解课件结构,弄清各个模块之间的关系,从而能够对信息安全风险管理有一个整体的认识。
3.2 学习课件内容:学生应该按照课件的模块顺序进行学习,并结合实例演示加深理解。
3.3 实践演练:学生应该根据课件提供的案例,进行实践演练,掌握信息安全风险管理的实际操作技能。
3.4 提高综合素质:学生应该通过学习不断提高自身综合素质,包括思维能力、创新能力和团队协作能力等。
四、课件的应用价值4.1 优化信息安全管理:该课件能够帮助企业和组织更好地管理其信息安全风险,提高信息安全管理水平,有效预防信息安全事故的发生。
4.2 培养优秀人才:通过该课件的学习,能够培养出具有信息安全管理知识和实践经验的优秀人才,为企业和组织提供人才支持。
4.3 促进行业发展:该课件能够促进信息安全行业的发展,提高信息安全行业的整体素质和竞争力。
1.美国的关键信息基础设施(critical Information Infrastructure,CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括:A.这些行业都关系到国计民生,对经济运行和国家安全影响深远B.这些行业都是信息化应用广泛的领域C. 这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出D.这些行业发生信息安全事件,会造成广泛而严重的损失答案:C2.关于我国信息安全保障工作发展的几个阶段,下列哪个说法不正确:A.2001-2002年是启动阶段,标志性事件是成立了网络与信息安全协调小组,该机构是我国信息安全保障工作的最高领导机构B.2003-2005年是逐步展开和积极推进阶段,标志性事件是发布了指导性文件《关于加强信息安全保障工作的意见》(中办发27号文件)并颁布了国家信息安全战略C.2005-至今是深化落实阶段,标志性事件是奥运会和世博会信息安全保障取得圆满成功D.2005-至今是深化落实阶段,信息安全保障体系建设取得实质性进展,各项信息安全保障工作迈出了坚实步伐答案:C3.依据国家标准/T20274《信息系统安全保障评估框架》,信息系统安全目标(ISST)中,安全保障目的指的是:A、信息系统安全保障目的B、环境安全保障目的C、信息系统安全保障目的和环境安全保障目的D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的答案:D*4.以下哪一项是数据完整性得到保护的例子?A.某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作B.在提款过程中ATM终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作C.某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作D.李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看答案:B*5.公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。
CISP考试(习题卷1)说明:答案和解析在试卷最后第1部分:单项选择题,共94题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]制定应急响应策略主要需要考虑A)系统恢复能力等级划分B)系统恢复资源的要求C)费用考虑D)人员考虑2.[单选题]信息安全风险评估师信息安全风险管理工作中的重要环节。
在《关于开展信息安全 风险评估工作的意见》(国信办[2006]5 号)中,指出了风险评估分为自评估和检 查评估两种形式,并对两种工作形式提出了有关工作原则和要求。
下面选项中描述 错误的是?A)自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行 的风险评估B)检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的 风险评估C)信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补 充D)自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个, 并坚持使用3.[单选题]区别脆弱性评估和渗透测试是脆弱性评估A)检查基础设施并探测脆弱性,然而穿透性测试目的在于通过脆弱性检测其可能带来的损失B)和渗透测试为不同的名称但是同一活动C)是通过自动化工具执行,而渗透测试是一种完全的手动过程D)是通过商业工具执行,而渗透测试是执行公共进程4.[单选题]某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址,但是该网 络内有 15 台个人计算机,这些个人计算机不会同时开机并连接互联网。
为解决公司员 工的上网问题,公司决定将这 10 个互联网地址集中起来使用,当任意一台个人计算机 开机并连接网络时,管理中心从这 10 个地址中任意取出一个尚未分配的 IP 地址分配给 这个人的计算机。
他关机时,管理中心将该地为收回,并重新设置为未分配。
可见,只 要同时打开的个人计算机数量少于或等于可供分配的 IP 地址,那么,每台个人计算机 可以获取一个 IP 地址,并实现与互联网的连接。
CISP考试(习题卷11)第1部分:单项选择题,共94题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]小红和小明在讨论有关于现在世界上的 IP 地址数量有限的问题,小红说他看到有新闻说在 2011 年 2 月3 日,全球互联网 IP 地址相关管理组织宜布现有的互联网 IP 地址已于当天划分给所有的区域互联网注册管理机构,IP 地址总库已经枯竭,小明吓了一跳觉得以后上网会成问题,小红安慰道,不用担心,现在IPv6 已经被试用它有好多优点呢,以下小红说的优点中错误的是()A)网络地址空间的得到极大扩展B)IPv6 对多播进行了改进,使得具有更大的多播地址空间C)繁杂报头格式D)良好的扩展性答案:C解析:2.[单选题]基于网络的入侵检测系统的信息源是_______。
A)系统的审计日志B)事件分析器C)应用程序的事务日志文件D)网络中的数据包答案:D解析:3.[单选题]数位物件识别号(Digital 0bject Identifier,简称 DOI)是一套识别数位资源的机制,涵括的对象有视频、报告或书籍等等。
它既有一套为资源命名的机制,也有一套将识别号解析为具体位址的协定。
DOI 码由前缀和后缀两部分组成,之间用“/” 分开,并且前级以“.”再分为两部分。
以下是一个典型的 DOI 识别号,10.1006/jmbi.1998.2354,下列选项错误的是()A)“10.1006”是前级,由国际数位物件识别号基金会确定B)“10”为 DOI 目前唯的特定代码,用以将 DOI 与其他采用同样技术的系统区分开C)“1006 是注册代理机构的代码,或出版社代码,用于区分不同的注册机构D)后缀部分为:jmbi.1998.2354,由资源发行者自行指定,用于区分一个单独的数字资料,不具有唯一性答案:D解析:4.[单选题]在加固数据库时, 以下哪个是数据库加固最需要考虑的?A)修改默认配置B)规范数据库所有的表空间C)存储数据被加密D)修改数据库服务的服务端口答案:A解析:5.[单选题]以下哪一项是用于CC的评估级别?A)EAL1,EAL2,EAL3,EAL4,EAL5,EAL6,EAL7B)A1,B1,B2,B3,C2,C1,D6.[单选题]在正常情况下,应急响应计划培训应该至少多久一次A)1 年B)2 年C)半年D)5 年答案:A解析:7.[单选题]我国卫星导航系统的名字叫( )。
1、从历史演进来看,信息安全的发展经历了多个阶段,其中有一个阶段的特定是,网络信息系统的逐步形成,信息安全注重保护信息是在存储、处理和传输过程中免授非授权访问,开始使用防火墙、防病毒、pki和vpn等安全产品,这个阶段是A通信安全阶段:搭线窃听、密码学分析B计算机安全阶段:非授权访问,恶意代码,弱口令C信息系统安全阶段:网络入侵D信息安全保障阶段:黑客、恐怖分子C2、随着信息技术的不断发展,信息系统的重要性也越来越突出。
与此同时,发生的信息安全事件越来越多,综合分析信息安全问题产生的根源,下面描述正确的是:A信息系统质自身存在脆弱性是根本原因。
信息系统越来越重要,但同时自身开发、部署和使用过程中存在的脆弱性,导致了诸多安全事件发生。
因此杜绝脆弱性的存在,是解决信息安全问题的根本所在B信息系统面临诸多黑客的威胁,包括恶意攻击者和恶作剧攻击者,信息系统的应用越来越广,接触信息系统的人越多,信息系统越可能遭受攻击,因此避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题C信息安全问题产生的根源要从内因和外因两个方面分析,因为信息系统自身有脆弱性,同时外部又有危险,从而导致新系统可能发生安全事件,因此要防范信息安全风险,应该从内外因同时着手D信息安全问题的根本原因是内因、外因、人三个因素的综合作用,内因和外因都可能导致安全事件的发生,但最重要的还是人的因素,外部攻击者和内部人员通过远程攻击、本地破坏和内外勾结等手段,导致安全事件发生,因此对人这个因素的防范是安全工作的重点C3、某学员在学习国家标准《信息系统安全保障评估框架第一部分,简单和一般模型》(GB20274.1-2006)后绘制了一张简化的信息系统安全保障模型图,请在空白处选择合适选项A安全保障(方针和组织)B安全防御(技术和管理)C深度防御(策略、防御、检测、响应)D保障要素(技术、管理、工程、人员)D(安全特征:保密性、完整性、可用性)4、信息系统面临外部攻击者的恶意攻击威胁,从危险能力和掌握资源分,这些危胁可以按照个人危险,组织威胁和国家威胁三个层面划分,下面哪个属于组织威胁A恶作剧,实现自我挑战的娱乐型黑客B实施犯罪,获取非法经济的网络犯罪集团C搜集政治、军事、经济的情报机构D巩固战略优势,执行军事任务,进行目标破坏的信息作战部队B5、2003年以来,我国高度重视信息安全保障工作,先后制定并发布了多个文件,从政策层面为开展并推进信息安全保障工作进行了规划,签名选项中哪个不是我国发布的文件?A《国家信息化领导小组关于加强信息安全保障工作的意见》(中办公【2003】27号)B《国家网络安全综合计划(CNCI)》(国令【2008】54号)美国三道防线,为降威胁C《国家信息安全战略报告》(国信【2005】2号)D《关于全力推进信息化发展和切实保障信息安全的若干意见》(国发23号)B6、我国信息安全保障建设,包括信息安全组织与管理体制,基础设施,技术体系等方面,以下关于信息安全保障建设主要工作内容,说法不正确的是A健全国家信息安全组织与管理体制机制,加强信息安全保障工作的组织保障B建设信息安全基础设施,提供国家信息安全保障能力支撑C建立信息安全技术体系,实现国家信息化发展的自主创新D建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养C7、某银行信息系统为了满足业务发展的需要,准备进行升级改造,以下哪一项不是此次改造中信息系统安全需要分析过程,需要考虑的主要因素A信息系统安全必须遵守相关的法律法规,国家以及金融业安全标准B信息系统所承载的该银行业务正常运行的安全需求C消除或降低该银行信息系统面临的所有安全风险D该银行的整体安全策略C8、信息安全测评是依据相关标准,从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员资质进行评测评和评估,以下关于信息安全测评说法不正确的是A信息产品安全评估是测评机构对产品的安全性作出的独立性评价,增强用户对已评估产品的信任B目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型C信息安全工程能力评估是对信息安全服务者的资格状态,技术实力和实施服务过程质量保证能力的具体衡量和评价D信息系统风险评估是系统的分析网络与信息系统所面临的威胁及其存在脆弱性,评估安全事件可能造成的危害程度,提出有针对性的安全防御策略和整改措施B三项,技术管理和过程9、小李是公司系统规划师,某天他针对公司信息的现状,绘制了一张经济安全图,如图所示,请问这个图列依据下面哪个模型来画的?A PDRB PPDR策略+检测、防护、响应,加入时间因素,自适应填充安全间隙C PDCA人技术操作多层次多角度D IATFB PPDR策略+检测、防护、响应,加入时间因素,自适应填充安全间隙10、在设计信息安全保障方案时,以下哪个做法是错误的?A要充分结合信息安全需求,并且实际可行B要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本C要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求D要充分用户管理和文件的可接受性,减少系统方案实施障碍C11、关于密钥管理,下面说法错误的是A科克霍克原则指出,算法的安全性不应基于算法的保密,而应基于密钥的安全性B保密通信过程中,通讯方使用之前用过的会话密钥建立会话在,不影响通行安全C密钥管理需要考虑密钥产生、存储,备份,分配,更新,撤销等生命周期的每个过程D在网络通讯中,通信双方可DIFFIE+HELLMAN协议协商出会话密钥B12、在网络信息系统中对用户进行验证识别时,口令是种传统但仍然使用广泛的方法,口令认证过程中常常使用静态口令和动态口令,下面描述错误的是A所谓静态口令方案,是指用户登录验证身份的过程中,每次输入的都是固定静态不变的B使用静态口令方案时,即使对口令简单加密或HASH后进行传输,攻击者依然可以重放攻击来欺骗信息系统的身份认证模块C动态口令方案中,通常需要使用密码算法产生较长的口令序列,攻击者如果连续记录足够的历史口令,则有可能预测出下次要使用的口令D通常,动态口令实现方式分为口令序列,时间同步以及挑战/应答等几种类型C13、公钥基础设施引入数字证书的概念,用来表示用户的身份,下图简单描述了终端实体(用户)从认证权威机构ca申请、撤销和更新数字证书的流程,请为中间空白处选择合适的选项?A证书库LDAPB RAC OCSP在线查询证书状态D CRL库证书撤销列表B证书库14、虚拟专用网(vpn)是指在公共网络中得到的隧道技术,建立临时的安全的网络,这里的p是指A special-purpost,特定专用图的B proprietary专有的专卖的C private,私有的,专有的D specific,特征,具体的C15、IPSEC(ip security)协议标准的设计目标是在ip v4和ip v6环境中为网络层流量提供灵活透明的安全服务,保护tcp ip通信免遭窃听和篡改,保证数据的完整和机密性,下列描述哪个是错误的?A IPSEC协议不支持使用数字证书B IPSEC协议ip4和ip6网络都适用C IPSEC有两种工作模式,传输模式和隧道模式D IPSEC协议包括封装安全载荷(sep)和鉴别头(AH)两种通信保护机制A16、实施身份鉴别方法多种多样,而且随着技术进步,鉴别方法的强度不断提高,常见的方法有利用口令鉴别、令牌鉴别、指纹等,如图(一个指纹,下面是点击进行指纹解锁),小王在登录某移动支持支付平台时,首先需要通过指纹对用户身份进行鉴别,通过鉴别后他才能作为合法用户用自己的账户进行支付,转账等操作,这种方法属于下列选项中的A实体所知的鉴别方法B实体所有的鉴别方法C实体特征的鉴别方法D实体所见的鉴别方法C17、鉴别是用户进入系统的第一道安全防线,用户登录系统时,输入用户名和密码就是对用户身份鉴别。
《安全工程与运营》考前知识点串讲一、安全工程(一)安全工程理论基础1.安全工程概念:广义的工程包括了狭义工程的范围。
2.安全工程的原则:全生命周期的原则和同步的原则3.安全工程的方面:动机、机制、策略、保证。
4.安全工程理论基础(1)系统工程:是一种相互联系分析为核心的方法论,霍尔三维模型(时间、知识、逻辑)(2)项目管理:有限资源的约束对所有的工作进行管理,包括质量、进度和成本管理。
(3)质量管理:以高质量的过程控制保证高质量的产品和服务(结果)。
(4)能力成熟度:任何个人及组织的过程控制质量水平的高低,其衡量标准为CMM(1-5级)。
(二)安全工程理论模型1.SSE-CMM基础(1)SSE-CMM发展:美国国家安全局(NSA)。
(2)SSE-CMM范围:即项目管理范围、质量管理范围、系统工程范围等。
(3)SSE-CMM作用:获取方、提供方、第三方。
2.SSE-CMM的内容2.1 域维(1)构成:PA(过程区域)、BP(基本实施)、过程类。
(2)内容:—类:工程类、项目类、组织类。
—工程类:风险过程、工程过程、保证过程。
—风险过程:评估影响、评估威胁、评估脆弱性、评估安全风险。
—工程过程:安全需求、安全输入、安全控制、安全态势、安全协调。
—保证过程:核实确认安全、建立保证证据。
2.2 能力维(1)构成:能力级别:由公共特征组成的过程能力水平的级别划分。
0-5共6个级别。
公共特征(CF):由GP组成的逻辑域通用实践(GP):管理、度量和制度方面的活动,可用于决定所有活动的能力水平。
(2)内容:—0级:无特征。
—1级:基本执行。
—2级:规划执行、规范化执行、跟踪计划、验证计划。
—3级:制定标准过程、执行过程、协调安全实施。
—4级:制定测量标准、客观管理。
—5级:改进过程能力、改进组织能力。
二、安全运营1.漏洞管理:有意或者无意产生的缺陷,包括技术漏洞和管理漏洞。
2.补丁加固:评估、测试、批准、部署、验证。
CISP03—物理安全与网络通信安全第1节物理与环境安全1.场地选择1.1场地选择的风险要素1.2抗震和承重:抗震及承重(国标《结构抗震设计规范》)-特殊设防类-重点设防类—标准设防类2.环境安全2。
1 防火:燃烧条件、材料、方式2。
2 电力:双电源、UPS、发电、多路供电2。
3 电磁:电影、线路、设备的电磁防护。
2.4 通风空调和供暖(HVAC):HVAC(下送风、上回风,侧送风、侧回风,正气压等)。
2。
5 防静电和接地。
2。
6 应急照明。
2。
7 应急通道、出口、标识.3。
区域与设备防护3.1物理区域的安全:区域范围、检测措施、访问控制(标识、指纹、IC卡等)。
3.2 检测报警措施:CCTV、红外监控、特殊监控措施、声控报警、振动报警。
3。
3 设备存放的安全:责任人、环境、授权的使用、维护、防丢失等安全。
第2节网络安全基础1。
OSI七层:物理、链路、网络、传输、会话、表示和应用。
2。
安全开放互联体系架构2.1 8个机制:加密、数字签名、访问控制、完整性、路由控制、流量填充、公证、鉴别交换。
2.2 5种服务:鉴别、完整性、保密性、访问控制、抗抵赖。
2。
3 实现关系。
机制:加密:保密数字签名:完整性、鉴别、抗抵赖。
访问控制:访问控制。
完整性:完整。
路由控制:访问控制。
流量填充:保密性。
公证:抗抵赖。
鉴别交换:鉴别、访问控制。
2.4 应用:网络层、应用层均实现5种服务。
3。
封装和解封装:规则的标准化和接口标准化。
4。
TCP/IP四层:网络接口层、网络层、传输层、应用层。
5。
四层的各层安全协议:5.1 网络接口层:PPTP、L2F、L2TP5。
2 网络层:IPSEC(AH\ESP)5.3 传输层:SSL、TLS(按照ISO/OSI的七层则其属于4.5层,按照TCP/IP四层划分则其属于应用层)5.4 应用层:X.509,SSH,PGP、S/MIME、PEM.6.无线网络安全6.1 结构:STA(终端)、AP(接入点)、AS(后端系统)6.2 无线安全的问题:开发认证、信息泄露、共享密钥等.6。
