CISP考试的考点.doc

CISP考试的考点一、安全管理基础与管理体系1、信息安全管理的概念2、管理的对象：包括人在类的各类信息相关资产3、广义和狭义体系 狭义指按照ISO27001标准定义的ISMS 广义的信息安全管理体系：泛指任何一种有关信息安全的管理体系4、组成部分5、管理要发挥能动性作用6、信息安全管理 技术与管理并重，3分技术 7分管理7、信息安全管理 安全要以预防为主8、安全管理对内作用为主9、安全管理的过程方法，要熟悉图10、PDCA记下来 规划 实施 检测 处置11、PDCA的特点12、信息安全管理体系13、管理体系的文件要进行管理与控制14、1-4级的图，四个层级与对应的内容15、内审，内部审核 用内部组织自己活以组织的名义进行审核，ISMS能够持续改进的重要动力之一16、管理评审为实现已建立的目标，而进行的确定管理体系的适宜性，充分性和有效性活动17、认证的有效期 ISMS 包括一组审核 初次认证 年度监督审核和复审 有效期 三年18、结构的图，D1-719、风险的四种处理方式 降低 避免 转移 接受20、纠正措施和预防措施的区别二、网络安全1、ISO 7个层3、IP是逻辑寻址4、传输层是逻辑寻址5、数据的封装与节封装的顺序6、安全机制每个机制可实现的哪个服务，公正-抗抵赖；应用层、网络层能够实现所有安全服务内容7、4层的顺序不要错了8、TCP协议与UDP协议的区别9、X.509,数字证书10、IPV6的地址数量 2的128次 内置IPSEC 安全特性11、无线局域网的构成12、无线局域网的问题 信道开放 开放式认证 共享密钥13、WPA是草案版本，WPA2是正式版本14、WAI负责认证，WPI负责加密 WAPI协议安全优势 双向三鉴别 (服务器 AP STA) 高强度传输加密 ECC算法15、包过滤防火墙的优点、缺点15、代理网关防火墙的优点与缺点16、地址转换的优点与缺点 容易暴露防火墙的网络位置17、防火墙的部署模式中，三种模式注意透明模式不需要做NAT18、给你一个网络拓扑图，问防火墙部署在哪个位置，防火墙部署在路由器的外面19、防火墙的策略，分别适用什么场景，新建的网络、已有的网络的策略20、入侵检测的构成：21、数据检测中误用检测、异常检测的对比22、网闸与防火墙 物理隔离、逻辑隔离23、安全域的概念与划分方法，安全域需要考虑物理位置、业务、部门、数据流、生产特性23、IP地址规划原则24、VLAN设计的划分方法三、信息安全保障1、信息安全三要素 保密性 完整性 可用性2、信息安全的基本特征 系统 动态 无边界 非传统 涉及组织管理 社会问题 国家安全3、产生信息全的内因（脆弱性）、外因（威胁）4、安全发展的阶段，该场景是发展的哪个阶段5、美国网络空间的三位一体式哪三位一体 网络防御 攻击 利用6、布时政府CNCI 2008年1月 曼哈顿项目7、P2DR模型的图8、P2DR的公式，Pt与Dt的公式9、IATF的三要素 信息保障技术框架 核心 人 技术 操作10、IATF的代表理论为深度防御11、IATF的四个保障领域，三保护一支撑 保护 本地计算环境 区域边界 网络和基础设施 支撑基础上设施12、信息系统安全保障模型，安全特征、保障要素要填空13、信息安全的最终目的是为了业务14、CNCI三道防线，第一线防御 应对各类威胁 强化未来安全环境 目的是为了进行风险的降低与处理15、关键基础设施保障的原因，是这些领域很关键16、我国信息安全保障工作发展的三个阶段，2001-2002 开始启动 2003-2005逐步展开积极推广、2006至今深化落实17、我们国家应急响应的机构名称CNCERT/CC18、我们国家安全委员会TC26019、信息系统安全保障具体需求来源20、需求文档简称ISPP（信息系统保护轮廓），由用户提出21、ISPP是正式文档，由用户提出22、ISST（信息系统安全目标），方案是厂商制定的，一个ISSP可以由多个ISST满足23、信息安全测评依据的标准是CC，等级是1-7级，1-4级，哪些适用党政、商业24、系统安全工程能力成熟度模型，分别是5级，2182725、信息安全服务资质，SSE-CMM，把五级记下来26、系统在维护过程中最重要的工作是风险管理，发现风险的手段监测、监控 系统信息安全保障需要覆盖信息系统的整个生命周期四、信息安全法规、政策和标准1、国家秘密的保密期限：10、20、30 还有长期保密的2、国家秘密是哪个部门主管，国家保密行政管理部门，国家对定密、解密有要求3、商业秘密：给4个答案，如下哪个不属于商业秘密或国家秘密4、电子签名法，签名信息签名者、验证者可访问5、商用密码的定义，商用密码技术属于国家秘密6、商用产品实行的一体化的专控管理7、信息安全保障工作意见，中办发文号27号文，、内容、方针、原则（坚持技术与管理并重）8、27号文没有提到保护隐私、没有提到保护产权、没有提到国产化9、风险评估指导意见（国信办 2006 5号文）风险评估要贯穿全过程，要以自评估为主，要相互结合10、等级保护的五级怎么描述的，名称11、等级保护的原则，自主定级12、二级以上要备案，三级以上的要测评，三级、四级每年测评次数，涉密系统要做分级保护13、强制GB、推荐GB/T、指导标准的简称：GB/Z14、TC260下面有7个工作组，要知道第七个工作组负责管理、第二个保密标准制定15、信息安全标准体系中，技术、机制为重点16、等级保护的定级，问系统该定几级17、GB/T 18336标准就是CC标准，具有通用性，适用于用户、开发者、评估者，7级18、安全功能、安全保证，ITSET实现了安全功能、安全保证的分离；保护轮廓叫需求，安全目标叫方案；评估的等级1-7级；19、信息安全道德规范 五、密码学基础1、密码学发展的阶段，第一代密码机是近代产生的，1949-1976现代密码 1976-至今 公钥密码2、代替密码与置换密码的概念3、密码学的两个分支：密码编码 密码分析4、19，科克霍夫原则；算法公开、密钥保密 一般商用领域5、流密码和分组密码的不同点，多字母代替、单字母代替6、密码的长度不是越长约好，与应用场景有关7、密钥要分片保管8、DH协议，基于离线对数计算的复杂性，密钥协商与交换9、DES算法的密钥的位数，用到的思想两个10、混乱与扩散谁提出的，香浓提出的11、3DES的密码长度，168、112比特 56倍数12、IDEA分组长度64比特、密钥长度128比特13、52，AES的分组长度、密钥长度14、对称密码的优缺点 优：效率高 适合加密大量数据 明文与密文长度相等 缺：密钥的共享及交换存在风险 密钥管理负责15、非对称密码RSA、ECC数学原理16、公钥密码体系的优缺点17、哈希函数的3个特点 单向性 弱抗碰撞性 强抗碰撞性18、场景谷歌3月份破解了sha1算法19、消息鉴别码的作用 消息鉴别 完整性 抗重放攻击20、RSA数字签名图的原理掌握21、哪些是数字签名的算法22、三种算法的比较，关于DH提出了非对称算法，获得了图灵奖，要知道D、H的名字六、密码学应用1、数字信封的原理，结合了对称、非对称算法的优势2、对PKI的理解，负责发证的，和证的应用无关3、数字证书包括哪些内容、不包括哪些内容4、RA的作用，申请、审核、代理维护5、CA的作用，签发、管理、认证（黑名单、在线认证）6、LDAP提供了证书的保存、修改、删除、获取的能力 LDAP放的都是公有证书7、不同组建的构成8、X509是证书的格式9、VPN的概念10、VPN的功能，11、二层的隧道协议三种 PPTP L2F L2TP12、IPset协议AH的作用，安全特性13、ESP的作用，提供无连接的完整性，数据来源的认证和抗重放攻击 还有数据包和数据流的加密作用 14、SSL协议，握手协议的作用15、70，OTP的概念，加入不确定因素（口令序列 时间同步 事件同步 挑战应答，口令变化因素不超过2小时 16、时间同步，需要维护时钟的同步17、挑战应答，七、操作系统安全1、11，Win系统安全标识符各代表什么，书上有2、13，SAM对system账号有权限3、15，win的访问权限是和客体（文件夹）绑定的，ACL4、19，EFS和Bitlocker的特点5、20，win的日志，给的例子分别是什么类型6、26，锁定是为了应对暴力破解7、34，禁止分享盘符，重启后无效8、linux系统下，用户和和组的关系9、鉴别信息存储位置，各自存储的内容，密码存放在shadow中（密码信息），passwd中密码是星号（用户信息与历史用过的信息）10、in的权限表达，例子11、51，lin分区挂载目录12、lin修改banner信息的两个地方 sshd-config motd13、理解补码，给补码给权限14、76，两行命令行，源、目标、地址、端口、入站、出站15、80，安全操作系统TCSEC标准，A级最高，从B1开始强制访问控制保护要求八、安全攻击与防护1、Whois是域名查询2、FTP web 回现信息 服务旗帜检测3、社会工程学的攻击方法 人是永远的系统弱点4、IP欺骗，步骤图5、ARP欺骗的防护措施6、DNS防护措施，协调运营商进行加固7、缓冲区溢出攻击的原理8、SQL注入的原理9、日志保护的要求不能修改，日志权限的权限最小化规则九、信息安全工程1. 原则 同步规划 同步实施2. 系统工程 是一种 方法论 具有普遍的使用意义3. 霍尔三维模型 包括 时间 逻辑 知识 三个维度 没有非常严格的映射关系 （正确的时间 用正确的方法 做正确的事情）4. 项目管理 在有限资源 对项目相涉及的全部工作进行管理 （技术 资源 人员）等等 5. 质量管理： 过程质量保证结果质量 结果来源于过程 过程来体现能力 6. CMM过程控制的基本理论 可用于各行各业7. 安全工程把握重点 ： 风险 需求 设计 实施 维护的一致性，协调性8. SSE-CMM的作用 获取组织（甲方） 工程组织 （乙方） 认证评估组织（第三方） 都可以SSE-CMM开展工作9. SSE-CMM 特点 覆盖全周期 相互联系的活动（不是独立的） 10. SSE-CMM 配套方法 SSAM SSE-CMM的评估方法是SSAM11. SSE-CMM体系构成 域维 能力维12. 域维的构成 13. 能力维 通用实践 公共特征 能力级别14. 系统安全工程设计的 工程类PA 11个 风险过程 工程过程 保证过程15. 管理安全控制过程 建立安全职责 管理安全配置 管理安全意识 培训 教育 管理安全服务和控制机制16. 保证过程顺序 17. 能力级别 6级有0级 5级没有0级 安全工程组织的成熟级别14322 1-5级的特征的数量18. 安全工程监理模型的组成 19. 项目立项前投资没监理 维护 没有监理20. 监理的角色 明确 促使 推动十、风险管理1. 资产的分类和定义 ：物理 逻辑 硬件 软件 等等2. 威胁 外因3. 脆弱性 造成风险的内因4. 已有安全措施 5. 已有安全措施处理后的 残余风险6. 风险管理的对象 信息 信息载体 和环境7. 风险管理的内容 4个阶段 2个贯穿 7.1 背景建立的内容7.2 风险评估内容：7.3 风险处理 减低 转移 规避 接受风险7.4 批准监督 批准是对工作的认可 就监督是在管理工作看有没有新的风险7.5 监控审查 的意义：保证过程的一致性7.6 沟通咨询8. 系统生命周期的风险管理 某阶段的风险 看该阶段的 4个步骤2个贯穿9. 风险评估的工作形式：自评估 和 检查评估 都可以委托第三方进行 10. 定性风险分析 矩阵 可能性 来源 内因和外因11ALE 12.定性与定量对比 定性 分析容易 定量 难13.威胁分类 ：人为（故意 非故意） 自然（环境）14.技术脆弱性（技术管理 都属于）15.安全措施 预防 检测 纠正 威慑 16.风险分析 18.风险评估工具： 基于 标准 知识 模型 （不含 环境和经验）十一、安全控制措施1.方针 制定 和批准方 是不同的人 方针必须要定期评审 方针是微观的2.信息安全组织 内部组织措施 （很多 外部以外就是内部） 外部各方措施 风险识别与外部各方协议3.资产管理 对资产负责 资产清单 责任人 可接受使用 信息分类 控制措施 信息分类指南 信息的标记和处理4.人力资源安全 任用的 前 中 后 三点5.物理和环境安全 物理包括人身安全 是最重要的 人 物质 自然的6.安全区域 物理安全边界 入口控制等等7.设备安全 TEMPEST (电磁信息泄露总称) HVAC (供暖 痛风 空调) 消防 （气体灭火）通信和操作安全 操作有操作程序及流程 访问控制 分层访问控制 系统 应用8.符合性 符合 法律 政策 方针十二、鉴别访问控制1.标识的定义： 唯一性 是 身份鉴别 访问控制 审计的 基础（不保证合法性）2.鉴别 验证身份的合法性3.鉴别系统的三个组成 验证者 被验证者 可信的第三方4.鉴别的类型 ： 单向 双向及第三方 本地 远程5.鉴别的方法 基于你所知道（知识、口令、密码） 你所有的（身份证、令牌） 你的个人实体特征（指纹、虹膜） 两种 双因素 三种多因素6.生物鉴别： 虹膜最安全 但是也有安全漏洞7.生物鉴别 错误拒绝率 错误接受率 交叉判错率=拒绝=接受8.访问控制的概念 合法的主体访问合法的客体 9主客体角色互换 访问 主 被访问 客10. 访问控制系统 主体 客体 访问控制角色 访问控制实施11. 自主访问控制的含义： 访问控制权限可以自主分配 为主体分配 CL(访问能力表) 为客体分配A