CISP复习大纲交流.ppt

CISP考试经验交流 目录 交流原则关于CISP知识体系考试相关 关于CISP CISP的由来CISP的特点CISP的定位CISP的价值 知识体系 安全保障体系与模型安全管理安全工程安全组织与标准密码技术及应用网络安全系统安全应用安全法律法规物理安全 关于测评认证 一1 以下哪个不是中国信息安全产品测评认证中心开展的4种测评认证业务之一 CA 信息安全产品型式认证B 信息安全服务认证C 信息安全管理体系认证D 信息系统安全认证一2 中国信息安全产品测评认证中心目前进行信息安全产品认证所采用的基础信息安全评估标准是哪一个 BA GJB2246B GB T18336 2001C GB T18018 1999D GB17859 1999 安全保障体系 技术体系ISO7498 2ISO15408IATFGB17859管理体系BS7799 ISO17799ISO13335工程体系SSE CMMISSE 技术体系 信息系统安全保障通用评估准则内容组成 ISO7498 2基于OSI七层协议的安全体系结构 五种安全服务 鉴别 提供对通信中的对等实体和数据来源的鉴别 访问控制 提供保护以对抗开放系统互连可访问资源的非授权使用 可应用于对资源的各种不同类型的访问 例如 使用通信资源 读 写或删除信息资源 处理资源的操作 或应用于对某种资源的所有访问数据机密性 对数据提供保护使之不被非授权地泄露数据完整性 对付主动威胁 在一次连接上 连接开始时使用对某实体鉴别服务 并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证 为这些数据单元的完整性提供确证 抗抵赖 可取有数据原发证明的抗抵赖 有交付证明的抗抵赖两种形式 或两者之一 与网络各层相关的OSI安全服务 Y 服务应该作为提供者的一种选项被并进入该层的标准之中 OSI安全服务和安全机制之间的关系 一46 国际标准化组织ISO7498 2中描述的OSI安全体系结构有多少种安全服务项目和多少种安全机制 AA 5种 8种B 8种 5种C 6种 8种D 3种 6种二27 下面哪一个不属于基于OSI七层协议的安全体系结构的5种服务之一 CA 数据完整性B 数据机密性C 公证D 抗抵赖一26 OSI中哪一层不提供机密性服务 DA 表示层B 传输层C 网络层D 会话层一14 下面哪个既提供完整性服务又提供机密性服务 BA 数字签名B 加密C 密码校验值D 访问控制 ISO15408 国际上安全测评标准的发展 1990年欧洲信息技术安全性评价准则 ITSEC 1995年国际通用准则 CC 1985年美国国防部可信计算机评价准则 TCSEC 1990年加拿大可信计算机产品评价准则 CTCPEC 1991年美国联邦政府评价准则 FC 1999年CC成为国际标准 ISO15408 CC关键概念 评估对象 TOE TargetofEvaluation 保护轮廓 PP ProtectionProfile 安全目标 ST SecurityTarget 评估保证级 EAL EvaluationAssuranceLevel 保护轮廓 PP 表达一类产品或系统的用户需求 组合安全功能要求和安全保证要求 需求列表 标准化体系中的安全标准有助于以后的兼容性技术与需求之间的内在完备性提高安全保护的针对性 有效性 安全目标 ST 安全目标 在 保护轮廓 的基础上 通过将安全要求进一步针对性具体化 解决了要求的具体实现 达到需求的保证过程 常见的实用方案就可以当成 安全目标 对待 适用于产品和系统与ITSECST类似 90年代初西欧四国 英 法 荷 德 联合提出了信息技术安全评价标准 ITSEC 军用 政府用和商用 将安全概念分为功能与功能评估两部分 功能准则在测定上从F1 F10分10级 1 5级对应于TCSEC的C1到B3 6 10级加上了以下概念 F IN 数据和程序的完整性F AV 系统可用性F DI 数据通信完整性F DC 数据通信保密性F DX 包括机密性和完整性的网络安全评估准则分为6级 E1 测试E2 配置控制和可控的分配E3 能访问详细设计和源码E4 详细的脆弱性分析E5 设计与源码明显对应E6 设计与源码在形式上一致 7个安全等级和10种安全功能 还有E0 没有保护 欧洲ITSEC 1989年公布 专为政府需求而设计与ITSEC类似 将安全分为功能性需求和保证性需要两部分 功能性要求分为四个大类 a机密性b完整性c可用性d可控性在每种安全需求下又分成很多小类 表示安全性上的差别 分级条数为0 5级 加拿大CTCPEC 对TCSEC的升级1992年12月公布引入了 保护轮廓 PP 这一重要概念 每个轮廓都包括功能部分 开发保证部分和评测部分 分级方式与TCSEC不同 吸取了ITSEC CTCPEC中的优点 供美国政府用 民用和商用 FC有很多缺陷 是一个过渡标准 美国联邦准则FC 评估保证级别 评估保证级 EAL EAL1 功能测试 证明TOE与功能规格的一致 EAL2 结构测试 证明TOE与系统层次设计概念的一致 EAL3 系统地测试和检查 证明TOE在设计上采用了积极安全工程方法 EAL4 系统地设计 测试和复查 证明TOE采用了基于良好的开发过程的安全工程方法 EAL5 半形式化设计和测试 证明TOE采用了基于严格的过程的安全工程方法并适度应用了专家安全工程技术 EAL6 半形式化验证的设计和测试 证明TOE通过将安全工程技术应用到严格的开发环境中来达到消除大风险保护高价值资产 EAL7 形式化验证的设计和测试 证明TOE所有安全功能经得起全面的形式化分析 CC的结构以及目标读者 举例 类 子类 组件 FIA标识和鉴别 FIA AFL鉴别失败 FIA ATD用户属性定义 FIA SOS秘密的规范 类子类组件 FIA AFL 1鉴别失败处理 FIA ATD 1用户属性定义 FIA SOS 1秘密的验证 FIA SOS 2秘密的TSF生成 安全功能要求类 11类66子类135个组件 评测级别对应 二26 著名的TCSEC是由下面哪个组织制定的 DA ISOB IECC CNITSECD 美国国防部一22 ITSEC标准是不包括以下哪个方面的内容 DA 功能要求B 通用框架要求C 保证要求D 特定系统的安全要求二45 CC标准主要包括哪几个部分 BA 简介和一般模型 安全功能要求 安全保证要求 PP和ST产生指南 B 简介和一般模型 安全功能要求 安全保证要求C 通用评估方法 安全功能要求 安全保证要求D 简介和一般模型 安全要求 PP和ST产生指南 二48 CC中安全功能 保证要求的三层结构是 按照由大到小的顺序 BA 类 子类 元素B 组件 子类 元素C 类 子类 组件D 子类 组件 元素二50 CC中的评估保证级4级 EAL4 对应TCSEC和ITSEC的哪个级别 CA 对应TCSECB1级 对应ITSECE4级B 对应TCSECC2级 对应ITSECE4级C 对应TCSECB1级 对应ITSECE3级D 对应TCSECC2级 对应ITSECE3级 IATF 纵深防御战略的内涵 保卫网络和基础设施保卫边界保卫计算环境为基础设施提供支持 GB17859 1999计算机信息系统安全等级划分准则 第一级用户自主保护级第二级系统审计保护级第三级安全标记保护级第四级结构化保护级第五级访问验证保护级 由公安部主持制定 国家技术标准局发布的中华人民共和国国家标准 管理体系 7799的历史 BS7799 1 1995 BS7799 2 1998 BS7799 1999 BS7799 2 1999 ISO17799 Feb 2000 BS7799 2 2002 BS7799和ISO17799的区别 BS7799英国标准协会已被多个国家认同 如澳大利亚等 第二部分是可认证标准 PDCA 2002年新修订了第2部分 新版本风格接近ISO9000和ISO14000 ISO177992000年采纳了BS7799的第一部分 是依据英国标准协会 BSI 的信息安全管理标准 BS7799 转换而来 第二部分还在讨论中 BS7799 1信息安全管理纲要 36个目标和127项控制措施来帮助组织识别在运做过程中对信息安全有影响的元素 公司可根据自己的实际需要进行选用 分成10个方面 二81 ISO IEC17799源于以下哪个标准 A BS7799 1B BS7799 2C BS7799 3D GB7799二87 在BS779 2 2002版中 下列对P D C A过程的描述错误的是 A P代表PLAN 即建立ISMS环境 风险评估B D代表DO 即实现并运行ISMSC C代表CHECK 即监控和审查ISMSD A代表ACT 即执行ISMS 安全管理基础 ISO IEC13335 Confidentiality 保密性 确保信息不被非授权的个人 实体或者过程获得和访问 Integrity 完整性 包含数据完整性的内涵 即保证数据不被非法地改动和销毁 同样还包含系统完整性的内涵 即保证系统以无害的方式按照预定的功能运行 不受有意的或者意外的非法操作所破坏 Availability 可用性 保证授权实体在需要时可以正常地访问和使用系统 Accountability 可追究性 确保一个实体的访问动作可以被惟一的区别 跟踪和记录 Authenticity 真实性 确认和识别一个主体或资源就是其所声称的 被认证的可以是用户 进程 系统和信息等 Reliability 可靠性 保证预期的行为和结果的一致性 安全工程 安全工程分三个基本过程 风险 工程和保证风险过程是要确定产品或者系统的危险性 并对这些危险性进行优先级排序工程过程是针对面临的危险性 安全工程过程与相关工程过程一起来确定并实施解决方案保证过程是建立起对解方案的信任 并把这种信任传达给顾客 计划执行规范化执行跟踪执行验证执行 定义标准过程协调安全实施执行已定义的过程 建立可测量的质量目标客观地管理过程的执行 1 非正式执行 2 计划与跟踪 3 充分定义 4 量化控制 5 连续改进 执行基本实施 改进组织能力改进过程的有效性 安全工程过程能力的成熟度 公共特性 49 SSE CMM中第4级的名称是什么 DA 充分定义级B 计划和跟踪级C 连续改进级D 量化控制级 信息系统安全保障安全管理能力成熟度级别 信息系统安全保障安全过程能力成熟度级别 安全模型 安全模型 BLP模型 BLP保密模型基于两种规则来保障数据的机秘性 上读 NRU 主体不可读安全级别高于它的数据下写 NWD 主体不可写安全级别低于它的数据 直接来讲 要考虑数据的保密性 机密性 例如 假如一个用户 他的安全级别为 高密 想要访问安全级别为 秘密 的文档 他将能够成功读取该文件 但不能写入 而安全级别为 秘密 的用户访问安全级别为 高密 的文档 则会读取失败 但他能够写入 这样 文档的机密性性就得到了保障 BLP模型 BLP模型允许用户读取安全级别比他低的资源 相反地 写入对象的安全级别只能高于用户级别 简言之 信息系统是一个由低到高的层次化结构 BLP模型 BIBA模型 BIBA模型基于两种规则来保障数据的完整性 下读 NRU 属性 主体不能读取安全级别低于它的数据上写 NWD 属性 主体不能写入安全级别高于它的数据 BIBA模型 从这两个属性来看 我们发现Biba与BLP模型的两个属性是相反的 BLP模型提供保密性 而BIBA模型对于数据的完整性提供保障 BIBA模型 一23 以下哪些模型可以用来保护分级信息的机密性 BA Biba模型和Bell Lapadula模型B Bell Lapadula模型和信息流模型C Bell Lapadula模型和Clark Wilson模型D Clark Wilson模型和信息流模型一32 以下哪个模型主要用于医疗资料的保护 DA Chinesewall模型B BIBA模型C Clark Wilson模型D BMA模型一34 以下哪组全部都是多边安全模型 A BLP模型和BIBA模型B BIBA模型和Clark Wilson模型C Chinesewall模型和BMA模型D Clark Wilson模型和Chinesewall模型 一28 BLP模型基于两种规则来保障数据的机秘度与敏感度 它们是什么 A 下读 主体不可读安全级别高于它的数据 上写 主体不可写安全级别低于它的数据B 上读 主体不可读安全级别高于它的数据 下写 主体不可写安全级别低于它的数据C 上读 主体不可读安全级别低于它的数据 下写 主体不可写安全级别高于它的数据D 下读 主体不可读安全级别低于它的数据 上写 主体不可写安全级别高于它的数据 一30 BIBA模型基于两种规则来保障数据的完整性和保密性 分别是 A 上读 主体不可读安全级别高于它的数据 下写 主体不可写安全级别低于它的数据B 下读 主体不可读安全级别高于它的数据 上写 主体不可写安全级别低于它的数据C 上读 主体不可读安全级别低于它的数据 下写 主体不可写安全级别高于它的数据D 下读 主体不可读安全级别低于它的数据 上写 主体不可写安全级别高于它的数据 安全组织与标准 标准分类 国家标准 对需要在全国范围内统一的技术要求 含标准样品的制作 GB TXXXX X 200XGBXXXX 200X行业标准 没有国家标准 需要在全国某个行业范围内统一的技术要求 GA SJ地方标准 没有国家标准 行业标准而又需要在省 自治区 直辖市范围内统一的工业产品的安全 卫生要求 DBXX TXXX 200XDBXX XXX 200X企业标准 对企业范围内需要统一的技术要求 管理要求和工作要求 QXXX XXX 200X 二23 下面哪一个是国家推荐性标准 A GB T18020 1999应用级防火墙安全技术要求B SJ T30003 93电子计算机机房施工及验收规范C GA243 2000计算机病毒防治产品评级准则D ISO IEC15408 1999信息技术安全性评估准则 标准化原理 我国通行 标准化八字原理 统一 原理 简化 原理 协调 原理 最优 化原理 二24 下面哪一个不属于我国通行 标准化八字原理 之一 A 统一 原理B 简化 原理C 协调 原理D 修订 原理 采标 等同采用idt iden