CISP考试的考点.docx
《CISP考试的考点.docx》由会员分享,可在线阅读,更多相关《CISP考试的考点.docx(27页珍藏版)》请在冰豆网上搜索。
CISP考试的考点
CISP考试的考点
一、平安治理基础与治理体系
1、信息平安治理的概念
2、治理的对象:
包括人在类的各类信息相关资产
3、广义和狭义体系狭义指依照ISO27001标准概念的ISMS广义的信息平安治理体系:
泛指任何一种有关信息平安的治理体系
4、组成部份
5、治理要发挥能动性作用
6、信息平安治理技术与治理并重,3分技术7分治理
7、信息平安治理平安要以预防为主
8、平安治理对内作用为主
9、平安治理的进程方式,要熟悉图
10、PDCA记下来计划实施检测处置
11、PDCA的特点
12、信息平安治理体系
13、治理体系的文件要进行治理与操纵
14、1-4级的图,四个层级与对应的内容
15、内审,内部审核用内部组织自己活以组织的名义进行审核,ISMS能够持续改良的重要动力之一
16、治理评审为实现已成立的目标,而进行的确信治理体系的适宜性,充分性和有效性活动
17、认证的有效期ISMS包括一组审核第一次认证年度监督审核和复审有效期三年
18、结构的图,D1-7
19、风险的四种处置方式降低幸免转移同意
20、纠正方法和预防方法的区别
二、网络平安
1、ISO7个层
3、IP是逻辑寻址
4、传输层是逻辑寻址
5、数据的封装与节封装的顺序
6、平安机制每一个机制可实现的哪个效劳,公正-抗抵赖;应用层、网络层能够实现所有平安效劳内容
7、4层的顺序不要错了
8、TCP协议与UDP协议的区别
9、X.509,数字证书
10、IPV6的地址数量2的128次内置IPSEC平安特性
11、无线局域网的组成
12、无线局域网的问题信道开放开放式认证共享密钥
13、WPA是草案版本,WPA2是正式版本
14、WAI负责认证,WPI负责加密WAPI协议平安优势双向三辨别(效劳器APSTA)高强度传输加密ECC算法
15、包过滤防火墙的优势、缺点
15、代理网关防火墙的优势与缺点
16、地址转换的优势与缺点容易暴露防火墙的网络位置
17、防火墙的部署模式中,三种模式注意透明模式不需要做NAT
18、给你一个网络拓扑图,问防火墙部署在哪个位置,防火墙部署在路由器的外面
19、防火墙的策略,别离适用什么场景,新建的网络、已有的网络的策略
20、入侵检测的组成:
21、数据检测中误用检测、异样检测的对照
22、网闸与防火墙物理隔离、逻辑隔离
23、平安域的概念与划分方式,平安域需要考虑物理位置、业务、部门、数据流、生产特性
23、IP地址计划原那么
24、VLAN设计的划分方式
三、信息平安保障
1、信息平安三要素保密性完整性可用性
2、信息平安的大体特点系统动态无边界非传统涉及组织治理社会问题国家平安
3、产生信息全的内因(脆弱性)、外因(要挟)
4、平安进展的时期,该场景是进展的哪个时期
5、美国网络空间的三位一体式哪三位一体网络防御解决利用
6、布时政府CNCI2020年1月曼哈顿项目
7、P2DR模型的图
8、P2DR的公式,Pt与Dt的公式
9、IATF的三要素信息保障技术框架核心人技术操作
10、IATF的代表理论为深度防御
11、IATF的四个保障领域,三爱惜一支撑爱惜本地计算环境区域边界网络和基础设施支撑基础上设施
12、信息系统平安保障模型,平安特点、保障要素要填空
13、信息平安的最终目的是为了业务
14、CNCI三道防线,第一线防御应付各类要挟强化以后平安环境目的是为了进行风险的降低与处置
15、关键基础设施保障的缘故,是这些领域很关键
16、我国信息平安保障工作进展的三个时期,2001-2002开始启动2003-2005慢慢展开踊跃推行、2006至今深化落实
17、咱们国家应急响应的机构名称CNCERT/CC
18、咱们国家平安委员会TC260
19、信息系统平安保障具体需求来源
20、需求文档简称ISPP(信息系统爱惜轮廓),由用户提出
21、ISPP是正式文档,由用户提出
22、ISST(信息系统平安目标),方案是厂商制定的,一个ISSP能够由多个ISST知足
23、信息平安测评依据的标准是CC,品级是1-7级,1-4级,哪些适用党政、商业
24、系统平安工程能力成熟度模型,别离是5级,21827
25、信息平安效劳资质,SSE-CMM,把五级记下来
26、系统在保护进程中最重要的工作是风险治理,发觉风险的手腕监测、监控系统信息平安保障需要覆盖信息系统的整个生命周期
四、信息平安法规、政策和标准
1、国家秘密的保密期限:
10、20、30还有长期保密的
2、国家秘密是哪个部门主管,国家保密行政治理部门,国家对定密、解密有要求
3、商业秘密:
给4个答案,如下哪个不属于商业秘密或国家秘密
4、电子签名法,签名信息签名者、验证者可访问
5、商用密码的概念,商用密码技术属于国家秘密
6、商用产品实行的一体化的专控治理
7、信息平安保障工作意见,中办发文号27号文,、内容、方针、原那么(坚持技术与治理并重)
8、27号文没有提到爱惜隐私、没有提到爱惜产权、没有提到国产化
9、风险评估指导意见(国信办20065号文)风险评估要贯穿全进程,要以自评估为主,要彼此结合
10、品级爱惜的五级怎么描述的,名称
11、品级爱惜的原那么,自主定级
12、二级以上要备案,三级以上的要测评,三级、四级每一年测评次数,涉密系统要做分级爱惜
13、强制GB、推荐GB/T、指导标准的简称:
GB/Z
14、TC260下面有7个工作组,要明白第七个工作组负责治理、第二个保密标准制定
15、信息平安标准体系中,技术、机制为重点
16、品级爱惜的定级,问系统该定几级
17、GB/T18336标准确实是CC标准,具有通用性,适用于用户、开发者、评估者,7级
18、平安功能、平安保证,ITSET实现了平安功能、平安保证的分离;爱惜轮廓叫需求,平安目标叫方案;评估的品级1-7级;
19、信息平安道德标准
五、密码学基础
1、密码学进展的时期,第一代密码机是近代产生的,1949-1976现代密码1976-至今公钥密码
2、代替密码与置换密码的概念
3、密码学的两个分支:
密码编码密码分析
4、19,科克霍夫原那么;算法公布、密钥保密一样商用领域
5、流密码和分组密码的不同点,多字母代替、单字母代替
6、密码的长度不是越长约好,与应用处景有关
7、密钥要分片保管
8、DH协议,基于离线对数计算的复杂性,密钥协商与互换
9、DES算法的密钥的位数,用到的思想两个
10、混乱与扩散谁提出的,香浓提出的
11、3DES的密码长度,168、112比特56倍数
12、IDEA分组长度64比特、密钥长度128比特
13、52,AES的分组长度、密钥长度
14、对称密码的优缺点优:
效率高适合加密大量数据明文与密文长度相等缺:
密钥的共享及互换存在风险密钥治理负责
15、非对称密码RSA、ECC数学原理
16、公钥密码体系的优缺点
17、哈希函数的3个特点单向性弱抗碰撞性强抗碰撞性
18、场景谷歌3月份破解了sha1算法
19、消息辨别码的作用消息辨别完整性抗重放解决
20、RSA数字签名图的原理把握
21、哪些是数字签名的算法
22、三种算法的比较,关于DH提出了非对称算法,取得了图灵奖,要明白D、H的名字
六、密码学应用
1、数字信封的原理,结合了对称、非对称算法的优势
2、对PKI的明白得,负责发证的,和证的应用无关
3、数字证书包括哪些内容、不包括哪些内容
4、RA的作用,申请、审核、代理保护
5、CA的作用,签发、治理、认证(黑名单、在线认证)
6、LDAP提供了证书的保留、修改、删除、获取的能力LDAP放的都是公有证书
7、不同组建的组成
8、X509是证书的格式
9、VPN的概念
10、VPN的功能,
11、二层的隧道协议三种PPTPL2FL2TP
12、IPset协议AH的作用,平安特性
13、ESP的作用,提供无连接的完整性,数据来源的认证和抗重放解决还有数据包和数据流的加密作用
14、SSL协议,握手协议的作用
15、70,OTP的概念,加入不确信因素(口令序列时刻同步事件同步挑战应答,口令转变因素不超过2小时
16、时刻同步,需要保护时钟的同步
17、挑战应答,
七、操作系统平安
1、11,Win系统平安标识符各代表什么,书上有
2、13,SAM对system账号有权限
3、15,win的访问权限是和客体(文件夹)绑定的,ACL
4、19,EFS和Bitlocker的特点
5、20,win的日记,给的例子别离是什么类型
6、26,锁定是为了应付暴力破解
7、34,禁止分享盘符,重启后无效
8、linux系统下,用户和和组的关系
9、辨别信息存储位置,各自存储的内容,密码寄存在shadow中(密码信息),passwd中密码是星号(用户信息与历史用过的信息)
10、in的权限表达,例子
11、51,lin分区挂载目录
12、lin修改banner信息的两个地址sshd-configmotd
13、明白得补码,给补码给权限
14、76,两行命令行,源、目标、地址、端口、入站、出站
15、80,平安操作系统TCSEC标准,A级最高,从B1开始强制访问操纵爱惜要求
八、平安解决与防护
1、Whois是域名查询
2、FTPweb回现信息效劳旗帜检测
3、社会工程学的解决方式人是永久的系统弱点
4、IP欺骗,步骤图
5、ARP欺骗的防护方法
6、DNS防护方法,和谐运营商进行加固
7、缓冲区溢出解决的原理
8、SQL注入的原理
9、日记爱惜的要求不能修改,日记权限的权限最小化规那么
九、信息平安工程
1.原那么同步计划同步实施
2.系统工程是一种方式论具有普遍的利用意义
3.霍尔三维模型包括时刻逻辑知识三个维度没有超级严格的映射关系(正确的时刻用正确的方式做正确的情形)
4.项目治理在有限资源对项目相涉及的全数工作进行治理(技术资源人员)等等
5.质量治理:
进程质量保证结果质量结果来源于进程进程来表现能力
6.CMM进程操纵的大体理论可用于各行各业
7.平安工程把握重点:
风险需求设计实施保护的一致性,和谐性
8.SSE-CMM的作用获取组织(甲方)工程组织(乙方)认证评估组织(第三方)都能够SSE-CMM开展工作
9.SSE-CMM特点覆盖全周期彼此联系的活动(不是独立的)
10.SSE-CMM配套方式SSAMSSE-CMM的评估方式是SSAM
11.SSE-CMM体系组成域维能力维
12.域维的组成
13.能力维通用实践公共特点能力级别
14.系统平安工程设计的工程类PA11个风险进程工程进程保证进程
15.治理平安操纵进程成立平安职责治理平安配置治理平安意识培训教育治理平安效劳和操纵机制
16.保证进程顺序
17.能力级别6级有0级5级没有0级平安工程组织的成熟级别143221-5级的特点的数量
18.平安工程监理模型的组成
19.项目立项前投资没监理保护没有监理
20.监理的角色明确促使推动
十、风险治理
1.资产的分类和概念:
物理逻辑硬件软件等等
2.要挟外因
3.脆弱性造成风险的内因
4.已有平安方法
5.已有平安方法处置后的残余风险
6.风险治理的对象信息信息载体和环境
7.风险治理的内容4个时期2个贯穿
7.1背景成立的内容
7.2风险评估内容:
7.3风险处置减低转移规避同意风险
7.4批准监督批准是对工作的认可就监督是在治理工作看有无新的风险
7.5监控审查的意义:
保证进程的一致性
7.6沟通咨询
8.系统生命周期的风险治理某时期的风险看该时期的4个步骤2个贯穿
9.风险评估的工作形式:
自评估和检查评估都能够委托第三方进行
10.定性风险分析矩阵可能性来源内因和外因
11.ALE
12.定性与定量对照定性分析容易定量难
13.要挟分类:
人为(故意非故意)自然(环境)
14.技术脆弱性(技术治理都属于)
15.平安方法预防检测纠正威慑
16.风险分析
18.风险评估工具:
基于标准知识模型(不含环境和体会)
十一、平安操纵方法
1.方针制定和批准方是不同的人方针必需要按期评审方针是微观的
2.信息平安组织内部组织方法(很多外部之外确实是内部)外部各方方法风险识别与外部各方协议
3.资产治理对资产负责资产清单责任人可同意利用信息分类操纵方法信息分类指南信息的标记和处置
4.人力资源平安任用的前中后三点
5.物理和环境平安物理包括人身平安是最重要的人物质自然的
6.平安区域物理平安边界入口操纵等等
7.设备平安TEMPEST(电磁信息泄露总称)
HVAC(供暖痛风空调)消防(气体灭火)
通信和操作平安操作有操作程序及流程
访问操纵分层访问操纵系统应用
8.符合性符合法律政策方针
十二、辨别访问操纵
1.标识的概念:
唯一性是身份辨别访问操纵审计的基础(不保证合法性)
2.辨别验证身份的合法性
3.辨别系统的三个组成验证者被验证者可信的第三方
4.辨别的类型:
单向双向及第三方本地远程
5.辨别的方式基于你所明白(知识、口令、密码)你所有的(身份证、令牌)你的个人实体特点(指纹、虹膜)两种双因素三种多因素
6.生物辨别:
虹膜最平安可是也有平安漏洞
7.生物辨别错误拒绝率错误同意率交叉判错率=拒绝=同意
8.访问操纵的概念合法的主体访问合法的客体
9.主客体角色互换访问主被访问客
10.访问操纵系统主体客体访问操纵角色访问操纵实施
11.自主访问操纵的含义:
访问操纵权限能够自主分派
为主体分派CL(访问能力表)为客体分派ACL(访问操纵列表)
12.访问操纵列表
13.访问能力列表与操纵列表对照
14.自主优缺点
15.强制访问操纵策略不可修改和更改
16.BLP模型核心:
17.BIBA模型相反
18.CLARK-WILSON实现数据转换进程的完整性
19.CHINESEWALL模型在一个冲突域的客体只能访问一个
20.强制访问优缺点灵活性低平安性高
21.角色访问
十三、应急响应与灾难恢复
1.大体概念信息平安事件对信息系统造成危害或在信息系统内发生对社会造成负面阻碍的事件应急响应来应付
2.平安应急响应组织CERT美国CNCERT中国
3.国家政策中办发200327号文
4.平安事件分类:
程序网络解决信息破坏信息内容设备设施灾害性其他
5.平安事件分级方式系统重要程度系统平安损失社会阻碍
1级专门重大2重大3较大4一样
6.应急响应时期:
预备检测遏制肃除恢复跟踪总结
7.运算机取证合法、充分授权、优先爱惜、全程监督原那么
8.国内灾难恢复的国家政策和标准统筹计划资源共享平战结合
9.业务持续性计划BCP保障关键业务能联系运作业务持续性治理BCM用来保证BCP
10.RPO恢复点目标RTO恢复时刻目标
11.灾难恢复计划治理进程
12.灾难恢复资源要素与恢复能力品级划分1-2级数据备份每周3级及以上天天
13.备份类型全备份增量备份差分备份(处于前二者之间)
升级会员 