CISP-18-信息安全工程-文档资料
CISP2018_计算环境安全_v4.1
恶意代码的检测分析
理解特征扫描、行为检测的区别及优缺点; 了解静态分析、动态分析的概念及区别。
恶意代码的清除
了解感染引导区、感染文件、独立型和嵌入型恶意 代码清除的方式。
基于互联网的恶意代码防护
目标系统的信息系统相关资料
• 域名、网络拓扑、操作系统、应用软件、相关脆弱 性
目标系统的组织相关资料
• 组织架构及关联组织 • 地理位置细节 • 电话号码、邮件等联系方式 • 近期重大事件 • 员工简历
其他可能令攻击者感兴趣的任何信息
19
公开信息收集-搜索引擎
快速定位
某开源软件xxxx.jsp脚本存在漏洞,Google 搜索 ‚xxxx.jsp‛可以找到存在此脚本的Web网站 Google 搜索‚teweb/default.htm‛就可找到开放着 远程Web连接的服务器
78H 56H
24
栈顶
缓冲区溢出简单示例
程序作用:将用户输入的内容打印在屏幕上
Buffer.c
#include <stdio.h> int main ( ) { char name[8]; printf("Please input your name: "); gets(name); printf("you name is: %s!", name); return 0; }
பைடு நூலகம்
国家漏洞库(CNNVD)2013年漏洞统计
23
缓冲区溢出基础-堆栈、指针、寄存器
堆栈概念
一段连续分配的内存空间
ESP
注册信息安全专业人员(CISP)知识体系大纲
注册信息安全专业人员(CISP)知识体系大纲发布日期:2009年5月1日版本:1.2中国信息安全测评中心©版权2009—中国信息安全测评中心注册信息安全专业人员(CISP)知识体系大纲咨询及索取关于中国信息安全测评中心信息安全人员培训相关的文件,请与中国信息安全测评中心信息系统测评服务部接洽。
在中国信息安全测评中心网址:上可获取本文件。
版权©版权2008—中国信息安全测评中心联系信息关于中国信息安全测评中心(CNITSEC)信息安全人员培训相关的更多信息,请与中国信息安全测评中心(CNITSEC)联系:联系方式:中国信息安全测评中心信息安全测评服务部【联系地址】北京市海淀区上地西路8号院1号楼【邮政编码】100085【电话】【传真】(010)【电子邮件】目录目录.................................................................................................................. I I 图表. (IV)注册信息安全专业人员(CISP)知识体系介绍 (1)第1 章注册信息安全专业人员(CISP)知识体系概述 (2)1.1 CISP资质证书介绍 (2)1.2 CISP知识体系介绍 (2)1.2.1 概述 (2)1.2.2 CISP知识体系框架结构介绍 (4)1.2.3 CISP(CISE/CISO/CISA)考试的知识体系结构介绍 (6)第2 章知识类:信息安全体系和模型 (8)2.1 概述 (8)2.2 原理说明 (9)2.2.1 概述 (9)2.2.2 知识体:安全体系 (9)2.2.3 知识体:信息安全模型 (11)2.3 知识体系大纲 (12)2.3.1 BD(知识体):信息安全体系 (12)2.3.2 BD(知识体):信息安全模型 (12)第3 章知识类:信息安全技术 (14)3.1 概述 (14)3.2 原理说明 (14)3.2.1 概述 (14)3.2.2 知识体:信息安全技术机制 (15)3.2.3 知识体:信息和通信技术(ICT)安全 (16)3.2.4 知识体:信息安全实践 (17)3.3 知识体系大纲 (18)3.3.1 BD(知识体):信息安全技术机制 (18)3.3.2 BD(知识体):信息和通信技术(ICT)安全 (19)3.3.3 BD(知识体):信息安全实践 (21)第4 章知识类:信息安全管理 (23)4.1 概述 (23)4.2 原理说明 (23)4.2.1 概述 (23)4.2.2 知识体:安全管理体系 (24)4.2.3 知识体:关键安全管理过程 (24)4.3 知识体系大纲 (25)4.3.1 BD(知识体):安全管理基础 (25)4.3.2 BD(知识体):关键安全管理过程 (26)第5 章知识类:信息安全工程 (28)5.1 概述 (28)5.2 原理说明 (28)5.2.1 概述 (28)5.2.2 知识体:安全工程基础 (29)5.2.3 知识体:安全工程过程和实践 (29)5.2.4 知识体:项目管理过程和实践 (30)5.3 知识体系大纲 (30)5.3.1 BD(知识体):安全工程基础 (30)5.3.2 BD(知识体):安全工程过程和实践 (30)5.3.3 BD(知识体):项目管理过程和实践 (30)第6 章知识类:信息安全标准和法律法规 (31)6.1 概述 (31)6.2 原理说明 (31)6.3 知识体系大纲 (32)6.3.1 BD(知识体):概述 (32)6.3.2 BD(知识体):信息系统相关标准 (32)6.3.3 BD(知识体):道德规范 (32)6.3.4 BD(知识体):信息安全标准 (32)6.3.5 BD(知识体):信息安全法律法规 (33)图表图表1-1:CISP知识体系的组件模块结构 (4)图表1-2:CISP知识体系结构框架 (6)图表2-1:信息安全体系和模型知识类(PT)的知识体系结构概述 (8)图表2-2:信息安全体系和模型知识类(PT)的知识体系结构详细描述 (9)图表2-3:知识体-安全体系原理:信息安全保障模型 (10)图表2-4:知识体:安全模型原理说明 (11)图表3-1:信息安全技术知识类(PT)的知识体系结构概述 (14)图表3-2:知识体:信息安全技术机制原理说明 (16)图表3-3:知识体:信息和通信技术(ICT)安全原理说明 (17)图表3-4:知识体:信息安全实践原理说明 (18)图表4-1:信息安全管理知识类(PT)的知识体系结构概述 (23)图表4-2:知识体:安全管理体系说明 (24)图表4-3:知识体:关键安全管理过程原理说明 (25)图表5-1:信息安全工程知识类(PT)的知识体系结构概述 (28)图表5-2:信息系统安全工程标准背景 (29)图表6-1:信息安全标准和法律法规知识类(PT)的知识体系结构概述 (31)注册信息安全专业人员(CISP)知识体系介绍注册信息安全专业人员知识体系介绍中将介绍注册信息安全专业人员(CISP)考试大纲的结构和内容。
cisp试题及答案
cisp试题及答案一、概述CISP(Certified Information Security Professional)是国际上广泛认可的信息安全专业资格认证体系。
通过取得CISP认证,可以证明个人在信息安全领域具备丰富的专业知识和技能,有能力保护企业和组织的信息资产安全。
二、CISP试题内容概述CISP考试内容涵盖了信息安全的各个方面,包括但不限于以下几个领域:1. 信息安全管理和组织- 安全管理原则和方法论- 安全政策、标准和程序- 组织安全文化和意识培养- 风险管理和评估2. 资产安全管理- 资产分类和管理- 物理安全和环境控制- 信息存储和备份- 资产调查和回收3. 安全工程- 安全需求分析和规划 - 安全设计和实施- 安全评估和测试- 安全操作和维护4. 通信和网络安全- 网络拓扑和架构设计 - 网络设备和防护措施 - 网络协议和加密技术 - 网络安全监测和响应5. 身份和访问管理- 身份认证和授权机制 - 访问控制和权限管理 - 用户账号和密码策略 - 身份和访问审计6. 安全风险管理- 安全事件和威胁管理- 安全漏洞和漏洞管理- 恶意代码和攻击方法- 安全事件响应和处置三、CISP答案示例及解析以下是CISP试题中的一道例题及其对应的答案解析:题目:在信息安全管理中,为了确保安全策略的实施和执行,应该采取以下哪些措施?A. 定期进行安全风险评估B. 员工定期接受安全培训C. 建立安全审计和监控机制D. 所有答案都正确答案解析:D. 所有答案都正确在信息安全管理中,为了确保安全策略的实施和执行,应该综合采取多种措施。
定期进行安全风险评估可以识别和评估潜在的威胁和风险,从而采取相应的安全防护措施。
员工定期接受安全培训可以提高员工的安全意识和技能,减少由于人为因素导致的安全漏洞。
建立安全审计和监控机制可以监控信息系统的安全状况,及时发现和响应安全事件。
因此,以上选项都是确保安全策略实施和执行的重要措施。
注册信息安全专业人员(CISP认证培训)
注册信息安全专业人员(CISP认证培训)认证介绍国家注册信息安全专业人员(简称:CISP)是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。
2015年6月,全国获得CISP认证资格人员已超过15000名。
认证目的信息安全人员培训与姊姊认定的目的是构建全面的信息安全人才体系。
构建全面的信息安全人才体系是国家政策的要求,是组织机构信息安全保障建设自身的要求和组织机构人员自身职业发展的要求。
是国家政策的要求:中办发【2003】27号文件《国家信息化领导小组关于加强信息安全保障工作的I 安逸》中提出了“加快悉尼型安全人才培养,增强全民信息安全意识”的知道精神,重点强调了信息安全人才培养的重要性。
是组织机构信息安全保障建设自身的要求:企事业单位、政府机关等组织机构在信息安全保障建设、信息哈U建设中,需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设,从而保障其业务和使命。
是组织机构人员自身职业为发展的要求:作为人员本身,在其工作和职业发展中,需要充实其信息安全保障相关的只是和经验,以更好的开展其工作并为自己的只因为发展提供帮助。
认证价值对组织的价值:高素质的信息安全专业人才队伍,是信息安全的保障;信息安全人员持证上岗,满足政策部门的合规性要求;为组织实施信息安全岗位绩效考核提供了标准和依据;是信息安全企业申请安全服务资质必备的条件对个人的价值:适应市场中越来越热的对信息安全人才的需求;通过专业培训和考试提高个人信息安全从业水平;证明具备从事信息安全技术和管理工作的能力;权威认证提升职场竞争中的自身优势;可以获取信息安全专业人士的认可,方便交流。
认证分类根据工作领域和时间广州的需求,可以分为两类:注册信息安全工程师(CISE )主要从事信息安全技术开发服务工程建设等工作。
CISP最新参考资料
CISP最新参考资料1.中国信息安全测评中心对CISP注册信息安全专业人员有保持认证要求,在证书有效期内,应完成至少6次完整的信息安全服务经历,以下哪项不是信息安全服务: BA、为政府单位信息系统进行安全方案设计B、在信息安全公司从事保安工作C、在公开场合宣讲安全知识D、在学校讲解信息安全课程2.确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,不为其所用,是指(): CA、完整性B、可用性C、保密性D、抗抵赖性3.下列信息系统安全说法正确的是: DA、加固所有的服务器和网络设备就可以保证网络的安全B、只要资金允许就可以实现绝对的安全C、断开所有的服务可以保证信息系统的安全D、信息系统安全状态会随着业务的变化而变化,因此网络安全状态需要根据不同的业务而调整相应的网络安全策略4.OSI开放系统互联安全体系构架中的安全服务分为鉴别服务、访问控制、机密性服务、完整服务、抗抵赖服务,其中机密性服务描述正确的是: BA、包括原发方抗抵赖和接受方抗抵赖B、包括连接机密性、无连接机密性、选择字段机密性和业务流保密C、包括对等实体鉴别和数据源鉴别D、包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性5.电子商务交易必须具备抗抵赖性,目的在于防止___。
BA、一个实体假装另一个实体B、参与此交易的一方否认曾经发生过此次交易C、他人对数据进行非授权的修改、破坏D、信息从被监视的通信过程中泄露出去6.下列哪一项准确地描述了可信计算基(TCB)? CA、TCB只作用于固件(Firmware)B、TCB描述了一个系统提供的安全级别C、TCB描述了一个系统内部的保护机制D、TCB通过安全标签来表示数据的敏感性7.下面关于访问控制模型的说法不正确的是: CA、DAC模型中主体对它所属的对象和运行的程序有全部的控制权B、DAC实现提供了一个基于“need-to-know”的访问授权的方法,默认拒绝任何人的访问。
cisp考点整理资料
一.信息安全测评服务介绍1.中国信息安全测评中心:1)履行国家信息安全漏洞分析和风险评估职能2)对信息产品、系统和工程进行评估3)对信息安全服务,人员的资质进行审核2.CISP以信息安全保障(IA)作为主线二.信息安全测评认证体系介绍1.由信息安全问题所引起的国家面临的主要威胁:1)信息霸权的威胁2)经济安全3)舆论安全4)社会稳定2.我国测评认证中心的建设过程:1)1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”,1999.2 该中心挂牌运行2)2001.5 中编办“中国信息安全产品测评认证中心”(中编办【2001】51号)CNITSEC 3)2007 改名“中国信息安全测评中心”3.认证要点(1)一个目标:TOE评估的正确性和一致性(2)两种方法:“质量过程核查”,“评估活动评价”(3)三个阶段:准备,评估,认证(4)四类活动4.行业许可证制度1)信息安全产品:公安部3所检测,公安部11局颁发2)防病毒产品:指定单位(天津市公安局)3)商用密码产品:国密办颁发5.商业性测评:制定化,控制,量化6.认证业务的范围:服务商,专业人员,产品,系统三.信息安全测评认标准1.测评标准发展1)美国TCSEC(桔皮书):美国国防部1985年提出,军用机密性,D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护2)欧共体ITSEC:将安全性分为功能和保证;提出TOE;提出“安全目标”ST;E1-63)加拿大CTCPEC:功能性要求分为机密性,完整性,可用性,可控性4)美国联邦FC:引入了保护轮廓PP;每个轮廓包括功能,保障和评测需求5)通用评估准则CC:1996年V1.0;1998年V2.0;1999年为ISO15408(GB/T18336);思想框架来源于FC和ITSEC;EAL1-72. CC的评估保证级EALEAL1功能测试;EAL2结构测试;EAL3系统地测试和检查;EAL4系统地设计、测试和复查;EAL5半形式化设计和测试(无隐蔽通道);EAL6半形式化验证的设计和测试;EAL7形式化验证的设计和测试3. CC的结构:1)简介和一般介绍,以及保护轮廓规范和安全目标规范2)第二部分:安全功能需求3)第三部分:安全保障需求4. CC的范围不包括:1)行政性管理安全措施的评估准则;2)物理安全方面(诸如电磁辐射控制)的评估准则;3)密码算法固有质量评价准则包括:信息系统产品和技术5. 保护轮廓PP(甲方)没有详细的设计方案,安全目标ST(乙方)方案6. APE类:保护轮廓的评估准则;ASE类:安全目标的评估准则7. CC的结构:类,子类,组件8. 其他重要标准1)ITIL:IT服务框架2)Gobit:ISACA协会IT内控审计、IT治理框架四.我国标准1. 我国:国家GB/T; 行业:GA,GJB; 地方:DB/T; 企业:Q2. 标准化:最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动。
CISP2018_信息安全保障_V41
操作控制
人员安全、物理和环境保护、意外防范计划、配置 管理、维护、系统和信息完整性、媒体保护、事件 响应、意识和培训
技术控制
识别和认证、访问控制、审计和追责、系统和通信 保护
26
云计算的安全风险
数据管理和访问失控的风险
数据存储位置对用户失控 云计算服务商对数据权限高于用户 用户不能有效监管云计算厂商内部人员对数据的非 授权访问
传输
移动网络
互联网
无线网络
卫星
Post-IP 网络
感知
射频识别
二维码
传感器网络
短距离无线 通信
实时定位
30
物联网安全威胁及安全架构
感知层安全
网关节点被控制,拒绝服务 接入节点标识、识别、认证和控制
传输层安全
拒绝服务、欺骗
支撑层安全
来自终端的虚假数据识别和处理、可用性保护、人 为干预
利用大数据和高性能计算为支撑,综合如IDS、IPS 、防火墙、防病毒等提供的数据,对相关的形式化 及非形式化数据(已知的攻击行为、可能的攻击行 为、进行中的攻击行为、漏洞等)进行分析,并形 成对未来网络威胁状态进行预判以便调整安全策略 ,实现“御敌于国门之外”的策略
9
知识子域:信息安全保障基础
20世纪,70-90年代 主要关注于数据处理和存储时的数据保护 安全威胁:非法访问、恶意代码、脆弱口令等 核心思想:预防、检测和减小计算机系统(包括 软件和硬件)用户(授权和未授权用户)执行的 未授权活动所造成的后果。 安全措施:通过操作系统的访问控制技术来防止 非授权用户的访问
10
信息安全属性
基本属性
保密性 完整性 可用性
cisp试题及答案
cisp试题及答案在本文中,我们将提供CISP试题及答案,帮助读者更好地了解和准备CISP考试。
CISP(Certified Information Security Professional)是一个国际认可的信息安全专业资格认证,通过该认证可以证明个人在信息安全领域具备专业的知识与技能。
一、信息安全管理1. 信息安全管理是指对信息资产进行全面管理和保护的过程。
请简要介绍信息安全管理的目标和重要性。
信息安全管理的目标是保护信息资产的机密性、完整性和可用性,防止信息遭受未经授权的访问、损坏和泄露,并确保信息系统的可靠性和稳定性。
信息安全管理对于组织来说至关重要,可以降低信息安全风险,保护客户数据和企业敏感信息,维护业务连续性并遵守法律法规。
2. 请列举并简要介绍ISO/IEC 27001标准中的信息安全管理体系(ISMS)要素。
ISO/IEC 27001标准中的信息安全管理体系包括以下要素:- 上下文分析:了解和评估组织内外部环境,明确信息安全管理体系的范围和目标。
- 领导力承诺:组织领导层需对信息安全提供明确的承诺和支持,并制定相关政策和目标。
- 风险评估:全面识别、评估和管理信息资产的风险,制定相应的风险处理计划。
- 资产管理:对信息资产进行明确定义、分类和管理,包括信息的获取、使用、存储和销毁。
- 安全控制:通过采取适当的技术和管理措施,确保信息资产的安全性、完整性和可用性。
- 人员安全:建立适当的人员安全政策,包括招聘、培训和意识教育,以及离职员工信息的处理。
- 通信与运营管理:确保信息传输和处理的安全性,包括网络安全、供应商管理和监控措施。
- 环境安全:评估和管理物理环境的安全性,包括设备的安全维护和灾难恢复。
- 合规性管理:遵守法律法规和适用的信息安全要求,包括隐私保护和知识产权保护。
二、网络安全1. 阐述网络安全的概念,并列举常见的网络安全威胁。
网络安全主要涉及保护计算机网络和网络连接的安全性,防止网络系统遭受未经授权的访问、攻击和滥用。