【CISP】物理环境与网络通信安全

注册信息安全专业人员（CISP）知识体系大纲版本：2.0正式版中国信息安全测评中心目录前言 (3)第1 章注册信息安全专业人员（CISP）知识体系概述 (4)1.1 CISP资质认定类别 (4)1.2 大纲范围 (4)1.3 CISP知识体系框架结构 (5)1.4 CISP（CISE/CISO）考试试题结构 (7)第2 章知识类：信息安全保障概述 (9)2.1 知识体：信息安全保障基本知识 (9)2.1.1 知识域：信息安全保障背景 (9)2.1.2 知识域：信息安全保障原理 (10)2.1.3 知识域：典型信息系统安全模型与框架 (10)2.2 知识体：信息安全保障基本实践 (11)2.2.1 知识域：信息安全保障工作概况 (11)2.2.2 知识域：信息系统安全保障工作基本内容 (11)第3 章知识类：信息安全技术 (13)3.1 知识体：密码技术 (13)3.1.1 知识域：密码学基础 (14)3.1.2 知识域：密码学应用 (14)3.2 知识体：访问控制与审计监控 (15)3.2.1 知识域：访问控制模型 (16)3.2.2 知识域：访问控制技术 (16)3.2.3 知识域：审计和监控技术 (17)3.3 知识体：网络安全 (17)3.3.1 知识域：网络协议安全 (17)3.3.2 知识域：网络安全设备 (18)3.3.3 知识域：网络架构安全 (18)3.4 知识体：系统安全 (19)3.4.1 知识域：操作系统安全 (19)3.4.2 知识域：数据库安全 (20)3.5 知识体：应用安全 (21)3.5.1 知识域：网络服务安全 (21)3.5.2 知识域：个人用户安全 (22)3.5.3 知识域：恶意代码 (22)3.6 知识体：安全攻防 (23)3.6.1 知识域：信息安全漏洞 (23)3.6.2 知识域：安全攻防基础 (24)3.6.3 知识域：安全攻防实践 (24)3.7 知识体：软件安全开发 (25)3.7.1 知识域：软件安全开发概况 (25)3.7.2 知识域：软件安全开发的关键阶段 (25)第4 章知识类：信息安全管理 (27)4.1 知识体：信息安全管理体系 (27)4.1.1 知识域：信息安全管理基本概念 (27)4.1.2 知识域：信息安全管理体系建设 (28)4.2 知识体：信息安全风险管理 (29)4.2.1 知识域：风险管理工作内容 (29)4.2.2 知识域：信息安全风险评估实践 (30)4.3 知识体：安全管理措施 (31)4.3.1 知识域：基本安全管理措施 (31)4.3.2 知识域：重要安全管理过程 (33)第5 章知识类：信息安全工程 (35)5.1 知识体：信息安全工程原理 (35)5.1.1 知识域：安全工程理论背景 (35)5.1.2 知识域：安全工程能力成熟度模型 (36)5.2 知识体：信息安全工程实践 (37)5.2.1 知识域：安全工程实施实践 (37)5.2.2 知识域：信息安全工程监理 (38)第6 章知识类：信息安全标准法规 (39)6.1 知识体：信息安全法规与政策 (39)6.1.1 知识域：信息安全相关法律 (39)6.1.2 知识域：信息安全国家政策 (40)6.2 知识体：信息安全标准 (41)6.2.1 知识域：安全标准化概述 (41)6.2.2 知识域：信息安全评估标准 (41)6.2.3 知识域：信息安全管理标准 (42)6.2.4 知识域：等级保护标准 (42)6.3 知识体：道德规范 (43)6.3.1 知识域：信息安全从业人员道德规范 (43)6.3.2 知识域：通行道德规范 (44)前言信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。

信息安全的物理安全与环境安全信息安全是当今社会中备受关注的一个重要话题。

在数字化时代，网络上的信息泄露、数据被盗等问题层出不穷，给个人和企业带来了严重的损失。

而要保证信息的安全，除了网络安全措施外，物理安全和环境安全也是至关重要的因素。

一、物理安全物理安全是指通过对信息系统的实体设备、硬件等进行保护，防止非法获取、破坏或者盗取信息的安全措施。

以下是一些常见的物理安全措施：1. 门禁控制：在进入信息系统房间的门口设置门禁系统，只允许授权人员进入。

这可以有效防止未经授权的人员进入机房或数据中心，进而减少物理攻击和信息泄露的风险。

2. 锁定服务器：对于存放重要信息的服务器，应采取物理锁定措施，确保只有授权人员才能接触到服务器。

防止未经授权的人员进行破坏或盗取数据的行为。

3. 视频监控：在信息系统房间或者重要设备的周围安装视频监控系统，实时监测设备状况，对异常情况进行及时发现和处理。

4. 灭火系统：信息系统房间应配备适当的自动灭火设备，一旦发生火灾，可以及时扑灭，并减少对设备和数据的损害。

二、环境安全环境安全是指通过对信息系统所处环境的保护，减少环境因素对信息系统正常运行和数据安全的影响。

以下是一些常见的环境安全措施：1. 温湿度控制：信息系统房间应安装温湿度传感器，并配备调控设备，保持适宜的温湿度范围。

过高或过低的温湿度都可能对设备和数据造成损害。

2. 电力保障：信息系统房间应配备稳定的电力供应设备，如UPS不间断电源和发电机组等，以应对断电和电压波动等情况，确保设备稳定运行。

3. 防尘防静电：信息系统房间应进行定期的清洁和消除静电处理，以避免尘埃和静电对设备的损害。

4. 防水防潮：信息系统房间应避免选址在容易受到水患或潮湿环境的地方，同时采取适当的防水措施，防止设备和数据被水损坏。

三、物理安全与环境安全的重要性物理安全和环境安全是信息安全的重要组成部分，它们直接关系到信息系统的稳定运行和数据的安全。

CISP考试(习题卷13)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]以下哪种方法不能有效提高WLAN的安全性：A)修改默认的服务区标识符（SSID）B)禁止SSID广播C)启用终端与AP间的双向认证D)启用无线AP的开放认证模式答案:A解析:2.[单选题]以下哪个属性不会出现在防火墙的访问控制策略配置中?A)本局域网内地址B)百度服务器地址C)HTTP 协议D)病毒类型答案:D解析:3.[单选题]某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时时使Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改。

利用此漏洞，攻击者将价值1000元的商品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题。

对于网站的这个问题原因分析及解决措施，最正确的说法应该是？A)该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决B)该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施C)该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的问题，应对全网站进行安全改造，所有的访问都强制要求使用httpsD)该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可答案:B解析:4.[单选题]PKI的主要理论基础是：A)对称密码算法B)公钥密码算法C)量子密码D)摘要算法答案:B解析:5.[单选题]下列对强制访问控制描述不正确的是A)主题对客体的所有访问B)强制访问控制时，主体和客体分配一个安全属性C)客体的创建者无权控制客体的访问权限6.[单选题]有什么方法可以测试办公部门的无线安全？A)n War dialing战争语言B)n 社会工程学C)n 战争驾驶D)n 密码破解答案:D解析:7.[单选题]以下哪一种人给公司带来最大的安全风险？A)临时工B)咨询人员C)以前员工D)当前员工答案:D解析:8.[单选题]信息安全风险评估对象确立的主要依据是什么A)系统设备的类型B)系统的业务目标和特性C)系统的技术架构D)系统的网络环境答案:B解析:9.[单选题]为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪一项是最好的方法？A)进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码B)进行离职谈话，禁止员工账号，更改密码C)让员工签署跨边界协议D)列出员工在解聘前需要注意的所有责任答案:A解析:10.[单选题]信息安全风险管理的对象不包括如下哪项A)信息自身B)信息载体C)信息网络D)信息环境答案:C解析:11.[单选题]以下哪种访问控制策略需要安全标签？A)基于角色的策略B)基于标识的策略C)用户指向的策略D)强制访问控制策略答案:DA)资产识别是指对需要保护的资产和系统等进行识别和分类B)威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C)脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱 点，并对脆弱性的严重程度进行评估D)确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系 统平台、网络平台和应用平台答案:D解析:13.[单选题]以下哪些不是网络类资产：A)网络设备B)基础服务平台C)网络安全设备D)主干线路答案:B解析:14.[单选题]如果某个网站允许用户能上传任意类型的文件， 黑客最可能进行的攻击是（ ）。

CISP教材简介CISP（计算机信息安全规范）作为信息安全管理方面的国际标准，对于信息安全领域的专业人员来说至关重要。

CISP教材旨在向学习CISP的人员提供一个全面、系统的学习指南，帮助他们掌握CISP的核心概念、原理和实践操作。

本文档是一份完整的CISP教材，包含以下主要内容： 1. CISP概述 2. CISP认证体系 3. CISP培训路径 4. CISP考试准备 5. CISP教材介绍 6. CISP教学资源 7. CISP 实践案例1. CISP概述CISP是一个国际上被广泛接受的信息安全管理标准，它包含一系列标准和规范，旨在帮助组织建立和维护有效的信息安全管理体系。

CISP的核心目标是保护组织的信息资产，预防信息泄露、恶意攻击和服务中断。

CISP强调风险管理和持续改进，以确保信息安全能够与组织的业务需求保持一致。

CISP的标准覆盖了许多关键领域，包括信息安全政策、组织安全、资产管理、访问控制、密码管理、物理和环境安全、通信和操作管理、系统开发和维护、供应商管理等。

通过遵循CISP标准，组织能够有效地识别、评估和处理信息安全风险，降低信息泄露和攻击的风险，并提高组织的整体安全水平。

2. CISP认证体系CISP认证体系由国际信息系统安全认证联盟（ISC2）负责管理。

ISC2是一个全球性的信息安全组织，致力于推动信息安全专业人员的职业发展和认证。

CISP认证体系包括以下几个重要的认证： - CISP认证（CISP）：适用于各级信息安全专业人员，要求候选人具备一定的工作经验和知识，通过考试来验证其对CISP标准的理解和应用能力。

- CISP关联认证（CCSP）：适用于云安全专业人员，要求候选人具备云安全方面的专业知识和经验，通过考试来验证其对云安全和CISP在云环境中的应用能力。

- CISP架构师认证（CISSP-ISSAP）：适用于信息安全架构师，要求候选人具备丰富的信息安全架构设计经验和CISP知识，通过考试来验证其在信息安全架构设计方面的能力。

CISP培训模拟题（3）答案CISP模拟练习题（3）一、模型和保障体系信息安全保障体系信息安全模型信息安全测评认证1、以下哪些模型可以用来保护分级信息的机密性？A Biba模型和Bell－Lapadula模型；B Bell－Lapadula模型和信息流模型；C Bell－Lapadula模型和Clark－Wilson模型；D Clark－Wilson模型和信息流模型答案：B参考：《理论和技术》P41-56多级安全模型：Bell－Lapadula模型（机密性），Clark－Wilson模型（完整性），Biba模型（完整性）多边安全模型：Chinese Wall模型，BMA模型机密性模型：1、信息流模型（非干扰性，非观察性）；2、访问控制模型：MAC强制（BLP，Chinese Wall），DAC自主，RBAC基于角色的访问控制完整性模型：Clark－Wilson模型，Biba模型2、在以下哪种安全模型中，系统的访问至少在最高层是安全的？A 多级安全模型；B Dedicated安全模型；C Compartmented安全模型；D 受控模型答案：C3、给计算机系统的资产分配的记号被称为什么？A 安全属性；B 安全特征；C 安全标记；D 安全级别答案：C 参考：《标准和法规》P85，安全标签，敏感性标签，敏感性标记4、BMA模型是基于?A.B.C.D.答案：5、在参考监视器概念中，一个参考监视器不需要符合以下哪个设计要求？A 必须是TAMPERPROOFB 必须足够大C 必须足够小D 必须总在其中答案：B参考：《标准和法规》P86CC（15408-3）A reference monitor is an abstract machine that enforces the access control policies of a TOE. A reference validation mechanism is an implementation of the reference monitor concept that possesses the following properties: tamperproof, always invoked, and simple enough to be subjected to thorough analysis and testing. The TSF may consist of a reference validation mechanism and/or other security functions necessary for the operation of the TOE.二、标准和法律法规信息安全标准信息安全法律法规6、ITSEC标准不包括以下哪方面内容？A 功能要求；B 通用框架要求；C 保证要求；D 特定系统的安全要求答案：B参考：《标准和法规》P166，D是指“安全目标”7、CTCPEC标准中，安全功能要求包括以下哪方面内容？A 机密性要求；B 完整性要求；C 保证要求；D 可用性要求；E 可控性要求答案：A、B、D、E参考：《标准和法规》P1668、“保护轮廓”最早出现于哪一个标准？A 国际标准ISO/IEC 15408；B 美国FC标准；C 可信计算机系统评估准则TCSEC；D 信息技术安全性评估准则ITSECE 通用评估准则CC2.0答案：B参考：《标准和法规》P1669、桔皮书主要强调了信息的哪个属性？A完整性B机密性C可用性D有效性答案：B10、ITSEC的功能要求不包括以下哪方面内容？B完整性C可用性D有效性答案：D11、我国标准分为几级？A.3级B.4级C.5级D.6级答案：B 参考：《标准和法规》P30：国家标准，行业标准，地方标准，企业标准12、下面哪一个是国家推荐性标准？A. GB/T 18020-1999 应用级防火墙安全技术要求B. SJ/T 30003-93 电子计算机机房施工及验收规范C. GA 243-2000 计算机病毒防治产品评级准则D. ISO/IEC 15408-1999 信息技术安全性评估准则答案：A13、标准采用中的“idt”指的是？A 等效采用B 等同采用C 修改采用D 非等效采用答案：B参考：《标准和法规》P19：idt等同，MOD修改，NEQ非等效14、著名的TCSEC是由下面哪个组织制定的？A ISOB IECC CNITSECD 美国国防部15、TCP/IP协议的4层概念模型是？A. 应用层、传输层、网络层和网络接口层B. 应用层、传输层、网络层和物理层C. 应用层、数据链路层、网络层和网络接口层D. 会话层、数据链路层、网络层和网络接口层答案：A参考：《理论和技术》P75，《标准和法规》P4016、CC标准主要包括哪几个部分？A. 简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南；B. 简介和一般模型、安全功能要求、安全保证要求C. 通用评估方法、安全功能要求、安全保证要求D. 简介和一般模型、安全要求、PP和ST产生指南答案：B17、CC中安全功能/保证要求的三层结构是（按照由大到小的顺序）？A. 类、子类、元素B. 组件、子类、元素C. 类、子类、组件D. 子类、组件、元素答案：C18、CC中的评估保证级（EAL）分为多少级？A. 6级B. 7级C. 5级D. 4级答案：B19、CC中的评估保证级4级（EAL4）对应TCSEC和ITSEC的哪个级别？A. 对应TCSEC B1级，对应ITSEC E4级B. 对应TCSEC C2级，对应ITSEC E4级C. 对应TCSEC B1级，对应ITSEC E3级D. 对应TCSEC C2级，对应ITSEC E3级答案：C参考：《标准和法规》P167，P186：注意规律，先对应ITSEC EAL2：C1；E1EAL3：C2；E2EAL4：B1；E3EAL5：B2；E4EAL6：B3；E5EAL7：A1；E620、PP中的安全需求不包括下面哪一个？（安全环境）A. 有关环境的假设B. 对资产的威胁C. 组织安全策略D. IT保证安全要求答案：D21、中国信息安全产品测评认证中心的四项业务是什么？A. 产品测评认证；B. 信息系统安全测评认证；C. 信息系统安全服务资质认证；D. 注册信息安全专业人员资质认证答案：ABCD22、信息技术安全标准化组织有哪些？A. ISO/IECB. ITU答案：AB参考：《标准和法规》P7 ，P8，P16国际标准化组织：ISO（国际标准化组织）和IEC（国际电工委员会）ISO－International Organization for Standardization（成立于1947年）IEC－International Electricity CommitteeISO/IEC JTC1：负责信息技术领域的国际标准的制定ISO/IEC JTC1/SC27：专门从事通用信息技术安全技术和安全机制的标准的制定ISO/IEC JTC1/SC6，SC17，SC18，SC21，SC22，SC30等6个分技术委员会：分别承担一部分信息技术安全标准的制定ISO/TC68：负责行业应用信息安全标准的制定ITU-T国际电信联盟的电信标准化部门，单独或与ISO/IEC联合制定标准其他：ISO/TC 176：质量管理和质量保证技术委员会制定了ISO 9000族标准23、我国的推荐性国家标准的写法是什么？A. GB/TB.C.D.答案：A24、我国的强制性国家标准的写法？A. GBB.C.D.答案：A25、CC 2.0对应的国际标准是什么？A. ISO/IEC 15408-1999B.C.D.答案：A26、CC 2.0对应的国家标准是什么？A. GB/T 18336-2001B.C.D.答案：A27、关于PP，哪一个论述是正确的？A. 是针对一类产品或系统，为既定的一系列安全对象提出功能和保证要求的完备集合，可复用集合，是对各种应用的抽象。