中企航CISP培训笔记(3)

CISP培训笔记信息安全保障1、中办27号⽂《国家信息化领导⼩组关于加强信息安全保障⼯作的意见》室信息安全保障⼯作的纲领性⽂件2、信息的安全属性CIA：保密性、完整性、可⽤性3、信息安全的范畴：信息技术问题、组织管理问题，社会问题，国家安全问题4、信息安全特征：系统性、动态性，⽆边界性、⾮传统性（最终保障业务的安全）5、信息安全问题根源：（信息战⼠和⽹络战⼠是最严重的）内因，过程复杂、结构复杂、应⽤复杂外因，⼈（个⼈威胁、组织威胁、国家威胁）和⾃然6、信息安全发展阶段通信安全COMSEC，信息窃取，加密，保证保密性、完整性计算机安全COMPUSEC，操作系统技术信息系统安全INFOSEC，防⽕墙、VPN 、PKI公钥基础设施、信息安全保障IA，技术、管理、⼈员培训等⽹络空间安全/信息安全保障CS/IA，防御、攻击、利⽤，强调威慑7、传统信息安全的重点是保护和防御；信息安全保障是保护、检测和响应，攻击后的修复8、信息安全保障模型PDR 防护--检测--响应，安防措施是基于时间的，给出攻防时间表，假设了隐患和措施，不适应变化，时间PPDR 策略--防护--检测--响应，突出控制和对抗，强调系统安全的动态性9、信息安全保障技术框架IATF，深度防御的思想，层次化保护，⼈、技术、操作，关注4个领域：本地的计算机环境区域边界⽹络和基础设施⽀撑性技术设施10、信息系统：每⼀个资质中信息流动的总和，含输⼊输出、存储、控制、处理等。

11、信息系统安全保障，从技术、管理、⼯程、⼈员⽅⾯提出保障要求12、信息系统安全保障模型 GB/T 20274保障要素4：技术、管理、⼯程、⼈员⽣命周期5：规划组织、开发采购、实施交付、运⾏维护、废弃安全特征3：保密性、完整性、可⽤性13、信息系统安全保障⼯作阶段确保信息安全需求、设计并实施信息安全⽅案、信息安全测评、检测与维护信息安全14、我国信息安全保障体系建⽴信息安全技术体系，实现国家信息化发展的⾃主可控信息安全保障实践1、现状美国CNNI《国家⽹络安全综合倡议》，3道防线1、减少漏洞和隐患，预防⼊侵2、全⾯应对各类威胁，增强反应能⼒，加强供应链安全低于各种威胁3、强化未来安全环境，增强研究、开发和教育，投资先进技术2、我国的信息安全保障战略规划，信息安全分：基础信息⽹络安全、重要信息系统安全和信息内容安全3、信息安全保障⼯作⽅法，信息系统保护轮廓ISPP（所有者⾓度考虑安保需求），信息系统安全⽬标ISST，从建设⽅制定保障⽅案4、确定信息系统安全保障的具体需求：法规符合性、风险评估、业务需求（只放前2个也对）5、信息安全测评对象：信息产品安全测评、信息系统安全测评、服务商资质、信息安全⼈员资质测评6、信息系统安全测评标准过程测评标准： GB/T 20274产品安全测评标准：CC GB/T 18336信息安全管理体系ISMS1、ISMS信息安全管理体系，按照ISO 27001定义，基于业务风险的⽅法2、信息安全管理体系建设规划与建⽴、实施和运⾏、监视和评审、保持和改进3、ISMS的层次化⽂档结构⼀级⽂件，顶层⽂件，⽅针、⼿册⼆级⽂件，信息安全管控程序、管理规定性⽂件，管理制度、程序、策略⽂件三级⽂件，操作指南、作业指导书、操作规范、实施标准等四级⽂件，各种记录表单，计划、表格、报告、⽇志⽂件等4、ISMS⽅法：风险管理⽅法、过程⽅法5、风险管理⽅法风险评估是信息安全管理的基础，风险处理时信息安全管理的核⼼，风险管理是信息安全管理的根本⽅法，控制措施是风险管控的具体⼿段6、控制措施的类别从⼿段来看，分为技术性、管理性、物理性、法律性等控制措施从功能来看，分为预防性、检测性、纠正性、威慑性等控制措施从影响范围来看，常被分为安全⽅针、信息安全组织、资产管理、⼈⼒资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域7、PDCA循环，戴明环特点：按顺序进⾏，组织每部分及个体也可使⽤，适⽤任何活动8、ISO/IEC 27000标准族共7个27001 信息安全管理体系要求，14个领域，新版的变动27002 信息安全控制措施实⽤规则，11个控制类，内容安全和风险评估不属于27004 信息安全管理测量，度量指标9、常见的管理体系标准ISO 27001定义的信息安全管理系统ISMS , 国际标准信息安全等级保护，公安部提出NIST SP800 ，适⽤美国联邦政府和组织10、管理者是实施ISMS的最关键因素11、ISMS建设P阶段 8步：确⽴边界和⽅针1-2、风险评估3-6、获得⾼层认可，编制适⽤性声明7-8D阶段 7步：制定风险处理计划，实施培训和教育计划C阶段 5步：审计和检查A阶段 2步：实施纠正和预防，沟通和改进信息安全控制措施1、安全⽅针是陈述管理者的管理意图，⾼层承诺，是⼀级⽂件，具体的产品选型，技术实现问题不在⽅针中体现2、信息安全组织：内部组织、外部各⽅3、资产管理：资产负责和信息分类，信息分类按照信息的价值、法律要求、对组织的敏感程度进⾏分类4、员⼯只要违反了规定，不论是否知悉，就要接受处罚5、符合性符合法律要求、符合安全策略和标准及技术符合性、信息系统审核考虑6、任⽤的终⽌：终⽌职责、资产的归还、撤销访问权7、⼈⾝安全是物理安全⾸要考虑的问题8、TEMPEST 抑制和防⽌电磁泄露9、机房建设，下送风，上排风10、备份是为了保证完整性和可⽤性11、电⼦商务服务，抗抵赖12、⽇志，管路员读权限；系统员，写权限13、信息安全管理⼿册是⼀级⽂件，SOA适⽤性声明是⼀级⽂件，信息安全策略是⼀级⽂件，不描述具体操作的都是⼆级⽂件14、⽹闸，多功能安全⽹关，实现⽹络物理隔离15、测试数据不需备份；⽣产数据不能做测试，脱敏处理才可以；测试完成后对平台和数据彻底清除16、程序源代码需访问控制，不得随意更改17、不⿎励对商⽤软件包进⾏变更，除⾮获得⼚⽅的合法⽀持；不包括开源，外包软件开发：源代码托管，第三⽅管理，不得使⽤，为了防⽌开发⽅倒闭信息安全标准化1、国际标准、国家标准、⾏业标准、地⽅标准2、标准化特点：对象是共同的、可重复的实物；动态性；相对性；效益来⾃标准使⽤3、标准化原则：简化原则、统⼀化、通⽤化、系列化4、国家标准代码，GB/Z在实施后3年内必须进⾏复审，结果为延长3年或废⽌GB 强制性国家标准GB/T 推荐性国家标准GB/Z 国家标准化指导性技术⽂件5、ISO的机构包括TC技术委员会、SC分技术委员会、WG⼯作组、特别⼯作组6、IEC 国际电⼯委员会，和ISO成⽴JCT1联合技术委员会7、ISO/IEC JCT1 SC27（分技术委员会），下设5个⼯作组，对⼝中国TC260（CISTC，信息安全标准化TC）。

CISP知识点范文CISP（Certified Information Security Professional）是国际上最具权威性和广泛性的信息安全管理认证机构之一、通过CISP认证，标志着持有者具备了信息安全领域的专业知识和技能，能够有效地管理和防范信息安全风险。

下面将从CISP认证的背景、知识点以及认证的价值等方面进行详细介绍。

一、CISP认证的背景随着信息技术的高速发展，信息安全越来越受到人们的关注。

各类安全威胁和攻击也变得日益复杂和隐蔽。

为了提高企业和组织的信息安全能力，减少信息泄露和数据丢失的风险，促进信息安全管理的标准化和规范化，CISP认证应运而生。

二、CISP认证的知识点CISP认证主要包括以下知识点：1.信息系统安全管理概念和原则：介绍信息安全管理的基本概念，包括安全架构、策略和风险管理等。

理解信息风险的评估和管理，掌握保密性、完整性和可用性等信息安全的核心原则。

3.信息安全风险管理：掌握风险管理的概念和方法，包括定性和定量的风险评估，制定风险处理策略和计划，了解风险管理工具和技术。

4.信息安全控制措施：学习各类信息安全控制措施的原理和应用，包括物理安全、逻辑安全、访问控制和身份认证等。

熟悉常见的安全技术和安全产品，了解加密和解密的原理以及应用。

5.业务连续性和灾难恢复：理解业务连续性和灾难恢复的概念，学习制定业务连续性和灾难恢复计划的方法和步骤，了解常见的灾难恢复技术和措施。

6.法律、合规和财务方面的安全要求：了解信息安全与法律、合规和财务方面的关联，掌握相关法律法规和合规要求，了解信息安全对财务管理的影响。

7.信息安全教育和培训：学习信息安全教育和培训的原则和方法，了解如何设计和实施企业内部的安全培训和意识提升活动。

三、CISP认证的价值1.证明专业知识和技能：持有CISP认证可以证明个人在信息安全领域具备专业的知识和技能，对企业和组织的信息安全管理具有实际价值。

2.提升职业竞争力：CISP认证是信息安全领域的国际认可标准，可以为个人的职业发展提供有力的支持和保障，提升在职场上的竞争力。

CISP模拟练习题（3）一、模型和保障体系●信息安全保障体系●信息安全模型●信息安全测评认证1、以下哪些模型可以用来保护分级信息的##性？A Biba模型和Bell－Lapadula模型；B Bell－Lapadula模型和信息流模型；C Bell－Lapadula模型和Clark－Wilson模型；D Clark－Wilson模型和信息流模型答案：B参考：《理论和技术》P41-56多级安全模型：Bell－Lapadula模型（##性），Clark－Wilson模型（完整性），Biba 模型（完整性）多边安全模型：Chinese Wall模型，BMA模型##性模型：1、信息流模型（非干扰性，非观察性）；2、访问控制模型：MAC强制（BLP，Chinese Wall），DAC自主，RBAC基于角色的访问控制完整性模型：Clark－Wilson模型，Biba模型2、在以下哪种安全模型中，系统的访问至少在最高层是安全的？A 多级安全模型；B Dedicated安全模型；C partmented安全模型；D 受控模型答案：C3、给计算机系统的资产分配的记号被称为什么？A安全属性；B安全特征；C安全标记；D 安全级别答案：C 参考：《标准和法规》P85，安全标签，敏感性标签，敏感性标记4、BMA模型是基于?A.B.C.D.答案：5、在参考监视器概念中，一个参考监视器不需要符合以下哪个设计要求？A 必须是TAMPERPROOFB 必须足够大C 必须足够小D 必须总在其中答案：B参考：《标准和法规》P86CC（15408-3）A reference monitor is an abstract machine that enforces the access control policies of a TOE. A reference validation mechanism is an implementation of the reference monitor concept that possesses the following properties: tamperproof, always invoked, and simple enough to be subjected to thorough analysis and testing. The TSF may consist of a reference validation mechanism and/or other security functions necessary for the operation of the TOE.二、标准和法律法规●信息安全标准●信息安全法律法规6、ITSEC标准不包括以下哪方面内容？A 功能要求；B 通用框架要求；C 保证要求；D 特定系统的安全要求答案：B参考：《标准和法规》P166，D是指“安全目标”7、CTCPEC标准中，安全功能要求包括以下哪方面内容？A ##性要求；B 完整性要求；C 保证要求；D 可用性要求；E 可控性要求答案：A、B、D、E参考：《标准和法规》P1668、“保护轮廓”最早出现于哪一个标准？A 国际标准ISO/IEC 15408；B 美国FC标准；C 可信计算机系统评估准则TCSEC；D 信息技术安全性评估准则ITSECE 通用评估准则CC2.0答案：B参考：《标准和法规》P1669、桔皮书主要强调了信息的哪个属性？A完整性B##性C可用性D有效性答案：B10、ITSEC的功能要求不包括以下哪方面内容？A##性B完整性C可用性D有效性答案：D11、我国标准分为几级？A.3级B.4级C.5级D.6级答案：B 参考：《标准和法规》P30：国家标准，行业标准，地方标准，企业标准12、下面哪一个是国家推荐性标准？A.GB/T 18020-1999 应用级防火墙安全技术要求B.SJ/T 30003-93 电子计算机机房施工及验收规XC.GA 243-2000 计算机病毒防治产品评级准则D.ISO/IEC 15408-1999 信息技术安全性评估准则答案：A13、标准采用中的“idt”指的是？A 等效采用B 等同采用C 修改采用D 非等效采用答案：B参考：《标准和法规》P19：i d t等同，M O D修改，N E Q非等效14、著名的TCSEC是由下面哪个组织制定的？AISOBIECCITSECD 美国国防部答案：D15、TCP/IP协议的4层概念模型是？A. 应用层、传输层、网络层和网络接口层B. 应用层、传输层、网络层和物理层C. 应用层、数据链路层、网络层和网络接口层D. 会话层、数据链路层、网络层和网络接口层答案：A参考：《理论和技术》P75，《标准和法规》P4016、CC标准主要包括哪几个部分？A. 简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南；B. 简介和一般模型、安全功能要求、安全保证要求C. 通用评估方法、安全功能要求、安全保证要求D. 简介和一般模型、安全要求、PP和ST产生指南答案：B17、CC中安全功能/保证要求的三层结构是（按照由大到小的顺序）？A. 类、子类、元素B. 组件、子类、元素C. 类、子类、组件D. 子类、组件、元素答案：C18、CC中的评估保证级（EAL）分为多少级？A.6级B.7级C.5级D.4级答案：B19、CC中的评估保证级4级（EAL4）对应TCSEC和ITSEC的哪个级别？A. 对应TCSEC B1级，对应ITSEC E4级B. 对应TCSEC C2级，对应ITSEC E4级C. 对应TCSEC B1级，对应ITSEC E3级D. 对应TCSEC C2级，对应ITSEC E3级答案：C参考：《标准和法规》P167，P186：注意规律，先对应I T S E CE A L2：C1；E1E A L3：C2；E2E A L4：B1；E3E A L5：B2；E4E A L6：B3；E5E A L7：A1；E620、PP中的安全需求不包括下面哪一个？（安全环境）A. 有关环境的假设B. 对资产的威胁C. 组织安全策略D.IT保证安全要求答案：D21、中国信息安全产品测评认证中心的四项业务是什么？A. 产品测评认证；B. 信息系统安全测评认证；C.信息系统安全服务资质认证；D. 注册信息安全专业人员资质认证答案：ABCD22、信息技术安全标准化组织有哪些？A. ISO/IECB. ITU答案：AB参考：《标准和法规》P7 ，P8，P16国际标准化组织：ISO（国际标准化组织）和IEC（国际电工委员会）ISO－International Organization for Standardization（成立于1947年）IEC－International Electricity mitteeISO/IEC JTC1：负责信息技术领域的国际标准的制定ISO/IEC JTC1/SC27：专门从事通用信息技术安全技术和安全机制的标准的制定ISO/IEC JTC1/SC6，SC17，SC18，SC21，SC22，SC30等6个分技术委员会：分别承担一部分信息技术安全标准的制定ISO/TC68：负责行业应用信息安全标准的制定ITU-T国际电信联盟的电信标准化部门，单独或与ISO/IEC联合制定标准其他：ISO/TC 176：质量管理和质量保证技术委员会制定了ISO 9000族标准23、我国的推荐性国家标准的写法是什么？A. GB/TB.C.D.答案：A24、我国的强制性国家标准的写法？A. GBB.C.D.答案：A25、CC 2.0对应的国际标准是什么？A. ISO/IEC 15408-1999B.C.D.答案：A26、CC 2.0对应的国家标准是什么？A.GB/T 18336-2001B.C.D.答案：A27、关于PP，哪一个论述是正确的？A. 是针对一类产品或系统，为既定的一系列安全对象提出功能和保证要求的完备集合，可复用集合，是对各种应用的抽象。

CISP培训鉴别与访问控制培训CISP（Certified Information Security Professional）培训是针对信息安全专业人员的培训课程，旨在提高他们的鉴别与访问控制能力。

本文将介绍CISP培训的重要性、培训内容以及培训后能够提供的实际价值。

信息安全是当今社会不可忽视的重要领域，每个组织和个人都面临着各种各样的安全威胁。

鉴别与访问控制是信息安全的基础，它们涉及到确定用户身份、授权访问和验证用户权限等重要任务。

因此，为了保护机构的信息资产免受未经授权的访问和滥用，培训专业人员成为合格的CISP变得至关重要。

CISP培训内容广泛且实用，包括但不限于以下方面：1. 鉴别技术：CISP培训将覆盖各种鉴别技术，如身份识别、密码验证、生物识别等。

培训将介绍各种鉴别技术的原理、应用场景和最佳实践，以帮助学员了解不同技术的优缺点，并在实际环境中正确应用它们。

2. 访问控制模型：培训将介绍不同的访问控制模型，如基于角色的访问控制（RBAC）、强制访问控制（MAC）和可选访问控制（DAC）等，以帮助学员了解不同模型的功能和适用性。

此外，培训还将强调访问控制策略设计和实施的重要性。

3. 认证和授权：培训将介绍认证和授权的概念、原理和实践。

学员将学习如何设计和实施一个有效的认证和授权机制，并掌握不同的身份验证和授权技术。

4. 安全策略和流程：培训还将介绍如何制定和实施信息安全策略和流程。

学员将学习如何评估组织的安全需求，制定适当的安全策略，并建立一套有效的安全流程来确保信息资产的安全性。

CISP培训的受益者不仅局限于信息安全从业人员，也包括企业管理层和技术人员。

培训后，学员将具备以下能力：1. 提高信息安全意识：CISP培训将帮助学员了解不同类型的安全威胁和风险，并提供相应的应对策略。

这将帮助他们更好地了解和应对信息安全挑战。

2. 加强鉴别与访问控制技能：培训将提供实际操作和案例研究，让学员能够有效地应用所学的技能于实际工作中。

Cisp笔记一、信息安全标准●我国标准分为：国家标准、行业标准、地方标准、企业标准。

●国际通行“标准化七原理”➢原理1---简化➢原理2---协商一致➢原理3---实践、运用➢原理4---选择、固定➢原理5---修订➢原理6---技术要求+试验方法+抽样➢原理7---强制性适应于：安全、健康、环保等●我国通行“标准化八字原理”➢“统一”原理➢“简化”原理➢“协调”原理➢“最优”化原理●IETF（170多个RFC、12个工作组）●关键的概念：➢评估对象—— TOE(Target of Evaluation)➢保护轮廓——PP (Protection Profile）➢安全目标——ST( Security Target）➢功能(Function)➢保证(Assurance)➢组件(Component)➢包(Package)➢评估保证级——EAL( Evaluation Assurance Level）●评估保证级➢EAL1—功能测试➢EAL2—结构测试➢EAL3—系统地测试和检查➢EAL4—系统地设计、测试和复查➢EAL5—半形式化设计和测试（无隐蔽通道）➢EAL6—半形式化验证的设计和测试➢EAL7—形式化验证的设计和测试二、物理安全1、机房等级：➢A类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施。

该类机房放置需要最高安全性和可靠性的系统和设备。

➢B类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施。

它的安全性介于A类和C类之间。

➢C类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。

该类机房存放只需要最低限度的安全性和可靠性的一般性系统。

2、机房地板类型➢复合地板（机房采用）➢木制地板➢金属底板3、人员安全管理➢背景调查➢入职审查及面试➢离职前谈话三、windows安全1、Windows系统的安全架构（6个安全要素）➢Audit（审计）➢Administration（管理）➢Encryption（加密）➢Access Control（访问控制）➢User Authentication（用户认证）➢Corporate Security Policy（公共安全策略）2、Windows系统的安全组件➢访问控制的判断（Discretion access control）按照C2级别的定义，Windows 支持对象的访问控制的判断。