- 博客(34)
- 收藏
- 关注
RSS订阅
原创 网络安全行业有哪些认可度比较高的证书呢?
作为在网络安全行业内的一名销售,不管是接触到的大中型企业的CEO或者作业岗上的运维以及渗透测试、应急响应等等工作的人,他们身处不同的岗位对行业的内证书有不一样的看法,而且针对国内或者国外的认证有不同的定位,下面从不同的岗位职位对国内的认证进行一个推荐级排名。我们来从大中型企业的管理层来看,这个岗位的领导大多数都属于喜欢追求极致的人员,不止是从证书的数量上追求最多,也从质量上去挑战极限。①CISSP:管理层优先考虑持有的证书是CISSP(国际注册信息安全认证专家),这个证书虽然是国际的,但是在国内大中
2021-12-29 14:56:13
7925
1
原创 没有基础怎么自学渗透测试工程师?
去百度以及其他地方搜索渗透测试工程师大部分都是在宣传CISP-PTE认证培训的课程的,包括知乎上的回答也被机构宣传课程的广告包围了。提前声明,本人是个人兴趣爱好以及中年危机被迫的在自学渗透测试。同时我也会讲清楚学习培训和认证培训的区别。我在学习中以及跟学员、行业大佬的沟通中逐步对这个行业的起步有了大概的了解,现在根据我目前了解的情况给大家一个入行的建议。注:会提供一些付费的课程方式,但是与任何机构没有利益关系,只是客观说明可以参考。个人基础定位:建议是有一定的计算机基础,不能说你连打字、
2021-09-06 17:12:29
4022
2
原创 什么是CISP-PTE?
CISP-PTE,中文全称为注册信息安全专业人员渗透测试工程师,CISP-PTE的发证机构是中国信息安全测评中心。证书专注于培养考核高级应用安全人才,是业界首个理论与实践相结合的技能水平注册考试,国内唯一认可的渗透测试认证 ,专业性强,技能要求高。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。国内职业教育、技能人才缺乏,用人单位薪酬高于求职者预期(招聘网站显示普通本科有3年工作经验的渗透测试岗位的年薪在20W-30W
2021-06-29 11:33:22
3241
原创 CISP-软件安全开发练习题1024
下列关于逻辑覆盖的叙述中,说法错误的是()A 对于多分支的判定,判定覆盖要使每一个判定方式获得每一种可能的值来测试B 语句覆盖较判定覆盖严格,但测试仍不充分C 语句覆盖是比较弱的覆盖标准D 条件组合覆盖是比较强的覆盖标准正确答案:B 语句覆盖较判定覆盖严格,但测试仍不充分解析:...
2021-09-14 16:26:11
395
原创 CISP-软件安全开发练习题1001
某集团公司根据业务需要,在各地分支机构部署前置机,为了保证安全,集团总部要求前置机开放,总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致信息泄露,根据降低攻击面的原则,应当采取一下哪种处理措施()A 由于共享导致了安全问题,应直接关闭日止共享,禁止总部提取日志进行分析B 为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,因此接受此风险C 日志的存在就是安全风险,最好的办法就是取消日志,通过设置让前置机不记录日志D 只允许特定的IP地址从前
2021-09-14 16:08:59
378
原创 CISP-软件安全开发练习题1018
软件工程方法学的目的是:使软件生产规范化和工程化,而软件工程方法得以实施的主要保障是()A 硬件环境B 软件开发环境C 软件开发工具和软件开发环境D 开发人员的素质正确答案:C 软件开发工具和软件开发环境解析:方法得以实施的主要保障是软件开发工具和软件开发环境...
2021-09-14 15:30:39
4287
1
原创 CISP-软件安全开发练习题1022
在软件开发过程中,高质量软件产生的过程中与每一个环节都息息相关。那么在软件可维护性中哪两项是矛盾的()A 可修改性和可理解性B 可测试性和可理解性C 效率和可修改性D 可理解性和可读性正确答案:C 效率和可修改性解析:题干要求找出矛盾的两项,当然效率上去了,自然后期可修改性就下来了...
2021-09-14 15:21:38
274
原创 CISP-软件安全开发练习题1019
不恰当的异常处理,是指WEB应用在处理内部异常、错误时处理不当,导致会给攻击者透露出过多的WEB应用框架信息和安全配置信息。某软件开发团队的成员经常遇到处理内部异常,他知道如果错误时处理不当,导致会给攻击者透露出过多的WEB应用框架信息和安全配置信息。这会导致()A 堆栈追溯B 蠕虫传播C 钓鱼网站D 拒绝服务正确答案:A 堆栈追溯解析:你看,B不对吧,C不对吧,D更不对,所以选A...
2021-09-14 15:07:05
286
原创 CISP-软件安全开发练习题1002
软件存在漏洞和缺陷是不可避免的,实践中常使用软件缺陷密度(Defects/KLOC)来衡量软件的安全性。驾驶某个软件共有29.6万行源代码,总共被检测出145个缺陷,则可以计算出其软件缺陷密度值是()A 0.00049B 0.049C 0.49D 49正确答案:C 0.49解析:软件缺陷密度=1000*缺陷数/代码行。因为这个概念是以每千行代码进行计算的。...
2021-09-14 14:36:46
857
原创 CISP-软件安全开发练习题1006
某单位根据业务需要准备理想开发一个业务软件,对于软件开发安全投入经费研讨是开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为一个在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法()A 信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用要低B 软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安排人员进行
2021-09-10 18:10:47
850
原创 CISP-软件安全开发练习题1007
由于频繁出现软件运行时被黑客远程攻击获取数据的现象,牧软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()A 要求开发人员采用瀑布开发模型进行开发B 要求所有的开发人员参加软件安全意识培训C 要求规范软件编码,并制定公司的安全编码准则D 要求增加软件安全测试环节,尽早发现软件安全问题正确答案:A 要求开发人员采用瀑布开发模型进行开发解析:瀑布开发模型是一个项目开发架构,与安全无关,所以选A...
2021-09-10 17:02:05
547
原创 CISP-软件安全开发练习题1012
某单位门户网站开发完成后,测试人员使用模糊测试进行安全性测试,一下关于模糊测试过程的说法正确的是()A 模拟正常拥挤输入行为,生成大量数据包作为测试用例B 数据处理点,数据听到的入口点和可信边界点往往不是测试对象C 监测和记录输入数据后程序正常运行的情况D 深入分析网站测试过程中产生奔溃和异常的原因,必要时需要测试人员叔公重现并分析正确答案:D 深入分析网站测试过程中产生奔溃和异常的原因,必要时需要测试人员叔公重现并分析...
2021-09-10 16:25:19
454
原创 CISP-信息安全保障练习题125
某网站对爬虫的数据进行统计成日志,通过对日志数据进行审计检查,可以分析系统当前的运行状态,发现潜在威胁等。那么对日志数据进行审计检查,属于哪一类的控制措施A 预防B 检查C 威慑D 修正正确答案:B 检查解析:就算不懂的话也看题,题目中多次提到“检查”二字,所以这属于检查...
2021-08-31 16:16:23
157
原创 CISP-信息安全保障练习题124
P2DR模型是用于描述网络空间动态的模型,这个模型经常使用圆形的形象来表达,如图,图中空白处应填写什么()A 执行B 检测C 数据D 持续正确答案:B检测解析:P2DR模型是:防护、策略、检测、响应...
2021-08-31 16:09:42
171
原创 CISP-信息安全保障练习题117
全球物联网将朝向()、()和()的方向发展,同时以()将是全球各国的主要发展方向。物联网涉及感知、控制、网络通信、微电子、计算机、软件、嵌入式系统、微机电等技术领域,因此物联网涵盖的关键技术非常多,其主要技术架构可分为感知层、()、()和()四个层次A 规模化、协同化、智能化、带动物联网产业、传输层、支撑层、应用层B规模化、协同化、智能化、物联网应用带动物联网产业、传输层、支撑层、应用层C规模化、协同化、智能化、物联网应用、传输层、支撑层、应用层C规模化、协同化、智能化、物联网...
2021-08-31 16:05:15
189
原创 CISP-信息安全保障练习题118
维基百科中,大数据则被定义为巨量数据,也称海量数据或打资料,是指所涉及的数据量规模巨大到无法人为的在合理时间内达到截获,管理、处理并整理成为人类所能解读的信息。大数据的四个特点:volume、velocity、variety、value,其中他们的含义分别为()A 海量的数据规模、处理速度、数据类型、数据价值B 海量的数据规模、处理速度、数据价值、数据类型C海量的数据规模、数据价值、处理速度、数据类型D 海量的数据规模、数据价值、数据类型、处理速度正确答案:A 海量的数据...
2021-08-31 15:57:03
209
原创 CISP-信息安全保障练习题107
关于信息安全保障技术框架(IATF),以下说法不正确的是()A 分层策略允许在适当的时候采用低安全级别保障解决方案以便降低信息安全保障的成本B IATF从人、技术和操作三个层面提供一个框架实施多层保护,使攻击者即便攻破一层也无法破坏整个信息技术设施C 允许在关键区域(例如区域边界)使用高安全级保障方案,确保系统安全性D IATF深度防御战略要求在网络体系结构的各个可能位置实现所有的信息安全保障机制正确答案:D IATF深度防御战略要求在网络体系结构的各个可能位置实现所有的信...
2021-08-31 15:35:22
640
原创 CISP-信息安全保障练习题110
与PDR模型相比,P2DR模型更强调(),即强调系统安全的(),并且以安全检测、()和自适应填充“安全间隙”为循环来提高()A 漏洞检测;控制和对抗;动态性;网络安全B 动态性;控制和对抗;漏洞检测;网络安全C控制和对抗;漏洞检测;动态性;网络安全D控制和对抗;动态性;漏洞检测;网络安全正确答案:D控制和对抗;动态性;漏洞检测;网络安全解析:与PDR模型相比,P2DR模型更强调控制和对抗,即强调系统安全的动态性,并且以安全检测、漏洞检测和自适应填充“安全间隙”为循...
2021-08-31 15:19:28
271
原创 CISP-信息安全保障练习题105
下面关于信息系统安全保障模型的说法不正确的是()A 国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/18336.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心B 模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时。可根据具体环境和要求进行改动和细化C 信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全D 信息系统安全保障主要是确保信息系统的保密性、完整性、可用性,单位对信息系统维护和使用的人员在能...
2021-08-31 14:33:26
290
原创 CISP-信息安全保障练习题101
保护-检测-响应(PDR)模型是()工作中常用的模型,其思想是承认()中漏洞的存在,正视系统面临的(),通过采取适度防护、加强()、落实对安全事件的响应、建立对威胁的防护来保障系统的安全性。A 信息系统;信息安全保障;威胁;检测工作B 信息安全保障;信息系统;检测工作;威胁C 信息安全保障;信息系统;威胁;检测工作D 信息安全保障;威胁;信息系统;检测工作正确答案:B 信息安全保障;信息系统;检测工作;微信解析:保护-检测-响应(PDR)模型是信息安全保障工作中常用的模型,其
2021-08-30 18:02:07
259
原创 CISP-信息安全保障练习题122
下面哪个文档是由NIST发布的:A ISO27001B X.509 itu:C PS800-37D RFC2402正确答案:C PS800-37解析:
2021-08-30 17:48:01
274
原创 CISP-信息安全保障练习题112
2003年以来,我国高度重视信息安全保障工作,先后制定并发布了多个文件,从政策层面为开展并推进信息安全保障工作进行了规划。下面选项中哪个不是我国发布的文件()A 《国家信息化领导小组关于加强信息安全保障的工作意见》(中办发【2003】27号)B 《国家网络安全综合计划》(国令【2008】54号)C 《国家信息安全战略报告》(国信【2005】2号)D 《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发【2012】23号)正确答案:B 《国家网络安全综合计划》(...
2021-08-30 16:52:02
498
原创 CISP-信息安全保障练习题103
在国家标准GB/T20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包括哪几个方面:A 保障要素、生命周期和运行维护B 保障要素、生命周期和安全特征C 规划组织、生命周期和安全特征D 规划组织、生命周期和运行维护正确答案:B 保障要素、生命周期和安全特征解析:注意标红的字《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》,肯定选B啦~...
2021-08-30 16:41:25
287
原创 CISP-信息安全保障练习题119
2008年1月2日,美国发布第54号总统令,建立国家网络安全综合计划(CNCI)。CNCI计划建立三道防线。第一道防线,减少漏洞和隐患,预防入侵;第二道防线,全面应对各类威胁;第三道防线,强化未来安全环境。从以上内容,我们可以看出一下哪种分析是正确的( )A CNCI是以风险为核心,三道防线首要的任务是降低其网络所面临的风险B 从CNCI可以看出,威胁主要是来自外部的,而漏洞和隐患主要是存在于内部的C CNCI的目的是尽快研发并部署新技术和何地改变其糟糕的网络安全现状,而不是在现在网络安全基础上
2021-08-27 15:45:51
665
原创 CISP-信息安全保障练习题120
为保障信息系统的安全,某经营公共服务系统的公司准备编制一份针对性的信息安全保障方案,并将编制任务交给小王。为此小王决定首先编制出一份信息安全需求报告。关于此项工作,下面说法错误的是()A 信息安全需求是安全方案设计和安全措施的依据B 信息安全需求应当是从信息系统所有者(用户)的角度出发,使用规范化、结构化的语言来描述信息系统安全保障需求C 信息安全需求应当基于信息安全风险评估结果、业务需求和有关政策法规的标准的合规性要求得到D 信息安全需求来自于该公众服务信息系统的功能设计方案正确答案:
2021-08-27 15:13:39
543
原创 CISP-信息安全保障练习题121
以下哪些因素属于信息安全特征:A 系统和网络的安全B 系统和动态的安全、C 技术、管理,工程的安全D 系统的安全,动态的安全,无边界的安全,非传统的安全正确答案:D 系统的安全,动态的安全,无边界的安全,非传统的安全解析:虽然符合“三短一长选最长”的定律,但是要记住信息安全的特征是:系统、动态、无边界、非传统...
2021-08-27 14:37:56
255
原创 CISP-信息安全保障练习题114
某汽车保险公司有庞大的信贷数据,基于这些可信的不可篡改的数据,公司希望利用区块链的技术,根据预定好的规则和条款,自动控制保险和理赔。这一功能主要利用了区块链的( )技术特点。A 分布式账本B 非对称加密和授权C 共识机制D 智能合约正确答案:D 智能合约解析:重点在题目的中的“根据预定好的规则和条款”...
2021-08-27 14:31:01
4739
原创 CISP-信息安全保障练习题106
随着信息技术的不断发展,信息系统的重要性也越来越突出,而与此同时发生的信息安全事件也越来越多。综合分析信息安全问题产生的根源,下面描述正确的是:A 信息系统自身存在脆弱性是根本原因。信息系统越来越重要,同时自身在开发,部署和使用过程中存在的脆弱性,导致了诸多的信息安全事件发生。因此杜绝脆弱性的存在是解决信息安全问题的根本所在B 信息系统面临诸多黑客威胁,包括恶意攻击和恶作剧攻击者,信息系统应用越来越广泛,接触信息系统的人越多,信息系统越有可能遭受攻击。因此避免有恶意攻击可能的人接触信息系统就可以解决
2021-08-26 16:25:04
617
原创 CISP-信息安全保障练习题116
关于国家关键基础设施保护,2012年国务院下发了《关于大力推进信息化发展和切实保障信息安全的若干意见》的23号文,明确指出:A 设立国家安全委员会,完善国家安全体质和国家安全战略,确保国家安全B 信息安全工作的战略统筹和综合协调不够,重要信息系统和基础信息网络防护能力不强C 大力推进信息化发展和切实保障信息安全,对调整经济结构、转变发展方式、保障和改善民主、维护国家安全具有重大意义D 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行为和领域,以及其他一旦遭到破坏、丧失功
2021-08-26 15:28:08
194
原创 CISP-信息安全保障练习题113
信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府进行宏观管理的重要依据,同事也是保护国家利益、促进产业发展的重要手段之一。关于我国信息安全标准化工作,下面选项错误的是:A 我国是在国家质量监督检测检疫总局管理下,由国家标准化管理委员会统一管理全国标准化工作,下设有专业技术委员会;B 因事关国家安全利益,信息安全因此不能和国际标准相同,而是通过本国组织和国家制定标准,确实有效的保护国家利益和安全C 我国归口信息安全方面标准的是“全国信息安全标准化技术委员会”,为加强相关工作,2
2021-08-26 15:06:33
463
原创 CISP-信息安全保障练习题109
以下哪一项不是我国信息安全保障工作的主要目标:A 保护互联网知识产权B 维护企业与公民的合法权益C 保障和促进信息化发展D 构建高效的信息传播渠道 答案:D 构建高效的信息传播渠道解析:信息安全保障工作的主要目标不会去构建高效的信息传播渠道,有可能构建安全的信息传播渠道,所以重点在于“高效”二字...
2021-08-26 10:29:18
640
原创 CISP注册信息安全人员证书维持注意事项
北京承制科技有限公司以人为本,专注于网络安全人的因素,定位于网络安全人才与知识服务领域。可以在网上查到公司的注册时间虽然不久,但是承制科技的培训团队以及授课老师在行业内拥有丰富的经验,同时团队的核心理念是提高培训服务的质量,所以不管是培训和证书维持服务都是以最简便、最优质的服务为目标做的。01CISP最新维持政策自2019年1月起,丢失原始CISP证书则无法办理证书维持,需重新培训及考试; 新冠状病毒疫情期间,维持材料按要求提供电子版,无需纸质版; 运营中心不再开具CISP证书正在办理维持的证明
2021-08-06 15:43:52
517
原创 给想报考CISP的朋友
亲爱的同道考友们大家好。在这浩瀚如海的网络世界,如果你碰巧看到这了这篇文章,你可能已经怀疑:又是一片软文广告!也算是,也不是…做业务也是为了吃饭嘛。不过承认是软文的软文不是纯软文。本篇还是很客观的,况且,这是一篇有人味儿的软文。您可能是通过B乎看到,也可能是通过度娘找到我们,这说明我们的软广实力还是有的,不过跟我们的考培工作比起来,还是微不足道的。承制科技,今后必会在信息安全行业写下浓墨重彩的一笔!首先,您想考CISP的话,找我们您就省心了。CISP(注册信息安全专业人员)是国测由实施的,对
2021-07-13 15:58:42
348
2
转载 CISP和CISSP该如何选择,这一篇告诉你
经常遇到有朋友问关于CISP、CISSP这两个信息安全类认证应该考哪个的问题,所以萌生了写一篇关于这两个认证的对比说明,帮助需要在信息安全领域获取认证的同学们更好的选择一个适合自己的认证。一、认证的选择谈到认证的选择,首先就是先想清楚为什么要考这个证书?你说是单位安排的,哦那没事儿了…如果可以自己选择,那么就想清楚,选择认证的目的是什么,或者获得认证的目的是什么。这个明确了,我相信应该大致清楚选择哪个认证了。考认证无外乎就这么几个目的:1、镀金提高身价如果行业或者公司有相关规定或文件,那我.
2021-07-05 14:11:22
1031
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人