证书 | NISP 二级题，零基础入门到精通，收藏这篇就够了

最新推荐文章于 2024-10-10 19:34:20 发布

leah126

最新推荐文章于 2024-10-10 19:34:20 发布

阅读量500

点赞数 7

分类专栏：程序员渗透测试 web 文章标签：大数据人工智能

本文链接：https://blog.csdn.net/leah126/article/details/142828071

版权

程序员同时被 3 个专栏收录

808 篇文章 136 订阅

订阅专栏

渗透测试

722 篇文章 30 订阅

订阅专栏

web

363 篇文章 12 订阅

订阅专栏

说明

NISP俗称校园版的CISP，对大学生而言，考取NISP是非常有用的，遗憾的是，NISP目前是需要参加培训的，由培训机构统一组织报名。

下面我列举一下，我自己做过的题，带领大家提前了解一下NISP的考试大纲和典型考题。

CISP知识结构体系：

在整个CISP的知识体系结构中，共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类。

CISP证书涵盖方向

CISP 根据工作领域和实际岗位工作的需要，分为四类证书：

**“注册信息安全工程师”，英文为Certified Information Security Engineer，简称 CISE。**证书持有人员主要从事信息安全技术领域的工作，具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力。

**“注册信息安全管理员”，英文为Certified Information Security Officer，简称 CISO。**证书持有人员主要从事信息安全管理领域的工作，具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。

**“注册信息系统审计师”，英文为Certified Information SystemAuditor，简称CISP-A。**证书持有人主要从事信息安全审计工作在全面掌握信息安全基本知识技能的基础上，具有较强的信息安全风险评估、安全检查实践能力。

**“注册信息安全开发人员”，英文为Certified Information SecurityDeveloper，简称 CISD。**证书持有人主要从事软件开发相关工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息系统安全开发能力、熟练掌握应用安全。

据国家权威部门数据显示，在信息安全行业，持有CISP资质证书的占比为71.8**%，也是当前信息安全领域最受认可的证书。**

认证要求

(1) 教育与工作经历

硕士研究生以上，具有1年工作经历;或本科毕业，具有2年工作经历;或大专毕业，具有4年工作经历。

(2) 专业工作经历

至少具备1年从事信息安全有关的工作经历。

如不满足以上条件，可先参加培训及考试获得培训合格证书，期限满换发认证证书，考试成绩有效期三年。

题库：

我国把自主的密码技术分为那几种？1-商用密码 2-普通密码 3-核心密码 4-开源密码 5-国外密码（123）

网络信任体系的建设包括哪些？1-网络实名制 2-数字证书信任体系 3-网络权限访问控制体系（123）

《网络安全法》颁布时间：2017年6月1日

记录和日志保持不少于6个月，6个月如何理解？1-连续6个月 2-累计6个月 3-最近连续6个月。

以下哪些是关键信息基础设施？1-12306平台 2-税务系统 3-滴滴平台 4-飞猪平台 5-淘宝 6-天猫 7-京东 8-美团 9-北京银行金融业务系统。（123456789）

如果你违反了治安管理处罚法，请问多少年内不能参与网络信息化和安全的重要岗位工作？1：不影响 2：半年 3：1年 4：3年 5：5年 6：10年。

如果你触犯了刑法，请问多少年内不能参与网络信息化和安全的重要岗位工作？1-不影响 2-半年 3-1年 4-3年 5-5年 5-10年 6-20年 7-30年 8-终身。

个人信息的所有权是归个人所有还是组织所有？归个人所有。

定量风险评估比定性风险分析能得到准确的数值，但在实际工作中应该选择定性分析和定量分析相结合的方式，而不选择定性风险分析。

根据《关于开展信息安全风险评估工作的意见》的规定：自评为主，检查为辅，自评估和检查评估相互结合、互为补充，按照“严密组织、规范操作、讲求科学、注重实效”的原则展开。贯穿于网络和信息系统建设运行的全过程。

指纹识别系统存在安全威胁问题，同时存在错误拒绝率和错误接受率的问题。

密码学的Kerchhof（柯克霍夫原则）假设中，密码系统的安全性仅依赖于密钥，而不是算法。

Linux中的用户和组，每一个文件和程序都归属于一个特定的“用户”，每一个用户都必须至少属于一个用户组，一个用户可以属于多个组。

SABSA 舍伍德模型六层模型，从安全角度定义了业务需求，模型的每一层在抽象方面逐层减少，细节逐层增加，因此，它的层级都是建在其他层之上的，从策略逐渐到技术和解决方案的（实施实践）。其思路上创新出了一个包括战略、概念、设计、实施、度量和审计层次的（安全链条）。

GB／T 22080-2008 《信息技术安全技术信息安全管理体系要求》指出，建立信息安全管理体系应参照 PDCA 模型进行，即信息安全管理体系应包括建立ISMS、实施和运行ISMS、监视和评审ISMS、保持和改进 ISMS等过程，并在这些过程中应实施若干活动，其中“制定 ISMS 方针”是建产 ISMS 阶段工作内容；“实施培训和意识教育计划“是实施和运行 ISMS 阶段工作内容；“进行有效性测量”是监视和评审 ISMS 阶段工作内容；“实施内部审核”是监视和评审阶段的工作内容。

终端访问控制器访问控制系统（Terminal Access Controller Access-Control System, TACACS）由 RFC1492 定义，标准的 TACACS 协议只认证用户是否可以登录系统，目前已经很少使用，TACACS+协议由 Cisco 公司提出，主要应用于 Ciso 公司的产品中，运行与 TCP 协议之上。TACACS+协议分为（认证和授权）两个不同的过程。

Linux 操作系统中，root 用户是最高权限用户，系统管理员不可以剥夺和恢复超级用户的某些权能。

数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全。粒度最小策略，将数据库中的数据项进行划分，粒度越小，安全级别越高，在实际中需要选择最小粒度；最小特权原则，是让用户可以合法的存取或修改数据库的前提下，分配最小的特权，使得这些信息恰好能够完成用户的工作；按内容存取控制策略，不同权限的用户访问数据库的不同部分；数据库安全一般遵循最小化原则。

《信息安全保障技术框架》（Information Assurance Technical Framework，IATF）是由（美国）发布的。

小赵是某大学计算机科学与技术专业的毕业生，在前往一家大型企业应聘时，面试经理要求他给出该企业信息系统访问控制模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是访问控制列表（ACL）。

目前 Wiondows 和 linux 操作系统使用的都是 ACL，访问控制表（ACL）是在每个文件下面附着一个客户权限表，正常情况下一个系统客户数再多也不会有文件的数量多；而 BLP 模型、Biba 模型属于强制访问控制模型，与题干不符。

小张新购入了一台安装了 Windows 操作系统的笔记本电脑。为了提升操作系统的安全性，小张在 Windows 系统中的“本地安全策略”中，配置了四类安全策略：账号策略、本地策略、公钥策略和 IP安全策略。那么该操作属于操作系统安全配置内容中的制定安全策略。

某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址，但是该网络内有 15 台个人计算机，这些个人计算机不会同时开机并连接互联网。为解决公司员工的上网问题，公司决定将这 10 个互联网地址集中起来使用，当任意一台个人计算机开机并连接网络时，管理中心从这 10 个地址中任意取出一个尚未分配的 IP 地址分配给这个人的计算机。他关机时，管理中心将该地址收回，并重新设置为未分配。可见，只要同时打开的个人计算机数量少于或等于可供分配的 IP 地址，那么，每台个人计算机可以获取一个 IP 地址，并实现与互联网的连接。该公司使用的 IP 地址规划方式是动态分配地址。

Kerberos 协议是常用的集中访问控制协议，通过可信第三方的认证服务，减轻应用服务器的负担。Kerberos 的运行环境由密钥分发中心（KDC）、应用服务器和客户端三个部分组成。其中，KDC 分为认证服务器 AS 和票据授权服务器 TGS 两部分。下图展示了 Kerberos 协议的三个阶段，分别为（1）Kerberos 获得服务许可票据，（2）Kerberos 获得服务，（3）Kerberos 获得票据许可票据。下列选项中，对这三个阶段的排序正确的是

解析：Kerberos 基本认证过程分为三个阶段：第一阶段：获得票据许可票据；第二阶段：获得服务许可票据；第三阶段：获得服务。

PKI 的主要理论基础是（ D ）。A.摘要算法 B.对称密码算法 C.量子密码 D.公钥密码算法。

PKI（公钥基础设施），也称公开密钥基础设施。

信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估，就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所搜集的（客观证据），向信息系统的所有相关方提供信息系统的（安全保障工作）能够实现其安全保障策略，能够将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的评估对象是（信息系统），信息系统不仅包含了仅讨论技术的信息技术系统，还包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一个动态持续的过程，涉及信息系统整个（生命周期），因此信息系统安全保障的评估也应该提供一种（动态持续）的信心。

保密设施、设备应当与涉密信息系统同步规划，同步建设，同步运行（三同步）。非涉密计算机不应贴涉密标识，涉密计算机应送往有涉密资质的维修中心，涉密计算机不上网。

Cookie 是为了辨别用户身份，进行会话跟踪而存储在用户本地终端上的数据，用户不可以随意查看存储在 Cookie 中的数据，查看 cookie 必须安装专用的插件也行。

统一威胁管理系统（utm)的局限性有：功能集成带来了风险集中，不符合"纵深防御"的安全管理思想；功能集成带来的系统复杂性，不同模块的协作问题；功能集成带来的性能瓶颈。
数字证书是：一段电子数据；经证书权威机构CA签名的数据体；包含拥有者身份信息和公开密钥的数据体。

强抗碰撞性：

规划阶段

应急响应专家小组

电子签名，没有机密性：

降低网络风险：

2008年1月2日，美国发布第54号总统令，建立国家网络安全综合计划(comprehensive national cyber security initiative,cnci)cnci计划建立三道防线：第一道防线，减少漏洞和隐患，预防入侵；第二道防线，全面应对各类威胁；第三道防线，强化未来安全环境。从以上内容，我们可以看出以下哪种分析是正确的：CNCI 是以风险为核心，三道防线首要的任务是降低其网络所面临的风险（不正确🙅的是：从 CNCI 可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的；CNCI 的目的是尽快研发并部署新技术，彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补；CNCI 彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障）。解析：cnci第一个防线针对漏洞进行风险控制，第二个防线针对威胁进行风险控制，总体的目标是降低网络风险。其他答案均无法从题干反应。
windows nt 提提供的分布式安全环境又被称为：域（domain)（不是：工作组、对等网、安全网）
视窗操作系统（windows)从哪个版本开始引入安全中心的概念？WinXP SP2（不是：winnt sp6、win2000 sp4、win2003 sp1）。

Windows系统

SYSTEM权限是最大权限。
某公司系统管理员最近正在部署一台Web服务器，使用的操作系统是 windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是：网络中单独部署 sy slog 服务器，将Web 服务器的日志自动发送并存储到该 sy slog 日志服务器中（不行🙅的有：严格设置 Web 日志权限，只有系统权限才能进行读和写等操作；对日志属性进行调整，加大日志文件大小、延长覆盖时间、设置记录更多信息等；使用独立的分区用于存储日志，并且保留足够大的日志空间）。

DOS命令

windows操作系统的注册表运行命令是：regedit；
在window系统中用于显示本机各网络端口详细情况的命令是：netstat（不是：netshow、ipconfig、netview）。

安全网关1和安全网关2

信息安全保障是网络时代各国维护国家安全和利益的首要任务，美国最早将网络安全上长升为国家安全战略，并制定相关战略计划。

解析：信息安全的标准可以和国际标准相同，也可以不相同。包括同等采用方式和等效采用方式等。

http协议（明文传输）；

Linux系统的权限表达格式

Apache Aeb 服务器的配置文件一般位于/usr/local/apache/conf 目录，其中用来控制用户访问apache目录的配置文件是：httpd.conf（不是：srl conf；access.conf；inet.conf）

保障要素：

安全专家在对谋网站进行安全部署时，调整了apache的运行权限，从root权限降低为nobody用户，目的是：为了避免攻击者通过apache获得root权限（不是为了：提高apache软件运行效率；提高apache软件的可靠性；减少Apache上存在的漏洞）。

识别存在的脆弱性并赋值：

软件安全保障：

最小特权是软件安全设计的基本原则，应用程序在设计时，设计人员给出了以下四种策略，作为评审专家，其中遵循最小特权的原则的有：软件在linux下按照时，设定运行时使用nobody用户运行实例；软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库；软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限（错误的是：为了保证软件在windows下能稳定的运行，设定运行权限为system,确保系统运行正常，不会因为权限不足产生运行错误）。
”最小特权“的解释：一个人有且仅有其执行岗位所足够的许可和权限；轮岗：组织机构内的敏感岗位不能由一个人长期负责；权限分离：对重要的工作进行分解，分配给不同人员完成；防止权限蔓延：防止员工由一个岗位变动到另一个岗位，累积越来越多的权限。
属于常见的风险评估与管理工具：基于信息安全标准的风险评估与管理工具；基于知识的风险评估与管理工具；基于模型的风险评估与管理工具（而：基于经验的风险评估工具不存在）。
等级保护三级系统一年测评一次，四级系统每半年测评一次。
关于我国励加强信息安全保障工作的总体要求，以下说法正确的是：坚持积极防御，综合防范的方针；重点保障基础信息网络和重要信息系统安全；创建安全健康的网络环境（而：提高个人隐私保护意识不属于（2003年）我国加强信息安全保障工作的总体要求）。
根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》规定，正确的是：可委托同一专业测评机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告（错误的是：涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标准进行；非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等要求进行；此通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容）。

OSI参考模型

在 OSI 参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安全性，以下哪一层提供了保密性、身份鉴别、数据完整性服务？网络层和应用层可以提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务。

ISO 17799

能力表（CL）：

源代码审核：

为增强Web 应用程序的安全性，某软件开发经理决定加强web 软件安全开发培训，在考虑范围内的有：关于网站身份鉴别技术方面安全知识的培训；针对 OpenSSL 心脏出血漏洞方面安全知识的培训；针对 SQL 注入漏洞的安全编程培训（不包括：关于 ARM 系统漏洞挖掘方面安全知识的培训，因为属于 ARM 系统，不属于 WEB 安全领域）。
关于源代码审核，描述正确的是：源代码审核有利于发现软件编码中存在的安全问题，相关的审核工具既有商业开源工具；（错误🙅的有：源代码审核如果想要有效率高，则主要依赖人工审核而不是工具审核，因为人工智能的，需要人的脑袋来判断，因为人工和攻击相结合；源代码审核能起到很好的安全保证作用，如果执行了源代码审核，则不需要安全测试，安全测试由需求确定；源代码审核过程遵循信息安全保障技术框架模型（IATF），在执行时应一步一步严格执行，因为IATF 不用于代码审核）
微软提出了 STRIDE 模型，其中 R是Repudiation（抵赖）的缩写，此项正确的是：某用户在登录系统并下载数据后，劫声称“我没有下载过数据"软件R威胁；用户在网络通信中传输完数据后，却声称“这些数据不是我传输的”威胁也属于 R威胁；对于 R 威胁，可以选择使用如强认证、数字签名、安全审计等技术（错误：对于 R 威胁，可以选择使用如隐私保护、过滤、流量控制等技术。解析：R-抵赖是无法通过过滤、流控和隐私保护实现的，R-抵赖的实现方式包括数字签名、安全审计、第三方公证）。
在 PDR 模型的基础上，发展成为了（Policy-Protection-Detection-Response,PPDR）模型，即策略-保护-检测-响应。模型的核心是：所有的防护、检测、响应都是依据安全策略实施的。在 PPDR 模型中，策略指的是信息系统的安全策略，包括访问控制策略、加密通信策略、身份认证测录、备份恢复策略等。策略体系的建立包括安全策略的制定、（评估与执行）等；防护指的是通过部署和采用安全技术来提高网络的防护能力，如（访问控制）、防火墙、入侵检测、加密技术、身份认证等技术；检测指的是利用信息安全检测工具，监视、分析、审计网络活动，了解判断网络系统的（安全状态）。检测这一环节，使安全防护从被动防护演进到主动防御，是整个模型动态性的体现，主要方法包括；实时监控、检测、报警等；响应指的是在检测到安全漏洞和安全事件，通过及时的响应措施将网络系统的（安全性）调整到风险最低的状态，包括恢复系统功能和数据，启动备份系统等。启动备份系统等。其主要方法包括：关闭服务、跟踪、反击、消除影响等。
可信计算说法：可信的主要目的是要建立起主动防御的信息安全保障体系；可信计算机安全评价标准（TCSEC）中第一次提出了可信计算机和可信计算基的概念；可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信；可信计算平台出现后不会取代传统的安全防护体系和方法。
下列关于计算机病毒感染能力的说法正确的是：能将自身代码注入到引导区；能将自身代码注入到扇区中的文件镜像；能将自身代码注入到文档或模板的宏中代码（代码注入文本文件中不能执行）。
恶意代码采用的隐藏技术包括：文件隐藏、进程隐藏、网络连接隐藏等。
通过向被攻击者发送大量的ICMP回应请求，消耗被攻击者的资源来进行响应，直至被攻击者再也无法处理有效的网络信息流时，这种攻击称之为：ICMP Flood。
以下哪些拒绝服务攻击方式是流量型拒绝服务攻击：Land、UDP Flood、Smurf（Teardrop 属于碎片攻击，不属于流量型拒绝服务攻击）。
传输控制协议（TCP）是传输层协议，关于TCP 协议的说法，正确的是：TCP 协议高可靠，相比UDP 协议机制过于复杂，传输效率要比 UDP低。
关于 UDP 协议的说法，正确的是：UDP 具有简单高效的特点，常被攻击者用来实施流量型拒绝服务攻击；UDP 协议包头中包含了源端口号和目的端口号，因此 UDP 可通过端口号将数据包送达正确的程序；相比TCP 协议，UDP 协议的系统开销更小，因此常用来传送如视频这一类高流量需求的应用数据（错误的是：UDP 协议不仅具有流量控制，超时重发等机制，还能提供加密等服务，因此常用来传输如视频会话这类需要隐私保护的数据。解析：UDP 协议无流量控制，超时重发等机制）。
防火墙提供的安全功能：aip地址欺骗防护；nat；访问控制（而：sql注入防护是waf的主要功能）。
项目管理：是一门关于项目资金，时间、人力等资源控制的管理科学；是运用系统的观点，方法和理论，对项目涉及的全部工作进行有效地管理，受项目资源的约束；包括对项日范围，时间，成本，质量，人力资源，沟通，风险，采购，集成的管理；是系统工程思想针对具体项目的实践应用。
近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生，防范这种攻击比较有效的方法是：协调运营商对域名解析服务器进行加固（错误的是：加强网站源代码的安全性；对网络客户端进行安全评估；在网站的网络出口部署应用级防火墙）。
在戴明环（PDCT)模型中，处置（ACT）环节的信息安全管理活动是：持续改进信息安全管理过程（错误的是：建立环境；实施风险处理计划；持续的监视与评审风险）。
业务特性从机构的业务内容和业务流程获取。
在信息系统设计阶段，”安全产品选择“处于风险管理过程的风险处理阶段？
某单位人员管理系统在人员离职时进行账号删除，需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行，该设计是遵循了软件安全的权限分离原则。
为防范网络欺诈确保交易安全，网银系统首先要求用户安全登录，然后使用智能卡+短信认证模式进行网上转账等交易，在此场景中用到了实体”所知“以及实体”所有“的鉴别方法。
某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析，模糊测试等软件安全性测试，在应用上线前，项日经理提出了还需要对应用网站进行一次渗透性测则试，作为安全主管，你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策，渗透性测测试的优势是：渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞。
信息系统安全工程（ISSE）的一个重要日标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，必须进行的工作：明确业务对信息安全的要求；识别来自法律法规的安全要求；论证安全要求是否正确完整（而：通过测试证明系统的功能和性能可以满足安全要求，属于项目的验收阶段）。
fuzz测试是经常采用的安全测试方法之一，软件安全测试包括模糊测试，渗透测试静态代码安全测试，只关注安全问题。