《CISP》易错点记录

杰西啊杰西

已于 2022-01-21 22:20:43 修改

阅读量1.9k

点赞数 1

分类专栏：信息安全文章标签： NISP CISP

于 2022-01-18 22:54:13 首次发布

本文链接：https://blog.csdn.net/qq_43681877/article/details/122567157

版权

信息安全专栏收录该内容

9 篇文章 2 订阅

订阅专栏

1、CNCI（美国第54号总统令）

第一个防线：针对漏洞进行风险控制
第二个防线：针对威胁
总体目标：降低网络风险

2、L2F、PPTP、L2TP均为二层隧道协议

3、主体访问客体的权限为CL,客体被主体访问的权限为ACL

4、Kerberos

票据许可票据
服务许可票据
获得服务

5、网络层和应用层可以提供保密性、省份将被、完整性、抗抵赖、访问控制服务

6、PGP

邮件加密、签名、认证
对邮件进行分段和重组
实现数据压缩

7、IPS（入侵防御系统）

在串联情况下会影响网络性能
有可能造成单点故障
对异常的进出流量可以直接进行阻断

8、文件系统
NTFS（新技术文件系统）

不能兼容EXT文件系统
使用事务日志自动记录所有文件夹和文件更新，当出现系统损坏和电源故障等问题，而引起操作失败后，系统能利用日志文件重做或恢复未成功的操作
对于大磁盘，NTFS系统比FAT有更高的磁盘利用率

EFS（加密文件系统）

FAT不支持EFS

9、多重备份存储可以防护日志被篡改的攻击，前提是非实时同步

10、一个用户可以属于多个组

11、ARP协议

无状态
动态的、可改写的
为提高效率，ARP信息在系统中会缓存

12、系统安全工程-能力成熟度模型 SSE-CMM

定义了一个风险过程：评估影响、评估威胁、评估脆弱性、评估安全风险

强调关联性而非独立性

当工程队不能执行一个过程域中的基本实践是，该过程域的过程能力为0级

基本实施BP
BP是基于最佳的工程过程实践
BP是经过测试的
一项BP适用于组织的生存周期而非仅仅适用于工程的某一特定阶段
一项BP和其他的BP是不重复的
公共特征PA
定义标准过程、执行已定义的过程、安全协调实施
通用实施 GP
GP涉及过程的管理、测量和制度化方面的活动
GP适用于域维中所有PA活动
在工程实施时，GP应该作为基本实施BP的一部分加以执行
在评估时，GP用于判定工程组织执行某个PA的能力
风险过程
评估影响、评估威胁、评估脆弱性、评估安全风险

13、风险管理的过程
信息安全风险管理

背景建立
风险评估
风险处理
批准监督
沟通咨询
监控审查
（1）过程质量管理：监视和控制风险管理过程
（2）成本效益管理：分析和平衡成本效益
（3）协调内外部组织机构风险管理活动

风险处理：
降低：从风险5个方面采取保护措施：法律（威胁源）；身份认证（威胁行为）；打补丁、关闭无关端口（脆弱性）；容灾备份、应急响应（影响程度）
规避：不使用面临风险的资产
转移：将资产转移到更安全的地方来避免或降低风险，外包
接收：前提：确定风险的等级、评估风险发生的可能性及带来的破坏…认定某些资产不需要进一步保护

14、信息安全等级保护
第一级：信息系统遭受破坏后，对公民、法人其他组织的合法权益造成危害，但不损害国家、社会和公共利益
第二级：…公民严重损害，社会和公共造成损害，国家不损害
第三级：社会和公共严重损害，国家造成损害
第四级：社会和公共特别严重损害，国家严重损害
第五级：国家特别严重损害

15、检测未经授权的信息处理活动

记录并分析系统错误日志、用户和管理员操作日志
启用时钟同步

16、如果一个系统进行了充分的预防控制措施，则安装监测控制设备是可选的，可以实现深度防御

17、信息安全保障

工作目标：全面提高信息安全防护能力，保护龚总利益，维护国家安全
主要原则：
立足国情、以我为主、坚持技术与管理并重
正确处理安全和发展的关系，以安全保发展，在发展中求安全
统筹规划、突出重点、强化基础工作
要素：技术、工程、管理、人员
安全特征：完整、保密、可用性

19、《信息安全技术信息安全评估规范》：是一种较全面的风险评估

20、信息安全风险评估要素：应针对构成信息系统的资产抽样评估

21、信息安全策略是宏观的原则性要求，不包括具体的架构、参数和实施手段

22、信息安全风险评估应以自评估为主，贯穿全过程
检查评估

23、国内有关部门在申报信息安全国家标准计划项目时，必须由中国通信标准化协会CCSA提出工作意见，协调统一后由该组织申报

24、风险计算原理
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))

R：安全风险计算函数
A：资产
T：威胁
V：脆弱性
L：威胁利用资产脆弱性导致安全事件的可能性
F：安全事件发生后造成的损失
Ia：资产a的价值
Va：资产a的脆弱性

25、应急响应（6）：准备、检测、遏制、根除、恢复、跟踪
工信部牵头成立

26、信息安全工程监理模型：

监理咨询支撑要素
监理咨询阶段过程
控制和管理手段

监理从项目招标到项目的验收结束，在投资计划阶段没有监理

27、数据备份

差分备份：上次全备之后的更新数据
增量备份：任何上一次备份之后的更新数据
全备份

备份时间：全备份>差分备份>增量备份
恢复时间：全备份<差分备份<增量备份

28、我国灾备能力：6级
灾备

29、文档：

项目管理文档：项目计划书、质量控制计划、评审报告
开发类文档：需求说明书、设计说明书、测试方案、测试用例

30、DAS和NAS

NAS 网络附加存储优点：数据集中、节省空间，缺点：占用网络带宽、存储中心存在单点故障
DAS 直接附加存储优点：数据分散、风险分散，缺点：存储空间利用率低，不利于统一管理
SAN 基于NAS，基于高速网络、多备份中心

31、PDCA
休哈特发明，戴明宣传改善

规划建立
实施运行
监视和评审
保持和改进

32、信息安全测评：风险评估、保障测评、等级保护测评

33、密码协议：应该限制和框住执行步骤，有些复杂的步骤必须明确处理方式

34、VPN：虚拟专用网络（Virtual Private Network）
L2F、PPTP、L2TP均为二层隧道协议

35、软件测试

模糊测试：模拟异常输入
测试对象是入口与边界点，记录和检测异常运行的情况
极限测试：
贯穿：集成测试和验收测试
白盒测试：对程序逻辑结构进行测试
结构测试属于白盒测试
黑盒测试：只提供输入，观察输出
功能测试属于黑盒测试
Web应用软件表示层测试
主要集中在客户端，（1）排版结构的测试（2）链接结构的测试（3）客户端程序的测试（4）浏览器兼容性测试

36、软件安全三根支柱：应用风险管理、软件安全接触点、安全知识

37、WPA是按照802.11i标准草案制定的，WPA2是按照802.11i正式标准制定的

38、误用入侵检测（特征检测）：获取行为数据和一直入侵攻击行为特征相比较，若匹配则认为有攻击发生

39、回滚：利用日志文件中故障发生前数据的循环，将数据恢复到故障发生前的完整状态

40、SMTP和POP3 基于HTTP协议或C/S客户端实现邮件远程管理

41、信息安全管理体系ISMS
实施主体：用户的管理者进行选择
英国

42、霍尔三维模型
是一种系统的思想，无法实现严格的对应

43、数字证书 X.509标准

44、可信计算机系统评估准则TCSEC
D满足最小保护
C1满足自主安全保护最低要求
B1满足强制保护最低要求
A1满足验证保护最低要求

45、RFC系列标准建设——Internet工程任务组发布

46、CC（信息技术安全性评估准则）

7级
信息技术产品或系统的规划、设计、研发、测试、EAL级别评估

47、发展

BS7799-1 ——> ISO27002
BS7799-2 ——> ISO27001
TCSEC ——> ITSEC
ITSEC——> CC

-BS7799——>BS7799.1——>ISO17799——>ISO27002

48、《电子信息系统机房设计规范》
散热为下送风、上回风，侧送风，侧回风

49、防火墙访问控制策略无病毒类型

50、统一威胁管理UTM

51、Windows安全

Windows采用SID安全标识符来表示用户对文件或文件夹的权限
Windows服务的运行不需要用户的交互登录
WinXPSP开始引入安全中心
Windows文件系统中，NTFS支持文件加密,NTFS

52、公钥密码
AES密钥长度：128、192、256
公钥密码的应用：数字签名、非安全信道的密钥交换、身份认证（无消息认证码）

53、COBIT（信息和相关技术的控制目标）
框架、流程描述、管理目标、管理指南、成熟度模型

54、P2DR更强调控制和对抗，强调系统安全的动态性，并以安全监测、漏洞检测和自适应填充“安全间隙”为循环提高网络安全

55、软件开发
需求分析、概要设计、详细设计、代码编写、软件测试、软件交付

56、管理层

管理层应该表现对信息安全政策、程序和控制措施的支持，并以身作则。
-管理职责要确保雇员和承包方人员都了解信息安全角色和职责，并遵守相应的条款和条件。
组织要建立信息安全意识计划，并定期组织信息安全教育和培训。
组织成立正式的纪律处理过程，确保正确和公平地对待被怀疑安全违规的雇员。
纪律处理过程要规定分级的响应

57、软件的可维护性：相互促进的：可理解性+可测试性

58、软件开发方法