目次
本文总结了在CISP备考过程中,以题目为引导,总结的高频考点。
1. 信息安全保障
我国加强信息安全保障工作的主要原则:
- 立足国情,以我为主,坚持技术与管理并重
- 正确处理安全和发展的关系,以安全保发展,在发展中求安全
- 统筹规划,突出重点,强化基础工作
信息安全保障工作目标:全面提高信息安全防护能力,保护公众利益,维护国家安全
2. 网络安全监管
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办2003年27号文件)规定了信息安全工作的原则,例如立足国情、以我为主、坚持技管并重等。
网络安全等级保护相关政策
- GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》
- GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》
- 《网络安全法》第二十一条明确指出“国家实行网络安全等级保护制度”
3. 信息安全管理
信息安全风险管理
信息安全管理体系建设
PDCA过程
信息安全管理体系(Information Security Management System - ISMS)文档化
- 一级文件:方针、政策
- 二级文件:制度、流程、规范
- 三级文件:使用手册、操作指南、作业指导书
- 四级文件:日志、记录、检查表、模板、表单
信息安全管理体系(Information Security Management System - ISMS)控制措施
控制类型:
- 预防性控制
- 检测性控制
- 纠正性控制
4. 业务连续性
灾难备份与恢复
BCP(Business Continuity Planning):业务连续性计划
DRP(Disaster Recovery Planning):灾难恢复计划-当灾难发生且BCP无法防止业务中断时,DRP开始生效。
容灾恢复相关技术
1、存储技术
| 存储技术 | 优点 | 劣势 |
|---|---|---|
| 直接附加存储DAS/服务器附加存储SAS | 存取性能高、实施简单 | 占用主机性能;当连接的主机发生故障时,存储的数据无法读取;扩展性差、资源利用率低、可管理型差 |
| 存储区域网络SAN | 拓展性强、性能高 | 成本高、实施复杂 |
| 网络附加存储NAS | 易于安装、部署和管理;不占用服务器资源;可跨平台使用 | 性能相对较差 |
2、备份技术
| 备份方式 | 定义 | 优势 | 劣势 |
|---|---|---|---|
| 全部备份 | 对整个系统的所有文件进行完全备份,包括所有系统和数据 | 当前系统备份中包含所有的文件,只需要一份存储介质就可以进行恢复工作 | 如果文件没有经常变更,备份容易造成相当大的冗余,全部备份相当耗时 |
| 增量备份 | 每次备份的数据相当于上一次备份后增加和修改过的数据 | 数据存储所需的空间很小,耗时短 | 文件存储在多个介质中,难以找到所需要的戒指 |
| 差分备份 | 每次备份的数据相当于上一次全部备份之后增加和修改过的数据 | 数据恢复时只需最后一次的标准备份和差分备份,耗时比标准被分段 | 如果备份存储在单一介质上,恢复时间长;如果每天都有大量数据变化,备份工作非常费时。 |
3、冗余磁盘阵列
4、备用场地
灾难恢复管理过程
灾难恢复的4个阶段:
- 灾难恢复需求分析:风险分析、业务影响分析、确定灾难恢复目标(关键业务功能及回复的优先级、RTO、RPO的范围)
- 灾难恢复策略制定:7个要素:数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、专业技术支持能力、运行维护管理能力、灾难恢复预案。6个灾难恢复等级(根据《重要信息系统灾难恢复指南》)
- 灾难恢复策略实现:
(1)选择和建设灾难备份中心:应遵循一般的选址原则,根据风险评估的结果,避免灾难备份中心与生产中心同时遭受同类风险。根据规避在南丰县影响范围的不同,灾难备份中心分为同城和异地两种类型。
(2)实现灾备系统技术方案
(3)实现专业技术支持能力
(4)实现运行维护管理能力 - 灾难恢复预案制定和管理
备份中心的综合风险小于主中心。
- 异地灾备中心(数百公里)一般距离生产中心300公里以上(注:银行业标准);
- 同城一般采用光纤链路,距离(链路距离)不超过100公里,最好在60公里以内(数十公里);
数据备份按数据类型划分可以划分为系统数据备份和用户数据备份
5. 安全工程与运营
良好的工程安全要求将策略、机制、保证、动机4个方面集合在一起。
系统安全工程能力成熟度模型 SSE-CMM
SSE-CMM体系结构被设计用于在整个安全工程过程中判断安全工程组织的成熟度。SSE-CMM模型是一个二维模型,分别为“域维”和“能力维”。
域维:
- 3个过程类:安全工程类、组织管理类、项目管理类
- 22个过程区域(Process Area,PA):所有安全工程定义的过程活动或实施活动
- 129个基本实施(Base Practice,BP):域维中的最小单位。如果选择执行所属的PA,则必须执行它
能力维:
- 6个能力级别(0-5):由公共特征组成的过程能力水平的级别划分
- 公共特征(Common Feature,CF):由GP组成的逻辑域,是测量单位
- 通用实践(Generic Practice,GP):管理、度量和制度方面的活动,可用于决定所有活动的能力水平
系统安全工程-能力成熟度模型(SSE-CMM):BP,域维的最小单位,共129个;PA,基本的实施构成,共22个;GP,管理、度量和制度方面的活动,决定能力水平;CF,由GP组成的逻辑域
信息安全工程监理模型
监理模型组成包括监理咨询支撑要素、监理咨询阶段过程、控制和管理手段。
6. 其他
2008年1月2日,美国发布第54号总统令,建立国家网络安全综合计划(Comprehensive National Cyber security Initiative,CNCI)。CNCI计划建立三道防线:第一道防线,减少漏洞和隐患,预防入侵;第二道防线,全面应对各类威胁;第三道防线,强化未来安全环境.从以上内容,我们可以看出以下哪种分析是正确的:CNCI是以风险为核心,三道防线首要的任务是降低其网络所面临的风险
- PDR模型与P2DR模型?
PDR模型:保护-检测-响应(Protection-Detection-Response)
PPDR模型:策略-保护-检测-响应(Policy-Protection-Detection-Response)
- 信息保障技术框架(IATF-Information Assurance Technical Framework)
核心思想:“深度防御”或“纵深防御”
三个核心要素:人、技术、操作
四个焦点领域:保护网络和基础设施、保护区域边界、保护计算环境、支持性基础设施
- 以下哪一项不是工作在网络第二层的隧道协议
- 访问控制
自主访问控制(Discretionary Access Control,DAC)
强制访问控制(Mandatory Access Control,MAC)
基于角色的访问控制模型( Role-based Access Control, RBAC)
- 下面哪一项不是虚拟专用网络(VPN)协议标准
- 网络认证协议Kerberos
- 互联网协议安全(Internet Protocol Security,IPSec)协议传输模式与隧道模式
- PGP(Pretty Good Privacy)软件
- 相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势
- 地址解析协议(ARP)欺骗
- 软件保障成熟度模型(Software Assurance Maturity Mode,SAMM)
- SSE-CMM系统安全工程能力成熟度模型
1215
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
