NISP二级题库总结
Posted 呆呆想摆烂
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了NISP二级题库总结相关的知识,希望对你有一定的参考价值。
- AAA分别为 认证Authentication 授权Authorization 计费Accounting的简称 radius是最常见的AAA协议
- TACACS+是思科公司开发认证加授权
- TACACS+是AAA权限控制系统,不属于VPN
- Kerberos三个步骤:1.身份认证后获得票据许可票据 2.获得服务许可票据 3.获取服务
- 令牌是基于实体所有的鉴别方式
- 在技术条件允许情况下,可以实现IDS和FW的联动
- IPS在串联的情况下,会影响网络性能
- 定性风险分析和定量风险分析应该同时进行
- SABSA舍伍德模型六层模型,从安全角度定义了业务需求
- ISMS中的实施内部审核 是监视和评审阶段的工作内容
- 数据库遵循最小化原则,数据库粒度越小 安全级别越高 粒度代表数据库的数据单位中保存数据的细化或综合程度的级别
- Information Assurance Technical Framework IATFA是由美国发布的 信息安全保证技术框架由美国国家安全局发布 一般由英文翻译过来的大多数都是美国人的
- BLP模型,Biba模型属于强制访问控制模型 ACL为访问控制列表windows和linux操作系统基本都是使用ACL ACL在每个文件下面都会附着一个客户权限表
- PKI(公钥基础设施)也称公开密钥基础设施
- 信息系统安全保障评估概念和关系
- 客观证据 安全保障工作 信息系统 生命周期 动态持续
- CMM的思想来源于已有多年历史的项目管理,质量管理,自产生以来几经修改,成为具有广泛影响的模型
- 等保是一项强制性基础制度
- IPsec工作在网络层 PP2P和L2TP工作在数据链路层.SSL工作在传输层
- PKI由:CA RA 证书库和终端实体等部分组成
- A类私有地址10.0.0.0到10.255.255.255 B类私有地址172.16.0.0到172.31.255.255 C类私有地址192.168.0.0到192.168.255.255
- DDOS分布式拒绝服务攻击主要攻击目标所提供的服务,以破坏可用性为主要目的
- 计算机取证的过程可以分为准备 保护 提取 分析 提交五个步骤
- 信息安全需求报告不应依据该公众服务信息系统的功能设计方案为主要内容来修改,而应该依据现有安全现状,痛点以及客户需求来写
- 访问控制的业务要求,用户访问管理不属于符合性常规控制
- 对目录的访问模式只有读和写
- 根据《信息安全等级保护管理方法》《关于开展信息安全等级保护测评体系建设试点工作的通知》关于推动信息安全等级保护等级测评建设和开展测评体系工作的同志(公信安[2010]303号)等文件,由公安部等级保护评估中心对等级保护测评机构管理,接受测评机构的申请,考核和定期能力验证 对不具备能力的测评机构则取消授权
- ACL在增加客体时,增加相关的访问控制权限较为简单
- Linux中id为0是root用户
- 定量分析计算 总价值暴露系数年度发生率
- 应急响应分为6个阶段 准备->检测->遏制->根除->恢复->跟踪总结
- 容灾备份等级分为6级 分别问三种备份方式 完全备份,差量备份,增量备份
- 与PDR模型相比,P2DR模型则更强调控制和对抗.即强调系统安全的动态性,并且以安全检测,漏洞监测和自适应填充"安全间隙"为循环来提高网络安全
- 《保密法》中可单位自行参考国家要求确定和顶级应由相应部门认定
- 系统工程的基本特点,是需要把研究对象结果为多个组织部分总体放在一起研究
- 等级保护一级系统只需要自主定级备案,不需要测评
- 数据库中 数据粒度越细则授权策略越灵活便利
- TCP/IP有4层
- 《国家信息化领导小组关于加强信息安全保障工作的意见》明确了我国信息安全保障工作的方针和总体要求以及加强信息安全保障工作的主要原则
- 信息安全风险管理过程->背景建立->风险评估->风险处理->批准监督
- RBAC0是基于模型,RBAC1,RBAC2和RBAC3都包含RBAC0
- RBAC1早RBAC0的基础上,加入了角色等级的概念
- RBAC2在RBAC0的基础上,加入了约束的概念
- RBAC3结合RBAC1和RBAC2,同时具备角色等级和约束
- 一个通用的框架对其进行解构的描述,然后再基于此框架讨论信息系统的安全保护问题,在IATF中,将信息系统的信息安全保障技术层面分为以下四个焦点领域:本地的计算机环境;区域边界及本地计算环境的外缘;网络和基础设施;支持性基础设施,在深度防御技术方案中推荐多点防御原则,分层防御原则
- SABSA的发展过程为战略与规划;设计;逻辑设计;实施;管理与衡量
- 信息安全管理体系也采用了PDCA模型,该模型可应用于所有的ISMS过程,ISMS把相关方的信息安全要求和期望作为输入,并通过必要的行动和过程产生曼珠这些要求和期望行动和过程
- 备份方式由快到慢分别是完全备份,差量备份,增量备份
- 风险评估文档是指在整个风险评估过程中产生的评估文档和评估结果文档,其中,明确评估的目的,职责,过程,相关的文档要求,以及实施本次评估所需要的各种资产,威胁,脆弱性识别和判断依据的文档是《风险评估程序》
- 质量管理体系是组织内部建立的,为实现质量目标所必需的系统性质量管理模式,是组织的一项战略决策,它将资源与过程结合
- ISO27001信息安全管理体系包含了14个控制域没有业务安全性审计
- 保护-检测-响应(Protection-Detection-Response,PDR)模型是信息安全保障工作中常用的模型
- RTO恢复时间目标可以为0 RPO恢复点目标不可以为0 PRO和RTO两个指标从不用的角度来反映灾难备份和恢复的能力,RTO和RPO都为0是最完美的解决方案
- 在IPsec VPN中 MD5是单向函数提供数据完整性验证,AES是数据加密算法提供数据机密性保护,AH提供身份验证和数据完整性保护 部署IPsec VPN中 需要考虑IP地址的规划 尽量在分支节点使用可以聚合IP地址段,来减少IPsec安全关联(Security Authentication SA)资源的消耗
- 在应急演练的过程中 不应该存在后期运维,更新现有应急预案
- SSE-CMMM强调的是关联性而不是独立性
- SSE-CMM定义了一个风险过程 包括四部分 评估影响 评估威胁 评估脆弱性 评估安全风险 SSE-CMM定义了6个能力级别分别是不可重复级,初始级,可重复级,已定义级,已管理级,优先级
- 对信息安全事件的分级参考下列三个要素:信息系统的重要程度,系统损失和社会影响,依据信息系统的重要程度对信息系统进行划分,系统划分不正确的有关键信息系统,信息系统重要程度划分为特别重要信息系统,重要信息系统,和一般信息系统三级
- 不使用ARP协议可能会造成网络无法正常运行
- CC是对已有安全准则的总结和兼容,有通用的表达方式,ITSEC首先提出功能和保证分离,CC继承了这一概念,所以无法体现先进性
- RPO是指在业务恢复后的数据与最新数据之间的差异程度,这个程度使用时间作为衡量指标如RPO=0,说明数据是实时备份,不会出现数据丢失的情况
- WI-FI联盟在802.11i标准草案的基础上制定了WPA标准;2004年,IEEE发布了802.11i正是标准(也称为WPA2),在加密算法上采用了基于AES的CCMP算法
- BSI认为软件安全有3根支柱:风险管理,软件安全接触点和安全知识,其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程
- 背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析
- 纵深防御原则:软件应该设置多重安全措施(户名口令认证方,基于数字证书的身份认证,用户口令使用SMA-1算法加密后存放在后台数据库中)并充分利用操作系统提供的安全防护机制,形成纵深防御体系,以降低攻击者成功攻击的几率和危机
- SSE-CMM的工程不是独立工程,而是与其他工程并行且相互作用,包括企业工程,软件工程,硬件工程,通信工程等
- 通过实施(Generic Practices,GP)又称之为"公告特征"的逻辑域组成,通用实施可应用到每一个过程区,但第一个公告特征"执行基本实施"例外
- 单点登录是指用户在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不再需要其他的身份认证过程,实质是安全凭证在多个应用系统之间的传递或共享
- BIS为Gary McGraw提出的软件安全应用三根支柱分别是 应用风险管理,软件安全接触点和安全知识,并且强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程
- 木马病毒为有害程序事件,系统数据丢失并使得OA系统在随后两天内无法访问属于较大事件
- IPsec协议中通过封装安全载荷协议加密需要保护的载荷数据,为这些数据提供机密性和完整性保护能力
- 国家审计署定义:信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性,合法性,效益性和安全性进行检查监督的活动
- CC安全评估标准的全称为《信息技术安全通用评估准则》
- 支持最小特权原则和职责分离原则,只有基于角色的访问控制满足
- 2016年12月27日,经中央网络安全和信息化领导小组批准,国际互联网信息办公室发布《国家网络安全安全战略》(以下简称:"战略")全文共计4部分,6000余字,其中主要对我国当前面临的网络安全7大机遇思想,阐明了中国关于网络安全发展和安全的重大立场和主张,明确了战略方针和主要任务,切实维护国家在网络安全空间的主权,安全,发展利益,是指指导国家网络安全工作的纲领性文件《战略》指出,网络空间机遇和网络安全,最大限度利用网络空间发展潜力,更好惠及13亿多人民,造福全人类总体目标《战略》要求,要以坚定维护世界和平,贯穿落实创新,协调,绿色,开放,共享的发展理念,增强风险意识和危机意识,统筹国内国际两个大局,统筹发展安全两件大事,积极防御,有效应对,推进网络安全和平,安全,开放,合作,有序,维护国家主权,安全,发展利益,实现建设网络强国战略目标
- VPN是指的是用户通过公用网络建立的临时的,安全的连接
- VPN和公共网络是逻辑上的隔离关系,可以进行信息认证,身份认证,数据加密
- 《2006-2020年国家信息化发展战略》全文分为6个部分共计15000余字,对国内外的信息化发展做了宏观分析对我国信息化发展指导思想和战略目标标准要阐述,对我国基本形式发展的重点
- 用户的真正标识是 SID,系统根据 SID 来判断是否是同一个用户,新建用户名虽然相同,但是 SID 不同,所以系统认为不是同一个用户
- 风险评估的过程包括 风险评估准备 风险要素识别 风险分析 监控审查四个阶段 在信息安全风险管理过程中,风险评估建立阶段的输出,形成本阶段的最终输出《风险评估报告》此文档为风险处理活动提供输入,风险结果判定;沟通咨询
- 信息安全风险三要素:资产,威胁,脆弱性
- 软件危机是指落后的软件生产方式无法满足迅速增长的计算机软件需求,从而导致软件开发与维护过程中出现一系列严重问题的现象,为了克服软件危机,人们提出了用工程学的原理来设计软件,这就是软件工程诞生的基础
- 识别威胁是发现组件或进程存在的威胁,威胁是一种不希望发生、对资产目标有害的事件。从本质上看,威胁是潜在事件,它可能是恶意的,也可能不是恶意的。因此,威胁并不等于漏洞
- 在ISMS中信息安全方针应该由组织管理层颁发而不是信息中心或者信息技术责任部门
- 在ISMS中实施内部审核是监视和评审ISMS阶段工作内容
- 计算机系统安全保护等级划分思想提出(1994-1999):等级保护工作试点(2002-2006)等级保护相关政策文件发布(2004-2009)等级保护相关标准发布(2008-2014)网络安全法明确我国实行网络安全等级保护制度(2016)
- TCP/IP协议模型自上而下分别是:应用层,传输层,互联网络层,网络接口层
- 分组密码是在加密过程中将明文进行分组后在进行加密,序列密码又叫流密码对每一个字节进行加密
- 在项目中,结束日期并非由领导者随机确定,项目上习惯把验收报告日期视为结束日期,另有约定的以约定为准
- 应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及实在事件发生后所采取的措施
- 信息安全管理体系的建立应基于一次风险评估彻底解决所有安全问题的思想是错误的
- 定性风险分析是利用已识别风险的发生概率,风险发生对项目目标的相应影响,以及其他因素
- 国际标准是由国际标准化组织通过并公布的标准,同样是强制性标准,当国家标准和国际标准的条款发生冲突,应以国家标准条款为准
- 商业秘密和国家秘密是两个性质
- IATF深度防御战略要求在人,技术和操作3个核心要素来共同实现并不是要求在网络体系结构的各个可能位置实现所有信息安全保障机制
- 主体和客体是相对的概念,主体在一定情况下可以成为客体,客体也可以成为主体
- 通信安全,合规性不属于ISMS
- 《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号明确了我国信息安全保障工作的方针和总体要求,加强信息安全保障工作的主要原则,需要重点加强的信息安全保障工作,27号文的重大意义是,他标志着我国信息安全保障工作有了展开和推进,我国最近十余年的信息安全保障工作都是围绕此政策性文件来信息安全保障建设的
- PDCA(plan-do-check-act或者plan-do-check-adjust)循环的4个阶段,策划-实施-检查-改进
- 软件测试开始与软件设计阶段,在软件开发完成以后还有回归测试,验收测试,验收测试一般按照软件开发预期(软件开发需求或者合同)来进行;软件测试的目的是检验它是否满足规定的需求或是弄清预期结果与实际结果之间的差异
- 准备阶段
- 《系统调研报告》
- 对被评估系统的调查了解情况,涉及网络结构,系统情况,业务应用等内容
- 《风险评估方案》
- 根据调研情况及评估目的,确定评估的目标,范围,对象,工作计划,主要技术路线,应急预案等等
- 《系统调研报告》
- 识别阶段
- 《资产价值分析报告》
- 资产调查情况,分析资产价值,以及重要资产说明
- 《安全技术脆弱性分析报告》
- 物力,网络,主机,应用,数据等方面的脆弱性说明
- 《安全管理脆弱性分析报告》
- 安全组织,安全策略,安全制度,人员安全,系统运维等方面的脆弱性说明
- 《已有安全措施分析报告》
- 分析组织或信息系统以部署安全措施的有效性,包括技术和管理两方面的安全管控说明
- 《资产价值分析报告》
- 风险评估
- 《风险评估报告》
- 对资产,威胁,脆弱性等评估数据进行关联计算,包括技术和管理两方面的安全管控说明
- 《风险评估报告》
- 风险处理
- 《安全整改建议》
- 对评估中发现的安全问题给予有针对的风险处置建议
- 《安全整改建议》
- 常见的根除措施有消除或阻断攻击源,找到消除系统的脆弱性/漏洞,修改安全策略,加强防范措施,格式化被感染恶意程序的介质等
- 实施信息安全风险评估过程不属于管理者责任
- 软件设计缺陷,其次对应的设计有缺陷导致某一后果,用户权限分级机制和最小特权原则导致系统管理员不能查看系统审计信息,这个在安全,保密等领域是专门这样设计的;BCD都是由软件缺陷引起的
- 关键信息基础设施是指面向公众提供网络信息服务或支持能源,通信,金融,交通,公用事业等重要行业的信息系统或工业控制系统,显然载人航天不属于,等级保护定级有1-5级,定级标准和要求和关键信息基础设施保护有很大的不同
- 机房与设施安全属于物理环境安全范畴,不属于应用安全范畴
- CC标准是我国信息安全评估的国家标准
- 信息是流动的,在信息的流动过程中必须能够识别所有可能途径的载体与环境;面对于信息本身,信息的敏感性的定义是对信息保护的基础和依据,信息在不同的环境存储和表现的形式也决定了风险管理的效果,不同的载体下,可能体现出信息的永久性,临时性和信息的交互场景,这使得风险管理变得复杂和不可预测
- 风险评估不能通过建立模型的方法采集评估信息 基于知识的风险评估方法和基于模型的风险评估方法是并列关系
- 恶意代码检查包括特征码扫描和行为检测,行为检测是放病毒软件通过对软件的行为检测,将软件行为与恶意代码行为模型进行匹配.以判断是否为恶意代码
- 信息安全风险管理是基于风险的信息安全管理,也就是,始终以风险为主线进行信息安全的管理,应根据实际的信息系统的不同来理解信息安全风险管理的侧重点,即信息系统选择的范围和对象重点应有所不同
- 标准化是动态的,会随着科技的进步和社会的发展与时俱进
- 取证要求不能本地恢复,恢复出的日志数据会覆盖现有日志内容,应避免对原始盘进行人恶化写入操作,防止破坏证据
- TTL是Time To Live的缩写,该字段指定IP包被路由器丢弃之前允许通过的最大网段数据,Windows操作系统默认128.Linux默认64,每经过一个路由器减1
- 通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制 是静态分析的内容
- 系统的安全,动态的安全,无边界的安全,非传统的安全属于信息安全特征
- 单点登录技术实质是安全凭证在多个应用系统之间的传递或共享
- DAC不能低于特洛伊木马
- 弃用不安全函数属于实现阶段的工作
- 优秀的源代码审计工具具有安全性 多平台性 可扩民性 知识性 集成性
- 最终用户是否同意部署已开发的系统,同意部署是在开发完成以后
- 白盒测试是在程序员十分了解程序的前提下,对程序的逻辑结构进行的测试,而黑盒测试则将程序视为一个黑盒子,仅仅是测试人员提供输入数据,观察输出数据,并不了解程序是如何运行的,结构测试属于白盒测试,关注的是如何选择合适的程序或子程序路径来执行有效检查,功能测试则属于黑盒测试,对功能的测试通常通过提供输入数据,检查实际输出的结果很少考虑程序的内部结构
- 信息安全是通过实施一组合适的控制措施而达到的,包括策略,过程,规程,组织结构以及软件和硬件功能,在必要时建立,实施,监视,评审和改进包含这些控制措施的信息安全管理过程,以确保满足该组织的特定安全和业务目标,这个过程宜与其他业务管理过程联合进行
- BLP模型是一种强制访问控制模型已用保证机密性,向上写,向下读,自主访问控制模型使用一个访问控制矩阵表示
- Kerberos一是获得票据许可证,二是获得服务许可票据,三是获得服务
- 亚瑟谢尔比乌斯Enigma密码机属于古典密码阶段,这一阶段的没密码专家常常直觉和技巧来设计密码,而不是凭借推理和证明
- GB/T XXXX.X-200X为国标推荐标准
- GB XXX-2000X为国标强制标准
- DBXXX/T XXX-2000X为地方标准
- GB/Z XXX-XXX-200X为国标指导标准
- 自主访问控制模型,强制访问控制模型和基于角色的访问控制模型没有横向对比,进行安全性比较是错误的,只是三种模型应用场景不一样
- 《国家信息化领导小组关于加强信息安全保障工作的意见》是我国政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则
- 伪随机数发生器是序列密码算法加密过程中遇到的问题,而序列密码算法属于对称密码算法的一种
- DSS是一种数字签名标准,严格来说不算加密算法;Diffie-Hellman并不是加密算法,而是一种密钥建立的算法,AES算法是一种对称密码算法,可以用于数据加密
- kerckhof中,在一个密码系统中,密码算法是可以公开的.密钥应保证安全 何克霍夫原则:密码系统的安全性依赖于密钥而不以来于算法
- 在windows XP中事件查看器查看日志文件,可看到应用程序日志,安全性日志,系统日志和IE日志
- 信息发送者使用已方的私钥进行数字签名
- 散列函数就是哈希值 MAC:消息验证,完整性校验,抗重放攻击,输出不固定的;MAC需要密钥,不是非对称
- 哈希:消息验证,完整新校验,输出是固定的,不需要密钥,不是非对称
- 安全领域一般选择经过校验的.成熟,安全的技术方案,一般不选最新技术
- Windows的ACL机制中,文件和文件夹的权限是于主体进行关联的,即文件夹和文件的访问权限信息是写在数据库中 ACL是控制访问权限
- 我国信息安全保障首先要遵循国家标准而不是国际标准
- 自评估是由本级单位发起,检查评估由被评估组织的上级管理机关或业务主管机关发起
- 在信息安全管理中片面的是信息安全建设中,技术是基础,管理是拔高,即有效的管理依赖于良好的技术基础 其实应该是技管并重
- 《信息安全安全等级保护工作的实施意见》是属于部委发布的政策性文件,不属于法律文件
- 设计缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据是属于软件设计缺陷
- 通过对称密码算法进行安全消息传输的必要条件是:通讯双方通过某种方式,安全且秘密地共享密钥
- windows系统下使用 netshare\\127.0.0.1\\c/delete 命令,删除系统中的 c/delete命令,删除系统中的c/delete 命令,删除系统中的 c/delete命令,删除系统中的c等管理共享不是有效进行共享安全的防护措施
- windows系统采用SID(安全标识符)来标识用户对文件或文件夹的权限,administrator不可以改名
- 代替密码,指每一个字符被替换密文中的另一个字符,接收者做密文做反向替换就可以恢复明文
- 明文根据密钥被不同的密文字母代替
- AES密钥长度由128bit 192bit 256bit三种
- windows服务的运行不需要用户的交互登陆
- 密文E(K2,M)保障保密性,消息验证码MAC为C(K1,E(K2,M))保障完整性
- SAM文件只有system可读和可写的
- SYN Flood属于拒绝服务攻击的一种,并未体现出来分布式
- 公钥密码包括数字签名 非安全信道的密钥交换 身份认证
- 消息认证码就是确认完整新并进行认证的计算Message Authentication Code是一种确认完整性并进行认证的计算.取三个首字母简称MAC
- Hash算法的碰撞是指两个不同的消息,得到相同的消息摘要
- ACL管理或增加客体比较方便
- 在入侵检测(IDS)的运行中,最常见的问题是误报检测
- 所有的变更都是必须文字化,并被批准系统变更控制中最重要的内容
- IPSec不是一个单独的协议,它还包括AH(网络认证协议)ESP(载荷封装协议)IKE(密钥管理协议)IPSec安全协议给出了封装安全载荷和鉴别头两种通信保护机制 对于IPv4 IPsec是可选的,对于IPv6,IPsec是强制实施的
- ISO9001是质量认证不是安全管理认证,应该通过ISO27001认证
- 防止网络主线路出现故障所以应做线路备份
- 防火墙一般部署在内网和外网边界
- 对windows操作系统访问控制实现方法的理解错误的是ACL只能由管理员进行管理
- 模糊测试本质上属于黑盒测试
- 若一个组织声称自己的ISMS符合ISO/IEC 27001或GB/T22080标准要求,其信息安全控制措施通常需要在人力资源安全方面实施常规控制,人力资源安全划分3个控制阶段包括任用之前 任用中 任用终止或变化
- 信息系统打补丁时需要做好备份和相应的应急措施
- 权限分离原则是某电子商务网站架构设计时,为了避免数据误操作,在管理员进行订单删除时,需要由审核员进行审核后该删除操作才能生效,这种设计是遵循了权限分离原则
- kerberos由MIT于1988年开发,用于分布式环境中,完成服务器与用户之间的相互认证
- 针对某个用户指明 自主访问控制
- 内外网隔离方面不能物理隔离,但是能逻辑隔离
- Windows系统的账号存储管理机制(Security Accounts Manager)中存储在注册表中的账号数据有只有System账户才能访问,具有较高的安全性
- BLP模型用于保证系统信息的机密性,规则是向下读,向上写
- 影响风险等级的要素包括:威胁,资产,脆弱性
- 系统工程不是一个对所有系统都具有普遍意义的科学方法错误,系统工程是一种对所有系统都具有普遍意义的科学方法
- 2005年,RFC4系列的标准建议是由Internet工程任务组(Internet Engineering Task Force,IETF)
- 评估保证等级分7个级别
- 动态口令方案中通常需要使用密码算法产生较长的口令序列,攻击者如果连续地手机到足够多的历史口令,则有可能预测出下次要使用的口令是错误的 动态口令方案要求其口令不能被收集和预测
- 统一威胁管理常常简称为UTM
- 消息验证码不能防止抵赖,而是提供消息鉴别,完整性校验和抗重放攻击
- 灾备工作原则包括统筹规划,资源共享,平战结合
- 安全事件分为:有害程序事件,网络攻击事件,信息破坏事件,信息内容安全事件,设备设施故障,容灾性事件和其他信息安全事件
- 漏洞扫描属于风险要素的脆弱性要素识别,风险要素包括资产,威胁,脆弱性,安全措施
- 交换机和路由器的管理包括了版本更新,也包括了补丁管理
- 组织第一次建立业务连续性计划时,最为重要的活动是制定业务连续性策略
- 白盒测试的优点是其确定程序准确性成某程序的特定逻辑路径的状态
- 立足国情,以我为主,坚持以技术和管理并重
- 建立国家信息安全研究中心不是我国信息安全保障工作的主要内容
- 信息安全管理是人员,技术,操作三者紧密结合的系统工程,是一个动态过程
- 风险的原理是威胁利用脆弱性,造成对资产的风险
- 信息安全需求来源于内部驱动 安全架构和安全厂商发布的病毒,漏洞预警是外部参考要素,不属于信息安全需求的主要来源
- 信息系统生命周期实施阶不是按照领导要求进行了部署和配置
- 想相关组织和领导人宣贯风险评估准则属于风险评估阶段,不属于题干中的安全需求阶段
- 自评估和检查评估相互结合和互为补充
- 信息安全风险评估工具不包括环境评估工具
- 自评估可以委托社会风险评估服务机构来实施
- 信息安全风险评估应该以自评估为主,自评估和检查评估互相结合,互为补充
- 《风险评估方案》属于风险评估准备阶段的结果
- 风险要素包括资产,威胁,脆弱性,安全措施
- 信息安全管理体系运行记录需要保护和控制
- 系统工程是方法论,不是技术实现
- 业务系统运行异常错误处理合理就是只显示简单的提示信息,或不显示任何信息 符合最小化反馈原则
- 评估事件的影响范围,增强审计功能,备份完整系统是安全事件发生以后,不是应急响应的准备
- 挑战/应答是在用户登录时,认证服务器(Authentication Server,AS)产生一个随机数发送给用户,用户用某种单向算法将自己的口令,种子密钥和随机数混合计算后作为一次性口令,并发送给AS,AS用同样的方法计算后,验证比较两个口令即可验证用户身份
- SSH具备数据加密保护的功能
- 病毒类型不会出现在防火墙的访问控制策略中
- 网站问题是设计人员不了解安全设计关键要素,设计了不安全的功能,导致网站攻击面增大,产生此问题
- 在风险评估GB/T 20984-2007中安全事件造成损失大小分为5级
- 重视信息安全应急处理工作,确定由工业和信息化部牵头成立"国家网络应急中心"推动了应急处理和信息通报技术合作工作进展
- 安全措施既包括技术层面,也包括管理层面
- 信息安全的标准可以和国际标准相同,也可以不相同,包括同等采用方式和等效采用方式等
- 可信计算平台出现后不会取代传统的安全防护体系和方法
- 《信息系统安全保障评估框架》第一部分:简介和一般模型(GB/T 20274.1-2006)后,绘制了一张简化信息系统安全保障模型图包括保障要素(管理,工程,技术,人员)
- Teardrop属于碎片攻击,不属于流量型拒绝服务攻击
- TCP协议高可靠,相比UDP协议机制过于复杂,传输效率要比UDP低
- 协调运营商对域名解析服务器进行加固是DNS防护的主要手段
- 源代码审核是对源代码检查分析,检测并报告源代码中可能导致安全弱点的薄弱之处
- 持续改进信息安全管理过程属于处置(ACT)阶段
- 信息系统的业务特性从机构的业务内容和业务流程
- 安全产品选择是为了进行风险处理
- 基于经验的风险评估工具不存在
- 等级保护三级系统一年测评一次,四级系统每半年测评一次
- 提高个人隐私保护意识不属于(2003年)我国加强信息安全保障工作的总体要求
- 根据《关于加强国家电子政务工程建设项目信息安全风险评估工作通知》的规定,可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告
- ISMS文档体系 规划和建设---->实施和运行--->监视和评审--->保持和改进
- 软件的安全测试根据实际情况进行测试措施的选择和组合
- 权限分离是将应该较大的权限分离为多个子权限组合操作来实现
- 安全登录会涉及到账号密码为实体所知,智能卡和短信是实体所有 指纹属于实体特征
- ISSE信息系统安全工程中 通过测试证明系统的功能和性能可以满足安全要求是验收阶段
- 明确业务对信息安全的需求,识别来自法律法规的安全需求,论证安全要求是否完整为IT项目的立项阶段
- 信息安全工程作为信息安全保障的重要组成部门,主要为了解决信息系统生命周期的过程安全问题
- BP属于安全工程的最小单元,其不限定特定的方法工具,不同业务背景中可以使用不同的方法,是根据广泛的现有资料,实施和专家意见综合得出的,代表着信息安全工程领域的最佳实践;并且是过程区域(Process Areas,PA)的强制项
- 一级文件中一般为安全方针,策略文件,二级文件中一般为管理规范制度,三级文件一般为操作手册和流程,四级文件一般表单和管理记录
- ISMS管理体系包括PDCA(Plan-Do-Check-Act)四个阶段
- 软件开发生命周期(SDL)设计阶段是发现和改正问题的最佳阶段
- SSE-CMM是面向工程过程质量控制的一套方法
- BP是基于最佳的工程过程实践,BP是经过测试的,BP和其他的BP是不重复的,一项BP适用于组织的生产周期而非仅用于工程的某一特定阶段
- 判断风险控制的标准是风险是否控制在接受范围内
- 电子签名不可以与认证服务提供者共有
- 公钥密码地址:公钥加密私钥解密,私钥加密,公钥解密,公私钥成对出现
- 安全策略是宏观的原则性要求,不包括具体的架构,参数和实施手段
- 一般由管理层提供各种信息安全工作必须的资源
- 自2004年1月其,国内各有关部门在申报信息安全国家标准计划项目时,必须经由全国信息安全标准化技术委员会(TC260)协议一致后由该组织申报
- 在风险计算原理中la资产A的价值 Va资产A的脆弱性 R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性 L表示威胁利资产脆弱性导致安全事件的可能性 F表示安全事件发生后造成的损失
- 快速格式化删除存储介质中的保密文件不能防止信息泄露,快速格式化只是删除了文件索引,并没有真正的删除文件,可以通过工具进行恢复
- PPDR安全模型是指入侵检测的一种模型,PPDR安全模型强调网络保护不再是简单的被动保护,而是保护,检测,响应和恢复的有机结合,因此,PDRR模型不仅包含了安全防护的概念,而且还包含了主动防御和主动防御的概念
- 在PDRR安全模型中检测显得非常重要的一步,检测的目的是检测网络攻击,检测本地网络中的非法信息流,检测本地网络中的安全漏洞,有效防范网络攻击,通信部份检测技术包括入侵技术和网络安全扫描技术
- 背景建立,风险评估,风险处理,批准监督,监控审查和沟通咨询
- 测试系统应该使用不低于生产系统的访问控制措施,在测试完成后立即清除测试系统中的所有敏感数据,部署审计措施,记录生产数据的拷贝和使用,这三类为测试系统必须要执行的,为测试系统中的数据部署完善的备份与恢复措施是用于测试的包含个人隐私和其他敏感信息的实际生产系统中的数据不具备备份和恢复的价值
- 监理模型组成包括咨询支撑要素,监理咨询阶段过程,控制和管理手段
- 需求说明书,设计说明书,测试方案,测试用例等属于开发类文档
- 建立从项目招标开始到项目的验收结束,在投资计划阶段没有监理
- 按照灾难恢复流程,首先检查事件报告,建立异地备份中心的核心思想是减少相同区域性风险
- BCM的分析过程为1.标识关键的业务过程 2.标识关键的IT资源3.表示中断影响和允许的中断时间4.开发恢复优先级
- GB/T 20274信息系统保障评估框架从管理,技术,工程和总体方面进行评估 信息系统整体安全保障目的,管理安全保障目的,技术安全保障目的和工程安全保障目的
- 冲正是为系统认为可能交易失败时采取的补救方法,即一笔交易在终端已经置为成功标志,但是发送到主机的账务交易包没有得到响应,即终端交易超时,所以不确定该笔交易是否在主机端也成功完成,为了确保用户礼仪,终端重新向主机发送请求,请求取消该笔交易的流水,如果主机端已经交易成功,则回滚交易,否则不处理,然后将处理结果返回给终端
- 信息安全技术方案:从内而外,自上而下,从端到边界的防护能力
- 私钥是公钥密码体制中用户持有密钥,相对于公钥而言,则为非对称密码体制,非对称密码体制又称为公钥密码体制
- 主体访问客体的权限叫CL 客体访问主体叫做ACL
- RBAC模型能实现多级安全中的访问控制
- 网络层和应用层可以提供保密性,身份鉴别,完整性,抗抵赖,访问控制服务
- 网络中单独部署syslog服务器,将web服务器的日志自动发送并存储到该syslog日志服务器中可以有效应对攻击者获得系统权限对日志进行修改策略
- 漏洞是“人为故意或非故意引入的弱点”漏洞可能是无意的有些甚至就是设计缺陷引起的
- ARM系统不属于WEB安全领域
- 源代码审核有利于发现软件编码中存在的问题,相关的审核工具既有商业开源工具
- IATF不需要代码审核
- R-抵赖是无法通过过滤,流控和隐私保护实现的,R-抵赖的实现方式包括数字签名,安全审计,第三方认证
- 哈希函数强抗碰撞性
- 电子签名的基本特性不包括机密性
- CNCI的一个防线针对漏洞进行风险控制,第二个防线针对威胁进行风险控制,总体的目标是降低网络风险
- Windows NT提供的分布式安全环境又被称为域(Domain)
- ISO27002(Information technology-Security techniques0Codefpratice for inforeation security managcacnt)是重要的信息安全管理标准之一
- BS 7799->BS 7799.1->ISO 17799->ISO 27002
以上是关于NISP二级题库总结的主要内容,如果未能解决你的问题,请参考以下文章