CISP培訓(xùn)課程全套知識精講

CISP培訓(xùn)課程知識總結(jié)CISP課程體系V32CISP課程關(guān)聯(lián)信息安全保障信息安全工程信息安全法規(guī)政策與標(biāo)準(zhǔn)安全管理體系安全控制措施安全風(fēng)險管理應(yīng)急和災(zāi)備密碼學(xué)應(yīng)用密碼學(xué)基礎(chǔ)訪問控制網(wǎng)絡(luò)安全操作系統(tǒng)安全應(yīng)用安全安全攻擊與防御惡意代碼與安全漏洞軟件安全開發(fā)信息安全管理信息安全技術(shù)CISP課程關(guān)聯(lián)信息安全保障信息安全工程信息安全法規(guī)政策與標(biāo)準(zhǔn)安全管理體系安全控制措施安全風(fēng)險管理應(yīng)急和災(zāi)備密碼學(xué)應(yīng)用密碼學(xué)基礎(chǔ)訪問控制網(wǎng)絡(luò)安全操作系統(tǒng)安全應(yīng)用安全安全攻擊與防御惡意代碼與安全漏洞軟件安全開發(fā)信息安全管理信息安全技術(shù)課程知識關(guān)鍵點信息安全保障信息安全保障概念信息技術(shù)及信息安全發(fā)展信息安全問題的產(chǎn)生信息安全保障體系PPDR模型及IATF信息安全工作概括我國信息安全保障工作概況信息安全保障需求信息安全保障目標(biāo)信息安全測評持續(xù)改進(jìn)5網(wǎng)絡(luò)化社會網(wǎng)絡(luò)計算機(jī)通信（電報\電話）信息安全發(fā)展階段6通信傳輸安全計算機(jī)安全信息系統(tǒng)安全信息安全保障網(wǎng)絡(luò)空間安全

信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風(fēng)險分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險到可接受的程度，從而保障系統(tǒng)實現(xiàn)組織機(jī)構(gòu)的使命。信息安全保障定義7信息安全保障的目標(biāo)是支持業(yè)務(wù)！信息系統(tǒng)安全保障模型8國家標(biāo)準(zhǔn)：《GB/T20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架第一部分：簡介和一般模型》基于時間策略、防護(hù)、檢測及響應(yīng)Et＝(Dt＋Rt)－PtP2DR模型9技術(shù)操作深度防御戰(zhàn)略人

人通過技術(shù)進(jìn)行操作計算環(huán)境區(qū)域邊界網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施密鑰管理檢測響應(yīng)成功的組織功能信息安全保障（IA）IATF框架1010．下列對于信息安全保障深度防御模型的說法錯誤的是：A．信息安全外部環(huán)境：信息安全保障是組織機(jī)構(gòu)安全、國家安全的一個重要組成部分，因此對信息安全的討論必須放在國家政策、法律法規(guī)和標(biāo)準(zhǔn)的外部環(huán)境制約下。B．信息安全管理和工程：信息安全保障需要在整個組織機(jī)構(gòu)內(nèi)建立和完善信息安全管理體系，將信息安全管理綜合至信息系統(tǒng)的整個生命周期，在這個過程中，我們需要采用信息系統(tǒng)工程的方法來建設(shè)信息系統(tǒng)。C．信息安全人才體系：在組織機(jī)構(gòu)中應(yīng)建立完善的安全意識，培訓(xùn)體系也是信息安全保障的重要組成部分。D．信息安全技術(shù)方案：“從外而內(nèi)、自下而上、形成邊界到端的防護(hù)能力”11信息系統(tǒng)安全保障工作建設(shè)步驟12確定需求制定方案開展測評持續(xù)改進(jìn)制定信息安全保障需求的作用制定信息系統(tǒng)安全保障需求的方法和原則信息安全保障解決方案確定安全保障解決方案的原則實施信息安全保障解決方案的原則信息安全測評信息安全測評的重要性國內(nèi)外信息安全測評現(xiàn)狀產(chǎn)品、人員、服務(wù)商、系統(tǒng)測評的方法和流程持續(xù)提高信息系統(tǒng)安全保障能力。信息系統(tǒng)安全監(jiān)護(hù)和維護(hù)CISP課程關(guān)聯(lián)信息安全保障信息安全工程信息安全法規(guī)政策與標(biāo)準(zhǔn)安全管理體系安全控制措施安全風(fēng)險管理應(yīng)急和災(zāi)備密碼學(xué)應(yīng)用密碼學(xué)基礎(chǔ)訪問控制網(wǎng)絡(luò)安全操作系統(tǒng)安全應(yīng)用安全安全攻擊與防御惡意代碼與安全漏洞軟件安全開發(fā)信息安全管理信息安全技術(shù)課程知識關(guān)鍵點信息安全工程安全工程基礎(chǔ)系統(tǒng)工程、項目管理、質(zhì)量管理成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM體系、原理（域維、能力維）安全工程類能力成熟度安全工程生命周期信息系統(tǒng)監(jiān)理14能力成熟度模型的概念能力成熟度模型（CMM-CapabilityMaturityModel）由質(zhì)量管理工作發(fā)展的“過程改進(jìn)”過程能力的提高，過程變得可預(yù)測和可度量，控制或消除造成質(zhì)量低劣和生產(chǎn)率不高現(xiàn)代統(tǒng)計過程控制理論表明通過強(qiáng)調(diào)生產(chǎn)過程的高質(zhì)量和在過程中組織實施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品；所有成功企業(yè)的共同特點是都具有一組嚴(yán)格定義、管理完善、可測可控從而高度有效的業(yè)務(wù)過程；CMM模型抽取了這樣一組好的工程實踐并定義了過程的“能力”；15SSE-CMM體系結(jié)構(gòu)能力維（CapabilityDimension）域維（DomainDimension）公共特征2.4跟蹤執(zhí)行PA05評估脆弱性兩維模型：“域維”由所有定義的安全工程過程區(qū)構(gòu)成?！澳芰S”代表組織實施這一過程的能力。16SSE-CMM能力成熟度評價通過設(shè)置這兩個相互依賴的維，SSE-CMM在各個能力級別上覆蓋了整個安全活動范圍。給每個PA賦予一個能力級別評分，所得到的兩維圖形便形象地反映一個工程組織整體上的系統(tǒng)安全工程能力成熟度，也間接的反映其工作結(jié)果的質(zhì)量及其安全上的可信度。543210PA01PA02PA03PA04PA05能力級別安全過程區(qū)域17SSE-CMM的主要概念過程區(qū)域（PA，ProcessArea）過程的一種單位是由一些基本實施（BP，BasePractice）組成的，這些BP共同實施以達(dá)到該PA的目標(biāo)。這些BP是強(qiáng)制性的，只有全部成功執(zhí)行，才能滿足PA規(guī)定的目標(biāo)；SSE-CMM包含三類過程區(qū)域：工程、項目和組織三類；18域維-22個PA分成三類系統(tǒng)安全工程涉及到三類過程區(qū)域PA工程過程區(qū)域（EngineeringPA）組織過程區(qū)域（OrganizationPA）項目過程區(qū)域（ProjectPA）工程過程區(qū)域11個PA描述了系統(tǒng)安全工程中實施的與安全直接相關(guān)的活動組織和項目過程區(qū)域（共11個）并不直接同系統(tǒng)安全相關(guān)，但常與11個工程過程區(qū)域一起用來度量系統(tǒng)安全隊伍的過程能力成熟度19計劃執(zhí)行規(guī)范化執(zhí)行跟蹤執(zhí)行驗證執(zhí)行定義標(biāo)準(zhǔn)過程協(xié)調(diào)安全實施執(zhí)行已定義的過程建立可測量的質(zhì)量目標(biāo)客觀地管理過程的執(zhí)行1非正規(guī)執(zhí)行2計劃與跟蹤3充分定義4量化控制5連續(xù)改進(jìn)執(zhí)行基本實施改進(jìn)組織能力改進(jìn)過程的有效性能力級別公共特征未實施0能力級別20ISSE安全工程過程發(fā)掘信息保護(hù)需求確定系統(tǒng)安全要求設(shè)計系統(tǒng)安全體系結(jié)構(gòu)開展詳細(xì)安全設(shè)計評估信息保護(hù)有效性實施系統(tǒng)安全21信息安全工程監(jiān)理模型信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素44．從系統(tǒng)工程的角度來處理信息安全問題，以下說法錯誤的是：A．系統(tǒng)安全工程旨在了解企業(yè)存在的安全風(fēng)險，建立一組平衡的安全需求，融合各種工程學(xué)科的努力將此安全需求轉(zhuǎn)換為貫穿系統(tǒng)整個生存期的工程實施指南。B．系統(tǒng)安全工程需對安全機(jī)制的正確性和有效性做出詮釋，證明安全系統(tǒng)的信任度能夠達(dá)到企業(yè)的要求，或系統(tǒng)遺留的安全薄弱性在可容許范圍之內(nèi)。C．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法，是一種使用面向開發(fā)的方法D．系統(tǒng)安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基礎(chǔ)上，通過對安全工作過程進(jìn)行管理的途徑，將系統(tǒng)安全工程轉(zhuǎn)變?yōu)橐粋€完好定義的、成熟的、可測量的先進(jìn)學(xué)科。23CISP課程關(guān)聯(lián)信息安全保障信息安全工程信息安全法規(guī)政策與標(biāo)準(zhǔn)安全管理體系安全控制措施安全風(fēng)險管理應(yīng)急和災(zāi)備密碼學(xué)應(yīng)用密碼學(xué)基礎(chǔ)訪問控制網(wǎng)絡(luò)安全操作系統(tǒng)安全應(yīng)用安全安全攻擊與防御惡意代碼與安全漏洞軟件安全開發(fā)信息安全管理信息安全技術(shù)課程知識關(guān)鍵點安全管理體系信息安全管理概念信息安全管理概念信息安全管理體系概念信息安全管理體系過程方法與PDCA循環(huán)建立、運行、評審及改進(jìn)ISMS信息安全控制措施25信息安全管理組織中為了完成信息安全目標(biāo)，針對信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運用恰當(dāng)?shù)姆椒?，而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動信息安全管理工作的對象26·信息輸入·立法·摘要變化？關(guān)鍵活動測量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營過程

規(guī)則

人員目標(biāo)組織信息安全管理的基本概念信息安全管理是基于風(fēng)險的管理信息安全管理體系建立需要安全需求安全需求來源于風(fēng)險評估風(fēng)險處置的的最佳集合就是信息安全管理體系中的措施集合信息安全管理價值及實施成功的關(guān)鍵彌補(bǔ)技術(shù)之外的安全不足；技管并重是我國信息安全保障基本原則成功實施信息安全管理關(guān)鍵要素理解組織文化、高層支持等27信息安全管理體系信息安全管理體系的概念信息安全管理體系特點信息安全管理體系作用信息安全管理體系的理念28技術(shù)因素人的因素管理因素2700127002270002700627005270032700427000信息安全管理體系原則和術(shù)語27001信息安全管理體系要求27002信息安全管理實踐準(zhǔn)則27003信息安全管理實施指南27004信息安全管理的度量指標(biāo)和衡量27005信息安全風(fēng)險管理指南27006信息和通信技術(shù)災(zāi)難恢復(fù)服務(wù)指南27007XXX信息安全管理體系循環(huán)框架29《GB/T22080-2008信息安全技術(shù)信息安全管理體系要》.信息安全管理體系是PDCA動態(tài)持續(xù)改進(jìn)的一個循環(huán)體。規(guī)劃和建立(plan)實施和運行(do)監(jiān)視和評審check保持和改進(jìn)action相關(guān)方信息安全要求和期望相關(guān)方受控的信息安全信息安全管理體系規(guī)劃和建立P1-定義ISMS范圍P2-定義ISMS方針P3-確定風(fēng)險評估方法P4-分析和評估信息安全風(fēng)險P5-識別和評價風(fēng)險處理的可選措施P6-為處理風(fēng)險選擇控制目標(biāo)和控制措施P7-準(zhǔn)備詳細(xì)的適用性聲明SoA30信息安全管理體系實施和運行D1-開發(fā)風(fēng)險處置計劃D2-實施風(fēng)險處置計劃D3-實施安全控制措施D4-實施安全教育培訓(xùn)D5-管理ISMS的運行D6-管理ISMS的資源D7-執(zhí)行檢測安全事件程序D8-執(zhí)行響應(yīng)安全事故程序31信息安全管理體系監(jiān)視和評審C1-執(zhí)行ISMS監(jiān)視程序C2-執(zhí)行ISMS評價程序C3-定期執(zhí)行ISMS評審C4-測量控制措施的有效性C5-驗證安全要求是否被滿足C6-按計劃進(jìn)行風(fēng)險評估C7-評審可接受殘余風(fēng)險C8-按計劃進(jìn)行內(nèi)部審核C9-按計劃進(jìn)行管理評審C10-更新信息安全計劃C11-記錄對ISMS有影響的行動和事件32信息安全管理體系保持和改進(jìn)A1-實施已識別的ISMS改進(jìn)措施A2-執(zhí)行糾正性和預(yù)防性措施A3-通知相關(guān)人員ISMS的變更A4-從安全經(jīng)驗和教訓(xùn)中學(xué)習(xí)33信息安全管理控制措施3411個知識域39個目標(biāo)133個控制措施安全策略信息安全組織人力資源安全物理環(huán)境安全通信操作管理資產(chǎn)管理系統(tǒng)獲取、開發(fā)及維護(hù)訪問控制信息安全事件管理業(yè)務(wù)連續(xù)性管理符合性209.信息安全管理體系（informationSecurltyManagementSystem.簡稱ISMS）的實施和運行ISMS階段，是ISMS過程模型的實施階段，下面給出了一些備選的活動，選項（）描述了在此階段組織應(yīng)進(jìn)行的活動。①制定風(fēng)險處理計劃②實施風(fēng)險處理計劃③開發(fā)有效性測量程序④實施培訓(xùn)和意識教育計劃⑤管理ISMS的運行⑥管理ISMS的資源⑦執(zhí)行檢測事態(tài)和響應(yīng)事件的程序⑧實施內(nèi)部審核⑨實施風(fēng)險再評估A.①②③④⑤⑥B.①②③④⑤⑥⑦C.①②③④⑤⑥⑦⑧D.①②③④⑤⑥⑦⑧⑨35CISP課程關(guān)聯(lián)信息安全保障信息安全工程信息安全法規(guī)政策與標(biāo)準(zhǔn)安全管理體系安全控制措施安全風(fēng)險管理應(yīng)急和災(zāi)備密碼學(xué)應(yīng)用密碼學(xué)基礎(chǔ)訪問控制網(wǎng)絡(luò)安全操作系統(tǒng)安全應(yīng)用安全安全攻擊與防御惡意代碼與安全漏洞軟件安全開發(fā)信息安全管理信息安全技術(shù)課程知識關(guān)鍵點信息安全風(fēng)險管理風(fēng)險管理概念風(fēng)險管理基本概念風(fēng)險管理主要工作內(nèi)容系統(tǒng)生命周期中的風(fēng)險管理信息安全風(fēng)險評估信息安全風(fēng)險評估流程與方法信息安全風(fēng)險評估實踐37什么是信息安全風(fēng)險管理定義一：GB/Z24364《信息安全風(fēng)險管理指南》信息安全風(fēng)險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二：在組織機(jī)構(gòu)內(nèi)部識別、優(yōu)化、管理風(fēng)險，使風(fēng)險降低到可接受水平的過程。風(fēng)險評估+風(fēng)險處理=風(fēng)險管理38為什么要做風(fēng)險管理成本與效益平衡好的風(fēng)險管理過程可以讓機(jī)構(gòu)以最具有成本效益的方式運行，并且使已知的風(fēng)險維持在可接受的水平工作條理化好的風(fēng)險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級，更好地管理風(fēng)險。而不是將保貴的資源用于解決所有可能的風(fēng)險PDCA過程的要求風(fēng)險管理是一個持續(xù)的PDCA管理過程39風(fēng)險管理是信息安全保障工作有效工作方式信息安全風(fēng)險術(shù)語40信息安全風(fēng)險管理工作內(nèi)容建立背景風(fēng)險評估風(fēng)險處理批準(zhǔn)監(jiān)督監(jiān)控審查溝通咨詢GB/Z24364《信息安全風(fēng)險管理指南》四個階段，兩個貫穿。--41建立背景確定風(fēng)險管理的對象和范圍，確立實施風(fēng)險管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析風(fēng)險管理準(zhǔn)備：確定對象、組建團(tuán)隊、制定計劃、獲得支持信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素信息安全分析：分析安全要求、分析安全環(huán)境4245．小王是某大學(xué)計算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找工作，期望謀求一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險管理中的“背景建立”的基本概念與認(rèn)識，小王的主要觀點包括：(1)背景建立的目的是為了明確信息安全風(fēng)險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風(fēng)驗管理項目的規(guī)劃和準(zhǔn)備；(2)背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達(dá)到事半功倍的效果；(3)背景建立包括：風(fēng)險管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析；(4)背景建立的階段性成果包括：風(fēng)險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告。請問小王的所述論點中錯誤的是哪項：A．第一個觀點，背景建立的目的只是為了明確信息安全風(fēng)險管理的范圍和對象B．第二個觀點，背景建立的依據(jù)是國家、地區(qū)域行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)C.第三個觀點，背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個不同名字&D．第四個觀點，背景建立的階段性成果中不包括有風(fēng)險管理計劃書43風(fēng)險評估信息安全風(fēng)險管理要依靠風(fēng)險評估的結(jié)果來確定隨后的風(fēng)險處理和批準(zhǔn)監(jiān)督活動。風(fēng)險分析準(zhǔn)備：制定風(fēng)險評估方案、選擇評估方法風(fēng)險要素識別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施風(fēng)險分析：判斷風(fēng)險發(fā)生的可能性和影響的程度風(fēng)險結(jié)果判定：綜合分析結(jié)果判定風(fēng)險等級44風(fēng)險處理風(fēng)險處理是為了將風(fēng)險始終控制在可接受的范圍內(nèi)現(xiàn)存風(fēng)險判斷：判斷信息系統(tǒng)中哪些風(fēng)險可以接受，哪些不可以處理目標(biāo)確認(rèn)：不可接受的風(fēng)險需要控制到怎樣的程度處理措施選擇：選擇風(fēng)險處理方式，確定風(fēng)險控制措施減低風(fēng)險、轉(zhuǎn)移風(fēng)險、規(guī)避風(fēng)險、接受風(fēng)險處理措施實施：制定具體安全方案，部署控制措施45批準(zhǔn)監(jiān)督批準(zhǔn)：是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險評估和風(fēng)險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險管理活動的決定監(jiān)督：是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風(fēng)險46信息系統(tǒng)風(fēng)險評估風(fēng)險評估的政策要求風(fēng)險評估的流程47風(fēng)險分析GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》給出信息安全風(fēng)險分析思路

48風(fēng)險值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，Va))。其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)價值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。方法優(yōu)點缺點定性簡易的計算方式不必精確算出資產(chǎn)價值不需得到量化的威脅發(fā)生率非技術(shù)或非安全背景的員工也能輕易參與流程和報告形式比較有彈性本質(zhì)上是非常主觀的對關(guān)鍵資產(chǎn)的財務(wù)價值評估參考性較低缺乏對風(fēng)險降低的成本分析

定量1.結(jié)果建立在獨立客觀的程序或量化指標(biāo)上大部分的工作集中在制定資產(chǎn)價值和減緩可能風(fēng)險主要目的是做成本效益的審核風(fēng)險計算方法復(fù)雜需要自動化工具及相當(dāng)?shù)幕A(chǔ)知識投入大個人難以執(zhí)行定量分析與定性分析49定量分析方法步驟1-評估資產(chǎn)：根據(jù)資產(chǎn)價值（AV）清單,計算資產(chǎn)總價值及資產(chǎn)損失對財務(wù)的直接和間接影響步驟2-確定單一預(yù)期損失SLESLE是指發(fā)生一次風(fēng)險引起的收入損失總額。將資產(chǎn)價值與暴露系數(shù)相乘(EF)計算出SLE步驟3-確定年發(fā)生率AROARO是一年中風(fēng)險發(fā)生的次數(shù)步驟4-確定年預(yù)期損失ALE=SLE*ARO步驟5-確定控制成本步驟6-安全投資收益ROSI(實施控制前的ALE）–（實施控制后的ALE）–（年控制成本）=ROSI50151.小王在學(xué)習(xí)定量風(fēng)險評估方法后，決定試著為單位機(jī)房計算火災(zāi)的風(fēng)險大小，假設(shè)單位機(jī)房的總價值為200萬元人民幣，暴露系數(shù)(ExposureFactor，EF)是25％，年度發(fā)生率(AnnualizedRateofOccurrence，ARO)為0.1，那么小王計算的年度預(yù)期損失(AnnualizedLossExpectancy，ALE)應(yīng)該是()。A．5萬元人民幣B．50萬元人民幣C．2．5萬元人民幣D．25萬元人民幣51150.某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識到信息安全風(fēng)險評估分為自評估和檢查評估兩種形式。該部門將有關(guān)檢查評估的特點和要求整理成如下四條報告給單位領(lǐng)導(dǎo)，其中描述錯誤的是()。A．檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實施完整的風(fēng)險評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估B．檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點是針對存在的問題進(jìn)行檢查和評測C．檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實施D．檢查評估是通過行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點5259．《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB／T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險評估描述不正確的是：A.規(guī)劃階段風(fēng)險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B.設(shè)計階段的風(fēng)險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求C.實施階段風(fēng)險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進(jìn)行風(fēng)險識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗證D.運行維護(hù)階段風(fēng)險評估的目的是了解和控制運行過程中的安全風(fēng)險，是一種全面的風(fēng)險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面53CISP課程關(guān)聯(lián)信息安全保障信息安全工程信息安全法規(guī)政策與標(biāo)準(zhǔn)安全管理體系安全控制措施安全風(fēng)險管理應(yīng)急和災(zāi)備密碼學(xué)應(yīng)用密碼學(xué)基礎(chǔ)訪問控制網(wǎng)絡(luò)安全操作系統(tǒng)安全應(yīng)用安全安全攻擊與防御惡意代碼與安全漏洞軟件安全開發(fā)信息安全管理信息安全技術(shù)信息安全管理控制措施5511個知識域39個目標(biāo)133個控制措施安全策略信息安全組織人力資源安全物理環(huán)境安全通信操作管理資產(chǎn)管理系統(tǒng)獲取、開發(fā)及維護(hù)訪問控制信息安全事件管理業(yè)務(wù)連續(xù)性管理符合性安全策略目標(biāo)目標(biāo)：信息安全策略——為信息安全提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持評審信息安全策略安全策略應(yīng)該做到：對信息安全加以定義陳述管理層的意圖分派責(zé)任約定信息安全管理的范圍對特定的原則、標(biāo)準(zhǔn)和遵守要求進(jìn)行說明對報告可疑安全事件的過程進(jìn)行說明定義用以維護(hù)策略的復(fù)查過程56安全組織機(jī)構(gòu)目標(biāo)目標(biāo)：信息安全基礎(chǔ)設(shè)施——在組織內(nèi)部管理信息安全外部組織——保持組織的被外部組織訪問、處理、溝通或管理的信息及信息處理設(shè)備的安全包含的內(nèi)容：與第三方簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求建立管理委員會，定義安全管理的角色和責(zé)任對軟硬件的采購建立授權(quán)過程外包合同中的安全需求包括內(nèi)部組織和外部伙伴57人力資源安全目標(biāo)目標(biāo)：雇傭前——確保員工、合同訪和第三方用戶了解他們的責(zé)任并適合于他們所考慮的角色，減少盜竊、濫用或設(shè)施誤用的風(fēng)險。雇傭中——確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責(zé)任和義務(wù)，并在他們的日常工作中支持組織的信息安全方針，減少人為錯誤的風(fēng)險。解聘和變更——確保員工、合同方和第三方用戶離開組織或變更雇傭關(guān)系時以一種有序的方式進(jìn)行。包含的內(nèi)容：故意或者無意的人為活動可能給數(shù)據(jù)和系統(tǒng)造成風(fēng)險在正式的工作描述中建立安全責(zé)任，員工入職審查58資產(chǎn)管理目標(biāo)目標(biāo)：資產(chǎn)責(zé)任——實現(xiàn)并保持組織資產(chǎn)的適當(dāng)保護(hù)信息分類——確保對信息資產(chǎn)的保護(hù)達(dá)到恰當(dāng)?shù)乃桨膬?nèi)容：組織可以根據(jù)業(yè)務(wù)運作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識別信息資產(chǎn)。按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單。所有的信息資產(chǎn)都應(yīng)該具有指定的屬主并且可以被追溯責(zé)任。信息應(yīng)該被分類，以標(biāo)明其需求、優(yōu)先級和保護(hù)程度。根據(jù)組織采用的分類方案，為信息標(biāo)注和處理定義一套合適的程序。59物理和環(huán)境安全目標(biāo)目標(biāo)：安全區(qū)域——防止非授權(quán)訪問、破壞和干擾業(yè)務(wù)運行的前提條件及信息。設(shè)備安全——預(yù)防資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務(wù)活動的干擾。包含的內(nèi)容：應(yīng)該建立帶有物理入口控制的安全區(qū)域應(yīng)該配備物理保護(hù)的硬件設(shè)備應(yīng)該防止網(wǎng)絡(luò)電纜被塔線竊聽將設(shè)備搬離場所，或者準(zhǔn)備報廢時，應(yīng)考慮其安全60通信和操作管理目標(biāo)OperatingInstruction目標(biāo)：操作程序和責(zé)任——確保正確、安全的操作信息處理設(shè)施第三方服務(wù)交付管理——實施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。系統(tǒng)規(guī)劃與驗收——減少系統(tǒng)失效帶來的風(fēng)險。防范惡意代碼和移動代碼——保護(hù)軟件和信息的完整性。備份——保持信息和信息處理設(shè)施的完整性和可用性61通信和操作管理目標(biāo)目標(biāo)：網(wǎng)絡(luò)安全管理——確保對網(wǎng)絡(luò)中信息和支持性基礎(chǔ)設(shè)施的安全保護(hù)。介質(zhì)處理和安全——防止對資產(chǎn)的未授權(quán)泄漏、修改、移動或損壞，及對業(yè)務(wù)活動的干擾。信息和軟件的交換——應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。電子商務(wù)服務(wù)——確保電子商務(wù)的安全及他們的安全使用。監(jiān)督——檢測未經(jīng)授權(quán)的信息處理活動。62訪問控制目標(biāo)目標(biāo)：訪問控制的業(yè)務(wù)需求——控制對信息的訪問。用戶訪問管理——確保授權(quán)用戶的訪問，并預(yù)防信息系統(tǒng)的非授權(quán)訪問。用戶責(zé)任——預(yù)防未授權(quán)用戶的訪問，信息和信息處理設(shè)施的破壞或被盜。網(wǎng)絡(luò)訪問控制——防止對網(wǎng)絡(luò)服務(wù)未經(jīng)授權(quán)的訪問。操作系統(tǒng)訪問控制——防止對操作系統(tǒng)的未授權(quán)訪問。應(yīng)用訪問控制——防止對應(yīng)用系統(tǒng)中信息的未授權(quán)訪問。移動計算和遠(yuǎn)程工作——確保在使用移動計算和遠(yuǎn)程工作設(shè)施時信息的安全。包含的內(nèi)容：口令的正確使用對終端的物理訪問自動終止時間軟件監(jiān)視等6353．下面哪一項安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動的：A．設(shè)置網(wǎng)絡(luò)連接時限&B．記錄并分析系統(tǒng)錯誤日志C．記錄并分析用戶和管理員操作日志D．啟用時鐘同步64信息系統(tǒng)獲取安全信息系統(tǒng)購買流程需求分析市場招標(biāo)評標(biāo)選擇供應(yīng)商簽訂合同系統(tǒng)實施系統(tǒng)運維65信息系統(tǒng)獲取總結(jié)安全是信息系統(tǒng)需求的重要組成部分信息系統(tǒng)安全建設(shè)要符合國家法律法規(guī)，符合組織業(yè)務(wù)目標(biāo)，量力而行。信息系統(tǒng)即使是外購方式獲取，其產(chǎn)生的連帶安全責(zé)任仍然停留在組織內(nèi)部信息系統(tǒng)的安全性可以由專業(yè)的安全人員，組織的安全策略，以及嵌入到管理流程中一系列安全控制過程來保障配置管理，變更管理，補(bǔ)丁管理是系統(tǒng)維護(hù)階段的重要安全管理措施棄置系統(tǒng)中的殘余數(shù)據(jù)應(yīng)該被擦除或銷毀66符合性目標(biāo)目標(biāo)：與法律法規(guī)要求的符合性——避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求。符合安全方針、標(biāo)準(zhǔn)，技術(shù)符合性——確保系統(tǒng)符合組織安全方針和標(biāo)準(zhǔn)。信息系統(tǒng)審核的考慮因素——最大化信息系統(tǒng)審核的有效性，最小化來自/對信息系統(tǒng)審核的影響。包含的內(nèi)容：組織應(yīng)該確保遵守相關(guān)的法律法規(guī)和合同義務(wù)軟件版權(quán)，知識產(chǎn)權(quán)等67CISP課程關(guān)聯(lián)信息安全保障信息安全工程信息安全法規(guī)政策與標(biāo)準(zhǔn)安全管理體系安全控制措施安全風(fēng)險管理應(yīng)急和災(zāi)備密碼學(xué)應(yīng)用密碼學(xué)基礎(chǔ)訪問控制網(wǎng)絡(luò)安全操作系統(tǒng)安全應(yīng)用安全安全攻擊與防御惡意代碼與安全漏洞軟件安全開發(fā)信息安全管理信息安全技術(shù)安全事件管理與應(yīng)急響應(yīng)69安全事件應(yīng)急響應(yīng)應(yīng)急響應(yīng)計劃（EmergencyResponsePlan）在突發(fā)/重大信息安全事件后對包括計算機(jī)運行在內(nèi)的業(yè)務(wù)運行進(jìn)行維持或恢復(fù)的策略和規(guī)程。信息安全應(yīng)急響應(yīng)計劃的制定是一個周而復(fù)始、持續(xù)改進(jìn)的過程，包含以下幾個階段：（1）應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定；（2）編制應(yīng)急響應(yīng)計劃文檔；（3）應(yīng)急響應(yīng)計劃的測試、培訓(xùn)、演練和維護(hù)。我國信息安全事件分類方法70GB/Z20986-2007《信息安全事件分級分類指南》7個基本類別有害程序事件：病毒、蠕蟲、木馬等網(wǎng)絡(luò)攻擊事件：DOS、后門攻擊、掃描、釣魚等信息破壞事件：信息被篡改、假冒、竊取等信息內(nèi)容安全事件：危害國家安全、社會穩(wěn)定等設(shè)備設(shè)施故障：軟硬件自身故障和人為非技術(shù)破壞等災(zāi)害性事件：自然災(zāi)害、戰(zhàn)爭等其他信息安全事件：不能歸為以上6個類別的事件我國信息安全事件分級方法GB/Z2098671特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件，包括以下情況：

會使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失

產(chǎn)生特別重大的社會影響

重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件，包括以下情況：

會使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失產(chǎn)生重大的社會影響較大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件，包括以下情況：會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失，一般信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失產(chǎn)生較大的社會影響一般事件是指不滿足以上條件的信息安全事件，包括以下情況：

會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴(yán)重或嚴(yán)重以下級別的系統(tǒng)損失產(chǎn)生一般的社會影響特別重大事件重大事件較大事件一般事件1級2級3級4級應(yīng)急響應(yīng)六階段72第一階段：準(zhǔn)備——讓我們嚴(yán)陣以待第二階段：檢測——對情況綜合判斷第三階段：遏制——制止事態(tài)的擴(kuò)大第四階段：根除——徹底的補(bǔ)救措施第五階段：恢復(fù)——系統(tǒng)恢復(fù)常態(tài)第六階段：跟蹤總結(jié)——還會有第二次嗎55．以下對于信息安全事件理解錯誤的是：A．信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響的事件B．對信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分C．應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D.通過部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生&73計算機(jī)取證的步驟74準(zhǔn)備保護(hù)提取分析提交計算機(jī)取證定義計算機(jī)取證作用計算機(jī)取證原則合法原則充分授權(quán)原則優(yōu)先保護(hù)證據(jù)原則全程監(jiān)督原則災(zāi)難恢復(fù)相關(guān)概念什么是災(zāi)難備份與恢復(fù)災(zāi)難恢復(fù)規(guī)劃與災(zāi)難恢復(fù)預(yù)案業(yè)務(wù)連續(xù)性規(guī)劃與業(yè)務(wù)連續(xù)性管理RPO（恢復(fù)點目標(biāo)）/RTO（恢復(fù)時間目標(biāo)）75RPO－RecoveryPointObjective，恢復(fù)點目標(biāo)定義：災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時間點要求代表了當(dāng)災(zāi)難發(fā)生時允許丟失的數(shù)據(jù)量RTO－RecoveryTimeObjective，恢復(fù)時間目標(biāo)定義：災(zāi)難發(fā)生后，信息系統(tǒng)和業(yè)務(wù)功能從停頓到必須恢復(fù)的時間要求代表了企業(yè)能容忍的信息系統(tǒng)和業(yè)務(wù)功能恢復(fù)的時間恢復(fù)點目標(biāo)-RPO/恢復(fù)時間目標(biāo)-RTO秒分小時日周秒分小時日周恢復(fù)點恢復(fù)時間76災(zāi)難恢復(fù)規(guī)劃的過程階段業(yè)務(wù)影響分析制定恢復(fù)策略災(zāi)難恢復(fù)策略的實現(xiàn)災(zāi)難恢復(fù)預(yù)案的制定、落實和管理分析業(yè)務(wù)功能和相關(guān)資源配置評估中斷影響確定災(zāi)難恢復(fù)資源獲取方式確定災(zāi)難恢復(fù)等級的要素要求正式文檔化災(zāi)難備份中心的選擇和建設(shè)災(zāi)難備份系統(tǒng)技術(shù)方案的實現(xiàn)技術(shù)支持能力的實現(xiàn)運行維護(hù)能力的實現(xiàn)災(zāi)難恢復(fù)預(yù)案的制訂災(zāi)難恢復(fù)預(yù)案的教育、培訓(xùn)和演練災(zāi)難恢復(fù)預(yù)案的管理風(fēng)險分析標(biāo)識資產(chǎn)標(biāo)識威脅標(biāo)識脆弱性標(biāo)識現(xiàn)有控制定量/定性風(fēng)險分析災(zāi)難恢復(fù)需求分析災(zāi)難恢復(fù)策略制定災(zāi)難恢復(fù)預(yù)案制定和管理災(zāi)難恢復(fù)策略實現(xiàn)確定災(zāi)難恢復(fù)目標(biāo)關(guān)鍵業(yè)務(wù)功能及恢復(fù)的優(yōu)先級RTO/RPO的范圍77災(zāi)難恢復(fù)等級劃分國家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T20988）78備份類型全備份對整個系統(tǒng)的所有文件進(jìn)行完全備份

增量備份每次備份的數(shù)據(jù)只是上一次備份后增加和修改過的數(shù)據(jù)差分備份每次備份的數(shù)據(jù)是上一次全備份之后新增加和修改過的數(shù)據(jù)7975．以下關(guān)于災(zāi)難恢復(fù)和數(shù)據(jù)備份的理解，說法正確的是：A．增量備份是備份從上次完全備份后更新的全部數(shù)據(jù)文件&B．依據(jù)具備的災(zāi)難恢復(fù)資源程度的不同，災(zāi)難恢復(fù)能力分為7個等級C.數(shù)據(jù)備份按數(shù)據(jù)類型劃分可以劃分為系統(tǒng)數(shù)據(jù)備份和用戶數(shù)據(jù)備份D．如果系統(tǒng)在一段時間內(nèi)沒有出現(xiàn)問題，就可以不用再進(jìn)行容災(zāi)演練了80CISP課程關(guān)聯(lián)信息安全保障信息安全工程信息安全法規(guī)政策與標(biāo)準(zhǔn)安全管理體系基本管理措施安全風(fēng)險管理重要管理管理密碼學(xué)應(yīng)用密碼學(xué)基礎(chǔ)訪問控制網(wǎng)絡(luò)安全操作系統(tǒng)安全應(yīng)用安全安全攻擊與防御惡意代碼與安全漏洞軟件安全開發(fā)信息安全管理信息安全技術(shù)課程知識關(guān)鍵點信息安全法規(guī)政策與標(biāo)準(zhǔn)信息安全法規(guī)信息安全法制總體情況國家信息安全相關(guān)法規(guī)政策行業(yè)、地方信息安全法規(guī)資產(chǎn)管理信息安全政策國家信息安全相關(guān)政策信息安全行業(yè)、地方政策信息安全標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)概述信息安全評估標(biāo)準(zhǔn)82我國信息安全法律法規(guī)體系框架83法律行政法規(guī)地方性法規(guī)地方政府規(guī)章部門規(guī)章全國人大及其常委會國務(wù)院地方人大及常委會地方人民政府憲法、刑法（部分條款）國家安全法（部分條款）保守國家秘密法電子簽名法...計算機(jī)信息系統(tǒng)安全保護(hù)條例互聯(lián)網(wǎng)信息服務(wù)管理辦法商用密碼管理條例...公安部（安全專用產(chǎn)品等）原信產(chǎn)部（互聯(lián)網(wǎng)域名等）國新辦（互聯(lián)網(wǎng)新聞信息服務(wù)）保密局（保密等）...多級立法國務(wù)院各部委北京市信息化促進(jìn)條例、遼寧省計算機(jī)信息系統(tǒng)安全管理條例...北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定、上海市公共信息系統(tǒng)安全測評管理辦法

...《憲法》中的有關(guān)規(guī)定《憲法》第二章

公民的基本權(quán)利和義務(wù)

第40條公民的通信自由和通信秘密受法律的保護(hù)。除因國家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。84《刑法》中的有關(guān)規(guī)定（1）《刑法》第六章

妨礙社會管理秩序罪

第一節(jié)

擾亂公共秩序罪

第285、286、287條285條：非法侵入計算機(jī)信息系統(tǒng)罪；非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計算機(jī)信息系統(tǒng)罪；提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具罪。違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。違反國家規(guī)定，侵入前款規(guī)定以外的計算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機(jī)信息系統(tǒng)實施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。提供專門用于侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。85《刑法》中的有關(guān)規(guī)定（2）《刑法》第六章

妨礙社會管理秩序罪

第一節(jié)

擾亂公共秩序罪

第285、286、287條286條：破壞計算機(jī)信息系統(tǒng)罪。違反國家規(guī)定，對計算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計算機(jī)信息系統(tǒng)不能正常運行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。違反國家規(guī)定，對計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款的規(guī)定處罰。故意制作、傳播計算機(jī)病毒等破壞性程序，影響計算機(jī)系統(tǒng)正常運行，后果嚴(yán)重的，依照第一款的規(guī)定處罰。287條：利用計算機(jī)實施犯罪的提示性規(guī)定。利用計算機(jī)實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰。86《治安管理處罰法》中的有關(guān)規(guī)定《治安管理處罰法》第三章

違反治安管理的行為和處罰

第一節(jié)

擾亂公共秩序的行為和處罰

第29條有下列行為之一的，處五日以下拘留；情節(jié)較重的，處五日以上十日以下拘留：（一）違反國家規(guī)定，侵入計算機(jī)信息系統(tǒng)，造成危害的；（二）違反國家規(guī)定，對計算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計算機(jī)信息系統(tǒng)不能正常運行的；（三）違反國家規(guī)定，對計算機(jī)信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的；（四）故意制作、傳播計算機(jī)病毒等破壞性程序，影響計算機(jī)信息系統(tǒng)正常運行的?！吨伟补芾硖幜P法》其他規(guī)定（與非法信息傳等播相關(guān)）：第42、47、68條87《國家安全法》中的有關(guān)規(guī)定《國家安全法》第二章

國家安全機(jī)關(guān)在國家安全工作中的職權(quán)

第10、11條第10條國家安全機(jī)關(guān)因偵察危害國家安全行為的需要，根據(jù)國家有關(guān)規(guī)定，經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵察措施。第11條國家安全機(jī)關(guān)為維護(hù)國家安全的需要，可以查驗組織和個人的電子通信工具、器材等設(shè)備、設(shè)施。88《保守國家秘密法》（保密法1）演進(jìn)《保守國家秘密暫行條例》（1951年）《保守國家秘密法》（1989年）《保守國家秘密法》（2010年修訂，4月29日修訂，10月1日施行）主旨（總則）目的：保守國家秘密，維護(hù)國家安全和利益。國家秘密是關(guān)系國家安全和利益，依照法定程序確定，在一定時間內(nèi)只限一定范圍的人員知悉的事項。國家秘密受法律保護(hù)。一切國家機(jī)關(guān)、武裝力量、政黨、社會團(tuán)體、企業(yè)事業(yè)單位和公民都有保守國家秘密的義務(wù)。國家保密行政管理部門主管全國的保密工作。國家機(jī)關(guān)和涉及國家秘密的單位（以下簡稱機(jī)關(guān)、單位）管理本機(jī)關(guān)和本單位的保密工作。保密工作責(zé)任制：健全保密管理制度，完善保密防護(hù)措施，開展保密宣傳教育，加強(qiáng)保密檢查。法律89《保守國家秘密法》（保密法2）國家秘密的范圍國家事務(wù)、國防武裝、外交外事、政黨秘密國民經(jīng)濟(jì)和社會發(fā)展、科學(xué)技術(shù)維護(hù)國家安全的活動、經(jīng)保密主管部門確定的事項等國家秘密的密級絕密---是最重要的國家秘密，泄露會使國家安全和利益遭受特別嚴(yán)重的損害；保密期限不超過30年；機(jī)密---是重要的國家秘密，泄露會使國家安全和利益遭受嚴(yán)重的損害；保密期限不超過20年；秘密---是一般的國家秘密，泄露會使國家安全和利益遭受損害；保密期限不超過10年。國家秘密的其他基本屬性定密權(quán)限（定密責(zé)任人）、保密期限、解密條件、知悉范圍國家秘密載體、國家秘密標(biāo)志法律90《保守國家秘密法》（保密法3）保密制度對國家秘密載體的行為要求；對屬于國家秘密的設(shè)備、產(chǎn)品的行為要求；對存儲、處理國家秘密的計算機(jī)信息系統(tǒng)的要求---分級保護(hù)；對組織和個人的行為要求（涉密信息系統(tǒng)管理、國家秘密載體管理、公開發(fā)布信息、各類涉密采購、涉密人員分類管理、保密教育培訓(xùn)、保密協(xié)議等）；對公共信息網(wǎng)絡(luò)及其他傳媒的行為要求；對互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)運營商、服務(wù)商的行為要求。監(jiān)督管理國家保密行政管理部門依照法律、行政法規(guī)的規(guī)定，制定保密規(guī)章和國家保密標(biāo)準(zhǔn)。組織開展保密宣傳教育、保密檢查、保密技術(shù)防護(hù)和泄密案件查處工作，對機(jī)關(guān)、單位的保密工作進(jìn)行指導(dǎo)和監(jiān)督。法律91《保守國家秘密法》（保密法4）法律責(zé)任（第48條

人員處分及追究刑責(zé)）（一）非法獲取、持有國家秘密載體的；（二）買賣、轉(zhuǎn)送或者私自銷毀國家秘密載體的；（三）通過普通郵政、快遞等無保密措施的渠道傳遞國家秘密載體的；（四）郵寄、托運國家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準(zhǔn)，攜帶、傳遞國家秘密載體出境的；（五）非法復(fù)制、記錄、存儲國家秘密的；（六）在私人交往和通信中涉及國家秘密的；（七）在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國家秘密的；（八）將涉密計算機(jī)、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的；（九）在未采取防護(hù)措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換的；（十）使用非涉密計算機(jī)、非涉密存儲設(shè)備存儲、處理國家秘密信息的；（十一）擅自卸載、修改涉密信息系統(tǒng)的安全技術(shù)程序、管理程序的；（十二）將未經(jīng)安全技術(shù)處理的退出使用的涉密計算機(jī)、涉密存儲設(shè)備贈送、出售、丟棄或者改作其他用途的。有前款行為尚不構(gòu)成犯罪，且不適用處分的人員，由保密行政管理部門督促其所在機(jī)關(guān)、單位予以處理。法律92《全國人大關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》背景互聯(lián)網(wǎng)日益廣泛的應(yīng)用，對于加快我國國民經(jīng)濟(jì)、科學(xué)技術(shù)的發(fā)展和社會服務(wù)信息化進(jìn)程具有重要作用。如何保障互聯(lián)網(wǎng)的運行安全和信息安全問題已經(jīng)引起全社會的普遍關(guān)注。互聯(lián)網(wǎng)安全的范疇（法律約束力）互聯(lián)網(wǎng)的運行安全（侵入、破壞性程序、攻擊、中斷服務(wù)等）國家安全和社會穩(wěn)定（有害信息、竊取/泄露國家秘密、煽動、非法組織等）市場經(jīng)濟(jì)秩序和社會管理秩序（銷售偽劣產(chǎn)品/虛假宣傳、損害商業(yè)信譽(yù)、侵犯知識產(chǎn)權(quán)、擾亂金融秩序、淫穢內(nèi)容服務(wù)等）個人、法人和其他組織的人身、財產(chǎn)等合法權(quán)利（侮辱或誹謗他人、非法處理他人信息數(shù)據(jù)/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等）法律責(zé)任構(gòu)成犯罪的，依照刑法有關(guān)規(guī)定追究刑事責(zé)任構(gòu)成民事侵權(quán)的，依法承擔(dān)民事責(zé)任尚不構(gòu)成犯罪的：治安管理處罰/行政處罰/行政處分或紀(jì)律處分

法律9348．以下關(guān)于信息安全法治建設(shè)的意義，說法錯誤的是：A．信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)B．明確違反信息安全的行為，并對該行為進(jìn)行相應(yīng)的處罰，以打擊信息安全犯罪活動C．信息安全主要是技術(shù)問題，技術(shù)漏洞是信息犯罪的根源&D．信息安全產(chǎn)業(yè)的逐漸形成，需要成熟的技術(shù)標(biāo)準(zhǔn)和完善的技術(shù)體系9454．有關(guān)危害國家秘密安全的行為的法律責(zé)任，正確的是：A．嚴(yán)重違反保密規(guī)定行為只要發(fā)生，無論是否產(chǎn)生泄密實際后果，都要依法追究責(zé)任&B．非法獲取國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任C．過失泄露國家秘密，不會構(gòu)成刑事犯罪，不需承擔(dān)刑事責(zé)任D．承擔(dān)了刑事責(zé)任，無需再承擔(dān)行政責(zé)任和／或其他處分95標(biāo)準(zhǔn)的一些基本概念標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化的定義標(biāo)準(zhǔn)的作用我國標(biāo)準(zhǔn)代碼的意義GB強(qiáng)制性國家標(biāo)準(zhǔn)GB/T推薦性國家標(biāo)準(zhǔn)GB/Z國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件96等級保護(hù)標(biāo)準(zhǔn)體系基礎(chǔ)類《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GB17859-1999《信息系統(tǒng)安全等級保護(hù)實施指南》GB/T25058-2010應(yīng)用類定級：《信息系統(tǒng)安全保護(hù)等級定級指南》GB/T22240-2008建設(shè)：《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》GB/T25070-2010

測評：《信息系統(tǒng)安全等級保護(hù)測評要求》GB/T28448-2012《信息系統(tǒng)安全等級保護(hù)測評過程指南》GB/T28449-2012管理：《信息系統(tǒng)安全管理要求》GB/T20269-2006《信息系統(tǒng)安全工程管理要求》GB/T20282-200697等級保護(hù)標(biāo)準(zhǔn)體系98技術(shù)類GB/T21052-2007信息安全技術(shù)

信息系統(tǒng)物理安全技術(shù)要求GB/T20270-2006信息安全技術(shù)

網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20272-2006信息安全技術(shù)

操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)

數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他信息產(chǎn)品、信息安全產(chǎn)品相關(guān)標(biāo)準(zhǔn)...其他類GB/T20984-2007信息安全技術(shù)

信息安全風(fēng)險評估規(guī)范GB/Z24364-2009信息安全技術(shù)

信息安全風(fēng)險管理指南GB/T24363-2009信息安全技術(shù)

信息安全應(yīng)急響應(yīng)計劃規(guī)范GB/Z20285-2007信息安全技術(shù)

信息安全事件管理指南GB/Z20986-2007信息安全技術(shù)

信息安全事件分類分級指南GB/T20988-2007信息安全技術(shù)

信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

信息安全評估標(biāo)準(zhǔn)安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史了解安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展過程理解可信計算機(jī)評估準(zhǔn)則（TCSEC）的局限性理解GB/T18336《信息技術(shù)安全性評估準(zhǔn)則》（CC）的優(yōu)點信息安全技術(shù)評估準(zhǔn)則了解CC的結(jié)構(gòu)理解CC的術(shù)語（TOE、PP、ST、EAL）和基本思想了解使用CC進(jìn)行信息技術(shù)產(chǎn)品安全性評估的基本過程了解通用評估方法（CEM）信息系統(tǒng)安全保證評估框架了解GB/T20274《信息系統(tǒng)安全保障評估框架》的目的和意義了解《信息系統(tǒng)安全保障評估框架》的結(jié)構(gòu)和主要內(nèi)容99美國的安全評測標(biāo)準(zhǔn)(TCSEC)1970年由美國國防科學(xué)委員會提出,1985年公布。主要為軍用標(biāo)準(zhǔn),延用至民用。安全級別從高到低分為A、B、C、D四級，級下再分小類，即A1、B3、B2、B1、C2、C1、D分級分類主要依據(jù)四個準(zhǔn)則：安全政策可控性保證能力文檔100通用準(zhǔn)則（CC）國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；1993年開始，1996年出V1.0,1998年出V2.0，1999年6月正式成為國際標(biāo)準(zhǔn)，1999年12月ISO出版發(fā)行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保護(hù)輪廓”，將評估過程分“功能”和“保證”兩部分；是目前最全面的評價準(zhǔn)則101CC中的關(guān)鍵概念評估對象——TOE(TargetofEvaluation)產(chǎn)品或系統(tǒng)保護(hù)輪廓——PP(ProtectionProfile）安全需求安全目標(biāo)——ST(SecurityTarget）實施方案評估保證級——EAL(EvaluationAssuranceLevel）1-7級102信息安全管理標(biāo)準(zhǔn)國際信息安全管理重要標(biāo)準(zhǔn)了解國外信息安全管理標(biāo)準(zhǔn)發(fā)展概況掌握ISO27001和ISO27002的主要內(nèi)容了解英國和美國等發(fā)達(dá)國家的信息安全管理標(biāo)準(zhǔn)了解CoBIT和ITIL的用途我國信息安全管理重要標(biāo)準(zhǔn)掌握GB/T20984《信息安全風(fēng)險評估規(guī)范》的主要內(nèi)容掌握GB/Z24364《信息安全風(fēng)險管理規(guī)范》的主要內(nèi)容了解GB/Z20985《信息安全事件管理指南》的主要內(nèi)容掌握GB/Z20986《信息安全事件分類分級指南》的主要內(nèi)容掌握GB/T20988《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》的主要內(nèi)容10397．對涉密系統(tǒng)進(jìn)行安全保密測評應(yīng)當(dāng)依據(jù)以下哪個標(biāo)準(zhǔn)?A．BMB20-2007《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)管理規(guī)范》B．BMB22-2007《涉及國家秘密的計算機(jī)信息系統(tǒng)分級保護(hù)測評指南》C．GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》D．GB／T20271-2006《信息安全技術(shù)信息系統(tǒng)統(tǒng)用安全技術(shù)要求》10498．ISO／IBC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》的內(nèi)容是基于。A．BS7799-1《信息安全實施細(xì)則》B.BS7799-2《信息安全管理體系規(guī)范》C．信息技術(shù)安全評估準(zhǔn)則(簡稱ITSEC)D．信息技術(shù)安全評估通用標(biāo)準(zhǔn)(簡稱CC)105CISP課程關(guān)聯(lián)信息安全保障信息安全工程信息安全法規(guī)政策與標(biāo)準(zhǔn)安全管理體系安全控制措施安全風(fēng)險管理應(yīng)急和災(zāi)備密碼學(xué)應(yīng)用密碼學(xué)基礎(chǔ)訪問控制網(wǎng)絡(luò)安全操作系統(tǒng)安全應(yīng)用安全安全攻擊與防御惡意代碼與安全漏洞軟件安全開發(fā)信息安全管理信息安全技術(shù)課程知識關(guān)鍵點密碼學(xué)基礎(chǔ)密碼學(xué)基本知識密碼學(xué)發(fā)展過程密碼學(xué)基本概念密鑰管理對稱密碼算法DES、IDEA、AES非對稱密碼算法公鑰密碼系統(tǒng)思想及典型算法哈希函數(shù)哈希函數(shù)基本概念MD5、消息鑒別碼、數(shù)字簽名等107密碼學(xué)發(fā)展古典密碼學(xué)（19世紀(jì)末之前）密碼學(xué)是一門藝術(shù)主要特點：數(shù)據(jù)的安全基于算法的保密近代密碼學(xué)（20世紀(jì)初～1949年）機(jī)械密碼/機(jī)電密碼，用機(jī)電代替手工現(xiàn)代密碼學(xué)密碼學(xué)成為科學(xué)主要特點：數(shù)據(jù)的安全基于密鑰而不是算法的保密公鑰密碼密碼學(xué)的新方向—公鑰密碼學(xué)主要特點：公鑰密碼使得發(fā)送端和接收端無密鑰傳輸?shù)谋Ｃ芡ㄐ懦蔀榭赡?08密碼學(xué)的基礎(chǔ)概念密碼學(xué)密碼編碼學(xué)、密碼分析學(xué)代替密碼、替換密碼等基本概念柯克霍夫原則密碼系統(tǒng)需要保密的越多，可能的弱點也越多密碼分析常用方法唯密文攻擊、已知明文攻擊、選擇明文攻擊、選擇密文攻擊密碼分析的方式旁路攻擊、重放攻擊、統(tǒng)計式攻擊……109對稱加密算法110DES算法：56bit的密鑰強(qiáng)度3DES：三重DES算法IDEA：128bit密鑰強(qiáng)度AES：高級數(shù)據(jù)加密標(biāo)準(zhǔn)，簡單、靈活、適應(yīng)性好對稱密碼算法的優(yōu)缺點

優(yōu)點：效率高，算法簡單，系統(tǒng)開銷小適合加密大量數(shù)據(jù)明文長度與密文長度相等

缺點：

需要以安全方式進(jìn)行密鑰交換密鑰管理復(fù)雜111非對稱加密（公鑰）算法112RSA算法：基于大數(shù)因子分解，速度較慢DH算法：基于離散對數(shù)的算法公鑰密碼的適用范圍公鑰密碼的缺陷公鑰密碼體制的優(yōu)缺點優(yōu)點：解決密鑰傳遞的問題大大減少密鑰持有量提供了對稱密碼技術(shù)無法或很難提供的服務(wù)（數(shù)字簽名）缺點：計算復(fù)雜、耗用資源大非對稱會導(dǎo)致得到的密文變長113例題分析12．如下圖所示，Alice用Bob的密鑰加密明文，將密文發(fā)送給Bob。Bob再用自己的私鑰解密，恢復(fù)出明文。以下說法正確的是：A．此密碼體制為對稱密碼體制B．此密碼體制為私鑰密碼體制C．此密碼體制為單鑰密碼體制D．此密碼體制為公鑰密碼體制114哈希運算——完整性115用戶A用戶B數(shù)據(jù)數(shù)據(jù)哈希值哈希算法數(shù)據(jù)哈希值哈希值哈希算法如果哈希值匹配，說明數(shù)據(jù)有效

用戶A發(fā)送數(shù)據(jù)和哈希值給用戶B數(shù)字簽名——抗抵賴性用戶A用戶B數(shù)據(jù)哈希值哈希算法用戶A的私鑰數(shù)據(jù)哈希值用戶A的公鑰哈希算法哈希值如果哈希值匹配，說明該數(shù)據(jù)由該私鑰簽名。116多種密碼算法的比較117算法加/解密數(shù)字簽名密鑰協(xié)商信息摘要RSA是是是否Dieffie-Hellman否否是否DSA否是否否ECC是是是否對稱算法是否否否Hash否否否是課程知識關(guān)鍵點密碼學(xué)應(yīng)用VPNVPN基本概念和基本知識IPSEC協(xié)議SSL協(xié)議PKIPKI基本概念PKI體系構(gòu)成及工作過程118VPN的基本概念什么是VPN虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。為什么需要VPN專用網(wǎng)絡(luò)：安全性好、價格昂貴、難擴(kuò)展、不靈活分組交換：安全性差、價格便宜、擴(kuò)展性好將專用網(wǎng)的安全特性和分組交換網(wǎng)的廉價和易于擴(kuò)展的特性結(jié)合在一起，這就是VPN的動機(jī)利用共享的互聯(lián)網(wǎng)設(shè)施，模擬“專用”廣域網(wǎng)，最終以極低的費用為遠(yuǎn)程用戶提供能和專用網(wǎng)絡(luò)相媲美的保密通信服務(wù)119VPN關(guān)鍵技術(shù)VPN主要采用4類技術(shù)來保證安全隧道技術(shù)密碼技術(shù)密鑰管理技術(shù)鑒別技術(shù)

VPN主要協(xié)議二層隧道協(xié)議：PPTP：L2F、L2TPIPSECSSL120IPSec協(xié)議體系IPSec協(xié)議實際上是一個協(xié)議包安全加密數(shù)據(jù)，加密公網(wǎng)傳輸?shù)男畔⑼暾院涂设b別性算法對稱、非對稱、摘要、HMAC121IP安全結(jié)構(gòu)ESP協(xié)議AH協(xié)議IKE密鑰管理協(xié)議加密算法解釋域（DOI）認(rèn)證算法AH主要提供數(shù)據(jù)來源認(rèn)證、數(shù)據(jù)完整性驗證和防報文回放攻擊功能。包含兩種模式：傳輸模式和隧道模式。隧道模式需要為每個包創(chuàng)建一個新的IP包頭。傳輸模式不需要創(chuàng)建新的IP包頭。AH隧道模式包AH傳輸模式包認(rèn)證頭部122除了AH協(xié)議的功能外，ESP還提供對IP報文的加密功能。包括兩種模式：隧道模式和傳輸模式。負(fù)載安全封裝（ESP）123IP首部ESP頭TCP/UDP首部數(shù)據(jù)ESP尾部IP首部ESP頭TCP/UDP首部數(shù)據(jù)ESP尾部新IP首部隧道模式傳輸模式SSL(SecuresocketLayer)，安全套接層協(xié)議，由netscape公司提出。TLS（TransportLayerSecurity），是IETF的TLS工作組在SSL3.0基礎(chǔ)之上提出的安全通信標(biāo)準(zhǔn)。使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，適用于點對點之間的信息傳輸，常用WebServer方式。位于TCP層之上、應(yīng)用層之下，為上層應(yīng)用在網(wǎng)絡(luò)間建立一條安全通道。提供：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、鏈路上的數(shù)據(jù)完整性和數(shù)據(jù)保密性等保護(hù)功能。SSL協(xié)議124SSL協(xié)議主要過程125服務(wù)器客戶機(jī)請求：SSL版本號、密碼算法應(yīng)答：SSL版本號、密碼、證書（公鑰）使用認(rèn)證中心公鑰解密，得到服務(wù)器公鑰瀏覽器生成會話密鑰，加密并發(fā)服務(wù)器瀏覽器通知使用此會話密碼進(jìn)行會話加密應(yīng)答：SSL版本號、密碼、證書（公鑰）協(xié)議特點結(jié)合公開密鑰體制與x.509數(shù)字證書技術(shù)保證傳輸機(jī)密性與完整性適用點對點傳輸、常用web方式協(xié)議功能服務(wù)器認(rèn)證和客戶認(rèn)證（可選）SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。126SSL協(xié)議21．下面哪一項不是虛擬專用網(wǎng)絡(luò)(VPN)協(xié)議標(biāo)準(zhǔn)：A．第二層隧道協(xié)議(L2TP)B．Internet安全性(IPSEC)C.終端訪問控制器訪問控制系統(tǒng)(TACACS+)D．點對點隧道協(xié)議(PPTP)127171.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（InternetprotocolSecurityvirtualPrivateNetworkIPsecVPN)時。以下說法正確的是：A.配置MD5安全算法可以提供可靠地數(shù)據(jù)加密B.配置AES算法可以提供可靠的數(shù)據(jù)完整性驗證c.部署IPsecVIPN網(wǎng)絡(luò)時，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)（SecurityAuthentication，SA)資源的消耗D.報文驗證頭協(xié)議（AuthenticationHeader，AH)可以提供數(shù)據(jù)機(jī)密性128基于密碼技術(shù)的安全支撐體系-PKI什么是PKIPKI是公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure）的簡稱，PKI利用公開密鑰技術(shù)建立的提供信息安全服務(wù)的在線基礎(chǔ)設(shè)施。它利用加密、數(shù)字簽名、數(shù)字證書來保護(hù)應(yīng)用、通信或事務(wù)處理的安全。PKI體系組成CA（認(rèn)證權(quán)威）-身份證印刷廠RA（注冊權(quán)威）-派出所證書存放管理（目錄服務(wù)）證書持有者和應(yīng)用程序129CA：認(rèn)證權(quán)威130簽發(fā)證書更新證書管理證書撤銷、查詢審計、統(tǒng)計驗證數(shù)字證書黑名單認(rèn)證（CRL）在線認(rèn)證(OCSP)CA是PKI體系的核心PKI/CA技術(shù)的典型應(yīng)用131PKI/CA應(yīng)用通信領(lǐng)域WiFi部署釣魚身份盜竊電子政務(wù)領(lǐng)域公文扭轉(zhuǎn)政務(wù)門戶訪問控制領(lǐng)域機(jī)房門禁（物理）Windows登錄（邏輯）硬件設(shè)備領(lǐng)域Web服務(wù)器域名控制器VPN軟件開發(fā)領(lǐng)域代碼簽名電子商務(wù)領(lǐng)域銀行網(wǎng)購131課程知識關(guān)鍵點訪問控制與審計監(jiān)控訪問控制模型訪問控制基本概念自主訪問控制模型強(qiáng)制訪問控制模型基于角色訪問控制模型訪問控制技術(shù)標(biāo)識與鑒別技術(shù)典型訪問控制方法與實現(xiàn)132基本概念主體：發(fā)起者，是一個主動的實體，可以操作被動實體的相關(guān)信息或數(shù)據(jù)。如：用戶、程序、進(jìn)程客體：一種被動實體，被操作的對象，規(guī)定需要保護(hù)的資源。如文件、存儲介質(zhì)、程序、進(jìn)程等授權(quán)：規(guī)定主體可以對客體執(zhí)行的操作，如：讀、寫、執(zhí)行標(biāo)識：實體身份的一種計算機(jī)表達(dá)鑒別：確認(rèn)實體是它所聲明的，提供了關(guān)于某個實體身份的保證133訪問控制模型主體客體訪問控制實施訪問控制決策提交訪問

請求請求決策決策提出訪問

請求134什么是訪問控制模型對一系列訪問控制規(guī)則集合的描述，可以是非形式化的，也可以是形式化的。組成訪問控制模型的分類訪問控制模型強(qiáng)制訪問控制模型（MAC）自主訪問控制模型（DAC）訪問矩陣模型訪問控制列表（ACL）權(quán)能列表（CapacityList）Bell-Lapudula模型Biba模型Clark-Wilson模型ChineseWall模型保密性模型完整性

模型基于角色訪問控制模型（RBAC）混合策略模型135自主訪問控制模型允許客體的屬主（創(chuàng)建者）決定主體對該客體的訪問權(quán)限機(jī)制：訪問控制表/矩陣方法：訪問控制表(AccessControlLists)和訪問能力表(CapacityList)優(yōu)點根據(jù)主體的身份和訪問權(quán)限進(jìn)行決策具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體靈活性高，被大量采用缺點安全性不高136訪問控制表與訪問能力表的比較ACLCL保存位置客體主體瀏覽訪問權(quán)限容易困難訪問權(quán)限傳遞困難容易訪問權(quán)限回收容易困難使用集中式系統(tǒng)分布式系統(tǒng)137強(qiáng)制訪問控制模型主體對客體的所有訪問請求按照強(qiáng)制訪問控制策略進(jìn)行控制，客體的屬主無權(quán)控制客體的訪問權(quán)限，以防止對信息的非法和越權(quán)訪問主體和客體分配有一個安全屬性應(yīng)用于軍事等安全要求較高的系統(tǒng)可與自主訪問控制結(jié)合使用138常見強(qiáng)制訪問控制模型BLP模型1973年提出的多級安全模型，影響了許多其他模型的發(fā)展，甚至很大程度上影響了計算機(jī)安全技術(shù)的發(fā)展Biba模型1977年，Biba提出的一種在數(shù)學(xué)上與BLP模型對偶的完整性保護(hù)模型Clark-Wilson模型1987年，DavidClark和DavidWilson開發(fā)的以事物處理為基本操作的完整性模型，該模型應(yīng)用于多種商業(yè)系統(tǒng)ChineseWall模型1989年，D.Brewer和M.Nash提出的同等考慮保密性與完整性的安全策略模型，主要用于解決商業(yè)中的利益沖突139BLP模型的關(guān)鍵知識點第一個安全策略形式化的數(shù)學(xué)模型強(qiáng)調(diào)機(jī)密性的訪問控制策略模型多級安全模型兩個重要規(guī)則簡單安全規(guī)則（向下讀）*-規(guī)則（向上寫）優(yōu)點：機(jī)密性高，有效的防止機(jī)密信息泄露缺點：完整性缺乏，非法篡改、破壞成為可能140Biba模型的關(guān)鍵知識點強(qiáng)調(diào)完整性的訪問控制策略模型數(shù)學(xué)上與BLP模型對偶多級安全模型兩個重要規(guī)則向下寫向上讀優(yōu)點：完整性高，有效的防止機(jī)密信息泄露缺點：機(jī)密性缺乏，非法篡改、破壞成為可能141Clark-Wilson模型關(guān)鍵點一個完整性保護(hù)的模型，解決商業(yè)系統(tǒng)最關(guān)心的問題：系統(tǒng)數(shù)據(jù)的完整性以及對這些操作的完整性模型的關(guān)鍵：數(shù)據(jù)滿足一致性狀態(tài)實例：存入金額的總數(shù)：D提取金額的總數(shù)：W之前賬戶的金額總數(shù)：YB目前賬戶的金額總數(shù)：TB一致性屬性：D+YB-W=TB142Chinesewall模型概念多邊安全模型，最初為投行設(shè)計客戶訪問的信息不會與目前他們可支配的信息產(chǎn)生沖突ChineseWall安全模型的兩個主要屬性用戶必須選擇一個他可以訪問的區(qū)域用戶必須自動拒絕來自其它與用戶所選區(qū)域的利益沖突區(qū)域的訪問143基于角色的訪問控制RBAC96：較完善的基于角色的訪問控制參考模型RBAC的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限。一個用戶必須扮演某種角色，而且還必須激活這一角色，才能對一個對象進(jìn)行訪問或執(zhí)行某種操作。安全管理員用戶角色/權(quán)限指定訪問或操作激活144176．windows文件系統(tǒng)權(quán)限管理作用訪問控制列表（AccessControlList.ACL）機(jī)制，以下哪個說法是錯誤的：A．安裝Windows系統(tǒng)時要確保文件格式使用的是NTFS,因為Windows的ACL機(jī)制需要NTFS文件格式的支持B．由于windows操作系統(tǒng)自身有大量的文件和目錄，因此很難對每個文件和目錄設(shè)置嚴(yán)格的訪問權(quán)限，為了作用上的便利，Windows上的ACL存在默認(rèn)設(shè)置安全性不高的問題C．windows的ACL機(jī)制中，文件和文件夾的權(quán)限是與主體進(jìn)行關(guān)聯(lián)的，即文件夾和文件的訪問權(quán)限信息是寫在用戶數(shù)據(jù)庫中D．由于ACL具有很好的靈活性，在實際使用中可以為每一個文件設(shè)定獨立的用戶的權(quán)限14519．如圈所示，主體S對客體01有讀(R)權(quán)限，對客體02有讀(R)、寫(W)、擁有(Own)權(quán)限，該圖所示的訪問控制實現(xiàn)方法是：A．訪問控制表(ACL)B．訪問控制矩陣C.能力表(CL)D．前綴表(Profiles)14620．以下場景描述了基于角色的訪問控制模型(Role-basedAccessControl．RBAC)：根據(jù)組織的業(yè)務(wù)要求或管理要求，在業(yè)務(wù)系統(tǒng)中設(shè)置若干崗位、職位或分工，管理員負(fù)責(zé)將權(quán)限(不同類別和級別的)分別賦予承擔(dān)不同工作職責(zé)的用戶。關(guān)于RBAC模型，下列說法錯誤的是：A．當(dāng)用戶請求訪問某資源時，如果其操作權(quán)限不在用戶當(dāng)前被激活角色的授權(quán)范圍內(nèi)，訪問請求將被拒絕B．業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工，可對應(yīng)RBAC模型中的角色C．通過角色，可實現(xiàn)對信息資源訪問的控制D.RBAC模型不能實現(xiàn)多級安全中的訪問控制147鑒別的基本途徑基于你所知道的（Whatyouknow）知識、口令、密碼基于你所擁有的（Whatyouhave）身份證、信用卡、鑰匙、智能卡、令牌等基于你的個人特征（Whatyouare）指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜雙因素、多因素認(rèn)證14811．如圖，某用戶通過賬號、密碼和驗證碼成功登錄某銀行的個人網(wǎng)銀系統(tǒng)，此過程屬于以下哪一類：A．個人網(wǎng)銀系統(tǒng)和用戶之間的雙向鑒別B．由可信第三方完成的用戶身份鑒別C.個人網(wǎng)銀系統(tǒng)對用戶身份的單向鑒別*D．用戶對個人網(wǎng)銀系統(tǒng)合法性的單向鑒別14913．下列哪一種方法屬于基于實體“所有”鑒別方法：A．用戶通過自己設(shè)置的口令登錄系統(tǒng)，完成身份鑒別B．用戶使用個人指紋，通過指紋識別系統(tǒng)的身份鑒別C．用戶利用和系統(tǒng)協(xié)商的秘密函數(shù)，對系統(tǒng)發(fā)送的挑戰(zhàn)進(jìn)行正確應(yīng)答，通過身份鑒別D.用戶使用集成電路卡(如智能卡)完成身份鑒別15014．為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“智能卡+短信認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場景中用到下列哪些鑒別方法?A.實體“所知”以及實體“所有”的鑒別方法B．實體“所有”以及實體“特征”的鑒別方法C．實體“所知”以及實體“特征”的鑒別方法D．實體“所有”以及實體“行為”的鑒別方法151單點登錄技術(shù)單點登錄（SSO，SingleSign-on）用戶只需在登錄時進(jìn)行一次注冊，就可以訪問多個系統(tǒng)，不