文章目录
1 死记硬背类:
计生不属于关键信息基础设施
TACACS分=分为认证和授权两个不同的过程
实施灾难恢复计划后,组织的灾难前和灾难后运营成本将提高
Linux中,用户口令明文不在**/etc/password**中
将FTP经过专家建议要修改为http,是因为程序员设计了不安全的功能
安全漏洞产生的原因不包括攻击者的恶意利用
感染了以考移动存储进行传播的特洛伊木马病毒,解决办法是向企业内部的计算机下发策略,关闭系统默认开启的自动播放功能
PDR:保护Protection、检测Detection、反应/响应Response
PPDR(P2DR):策略Policy、保护Protection、检测Detection、反应/响应Response
STRIDE模型:Spoofing欺骗/R抵赖的实现方式
信息安全技术方案:从内而外、自上而下、从端到边界
实体所有鉴别方法:身份证、IC卡、钥匙、USB-key、智能卡、短信
实体所知:账号密码、口令、知识
PGP软件:对邮件加密、签名和认证,实现数据压缩,对邮件进行分段和重组
IPS(Intrusion Protection System)入侵防御系统:串接到网络线路中,对一场的进出流量直接进行阻断,有可能造成单点故障,会影响网络性能
SAMM软件保障成熟度模型(Software Assurance Maturity Mode):治理+构造+验证+部署
SSE-CMM系统安全工程-能力成熟度模型:面向工程过程质量控制的方法。是系统工程,不可以独立实施
测量单位是 公共特征(Common Features,CF)
BP基本实施(Base Practice)是基于最佳的工程过程实践,经过测试的,不与其他BP重复。安全工程的最小单元,不限定于特定的方法工具,不同业务背景中可以使用不同的方法;是PA(Process Areas,PA)的强制项
需要在信息安全策略中进行描述的:信息安全工作的基本原则
信息安全风险评估以自评估(自查)为主
信息安全职责:高级管理层——最终
责任/管理层——提供各种信息安全工作必须的资源/系统的普通使用者——遵守日常操作规范/审计人员——检查安全策略是否被遵从
风险计算原理:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))
Ia表示资产A的价值;Va表示资产A的脆弱性
应急响应六个阶段:准备、检测、遏制、根除、恢复和跟踪总结
信息安全工程监理模型:监理咨询支撑要素、监理咨询阶段过程、控制和管理手段
开发类文档:需求说明书、设计说明书、测试方案、测试用例
项目管理文档:项目计划书、质量控制计划、评审报告
DAS直接附加存储(Direct Attached Storage):数据分散,风险分散,缺点是存储空间利用率低,不便于统一管理
NAS较网络附加存储(Network Attached Storage):数据集中,节省空间,缺点占用网络带宽、存储中心存在单点故障
ISMS(Information Security Management System)的实施和运行ISMS阶段,是ISMS过程模型的实施阶段(Do),英国英国
管理体系包括PDCA(Plan规划建立-Do实施运行-Check监视和评审-Act保持和改进)四个阶段
IATF:不用代码审核
用于控制 用户访问 Apache 目录的配置文件是:A. httpd.conf
Teardrop属于碎片攻击
源代码审核是对源代码检查分析,检测并报告源代码中可能导致安全弱点的薄弱之处
戴明环(PDCA)模型,处置(ACT)的信息安全管理活动是:持续改进信息安全管理过程
休哈特发明质量环,被戴明改造成戴明环
关能力成熟度模型(CMM):的产生是因为过程控制和管理落后引起的
BSI 的模型包括风险管理、安全接触点和安全知识
灾备工作原则包括统筹规划、资源共享、平战结合
软件安全三根支柱:风险管理、软件安全触点、安全测试
模糊测试属于黑盒测试
人力资源分三个阶段:任用前 中 终止或变化
完全备份是指备份全部选中的文件夹,并不依赖文件的存档属性来确定备份哪些文件;增量备份是针对于上-次备份(无论是哪种备份),备份上一次备份后,所有发生变化的文件;差异备份是针对完全备份,备份上-次的完全备份后发生变化的所有文件。三种备份方式在数据恢复速度方面由快到慢的顺序为完全备份、差异备份、增量备份。
总体设计部署于软件的开发时期
主动扫描的方式类似于IDS
网络安全审计无法发现系统中感染的恶意代码类型和名称
病毒类型不会出现在防火墙的访问控制策略中
发2000个包,由3-5个字节不能传送到对方,可用性改变
系统变更控制的重要内容:所有变更必须文字化并被批准
2 信息系统安全类:
信息安全风险等级的最终因素是:影响和可能性
BLP模型:用于保证系统信息的机密性,规则是“向下读,向上写”
CL能力表:基于主体的自主访问控制实现,记录每个主体和一个权限集合的对应关系,权限集合中每个权限被表示为客体以及其上允许的操作集合的二元组。定义主体访问客体的权限
ACL访问控制表(Access Control):基于客体的自主访问控制实现,记录每个客体和一个权限集合的对应关系,权限集合中每个权限被表示为主体以及其能够进行的操作集合的二元组。增加客体时,增加相关的访问控制权限较为简单。定义客体被主体访问的权限。在增加和修改哪些客体被主体访问比较方便。
适用于为大量用户的信息系统实现自主访问控制功能
RBAC模型能实现多级安全中的访问控制
Linux:一个用户可以属于多个组/每一个文件和程序都归属于一个特定的“用户”/每一个用户至少属于一个用户组/root是超级用户,无论是否为文件和程序的所有者都具有访问权限
信息系统安全保障要素:技术、工程、管理和人员
信息系统安全保障的安全特征:完整、保密和可用性
SAM(Security Accounts Manager)Windows系统的账号存储管理机制:存储在注册表中的账号数据只有System账号才能访问,具有较高的安全性
设计阶段,“安全产品选择”是为了进行风险处理
权限分离:对重要的工作进行分解,分配给不同人员完成
- 管理员删除订单,交给审核员审核
- 由管理员和人事部同时确认才可以进行删除
最小特权:一个人有且仅有其执行岗位所足够的许可和权限
定义就是将一个较大的权限分离为多个子权限组合操作来实现
风险评估准备阶段:《风险评估方案》:包括评估所需要的各种资产、威胁、脆弱性识别和判断依据
风险要素包括资产、威胁、脆弱性、安全措施。漏洞扫描属于风险要素的脆弱性要素识别
挑战/应答:用户登录时,认证服务器(Authentication Server,AS) 产生一个随机数发送给用户,用户用某种单向算法将自己的口令、种子秘钥和随机数混合 计算后作为一次性口令,并发送给 AS,AS 用同样的方法计算后,验证比较两个口令即可验 证用户身份。
恢复点目标(3小时):发生重大安全事件后,工作人员完成处置和灾难恢复工作后,系统至多丢失3小时业务数据
矩阵法计算信息安全风险大小:安全事件造成损失大小安全事件发生可能性
自主访问控制:管理员针对每个用户指明能够访问的资源,不在指定资源列表中的对象不允许访问
判断是否安全:是否已经将风险控制在可接受的范围内
信息安全策略中描述宏观的原则性要求,不包括具体的架构、参数和实施手段
支持需求不明确,特别是大型软件系统的开发,并支持多种软件开发方法的模型是 螺旋模型
白盒测试的优点:确定程序准确性成某程序的特定逻辑路径的状态
ITIL:战略,设计,转换,运营,改进
COBIT包括:框架、流程描述、控制目标、管理指南
Biba模型不允许向上写
极限测试中,贯穿始终的是集成测试和验收测试
最为广泛 的资产评估方法:定性分析
风险处理的四种方法:降低 规避 转移 接受
3 密码学
SHA:摘要算法,提供完整性校验,不提供加密
分组加密
序列加密
MD5提供完整性
AES提供保密性
AH协议提供完整性、验证和抗重放攻击
DES不可能的密钥长度:64bit
DSA不提供加密
Windows文件系统中,NTFS支持文件加密
动态口令要求口令无法被收集
4 协议类
IPSec不是单独的协议
网络第二层的隧道协议:L2P、L2TP、PPTP
VPN(Virtual Private Network)虚拟专用网络协议标准:第二层隧道协议(L2TP)、Internet安全性(IPSEC,Internet Protocol Security),点对点隧道协议(PPTP)
IPSEC:可以提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务
提供保密性、身份鉴别、完整性、抗抵赖、访问控制服务:网络层&应用层
WPA和WPA2均为无线局域网协议,适用于世界,WPA根据802.11i标准草案制定,WPA2按照802.11i正式标准制定
公有地址:其他
私有地址A.10.0.0.0~10.255.255.255 B.172.16.0.0~172.31.255.255 C、192.168.0.0~192.168.255.255
TCP 协议虽然高可靠,但是相比 UDP 协议机制过于复杂,传输效率要比 UDP 低
UDP 具有简单高效的特点,常被攻击者用来实施流量型拒绝服务攻击 ,UDP 协议包头中包含了源端口号和目的端口号,因此 UDP 可通过端口号将数据包送达正确的程序 ,相比 TCP 协议,UDP 协议的系统开销更小,因此常用来传送如视频这一类高流量需求的应用数据
SSH实施了加密保护
内网主机——交换机——防火墙——外网
SSL:依附于传输层的安全协议
Kerberos协议过程:1.获得票据许可2.获得服务许可票据3.获得服务
计算机连接到网络时,每次临时在IP地址池中选择并分配叫做:动态分配IP地址
根据包的TL值大致可以判断操作系统的类型
5. 法律法规类
二级系统:不需要上级或主管部门来测评和检查,只需要自主定级、自主保护
《电子签名法》:2005.4.1,电子签名不可以与认证服务提供者共有
《信息安全等级保护要求》:第一级:特别严重损害/第二级:严重损耗/第三级:一般损害
中国信息安全标准化技术委员会(TC260):国家有关部门申报信息安全国家标准计划项目时向其申报
我国灾备能力级别分为六级
《国家信息化领导小组关于加强信息安全保障工作的意见》明确了我国信息安全保障工作的方针和总体要求以及加 强信息安全工作的主要原则
总体方针和要求为:全面提高信息安全防护能力
国标推荐标准GB/T XXXX.X-200X
国标强制标准GB ****XXXX-200X
地方标准DBXX/T XXX-200X
国标指导标准GB/Z XXX-XXX-200X
2006 年中办发 27 号文件的发布标志着我国信息安全保障进入深化落实阶段
等级保护三级系统一年测评一次,四级系统每半年测评一次。
我国信息安全保障的原则:立足国情,以我为主,坚持以技术和管理并重。
我国信息安全保障工作的主要内容:
加强信息安全标准化工作,积极采用“等同采用、修改采用、制定”等多种方式,尽快建立和完善我国信息安全标准体系
建设和完善信息安全基础设施,提供国家信息安全保障能力支撑
加快信息安全学科建设和信息安全人才培养
散热为下送风、上回风;侧送风、侧回风。
工业和信息化部牵头成立“国家网络应急中心”。
GB/T 18336《信息技术安全性评估准则》是测评标准类中的重要标准,该标准定义了保护 轮廊(Protection Profile,PP)和安全目标(Security Target,ST)的评估准则,提出 了评估保证级(Evaluation Assurance Level,EAL),其评估保证级共分为(7)个递增的 评估保证等级。
没有国家保密法,只有保密法
信息系统安全保障模型包含:保障要素、生命周期和安全特征
技巧
A-6 题目说根据以上内容能够看出那些分析正确,故无中生有选项排除
A-36题目问根源,可能对协议的描述ABCD都对,但是有一个不是根源
总结
考完之后觉得基本上没什么难度,如果是信息安全专业的学生这些题目其实平时的课程都学到了,信息内容安全、密码学还有操作系统安全等等,考试全是选择题,每道题的答案记住了就能速过。
版权归原作者 Zichel77 所有, 如有侵权,请联系我们删除。