!CISP复习大纲交流

CISP考试经验交流目录交流原则关于CISP知识体系考试相关关于CISPCISP的由来CISP的特点CISP的定位CISP的价值知识体系安全保障体系与模型安全管理安全工程安全组织与标准密码技术及应用网络安全系统安全应用安全法律法规物理安全关于测评认证一1．以下哪个不是中国信息安全产品测评认证中心开展的4种测评认证业务之一？CA．信息安全产品型式认证B．信息安全服务认证C．信息安全管理体系认证D．信息系统安全认证一2．中国信息安全产品测评认证中心目前进行信息安全产品认证所采用的基础信息安全评估标准是哪一个？BA．GJB2246B．GB/T18336－2001C．GB/T18018－1999D．GB17859-1999安全保障体系技术体系1.ISO7498-22.ISO154083.IATF4.GB17859管理体系1.BS7799/ISO177992.ISO13335工程体系1.SSE-CMM2.ISSE技术体系信息系统使命信息系统建模，。。。GB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践技术准则（信息技术系统评估准则）管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全性评估准则信息系统安全保障通用评估准则内容组成ISO7498-2基于OSI七层协议的安全体系结构OSI参考模型7应用层6表示层5会话层4传输层3网络层2链路层1物理层安全机制公证路由选择控制通信业务填充鉴别交换数据完整性访问控制数字签名加密安全服务鉴别服务访问控制数据完整性数据机密性抗抵赖五种安全服务鉴别：提供对通信中的对等实体和数据来源的鉴别。访问控制：提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问数据机密性：对数据提供保护使之不被非授权地泄露数据完整性：对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。抗抵赖：可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一。与网络各层相关的OSI安全服务安全服务1234567对等实体鉴别数据源鉴别访问控制服务连接机密性无连接机密性选择字段机密性流量机密性有恢复功能的连接完整性无恢复功能的连接完整性选择字段连接完整性无连接完整性选择字段非连接完整性源发方抗抵赖接收方抗抵赖－－－Y－－Y－－－－－－－－－－YY－－－－－－－－－YYYYY－Y－Y－Y－－－YYYYY－－YY－Y－－－－－－－－－－－－－－－－－－－－YYY－－－－－－－－YYYYYYYYYYYYYYY——服务应该作为提供者的一种选项被并进入该层的标准之中。OSI安全服务和安全机制之间的关系安全服务加密数字签名访问控制数据完整鉴别交换业务填塞路由控制公证对等实体鉴别数据源鉴别访问控制服务连接机密性无连接机密性选择字段机密性流量机密性有恢复功能的连接完整性无恢复功能的连接完整性选择字段连接完整性无连接完整性选择字段非连接完整性源发方抗抵赖接收方抗抵赖YY－YYYYYYYYY－－YY－－－－－－－－YYYY－－Y－－－－－－－－－－－－－－－－－－YYYYYYYY－－－－－－－－－－－－－－－－－－－Y－－－－－－－－－－YY－Y－－－－－－－－－－－－－－－－－－－YY一46．国际标准化组织ISO7498-2中描述的OSI安全体系结构有多少种安全服务项目和多少种安全机制？AA．5种，8种B．8种，5种C．6种，8种D．3种，6种二27.下面哪一个不属于基于OSI七层协议的安全体系结构的5种服务之一？CA.数据完整性B.数据机密性C.公证D.抗抵赖一26．OSI中哪一层不提供机密性服务？DA．表示层B．传输层C．网络层D．会话层一14．下面哪个既提供完整性服务又提供机密性服务？BA．数字签名B．加密C．密码校验值D．访问控制ISO15408-国际上安全测评标准的发展1990年欧洲信息技术安全性评价准则（ITSEC）1995年国际通用准则（CC）1985年美国国防部可信计算机评价准则（TCSEC）1990年加拿大可信计算机产品评价准则（CTCPEC）1991年美国联邦政府评价准则（FC）1999年CC成为国际标准（ISO15408）CC关键概念评估对象——TOE(TargetofEvaluation)保护轮廓——PP(ProtectionProfile）安全目标——ST(SecurityTarget）评估保证级——EAL(EvaluationAssuranceLevel）保护轮廓（PP）表达一类产品或系统的用户需求，组合安全功能要求和安全保证要求。（需求列表）标准化体系中的安全标准有助于以后的兼容性技术与需求之间的内在完备性提高安全保护的针对性、有效性安全目标（ST）“安全目标”在“保护轮廓”的基础上，通过将安全要求进一步针对性具体化，解决了要求的具体实现。（达到需求的保证过程）常见的实用方案就可以当成“安全目标”对待。适用于产品和系统与ITSECST类似90年代初西欧四国（英、法、荷、德）联合提出了信息技术安全评价标准（ITSEC）军用，政府用和商用。将安全概念分为功能与功能评估两部分。功能准则在测定上从F1～F10分10级。1－5级对应于TCSEC的C1到B3。6－10级加上了以下概念：F-IN：数据和程序的完整性F-AV：系统可用性F-DI：数据通信完整性F-DC：数据通信保密性F-DX：包括机密性和完整性的网络安全评估准则分为6级：E1：测试E2：配置控制和可控的分配E3：能访问详细设计和源码E4：详细的脆弱性分析E5：设计与源码明显对应E6：设计与源码在形式上一致。7个安全等级和10种安全功能。(还有E0：没有保护）欧洲ITSEC1989年公布，专为政府需求而设计与ITSEC类似，将安全分为功能性需求和保证性需要两部分。功能性要求分为四个大类：a机密性b完整性c可用性d可控性在每种安全需求下又分成很多小类，表示安全性上的差别，分级条数为0－5级。加拿大CTCPEC对TCSEC的升级1992年12月公布引入了“保护轮廓（PP）”这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分。分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。供美国政府用、民用和商用。FC有很多缺陷,是一个过渡标准美国联邦准则FC评估保证级别EAL2结构测试级EAL1功能测试级EAL3系统测试和检查级EAL4系统设计、测试和复查级EAL5半形式设计和测试级EAL6半形式化验证的设计和测试级EAL7形式化验证的设计和测试级评估保证级（EAL）EAL1—功能测试（证明TOE与功能规格的一致）EAL2—结构测试（证明TOE与系统层次设计概念的一致）EAL3—系统地测试和检查（证明TOE在设计上采用了积极安全工程方法）EAL4—系统地设计、测试和复查（证明TOE采用了基于良好的开发过程的安全工程方法）EAL5—半形式化设计和测试（证明TOE采用了基于严格的过程的安全工程方法并适度应用了专家安全工程技术）EAL6—半形式化验证的设计和测试（证明TOE通过将安全工程技术应用到严格的开发环境中来达到消除大风险保护高价值资产）EAL7—形式化验证的设计和测试（证明TOE所有安全功能经得起全面的形式化分析）安全保证是对安全声明可信度的度量，它使用户确信安全解决方案确实完全反映并执行了用户的信息安全策略。这里列出的安全保证衡量方法是来源于CC。CC通过实际调查提供安全保证，实际调查是对真实产品或系统进行评估以确定其实际的安全属性。CC中定义了7个安全保证级别。CC的结构以及目标读者内容用户开发者评估者第1部分简介和一般模型，定义了IT安全评估的一般概念和原理，提出评估的一般模型。用于了解背景信息和参考。PP的指导性结构。用于了解背景信息，开发安全要求和形成TOE的安全规范的参考。用于了解背景信息和参考。PP和ST的指导性结构。第2部分安全功能要求，建立一系列功能组件作为表达TOE功能要求的标准方法。在阐明安全功能要求的描述时作指导和参考。用于解释功能要求和生成TOE功能规范的参考。确定TOE符合声明的安全功能时，作评估准则的强制描述。第3部分安全保证要求，建立一系列保证组件作为表达TOE保证要求的标准方法。用于指导保证需求级别的确定。当解释保证要求描述和确定TOE的保证措施时，用作参考。确定TOE的保证和评估PP和ST时，作为强制描述。举例：类－子类－组件FIA标识和鉴别FIA_AFL鉴别失败FIA_ATD用户属性定义FIA_SOS秘密的规范类子类组件FIA_AFL.1鉴别失败处理FIA_ATD.1用户属性定义FIA_SOS.1秘密的验证FIA_SOS.2秘密的TSF生成安全功能要求类功能类名所含子类数安全审计(FAU)6通信(FCO)2密码支持(FCS)2用户数据保护(FDP)13标识和鉴别(FIA)6安全管理(FMT)6隐私(FPR)4TOE安全功能保护(FPT)16资源利用(FRU)3TOE访问(FTA)6可信路径/信道(FTP)211类66子类135个组件评测级别对应CCGB17859安全等级TCSECCTCPECITSECDT-0E0EAL1-T-1-EAL2第一级C1T-2E1EAL3T-3E2EAL4第二级第三级C2B1T-4E3EAL5第四级B2T-5E4EAL6第五级B3T-6E5EAL7A1T-7E6二26.著名的TCSEC是由下面哪个组织制定的？DA.ISOB.IECC.CNITSECD.美国国防部一22．ITSEC标准是不包括以下哪个方面的内容？DA．功能要求B．通用框架要求C．保证要求D．特定系统的安全要求二45.CC标准主要包括哪几个部分？BA.简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南；B.简介和一般模型、安全功能要求、安全保证要求C.通用评估方法、安全功能要求、安全保证要求D.简介和一般模型、安全要求、PP和ST产生指南二48.CC中安全功能/保证要求的三层结构是（按照由大到小的顺序）？BA.类、子类、元素B.组件、子类、元素C.类、子类、组件D.子类、组件、元素二50.CC中的评估保证级4级（EAL4）对应TCSEC和ITSEC的哪个级别？CA.对应TCSECB1级，对应ITSECE4级B.对应TCSECC2级，对应ITSECE4级C.对应TCSECB1级，对应ITSECE3级D.对应TCSECC2级，对应ITSECE3级IATF纵深防御战略的内涵：保卫网络和基础设施保卫边界保卫计算环境为基础设施提供支持GB17859-1999计算机信息系统安全等级划分准则第一级用户自主保护级第二级系统审计保护级第三级安全标记保护级第四级结构化保护级第五级访问验证保护级由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准管理体系7799的历史BS7799-1:1995BS7799-2:1998BS7799:1999BS7799-2:1999ISO17799+Feb,2000BS7799-2:2002？BS7799和ISO17799的区别BS7799–英国标准协会–已被多个国家认同（如澳大利亚等）–第二部分是可认证标准(PDCA)–2002年新修订了第2部分。新版本风格接近ISO9000和ISO1400