

首页  思维导图  详情



CISP考试大纲

2021-05-06 18:29:19   2  举报





AI智能生成

CISP

学习笔记

模版推荐

作者其他创作

大纲/内容

业务联系性

业务连续性管理

RPO/RTO

处置方式：降低/转移/规避/接受

信息安全应急响应

7个基本类别

特别/重大/较大/一般

桌面/模拟/实战 数据/应用/业务

准备/检测/遏制/根除/恢复/跟踪

密码学

香农-成为学科，DH-商业应用

CIA

PKI：CA/RA/CRL/终端

灾难备份与恢复

SHARE78：0~6

灾备恢复指南：1~6

信息安全支撑技术

身份鉴别

所知/所有/特征

kerberos：KDC/AS/TGS

访问控制

DAC自主

ACL：客体上附加主题明细表 CL：为每个用户维护一个表示可以访问的客体及权限的表

安全性不高 信息在传递过程中其访问权限关系会被改变

MAC强制

BLP：绝密/机密/秘密，向下读，向上写

Biba/Clark：完整性，向上读，向下写

Chinese Wall

安全性较高 安全属性是强制的，任何主体无法变更

PMI

基于PKI提供的可信身份认证服务的基础

基于属性证书的授权模式

信息安全评估

安全评估工具

安全评估标准

TCSEC：D/C1/C2/B1/B2/B3/A1

第一个提出标准化

ITSEC

第一个提出CIA

CC/GB/T 18336

TOE/PP/ST

功能/保证/包

EAL：1~7，1功能2结构34系统56半形式化7形式化

等级保护测评标准

安全评估实施

要素：资产/威胁/脆弱性/信息安全风险/安全措施/残余风险

评估方式：自评估/检查评估

评估方法：

定量：ALE=(EF*AV)*ARO

定性

基本过程

风险评估准备

《风险评估计划书》

《风险评估方案》

《风险评估方法和工具列表》

风险识别

资产《资产清单》

威胁《威胁列表》

脆弱性《脆弱性列表》

确认已有的控制措施《已有安全措施列表》

风险分析《风险计算报告》

风险结果判定

《风险评估报告》

《风险程度等级列表》

风险处理计划

残余风险评估

信息系统审计

计算环境安全

操作系统安全

SID 500/501

/etc/passwd密码散列，root可读写

内存保护与文件系统保护

操作系统安全配置

安全审计

信息收集与系统攻击

whois/ping

缓冲区溢出

esp

ebp

eip

恶意代码防护

特征码扫描/行为检测

静态分析/动态分析

应用安全

数据安全

网络安全监管

网络安全法律体系建设

网络安全法七章79条

网络产品和服务安全审查办法

互联网新闻信息服务管理规定

互联网信息内容管理行政执法程序规定

国家网络安全政策

安全等级保护：5个级别

三级：监督，四级：强制

网络安全道德准则

CISP职业道德准则

信息安全标准

TC260

信息安全管理

信息安全风险管理

风险管理模型

COBIT：框架、流程描述、控制目标、管理指南、成熟度模型

基本过程

背景建立

风险评估

风险处理

批准监督

监控审查

沟通咨询

信息安全管理体系建设

ISO27001：PDCA

规划与建立

实施与运行

监视和评审

维护与改进

信息安全管理体系最佳实践

ISO27002安全控制措施14个类别

信息安全方针

信息安全组织

人力资源安全

资产管理

对资产负责

信息分类

介质处理

访问控制

密码学

物理与环境安全

操作安全

通讯安全

信息获取开发及维护

供应商管理

信息安全事件管理

业务连续性管理

符合性

信息安全管理体系度量

信息安全保障

防御、威慑、利用

信息安全保障框架

PDR：基于时间

P2DR：安全策略

信息安全保障技术框架IATF

深度防御：人/技术/操作

保护网络和基础设施 保护区域边界 保护计算环境 支持性技术设施

信息安全保障评估框架

ISPP/ISST

评估模型：风险/策略为基础

企业安全架构

SABSA

Zachman

TOGAF

软件安全开发

软件安全开发生命周期

SDL：7个阶段

CMMI：5级

SAAM

BSI：三根支柱

软件安全需求及设计

威胁建模STRIDE

安全设计原则

软件安全实现

软件安全测试

模糊测试

渗透测试

软件安全交付

供应链安全

软件验收

安全部署

安全工程与运营

系统安全工程

策略/机制/保证/动机 同步规划、同步建设、同步使用

系统工程

霍尔三维结构图

方法论

项目管理

时间、成本、质量

质量管理（ISO9000）

机构

程序

过程

总结

能力成熟度模型

定义过程的能力

SSE-CMM

描述基本特征

域维

BA-PA-工程类-过程类

风险过程4

工程过程5

保证过程2

能力维：0~5级

安全运营

参考标准

COBIT：IT控制和度量评价

ITIL：IT过程管理

ISO27000：IT安全控制

漏洞管理

补丁管理

变更管理

内容安全

数字版权

信息保护

网络舆情

社会工程学

安全意识培训

物理环境与网络通讯安全

物理安全

OSI模型

5类安全服务

鉴别服务

访问控制服务

数据完整性服务

数据保密性服务

抗抵赖服务

8种安全机制

加密

数据签名

访问控制

数据完整性

鉴别交换

业务流填充

路由控制

公正

TCP/IP协议安全

网络接口层

arp欺骗

互联网络层

teardrop/死亡ping

传输层

syn/udp flood/smurf

应用层

dns欺骗

无线通讯安全

wep

wpa

wpa2

wpai

wpi鉴别

wai传输

网络安全防护技术

防火墙

静态包过滤

应用代理

状态监测

入侵监测系统

NIDS旁路

HIDS代理

VPN

PPTP

L2F

L2TP

IPSEC

SSL

 Collect

Get Started

CISP操作流程

 Collect

Get Started

CISP

 Collect

Get Started

注册信息安全专业人员（CISP）培训教材

 Collect

Get Started

CISP





0 条评论

下一页