!CISP复习大纲交流.ppt

CISP考试经验交流 目录 交流原则 关于CISP 知识体系 考试相关 关于CISP CISP的由来 CISP的特点 CISP的定位 CISP的价值 知识体系 安全保障体系与模型 安全管理 安全工程 安全组织与标准 密码技术及应用 网络安全 系统安全 应用安全 法律法规 物理安全 关于测评认证 一 1．以下哪个不是中国信息安全产品测评认证中心开展的4种测评认证业务之一？C A．信息安全产品型式认证 B．信息安全服务认证 C．信息安全管理体系认证 D．信息系统安全认证 一 2．中国信息安全产品测评认证中心目前进行信息安全产品认证所采用的基础信息安全评估标准是哪一个？ B A．GJB 2246 B．GB/T 18336－2001 C．GB/T 18018－1999 D．GB 17859-1999 安全保障体系 技术体系 ISO7498-2 ISO15408 IATF GB17859 管理体系 BS7799/ISO17799 ISO13335 工程体系 SSE-CMM ISSE 技术体系 信息系统安全保障通用评估准则内容组成 ISO 7498-2 基于OSI七层协议的安全体系结构 五种安全服务 鉴别：提供对通信中的对等实体和数据来源的鉴别。 访问控制：提供保护以对抗开放系统互连可访问资源的非授权使用。可应用于对资源的各种不同类型的访问（例如，使用通信资源，读、写或删除信息资源，处理资源的操作），或应用于对某种资源的所有访问 数据机密性：对数据提供保护使之不被非授权地泄露 数据完整性：对付主动威胁。在一次连接上，连接开始时使用对某实体鉴别服务，并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证，为这些数据单元的完整性提供确证。 抗抵赖：可取有数据原发证明的抗抵赖、有交付证明的抗抵赖两种形式，或两者之一。 与网络各层相关的OSI安全服务 OSI安全服务和安全机制之间的关系 一 46．国际标准化组织ISO7498-2中描述的OSI安全体系结构有多少种安全服务项目和多少种安全机制？A A．5种，8种 B．8种，5种 C．6种，8种 D．3种，6种 二 27.下面哪一个不属于基于OSI七层协议的安全体系结构的5种服务之一？C A.数据完整性 B.数据机密性 C.公证 D.抗抵赖 一 26．OSI中哪一层不提供机密性服务？D A．表示层 B．传输层 C．网络层 D．会话层 一 14．下面哪个既提供完整性服务又提供机密性服务？B A．数字签名 B．加密 C．密码校验值 D．访问控制 ISO15408-国际上安全测评标准的发展 CC关键概念 评估对象—— TOE(Target of Evaluation) 保护轮廓——PP (Protection Profile） 安全目标——ST( Security Target） 评估保证级——EAL( Evaluation Assurance Level） 保护轮 廓（PP） 表达一类产品或系统的用户需求，组合安全功能要求和安全保证要求。 （需求列表） 标准化体系中的安全标准 有助于以后的兼容性 技术与需求之间的内在完备性 提高安全保护的针对性、有效性 安全目标（ST） “安全目标”在“保护轮廓”的基础上，通过将安全要求进一步针对性具体化，解决了要求的具体实现。 （达到需求的保证过程） 常见的实用方案就可以当成“安全目标”对待。 适用于产品和系统 与ITSEC ST 类似 评估保证级（EAL） EAL1—功能测试（证明TOE与功能规格的一致） EAL2—结构测试（证明TOE与系统层次设计概念的一致） EAL3—系统地测试和检查（证明TOE在设计上采用了积极安全工程方法） EAL4—系统地设计、测试和复查（证明TOE采用了基于良好的开发过程的安全工程方法） EAL5—半形式化设计和测试（证明TOE采用了基于严格的过程的安全工程方法并适度应用了专家安全工程技术） EAL6—半形式化验证的设计和测试（证明TOE通过将安全工程技术应用到严格的开发环境中来达到消除大风险保护高价值资产） EAL7—形式化验证的设计和测试（证明TOE所有安全功能经得起全面的形式化分析） 安全保证是对安全声明可信度的度量，它使用户确信安全解决方案确实完全反映并执行了用户的信息安全策略。这里列出的安全保证衡量方法是来源于CC。CC通过实际调查提供安全保证，实际调查是对真实产品或系统进行评估以确定其实际的安全属性。CC中定义了7个安全保证级别。 CC的结构以及目标读者 举例：类－子类－组件 安全功能要求类 评测级别对应 二 26.著名的TCSEC是由下面哪个组织制定的？D A