CISP 重點(diǎn)考試題及參考答案-強(qiáng)烈推薦

1、CISP題目1、 IP只是劃分：；225.225.225192哪個(gè)IP是同一個(gè)網(wǎng)段256-192=26 2、 RSA采用哪個(gè)數(shù)量原理大數(shù)難分解成2個(gè)素?cái)?shù)的乘積3、 多邊安全模型有哪兩種Chinese wall 模型BMA模型4、 密碼的研究、生產(chǎn)、銷售時(shí)哪個(gè) 部門負(fù)責(zé)的商用密碼技術(shù)屬于國(guó)家秘密國(guó)家密碼管理機(jī)構(gòu)主管全國(guó)的商用密碼管理工作5、 RSA的密鑰有多長(zhǎng)？512 1024 2048 4096 (768也有的，但一般選擇時(shí)候沒(méi)有標(biāo)記出)6、 一個(gè)登入密碼折分為兩個(gè)部分，兩個(gè)人考慮，會(huì)是什么安全機(jī)制？職責(zé)分離，把敏感事情分為多部分實(shí)現(xiàn)，dual control7、 國(guó)家

2、對(duì)信息安全事件的保護(hù)分幾級(jí)，各個(gè)級(jí)別是怎樣定義的？GB/Z 20986-2007信息安全技術(shù)信息安全事件分類分級(jí)指南該標(biāo)準(zhǔn)為信息安全事件的分類分級(jí)提供指導(dǎo)，用于信息安全事件的防范與處置，為事前準(zhǔn)備、事中應(yīng)對(duì)、事后處理提供一個(gè)基礎(chǔ)指南。 在該標(biāo)準(zhǔn)中，將信息安全事件分為七個(gè)基本類，即有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件、其他信息安全事件，每個(gè)基本類分別分為若干個(gè)子類，并對(duì)各個(gè)子類作了必要說(shuō)明；根據(jù)信息系統(tǒng)的重要程度、系統(tǒng)的損失、社會(huì)的影響，將信息安全事件分為四個(gè)級(jí)，即特別重大事件、重大事件、較大事件、一般事件，并對(duì)每個(gè)級(jí)別列出了信息安全事件的若干情況

3、。 該標(biāo)準(zhǔn)可供信息系統(tǒng)和基礎(chǔ)信息傳輸網(wǎng)絡(luò)的運(yùn)營(yíng)和使用單位以及信息安全主管部門參考使用。8、 完全備份、增量備份、差異備份的區(qū)別？全備份：就是每天用一盤磁帶對(duì)整個(gè)系統(tǒng)進(jìn)行包括系統(tǒng)和數(shù)據(jù)在內(nèi)的完全備份。 增量備份：是每次備份的數(shù)據(jù)只相當(dāng)于上一次備份后增加的和修改過(guò)的數(shù)據(jù)。 差分備份：是每次備份的數(shù)據(jù)是相對(duì)于上一次全備份的后新增加的和修改過(guò)的數(shù)據(jù)。 9、 Xoil、cgi、coldfasion、rubyofrails哪個(gè)是動(dòng)態(tài)語(yǔ)言腳本的技術(shù)？CGI全稱是“公共網(wǎng)關(guān)接口”(Common Gateway Interface)，HTTP服務(wù)器與你的或其它機(jī)器上的程序進(jìn)行“交談”的一種工具，其程序須運(yùn)行在網(wǎng)

4、絡(luò)服務(wù)器上。Common Gate Interface聽(tīng)起來(lái)讓人有些專業(yè), 我們就管它叫CGI好了。在物理上，CGI是一段程序，它運(yùn)行在Server上，提供同客戶段 Html頁(yè)面的接口。這樣說(shuō)大概還不好理解。那么我們看一個(gè)實(shí)際例子： 現(xiàn)在的個(gè)人主頁(yè)上大部分都有一個(gè)留言本。留言本的工作是這樣的：先由用戶在客戶段輸入一些信息，如名字之類的東西。接著用戶按一下“留言”（到目前為止工作都在客戶端），瀏覽器把這些信息傳送到服務(wù)器的CGI目錄下特定的cgi程序中，于是cgi程序在服務(wù)器上按照預(yù)定的方法進(jìn)行處理。在本例中就是把用戶提交的信息存入指定的文件中。然后cgi程序給客戶端發(fā)送一個(gè)信息，表示請(qǐng)求的任務(wù)

5、已經(jīng)結(jié)束。此時(shí)用戶在瀏覽器里將看到“留言結(jié)束”的字樣。整個(gè)過(guò)程結(jié)束。 2. 功能：絕大多數(shù)的CGI程序被用來(lái)解釋處理來(lái)自表單的輸入信息，并在服務(wù)器產(chǎn)生相應(yīng)的處理，或?qū)⑾鄳?yīng)的信息反饋給瀏覽器。CGI程序使網(wǎng)頁(yè)具有交互功能。Ruby on Rails是一個(gè) Web 應(yīng)用程序框架,是一個(gè)相對(duì)較新的 Web 應(yīng)用程序框架，構(gòu)建在 Ruby 語(yǔ)言之上。它被宣傳為現(xiàn)有企業(yè)框架的一個(gè)替代，而它的目標(biāo)，簡(jiǎn)而言之，就是讓生活，至少是 Web 開(kāi)發(fā)方面的生活，變得更輕松。10、 蠕蟲病毒的特點(diǎn)？病毒是可以感染應(yīng)用程序的一個(gè)小程序，或者一串代碼。病毒的主要功能是復(fù)制，它需要借助一個(gè)宿主應(yīng)用程序（host appli

6、cation）來(lái)進(jìn)行復(fù)制。換言之，病毒不能進(jìn)行自我復(fù)制。病毒通過(guò)在文件中插入或者附加自身拷貝對(duì)文件進(jìn)行感染。病毒可以導(dǎo)致系統(tǒng)文件的刪除、顯示惡意圖形、重新配置系統(tǒng)或者控制郵件服務(wù)器。蠕蟲不同于病毒，因?yàn)槿湎x可以不需宿主程序而進(jìn)行自我復(fù)制，是一種獨(dú)立的病毒程序。蠕蟲可以通過(guò)電子郵件、TCP/IP或者磁盤進(jìn)行自我傳播。蠕蟲和傳統(tǒng)的病毒的定義趨于融合，它們之間的界線也逐漸模糊。ILOVEYOU是一個(gè)蠕蟲程序。當(dāng)用戶執(zhí)行郵件附件時(shí)，病毒會(huì)自動(dòng)執(zhí)行幾個(gè)過(guò)程。蠕蟲程序被復(fù)制并被發(fā)送到受害者地址簿中的所有郵件地址，硬盤上的一些文件被替換或者刪除。如果蠕蟲再次被打開(kāi)，自我傳播又會(huì)重新開(kāi)始。ILOVEYOU作為

7、一個(gè)病毒，需要電子郵件客戶端程序，如Outlook，同時(shí)作為一個(gè)蠕蟲程序，又可以再用戶打開(kāi)硬盤上已感染文件時(shí)進(jìn)行自我復(fù)制。11、 IPSEC Vpn不包括哪個(gè)協(xié)議？VPN含義：虛擬專用通道。目前存在多種VPN隧道： L2TP、PPTP、IPSec、MPLS、SSL。VPN不包括DSS。包括ESP、AH、IKE12、 Unix權(quán)限的識(shí)別10位，第一位文件類型，UNIX叫基于文件的操作系統(tǒng)，所有的東西都是文件，打印機(jī)是一個(gè)文件，系統(tǒng)向那個(gè)文件寫內(nèi)容就是打印，所有的事物都是文件- 普通文件 d 目錄（實(shí)質(zhì)叫目錄文件）舉例： d r w x r - x r - x 解釋 r 讀權(quán)限 解釋 w 寫權(quán)限

8、解釋 x 執(zhí)行 解釋 - 無(wú)權(quán)限帳號(hào)權(quán)限： 所有者 同屋人 其他人 所有者 同組 其他13、 SMTP的端口 2521 22232542110389338914、 Tftp是應(yīng)用的那個(gè)協(xié)議 udp15、 Oracle數(shù)據(jù)庫(kù)的默認(rèn)登錄用戶名和密碼？下列哪一組Oracle數(shù)據(jù)庫(kù)的默認(rèn)用戶名和默認(rèn)口令？A 用戶名： “Scott”；口令：“tiger” B 用戶名： “Sa”；口令：“nullr”C 用戶名： “root”；口令：“null” D 用戶名： “admin”；口令：“null”16、 Sse-cmm模型中計(jì)劃和跟蹤有哪些特征C17、 信息安全管理中“安全評(píng)估”是哪個(gè)組織（wg5）18、

9、 災(zāi)難備份和恢復(fù)的第4級(jí)是什么國(guó)家信息安全保障工作要點(diǎn)（27號(hào)文）            ü        實(shí)行信息安全等級(jí)保護(hù)制度：風(fēng)險(xiǎn)與成本、資源優(yōu)化配置、安全風(fēng)險(xiǎn)評(píng)估ü        基于密碼技術(shù)網(wǎng)絡(luò)信任體系建設(shè)：密碼管理體制、身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定ü    

10、0;   建設(shè)信息安全監(jiān)控體系：提高對(duì)網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密、有害信息的防范能力ü        重視信息安全應(yīng)急處理工作：指揮、響應(yīng)、協(xié)調(diào)、通報(bào)、支援、抗毀、災(zāi)備ü        推動(dòng)信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展：關(guān)鍵技術(shù)、自主創(chuàng)新、強(qiáng)化可控、引導(dǎo)與市場(chǎng)、測(cè)評(píng)認(rèn)證、采購(gòu)、服務(wù)ü        信息安全法制與標(biāo)準(zhǔn)建設(shè)：信息安全法、打

11、擊網(wǎng)絡(luò)犯罪、標(biāo)準(zhǔn)體系、規(guī)范網(wǎng)絡(luò)行為ü        信息安全人材培養(yǎng)與增強(qiáng)安全意識(shí)：學(xué)科、培訓(xùn)、意識(shí)、技能、自律、守法ü        信息安全組織建設(shè)：信息安全協(xié)調(diào)小組、責(zé)任制、依法管理            “關(guān)于做好國(guó)家重要信息系統(tǒng)災(zāi)難備份的通知”-國(guó)信辦（ 2004)11號(hào)-ü   

12、;     國(guó)家重要信息系統(tǒng)：八大部門、三大信息基礎(chǔ)設(shè)施等ü        面臨災(zāi)難的因素：自然災(zāi)害、網(wǎng)絡(luò)攻擊、恐怖、戰(zhàn)爭(zhēng)、破壞、故障ü        做好災(zāi)備需求分析：威脅、弱點(diǎn)、價(jià)值、風(fēng)險(xiǎn)、等級(jí)ü             提升系統(tǒng)災(zāi)難能力：抗毀性、恢復(fù)能力、完整性、

13、連續(xù)性ü             落實(shí)責(zé)任制：誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)重要信息系統(tǒng)災(zāi)難恢復(fù)指南-國(guó)信辦文件   2005-我國(guó)災(zāi)難恢復(fù)等級(jí)劃分：六級(jí)、七要素大致可以分為二類：數(shù)據(jù)類、應(yīng)用類“第1級(jí)”：數(shù)據(jù)介質(zhì)轉(zhuǎn)移（異地存放、安全保管、定期更新）“第2級(jí)”：備用場(chǎng)地支持（異地介質(zhì)存放、系統(tǒng)硬件網(wǎng)絡(luò)可調(diào)）“第3級(jí)”：電子傳送和部分設(shè)備支持（網(wǎng)絡(luò)傳送、磁盤鏡像復(fù)制）“第4級(jí)”：電子傳送和完整設(shè)備支持（網(wǎng)絡(luò)傳送、網(wǎng)絡(luò)與系統(tǒng)就緒）“第5級(jí)”：實(shí)時(shí)數(shù)據(jù)

14、傳送及完整設(shè)備支持（關(guān)鍵數(shù)據(jù)實(shí)時(shí)復(fù)制、網(wǎng)絡(luò)系統(tǒng)就緒、人機(jī)切換）“第6級(jí)”：數(shù)據(jù)零丟失和遠(yuǎn)程（在線實(shí)時(shí)鏡像、作業(yè)動(dòng)態(tài)分配、實(shí)時(shí)無(wú)縫切換）CISO考試考點(diǎn)回憶、成為CISP的必要條件在CNITSEC注冊(cè)的CISP，必須保證嚴(yán)格履行職責(zé)并遵守以下道德準(zhǔn)則：1.所有CISP都必須付出努力才能獲得和維持該項(xiàng)注冊(cè)。為貫徹這條原則，所有的CISP都必須承諾完全遵守道德準(zhǔn)則；2. CISP必須誠(chéng)實(shí)，公正，負(fù)責(zé)，守法；3. CISP必須勤奮和勝任工作，提高專業(yè)能力和水平；4. CISP必須保護(hù)信息系統(tǒng)、應(yīng)用程序和系統(tǒng)的價(jià)值；5. CISP必須接受CNITSEC的監(jiān)督，在任何情況下不損壞CNITSEC或注冊(cè)過(guò)程的

15、聲譽(yù)，對(duì)CNITSEC針對(duì)CISP而進(jìn)行的調(diào)查應(yīng)給予充分的合作；6. CISP必須按規(guī)定向CNITSEC交納費(fèi)用。、熟悉BLP、Clark-wilson、Biba、Chinese wall、BMA模型的特點(diǎn)，可分清自主訪問(wèn)模型、強(qiáng)制訪問(wèn)模型、基于角色的訪問(wèn)模型；可分清多級(jí)、多邊模型；可分清動(dòng)態(tài)、靜態(tài)模型自1985年美國(guó)國(guó)防部國(guó)家計(jì)算機(jī)安全中心(NCSC)提出可信任計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC)以來(lái),計(jì)算機(jī)安全模型的研究經(jīng)歷了由靜態(tài)安全模型到動(dòng)態(tài)安全模型的演變。靜態(tài)安全模型主要是針對(duì)單機(jī)系統(tǒng)制定的,對(duì)網(wǎng)絡(luò)安全所面臨的威脅和系統(tǒng)脆弱性沒(méi)有做充分的估計(jì)。動(dòng)態(tài)網(wǎng)絡(luò)安全模型主要是應(yīng)對(duì)來(lái)自網(wǎng)絡(luò)的破壞與攻

16、擊。動(dòng)態(tài)網(wǎng)絡(luò)安全模型是基于閉環(huán)控制理論。典型的模型是PDR(Protection、Detection、Response)模型以及在其基礎(chǔ)上提出的P2DR(Policy、Protection、Detection、Response)模型和APPDRR(Analysis、Policy、Protection、Detection、Response、Recovery)模型等。基于PDR模型的系統(tǒng)由3大部件組成:檢測(cè)、反饋和保護(hù)。一旦檢測(cè)部件發(fā)現(xiàn)攻擊,則通過(guò)反饋部件發(fā)出信號(hào),使保護(hù)部件更改系統(tǒng)配置以適應(yīng)新情況。P2DR模型如圖1所示,它是20世紀(jì)90年代末ISS公司提出來(lái)的以PDR模型為核心的安全模型,基本

17、描述為:網(wǎng)絡(luò)安全=根據(jù)風(fēng)險(xiǎn)分析制定安全策略(Policy)+執(zhí)行安全防護(hù)策略(Protection)+實(shí)時(shí)漏洞監(jiān)測(cè)(Detection)+實(shí)時(shí)響應(yīng)(Response)。、了解信息流模型的特點(diǎn)、可信基、安全核、參考監(jiān)視器的概念、P2DR，當(dāng)暴露時(shí)間足夠小，小到業(yè)務(wù)可以容忍，則也可認(rèn)為系統(tǒng)是安全的面對(duì)不可避免的各種攻擊，系統(tǒng)安全的重點(diǎn)應(yīng)放在如何在安全策略的指導(dǎo)下及時(shí)發(fā)現(xiàn)問(wèn)題，然后迅速響應(yīng)，P2DR模型就是這樣的一個(gè)動(dòng)態(tài)安全模型，它對(duì)傳統(tǒng)安全模型作了很大改進(jìn)，引進(jìn)了時(shí)間的概念，對(duì)實(shí)現(xiàn)系統(tǒng)的安全、評(píng)價(jià)安全狀態(tài)給出了可操作性的描述。所謂動(dòng)態(tài)的，是指安全隨著網(wǎng)絡(luò)環(huán)境的變化和技術(shù)的不斷發(fā)展進(jìn)行不斷的策略調(diào)整

18、;所謂基于時(shí)間的，是指一個(gè)黑客在到達(dá)攻擊目標(biāo)之前需要攻破很多的設(shè)備(路由器，交換機(jī))、系統(tǒng)(NT, UNIX)和防火墻的障礙，在黑客達(dá)到目標(biāo)之前的時(shí)間，被稱之為防護(hù)時(shí)間Pt；在黑客攻擊過(guò)程中，檢測(cè)到他的活動(dòng)的所用時(shí)間稱之為Dt；檢測(cè)到黑客的行為后，需要做出響應(yīng)，這段時(shí)間稱之為Rt。有一個(gè)ICP的網(wǎng)站，為了保護(hù)主頁(yè)和一些重要的頁(yè)面被篡改，或者是被入侵者篡改后能及時(shí)恢復(fù)，首先要對(duì)這些主頁(yè)進(jìn)行備份。在Web服務(wù)器在運(yùn)做過(guò)程中，還需要對(duì)這些重要頁(yè)面進(jìn)行監(jiān)控，比如定時(shí)檢查頁(yè)面的內(nèi)容是否發(fā)生改變，頁(yè)面文件的字節(jié)數(shù)是否發(fā)生變化等，一旦這些變化發(fā)生，即可判斷很可能是頁(yè)面被入侵者修改。一旦發(fā)現(xiàn)頁(yè)面被修改，立即把

19、原來(lái)備份的頁(yè)面恢復(fù)(Restore)。 上圖為P2DR模型，它包含4個(gè)主要部分:Policy(安全策略)、Protection(防護(hù))、Detection(檢測(cè))、 Response(響應(yīng))，防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。即:傳統(tǒng)的防護(hù)模式+靜態(tài)漏洞的檢測(cè)+動(dòng)態(tài)威脅的及時(shí)檢測(cè)+快速的響應(yīng)。在整體的安全策略的控制和指導(dǎo)下，P2DR模型在綜合運(yùn)用防護(hù)工具(如:防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段)的同時(shí)，利用檢測(cè)工具(如:漏洞評(píng)估、入侵檢測(cè)等系統(tǒng))了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過(guò)適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低” 的狀態(tài)。P2DR

20、模型可用簡(jiǎn)單的數(shù)學(xué)公式來(lái)描述:1. Pt>Dt+Rt公式中Pt表示系統(tǒng)為了保護(hù)安全目標(biāo)設(shè)置各種保護(hù)后的防護(hù)時(shí)間，也可認(rèn)為是黑客攻擊系統(tǒng)所花的時(shí)間。Dt表示從攻擊開(kāi)始，系統(tǒng)能夠檢測(cè)到攻擊行為所花的時(shí)間。Pt為發(fā)現(xiàn)攻擊后，系統(tǒng)能做出足夠響應(yīng)將系統(tǒng)調(diào)整到正常狀態(tài)的時(shí)間。如果系統(tǒng)能滿足上述公式，即:防護(hù)時(shí)間Pt大于檢測(cè)時(shí)間Dt加上響應(yīng)時(shí)間Rt，則認(rèn)為該系統(tǒng)為安全的，因?yàn)樗诠粑：ο到y(tǒng)之前就能夠檢測(cè)到并及時(shí)處理。2.Et=Dt+Rt,IF Pt=0公式中 表示系統(tǒng)的暴露時(shí)間。假定系統(tǒng)的防護(hù)時(shí)間Rt為0，對(duì)Web Server系統(tǒng)就是這樣，系統(tǒng)突然遭到破壞，則希望系統(tǒng)能快速檢測(cè)到并迅速調(diào)整到正常狀

21、態(tài)，系統(tǒng)的檢測(cè)時(shí)間Dt和響應(yīng)時(shí)間Rt之和就是系統(tǒng)的暴露時(shí)間Et，該時(shí)間越小，系統(tǒng)安全性越好。由此，可得出安全的新概念：及時(shí)的檢測(cè)、響應(yīng)和恢復(fù)就是安全。這樣難于量化的安全可通過(guò)指標(biāo)：防護(hù)時(shí)間Rt、檢測(cè)時(shí)間Dt和響應(yīng)時(shí)間Rt來(lái)衡量，延長(zhǎng)這些指標(biāo)可提高系統(tǒng)的安全性。、DES分組長(zhǎng)度為64位，密鑰長(zhǎng)度為56位、常見(jiàn)密鑰算法的用途，如RSA可用于加密、數(shù)字簽名、密鑰分發(fā)；DES只能用于加密、L2TP是二層VPN，GRE、IPSEC是三層VPN，SSL是四層VPNgre（generic routing encapsulation，通用路由封裝）協(xié)議是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如ip 和ipx）的數(shù)據(jù)報(bào)進(jìn)行封裝，使

22、這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如ip）中傳輸。gre 是vpn（virtual private network）的第三層隧道協(xié)議，在協(xié)議層之間采用了一種被稱之為tunnel（隧道）的技術(shù)。tunnel 是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接，在實(shí)際中可以看成僅支持點(diǎn)對(duì)點(diǎn)連接的虛擬接口，這個(gè)接口提供了一條通路使封裝的數(shù)據(jù)報(bào)能夠在這個(gè)通路上傳輸，并且在一個(gè)tunnel 的兩端分別對(duì)數(shù)據(jù)報(bào)進(jìn)行封裝及解封裝。、IPSEC包括三個(gè)協(xié)議：AH、ESP、IKEVPN含義：虛擬專用通道。目前存在多種VPN隧道： L2TP、PPTP、IPSec、MPLS、SSL。VPN不包括DSS。包括ESP、AH、IKE、SS

23、L不能保證信息的不可抵賴性、IPSEC兩種工作模式：傳輸模式、隧道模式、PKI不能實(shí)現(xiàn)可用性的保護(hù)、授權(quán)與訪問(wèn)控制、PKI數(shù)字證書采用X.509的必要內(nèi)容、數(shù)字證書在PKI/CA側(cè)通過(guò)LDAP來(lái)存貯，CRL的用途、OSI開(kāi)放系統(tǒng)互聯(lián)安全體系架構(gòu)的安全服務(wù)有什么？、TCP/IP與OSI架構(gòu)的對(duì)應(yīng)關(guān)系、radius服務(wù)的端口RFC 2026中指出，RADIUS也可能使用UDP 1812/1813,一些新的RADIUS Server同時(shí)監(jiān)聽(tīng)UDP 1645/1646及UDP 1812/1813。、應(yīng)用級(jí)網(wǎng)關(guān)有哪些特點(diǎn)？另外，應(yīng)用級(jí)網(wǎng)關(guān)對(duì)用戶是不透明的、通用IDS模型的組成部分CIDF是一套規(guī)范，它定

24、義了IDS表達(dá)檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言以及IDS組件之間的通信協(xié)議。符合CIDF規(guī)范的IDS可以共享檢測(cè)信息，相互通信，協(xié)同工作，還可以與其它系統(tǒng)配合實(shí)施統(tǒng)一的配置響應(yīng)和恢復(fù)策略。CIDF的主要作用在于集成各種IDS使之協(xié)同工作，實(shí)現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式IDS的基礎(chǔ)。CIDF的規(guī)格文檔由四部分組成，分別為：體系結(jié)構(gòu)（The Common Intrusion Detection Framework Architecture）規(guī)范語(yǔ)言（A Common Intrusion Specification Language）內(nèi)部通訊（Communication in the Co

25、mmon Intrusion Detection Framework）程序接口（Common Intrusion Detection Framework APIs）CIDF的體系結(jié)構(gòu)文檔闡述了一個(gè)標(biāo)準(zhǔn)的IDS的通用模型；規(guī)范語(yǔ)言定義了一個(gè)用來(lái)描述各種檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言；內(nèi)部通訊定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議；程序接口提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口（API函數(shù)）。CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件（event），它可以是基于網(wǎng)絡(luò)的IDS從網(wǎng)絡(luò)中提取的數(shù)據(jù)包，也可以是基于主機(jī)的IDS從系統(tǒng)日志等其它途徑得到的數(shù)據(jù)信息。CIDF組件之間的交互數(shù)據(jù)使用通用入侵檢測(cè)對(duì)象（generaliz

26、ed intrusion detection objects，gido）格式，一個(gè)gido可以表示在一些特定時(shí)刻發(fā)生的一些特定事件，也可以表示從一系列事件中得出的一些結(jié)論，還可以表示執(zhí)行某個(gè)行動(dòng)的指令。CIDF將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件：圖11.4 CIDF組件事件產(chǎn)生器（Event generators）：從入侵檢測(cè)系統(tǒng)外的整個(gè)計(jì)算環(huán)境中獲得事件，并以CIDF gidos格式向系統(tǒng)的其他部分提供此事件。事件產(chǎn)生器是所有IDS所需要的，同時(shí)也是可以重用的。事件分析器（Event analyzers）：從其他組件接收gidos，分析得到的數(shù)據(jù)，并產(chǎn)生新的gidos。如分析器可以是一個(gè)輪廓特征

27、引擎。響應(yīng)單元（Response units ）：是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以終止進(jìn)程、重置連接、改變文件屬性等，也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)（Event databases）：是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。、誤用檢測(cè)誤報(bào)率低，異常檢測(cè)誤報(bào)率高、漏報(bào)率低、DMZ區(qū)的用途、unix重要目錄里存放什么文件？如/etc目錄、文件的權(quán)限，如ls -al test，chmod命令的作用、安全策略的性質(zhì)、人員離職后，應(yīng)當(dāng)撤銷訪問(wèn)權(quán)限、安全措施的分類，給出案例，應(yīng)當(dāng)可以識(shí)別是哪一類？、監(jiān)控日志應(yīng)當(dāng)包括哪些內(nèi)容、鑒別的

28、方式有哪幾種？、符合性包括什么內(nèi)容？、風(fēng)險(xiǎn)的定義、目標(biāo)和風(fēng)險(xiǎn)管理的控制方法、27002的核心是風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估方法包括定量、定性，及它們的適用場(chǎng)景、SSE-CMM的理論基礎(chǔ)是現(xiàn)代統(tǒng)計(jì)過(guò)程控制理論、SSE-CMM的域維包括什么？、SSE-CMM的能力級(jí)別、國(guó)內(nèi)、國(guó)外應(yīng)急響應(yīng)小組的名稱和縮寫、三控制、兩管理、一協(xié)調(diào)A、監(jiān)理咨詢階段過(guò)程包括哪幾步？?jī)?nèi)容與目標(biāo)、事件分級(jí)、應(yīng)急響應(yīng)過(guò)程準(zhǔn)備 檢測(cè) 遏制 根除 恢復(fù) 跟蹤、災(zāi)難恢復(fù)等級(jí)，六個(gè)級(jí)別、七個(gè)要素，給出場(chǎng)景，可以判定級(jí)別、RTO、RPO的定義RTO的定義：恢復(fù)時(shí)間目標(biāo)（recovery time objective）。RPORecovery Po

29、int Objective，恢復(fù)點(diǎn)目標(biāo)：災(zāi)難發(fā)生后，系統(tǒng)合數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求。代表了當(dāng)災(zāi)難發(fā)生時(shí)允許丟失的數(shù)據(jù)量。RTORecovery Time Objective ，恢復(fù)時(shí)間目標(biāo)：災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須恢復(fù)的時(shí)間要求。代表了系統(tǒng)恢復(fù)的時(shí)間、TC260下的WG5是負(fù)責(zé)什么的？信息安全評(píng)估工作組WG5-信息安全評(píng)估工作組 WG6-通信安全標(biāo)準(zhǔn)工作組 WG7-信息安全管理工作組、彩虹系列書，各是什么內(nèi)容？5200.28-STD 國(guó)防部可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（橘皮書），1985年12月26日DoD Trusted Computer System Evaluation C

30、riteria(Orange Book), 26 December 1985簡(jiǎn)介：本標(biāo)準(zhǔn)提供了硬件、固件和軟件的安全技術(shù)標(biāo)準(zhǔn)以及相應(yīng)的技術(shù)評(píng)測(cè)方法，這些標(biāo)準(zhǔn)和方法用于支持自動(dòng)數(shù)據(jù)處理系統(tǒng)的整體安全策略、評(píng)測(cè)和批準(zhǔn)審批工作。CSC-STD-002-85 國(guó)防部口令管理指導(dǎo)方針（綠皮書），1985年4月12日DoD Password Management Guideline(Green Book), 12 April 1985簡(jiǎn)介：本指導(dǎo)方針提供了在用于處理保密和其它敏感信息的自動(dòng)數(shù)據(jù)處理系統(tǒng)中，基于口令的用戶認(rèn)證機(jī)制的一系列最佳實(shí)踐。CSC-STD-003-85 計(jì)算機(jī)安全需求 在特定環(huán)境中應(yīng)用

31、國(guó)防部TCSEC的指南（淺黃皮書），1985年6月25日Computer Security Requirements - Guidance for Applying the DoD TCSEC in Specific Environments(Light Yellow Book), 25 June 1985 簡(jiǎn)介：本指南定義了不同應(yīng)用環(huán)境條件下的計(jì)算機(jī)安全需求。CSC-STD-004-85 計(jì)算機(jī)安全需求（CSC-STD-003-85）背后的技術(shù)理性（黃皮書），1985年6月25日Technical Rational Behind CSC-STD-003-85: Computer Securi

32、ty Requirements - Guidance for Applying the DoD TCSEC in Specific Environments(Yellow Book), 25 June 1985簡(jiǎn)介：本書介紹了計(jì)算機(jī)安全需求（CSC-STD-003-85）的背景討論和理性。NCSC-TG-001 理解受信系統(tǒng)審計(jì)的指南（褐皮書）， 1988年6月1日第二版A Guide to Understanding Audit in Trusted Systems(Tan Book), 1 June 1988, Version 2簡(jiǎn)介：本指南提供了在用于處理保密和其它敏感信息的自動(dòng)數(shù)據(jù)處理

33、系統(tǒng)中進(jìn)行審計(jì)的一系列最佳實(shí)踐。NCSC-TG-002 受信產(chǎn)品評(píng)測(cè) 供應(yīng)商指南（淺藍(lán)皮書），1990年6月22日Trusted Product Evaluations - A Guide for Vendors(Bright Blue Book), 22 June 1990簡(jiǎn)介：本指南提出了對(duì)商業(yè)產(chǎn)品進(jìn)行安全評(píng)測(cè)的方法和要求。NCSC-TG-003 理解受信系統(tǒng)中任意訪問(wèn)控制的指南（氖橘皮書），1987年11月30日A Guide to Understanding Discretionary Access Control in Trusted Systems(Neon Orange Book

34、), 30 September 1987簡(jiǎn)介：本指南為計(jì)算機(jī)硬件和軟件設(shè)計(jì)者提供了在構(gòu)建符合安全要求的系統(tǒng)時(shí)所需的指導(dǎo)。NCSC-TG-004 計(jì)算機(jī)安全術(shù)語(yǔ)詞匯表（鳧藍(lán)皮書），1988年10月21日Glossary of Computer Security Terms(Teal Green Book), 21 October 1988簡(jiǎn)介：本詞匯表提供了大量的計(jì)算機(jī)安全術(shù)語(yǔ)及其定義。NCSC-TG-005 TCSEC中受信網(wǎng)絡(luò)的解釋（紅皮書），1987年7月31日Trusted Network Interpretation of the TCSEC (TNI)(Red Book), 31 July 1987簡(jiǎn)介：本解釋將TCSEC中的評(píng)測(cè)類型擴(kuò)展到受信網(wǎng)絡(luò)系統(tǒng)及其組件。、TCSEC、ITSEC各級(jí)對(duì)應(yīng)關(guān)系，各級(jí)的含義、CC評(píng)估準(zhǔn)則標(biāo)準(zhǔn)結(jié)構(gòu)，EAL評(píng)估保證級(jí)CC的應(yīng)用范圍：CC的評(píng)估對(duì)象（TOE）為具有信息安全功能的產(chǎn)品和系統(tǒng)、不包括屬于行政性管理安全措施的評(píng)估準(zhǔn)則、不包括安全技術(shù)物理方面（諸如電磁輻射控制 ）的評(píng)估準(zhǔn)則、不包