CISP考試大綱講解課件_第1頁
CISP考試大綱講解課件_第2頁
CISP考試大綱講解課件_第3頁
CISP考試大綱講解課件_第4頁
CISP考試大綱講解課件_第5頁
已閱讀5頁,還剩78頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、CISP考試大綱演講人 XXCISP考試大綱演講人 XX01業(yè)務(wù)聯(lián)系性 01業(yè)務(wù)聯(lián)系性 業(yè)務(wù)聯(lián)系性 A業(yè)務(wù)連續(xù)性管理C密碼學(xué)B信息安全應(yīng)急響應(yīng)D災(zāi)難備份與恢復(fù) 業(yè)務(wù)聯(lián)系性 A業(yè)務(wù)連續(xù)性管理C密碼學(xué)B信息安全應(yīng)急響應(yīng)D災(zāi)難業(yè)務(wù)聯(lián)系性 業(yè)務(wù)連續(xù)性管理AB處置方式:降低/轉(zhuǎn)移/規(guī)避/接受RPO/RTO 業(yè)務(wù)聯(lián)系性 業(yè)務(wù)連續(xù)性管理AB處置方式:降低/轉(zhuǎn)移/規(guī)避/接業(yè)務(wù)聯(lián)系性 信息安全應(yīng)急響應(yīng)7個(gè)基本類別特別/重大/較大/一般 桌面/模擬/實(shí)戰(zhàn) 數(shù)據(jù)/應(yīng)用/業(yè)務(wù) 準(zhǔn)備/檢測(cè)/遏制/根除/恢復(fù)/跟蹤業(yè)務(wù)聯(lián)系性 信息安全應(yīng)急響應(yīng)7個(gè)基本類別特別/重大/較大/一業(yè)務(wù)聯(lián)系性 密碼學(xué)PKI:CA/RA/CRL/終

2、端 CIA香農(nóng)-成為學(xué)科,DH-商業(yè)應(yīng)用業(yè)務(wù)聯(lián)系性 密碼學(xué)PKI:CA/RA/CRL/終端 CIA香業(yè)務(wù)聯(lián)系性 災(zāi)難備份與恢復(fù) SHARE78:06 01災(zāi)備恢復(fù)指南:1602業(yè)務(wù)聯(lián)系性 災(zāi)難備份與恢復(fù) SHARE78:06 01災(zāi)備02信息安全支撐技術(shù)02信息安全支撐技術(shù)信息安全支撐技術(shù)身份鑒別 0102所知/所有/特征kerberos:KDC/AS/TGS信息安全支撐技術(shù)身份鑒別 0102所知/所有/特征kerbe訪問控制ABCDAC自主 MAC強(qiáng)制PMI訪問控制ABCDAC自主 MAC強(qiáng)制PMIACL:客體上附加主題明細(xì)表 CL:為每個(gè)用戶維護(hù)一個(gè)表示可以訪問的客體及權(quán)限的表安全性不高

3、信息在傳遞過程中其訪問權(quán)限關(guān)系會(huì)被改變?cè)L問控制DAC自主 ACL:客體上附加主題明細(xì)表 CL:為每個(gè)用戶維護(hù)一個(gè)表示可BLP:絕密/機(jī)密/秘密,向下讀,向上寫 Biba/Clark:完整性,向上讀,向下寫 Chinese Wall 安全性較高 安全屬性是強(qiáng)制的,任何主體無法變更訪問控制MAC強(qiáng)制BLP:絕密/機(jī)密/秘密,向下讀,向上寫 訪問控制MAC強(qiáng)制基于PKI提供的可信身份認(rèn)證服務(wù)的基礎(chǔ)基于屬性證書的授權(quán)模式訪問控制PMI基于PKI提供的可信身份認(rèn)證服務(wù)的基礎(chǔ)訪問控制PMI03信息安全評(píng)估 03信息安全評(píng)估 信息安全評(píng)估 A安全評(píng)估工具 C安全評(píng)估實(shí)施B安全評(píng)估標(biāo)準(zhǔn)D信息系統(tǒng)審計(jì)信息安全評(píng)

4、估 A安全評(píng)估工具 C安全評(píng)估實(shí)施B安全評(píng)估標(biāo)準(zhǔn)D信息安全評(píng)估 安全評(píng)估標(biāo)準(zhǔn)01TCSEC:D/C1/C2/B1/B2/B3/A102ITSEC 03CC/GB/T 18336 04等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)信息安全評(píng)估 安全評(píng)估標(biāo)準(zhǔn)01TCSEC:D/C1/C2/B安全評(píng)估標(biāo)準(zhǔn)等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)CC/GB/T 18336 ITSEC TCSEC:D/C1/C2/B1/B2/B3/A1第一個(gè)提出標(biāo)準(zhǔn)化第一個(gè)提出CIATOE/PP/ST 功能/保證/包 EAL:17,1功能2結(jié)構(gòu)34系統(tǒng)56半形式化7形式化 安全評(píng)估標(biāo)準(zhǔn)等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)CC/GB/T 18336 IT信息安全評(píng)估 安全評(píng)估實(shí)施01要素:資產(chǎn)

5、/威脅/脆弱性/信息安全風(fēng)險(xiǎn)/安全措施/殘余風(fēng)險(xiǎn)02評(píng)估方式:自評(píng)估/檢查評(píng)估 03評(píng)估方法:04基本過程信息安全評(píng)估 安全評(píng)估實(shí)施01要素:資產(chǎn)/威脅/脆弱性/信息要素:資產(chǎn)/威脅/脆弱性/信息安全風(fēng)險(xiǎn)/安全措施/殘余風(fēng)險(xiǎn)安全評(píng)估實(shí)施要素:資產(chǎn)/威脅/脆弱性/信息安全風(fēng)險(xiǎn)/安全措施/殘余風(fēng)險(xiǎn)安評(píng)估方式:自評(píng)估/檢查評(píng)估 安全評(píng)估實(shí)施評(píng)估方式:自評(píng)估/檢查評(píng)估 安全評(píng)估實(shí)施安全評(píng)估實(shí)施評(píng)估方法:AB定性定量:ALE=(EF*AV)*ARO安全評(píng)估實(shí)施評(píng)估方法:AB定性定量:ALE=(EF*AV)*基本過程風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)識(shí)別 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)計(jì)算報(bào)告殘余風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理計(jì)劃風(fēng)險(xiǎn)結(jié)果判定基本過程風(fēng)險(xiǎn)

6、評(píng)估準(zhǔn)備風(fēng)險(xiǎn)識(shí)別 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)計(jì)算報(bào)告殘余風(fēng)風(fēng)險(xiǎn)評(píng)估計(jì)劃書風(fēng)險(xiǎn)評(píng)估方案風(fēng)險(xiǎn)評(píng)估方法和工具列表 基本過程風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)評(píng)估計(jì)劃書基本過程風(fēng)險(xiǎn)評(píng)估準(zhǔn)備資產(chǎn)資產(chǎn)清單威脅威脅列表脆弱性脆弱性列表確認(rèn)已有的控制措施已有安全措施列表基本過程風(fēng)險(xiǎn)識(shí)別 資產(chǎn)資產(chǎn)清單基本過程風(fēng)險(xiǎn)識(shí)別 風(fēng)險(xiǎn)結(jié)果判定風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)程度等級(jí)列表基本過程風(fēng)險(xiǎn)結(jié)果判定風(fēng)險(xiǎn)評(píng)估報(bào)告基本過程04計(jì)算環(huán)境安全04計(jì)算環(huán)境安全計(jì)算環(huán)境安全操作系統(tǒng)安全SID 500/501壹貳/etc/passwd密碼散列,root可讀寫叁內(nèi)存保護(hù)與文件系統(tǒng)保護(hù)肆操作系統(tǒng)安全配置伍安全審計(jì)計(jì)算環(huán)境安全操作系統(tǒng)安全SID 500/501壹貳/etc/信息收集與

7、系統(tǒng)攻擊201120122013 whois/pingespebpeip緩沖區(qū)溢出特征碼掃描/行為檢測(cè)靜態(tài)分析/動(dòng)態(tài)分析惡意代碼防護(hù)信息收集與系統(tǒng)攻擊201120122013 whois/pi應(yīng)用安全 計(jì)算環(huán)境安全應(yīng)用安全 計(jì)算環(huán)境安全數(shù)據(jù)安全計(jì)算環(huán)境安全數(shù)據(jù)安全計(jì)算環(huán)境安全05網(wǎng)絡(luò)安全監(jiān)管05網(wǎng)絡(luò)安全監(jiān)管網(wǎng)絡(luò)安全監(jiān)管網(wǎng)絡(luò)安全法律體系建設(shè)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法0204互聯(lián)網(wǎng)信息內(nèi)容管理行政執(zhí)法程序規(guī)定網(wǎng)絡(luò)安全法七章79條03互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定01網(wǎng)絡(luò)安全監(jiān)管網(wǎng)絡(luò)安全法律體系建設(shè)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法0安全等級(jí)保護(hù):5個(gè)級(jí)別三級(jí):監(jiān)督,四級(jí):強(qiáng)制國家網(wǎng)絡(luò)安全政策安全等級(jí)保護(hù):5個(gè)

8、級(jí)別三級(jí):監(jiān)督,四級(jí):強(qiáng)制國家網(wǎng)絡(luò)安全政策網(wǎng)絡(luò)安全道德準(zhǔn)則 CISP職業(yè)道德準(zhǔn)則 網(wǎng)絡(luò)安全監(jiān)管網(wǎng)絡(luò)安全道德準(zhǔn)則 CISP職業(yè)道德準(zhǔn)則 網(wǎng)絡(luò)安全監(jiān)管信息安全標(biāo)準(zhǔn)TC260網(wǎng)絡(luò)安全監(jiān)管信息安全標(biāo)準(zhǔn)TC260網(wǎng)絡(luò)安全監(jiān)管06信息安全管理06信息安全管理信息安全管理信息安全風(fēng)險(xiǎn)管理信息安全管理體系建設(shè) 信息安全管理體系最佳實(shí)踐 信息安全管理體系度量信息安全管理信息安全風(fēng)險(xiǎn)管理信息安全管理體系建設(shè) 信息安全管信息安全風(fēng)險(xiǎn)管理信息安全管理風(fēng)險(xiǎn)管理模型01基本過程02信息安全風(fēng)險(xiǎn)管理信息安全管理風(fēng)險(xiǎn)管理模型01基本過程02風(fēng)險(xiǎn)管理模型 COBIT:框架、流程描述、控制目標(biāo)、管理指南、成熟度模型基本過程 背景

9、建立風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)處理批準(zhǔn)監(jiān)督監(jiān)控審查溝通咨詢信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理模型基本過程信息安全風(fēng)險(xiǎn)管理信息安全管理體系建設(shè) ISO27001:PDCA 信息安全管理信息安全管理體系建設(shè) ISO27001:PDCA 信息安全管信息安全管理體系建設(shè) ISO27001:PDCA 規(guī)劃與建立01實(shí)施與運(yùn)行02監(jiān)視和評(píng)審03維護(hù)與改進(jìn)04信息安全管理體系建設(shè) ISO27001:PDCA 規(guī)劃與建立信息安全管理體系最佳實(shí)踐 ISO27002安全控制措施14個(gè)類別 信息安全管理信息安全管理體系最佳實(shí)踐 ISO27002安全控制措施14個(gè)ISO27002安全控制措施14個(gè)類別 信息安全方針01資產(chǎn)管理04信息安全

10、組織02訪問控制05人力資源安全03密碼學(xué)06ISO27002安全控制措施14個(gè)類別 信息安全方針01資產(chǎn)ISO27002安全控制措施14個(gè)類別 物理與環(huán)境安全 操作安全通訊安全信息安全事件管理供應(yīng)商管理信息獲取開發(fā)及維護(hù)ISO27002安全控制措施14個(gè)類別 物理與環(huán)境安全 操作ISO27002安全控制措施14個(gè)類別 業(yè)務(wù)連續(xù)性管理符合性ISO27002安全控制措施14個(gè)類別 業(yè)務(wù)連續(xù)性管理符合性資產(chǎn)管理對(duì)資產(chǎn)負(fù)責(zé)信息分類介質(zhì)處理ISO27002安全控制措施14個(gè)類別 資產(chǎn)管理對(duì)資產(chǎn)負(fù)責(zé)ISO27002安全控制措施14個(gè)類別 07信息安全保障07信息安全保障防御、威懾、利用信息安全保障防御、

11、威懾、利用信息安全保障信息安全保障框架信息安全保障0201P2DR:安全策略PDR:基于時(shí)間信息安全保障框架信息安全保障0201P2DR:安全策略PDR信息安全保障信息安全保障技術(shù)框架IATF深度防御:人/技術(shù)/操作 保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施 保護(hù)區(qū)域邊界 保護(hù)計(jì)算環(huán)境 支持性技術(shù)設(shè)施 壹貳信息安全保障信息安全保障技術(shù)框架IATF深度防御:人/技術(shù)/信息安全保障評(píng)估框架 企業(yè)安全架構(gòu) 評(píng)估模型:風(fēng)險(xiǎn)/策略為基礎(chǔ)ISPP/ISST SABSAZachman TOGAF信息安全保障評(píng)估框架 企業(yè)安全架構(gòu) 評(píng)估模型:風(fēng)險(xiǎn)/策略為基08軟件安全開發(fā)08軟件安全開發(fā)軟件安全開發(fā)軟件安全開發(fā)生命周期軟件安全需求

12、及設(shè)計(jì)軟件安全實(shí)現(xiàn) 軟件安全測(cè)試 軟件安全交付軟件安全開發(fā)軟件安全開發(fā)生命周期軟件安全需求及設(shè)計(jì)軟件安全實(shí)軟件安全開發(fā)軟件安全開發(fā)生命周期SDL:7個(gè)階段CMMI:5級(jí)SAAMBSI:三根支柱 軟件安全開發(fā)軟件安全開發(fā)生命周期SDL:7個(gè)階段CMMI:5軟件安全開發(fā)軟件安全需求及設(shè)計(jì)威脅建模STRIDE01安全設(shè)計(jì)原則 02軟件安全開發(fā)軟件安全需求及設(shè)計(jì)威脅建模STRIDE01安全設(shè)軟件安全測(cè)試 軟件安全開發(fā)模糊測(cè)試01滲透測(cè)試02軟件安全測(cè)試 軟件安全開發(fā)模糊測(cè)試01滲透測(cè)試02軟件安全交付軟件安全開發(fā)供應(yīng)鏈安全01軟件驗(yàn)收 02安全部署03軟件安全交付軟件安全開發(fā)供應(yīng)鏈安全01軟件驗(yàn)收 0

13、2安全部署09安全工程與運(yùn)營09安全工程與運(yùn)營安全工程與運(yùn)營系統(tǒng)安全工程安全運(yùn)營內(nèi)容安全社會(huì)工程學(xué)安全工程與運(yùn)營系統(tǒng)安全工程安全運(yùn)營內(nèi)容安全社會(huì)工程學(xué)安全工程與運(yùn)營系統(tǒng)安全工程01策略/機(jī)制/保證/動(dòng)機(jī) 同步規(guī)劃、同步建設(shè)、同步使用 03項(xiàng)目管理05能力成熟度模型02系統(tǒng)工程04質(zhì)量管理(ISO9000)06SSE-CMM 安全工程與運(yùn)營系統(tǒng)安全工程01策略/機(jī)制/保證/動(dòng)機(jī) 同步規(guī)系統(tǒng)工程霍爾三維結(jié)構(gòu)圖方法論系統(tǒng)工程霍爾三維結(jié)構(gòu)圖方法論時(shí)間、成本、質(zhì)量項(xiàng)目管理時(shí)間、成本、質(zhì)量項(xiàng)目管理質(zhì)量管理(ISO9000)機(jī)構(gòu) 程序過程總結(jié)質(zhì)量管理(ISO9000)機(jī)構(gòu) 程序過程總結(jié)定義過程的能力能力成熟

14、度模型定義過程的能力能力成熟度模型描述基本特征 SSE-CMM 描述基本特征 SSE-CMM BA-PA-工程類-過程類風(fēng)險(xiǎn)過程4工程過程5保證過程2域維BA-PA-工程類-過程類風(fēng)險(xiǎn)過程4域維能力維:05級(jí)SSE-CMM 能力維:05級(jí)SSE-CMM 安全工程與運(yùn)營安全運(yùn)營參考標(biāo)準(zhǔn) 01補(bǔ)丁管理 03漏洞管理02變更管理04安全工程與運(yùn)營安全運(yùn)營參考標(biāo)準(zhǔn) 01補(bǔ)丁管理 03漏洞管理0參考標(biāo)準(zhǔn) COBIT:IT控制和度量評(píng)價(jià)01ITIL:IT過程管理02ISO27000:IT安全控制03參考標(biāo)準(zhǔn) COBIT:IT控制和度量評(píng)價(jià)01ITIL:IT過內(nèi)容安全安全工程與運(yùn)營數(shù)字版權(quán)01信息保護(hù)02網(wǎng)

15、絡(luò)輿情03內(nèi)容安全安全工程與運(yùn)營數(shù)字版權(quán)01信息保護(hù)02網(wǎng)絡(luò)輿情03社會(huì)工程學(xué)安全意識(shí)培訓(xùn)安全工程與運(yùn)營社會(huì)工程學(xué)安全意識(shí)培訓(xùn)安全工程與運(yùn)營10物理環(huán)境與網(wǎng)絡(luò)通訊安全10物理環(huán)境與網(wǎng)絡(luò)通訊安全物理安全物理環(huán)境與網(wǎng)絡(luò)通訊安全物理安全物理環(huán)境與網(wǎng)絡(luò)通訊安全OSI模型5類安全服務(wù)8種安全機(jī)制 OSI模型5類安全服務(wù)8種安全機(jī)制 5類安全服務(wù)鑒別服務(wù)訪問控制服務(wù)數(shù)據(jù)完整性服務(wù) 數(shù)據(jù)保密性服務(wù)抗抵賴服務(wù)OSI模型5類安全服務(wù)鑒別服務(wù)OSI模型8種安全機(jī)制 加密數(shù)據(jù)簽名 訪問控制數(shù)據(jù)完整性鑒別交換業(yè)務(wù)流填充路由控制公正OSI模型8種安全機(jī)制 加密OSI模型TCP/IP協(xié)議安全1234網(wǎng)絡(luò)接口層arp欺騙 應(yīng)用層dns欺騙互聯(lián)網(wǎng)絡(luò)層 teardrop/死亡ping傳輸層syn/udp flood/smurf TCP/IP協(xié)議安全1234網(wǎng)絡(luò)接口層arp欺騙 應(yīng)用層dn無線通訊安

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論