当前位置：文档库 › CISSP要点-第四章访问控制

CISSP要点-第四章访问控制

CISSP认证考试指南第四章访问控制知识点汇总

访问是主体和客体之间的一种信息传输。

主体是访问客体的主动实体；客体是被访问的被动实体。

主体可以是一个用户、程序、进程。

机密性就是保护信息不对未授权的主体泄漏。

能够提供机密性的安全机制包括加密、逻辑和物理访问控制、传输协议、数据库视图和流量控制等。

身份管理解决方案包括目录、Web访问管理、密码管理、遗留单点登录、账户管理和配置文件更新等。

密码同步降低了保留不同系统的各种密码的复杂性。

自助式密码重设通过允许用户重新设置他们的密码，减少帮助桌面收到的电话数量。

辅助式密码重设为帮助桌面减少有关密码问题的决策处理。

身份管理目录中包含所有资源信息、用户属性、授权配置文件、角色和访问控制策略，以便其他身份管理应用程序有一个集中式的资源来收集这些信息。

提供身份管理解决方案的账户管理产品常常采用自动化的工作流程组件。

用户配置是指为响应业务流程而创建、维护和删除存在于一个或几个系统、目录或应用程序中的用户对象和属性。

人力资源数据库常被认为是用户实体的权威来源，因为这里是最早创建并正确维护用户实体的地方。

一共有三种主要的访问控制模型：自主型、强制型和非自主型访问控制。

自主访问控制（DAC）使数据拥有者能确定哪些主体可以访问他们拥有的文件和资源。

非自主性访问控制只用基于角色的访问控制方法来决定访问控制权限。

强制型访问控制（MAC）采用安全标签系统。用户具有访问等级，资源则有安全标签，标签上面有数据的分类。MAC比较二者来决定访问控制的能力。

基于角色的访问控制模式允许资源基于用户的角色和职责在公司中进行访问。

有三种主要的限制性接口：菜单和命令、数据库视图和物理限制接口。

访问控制列表和客体绑定在一起，标出什么样的主体才能访问它。访问能力表和主体绑定在一起，标出主体能访问什么样的客体。访问控制可以用两种方式进行管理：集中式和分散式

集中控制的例子有RADIUS、TACACSS+和Diameter。

分散控制的例子就是对等工作组。‘

管理控制的例子包括安全策略、人员控制、监督机构、安全意识培训和测试。

物理控制的例子包括网络分段、边界安全、计算机控制、工作区域分离、数据备份和布线。

技术控制的例子包括系统访问、网络体系结构、网络访问、加密和协议，以及审计。

生物识别技术的第一类错误是指系统拒绝了一个授权用户，第二类错误是指系统认证了一个冒名的顶替者。

存储卡不能处理信息，但是智能卡可以。

访问控制的默认设置应该是拒绝访问。

最小特权和需要知晓的原则限制用户只拥有他开展工作和完成任务所需要的访问权限。

单点登录只需要用户在网络中进行一次认证。

单点登录功能可以通过Kerberos、SESAME、域和瘦客户机来实现。

在Kerberos中，用户是从KDC中接收到票据访问资源。Kerberos与用户收到一张票据授予票据(TGT)，该票据允许他请求访问整个票据授予服务（TGS）中的资源。TGS使用会话密钥生成一张新的票据。

访问控制攻击包括：拒绝服务、诱骗、字典式攻击、蛮力攻击和Wardialing攻击。

审计可以跟踪用户的活动、应用程序事件和系统事件。

键击监控是一种跟踪用户每一次按键记录的审计过程。

要保护好审计日志，并且要检查日志。

对象重用可能会无意识地泄露信息。

仅仅删除文件的指针并不能彻底地给对象重用提供保护。

信息可以通过电磁波获取。对于这种类型的入侵，解决方法就是TEMPEST、白噪声和控制区。

用户认证可以通过“他知道什么”，“他是什么”，“他有什么”来进行。一次性密码可以使用同步和异步令牌的方式。

强化认证需要三种认证特征(“他知道什么”，“他是什么”，“他有什么”)中的至少两种。

Kerberos提供机密性和完整性，但是不提供可用性。Kerberos有以下一些弱点：KDC是一个单一故障点，它不能防范密码猜测，会话密钥在本地保存；KDC必须总是可用的，必须要管理好密钥。

IDS可以是统计的(监视活动)，或基于特征的(探测已知的攻击)。消磁是一种防止机密信息泄漏的方式，它可以将介质恢复到原始的状态。

网络钓鱼是一种社交工程攻击，其目的是获取个人信息、证书、信用卡号码或金融数据。

葵花宝典CISSP真题录

葵花宝典C I S S P真题录 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】

B 没有源认证 6．(1) 假如：T为IDS控制成本费用200000美元 E为每年恢复数据节省费用50000美元 R是为实施控制措施之前的每年恢复费用100000美元问：实际投资回报为： A -50000 B -100000 C 100000 D 150000 A (投资回报就是控制前-控制后, 投资回报负值就是省了多少，正值就是赚了多少) (2) 问年度预期损失ALE怎么计算： B A (R+E)/T B（R-E）+T C (R-T)*E D T/(R-E) 7．ipsec隧道模式下的端到端加密，ip包头 B

A 加密，数据不加密 B和数据一起加密 C 不加密，数据加密 8．实施一个安全计划，最重要的是： B A 获取安全计划所需的资源 B 与高层管理者访谈 9．安全要求属于： B A. ST安全目标 B. PP C . TOE 10．TOE属于 A A CC B 可信计算机 11．公司进行信息安全评估，打算把所有应用程序维护外包，问对服务提供商什么是最重要的 C A BIA B 风险管理

葵花宝典 CISSP真题录

1．状态检测防火墙什么时候实施规则变更备份？B A 防火墙变更之前 B 防火墙变更之后 C 作为完全备份的一部分 D 作为增量备份的一部分 2．哪项违反了CEI？ B A 隐瞒之前的犯罪记录行为 B CISSP从业者从事不道德行为 3．FTP的风险？B A 没有目标认证 B 明文传输 4．L2TP是为了通过什么协议实现？ A A PPP B PCP 5．VOIP在语音通信过程当中，弱点? B A 没有目标认证 B 没有源认证 6．(1) 假如：T为IDS控制成本费用200000美元 E为每年恢复数据节省费用50000美元 R是为实施控制措施之前的每年恢复费用100000美元问：实际投资回报为： A -50000 B -100000 C 100000 D 150000 A (投资回报就是控制前-控制后, 投资回报负值就是省了多少，正值就是赚了多少) (2) 问年度预期损失ALE怎么计算： B A (R+E)/T B（R-E）+T C (R-T)*E D T/(R-E) 7．ipsec隧道模式下的端到端加密，ip包头 B A 加密，数据不加密 B和数据一起加密 C 不加密，数据加密 8．实施一个安全计划，最重要的是：B

A 获取安全计划所需的资源 B 与高层管理者访谈 9．安全要求属于： B A. ST安全目标 B. PP C . TOE 10．TOE属于 A A CC B 可信计算机 11．公司进行信息安全评估，打算把所有应用程序维护外包，问对服务提供商什么是最重要的？ C A BIA B 风险管理 C SLA 12．公司运维外包服务，问什么时候跟服务提供商确定安全要求？ A A 合同谈判 B 合同定义 1.外部审计师违反了公司安全要求，问惩罚判定来源： C A 公司安全要求 B 外部审计公司要求 C 双方协议 2.公司实施一个纵深防御政策，问由内到外的层次设计？A？ A 边界场地出入口办公区计算机机房 B 围墙场地出入口计算机机房办公区域 3.802.1 b具有什么功能？共享密钥 4.SSL协议双向认证，部分使用，除了客户端验证服务器，还有？ A A 服务器对客户端自我验证 B 客户端对服务器自我验证 5.可重复使用是在CMMI的哪个阶段？第二个 A、不可预测 B、可重复 C、可定义 D、可管理 E、可优化

CISSP 2018年全真英文回忆题

CISSP 2016－2018 Brain Dumps (考生注意：本真题回忆建议答案仅供参考) 2018.11.28 1、In Mandatory Access Control, sensitivity labels attached to objects contain what information? A. The item's classification B. The item's classification and category set C. The item's category D. The items' need to know 建议答案： B 2、When it comes to magnetic media sanitization, what difference can be made between clearing and purging information? A. Clearing completely erases the media whereas purging only removes file headers, allowing the recovery of files. B. Clearing renders information unrecoverable by a keyboard attack and purging renders information unrecoverable against laboratory attack. C. They both involve rewriting the media. D. Clearing renders information unrecoverable against a laboratory attack and purging renders information unrecoverable to a keyboard attack. 建议答案： B 3、What security model is dependent on security labels? A. Discretionary access control B. Label-based access control C. Mandatory access control D. Non-discretionary access control 建议答案：C

CISSP认证考试(法律、法规、调查与合规)-试卷1

CISSP认证考试（法律、法规、调查与合规）-试卷1 (总分：62.00，做题时间：90分钟) 1.Cyberlaw categorizes computer-related crime into three categories. Which of the following is an example of a crime in which the use of a computer would be categorized as incidental? （分数： 2.00） A.Carrying out a buffer overflow to take control of a system B.The electronic distribution of child pornography √ C.Attacking financial systems to steal funds D.Capturing passwords as they are sent to the authentication server 解析：解析：B正确。美国已经制定了法律来打击3种类型的犯罪：计算机辅助犯罪、针对计算机的犯罪和附带计算机犯罪。如果某种犯罪属于“附带计算机犯罪”的范畴，这意味着计算机仅以一种次要的方式参与进来，但它的参与微不足道。儿童色情物品的数字发行便是一种“附带计算机犯罪”的例子。真正的犯罪是获取和共享儿童色情图片或图形。这些图片既可以存储在一个文件服务器上，也可以存放在某人桌子上的物理文件中。所以，如果某种犯罪属于这种犯罪类型，并非是一个计算机攻击另外一个计算机。虽然计算机未遭受攻击，但是它却以某种方式被人使用。因此，计算机成为与犯罪有关的额外的证据来源。A 不正确。因为利用缓冲区溢出达到控制系统的目的便是一种针对计算机的犯罪。针对计算机的犯罪是指专门针对计算机(和它的主人)的攻击。其他针对计算机犯罪的例子还有：分布式拒绝服务攻击(distributed denial-of-service attack)、安装旨在造成瘫痪的恶意软件、安装具有恶意目的的rootkits和嗅探器。C 不正确。因为攻击金融系统以偷取资金是一种计算机辅助犯罪。计算机辅助犯罪是指将计算机作为开展犯罪活动的工具。计算机辅助犯罪的例子还有：通过攻击军事系统获取军事情报资料和通过攻击重要的国家基础设施系统从事信息战活动。 D不正确。因为在密码被发送到验证服务器时截获它们是一个针对计算机犯罪的例子。“计算机辅助犯罪”和“针对计算机的犯罪”这两个类别通常容易被混淆，因为从直觉上来看，任何攻击都属于这两类。而区分它们的一种方法就是：针对计算机的犯罪没有计算机就不可能实现，而计算机辅助犯罪在没有计算机的情况下仍然可行。因此，针对计算机的犯罪在计算机普及使用之前不存在(也不可能存在)。换句话说，在过去的好时光里，你不能对你的邻居进行缓冲区溢出攻击，也不能在你敌人的系统上安装恶意软件。这些犯罪都需要用到计算机。 2.Which organization has been developed to deal with economic, social, and governance issues, and with how sensitive data is transported over borders? （分数：2.00） A.European Union B.Council of Europe C.Safe Harbor https://www.wendangku.net/doc/7511224148.html,anisation for Economic Co-operation and Development √ 解析：解析：D正确。跨国家边境传输数据的国际组织必须了解和遵循经济合作与发展组织(Organisation for Economic Co-operation and Development，OECD)准则。因为关于私人数据的定义以及如何保护私人数据，大多数国家都有不同的法律条款，因此，国际贸易变得更加错综复杂并给国家经济带米了负面影响。OECD是一个国际化组织，它旨在帮助不同国家和政府共同应对全球化经济所面临的经济、社会和管理挑战。正因为如此，OECD提出了不同国家应该遵循行为指南，从而确保数据得到保护，以及各国都遵循相同的一套规则。这套规则之一便是主体应该能够找出一个组织是否拥有它们自己的私人信息，如果有的话，这信息是什么，从而纠正错误数据并对要求这样做的否定请求提出质疑。A不正确。因为欧盟(European Union)不是一个处理经济、社会和治理问题的组织，而是一个处理敏感数据保护问题的组织。欧盟的隐私原则是：必须在收集数据时具体说明收集原因：数据不能用作其他目的：不应该收集不必要的数据；数据应该只保留到完成既定任务为止：只有需要完成既定任务的人才应该拥有数据的访问权：任何负责安全地存储数据的人都不应该允许数据的无意“泄露”。 B不正确。因为欧洲理事会(Council of Europe)负责创建网络犯罪公约(Conventionfor Cybercrime)。欧洲理事会的网络犯罪公约试图创建一个应对网络犯罪的国际标准。实际上，它是第一个试图通过协调国家法律、提高侦查技术和国际合作寻求处理计算机犯罪的国际化条约。这个公约的目标包括为被告的管辖权和引渡创建一个框架。例如，只有当事故在两个司法管辖区都

葵花宝典 CISSP真题录

B -100000 C 100000 D 150000 A (投资回报就是控制前-控制后, 投资回报负值就是省了多少，正值就是赚了多少) (2) 问年度预期损失ALE怎么计算： B A (R+E)/T B（R-E）+T C (R-T)*E D T/(R-E) 7．ipsec隧道模式下的端到端加密，ip包头 B A 加密，数据不加密 B和数据一起加密 C 不加密，数据加密 8．实施一个安全计划，最重要的是： B A 获取安全计划所需的资源 B 与高层管理者访谈 9．安全要求属于： B A. ST安全目标 B. PP C . TOE 10．TOE属于 A

A CC B 可信计算机 11．公司进行信息安全评估，打算把所有应用程序维护外包，问对服务提供商什么是最重要的？ C A BIA B 风险管理 C SLA 12．公司运维外包服务，问什么时候跟服务提供商确定安全要求？ A A 合同谈判 B 合同定义 1.外部审计师违反了公司安全要求，问惩罚判定来源： C A 公司安全要求 B 外部审计公司要求 C 双方协议 2.公司实施一个纵深防御政策，问由内到外的层次设计？ A？ A 边界场地出入口办公区计算机机房 B 围墙场地出入口计算机机房办公区域 3.802.1 b具有什么功能？共享密钥 4.SSL协议双向认证，部分使用，除了客户端验证服务器，还有？ A A 服务器对客户端自我验证 B 客户端对服务器自我验证

对一次通过CISSP考试的建议

对一次通过C I S S P考试的建议 Prepared on 22 November 2020

对一次通过CISSP考试的建议通过多年教授“国际注册信息系统安全专家（CISCP）”课程经验后，总结出一些CISSP的考试方法，并相信这些方法是能让您一次通过CISSP考试的有效方法。有效方法关于教材的学习：仔细阅读《（ISC）2 CISSP官方学习指南（第7版）》，每一个章节都要熟读，重点是加强理解。整本CISSP复习指南至少阅读两遍以上，这样能加深内容的印象，对考试才有帮助。如果自身条件及时间允许的话，可以接受培训。有导师的指导，您能正确理解整体的知识架构、重点和难点、考试技巧、以及学习方法和技巧。关于做题练习：练习模拟考试题（可选择《CISSP官方习题集》），认真的去做每一道题，在做题的同时你可以检验出自己在哪方面存在不足，并且可以及时解决问题，直到你达到90％的正确率。我建议你用在阅读《CISSP学习指南上》的时间为35-45％，15-20％的时间去接受培训，另外35-40％用于模拟考试，这样安排不仅能让你掌握CISSP的知识要点，在时间安排上也比较合理。如何去考试认真地对待考试是非常重要的，如果真觉得自己没有准备好，千万不要去尝试，除非您的资金很充足。

考试时要认真的思考每一个问题，像信息安全专家一样，站在企业信息安全保障体系实践下思考问题，选择一个最恰当的答案。由此您也应该能明白，为什么要去理解《（ISC）2 CISSP官方学习指南（第7版）》中的每一种概念、实践方法和技术。失败的原因是什么呢以我的经验，对于大多数具有技术背景的备考者来说，在理解管理方面存在一定的困难，他们往往趋向于技术的思考，这可能是导致失败的一个原因。您面对有一些题的时候，必须像一个信息安全管理者一样去思考问题，并且要学会看到全局。另一方面，一些有管理背景的备考者在管理方面可能会比较有经验，但是可能会发现在技术问题上有所欠缺。这一类备考者需要了解技术的概念和实践方法，还有更核心的是为什么会有这些技术。最后就是一些比较有实践经验的备考者，他们尝试运用自己的概念和技术来解答问题，但这是不可靠的。我建议您考虑和接受（ISC）2的思路、方法和技术，因为这些是被国际公认的、现实的和标准化的。（并且大家也是要为拿到认证）准备材料。现在市场上会有很多书籍及考试材料，在您不了解的情况下，可以直接选择这些材料来学习，但你应该坚持选择（ISC）2官方的材料，因为官方的材料更权威，知识点更可靠，也更贴近考试内容。推荐资料：《（ISC）2 CISSP官方学习指南（第7版）》、《（ISC）2 CISSP官方习题集》。当然了，备考过程中您不用心、不认真，再好的方法也没用。我相信所有备考者，都可以结合自身的情况，运用以上方法取得好成绩。

Cissp考试心得与教材指导.doc

Cissp考试心得与教材指导前两天接到ISC2给我发来的邮件，当看到邮件中祝贺的字样时, 我知道，我的CISSP考过了。一直悬着的心也终于能够放下了。去年10月份我在CISSP考试之前，我曾经答应过zsustar,不管结果怎么样，我都会把我备考CISSP的- ?些经验和体会写下来，与正在备考或者准备参加CISSP的朋友们分享，可当时收到成绩单的时候，看到我离分数线之差27分，我一点心情都没有了。250道题，我只要能多答对4-5道题，结果就不会是这样了。胜利和失败永远只有-线之隔，想要成功，就只能做好充分的准备。在短暂的修整后，我报名参加了12月的CISSP考试。认真总结了第一次考试失败的经验和教训，我又开始重新准备CISSP 考试。考完别人问我考得怎么样，我说：感觉比上次好一点，但不知道结果会不会好一点。现在，我终于可以松-口气。结果，的确比上一次好一点。 CISSP认证不同于其它的认证。我和朋友曾经讨论过CISSP考试与CCIE-security到底有什么不同，我记得我的回答是：CISSP包含了信息安全所涉及的方方面面，包括物理安全、系统安全、操作安全、人员安全等等，而CCIE-security只考虑如何实现网络安全，而且，注重的是如何具体的实现一个安全的网络。因此, 虽然CCIE的考试难度更大一点，但是，CISSP更全面一些。如果你是

一个工程师，想提高自己的在网络安全方面的技术水平， CCIE的认证更加实用一些；CISSP更适合于一个企业内信息部门的主管。我在公司里主要从事技术支持工作，在工作的过程中，对网络安全、系统安全、风险评估、安全标准、业务连续性计划等内容都有一定程度的接触。当我第一次接触到CISSP的时候，我觉得这个认证就好像是为我量身定做的一样，因此，我决定把这个认证考下来。事实证明，我的工作经验对我能够通过考试也有很大的帮助。关于教材的选择关于教材的选择，大家仁者见仁，智者见智，我只对我看过的那些资料谈一下我个人的看法。 The CISSP Prep Guide (2nd Edition) Ronald L. Krutz和Russell DeanVines写的这本书实际上就是大家常说的Prep Guide o据说还有一个Gold Edition,但我一直没有找到英文原版(我在china-pub ±买到了中文版，译者：盛思源、成功)，我手上只有第二版的英文原版，因此，不知道这两个版本之间究竟有什么区别。这本书的最大特点就是考试的针对性特别强，很

CISSP最新10位高分考生经验谈

（一）2015年圣诞通过CISSP考试备考经历 2015年的圣诞节在上海黄浦区汉口路亚洲大厦17层奋战了6个小时，最后十分钟才结束检查，交卷，到前台拿考试结果。我连包都没带，把羽绒服脱下来，手机、钱包等物品放在羽绒服里。穿上羽绒服，接过考试结果，瞥了一眼，PASS，虽然内心一阵狂喜，还是非常淡定地穿好衣服走人。电梯下到一楼，用手机拍了一张照，发到朋友圈，考了六小时烤糊了，呵呵。我应该是2013年的10月份左右参加的培训，当时有些稀里糊涂。培训前一个月把教材寄给我，结果被我丢在一边，没理会。就这么去参加培训了，全脱产5天培训，其中两天是周末，张老师上，余下来三天是另一位老师。依稀记得当时课堂上做题似乎也是错的多对的少，一起培训的大多是银行的人，他们都是要求考过了才给报销考试费，而我是直接培训加考试直接报销了。大部分人在参加培训前已经把All in One这本书看了一遍了，那时候印刷版是第五版，电子版有英文第六版。两位老师都反复强调All in One的重要性，一定要多看几遍这个书，光听培训是不行的。考试的题目比较活，做这些模拟题有点用，但不要抱太大希望。备考无捷径，只有苦读备考圣经--All in One。老师还说培训完抓紧复习，争取一两个月内拿下考试，否则时间一拖越往后越没信心。而我正好是一个反面典型，一拖就拖了两年。而这两年其实也没好好复习，也就把第五版的All in One看了一遍，第六版的英文教材也就看了前面两三章。因为一直没有做好准备，所以考试的事情一拖再拖，今年下半年时，我下定决心不能再拖了。选了2015年的最后一次考试，也就是12月25日圣诞节的这一天。敲定考试后，本来应该好好复习了，发现也没法好好复习，平时回到家里陪陪女儿，一下子时间就过去了。周末想好好看看书，还是不行。就连那次考前串讲，都是在iPad上断断续续地听的，倒不是因为工作忙，而是送我女儿去写字，呵呵。因为是我坚持送女儿去写字，于是我太太坚决不送。结婚有了小孩后这个时间真是不够用。回想起来，那几天的培训收获还是挺大的，光看书内容太多，理不出头绪，抓不着重点。听完培训之后再看书，就容易多了，我是在前面两三章折腾时间特别长。做那个串讲教材时，我也是一做就错，心里哇凉哇凉的啊。可是离考试只有一多星期了，只能硬着头皮上。我太太看我这个复习的样子，还说你这样子也能过。想想自己能过，可能有如下几方面的原因： 1、培训的确给力，框架建立起来了。 2、工作经验，毕竟在这一块混了多年。个人感觉考试题目没有串讲教材那么难，没有多选题，有排序和连线，但加起来的新题型也就4道，而且两道还是单选。新内容比较少，比如WS-Security、SAML、OAuth2，似乎有一道题考到了云。隐私信息有好几道。感觉这个考试覆盖面很广，但是深度不大，真好对我这种浅尝辄止人胃口。（二）拖延症迟来的2015年11月20日考试汇报 ---------------------------------------------------

CISSP官方认证考试指南第7版中文版大纲

CISSP第七版大纲 1.安全何风险管理 1.1.安全基本原则 1.1.1.可用性 1.1. 2.完整性 1.1.3.机密性 1.1.4.平衡安全 1.2.安全定义 1.3.控制类型 1.4.安全框架 1.4.1.ISO/IEC27001系列 1.4. 2.企业安全架构开发 1.4.3.安全控制开发 1.4.4.流程管理开发 1.4.5.功能与安全性 1.5.计算机犯罪法的难题 1.6.网络犯罪的复杂性 1.6.1.电子资产 1.6. 2.攻击的演变 1.6.3.国际问题 1.6.4.法律的类型 1.7.知识产权法 1.7.1.商业秘密 1.7. 2.版权 1.7.3.商标 1.7.4.专利 1.7.5.知识产权的内部保护

1.7.6.软件盗版 1.8.隐私 1.8.1.对隐私法不断增长的需求 1.8. 2.法律、指令和法规 1.8.3.员工隐私问题 1.9.数据泄露 1.9.1.美国的数据泄露相关法律 1.9. 2.其他国家有关数据泄露的法律1.10.策略、标准、基线、指南和过程1.10.1.安全策略 1.10. 2.标准 1.10.3.基线 1.10.4.指南 1.10.5.措施 1.10.6.实施 1.11.风险管理 1.11.1.全面的风险管理 1.11. 2.信息系统风险管理策略 1.11.3.风险管理团队 1.11.4.风险管理过程 1.1 2.威胁建模 1.1 2.1.脆弱性 1.1 2.2.威胁 1.1 2. 3.攻击 1.1 2.4.消减分析 1.13.风险评估和分析 1.13.1.风险分析团队 1.13. 2.信息和资产的价值 1.13.3.构成价值的成本

2019年CISSP模拟试卷

2019年交大慧谷CISSP备考模拟试卷 1.下列那一项能保证发送者的真实性和e-mail的机密性？ A. 用发送者的私钥加密消息散列(hash)，然后用接收者的公钥加密消息散列(hash) B. 发送者对消息进行数字签名然后用发送者的私钥加密消息散列(hash) C. 用发送者的私钥加密消息散列(hash)，然后用接收者的公钥加密消息。 D. 用发送者的私钥加密消息，然后用接收者的公钥加密消息散列(hash) 答案：C 2.下列哪一项准确地描述了可信计算基（TCB）？ A．TCB只作用于固件（Firmware） B．TCB描述了一个系统提供的安全级别 C．TCB描述了一个系统内部的保护机制 D．TCB通过安全标签来表示数据的敏感性答案：C 1

3.下列对虚拟专用网描述正确的是 A、通过不同的网络来构建的专用网络 B、只有使用PPTP才可以建立企业专用网 C、虚拟专网只有运营商拥有 D、只有使用IPSEC协议才能建立真正的VPN 答案：A 4.安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型中的“简单安全规则”？ A．Biba模型中的不允许向上写 B．Biba模型中的不允许向下读 C．Bell-LaPadula模型中的不允许向下写 D．Bell-LaPadula模型中的不允许向上读答案：D 5.为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，下列哪一项最好地描述了星或（*-）完整性原则？ 2

A．Bell-LaPadula模型中的不允许向下写 B．Bell-LaPadula模型中的不允许向上读 C．Biba模型中的不允许向上写 D．Biba模型中的不允许向下读答案：C 6.某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能通过外部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？ A．Bell-LaPadula模型 B．Biba模型 C．信息流模型 D．Clark-Wilson模型答案：D 7.作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？ A．自主访问控制（DAC） B．强制访问控制（MAC） 3

CISSP 考试心得

出来拿到监考MM打印出来的PASS的通知单时，悬着的心终于落下了。最早知道CISSP是在2011年，那个时候还只有英文考试。本文的英文水平比较烂，从小到大英语一直不好，可能有恐惧症吧。一直没有参加英文考试的勇气。2012年知道了CISA，那个时候貌似以已经有CISA的中文考试了，也想学习些信息系统审计的东西。就计划考一下，不过那一年一直比较忙，也没有时间准备。到了2013年终于有了些时间，报了个培训班，参加了6月份的考试。侥幸过了。同年CISSP也推出了中文机考，给我这种英文比较烂的人带来的福音。本来考完CISA后，准备在10.1之前把CISSP也考了，但是下半年出差太频繁，就在网上下载了AIO第五版的中文教材，在宾馆没事的时候就看几页，前后加起来看了有三遍吧。不知不觉就快到年底了，后来觉得这个事情不能再拖了。11月底抽了几天时间回上海参加5天的培训。然后就报名2014年一月低，在阴历年到来之前赶紧把这个事情落实了。那个时候离开时大概还有两个月的时间，又把AIO中文第五版的电子版看了两遍，纸质书看了一遍。我基本上就是看书来着，一遍又一遍的看，不过每次看都比上次看有更深的理解了。题目基本上没怎么做，汇哲给的shonharris编写的习题集，做了两章就做不下去了，一个是都是英文必须用金山词霸查，做完一个得一两个小时，太熬人。二个是这位猛女编写的习题个人觉得实在不怎么样。很多都是AIO教材上的一些图，扣几个空下来让填空。而且很多题目都涉及美国的法律法规什么的，实际的考试中也基本不会考到。火来索性不做了。国盟上的每日一题，大概做了不到100道吧，反正碰到原题的几率不大，主要是要掌握住知识点。至于要不要参加培训，只能仁者见仁智者见智了。我CISA和CISSP都参加培训了。毕竟花钱不少美刀参加考试，肯定想一次性过么，个人觉得培训还是能帮着把一些知识点帮你理顺，复习的时候更有针对性吧。说一下去考试的情况吧，我选择的考点是天钥桥路路腾飞广场。进去后需要身份证和一张签了名的信用卡，然后是采集掌纹，所有的东西都不得带入考场。去的时候带了两罐红牛，进考场前喝了一罐，中间休息的时候又喝了一罐（中间休息的时候也算时间的）。里面考MAIT的人挺多的，一人一格的，不过考CISSP的是个小单间，一面只有一台电脑，怪爽的。噪音不咋大，基本上不用带耳塞的。盯着电脑屏幕时间长了，眼镜都花了，建议做了大概150道题的时候，出来休息一下，缓解一下眼睛。对了，提前到的话，如果有空机的话可以提前考试的。把题目做完大概用了四个小时。然后把标记30道左右的题，检查了一下。大多数都没有改，就改了不到5个。有些也拿不准还是相信第一印象吧。最后还有20分钟的时候提交了试卷。怀着忐忑的心情走出了考场，好歹是过来。下面的事情就该准备英文简历和请人背书的事情了。不太会写，基本上算记流水账吧，希望对即将参见CISSP考试的人有帮助。

CISSP认证考试指南2017

国际注册信息系统安全专家 CISSP认证考试指南

关于(ISC)2 ?国际信息系统安全认证协会(International Information Systems Security Certification Consortium) 成立于1989年，总部设在美国弗罗里达州Palm Harbor，在伦敦、香港、东京、北京等地设有办事处，是一个独立的、全球性的、非盈利的组织。致力于： ?维护信息系统安全领域的通用知识体系 ?为信息系统安全专业人士和从业者提供认证 ?从事认证考试的培训和对认证考试进行的管理 ?通过连续教育培训,对有资格的认证候选人的授权工作进行管理.?(ISC)2同时也向公众提供信息安全方面的教育和咨询服务。

关于(ISC)2 ?(ISC)2是信息安全领域的顶级认证机构之一，到现在已经给超过120个国家的数万名安全专家授予了相关认证。(ISC)2目前提供如下认证： CISSP(Certified Information System Security Professional) 认证信息系统安全专家 SSCP（System Security Certificated Practitioner）认证系统安全实践者 CAP（Certification and Accreditation Professional）认证和评估专家 CSSLP（Certified Secure Software Lifecycle Professional ）安全软件生命周期认证专家

关于我们 ?“汇哲科技”由北京汇哲信安科技有限公司、上海汇哲信息科技有限公司等多个独立公司所组成。（简称“汇哲科技”或“SPISEC”）。长年致力于IT治理,信息安全,IT审计,IT服务管理,业务连续性,项目管理,领先理念等方面实践培训与研究，始终以培养国内信息安全专业人才、组织中国信息安全人交流为发展目标。 ?作为领先的专业培训服务机构，汇哲一直致力于推广信息安全理论和实践，为学员提供“学习国际知识、拓宽职业道路、融入专业社区、持续提升能力”服务。

CISSP操作安全习题

CISSP认证考试培训习题 CBK Domain 7 - 运作安全 1.Operations Security seeks to primarily protect against which of the following? A.object reuse B.facility disaster https://www.wendangku.net/doc/7511224148.html,promising emanations D.asset threats D 2.Notifying the appropriate parties to take action in order to determine the extent of the severity of an incident and to remediate the incident's effects includes: A.Intrusion Evaluation (IE) and Response B.Intrusion Recognition (IR) and Response C.Intrusion Protection (IP) and Response D.Intrusion Detection (ID) and Response D 3.What is the main issue with media reuse? A.Degaussing B.Data remanence C.Media destruction D.Purging B 4.This type of control is used to ensure that transactions are properly entered into the system once. Elements of this type of control may include counting data and time stamping it with the date it was entered or edited? A.Processing Controls B.Output Controls C.Input Controls

CISSP_十分全面的介绍

First CISSP简要介绍编者序言：网络圈中的工程师大概都知道思科的CCIE认证。如果有谁说自己没听过CCIE，那就好象在说自己是外星人一样。同样，在信息安全圈中，也有权威的国际认证，那就是CISSP“Certified Information System Security Professional”（信息系统安全认证专家）。关于《怎样成为一名CISSP》的初衷本文作者J0ker是在安全圈中混迹多年的安全专家，他将自己求学CISSP的亲身经历整理成《CISSP的成长之路》系列文章，用J0ker的话说，出文章的目的最主要是想把自己的经验与广大网友分享，同时也纪念自己从业以来的一些经历。J0ker 的话很精练，之前在https://www.wendangku.net/doc/7511224148.html,安全频道推出了自己的很多文章，现在安全频道的每周信息安全要闻回顾栏目就是他主持的，我想J0ker出《CISSP的成长之路》系列，也是对他自己的另一种鞭策。《CISSP的成长之路》将由15到20篇文章组成。其中详细的介绍了CISSP的相关知识、认证备考经过和心得，另外J0 ker还会从CISSP的角度，向大家简单介绍信息安全的组成。希望《CISSP的成长之路》能给大家都带来帮助。最后引用一句J0ker常说的话：你们的支持就是我不断努力向前的动力：）正文作为《CISSP的成长之路》系列的第一篇文章，J0ker打算先简要向读者介绍一下CISSP的背景知识，下面我们先来看C ISSP认证的颁发机构（ISC）2：（ISC）2是信息安全领域的顶级认证机构之一，成立于1989年，到现在已经给超过120个国家的五万多名安全专家授予了相关认证。（ISC）2目前提供如下6种认证： SSCP（SystemSecurityCertificatedPractitioner）认证系统安全实践者 CAP（CertificationandAccreditationProfessional）认证和评估专家 CISSP(CertificatedInformationSystemSecurityProfessional) 认证信息系统安全专家 CISSP的升级版本CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系统安全架构专家CISSP-ISSMP（InformationSystemSecurityManagementProfessional）信息系统安全管理专家 CISSP-ISSEP（InformationSystemSecurityEngineeringProfessional）信息系统安全工程专家（ISC）2同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2的官方网站是https://www.wendangku.net/doc/7511224148.html, （ISC）2提供的6种认证中，知名度最高和持有者人数最多的是CISSP。截至2007年4月底，全球共有48598名CISS P，其中人数最多的是美国，现有30385名，中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者

葵花宝典CISSP真题录

葵花宝典-－CIＳSP真题录

————————————————————————————————作者: ————————————————————————————————日期： ?

1．状态检测防火墙什么时候实施规则变更备份? B A 防火墙变更之前 B防火墙变更之后 C 作为完全备份的一部分Ｄ作为增量备份的一部分 2．哪项违反了ＣEI? B Ａ隐瞒之前的犯罪记录行为 B CISＳP从业者从事不道德行为 3．FTP的风险？B A没有目标认证 B明文传输 4．Ｌ２TP是为了通过什么协议实现? A A PPP B PCP 5．ＶOIＰ在语音通信过程当中，弱点? B A 没有目标认证Ｂ没有源认证 6．(1) 假如：T为IDS控制成本费用200000美元Ｅ为每年恢复数据节省费用50000美元Ｒ是为实施控制措施之前的每年恢复费用１00０00美元问：实际投资回报为： A -５00０0 B -1００000 C 10０000 D 150００0 A(投资回报就是控制前－控制后, 投资回报负值就是省了多少,正值就是赚了多少) （2）问年度预期损失ALE怎么计算:Ｂ A （R+E)/T B(R-E)＋T C(R-Ｔ)*E D T/(Ｒ-E) 7．ipｓｅc隧道模式下的端到端加密，ip包头 B A 加密，数据不加密 B和数据一起加密Ｃ不加密，数据加密 8．实施一个安全计划，最重要的是：Ｂ

A 获取安全计划所需的资源 B 与高层管理者访谈 9．安全要求属于： B Ａ.ST安全目标 B. PP C .TOE 10．TOE属于 A A ＣC Ｂ可信计算机 11．公司进行信息安全评估,打算把所有应用程序维护外包,问对服务提供商什么是最重要的？ C ＡＢIA B 风险管理 C SＬA 12．公司运维外包服务，问什么时候跟服务提供商确定安全要求？ A A 合同谈判 B 合同定义 1.外部审计师违反了公司安全要求,问惩罚判定来源: C A 公司安全要求Ｂ外部审计公司要求 C双方协议 2.公司实施一个纵深防御政策,问由内到外的层次设计?A? A 边界场地出入口办公区计算机机房Ｂ围墙场地出入口计算机机房办公区域 3.802．1?ｂ具有什么功能？共享密钥 4.SSＬ协议双向认证,部分使用，除了客户端验证服务器，还有? A Ａ服务器对客户端自我验证 B 客户端对服务器自我验证 5.可重复使用是在CMＭＩ的哪个阶段？第二个 A、不可预测 B、可重复 C、可定义 D、可管理 E、可优化

cissp_studyguide中文版

Certified Information System Security Professional CISSP证书公共知识体系学习指南

如何使用本学习指南本指南针对那些对由CISSP认证感兴趣的安全实践人员开发。它分为三个部分，第一部分是介绍，本解释了CBK，它是CISSP认证考试的基础。此外，CBK也是对由（ISC）2TM提供的CBK复习研讨会（CKB Review Seminar）的基础，也是对想在谈论CISSP证书考试之前正式研究CBK的个体的基础。第二部分包括十个CBK领域。第一领域包含一个概要和主要知识范畴。第三部分提供来发展证书考试的参考目录。根据技术和方法的变化，此参考化同时，此参考的且并不试图包揽一切。本部分的目的提供参考类型的例子，它们也许对CISS 证书考试的准备工作有帮助，并且它不是由（ISC）2TM或它的执行委员会直接或间接发行这些参考的。

公共知识体系（CBK）一般而言职业是特征化的，部分上讲，通过该职业的从业由一种人员共享的，的知识主体他们在工作中应用刻划。它通常是抽象的和稳定的。它独立于必要的技能，工作，行为或技术。CBK语言会专业人员之间的交流。这样一个CBK的存在是必要的，但并不足以证明有资格的专业人员。 CBK委员会由（ISC）2TM执行董事会，对定期为信息安全专业的知识体系进行更新。委员会成员从相关领域中最有经验的和知名的领军人物中选取。委员会鉴定该知识体的边界和主题领域。在决定CBK中应包含什么内容时，决定CBK包含什么委员会的依据是依赖于知识的深度和广度以及中委员对知识的期望。就是，如果委员们认同其它安全专业人员的信息安全领域的某些知识，同时并不认为这些知识不在此领域内，则这些知识就确定为CBK的一部分。但是，如果通常一些特殊的知识认为不在信息安全专业内，则它的知识不包含在CBK内。当前版本的CBK已更新，由于美国政府的法律和政策删除了一些特殊的参考，增加了国际标准的参考。CBK被组织成十个领域和多个子领域。本学习指南有对CBK中的领域的一节每一，用来帮助应试者准备CISSP认证考试。这十个领域是： 1.访问控制系统和方法 2.电信和网络安全 3.安全管理准则 4.应用和系统开发安全 5.密码学 6.安全体系结构和模型 7.操作安全 8.业务连续性计划（BCP）和空难性恢复计划（DRP） 9.法律，调查研究和道德规范 10.物理安全

葵花宝典CISSP真题录

葵花宝典C I S S P真题录文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

1．状态检测防火墙什么时候实施规则变更备份 B A 防火墙变更之前 B 防火墙变更之后 C 作为完全备份的一部分 D 作为增量备份的一部分 2．哪项违反了CEI B A 隐瞒之前的犯罪记录行为 B CISSP从业者从事不道德行为 3．FTP的风险 B A 没有目标认证 B 明文传输 4．L2TP是为了通过什么协议实现 A A PPP B PCP 5．VOIP在语音通信过程当中，弱点 B A 没有目标认证 B 没有源认证 6．(1) 假如：T为IDS控制成本费用200000美元 E为每年恢复数据节省费用50000美元 R是为实施控制措施之前的每年恢复费用100000美元问：实际投资回报为： A -50000 B -100000 C 100000

D 150000 A (投资回报就是控制前-控制后, 投资回报负值就是省了多少，正值就是赚了多少) (2) 问年度预期损失ALE怎么计算： B A (R+E)/T B（R-E）+T C (R-T)*E D T/(R-E) 7．ipsec隧道模式下的端到端加密，ip包头 B A 加密，数据不加密 B和数据一起加密 C 不加密，数据加密 8．实施一个安全计划，最重要的是： B A 获取安全计划所需的资源 B 与高层管理者访谈 9．安全要求属于： B A. ST安全目标 B. PP C . TOE 10．TOE属于 A A CC B 可信计算机 11．公司进行信息安全评估，打算把所有应用程序维护外包，问对服务提供商什么是最重要的 C A BIA