NISP二级考点汇总,学员可认真查阅,更多有关NISP二级考试资料、题库请向赛虎学院客服领取。
AAA分别为 认证Authentication 授权Authorization 计费Accounting的简称 radius是最常见的AAA协议
TACACS+是思科公司开发认证加授权
TACACS+是AAA权限控制系统,不属于VPN
Kerberos三个步骤:1.身份认证后获得票据许可票据 2.获得服务许可票据 3.获取服务
令牌是基于实体所有的鉴别方式
在技术条件允许情况下,可以实现IDS和FW的联动
IPS在串联的情况下,会影响网络性能
定性风险分析和定量风险分析应该同时进行
不使用ARP协议可能会造成网络无法正常运行
CC是对已有安全准则的总结和兼容,有通用的表达方式,ITSEC首先提出功能和保证分离,CC继承了这一概念,所以无法体现先进性
RPO是指在业务恢复后的数据与最新数据之间的差异程度,这个程度使用时间作为衡量指标如RPO=0,说明数据是实时备份,不会出现数据丢失的情况
WI-FI联盟在802.11i标准草案的基础上制定了WPA标准;2004年,IEEE发布了802.11i正是标准(也称为WPA2),在加密算法上采用了基于AES的CCMP算法
BSI认为软件安全有3根支柱:风险管理,软件安全接触点和安全知识,其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程
背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析
纵深防御原则:软件应该设置多重安全措施(户名口令认证方,基于数字证书的身份认证,用户口令使用SMA-1算法加密后存放在后台数据库中)并充分利用操作系统提供的安全防护机制,形成纵深防御体系,以降低攻击者成功攻击的几率和危机
SSE-CMM的工程不是独立工程,而是与其他工程并行且相互作用,包括企业工程,软件工程,硬件工程,通信工程等
通过实施(Generic Practices,GP)又称之为"公告特征"的逻辑域组成,通用实施可应用到每一个过程区,但第一个公告特征"执行基本实施"例外
BIS为Gary McGraw提出的软件安全应用三根支柱分别是 应用风险管理,软件安全接触点和安全知识,并且强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程。
准备阶段
《系统调研报告》
对被评估系统的调查了解情况,涉及网络结构,系统情况,业务应用等内容
《风险评估方案》
根据调研情况及评估目的,确定评估的目标,范围,对象,工作计划,主要技术路线,应急预案等等
识别阶段
《资产价值分析报告》
资产调查情况,分析资产价值,以及重要资产说明
《安全技术脆弱性分析报告》
物力,网络,主机,应用,数据等方面的脆弱性说明
《安全管理脆弱性分析报告》
安全组织,安全策略,安全制度,人员安全,系统运维等方面的脆弱性说明
《已有安全措施分析报告》
分析组织或信息系统以部署安全措施的有效性,包括技术和管理两方面的安全管控说明
风险评估
《风险评估报告》
对资产,威胁,脆弱性等评估数据进行关联计算,包括技术和管理两方面的安全管控说明
风险处理
《安全整改建议》
对评估中发现的安全问题给予有针对的风险处置建议。
NISP二级考试试题为单项选择题,(考试时长:150分钟,总分100分,100道选择题)。
106
天
扫码关注我们
