赛虎学院解读：CISP考试的大纲包括哪些重点呢，总结起来总共有6大点赛虎学院老师现在统一为大家解答，希望大家能够对回答满意。

　　一 安全管理

　　1.1风险管理

　　标准：GB/Z 24364《信息安全风险管理指南》，四个阶段、两个贯穿

　　1.2闭环管理

　　闭环管理

　　请看职场潜规则——闭环管理

　　1.3手册管理

　　一级文件：方针、政策;二级文件：制度、流程、规范 ;三级文件：使用手册、操作指南、作业指导书 、建设;四级文件：日志、记录、检查表、模板、表单。

　　文件控制：建立、批准发布、评审与更新文件保存、文件作废。

　　1.4安全监管

　　安全监管——等级保护：定级、备案、差距分析、建设整改、验收测评、定期复查。

　　二、信息保障技术架构

　　2.1 信息安全属性

　　基本属性：保密性、完整性、可用性 。

　　其他属性：真实性、可问责性、不可否认性、可靠性。

　　2.2信息保障技术框架(IATF)

　　信息保障技术框架(IATF)

　　美国国家安全局(NSA)制定，为保护美国政府和工业界的信息与信息技术设施提供技术指南 。核心思想：“深度防御” 三个要素：人、技术、操作 。四个焦点领域 ：保护网络和基础设施 、保护区域边界 、保护计算环境、支持性基础设施.

　　三、物理安全

　　环境安全

　　场地选择、抗震及承重、防火、防水、供电、空气调节、电磁防护、雷击静电、防尘等防护技术; 建立安全区域，明确物理安全边界 §对受控区域进行保护，建立屏蔽及访问控制机制 。边界防护 所有物理出入通道的防护 包括门：锁、门禁 、窗、铁栅栏、通风口。

　　审计及监控

　　对安全区域的出入行为进行记录，对非法闯入进行检测。实现的手段有：§出入记录(登记、门禁)、闭路电视 、非法闯入探测(红外微波双鉴探头、玻璃破碎探测器等)、安保人员。

　　四、安全工程与运营

　　4.1 安全工程

　　采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全的过程 ;信息化建设活动中有关加强系统安全性活动的集合 ;良好安全工程的四个方面。

　　良好安全工程的四个方面

　　4.2 安全运营——补丁管理

　　有效的补丁管理程序能够确保系统安装当前最新的补丁。 主要步骤 评估补丁(较为重要)， 测试补丁(较为关键) ，批准补丁(常与变更管理联动)， 部署补丁(人工、自动) ，验证补丁(伴随跟进的过程)。

　　目的：保证项目在变化过程中始终处于可控状态，并随时可跟踪回溯到某个历史状态。

　　五、安全支撑技术

　　5.1 OSI安全体系结构

　　OSI安全体系结构

　　5.2Web安全防护技术

　　1、Web防火墙

　　工作在应用层，基本功能：审计并拦截HTTP数据流、Web应用访问控制、Web应用加固

　　2、网页防篡改 网络安全学习之一网页防篡改

　　监控Web服务器上的页面文件，防止被篡改;机制：备份文件对比、摘要文件对比、删改操作触发、系统底层过滤。

　　网页防篡改机制

　　5.3系统安全审计

　　对系统中有关安全的活动进行记录、检查以及审核，一般是一个独立的过程。

　　5.4 操作系统安全配置

　　安装 ：分区设置、安全补丁&最新版本、官方或可靠镜像(Md5校验)。

　　最小化部署 ：明确需要的功能和组件，不需要的服务和功能都关闭 ;

　　远程访问控制：开放端口、远程连接的限制 ;

　　密码策略，其他安全设置 ：安全增强软件(防病毒、主机入侵检测、安全加固软件等)。

　　5.5恶意代码的预防技术

　　增强安全策略与意识;减少漏洞，包括补丁管理和主机加固;减轻威胁，包括防病毒软件、间谍软件检测和删除工具、入侵检测/入侵防御系统、防火墙、路由器、应用安全设置等。

　　5.6安全设计原则

　　5.7云计算的安全风险

　　数据管理和访问失控的风险：数据存储位置对用户失控、云计算服务商对数据权限高于用户、用户不能有效监管云计算厂商内部人员对数据的非授权访问。

　　数据管理责任风险：不适用“谁主管谁负责 谁运营谁负责”。

　　数据保护的风险 §缺乏统一标准，数据存储格式不同。存储介质由云服务商控制，用户对数据的操作需要通过云服务商执行，用户无法有效掌控自己数据。

　　5.7 密码学技术

　　5.8 公钥基础设施(PKI)

　　SSL证书详解——提升信息安全

　　为什么要使用HTTPS?

　　5.9 访问控制

　　SELinux是美国国家安全局和SCC(Secure Computing Corporation)开发的 Linux的一个强制访问控制安全模块。SELinux 是一个灵活的、可配置的 MAC(强制访问控制) 机制。与之对应的是大多数操作系统中主要的访问控制类型为 DAC(任意访问控制)。该系统是安全实践的重要一步-------使用MAC(强制访问控制)机制Selinux。强制访问控制系统的核心价值在于增强系统抵御 0-Day 攻击的能力。

　　六、业务连续性

　　后续专门讲解此章，敬请关注!

　　划重点-CISP考试知识点

　　

如果还有什么问题，可以咨询我们赛虎学院右下角的咨询按钮，我们是根正苗红的正规授权机构随时给你讲解关于CISP考试相关问题，我们的老师有一流的服务和过硬的专业技能。

扫码咨询二维码咨询相关问题：

.

cisp考试证书个人作用	cisp考试是否值的考试	为什么要在赛虎学习cisp
CISP报考需要什么材料	CISP考试需要几天	CISP考试要求
CISP考试学习什么内容	那些岗位适合靠CISP	赛虎学院官网
CISP政府扶持力度	CISP 资质认定类别	CISP考试难过么
CISP，CISP-PTE之间区别	CISP含金量	cisp通过率