关于NISP二级认证考试是线下考试,同CISP认证同场考试。学员报名考NISP二级考试直接联系赛虎学院在线客服即可报名。目前考NISP二级考试的人数越来越多,其价值含量较大,同时持有NISP一级和二级证书可以申请换领CISP证书。关于NISP二级考试考点,接下来给大家详细讲解下。

  AAA分别为 认证Authentication 授权Authorization 计费Accounting的简称 radius是最常见的AAA协议

  TACACS+是思科公司开发认证加授权

  TACACS+是AAA权限控制系统,不属于VPN

  Kerberos三个步骤:1.身份认证后获得票据许可票据 2.获得服务许可票据 3.获取服务

  令牌是基于实体所有的鉴别方式

  在技术条件允许情况下,可以实现IDS和FW的联动

  IPS在串联的情况下,会影响网络性能

  定性风险分析和定量风险分析应该同时进行

  不使用ARP协议可能会造成网络无法正常运行

  CC是对已有安全准则的总结和兼容,有通用的表达方式,ITSEC首先提出功能和保证分离,CC继承了这一概念,所以无法体现先进性

  RPO是指在业务恢复后的数据与最新数据之间的差异程度,这个程度使用时间作为衡量指标如RPO=0,说明数据是实时备份,不会出现数据丢失的情况

  WI-FI联盟在802.11i标准草案的基础上制定了WPA标准;2004年,IEEE发布了802.11i正是标准(也称为WPA2),在加密算法上采用了基于AES的CCMP算法

  BSI认为软件安全有3根支柱:风险管理,软件安全接触点和安全知识,其强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程

  背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析

  纵深防御原则:软件应该设置多重安全措施(户名口令认证方,基于数字证书的身份认证,用户口令使用SMA-1算法加密后存放在后台数据库中)并充分利用操作系统提供的安全防护机制,形成纵深防御体系,以降低攻击者成功攻击的几率和危机

  SSE-CMM的工程不是独立工程,而是与其他工程并行且相互作用,包括企业工程,软件工程,硬件工程,通信工程等

  通过实施(Generic Practices,GP)又称之为"公告特征"的逻辑域组成,通用实施可应用到每一个过程区,但第一个公告特征"执行基本实施"例外

  BIS为Gary McGraw提出的软件安全应用三根支柱分别是 应用风险管理,软件安全接触点和安全知识,并且强调了在软件的整个生命周期中风险管理的重要性,并要求风险管理框架贯穿整个开发过程。

  准备阶段

  《系统调研报告》

  对被评估系统的调查了解情况,涉及网络结构,系统情况,业务应用等内容

  《风险评估方案》

  根据调研情况及评估目的,确定评估的目标,范围,对象,工作计划,主要技术路线,应急预案等等

  识别阶段

  《资产价值分析报告》

  资产调查情况,分析资产价值,以及重要资产说明

  《安全技术脆弱性分析报告》

  物力,网络,主机,应用,数据等方面的脆弱性说明

  《安全管理脆弱性分析报告》

  安全组织,安全策略,安全制度,人员安全,系统运维等方面的脆弱性说明

  《已有安全措施分析报告》

  分析组织或信息系统以部署安全措施的有效性,包括技术和管理两方面的安全管控说明

  风险评估

  《风险评估报告》

  对资产,威胁,脆弱性等评估数据进行关联计算,包括技术和管理两方面的安全管控说明

  风险处理

  《安全整改建议》

  对评估中发现的安全问题给予有针对的风险处置建议。

  NISP二级考试试题为单项选择题,(考试时长:150分钟,总分100分,100道选择题)。

相关阅读:

  国家信息安全水平考试NISP(一级)培训课程

  NISP认证考试的通过率与什么因素有关系

  国家信息安全水平考试NISP (二级)培训课程

  CISP证书与NISP证书的不同点在哪里