7、8、9、11、12、13、22、24、26、30、32、37、47、51、52、52、54、60、63、65、71、72、74、77、78、79、83、86、90、91、93、97、98

信息系统建设完成后，（）的信息系统的运营使用单位应该选择符合国家规定的测评机构，进行测评合格后方可投入使用。

Sid,, moon

系统工程不是基本理论，也不属于技术实现，而是一种方法论。

29.6000 155=

A1 2D T1 2C T2 3C =5 

A2 1D T3 2C

风险评估文档

准备阶段．

风险评估计划书

风险评估方案

风险评估方法和工具列表

风险要素识别

资产清单

威胁「表

3.15.20.21.39.43.51.56.74.83.86.92.93

20.56.74.86.93

20

29题 2级系统就需要备案后做等保，而不是三级

20.定性不是具有随意性，具有主观性 

57题：IP分配自上而下

74题选D

87.时间维所有的步骤都要包括逻辑维的所有步骤

必考题：1、RBAC四种类型

A.RBAC0：基本模型，规定了所有RBAC的基本内容

B.RBAC1：包含RABAC0

C.RBAC2：包含RBAC1（错误）

D.RBAC3：结合了RBAC1、RBAC2

2、单位15台PC，公网地址10个，方法：address pools：10个公网地址，15个PC机上网时从地址池选择一个地址上网，上网结束后释放IP地址，问这种方法是什么？

A.动态获取IP

B.静态获取IP

C.动态NAT

静态NAT

动态NAT

PAT

SNAT DNAT

296万，选B

加固，选择风险降低

90。合理选D，不合理选A，若B选项全部通过培训选择B

信息系统建设完成后，达到（）的信息系统的运营使用单位应当选择符合国家规定的测评机构，进行测评合格后方可投入使用。

11

修订级别 (1)
标识符颁发机构（5，NT Authority）
域标识符 (21-1534169462-1651380828-111620651)
相对标识符（500）
“Everyone”组的 SID 中的标识符颁发机构值为 1 (World Authority)。 特定 Windows Server 帐户或组的 SID 中的标识符颁发机构值为 5 (NT Authority)。

应急响应办法管理过程：准备、检测、遏制、根除、恢复、总结

秘钥的生命周期：产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁

根据《信息安全技术 信息安全事件分类分级指南》，木马病毒，是有害程序事件。根据信息系统的中药成都、系统损失和社会影响来对事件进行定级，场景是贸易公司，肯定不会是特别重大事件。

2、RPO恢复点目标，代表灾难发生时允许丢失的数据量（用时间来度量）。

RTO恢复时间目标：企业能容忍的信息系统和运维功能恢复的时间。

RTO,RPO都可以为0.数据领丢失和远程集群支持，要求能够实现数据领丢失，即RPO为0，实现实施无缝切换，即RTO为0。

3、SSE-CMM系统安全工程能力成熟度模型定义5个能力级别，当工程对外不能执行一个过程域中的级别实践时，改过程域的过程能力是0级。

达到CMM最高级后，持续改进，因此每次执行的结果质量都会提高，不是相同。

风险过程有4个：评估威胁、评估脆弱性、评估影响、评估安全风险。

4、随机进程名称是恶意代码迷惑管理员和系统安全检察人员的技术手段之一，每次启动随机恶意代码进程名称，通过不固定的进程名称使自己不容易被发现真实的恶意代码程序名称。

杀毒软件是根据特征码检测法和行为检测法来进行病毒查杀的，不是进程名称。

5、安全标识符（SID）是标识用户、组、计算机账户的以为编码。SID以500结尾，表明当前用户是administrator, 501是guest账户

6、信息安全风险管理过程中，背景建立是实施工作的第一步，确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析：

风险管理准备：确定对象、组件团队、制定计划、获得支持；

信息系统调查：信息系统的业务部目标、技术和管理上的特点

信息系统分析：信息系统的体系结构、关键要素

信息安全分析：分析安全要求、分析安全环境。

7、关闭风险服务器，属于典型的风险规避。

8、应急响应的6个阶段：准备、检测、遏制、跟踪、回复、跟踪总结。

9、信息系统安全保障模型包含：保障要素（技术、工程、管理、人员）、生命周期(计划、实施、运维、废弃)、安全特征（CIA）

10、私有IP地址是一段保留的IP地址，智在局域网中使用，无法在internet上使用。 ABC类地址都可以设置私有地址。

11、《国家信息化领导小组关于加强信息安全保障工作的意见》中明确了我国信息安全保障工作的方针和总体要求、加强信息安全保证工作的主要原则、重要重点加强的信息安全保障工作。

27号文的重大意义是，它标志着我国信息安全保障工作有理总体纲领、我国最近十余年的信息安全保障工作都是围绕此政策性文件来展开和推进的、促进了我国新安全保障见得的各项工作。

12、在某次信息安全应急响应过程中，小王正在实施如下措施：消除或阻断攻击源、找到并消除系统的脆弱性漏洞、修改安全策略、加强方法措施、格式化被感染恶意程序的介质等。该阶段处于根除阶段。

13、防火墙是网络信息系统建设汇总经常采用的一类产品，它在内外网隔离方面的作用是：不能物理隔离，但是能逻辑隔离。

14、自主访问控制模型（DAC）的访问控制关系可以用访问控制表（ACL）来标识，该ACL利用在客体上附件一个主题明细表的方法来标识访问控制矩阵，通过使用由客体指向的链接表来存储相关数据。

15、CIA

保密性（敏感等级，人员资产-能读取或存储的不同敏感等级的人员，其他资产-被泄露造成的损害）

完整性（人员资产-未正确履职对公司造成的影响，其他资产-未经授权的修改或破坏最公司的影响）

可用性（人员资产-系统正常运作所容忍人员缺席时间，其他资产-可用度或允许中断时间）

威胁值：风险发生的可能性。威胁源的动机和能力，或的关系。

脆弱值：风险发生的后果。弱点的严重程度和暴露程度，和的关系。

威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。

威胁：是潜在的能导致信息安全事件并对组织及其资产造成损害的活动。它可以通过IT系统或服务、直接或间接地作用于信息系统，并导致非授权破坏、泄露、修改、损坏、不可用的损失。威胁必须利用资产固有的脆弱性才能完成对资产的损害，它可能来自人为的活人为的，可能是故意或者无意的、可能是来自环境的威胁。

脆弱性：资产在琦相关的物理环境、组织、策略、人员、管理、监控、硬件、软件和信息方面所固有的弱点。脆弱性是最优可能被威胁利用并造成对组织信息系统和业务面目标的损害。

16、SSE-CMM的通过你实施GP适用于所有的PA活动。

17、信息安全事件分类分级指南，将信息系统分为：特别中药信息系统、中药信息系统、一般信息系统三类。

18、威胁是可能导致对系统或组织危害的不希望事故潜在的起因，威胁不是漏洞。

19、CC标准是目前系统安全认证方面最权威的标准，其先进性体现在：结构的开放性、表达方式的通用性、结构和表达方式的内在完备性、实用性。

20、软件安全的三根支柱：

风险管理：策略性方法

接触点：一套轻量级最优工程方法，共计与防御综合考虑。

安全知识：强调对安全经验和专业技术进行收集汇总，对软件开发人员进行培训，并通过安全检出点实际运用。

21、linux命令，ID为0，是root用户，不能仅用，否则会影响系统运维正常运行。

22、IPsec看实现数据来源认证、数据完整性验证和防保温回访共计、保密性的功能。

23、对目录的访问权限可以分为读、写、执行。

24、风险评估文档：

准备阶段：风险评估计划、风险评估方案、风险评估方法和工具列表

风险要素识别：资产清单、微信列表、脆弱性列表、已有安全措施列表

风险分析：风险计算

风险结果判定：风险程度等级列表、风险评估报告。

25、wifi联盟提出的安全协议WPA\WAP2,都是无线局域网协议，都可以用在我国国内，都使用了密码算法对接入进行认证，WPA是移交802.11i标准草案制定的，WPA2是依照该正式标准制定的。

26、增量备份：备份自上一次备份之后有变化的数据。

灾难恢复能力分6个等级。

数据备份按照数据类型分为可以划分为操作系统数据备份和用户数据备份。

容灾演练需要定期执行。

27、风险评估以自评估为主。

28、数据在进行传输前，进行从上到下数据封装，顺序为：传输层、互联网层、网络接口层。

29、公钥基础设施引入数据证书的概念，用来表示用户的身份。

终端试题-RA-认证权威机构（CA），

RA受理用户的数字证书申请，注册权威。

30、ISMS信息安全管理体系，同其他体系不一样，有其自由的管理组织机构、管理制度、技术防护体系和人员的建设内容和要求。

31、信息安全保障技术框架IATF。

32、信息安全保障技术框架IATF是有美国发布的。

33、常见的可选遏制措施如下：

1）关闭相关系统

2）拔掉网线

3）修改所有防火墙和路由器的过滤规则，拒绝来自发起攻击的嫌疑主机的所有流量，封锁或删除被攻破的登录账号。

4）提高系统、服务和网络行为的监控级别

5）设置诱饵服务器作为陷阱；关闭服务

6）反击攻击者的系统等。

1、人力资源安全控制阶段：任用前、任用中、任用终止和变化。

2、软件开发过程中的核心业务功能：治理、构造、验证、部署。

治理：战略与度量、策略与遵循、培训与指导

构造：威胁评估、安全需求、安全架构

验证：设计审查、代码审查、安全测试

部署：漏洞管理、环境加固、操作激活

3、备份技术比较：

完全备份（备份耗时高、恢复时间最短）

增量备份（没有重复的数据、恢复时间较长）

差异备份（备份时间短、恢复时间短）

恢复时间快到慢：完全备份>差异备份>增量备份

备份时间快到慢：增量备份>差量备份>完全备份

4、误用基于“特征”，异常基于“行为”

5、CC标准中的4个关键概念

TOE：评估对象（Target of Evaluation）

PP：保护轮廓（Protection Profile）

ST：安全目标（Security Target）

EAL：评估保证级别（Evaluation Assurance Level）

6、IPSec实际上是一个协议族（也叫协议栈），由多个协议组成。

IPSec可提供加密数据、保证数据完整性、可鉴别性。

IPSec算法：对称、非对称、摘要、HMAC

1、系统安全工程成熟度模型SSE-CMM定义了5个能力级别。最高等级是第5个等级，连续改进，因此每次执行的结果质量都会提高。

2、SSE-CMM风险过程有4个：评估威胁、评估脆弱性、评估影响、评估安全风险。

3、SSE-CMM强调系统安全工程与其他工程学科的联系和融合。

4、软件代码缺陷计算方法：

v千行代码缺陷数量 Defects/KLOC= （缺陷数/代码总行数*1000）%

5、《保守国家秘密法》要求涉密计算机必须粘贴表示，非涉密的计算机不应粘贴标识。

6、信息系统安全保障模型：

保障要素：技术、工程、管理、人员

安全特征：保密性、完整性、可用性

生命周期：计划组织、开发采购、实施交付、运行维护、废弃

7、登报规定，二级以上（含二级）的信息系统，需要到公安机关备案

8、杀毒软件是根据特征码检测法和行为检测法来进行病毒查杀的。

9、CMM能力成熟度模型的基本思想：

工程实施组织的能力成熟度等级越高，系统的风险越低，CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”，CMM为工程的过程能力提供了一个阶梯式的改进框架。

10、CC标准是目前系统安全认证方面最权威的标准，CC先进性体现再4个方面：结构开发性、表达方式的通用性、架构和表达方式的内在完备性、实用性。

11、软件安全的三根支柱：应用风险管理、接触点、安全知识。

12、AH主要提供数据来源认证、数据完整性校验、防报文回放功能。

ESP主要提供数据来源认证、数据完整性校验、防报文回放功能、数据机密性。

传输模式：插入IP头之后，传输层头部之前。

隧道模式：插入ip头部之前，并生成一个新的ip头。

13、增量备份：备份上一次备份（包含完全备份、差异备份、增量备份）之后有变化的数据。

52 审题不清、数据恢复速度和备份时长区别

65 需详细看

66 注意失误导致的错误

93需要详细看

标准化组织需要详细看

区域块是哪个章节？

第一遍 答错题目：12 14 36 40 52 54 58 61 65 67 77 78 79 84 93 94 95

25反复读

第二遍，做题犹豫的题目

30  35 37  39不会  51  52  60    65  68  72  79  82  86

第二遍 答错的题目： 12 35  51 52 66 72 78审题不清  86

84 降低风险

风险管理过程 4个阶段 2个监督

信息安全管理体系建设 遵循 PDCA

RTO 和 PRO均可为0

62  入侵检测系统：误用基于特征  异常基于行为

局限性：误用准确率高  异常误报和漏报率高 

无法防止IP地址欺骗  无法检测ART攻击和加密流量 

67： 软件安全开发模型 BSI

55  59 审题不清

57 和 93类似

21 风险管理过程

22   99 风险处置 ： 风险降低和规避区别

25 信息安全保障模型

37 记忆模糊 需加深印象

88：有关实现所有安全保障机制？

60 模糊  65   67    69

入侵检测系统：不能防止IP地址欺骗

防火墙能够防止IP地址欺骗，不能防止SQL注入攻击