NISP一级考试相关知识点

NISP一级不难，你报名交完钱买了那个相关课程之后就刷题就行。

相关知识点：

1、信息：信息就是数据或事件

2、信息安全：

内因：内因方面主要是信息系统复杂性导致漏洞的存在不可避免，换句话说，漏洞是一种客观存在。这些复杂性包括过程复杂性，结构复杂性和应用复杂性等方面。

外因：

3、信息安全威胁：

根据掌握的资源和具备的能力来看，针对信息系统的攻击由低到高分别是个人威胁、组织层面威胁(犯罪团伙、黑客团体、竞争对手等)入国家层面威胁(网络战部队)。

个人威胁：

组织威胁：网络恐怖分子破坏公共秩序、制造社会混乱

国家威胁：其他国家情报机构收集我国政治、军事、经济等情报信息

恐怖组织通过网络大肆发布恐怖信息，渲染暴力活动

邪教组织通过网络极力宣扬种族歧视，煽动民族仇恨，破坏民族团结，宣扬邪教理念，破坏国家宗教政策，煽动社会不满情绪，甚至暴力活动

4、信息安全基本属性：保密性、完整性和可用性

可用性：确保任何时候得到授权的实体在需要时，都能访问到需要的数据，信息系统必须提供相应的服务。

保密性：也称机密性，是指对信息资源开放范围的控制，确保信息不被非授权的个人、组织和计算机程序访问

完整性：保证信息系统中的数据处于完整的状态，确保信息没有遭受篡改和破坏

5、《国家网络安全综合倡议(CNCI)》发布。CNCI计划建立三道防线：

2008年，《国家网络安全综合倡议(CNCI)》发布。CNCI计划建立三道防线:

第一道防线，减少漏洞和隐患，预防入侵;

第二道防线，全面应对各类威胁，增强反应能力，加强供应链安全抵御各种威胁;

第三道防线，强化未来安全环境，增强研究、开发和教育，投资先进技术。

6、2003年7月，国家信息化领导小组根据国家信息化发展的客观需求和网络与信息安全工作的现实需要，制定出台了《关于加强信息安全保障工作的意见》(中办发27号文件)，文件明确了加强信息安全保障工作的总体要求，坚持()方针。

坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网和重要信息系统安全，创建安全健康的网络环境保障和促进信息化的发展，保护公共利益，维护国家安全。

7、基本法：中华人民共和国网络安全法

《信息安全等级保护管理办法》

8、国家秘密密级分为绝密、机密、秘密三级。

9、国际上，信息安全标准化工作兴起于二十世纪70年代中期

10、我国的国家标准分别有:

GB 强制性国家标准

GB/T推荐性国家标准

GB/Z国家标准化指导性技术文件

11、国家标准化指导性技术文件在实施后3年内必须进行复审。复审结果的可能是:再延长3年;转为国家标准撤销。

12、标准对安全保护对象划分了五个安全级别，从低到高分别为用户自主保护、系统审计保护、安全标记保护、结构化保护、访问验证保护。

13、在ISO/IEC 27002:2013中，将控制措施划分为14个安全控制章节，35个主要的安全类别和113个控制措施。

14、控制措施：指企业根据风险评估结果，结合风险应对策略，确保内部控制目标得以实现的方法和手段。

控制措施的目的是改变流程，政策，设备，实践或其他行动的风险。控制可以是预防性的，检测性或纠正性。

15、信息安全管理体系成功因素

信息安全管理就是风险管理，因此，信息安全控制措施的本质就是风险处置。

信息系统与安全之间的关系：同步规划、同步建设、同步使用

16、PDCA是管理学中常用的一个过程模型，该模型在应用时，按照P-D-C-A的顺序依次进行，一次完整的P-D-C-A可以看成组织在管理的一个周期，

每经过一次P-D-C-A循环，组织的管理体系都会得到一定程度的完善，同时进入下一个更高级的管理周期，

通过连续不送的P-D-C-A循环，组织的管理体系能够得到持续的改进，管理水平将随之不断提升。

所属知识子域:信息安全管理

PDCA过程方法的四个阶段主要工作:规划与建立、实施与运行、监视与评审、维持与改进

信息安全管理体系是建立在文档化的基础之上，信息安全管理体系文件的建立和管理遵从质量管理体系文件规范和要求。

17、信息安全管理体系文档层次化的文件结构：

—级文件:方针、政策

二级文件:由组织管理者代表签署发布，该文件针对组织宏观战略提出的目标建立组织内部的“法”。

三级文件:使用手册、操作指南、作业指导书

四级文件:日志、记录、检查表、模板、表单等

18、在信息安全方针中明确描述组织的角色、职责和权限。常见的角色遵循最小授权、知必所需、岗位轮换等原则。

19、计划的建立是在风险评估基础之上，只有在组织风险不可接受的时候才需要建立控制计划。

风险评估是客观，只有客观的风险评估才能为组织安全战略提供最具费效比的控制。

20、安全目标与方针应可以度量并持续改进，通过持续改进实现组织信息安全的螺旋式上升。

21、信息安全管理就是风险管理，因此，信息安全控制措施的本质就是风险处置。

22、计划的建立是在风险评估基础之上，只有在组织风险不可接受的时候才需要建立控制计划。

风险评估是客观，只有客观的风险评估才能为组织安全战略提供最具费效比的控制。

23、选择和实施控制措施以降低风险。控制措施需要确保风险降至可接受的水平，同时考虑到国家和国际立法和条例的要求和限制、组织的安全目标、组织对操作的要求和限制。

24、对每个信息系统的建设来说，信息安全控制在哪个阶段考虑是最合适也是成本最低的：在系统项目需求规格和设计阶段考虑信息安全控制。

25、根据这些监测区域的记录，提供验证证据，以及纠正，预防和改进措施的可追溯性。

26、2016年11月发布的网络安全法第二十一条明确指出“国家实行网络安全等级保护制度”。正式宣告在网络空间安全领域，我国将等级保护制度作为基本国策。

27、信息的价值从企业视角、用户视角和攻击者视角三个层面来看待。

28、安全模型是安全策略的清晰表述方式，具有以下哪些特点：

精确的、无歧义的

简单的、抽象的，易于理解

只涉及安全性质，不限制系统的功能及其实现

29、CIA三元组定义了信息安全的基本属性，分别是机密性，完整性和可用性，信息安全首要就是保护信息的这三个基本属性

30、信息系统安全是没有绝对安全的

31、越接近内部的网络安全要求等级越高，越接近外部的网络安全要求等级越低

32、组织识别风险后，可采取的处理方式有:风险规避、风险缓解、风险转移

33、信息安全威胁情报的基本特征是时效性、相关性、准确性

34、信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。

35、刑法第二百八十六条【破坏计算机信息系统罪】违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。

36、安全策略是宏观的原则性要求，不包括具体的架构、参数和实施手段。

37、在信息安全管理体系中，下面的角色对应的信息安全职责：

高级管理层:最终责任

系统的普通使用者:遵守日常操作规范

审计人员:检查安全策略是否被遵从

通常由管理层提供各种信息安全工作必须的资源

38、《全国信息安全标准化技术委员会(TC260)》

自2004年1月起，各有关部门在申报信息安全国家标街计划项目时，必须经信安标委提出工作意见，协调一致后由信安标委组织申报

39、我国信息安全保障工作的主要原则:技术与管理并重，正确处理安全与发展的关系

40、(国务院)根据宪法和法律，规定行政措施，制定行政法规，发布决定和命令.

41、《中华人民共和国网络安全法》第二十一条规定网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于(六个月)

42、关键基础设施运营中产生的数据必须(境内存储)，因业务需要向外提供的，按照国家网信部门会同国务院有关部门制定的办法进行安全评估.

43、第八条网络运营者应当建立个人信息出境记录并且至少保存5年，记录包括:

(一)向境外提供个人信息的日期时间。

(二)接收者的身份，包括但不限于接收者的名称、地址、联系方式等。

(三)向境外提供的个人信息的类型及数量、敏感程度。

(四)国家网信部门规定的其他内容

44、应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。

45、对外:能够使各利益相关方对组织充满信心;能够帮助界定外包时双方的信息安全责任可以使组织更好地满足客户或其他组织的审计要求可以使组织更好地符合法律法规的要求;若通过了

ISO27001认证，能够提高组织的公信度;可以明确要求供应商提高信息安全水平，保证数据交换中的信息安全。

46、信息安全管理标准GB/T 22080、lSO/IEC 27001

47、组织机构的信息安全管理的水平取决于管理中最薄弱的环节

48、覆盖数据三次即符合美国能源部关于安全抹掉磁性介质的标准。

49、2016年11月7日，《中华人民共和国网络安全法》正式发布，并于2017年6月1日实施。

50、本规定所称儿童，是指不满十四周岁的未成年人。

51、攻击者对系统或网络进行攻击的过程通常包括信息收集与分析、实施攻击、设置后门及清除痕迹四个步骤。

52、跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。不属于口令破解攻击方式

53、社会工程学攻击是利用人性的弱点而以获取信息或实施攻击的方式

54、IE炸弹是指有一段代码的执行会陷入无穷的循环，最终导致资源耗尽，影响计算机的使用。

55、1949年，计算机之父冯诺依曼在《复杂自动机组织论》上提出了最初恶意程序的概念，它是指一种能够在内存中自我复制和实施破坏性功能的计算机程序。

56、恶意代码的传播方式包括利用文件传播、利用网络服务传播、利用系统漏洞传播三种方式。

57、缓冲溢出攻击是通过向程序的缓冲区写入超过预定长度的数据，从而破坏程序的堆栈，导致程序执行流程的改变。

58、用加密机制的协议是SSL。SSL协议位于TCP和IP协议与各种应用层协议之间，为数据通讯提供安全支持。HTTPS的安全基础是SSI

59、Unix：包含wtmp/wtmpx、utmp/utmpx和lastlog三个主要日志文件，SecEvent.Evt是windows操作系统

AppEvent.Evt、SecEvent.Evt、SysEvent.Evt、W3C扩展日志，属于Windows系统上存在的日志文件

60、人是信息系统安全防护体系中最不稳定也是最脆弱的环节

61、信息系统安全运营原则包括标准化与一致性原则、技术与管理并重原则、统筹规划与分步实施原则和同步规划建设原则。

62、企业信息安全管理为企业信息和企业信息系统提供：保密性、完整性、真实性、可用性、不可否认性服务。

63、渗透测试大致可分为信息收集、漏洞发现和漏洞利用等三个阶段，

更细致可划分为目标确立、信息收集、威胁建模、漏洞探测则、漏洞验证、漏洞分析和漏洞利用等七个阶段，并最终形成渗透测试报告。

64、信息收集应遵守一定的原则，即准确性、全面性和时效性。

65、身份冒充指的是一个实体声称是另一个实体。

66、网络钓鱼攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。

67、端口扫描通过扫描目标主机端口来判断其运行的服务，是信息收集阶段的必要步骤。

68、漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，从而发现可利用漏洞的一种安全检测(渗透攻击)行为。

69、Nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。

70、网络嗅探技术是一种数据链路层技术，利用了共享式网络传输介质的特性，即网络中的一台机器可以嗅探到传递给本网络中其他机器的报文。

网络嗅探对于网络管理员来说可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能。

网络嗅探指通过嗅探工具窃听网络上流经的数据包，其利用的是交换共享原理。

71、路由器(Router）是连接因特网中各局域网或广域网的设备，构成了Internet的骨架。

72、端口映射：即将内网的服务端口映射到路由器的外网地址，从而实现对内网服务的访问。

理论上可以提供65535(总端口数)-1024(保留端口数)=64511个端口的映射。

73、格式化磁盘通常会导致现有的磁盘或分区中所有的文件被清除，同时所有的恶意代码也可以被彻底删除.

74、安全漏洞在增加

中国国家信息安全漏洞库(China National Vulnerability Database of Information Security，CNNVD)

CNNVD

漏洞标识方面的规范是为信息安全漏洞在不同对象之间的传递和表达提供一致的方法

在漏洞处理过程中应维护公平、公开、公正、及时处理原则和安全风险最小化原则.

修复漏洞最基本的方法就是安装系统最新补丁

修复措施类的安全编程用来描述从源代码层修复或避免漏洞产生的方法。

75、通过“计算机管理”来清除时间日志也可以达到清除痕迹的目的，如果禁用“event log”服务，则该主机就不会对任何操作进行日志记录了。

76、1993年6月，美国政府同加拿大及欧共体共同起草单一的通用准则(CC标准)并将其推到国际标准。制定CC标准的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。

77、Windows系统安装完成后，除了安装过程中用户自建的账户外，默认会生成在两个内置的账户，分别是管理员账户administrator和来宾账户guest。

78、Windows系统的服务为操作系统提供许多重要功能，服务的启动策略有所不同，分别是自动(系统开机自动启动)、手动(按需由管理员启动)和禁用(禁止启动)。

79、移动智能终端面临的安全威胁主要有:伪基站、设备丢失和损坏、系统漏洞、恶意APP

80、理论上对数据进行反复七次的覆写就基本无法进行恢复

81、mstsc打开远程连接，nslookup打开IP地址侦测器、注册表编辑器：regedit

82、柯克霍夫原则：密码系统的运作步骤泄露，密钥未泄露，该密码仍可用

NISP一级考试相关知识点相关推荐

大一计算机理论考试知识点,计算机一级考试理论知识点整理.doc
计算机一级考试理论知识点整理.doc 还剩 62页未读, 继续阅读下载文档到电脑,马上远离加班熬夜! 亲,很抱歉,此页已超出免费预览范围啦! 如果喜欢就下载吧,价低环保! 内容要点: 个人整理仅供 ...
计算机一级考试选择题知识点,计算机一级选择题必背知识点有哪些？快来了解一下...
计算机一级选择题必背知识点有哪些?快来了解一下 2019-11-0516:26:20 来源: 作者:songzini 计算机一级考试中选择题一共有20道,所占分值比例为20%,比重比较大,同时也是得分 ...
计算机一级考试选择题知识点,计算机一级选择题必背知识点考试题型有哪些...
计算机一级考试有三个科目,分别是一级MS Office.一级WPS Office.一级Photoshop.因此考试题型也分为三个科目.那么计算机一级选择题必背的知识点有哪些呢. 计算机一级选择题必背知 ...
计算机一级考试wps知识点,计算机一级考试wps练习题
wps是计算机一级考试考核的科目之一,那么计算机一级考试wps科目都考察哪些内容呢?下面学习啦小编为大家带来计算机一级考试wps练习题,欢迎同学备考练习. 计算机一级考试wps练习题1: 1.在WIN ...
计算机一级考试wps知识点,全国计算机一级考试试题wps及答案
全国计算机一级考试试题wps及答案下面小编为大家整理的内容是全国计算机一级考试试题wps,希望对即将参加计算机考试的同学有所帮助. 1.计算机病毒是(B). A.计算机系统自生的 B.一种人为编制的 ...
计算机一级考试ps知识点,计算机一级考试PS备考复习题及答案2017
计算机一级考试PS备考复习题及答案2017 Photoshop应用是计算机一级考试科目之一,为帮助考生们复习备考,以下是百分网小编搜索整理的一份计算机一级考试PS备考复习题及答案,供参考练习,预祝考生 ...
计算机一级考试wps知识点,2020年12月计算机一级WPS考试考前备考知识点
[导语]2020年计算机一级备考正在进行中,为了方便考生及时有效的备考,那么,无忧考网为您精心整理了2020年12月计算机一级WPS考试考前备考知识点,供大家关注.如想获取更多计算机一级考试的模拟题及 ...
计算机一级考试wps知识点,2018年计算机一级考试WPS辅导知识：表格单元格格式设置方法...
2018年3月计算机等级考试即将开始,小编在这里为考生们整理了2018年计算机一级考试WPS辅导知识,希望能帮到大家,想了解更多资讯,请关注出国留学网的及时更新哦. 2018年计算机一级考试WPS辅导 ...
计算机一级考试ps知识点,计算机一级考试PS备考训练题及答案
考生们在复习计算机等级考试过程中,练习题更是不可忽视的一部分,下面是小编为大家整理的计算机一级考试PS备考训练题及答案,欢迎参考~ 计算机一级考试PS备考训练题及答案选择题 1.题目在图像中绘制一个 ...

NISP一级考试相关知识点

NISP一级考试相关知识点相关推荐

最新文章

热门文章