注册信息安全专业人员(CISP)认证是中国信息安全领域的权威认证之一。本系列学习指南专注于"基本安全管理措施"这一核心知识体,帮助考生系统地理解和掌握关键概念。
知识体系概览
基本安全管理措施主要包含七大核心领域:
graph LR
A["基本安全管理措施"]
B["管理与组织"]
C["风险与业务连续性"]
D["技术安全"]
E["网络与系统"]
F["数据与资产"]
G["软件与开发"]
H["物理与环境"]
I["合规与框架"]
A --> B
A --> C
A --> D
A --> E
A --> F
A --> G
A --> H
A --> I
B --> B1["安全组织机构"]
B --> B2["安全策略"]
B --> B3["信息安全管理组织"]
B --> B4["人员安全管理"]
B --> B5["职业道德"]
C --> C1["风险管理与威胁建模"]
C --> C2["业务连续性与应急响应"]
D --> D1["访问控制与身份鉴别"]
D --> D2["密码学与PKI"]
E --> E1["网络安全基础"]
E --> E2["系统安全与取证"]
E --> E3["恶意代码防护"]
F --> F1["资产管理"]
F --> F2["数据库安全"]
G --> G1["软件安全与SAMM"]
G --> G2["软件测试与安全"]
H --> H1["物理与环境安全"]
I --> I1["等级保护与框架"]
style A fill:#e3f2fd,stroke:#1976d2,stroke-width:3px
style B fill:#f3e5f5,stroke:#7b1fa2
style C fill:#fff9c4,stroke:#f57f17
style D fill:#e8f5e9,stroke:#388e3d
style E fill:#e1f5fe,stroke:#0277bd
style F fill:#e0f2f1,stroke:#00695c
style G fill:#fff3e0,stroke:#f57c00
style H fill:#fce4ec,stroke:#c2185b
style I fill:#ede7f6,stroke:#5e35b1
系列文章导航
📋 管理与组织领域
🏢 安全组织机构
- 人员风险评估、职责分离原则、关键角色职责
📜 安全策略
- 文件层次结构、策略关键要素、评审机制、管理者承诺
🤝 信息安全管理组织
- 组织结构设计、保密协议管理、外部关系管理、外部访问控制
👥 人员安全管理
- 生命周期管理、离职控制、补偿性控制措施
🎓 职业道德
- 五大核心原则、法律法规遵守、职业操守维护、持续专业发展
📋 项目管理
- 项目定义与特征、SMART原则
- 项目理解常见错误、信息安全项目管理
🎯 风险与业务连续性领域
📊 风险管理与威胁建模
- 风险管理基础、风险评估方法、风险处理策略
- 背景建立、风险评估、风险处理、风险监控
- 风险要素关系、风险值计算方法、多威胁多脆弱性场景
- STRIDE威胁建模六类威胁、安全设计原则
🔄 业务连续性与应急响应
- 备份站点类型(冷/温/热站)、灾难恢复计划、业务连续性测试
- RPO和RTO概念、业务影响分析
- 事件响应六阶段、PDCERF方法论
- 通知机制、应急响应团队、我国事件分级(特别重大/重大/较大/一般)
- PDCERF六阶段详解、准备与检测、遏制与根除、恢复与跟踪
🔐 技术安全领域
🔐 信息安全基础
- CIA三要素(保密性、完整性、可用性)
- 安全威胁对CIA的影响、安全措施与CIA的关系
- Windows本地安全策略四大类别、安全配置分类
- 密码策略、账户锁定策略、审核策略配置
- LSA与SID、SAM服务权限、远程登录鉴别机制演进
🔒 访问控制与身份鉴别
- 安全模型分类、BLP与Biba模型、访问控制实现
- ACL与CL区别、主体与客体概念
- 访问控制实施步骤(主体→实施部件→客体→决策部件)
- TACACS+集中式访问控制、蜜网功能与局限
- 审计系统三大组成(日志记录、分析、报告)
- WAPI安全机制(WAI身份鉴别、WPI数据加密)
- 实体所知、实体所有、实体特征三大类鉴别方法
- 指纹鉴别、生物识别、多因素认证
🔐 密码学与PKI
- 密码系统组成、密钥安全、攻击面降低、密钥管理生命周期
- 对称加密与非对称加密、MD5与AES区别
- 密码学发展历史四阶段(古典→近代→现代早期→现代近期)
- PKI核心组件、RA与CA区别、证书生命周期
- 数字签名、证书撤销机制
🌐 网络与系统安全领域
🌐 网络安全基础
- TCP/IP协议体系、OSI七层模型、TCP/IP封装过程
- 威胁分类、私有IP地址、NAT技术
- 威胁识别、介质销毁方法、网络可用性提升
- 链路冗余、IPsec VPN安全服务、防火墙隔离
- 安全机制与协议、网络安全技术深入
- 安全协议分析、加密协议、认证协议
- 传输层安全协议(SSL/TLS)、网络层协议(IPsec)、数据链路层协议(L2TP、PP2P)
🖥️ 系统安全与取证
- passwd和shadow文件、密码加密机制、SUID权限位
- Linux权能机制、root账户管理、SID/RID概念
- 计算机取证流程(获取、保护、分析)
- XSS攻击防护、Windows审核策略、入侵检测
- IDS工作原理、检测方法、法律法规要求
🦠 恶意代码防护
- 即时通讯传播、电子邮件传播、网络蠕虫
- 移动存储介质、网页挂马、社会工程学
- 木马防护措施、病毒应急响应
🔍 渗透测试
- 渗透测试方法论、测试流程、工具使用
- 漏洞发现与利用、安全评估技术
💾 数据与资产安全领域
📦 资产管理
- 资产分类、责任人管理、敏感性管理、安全标记
🗄️ 数据库安全
- 六大安全策略、粒度适当策略、访问控制机制
🏗️ 软件与开发安全领域
💻 软件安全与SAMM
- BSI模型、软件安全三大支柱、SDL模型
- 安全测试与软件安全接触点
- SAMM四大核心业务功能(治理、构建、验证、运营)
- 成熟度模型、软件安全保障
🔬 软件测试与安全
- 模糊测试(Fuzzing)原理、测试用例生成
- 测试对象选择、异常监测、结果分析
- Web应用安全威胁、OWASP Top 10、安全开发实践
🏢 物理与环境安全领域
🏢 物理与环境安全
- 数据中心选址、物理访问控制、消防安全、电源保护
🏛️ 合规与框架领域
🏛️ 等级保护与框架
- 核心政策文件、等级保护五个等级、测评体系
- IATF框架与深度防御、安全培训管理、CC标准
- 信息安全工程理念、ISMS PDCA模型
- 等级保护发展历程(思想→试点→政策→标准→法律)
- P2DR模型四个强调
- 信息安全事件分级、国家秘密定级
- IPsec协议安全、密钥管理、风险处理方式
- 防火墙隔离能力、应急响应预案
- 威胁建模流程、保密法与国家秘密保护
- 系统工程特点(整体性、综合性)、系统工程方法
- 分组密码算法、标准体系与层级关系、SSE-CMM能力成熟度模型
- 国务院信息化办公室九项重点工作
- IATF框架结构、SABSA企业安全架构
- 框架应用与实践、安全架构设计
PDCA循环
graph TB
P["Plan
计划
分析问题、制定目标"] D["Do
执行
实施计划内容"] C["Check
检查
评估执行结果"] A["Act
处理
总结改进"] P --> D D --> C C --> A A -."持续改进".-> P style P fill:#e3f2fd,stroke:#1976d2,stroke-width:2px style D fill:#e8f5e9,stroke:#388e3d,stroke-width:2px style C fill:#fff3e0,stroke:#f57c00,stroke-width:2px style A fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
计划
分析问题、制定目标"] D["Do
执行
实施计划内容"] C["Check
检查
评估执行结果"] A["Act
处理
总结改进"] P --> D D --> C C --> A A -."持续改进".-> P style P fill:#e3f2fd,stroke:#1976d2,stroke-width:2px style D fill:#e8f5e9,stroke:#388e3d,stroke-width:2px style C fill:#fff3e0,stroke:#f57c00,stroke-width:2px style A fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
PDCA循环是管理学常用的持续改进模型,包含计划(Plan)、执行(Do)、检查(Check)、处理(Act)四个阶段。
详细内容请参考:
CISP学习指南:信息安全管理体系与标准 - ISMS的PDCA模型
学习建议
学习顺序
建议按照以下顺序学习:
- 安全组织机构 → 理解基础概念和原则
- 安全策略 → 掌握策略体系和管理要求
- 信息安全管理组织 → 了解组织运作和外部关系
- 人员安全管理 → 深入人员管理实践
- 业务连续性管理与灾难恢复 → 掌握业务连续性保障
学习方法
💡 高效学习策略
理解优先于记忆
不要死记硬背答案,要理解背后的安全原理和管理逻辑。
推荐学习步骤:
- 理解概念:先理解每个概念的定义和目的
- 分析原理:思考为什么要这样设计
- 联系实际:结合实际工作场景理解
- 系统归纳:建立知识体系框架
- 交叉复习:各领域知识相互关联
高频考点
跨领域重点:
- ✅ 职责分离原则及其应用
- ✅ 安全策略文件的层次结构
- ✅ 风险管理流程与阶段划分
- ✅ 备份站点类型与选择(冷/温/热站)
- ✅ 业务连续性和灾难恢复(RPO/RTO)
- ✅ 事件响应六阶段模型
- ✅ PDCERF六阶段方法论
- ✅ 访问控制模型(BLP/Biba)
- ✅ 密钥管理生命周期
- ✅ PKI核心组件(RA与CA的区别)
- ✅ STRIDE威胁建模六类威胁
- ✅ 软件安全三大支柱
- ✅ SAMM四大核心业务功能
- ✅ ISMS PDCA模型各阶段
- ✅ 等级保护制度和框架
- ✅ P2DR模型的四个强调
- ✅ 风险值计算方法
- ✅ 四种风险处理方式
- ✅ 信息安全事件分级标准
- ✅ 资产分类和责任人管理
- ✅ CIA三要素(保密性、完整性、可用性)
- ✅ DDoS攻击与可用性
- ✅ Windows安全策略配置
- ✅ 项目管理与SMART原则
- ✅ ISO 27001控制措施范围
- ✅ IATF框架由美国发布
- ✅ 传输层安全协议(SSL/TLS)
- ✅ Windows身份鉴别机制(LSA、SID、SAM)
- ✅ 密码学发展四阶段
- ✅ 访问控制实施流程四要素
- ✅ TACACS+集中式访问控制机制
- ✅ 蜜网功能(吸引、监控、分析,不能实时报警)
- ✅ 审计系统三大组成(日志记录、分析、报告)
- ✅ WAPI安全机制(WAI、WPI)
- ✅ 国务院信息化办公室九项重点工作
- ✅ 系统工程特点(整体性、综合性)
易错点提醒
⚠️ 注意区分
- 当前员工 vs 离职员工:当前员工风险更高
- 系统程序员 vs 系统维护员:职责不应混淆
- 方针政策 vs 工作程序:层次不同
- 必须纸质 vs 可以电子:策略文件形式灵活
- 固定评审周期 vs 灵活评审:应根据组织实际情况
- BLP vs Biba:上读下写 vs 下读上写
- ACL vs CL:以资源为中心 vs 以用户为中心
- 定量 vs 定性风险分析:各有优势,应根据实际选择
- 安全测试 vs 软件安全接触点:安全测试是软件安全接触点的一部分
- 高层职责 vs 执行职责:战略决策 vs 日常运营
- 专职 vs 兼职:根据条件灵活配置
- 保密协议内容:关注保密相关要素,非业务细节
- 外部访问管理:平衡安全与业务需求
- 冷站 vs 温站 vs 热站:设备配置和恢复能力不同
- 备份站点距离:不能太近也不能太远
- 优先级定义者:业务经理而非IT经理
- 计划制定顺序:业务影响分析必须在前
- 背景建立 vs 风险评估:背景建立不包括资产识别并赋值
- 粒度最小 vs 粒度适当:是适当策略,不是最小策略
- 最小粒度 vs 适当粒度:根据实际选择,不是一味追求最小
- 职业道德违规:散发非法软件违反职业道德
- 资产分类:操作系统属于平台资产,不是设备资产
- 资产责任人:必须明确所有者、管理者、使用者,厂商不是责任人
- 敏感性标识:个人签名不属于敏感性标识方法
- 介质销毁:物理破坏是最有效方法
- 网络可用性:链路冗余最能提高可用性
- 密码安全:安全性由密钥决定,不是算法
- 攻击面降低:限制访问而非关闭功能
- 数据中心选址:中间楼层最适合,避开一楼、地下室、顶楼
- 消防系统:哈龙气体或干管系统最适合数据中心
- 事件响应:准备→确认→遏制→根除→恢复→跟踪
- 应急通知:电话方式最有效,日常运行小组第一个通知
- 病毒响应:首先拔掉网线隔离
- 事件分级:特别重大、重大、较大、一般四级
- SAMM核心功能:四个核心功能,购置不是其中之一
- RA vs CA:RA不能签发证书,只能验证身份
- PDCERF阶段:检测不是培训、文档或报告阶段
- 取证工作:包括获取、保护和分析三方面
- RPO vs RTO:RPO关注数据丢失,RTO关注停机时间
- XSS攻击:插入恶意HTML代码或脚本
- Linux权能:权能只能被放弃,不能被恢复
- MD5 vs AES:MD5用于完整性验证,AES用于加密
- TCP/IP封装:传输层→互联网络层→网络接口层
- 风险降低:根据风险建立保护要求,构建防护措施
- SID RID:500=Administrator,501=Guest
- STRIDE Spoofing:弱口令导致身份冒充属于Spoofing威胁
- 木马防护:使用共享文件夹是无效的防护措施
- 应急响应:六阶段不能保证100%成功
- 纵深防御:多层次防护,不依赖单一措施
- CC标准先进性:实用性不是先进性的体现
- 信息安全工程:不能先实施后加固,必须同步建设
- ISMS内部审核:属于Check阶段,不是Act阶段
- ISO 27001控制领域:规划与ISMS不是控制领域
- 等级保护发展:正确顺序是思想→试点→政策→标准→法律
- P2DR vs PDR:P2DR强调控制和对抗、动态性、漏洞监测
- 事件分类:数据删除属于信息破坏事件,不是有害程序事件
- 事件定级:综合考虑影响范围、程度和社会影响
- 国家秘密定级:不能由单位自行参考后报批,必须由指定部门确定
- 保密法三同步:保密设施必须与涉密系统同步规划、建设、运行
- IPsec安全服务:不仅仅是认证和保密,还有完整性和防重放
- ISMS方针制定:由管理层制定,不是IT部门
- 会话密钥:不能重用,会影响通信安全
- 关闭服务:属于风险规避,不是风险降低
- 防火墙隔离:只能逻辑隔离,不能物理隔离
- 应急预案:不是所有单位的强制要求
- 威胁vs漏洞:威胁不等于漏洞,威胁利用漏洞
- SSL vs IPsec vs L2TP:SSL属于传输层,IPsec属于网络层,L2TP属于数据链路层
- LSA vs SAM:LSA生成SID,SAM服务以SYSTEM权限运行(不是Administrator)
- SID组成:包括用户和组的安全描述,但不是48比特身份特权
- Enigma密码机:属于近代密码阶段(机械/机电设备),不是古典密码
- 访问控制流程:主体→访问控制实施→客体→访问控制决策
- 系统工程:强调整体性,不是分解为独立部分
- 27号文:总体纲领是最重大意义,方针和总体要求是内容
- 信息系统安全保障模型:包括保障要素、生命周期和安全特征
- 威胁建模:威胁是潜在事件,不等于漏洞
- 访问权限:拒绝访问是结果,不是权限类型
- 主体和客体:主体主动发起访问,客体被动接受访问
- TACACS+ vs RADIUS:都是集中式访问控制,不是分布式
- 蜜网功能:不能实时报警,这是IDS的功能
- 审计系统作用:不能实时阻断访问,这是访问控制的功能
- WAI vs WPI:WAI负责身份鉴别,WPI负责数据加密
- 残余风险:不追求最小值,追求可接受水平
- 风险值计算:每个威胁-脆弱性组合计算一个风险值
- Linux root账户:不能禁用所有ID=0用户,root必须保留
- Windows审核策略:应该开启,不是关闭
- 模糊测试:模拟异常输入,不是正常输入
- 应急响应方法论:六阶段不包括准备和检测
- 事件分级:I级最严重,IV级最轻
- PDR vs P2DR:PDR是三要素,P2DR是四要素
- 风险计算:多威胁多脆弱性需要分别计算
- 风险评估形式:应以自评估为主,不是检查评估为主
- 入侵检测功能:不能防止IP地址欺骗
- Linux SUID:s在user的x位表示SUID,执行时具有文件所有者权限
- PDCA中的A:A是Act(处理),不是Aim(瞄准)
- 风险管理阶段:威胁识别并赋值属于风险评估阶段,不是背景建立
- DDoS攻击:主要破坏可用性,不破坏保密性和完整性
- Windows安全配置:配置本地安全策略属于制定安全策略
- 项目结束日期:应在规划时确定,不是随机决定
- ISO 27001控制领域:业务安全性审计不属于控制措施范围
- IATF框架:由美国国家安全局(NSA)发布
- 九项重点工作:不包括"提高信息技术产品的国产化率"
- 系统工程:强调整体性,不是分别独立研究
备考建议
答题技巧
选择题解题思路:
- 排除法:先排除明显错误的选项
- 关键词法:注意问题中的"最"、“主要”、"不正确"等关键词
- 原理法:回归基本安全原理进行判断
- 场景法:将选项代入实际场景验证
时间管理
- 📊 快速浏览全卷,了解问题分布
- ⏱️ 先做有把握的问题
- 🤔 预留时间检查不确定的问题
- ✏️ 标记需要回顾的问题
总结
基本安全管理措施是CISP考试的重要组成部分,涵盖了信息安全管理的核心概念。通过系统学习这七大领域的知识,不仅有助于通过考试,更重要的是能够在实际工作中建立有效的安全管理体系。
🎯 学习目标
- 理解安全管理的基本原理
- 掌握各领域的核心概念
- 建立完整的知识体系
- 能够应用于实际工作
祝各位考生顺利通过CISP认证考试!
相关资源: