CISP题目练习
![image-20230131094600065](https://img-blog.csdnimg.cn/img_convert/3256b7f979baa2f692ed2f55024978a6.png)
知识点:
风险计算原理可以用下面的范式形式化地加以说明:
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))
R表示安全风险计算函数
A表示资产
T表示威胁
V表示脆弱性
Ia表示安全事件所作用的资产价值
Va表示脆弱性严重程度
L表示威胁利用资产的脆弱性导致安全事件的可能性
F表示安全事件发生后造成的损失
![image-20230131103031953](https://img-blog.csdnimg.cn/img_convert/ae07f7c2e70624dc2ba86f09cf84a9e0.png)
![image-20230131103136773](https://img-blog.csdnimg.cn/img_convert/cc868a9c6d4318693a245dbbfaa24ce8.png)
知识点:
舍伍德商业应用安全架构(SABSA):P39
![image-20230131104156310](https://img-blog.csdnimg.cn/img_convert/03818fd66e42080e08ae1488c052d6c4.png)
知识点:
信息安全管理方面最著名的国际标准-ISO/IEC27001(简称 ISMS)
A:由最高层(例如董事会)制定信息安全方针。
![image-20230131104956906](https://img-blog.csdnimg.cn/img_convert/a6a2e843079c358241dd664257db5772.png)
风险评估定量分析的一些知识点:
暴露因子(EF):特定威胁对特定资产造成损失的百分比
单一预计损失(SLE):也称为单一事件成本(SOC)= 暴露因子(EF)* 资产价值
年度预计损失(ALE):也被称为预期年度费用(EAC)= SLE * 年度发生率(ARO)
![image-20230131113045498](https://img-blog.csdnimg.cn/img_convert/2d6ed45e9c3608ae67cfc956bd05ff29.png)
知识点:
信息安全保护等级为五级:第一级:自主保护等级,第二级:指导保护等级,第三级:监督保护等级,第四级:强制保护等级,第五级:专控保护等级
![image-20230131140144020](https://img-blog.csdnimg.cn/img_convert/efeb17c44be6230773537bbf02a3521b.png)
知识点:
BLP模型包括自主安全策略(访问控制矩阵)和强制安全策略(对每个主体和客体进行定义)
利用两个规则保障机密性:
- 简单安全规则:向下读,即主体支配客体的安全级,主体可以读客体
- *—规则:向上写,客体支配主体的安全级,主体可以写客体
Biba模型:完整性,“不下读,不上写”
![image-20230131141659581](https://img-blog.csdnimg.cn/img_convert/f39254c7f74f3c6fd6ba3c3b3d7d0a05.png)
![image-20230131141952583](https://img-blog.csdnimg.cn/img_convert/99f792d4039242ec1ddb4e840354a711.png)
![image-20230131142044507](https://img-blog.csdnimg.cn/img_convert/563904671c56f07337164e6dcc6bec2e.png)
![image-20230131142308281](https://img-blog.csdnimg.cn/img_convert/1ea9a7f13dae259791fb78462f238af2.png)
![image-20230131142648961](https://img-blog.csdnimg.cn/img_convert/01d971eee1492ae79191d1d1211fe2cc.png)
![image-20230131142807255](https://img-blog.csdnimg.cn/img_convert/3d0c036abee1e8fd1b45401e86b60f4f.png)
![image-20230131143327504](https://img-blog.csdnimg.cn/img_convert/d0b1cdcaaebb033b2d0b03fd47ba17c1.png)
![image-20230131151730791](https://img-blog.csdnimg.cn/img_convert/789a779aa9c604907766e844027c91e7.png)
![image-20230131152021550](https://img-blog.csdnimg.cn/img_convert/e127166e93f811293a91532e5c836612.png)
![image-20230131153004216](https://img-blog.csdnimg.cn/img_convert/802dc5cdf1152d222c15bd0ae1162080.png)
![image-20230131164424828](https://img-blog.csdnimg.cn/img_convert/78b649eff9d9578be7f978a5ac5e8605.png)
知识点:
软件安全的三根支柱是风险管理、软件安全接触点和安全知识
![image-20230201100114238](https://img-blog.csdnimg.cn/img_convert/86763f38dc5a4e8226807990eba019eb.png)
![image-20230201100225424](https://img-blog.csdnimg.cn/img_convert/1c46f311a36062e263fda38877cb4646.png)
![image-20230201155302278](https://img-blog.csdnimg.cn/img_convert/ec87019cc6aa5dbc0ddc51a4340ddd44.png)
不符合信息安全工程的同步规划、同步实施"的基本原则