复习指南-尚大教育

您现在的位置：首页 > 审核员考试学苑 > 信息安全管理体系审核员 > 复习指南 > 列表

复习指南

网站漏洞 2019-11-19

网站漏洞，随着B/S模式被广泛的应用，用这种模式编写Web应用程序的程序员也越来越多。但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断，导致了攻击者可以利用这个编程漏洞来入侵数据库或者攻击Web应用程序的使用者，由此获得一些重要的数据和利益..

B/S架构C/S架构 2019-11-19

B/S架构一浏览器和服务器结构。客户机上只要安装一个浏览器（Browser），如Netscape Navigator或Internet Exlorer,服务器安装 Oracle、Sybase、Informix或 SQL Server 等数据库。浏览器通过Web Server 同数据库进行数据交互。这样就大大简化了客户端电脑载荷，减轻了系统维护与升级的成本和工作量，降低了用户的总体成本。

C/S架构一客户机和服务器结..

数字签名、数据证书 2019-11-19

数字签名（又称公钥数字签名）是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术来实现的，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。
数字签名是非对称密钥加..

IPSec 协议 2019-11-19

IPSec（Internet Protocol Security）：是一组基于网络层的，应用密码学的安全通信协议族。
IPSec不是具体指哪个协议，而是一个开放的协议族。IPSec VPN体系结构主要由AH、ESP和IKE协议套件组成。
IPSec通过ESP来保障IP数据传输过程的机密性，使用AH/ESP提供数据完整性、数据源验证和抗报文重放功能。
ESP和AH定义了协议和载荷头的格式及所提供的服务，但却没..

SVN、CVS、GIT 2019-11-19

（1） Subversion ( SVN )是一个开源的版本控制系統，也就是说Subversion管理着随时间改变的数据。这些数据放置在一个中央资料档案库(repository)中。这个档案库很像一个普通的文件服务器，不过它会记住每一次文件的变动。这样你就可以把档案恢复到旧的版本,或是浏览文件的变动历史。

SVN中的一些概念：
(1) repository (源代码库)——源代码..

DNS服务器 2019-11-19

DNS（Domain Name Server，域名服务器）是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表，以解析消息的域名。域名是Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位（有时也指地理位置）。域名是由一串用点分隔的名字组成的，..

PKI公共密钥体系 2019-11-19

PKI （ PublicKeylnfrastructure ，公共密钥体系）,所管理的基本元素是数字证书，它利用公共密钥算法的特点，建立一套证书发放、管理和使用的体系,来支持和完成网络系统中的身份认证、信息加密、保证数据完整性和抗抵赖性。PKI体系可以有多种不同的体系结构、实现方法和通信协议。
公共（非对称）密钥算法使用加密算法和一对密钥:一个公共密钥（公钥,public key）..

端口扫描 2019-11-19

端口扫描就是逐个对一段端口或指定的端口发送一组端口扫描消息，试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上，端口扫描包括向每个端口发送消息,一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。端口扫描就是通过连..

重放攻击 2019-11-19

重放攻击(Replay Attacks)又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生，是计算机世界黑..

DoS & DDoS & DRDoS 2019-11-19

DoS——拒绝服务攻击(Denial-of-Service Attack )亦称洪水攻击，是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止，导致其正常用户无法访问。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
1)带宽攻击——以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽，最后导致合法的用户..

网络攻击存在的两种类型 2019-11-19

网络攻击（Cyber Attacks，也称赛博攻击）是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。对于计算机和计算机网络来说，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据，都会被视为于计算机和计算机网络中的攻击。

攻击分类1、主动攻击
主动攻击会导致某些数据流..

口令与密码的区别 2019-11-19

口令本质上是一种身份验证机制，只有你输对了密码才能取钱,输错了就不能取钱，对错仅仅是这一串字符的差别。有时所说的密码，在计算机安全领域，应叫口令。对应的英文单词为Password、Passcode和Pin等。口令并不真正具有机密性，除了你之外，银行本身也知道你卡的密码。
密码对应的英文为“Cryptography” ,意思是一种复杂而又庞大的信息处理系统..

入侵检测系统、防火墙、漏洞扫描的区别和联系 2019-11-19

概念（1）入侵检测系统（intrusion detection system，简称“IDS”）—网络旁路设备，通过分析网络上的数据包，对比行为库，来检测是否有入侵行为，并形成报告,仅检查,不处理。是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。..

信息安全审计 2019-11-19

主要是从技术角度审查网络和系统的强壮性的，所以会用一些工具对网络和系统进行扫描和分析,不是纸面上的审核的意思，所以不是仅查看规范、记录、日志就可以做到的。在GB/T22080-2016ISO/IEC 27001 标准附录A中A 18.2规定，认证组织应该定期开展信息安全独立评审工作，即信息安全审计工作。
认证组织内部实施的信息系统的安全性漏洞排查的过程，根据组织的..

	认证及认证培训、咨询人员管理办法 2019-11-15
	第一条为规范认证及认证培训、咨询人员的执业行为，加强对认证市场的管理，根据《中华人民共和国认证认可条例》，制定本办法..

	商用密码管理条例 2019-11-15
	第一条为了加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益，制定本条例。 ..

	互联网安全保护技术措施规定 2019-11-15
	第一条为加强和规范互联网安全技术防范工作，保障互联网网络安全和信息安全，促进互联网健康、有序发展，维护国家安全、社会秩序和公共利益，根据《计算机信息网络国际联网安全保护管理办法》，制定本规定。..

	中华人民共和国认证认可条例 2019-11-15
	第一条为了规范认证认可活动，提高产品、服务的质量和管理水平，促进经济和社会的发展，制定本条例。..

	互联网信息服务管理办法 2019-11-15
	第一条　为了规范互联网信息服务活动，促进互联网信息服务健康有序发展，制定本办法。..

	信息安全等级保护管理办法 2019-11-15
	第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。..

	中华人民共和国计算机信息系统安全保护条例 2019-11-15
	1994年2月18日中华人民共和国国务院令第147号发布，根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订。..

	中华人民共和国网络安全法 2019-11-15
	《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。..

	中华人民共和国保守国家秘密法 2019-11-15
	为了保守国家秘密，维护国家安全和利益，保障改革开放和社会主义建设事业的顺利进行，制定本法。..

	ISO27001标准附录“A.15符合性”解析 2019-07-23
	ISO27001标准附录 A.15.1　符合法律要求 ISO27001标准附录 A.15.1.1　可用法律的识别【内容解析】识别与信息安全相关的全部法律法规和合同的要求是执行管理层的职责，组织应将为满足这些要求而采用..

	ISO/IEC27001:2013 新版介绍 2019-07-23
	一、ISO/IEC27001:2013正式实施 ISO组织在现行ISO/IEC27001:2005标准使用8年后，在众多组织的呼声中，将新版2013版的颁布时间提前，于2013年9月26日推出正式版本ISO/IEC27001:2013信息安全管理体..

页次：3/4 每页25 总数82 首页上一页下一页尾页转到:

距离2023年05月20-21日审核员考试还有天

尚大CCAA交流群：296661694

软考培训

证书用途

尚大优势

培训须知

信管培训

集成培训

信监培训

信安培训

开班计划

报名交费
软考报名预计从2018年8月

报名条件

报名入口

报名专业

如何报考

报名流程

报名费用

常见问题

报名教程

报名动态
教材、考试大纲请使用新版教材

官方教材

考试大纲

购买教材

栏目推荐

更多>>

推荐内容

信息安全管理体系审核员

信息技术服务体系审核员

质量管理体系审核员

环境管理体系审核员

职业健康安全体系审核员

建工管理体系审核员

食品管理体系审核员

危害分析与关键控制点体系

审核员考试学苑