信息安全保障参考文件

Similar documents

注册信息安全专业人员认证指南.doc

程序设计语言 A 计算机网络汇编语言计算与优化课程设计数据库原理及应用现代操作系

NetST 2300系列防火墙产品白皮书

Web 服务器网上银行服务器邮件服务器置于停火区 (DMZ), 通过病毒防御网关入侵检测及防火墙连接到 Internet 上, 办公网也通过 VPN 防火墙连接到 Internet 上二金融网络

信息安全保障1.ppt

Dell SonicWALL Network Security Appliance Dell SonicWALL Network Security Appliance (NSA) (Reassembly-Free Deep Packet Inspection, RFDPI) NSA NSA RFDP

项目采购需求编写模板

19 互联网络是一种功能最强大的营销工具, 它所具备的一对一营销能力, 正是符合定制营销与直复营销的未来趋势 20 数字合同是通过计算机网络系统订立的, 以数据电文的方

杭州顺网科技股份有限公司拟实施股权收购涉及江苏国瑞信安科技有限公司股权评估项目资产评估报告目录杭州顺网科技股份有限公司拟实施股权收购涉及的江苏国瑞信安

湖北省政府采购中心

Microsoft Word 中的文档

<4D F736F F D20C9CFBAA3CAD0BCC6CBE3BBFAB5C8BCB6BFBCCAD4C8FDBCB6BFBCCAD4B4F3B8D95FBDA8D2E9B8E55F5F E646F63>

Microsoft Word - 134招标文件.doc

温州市政府分散采购

桐乡市皮肤病防治院新大楼数通和数据库审计

第 S1 期薛鹏 : 信息安全的发展综述研究 181 口令的泄露将导致网络身份认证机制完全失效等. 上述两方面是信息安全面临的两个基础性问题, 由此指明了当前信息安全建设的

电信行业网上营业厅

目录第一章综述... 3 第二章公司简介... 3 第三章系统概述... 4 第四章软件环境部署... 4 第五章系统安全... 5 第六章用户类别及功能列表... 5 第七章系统功能描述... 7

政府采购招标文件

Microsoft Word - 《证券期货业信息系统审计规范（发布稿）》 doc

turbomail方案

Secoway SVN3000技术建议书V1

D-link用户手册.doc

13 ????????????????????-2010????3 +1????????????4????????????.doc

真人网络棋牌游戏.原载于《人民邮电报》2016年4月15日《乐游记》

<4D F736F F D20312D3120B9ABBFAAD7AAC8C3CBB5C3F7CAE9A3A8C9EAB1A8B8E5A3A92E646F63>

(UTM???U_935_938_955_958_959 V )

网络安全体系.ppt

目录前言... II 1 范围规范性引用文件术语和定义认证专业方向与级别认证要求基本要求初次申请资格条件扩

1 114 CCAA CCAA CCAA 1 CCAA CCAA CCAA CCAA CCAA CCAA CCAA CCAA CCAA CCAA

UDP 8.2 TCP/IP OSI OSI 3 OSI TCP/IP IP TCP/IP TCP/IP Transport Control Protocol TCP User Datagram Protocol UDP TCP TCP/IP IP TCP TCP/IP TC

证券期货市场之主要诚信规范

1. 二進制數值 ( ) 2 轉換為十六進制時, 其值為何? (A) ( 69 ) 16 (B) ( 39 ) 16 (C) ( 7 A ) 16 (D) ( 8 A ) 在電腦術語中常用的 UPS, 其主要功能

SVN3000逐点答夊集

第1章 QBASIC语言概述

則此圖片約需佔用多少儲存空間? M B y t e s M B y t e s M B y t e s M B y t e s 9. ( 3 ) 在 M i c r o s o f t E x c e

飞鱼星多WAN防火墙路由器用户手册

齐齐哈尔医学院

<4D F736F F F696E74202D20A1B6CFEEC4BFD2BB20B3F5CAB6BCC6CBE3BBFACDF8C2E7A1B7C8CECEF1C8FD20CAECCFA A1A24950D0ADD2E9BACD4950B5D8D6B72E707074>

测试员第十期.doc

XXXXXXXXXXX专业人才培养方案

叮当旺业通

2011年会计证初级会计电算化考试大纲

<4D F736F F D20D2F8D0D043444D41CEDECFDFBDD3C8EB41544DBBFAC1AACDF8D3A6D3C3BDE2BEF6B7BDB0B82DD0DEB8C4B0E62E646F63>

上海市教育考试院关于印发新修订的

中国科学院文件

珠海市电视中心工程

05_06_浙江省发展和改革委员会网上并联审批系统实施案例.PDF

产品年白皮书

目录前言... 4 校园网络篇... 5 第一章交大校园网... 6 第二章有线网络... 7 第三章无线网络 (WiFi) 第四章网络计费系统第五章虚拟专用网 (VPN) 第六

职位类别 : 测试工程师工作经验或实习经历 : 不限岗位要求 : 1. 本科及其以上学历, 计算机相关专业 2014 届毕业生 ; 2. 实习时间要求, 尽量一周五个工作日 ; 3. 熟悉 Wind

信息处信息处简介 Introduction to the Information Department 信息化管理处, 简称信息处, 官网信息处于 2012 年在网络与教育技术中心基础上

迅闪2009帮助手册(xshelp)

网康科技•互联网控制网关

Microsoft Word - ¸ê°T³q³ø273´Á.doc

目录推荐文章 1 1. 关于我校信息化服务开展的一些思考 ( 人事处周礼 ) 1 2. 围绕协同创新理念构建科研服务管理信息化新体系 ( 科研院史红兵钱秀红方令超 )4 3. 协同科

成果汇编.indd

第二部分成果简介

联想天工800R路由器用户手册 V2.0

政府機關_構_資通安全責任等級分級作業規定

104年11月政風月刊

資料目錄第一章馬來西亞漢學院師資儲備班辦學思路構想 1 第二章馬來西亞漢學院師資儲備班幸福班級和樂之家策劃案 4 附件 1: 幸福班級 2013 年年度教學計劃實施細則 (

8 月 3 日, 张浦镇预防保健所一年一度的秋季儿童入园入托体检工作正式开始此次检查共覆盖辖区内 11 家幼儿园及 6 家看护点, 预计将达 2500 人次, 体检工作预计 8 月底全部

目录一人才培养工作的现状 1 ( 一 ) 学院概况 1 ( 二 ) 人才培养目标定位 3 ( 三 ) 人才培养工作主要成效 3 二人才培养质量的分析 5 ( 一 ) 以四合作为主线, 创新校企合作体

CA Nimsoft Monitor Snap 快速入门指南

卢艺 16:22:37relaystate 相关状态，为请求中的值，如果其值为空，则没有这个参数url 该登录票据的目标URLuser 登录用户的标识字符串index 用户在统一认证中的会话编号time 登录票据的生效时间，应该早于接收到该票据的时间expire 登录票据的实效时间authn 登录类型，1：用户吊口令登录，2：UsbKey登录app 用户要访问的应用的标识ip 用户的IP地址tid 该登录票据的唯一编号卢艺 16:23:42刚和王老师确认过，Key里面没

Microsoft Word htm

1 产品简介特性包装产品外观电脑系统要求硬件安装软件安装软件操作 IP

ISO Internet IAB IETFIRTFRFC RFC ANSI 4 NIST FIPS PUBSPEC PUBDESFIPS PUB CCEESFPKIGKMIAES 5 DoDNCSC TCSECRainb

<4D F736F F D DD7A1B7BFB9ABBBFDBDF0D0C5CFA2BBAFBDA8C9E8B5BCD4F25FB1A8C5FAB8E55F2E646F6378>

联系单位 : 国家医学考试中心考务与培训处联系人 : 柳雯 : 温吉元 : 传真 : ( 信息公开形式 : 依申请公开 ) 国家医学考试中心 2016

目录 1. 前言产品理念产品概述产品定义北斗协同工作平台整体解决方案设计八大原则产品十大特性功

<463A5CC2A4B6ABD1A7D4BA5CBDCCD1A7D6B8C4CFD7DC5CA1B C B3CCD0F2C9E8BCC6A1B7BFCEB3CCD6B8C4CF2E646F63>

服务器机房建设北京兆维BGP双线机房北京服务器托管北京主机托管

KillTest 质量更高服务更好学习资料半年免费更新服务

环境信息化标准体系

公开招标采购文件范本

浙江省软件和信息服务业简报

Transcription:

注册信息安全专业人员 (CISP) 知识体系大纲版本 :2.0 中国信息安全测评中心版权 2010 中国信息安全测评中心中国信息安全测评中心

目录目录...1 前言...4 第 1 章注册信息安全专业人员 (CISP) 知识体系概述...5 1.1 CISP 资质认定类别...5 1.2 大纲范围...5 1.3 CISP 知识体系框架结构...6 1.4 CISP(CISE/CISO) 考试试题结构...8 第 2 章知识类 : 信息安全保障概述...9 2.1 知识体 : 信息安全保障基本知识...9 2.1.1 知识域 : 信息安全保障背景...9 2.1.2 知识域 : 信息安全保障原理...9 2.1.3 知识域 : 典型信息系统安全模型与框架...10 2.2 知识体 : 信息安全保障基本实践...11 2.2.1 知识域 : 信息安全保障工作概况...11 2.2.2 知识域 : 信息系统安全保障工作基本内容...11 第 3 章知识类 : 信息安全技术...13 3.1 知识体 : 密码技术...13 3.1.1 知识域 : 密码学基础...13 3.1.2 知识域 : 密码学应用...14 3.2 知识体 : 访问控制与审计监控...15 3.2.1 知识域 : 访问控制模型...15 3.2.2 知识域 : 访问控制技术...16 3.2.3 知识域 : 审计和监控技术...16 3.3 知识体 : 网络安全...16 3.3.1 知识域 : 网络协议安全...17 3.3.2 知识域 : 网络安全设备...17 3.3.3 知识域 : 网络架构安全...17 3.4 知识体 : 系统安全...18 3.4.1 知识域 : 操作系统安全...18 3.4.2 知识域 : 数据库安全...19 3.5 知识体 : 应用安全...20 3.5.1 知识域 : 网络服务安全...20 3.5.2 知识域 : 常见应用软件安全...21 中国信息安全测评中心 1

3.5.3 知识域 : 恶意代码...21 3.6 知识体 : 安全攻防...22 3.6.1 知识域 : 信息安全漏洞...22 3.6.2 知识域 : 安全攻防基础...22 3.6.3 知识域 : 安全攻防实践...23 3.7 知识体 : 软件安全开发...24 3.7.1 知识域 : 软件安全开发概况...24 3.7.2 知识域 : 软件安全开发的关键阶段...24 第 4 章知识类 : 信息安全管理...26 4.1 知识体 : 信息安全管理体系...26 4.1.1 知识域 : 信息安全管理基本概念...26 4.1.2 知识域 : 信息安全管理体系建设...27 4.2 知识体 : 信息安全风险管理...27 4.2.1 知识域 : 风险管理工作内容...27 4.2.2 知识域 : 信息安全风险评估实践...28 4.3 知识体 : 安全管理措施...29 4.3.1 知识域 : 基本安全管理措施...29 4.3.2 知识域 : 重要安全管理过程...30 第 5 章知识类 : 信息安全工程...32 5.1 知识体 : 信息安全工程原理...32 5.1.1 知识域 : 安全工程理论背景...32 5.1.2 知识域 : 安全工程能力成熟度模型...33 5.2 知识体 : 信息安全工程实践...33 5.2.1 知识域 : 安全工程实施实践...34 5.2.2 知识域 : 信息安全工程监理...34 第 6 章知识类 : 信息安全标准法规...35 6.1 知识体 : 信息安全法规与政策...35 6.1.1 知识域 : 信息安全相关法律...35 6.1.2 知识域 : 信息安全国家政策...36 6.2 知识体 : 信息安全标准...37 6.2.1 知识域 : 安全标准化概述...37 6.2.2 知识域 : 信息安全评估标准...37 6.2.3 知识域 : 信息安全管理标准...38 6.2.4 知识域 : 等级保护标准...38 6.3 知识体 : 道德规范...39 中国信息安全测评中心 2

6.3.1 知识域 : 信息安全从业人员道德规范...39 6.3.2 知识域 : 通行道德规范...39 中国信息安全测评中心 3

前言信息安全作为我国信息化建设健康发展的重要因素, 关系到贯彻落实科学发展观全面建设小康社会构建社会主义和谐社会和建设创新型社会等国家战略举措的实施, 是国家安全的重要组成部分在信息系统安全保障工作中, 人是最核心也是最活跃的因素, 人员的信息安全意识知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一注册信息安全专业人员 (CISP) 是对我国网络基础设施和重要信息系统的信息安全专业人员进行资质评定的重要形式多年来为落实我国有关政策加快信息安全人才培养, 增强全民信息安全意识的指导精神, 构建信息安全人才体系发挥了巨大作用本大纲从我国国情出发, 结合我国网络基础设施和重要信息系统安全保障的实际需求, 以知识体系的全面性和实用性为原则, 明确规定了注册信息安全专业人员应当掌握的知识要点, 是 CISP 教材编制, 讲师授课, 学员学习, 以及考试命题的重要依据本大纲包含以下章节 : 第 1 章注册信息安全专业人员 (CISP) 知识体系概述第 2 章知识类 : 信息安全保障概述第 3 章知识类 : 信息安全技术第 4 章知识类 : 信息安全管理第 5 章知识类 : 信息安全工程第 6 章知识类 : 信息安全标准法规中国信息安全测评中心 4

第 1 章注册信息安全专业人员 (CISP) 知识体系概述 1.1 CISP 资质认定类别注册信息安全专业人员, 英文为 Certified Information Security Professional, 简称 CISP, 系经中国信息安全测评中心认定的国家信息安全专业人员, 具备保障信息系统安全的专业资质根据岗位工作需要,CISP 分为两个基础类别 : 注册信息安全工程师, 英文为 Certified Information Security Engineer, 简称 CISE 证书持有人员主要从事信息安全技术领域的工作, 具有从事信息系统安全集成安全技术测试安全加固和安全运维的基本知识和能力 ; 注册信息安全管理人员, 英文为 Certified Information Security Officer, 简称 CISO 证书持有人员主要从事信息安全管理领域的工作, 具有组织信息安全风险评估信息安全总体规划编制信息安全策略制度制定和监督落实的基本知识和能力注册信息安全专业人员在两个基础类别之上还有两个扩展类别 : 注册信息安全专业人员 - 审计师, 简称 CISP-AUIT( 原 CISA) 证书持有人主要从事信息安全审计工作, 在全面掌握信息安全基本知识技能的基础上, 具有较强的信息安全风险评估安全检查实践能力注册信息安全专业人员 - 灾难恢复工程师, 简称 CISP-DRP 证书持有人主要从事信息系统灾难恢复工作, 在全面掌握信息安全基本知识技能的基础上, 具有较强的信息系统灾难恢复建设和管理的实践能力 1.2 大纲范围本大纲涵盖了 CISE 和 CISO 两种 CISP 基础类别注册人员需要掌握的知识要点 CISP-AUIT 注册人员需要在本文规定的知识要点基础上, 更加深入地掌握有关信息系统审计和风险评估的知识, 有关内容将在 CISP-AUIT 专门的知识大纲中进行介绍, 而不在本大纲范围内 CISP-DRP 注册人员需要在本文规定的知识要点基础上, 更加深入地掌握有关信息系统灾难恢复工作的知识, 有关内容将在 CISP-DRP 专门的知识大纲中进行介绍, 而不在本大纲范围内中国信息安全测评中心 5

1.3 CISP 知识体系框架结构 CISP 知识体系使用组件模块化的结构, 包括知识类知识体知识域和知识子域四个层次知识类 : 是对信息安全保障知识领域的总体划分, 包含信息安全专业人员需要掌握的五大知识类别 ; 知识体 : 是知识类中由属于同一技术领域的知识内容构成的相对独立成体系的知识集合 ; 知识域 : 是对知识体进一步分解细化形成的完整的知识组件 ; 知识子域 : 是构成知识域的基本模块, 由一至多个具体知识要点构成本大纲规定了知识子域中每一个知识要点的内容和深度要求, 分为了解理解和掌握三类了解 : 是最低深度要求, 学员只需要正确认识该知识要点的基本概念和原理 ; 理解 : 是中等深度要求, 学员需要在正确认识该知识要点的基本概念和原理的基础上, 深入理解其内容, 并可以进行进一步的判断和推理 ; 掌握 : 是最高深度要求, 学员需要正确认识该知识要点的概念原理, 并在深入理解的基础上灵活运用图表 1-1 描述了 CISP 知识体系的结构 : 图表 1-1:CISP 知识体系的组件模块结构在整个注册信息安全专业人员 (CISP) 的知识体系结构中, 共包括信息安全保障概述信息安全技术信息安全管理信息安全工程和信息安全标准法规这五个知识类, 每个知识类根据其逻辑划分为多个知识体, 每个知识体包含多个知识域, 每个知识域由一个或多个知识子域组成中国信息安全测评中心 6

CISP 知识体系结构共包含五个知识类, 分别为 : 信息安全保障概述 : 介绍了信息安全保障的框架基本原理和实践, 它是注册信息安全专业人员首先需要掌握的基础知识信息安全技术 : 主要包括密码技术访问控制审计监控等安全技术机制, 网络系统软件和应用等层次的基本安全原理和实践, 以及信息安全攻防和软件安全开发相关的技术知识和实践信息安全管理 : 主要包括信息安全管理体系建设信息安全风险管理具体信息安全管理措施等同信息安全相关的管理知识和实践信息安全工程 : 主要包括同信息安全相关的工程知识和实践信息安全标准法规 : 主要包括信息安全相关的标准法律法规和道德规范, 是注册信息安全专业人员需要掌握的通用基础知识图表 1-2 描述了 CISP 知识体系结构框架 : 图表 1-2:CISP 知识体系结构框架中国信息安全测评中心 7

1.4 CISP(CISE/CISO) 考试试题结构 CISP 考试题型均为单项选择题, 共 100 题, 每题 1 分, 得到 70 分以上 ( 含 70 分 ) 为通过 CISP 两种基础类别注册信息安全工程师 (CISE) 和注册信息安全管理人员 (CISO) 的注册人员都需要学习和掌握 CISP 知识体系结构框架中的所有内容由于两种注册证书持有人的工作岗位和工作领域的不同, 考试的侧重点有所区别, 因此, 所对应的试题比例不同表格 1-1 中描述了 CISE/CISO 考试的各知识类的比例表格 1-1:CISP(CISE/CISO) 试题结构 CISP 资质类型知识类别 CISE CISO 信息安全保障概述 10% 10% 信息安全技术 50% 30% 信息安全管理 20% 40% 信息安全工程 10% 10% 信息安全标准和法律法规 10% 10% 中国信息安全测评中心 8

第 2 章知识类 : 信息安全保障概述信息安全保障体系概述介绍了信息安全保障的框架基本原理和实践, 它是注册信息安全专业人员首先需要掌握的基础知识通过本部分的学习, 学员应当 : 理解信息安全保障的意义和内涵 ; 掌握信息安全保障工作的总体思路和基本实践方法 2.1 知识体 : 信息安全保障基本知识图表 2-1: 知识体 : 信息安全保障基本知识 2.1.1 知识域 : 信息安全保障背景知识子域 : 信息技术发展阶段了解电报 / 电话计算机网络等阶段信息技术发展概况了解信息化和网络对个人企事业单位和社会团体经济发展社会稳定国家安全等方面的影响 : 知识子域 : 信息安全发展阶段了解通信保密计算机安全和信息安全保障了解各个阶段信息安全面临的主要威胁和防护措施 2.1.2 知识域 : 信息安全保障原理知识子域 : 信息安全的内涵和外延理解信息安全的特征与范畴中国信息安全测评中心 9

理解信息安全的地位和作用理解信息安全信息系统和系统业务使命之间的关系知识子域 : 信息安全问题产生的根源理解信息安全的内因 : 信息系统的复杂性理解信息安全的外因 : 人为和环境的威胁知识子域 : 信息安全保障体系理解安全保障需要贯穿系统生命周期理解保密性可用性和完整性三个信息安全特征理解策略和风险是安全保障的核心问题理解技术管理工程过程和人员是基本保障要素理解业务使命实现是信息安全保障的根本目的 2.1.3 知识域 : 典型信息系统安全模型与框架知识子域 :P2DR 模型理解 P2DR 模型的基本原理 : 策略防护检测响应理解 P2DR 数学公式所表达的安全目标知识子域 : 信息保障技术框架理解 IATF 深度防御思想理解 IATF 对信息技术系统四个方面的安全需求划分及基本实现方法 : 本地计算环境区域边界网络及基础设施支撑性基础设施中国信息安全测评中心 10

2.2 知识体 : 信息安全保障基本实践图表 2-2: 知识体 : 信息安全保障基本实践 2.2.1 知识域 : 信息安全保障工作概况知识子域 : 国外信息安全保障情况了解发达国家信息安全状况和信息安全保障的主要举措知识子域 : 我国信息安全保障工作总体情况了解我国信息安全保障工作发展阶段理解国家信息安全保障基本原则了解国家信息安全保障建设主要内容 2.2.2 知识域 : 信息系统安全保障工作基本内容知识子域 : 确定安全需求理解确定信息系统安全保障需求的作用理解确定信息系统安全保障需求的方法和原则知识子域 : 设计和实施信息安全方案理解信息安全方案的作用和主要内容理解制定信息安全方案的主要原则理解信息安全方案实施的主要原则知识子域 : 信息安全测评了解信息安全测评的重要性中国信息安全测评中心 11

了解国内外信息安全测评概况理解信息安全产品测评方法和流程理解信息系统安全测评方法和流程了解服务商资质测评方法和流程了解信息安全人员资质测评方法和流程知识子域 : 信息安全监控与维护理解在系统生命周期中持续提高信息系统安全保障能力的意义理解信息系统安全监控与维护的主要原则中国信息安全测评中心 12

第 3 章知识类 : 信息安全技术信息安全技术是注册信息安全专业人员需要掌握的主体知识内容之一通过本部分的学习, 学员应当 : 掌握密码技术访问控制技术审计技术等信息安全保障技术的原理和基本实现方法掌握计算机网络系统软件应用软件信息安全防护的基本知识和实践技能掌握信息安全攻防的基本知识和实践技能理解软件安全开发的基本方法 3.1 知识体 : 密码技术图表 3-1: 知识体 : 密码技术 3.1.1 知识域 : 密码学基础知识子域 : 密码学基础概念理解密码编码学和密码分析学的概念了解科克霍夫原则和影响密码系统的安全性的基本因素 : 复杂程度密钥机密性密钥长度初始化向量了解密码的基本类型 : 换位 ( 置换 ) 密码替代 ( 代换 ) 密码流密码分组密码的概念中国信息安全测评中心 13

了解密码破解的典型方式 : 唯密文攻击已知明文攻击选择明文攻击选择密文攻击旁路攻击重放攻击统计式攻击等掌握密码体制的分类了解密钥管理的概念, 包括密钥管理体制密钥交换协议和密钥的产生分配更换和注销等知识子域 : 对称密码算法理解对称加密算法的优缺点了解 DES AES IDEA 三种典型对称加密算法的工作原理知识子域 : 非对称密码算法理解非对称密码算法的功能和优缺点理解掌握 RSA 公钥密码体制 :RSA 的算法描述 RSA 的实现 RSA 的安全性 RSA 在应用中的问题了解其他非对称密码算法的特点 :Diffie Hellman ELGamal DSA ECC 等知识子域 : 哈希函数理解哈希 (Hash) 函数的作用了解 MD5 算法 SHA-1 算法的工作原理理解消息鉴别码数字签名的原理和应用 3.1.2 知识域 : 密码学应用知识子域 :VPN 技术理解 VPN 以及隧道技术加解密技术密钥管理技术及身份鉴别技术的作用掌握 IPSec 的组成和工作原理掌握 SSL 的组成和工作原理知识子域 :PKI/CA 系统理解 PKI/CA 的原理和作用掌握 PKI/CA 的体系结构和各部分的作用了解 PKI/CA 的典型应用掌握 PKI/CA 的工作流程中国信息安全测评中心 14

3.2 知识体 : 访问控制与审计监控图表 3-2: 知识体 : 访问控制与审计监控 3.2.1 知识域 : 访问控制模型知识子域 : 访问控制基本概念理解标识鉴别和授权等访问控制的基本概念理解各种安全模型的分类知识子域 : 自主访问控制模型理解自主访问控制的含义了解访问矩阵模型, 理解和分析应用访问矩阵模型的实现 ( 访问控制列表权能列表 ) 理解基于角色的访问控制模型 (RBAC) 的特点和优势知识子域 : 强制访问控制模型理解强制访问控制的分类和含义掌握典型强制访问控制模型 :Bell-Lapudula 模型 Biba 模型 Chinese Wall 模型和 Clark-Wilson 模型知识子域 : 基于角色访问控制模型理解基于角色的访问控制模型 (RBAC) 的特点和优势中国信息安全测评中心 15

3.2.2 知识域 : 访问控制技术知识子域 : 标识和鉴别技术理解账号和口令管理的基本原则了解生物识别技术及其实现 ( 虹膜指纹掌纹等 ) 了解其他鉴别技术 ( 令牌票据等 ) 了解单点登录技术 (SSO) 及其实现 (Kerberos 等 ) 知识子域 : 典型访问控制方法和实现理解集中访问控制的基本概念及其实现 (RADIUS TACACS TACACS+ 和 Diameter 等 ) 理解非集中访问控制的基本概念及其实现 ( 域等 ) 3.2.3 知识域 : 审计和监控技术知识子域 : 信息安全审计了解安全审计的基本概念理解安全审计的作用和目标了解审计系统的组成结构知识子域 : 安全监控了解常用安全监控技术掌握内容审计系统模型以及网络不良信息内容监控方法 3.3 知识体 : 网络安全中国信息安全测评中心 16

图表 3-3: 知识体 : 网络安全 3.3.1 知识域 : 网络协议安全知识子域 :TCP/IP 协议安全理解开放互联系统模型 ISO/OSI 七层协议模型理解 TCP/IP 协议体系结构和工作原理及其安全特性, 了解 IPV6 的安全优势知识子域 : 无线网络安全理解 802.11 和 WAPI 无线网络协议原理及其安全特性知识子域 : 移动通信网络安全了解 3G 网络基本概念及安全特性 3.3.2 知识域 : 网络安全设备知识子域 : 防火墙技术理解防火墙的作用理解包过滤技术状态检测技术和应用代理技术的原理和优缺点掌握防火墙选择和使用中的基本注意事项知识子域 : 入侵检测技术理解审计和监控的基本概念理解入侵检测基本概念和工作原理理解入侵检测的分类掌握入侵检测系统选择和使用中的基本注意事项知识子域 : 其它网络安全技术了解安全隔离与信息交换系统 ( 网闸 ) 入侵防御系统 (IPS) 安全管理平台 (SOC) 统一威胁管理系统 (UTM) 网络准入控制 (NAC) 等常见网络安全技术产品的概念和作用 3.3.3 知识域 : 网络架构安全知识子域 : 网络架构安全基础理解网络安全域的含义理解网络边界防护的含义理解网络线路冗余的作用知识子域 : 网络安全规划实践掌握 IP 地址规划 VLAN 划分的基本安全原则中国信息安全测评中心 17

掌握网络设备安全配置 ( 交换机路由器无线局域网 ) 的基本原则掌握网络安全设备部署和配置的基本原则 3.4 知识体 : 系统安全图表 3-4: 知识体 : 系统安全 3.4.1 知识域 : 操作系统安全知识子域 : 操作系统基础了解操作系统体系架构和基本概念 ( 进程文件对象用户接口系统调用 ); 了解操作系统基本实现机制 (CPU 模式与保护环进程隔离进程调度 ) 知识子域 :Unix/Linux 安全实践了解 unix/linux 系统架构和关键系统组件 ; 理解系统服务和系统进程 ; 理解 unix/linux 系统启动过程中国信息安全测评中心 18

理解 unix/linux 系统安全实现, 包括文件系统安全身份认证与验证授权账号安全日志与审计等知识子域 :Windows 安全实践了解 Windows 系统架构和关键系统组件 ; 理解系统服务和系统进程 ; 理解 Windows 系统启动过程理解 Windows 系统安全实现, 包括文件系统安全身份认证与验证授权账号安全日志与审计等知识子域 : 可信计算技术了解可信计算技术的产生及发展了解我国可信计算技术, 及其与 TCG 可信计算技术的区别 3.4.2 知识域 : 数据库安全知识子域 : 数据库安全基础了解数据库概念掌握结构化查询语言 SQL 理解数据库安全概念理解数据库安全功能理解数据库视图对于数据保密性的作用理解规则与默认和事务管理对于数据完整性的作用知识子域 : 数据库管理系统安全管理理解数据库威胁与防护掌握数据库安全特性检查掌握数据库运行安全监控了解数据库管理系统产品安全理解数据库管理系统安全要求中国信息安全测评中心 19

3.5 知识体 : 应用安全图表 3-5: 知识体 : 应用软件安全 3.5.1 知识域 : 网络服务安全知识子域 :Web 服务基础了解 Web 工作机制了解 Web 站点体系结构,J2EE SOA 等知识子域 : Web 浏览器与服务器安全了解 HTTP 协议的安全缺陷理解 Web 服务器常见安全漏洞和防范方法掌握 IE 浏览器与 Windows IIS 安全设置知识子域 : 电子邮件安全了解 SMTP POP 等典型电子邮件协议的安全问题理解电子邮件客户端和服务器的常见漏洞和防范方法知识子域 :FTP 安全了解 FTP 协议的安全问题理解 FTP 的常见安全漏洞和防范方法中国信息安全测评中心 20

3.5.2 知识域 : 常见应用软件安全知识子域 : 即时通信软件安全了解常用即时通信软件常见安全漏洞和防范方法知识子域 : 办公软件安全了解常用办公软件 ( 如 Micosoft Word) 安全功能的使用方法 3.5.3 知识域 : 恶意代码知识子域 : 恶意代码基本概念原理了解恶意代码的历史和发展趋势理解常见恶意代码病毒蠕虫木马传播方式和危害的特点了解恶意代码实现的关键技术 ( 生存技术隐蔽技术攻击及植入技术等 ) 知识子域 : 恶意代码防御技术掌握恶意代码预防的策略意识技术和工具了解恶意代码发现和分析技术了解恶意代码清除技术中国信息安全测评中心 21

注册信息安全专业人员 CISP 知识体系大纲 V2.0 3.6 知识体安全攻防图表 3-6 知识体安全攻防 3.6.1 知识域信息安全漏洞 z 知识子域安全漏洞基础理解漏洞的概念分类分级了解漏洞的危害产生的原因了解常用的漏洞库 CNNVD CVE 等 z 知识子域安全漏洞检测了解基于源代码的漏洞检测方法与技术了解基于二进制代码的漏洞检测方法与技术 3.6.2 知识域安全攻防基础 z 知识子域网络攻击基本概念术语了解黑客攻击的分类主动攻击被动攻击理解黑客攻击的常用术语如后门 0-day 提权社会工程等 z 知识子域网络攻击基本流程中国信息安全测评中心 22

了解侦查踩点定位绘制目标实施攻击扩大战果打扫战场等网络攻击的基本步骤了解以上各个阶段常用的攻击手段和工具 3.6.3 知识域 : 安全攻防实践知识子域 : 攻击目标信息收集了解目标系统网络地址软件版本等信息获取方式了解网络网络设备系统软件应用软件扫描攻击的常用工具知识子域 : 密码破解原理与实例了解暴力破解和字典攻击的常用技术和工具知识子域 : 缓冲区溢出原理与实例理解缓冲区溢出的原理和危害了解防范缓冲区溢出的基本方法知识子域 : 欺骗攻击原理与实例理解 IP 欺骗 ARP 欺骗 DNS 欺骗的原理和危害了解防范欺骗攻击的基本方法知识子域 : 拒绝服务攻击原理与实例理解 SYN Flood UDP Flood Land 攻击 Teardrop 攻击等典型 DOS 攻击的原理和危害理解 DDOS 攻击的原理了解防范 DOS/DDOS 攻击的基本方法知识子域 : 网页脚本原理与实例理解 SQL 注入攻击的原理和危害了解防范 SQL 注入攻击的基本方法理解跨站脚本攻击的原理和危害了解防范跨站脚本攻击的基本方法知识子域 : 计算机取证了解计算机取证的概念和作用了解计算机取证的原则基本步骤常用方法和工具中国信息安全测评中心 23

3.7 知识体 : 软件安全开发 3.7.1 知识域 : 软件安全开发概况知识子域 : 软件安全开发背景了解人们对安全的软件需求了解当前软件开发方法不足以生成安全的软件了解软件安全开发的发展历史知识子域 : 软件安全开发简介理解软件安全开发七个阶段的主要目的和措施理解软件安全开发在安全设计和威胁建模中的基本术语 3.7.2 知识域 : 软件安全开发的关键阶段知识子域 : 软件安全设计理解减少攻击面的基本步骤和主要对象了解常用软件中减少攻击面的保护措施了解威胁建模的目的掌握威胁建模的过程理解威胁建模的关键因素及作用知识子域 : 软件安全开发掌握缓冲区溢出整数错误跨站脚本 SQL 注入等六种常见软件代码安全漏洞的成因及防范措施了解常见源代码分析工具的用途掌握编码时禁止使用的函数中国信息安全测评中心 24

了解如何减少潜在可被利用的编码结构和设计理解代码审查的主要内容和过程知识子域 : 软件安全测试了解常用模糊测试的类型了解常用模糊测试的过程和方法了解审核并更新威胁模型, 以及重新评估软件的受攻击面中国信息安全测评中心 25

第 4 章知识类 : 信息安全管理信息安全管理是注册信息安全专业人员需要掌握的主体知识内容之一通过本部分的学习, 学员应当 : 理解信息安全管理对于保障信息系统安全的作用理解信息安全管理体系风险管理和信息安全管理控制措施的含义掌握建立和完善信息安全管理体系的一般方法掌握信息安全风险管理工作的方法和一般原则掌握各个信息安全管理控制措施的作用及最佳实践 4.1 知识体 : 信息安全管理体系图表 4-1: 知识体 : 信息安全管理体系 4.1.1 知识域 : 信息安全管理基本概念知识子域 : 信息安全管理的作用理解信息安全技管并重原则的意义理解成功实施信息安全管理工作的关键因素知识子域 : 风险管理的概念和作用理解信息安全风险的概念 : 资产价值威胁脆弱性防护措施影响可能性理解风险评估是信息安全管理工作的基础中国信息安全测评中心 26

理解风险处置是信息安全管理工作的核心知识子域 : 信息安全管理控制措施的概念和作用理解安全管理控制措施是管理风险的具体手段了解 11 个基本安全管理控制措施的基本内容 4.1.2 知识域 : 信息安全管理体系建设知识子域 : 过程方法与 PDCA 循环理解 ISMS 过程和过程方法的含义理解 PDCA 循环的特征和作用知识子域 : 建立运行评审与改进 ISMS 了解建立 ISMS 的主要工作内容了解实施和运行 ISMS 的主要工作内容了解监视和评审 ISMS 的主要工作内容了解保持和改进 ISMS 的主要工作内容 4.2 知识体 : 信息安全风险管理图表 4-2: 知识体 : 信息安全风险管理 4.2.1 知识域 : 风险管理工作内容知识子域 : 风险管理工作主要内容掌握建立背景的主要工作内容中国信息安全测评中心 27

掌握风险评估的主要工作内容掌握风险处置的主要工作内容掌握批准监督的主要工作内容掌握监控审查的主要工作内容掌握沟通咨询的主要工作内容知识子域 : 系统生命周期中的风险管理掌握系统规划阶段的风险管理工作掌握系统设计阶段的风险管理工作掌握系统实施阶段的风险管理工作掌握系统运行维护阶段的风险管理工作掌握系统废弃阶段的风险管理工作 4.2.2 知识域 : 信息安全风险评估实践知识子域 : 风险评估流程和方法掌握国家对开展风险评估工作的政策要求理解风险评估检查评估和等级保护测评之间的关系掌握风险评估的实施流程 : 风险评估准备资产识别威胁评估脆弱性评估已有安全措施确认风险分析风险评估文档记录理解定量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点掌握典型风险计算方法 : 年度损失值 (ALE) 矩阵法相乘法掌握风险评估工具 : 风险评估与管理工具系统基础平台风险评估工具风险评估辅助工具知识子域 : 风险分析实例了解典型信息系统风险评估实践过程中国信息安全测评中心 28

注册信息安全专业人员 CISP 知识体系大纲 V2.0 4.3 知识体安全管理措施图表 4-3 知识体安全管理措施 4.3.1 知识域基本安全管理措施 z 知识子域安全策略理解信息安全策略的定义和作用掌握编制信息安全策略方法和原则 z 知识子域人员安全管理掌握上岗前人员安全控制审查和角色职责定义掌握在岗期间人员安全控制培训和惩戒措施掌握离职时人员安全控制终止职责资产与访问权限归还 z 知识子域安全组织机构中国信息安全测评中心 29

掌握内部组织建立的原则 : 高层承诺和支持职责划分有效沟通掌握外部组织建立的原则 : 控制外来风险利用外部资源知识子域 : 资产管理掌握资产责任管理的基本方法 : 资产清单资产所有权和资产有效使用掌握资产分类 : 系统资产的分类标识和处置知识子域 : 物理与环境安全了解各种物理安全威胁和物理安全相关的措施的分类 ( 预防性 / 检测性 / 恢复性等 ) 了解物理设施安全防护措施的部署原则, 例如 : 工作区的划分围墙 / 门的选择机房位置选择设备废弃与重用资产转移等 ; 了解各种物理访问控制措施的作用, 例如 : 智能卡生物访问控制等物理访问控制措施等了解各种物理监控措施的作用, 例如 : 闭路电视传感器报警设备等了解物理环境支持性设施的作用, 例如 : 电力防火防水温湿度控制, 电缆安全与 TEMPEST 等理解人身安全的重要性知识子域 : 通信及操作安全掌握操作程序和职责管理原则 : 制定操作程序规范, 系统变更管理, 责任分离, 开发测试与运行设施的分离了解操作及通信技术保护措施管理原则 : 恶意代码防护数据备份网络安全管理介质处理信息交换审计日志知识子域 : 访问控制理解访问控制策略制定的方法和原则理解系统用户的访问控制职责理解网络操作系统和应用系统访问控制管理的原则知识子域 : 符合性管理理解符合性的含义和作用了解审计措施的作用和使用注意事项 4.3.2 知识域 : 重要安全管理过程知识子域 : 系统采购开发与维护理解安全要求是信息系统需求的重要组成部分中国信息安全测评中心 30

理解信息技术产品的采购的安全原则 : 符合标准法规, 风险与经济性的平衡, 安全性测试等理解信息系统开发和实施的安全原则 : 规范的开发方法, 严格的源代码测试, 对安装包测试数据和程序源代码的保护理解系统运行阶段安全管理的基本原则, 包括漏洞和补丁管理系统更新废弃等知识子域 : 信息安全事件管理与应急响应理解信息安全事件管理和应急响应的本概念了解我国信息安全事件应急响应工作的进展情况和政策要求掌握信息安全应急响应阶段方法论掌握信息安全应急响应计划编制方法掌握应急响应小组的作用和建立方法理解我国信息安全事件分级分类方法了解国际和我国信息安全应急响应组织知识子域 : 业务连续性管理与灾难恢复理解业务连续性管理与灾难恢复的基本概念了解我国灾难恢复工作的进展情况和政策要求了解数据储存和数据备份与恢复的基本技术掌握灾难恢复管理过程 : 需求分析灾难恢复策略制定灾难恢复策略实现灾难恢复预案制定和管理掌握国家有关标准对灾难恢复系统级别和各级别的指标要求中国信息安全测评中心 31

第 5 章知识类 : 信息安全工程信息安全工程是注册信息安全专业人员需要掌握的主体知识内容之一通过本部分的学习, 学员应当 : 理解信息安全建设必须同信息化建设同步规划同步实施的原则理解如何运用信息安全能力成熟度模型理论评价和改进信息安全工程能力掌握在信息系统生命周期中的各阶段运用信息系统安全工程来保障安全性了解信息安全工程监理的作用和基本工作内容 5.1 知识体 : 信息安全工程原理图表 5-1: 知识体 : 信息安全工程理论 5.1.1 知识域 : 安全工程理论背景知识子域 : 系统工程与项目管理基础了解系统工程基本思想了解项目管理基本概念和要素知识子域 : 质量管理基础了解质量管理基本概念知识子域 : 能力成熟度模型理解工程能力成熟度基本思想中国信息安全测评中心 32

了解能力成熟度模型的应用范围了解过程能力方案和组织机构成熟度方案的区别 5.1.2 知识域 : 安全工程能力成熟度模型知识子域 : SSE-CMM 体系与原理了解 SSE-CMM 的适用范围了解过程过程区和过程能力的概念了解域维 / 安全过程区与能力维 / 公共特征的关系知识子域 : 安全工程过程区域了解过程类过程区和基本实施的关系理解风险过程工程过程和保证过程的含义了解各个安全工程过程区的含义知识子域 : 安全工程能力评价理解能力级别公共特征和通用实施的关系理解各个信息安全工程能力级别的含义 5.2 知识体 : 信息安全工程实践图表 5-2: 知识体 : 信息安全工程实践中国信息安全测评中心 33

5.2.1 知识域 : 安全工程实施实践知识子域 : ISSE 安全工程过程了解系统生命周期的概念和组成阶段 : 概念与需求定义系统功能设计系统开发与获取系统实现与测试系统维护与废弃理解 ISSE 的含义 : 将系统工程思想应用于信息安全领域, 在系统生命周期的各阶段充分考虑和实施安全措施理解 ISSE 阶段划分及各阶段的主要工作内容知识子域 : 信息系统定义与描述理解信息安全必须与信息系统同步规划理解信息系统用途架构等特征对安全风险特征的影响知识子域 : 信息系统安全需求提取理解风险评估结果是安全需求的重要决定因素理解国家政策法规和合同协议等符合性要求是安全需求的重要决定因素知识子域 : 安全措施设计与部署理解信息安全必须与信息系统同步实施理解根据安全需求有针对性地设计和部署安全措施的必要性知识子域 : 信息系统安全性验证与认可理解信息安全措施必须与信息系统同步运行理解风险评估是重要系统验收和投入运行前的必要工作知识子域 : 信息系统安全监控与保持理解信息安全工作需要覆盖系统全生命周期理解持续的风险评估和风险消控是保障系统安全的必要工作 5.2.2 知识域 : 信息安全工程监理知识子域 : 信息安全工程监理模型了解信息安全工程监理工作的意义了解信息安全工程监理阶段监理管理和控制手段和监理支撑要素知识子域 : 监理阶段目标了解信息安全工程招标设计实施和验收阶段监理方的工作目标知识子域 : 信息安全工程各方职责了解信息安全工程招标设计实施和验收阶段业务单位承建单位和监理单位的职责和工作流程中国信息安全测评中心 34

第 6 章知识类 : 信息安全标准法规信息安全标准法规是注册信息安全专业人员需要掌握的通用基础知识通过本部分的学习, 学员应当 : 理解遵循信息安全法规政策标准和道德规范的重要性掌握我国重点信息安全法规和政策的有关要求掌握重点信息安全技术标准的有关内容了解 CISP 道德规范, 了解通行的有关信息安全道德规范 6.1 知识体 : 信息安全法规与政策图表 6-1: 知识体 : 信息安全法规与政策 6.1.1 知识域 : 信息安全相关法律知识子域 : 国家信息安全法治总体情况了解信息安全法治建设的意义了解我国信息安全法律法规体系框架知识子域 : 现行重要信息安全法规掌握保守国家秘密法的主要内容理解电子签名法的意义和作用了解刑法有关信息安全犯罪的规定了解全国人大常委会关于维护互联网安全的决定中国信息安全测评中心 35

6.1.2 知识域 : 信息安全国家政策知识子域 : 国家信息安全管理总体方针掌握国家有关政策对信息安全保障工作的总体要求掌握国家有关政策规定的加强信息安全保障工作主要原则掌握国家有关政策规定需要重点加强的信息安全保障工作知识子域 : 电子政务及重要信息系统信息安全政策了解关于加强政府信息系统安全和保密管理工作的四项基本要求 : 明确职责强化人员培训完善安全措施和手段加强信息安全检查知识子域 : 风险评估有关政策规范了解国家有关政策对信息安全风险评估工作提出的要求了解国家有关政策对电子政务工程及国家重要信息系统建设项目风险评估专控队伍的规定知识子域 : 等级保护有关政策规范了解信息安全等级保护管理办法的有关要求知识子域 : 国家密码管理政策了解我国对密码的管理政策要求中国信息安全测评中心 36

注册信息安全专业人员 CISP 知识体系大纲 V2.0 6.2 知识体信息安全标准图表 6-2 知识体信息安全标准 6.2.1 知识域安全标准化概述 z 知识子域信息安全标准化概况了解标准和标准化的基本概念和作用了解信息安全标准体系 z 知识子域信息安全标准化组织了解国际信息安全标准化组织了解我国信息安全标准化组织 6.2.2 知识域信息安全评估标准 z 知识子域安全技术评估标准发展历史了解安全技术评估标准发展过程理解可信计算机评估准则 TCSEC 的局限性理解 GB/T 18336 信息技术安全性评估准则 CC 的优点 z 知识子域信息安全技术评估准则了解 CC 的结构理解 CC 的术语 TOE PP ST EAL 和基本思想中国信息安全测评中心 37

了解使用 CC 进行信息技术产品安全性评估的基本过程了解通用评估方法 (CEM) 知识子域 : 信息系统安全保证评估框架了解 GB/T 20274 信息系统安全保障评估框架的目的和意义了解信息系统安全保障评估框架的结构和主要内容 6.2.3 知识域 : 信息安全管理标准知识子域 : 国际信息安全管理重要标准了解国外信息安全管理标准发展概况掌握 ISO 27001 和 ISO 27002 的主要内容了解英国和美国等发达国家的信息安全管理标准了解 CoBIT 和 ITIL 的用途知识子域 : 我国信息安全管理重要标准掌握 GB/T 20984 信息安全风险评估规范的主要内容掌握 GB/Z 24364 信息安全风险管理规范的主要内容了解 GB/Z 20985 信息安全事件管理指南的主要内容掌握 GB/Z 20986 信息安全事件分类分级指南的主要内容掌握 GB/T 20988 信息系统灾难恢复规范的主要内容 6.2.4 知识域 : 等级保护标准知识子域 : 等级保护定级指南了解 GB/T 22240 信息系统安全保护等级定级指南的主要内容掌握五个信息系统安全保护等级的定义掌握系统定级的要素基本方法和流程知识子域 : 等级保护基本要求了解 GB/T 22239 信息系统安全等级保护基本要求的主要内容掌握五个信息系统安全保护等级对应的安全保护能力级别掌握管理基本要求包含的五个方面以及安全技术要求包含的五个方面知识子域 : 等级保护其它重要标准了解信息系统安全等级保护实施指南的主要内容了解信息系统安全等级保护测评准则的主要内容中国信息安全测评中心 38

6.3 知识体 : 道德规范图表 6-3 知识体 : 道德规范 6.3.1 知识域 : 信息安全从业人员道德规范知识子域 : 信息安全从业人员基本道德规范理解信息安全从业人员应遵守的道德规范知识子域 :CISP 职业准则理解 CISP 职业道德准则 6.3.2 知识域 : 通行道德规范知识子域 : 计算机使用道德规范了解作为计算机普通用户应当遵守的基本道德规范知识子域 : 因特网使用道德规范了解中国互联网协会文明上网自律公约的主要内容中国信息安全测评中心 39