1、信息安全培训和信息安全培训和CISP知识体系介绍知识体系介绍中国信息安全测评中心CISP-02-信息安全培训和CISP知识体系介绍2008年11月目录目录信息安全培训业务介绍信息安全培训业务现状美国政府部委信息安全培训体系介绍信息安全培训体系介绍CISP知识体系介绍注册信息安全专业人员(CISP)介绍CISP知识体系大纲介绍一、信息安全培训业务介绍一、信息安全培训业务介绍目录目录信息安全培训业务介绍信息安全培训业务介绍信息安全培训业务现状美国政府部委信息安全培训体系介绍信息安全培训体系介绍CISP知识体系介绍注册信息安全专业人员(CISP)介绍CISP知识体系大纲介绍1、信息安全培训业务现状、
2、信息安全培训业务现状信息安全培训信息安全培训人的问题人的问题人是信息安全中最核心问题之一!我们政府部门的广大干部对信息安全重要性的认识和相关技术问题的了解还远远不能满足国家发展的需要信息安全人才需求的背景信息安全人才需求的背景 信息安全保障的重要性 中办200327号文件“国家信息化领导小组关于加强信息安全保障工作的意见”;党的十六届四中全会将“信息安全”提升为国家安全的组成部分 构建全面的信息安全人才体系的需求 是国家政策的要求 是组织机构信息安全保障建设自身的要求 是组织机构人员自身职业发展的要求我国信息安全从业人员素质现状分析我国信息安全从业人员素质现状分析 从数量上来看,从数量上来看,
3、信息安全从业人员的数量同实际需求存在巨大缺口。信息安全人才需求不断增加培养来源:由高校学历教育以及以各种专业注册培训为核心、辅以各种职业技能培训的社会培训组成。从近期来看,信息安全从业人员的数量同社会实际需求仍存在巨大缺口。从质量上来看,从质量上来看,高端信息安全人才,特别是信息安全管理人才以及信息安全高层次和综合性人才严重缺乏从行业领域上,从行业领域上,信息安全从业人员主要集中在政府、金融、电信等信息化发达的行业领域以及信息安全专业公司中根据对上千名注册信息安全专业人员(CISP)的分析,其中38%的专业人员来自安全厂商,20%来自金融领域,26%来自税务、海关和部委等政府机构,8%来自电力
4、和电信领域,4%来自于测评机构,其他占4%。从信息安全从业人员更多集中在技术领域,而且主要偏向于具体产品的研发、技术支持和维护。信息安全从业人员在组织机构中的地位开始得到显著提高地位开始得到显著提高,正逐渐从单纯的技术支持进入到组织机构技术决策和风险管理的角色。信息安全人才发展战略缺少系统、全面的规划和协调。信息安全学历教育和社会实践、社会认证培训信息安全学历教育和社会实践、社会认证培训的结合问题的结合问题 信息安全人才的管理问题。信息安全管理人才,特别是懂业务的高层次人才严重缺乏。信息安全人才培养不规范。信息安全人才培养不规范。信息安全意识的缺乏我国信息安全从业人员素质方面突出的我国信息安全
5、从业人员素质方面突出的问题问题信息安全培训业务的目的和目标信息安全培训业务的目的和目标 目标 为国家信息安全保障人才体系建设做出应有的贡献 增强政府部委、党政机关、重要信息系统和基础网络的管理和运行人员排除隐患和漏洞的认识、知识和能力 通过市场化,提高国家信息安全人才素质和能力 服务对象:面向政府部委、党政机关、重要信息系统和基础网络 面向市场信息安全培训业务介绍信息安全培训业务介绍 2002年,中心在国内率先推出了专业权威的注册信息安全专业人员(CISP)资质认证 2003年,中心正式出版了注册信息安全专业人员资质认证教材 2002年2005年:CISP已成为国内最具含金量的信息安全专业资质
6、认证品牌 遍布全国的18家授权培训机构 已经为对信息安全有较高要求的人民银行、海关、国税等政府机构、金融电信领域、信息安全专业厂商等培养了大批专业的信息安全技术、管理和审核人员,得到了广泛的认可。2005年9月:正式发布注册信息安全员(CISM)资质认证 目前,CISP获证人数为二千多人注册信息安全专业人员(注册信息安全专业人员(CISP)统计)统计数据截止至2007年4月CISP获证人数增长图 正式出版发布资料 中心官方网站: 对外发行杂志:国家信息安全测评认证 正式出版教材CISP培训教材(共三册)其他培训产品化资料 培训管理规章制度 培训申请指南文件 知识体系大纲 奥运信息安全培训手册正
7、式出版发布资料正式出版发布资料2、美国政府部委信息安全培训体系介绍、美国政府部委信息安全培训体系介绍信息安全培训业务背景信息安全培训业务背景美国美国FISMA(联邦信息安全管理法案)年度报告要求(联邦信息安全管理法案)年度报告要求解析解析信息安全意识和培训信息安全意识和培训全员的信息安全意识培训同岗位相关的模块化的培训计算机化、自动化的课程管理、跟踪、考核、统计和服务系统同现实需求紧密结合的专业、权威的课件负有重要安全职责的专业人员负有重要安全职责的专业人员国家权威机构的信息安全专业注册资质重要岗位的资质准入管理经费的保证经费的保证信息安全培训业务背景信息安全培训业务背景美国美国FISMA(联
8、邦信息安全管理法案)年度评估报告(联邦信息安全管理法案)年度评估报告总结表总结表信息安全培训业务背景信息安全培训业务背景美国国防部信息安全人员要求美国国防部信息安全人员要求 建立分级分类的信息安全人才要求 分类:分为技术和管理类 分级:每一类分为1到3级 要求培训、注册、在职培训和继续培训信息安全培训业务背景信息安全培训业务背景美国国防部信息安全人员要求美国国防部信息安全人员要求 借助社会力量完成信息安全人才的培养(ISC)2的CISSP/SSCP ISACA的CISA/CISM SANS/GIAC的GSEC/GSE/GISF CompTIA的A+/Network+/Security+信息安全
9、培训业务背景信息安全培训业务背景美国国防部信息安全人员培训计划美国国防部信息安全人员培训计划 建立人员数据库,确认人员及其类别和级别要求 从2006年开始启动,2007年开始正式实施,2010年前完成所有8万人的基础要求培训 第1年10%,后3年每年30%2011年继续维护和知识更新3、信息安全培训体系介绍、信息安全培训体系介绍信息安全人才体系战略信息安全人才体系战略组织机构信息安全人才体系战略组织机构信息安全人才体系战略信息安全人才体系战略信息安全人才体系战略加快信息安全人才培养,增强全民信息安全意识加快信息安全人才培养,增强全民信息安全意识加快信息加快信息安全人才安全人才培养培养增强全民增
10、强全民信息安全信息安全意识意识意识教育意识教育安全培训安全培训高等教育高等教育专业培训专业培训信息安全人才战略信息安全人才战略培训体系培训体系专家专家CISPCISE CISO CISACISM信息安全意识培训信息安全意识培训技术人员技术人员管理人员管理人员审核审计人员审核审计人员信息安全人才战略信息安全人才战略培训体系培训体系CISM注册信息安全员CISP注册信息安全专业人员信息安全保障信息安全保障专家专家培训产品体系培训产品体系技术核心竞争力技术核心竞争力综合权威综合权威专题实践专题实践 300系列最佳实践,审计检查 600系列信息安全综合知识能力证明,信息安全专业人员必备 400系列全面
11、信息安全基础,信息安全人员必备 500系列专题研究,术业有专攻 200系列信息安全,人人有责,保护自己的信息空间培训产品体系培训产品体系培训总表培训总表综合综合SEC技术技术TEC管理管理MGT审计审计AUD安全专业安全专业安全专题安全专题CRAC 注册风险评估咨询员CVMC 注册漏洞管理咨询员TEC-501 风险评估技术和工程TEC-503 防火墙系统和工程TEC-507 信息安全攻防MGT-501 信息安全管理体系MGT-502 风险管理MGT-503 漏洞管理MGT-504 业务连续性和灾难恢复管理 AUD-501 信息安全审计安全从业安全从业安全实践安全实践操作系统最佳实践网络设备最佳
12、实践应用系统最佳实践操作系统审计网络设备审计应用系统审计安全意识安全意识SEC-201 保护信息安全实践(普及)TEC-201 网络和安全知识问答面向部委的信息安全培训整体方案面向部委的信息安全培训整体方案所有人员进行信息安全意识培训IT和安全相关人员:建立分级分类分级分类的信息安全基本要求,资质和培训分级:高/中/低、一级/二级/三级分类:技术/管理/审核IT和安全相关人员:基于岗位岗位的信息安全技能,资质和培训特定实践:Windows操作系统安全、Oracle数据库安全等特定专题:风险管理、漏洞管理等持续学习和更新面向部委的信息安全培训咨询面向部委的信息安全培训咨询注册信息安全员注册信息安
13、全员(CISM)行业和组织机构行业和组织机构特点和特殊需求特点和特殊需求岗位职责相关的岗位职责相关的职业技能培训职业技能培训信息安全从业人员信息安全基础知识和能力基于岗位职业技能注册信息安全专业注册信息安全专业人员(人员(CISP)信息安全专业人员信息安全培训咨询服务信息安全培训咨询服务信息安全意识培训信息安全意识培训信息安全意识普及信息信息安全安全专题专题培训培训信息信息安全安全实验实验和实和实践践行业和组织机构行业和组织机构特点和特殊需求特点和特殊需求国家信息安全培训系列丛书国家信息安全培训系列丛书信息安全攻防技术信息安全攻防技术信息安全攻防技术信息安全攻防技术攻击方法攻击方法信息安全攻防
14、实验信息安全攻防实验 信息安全攻防技术配套实践书籍,提供上百个信息安全攻击实验演练 技术特点:基于虚拟机技术 根据攻击方法、系统平台分类 提供综合案例研究和实践功能性的专业功能性的专业培训内容区域培训内容区域A管理管理BCDEFG1 法律法规法律法规1A1B1C1D1E1F2 安全程序安全程序2.1 计划计划2.1A2.1B2.1C2.1D2.1E2.2 管理管理2.2A2.2B2.2C2.2D2.2E3 系统生命周期安全系统生命周期安全3.1 初始化初始化3.1A3.1B3.1C3.1E3.1F3.2 开发开发3.2A3.2B3.2C3.2D3.2E3.2F3.3 测试和评估测试和评估3.3
15、C3.3D3.3E3.3F3.4 实现实现3.4A3.4B3.4C3.4D3.4E3.4F3.5 运行维护运行维护3.5A3.5B3.5C3.5D3.5E3.5F3.6 终止终止3.6A3.6D3.6E4 其他其他 采购采购设计和开发设计和开发实现和实现和运行维护运行维护审阅和审阅和评价评价使用使用其他其他IT安全培训矩阵安全培训矩阵功能性的专业功能性的专业培训内容区域培训内容区域A管理管理BCDEFG1 法律法规法律法规1E2 安全程序安全程序2.1 计划计划2.1E2.2 管理管理2.2E3 系统生命周期安全系统生命周期安全3.1 初始化初始化3.1E3.2 开发开发3.2E3.3 测试和
16、评估测试和评估3.3E3.4 实现实现3.4E3.5 运行维护运行维护3.5E3.6 终止终止3.6E4 其他其他 采购采购设计和开发设计和开发实现和实现和运行维护运行维护审阅和审阅和评价评价使用使用其他其他IT安全培训矩阵安全培训矩阵-外部审计员外部审计员二、二、CISP知识体系介绍知识体系介绍目录目录信息安全培训业务介绍信息安全培训业务现状美国政府部委信息安全培训体系介绍信息安全培训体系介绍CISP知识体系介绍知识体系介绍注册信息安全专业人员(CISP)介绍CISP知识体系大纲介绍1、注册信息安全专业人员(、注册信息安全专业人员(CISP)介绍)介绍CISP(CISE/CISO/CISA)
17、资质分类资质分类“注册信息安全专业人员”,英文为Certified Information Security Professional(简称CISP),根据实际岗位工作需要,CISP分为三类:“注册信息安全工程师”,英文为Certified Information Security Engineer(简称CISE);“注册信息安全管理人员”,英文为Certified Information Security Officer(简称CISO);“注册信息安全审核员”,英文为Certified Information Security Auditor(简称CISA)。CISP(CISP/CISE/C
18、ISO)知识体系结构知识体系结构CISP同同CISSP知识体系结构的比较知识体系结构的比较CISP(CISE/CISO/CISA)区别说明)区别说明CISP资质类型资质类型知识类别知识类别CISPCISECISO信息安全体系和模型信息安全体系和模型15%15%信息安全技术信息安全技术40%20%信息安全管理信息安全管理20%40%信息安全工程信息安全工程15%15%信息安全标准和法律法规信息安全标准和法律法规10%10%注:注:CISA在CISE或CISO的基础上再加上50道信息安全审计相关的试题。CISP知识体系大纲的特点知识体系大纲的特点 以信息安全保障(IA)作为贯穿整个CISP知识体系
19、大纲的主线 使用知识类(PT)-知识体(BD)-知识域(KA)-知识子域(SA)来组织的组件模块化的知识体系结构知识体系结构特点介绍知识体系结构特点介绍 知识结构组织知识结构组织知识类知识类(PT)知识类知识类(PT)知识体知识体(BD)知识体知识体(BD)知识域知识域(KA)知识域知识域(KA)知识域知识域(KA)知识子域知识子域(SA)知识子域知识子域(SA)知识子域知识子域(SA)知识体系结构特点介绍知识体系结构特点介绍知识结构整体知识结构整体注册信息安全员(注册信息安全员(CISP)资质注册流程)资质注册流程CISP申请者申请者咨询相关事宜咨询相关事宜参加培训参加培训考试申请考试申请参
20、加考试参加考试注册申请注册申请注册决定注册决定取得证书取得证书证后维持证后维持考试考试未通未通过过注册注册未通未通过过考试通过考试通过注册通过注册通过无无法法维维持持注注册册2、CISP知识体系大纲介绍知识体系大纲介绍知识类:信息安全体系和模型知识类:信息安全体系和模型信息安全保障框架信息安全保障框架知识类:信息安全体系和模型知识类:信息安全体系和模型知识体系概述知识体系概述安全安全模型模型安全安全体系体系知识类知识类(PT)知识体知识体(BD)知识域知识域(KA)信息安全体系信息安全体系和模型和模型OSI开放系统互联安全体系架构开放系统互联安全体系架构信息技术安全性评估信息技术安全性评估信息
21、安全保障评估信息安全保障评估信息安全模型基础信息安全模型基础访问控制模型访问控制模型 其他安全模型其他安全模型知识类:信息安全体系和模型知识类:信息安全体系和模型知识体系详述知识体系详述信息技术安全评估历史和发展信息技术安全评估历史和发展可信计算机系统评估准则(可信计算机系统评估准则(TCSEC)IT安全性评估通用准则(安全性评估通用准则(CC)信息系统安全保障评估框架信息系统安全保障评估框架信息安全产品测试评估信息安全产品测试评估信息系统安全测试评估信息系统安全测试评估信息安全服务测试评估信息安全服务测试评估信息安全人员测试评估信息安全人员测试评估自主访问控制(自主访问控制(DAC)模型)模
22、型(访问矩阵模型及其实现)(访问矩阵模型及其实现)强制访问控制(强制访问控制(MAC)模型)模型(Bell-Lapudula/Biba/Clark-Wilson/Chinese Wall/BMA模模型)型)基于角色访问控制(基于角色访问控制(RBAC)模型)模型 信息安全保障框架信息安全保障框架安全安全模型模型安全安全体系体系知识类知识类知识体知识体知识域知识域信息安全体系信息安全体系和模型和模型OSI开放系统互联开放系统互联安全体系架构安全体系架构信息技术安全性评估信息技术安全性评估信息安全保障评估信息安全保障评估信息安全模型基础信息安全模型基础访问控制模型访问控制模型 其他安全模型其他安全
23、模型知识子域知识子域知识域说明知识域说明PT:信息安全体系知识类:信息安全体系知识类 PT(知识类):信息安全体系 KA(知识域):信息安全保障框架 理解信息安全保障的背景和历史;理解信息安全保障的定义、模型和含义。KA(知识域):OSI开放系统互联安全体系结构 理解和掌握OSI开放系统互联安全体系结构 理解和掌握OSI开放系统互联安全体系结构同TCP/IP的映射 KA(知识域):信息技术安全性评估 理解和掌握信息技术安全性评估准则发展的背景、历史和关系;理解和掌握可信计算机系统评估准则(TCSEC)以及彩虹系列的内容和含义;理解和掌握信息技术安全性评估主则(CC)的内容和含义。KA(知识域)
24、:信息安全保障评估 理解和掌握信息系统安全保障评估框架的内容和含义;理解和掌握信息安全保障评估的各中测试评估的类别和含义(信息安全产品测试评估、信息系统安全测试评估、信息安全服务测试评估和信息安全人员测试评估)信息技术安全评估标准的历史和发展信息技术安全评估标准的历史和发展信息安全保障模型信息安全保障模型组成及与现有标准关系组成及与现有标准关系信息系统安全保障级别评估说明信息系统安全保障级别评估说明知识体:信息安全模型知识体:信息安全模型原理说明原理说明模型模型访问控制访问控制模型模型信息流模型信息流模型强制访问控制模型强制访问控制模型(MAC)自主访问控制模型自主访问控制模型(DAC)访问矩
25、阵访问矩阵模型模型访问控制列表访问控制列表(ACL)权能列表权能列表(Capacity List)实现实现多级多级环境环境多边多边环境环境静态静态动态动态Bell-Lapudula 模型模型Biba 模型模型Clark-Wilson 模型模型Chinese Wall 模型模型BMA 模型模型保密性保密性完整性完整性基于角色访问控制模型基于角色访问控制模型(RBAC)知识域说明知识域说明PT:信息安全模型:信息安全模型PT(知识类):信息安全模型KA(知识域):信息安全模型基础 理解信息安全模型同安全策略、安全控制之间的关系 理解可信计算基和参考监视器等的基本概念 理解各种安全模型的分类和关系K
26、A(知识域):访问控制模型 理解和掌握访问控制模型的分类(MAC/DAC/RBAC)关系和实现。理解不同访问控制模型及实现CIA的关系 SA(知识子域):自主访问控制(DAC)理解自主访问控制的含义;理解访问矩阵模型,理解和分析应用访问矩阵模型的实现(访问控制列表、权能列表)SA(知识子域):强制访问控制(MAC)理解强制访问控制的分类和含义理解多级强制访问控制模型:Bell-Lapudula模型、Biba模型和Clark-Wilson模型理解多边强制访问控制模型:Chinese Wall模型和BMA模型 SA(知识子域):基于角色访问控制(RBAC)理解基于角色的访问控制模型(RBAC)KA
27、(知识域):其他安全模型 理解理解信息流模型等其他安全模型概念及其关系知识类:信息安全技术知识类:信息安全技术知识类知识类知识体知识体知识域知识域信息安全信息安全技术机制技术机制信息和通信技术信息和通信技术(ICT)安全)安全信息安全实践信息安全实践知识类:信息安全技术知识类:信息安全技术知识体系概述知识体系概述信息安全技术信息安全技术密码技术及应用密码技术及应用访问控制系统访问控制系统审计和监控审计和监控物理安全技术物理安全技术电信和网络安全电信和网络安全系统安全技术系统安全技术应用安全技术应用安全技术安全攻防模型安全攻防模型安全攻防实践安全攻防实践知识体:信息安全技术机制知识体:信息安全技
28、术机制知识域和知识子域说明知识域和知识子域说明信息安全信息安全技术机制技术机制知识体知识体知识域知识域知识子域知识子域密码技术基础密码技术基础密码技术及应用密码技术及应用访问控制系统访问控制系统审计和监控审计和监控密码算法:私钥算法密码算法:私钥算法密码算法:公钥算法密码算法:公钥算法密码算法:单向函数和单向哈希算密码算法:单向函数和单向哈希算法法密钥管理密钥管理密码系统:数字签名密码系统:数字签名密码系统:公钥基础设施(密码系统:公钥基础设施(PKI)密码系统应用:密码系统应用:IPSec/Web/电子邮件电子邮件/电子商务等电子商务等密码技术的攻击和防御密码技术的攻击和防御访问控制管理访问
29、控制管理标识和鉴别(标识和鉴别(I&A)访问控制方法和实现访问控制方法和实现审计和监控基本概念审计和监控基本概念入侵检测和入侵防御系统入侵检测和入侵防御系统防火墙系统防火墙系统知识域:密码技术及应用知识域:密码技术及应用知识子域说明知识子域说明SA:密码技术基础理解密码技术的历史和基本概念理解传统密码学(换位密码、替换密码、一次一密系统、序列密码、分组密码)的概念及其应用实例理解密码分析和算法安全性概念理解密钥管理和托管的概念和应用实例SA:密码算法:对称(私钥)算法理解对称算法的基本概念理解常见的对称算法(DES、3DES、Blowfish、IDEA、RC系列和AES等)SA:密码算法:非对
30、称(公钥)算法理解非对称算法的基本概念理解常见的非对称算法(MH、RSA、ECC、DH、DSA、Elgema等)SA:密码算法:单向函数和单向哈希算法理解单向函数、单向哈希算法等基本概念理解常见的单向哈希算法(MD系列、HAVAL和HMAC等)SA:密码技术攻击和防御理解密码技术攻击和防御的基本概念理解特定的密码攻击算法(生日攻击等)知识域:密码技术及应用知识域:密码技术及应用知识子域说明知识子域说明 SA:密码系统:数字签名 理解数字签名的原理和应用 SA:密码系统:PKI 理解PKI公钥基础设施的基本原理和应用 SA:密码技术应用 理解密码技术在OSI和TCP/IP中的应用基础 理解IPS
31、ec(网络层)的原理和应用 理解SSL/TLS(传输层)的应用和原理 理解密码技术在其他层上的应用,包括Web应用(S-HTTP)、电子邮件(PEM、S/MIME、PGP)、电子商务(SET)和SSH等。知识域:访问控制系统知识域:访问控制系统知识子域结构知识子域结构信息安全信息安全技术机制技术机制知识体知识体知识域知识域知识子域知识子域访问控制系统访问控制系统访问控制管理访问控制管理标识和鉴别(标识和鉴别(I&A)访问控制方法和实现访问控制方法和实现防火墙系统防火墙系统知识域:访问控制系统知识域:访问控制系统知识子域说明知识子域说明SA:访问控制基础理解访问控制的基本概念理解标识、鉴别、授权
32、等基本概念理解和分析各种访问控制措施的分类SA:标识和鉴别技术理解标识和鉴别的定义和基本概念理解口令的基本概念和管理理解生物测定技术及其实现(虹膜、指纹、掌纹等)理解其他鉴别技术(令牌、票据等)理解单点登录技术(SSO)及其实现(Kerberos等)SA:访问控制方法和实现理解集中访问控制的基本概念及其实现(RADIUS、TACACS、TACACS+和Diameter等)理解非集中访问控制的基本概念及其实现(域等)SA:防火墙系统理解防火墙系统的分类、体系结构理解和应用防火墙技术知识域:审计和跟踪知识域:审计和跟踪知识子域结构知识子域结构信息安全信息安全技术机制技术机制知识体知识体知识域知识域
33、知识子域知识子域审计和监控审计和监控审计和监控基本概念审计和监控基本概念入侵检测和入侵防御系统入侵检测和入侵防御系统知识域:审计和监控知识域:审计和监控知识子域说明知识子域说明 SA:审计和监控基础 理解审计和监控的基本概念 理解同审计相关的标准CC中的相关概念 SA:入侵检测和入侵防御系统 理解入侵检测系统和入侵防御系统的基本概念 理解入侵检测系统的分类、检测方式(异常/误用)理解和实践入侵检测系统的部署和使用知识体:信息和通信技术知识体:信息和通信技术知识域和知识子域说明知识域和知识子域说明知识域:物理安全技术知识域:物理安全技术知识子域结构知识子域结构物理安全基础物理安全基础物理安全技术
34、控制措施物理安全技术控制措施物理设施要求物理设施要求环境和人身安全环境和人身安全物理安全技术物理安全技术信息和通信技术信息和通信技术(ICT)安全)安全知识体知识体知识域知识域知识子域知识子域知识域:电信和网络安全知识域:电信和网络安全知识子域结构知识子域结构信息和通信技术信息和通信技术(ICT)安全)安全网络体系结构网络体系结构通信和网络技术通信和网络技术互联网技术和服务互联网技术和服务网络安全设备:防火墙网络安全设备:防火墙/入侵检入侵检测测/入侵防御设备等入侵防御设备等电信和网络安全电信和网络安全知识体知识体知识域知识域知识子域知识子域知识域:系统安全技术知识域:系统安全技术知识子域结构
35、知识子域结构操作系统安全技术操作系统安全技术数据库系统安全技术数据库系统安全技术系统安全技术系统安全技术信息和通信技术信息和通信技术(ICT)安全)安全知识体知识体知识域知识域知识子域知识子域知识域:系统安全技术知识域:系统安全技术知识子域说明知识子域说明 SA:操作系统安全技术 理解操作系统和操作系统安全的基本概念;理解和实践Windows操作系统、Linux等UNIX操作系统等特定操作系统产品安全的概念和内容。SA:数据库系统安全技术 理解和掌握数据库的基本概念,包括数据库的模型和分类、数据库结构和组成、关系数据库和数据仓库的概念和内容;理解数据库系统安全相关的标准、风险和脆弱性等;理解数
36、据库系统安全相关的技术,包括标识和鉴别、访问控制、审计、加密、推论、流控制等技术在数据息系统安全中的应用;理解并应用数据库系统安全技术进行相应的实践 知识域:应用安全技术知识域:应用安全技术知识子域结构知识子域结构恶意代码防护恶意代码防护Web应用安全应用安全电子邮件安全电子邮件安全电子商务安全电子商务安全安全编程技术安全编程技术应用安全技术应用安全技术信息和通信技术信息和通信技术(ICT)安全)安全知识体知识体知识域知识域知识子域知识子域知识体:信息安全实践知识体:信息安全实践知识域和知识子域说明知识域和知识子域说明安全攻防基本概念安全攻防基本概念黑客攻击方法和流程黑客攻击方法和流程安全攻防
37、技术实践安全攻防技术实践计算机勘查取证计算机勘查取证信息安全实践信息安全实践知识体知识体知识域知识域知识子域知识子域安全攻防模型安全攻防模型安全攻防实践安全攻防实践知识体:信息安全实践知识体:信息安全实践知识子域说明知识子域说明 KA(知识域):安全攻防模型 理解和掌握P2DR安全攻防模型的基本概念和原则 KA(知识域):安全攻防实践 SA:安全攻防基本概念 理解各种黑客攻击的术语、方法和内容 SA:黑客攻击方法和流程 理解黑客攻击的方法和具体流程 SA:安全攻防技术实践 理解TCP/IP基本协议(ARP/RARP/IP/TCP/UDO)、应用服务(DNS/目录/邮件/Web服务)的协议脆弱性
38、和攻防实践 理解数据库、Windows操作系统和UNIX操作系统的安全攻防实践 理解拒绝服务/分布式拒绝服务的安全攻防技术 SA:计算机勘查取证 理解计算机勘查取证的概念和相关技术知识类:信息安全管理知识类:信息安全管理知识类:信息安全管理知识类:信息安全管理知识体系概述知识体系概述安全管安全管理体系理体系知识类知识类知识体知识体知识域知识域关键安全关键安全管理过程管理过程业务持续性和灾难恢复业务持续性和灾难恢复信息安全管理信息安全管理风险评估风险评估应急响应应急响应基本安全管理措施基本安全管理措施信息安全管理基础信息安全管理基础重要安全管理措施重要安全管理措施概述概述知识体系介绍知识体系介绍
39、安全管理安全管理体系体系信息安全管理概念信息安全管理概念信息安全管理体系要求信息安全管理体系要求信息安全管理措施信息安全管理措施安全组织体系安全组织体系通信和操作管理通信和操作管理基本安全管理措施基本安全管理措施信息安全管理基础信息安全管理基础知识体知识体知识域知识域知识子域知识子域安全策略安全策略人员安全人员安全重要安全管理措施重要安全管理措施资产管理资产管理访问控制访问控制符合性符合性知识类:信息安全管理知识类:信息安全管理知识体:安全管理体系知识体:安全管理体系知识域(KA):信息安全管理基础SA:信息安全管理概念 信息安全、信息安全管理和信息安全管理体系的基本概念SA:信息安全管理体系
40、要求 了解ISO27001的发展历史、基本思想和用途 理解PDCA模型各个阶段的含义 运用PDCA模型构建信息安全管理体系SA:信息安全管理措施 了解ISO27002的发展历史、基本思想和用途 了解风险评估和ISO27002 中11个安全管理域的主要内容知识域(KA):基本安全管理措施SA:安全策略 安全策略的用途、特点以及编制中的注意事项SA:安全组织机构 理解安全组织机构的作用 理解职责分离、岗位轮换的原则和实践SA:人员安全 理解员工入职、培训、修假、解聘等相关的安全管理 理解安全意识教育和技能培训的原则和实践知识类:信息安全管理知识类:信息安全管理知识体:安全管理体系知识体:安全管理体
41、系重要信息安全管理措施SA:资产管理 理解资产管理的原则和实践 理解资产清单、资产职责的重要性 理解信息资产分级的原则和实践SA:通信与操作管理 理解文件化的操作程序的重要性 理解变更管理、第三方服务管理的原则和实践 理解容量管理和系统验收的原则和实践 理解系统运行过程中的重要安全管理要素,包括病毒防护、数据备网络安全管理、运行状态监控、日志与审计等SA:访问控制 了解访问控制的基本措施 理解访问控制中的用户职责 了解安全划分、双因素/多因素鉴别、会话与链接超时等访问控制的重要措施SA:符合性 理解外部法律法规符合性管理 理解内部规章和标准符合性管理 理解符合性审计的原则和实践知识类:信息安全
42、管理知识类:信息安全管理知识体系概述知识体系概述关键安全关键安全管理过程管理过程风险管理基本概念风险管理基本概念风险评估(定量和定性)的风险评估(定量和定性)的流程、方法和内容流程、方法和内容风险评估工具和方法风险评估工具和方法BCP&DRP概念和背景概念和背景业务持续性计划编制过程和业务持续性计划编制过程和步骤步骤业务持续性计划内容业务持续性计划内容业务持续性计划相关的技术业务持续性计划相关的技术和管理和管理知识体知识体知识域知识域知识子域知识子域业务持续性和灾难恢复业务持续性和灾难恢复风险评估风险评估事件响应事件响应知识类:信息安全管理知识类:信息安全管理知识体系概述知识体系概述知识域(K
43、A):风险评估SA:风险管理基本概念理解风险管理的概念、内容和步骤理解风险管理的要素(威胁/脆弱性/资产/影响)SA:定量和定性风险评估的流程、方法和内容理解定量和定性风险评估的区别理解定量风险评估的流程、方法和内容理解定性风险评估的流程、方法和内容SA:风险评估工具和方法理解风险评估相关的各种工具和方法知识域(KA):业务持续性计划和灾难恢复计划SA:BCP&DRP概念和背景理解灾难恢复计划/业务持续性计划的概念、区别和含义SA:业务持续性计划编制过程和步骤理解业务持续性计划编制的过程和步骤SA:业务持续性计划的内容理解业务持续性计划本身的内容SA:业务持续性计划相关的技术和管理理解业务持续
44、性计划相关的技术,包括备份(全备份/增量备份/差分备份等)和外站存储(热战/冷战/温站/移动站)、磁盘技术(RAID技术)等技术。理解业务持续性计划相关的管理,包括软件托管、互惠协议等。理解业务持续性和灾难恢复的分类和指标(包括SHARE七级分级、RPO/RTO概念)等知识类:信息安全工程知识类:信息安全工程项目管理过项目管理过程和实践程和实践安全工安全工程基础程基础知识体知识体知识域知识域安全工程过安全工程过程和实践程和实践知识类:信息安全工程知识类:信息安全工程知识体系概述知识体系概述知识类知识类信息安全工程信息安全工程信息安全工程监理信息安全工程监理IT项目管理过程和技术项目管理过程和技
45、术软件软件/系统工程基础系统工程基础质量管理基础质量管理基础安全工程能力成熟度模型安全工程能力成熟度模型ISSE安全工程过程和实践安全工程过程和实践能力成熟度模型基础能力成熟度模型基础项目管理基础项目管理基础知识类:信息安全工程知识类:信息安全工程BD(知识体):安全工程基础知识域(KA):软件/系统工程基础理解软件/系统工程基本概念、发展历史和相关标准。知识域(KA):质量管理基础理解质量管理的基本概念、发展历史和相关标准。知识域(KA):能力成熟度模型基础理解能力成熟度模型的基本概念、发展历史和相关标准。知识域(KA):项目管理基础理解项目管理的基本概念以及主要的项目管理实践标准。BD(知
46、识体):安全工程过程和实践知识域(KA):安全工程能力成熟度模型理解信息系统安全工程能力成熟度模型(SSE-CMM,即ISO/IEC 21827)的基本概念。知识域(KA):ISSE安全工程过程和实践理解信息系统安全工程ISSE的基本概念以及需求分析过程等的实践。BD(知识体):项目管理过程和实践知识域(KA):IT项目管理过程和技术理解IT项目管理过程以及项目管理相关的技术,例如:PERT技术等。知识域(KA):信息安全工程监理理解信息安全工程监理的过程和具体内容。知识类:信息安全标准和法律法规知识类:信息安全标准和法律法规信息安全相关标准概述信息安全相关标准概述知识类:信息安全标准和法律法
47、规知识类:信息安全标准和法律法规知识体系概述知识体系概述知识类知识类知识体知识体知识域知识域信息系统信息系统相关标准相关标准信息安全法律法信息安全法律法规规概述概述道德规范道德规范信息安全信息安全标准标准信息安全标准信息安全标准和法律法规和法律法规信息安全管理标准和最佳实践信息安全管理标准和最佳实践(ISO 27001/ISO 27002等)等)信息安全相关组织机构信息安全相关组织机构信息技术安全和测评标准信息技术安全和测评标准(TCSEC/ITSEC/CC等)等)信息安全工程标准信息安全工程标准(ISO/IEC 21827)其他相关标准系列(其他相关标准系列(NIST SP系列、系列、Cobit、IATF等)等)相关道德规范相关道德规范CMM能力成熟度标准能力成熟度标准ISO 9000质量标准质量标准问题?
