信息安全培训和CISP知识体系介绍课件_第1页
信息安全培训和CISP知识体系介绍课件_第2页
信息安全培训和CISP知识体系介绍课件_第3页
信息安全培训和CISP知识体系介绍课件_第4页
信息安全培训和CISP知识体系介绍课件_第5页
已阅读5页,还剩171页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全培训和CISP知识体系介绍中国信息安全测评中心CISP-02-信息安全培训和CISP知识体系介绍2008年11月信息安全培训和CISP知识体系介绍中国信息安全测评中心目录信息安全培训业务介绍信息安全培训业务现状美国政府部委信息安全培训体系介绍信息安全培训体系介绍CISP知识体系介绍注册信息安全专业人员(CISP)介绍CISP知识体系大纲介绍目录信息安全培训业务介绍一、信息安全培训业务介绍一、信息安全培训业务介绍目录信息安全培训业务介绍信息安全培训业务现状美国政府部委信息安全培训体系介绍信息安全培训体系介绍CISP知识体系介绍注册信息安全专业人员(CISP)介绍CISP知识体系大纲介绍目录信息安全培训业务介绍1、信息安全培训业务现状1、信息安全培训业务现状信息安全培训——人的问题人是信息安全中最核心问题之一!我们政府部门的广大干部对信息安全重要性的认识和相关技术问题的了解还远远不能满足国家发展的需要信息安全培训——人的问题人是信息安全中最核心问题之一!信息安全人才需求的背景信息安全保障的重要性中办[2003]27号文件“国家信息化领导小组关于加强信息安全保障工作的意见”;党的十六届四中全会将“信息安全”提升为国家安全的组成部分构建全面的信息安全人才体系的需求是国家政策的要求是组织机构信息安全保障建设自身的要求是组织机构人员自身职业发展的要求信息安全人才需求的背景信息安全保障的重要性我国信息安全从业人员素质现状分析从数量上来看,信息安全从业人员的数量同实际需求存在巨大缺口。信息安全人才需求不断增加培养来源:由高校学历教育以及以各种专业注册培训为核心、辅以各种职业技能培训的社会培训组成。从近期来看,信息安全从业人员的数量同社会实际需求仍存在巨大缺口。从质量上来看,高端信息安全人才,特别是信息安全管理人才以及信息安全高层次和综合性人才严重缺乏从行业领域上,信息安全从业人员主要集中在政府、金融、电信等信息化发达的行业领域以及信息安全专业公司中根据对上千名注册信息安全专业人员(CISP)的分析,其中38%的专业人员来自安全厂商,20%来自金融领域,26%来自税务、海关和部委等政府机构,8%来自电力和电信领域,4%来自于测评机构,其他占4%。从信息安全从业人员更多集中在技术领域,而且主要偏向于具体产品的研发、技术支持和维护。信息安全从业人员在组织机构中的地位开始得到显著提高,正逐渐从单纯的技术支持进入到组织机构技术决策和风险管理的角色。我国信息安全从业人员素质现状分析从数量上来看,信息安全从业信息安全人才发展战略缺少系统、全面的规划和协调。信息安全学历教育和社会实践、社会认证培训的结合问题信息安全人才的管理问题。信息安全管理人才,特别是懂业务的高层次人才严重缺乏。信息安全人才培养不规范。信息安全意识的缺乏我国信息安全从业人员素质方面突出的问题信息安全人才发展战略缺少系统、全面的规划和协调。我国信息安全信息安全培训业务的目的和目标目标为国家信息安全保障人才体系建设做出应有的贡献增强政府部委、党政机关、重要信息系统和基础网络的管理和运行人员排除隐患和漏洞的认识、知识和能力通过市场化,提高国家信息安全人才素质和能力服务对象:面向政府部委、党政机关、重要信息系统和基础网络面向市场信息安全培训业务的目的和目标目标信息安全培训业务介绍2002年,中心在国内率先推出了专业权威的注册信息安全专业人员(CISP)资质认证2003年,中心正式出版了注册信息安全专业人员资质认证教材2002年—2005年:CISP已成为国内最具含金量的信息安全专业资质认证品牌遍布全国的18家授权培训机构已经为对信息安全有较高要求的人民银行、海关、国税等政府机构、金融电信领域、信息安全专业厂商等培养了大批专业的信息安全技术、管理和审核人员,得到了广泛的认可。。。2005年9月:正式发布注册信息安全员(CISM)资质认证目前,CISP获证人数为二千多人信息安全培训业务介绍2002年,中心在国内率先推出了专业权威注册信息安全专业人员(CISP)统计数据截止至2007年4月CISP获证人数增长图注册信息安全专业人员(CISP)统计数据截止至2007年4月正式出版发布资料正式出版发布资料2、美国政府部委信息安全培训体系介绍2、美国政府部委信息安全培训体系介绍信息安全培训业务背景

美国FISMA(联邦信息安全管理法案)年度报告要求——解析信息安全意识和培训全员的信息安全意识培训同岗位相关的模块化的培训计算机化、自动化的课程管理、跟踪、考核、统计和服务系统同现实需求紧密结合的专业、权威的课件负有重要安全职责的专业人员国家权威机构的信息安全专业注册资质重要岗位的资质准入管理经费的保证信息安全培训业务背景

美国FISMA(联邦信息安全管理法案)信息安全培训业务背景

美国FISMA(联邦信息安全管理法案)年度评估报告——总结表信息安全培训业务背景

美国FISMA(联邦信息安全管理法案)信息安全培训业务背景

美国国防部信息安全人员要求建立分级分类的信息安全人才要求分类:分为技术和管理类分级:每一类分为1到3级要求培训、注册、在职培训和继续培训信息安全培训业务背景

美国国防部信息安全人员要求建立分级分类信息安全培训业务背景

美国国防部信息安全人员要求借助社会力量完成信息安全人才的培养(ISC)2的CISSP/SSCPISACA的CISA/CISMSANS/GIAC的GSEC/GSE/GISFCompTIA的A+/Network+/Security+…信息安全培训业务背景

美国国防部信息安全人员要求借助社会力量信息安全培训业务背景

美国国防部信息安全人员培训计划建立人员数据库,确认人员及其类别和级别要求从2006年开始启动,2007年开始正式实施,2010年前完成所有8万人的基础要求培训第1年10%,后3年每年30%2011年继续维护和知识更新信息安全培训业务背景

美国国防部信息安全人员培训计划建立人员3、信息安全培训体系介绍3、信息安全培训体系介绍信息安全人才体系战略

组织机构信息安全人才体系战略信息安全人才体系战略

组织机构信息安全人才体系战略信息安全人才体系战略

加快信息安全人才培养,增强全民信息安全意识加快信息安全人才培养增强全民信息安全意识意识教育安全培训高等教育专业培训信息安全人才体系战略

加快信息安全人才培养,增强全民信息安全信息安全人才战略——培训体系专家CISPCISECISOCISACISM信息安全意识培训技术人员管理人员审核审计人员信息安全人才战略——培训体系专家CISPCISECISOCI信息安全人才战略——培训体系CISM注册信息安全员CISP注册信息安全专业人员信息安全保障专家信息安全人才战略——培训体系CISMCISP信息安全保障专家信息安全培训和CISP知识体系介绍培训产品体系——技术核心竞争力综合权威专题实践300系列——最佳实践,审计检查600系列——信息安全综合知识能力证明,信息安全专业人员必备400系列——全面信息安全基础,信息安全人员必备500系列——专题研究,术业有专攻200系列——信息安全,人人有责,保护自己的信息空间培训产品体系——技术核心竞争力综合权威专题实践300系列——培训产品体系

培训总表综合SEC技术TEC管理MGT审计AUD安全专业安全专题CRAC注册风险评估咨询员CVMC注册漏洞管理咨询员TEC-501风险评估技术和工程…TEC-503防火墙系统和工程…TEC-507信息安全攻防…MGT-501信息安全管理体系MGT-502风险管理MGT-503漏洞管理MGT-504业务连续性和灾难恢复管理…

AUD-501信息安全审计…安全从业安全实践操作系统最佳实践网络设备最佳实践应用系统最佳实践…操作系统审计网络设备审计应用系统审计…安全意识SEC-201保护信息安全实践(普及)…TEC-201网络和安全知识问答…培训产品体系

培训总表综合技术管理审计安全专业安全专题CRA面向部委的信息安全培训整体方案所有人员进行信息安全意识培训IT和安全相关人员:建立分级分类的信息安全基本要求,资质和培训分级:高/中/低、一级/二级/三级分类:技术/管理/审核IT和安全相关人员:基于岗位的信息安全技能,资质和培训特定实践:Windows操作系统安全、Oracle数据库安全等特定专题:风险管理、漏洞管理等持续学习和更新面向部委的信息安全培训整体方案所有人员进行信息安全意识培训面向部委的信息安全培训咨询注册信息安全员(CISM)行业和组织机构特点和特殊需求岗位职责相关的职业技能培训信息安全从业人员信息安全基础知识和能力基于岗位职业技能注册信息安全专业人员(CISP)信息安全专业人员信息安全培训咨询服务信息安全意识培训信息安全意识普及信息安全专题培训信息安全实验和实践行业和组织机构特点和特殊需求面向部委的信息安全培训咨询注册信息安全员(CISM)行业和组国家信息安全培训系列丛书国家信息安全培训系列丛书《信息安全攻防技术》《信息安全攻防技术》《信息安全攻防技术》——攻击方法《信息安全攻防技术》——攻击方法《信息安全攻防实验》《信息安全攻防技术》配套实践书籍,提供上百个信息安全攻击实验演练技术特点:基于虚拟机技术根据攻击方法、系统平台分类提供综合案例研究和实践《信息安全攻防实验》《信息安全攻防技术》配套实践书籍,提供上功能性的专业培训内容区域A管理BCDEFG1法律法规1A1B1C1D1E1F2安全程序2.1计划2.1A2.1B2.1C2.1D2.1E2.2管理2.2A2.2B2.2C2.2D2.2E3系统生命周期安全3.1初始化3.1A3.1B3.1C3.1E3.1F3.2开发3.2A3.2B3.2C3.2D3.2E3.2F3.3测试和评估3.3C3.3D3.3E3.3F3.4实现3.4A3.4B3.4C3.4D3.4E3.4F3.5运行维护3.5A3.5B3.5C3.5D3.5E3.5F3.6终止3.6A3.6D3.6E4其他

采购设计和开发实现和运行维护审阅和评价使用其他IT安全培训矩阵功能性的专业培训内容区域A管理BCDEFG1法律法功能性的专业培训内容区域A管理BCDEFG1法律法规1E2安全程序2.1计划2.1E2.2管理2.2E3系统生命周期安全3.1初始化3.1E3.2开发3.2E3.3测试和评估3.3E3.4实现3.4E3.5运行维护3.5E3.6终止3.6E4其他

采购设计和开发实现和运行维护审阅和评价使用其他IT安全培训矩阵-外部审计员功能性的专业培训内容区域A管理BCDEFG1法律法二、CISP知识体系介绍二、CISP知识体系介绍目录信息安全培训业务介绍信息安全培训业务现状美国政府部委信息安全培训体系介绍信息安全培训体系介绍CISP知识体系介绍注册信息安全专业人员(CISP)介绍CISP知识体系大纲介绍目录信息安全培训业务介绍1、注册信息安全专业人员(CISP)介绍1、注册信息安全专业人员(CISP)介绍CISP(CISE/CISO/CISA)

资质分类“注册信息安全专业人员”,英文为CertifiedInformationSecurityProfessional(简称CISP),根据实际岗位工作需要,CISP分为三类:“注册信息安全工程师”,英文为CertifiedInformationSecurityEngineer(简称CISE);“注册信息安全管理人员”,英文为CertifiedInformationSecurityOfficer(简称CISO);“注册信息安全审核员”,英文为CertifiedInformationSecurityAuditor(简称CISA)。CISP(CISE/CISO/CISA)

资质分类“注册信息CISP(CISP/CISE/CISO)

知识体系结构CISP(CISP/CISE/CISO)

知识体系结构CISP同CISSP知识体系结构的比较CISP同CISSP知识体系结构的比较CISP(CISE/CISO/CISA)区别说明CISP资质类型知识类别CISPCISECISO信息安全体系和模型15%15%信息安全技术40%20%信息安全管理20%40%信息安全工程15%15%信息安全标准和法律法规10%10%注:CISA在CISE或CISO的基础上再加上50道信息安全审计相关的试题。CISP(CISE/CISO/CISA)区别说明CISP资质CISP知识体系大纲的特点以信息安全保障(IA)作为贯穿整个CISP知识体系大纲的主线使用知识类(PT)-知识体(BD)-知识域(KA)-知识子域(SA)来组织的组件模块化的知识体系结构CISP知识体系大纲的特点以信息安全保障(IA)作为贯穿整个知识体系结构特点介绍

—知识结构组织知识类(PT)知识类(PT)知识体(BD)知识体(BD)知识域(KA)知识域(KA)知识域(KA)知识子域(SA)知识子域(SA)知识子域(SA)层次化、组件模块化知识结构组织知识体系结构特点介绍

—知识结构组织知识类知识类知识体知识知识体系结构特点介绍

—知识结构整体信息安全保障为核心的有机知识整体知识体系结构特点介绍

—知识结构整体信息安全保障为核心的有机注册信息安全员(CISP)资质注册流程CISP申请者咨询相关事宜参加培训考试申请参加考试注册申请注册决定取得证书证后维持考试未通过注册未通过考试通过注册通过无法维持注册注册信息安全员(CISP)资质注册流程CISP申请者咨询相关2、CISP知识体系大纲介绍2、CISP知识体系大纲介绍知识类:信息安全体系和模型知识类:信息安全体系和模型信息安全保障框架知识类:信息安全体系和模型

知识体系概述安全模型安全体系知识类(PT)知识体(BD)知识域(KA)信息安全体系和模型OSI开放系统互联安全体系架构信息技术安全性评估信息安全保障评估信息安全模型基础访问控制模型其他安全模型信息安全保障框架知识类:信息安全体系和模型

知识体系概述安全知识类:信息安全体系和模型

知识体系详述信息技术安全评估历史和发展可信计算机系统评估准则(TCSEC)IT安全性评估通用准则(CC)信息系统安全保障评估框架信息安全产品测试评估信息系统安全测试评估信息安全服务测试评估信息安全人员测试评估自主访问控制(DAC)模型(访问矩阵模型及其实现)强制访问控制(MAC)模型(Bell-Lapudula/Biba/Clark-Wilson/ChineseWall/BMA模型)基于角色访问控制(RBAC)模型信息安全保障框架安全模型安全体系知识类知识体知识域信息安全体系和模型OSI开放系统互联安全体系架构信息技术安全性评估信息安全保障评估信息安全模型基础访问控制模型其他安全模型知识子域知识类:信息安全体系和模型

知识体系详述信息技术安全评估历史知识域说明

PT:信息安全体系知识类PT(知识类):信息安全体系KA(知识域):信息安全保障框架理解信息安全保障的背景和历史;理解信息安全保障的定义、模型和含义。KA(知识域):OSI开放系统互联安全体系结构理解和掌握OSI开放系统互联安全体系结构理解和掌握OSI开放系统互联安全体系结构同TCP/IP的映射KA(知识域):信息技术安全性评估理解和掌握信息技术安全性评估准则发展的背景、历史和关系;理解和掌握可信计算机系统评估准则(TCSEC)以及彩虹系列的内容和含义;理解和掌握信息技术安全性评估主则(CC)的内容和含义。KA(知识域):信息安全保障评估理解和掌握信息系统安全保障评估框架的内容和含义;理解和掌握信息安全保障评估的各中测试评估的类别和含义(信息安全产品测试评估、信息系统安全测试评估、信息安全服务测试评估和信息安全人员测试评估)知识域说明

PT:信息安全体系知识类PT(知识类):信息安全信息技术安全评估标准的历史和发展信息技术安全评估标准的历史和发展信息安全保障模型信息安全保障模型组成及与现有标准关系组成及与现有标准关系信息系统安全保障级别评估说明信息系统安全保障级别评估说明知识体:信息安全模型

原理说明模型访问控制模型信息流模型强制访问控制模型(MAC)自主访问控制模型(DAC)访问矩阵模型访问控制列表(ACL)权能列表(CapacityList)实现多级环境多边环境静态动态Bell-Lapudula模型Biba模型Clark-Wilson模型ChineseWall模型BMA模型保密性完整性基于角色访问控制模型(RBAC)知识体:信息安全模型

原理说明模型访问控制模型信息流模型强制知识域说明

PT:信息安全模型PT(知识类):信息安全模型KA(知识域):信息安全模型基础理解信息安全模型同安全策略、安全控制之间的关系理解可信计算基和参考监视器等的基本概念理解各种安全模型的分类和关系KA(知识域):访问控制模型理解和掌握访问控制模型的分类(MAC/DAC/RBAC)关系和实现。理解不同访问控制模型及实现CIA的关系SA(知识子域):自主访问控制(DAC)理解自主访问控制的含义;理解访问矩阵模型,理解和分析应用访问矩阵模型的实现(访问控制列表、权能列表)SA(知识子域):强制访问控制(MAC)理解强制访问控制的分类和含义理解多级强制访问控制模型:Bell-Lapudula模型、Biba模型和Clark-Wilson模型理解多边强制访问控制模型:ChineseWall模型和BMA模型SA(知识子域):基于角色访问控制(RBAC)理解基于角色的访问控制模型(RBAC)KA(知识域):其他安全模型理解理解信息流模型等其他安全模型概念及其关系知识域说明

PT:信息安全模型PT(知识类):信息安全模型知识类:信息安全技术知识类:信息安全技术知识类知识体知识域信息安全技术机制信息和通信技术(ICT)安全信息安全实践知识类:信息安全技术

知识体系概述信息安全技术密码技术及应用访问控制系统审计和监控物理安全技术电信和网络安全系统安全技术应用安全技术安全攻防模型安全攻防实践知识类知识体知识域信息安全技术机制信息和通信技术(ICT)安知识体:信息安全技术机制——知识域和知识子域说明信息安全技术机制知识体知识域知识子域密码技术基础密码技术及应用访问控制系统审计和监控密码算法:私钥算法密码算法:公钥算法密码算法:单向函数和单向哈希算法密钥管理密码系统:数字签名密码系统:公钥基础设施(PKI)密码系统应用:IPSec/Web/电子邮件/电子商务等密码技术的攻击和防御访问控制管理标识和鉴别(I&A)访问控制方法和实现审计和监控基本概念入侵检测和入侵防御系统防火墙系统知识体:信息安全技术机制——知识域和知识子域说明信息安全技术知识域:密码技术及应用

知识子域说明SA:密码技术基础理解密码技术的历史和基本概念理解传统密码学(换位密码、替换密码、一次一密系统、序列密码、分组密码)的概念及其应用实例理解密码分析和算法安全性概念理解密钥管理和托管的概念和应用实例SA:密码算法:对称(私钥)算法理解对称算法的基本概念理解常见的对称算法(DES、3DES、Blowfish、IDEA、RC系列和AES等)SA:密码算法:非对称(公钥)算法理解非对称算法的基本概念理解常见的非对称算法(MH、RSA、ECC、DH、DSA、Elgema等)SA:密码算法:单向函数和单向哈希算法理解单向函数、单向哈希算法等基本概念理解常见的单向哈希算法(MD系列、HAVAL和HMAC等)SA:密码技术攻击和防御理解密码技术攻击和防御的基本概念理解特定的密码攻击算法(生日攻击等)知识域:密码技术及应用

知识子域说明SA:密码技术基础知识域:密码技术及应用

知识子域说明SA:密码系统:数字签名理解数字签名的原理和应用SA:密码系统:PKI理解PKI公钥基础设施的基本原理和应用SA:密码技术应用理解密码技术在OSI和TCP/IP中的应用基础理解IPSec(网络层)的原理和应用理解SSL/TLS(传输层)的应用和原理理解密码技术在其他层上的应用,包括Web应用(S-HTTP)、电子邮件(PEM、S/MIME、PGP)、电子商务(SET)和SSH等。知识域:密码技术及应用

知识子域说明SA:密码系统:数字签名知识域:访问控制系统

知识子域结构信息安全技术机制知识体知识域知识子域访问控制系统访问控制管理标识和鉴别(I&A)访问控制方法和实现防火墙系统知识域:访问控制系统

知识子域结构信息安全技术机制知识体知识知识域:访问控制系统

知识子域说明SA:访问控制基础理解访问控制的基本概念理解标识、鉴别、授权等基本概念理解和分析各种访问控制措施的分类SA:标识和鉴别技术理解标识和鉴别的定义和基本概念理解口令的基本概念和管理理解生物测定技术及其实现(虹膜、指纹、掌纹等)理解其他鉴别技术(令牌、票据等)理解单点登录技术(SSO)及其实现(Kerberos等)SA:访问控制方法和实现理解集中访问控制的基本概念及其实现(RADIUS、TACACS、TACACS+和Diameter等)理解非集中访问控制的基本概念及其实现(域等)SA:防火墙系统理解防火墙系统的分类、体系结构理解和应用防火墙技术知识域:访问控制系统

知识子域说明SA:访问控制基础知识域:审计和跟踪

知识子域结构信息安全技术机制知识体知识域知识子域审计和监控审计和监控基本概念入侵检测和入侵防御系统知识域:审计和跟踪

知识子域结构信息安全技术机制知识体知识域知识域:审计和监控

知识子域说明SA:审计和监控基础理解审计和监控的基本概念理解同审计相关的标准CC中的相关概念SA:入侵检测和入侵防御系统理解入侵检测系统和入侵防御系统的基本概念理解入侵检测系统的分类、检测方式(异常/误用)理解和实践入侵检测系统的部署和使用知识域:审计和监控

知识子域说明SA:审计和监控基础知识体:信息和通信技术

知识域和知识子域说明知识体:信息和通信技术

知识域和知识子域说明知识域:物理安全技术

知识子域结构物理安全基础物理安全技术控制措施物理设施要求环境和人身安全物理安全技术信息和通信技术(ICT)安全知识体知识域知识子域知识域:物理安全技术

知识子域结构物理安全基础物理安全技术控知识域:电信和网络安全

知识子域结构信息和通信技术(ICT)安全网络体系结构通信和网络技术互联网技术和服务网络安全设备:防火墙/入侵检测/入侵防御设备等电信和网络安全知识体知识域知识子域知识域:电信和网络安全

知识子域结构信息和通信技术(ICT)知识域:系统安全技术

知识子域结构操作系统安全技术数据库系统安全技术系统安全技术信息和通信技术(ICT)安全知识体知识域知识子域知识域:系统安全技术

知识子域结构操作系统安全技术数据库系统知识域:系统安全技术

知识子域说明SA:操作系统安全技术理解操作系统和操作系统安全的基本概念;理解和实践Windows操作系统、Linux等UNIX操作系统等特定操作系统产品安全的概念和内容。SA:数据库系统安全技术理解和掌握数据库的基本概念,包括数据库的模型和分类、数据库结构和组成、关系数据库和数据仓库的概念和内容;理解数据库系统安全相关的标准、风险和脆弱性等;理解数据库系统安全相关的技术,包括标识和鉴别、访问控制、审计、加密、推论、流控制等技术在数据息系统安全中的应用;理解并应用数据库系统安全技术进行相应的实践知识域:系统安全技术

知识子域说明SA:操作系统安全技术知识域:应用安全技术

知识子域结构恶意代码防护Web应用安全电子邮件安全电子商务安全安全编程技术应用安全技术信息和通信技术(ICT)安全知识体知识域知识子域知识域:应用安全技术

知识子域结构恶意代码防护Web应用安全知识体:信息安全实践

知识域和知识子域说明安全攻防基本概念黑客攻击方法和流程安全攻防技术实践计算机勘查取证信息安全实践知识体知识域知识子域安全攻防模型安全攻防实践知识体:信息安全实践

知识域和知识子域说明安全攻防基本概念黑知识体:信息安全实践

知识子域说明KA(知识域):安全攻防模型理解和掌握P2DR安全攻防模型的基本概念和原则KA(知识域):安全攻防实践SA:安全攻防基本概念理解各种黑客攻击的术语、方法和内容SA:黑客攻击方法和流程理解黑客攻击的方法和具体流程SA:安全攻防技术实践理解TCP/IP基本协议(ARP/RARP/IP/TCP/UDO)、应用服务(DNS/目录/邮件/Web服务)的协议脆弱性和攻防实践理解数据库、Windows操作系统和UNIX操作系统的安全攻防实践理解拒绝服务/分布式拒绝服务的安全攻防技术SA:计算机勘查取证理解计算机勘查取证的概念和相关技术知识体:信息安全实践

知识子域说明KA(知识域):安全攻防模知识类:信息安全管理知识类:信息安全管理知识类:信息安全管理

知识体系概述安全管理体系知识类知识体知识域关键安全管理过程业务持续性和灾难恢复信息安全管理风险评估应急响应基本安全管理措施信息安全管理基础重要安全管理措施知识类:信息安全管理

知识体系概述安全管理体系知识类知识体知概述——知识体系介绍安全管理体系信息安全管理概念信息安全管理体系要求信息安全管理措施安全组织体系通信和操作管理基本安全管理措施信息安全管理基础知识体知识域知识子域安全策略人员安全重要安全管理措施资产管理访问控制符合性概述——知识体系介绍安全管理体系信息安全管理概念信息安全管理知识类:信息安全管理

知识体:安全管理体系知识域(KA):信息安全管理基础SA:信息安全管理概念信息安全、信息安全管理和信息安全管理体系的基本概念SA:信息安全管理体系要求了解ISO27001的发展历史、基本思想和用途理解PDCA模型各个阶段的含义运用PDCA模型构建信息安全管理体系SA:信息安全管理措施了解ISO27002的发展历史、基本思想和用途了解风险评估和ISO27002中11个安全管理域的主要内容知识域(KA):基本安全管理措施SA:安全策略安全策略的用途、特点以及编制中的注意事项SA:安全组织机构理解安全组织机构的作用理解职责分离、岗位轮换的原则和实践SA:人员安全理解员工入职、培训、修假、解聘等相关的安全管理理解安全意识教育和技能培训的原则和实践知识类:信息安全管理

知识体:安全管理体系知识域(KA):信知识类:信息安全管理

知识体:安全管理体系重要信息安全管理措施SA:资产管理理解资产管理的原则和实践理解资产清单、资产职责的重要性理解信息资产分级的原则和实践SA:通信与操作管理理解文件化的操作程序的重要性理解变更管理、第三方服务管理的原则和实践理解容量管理和系统验收的原则和实践理解系统运行过程中的重要安全管理要素,包括病毒防护、数据备网络安全管理、运行状态监控、日志与审计等SA:访问控制了解访问控制的基本措施理解访问控制中的用户职责了解安全划分、双因素/多因素鉴别、会话与链接超时等访问控制的重要措施SA:符合性理解外部法律法规符合性管理理解内部规章和标准符合性管理理解符合性审计的原则和实践知识类:信息安全管理

知识体:安全管理体系重要信息安全管理措知识类:信息安全管理

知识体系概述关键安全管理过程风险管理基本概念风险评估(定量和定性)的流程、方法和内容风险评估工具和方法BCP&DRP概念和背景业务持续性计划编制过程和步骤业务持续性计划内容业务持续性计划相关的技术和管理知识体知识域知识子域业务持续性和灾难恢复风险评估事件响应知识类:信息安全管理

知识体系概述关键安全管理过程风险管理基知识类:信息安全管理

知识体系概述知识域(KA):风险评估SA:风险管理基本概念理解风险管理的概念、内容和步骤理解风险管理的要素(威胁/脆弱性/资产/影响)SA:定量和定性风险评估的流程、方法和内容理解定量和定性风险评估的区别理解定量风险评估的流程、方法和内容理解定性风险评估的流程、方法和内容SA:风险评估工具和方法理解风险评估相关的各种工具和方法知识域(KA):业务持续性计划和灾难恢复计划SA:BCP&DRP概念和背景理解灾难恢复计划/业务持续性计划的概念、区别和含义SA:业务持续性计划编制过程和步骤理解业务持续性计划编制的过程和步骤SA:业务持续性计划的内容理解业务持续性计划本身的内容SA:业务持续性计划相关的技术和管理理解业务持续性计划相关的技术,包括备份(全备份/增量备份/差分备份等)和外站存储(热战/冷战/温站/移动站)、磁盘技术(RAID技术)等技术。理解业务持续性计划相关的管理,包括软件托管、互惠协议等。理解业务持续性和灾难恢复的分类和指标(包括SHARE七级分级、RPO/RTO概念)等知识类:信息安全管理

知识体系概述知识域(KA):风险评估知识类:信息安全工程知识类:信息安全工程项目管理过程和实践安全工程基础知识体知识域安全工程过程和实践知识类:信息安全工程

知识体系概述知识类信息安全工程信息安全工程监理IT项目管理过程和技术软件/系统工程基础质量管理基础安全工程能力成熟度模型ISSE安全工程过程和实践能力成熟度模型基础项目管理基础项目管理过程和实践安全工程基础知识体知识域安全工程过程和实践知识类:信息安全工程BD(知识体):安全工程基础知识域(KA):软件/系统工程基础理解软件/系统工程基本概念、发展历史和相关标准。知识域(KA):质量管理基础理解质量管理的基本概念、发展历史和相关标准。知识域(KA):能力成熟度模型基础理解能力成熟度模型的基本概念、发展历史和相关标准。知识域(KA):项目管理基础理解项目管理的基本概念以及主要的项目管理实践标准。BD(知识体):安全工程过程和实践知识域(KA):安全工程能力成熟度模型理解信息系统安全工程能力成熟度模型(SSE-CMM,即ISO/IEC21827)的基本概念。知识域(KA):ISSE安全工程过程和实践理解信息系统安全工程ISSE的基本概念以及需求分析过程等的实践。BD(知识体):项目管理过程和实践知识域(KA):IT项目管理过程和技术理解IT项目管理过程以及项目管理相关的技术,例如:PERT技术等。知识域(KA):信息安全工程监理理解信息安全工程监理的过程和具体内容。知识类:信息安全工程BD(知识体):安全工程基础知识类:信息安全标准和法律法规知识类:信息安全标准和法律法规信息安全相关标准概述信息安全相关标准概述知识类:信息安全标准和法律法规

知识体系概述知识类知识体知识域信息系统相关标准信息安全法律法规概述道德规范信息安全标准信息安全标准和法律法规信息安全管理标准和最佳实践(ISO27001/ISO27002等)信息安全相关组织机构信息技术安全和测评标准(TCSEC/ITSEC/CC等)信息安全工程标准(ISO/IEC21827)其他相关标准系列(NISTSP系列、Cobit、IATF等)相关道德规范CMM能力成熟度标准ISO9000质量标准知识类:信息安全标准和法律法规

知识体系概述知识类知识体知识谢谢!问题?谢谢!问题?信息安全培训和CISP知识体系介绍中国信息安全测评中心CISP-02-信息安全培训和CISP知识体系介绍2008年11月信息安全培训和CISP知识体系介绍中国信息安全测评中心目录信息安全培训业务介绍信息安全培训业务现状美国政府部委信息安全培训体系介绍信息安全培训体系介绍CISP知识体系介绍注册信息安全专业人员(CISP)介绍CISP知识体系大纲介绍目录信息安全培训业务介绍一、信息安全培训业务介绍一、信息安全培训业务介绍目录信息安全培训业务介绍信息安全培训业务现状美国政府部委信息安全培训体系介绍信息安全培训体系介绍CISP知识体系介绍注册信息安全专业人员(CISP)介绍CISP知识体系大纲介绍目录信息安全培训业务介绍1、信息安全培训业务现状1、信息安全培训业务现状信息安全培训——人的问题人是信息安全中最核心问题之一!我们政府部门的广大干部对信息安全重要性的认识和相关技术问题的了解还远远不能满足国家发展的需要信息安全培训——人的问题人是信息安全中最核心问题之一!信息安全人才需求的背景信息安全保障的重要性中办[2003]27号文件“国家信息化领导小组关于加强信息安全保障工作的意见”;党的十六届四中全会将“信息安全”提升为国家安全的组成部分构建全面的信息安全人才体系的需求是国家政策的要求是组织机构信息安全保障建设自身的要求是组织机构人员自身职业发展的要求信息安全人才需求的背景信息安全保障的重要性我国信息安全从业人员素质现状分析从数量上来看,信息安全从业人员的数量同实际需求存在巨大缺口。信息安全人才需求不断增加培养来源:由高校学历教育以及以各种专业注册培训为核心、辅以各种职业技能培训的社会培训组成。从近期来看,信息安全从业人员的数量同社会实际需求仍存在巨大缺口。从质量上来看,高端信息安全人才,特别是信息安全管理人才以及信息安全高层次和综合性人才严重缺乏从行业领域上,信息安全从业人员主要集中在政府、金融、电信等信息化发达的行业领域以及信息安全专业公司中根据对上千名注册信息安全专业人员(CISP)的分析,其中38%的专业人员来自安全厂商,20%来自金融领域,26%来自税务、海关和部委等政府机构,8%来自电力和电信领域,4%来自于测评机构,其他占4%。从信息安全从业人员更多集中在技术领域,而且主要偏向于具体产品的研发、技术支持和维护。信息安全从业人员在组织机构中的地位开始得到显著提高,正逐渐从单纯的技术支持进入到组织机构技术决策和风险管理的角色。我国信息安全从业人员素质现状分析从数量上来看,信息安全从业信息安全人才发展战略缺少系统、全面的规划和协调。信息安全学历教育和社会实践、社会认证培训的结合问题信息安全人才的管理问题。信息安全管理人才,特别是懂业务的高层次人才严重缺乏。信息安全人才培养不规范。信息安全意识的缺乏我国信息安全从业人员素质方面突出的问题信息安全人才发展战略缺少系统、全面的规划和协调。我国信息安全信息安全培训业务的目的和目标目标为国家信息安全保障人才体系建设做出应有的贡献增强政府部委、党政机关、重要信息系统和基础网络的管理和运行人员排除隐患和漏洞的认识、知识和能力通过市场化,提高国家信息安全人才素质和能力服务对象:面向政府部委、党政机关、重要信息系统和基础网络面向市场信息安全培训业务的目的和目标目标信息安全培训业务介绍2002年,中心在国内率先推出了专业权威的注册信息安全专业人员(CISP)资质认证2003年,中心正式出版了注册信息安全专业人员资质认证教材2002年—2005年:CISP已成为国内最具含金量的信息安全专业资质认证品牌遍布全国的18家授权培训机构已经为对信息安全有较高要求的人民银行、海关、国税等政府机构、金融电信领域、信息安全专业厂商等培养了大批专业的信息安全技术、管理和审核人员,得到了广泛的认可。。。2005年9月:正式发布注册信息安全员(CISM)资质认证目前,CISP获证人数为二千多人信息安全培训业务介绍2002年,中心在国内率先推出了专业权威注册信息安全专业人员(CISP)统计数据截止至2007年4月CISP获证人数增长图注册信息安全专业人员(CISP)统计数据截止至2007年4月正式出版发布资料正式出版发布资料2、美国政府部委信息安全培训体系介绍2、美国政府部委信息安全培训体系介绍信息安全培训业务背景

美国FISMA(联邦信息安全管理法案)年度报告要求——解析信息安全意识和培训全员的信息安全意识培训同岗位相关的模块化的培训计算机化、自动化的课程管理、跟踪、考核、统计和服务系统同现实需求紧密结合的专业、权威的课件负有重要安全职责的专业人员国家权威机构的信息安全专业注册资质重要岗位的资质准入管理经费的保证信息安全培训业务背景

美国FISMA(联邦信息安全管理法案)信息安全培训业务背景

美国FISMA(联邦信息安全管理法案)年度评估报告——总结表信息安全培训业务背景

美国FISMA(联邦信息安全管理法案)信息安全培训业务背景

美国国防部信息安全人员要求建立分级分类的信息安全人才要求分类:分为技术和管理类分级:每一类分为1到3级要求培训、注册、在职培训和继续培训信息安全培训业务背景

美国国防部信息安全人员要求建立分级分类信息安全培训业务背景

美国国防部信息安全人员要求借助社会力量完成信息安全人才的培养(ISC)2的CISSP/SSCPISACA的CISA/CISMSANS/GIAC的GSEC/GSE/GISFCompTIA的A+/Network+/Security+…信息安全培训业务背景

美国国防部信息安全人员要求借助社会力量信息安全培训业务背景

美国国防部信息安全人员培训计划建立人员数据库,确认人员及其类别和级别要求从2006年开始启动,2007年开始正式实施,2010年前完成所有8万人的基础要求培训第1年10%,后3年每年30%2011年继续维护和知识更新信息安全培训业务背景

美国国防部信息安全人员培训计划建立人员3、信息安全培训体系介绍3、信息安全培训体系介绍信息安全人才体系战略

组织机构信息安全人才体系战略信息安全人才体系战略

组织机构信息安全人才体系战略信息安全人才体系战略

加快信息安全人才培养,增强全民信息安全意识加快信息安全人才培养增强全民信息安全意识意识教育安全培训高等教育专业培训信息安全人才体系战略

加快信息安全人才培养,增强全民信息安全信息安全人才战略——培训体系专家CISPCISECISOCISACISM信息安全意识培训技术人员管理人员审核审计人员信息安全人才战略——培训体系专家CISPCISECISOCI信息安全人才战略——培训体系CISM注册信息安全员CISP注册信息安全专业人员信息安全保障专家信息安全人才战略——培训体系CISMCISP信息安全保障专家信息安全培训和CISP知识体系介绍培训产品体系——技术核心竞争力综合权威专题实践300系列——最佳实践,审计检查600系列——信息安全综合知识能力证明,信息安全专业人员必备400系列——全面信息安全基础,信息安全人员必备500系列——专题研究,术业有专攻200系列——信息安全,人人有责,保护自己的信息空间培训产品体系——技术核心竞争力综合权威专题实践300系列——培训产品体系

培训总表综合SEC技术TEC管理MGT审计AUD安全专业安全专题CRAC注册风险评估咨询员CVMC注册漏洞管理咨询员TEC-501风险评估技术和工程…TEC-503防火墙系统和工程…TEC-507信息安全攻防…MGT-501信息安全管理体系MGT-502风险管理MGT-503漏洞管理MGT-504业务连续性和灾难恢复管理…

AUD-501信息安全审计…安全从业安全实践操作系统最佳实践网络设备最佳实践应用系统最佳实践…操作系统审计网络设备审计应用系统审计…安全意识SEC-201保护信息安全实践(普及)…TEC-201网络和安全知识问答…培训产品体系

培训总表综合技术管理审计安全专业安全专题CRA面向部委的信息安全培训整体方案所有人员进行信息安全意识培训IT和安全相关人员:建立分级分类的信息安全基本要求,资质和培训分级:高/中/低、一级/二级/三级分类:技术/管理/审核IT和安全相关人员:基于岗位的信息安全技能,资质和培训特定实践:Windows操作系统安全、Oracle数据库安全等特定专题:风险管理、漏洞管理等持续学习和更新面向部委的信息安全培训整体方案所有人员进行信息安全意识培训面向部委的信息安全培训咨询注册信息安全员(CISM)行业和组织机构特点和特殊需求岗位职责相关的职业技能培训信息安全从业人员信息安全基础知识和能力基于岗位职业技能注册信息安全专业人员(CISP)信息安全专业人员信息安全培训咨询服务信息安全意识培训信息安全意识普及信息安全专题培训信息安全实验和实践行业和组织机构特点和特殊需求面向部委的信息安全培训咨询注册信息安全员(CISM)行业和组国家信息安全培训系列丛书国家信息安全培训系列丛书《信息安全攻防技术》《信息安全攻防技术》《信息安全攻防技术》——攻击方法《信息安全攻防技术》——攻击方法《信息安全攻防实验》《信息安全攻防技术》配套实践书籍,提供上百个信息安全攻击实验演练技术特点:基于虚拟机技术根据攻击方法、系统平台分类提供综合案例研究和实践《信息安全攻防实验》《信息安全攻防技术》配套实践书籍,提供上功能性的专业培训内容区域A管理BCDEFG1法律法规1A1B1C1D1E1F2安全程序2.1计划2.1A2.1B2.1C2.1D2.1E2.2管理2.2A2.2B2.2C2.2D2.2E3系统生命周期安全3.1初始化3.1A3.1B3.1C3.1E3.1F3.2开发3.2A3.2B3.2C3.2D3.2E3.2F3.3测试和评估3.3C3.3D3.3E3.3F3.4实现3.4A3.4B3.4C3.4D3.4E3.4F3.5运行维护3.5A3.5B3.5C3.5D3.5E3.5F3.6终止3.6A3.6D3.6E4其他

采购设计和开发实现和运行维护审阅和评价使用其他IT安全培训矩阵功能性的专业培训内容区域A管理BCDEFG1法律法功能性的专业培训内容区域A管理BCDEFG1法律法规1E2安全程序2.1计划2.1E2.2管理2.2E3系统生命周期安全3.1初始化3.1E3.2开发3.2E3.3测试和评估3.3E3.4实现3.4E3.5运行维护3.5E3.6终止3.6E4其他

采购设计和开发实现和运行维护审阅和评价使用其他IT安全培训矩阵-外部审计员功能性的专业培训内容区域A管理BCDEFG1法律法二、CISP知识体系介绍二、CISP知识体系介绍目录信息安全培训业务介绍信息安全培训业务现状美国政府部委信息安全培训体系介绍信息安全培训体系介绍CISP知识体系介绍注册信息安全专业人员(CISP)介绍CISP知识体系大纲介绍目录信息安全培训业务介绍1、注册信息安全专业人员(CISP)介绍1、注册信息安全专业人员(CISP)介绍CISP(CISE/CISO/CISA)

资质分类“注册信息安全专业人员”,英文为CertifiedInformationSecurityProfessional(简称CISP),根据实际岗位工作需要,CISP分为三类:“注册信息安全工程师”,英文为CertifiedInformationSecurityEngineer(简称CISE);“注册信息安全管理人员”,英文为CertifiedInformationSecurityOfficer(简称CISO);“注册信息安全审核员”,英文为CertifiedInformationSecurityAuditor(简称CISA)。CISP(CISE/CISO/CISA)

资质分类“注册信息CISP(CISP/CISE/CISO)

知识体系结构CISP(CISP/CISE/CISO)

知识体系结构CISP同CISSP知识体系结构的比较CISP同CISSP知识体系结构的比较CISP(CISE/CISO/CISA)区别说明CISP资质类型知识类别CISPCISECISO信息安全体系和模型15%15%信息安全技术40%20%信息安全管理20%40%信息安全工程15%15%信息安全标准和法律法规10%10%注:CISA在CISE或CISO的基础上再加上50道信息安全审计相关的试题。CISP(CISE/CISO/CISA)区别说明CISP资质CISP知识体系大纲的特点以信息安全保障(IA)作为贯穿整个CISP知识体系大纲的主线使用知识类(PT)-知识体(BD)-知识域(KA)-知识子域(SA)来组织的组件模块化的知识体系结构CISP知识体系大纲的特点以信息安全保障(IA)作为贯穿整个知识体系结构特点介绍

—知识结构组织知识类(PT)知识类(PT)知识体(BD)知识体(BD)知识域(KA)知识域(KA)知识域(KA)知识子域(SA)知识子域(SA)知识子域(SA)层次化、组件模块化知识结构组织知识体系结构特点介绍

—知识结构组织知识类知识类知识体知识知识体系结构特点介绍

—知识结构整体信息安全保障为核心的有机知识整体知识体系结构特点介绍

—知识结构整体信息安全保障为核心的有机注册信息安全员(CISP)资质注册流程CISP申请者咨询相关事宜参加培训考试申请参加考试注册申请注册决定取得证书证后维持考试未通过注册未通过考试通过注册通过无法维持注册注册信息安全员(CISP)资质注册流程CISP申请者咨询相关2、CISP知识体系大纲介绍2、CISP知识体系大纲介绍知识类:信息安全体系和模型知识类:信息安全体系和模型信息安全保障框架知识类:信息安全体系和模型

知识体系概述安全模型安全体系知识类(PT)知识体(BD)知识域(KA)信息安全体系和模型OSI开放系统互联安全体系架构信息技术安全性评估信息安全保障评估信息安全模型基础访问控制模型其他安全模型信息安全保障框架知识类:信息安全体系和模型

知识体系概述安全知识类:信息安全体系和模型

知识体系详述信息技术安全评估历史和发展可信计算机系统评估准则(TCSEC)IT安全性评估通用准则(CC)信息系统安全保障评估框架信息安全产品测试评估信息系统安全测试评估信息安全服务测试评估信息安全人员测试评估自主访问控制(DAC)模型(访问矩阵模型及其实现)强制访问控制(MAC)模型(Bell-Lapudula/Biba/Clark-Wilson/ChineseWall/BMA模型)基于角色访问控制(RBAC)模型信息安全保障框架安全模型安全体系知识类知识体知识域信息安全体系和模型OSI开放系统互联安全体系架构信息技术安全性评估信息安全保障评估信息安全模型基础访问控制模型其他安全模型知识子域知识类:信息安全体系和模型

知识体系详述信息技术安全评估历史知识域说明

PT:信息安全体系知识类PT(知识类):信息安全体系KA(知识域):信息安全保障框架理解信息安全保障的背景和历史;理解信息安全保障的定义、模型和含义。KA(知识域):OSI开放系统互联安全体系结构理解和掌握OSI开放系统互联安全体系结构理解和掌握OSI开放系统互联安全体系结构同TCP/IP的映射KA(知识域):信息技术安全性评估理解和掌握信息技术安全性评估准则发展的背景、历史和关系;理解和掌握可信计算机系统评估准则(TCSEC)以及彩虹系列的内容和含义;理解和掌握信息技术安全性评估主则(CC)的内容和含义。KA(知识域):信息安全保障评估理解和掌握信息系统安全保障评估框架的内容和含义;理解和掌握信息安全保障评估的各中测试评估的类别和含义(信息安全产品测试评估、信息系统安全测试评估、信息安全服务测试评估和信息安全人员测试评估)知识域说明

PT:信息安全体系知识类PT(知识类):信息安全信息技术安全评估标准的历史和发展信息技术安全评估标准的历史和发展信息安全保障模型信息安全保障模型组成及与现有标准关系组成及与现有标准关系信息系统安全保障级别评估说明信息系统安全保障级别评估说明知识体:信息安全模型

原理说明模型访问控制模型信息流模型强制访问控制模型(MAC)自主访问控制模型(DAC)访问矩阵模型访问控制列表(ACL)权能列表(CapacityList)实现多级环境多边环境静态动态Bell-Lapudula模型Biba模型Clark-Wilson模型ChineseWall模型BMA模型保密性完整性基于角色访问控制模型(RBAC)知识体:信息安全模型

原理说明模型访问控制模型信息流模型强制知识域说明

PT:信息安全模型PT(知识类):信息安全模型KA(知识域):信息安全模型基础理解信息安全模型同安全策略、安全控制之间的关系理解可信计算基和参考监视器等的基本概念理解各种安全模型的分类和关系KA(知识域):访问控制模型理解和掌握访问控制模型的分类(MAC/DAC/RBAC)关系和实现。理解不同访问控制模型及实现CIA的关系SA(知识子域):自主访问控制(DAC)理解自主访问控制的含义;理解访问矩阵模型,理解和分析应用访问矩阵模型的实现(访问控制列表、权能列表)SA(知识子域):强制访问控制(MAC)理解强制访问控制的分类和含义理解多级强制访问控制模型:Bell-Lapudula模型、Biba模型和Clark-Wilson模型理解多边强制访问控制模型:ChineseWall模型和BMA模型SA(知识子域):基于角色访问控制(RBAC)理解基于角色的访问控制模型(RBAC)KA(知识域):其他安全模型理解理解信息流模型等其他安全模型概念及其关系知识域说明

PT:信息安全模型PT(知识类):信息安全模型知识类:信息安全技术知识类:信息安全技术知识类知识体知识域信息安全技术机制信息和通信技术(ICT)安全信息安全实践知识类:信息安全技术

知识体系概述信息安全技术密码技术及应用访问控制系统审计和监控物理安全技术电信和网络安全系统安全技术应用安全技术安全攻防模型安全攻防实践知识类知识体知识域信息安全技术机制信息和通信技术(ICT)安知识体:信息安全技术机制——知识域和知识子域说明信息安全技术机制知识体知识域知识子域密码技术基础密码技术及应用访问控制系统审计和监控密码算法:私钥算法密码算法:公钥算法密码算法:单向函数和单向哈希算法密钥管理密码系统:数字签名密码系统:公钥基础设施(PKI)密码系统应用:IPSec/Web/电子邮件/电子商务等密码技术的攻击和防御访问控制管理标识和鉴别(I&A)访问控制方法和实现审计和监控基本概念入侵检测和入侵防御系统防火墙系统知识体:信息安全技术机制——知识域和知识子域说明信息安全技术知识域:密码技术及应用

知识子域说明SA:密码技术基础理解密码技术的历史和基本概念理解传统密码学(换位密码、替换密码、一次一密系统、序列密码、分组密码)的概念及其应用实例理解密码分析和算法安全性概念理解密钥管理和托管的概念和应用实例SA:密码算法:对称(私钥)算法理解对称算法的基本概念理解常见的对称算法(DES、3DES、Blowfish、IDEA、RC系列和AES等)SA:密码算法:非对称(公钥)算法理解非对称算法的基本概念理解常见的非对称算法(MH、RSA、ECC、DH、DSA、Elgema等)SA:密码算法:单向函数和单向哈希算法理解单向函数、单向哈希算法等基本概念理解常见的单向哈希算法(MD系列、HAVAL和HMAC等)SA:密码技术攻击和防御理解密码技术攻击和防御的基本概念理解特定的密码攻击算法(生日攻击等)知识域:密码技术及应用

知识子域说明SA:密码技术基础知识域:密码技术及应用

知识子域说明SA:密码系统:数字签名理解数字签名的原理和应用SA:密码系统:PKI理解PKI公钥基础设施的基本原理和应用SA:密码技术应用理解密码技术在OSI和TCP/IP中的应用基础理解IPSec(网络层)的原理和应用理解SSL/TLS(传输层)的应用和原理理解密码技术在其他层上的应用,包括Web应用(S-HTTP)、电子邮件(PEM、S/MIME、PGP)、电子商务(SET)和SSH等。知识域:密码技术及应用

知识子域说明SA:密码系统:数字签名知识域:访问控制系统

知识子域结构信息安全技术机制知识体知识域知识子域访问控制系统访问控制管理标识和鉴别(I&A)访问控制方法和实现防火墙系统知识域:访问控制系统

知识子域结构信息安全技术机制知识体知识知识域:访问控制系统

知识子域说明SA:访问控制基础理解访问控制的基本概念理解标识、鉴别、授权等基本概念理解和分析各种访问控制措施的分类SA:标识和鉴别技术理解标识和鉴别的定义和基本概念理解口令的基本概念和管理理解生物测定技术及其实现(虹膜、指纹、掌纹等)理解其他鉴别技术(令牌、票据等)理解单点登录技术(SSO)及其实现(Kerberos等)SA:访问控制方法和实现理解集中访问控制的基本概念及其实现(RADIUS、TACACS、TACACS+和Diameter等)理解非集中访问控制的基本概念及其实现(域等)SA:防火墙系统理解防火墙系统的分类、体系结构理解和应用防火墙技术知识域:访问控制系统

知识子域说明SA:访问控制基础知识域:审计和跟踪

知识子域结构信息安全技术机制知识体知识域知识子域审计和监控审计和监控基本概念入侵检测和入侵防御系统知识域:审计和跟踪

知识子域结构信息安全技术机制知识体知识域知识域:审计和监控

知识子域说明SA:审计和监控基础理解审计和监控的基本概念理解同审计相关的标准CC中的相关概念SA:入侵检测和入侵防御系统理解入侵检测系统和入侵防御系统的基本概念理解入侵检测系统的分类、检测方式(异常/误用)理解和实践入侵检测系统的部署和使用知识域:审计和监控

知识子域说明SA:审计和监控基础知识体:信息和通信技术

知识域和知识子域说明知识体:信息和通信技术

知识域和知识子域说明知识域:物理安全技术

知识子域结构物理安全基础物理安全技术控制措施物理设施要求环境和人身安全物理安全技术信息和通信技术(ICT)安全知识体知识域知识子域知识域:物理安全技术

知识子域结构物理安全基础物理安全技术控知识域:电信和网络安全

知识子域结构信息和通信技术(ICT)安全网络体系结构通信和网络技术互联网技术和服务网络安全设备:防火墙/入侵检测/入侵防御设备等电信和网络安全知识体知识域知识子域知识域:电信和网络安全

知识子域结构信息和通信技术(ICT)知识域:系统安全技术

知识子域结构操作系统安全技术数据库系统安全技术系统安全技术信息和通信技术(ICT)安全知识体知识域知识子域知识域:系统安全技术

知识子域结构操作系统安全技术数据库系统知识域:系统安全技术

知识子域说明SA:操作系统安全技术理解操作系统和操作系统安全的基本概念;理解和实践Windows操作系统、Linux等UNIX操作系统等特定操作系统产品安全的概念和内容。SA:数据库系统安全技术理解和掌握数据库的基本概念,包括数据库的模型和分类、数据库结构和组成、关系数据库和数据仓库的概念和内容;理解数据库系统安全相关的标准、风险和脆弱性等;理解数据库系统安全相关的技术,包括标识和鉴别、访问控制、审计、加密、推论、流控制等技术在数据息系统安全中的应用;理解并应用数据库系统安全技术进行相应的实践知识域:系统安全技术

知识子域说明SA:操作系统安全技术知识域:应用安全技术

知识子域结构恶意代码防护Web应用安全电子邮件安全电子商务安全安全编程技术应用安全技术信息和通信技术(ICT)安全知识体知识域知识子域知识域:应用安全技术

知识子域结构恶意代码防护Web应用安全知识体:信息安全实践

知识域和知识子域说明安全攻防基本概念黑客攻击方法和流程安全攻防技术实践计算机勘查取证信息安全实践知识体知识域知识子域安全攻防模型安全攻防实践知识体:信息安全实践

知识域和知识子域说明安全攻防基本概念黑知识体:信息安全实践

知识子域说明KA(知识域):安全攻防模型理解和掌握P2DR安全攻防模型的基本概念和原则KA(知识域):安全攻防实践SA:安全攻防基本概念理解各种黑客攻击的术语、方法和内容SA:黑客攻击方法和流程理解黑客攻击的方法和具体流程SA:安全攻防技术实践理解TCP/IP基本协议(ARP/RARP/IP/TCP/UDO)、应用服务(DNS/目录/邮件/Web服务)的协议脆弱性和攻防实践理解数据库、Windows操作系统和UNIX操作系统的安全攻防实践理解拒绝服务/分布式拒绝服务的安全攻防技术SA:计算机勘查取证理解计算机勘查取证的概念和相关技术知识体

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论