3《信息系统安全测评》课程大纲Word文件下载.docx
《3《信息系统安全测评》课程大纲Word文件下载.docx》由会员分享,可在线阅读,更多相关《3《信息系统安全测评》课程大纲Word文件下载.docx(34页珍藏版)》请在冰豆网上搜索。
掌握信息安全相关的标准、法律法规、政策和道德规范等通用基础知识。
三、教学内容及要求
第一周:
课程导入和信息安全保障基础知识
(一)教学目标
学生了解本课程的学习内容和教学安排,并掌握模块一:
信息安全保障部分的学习内容。
(二)教学内容及要求
知识域
知识点
模块一、知识域:
信息安全保障
1.1知识子域:
信息安全保障基础
1.1.1信息安全概念
了解理解国际标准化组织、美国、欧盟等对信息安全的定义;
理解信息安全问题的根内因和外因;
理解信息安全定义及信息安全问题狭义、广义两层概念及区别;
理解信息安全是系统的安全、动态的安全、无边界的安全、非传统的安全等
了解威胁情报、态势感知的基本概念及对信息安全的作用。
1.1.2信息安全属性
理解信息安全属性的概念及CIA三元组(保密性、完整性、可用性)的概念;
了解真实性、不可否认性、可问责、可控性等其他不可缺少的信息安全属性概念。
1.1.3信息安全视角
了解国家视角对信息安全关注点(网络战、关键基础设施保护、法律建设与标准化)相关概念;
了解企业视角对信息安全关注点(业务连续性管理、资产保护、合规性)相关概念;
了解个人视角对信息安全关注点(隐私保护、个人资产保护、社会工程学)相关概念。
1.1.4信息安全发展阶段
了解通信安全阶段的核心安全需求、主要技术措施;
了解计算机安全阶段信息安全需求、主要技术措施及阶段的标志;
了解信息系统安全阶段的安全需求、主要技术措施及阶段的标志;
了解信息安全保障阶段与系统安全阶段的区别,信息安全保障的概念及我国信息安全保障工作的总体要求、主要原则;
了解网络空间的概念,理解网络空间安全的重要性。
1.1.5信息安全保障新领域
了解工业控制系统中SCADA、DCS、PLC等基本概念,理解工业控制系统的重要性,面临的安全威胁及安全防护的基本思路;
了解云计算所面临的安全风险及云计算安全框架;
了解虚拟化安全的基本概念;
了解物联网基本概念、技术架构及相应的安全问题;
了解大数据的概念,大数据应用及大数据平台安全的基本概念;
了解移动互联网面临的安全问题及安全策略;
了解智慧的世界的概念。
(三)教学重点与难点
本节重点:
信息安全概念、信息安全属性、信息安全视角、信息安全发展阶段、信息安全保障新领域。
本节难点:
信息安全属性、信息安全视角、信息安全保障新领域。
(四)教学方法与手段
课堂讲授、课堂讨论、习题练习。
(五)教学时数4学时。
第二周:
安全保障框架模型
(一)教学目标
学生学习安全保障框架模型,掌握基于时间的PDR与PPDR模型、信息安全保障技术框架、信息系统安全保障评估框架、常见的企业安全架构。
(二)教学内容
1.2知识子域:
1.2.1基于时间的PDR与PPDR模型
理解基于时间的PDR、PPDR模型的核心思想及出发点;
理解PPDR模型与PDR模型的本质区别;
了解基于时间的判断系统安全性的方式。
1.2.2信息安全保障技术框架
理解信息安全保障技术框架(IATF)的深度防御的核心思想、三个核心要素及四个焦点领域;
了解保护区域边界的原则和技术实现方式;
了解保护计算环境的原则和技术实现方式;
了解保护网络基础设施的原则和技术实现方式;
了解支撑性基础设施建设的概念及技术实现。
1.2.3信息系统安全保障评估框架
理解信息系统保障相关概念及信息安全保障的核心目标;
了解信息系统保障评估的相关概念和关系;
理解信息系统安全保障评估模型主要特点,生命周期、保障要素等概念。
1.2.4企业安全架构
了解企业安全架构的概念;
了解舍伍德的商业应用安全架构模型构成及;
了解舍伍德的商业架构模型生命周期。
基于时间的PDR与PPDR模型、信息安全保障技术框架、信息系统安全保障评估框架、常见的企业安全架构。
基于时间的PDR与PPDR模型、信息系统安全保障评估框架。
课堂讲授、提问研讨、课堂练习、作业点评。
第三周:
网络安全法律体系建设
学生掌握网络攻击的常见步骤,掌握攻击者准备和实施攻击的过程,具备洞察网络攻击的能力,提高抵御攻击的能力。
模块二、知识域:
网络安全监管
2.1知识子域:
网络安全法律体系建设
2.1.1计算机犯罪
了解计算机犯罪的概念、特征及计算机犯罪的发展趋势;
2.1.2我国立法体系
了解我国多级立法机制及相关职能;
了解立法分类(法律、行政法规及地方性法规);
2.1.3网络安全法
理解网络安全法出台背景;
了解网络安全法中定义的网络、网络安全等基本概念及网络空间主权原则;
理解网络运行安全制度、关键基础设施保护制度、等级保护制度、网络安全、审查制度的相关要求;
2.1.4网络安全相关法规建设
了解行政违法相关概念及相关行政处罚;
了解刑事责任、常见网络安全犯罪及量刑等概念;
了解民事违法相关概念及违法民事处罚;
了解国家安全法、保密法、电子签名法、反恐怖主义法、密码法中网络安全相关条款。
计算机犯罪、我国立法体系、网络安全法、网络安全相关法规建设。
我国立法体系、网络安全法。
课堂讲授、实验实践、案例教学、提问研讨、课堂练习、作业点评。
(五)教学时数:
4学时
第四周:
网络安全国家政策、道德准则与安全标准
本节课通过讲解网络安全国家政策、道德准则、安全标准,构建学生对国家政策的把握能力,培养学生坚守道德准则的意识,掌握网络安全的标准。
2.2知识子域:
网络安全国家政策
2.2.1国家网络空间安全战略
了解国家网络空间安全战略中总结的七种新机遇、六大严峻挑战及网络空间“和平、安全、开放、合作、有序”的发展战略目标;
了解国家网络空间战略提出的四项基本原则和九大任务;
2.2.2国家网络安全等保政策
了解我国网络安全等级保护相关政策。
2.3知识子域:
网络安全道德准则
2.3.1道德约束
了解道德的概念、道德与法律的差异;
理解道德约束相关概念。
2.3.2职业道德准则
理解信息安全从业人员遵守职业道德的重要性;
了解目前国际团体和组织制作的职业道德规范文件;
理解《CISP职业道德准则》的要求;
2.4知识子域:
信息安全标准
2.4.1信息安全标准基础
了解标准的基本概念及标准的作用、标准化的特点及原则等;
了解国际信息安全标准化组织和我国信息安全标准化组织;
了解我国标准分类及信息安全标准体系。
2.4.2我国信息安全标准
了解我国信息安全标准体系分类及基础标准、技术与机制、管理与服务标准、测评标准构成;
2.4.3等级保护标准族
了解网络安全等级保护标准体系;
掌握等级保护实施流程中定级、备案的工作要求并了解等级保护整改、测评相关要求;
了解等级保护2.0的相关变化。
网络安全国家政策、道德准则与安全标准。
道德准则与安全标准。
课堂讲授、实验实践、案例教学、演示视频、提问研讨、课堂练习、作业点评。
第五周:
信息安全管理与风险管理
学生掌握信息安全管理的基础概念和作用,掌握信息安全风险管理的概念和模型以及实施过程。
模块三、知识域:
信息安全管理
3.1知识子域:
信息安全管理基础
3.1.1基本概念
了解信息、信息安全管理、信息安全管理体系等基本概念。
3.1.2信息安全管理的作用
理解信息安全管理的作用,对组织内部和组织外部的价值。
3.2知识子域:
信息安全风险管理
3.2.1风险管理基本概念
了解信息安全风险、风险管理的概念;
理解信息安全风险管理的作用和价值;
理解风险管理中各要素的关系。
3.2.2常见风险管理模型
了解COSO报告、ISO31000、COBIT等风险管理模型的作用。
3.2.3安全风险管理基本过程
掌握风险管理中背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询等步骤的工作内容。
信息安全管理、风险管理。
课堂讲授、实验实践、案例视频、提问研讨、课堂练习、作业点评。
(五)教学时数4学时
第六周:
信息安全管理体系建设、最佳实践和度量
学生掌握计算机病毒的原理,具备甄别和查杀病毒的能力,通过行为分析和程序分析,界定病毒、木马和蠕虫的区别。
3.3知识子域:
信息安全管理体系建设
3.3.1信息安全管理体系成功因素
理解信息安全管理体系成功因素。
3.3.2PDCA过程
理解PDCA过程方法及27001中定义的PDCA过程方法四个阶段工作内容。
3.3.3信息安全管理体系建设过程
掌握规划与建立阶段组织背景、领导力、计划、支持等主要工作的内容;
理解实施与运行、监视和评审、维护和改进阶段工作内容。
3.3.4文档化
理解文档化的重要性并了解文件体系及文件控制的方式。
3.4知识子域:
信息安全管理体系最佳实践
3.4.1信息安全管理体系控制类型
了解预防性、检测性、纠正性控制措施的差别及应用。
3.4.2信息安全管理体系控制措施结构
了解ISO27002要求的14个控制章节。
3.4.3信息安全管理体系控制措施
了解安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、操作安全、通信安全、安全采购开发和维护、供应商关系、安全事件管理、业务连续性管理及合规性的控制目标和控制措施。
3.5知识子域:
信息安全管理体系度量
3.5.1基本概念
了解ISMS测量的基本概念、方法选择、作用;
了解27004定义的测量模型。
3.5.2测量要求与实现
了解测量实现的工作内容。
信息安全管理体系建设过程、最佳实践和度量。
信息安全管理体系建设过程和度量。
课堂讲授、实验实践、课堂讨论、案例探讨、课堂练习、作业点评。
(五)教学时数4学时
第七周:
业务连续性管理、信息安全应急响应、灾难备份与恢复
学生掌握业务连续性相关的知识,包括:
业务连续性管理、信息安全应急响应、灾难备份与恢复等内容,明确该知识域的要点和设立目的。
模块四、知识域:
业务连续性
4.1知识子域:
业务连续性管理
4.1.1业务连续性管理基础
了解业务连续性BC、业务连续性管理BCM的概念;
理解BCM对组织机构的重要性;
了解BCM生命周期六个阶段的工作内容。
4.1.2业务连续性计划
了解业务连续性计划的概念及制定BCP的四个步骤;
理解组织管理在BCP过程中的重要性及BCP组织管理中的四个要素;
理解业务影响分析在BCP过程中的作用;
了解业务影响分析中确定业务优先级、风险分析及资产优先级划分的各项工作内容;
了解BCP制定和批准实施工作的内容;
掌握BCP制定中风险降低、风险转移、风险规避和风险接受四种风险处置方式的应用;
了解BCP文档化的作用及文档应包括的内容及BCP的批准、实施、评估及维护等相关概念。
4.2知识子域:
信息安全应急响应
4.2.1信息安全事件与应急响应
了解信息安全事件的概念及应急响应在信息安全保障工作中的重要性;
了解我国信息安全事件的分类分级标准;
了解国际及我国信息安全应急响应组织;
了解应急响应组织架构。
4.2.2网络安全应急响应预案
了解网络安全应急响应预案的概念及作用;
理解应急响应演练的作用、分类、方式及流程。
4.2.3计算机取证及保全
了解计算机取证的概念及取证的过程;
理解计算机取证过程中准备、保护、提取、分析和提交五个步骤的工作内容。
4.2.4信息安全应急响应管理过程
了解应急响应管理中准备、检测、遏制、根除、恢复和跟踪总结六个阶段工作的内容和目标。
4.3知识子域:
灾难备份与恢复
4.3.1灾难备份与恢复基础
了解灾难备份、灾难恢复计划的概念及作用;
理解RTO、RPO等灾备的关键指标;
了解国家灾备相关政策与标准;
了解灾难恢复组织结构。
4.3.2灾难恢复相关技术
了解DAS、SAN、NAS存储技术的概念及应用区别;
了解全备份、增量备份、差分备份等备份方式的区别;
了解常用的备份介质;
理解磁盘冗余阵列RAID-0、RAID-1、RAID-5等配置的差别;
了解冷站、温站、热站等概念。
4.3.3灾难恢复策略
了解国际标准SHARE78对灾难备份的能力划分的0~6级的区别;
理解我国《重要信息系统灾难恢复指南》中划分的6个灾难恢复等级要求;
了解企业常用的容灾策略中数据容灾、系统容灾、应用容灾的概念;
了解确定灾难恢复能力级别的方法。
4.3.4灾难恢复管理过程
了解灾难恢复管理规划的作用及工作过程;
理解灾难恢复需求分析风险分析、业务影响分析和确定灾难恢复目标三个子步骤的工作内容和目标;
理解灾难恢复策略制定的原则和工作方法;
了解灾难恢复策略实现的工作步骤和要求;
了解灾难恢复预案的制定与管理工作内容及要求。
业务连续性管理、信息安全应急响应、灾难备份与恢复。
信息安全应急响应、灾难备份与恢复。
课堂讲授、实验实践、课堂讨论、案例探讨、课堂练习、作业点评。
第八周:
系统安全工程和安全运营
帮助学生掌握系统安全工程和运营的知识,获得安全运营系统的经验,重点掌握系统安全工程能力成熟度模型,SSE-CMM,安全运营管理的相关知识。
五、知识域:
安全工程与运营
5.1知识子域:
系统安全工程
5.1.1系统安全工程基础
理解系统安全工程的概念及系统安全工程的必要性。
5.1.2系统安全工程理论基础
了解系统工程思想、项目管理方法、质量管理体系、能力成熟度模型等基础理论;
理解能力成熟度模型的基本思想及相关概念;
5.1.3系统安全工程能力成熟度模型
了解系统安全工程能力成熟度模型基本概念;
了解系统安全工程能力成熟度模型的体系结构及域维、能力维相关概念;
5.1.4SSE-CMM安全工程过程
掌握风险过程包括的评估威胁、评估脆弱性、评估影响及评估安全风险这四个过程区域及其基本实施;
掌握工程过程包括的确定安全需求、提供安全输入、管理安全控制、监控安全态势及协调安全五个过程区域及其基本实施;
掌握保证过程中验证和证实安全及建立保证论据两个过程区域及其基本实施。
5.1.5SSE-CMM安全工程能力
理解能力程度级别的概念;
掌握0~5级不同成熟度级别的应具有的公共特征。
5.2知识子域:
安全运营
5.2.1安全运营概念
了解安全运营的概念;
5.2.2安全运营管理
了解漏洞的概念及漏洞检测、漏洞评估等漏洞管理工作;
了解补丁管理的重要性及补丁管理工作步骤;
了解变更管理的作用及工作步骤;
了解配置管理的基本概念;
了解事件管理的基本概念。
系统安全工程能力成熟度模型、SSE-CMM、安全运营管理。
系统安全工程能力成熟度模型、SSE-CMM。
第九周:
内容安全、社会工程学与培训教育
学生掌握内容安全的概念和范畴,包括:
数字版权、信息保护、网络舆情等方面内容。
学生还将掌握社会工程学攻击的原理与防御措施,了解通过培训教育提高用户的信息安全意识的重要性。
模块五、知识域:
5.3知识子域:
内容安全
5.3.1内容安全基础
了解内容安全的概念及重要性及内容安全管理的需求。
5.3.2数字版权
了解著作权、版权的概念;
了解数字版权管理相关概念及技术;
了解使用数据版权保护信息的措施。
5.3.3信息保护
理解信息的价值;
了解信息泄露的途径;
了解隐私保护的概念和隐私保护措施。
5.3.4网络舆情
了解网络舆情的概念;
了解网络舆情管理措施及网络舆情监控技术。
5.4知识子域:
社会工程学与培训教育
5.4.1社会工程学
理解社会工程学攻击的概念及在信息安全中的重要性;
了解社会工程学利用的6种“人类天性基本倾向”;
理解社会工程学攻击方式及防御措施。
5.4.2培训教育
了解“人”在信息安全体系中的作用;
理解以建立持续化体系的方式实施信息安全培训的必要性;
内容安全的范围,社会工程学、信息安全教育培训。
数字版权、信息保护、网络舆情。
第十周:
漏洞挖掘技术
学生能够理解安全评估的概念和标准,以及实施安全评估的方法与步骤,掌握信息系统审计的原则和方法,能够读懂审计报告,并会制定初级的审计报告。
模块六、知识域:
安全评估
6.1知识子域:
安全评估基础
6.1.1安全评估概念
了解安全评估的定义、价值、风险评估工作内容及安全评估工具类型;
了解安全评估标准的发展;
6.1.2安全评估标准
了解TCSEC基本目标和要求、分级等概念;
了解ITSEC标准的适用范围、功能准则和评估准则的级别;
了解ISO15408标准的适用范围、作用和使用中的局限性;
了解GB/T18336结构、作用及评估的过程;
理解评估对象(TOE)、保护轮廓(PP)、安全目标(ST)、评估保证级(EAL)等关键概念;
了解信息安全等级测评的作用和过程。
6.2知识子域:
安全评估实施
6.2.1风险评估相关要素
理解资产、威胁、脆弱性、安全风险、安全措施、残余风险等风险评估相关要素及相互关系。
6.2.2风险评估途径与方法
了解基线评估等风险评估途径及自评估、检查评估等风险评估方法并掌握定量分析中量化风险的方法。
6.2.3风险评估的基本过程
了解风险评估基本过程;
理解风险评估准备工作内容;
掌握风险识别中资产的赋值方法;
理解风险分析的方法;
了解风险结果判定、风险处理计划、残余风险评估等阶段工作内容。
6.3.4风险评估文档
了解风险评估文档化工作的重要性及对文档的相关要求;
6.3知识子域:
信息系统审计
6.3.1审计原则与方法
了解信息系统审计职能、流程、内部控制及审计标准;
6.3.2审计技术控制
了解脆弱性措施、渗透测试等审计技术控制措施;
6.3.3审计管理控制
了解账户管理、备份验证等审计管理控制措施;
6.2.4审计报告
了解信息系统审计报告标准SAS70和SOC;
安全评估标准;
安全评估实施方法和步骤;
信息系统审计原则和方法。
安全评估标准、风险评估途径与方法、审计原则与方法。
案例教学、实验实践、课堂讲授、教学视频、提问研讨、课堂练习。
第十一周:
密码学
学生掌握密码学的概念,理解对称算法和非对称算法的区别,了解公钥密码算法和其他密码服务的作用,了解PKI的基本概念及PKI体系构成。
模块七、知识域:
信息安全支撑技术
7.1知识子域:
7.1.1基本概念
了解密码学的发展阶段及保密通信模型、密码体系安全性及密码算法的分类等概念;
理解密码学对于信息安全的支撑作用。
7.1.2对称密码算法
理解对称密码算法的概念及算法特点;
了解DES、3DES、AES等典型对称密码算法。
7.1.3公钥密码算法
理解非对称密码算法(公钥算法)的概念及算法特点;
了解RSA、SM2等典型非对称密码算法。
7.1.4其他密码服务
理解哈希函数、消息认证码、数字签名等密码服务的作用。
7.1.5公钥基础设施
了解PKI的基本概