黑龙江自考电子信息技术独本信息安全工程考试大纲.docx
《黑龙江自考电子信息技术独本信息安全工程考试大纲.docx》由会员分享,可在线阅读,更多相关《黑龙江自考电子信息技术独本信息安全工程考试大纲.docx(25页珍藏版)》请在冰豆网上搜索。
黑龙江自考电子信息技术独本信息安全工程考试大纲
黑龙江省高等教育自学考试
电子信息技术(080738)专业(独立本科段)
信息安全工程考试大纲
(课程代码7875)
黑龙江省高等教育自学考试委员会办公室
二○○九年十月
一、课程性质与设置目的
信息系统安全工程学着重研讨信息安全保障体系构建中若干值得注意的原则问题及信息系统工程设计和实施的方法问题。
本课程着重从系统工程切入,依照系统工程—系统安全工程—系统安全工程能力评估—信息系统安全工程的逻辑顺序,对信息系统安全工程生命期各阶段的准备、实施、过程监控及反馈、调整进行系统的描述。
本课程涉及内容十分广泛,对于从事信息系统管理、工程设计、施工、质量控制的各类技术人员和科研单位的研究、技术开发人员具有重要的价值。
二、课程内容和考核目标
绪论
(一)课程内容
1.信息安全问题
2.构建信息安全保障体系
3.信息安全保障体系的主要内容
(二)学习目的与要求
本章概要描述了信息安全保障问题,信息安全保障体系的构建问题和信息安全保障体系的主要内容。
(三)考核知识点与考核要求
1.信息安全问题,要求达到“识记”层次。
2.构建信息安全保障体系,要求达到“理解”层次。
3.构建信息安全保障体系,要求达到“识记”层次。
第1篇系统工程
第1章系统工程概述
(一)课程内容
第1节概念和背景
第2节系统工程模型
(二)学习目的与要求
本章概要描述了系统工程的概念、适用范围以及发展历史,并概括了系统工程的思想方法和关键要素。
目的是帮助学生对系统工程有一种总体上的了解。
(三)考核知识点与考核要求
1.概念和背景,要求达到“识记”层次。
1.1计算机的启动和开始工作
1.2二进制和数字
1.3背景
2.系统工程模型,要求达到“理解”层次。
第2章系统工程过程需求
(一)课程内容
第1节需求分析
第2节功能分析与分配
第3节合成
第4节系统分析与控制
第5节系统工程输出
(二)学习目的与要求
本章概要描述了系统工程过程需求的主要内容:
需求分析、功能分析\分配、合成、系统分析和控制采用渐进系统工程过程,从而达到合同目标,并据此确定在系统生命期内的需求、设计和解决方案。
(三)考核知识点与考核要求
1.需求分析,要求达到“识记”层次。
2.功能分析与分配,要求达到“理解”层次。
2.1功能分析
2.2分配
3.合成,要求达到“理解”层次。
3.1设计
3.2设计的验证
4.系统分析与控制,要求达到“简单应用”层次。
4.1折中研究
4.2系统/成本效益性能分析
4.3风险管理
4.4配置管理
4.5接口管理
4.6数据管理
4.7系统工程主进度
4.8技术性能测量
4.9技术性审核
4.10对变化作出响应
5.系统工程输出,要求达到“理解”层次。
5.1规范和基线
5.2生命线支持数据
第3章系统工程的详细需求
(一)课程内容
第1节系统工程规划
第2节功能性任务
第3节选项
第4节深入的开发考虑
第5节系统/成本效应
第6节实施任务
第7节技术性审核
第8节系统工程能力评估
(二)学习目的与要求
本章概要描述系统工程的任务,这些任务在应用具体项目和阶段时,对于产品集成和过程开发都可进行评估和裁剪。
对具体项目而言,裁剪需求将由提出任务机构提供或由执行机构通过处理规程进行建议。
(三)考核知识点与考核要求
1.系统工程规划,要求达到“识记”层次。
1.1系统工程管理规划
1.2系统工程主进度(表)
1.3系统工程详细进度
2.功能性任务,要求达到“理解”层次。
2.1可靠性和可维护性
2.2生存能力
2.3电磁兼容性和无线电频率管理
2.4人的因素
2.5系统保险及健全性
2.6系统安全
2.7可生产性
2.8综合的后勤支持
2.9测试和评估
2.10综合的故障诊断
2.11可运输性
2.12基础设施支持
2.13其他功能领域
3.选项,要求达到“理解”层次。
3.1非开发项目
3.2开放系统体系结构
3.3重复使用
3.4使用双重技术
4.深入的开发考虑,要求达到“简单应用”层次。
4.1计算机资源
4.2材料、过程和部件控制
4.3原型
4.4仿真
4.5数字数据
5.系统/成本效应,要求达到“理解”层次。
5.1制造分析及评估
5.2验证分析和评估
5.3部署分析和评估
5.4运行分析和评估
5.5可支持性分析和评估
5.6培训分析和评估
5.7处置分析和评估
5.8环境分析和影响的评估
5.9生命期成本分析和评估
5.10模型
6.系统/成本效应,要求达到“理解”层次。
7.技术性审核,要求达到“简单应用”层次。
7.1审核的责任
7.2结构性审核
7.3可选方案的系统审核
7.4系统需求
7.5系统功能审核
7.6初步设计审核
7.7关键性设计审核
7.8系统验证审核
7.9物理配置审计
7.10子系统审核
7.11功能审核
7.12过渡性系统审核
8.系统工程能历评估,要求达到“理解”层次。
第2篇系统安全工程能力成熟度模型
第4章系统安全工程
(一)课程内容
第1节为什么要研究系统安全工程
第2节什么是SSE-CMM
第3节系统安全工程过程
第4节SSE-CMM的主要概念
第5节SSE-CMM的体系结构
(二)学习目的与要求
本章概要描述系统安全工程的概念,是系统工程的一个子集,信息系统安全工程作为系统安全工程的一个子集,其安全体系和策略必须遵从系统安全工程的一般性原则和规律。
本章的重点和最终目的是研究系统安全的工程原理方法,因此对系统安全过程进行一般性讨论和概念性介绍就显得非常必要。
(三)考核知识点与考核要求
1.为什么要研究系统安全工程,要求达到“识记”层次。
1.1系统安全工程
1.2与系统安全工程有关的组织
1.3系统安全工程活动
1.4系统安全工程与其他科目
1.5系统安全工程学科
2.什么是SSE-CMM,要求达到“识记”层次。
2.1SSE-CMM的发展历史
2.2SSE-CMM的用户
3.系统安全工程过程,要求达到“理解”层次。
3.1风险
3.2工程
3.3保证
4.SSE-CMM的主要概念,要求达到“识记”层次。
4.1过程
4.2过程区
4.3工作产品
4.4过程能力
5.SSE-CMM的体系结构,要求达到“简单应用”层次。
5.1基本模型
5.2域维/安全过程区
5.3能力级别
5.4体系结构的组成
第5章通用实施
(一)课程内容
第1节0级——未实施级
第2节1级——非正规实施级
第3节2级——规划和跟踪级
第4节3级——充分定义级
第5节4级——量化控制级
第6节5级——持续性改进级
(二)学习目的与要求
本章概要描述可应用于所有过程的通用实施,这些通用实施可在过程评估中用于确定任何过程的能力。
通用实施依据公共特性和能力级别进行分组。
能力级别是系统安全工程能力成熟模型中最重要的一维,它表示了过程的成熟性,即组织的过程管理和制度化能力的强弱。
(三)考核知识点与考核要求
1.0级——未实施级,要求达到“理解”层次。
2.1级——非正规实施级,要求达到“理解”层次。
3.2级——规划和跟踪级,要求达到“理解”层次。
3.1公共特性2.1——规划执行
3.2公共特性2.2——规范化执行
3.3公共特性2.3——验证执行
3.4公共特性2.4——跟踪执行
4.3级——充分定义级,要求达到“理解”层次。
4.1公共特性3.1——定义标准过程
4.2公共特性3.2——执行已定义的过程
4.3公共特性3.3——协调安全实施
5.4级——持续性改进级,要求达到“理解”层次。
5.1公共特性4.1——建立可测度的质量目标
5.2公共特性4.2——对执行情况实施客观管理
6.5级——持续性改进级,要求达到“理解”层次。
6.1公共特性5.1——改进组织能力
6.2公共特性5.2——改进过程的效能
第6章安全基本实施
(一)课程内容
第1节PA01——实施安全控制
第2节PA02——评估影响
第3节PA03——评估安全风险
第4节PA04——评估威胁
第5节PA05——评估脆弱性
第6节PA06——建立保证论据
第7节PA07——协调安全
第8节PA08——监控安全态势
第9节PA09——提供安全输入
第10节PA10——确定安全需求
第11节PA11——验证和证实安全
(二)学习目的与要求
本章概要描述安全基本实施的相关概念及内容,基本实施即安全工程必须考虑的实施。
SSE-CMM包括了11个安全工程区,这些过程覆盖了安全工程所有主要领域。
设置这些安全过程区是为了满足安全工程组织广泛的需求。
(三)考核知识点与考核要求
1.PA01——实施安全控制,要求达到“简单应用”层次。
1.1PB.01.01——建立安全控制的职责
1.2PB.01.02——管理系统安全控制的配置
1.3PB.01.03——管理安全意识、培训和教育大纲
1.4PB.01.04——管理安全服务及控制机制的定期维护和管理
2.PA02——评估影响,要求达到“简单应用”层次。
2.1PB.02.01——对影响进行识别、分析和优先级排列
2.2PB.02.02——识别系统资产
2.3PB.02.03——选择用于评估影响的度量标准
2.4PB.02.04——识别度量标准及其转换因子之间的关系
2.5PB.02.05——识别和特征化影响
2.6PB.02.06——监控影响中发生的变化
3.PA03——评估安全风险,要求达到“简单应用”层次。
3.1PB.03.01——选择风险分析方法、技术和准则
3.2PB.03.02——识别三组合(暴露)
3.3PB.03.03——评估与出现暴露相关的风险
3.4PB.03.04——评估总的不确定性
3.5PB.03.05——风险优先排列
3.6PB.03.06——监控风险谱及其特征的动态变化
4.PA04——评估威胁,要求达到“简单应用”层次。
4.1PB.04.01——识别自然威胁
4.2PB.04.02——识别人为威胁
4.3PB.04.03——识别威胁的测度单元和适用范围
4.4PB.04.04——评估威胁作用力的技能和效力
4.5PB.04.05——评估威胁事件出现的可能性
4.6PB.04.06——监控威胁谱的变化及其特征的变化
5.PA05——评估脆弱性,要求达到“简单应用”层次。
5.1PB.05.01——选择脆弱性识别和特征化的方法、技术和标准
5.2PB.05.02——识别系统安全脆弱性
5.3PB.05.03——收集脆弱性数据
5.4PB.05.04——评估并综合系统脆弱性
5.5PB.05.05——监控脆弱性及其特征的变化
6.PA06——建立保证论据,要求达到“简单应用”层次。
6.1PB.06.01——识别安全保证目标
6.2PB.06.02——定义安全保证目标
6.3PB.06.03——识别、控制安全保证证据
6.4PB.06.04——分析安全保证目标
6.5PB.06.05——提供安全保证目标
7.PA07——协调安全,要求达到“简单应用”层次。
7.1PB.07.01——定义协调目标和相互关系
7.2PB.07.02——识别协调机制
7.3PB.07.03——促进协调
7.4PB.07.04——协调安全决定和建议
8.PA08——监控安全态势,要求达到“简单应用”层次。
8.1PB.08.01——分析事件记录
8.2PB.08.02——监控威胁、脆弱性、影响、风险和环境变化
8.3PB.08.03——识别安全突发事件
8.4PB.08.04——监控安全防护措施的有效性
8.5PB.08.05——审核系统安全态势
8.6PB.08.06——管理对安全突发事件的响应
8.7PB.08.07——保护安全监控的记录数据
9.PA09——提供安全输入,要求达到“简单应用”层次。
9.1PB.09.01——理解安全输入需求
9.2PB.09.02——确定安全约束和需考虑的问题
9.3PB.09.03——识别安全解决问题
9.4PB.09.04——分析工程可选方案的安全性
9.5PB.09.05——提供安全工程指南
9.6PB.09.06——提供运行工程指南
10.PA10——确定安全需求,要求达到“简单应用”层次。
10.1PB.10.01——获得对用户安全需求的理解
10.2PB.10.02——识别可用的法律、策略和约束
10.3PB.10.03——识别系统用途以确定其安全关联性
10.4PB.10.04——捕捉系统运行的安全视图
10.5PB.10.05——捕捉安全的高层视图
10.6PB.10.06——定义安全相关需求
10.7PB.10.07——达成关于安全的协议
11.PA11——验证和证实安全,要求达到“简单应用”层次。
11.1PB.11.01——识别验证和证实的目标
11.2PB.11.02——定义验证和证实方法
11.3PB.11.03——验证执行
11.4PB.11.04——执行证实
11.5PB.11.05——提供验证和证实的结果
第7章工程项目及组织的基本实施
(一)课程内容
第1节一般性安全考虑
第2节PA12——保证质量
第3节PA13——管理配置
第4节PA14——管理项目风险
第5节PA15——监测和控制技术工程
第6节PA16——规划技术工程项目
第7节PA17——定义组织的系统工程过程
第8节PA18——改进组织的系统工程过程
第9节PA19——管理产品线的演变
第10节PA20——管理系统工程支持环境
第11节PA21——提供不断更新的技能和知识
第12节PA22——与供应商的协调
(二)学习目的与要求
本章概要描述“安全性考虑”部分,它指出在安全工程上下文里应用于过程区的一些考虑。
此部分与第6章中相应的SSE-CMM过程区相关联。
(三)考核知识点与考核要求
1.一般性安全考虑,要求达到“识记”层次。
2.PA12——保证质量,要求达到“简单应用”层次。
2.1PB.12.01——监控已定义过程的一致性
2.2PB.12.02——测试工作产品的质量
2.3PB.12.03——测试系统工程过程的质量
2.4PB.12.04——分析质量测试方法
2.5PB.12.05——得到员工的参与
2.6PB.12.06——启动质量改善活动
2.7PB.12.07——探测进行矫正活动的需求
3.PA13——管理配置,要求达到“简单应用”层次。
3.1PB.13.01——建立配置管理方法
3.2PB.13.02——识别配置单元
3.3PB.13.03——维护工作产品基线的知识库
3.4PB.13.04——控制更改
3.5PB.13.05——通知配置状态信息
4.PA14——管理项目风险,要求达到“简单应用”层次。
4.1PB.14.01——开发风险管理计划
4.2PB.14.02——识别项目风险
4.3PB.14.03——评估风险
4.4PB.14.04——审核项目风险评估
4.5PB.14.05——执行风险缓解
4.6PB.14.06——跟踪风险缓解活动
5.PA15——监测和控制技术工程项目,要求达到“简单应用”层次。
5.1PB.15.01——指导技术工作项目
5.2PB.15.02——跟踪项目资源
5.3PB.15.03——跟踪技术参数
5.4PB.15.04——审核项目执行情况
5.5PB.15.05——分析项目的问题
5.6PB.15.06——采取矫正行动
6.PA16——规划技术工程项目,要求达到“简单应用”层次。
6.1PB.16.01——识别关键性资源
6.2PB.16.02——估算项目范围
6.3PB.16.03——估算项目成本
6.4PB.16.04——确定项目采用的技术过程
6.5PB.16.05——识别技术活动
6.6PB.16.06——定义项目的接口
6.7PB.16.07——开发项目进度表
6.8PB.16.08——建立技术参数
6.9PB.16.09——开发技术性管理计划
6.10PB.16.10——审核和批准项目计划
7.PA17——定义组织的系统工程过程,要求达到“简单应用”层次。
7.1PB.17.01——建立过程目标
7.2PB.17.02——收集过程资产
7.3PB.17.03——开发组织的系统工程过程
7.4PB.17.01——定义裁剪的指南
8.PA18——改进组织的系统工程过程,要求达到“简单应用”层次。
8.1PB.18.01——评估过程
8.2PB.18.02——规划过程改进
8.3PB.18.03——改变标准过程
8.4PB.18.04——交流过程改进
9.PA19——管理产品线的演变,要求达到“简单应用”层次。
9.1PB.19.01——定义产品演变
9.2PB.19.02——识别新产品技术
9.3PB.19.03——修改开发过程
9.4PB.19.04——确保关键性部件的可用性
9.5PB.19.05——引入产品新技术
10.PA20——管理系统工程支持环境,要求达到“简单应用”层次。
10.1PB.20.01——维护技术性理解
10.2PB.20.02——确定支持需求
10.3PB.20.03——获得系统工程支持环境
10.4PB.20.04——裁剪系统工程支持环境
10.5PB.20.05——引入新技术
10.6PB.20.06——维护环境
10.7PB.20.07——监控系统工程支持环境
11.PA21——提供不断更新的技能和知识,要求达到“简单应用”层次。
11.1PB.21.01——识别培训需求
11.2PB.21.02——评估和选择获取知识或技能的模式
11.3PB.21.03——确保知识和技能的可用性
11.4PB.21.04——准备培训资料
11.5PB.21.05——评估培训的有效性
11.6PB.21.06——维护培训记录
11.7PB.21.07——维护培训资料
12.PA22——与供应商的协调,要求达到“简单应用”层次。
12.1PB.22.01——识别系统组件或服务
12.2PB.22.02——识别组件供应商或销售商
12.3PB.22.03——挑选供应商或销售商
12.4PB.22.04——提供预期值
12.5PB.22.05——维持与供应商的交流沟通
第3篇系统安全工程能力评估
第8章系统安全工程能力评估
(一)课程内容
第1节安全评估阶段
第2节结果
第3节评估参与者的角色和说明
第4节评估类型
(二)学习目的与要求
本章概要描述系统安全工程能力成熟度模型评估方法(SSAM,SSE-CMMAppraisalMethod),介绍指导评估所需要的基本知识。
SSAM包括指导评估SSE-CMM定义组织机构的系统安全工程过程能力成熟程度所需要的信息和说明。
(三)考核知识点与考核要求
1.安全评估阶段,要求达到“识记”层次。
2.结果,要求达到“理解”层次。
3.评估参与者的角色和说明,要求达到“综合应用”层次。
3.1发起者组织
3.2评估者组织
3.3被评组织
3.4人力需求
4.评估类型,要求达到“简单应用”层次。
4.1为获取而评估
4.2为自身改善而评估
第9章系统安全评估的阶段
(一)课程内容
第1节规划
第2节准备阶段
第3节现场
第4节报告阶段
(二)学习目的与要求
本章概要描述安全评估包含四个阶段,每个阶段由多个步骤组成,而且必须在下一阶段开始之前实行。
本章详细描述了每一个阶段及其步骤,包括目的、主要参与者、持续时间、可剪裁的参数及工作结束准则。
(三)考核知识点与考核要求
1.规划,要求达到“识记”层次。
1.1范围评估
1.2收集初步证据
1.3规划评估
2.准备阶段,要求达到“简单应用”层次。
2.1准备评估小组
2.2分发调查表
2.3合并证据
2.4分析证据/调查表
3.现场,要求达到“综合应用”层次。
3.1召开行政会
3.2召开开幕式
3.3采访工程主管
3.4合并并解释来自工程主管的数据
3.5采访专业人员
3.6合并来自专业人员的数据
3.7分析数据跟踪表单
3.8开发初步调查结果
3.9后续询问表和采访
3.10开发评分轮廓
3.11产生最终调查结果
3.12管理评估记录
3.13产生总结报告
4.报告阶段,要求达到“简单应用”层次。
4.1产生最终报告
4.2向发起者报告评估成果
4.3管理评估实物
4.4报告经验教训
第10章评估者组织指南
(一)课程内容
第1节规划阶段指南
第2节准备阶段指南
第3节现场阶段指南
第4节报告阶段指南
(二)学习目的与要求
本章概要描述实施第三方评估的组织机构提供指南。
清楚知道在自我评估和第三方评估之间存在着许多差异。
提供第三方评估的组织机构必须非常清醒地认识到发起者的法律和组织机构方面的问题,以便使他们不危及评估过程。
(三)考核知识点与考核要求
1.规划阶段指南,要求达到“识记”层次。
1.1定义评估范围
1.2规划评估细节
1.3选择评估小组成员
2.准备阶段指南,要求达到读者居“简单应用”层次。
2.1选择适当的调查表的收件人
2.2分析调查表
2.3探讨性问题
2.4证据类型
2.5收集证据
2.6分析证据
2.7处理证据
3.现场阶段指南,要求达到“综合应用”层次。
3.1召开行政会
3.2管理评估记录
3.3召开综合报告会
3.4产生评分轮廓
3.5评分表示形式
3.6开发调查结果
4.报告阶段指南,要求达到“理解”层次。
4.1评估报告
4.2管理证据
升级会员 