CISP知识体系大纲20总结.docx
《CISP知识体系大纲20总结.docx》由会员分享,可在线阅读,更多相关《CISP知识体系大纲20总结.docx(37页珍藏版)》请在冰豆网上搜索。
CISP知识体系大纲20总结
注册信息安全专业人员(CISP)
知识体系大纲
版本:
2.0正式版
中国信息安全测评中心
目录
前言4
第1章注册信息安全专业人员(CISP)知识体系概述5
1.1CISP资质认定类别5
1.2大纲范围5
1.3CISP知识体系框架结构6
1.4CISP(CISE/CISO)考试试题结构8
第2章知识类:
信息安全保障概述10
2.1知识体:
信息安全保障基本知识10
2.1.1知识域:
信息安全保障背景10
2.1.2知识域:
信息安全保障原理11
2.1.3知识域:
典型信息系统安全模型与框架11
2.2知识体:
信息安全保障基本实践12
2.2.1知识域:
信息安全保障工作概况12
2.2.2知识域:
信息系统安全保障工作基本内容12
第3章知识类:
信息安全技术14
3.1知识体:
密码技术14
3.1.1知识域:
密码学基础15
3.1.2知识域:
密码学应用15
3.2知识体:
访问控制与审计监控16
3.2.1知识域:
访问控制模型17
3.2.2知识域:
访问控制技术17
3.2.3知识域:
审计和监控技术18
3.3知识体:
网络安全18
3.3.1知识域:
网络协议安全18
3.3.2知识域:
网络安全设备19
3.3.3知识域:
网络架构安全19
3.4知识体:
系统安全20
3.4.1知识域:
操作系统安全20
3.4.2知识域:
数据库安全21
3.5知识体:
应用安全22
3.5.1知识域:
网络服务安全22
3.5.2知识域:
个人用户安全23
3.5.3知识域:
恶意代码23
3.6知识体:
安全攻防24
3.6.1知识域:
信息安全漏洞24
3.6.2知识域:
安全攻防基础25
3.6.3知识域:
安全攻防实践25
3.7知识体:
软件安全开发26
3.7.1知识域:
软件安全开发概况26
3.7.2知识域:
软件安全开发的关键阶段26
第4章知识类:
信息安全管理28
4.1知识体:
信息安全管理体系28
4.1.1知识域:
信息安全管理基本概念28
4.1.2知识域:
信息安全管理体系建设29
4.2知识体:
信息安全风险管理30
4.2.1知识域:
风险管理工作内容30
4.2.2知识域:
信息安全风险评估实践31
4.3知识体:
安全管理措施32
4.3.1知识域:
基本安全管理措施32
4.3.2知识域:
重要安全管理过程34
第5章知识类:
信息安全工程36
5.1知识体:
信息安全工程原理36
5.1.1知识域:
安全工程理论背景36
5.1.2知识域:
安全工程能力成熟度模型37
5.2知识体:
信息安全工程实践38
5.2.1知识域:
安全工程实施实践38
5.2.2知识域:
信息安全工程监理39
第6章知识类:
信息安全标准法规40
6.1知识体:
信息安全法规与政策40
6.1.1知识域:
信息安全相关法律40
6.1.2知识域:
信息安全国家政策41
6.2知识体:
信息安全标准42
6.2.1知识域:
安全标准化概述42
6.2.2知识域:
信息安全评估标准42
6.2.3知识域:
信息安全管理标准43
6.2.4知识域:
等级保护标准43
6.3知识体:
道德规范44
6.3.1知识域:
信息安全从业人员道德规范44
6.3.2知识域:
通行道德规范45
前言
信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施,是国家安全的重要组成部分。
在信息系统安全保障工作中,人是最核心、也是最活跃的因素,人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。
注册信息安全专业人员(CISP)是对我国网络基础设施和重要信息系统的信息安全专业人员进行资质评定的重要形式。
多年来为落实我国有关政策“加快信息安全人才培养,增强全民信息安全意识”的指导精神,构建信息安全人才体系发挥了巨大作用。
本大纲从我国国情出发,结合我国网络基础设施和重要信息系统安全保障的实际需求,以知识体系的全面性和实用性为原则,明确规定了注册信息安全专业人员应当掌握的知识要点,是CISP教材编制,讲师授课,学员学习,以及考试命题的重要依据。
本大纲包含以下章节:
●第1章注册信息安全专业人员(CISP)知识体系概述
●第2章知识类:
信息安全保障概述
●第3章知识类:
信息安全技术
●第4章知识类:
信息安全管理
●第5章知识类:
信息安全工程
●第6章知识类:
信息安全标准法规
第1章注册信息安全专业人员(CISP)知识体系概述
1.1CISP资质认定类别
“注册信息安全专业人员”,英文为CertifiedInformationSecurityProfessional,简称CISP,系经中国信息安全测评中心认定的国家信息安全专业人员,具备保障信息系统安全的专业资质。
根据岗位工作需要,CISP分为两个基础类别:
●“注册信息安全工程师”,英文为CertifiedInformationSecurityEngineer,简称CISE。
证书持有人员主要从事信息安全技术领域的工作,具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力;
●“注册信息安全管理人员”,英文为CertifiedInformationSecurityOfficer,简称CISO。
证书持有人员主要从事信息安全管理领域的工作,具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。
“注册信息安全专业人员”在两个基础类别之上还有两个扩展类别:
●“注册信息安全专业人员-审计师”,简称CISP-AUDIT(原CISA)。
证书持有人主要从事信息安全审计工作,在全面掌握信息安全基本知识技能的基础上,具有较强的信息安全风险评估、安全检查实践能力。
●“注册信息安全专业人员-灾难恢复工程师”,简称CISP-DRP。
证书持有人主要从事信息系统灾难恢复工作,在全面掌握信息安全基本知识技能的基础上,具有较强的信息系统灾难恢复建设和管理的实践能力。
1.2大纲范围
本大纲涵盖了CISE和CISO两种CISP基础类别注册人员需要掌握的知识要点。
CISP-AUDIT注册人员需要在本文规定的知识要点基础上,更加深入地掌握有关信息系统审计和风险评估的知识,有关内容将在CISP-AUDIT专门的知识大纲中进行介绍,而不在本大纲范围内。
CISP-DRP注册人员需要在本文规定的知识要点基础上,更加深入地掌握有关信息系统灾难恢复工作的知识,有关内容将在CISP-DRP专门的知识大纲中进行介绍,而不在本大纲范围内。
1.3CISP知识体系框架结构
CISP知识体系使用组件模块化的结构,包括知识类、知识体、知识域和知识子域四个层次。
●知识类:
是对信息安全保障知识领域的总体划分,包含信息安全专业人员需要掌握的五大知识类别;
●知识体:
是知识类中由属于同一技术领域的知识内容构成的相对独立、成体系的知识集合;
●知识域:
是对知识体进一步分解细化形成的完整的知识组件;
●知识子域:
是构成知识域的基本模块,由一至多个具体知识要点构成。
本大纲规定了知识子域中每一个知识要点的内容和深度要求,分为“了解”、“理解”、和“掌握”三类。
●了解:
是最低深度要求,学员只需要正确认识该知识要点的基本概念和原理;
●理解:
是中等深度要求,学员需要在正确认识该知识要点的基本概念和原理的基础上,深入理解其内容,并可以进行进一步的判断和推理;
●掌握:
是最高深度要求,学员需要正确认识该知识要点的概念、原理,并在深入理解的基础上灵活运用。
图11描述了CISP知识体系的结构:
图11:
CISP知识体系的组件模块结构
在整个注册信息安全专业人员(CISP)的知识体系结构中,共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
CISP知识体系结构共包含五个知识类,分别为:
●信息安全保障概述:
介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。
●信息安全技术:
主要包括密码技术、访问控制、审计监控等安全技术机制,网络、系统软件和应用等层次的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。
●信息安全管理:
主要包括信息安全管理体系建设、信息安全风险管理、具体信息安全管理措施等同信息安全相关的管理知识和实践。
●信息安全工程:
主要包括同信息安全相关的工程知识和实践。
●信息安全标准法规:
主要包括信息安全相关的标准、法律法规和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。
图1-2描述了CISP知识体系结构
图12:
CISP知识体系结构框架
1.4CISP(CISE/CISO)考试试题结构
CISP考试题型均为单项选择题,共100题,每题1分,得到70分以上(含70分)为通过。
CISP两种基础类别“注册信息安全工程师”(CISE)和“注册信息安全管理人员”(CISO)的注册人员都需要学习和掌握CISP知识体系结构框架中的所有内容。
由于两种注册证书持有人的工作岗位和工作领域的不同,考试的侧重点有所区别,因此,所对应的试题比例不同。
表11中描述了CISE/CISO考试的各知识类的比例。
CISP资质类型
知识类别
CISE
CISO
信息安全保障概述
10%
10%
信息安全技术
50%
30%
信息安全管理
20%
40%
信息安全工程
10%
10%
信息安全标准和法律法规
10%
10%
表11:
CISP(CISE/CISO)试题结构
第2章知识类:
信息安全保障概述
信息安全保障体系概述介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。
通过本部分的学习,学员应当:
●理解信息安全保障的意义和内涵;
●掌握信息安全保障工作的总体思路和基本实践方法。
2.1知识体:
信息安全保障基本知识
图21:
知识体:
信息安全保障基本知识
2.1.1知识域:
信息安全保障背景
●知识子域:
信息技术发展阶段
◆了解电报/电话、计算机、网络等阶段信息技术发展概况
◆了解信息化和网络对个人、企事业单位和社会团体、经济发展、社会稳定、国家安全等方面的影响:
●知识子域:
信息安全发展阶段
◆了解通信保密、计算机安全和信息安全保障
◆了解各个阶段信息安全面临的主要威胁和防护措施
2.1.2知识域:
信息安全保障原理
●知识子域:
信息安全的内涵和外延
◆理解信息安全的特征与范畴
◆理解信息安全的地位和作用
◆理解信息安全、信息系统和系统业务使命之间的关系
●知识子域:
信息安全问题产生的根源
◆理解信息安全的内因:
信息系统的复杂性
◆理解信息安全的外因:
人为和环境的威胁
●知识子域:
信息安全保障体系
◆理解安全保障需要贯穿系统生命周期
◆理解保密性、可用性和完整性三个信息安全特征
◆理解策略和风险是安全保障的核心问题
◆理解技术、管理、工程过程和人员是基本保障要素
◆理解业务使命实现是信息安全保障的根本目的
2.1.3知识域:
典型信息系统安全模型与框架
●知识子域:
P2DR模型
◆理解P2DR模型的基本原理:
策略、防护、检测、响应
◆理解P2DR数学公式所表达的安全目标
●知识子域:
信息保障技术框架
◆理解IATF深度防御思想
◆理解IATF对信息技术系统四个方面的安全需求划分及基本实现方法:
本地计算环境、区域边界、网络及基础设施、支撑性基础设施
2.2知识体:
信息安全保障基本实践
图22:
知识体:
信息安全保障基本实践
2.2.1知识域:
信息安全保障工作概况
●知识子域:
国外信息安全保障情况
◆了解发达国家信息安全状况和信息安全保障的主要举措
◆了解发达国家信息安全保障建设动态
●知识子域:
我国信息安全保障工作总体情况
◆了解我国信息安全保障工作发展阶段
◆理解国家信息安全保障基本原则
◆了解国家信息安全保障建设主要内容
2.2.2知识域:
信息系统安全保障工作基本内容
●知识子域:
确定安全需求
◆理解确定信息系统安全保障需求的作用
◆理解确定信息系统安全保障需求的方法和原则
●知识子域:
设计和实施信息安全方案
◆理解信息安全方案的作用和主要内容
◆理解制定信息安全方案的主要原则
◆理解信息安全方案实施的主要原则
●知识子域:
信息安全测评
◆了解信息安全测评的重要性
◆了解国内外信息安全测评概况
◆理解信息安全产品测评方法和流程
◆理解信息系统安全测评方法和流程
◆了解服务商资质测评方法和流程
◆了解信息安全人员资质测评方法和流程
●知识子域:
信息安全监控与维护
◆理解在系统生命周期中持续提高信息系统安全保障能力的意义
◆理解信息系统安全监控与维护的主要原则
第3章知识类:
信息安全技术
信息安全技术是注册信息安全专业人员需要掌握的主体知识内容之一。
通过本部分的学习,学员应当:
●掌握密码技术、访问控制技术、审计技术等信息安全保障技术的原理和基本实现方法
●掌握计算机网络、系统软件、应用软件信息安全防护的基本知识和实践技能
●掌握信息安全攻防的基本知识和实践技能
●理解软件安全开发的基本方法
3.1知识体:
密码技术
图31:
知识体:
密码技术
3.1.1知识域:
密码学基础
●知识子域:
密码学基础概念
◆理解密码编码学和密码分析学的概念
◆了解科克霍夫原则和影响密码系统的安全性的基本因素:
复杂程度、密钥机密性、密钥长度、初始化向量
◆了解密码的基本类型:
换位(置换)密码、替代(代换)密码、流密码、分组密码的概念
◆了解密码破解的典型方式:
唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击、旁路攻击、重放攻击、统计式攻击等
◆掌握密码体制的分类
◆了解密钥管理的概念,包括密钥管理体制、密钥交换协议和密钥的产生、分配、更换和注销等。
●知识子域:
对称密码算法
◆理解对称加密算法的优缺点
◆了解DES、AES、IDEA三种典型对称加密算法的工作原理
●知识子域:
非对称密码算法
◆理解非对称密码算法的功能和优缺点
◆理解掌握RSA公钥密码体制:
RSA的算法描述、RSA的实现、RSA的安全性、RSA在应用中的问题
◆了解其他非对称密码算法的特点:
Diffie–Hellman、ELGamal、DSA、ECC等
●知识子域:
哈希函数
◆理解哈希(Hash)函数的作用
◆了解MD5算法、SHA-1算法的工作原理
◆理解消息鉴别码、数字签名的原理和应用
3.1.2知识域:
密码学应用
●知识子域:
VPN技术
◆理解VPN以及隧道技术、加解密技术、密钥管理技术及身份鉴别技术的作用
◆掌握IPSec的组成和工作原理
◆掌握SSL的组成和工作原理
●知识子域:
PKI/CA系统
◆理解PKI/CA的原理和作用
◆掌握PKI/CA的体系结构和各部分的作用
◆了解PKI/CA的典型应用
◆掌握PKI/CA的工作流程
●知识子域:
其他密码学应用
◆了解PGP的工作原理和作用
3.2知识体:
访问控制与审计监控
图32:
知识体:
访问控制与审计监控
3.2.1知识域:
访问控制模型
●知识子域:
访问控制基本概念
◆理解标识、鉴别和授权等访问控制的基本概念
◆理解各种安全模型的分类
●知识子域:
自主访问控制模型
◆理解自主访问控制的含义
◆了解访问矩阵模型,理解和分析应用访问矩阵模型的实现(访问控制列表、权能列表)
◆理解自主访问控制模型的特点和优势
●知识子域:
强制访问控制模型
◆理解强制访问控制的分类和含义
◆了解典型强制访问控制模型:
Bell-Lapudula模型、Biba模型、ChineseWall模型和Clark-Wilson模型
●知识子域:
基于角色访问控制模型
◆理解基于角色的访问控制模型(RBAC)的特点和优势
3.2.2知识域:
访问控制技术
●知识子域:
标识和鉴别技术
◆理解账号和口令管理的基本原则
◆了解生物识别技术及其实现(虹膜、指纹、掌纹等)
◆了解其他鉴别技术(令牌、票据等)
◆了解单点登录技术(SSO)及其实现(Kerberos等)
●知识子域:
典型访问控制方法和实现
◆理解集中访问控制的基本概念及其实现(RADIUS、TACACS、TACACS+和Diameter等)
◆理解非集中访问控制的基本概念及其实现(域等)
3.2.3知识域:
审计和监控技术
●知识子域:
信息安全审计
◆了解安全审计的基本概念
◆理解安全审计的作用和目标
◆了解审计系统的组成结构
●知识子域:
安全监控
◆了解常用安全监控技术如蜜网、舆情分析等;
◆了解内容审计系统模型以及网络不良信息内容监控方法
3.3知识体:
网络安全
图33:
知识体:
网络安全
3.3.1知识域:
网络协议安全
●知识子域:
TCP/IP协议安全
◆理解开放互联系统模型ISO/OSI七层协议模型
◆理解TCP/IP协议体系结构和工作原理及其安全特性,了解IPV6的安全优势
●知识子域:
无线网络安全
◆了解802.11无线网络安全特性
◆了解WAPI无线网络协议原理及其安全特性
●知识子域:
移动通信网络安全
◆了解3G网络基本概念及安全特性
3.3.2知识域:
网络安全设备
●知识子域:
防火墙技术
◆理解防火墙的作用
◆理解包过滤技术、状态检测技术和应用代理技术的原理和优缺点
◆掌握防火墙选择和使用中的基本注意事项
●知识子域:
入侵检测技术
◆理解入侵检测基本概念和工作原理
◆理解入侵检测的分类
◆掌握入侵检测系统选择和使用中的基本注意事项
●知识子域:
其它网络安全技术
◆了解安全隔离与信息交换系统(网闸)、入侵防御系统(IPS)、安全管理平台(SOC)、统一威胁管理系统(UTM)、网络准入控制(NAC)等常见网络安全技术产品的概念和作用
3.3.3知识域:
网络架构安全
●知识子域:
网络架构安全基础
◆理解网络设计模型与安全域规划
◆理解网络边界防护的作用和意义
◆理解网络冗余等安全措施的意义
●知识子域:
网络安全规划实践
◆掌握IP地址规划、VLAN划分的基本安全原则
◆掌握网络设备安全配置(交换机、路由器、无线局域网)的基本原则
◆掌握网络安全设备部署和配置的基本原则
3.4知识体:
系统安全
图34:
知识体:
系统安全
3.4.1知识域:
操作系统安全
●知识子域:
操作系统基础
◆了解操作系统体系架构和基本概念(进程、文件、对象、用户接口、系统调用);
◆了解操作系统基本实现机制(CPU模式与保护环、进程隔离、进程调度)
●知识子域:
Unix/Linux安全实践
◆了解unix/linux系统架构和关键系统组件;
◆理解系统服务和系统进程;
◆理解unix/linux系统启动过程
◆理解unix/Linux系统安全实现,包括文件系统安全、身份认证与验证授权、账号安全、日志与审计等
●知识子域:
Windows安全实践
◆了解Windows系统架构和关键系统组件;
◆理解系统服务和系统进程;
◆理解Windows系统启动过程
◆理解Windows系统安全实现,包括文件系统安全、身份认证与验证授权、账号安全、日志与审计等
●知识子域:
可信计算技术
◆了解可信计算技术的产生及发展
◆了解我国可信计算技术,及其与TCG可信计算技术的区别
3.4.2知识域:
数据库安全
●知识子域:
数据库安全基础
◆了解数据库及结构化查询语言SQL基本概念
◆理解数据库安全概念
◆理解数据库安全功能
◆理解数据库“视图”对于数据保密性的作用
◆理解“规则与默认”和“事务管理”对于数据完整性的作用
●知识子域:
数据库管理系统安全管理
◆理解数据库威胁与防护
◆掌握数据库安全特性检查
◆掌握数据库运行安全监控
◆了解数据库管理系统产品安全
◆理解数据库管理系统安全要求
3.5知识体:
应用安全
图35:
知识体:
应用安全
3.5.1知识域:
网络服务安全
●知识子域:
Web服务安全
◆了解Web工作机制及HTTP协议的安全缺陷
◆理解Web服务器常见安全漏洞和防范方法
◆掌握WindowsIIS与IE浏览器安全设置
●知识子域:
常用互联网服务安全
◆了解SMTP、POP等典型电子邮件协议的安全问题
◆理解电子邮件客户端和服务器的常见漏洞和防范方法
◆理解FTP的常见安全漏洞和防范方法
◆了解其他常用互联网服务如远程终端、telnet等安全问题及解决措施
3.5.2知识域:
个人终端安全
●知识子域:
常用软件安全
◆了解互联网浏览安全常识
◆了解常用即时通信软件常见安全漏洞和防范方法
◆了解常用办公软件(如MicosoftWord)安全功能的使用方法
●知识子域:
安全意识
◆了解数据安全保护基本知识
◆了解社会工程学基本知识
3.5.3知识域:
恶意代码
●知识子域:
恶意代码基本概念及原理
◆了解恶意代码的历史和发展趋势
◆理解常见恶意代码病毒、蠕虫、木马传播方式和危害的特点
◆了解恶意代码实现的关键技术(生存技术、隐蔽技术、攻击及植入技术等)
●知识子域:
恶意代码防御技术
◆掌握恶意代码预防的策略、意识、技术和工具
◆了解恶意代码发现和分析技术
◆了解恶意代码清除技术
3.6知识体:
安全攻防
图36:
知识体:
安全攻防
3.6.1知识域:
信息安全漏洞
●知识子域:
安全漏洞基础
◆理解漏洞的概念,分类分级
◆了解漏洞的危害、产生的原因
◆了解常用的漏洞库:
CNNVD、CVE等
●知识子域:
安全漏洞检测
◆了解基于源代码的漏洞检测方法与技术
◆了解基于二进制代码的漏洞检测方法与技术
3.6.2知识域:
安全攻防基础
●知识子域:
网络攻击基本概念及术语
◆了解网络攻击的基本知识
◆了解网络攻击的常用术语
●知识子域:
网络攻击基本流程
◆了解侦网络攻击的基本步骤
◆了解网络攻击各个阶段常用的攻击手段和工具
3.6.3知识域:
安全攻防实践
●知识子域:
攻击目标信息收集
◆了解目标系统网络地址、软件版本等信息获取方式
◆了解网络网络设备、系统软件、应用软件扫描攻击的常用工具
●知识子域:
密码破解原理与实例
◆了解密码破解技术原理和口令安全基本知识