3《信息系统安全测评》课程大纲Word文件下载.docx

1、掌握信息安全相关的标准、法律法规、政策和道德规范等通用基础知识。三、教学内容及要求第一周：课程导入和信息安全保障基础知识（一）教学目标 学生了解本课程的学习内容和教学安排，并掌握模块一：信息安全保障部分的学习内容。（二）教学内容及要求 知识域知识点模块一、知识域：信息安全保障1.1知识子域：信息安全保障基础1.1.1 信息安全概念了解理解国际标准化组织、美国、欧盟等对信息安全的定义；理解信息安全问题的根内因和外因；理解信息安全定义及信息安全问题狭义、广义两层概念及区别；理解信息安全是系统的安全、动态的安全、无边界的安全、非传统的安全等了解威胁情报、态势感知的基本概念及对信息安全的作用。1.1.

2、2 信息安全属性理解信息安全属性的概念及 CIA 三元组（保密性、完整性、可用性）的概念；了解真实性、不可否认性、可问责、可控性等其他不可缺少的信息安全属性 概念。1.1.3 信息安全视角了解国家视角对信息安全关注点（网络战、关键基础设施保护、法律建设与 标准化）相关概念；了解企业视角对信息安全关注点（业务连续性管理、资产保护、合规性）相 关概念；了解个人视角对信息安全关注点（隐私保护、个人资产保护、社会工程学）相关概念。1.1.4 信息安全发展阶段了解通信安全阶段的核心安全需求、主要技术措施；了解计算机安全阶段信息安全需求、主要技术措施及阶段的标志；了解信息系统安全阶段的安全需求、主要技术措

3、施及阶段的标志；了解信息安全保障阶段与系统安全阶段的区别，信息安全保障的概念及我国信息安全保障工作的总体要求、主要原则；了解网络空间的概念，理解网络空间安全的重要性。1.1.5 信息安全保障新领域了解工业控制系统中 SCADA、DCS、PLC 等基本概念，理解工业控制系统 的重要性，面临的安全威胁及安全防护的基本思路；了解云计算所面临的安全风险及云计算安全框架；了解虚拟化安全的基本概念；了解物联网基本概念、技术架构及相应的安全问题；了解大数据的概念，大数据应用及大数据平台安全的基本概念；了解移动互联网面临的安全问题及安全策略；了解智慧的世界的概念。（三）教学重点与难点本节重点：信息安全概念、信

4、息安全属性、信息安全视角、信息安全发展阶段、信息安全保障新领域。本节难点：信息安全属性、信息安全视角、信息安全保障新领域。（四）教学方法与手段课堂讲授、课堂讨论、习题练习。（五）教学时数 4学时。第二周：安全保障框架模型（一）教学目标学生学习安全保障框架模型，掌握基于时间的PDR与PPDR模型、信息安全保障技术框架、信息系统安全保障评估框架、常见的企业安全架构。（二）教学内容1.2知识子域：1.2.1基于时间的 PDR 与 PPDR 模型理解基于时间的 PDR、PPDR 模型的核心思想及出发点；理解 PPDR 模型与 PDR 模型的本质区别；了解基于时间的判断系统安全性的方式。1.2.2信息安

5、全保障技术框架理解信息安全保障技术框架（IATF）的深度防御的核心思想、三个核心要素 及四个焦点领域；了解保护区域边界的原则和技术实现方式；了解保护计算环境的原则和技术实现方式；了解保护网络基础设施的原则和技术实现方式；了解支撑性基础设施建设的概念及技术实现。1.2.3信息系统安全保障评估框架理解信息系统保障相关概念及信息安全保障的核心目标；了解信息系统保障评估的相关概念和关系；理解信息系统安全保障评估模型主要特点，生命周期、保障要素等概念。1.2.4企业安全架构了解企业安全架构的概念；了解舍伍德的商业应用安全架构模型构成及；了解舍伍德的商业架构模型生命周期。基于时间的PDR与PPDR模型、信

6、息安全保障技术框架、信息系统安全保障评估框架、常见的企业安全架构。基于时间的PDR与PPDR模型、信息系统安全保障评估框架。课堂讲授、提问研讨、课堂练习、作业点评。第三周：网络安全法律体系建设学生掌握网络攻击的常见步骤，掌握攻击者准备和实施攻击的过程，具备洞察网络攻击的能力，提高抵御攻击的能力。模块二、知识域：网络安全监管2.1 知识子域：网络安全法律体系建设2.1.1 计算机犯罪了解计算机犯罪的概念、特征及计算机犯罪的发展趋势；2.1.2 我国立法体系了解我国多级立法机制及相关职能；了解立法分类（法律、行政法规及地方性法规）；2.1.3 网络安全法理解网络安全法出台背景；了解网络安全法中定义

7、的网络、网络安全等基本概念及网络空间主权原则；理解网络运行安全制度、关键基础设施保护制度、等级保护制度、网络安全、审查制度的相关要求；2.1.4 网络安全相关法规建设了解行政违法相关概念及相关行政处罚；了解刑事责任、常见网络安全犯罪及量刑等概念；了解民事违法相关概念及违法民事处罚；了解国家安全法、保密法、电子签名法、反恐怖主义法、密码法中网络安全相关条款。计算机犯罪、我国立法体系、网络安全法、网络安全相关法规建设。我国立法体系、网络安全法。课堂讲授、实验实践、案例教学、提问研讨、课堂练习、作业点评。（五）教学时数：4学时第四周：网络安全国家政策、道德准则与安全标准本节课通过讲解网络安全国家政策

8、、道德准则、安全标准，构建学生对国家政策的把握能力，培养学生坚守道德准则的意识，掌握网络安全的标准。2.2 知识子域：网络安全国家政策2.2.1 国家网络空间安全战略了解国家网络空间安全战略中总结的七种新机遇、六大严峻挑战及网络空间 “和平、安全、开放、合作、有序”的发展战略目标；了解国家网络空间战略提出的四项基本原则和九大任务；2.2.2 国家网络安全等保政策了解我国网络安全等级保护相关政策。2.3 知识子域：网络安全道德准则2.3.1 道德约束了解道德的概念、道德与法律的差异；理解道德约束相关概念。2.3.2 职业道德准则理解信息安全从业人员遵守职业道德的重要性；了解目前国际团体和组织制作

9、的职业道德规范文件；理解CISP 职业道德准则的要求；2.4 知识子域：信息安全标准2.4.1 信息安全标准基础了解标准的基本概念及标准的作用、标准化的特点及原则等；了解国际信息安全标准化组织和我国信息安全标准化组织；了解我国标准分类及信息安全标准体系。2.4.2 我国信息安全标准了解我国信息安全标准体系分类及基础标准、技术与机制、管理与服务标准、测评标准构成；2.4.3 等级保护标准族了解网络安全等级保护标准体系；掌握等级保护实施流程中定级、备案的工作要求并了解等级保护整改、测评相关要求；了解等级保护 2.0 的相关变化。网络安全国家政策、道德准则与安全标准。道德准则与安全标准。课堂讲授、实

10、验实践、案例教学、演示视频、提问研讨、课堂练习、作业点评。第五周：信息安全管理与风险管理学生掌握信息安全管理的基础概念和作用，掌握信息安全风险管理的概念和模型以及实施过程。模块三、知识域：信息安全管理3.1 知识子域：信息安全管理基础3.1.1 基本概念了解信息、信息安全管理、信息安全管理体系等基本概念。3.1.2 信息安全管理的作用理解信息安全管理的作用，对组织内部和组织外部的价值。3.2 知识子域：信息安全风险管理3.2.1 风险管理基本概念了解信息安全风险、风险管理的概念；理解信息安全风险管理的作用和价值；理解风险管理中各要素的关系。3.2.2 常见风险管理模型了解 COSO 报告、IS

11、O31000、COBIT 等风险管理模型的作用。3.2.3 安全风险管理基本过程掌握风险管理中背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询等步骤的工作内容。信息安全管理、风险管理。课堂讲授、实验实践、案例视频、提问研讨、课堂练习、作业点评。（五）教学时数 4学时第六周：信息安全管理体系建设、最佳实践和度量学生掌握计算机病毒的原理，具备甄别和查杀病毒的能力，通过行为分析和程序分析，界定病毒、木马和蠕虫的区别。3.3 知识子域：信息安全管理体系建设3.3.1 信息安全管理体系成功因素理解信息安全管理体系成功因素。3.3.2 PDCA 过程理解 PDCA 过程方法及 27001 中定义

12、的 PDCA 过程方法四个阶段工作内容。3.3.3 信息安全管理体系建设过程掌握规划与建立阶段组织背景、领导力、计划、支持等主要工作的内容；理解实施与运行、监视和评审、维护和改进阶段工作内容。3.3.4 文档化理解文档化的重要性并了解文件体系及文件控制的方式。3.4 知识子域：信息安全管理体系最佳实践3.4.1 信息安全管理体系控制类型了解预防性、检测性、纠正性控制措施的差别及应用。3.4.2 信息安全管理体系控制措施结构了解 ISO 27002 要求的 14 个控制章节。3.4.3 信息安全管理体系控制措施了解安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、

13、操作安全、通信安全、安全采购开发和维护、供应商关系、 安全事件管理、业务连续性管理及合规性的控制目标和控制措施。3.5 知识子域：信息安全管理体系度量3.5.1 基本概念了解 ISMS 测量的基本概念、方法选择、作用；了解 27004 定义的测量模型。3.5.2 测量要求与实现了解测量实现的工作内容。信息安全管理体系建设过程、最佳实践和度量。信息安全管理体系建设过程和度量。课堂讲授、实验实践、课堂讨论、案例探讨、课堂练习、作业点评。（五）教学时数 4学时第七周：业务连续性管理、信息安全应急响应、灾难备份与恢复学生掌握业务连续性相关的知识，包括：业务连续性管理、信息安全应急响应、灾难备份与恢复等

14、内容，明确该知识域的要点和设立目的。模块四、知识域：业务连续性4.1 知识子域：业务连续性管理4.1.1 业务连续性管理基础了解业务连续性 BC、业务连续性管理BCM的概念；理解 BCM 对组织机构的重要性；了解 BCM 生命周期六个阶段的工作内容。4.1.2 业务连续性计划了解业务连续性计划的概念及制定 BCP 的四个步骤；理解组织管理在 BCP 过程中的重要性及 BCP 组织管理中的四个要素；理解业务影响分析在 BCP 过程中的作用；了解业务影响分析中确定业务优先级、风险分析及资产优先级划分的各项工作内容；了解 BCP 制定和批准实施工作的内容；掌握 BCP 制定中风险降低、风险转移、风险

15、规避和风险接受四种风险处置方式的应用；了解 BCP 文档化的作用及文档应包括的内容及 BCP 的批准、实施、评估及维护等相关概念。4.2 知识子域：信息安全应急响应4.2.1 信息安全事件与应急响应了解信息安全事件的概念及应急响应在信息安全保障工作中的重要性；了解我国信息安全事件的分类分级标准；了解国际及我国信息安全应急响应组织；了解应急响应组织架构。4.2.2 网络安全应急响应预案了解网络安全应急响应预案的概念及作用；理解应急响应演练的作用、分类、方式及流程。4.2.3 计算机取证及保全了解计算机取证的概念及取证的过程；理解计算机取证过程中准备、保护、提取、分析和提交五个步骤的工作内容。4.

16、2.4 信息安全应急响应管理过程了解应急响应管理中准备、检测、遏制、根除、恢复和跟踪总结六个阶段工 作的内容和目标。4.3 知识子域：灾难备份与恢复4.3.1 灾难备份与恢复基础了解灾难备份、灾难恢复计划的概念及作用；理解 RTO、RPO 等灾备的关键指标；了解国家灾备相关政策与标准；了解灾难恢复组织结构。4.3.2 灾难恢复相关技术了解 DAS、SAN、NAS 存储技术的概念及应用区别；了解全备份、增量备份、差分备份等备份方式的区别；了解常用的备份介质；理解磁盘冗余阵列 RAID-0、RAID-1、RAID-5 等配置的差别；了解冷站、温站、热站等概念。4.3.3 灾难恢复策略了解国际标准

17、SHARE78 对灾难备份的能力划分的 06 级的区别；理解我国重要信息系统灾难恢复指南中划分的 6 个灾难恢复等级要求；了解企业常用的容灾策略中数据容灾、系统容灾、应用容灾的概念；了解确定灾难恢复能力级别的方法。4.3.4 灾难恢复管理过程了解灾难恢复管理规划的作用及工作过程；理解灾难恢复需求分析风险分析、业务影响分析和确定灾难恢复目标三个子 步骤的工作内容和目标；理解灾难恢复策略制定的原则和工作方法；了解灾难恢复策略实现的工作步骤和要求；了解灾难恢复预案的制定与管理工作内容及要求。业务连续性管理、信息安全应急响应、灾难备份与恢复。信息安全应急响应、灾难备份与恢复。 课堂讲授、实验实践、课堂

18、讨论、案例探讨、课堂练习、作业点评。第八周：系统安全工程和安全运营帮助学生掌握系统安全工程和运营的知识，获得安全运营系统的经验，重点掌握系统安全工程能力成熟度模型，SSE-CMM，安全运营管理的相关知识。五、知识域：安全工程与运营5.1 知识子域：系统安全工程5.1.1 系统安全工程基础理解系统安全工程的概念及系统安全工程的必要性。5.1.2 系统安全工程理论基础了解系统工程思想、项目管理方法、质量管理体系、能力成熟度模型等基础 理论；理解能力成熟度模型的基本思想及相关概念；5.1.3 系统安全工程能力成熟度模型了解系统安全工程能力成熟度模型基本概念；了解系统安全工程能力成熟度模型的体系结构及

19、域维、能力维相关概念；5.1.4 SSE-CMM 安全工程过程掌握风险过程包括的评估威胁、评估脆弱性、评估影响及评估安全风险这四 个过程区域及其基本实施；掌握工程过程包括的确定安全需求、提供安全输入、管理安全控制、监控安 全态势及协调安全五个过程区域及其基本实施；掌握保证过程中验证和证实安全及建立保证论据两个过程区域及其基本实 施。5.1.5 SSE-CMM 安全工程能力理解能力程度级别的概念；掌握 05 级不同成熟度级别的应具有的公共特征。5.2 知识子域：安全运营5.2.1 安全运营概念了解安全运营的概念；5.2.2 安全运营管理了解漏洞的概念及漏洞检测、漏洞评估等漏洞管理工作；了解补丁管

20、理的重要性及补丁管理工作步骤；了解变更管理的作用及工作步骤；了解配置管理的基本概念；了解事件管理的基本概念。系统安全工程能力成熟度模型、SSE-CMM、安全运营管理。系统安全工程能力成熟度模型、SSE-CMM。第九周：内容安全、社会工程学与培训教育学生掌握内容安全的概念和范畴，包括：数字版权、信息保护、网络舆情等方面内容。学生还将掌握社会工程学攻击的原理与防御措施，了解通过培训教育提高用户的信息安全意识的重要性。模块五、知识域：5.3 知识子域：内容安全5.3.1 内容安全基础了解内容安全的概念及重要性及内容安全管理的需求。5.3.2 数字版权了解著作权、版权的概念；了解数字版权管理相关概念及

21、技术；了解使用数据版权保护信息的措施。5.3.3 信息保护理解信息的价值；了解信息泄露的途径；了解隐私保护的概念和隐私保护措施。5.3.4 网络舆情了解网络舆情的概念；了解网络舆情管理措施及网络舆情监控技术。5.4 知识子域：社会工程学与培训教育5.4.1 社会工程学理解社会工程学攻击的概念及在信息安全中的重要性；了解社会工程学利用的 6 种“人类天性基本倾向”；理解社会工程学攻击方式及防御措施。5.4.2 培训教育了解“人”在信息安全体系中的作用；理解以建立持续化体系的方式实施信息安全培训的必要性； 内容安全的范围，社会工程学、信息安全教育培训。数字版权、信息保护、网络舆情。第十周：漏洞挖掘

22、技术学生能够理解安全评估的概念和标准，以及实施安全评估的方法与步骤，掌握信息系统审计的原则和方法，能够读懂审计报告，并会制定初级的审计报告。模块六、知识域：安全评估6.1 知识子域：安全评估基础6.1.1 安全评估概念了解安全评估的定义、价值、风险评估工作内容及安全评估工具类型；了解安全评估标准的发展；6.1.2 安全评估标准了解 TCSEC 基本目标和要求、分级等概念；了解 ITSEC 标准的适用范围、功能准则和评估准则的级别；了解 ISO 15408 标准的适用范围、作用和使用中的局限性；了解 GB/T 18336 结构、作用及评估的过程；理解评估对象（TOE）、保护轮廓（PP）、安全目标

23、（ST）、评估保证级（EAL）等关键概念；了解信息安全等级测评的作用和过程。6.2 知识子域：安全评估实施6.2.1 风险评估相关要素理解资产、威胁、脆弱性、安全风险、安全措施、残余风险等风险评估相关 要素及相互关系。6.2.2 风险评估途径与方法了解基线评估等风险评估途径及自评估、检查评估等风险评估方法并掌握定量分析中量化风险的方法。6.2.3 风险评估的基本过程了解风险评估基本过程；理解风险评估准备工作内容；掌握风险识别中资产的赋值方法；理解风险分析的方法；了解风险结果判定、风险处理计划、残余风险评估等阶段工作内容。6.3.4 风险评估文档了解风险评估文档化工作的重要性及对文档的相关要求；

24、6.3 知识子域：信息系统审计6.3.1 审计原则与方法了解信息系统审计职能、流程、内部控制及审计标准；6.3.2 审计技术控制了解脆弱性措施、渗透测试等审计技术控制措施；6.3.3 审计管理控制了解账户管理、备份验证等审计管理控制措施；6.2.4 审计报告了解信息系统审计报告标准 SAS70 和 SOC；安全评估标准；安全评估实施方法和步骤；信息系统审计原则和方法。安全评估标准、风险评估途径与方法、审计原则与方法。案例教学、实验实践、课堂讲授、教学视频、提问研讨、课堂练习。第十一周：密码学学生掌握密码学的概念，理解对称算法和非对称算法的区别，了解公钥密码算法和其他密码服务的作用，了解 PKI 的基本概念及 PKI 体系构成。模块七、知识域：信息安全支撑技术7.1 知识子域：7.1.1 基本概念了解密码学的发展阶段及保密通信模型、密码体系安全性及密码算法的分类等概念；理解密码学对于信息安全的支撑作用。7.1.2 对称密码算法理解对称密码算法的概念及算法特点；了解 DES、3DES、AES 等典型对称密码算法。7.1.3 公钥密码算法理解非对称密码算法（公钥算法）的概念及算法特点；了解 RSA、SM2 等典型非对称密码算法。7.1.4 其他密码服务理解哈希函数、消息认证码、数字签名等密码服务的作用。7.1.5 公钥基础设施了解 PKI 的基本概