蚂蚁彩票www.nama2015.com

58彩票www.oneshot04.com

旺旺彩票www.ooxx456.com

快赢彩票www.sgbingyou.com

凤凰彩票www.zgwscy360.com

吉利彩票www.tech414.com

万豪彩票www.vooily.com

新利彩票www.zyq2012.com

名门彩票www.hiyunte.com

123彩票www.hhrzsz.com

万喜彩票www.ronghaiyi.com

盛通彩票www.nznhco.com

永盛彩票www.m2volt.com

大通彩票www.bangfy.com

万家彩票www.ysh777.com

千禧彩票www.jntjzc.com

中福彩票www.qdxrtzc.com

万利彩票www.ynkyz.com

98彩票www.sixitz.com

博乐彩票www.alxqxxx.com

云鼎彩票www.njbjjd.com

永利彩票www.izaukb.com

趣彩彩票www.neusna.com

广发彩票www.yinxing02.com

葡京彩票www.ylyx1688.com

顺发彩票www.stampfle.com

鸿利彩票www.taotao5le.com

我赢彩票www.tctz558.com

大发彩票www.tlvip993.com

苹果彩票www.tuhao2015.com

欢乐彩票www.uvyyvc.com

盛兴彩票www.vwin356.com

智博彩票www.wdzc888.com

环球彩票www.hlwgtt.com

金彩彩票www.youtube4u.com

彩盈彩票www.yz-cheap.com

丰亿彩票www.zgnck.com

金沙彩票www.zjfwbank.com

金福彩票www.zlcemk.com

大运彩票www.zx3xrj.com

乐购彩票www.lpdzz.com

热购彩票www.qwknt.com

宏发彩票www.dkyky.com

八八彩票www.chwizd.com

凤凰彩票www.qgklri.com

易发彩票www.nrrnx.com

众彩彩票www.bdjlx.com

世纪彩票www.qxqpr.com

必发彩票www.lianjiat.com

创元彩票www.rmdhn.com

E乐彩票www.avgads.com

利来彩票www.cfmft.com

华夏彩票www.hcfgx.com

金砖彩票www.ookk77.com

大金彩票www.qdnpp.com

全迅彩票www.cskcbz.com

菠萝彩票www.qdfbn.com

通博彩票www.lpwln.com

盛世彩票www.lyqhx.com

鼎盛彩票www.fznzy.com

东方彩票www.mywnp.com

皇冠彩票www.zspnsh.com

港龙彩票www.dbrgj.com

幸运彩票www.nyhuigou.com

全民彩票www.689jp.com

状元彩票www.hn882.com

88彩票www.ynhaimao.com

天天彩票www.lehaha668.com

凤凰彩票www.weiguyuan.com

500万彩票www.usaviaton.com

E时彩www.urns4sale.com

J8彩票www.ggw74.com

GT彩票www.gyyhzb.com

中华彩票www.jncfgs.com

568彩票www.1-webinar.com

传奇彩票www.my2wave.com

杏彩彩票www.10tozero.com

金誉彩票www.dss91.com

众购彩票www.ddyyddyy.com

非凡彩票www.daverney.com

重慶彩票www.daff8881.com

双赢彩票www.jgcp99.com

盛源彩票www.jhh123.com

旺旺彩票www.bahid-inv.com

万喜彩票www.kenya2016.com

盛通彩票www.hexun888.com

首页 游戏 资讯 关注 科技 财经 汽车 房产 图片 视频

网络

旗下栏目: 教育 体育 网络 军事

信息安全工程师教程:信息系统安全体系

来源:网络整理 作者:东莞新闻网 人气: 发布时间:2018-06-01
摘要:信息系统安全体系(InformationSystemsSecurityArchitecture,ISSA),包括信息系统安全技术体系、安全管理体系、安全标准体系和安全法律法规,其基本框架如图7-10

推荐相关文章:

2018年信息安全工程师考试大纲信息安全工程师考试说明:信息安全工程师是指遵照信息安全管理体系和标准工作,防范黑客入侵并进行分析和防范,通过运用各种安全产品和技术,设置防火墙、防病毒

信息系统安全体系(Information Systems Security Architecture, ISSA) ,包括信息系统安全技术体系、安全管理体系、安全标准体系和安全法律法规,其基本框架如图7-10 所示。

信息安全工程师教程:信息系统安全体系


1.信息系统相关法律法规
首先是安全法律法规与政策。其中包括法律法规、组织结构、组织政策和业务需求等内容。解决系统安全第一步,要弄清楚系统可以提供什么样的服务,即业务需求。在设计安全系统之前,相关部门可对这个系统进行安全评估,安全评估的过程通常会比较关心以下问题:
①该系统提供什么样的服务?不同的服务会面临什么不同的风险?
②该服务给整个系统会带来什么样的风险?预计该服务所占总业务的比例是多少?如果系统因某些原因而瘫痪的话,整个实体单位正常业务将会受到多大的影响?
③系统的业务量是多少?每个交易的估值是多少?根据数据算出每天的风险量,来看是否能承担这个风险,即进行风险和价值的总体评估。如果不能承担,就会要求降低肉上的处理量,或者需要提高安全保护。
④有什么样的保护措施?措施效能如何?
系统设计者需要针对以上的问题做基本的业务风险分析,以确保系统自身的健康运作和客户对系统的要求得到满足。设计安全系统时,要确保客户的信心不被破坏,就要确定风险是什么,出现安全事故时候由谁承担责任等。当这些问题存在不确定性时,用户就很可能不敢使用系统服务。因此,保障用户信心是安全系统的核心问题,需要通过安全措施去控制风险,提高确定性来确保用户信心。因此,风险管理的办法就是减少系统管理的不确定性,就需要进行风险分析和评估,包括业务风险;然后,再进行控制风险、管理风险;最后,要确定责任。
可见,整套安全体系都归结于系统的设计可信问题。在设计之前要了解管理原则、管理目标,从管理角度来考虑安全目标和安全需求。用户的身份认证、用户指令的处理、执行都很重要。总之,根本目的就是在确保系统自身安全性的前提下,要保障用户对系统的信任,即系统与用户之间的双向互信。
就系统所面临的危险来说,信息系统面临来自各个方面的安全威胁,从角色来看,其来源有外部攻击者级、内部攻击者级、用户级、网络运营商级等,这就需要从技术、业务、管理等不同角度去考虑。因此,针对不同的威胁需要有不同的安全保护,还需要一系列有效的安全保护措施,即除了一般意义的安全技术外,还有标准条款、审计、保险等。
2. 信息系统安全技术体系
从技术角度而言,通用的安全技术体系包括以下的模块:
.信息系统硬件安全:密码机、密码加速一卡等:
操作系统安全:防病毒、访问控制、白名单等:
密码算法技术RSA、ECC 、AES 、3DES;
安全协议技术CCITI X.509 、IS09798 、TLS;
访问控制:RBAC 、ACL 等:
安全传输技术SSL、HTTPS 等;
应用程序安全SIMIME 、PKCS 等:
身份识别与权限管理技术:指纹、IC 卡、USBKey 等:
.入侵检测技术和防火墙技术等。
同时,对于不同的信息系统,根据其应用场景与业务的不同,会对一部分的安全技术更为关注,例如,在金融领域,身份识别和权限管理技术、访问控制等会较为得到重视。同时,不同的行业与客户也会由于自身规模、业务、安全风险、资金投入等不同情况,对不同技术进行相应的取舍。
3. 信息系统安全管理体系
信息系统的安全管理体系,主要包括以下内容:
.安全目标确定:
安全需求获取与分类:
.风险分析与评估:
风险管理与控制:
.安全计划制定:
安全策略与机制实现:
.安全措施实施。
信息系统的构建主要围绕系统的安全目标和风险管理进行。在系统的构建过程中,设计研发人员首先要考虑信息系统在安全方面需要满足哪些安全目标,然后再分析评估所面临的风险。值得一提的是,目前许多信息系统的安全目标通常会受监管组织的法律法规的影响,如《计算机信患系统安全等级划分准则》 (GB 17859-1999) ,因此可以依据这类国家或者行业的安全规范来进行相应的目标评定与风险评估。
4. 目前信息系统安全标准体系
目前我国现有的信息系统安全标准体系可分为基础类、应用类、产品类。其中基础类有《计算机信息系统安全保护等级划分准则》(GB 17859-1999) 、《信息系统安全等级保护基本要求》(GB/T 22239-2008); 应用类包括信息系统定级类: 《信息系统安全保护等级定级指南》 (GB/T 22240-2008) ,等级保护实施类: 《信息系统安全等级保护实施指南》(GB/T 25508-2010) ,信息系统安全建设类《信息系统适用安全技术要求》(GB/T 20271-2006) 、《信息系统等级保护安全设计技术要求》 (GB/T 25057-2010) 、《信息系统安全管理要求》(GB/T 20269-2006) 、《信息系统安全工程管理要求》 (GB/T20282-2006) 、《信息系统物理安全技术要》(GB/T 20270-2006) 等:产品类:操作系统类: 《操作系统安全技术要求》( GB/T20272-2006) 、《操作系统安全评估准则》(GB/T2008-2005) ,数据库类: 《数据库管理系统安全技术要求》(GB/T 20273-2006) 、《数据库管理系统安全评估准则》 (GB/T 20009-2005) ,网络类《网络端设备隔离部件技术要求》(GB/T 20279-2006) 、《网络端设备隔离部件测试评价方法》(GB/T 20277-2006) 、《网络脆弱性扫描产品技术要求》(GB/T 20278-2006) 、《网络脆弱性扫描产品测试评价方法》 ( GB/T 20280-2006) 等, PKI 类《PKI 系统安全等级保护技术要求》(GB/T21053-2007) ,服务器类《服务器安全技术要求》( GB/T 21028-2007) 等。
一般来说,规模较大的组织也会按照自身需要,,制定相关的信息系统安全标准。一般安全标准体系也包括基础安全标准、环境与平台标准、信息安全产品标准、信息安全管理标准、信息安全测评与认证标准等五类。
在以上的标准框架的基础上,开发人员在设计信息系统时,需要遵循相关的安全标准进行设计和规划。在系统构建方面,可以参考安全开发生命周期的方法,对整个系统开发的过程做出全富的安全考虑。

2018年信息安全工程师考试大纲

2018年信息安全工程师考试大纲

 

信息安全工程师: 

信息安全工程师是指遵照信息安全管理体系和标准工作,,防范黑客入侵并进行分析和防范,通过运用各种安全产品和技术,设置防火墙、防病毒、IDS、PKI、攻防技术等。进行安全制度建设与安全技术规划、日常维护管理、信息安全检查与审计系统帐号管理与系统日志检查等的人员。

通过本级考试的合格人员能根据应用部门的要求进行信息系统安全方案的规划、设计与实现;能进行安全设备的软硬件安装调试;能进行信息系统的安全运行、维护和管理;能高效、可靠、安全地管理信息资源;遵纪守法且具有良好的职业道德;具有工程师的实际工作能力和业务水平,能指导助理工程师从事安全系统的构建和管理工作。

点击下载:官方标准版《信息安全工程师》考试大纲.pdf

一、信息安全工程师考试说明
1.考试目标
通过本考试的合格人员能掌握信息安全的知识体系;能够根据应用单位的信息安全需求和信息基础设施结构,规划设计信息安全方案,并负责单位信息系统安全设施的运行维护和配置管理;能够对信息系统运行安全风险和信息设备的安全风险进行监测和分析,并处理一般的安全风险问题,对于重大安全风险问题能够提出整改建议;能够协助相关部门对单位的信息系统进行安全审计和安全事件调查;能够对信息系统和网络安全事件进行关联分析、应急处理,并撰写处理报告;具有工程师的实际工作能力和业务水平。
2.考试要求
(1)熟悉信息安全的基本知识;
(2)熟悉计算机网络、操作系统、数据库管理系统的基本知识;
(3)熟悉密码学的基本知识与应用技术;
(4)掌握计算机安全防护与检测技术;
(5)掌握网络安全防护与处理技术;
(6)熟悉数字水印在版权保护中的应用技术;
(7)了解信息安全相关的法律法规、管理规定;
(8)了解信息安全标准化知识;
(9)了解安全可靠的软硬件平台的基础知识、集成技术和基础应用;
(10)了解云计算、物联网、互联网、工业控制、大数据等领域的安全管理、安全技术集成及应用解决方案;
(11)熟练阅读和正确理解相关领域的英文资料。 
3. 本级考试设置的科目包括:
(1)信息安全基础知识,考试时间为150分钟,笔试,选择题;
(2)信息安全应用技术,考试时间为150分钟,笔试,问答题。


二、信息安全工程师考试范围
考试科目1:信息安全基础知识 

1.信息安全基本知识
  1.1 信息安全概念
* 了解网络空间的概念、网络空间安全学科的内涵、网络空间安全学科的主要研究方向与研究 内容
  1.2 信息安全法律法规
1.2.1 我国立法与司法现状
* 了解中华人民共和国国家安全法、保密法、网络安全法
* 熟悉中华人民共和国计算机信息系统安全保护条例
1.2.2 计算机和网络安全的法规规章
* 熟悉我国《刑法》对计算机犯罪的规定
* 熟悉我国网络与信息安全相关的法律责任
  1.3 信息安全管理基础
1.3.1 信息安全管理制度与政策
* 熟悉我国计算机信息系统等级保护制度
* 了解我国涉及国家秘密的信息系统分级保护制度
* 了解我国密码管理政策
* 了解我国信息安全产品管理政策
* 了解我国互联网信息服务管理政策
1.3.2 信息安全风险评估与管理
* 了解风险分析、评估和风险管理的基本知识
  1.4 信息安全标准化知识
1.4.1 熟悉信息安全技术标准的基本知识
1.4.2 了解标准化组织
1.4.3 信息安全系列标准
* 了解信息安全管理体系标准
* 了解信息安全技术与工程标准
  1.5 信息安全专业英语
* 阅读信息安全有关英文资料
* 掌握本领域的基本英语词汇
2.计算机网络基础知识
  2.1 计算机网络的体系结构
  2.2 Internet协议
2.2.1 网络层协议
* 掌握IP、ICMP、OSPF、RIP、ARP和IGMP 协议
* 熟悉 BGP协议
2.2.2 传输层协议
* 掌握TCP和UDP协议
  2.2.3 应用层协议
* 掌握DNS、SMTP、POP3、PGP、FTP、HTTP和DHCP协议
3.密码学
  3.1 密码学的基本概念
3.1.1 密码学定义
* 掌握密码的安全目标
3.1.2 密码体制
* 掌握密码技术的基本思想
* 掌握基本的密码体制
* 了解密码分析
3.1.3 古典密码
* 熟悉古典密码的主要编制方法
  3.2 分组密码
3.2.1 分组密码的概念
3.2.2 DES
* 熟悉DES和3DES密码算法
* 了解DES和3DES的应用
3.2.3 AES
* 熟悉AES密码算法
* 了解AES密码的应用
3.2.4 SM4
* 熟悉SM4密码算法
* 了解SM4密码的应用
3.2.5 分组密码工作模式
* 熟悉分组密码工作的ECB/CBC/CFB/OFB/CTR模式
  3.3 序列密码
3.3.1 序列密码的概念
3.3.2 线性移位寄存器序列
* 熟悉线性移位寄存器序列的概念
* 了解线性移位寄存器序列的应用
3.3.3 RC4
* 熟悉RC4密码算法
* 了解RC4密码的应用
3.3.4 ZUC
* 熟悉ZUC密码
* 了解ZUC密码的应用
  3.4 Hash函数
3.4.1 Hash函数的概念
* 掌握Hash函数的概念
* 熟悉Hash函数的应用
3.4.2 SHA算法
* 了解SHA算法系列
* 了解SHA算法的安全性
3.4.3 SM3算法
* 熟悉SM3算法
* 了解SM3算法的应用
3.4.4 HMAC
* 熟悉消息认证码的概念及应用
* 熟悉使用HMAC的消息认证码
* 熟悉基于SM3的HMAC
  3.5 公钥密码体制
3.5.1 公钥密码的概念
3.5.2 RSA密码
* 熟悉RSA密码算法
* 了解RSA密码的特点与应用
3.5.3 ElGamal密码
* 熟悉ElGamal密码算法
* 了解ElGamal密码的特点与应用
3.5.4 椭圆曲线密码
* 了解椭圆曲线的概念
* 了解椭圆曲线上的ElGamal密码体制
3.5.5 SM2椭圆曲线公钥加密算法
* 了解SM2椭圆曲线公钥加密算法、特点和应用
  3.6 数字签名
3.6.1 数字签名的概念
* 掌握数字签名的概念和应用
3.6.2 典型数字签名体制
* 熟悉RSA签名算法
* 熟悉ElGamal签名算法
* 了解椭圆曲线密码数字签名
3.6.3 SM2椭圆曲线数字签名算法
* 了解SM2椭圆曲线数字签名算法和应用
  3.7 认证
3.7.1 认证的概念
3.7.2 身份认证
* 熟悉口令和指纹识别
3.7.3 报文认证
* 熟悉报文源和报文宿的认证
* 熟悉报文内容的认证
  3.8 密钥管理
3.8.1 密钥管理的概念
3.8.2 对称密码的密钥管理
* 熟悉对称密钥的生成、分发和存储
3.8.3 非对称密码的密钥管理
* 熟悉非对称密钥的生成
* 熟悉公钥基础设施(PKI)
* 熟悉公钥证书
4.网络安全
  4.1 网络安全的基本概念
* 熟悉基本安全属性
* 了解网络安全事件
* 了解影响网络安全的因素
  4.2 网络安全威胁
4.2.1 威胁来源和种类
* 了解网络安全威胁的来源
* 了解网络安全的基本攻击面
* 熟悉网络监听
* 熟悉口令破解
* 熟悉网络钓鱼
* 熟悉网络欺骗
* 了解社会工程
* 熟悉漏洞攻击
* 熟悉恶意代码攻击(僵尸网络)
* 了解供应链攻击
4.2.2 网站安全威胁
* 熟悉SQL注入攻击
* 熟悉XSS
* 熟悉CSRF
* 熟悉目录遍历威胁
* 了解文件上传威胁
4.2.3 无线网络安全威胁
* 了解无线网络安全威胁的来源
* 熟悉无线网络安全的基本攻击面
  4.3 网络安全防御
4.3.1 网络安全防御原则
* 了解最小权限原则、纵深防御原则、防御多样性原则、防御整体性原则、安全性与代价平衡原则、网络资源的等级性原则等
4.3.2 基本防御技术
* 熟悉防火墙技术
* 熟悉入侵检测技术
* 熟悉VPN技术
* 熟悉网络容错技术
* 熟悉安全漏洞扫描技术
* 了解网络蜜罐技术
* 了解匿名网络
4.3.3 安全协议
* 熟悉IPSec协议、SSL协议、PGP协议、TLS协议、IEEE802.1x协议、RADIUS协议、Kerberos协议、X.509协议、S/MIME协议、SSH协议等
  4.4 无线网络安全
4.4.1 无线网络基本知识
* 了解无线广域网、无线城域网、无线局域网和无线个域网概念
* 了解无线传感器网络概念
* 了解无线网状网概念
4.4.2 无线网络安全威胁及分析
* 了解无线网络安全威胁
* 熟悉无线网络安全需求分析
* 熟悉无线网络安全方案设计策略
4.4.3 无线网络安全机制
* 熟悉无线公开密钥体系(WPKI)
* 熟悉有线等效保密协议(WEP)
* 熟悉Wi-Fi网络安全接入协议(WPA/WPA2)
* 熟悉无线局域网鉴别与保密体系(WAPI)
* 熟悉802.11i协议
* 了解移动通信系统安全机制
* 了解无线传感器网络安全机制
* 了解无线个域网安全机制
5.计算机安全
  5.1 计算机设备安全
5.1.1 计算机安全的定义
* 熟悉计算机安全的属性
* 了解可靠性度量方法
5.1.2 计算机系统安全模型与安全方法
* 熟悉系统安全的概念
* 熟悉系统安全策略的基本模型
* 了解系统安全的实现方法
5.1.3 电磁泄露和干扰
* 了解电磁泄露检测方法和安全防护
* 了解电磁泄露的处理方法
5.1.4 物理安全
* 了解场地安全、设备安全和介质安全
5.1.5 计算机的可靠性技术
* 熟悉容错的基本概念
* 了解硬件容错、软件容错和数据容错
  5.2 操作系统安全
5.2.1 操作系统安全基本知识
* 熟悉安全操作系统概念
* 熟悉操作系统安全概念
* 熟悉操作系统的安全性概念
5.2.2 操作系统面临的安全威胁
5.2.3 安全模型
* 掌握BLP模型
* 熟悉Biba模型、Clark-Wilson模型、RBAC模型、DTE模型、BN模型
5.2.4 操作系统的安全机制
* 熟悉标识与鉴别机制
* 熟悉访问控制机制
* 熟悉最小特权管理机制
* 熟悉可信通路机制
* 熟悉安全审计机制
* 熟悉存储保护、运行保护和I/O保护机制
5.2.5 操作系统安全增强的实现方法
* 了解安全操作系统的设计原则、实现方法和一般开发过程
* 了解操作系统的安全增强技术
  5.3 数据库系统的安全
5.3.1 数据库安全的概念
5.3.2 数据库安全的发展历程
5.3.3 数据库访问控制技术
* 熟悉数据库安全模型
* 熟悉数据库安全策略的实施
5.3.4 数据库加密
* 熟悉数据库加密概念
* 熟悉数据库加密技术的基本要求
* 掌握数据库加密技术与访问控制技术的关系
5.3.5 多级安全数据库
* 了解安全数据库标准
* 了解多级安全数据库的体系结构
5.3.6 数据库的推理控制问题
* 了解推理通道分类、产生的原因和解决手段
5.3.7 数据库的备份与恢复
* 熟悉数据库备份
* 了解数据库恢复
  5.4 恶意代码
5.4.1 恶意代码定义与分类
* 掌握恶意代码的定义和特征
5.4.2 恶意代码的命名规则
* 了解常用恶意代码前缀解释
* 了解CARO命名规则
5.4.3 计算机病毒
* 掌握计算机病毒的定义和特点
* 熟悉计算机病毒的生命周期和传播途径
5.4.4 网络蠕虫
* 掌握网络蠕虫的定义
5.4.5 特洛伊木马
* 掌握特洛伊木马的定义
* 熟悉远程控制型木马的连接方式及其特点
* 熟悉远程控制型木马的常见控制功能、具体用途及其自我隐藏方式
5.4.6 后门
* 掌握后门的定义
5.4.7 其他恶意代码
* 熟悉DDos、Bot、Rootkit、Exploit黑客攻击程序、简单软件、广告软件的定义
5.4.8 恶意代码的清除方法
* 熟悉恶意代码对主机的篡改行为
* 熟悉恶意代码的清除步骤
5.4.9 典型反病毒技术
* 熟悉特征值查毒法
* 熟悉校验和技术
* 熟悉启发式扫描、虚拟机技术、行为监控技术、主动防御技术
  5.5 计算机取证
5.5.1 计算机取证的基本概念
* 熟悉计算机取证的定义、作用与目的
5.5.2 电子证据及特点
* 熟悉电子证据的定义和特征
5.5.3 计算机取证技术
* 熟悉计算机取证步骤
* 熟悉计算机取证分析技术
  5.6 嵌入式系统安全
5.6.1 智能卡安全基础知识
* 掌握智能卡的基本概念
* 了解智能卡相关标准
* 掌握智能卡安全问题与应对策略
5.6.2 USB Key技术
* 掌握USB Key身份认证原理
* 熟悉USB Key身份认证的特点
* 掌握USB Key的安全问题与应对策略
5.6.3 移动智能终端
* 了解移动智能终端软硬件系统
* 熟悉移动智能终端面临的安全问题及解决途径
5.6.4 熟悉工控系统安全问题及解决途径
  5.7 云计算安全
5.7.1 云计算安全基础知识
* 掌握云计算的基本概念
* 了解云计算的SPI模型
* 了解云计算面临的信息安全威胁
* 掌握云计算安全的基本概念
* 熟悉云计算安全的相关标准
5.7.2 IaaS层安全技术
* 掌握虚拟机监控器的概念
* 了解虚拟机监控器和虚拟机实例的安全风险及相关安全技术
* 熟悉虚拟网络的安全
* 熟悉数据存储的安全
5.7.3 PaaS层安全技术
* 掌握容器的概念
* 了解容器安全技术
5.7.4 SaaS层安全技术
* 掌握多租户的概念
* 了解应用安全隔离技术
6.应用系统安全
  6.1 Web安全
6.1.1 Web安全威胁
* 掌握Web安全概念
* 熟悉Web安全分类
6.1.2 Web安全威胁防护技术
* 熟悉Web访问安全和Web内容安全
* 熟悉网页防篡改技术
  6.2 电子商务安全
6.2.1 电子商务安全基础知识
* 熟悉电子商务安全概念、特点和需求
6.2.2 电子商务的安全认证体系
* 熟悉身份认证技术和数字证书技术
6.2.3 电子商务的安全服务协议
* 了解SET协议
* 熟悉SSL协议
  6.3 信息隐藏
6.3.1 信息隐藏基础知识
* 掌握信息隐藏定义、分类和特点
* 熟悉信息隐藏模型
* 了解信息隐藏常用算法(空域算法、Patchwork算法、频域算法、压缩域算法、NEC算法、生理模型算法)
* 了解信息隐藏技术的发展和应用领域
6.3.2 数字水印技术
* 掌握数字水印概念
* 熟悉数字水印的基本原理、分类及模型
* 了解数字水印常用实现方法与算法
* 了解视频水印概念
* 了解数字水印攻击方法和对抗策略
  6.4 网络舆情
6.4.1 网络舆情的基本概念
* 掌握网络舆情的定义和意义
* 熟悉网络舆情的表现方式和特点
6.4.2 网络舆情的基本技术
* 熟悉网络舆情的诱发因素、监测技术和预警措施
  6.5 隐私保护
6.5.1 隐私保护基础知识
* 掌握隐私保护的基本概念
* 了解隐私保护目标
* 熟悉隐私泄露方式
6.5.2 数据挖掘和隐私保护
* 了解数据挖掘与隐私保护的关系
6.5.3 隐私度量与评估标准
* 了解隐私的度量方法
* 了解隐私保护算法的评估标准 

#p#分页标题#e#

考试科目2:信息安全应用技术

1.密码学应用
  1.1 密码算法的实现
* 了解DES/3DES密码算法的软件实现
* 了解AES密码算法的软件实现
* 了解SM4密码算法的软件实现
* 了解RC4密码算法的软件实现
* 了解SM3算法的软件实现
* 了解HMAC算法的软件实现
  1.2 密码算法的应用
1.2.1 典型密码算法的应用
* 熟悉数据加密的基本方法
* 熟悉文件加密的基本方法
* 熟悉通信加密的基本方法
1.2.2 分组密码工作模式
* 熟悉分组密码工作的ECB/CBC/CFB/OFB/CTR模式
* 熟悉填充法
1.2.3 公钥密码应用
* 熟悉公钥密码的加密应用
* 了解SM2公钥密码在加密和数字签名方面的 应用
* 熟悉数字签名的应用
  1.3 认证协议的应用
1.3.1 身份认证
* 掌握安全口令技术
1.3.2 典型认证协议的应用
* 熟悉站点认证技术
* 熟悉报文源和报文宿的认证技术
* 熟悉报文内容的认证技术
* 熟悉消息认证码的应用
  1.4 密钥管理技术
* 熟悉对称密码会话密钥的产生和分发
* 掌握公钥基础设施和数字证书的应用
2.网络安全工程
  2.1 网络安全需求分析与基本设计
* 熟悉网络安全需求分析
* 熟悉网络安全设计原则
  2.2 网络安全产品的配置与使用
2.2.1 网络流量监控和协议分析
* 熟悉网络流量监控的工作原理
* 掌握网络协议分析工具的基本配置
2.2.2 网闸的配置与使用
* 熟悉安全网闸的工作原理
* 掌握安全网闸的基本配置
* 掌握安全网闸的功能配置与使用
2.2.3 防火墙的配置与使用
* 熟悉防火墙的工作原理
* 掌握防火墙的基本配置
* 熟悉防火墙的策略配置
2.2.4 入侵检测系统的配置与使用
* 熟悉入侵检测系统的工作原理
* 掌握入侵检测系统的基本配置
* 熟悉入侵检测系统的签名库配置与管理
  2.3 网络安全风险评估实施
2.3.1 基本原则与流程
* 熟悉基本原则和基本流程
2.3.2 识别阶段工作
* 熟悉资产识别
* 熟悉威胁识别
* 熟悉脆弱性识别
2.3.3 风险分析阶段工作
* 熟悉风险分析模型
* 熟悉风险计算方法
* 熟悉风险分析与评价
* 熟悉风险评估报告
2.3.4 风险处置
* 熟悉风险处置原则
* 熟悉风险整改建议
  2.4 网络安全防护技术的应用
2.4.1 网络安全漏洞扫描技术及应用
* 熟悉网络安全漏洞扫描的工作原理
* 熟悉网络安全漏洞扫描器分类
* 掌握网络安全漏洞扫描器的应用
* 熟悉网络安全漏洞的防御
2.4.2 VPN技术及应用
* 熟悉基于虚拟电路的VPN
* 熟悉应用层VPN
* 熟悉基于隧道协议的VPN
* 熟悉基于MPLS的VPN
2.4.3 网络容灾备份技术及应用
* 熟悉网络容灾备份系统的工作原理
* 熟悉网络容灾备份系统的分类
* 掌握网络容灾备份系统的应用
2.4.4 日志分析
* 熟悉日志分析的基本原理
* 掌握日志分析方法
* 掌握日志分析应用
3.系统安全工程
  3.1 访问控制
3.1.1 访问控制技术
* 掌握基于角色的访问控制技术
* 熟悉Kerberos协议
3.1.2 身份认证技术
* 熟悉口令猜测技术
* 了解常用网站口令强度分析技术
  3.2 信息系统安全的需求分析与设计
3.2.1 信息系统安全需求分析
* 熟悉信息系统安全需求
* 熟悉安全信息系统的构建过程
3.2.2 信息系统安全的设计
* 熟悉信息系统安全体系
* 掌握信息系统安全的开发构建过程和设计方法
  3.3 信息系统安全产品的配置与使用
3.3.1 Windows系统安全配置
* 熟悉用户管理配置、系统管理配置和网络管理 配置
3.3.2 Linux系统安全配置
* 熟悉用户管理配置、系统管理配置和网络管理 配置
3.3.3 数据库的安全配置
* 熟悉用户管理配置
* 熟悉数据库管理配置
  3.4 信息系统安全测评
3.4.1 信息系统安全测评的基础与原则
* 熟悉信息系统安全测评的内容
* 熟悉信息系统安全测评的基本原则
* 熟悉信息系统安全的分级原则
3.4.2 信息系统安全测评方法
* 熟悉模糊测试
* 熟悉代码审计
3.4.3 信息系统安全测评过程
* 熟悉测评流程
* 熟悉安全评估阶段、安全认证阶段和认证监督阶段的工作内容
4.应用安全工程
  4.1 Web安全的需求分析与基本设计
4.1.1 Web安全威胁
* 熟悉OWASP Top 10 Web安全分类
4.1.2 Web安全威胁防护技术
* 掌握注入漏洞防护技术
* 掌握失效的身份认证和会话管理防护技术
* 掌握跨站脚本(XSS)防护技术
* 熟悉其余常见Web安全威胁防护技术
  4.2 电子商务安全的需求分析与基本设计
* 熟悉电子商务系统的体系架构
* 熟悉电子商务系统的需求分析
* 熟悉电子商务系统的常用安全架构
* 掌握电子商务系统的常用安全技术
  4.3 嵌入式系统的安全应用
4.3.1 嵌入式系统的软件开发
* 熟悉嵌入式的交叉编译环境配置方法
* 了解嵌入式C语言的编程方法和编译方法
* 熟悉IC卡的安全配置和应用
4.3.2 移动智能终端
* 掌握移动智能终端的主流OS的安全防护和配置方法
* 掌握移动智能终端应用安全
  4.4 数字水印在版权保护中的应用
* 熟悉数字版权保护系统的需求分析
* 熟悉基于数字水印的数字版权保护系统体系 架构
* 掌握数字版权保护系统的常用数字水印技术
* 了解数字版权保护系统的技术标准
  4.5 位置隐私保护技术的应用
4.5.1 位置隐私安全威胁
* 熟悉位置隐私保护的需求分析
* 了解位置隐私保护的体系架构
* 掌握位置隐私保护的常用方法
4.5.2 位置隐私k-匿名模型的算法和应用
* 了解基于空间划分的匿名算法
* 了解基于Hilbert值的k-匿名算法
* 了解基于用户位置的动态匿名算法 
 

三、题型举例

(一)选择题
BLP 模型的设计目标是解决信息系统资源的_(1)__保护。
(1)A.不可否认性 B.机密性 C.完整性 D.匿名性

(二)问答题
设现有一个基于RSA 算法的网络签名协议,基本描述如下:
设M 为明文,KeA =<e,n>是A 的公开钥,KdA =<d,p,q,φ(n)>是A 的保密的私钥, 

2018年信息安全工程师考试大纲


问题1:请简要描述RSA 算法的基本思想,其安全性的基础是什么?
问题2:该签名过程是否安全,如果安全请给出理由,如果不安全,请给出反例,并给出解决思路。

点击查看:信息安全工程师报考指南


责任编辑:东莞新闻网
首页 | 游戏 | 资讯 | 关注 | 科技 | 财经 | 汽车 | 房产 | 图片 | 视频

Power by pk10 东莞新闻网 www.hxxietong.com 广东省东莞第一新闻门户网站---东莞新闻网 版权所有 pk10开奖直播

电脑版 | 移动版