知识要点

　　一、信息安全测评服务介绍

　　介绍各类信息安全测评服务，包括信息安全产品、系统、人员和服务测评的概念和内容

　　二、中国信息安全测评中心的主要职能

　　中国信息安全测评中心产品、系统、服务和人员安全测评服务的意义和流程介绍

　　三、信息安全培训和CISP知识体系介绍

　　介绍中国信息安全测评中心信息安全人才体系战略和信息安全培训工作介绍。介绍注册信息安全专业人员(CISP)培训工作，并简要介绍CISP的知识体系。

　　1、构建中国信息安全人才体系的重要性和开展CISP培训认证的意义

　　CISP的知识体系结构和知识要点

　　2、信息安全保障体系

　　深入介绍信息安全保障框架的概念和内容

　　3、信息安全保障历史和背景

　　信息系统安全保障评估框架

　　信息系统安全保障建设和评估实践

　　4、信息安全模型

　　深入介绍信息安全相关的模型

　　5、安全模型的定义和作用

　　以下安全模型的原理、用途和特点

　　信息流访问控制模型

　　多级安全模型

　　Bell-Lapadula模型

　　Clark-Wilson模型

　　Biba模型

　　多边安全模型

　　Chinese wall模型

　　BMA模型

　　6、密码技术概述

　　深入介绍密码技术的历史、背景、发展，以及各种密码算法等的基础知识。

　　7、明确密码学基本概念及其重要性;

　　了解密码学发展的历史;

　　掌握对称密码和非对称密码体制;

　　哈希函数的原理和作用;

　　掌握数字签名的基本原理。

　　8、密码技术应用-VPN/SSL

　　深入介绍密码技术网络应用，重点介绍IPSec、SSL等的基础和应用。

　　三、VPN基本概念

　　VPN的类型

　　掌握VPN有关协议的基本工作原理，重点是IPSec和SSL协议族

　　1、密码技术应用-PKI/CA

　　深入介绍密码技术在公钥基础设施(PKI/CA)等的应用。

　　2、PKI/CA的基本概念

　　PKI/CA的体系结构和工作流程

　　X.509的有关标准协议

　　PKI/CA的典型应用，如CFCA、CTCA等

　　3、网络与通信安全基础

　　深入介绍网络安全相关的各种基础知识。

　　3

　　OSI模型和TCP/IP协议簇

　　通信和网络技术

　　互联网技术与服务

　　主要网络安全协议和机制

　　9

　　网络安全应用

　　深入介绍常见网络安全产品和技术，包括对防火墙、入侵检测、漏洞扫描等常见网络安全技术和产品知识和应用。

　　3

　　常见网络安全设备的用途、分类、工作原理和应用技巧：

　　防火墙

　　入侵检测系统

　　漏洞扫扫描系统

　　安全隔离与信息交换系统(网闸)

　　10

　　UNIX操作系统安全

　　深入介绍UNIX操作系统安全基础和安全实践技术。

　　3

　　UNIX发展历史和体系架构

　　UNIX常见应用服务及其安全

　　Unix系统安全配置及最佳安全实践

　　11

　　Windows操作系统安全

　　深入介绍Windows操作系统安全基础和安全实践技术。

　　3

　　Windows发展历史和体系构架

　　Windos常见应用服务及其安全

　　Windows安全配置及最佳安全实践

　　12

　　Web与数据库安全管理

　　深入介绍常见网络应用(Web/邮件系统等)的安全基础和安全实践技术

　　深入介绍各种数据库系统安全基础和安全实践技术。

　　3

　　Web应用安全基础

　　Web应用的历史和作用

　　Web应用面临的安全威胁和漏洞

　　Web应用安全防护技术

　　数据库安全

　　数据库的历史和作用

　　数据面临的安全威胁和漏洞

　　数据库安全防护技术(SQL server和Oracle)

　　13

　　恶意代码防护

　　深入介绍各种恶意代码的基本概念和防护技术

　　3

　　了解病毒、蠕虫、木马、恶意网页的原理

　　掌握病毒、蠕虫、木马、恶意网页的防范

　　了解恶意代码的分析方法

　　14

　　安全编程

　　深入介绍源代码安全的有关知识，编成过程中的安全注意事项和源代码安全测试的流程和方法

　　3

　　安全编程基本概念

　　安全编程基本原则

　　程序安全测试方法

　　Windows、Unix、脚本安全编程实践

　　15

　　安全攻防

　　深入介绍信息安全攻防的基本概念和攻防的实践技能。

　　3

　　安全攻防的基本概念

　　渗透性测试的一般流程

　　黑客攻击的常用工具和技术

　　防范和检测黑客攻击的工具和技术

　　16

　　信息安全管理体系

　　深入介绍信息安全管理的基础知识，27***和27***的内容

　　3

　　信息安全管理的基本概念

　　ISO27***的用途和主要内容

　　ISO27***的用途和主要内容

　　基本安全管理措施：策略、组织和人员

　　重要安全管理措施：资产管理、通信和操作管理、访问控制和符合性

　　17

　　风险管理

　　深入介绍风险管理、风险评估的基础知识、国家政策要求等以及风险管理的实践。

　　3

　　风险管理的基本概念

　　常见的风险管理体系

　　风险管理的一般过程

　　常见的风险评估方法(定性、定量方法的介绍和各自的优缺点)

　　风险评估的一般实施过程

　　18

　　安全工程

　　深入介绍信息安全工程理论方法、标准和实践

　　3

　　系统工程、质量管理、能力成熟度模型和项目管理基本概念

　　运用“信息系统安全工程”(ISSE)的方法考虑信息安全工程的实施

　　理解并运用“信息安全工程能力成熟度模型”(SSE-CMM)指导信息安全工程的实施

　　IT项目的各个阶段需要考虑的安全要素，包括立项阶段的安全需求挖掘、采购开发阶段中应用系统对数据的正确处理、加密控制、系统资源安全等

　　理解信息安全工程监理的概念、意义和实践方法

　　19

　　应急响应

　　深入介绍应急响应管理的基础知识和实践。

　　3

　　应急响应的基本概念

　　应急响应小组的组建

　　应急响应的一般过程

　　应急响应服务的形式和内容

　　应急响应服务的指标

　　20

　　灾难备份与恢复

　　深入介绍业务持续性和灾难恢复管理的基础知识、国家政策要求等以及实践。

　　3

　　BCP&DRP概念和背景

　　业务持续性计划编制和内容

　　灾难恢复的等级划分

　　灾难恢复工作流程和方法

　　灾难恢复系统的建设和技术

　　21

　　物理安全

　　深入介绍物理安全的基本概念和实践考虑。

　　3

　　物理安全的基本概念

　　物理安全防护技术

　　物理区域划分和问控制措施

　　物理安全监控措施

　　物理环境保障措施

　　22

　　信息安全标准

　　深入介绍国际/国内信息安全管理、技术、工程等领域主要标准的关系和内容。

　　3

　　标准和标准化的概念

　　国际、外国、我国信息安全标准化机构

　　信息安全相关国际标准和指南

　　信息安全相关国内标准和指南

　　23

　　信息安全法律法规

　　深入介绍信息安全相关的国际/国内法律法规。

　　3

　　信息安全管理体制

　　信息安全法律法规概况

　　我国信息安全相关法律法规和相关政策文件

　　24

　　串讲与复习

　　总结CISP的知识要点，介绍考核中的注意事项，模拟考题的讲解

　　3

　　说明考场记律

　　说明考试过程中的注意事项

　　说明考题形式和不同考试类型题目所占比例

　　回顾知识要点

　　串讲模拟考题

扫码咨询二维码咨询相关问题：