注意：信息安全工程師考試大綱（第1版）已經(jīng)不再適用，從2020年開始信息信息安全工程師考試大綱啟用第2版?！?a href="http://m.xiexiliangjiufa.com/pm1/89653.html" target="_blank">點擊查看信息安全工程師考試大綱（第2版）】

信息安全工程師：

信息安全工程師是指遵照信息安全管理體系和標準工作，防范黑客入侵并進行分析和防范，通過運用各種安全產(chǎn)品和技術(shù)，設(shè)置防火墻、防病毒、ids、pki、攻防技術(shù)等。進行安全制度建設(shè)與安全技術(shù)規(guī)劃、日常維護管理、信息安全檢查與審計系統(tǒng)帳號管理與系統(tǒng)日志檢查等的人員。

通過本級考試的合格人員能根據(jù)應(yīng)用部門的要求進行信息系統(tǒng)安全方案的規(guī)劃、設(shè)計與實現(xiàn)；能進行安全設(shè)備的軟硬件安裝調(diào)試；能進行信息系統(tǒng)的安全運行、維護和管理；能高效、可靠、安全地管理信息資源；遵紀守法且具有良好的職業(yè)道德；具有工程師的實際工作能力和業(yè)務(wù)水平，能指導助理工程師從事安全系統(tǒng)的構(gòu)建和管理工作。

信息安全工程師考試說明

信息安全工程師考試范圍

考試科目1：信息安全基礎(chǔ)知識

考試科目2：信息安全應(yīng)用技術(shù)

題型舉例

點擊下載：官方標準版《信息安全工程師》考試大綱.pdf

一、信息安全工程師考試說明

1．考試目標

通過本考試的合格人員能掌握信息安全的知識體系；能夠根據(jù)應(yīng)用單位的信息安全需求和信息基礎(chǔ)設(shè)施結(jié)構(gòu)，規(guī)劃設(shè)計信息安全方案，并負責單位信息系統(tǒng)安全設(shè)施的運行維護和配置管理；能夠?qū)π畔⑾到y(tǒng)運行安全風險和信息設(shè)備的安全風險進行監(jiān)測和分析，并處理一般的安全風險問題，對于重大安全風險問題能夠提出整改建議；能夠協(xié)助相關(guān)部門對單位的信息系統(tǒng)進行安全審計和安全事件調(diào)查；能夠?qū)π畔⑾到y(tǒng)和網(wǎng)絡(luò)安全事件進行關(guān)聯(lián)分析、應(yīng)急處理，并撰寫處理報告；具有工程師的實際工作能力和業(yè)務(wù)水平。

2．考試要求

（1）熟悉信息安全的基本知識；

（2）熟悉計算機網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的基本知識；

（3）熟悉密碼學的基本知識與應(yīng)用技術(shù)；

（4）掌握計算機安全防護與檢測技術(shù)；

（5）掌握網(wǎng)絡(luò)安全防護與處理技術(shù)；

（6）熟悉數(shù)字水印在版權(quán)保護中的應(yīng)用技術(shù)；

（7）了解信息安全相關(guān)的法律法規(guī)、管理規(guī)定；

（8）了解信息安全標準化知識；

（9）了解安全可靠的軟硬件平臺的基礎(chǔ)知識、集成技術(shù)和基礎(chǔ)應(yīng)用；

（10）了解云計算、物聯(lián)網(wǎng)、互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)等領(lǐng)域的安全管理、安全技術(shù)集成及應(yīng)用解決方案；

（11）熟練閱讀和正確理解相關(guān)領(lǐng)域的英文資料。

3. 本級考試設(shè)置的科目包括：

（1）信息安全基礎(chǔ)知識，考試時間為150分鐘，筆試，選擇題；

（2）信息安全應(yīng)用技術(shù)，考試時間為150分鐘，筆試，問答題。

二、信息安全工程師考試范圍

考試科目1：信息安全基礎(chǔ)知識

1．信息安全基本知識

1.1 信息安全概念

* 了解網(wǎng)絡(luò)空間的概念、網(wǎng)絡(luò)空間安全學科的內(nèi)涵、網(wǎng)絡(luò)空間安全學科的主要研究方向與研究 內(nèi)容

1.2 信息安全法律法規(guī)

1.2.1 我國立法與司法現(xiàn)狀

* 了解中華人民共和國國家安全法、保密法、網(wǎng)絡(luò)安全法

* 熟悉中華人民共和國計算機信息系統(tǒng)安全保護條例

1.2.2 計算機和網(wǎng)絡(luò)安全的法規(guī)規(guī)章

* 熟悉我國《刑法》對計算機犯罪的規(guī)定

* 熟悉我國網(wǎng)絡(luò)與信息安全相關(guān)的法律責任

1.3 信息安全管理基礎(chǔ)

1.3.1 信息安全管理制度與政策

* 熟悉我國計算機信息系統(tǒng)等級保護制度

* 了解我國涉及國家秘密的信息系統(tǒng)分級保護制度

* 了解我國密碼管理政策

* 了解我國信息安全產(chǎn)品管理政策

* 了解我國互聯(lián)網(wǎng)信息服務(wù)管理政策

1.3.2 信息安全風險評估與管理

* 了解風險分析、評估和風險管理的基本知識

1.4 信息安全標準化知識

1.4.1 熟悉信息安全技術(shù)標準的基本知識

1.4.2 了解標準化組織

1.4.3 信息安全系列標準

* 了解信息安全管理體系標準

* 了解信息安全技術(shù)與工程標準

1.5 信息安全專業(yè)英語

* 閱讀信息安全有關(guān)英文資料

* 掌握本領(lǐng)域的基本英語詞匯

2．計算機網(wǎng)絡(luò)基礎(chǔ)知識

2.1 計算機網(wǎng)絡(luò)的體系結(jié)構(gòu)

2.2 internet協(xié)議

2.2.1 網(wǎng)絡(luò)層協(xié)議

* 掌握ip、icmp、ospf、rip、arp和igmp 協(xié)議

* 熟悉 bgp協(xié)議

2.2.2 傳輸層協(xié)議

* 掌握tcp和udp協(xié)議

2.2.3 應(yīng)用層協(xié)議

* 掌握dns、smtp、pop3、pgp、ftp、http和dhcp協(xié)議

3．密碼學

3.1 密碼學的基本概念

3.1.1 密碼學定義

* 掌握密碼的安全目標

3.1.2 密碼體制

* 掌握密碼技術(shù)的基本思想

* 掌握基本的密碼體制

* 了解密碼分析

3.1.3 古典密碼

* 熟悉古典密碼的主要編制方法

3.2 分組密碼

3.2.1 分組密碼的概念

3.2.2 des

* 熟悉des和3des密碼算法

* 了解des和3des的應(yīng)用

3.2.3 aes

* 熟悉aes密碼算法

* 了解aes密碼的應(yīng)用

3.2.4 sm4

* 熟悉sm4密碼算法

* 了解sm4密碼的應(yīng)用

3.2.5 分組密碼工作模式

* 熟悉分組密碼工作的ecb/cbc/cfb/ofb/ctr模式

3.3 序列密碼

3.3.1 序列密碼的概念

3.3.2 線性移位寄存器序列

* 熟悉線性移位寄存器序列的概念

* 了解線性移位寄存器序列的應(yīng)用

3.3.3 rc4

* 熟悉rc4密碼算法

* 了解rc4密碼的應(yīng)用

3.3.4 zuc

* 熟悉zuc密碼

* 了解zuc密碼的應(yīng)用

3.4 hash函數(shù)

3.4.1 hash函數(shù)的概念

* 掌握hash函數(shù)的概念

* 熟悉hash函數(shù)的應(yīng)用

3.4.2 sha算法

* 了解sha算法系列

* 了解sha算法的安全性

3.4.3 sm3算法

* 熟悉sm3算法

* 了解sm3算法的應(yīng)用

3.4.4 hmac

* 熟悉消息認證碼的概念及應(yīng)用

* 熟悉使用hmac的消息認證碼

* 熟悉基于sm3的hmac

3.5 公鑰密碼體制

3.5.1 公鑰密碼的概念

3.5.2 rsa密碼

* 熟悉rsa密碼算法

* 了解rsa密碼的特點與應(yīng)用

3.5.3 elgamal密碼

* 熟悉elgamal密碼算法

* 了解elgamal密碼的特點與應(yīng)用

3.5.4 橢圓曲線密碼

* 了解橢圓曲線的概念

* 了解橢圓曲線上的elgamal密碼體制

3.5.5 sm2橢圓曲線公鑰加密算法

* 了解sm2橢圓曲線公鑰加密算法、特點和應(yīng)用

3.6 數(shù)字簽名

3.6.1 數(shù)字簽名的概念

* 掌握數(shù)字簽名的概念和應(yīng)用

3.6.2 典型數(shù)字簽名體制

* 熟悉rsa簽名算法

* 熟悉elgamal簽名算法

* 了解橢圓曲線密碼數(shù)字簽名

3.6.3 sm2橢圓曲線數(shù)字簽名算法

* 了解sm2橢圓曲線數(shù)字簽名算法和應(yīng)用

3.7 認證

3.7.1 認證的概念

3.7.2 身份認證

* 熟悉口令和指紋識別

3.7.3 報文認證

* 熟悉報文源和報文宿的認證

* 熟悉報文內(nèi)容的認證

3.8 密鑰管理

3.8.1 密鑰管理的概念

3.8.2 對稱密碼的密鑰管理

* 熟悉對稱密鑰的生成、分發(fā)和存儲

3.8.3 非對稱密碼的密鑰管理

* 熟悉非對稱密鑰的生成

* 熟悉公鑰基礎(chǔ)設(shè)施（pki）

* 熟悉公鑰證書

4．網(wǎng)絡(luò)安全

4.1 網(wǎng)絡(luò)安全的基本概念

* 熟悉基本安全屬性

* 了解網(wǎng)絡(luò)安全事件

* 了解影響網(wǎng)絡(luò)安全的因素

4.2 網(wǎng)絡(luò)安全威脅

4.2.1 威脅來源和種類

* 了解網(wǎng)絡(luò)安全威脅的來源

* 了解網(wǎng)絡(luò)安全的基本攻擊面

* 熟悉網(wǎng)絡(luò)監(jiān)聽

* 熟悉口令破解

* 熟悉網(wǎng)絡(luò)釣魚

* 熟悉網(wǎng)絡(luò)欺騙

* 了解社會工程

* 熟悉漏洞攻擊

* 熟悉惡意代碼攻擊（僵尸網(wǎng)絡(luò)）

* 了解供應(yīng)鏈攻擊

4.2.2 網(wǎng)站安全威脅

* 熟悉sql注入攻擊

* 熟悉xss

* 熟悉csrf

* 熟悉目錄遍歷威脅

* 了解文件上傳威脅

4.2.3 無線網(wǎng)絡(luò)安全威脅

* 了解無線網(wǎng)絡(luò)安全威脅的來源

* 熟悉無線網(wǎng)絡(luò)安全的基本攻擊面

4.3 網(wǎng)絡(luò)安全防御

4.3.1 網(wǎng)絡(luò)安全防御原則

* 了解最小權(quán)限原則、縱深防御原則、防御多樣性原則、防御整體性原則、安全性與代價平衡原則、網(wǎng)絡(luò)資源的等級性原則等

4.3.2 基本防御技術(shù)

* 熟悉防火墻技術(shù)

* 熟悉入侵檢測技術(shù)

* 熟悉vpn技術(shù)

* 熟悉網(wǎng)絡(luò)容錯技術(shù)

* 熟悉安全漏洞掃描技術(shù)

* 了解網(wǎng)絡(luò)蜜罐技術(shù)

* 了解匿名網(wǎng)絡(luò)

4.3.3 安全協(xié)議

* 熟悉ipsec協(xié)議、ssl協(xié)議、pgp協(xié)議、tls協(xié)議、ieee802.1x協(xié)議、radius協(xié)議、kerberos協(xié)議、x.509協(xié)議、s/mime協(xié)議、ssh協(xié)議等

4.4 無線網(wǎng)絡(luò)安全

4.4.1 無線網(wǎng)絡(luò)基本知識

* 了解無線廣域網(wǎng)、無線城域網(wǎng)、無線局域網(wǎng)和無線個域網(wǎng)概念

* 了解無線傳感器網(wǎng)絡(luò)概念

* 了解無線網(wǎng)狀網(wǎng)概念

4.4.2 無線網(wǎng)絡(luò)安全威脅及分析

* 了解無線網(wǎng)絡(luò)安全威脅

* 熟悉無線網(wǎng)絡(luò)安全需求分析

* 熟悉無線網(wǎng)絡(luò)安全方案設(shè)計策略

4.4.3 無線網(wǎng)絡(luò)安全機制

* 熟悉無線公開密鑰體系（wpki）

* 熟悉有線等效保密協(xié)議（wep）

* 熟悉wi-fi網(wǎng)絡(luò)安全接入?yún)f(xié)議（wpa/wpa2）

* 熟悉無線局域網(wǎng)鑒別與保密體系（wapi）

* 熟悉802.11i協(xié)議

* 了解移動通信系統(tǒng)安全機制

* 了解無線傳感器網(wǎng)絡(luò)安全機制

* 了解無線個域網(wǎng)安全機制

5．計算機安全

5.1 計算機設(shè)備安全

5.1.1 計算機安全的定義

* 熟悉計算機安全的屬性

* 了解可靠性度量方法

5.1.2 計算機系統(tǒng)安全模型與安全方法

* 熟悉系統(tǒng)安全的概念

* 熟悉系統(tǒng)安全策略的基本模型

* 了解系統(tǒng)安全的實現(xiàn)方法

5.1.3 電磁泄露和干擾

* 了解電磁泄露檢測方法和安全防護

* 了解電磁泄露的處理方法

5.1.4 物理安全

* 了解場地安全、設(shè)備安全和介質(zhì)安全

5.1.5 計算機的可靠性技術(shù)

* 熟悉容錯的基本概念

* 了解硬件容錯、軟件容錯和數(shù)據(jù)容錯

5.2 操作系統(tǒng)安全

5.2.1 操作系統(tǒng)安全基本知識

* 熟悉安全操作系統(tǒng)概念

* 熟悉操作系統(tǒng)安全概念

* 熟悉操作系統(tǒng)的安全性概念

5.2.2 操作系統(tǒng)面臨的安全威脅

5.2.3 安全模型

* 掌握blp模型

* 熟悉biba模型、clark-wilson模型、rbac模型、dte模型、bn模型

5.2.4 操作系統(tǒng)的安全機制

* 熟悉標識與鑒別機制

* 熟悉訪問控制機制

* 熟悉最小特權(quán)管理機制

* 熟悉可信通路機制

* 熟悉安全審計機制

* 熟悉存儲保護、運行保護和i/o保護機制

5.2.5 操作系統(tǒng)安全增強的實現(xiàn)方法

* 了解安全操作系統(tǒng)的設(shè)計原則、實現(xiàn)方法和一般開發(fā)過程

* 了解操作系統(tǒng)的安全增強技術(shù)

5.3 數(shù)據(jù)庫系統(tǒng)的安全

5.3.1 數(shù)據(jù)庫安全的概念

5.3.2 數(shù)據(jù)庫安全的發(fā)展歷程

5.3.3 數(shù)據(jù)庫訪問控制技術(shù)

* 熟悉數(shù)據(jù)庫安全模型

* 熟悉數(shù)據(jù)庫安全策略的實施

5.3.4 數(shù)據(jù)庫加密

* 熟悉數(shù)據(jù)庫加密概念

* 熟悉數(shù)據(jù)庫加密技術(shù)的基本要求

* 掌握數(shù)據(jù)庫加密技術(shù)與訪問控制技術(shù)的關(guān)系

5.3.5 多級安全數(shù)據(jù)庫

* 了解安全數(shù)據(jù)庫標準

* 了解多級安全數(shù)據(jù)庫的體系結(jié)構(gòu)

5.3.6 數(shù)據(jù)庫的推理控制問題

* 了解推理通道分類、產(chǎn)生的原因和解決手段

5.3.7 數(shù)據(jù)庫的備份與恢復(fù)

* 熟悉數(shù)據(jù)庫備份

* 了解數(shù)據(jù)庫恢復(fù)

5.4 惡意代碼

5.4.1 惡意代碼定義與分類

* 掌握惡意代碼的定義和特征

5.4.2 惡意代碼的命名規(guī)則

* 了解常用惡意代碼前綴解釋

* 了解caro命名規(guī)則

5.4.3 計算機病毒

* 掌握計算機病毒的定義和特點

* 熟悉計算機病毒的生命周期和傳播途徑

5.4.4 網(wǎng)絡(luò)蠕蟲

* 掌握網(wǎng)絡(luò)蠕蟲的定義

5.4.5 特洛伊木馬

* 掌握特洛伊木馬的定義

* 熟悉遠程控制型木馬的連接方式及其特點

* 熟悉遠程控制型木馬的常見控制功能、具體用途及其自我隱藏方式

5.4.6 后門

* 掌握后門的定義

5.4.7 其他惡意代碼

* 熟悉ddos、bot、rootkit、exploit黑客攻擊程序、簡單軟件、廣告軟件的定義

5.4.8 惡意代碼的清除方法

* 熟悉惡意代碼對主機的篡改行為

* 熟悉惡意代碼的清除步驟

5.4.9 典型反病毒技術(shù)

* 熟悉特征值查毒法

* 熟悉校驗和技術(shù)

* 熟悉啟發(fā)式掃描、虛擬機技術(shù)、行為監(jiān)控技術(shù)、主動防御技術(shù)

5.5 計算機取證

5.5.1 計算機取證的基本概念

* 熟悉計算機取證的定義、作用與目的

5.5.2 電子證據(jù)及特點

* 熟悉電子證據(jù)的定義和特征

5.5.3 計算機取證技術(shù)

* 熟悉計算機取證步驟

* 熟悉計算機取證分析技術(shù)

5.6 嵌入式系統(tǒng)安全

5.6.1 智能卡安全基礎(chǔ)知識

* 掌握智能卡的基本概念

* 了解智能卡相關(guān)標準

* 掌握智能卡安全問題與應(yīng)對策略

5.6.2 usb key技術(shù)

* 掌握usb key身份認證原理

* 熟悉usb key身份認證的特點

* 掌握usb key的安全問題與應(yīng)對策略

5.6.3 移動智能終端

* 了解移動智能終端軟硬件系統(tǒng)

* 熟悉移動智能終端面臨的安全問題及解決途徑

5.6.4 熟悉工控系統(tǒng)安全問題及解決途徑

5.7 云計算安全

5.7.1 云計算安全基礎(chǔ)知識

* 掌握云計算的基本概念

* 了解云計算的spi模型

* 了解云計算面臨的信息安全威脅

* 掌握云計算安全的基本概念

* 熟悉云計算安全的相關(guān)標準

5.7.2 iaas層安全技術(shù)

* 掌握虛擬機監(jiān)控器的概念

* 了解虛擬機監(jiān)控器和虛擬機實例的安全風險及相關(guān)安全技術(shù)

* 熟悉虛擬網(wǎng)絡(luò)的安全

* 熟悉數(shù)據(jù)存儲的安全

5.7.3 paas層安全技術(shù)

* 掌握容器的概念

* 了解容器安全技術(shù)

5.7.4 saas層安全技術(shù)

* 掌握多租戶的概念

* 了解應(yīng)用安全隔離技術(shù)

6．應(yīng)用系統(tǒng)安全

6.1 web安全

6.1.1 web安全威脅

* 掌握web安全概念

* 熟悉web安全分類

6.1.2 web安全威脅防護技術(shù)

* 熟悉web訪問安全和web內(nèi)容安全

* 熟悉網(wǎng)頁防篡改技術(shù)

6.2 電子商務(wù)安全

6.2.1 電子商務(wù)安全基礎(chǔ)知識

* 熟悉電子商務(wù)安全概念、特點和需求

6.2.2 電子商務(wù)的安全認證體系

* 熟悉身份認證技術(shù)和數(shù)字證書技術(shù)

6.2.3 電子商務(wù)的安全服務(wù)協(xié)議

* 了解set協(xié)議

* 熟悉ssl協(xié)議

6.3 信息隱藏

6.3.1 信息隱藏基礎(chǔ)知識

* 掌握信息隱藏定義、分類和特點

* 熟悉信息隱藏模型

* 了解信息隱藏常用算法（空域算法、patchwork算法、頻域算法、壓縮域算法、nec算法、生理模型算法）

* 了解信息隱藏技術(shù)的發(fā)展和應(yīng)用領(lǐng)域

6.3.2 數(shù)字水印技術(shù)

* 掌握數(shù)字水印概念

* 熟悉數(shù)字水印的基本原理、分類及模型

* 了解數(shù)字水印常用實現(xiàn)方法與算法

* 了解視頻水印概念

* 了解數(shù)字水印攻擊方法和對抗策略

6.4 網(wǎng)絡(luò)輿情

6.4.1 網(wǎng)絡(luò)輿情的基本概念

* 掌握網(wǎng)絡(luò)輿情的定義和意義

* 熟悉網(wǎng)絡(luò)輿情的表現(xiàn)方式和特點

6.4.2 網(wǎng)絡(luò)輿情的基本技術(shù)

* 熟悉網(wǎng)絡(luò)輿情的誘發(fā)因素、監(jiān)測技術(shù)和預(yù)警措施

6.5 隱私保護

6.5.1 隱私保護基礎(chǔ)知識

* 掌握隱私保護的基本概念

* 了解隱私保護目標

* 熟悉隱私泄露方式

6.5.2 數(shù)據(jù)挖掘和隱私保護

* 了解數(shù)據(jù)挖掘與隱私保護的關(guān)系

6.5.3 隱私度量與評估標準

* 了解隱私的度量方法

* 了解隱私保護算法的評估標準

考試科目2：信息安全應(yīng)用技術(shù)

1．密碼學應(yīng)用

1.1 密碼算法的實現(xiàn)

* 了解des/3des密碼算法的軟件實現(xiàn)

* 了解aes密碼算法的軟件實現(xiàn)

* 了解sm4密碼算法的軟件實現(xiàn)

* 了解rc4密碼算法的軟件實現(xiàn)

* 了解sm3算法的軟件實現(xiàn)

* 了解hmac算法的軟件實現(xiàn)

1.2 密碼算法的應(yīng)用

1.2.1 典型密碼算法的應(yīng)用

* 熟悉數(shù)據(jù)加密的基本方法

* 熟悉文件加密的基本方法

* 熟悉通信加密的基本方法

1.2.2 分組密碼工作模式

* 熟悉分組密碼工作的ecb/cbc/cfb/ofb/ctr模式

* 熟悉填充法

1.2.3 公鑰密碼應(yīng)用

* 熟悉公鑰密碼的加密應(yīng)用

* 了解sm2公鑰密碼在加密和數(shù)字簽名方面的 應(yīng)用

* 熟悉數(shù)字簽名的應(yīng)用

1.3 認證協(xié)議的應(yīng)用

1.3.1 身份認證

* 掌握安全口令技術(shù)

1.3.2 典型認證協(xié)議的應(yīng)用

* 熟悉站點認證技術(shù)

* 熟悉報文源和報文宿的認證技術(shù)

* 熟悉報文內(nèi)容的認證技術(shù)

* 熟悉消息認證碼的應(yīng)用

1.4 密鑰管理技術(shù)

* 熟悉對稱密碼會話密鑰的產(chǎn)生和分發(fā)

* 掌握公鑰基礎(chǔ)設(shè)施和數(shù)字證書的應(yīng)用

2．網(wǎng)絡(luò)安全工程

2.1 網(wǎng)絡(luò)安全需求分析與基本設(shè)計

* 熟悉網(wǎng)絡(luò)安全需求分析

* 熟悉網(wǎng)絡(luò)安全設(shè)計原則

2.2 網(wǎng)絡(luò)安全產(chǎn)品的配置與使用

2.2.1 網(wǎng)絡(luò)流量監(jiān)控和協(xié)議分析

* 熟悉網(wǎng)絡(luò)流量監(jiān)控的工作原理

* 掌握網(wǎng)絡(luò)協(xié)議分析工具的基本配置

2.2.2 網(wǎng)閘的配置與使用

* 熟悉安全網(wǎng)閘的工作原理

* 掌握安全網(wǎng)閘的基本配置

* 掌握安全網(wǎng)閘的功能配置與使用

2.2.3 防火墻的配置與使用

* 熟悉防火墻的工作原理

* 掌握防火墻的基本配置

* 熟悉防火墻的策略配置

2.2.4 入侵檢測系統(tǒng)的配置與使用

* 熟悉入侵檢測系統(tǒng)的工作原理

* 掌握入侵檢測系統(tǒng)的基本配置

* 熟悉入侵檢測系統(tǒng)的簽名庫配置與管理

2.3 網(wǎng)絡(luò)安全風險評估實施

2.3.1 基本原則與流程

* 熟悉基本原則和基本流程

2.3.2 識別階段工作

* 熟悉資產(chǎn)識別

* 熟悉威脅識別

* 熟悉脆弱性識別

2.3.3 風險分析階段工作

* 熟悉風險分析模型

* 熟悉風險計算方法

* 熟悉風險分析與評價

* 熟悉風險評估報告

2.3.4 風險處置

* 熟悉風險處置原則

* 熟悉風險整改建議

2.4 網(wǎng)絡(luò)安全防護技術(shù)的應(yīng)用

2.4.1 網(wǎng)絡(luò)安全漏洞掃描技術(shù)及應(yīng)用

* 熟悉網(wǎng)絡(luò)安全漏洞掃描的工作原理

* 熟悉網(wǎng)絡(luò)安全漏洞掃描器分類

* 掌握網(wǎng)絡(luò)安全漏洞掃描器的應(yīng)用

* 熟悉網(wǎng)絡(luò)安全漏洞的防御

2.4.2 vpn技術(shù)及應(yīng)用

* 熟悉基于虛擬電路的vpn

* 熟悉應(yīng)用層vpn

* 熟悉基于隧道協(xié)議的vpn

* 熟悉基于mpls的vpn

2.4.3 網(wǎng)絡(luò)容災(zāi)備份技術(shù)及應(yīng)用

* 熟悉網(wǎng)絡(luò)容災(zāi)備份系統(tǒng)的工作原理

* 熟悉網(wǎng)絡(luò)容災(zāi)備份系統(tǒng)的分類

* 掌握網(wǎng)絡(luò)容災(zāi)備份系統(tǒng)的應(yīng)用

2.4.4 日志分析

* 熟悉日志分析的基本原理

* 掌握日志分析方法

* 掌握日志分析應(yīng)用

3．系統(tǒng)安全工程

3.1 訪問控制

3.1.1 訪問控制技術(shù)

* 掌握基于角色的訪問控制技術(shù)

* 熟悉kerberos協(xié)議

3.1.2 身份認證技術(shù)

* 熟悉口令猜測技術(shù)

* 了解常用網(wǎng)站口令強度分析技術(shù)

3.2 信息系統(tǒng)安全的需求分析與設(shè)計

3.2.1 信息系統(tǒng)安全需求分析

* 熟悉信息系統(tǒng)安全需求

* 熟悉安全信息系統(tǒng)的構(gòu)建過程

3.2.2 信息系統(tǒng)安全的設(shè)計

* 熟悉信息系統(tǒng)安全體系

* 掌握信息系統(tǒng)安全的開發(fā)構(gòu)建過程和設(shè)計方法

3.3 信息系統(tǒng)安全產(chǎn)品的配置與使用

3.3.1 windows系統(tǒng)安全配置

* 熟悉用戶管理配置、系統(tǒng)管理配置和網(wǎng)絡(luò)管理 配置

3.3.2 linux系統(tǒng)安全配置

* 熟悉用戶管理配置、系統(tǒng)管理配置和網(wǎng)絡(luò)管理 配置

3.3.3 數(shù)據(jù)庫的安全配置

* 熟悉用戶管理配置

* 熟悉數(shù)據(jù)庫管理配置

3.4 信息系統(tǒng)安全測評

3.4.1 信息系統(tǒng)安全測評的基礎(chǔ)與原則

* 熟悉信息系統(tǒng)安全測評的內(nèi)容

* 熟悉信息系統(tǒng)安全測評的基本原則

* 熟悉信息系統(tǒng)安全的分級原則

3.4.2 信息系統(tǒng)安全測評方法

* 熟悉模糊測試

* 熟悉代碼審計

3.4.3 信息系統(tǒng)安全測評過程

* 熟悉測評流程

* 熟悉安全評估階段、安全認證階段和認證監(jiān)督階段的工作內(nèi)容

4．應(yīng)用安全工程

4.1 web安全的需求分析與基本設(shè)計

4.1.1 web安全威脅

* 熟悉owasp top 10 web安全分類

4.1.2 web安全威脅防護技術(shù)

* 掌握注入漏洞防護技術(shù)

* 掌握失效的身份認證和會話管理防護技術(shù)

* 掌握跨站腳本（xss）防護技術(shù)

* 熟悉其余常見web安全威脅防護技術(shù)

4.2 電子商務(wù)安全的需求分析與基本設(shè)計

* 熟悉電子商務(wù)系統(tǒng)的體系架構(gòu)

* 熟悉電子商務(wù)系統(tǒng)的需求分析

* 熟悉電子商務(wù)系統(tǒng)的常用安全架構(gòu)

* 掌握電子商務(wù)系統(tǒng)的常用安全技術(shù)

4.3 嵌入式系統(tǒng)的安全應(yīng)用

4.3.1 嵌入式系統(tǒng)的軟件開發(fā)

* 熟悉嵌入式的交叉編譯環(huán)境配置方法

* 了解嵌入式c語言的編程方法和編譯方法

* 熟悉ic卡的安全配置和應(yīng)用

4.3.2 移動智能終端

* 掌握移動智能終端的主流os的安全防護和配置方法

* 掌握移動智能終端應(yīng)用安全

4.4 數(shù)字水印在版權(quán)保護中的應(yīng)用

* 熟悉數(shù)字版權(quán)保護系統(tǒng)的需求分析

* 熟悉基于數(shù)字水印的數(shù)字版權(quán)保護系統(tǒng)體系 架構(gòu)

* 掌握數(shù)字版權(quán)保護系統(tǒng)的常用數(shù)字水印技術(shù)

* 了解數(shù)字版權(quán)保護系統(tǒng)的技術(shù)標準

4.5 位置隱私保護技術(shù)的應(yīng)用

4.5.1 位置隱私安全威脅

* 熟悉位置隱私保護的需求分析

* 了解位置隱私保護的體系架構(gòu)

* 掌握位置隱私保護的常用方法

4.5.2 位置隱私k-匿名模型的算法和應(yīng)用

* 了解基于空間劃分的匿名算法

* 了解基于hilbert值的k-匿名算法

* 了解基于用戶位置的動態(tài)匿名算法

三、題型舉例

（一）選擇題

blp 模型的設(shè)計目標是解決信息系統(tǒng)資源的_（1）__保護。

（1）a．不可否認性 b．機密性 c．完整性 d．匿名性

（二）問答題

設(shè)現(xiàn)有一個基于rsa 算法的網(wǎng)絡(luò)簽名協(xié)議，基本描述如下：

設(shè)m 為明文，kea =是a 的公開鑰，kda =是a 的保密的私鑰,

問題1：請簡要描述rsa 算法的基本思想，其安全性的基礎(chǔ)是什么？

問題2：該簽名過程是否安全，如果安全請給出理由，如果不安全，請給出反例，并給出解決思路。

點擊查看：信息安全工程師報考指南