信息安全工程師考試大綱(2016年7月版)

1、全國計算機與軟件專業(yè)技術(shù)資格（水平）考試信息安全工程師考試大綱(2016年7月版)一、考試說明1. 考試目標 通過本考試的合格人員能夠掌握信息安全的知識體系；能夠根據(jù)應(yīng)用單位的信息安全需求和信息基礎(chǔ)設(shè)施結(jié)構(gòu)，規(guī)劃設(shè)計信息安全方案，并負責單位信息安全設(shè)施的運行維護和配置管理；能夠?qū)π畔踩到y(tǒng)運行安全風險和信息設(shè)備的安全風險進行監(jiān)測和分析，并處理一般的安全風險問題，對于重大安全風險問題能夠提出整改建議；能夠協(xié)助相關(guān)部門對單位的信息安全系統(tǒng)進行安全審計和安全事件調(diào)查；能夠?qū)π畔⑾到y(tǒng)和網(wǎng)絡(luò)安全事件進行關(guān)聯(lián)分析、應(yīng)急處理，并撰寫處理報告；具有工程師的實際工作能力和業(yè)務(wù)水平。2. 考試要求(1) 熟悉信

2、息安全的基本知識；(2) 熟悉計算機網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的基本知識；(3）熟悉密碼學的基本知識與應(yīng)用技術(shù)；(4）掌握計算機安全防護與檢測技術(shù)；(5）掌握網(wǎng)絡(luò)安全防護與處理技術(shù)；(6）熟悉數(shù)字水印在版權(quán)保護中的應(yīng)用技術(shù)；(7）了解信息安全相關(guān)的法律法規(guī)、管理規(guī)定；(8）了解信息安全標準化知識；(9）了解安全可靠的軟硬件平臺的基礎(chǔ)知識、集成技術(shù)和基礎(chǔ)應(yīng)用；(10）了解云計算、物聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)等領(lǐng)域的安全管理、安全技術(shù)集成及應(yīng)用解決方案；(11）熟練閱讀和正確理解相關(guān)領(lǐng)域的英文資料3. 考試科目設(shè)置(1） 信息安全基礎(chǔ)知識，考試時間為150分鐘，筆試，選擇題；(2） 信息安全應(yīng)用技

3、術(shù)，考試時間為150分鐘，筆試，問答題。二、考試范圍考試科目1：信息安全基礎(chǔ)知識1. 信息安全基本知識1.1 信息安全概念l 了解網(wǎng)絡(luò)空間的概念、網(wǎng)絡(luò)空間安全學科的內(nèi)涵、網(wǎng)絡(luò)空間安全學科的主要研究方向與研究內(nèi)容1.2 信息安全法律法規(guī)1.2.1 我國立法與司法現(xiàn)狀l 了解中華人民共和國國家安全法、保密法、網(wǎng)絡(luò)安全法l 熟悉中華人民共和國計算機信息系統(tǒng)安全保護條例1.2.2 計算機與網(wǎng)絡(luò)安全的法規(guī)規(guī)章l 熟悉我國刑法對計算機犯罪的規(guī)定l 熟悉我國網(wǎng)絡(luò)與信息安全相關(guān)的法律責任1.3 信息安全管理基礎(chǔ)1.3.1 信息安全管理制度與政策l 熟悉我國計算機信息系統(tǒng)等級保護制度l 了解我國涉及國家秘密的信

4、息系統(tǒng)分級保護制度l 了解我國密碼管理政策l 了解我國信息安全產(chǎn)品管理政策l 了解我國互聯(lián)網(wǎng)信息服務(wù)管理政策1.3.2 信息安全風險評估與管理l 了解風險分析、評估和風險管理的基本知識1.4 信息安全標準化知識1.4.1 熟悉信息安全技術(shù)標準的基本知識1.4.2 了解標準化組織1.4.3 信息安全系列標準l 了解信息安全管理體系標準l 了解信息安全技術(shù)與工程標準1.5 信息安全專業(yè)英語l 閱讀信息安全有關(guān)英文資料l 掌握本領(lǐng)域英文基本詞匯2. 計算機網(wǎng)絡(luò)基礎(chǔ)知識2.1 計算機網(wǎng)絡(luò)的體系結(jié)構(gòu)2.2 Internet協(xié)議2.2.1 網(wǎng)絡(luò)層協(xié)議l 掌握IP、ICMP、OSPF、RIP、ARP和IGM

5、P協(xié)議l 熟悉BGP協(xié)議2.2.2 傳輸層協(xié)議l 掌握TCP和UDP協(xié)議2.2.3 應(yīng)用層協(xié)議l 掌握DNS、SMTP、POP3、PGP、FTP、HTTP和DHCP協(xié)議3. 密碼學3.1 密碼學的基本概念3.1.1 密碼學定義l 掌握密碼的安全目標3.1.2 密碼體制l 掌握密碼技術(shù)的基本思想l 掌握基本的密碼體制l 了解密碼分析3.1.3 古典密碼l 熟悉古典密碼的主要編制方法3.2 分組密碼3.2.1 分組密碼的概念3.2.2 DESl 熟悉DES和3DES密碼算法l 了解DES和3DES的應(yīng)用3.2.3 AESl 熟悉AES密碼算法l 了解AES密碼的應(yīng)用3.2.4 SM4l 熟悉SM4

6、密碼短發(fā)l 了解SM4密碼的應(yīng)用3.2.5 分組密碼工作模式l 熟悉分組密碼工作的EBC/CBC/CFB/OFB/CTR模式3.3 序列密碼3.3.1 序列密碼的概念3.3.2 線性移位寄存器序列l(wèi) 熟悉線性移位寄存器序列的概念l 了解線性移位寄存器序列的應(yīng)用3.3.3 RC4l 熟悉RC4密碼算法l 了解RC4密碼的應(yīng)用3.3.4 ZUCl 熟悉ZUC密碼l 了解ZUC密碼的應(yīng)用3.4 Hash函數(shù)3.4.1 Hash函數(shù)的概念l 掌握Hash函數(shù)的概念l 熟悉Hash函數(shù)的應(yīng)用3.4.2 SHA算法l 了解SHA算法系列l(wèi) 了解SHA算法的安全性3.4.3 SM3算法l 熟悉SM3算法l

7、了解SM3算法的應(yīng)用3.4.4 HMACl 熟悉消息認證碼的概念及應(yīng)用l 熟悉使用HNAC的消息認證碼l 熟悉給予SM3的HMAC3.5 公鑰密碼體制3.5.1 公鑰密碼的概念3.5.2 RSA密碼l 熟悉RSA密碼算法l 了解RSA密碼的特點與應(yīng)用3.5.3 E1Gamal密碼l 熟悉E1Gamal密碼算法l 了解E1Gamal密碼的特點與應(yīng)用3.5.4 橢圓曲線密碼l 了解橢圓曲線的概念l 了解橢圓曲線上的E1Gamal密碼體制3.5.5 SM2橢圓曲線公鑰加密算法l 了解SM2橢圓曲線公鑰加密算法、特點和應(yīng)用3.6 數(shù)字簽名3.6.1 數(shù)字簽名的概念l 掌握數(shù)字簽名的概念和應(yīng)用3.6.2

8、 典型數(shù)字簽名體制l 熟悉RSA簽名算法l 熟悉E1Gamal簽名算法l 了解橢圓曲線密碼數(shù)字簽名3.6.3 SM2橢圓曲線數(shù)字簽名算法l 了解SM2橢圓曲線數(shù)字簽名算法和應(yīng)用3.7 認證3.7.1 認證的概念3.7.2 身份認證l 熟悉口令和指紋識別3.7.3 報文認證l 熟悉報文源和報文宿的認證l 熟悉報文內(nèi)容的認證3.8 密鑰管理3.8.1 密鑰管理的概念3.8.2 對稱密碼的密鑰管理l 熟悉對稱密鑰的生成、分發(fā)和存儲3.8.3 非對稱密碼的密鑰管理l 熟悉非對稱密鑰的生成l 熟悉公鑰基礎(chǔ)設(shè)施(PKI)l 熟悉公鑰證書4. 網(wǎng)絡(luò)安全4.1 網(wǎng)絡(luò)安全的基本概念l 熟悉基本安全屬性l 了解網(wǎng)

9、絡(luò)安全事件l 了解影響網(wǎng)絡(luò)安全的因素4.2 網(wǎng)絡(luò)安全威脅4.2.1 威脅來源和種類l 了解網(wǎng)絡(luò)安全威脅的來源l 了解網(wǎng)絡(luò)安全的基本攻擊面l 熟悉網(wǎng)絡(luò)監(jiān)聽l 熟悉口令破解l 熟悉網(wǎng)絡(luò)釣魚l 熟悉網(wǎng)絡(luò)欺騙l 了解社會工程l 熟悉漏洞攻擊l 熟悉惡意代碼攻擊（僵尸網(wǎng)絡(luò)）l 了解供應(yīng)鏈攻擊4.2.2 網(wǎng)站安全威脅l 熟悉SQL注入攻擊l 熟悉XSSl 熟悉CSRFl 熟悉目錄遍歷威脅l 了解文件上傳威脅4.2.3 無線網(wǎng)絡(luò)安全威脅l 了解無線網(wǎng)絡(luò)安全威脅的來源l 熟悉無線網(wǎng)絡(luò)安全的基本攻擊面4.3 網(wǎng)絡(luò)安全防御4.3.1 網(wǎng)絡(luò)安全防御原則l 了解最小權(quán)限原則、縱深防御原則、防御多樣性原則、防御整體性原

10、則、安全性與代價平衡原則、網(wǎng)絡(luò)資源的等積性原則等4.3.2 基本防御技術(shù)l 熟悉防火墻技術(shù)l 熟悉入侵檢測技術(shù)l 熟悉VPN技術(shù)l 熟悉網(wǎng)絡(luò)容錯技術(shù)l 熟悉安全漏洞掃描技術(shù)l 了解網(wǎng)絡(luò)蜜罐技術(shù)l 了解匿名網(wǎng)絡(luò)4.3.3 安全協(xié)議l 熟悉IPSec協(xié)議、SSL協(xié)議、PGP協(xié)議、TLS協(xié)議、IEEE802.1x協(xié)議、RADIUS協(xié)議、Kerberos協(xié)議、X.509協(xié)議、SSH協(xié)議等4.4 無線網(wǎng)絡(luò)安全4.4.1 無線網(wǎng)絡(luò)安全基本知識l 了解無線廣域網(wǎng)、無線城域網(wǎng)、無線局域網(wǎng)和無線個域網(wǎng)概念l 了解無線傳感器網(wǎng)絡(luò)概念l 了解無線網(wǎng)狀網(wǎng)概念4.4.2 無線網(wǎng)絡(luò)安全威脅及分析l 了解無線網(wǎng)絡(luò)安全威脅l

11、 熟悉無線網(wǎng)絡(luò)安全需求分析l 熟悉無線網(wǎng)絡(luò)安全方案設(shè)計策略4.4.3 無線網(wǎng)絡(luò)安全機制l 熟悉無線公開密鑰體系（WPKI）l 熟悉有線等效保密協(xié)議（WEP）l 熟悉WiFi網(wǎng)絡(luò)安全接入?yún)f(xié)議(WPA/WPA2)l 熟悉無線局域網(wǎng)鑒別與保密體系（WAPI）l 熟悉802.11i協(xié)議l 了解移動通信系統(tǒng)安全機制l 了解無線傳感器網(wǎng)絡(luò)安全機制l 了解無線個域網(wǎng)安全機制5. 計算機安全5.1 計算機設(shè)備安全5.1.1 計算機安全的定義l 熟悉計算機安全的屬性l 了解可靠性度量方法5.1.2 計算機系統(tǒng)安全模型與安全方法l 熟悉系統(tǒng)安全的概念l 熟悉系統(tǒng)安全策略的基本模型l 了解系統(tǒng)安全的實現(xiàn)方法5.1.

12、3 電磁泄露和干擾l 了解電磁泄露檢測方法和安全防護l 了解電磁泄露的處理方法5.1.4 物理安全l 了解場地安全、設(shè)備安全和介質(zhì)安全5.1.5 計算機的可靠性技術(shù)l 熟悉容錯的基本概念l 了解硬件容錯、軟件容錯和數(shù)據(jù)容錯5.2 操作系統(tǒng)安全5.2.1 操作系統(tǒng)安全基本知識l 熟悉安全操作系統(tǒng)概念l 熟悉操作系統(tǒng)安全概念l 熟悉操作系統(tǒng)的安全性概念5.2.2 操作系統(tǒng)面臨的安全威脅5.2.3 安全模型l 掌握BLP模型l 熟悉Biba模型、Clark-Wilson模型、RBAC模型、DTE模型、BN模型5.2.4 操作系統(tǒng)的安全機制l 熟悉標識與鑒別機制l 熟悉訪問控制機制l 熟悉最小特權(quán)管理

13、機制l 熟悉可信通信機制l 熟悉安全審計機制l 熟悉存儲保護、運行保護和I/O保護機制5.2.5 操作系統(tǒng)安全增強的實現(xiàn)方法l 了解安全操作系統(tǒng)的設(shè)計原則、實現(xiàn)方法和一般開發(fā)過程l 了解操作系統(tǒng)的安全增強技術(shù)5.3 數(shù)據(jù)庫系統(tǒng)的安全5.3.1 數(shù)據(jù)庫安全的概念5.3.2 數(shù)據(jù)庫安全的發(fā)展歷程5.3.3 數(shù)據(jù)庫訪問控制技術(shù)l 熟悉數(shù)據(jù)庫安全模型l 熟悉數(shù)據(jù)庫安全策略的實施5.3.4 數(shù)據(jù)庫加密l 熟悉數(shù)據(jù)庫加密概念l 熟悉數(shù)據(jù)庫加密技術(shù)的基本要求l 掌握數(shù)據(jù)庫加密技術(shù)與訪問控制技術(shù)的關(guān)系5.3.5 多級安全數(shù)據(jù)庫l 了解數(shù)據(jù)庫安全標準l 了解多級安全數(shù)據(jù)庫的體系結(jié)構(gòu)5.3.6 數(shù)據(jù)庫推理控制問題

14、l 了解推理通道分類、產(chǎn)生的原因和解決手段5.3.7 數(shù)據(jù)庫備份與恢復l 熟悉數(shù)據(jù)庫備份l 了解數(shù)據(jù)庫恢復5.4 惡意代碼5.4.1 惡意代碼定義與分類l 惡意代碼的定義和特征5.4.2 惡意代碼的命名規(guī)則l 了解常用惡意代碼的前綴解釋l 了解CARO命名規(guī)則5.4.3 計算機病毒l 掌握計算機病毒的定義和特點l 熟悉計算機病毒的生命周期和傳播途徑5.4.4 網(wǎng)絡(luò)蠕蟲l 掌握網(wǎng)絡(luò)蠕蟲的定義5.4.5 特洛伊木馬l 掌握特洛伊木馬的定義l 掌握遠程控制型木馬的連接方式及其特點l 熟悉遠程控制型木馬的常見控制功能、具體用途及自我隱藏方式5.4.6 后門l 掌握后門的定義5.4.7 其他惡意代碼l

15、熟悉DDos、Bot、Rootkit、Exploit黑客攻擊程序、簡單軟件、廣告軟件的定義5.4.8 惡意代碼的清除方法l 熟悉惡意代碼對主機的篡改行為l 熟悉惡意代碼的清楚步驟5.4.9 典型反病毒技術(shù)l 熟悉特征值查毒法l 熟悉校驗和技術(shù)l 熟悉啟發(fā)式掃描、虛擬機技術(shù)、行為監(jiān)控技術(shù)、主動防御技術(shù)5.5 計算機取證5.5.1 計算機取證的基本概念l 熟悉計算機取證的定義、作用與目的5.5.2 電子證據(jù)及特點l 熟悉電子證據(jù)的定義和特征5.5.3 計算機取證技術(shù)l 熟悉計算機取證步驟l 熟悉計算機取證分析技術(shù)5.6 嵌入式系統(tǒng)安全5.6.1 智能卡安全基礎(chǔ)知識l 掌握智能卡的基本概念l 了解智

16、能卡相關(guān)標準l 掌握智能卡安全問題與應(yīng)對策略5.6.2 USB Key技術(shù)l 掌握USB Key身份認證原理l 掌握USB Key身份認證的特點l 掌握USB Key安全問題與應(yīng)對策略5.6.3 移動智能終端l 了解移動智能終端軟硬件系統(tǒng)l 熟悉移動智能終端面臨的安全問題及解決途徑5.6.4 熟悉工控系統(tǒng)安全問題及解決途徑5.7 云計算安全5.7.1 云計算安全基礎(chǔ)知識5.7.2 IaaS層安全技術(shù)5.7.3 PaaS層安全技術(shù)5.7.4 SaaS層安全技術(shù)6. 應(yīng)用系統(tǒng)安全6.1 Web安全6.1.1 Web安全威脅l 掌握Web安全概念l 熟悉Web安全分類6.1.2 Web安全威脅防護技

17、術(shù)l 熟悉Web訪問安全和Web內(nèi)容安全l 熟悉網(wǎng)頁防篡改技術(shù)6.2 電子商務(wù)安全6.2.1 電子商務(wù)安全基礎(chǔ)知識l 熟悉電子商務(wù)安全概念、特點和需求6.2.2 電子商務(wù)的安全認證體系l 熟悉身份認證技術(shù)和數(shù)字證書技術(shù)6.2.3 電子商務(wù)的安全服務(wù)協(xié)議l 了解SET協(xié)議l 熟悉SSL協(xié)議6.3 信息隱藏6.3.1 信息隱藏基礎(chǔ)知識l 掌握信息隱藏的定義、分類和特點l 熟悉信息穎倉模型l 了解信息隱藏常用算法（空域算法、Patchwork算法、頻域算法、壓縮域算法、NEC算法、生理模型算法）l 了解信息隱藏技術(shù)的發(fā)展和應(yīng)用領(lǐng)域6.3.2 數(shù)字水印技術(shù)l 掌握數(shù)字水印概念l 熟悉數(shù)字水印的基本原理

18、、分類及模型l 了解數(shù)字水印常用實現(xiàn)方法和算法l 了解視頻水印概念l 了解數(shù)字水印攻擊方法和對抗策略6.4 網(wǎng)絡(luò)輿情6.4.1 網(wǎng)絡(luò)輿情的基本概念l 掌握網(wǎng)絡(luò)輿情的定義和意義l 熟悉網(wǎng)絡(luò)輿情的表現(xiàn)方式和特點6.4.2 網(wǎng)絡(luò)輿情的基本技術(shù)l 熟悉網(wǎng)絡(luò)輿情的誘發(fā)因素、檢測技術(shù)和預警措施6.5 隱私保護6.5.1 隱私保護基礎(chǔ)知識l 掌握隱私保護的基本概念l 了解隱私保護目標l 熟悉隱私泄露方式6.5.2 數(shù)據(jù)挖掘和隱私保護l 了解數(shù)據(jù)挖掘與隱私保護的關(guān)系6.5.3 隱私度量與評估標準l 了解隱私的度量方法l 了解隱私保護算法的評估標準考試科目2：信息安全應(yīng)用技術(shù)1. 密碼學應(yīng)用1.1 密碼算法的實

19、現(xiàn)l 了解DES/3DES密碼算法的軟件實現(xiàn)l 了解AES密碼算法的軟件實現(xiàn)l 了解SM4密碼算法的軟件實現(xiàn)l 了解RC4密碼算法的軟件實現(xiàn)l 了解SM3算法的軟件實現(xiàn)l 了解HMAC算法的軟件的算法的軟法實現(xiàn)1.2 密碼算法的應(yīng)用1.2.1 典型密碼算法的應(yīng)用l 熟悉數(shù)據(jù)加密的基本方法l 熟悉文件加密的基本方法l 熟悉通信加密的基本方法1.2.2 分組密碼工作模式l 熟悉分組密碼工作的ECB/CBC/CFB/OFB/CTR模式l 熟悉填充發(fā)1.2.3 公鑰密碼應(yīng)用l 熟悉公鑰密碼的加密應(yīng)用l 了解SM2公鑰密碼在加密和數(shù)字簽名方面的應(yīng)用l 熟悉數(shù)字簽名的應(yīng)用1.3 認證協(xié)議的應(yīng)用1.3.1

20、身份認證l 掌握安全口令技術(shù)1.3.2 典型認證協(xié)議的應(yīng)用l 熟悉站點認證技術(shù)l 熟悉報文源和報文宿的認證技術(shù)l 熟悉報文內(nèi)容的認證技術(shù)l 熟悉消息認證碼的應(yīng)用1.4 密鑰管理技術(shù)l 熟悉對稱密碼會話密鑰的產(chǎn)生和分發(fā)l 掌握公鑰基礎(chǔ)設(shè)施和數(shù)字證書的應(yīng)用2. 網(wǎng)絡(luò)安全工程2.1 網(wǎng)絡(luò)安全需求分析與基本設(shè)計l 熟悉網(wǎng)絡(luò)安全需求分析l 熟悉網(wǎng)絡(luò)安全設(shè)計原則2.2 網(wǎng)絡(luò)安全產(chǎn)品的配置與使用2.2.1 網(wǎng)絡(luò)流量監(jiān)控和協(xié)議分析l 熟悉網(wǎng)絡(luò)流量監(jiān)控的工作原理l 掌握網(wǎng)絡(luò)協(xié)議分析工具的基本配置2.2.2 網(wǎng)閘的配置與使用l 熟悉安全網(wǎng)閘的工作原理l 掌握安全網(wǎng)閘的基本配置l 掌握安全網(wǎng)閘的功能配置與使用2.2

21、.3 防火墻的配置與使用l 熟悉防火墻的工作原理l 熟悉防火墻的基本配置l 熟悉防火墻的策略配置2.2.4 入侵檢測系統(tǒng)的配置與使用l 熟悉入侵檢測系統(tǒng)的工作原理l 掌握入侵檢測系統(tǒng)的基本配置l 熟悉入侵檢測系統(tǒng)的簽名庫配置與管理2.3 網(wǎng)絡(luò)安全風險評估實施2.3.1 基本原則與流程l 熟悉基本原則和基本流程2.3.2 識別階段工作l 熟悉資產(chǎn)識別l 熟悉威脅識別l 熟悉脆弱性識別2.3.3 風險分析階段工作l 熟悉風險分析模型l 熟悉風險計算方法l 熟悉風險分析與評估l 熟悉風險評估報告2.3.4 風險處置l 熟悉風險處置原則l 熟悉風險整改建議2.4 網(wǎng)絡(luò)安全防護技術(shù)的應(yīng)用2.4.1 網(wǎng)絡(luò)

22、安全漏洞掃描技術(shù)及應(yīng)用l 熟悉網(wǎng)絡(luò)安全漏洞掃描的工作原理l 熟悉網(wǎng)絡(luò)安全漏洞掃描器分類l 掌握網(wǎng)絡(luò)安全漏洞掃描器的應(yīng)用l 熟悉網(wǎng)絡(luò)安全漏洞的防御2.4.2 VPN技術(shù)及應(yīng)用l 熟悉基于虛擬電路的VPNl 熟悉應(yīng)用層VPNl 熟悉基于隧道協(xié)議的VPNl 熟悉基于MPLS的VPN2.4.3 網(wǎng)絡(luò)容災(zāi)備份技術(shù)及應(yīng)用l 熟悉網(wǎng)絡(luò)容災(zāi)備份系統(tǒng)的工作原理l 熟悉網(wǎng)絡(luò)容災(zāi)備份系統(tǒng)的分類l 掌握網(wǎng)絡(luò)容災(zāi)備份系統(tǒng)的應(yīng)用2.4.4 日志分析l 熟悉日志分析的基本原理l 熟悉日志分析方法l 熟悉日志分析應(yīng)用3. 系統(tǒng)安全工程3.1 訪問控制3.1.1 訪問控制技術(shù)l 掌握基于角色的訪問控制技術(shù)l 熟悉Kerbero

23、s協(xié)議3.1.2 身份認證技術(shù)l 熟悉口令猜測技術(shù)l 了解常用網(wǎng)站的口令強度分析技術(shù)3.2 信息系統(tǒng)安全的需求分析與設(shè)計3.2.1 信息系統(tǒng)安全需求分析l 熟悉信息系統(tǒng)安全需求l 熟悉安全信息系統(tǒng)的構(gòu)建過程3.2.2 信息系統(tǒng)安全的設(shè)計l 熟悉信息系統(tǒng)安全體系l 掌握信息系統(tǒng)安全的開發(fā)構(gòu)建過程和設(shè)計方法3.3 信息系統(tǒng)安全產(chǎn)品的配置與使用3.3.1 Windows系統(tǒng)安全配置l 熟悉用戶管理配置、系統(tǒng)管理配置和網(wǎng)絡(luò)管理配置3.3.2 Linux系統(tǒng)安全配置l 熟悉用戶管理配置、系統(tǒng)管理配置和網(wǎng)絡(luò)管理配置3.3.3 數(shù)據(jù)庫的安全配置l 熟悉用戶管理配置l 熟悉數(shù)據(jù)庫管理配置3.4 信息系統(tǒng)安全測評3.4.1 信息系統(tǒng)的安全測評的基礎(chǔ)與原則l 熟悉信息系統(tǒng)安全評測的內(nèi)容l 熟悉信息系統(tǒng)安全評測的基本原則l 熟悉信息系統(tǒng)安全的分級原則3.4.2 信息系統(tǒng)安全測評方法l 熟悉模糊測試l 熟悉代碼審計3.4.3 信息系統(tǒng)安全測評過程l 熟悉測評流程l 熟悉安全評估階段、安全認證階段和認證監(jiān)督階段的工作內(nèi)容4. 應(yīng)用安全工程4.1 Web安全需求分析與基本設(shè)計4.1.1 Web安全威脅l 熟悉OWASP Top 10 Web安全分類4.1.2 Web安全威脅防護技術(shù)l 掌握注入漏洞防護技術(shù)l 掌握失效的身份認證和會話管理防護技術(shù)l 掌握跨站腳本（XSS）防護技術(shù)l 熟悉其余常見We