CISP大綱詳細版本

1、注冊信息安全專業(yè)人員（CISP）知識體系大綱版本：3.0發(fā)布日期：2014年12月1日生效日期：2015年1月1日中國信息安全測評中心版權2014中國信息安全測評中心注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心1目錄目錄言4第1章注冊信息安全專業(yè)人員（CISP）知識體系概述51.1CISP資質認定類別51.2大綱范圍51.3CISP知識體系框架結構51.4CISP（CISE/CISO）考試試題結構7第2章知識類：信息安全保障92.1知識體：信息安全保障基礎92.1.1知識域：信息安全保障背景92.1.2知識域：信息安全保障概念與模型102.1.3知識域：信息系統(tǒng)安全

2、保障概念與模型102.2知識體：信息安全保障實踐112.2.1知識域：信息安全保障現(xiàn)狀112.2.2知識域：我國信息安全保障工作主要內容112.2.3知識域：信息安全保障工作方法12第3章知識類：信息安全技術133.1知識體：密碼技術133.1.1知識域：密碼學基礎133.1.2知識域：密碼學應用143.2知識體：鑒別與訪問控制153.2.1知識域：鑒別153.2.2知識域：訪問控制模型163.2.3知識域：訪問控制技術163.3知識體：網絡安全173.3.1知識域：網絡協(xié)議安全173.3.2知識域：網絡安全設備173.3.3知識域：網絡架構安全183.4知識體：操作系統(tǒng)與數據庫安全193.4

3、.1知識域：操作系統(tǒng)安全193.4.2知識域：數據庫安全203.5知識體：應用安全203.5.1知識域：應用安全20注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心23.6知識體：安全漏洞、惡意代碼與攻防213.6.1知識域：安全漏洞與惡意代碼213.6.2知識域：安全攻擊與防護223.7知識體：軟件安全開發(fā)233.7.1知識域：軟件安全開發(fā)概況233.7.2知識域：軟件安全開發(fā)的關鍵工作24第4章知識類：信息安全管理254.1知識體：信息安全管理基礎254.1.1知識域：信息安全管理概述254.1.2知識域：信息安全管理方法與實施254.2知識體：信息安全風險管理26

4、4.2.1知識域：信息安全風險管理基礎264.2.2知識域：信息安全風險管理主要內容274.2.3知識域：信息安全風險評估274.3知識體：信息安全管理體系284.3.1知識域：信息安全管理體系基礎294.3.2知識域：信息安全管理體系建設294.3.3知識域：信息安全控制措施304.4知識體：應急響應與災難恢復314.4.1知識域：應急響應概況314.4.2知識域：信息系統(tǒng)災難恢復324.4.3知識域：災難恢復相關技術32第5章知識類：信息安全工程345.1知識體：信息安全工程基礎345.1.1知識域：信息安全工程概述345.1.2知識域：信息安全工程實施355.1.3知識域：信息安全工程監(jiān)

5、理355.2知識體：信息安全工程能力評估365.2.1知識域：SSE-CMM概述365.2.2知識域：信息安全工程過程375.2.3知識域：信息安全工程能力37第6章知識類：信息安全法規(guī)標準386.1知識體：信息安全法規(guī)與政TOC o 1-5 h z策386.1.1知識域：信息安全法規(guī)386.1.2知識域：信息安全政策39注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心36.2知識體：信息安全標準406.2.1知識域：信息安全標準基礎406.2.2知識域：信息安全標準化組織416.2.3知識域：信息安全標準體系416.2.4知識域：我國信息安全典型標準介紹416.3知識

6、體：信息安全道德規(guī)范426.3.1知識域：信息技術通行道德規(guī)范426.3.2知識域：信息安全從業(yè)人員道德規(guī)范42注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心4前言信息安全作為我國信息化建設健康發(fā)展的重要因素，關系到貫徹落實科學發(fā)展觀、全面建設小康社會、構建社會主義和諧社會及建設創(chuàng)新型社會等國家戰(zhàn)略舉措的實施，是國家安全的重要組成部分。在信息系統(tǒng)安全保障工作中，人是最核心、也是最活躍的因素，人員的信息安全意識、知識與技能已經成為保障信息系統(tǒng)安全穩(wěn)定運行的重要基本要素之一。注冊信息安全專業(yè)人員（CISP）是對我國網絡基礎設施和重要信息系統(tǒng)的信息安全專業(yè)人員開展在職培訓的

7、重要形式，多年來為落實我國有關政策“加快信息安全人才培養(yǎng)，增強全民信息安全意識”的指導精神，構建信息安全人才體系發(fā)揮了巨大作用。本大綱從我國國情出發(fā)，結合我國網絡基礎設施和重要信息系統(tǒng)安全保障的實際需求，以知識體系的全面性和實用性為原則，明確規(guī)定了注冊信息安全專業(yè)人員應當掌握的知識要點，是CISP教材編制、講師授課、學員學習以及考試命題的重要依據。本大綱包含以下章節(jié)：第1章注冊信息安全專業(yè)人員（CISP）知識體系概述第2章知識類：信息安全保障第3章知識類：信息安全技術第4章知識類：信息安全管理第5章知識類：信息安全工程第6章知識類：信息安全法規(guī)標準注冊信息安全專業(yè)人員（CISP）知識體系大綱V

8、2.3中國信息安全測評中心5第1章注冊信息安全專業(yè)人員（CISP）知識體系概述CISP類別“注冊信息安全專業(yè)人員”，英文為CertifiedInformationSecurityProfessional，簡稱CISP，根據崗位工作需要，分為四個類別：注冊信息安全工程師”，英文為CertifiedInformationSecurityEngineer，簡稱CISE。證書持有人員主要從事信息安全技術領域的工作，具有從事信息系統(tǒng)安全集成、安全技術測試、安全加固和安全運維的基本知識和能力。注冊信息安全管理員”，英文為CertifiedInformationSecurityOfficer，簡稱CISO。

9、證書持有人員主要從事信息安全管理領域的工作，具有組織信息安全風險評估、信息安全總體規(guī)劃編制、信息安全策略制度制定和監(jiān)督落實的基本知識和能力。注冊信息安全審計師”，英文為CertifiedInformationSecurityAuditor，簡稱CISA。證書持有人主要從事信息安全審計工作，在全面掌握信息安全基本知識技能的基礎上，具有較強的信息安全風險評估、安全檢查實踐能力。注冊信息安全開發(fā)人員”，英文為CertifiedInformationSecurityDeveloper，簡稱CISD。證書持有人主要從事軟件開發(fā)相關工作，在全面掌握信息安全基本知識技能的基礎上，具有較強的信息系統(tǒng)安全開發(fā)能

10、力、熟練掌握應用安全。大綱范圍本大綱涵蓋了CISE和CISO兩類注冊人員需要掌握的知識要點。CISA需要更加深入地掌握有關信息系統(tǒng)審計和風險評估的知識，有關內容將在CISA知識體系大綱中進行介紹。CISD需要更加深入地掌握有關信息系統(tǒng)安全開發(fā)的知識，有關內容將在CISD知識體系大綱中進行介紹。CISP知識體系框架結構CISP知識體系使用組件模塊化的結構，包括知識類、知識體、知識域和知識子域四個層次。知識類：是對信息安全保障知識領域的總體劃分，包含信息安全專業(yè)人員需要掌握的五大知識類別；注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心6知識體：是知識類中由屬于同一技術領域

11、的知識內容構成的相對獨立、成體系的知識集合；知識域：是對知識體進一步分解細化形成的完整的知識組件；知識子域：是構成知識域的基本模塊，由一至多個具體知識要點構成。本大綱規(guī)定了知識子域中每一個知識要點的內容和深度要求，分為“了解”、理解”、和“掌握”三類。了解：是最低深度要求，學員需要正確認識該知識要點的基本概念和原理；理解：是中等深度要求，學員需要在正確認識該知識要點的基本概念和原理的基礎上，深入理解其內容，并可以進一步的判斷和推理；掌握：是最高深度要求，學員需要正確認識該知識要點的概念、原理，并在深入理解的基礎上靈活運用。圖1-1描述了CISP知識體系的結構：圖1-1：CISP知識體系的組件模

12、塊結構在整個注冊信息安全專業(yè)人員（CISP）的知識體系結構中，共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全法規(guī)標準這五個知識類，每個知識類根據其邏輯劃分為多個知識體，每個知識體包含多個知識域，每個知識域由一個或多個知識子域組成。CISP知識體系結構共包含五個知識類，分別為：信息安全保障：介紹了信息安全保障的框架、基本原理和實踐，它是注冊信息安全專業(yè)人員首先需要掌握的基礎知識。注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心7信息安全技術：主要包括密碼、訪問控制等安全技術與機制，網絡、操作系統(tǒng)、數據庫和應用軟件等方面的基本安全原理和實踐，以及安全

13、攻防和軟件安全開發(fā)相關的技術知識和實踐。信息安全管理：主要包括信息安全管理體系建設、信息安全風險管理、安全管理措施等相關的管理知識和實踐。信息安全工程：主要包括信息安全相關的工程的基本理論和實踐方法。信息安全法規(guī)標準：主要包括信息安全相關的法律法規(guī)、政策、標準和道德規(guī)范，是注冊信息安全專業(yè)人員需要掌握的通用基礎知識。圖1-2描述了CISP知識體系結構框架：注冊信息安全專業(yè)人員（CISP）知識體系結構信息安全保障基礎信息安全保障實踐信息安全保障信息安全技術信息安全法規(guī)標準操作系統(tǒng)安全網絡安全應用安全應急響應與災難恢復信息安全風險管理信息安全管理基礎信息安全管理信息安全工程安全工程基礎安全工程能力

14、評估信息安全法規(guī)與政策信息安全標準信息安全道德規(guī)范信息內容安全信息安全管理體系密碼技術數據庫安全鑒別與訪問控制安全攻擊與防護軟件安全開發(fā)圖1-2：CISP知識體系結構框架CISP（CISE/CISO）考試試題結構CISP考試題型均為單項選擇題，共100題，每題1分，得到70分以上（含70分）為通過?！白孕畔踩こ處煛保–ISE）和“注冊信息安全管理人員”（CISO）都需要學習和掌握CISP知識體系結構框架中的所有內容。由于兩種注冊證書持注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心8有人的工作崗位和工作領域的不同，考試的側重點有所區(qū)別，因此，所對應的試題比例不同。

15、表1-1中描述了CISE/CISO考試各知識類試題的所占比例。表1-1：CISP（CISE/CISO）試題結構CISP資質類型知識類別CISECISO信息安全保障10%10%信息安全技術50%20%信息安全管理20%50%信息安全工程10%10%信息安全法規(guī)標準10%10%注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心9第2章知識類：信息安全保障信息安全保障介紹了信息安全保障的框架、基本原理和實踐，它是注冊信息安全專業(yè)人員首先需要掌握的基礎知識。通過本部分的學習，學員應當：理解信息安全保障的意義和內涵；掌握信息安全保障工作的總體思路和基本實踐方法。2.1知識體：信息安

16、全保障基礎圖2-1：知識體：信息安全保障基礎知識域：信息安全保障背景知識子域：信息安全內涵與外延理解信息安全基本概念，理解信息安全基本屬性:保密性、完整性和可用性理解信息安全的特征與范疇知識子域：信息安全問題根源理解信息安全問題產生的內因是信息系統(tǒng)自身存在脆弱性理解信息安全問題產生的外因是信息系統(tǒng)面臨著眾多威脅知識子域：信息技術與信息安全發(fā)展階段了解通信、計算機、網絡和網絡化社會等階段信息技術的發(fā)展概況了解信息技術和網絡對經濟發(fā)展、社會穩(wěn)定及國家安全等方面的影響注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心10了解通信安全、計算機安全、信息系統(tǒng)安全和信息安全保障等階段

17、信息安全的發(fā)展概況，了解各個階段信息安全面臨的主要威脅和防護措施知識域：信息安全保障概念與模型知識子域：信息安全保障理解信息安全保障的概念理解信息安全保障與信息安全、信息系統(tǒng)安全的區(qū)別知識子域：信息安全保障相關模型理解P2DR模型的基本原理：策略、防護、檢測及響應，以及P2DR公式所表達的安全目標理解IATF的深度防御思想，及其將信息系統(tǒng)在技術層面的防御劃分為本地計算環(huán)境、區(qū)域邊界、網絡基礎設施和支撐性基礎設施四個方面，理解每一方面的安全需求及基本實現(xiàn)方法知識域：信息系統(tǒng)安全保障概念與模型知識子域：信息系統(tǒng)安全保障了解信息系統(tǒng)的概念及其包含的基本資源理解信息系統(tǒng)安全保障的概念，以及風險、業(yè)務使

18、命等信息系統(tǒng)安全保障相關概念及其之間的關系知識子域:信息系統(tǒng)安全保障模型理解信息系統(tǒng)安全保障模型中生命周期、保障要素和安全特征的含義和內容理解風險和策略是信息系統(tǒng)安全保障的核心問題理解業(yè)務使命實現(xiàn)是信息安全保障的根本目的注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心112.2知識體：信息安全保障實踐圖2-2：知識體：信息安全保障實踐知識域：信息安全保障現(xiàn)狀知識子域：國外信息安全保障現(xiàn)狀了解發(fā)達國家信息安全狀況和信息安全保障的主要舉措了解發(fā)達國家信息安全保障建設動態(tài)知識子域:我國信息安全保障現(xiàn)狀了解我國信息化與信息安全形勢了解我國信息安全保障發(fā)展階段理解我國信息安全保障

19、基本思路了解我國信息安全保障目標了解我國信息安全保障的整體規(guī)劃了解我國信息安全保障體系的框架2.2.2知識域:我國信息安全保障工作主要內容知識子域：信息安全標準化了解信息安全標準化的意義了解我國信息安全標準化工作的實踐情況注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心12知識子域:信息安全應急處理與信息通報了解信息安全應急處理與信息通報的意義了解我國信息安全應急處理與信息通報工作的實踐情況知識子域：信息安全等級保護了解我國信息安全等級保護的意義了解我國信息安全等級保護工作的實踐情況知識子域:信息安全風險評估了解信息安全風險評估的意義了解我國信息安全風險評估工作的實踐情

20、況知識子域：災難恢復了解災難恢復的意義了解我國災難恢復工作的實踐情況知識子域：人才隊伍建設了解人才隊伍建設的意義了解我國信息安全人才隊伍建設工作的實踐情況知識域：信息安全保障工作方法知識子域：確定信息安全需求了解確定信息安全保障需求的作用了解確定信息安全保障需求的方法和原則知識子域:設計并實施信息安全方案了解信息安全方案的作用和主要內容了解制定信息安全方案的主要原則了解信息安全方案實施的主要原則知識子域：信息安全測評了解信息安全測評的重要性了解國內外信息安全測評概況了解信息產品安全測評方法了解信息系統(tǒng)安全測評方法了解服務商資質測評方法了解信息安全人員資質測評方法知識子域：信息安全監(jiān)測與維護了解

21、在系統(tǒng)生命周期中持續(xù)提高信息系統(tǒng)安全保障能力的意義了解信息系統(tǒng)安全監(jiān)測與維護的主要原則注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心13第3章知識類：信息安全技術信息安全技術是注冊信息安全專業(yè)人員需要掌握的主體知識內容之一。通過本部分的學習，學員應當：理解密碼、訪問控制等信息安全保障技術的原理和基本實現(xiàn)方法；掌握計算機網絡、操作系統(tǒng)軟件、數據庫、應用軟件信息安全防護的基本知識和技術；理解信息安全攻擊與防護的基本知識和技術；理解軟件安全開發(fā)的基本方法。知識體：密碼技術圖3-1：知識體：密碼技術知識域：密碼學基礎知識子域：密碼學發(fā)展簡史了解密碼學的發(fā)展階段及各階段特點了解

22、每一階段密碼應用狀況知識子域：密碼學基本概念注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心14理解密碼通信模型，理解密碼學加密、解密、算法、密鑰等概念理解科克霍夫原則，理解算法復雜程度和密鑰長度是影響密碼系統(tǒng)安全性的基本因素理解古典密碼的特點及算法類型掌握密碼體制的分類和特點理解密鑰管理的重要性，理解密鑰生命周期概念，了解密鑰產生、分配、使用、更換和注銷等過程的管理特點了解密碼協(xié)議的概念及類型，了解Diffie-Hellman密鑰協(xié)商協(xié)議的實現(xiàn)原理知識子域：對稱密碼算法理解對稱密碼算法的優(yōu)缺點和應用場合理解DES、3DES、AES、IDEA算法的特點知識子域：非對稱密

23、碼算法理解非對稱密碼算法的優(yōu)缺點和應用場合理解RSA算法的特點了解EIGamal、ECC等算法的特點知識子域：哈希函數、消息鑒別碼和數字簽名理解哈希函數的特點和作用，了解MD5算法、SHA-1算法的原理和應用理解消息鑒別碼的特點和作用，了解MAC、HMAC的原理和應用理解數字簽名的原理和應用，了解DSA和RSA簽名方案及區(qū)別知識域：密碼學應用知識子域：密碼學應用基礎理解使用密碼學手段解決機密性、完整性、鑒別、不可否認性以及授權等信息安全要素的實現(xiàn)方法了解常見密碼應用場景和分類產品知識子域：公鑰基礎設施了解PKI/CA中CA、RA、數字證書、LDAP、OCSP、CRL等概念理解PKI/CA體系結

24、構和作用掌握PKI/CA中數字證書的申請、發(fā)布及注銷等流程了解PKI/CA的典型應用知識子域:虛擬專用網絡理解VPN的概念、分類和功能注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心15理解IPSec協(xié)議的工作原理和特點理解SSL協(xié)議的工作原理和特點知識子域：特權管理基礎設施了解PMI/AA的概念和作用掌握PMI和PKI的區(qū)別了解PMI/AA的體系結構，以及屬性證書的特點和應用知識子域：其他密碼學應用介紹理解動態(tài)口令認證特點、實現(xiàn)原理及應用理解動態(tài)口令和靜態(tài)口令的優(yōu)缺點對比知識體：鑒別與訪問控制圖3-2：知識體：鑒別與訪問控制知識域：鑒別知識子域：鑒別的類型理解標識、鑒

25、別的概念和作用理解單向鑒別、雙向鑒別和第三方鑒別的區(qū)別知識子域：鑒別的方法理解基于所知、所有和生物特征的三種基本鑒別方法及其特點理解每種鑒別方法及組合鑒別方法的強度注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心16知識域:訪問控制模型知識子域:訪問控制基本概念理解訪問控制的作用理解主體、客體、訪問權限等基本概念理解訪問控制模型的一般構成知識子域：自主訪問控制理解自主訪問控制（DAC）的含義理解DAC的常用描述方式訪問控制矩陣模型，及其兩種常見實現(xiàn)方法：訪問控制表、能力表，了解其他實現(xiàn)方法如前綴表、保護位理解DAC的特點知識子域：強制訪問控制理解強制訪問控制（MAC）的

26、分類和含義理解典型mac模型：Bell-Lapudula模型、Biba模型了解ChineseWall模型和Clark-Wils。r模型理解MAC的特點知識子域：基于角色的訪問控制理解基于角色的訪問控制（區(qū)3人。模型的基本組成理解RBAC的特點知識域：訪問控制技術知識子域：集中訪問控制理解集中訪問控制的基本概念理解實現(xiàn)集中訪問控制的常用協(xié)議：Kerberos協(xié)議、AAA協(xié)議了解三個常見的AAA協(xié)議：RADIUS、TACACS+和Diameter，以及每個協(xié)議的優(yōu)缺點知識子域：非集中訪問控制理解非集中訪問控制的基本概念理解域等非集中訪問控制的實現(xiàn)方式注冊信息安全專業(yè)人員（CISP）知識體系大綱V2

27、.3中國信息安全測評中心173.3知識體：網絡安全圖3-3：知識體：網絡安全知識域：網絡協(xié)議安全知識子域：OSI七層模型及安全架構了解開放系統(tǒng)互聯(lián)（051）模型的七層網絡通信結構及通信過程，了解每一層的功能了解OSI安全架構的核心內容：基于8類安全機制提供5類安全服務知識子域：TCP/IP安全了解TCP/IP協(xié)議模型及各層典型協(xié)議的功能理解基于TCP/IP的典型安全協(xié)議了解IPv6的安全特點知識子域：無線局域網協(xié)議安全了解無線局域網的基本組成與特點了解WEP、802.11i、WAPI等無線局域網安全實現(xiàn)知識域：網絡安全設備知識子域：防火墻理解防火墻的作用、功能及分類注冊信息安全專業(yè)人員（CIS

28、P）知識體系大綱V2.3中國信息安全測評中心18理解包過濾技術、狀態(tài)檢測技術和應用代理技術等防火墻主要技術原理掌握防火墻的典型部署方式理解防火墻的局限性知識子域:入侵檢測系統(tǒng)理解入侵檢測系統(tǒng)的作用、功能及分類了解入侵檢測系統(tǒng)的主要技術原理掌握入侵檢測系統(tǒng)的典型部署方式理解入侵檢測系統(tǒng)的局限性知識子域：其他網絡安全設備了解安全隔離與信息交換系統(tǒng)的原理、特點及適用場景了解入侵防御系統(tǒng)（IPS）的原理與特點了解安全管理平臺（SOC）的主要功能了解統(tǒng)一威脅管理系統(tǒng)（UTM）的功能與特點了解網絡準入控制（NAC）的功能、組成及控制方式知識域：網絡架構安全知識子域：網絡架構安全基礎理解網絡架構安全的含義理

29、解網絡架構安全設計的主要工作知識子域：網絡架構安全設計理解網絡安全域劃分應考慮的主要因素理解IP地址規(guī)劃方法理解VLAN劃分的作用與策略理解路由交換設備安全配置常見的要求理解網絡邊界訪問控制策略的類型理解網絡冗余配置應考慮的因素注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心19知識體：操作系統(tǒng)與數據庫安全圖3-4：知識體：操作系統(tǒng)與數據庫安全知識域：操作系統(tǒng)安全知識子域：操作系統(tǒng)安全概述了解操作系統(tǒng)的作用與功能了解操作系統(tǒng)的主要安全設計機制理解操作系統(tǒng)的安全配置要點知識子域：Windows系統(tǒng)安全機制理解Windows系統(tǒng)標識與鑒別、訪問控制、用戶賬戶控制、安全審計、

30、文件系統(tǒng)的安全機制和安全策略掌握Windows系統(tǒng)的安全配置方法知識子域：Linux系統(tǒng)安全機制理解Linux系統(tǒng)標識與鑒別、訪問控制、安全審計、文件系統(tǒng)、特權管理的安全機制掌握Linux系統(tǒng)的安全配置方法知識子域：安全操作系統(tǒng)了解安全操作系統(tǒng)的發(fā)展了解安全操作系統(tǒng)的設計原則注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心20知識域：數據庫安全知識子域：數據庫系統(tǒng)概述了解數據庫基本概念和主要功能了解構化查詢語言SQL的功能了解數據庫管理系統(tǒng)（DBMS）的一般架構知識子域：數據庫安全概述了解數據庫的安全需求了解數據庫的常見安全措施：用戶標識和鑒別、訪問控制、數據加密和安全

31、審計理解數據庫完整性要求，理解DBMS為了實現(xiàn)完整性保護必須提供：定義完整性約束條件的機制、完整性檢查的方法和違約處理的機制理解數據庫備份和恢復機制的重要性，了解常見的數據冗余技術和數據庫恢復策略知識子域：數據庫運行安全防護理解數據庫威脅與防護特點理解數據庫事前安全防護、事中安全監(jiān)控以及事后安全審計的方法知識體：應用安全圖3-5：知識體：應用安全知識域：應用安全知識子域：應用安全概述理解應用安全的概念注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心21了解常見應用安全威脅了解等級保護規(guī)范應用安全防護要點知識子域：Web應用安全理解Web工作機制及Web應用安全問題產生的

32、原因了解常見Web服務運行平臺的安全配置要點了解互聯(lián)網瀏覽面臨的安全威脅及應對方法了解Web安全防護產品如Web應用防火墻和網頁防篡改產品的功能和特點知識子域：常用互聯(lián)網服務安全了解電子郵件應用的安全缺陷和防御措施了解FTP應用安全缺陷和防御措施了解遠程管理的安全問題及防御措施了解域名應用的安全問題及防御措施知識子域:辦公軟件使用安全了解使用文字處理程序的安全防護要點了解使用即時通信軟件的安全防護要點知識體：安全漏洞、惡意代碼與攻防圖3-6：知識體：安全漏洞、惡意代碼與攻防知識域：安全漏洞與惡意代碼知識子域：安全漏洞的產生與發(fā)展注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測

33、評中心22了解安全漏洞的概念和產生的原因了解國內外常見的安全漏洞分類了解安全漏洞的發(fā)展趨勢知識子域:安全漏洞的發(fā)現(xiàn)與修復了解安全漏洞的靜態(tài)與動態(tài)挖掘方法的基本原理了解補丁分類及修復時應注意的問題知識子域：惡意代碼的產生與發(fā)展了解惡意代碼的發(fā)展歷史及趨勢了解惡意代碼的分類理解惡意代碼的傳播方式知識子域：惡意代碼的實現(xiàn)技術理解惡意代碼修改配置文件、修改注冊表、設置系統(tǒng)服務等加載方式理解惡意代碼進程、網絡及系統(tǒng)隱藏技術理解惡意代碼進程保護和檢測對抗自我保護技術知識子域:惡意代碼的防御技術理解增強安全策略與意識、減少漏洞、減輕威脅等惡意代碼預防方法理解惡意代碼特征碼掃描、利用沙箱技術、行為檢測等檢測方

34、法理解惡意代碼靜態(tài)與動態(tài)分析方法理解不同類型惡意代碼的清除方法3.6.2知識域：安全攻擊與防護知識子域：信息收集與分析了解信息收集與分析的作用理解快速定位、定點挖掘、漏洞查詢等信息收集與分析的方法理解信息收集與分析的防范措施知識子域：常見攻擊與防范理解默認口令攻擊、字典攻擊及暴力攻擊等方式的口令破解原理與防范措施理解社會工程學攻擊的方法與防范措施理解IP欺騙、ARP欺騙和DNS欺騙的原理與防范措施理解SYNFlood、UDPFlood、Teardrop攻擊等典型DOS/DDOS的原理與防范措施理解緩沖區(qū)溢出攻擊的原理與防范措施注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評

35、中心23理解SQL注入攻擊的原理與防范措施理解跨站腳本攻擊的原理與防范措施知識子域:后門設置與防范理解攻擊者設置系統(tǒng)后門的常用方法理解針對后門的防范措施知識子域：痕跡清除與防范理解攻擊者清除痕跡的常用方法理解針對痕跡清除的防范措施知識體：軟件安全開發(fā)圖3-7：知識體：軟件安全開發(fā)知識域：軟件安全開發(fā)概況知識子域：軟件安全開發(fā)背景了解軟件的發(fā)展和產生的安全問題了解軟件安全問題產生的原因知識子域：軟件安全開發(fā)的必要性理解軟件安全保障的含義、思路和目標了解傳統(tǒng)軟件開發(fā)的局限性理解軟件安全開發(fā)生命周期的概念和必要性知識子域：軟件安全開發(fā)模型及研究了解安全開發(fā)生命周期（SDL）的發(fā)展歷程，理解SDL的主

36、要內容了解使安全成為軟件開發(fā)必須的部分（BSI）系列模型注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心24了解綜合的輕量級應用安全過程（CLASP）的主要內容了解軟件保障成熟度模型（SAMM）的框架了解各個模型的特點及適用性3.7.2知識域：軟件安全開發(fā)的關鍵工作知識子域：軟件安全需求和設計了解軟件安全需求分析和安全設計的重要性理解軟件安全設計基本原則理解影響系統(tǒng)安全性的6類威脅，以及威脅建模過程知識子域：軟件安全編碼理解通用安全編碼準則：驗證輸入、避免緩沖區(qū)溢出、程序內部安全、安全調用組件、禁止使用不安全函數等理解使用安全編譯技術對提高編碼安全水平的作用，了解常用安

37、全編譯技術理解源代碼審核的目的及方式，了解常見源代碼靜態(tài)審核工具知識子域：軟件安全測試了解軟件安全測試的重要性和基本概念理解模糊測試的目的、方法和步驟，以及影響模糊測試效果的關鍵因素理解滲透測試的目的、方法和步驟，以及滲透測試應注意的問題注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心25第4章知識類：信息安全管理信息安全管理是注冊信息安全專業(yè)人員需要掌握的主體知識內容之一。通過本部分的學習，學員應當：理解信息安全管理對于保障信息系統(tǒng)安全的作用；理解信息安全管理體系、風險管理和信息安全管理控制措施的含義；掌握建立和完善信息安全管理體系的一般方法；掌握信息安全風險管理工作

38、的方法和一般原則；掌握各個信息安全管理控制措施的作用及最佳實踐。知識體：信息安全管理基礎圖4-1：知識體：信息安全管理基礎知識域：信息安全管理概述知識子域：信息安全管理基本概念理解管理、信息安全管理的概念，理解信息安全管理的對象理解以建立體系的方式實施信息安全管理的必要性理解體系、管理體系、信息安全管理體系的概念知識子域：信息安全管理作用理解信息安全管理的重要作用理解信息安全管理體系的作用理解實施信息安全管理的關鍵成功因素4.1.2知識域：信息安全管理方法與實施知識子域：信息安全管理方法注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心26理解風險管理是信息安全管理的基本

39、方法，理解風險評估是信息安全管理的基礎，風險處理是信息安全管理的核心，理解控制措施是管理風險的具體手段理解過程方法是信息安全管理的基本方法，理解過程和過程方法的含義，理解PDCA模型知識子域：信息安全管理實施理解建設信息安全管理體系是系統(tǒng)地實施信息安全管理的一種方法理解建設信息安全等級保護是系統(tǒng)地實施信息安全管理的一種方法了解基于NISTSP800進行信息安全建設是實施信息安全管理的一種方法4.2知識體：信息安全風險管理圖4-2：知識體：信息安全風險管理知識域:信息安全風險管理基礎知識子域:風險相關基本概念理解風險的概念，理解資產、威脅、脆弱性、業(yè)務戰(zhàn)略、安全事件、安全需求、安全措施等風險相關

40、概念注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心27理解風險準則、風險評估、風險處理、風險管理、殘余風險的概念，掌握信息安全風險評估的概念理解風險相關要素之間的關系知識子域：信息安全風險管理概述理解實施風險管理的主要原則理解風險管理的范圍和對象知識子域:信息安全風險相關政策與標準了解我國有關信息安全風險管理的政策要求了解信息安全風險管理相關的國內外標準知識域：信息安全風險管理主要內容知識子域：信息安全風險管理的基本內容和過程理解背景建立的主要工作內容理解風險評估的主要工作內容理解風險處理的主要工作內容理解批準監(jiān)督的主要工作內容理解監(jiān)控審查的主要工作內容理解溝通咨詢的

41、主要工作內容知識子域:信息系統(tǒng)生命周期與信息安全風險管理理解信息系統(tǒng)生命周期與信息安全風險管理的關系理解系統(tǒng)規(guī)劃階段的風險管理工作內容理解系統(tǒng)設計階段的風險管理工作內容理解系統(tǒng)實施階段的風險管理工作內容理解系統(tǒng)運行維護階段的風險管理工作內容理解系統(tǒng)廢棄階段的風險管理工作內容知識域：信息安全風險評估知識子域：風險評估工作形式理解自評估和檢查評估的風險評估工作形式理解自評估和檢查評估的區(qū)別及優(yōu)缺點理解風險評估、檢查評估和等級保護測評之間的關系知識子域：風險評估方法理解定性風險分析方法理解定量風險分析方法，掌握年度預期損失（ALE）的計算方法理解半定量風險分析方法注冊信息安全專業(yè)人員（CISP）知識

42、體系大綱V2.3中國信息安全測評中心28理解定性和定量風險分析方法的優(yōu)缺點知識子域：風險評估的實施流程掌握風險評估準備階段的工作內容掌握風險要素識別階段的工作內容掌握風險分析階段的工作內容和工作步驟掌握風險結果判定階段的工作內容知識子域：風險評估工具了解風險評估工具的分類了解常用風險評估工具4.3知識體：信息安全管理體系注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心29圖4-3：知識體：信息安全管理體系知識域：信息安全管理體系基礎知識子域：管理職責理解管理者履行管理職責對成功實施信息安全管理體系（ISMS）的重要推動作用掌握實施ISMS過程中管理者應承擔的管理職責的主

43、要內容知識子域:文檔控制理解文檔化對實施ISMS的重要性理解風險評估結果是編制ISMS文件的依據了解對ISMS文件和記錄進行保護和控制的常規(guī)措施知識子域：內部審核和管理評審了解內部審核的概念，以及內部審核的目的、實施主體、實施方式、審核準則了解管理評審的概念，以及管理評審的目的、實施主體、實施對象、實施方式知識子域：信息安全管理體系認證了解ISMS認證的概念理解ISMS認證是促進信息安全管理體系改進的一種外部驅動力4.3.2知識域：信息安全管理體系建設知識子域：規(guī)劃與建立ISMS理解定義ISMS范圍和邊界、實施風險評估、獲得管理者對殘余風險的批準等規(guī)劃與建立ISMS的主要工作內容知識子域：實施

44、和運行ISMS理解實施風險處理計劃、開發(fā)有效性測量程序、管理ISMS的運行等實施和運行ISMS的主要工作內容知識子域：監(jiān)視和評審ISMS理解進行有效性測量、實施內部審核、實施管理評審等監(jiān)視和評審ISMS的主要工作內容知識子域：保持和改進ISMS理解實施糾正和預防措施、溝通措施和改進情況等保持和改進ISMS的主要工作內容注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心30知識域：信息安全控制措施知識子域：安全方針理解信息安全方針控制目標的含義掌握信息安全方針文件和信息安全方針評審兩項措施的常規(guī)控制方法知識子域：信息安全組織理解內部組織控制目標的含義，掌握信息安全協(xié)調等實現(xiàn)

45、這一目標的控制措施的常規(guī)實施方法理解外部各方控制目標的含義，掌握與外部各方相關風險的識別等控制措施的實施方法知識子域：資產管理理解對資產負責控制目標的含義，掌握資產清單、資產責任人等控制措施的實施方法理解信息分類控制目標的含義，掌握分類指南、信息的標記和處理等控制措施的實施方法知識子域:人力資源安全理解任用前控制目標的含義，掌握角色和職責、審查等控制措施的實施方法理解任用中控制目標的含義，掌握管理職責、信息安全意識教育和培訓等控制措施的實施方法理解任用的終止或變化控制目標的含義，掌握終止職責、撤銷訪問權等控制措施的實施方法知識子域：物理和環(huán)境安全理解人身安全的重要性理解安全區(qū)域控制目標的含義，

46、掌握物理安全邊界、物理入口控制等控制措施的實施方法理解設備安全控制目標的含義，掌握設備安置和保護、支持性設施等控制措施的實施方法知識子域：通信和操作管理理解操作程序和職責、第三方服務交付管理、系統(tǒng)規(guī)劃和驗收、防范惡意代碼、備份、網絡安全管理、介質處置、信息的交換、電子商務服務、監(jiān)視和訪問控制這些控制目標的含義掌握實現(xiàn)這些控制目標的控制措施的實施方法知識子域：訪問控制注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心31理解訪問控制的業(yè)務要求、用戶訪問管理、用戶職責、網絡訪問控制、操作系統(tǒng)訪問控制、應用和信息訪問控制、移動計算和遠程工作這些控制目標的含義掌握實現(xiàn)這些控制目標

47、的控制措施的實施方法知識子域：信息系統(tǒng)獲取、開發(fā)與維護理解信息系統(tǒng)的安全需求、應用中的正確處理、密碼控制、系統(tǒng)文件的安全、開發(fā)和支持過程中的安全、技術脆弱性管理這些控制目標的含義掌握實現(xiàn)這些控制目標的控制措施的實施方法知識子域：符合性理解符合法律要求、符合安全策略和標準以及技術符合性、信息系統(tǒng)審核考慮這些控制目標的含義掌握實現(xiàn)這些控制目標的控制措施的實施方法4.4知識體：應急響應與災難恢復圖4-4：知識體：應急響應與災難恢復4.4.1知識域：應急響應概況知識子域：信息安全事件分類分級理解信息安全事件和應急響應的基本概念了解國際和我國的信息安全應急響應組織注冊信息安全專業(yè)人員（CISP）知識體系

48、大綱V2.3中國信息安全測評中心32了解我國信息安全事件應急響應工作的進展情況、政策要求和相關標準理解我國信息安全事件分類、分級方法知識子域：信息安全應急響應管理過程掌握信息安全應急響應階段方法論掌握準備、檢測、遏制、根除等應急響應階段的主要工作內容掌握信息安全應急響應計劃編制方法知識子域：計算機取證了解計算機取證的概念和目的了解計算機取證的基本步驟4.4.2知識域：信息系統(tǒng)災難恢復知識子域：災難恢復概況了解災難恢復的歷史和背景、進展情況、政策要求和相關標準理解業(yè)務連續(xù)性管理與災難恢復相關的基本概念了解災難恢復組織的一般結構和職責理解組織應依據自身業(yè)務特點制定適宜的災難恢復戰(zhàn)略理解編制詳細準確

49、的備份策略和恢復步驟文檔是成功恢復的基礎，理解恢復性測試的重要性知識子域：災難恢復管理過程掌握災難恢復管理工作的主要內容掌握災難恢復規(guī)劃過程：災難恢復需求分析、災難恢復策略制定、災難恢復策略實現(xiàn)、災難恢復預案制定和管理理解同城和異地災難備份中心的優(yōu)缺點知識子域:災難恢復能力掌握國家有關標準對信息系統(tǒng)災難恢復能力級別的劃分理解各恢復能力級別對各類災難恢復資源要素的指標要求掌握確定組織自身所需災難恢復能力級別的方法4.4.3知識域：災難恢復相關技術知識子域：備份技術理解全備份、增量備份和差分備份三種備份方式理解三種備份方式的特點知識子域：備用場所了解冷站、溫站、熱站、移動站和鏡像站等類別的備用場所

50、的概念，了解各類備用場所具有的功能、備戰(zhàn)性程度注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心33了解由組織擁有或運行維護的專用站點、同內部或外部實體通過簽署互惠協(xié)議而確定的備用站點、向專業(yè)商業(yè)組織租用的備用站點在建設和管理方式方面的不同注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心34第5章知識類：信息安全工程信息安全工程是注冊信息安全專業(yè)人員需要掌握的主體知識內容之一。通過本部分的學習，學員應當：理解信息安全建設必須同信息化建設“同步規(guī)劃、同步實施”的原則；理解在信息系統(tǒng)生命周期中的各階段運用“信息系統(tǒng)安全工程”來保障安全性；了解信息安全工

51、程監(jiān)理的作用和基本工作內容；理解如何運用信息安全能力成熟度模型評價和改進信息安全工程能力。知識體：信息安全工程基礎圖5-1：知識體：信息安全工程基礎知識域：信息安全工程概述知識子域：信息安全工程概念了解信息安全工程的重要性和意義了解信息安全工程的基本原則知識子域：信息安全工程理論基礎注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心35了解系統(tǒng)工程基本思想了解項目管理基本概念和要素了解質量管理基本概念理解“能力成熟度模型”基本思想知識域：信息安全工程實施知識子域：發(fā)掘信息保護需求理解ISSE的本質和一般過程理解確定信息保護需求的重要決定因素及主要工作內容知識子域:定義信息

52、系統(tǒng)安全要求了解定義系統(tǒng)安全背景環(huán)境、定義安全操作概念等定義信息系統(tǒng)安全要求階段的主要信息安全工作內容知識子域:設計系統(tǒng)安全體系結構理解設計并分析系統(tǒng)安全體系結構、向體系結構分配安全服務等設計系統(tǒng)安全體系結構階段的主要信息安全工作內容知識子域：開發(fā)詳細安全設計了解進行均衡取舍研究、定義系統(tǒng)安全設計元素等開發(fā)詳細安全設計階段的主要信息安全工作內容知識子域:實現(xiàn)系統(tǒng)安全理解支持安全實現(xiàn)和集成、支持測試和評估等實現(xiàn)系統(tǒng)安全階段的主要信息安全工作內容了解安全防護措施的部署需要符合總體安全需求和設計方案知識子域：評估信息保護的有效性理解前述每一階段應實施的評估信息保護有效性的工作內容知識子域：支持認證和

53、認可了解認證和認可是確保工程質量和安全性的一種保障機制了解前述每一階段應進行的支持認證和認可的活動知識域：信息安全工程監(jiān)理知識子域：信息安全工程監(jiān)理概述理解信息安全工程監(jiān)理工作的意義理解信息安全工程監(jiān)理的一般模型了解信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素知識子域：信息安全工監(jiān)理程過程注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心36了解工程招標階段監(jiān)理的目標、監(jiān)理工作內容和監(jiān)理重點了解工程設計階段的監(jiān)理目標、監(jiān)理工作內容和監(jiān)理重點了解工程實施階段監(jiān)理的目標、監(jiān)理工作內容和監(jiān)理重點了解工程驗收階段的監(jiān)理目標、監(jiān)理工作內容和監(jiān)理重點知識體：信息安全工程能力

54、評估圖5-2：知識體：信息安全工程能力評估知識域：SSE-CMM概述知識子域：SSE-CMM概念及作用理解SSE-CMM的概念及作用了解SSE-CMM的適用范圍知識子域：SSE-CMM的體系結構理解SSE-CMM的二維體系結構了解域維的組織結構，理解基本實施、過程區(qū)域、過程類的概念了解能力維的組織結構，理解通用實施、公共特征、能力級別的概念注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心37知識域：信息安全工程過程知識子域：風險過程領域理解風險過程領域相關活動的目的掌握風險過程領域的相關活動和工作內容知識子域：工程過程領域理解工程過程領域相關活動的目的掌握工程過程領域應

55、實施的過程區(qū)域及其基本實施知識子域:保證過程領域理解保證過程領域相關活動的目的掌握保證過程領域應實施的過程區(qū)域及其基本實施5.2.3知識域：信息安全工程能力知識子域：未實施級理解能力成熟度為未實施級（0級）的信息安全工程組織和工程過程的含義知識子域：非正式執(zhí)行級理解非正式執(zhí)行級（1級）的設計思想掌握能力成熟度達到1級應具有的公共特征知識子域：計劃和跟蹤級理解計劃和跟蹤級（2級）的設計思想掌握能力成熟度達到2級應具有的公共特征知識子域:充分定義級理解充分定義級（3級）的設計思想掌握能力成熟度達到3級應具有的公共特征知識子域:量化控制級了解量化控制級（4級）的設計思想了解能力成熟度達到4級應具有的公共特征知識子域：持續(xù)改進級了解持續(xù)改進級（5級）的設計思想了解能力成熟度達到5級應具有的公共特征注冊信息安全專業(yè)人員（CISP）知識體系大綱V2.3中國信息安全測評中心38第6章知識類：信息安全法規(guī)標準信息安全法律、法規(guī)、政策、規(guī)章、標準和道德規(guī)范是注冊信息安全專業(yè)人員需要掌握的通用基礎知識。通過本部分的學習，學員應當：理解遵循信息安全法律、法規(guī)、政策、規(guī)章、標準和道德規(guī)范的重要性；理解我國重點