注冊信息安全專業(yè)人員知識體系大綱

1、注冊信息安全專業(yè)人員(CISP)知識體系大綱發(fā)布日期：2009年5月1日版本：1.2中國信息安全測評中心版權(quán)2009中國信息安全測評中心注冊信息安全專業(yè)人員（CISP）知識體系大綱咨詢及索取關(guān)于中國信息安全測評中心信息安全人員培訓(xùn)相關(guān)的文件，請與中國信息安 全測評中心信息系統(tǒng)測評服務(wù)部接洽。在中國信息安全測評中心網(wǎng)址：上可獲取 本文件。版權(quán)版權(quán)2008中國信息安全測評中心聯(lián)系信息關(guān)于中國信息安全測評中心（CNITSEC）信息安全人員培訓(xùn)相關(guān)的更多信 息，請與中國信息安全測評中心（CNITSEC）聯(lián)系：聯(lián)系方式：中國信息安全測評中心信息安全測評服務(wù)部【聯(lián)系地址】北京市海淀區(qū)上地西路8號院1號樓【

2、郵政編碼】100085【電 話】【傳 真】（010）【電子郵件】目錄 TOC o 1-5 h z HYPERLINK l bookmark28 o Current Document 目錄II HYPERLINK l bookmark61 o Current Document 圖表IV HYPERLINK l bookmark64 o Current Document 注冊信息安全專業(yè)人員（CISP）知識體系介紹1 HYPERLINK l bookmark67 o Current Document 第1章注冊信息安全專業(yè)人員（CISP）知識體系概述2CISP資質(zhì)證書介紹2CISP知識體系介紹2概

3、述2CISP知識體系框架結(jié)構(gòu)介紹4CISP（CISE/CISO/CISA）考試的知識體系結(jié)構(gòu)介紹6 HYPERLINK l bookmark94 o Current Document 第2章知識類：信息安全體系和模型8 HYPERLINK l bookmark97 o Current Document 2.1概述82.2原理說明9概述92.2.2知識體：安全體系9 HYPERLINK l bookmark106 o Current Document 知識體：信息安全模型 112.3知識體系大綱12 HYPERLINK l bookmark112 o Current Document BD （知

4、識體）：信息安全體系12BD （知識體）：信息安全模型12 HYPERLINK l bookmark141 o Current Document 第3章知識類：信息安全技術(shù)14 HYPERLINK l bookmark144 o Current Document 3.1概述143.2原理說明14概述14 HYPERLINK l bookmark147 o Current Document 3.2.2知識體：信息安全技術(shù)機制153.2.3知識體：信息和通信技術(shù)（ICT）安全16 HYPERLINK l bookmark154 o Current Document 3.2.4知識體：信息安全實踐1

5、73.3知識體系大綱18BD （知識體）：信息安全技術(shù)機制18BD （知識體）：信息和通信技術(shù)（ICT）安全19BD （知識體）：信息安全實踐21 HYPERLINK l bookmark220 o Current Document 第4章知識類：信息安全管理23 HYPERLINK l bookmark223 o Current Document 概述 23原理說明 23概述 23 HYPERLINK l bookmark248 o Current Document 4.2.2知識體：安全管理體系244.2.3知識體：關(guān)鍵安全管理過程24 HYPERLINK l bookmark351 o

6、Current Document 4.3知識體系大綱25BD （知識體）：安全管理基礎(chǔ)25BD （知識體）：關(guān)鍵安全管理過程26 HYPERLINK l bookmark288 o Current Document 第5章知識類：信息安全工程28 HYPERLINK l bookmark291 o Current Document 5.1概述285.2原理說明28概述 28 HYPERLINK l bookmark317 o Current Document 5.2.2知識體：安全工程基礎(chǔ)29 HYPERLINK l bookmark320 o Current Document 5.2.3知識

7、體：安全工程過程和實踐29 HYPERLINK l bookmark323 o Current Document 5.2.4知識體：項目管理過程和實踐305.3知識體系大綱30 HYPERLINK l bookmark326 o Current Document BD （知識體）：安全工程基礎(chǔ)30BD （知識體）：安全工程過程和實踐30BD （知識體）：項目管理過程和實踐30 HYPERLINK l bookmark341 o Current Document 第6章知識類：信息安全標(biāo)準(zhǔn)和法律法規(guī)31 HYPERLINK l bookmark344 o Current Document 概述

8、31原理說明 31知識體系大綱 32 HYPERLINK l bookmark366 o Current Document BD（知識體）：概述32 HYPERLINK l bookmark357 o Current Document BD（知識體）：信息系統(tǒng)相關(guān)標(biāo)準(zhǔn)32BD（知識體）：道德規(guī)范32 HYPERLINK l bookmark371 o Current Document BD（知識體）：信息安全標(biāo)準(zhǔn)32BD（知識體）：信息安全法律法規(guī)33圖表 TOC o 1-5 h z HYPERLINK l bookmark87 o Current Document 圖表1-1： CISP知識

9、體系的組件模塊結(jié)構(gòu)4圖表1-2： CISP知識體系結(jié)構(gòu)框架6 HYPERLINK l bookmark100 o Current Document 圖表2-1：信息安全體系和模型知識類（PT）的知識體系結(jié)構(gòu)概述8圖表2-2:信息安全體系和模型知識類（PT）的知識體系結(jié)構(gòu)詳細描述9 HYPERLINK l bookmark103 o Current Document 圖表2-3：知識體-安全體系原理：信息安全保障模型10 HYPERLINK l bookmark109 o Current Document 圖表2-4:知識體：安全模型原理說明11圖表3-1：信息安全技術(shù)知識類（PT）的知識體系結(jié)

10、構(gòu)概述14圖表3-2：知識體：信息安全技術(shù)機制原理說明16圖表3-3：知識體：信息和通信技術(shù)（ICT）安全原理說明17圖表3-4：知識體：信息安全實踐原理說明18圖表4-1：信息安全管理知識類（PT）的知識體系結(jié)構(gòu)概述23圖表4-2:知識體：安全管理體系說明24圖表4-3：知識體：關(guān)鍵安全管理過程原理說明25圖表5-1：信息安全工程知識類（PT）的知識體系結(jié)構(gòu)概述28圖表5-2:信息系統(tǒng)安全工程標(biāo)準(zhǔn)背景29圖表6-1：信息安全標(biāo)準(zhǔn)和法律法規(guī)知識類（PT）的知識體系結(jié)構(gòu)概述.31注冊信息安全專業(yè)人員(CISP)知識體系介紹注冊信息安全專業(yè)人員知識體系介紹中將介紹注冊信息安全專業(yè)人員 (CISP)

11、考試大綱的結(jié)構(gòu)和內(nèi)容。本文包含以下章節(jié)： 第1章 注冊信息安全專業(yè)人員(CISP)知識體系概述第2章知識類：信息安全體系和模型第3章知識類：信息安全技術(shù)第4章知識類：信息安全管理第5章知識類：信息安全工程第6章知識類：信息安全標(biāo)準(zhǔn)和法律法規(guī)第1章注冊信息安全專業(yè)人員（CISP）知識體系概述CISP資質(zhì)證書介紹本文主要描述了 “注冊信息安全專業(yè)人員”（CISP-Certified Information Security Professional）組件模塊化的知識體系大綱。“注冊信息安全專業(yè)人員”，英文為Certified Information Security Professional （簡

12、稱CISP），根據(jù)實際崗位工作需要，CISP分為三類：注冊信息安全工程師”，英文為 Certified Information SecurityEngineer（簡稱CISE），CISE證書持有人員主要從事信息安全技術(shù) 領(lǐng)域的工作；注冊信息安全管理人員”，英文為Certified Information Security Officer （簡稱CISO），CISO證書持有人員主要從事信息安全管理領(lǐng) 域的工作；注冊信息安全審核員”，英文為Certified Information Security Auditor （簡稱CISA），CISA證書持有人員主要從事信息系統(tǒng)的安全 審核、安全評估和安全

13、審計等工作。這三類注冊信息安全專業(yè)人員是信息安全企業(yè)，信息安全咨詢服務(wù)機構(gòu)、信 息安全測評機構(gòu)、社會各組織團體、企事業(yè)單位中進行信息系統(tǒng)建設(shè)、運行和應(yīng) 用管理的技術(shù)部門（含標(biāo)準(zhǔn)化部門）所必備的專業(yè)崗位人員，其基本職能是對信 息系統(tǒng)提供安全保障，其所具備的專業(yè)資質(zhì)和能力，系經(jīng)中國信息安全測評中心 所注冊的國家信息安全專業(yè)人員。有關(guān)“注冊信息安全專業(yè)人員”（簡稱CISP）的更詳細的相關(guān)資料，查閱 網(wǎng)址。CISP知識體系介紹1.2.1概述注冊信息安全專業(yè)人員（CISP）人員資質(zhì)的推出，對提高國家信息安全保 障的能力和培養(yǎng)高素質(zhì)的信息安全專業(yè)人員作出了巨大的貢獻。在注冊信息安全 專業(yè)人員（CISP）教

14、材第1版出版發(fā)行后，CISP培訓(xùn)不斷蓬勃發(fā)展、CISP注 冊證書作為國家信息安全領(lǐng)域?qū)I(yè)人才的最高認可也越來越得到社會的認可。隨著信息安全領(lǐng)域的發(fā)展以及CISP培訓(xùn)的不斷深入，社會各界，包括CISP 人才的使用單位、CISP的培訓(xùn)機構(gòu)、CISP證書獲得人員、信息安全專業(yè)人員 等對CISP以及CISP的發(fā)展提供了很多很有價值和意義的幫助和建議；同時， 中國信息安全測評中心在信息安全領(lǐng)域也進行了大量的研究和實踐，逐步完善了 以信息安全產(chǎn)品測評、信息系統(tǒng)安全測評、信息安全服務(wù)測評和信息安全人員測 評四大業(yè)務(wù)為基礎(chǔ)的信息安全保障服務(wù)體系。為了更好的提供注冊信息安全專業(yè) 人員（CISP）的培訓(xùn)服務(wù)，更好

15、的體現(xiàn)我們在信息安全保障領(lǐng)域的學(xué)習(xí)、研究 和實踐成果，注冊信息安全專業(yè)人員（CISP）教材和大綱的改進作為中國信息 安全測評中心的一項重要工作開始展開。本文所提供的CISP知識體系大綱是我們這幾年在信息安全保障領(lǐng)域?qū)W習(xí)、 研究和實踐的成果，特別是在信息安全培訓(xùn)領(lǐng)域以及我們在國家標(biāo)準(zhǔn)-“信息系 統(tǒng)安全保障評估框架”的編制中所得到的心得和成果的反應(yīng)。本次修訂的知識體 系大綱從整體上來看主要有以下兩個最主要的特點和特色：以信息安全保障（IA）作為貫穿整個CISP知識體系大綱的主線，形 成以體系和模型以及標(biāo)準(zhǔn)和法規(guī)為基礎(chǔ)、覆蓋信息安全技術(shù)、管理和 工程保障領(lǐng)域的信息安全保障有機知識整體。近幾年，我們對

16、國內(nèi)和國際信息安全測評、培訓(xùn)和教育領(lǐng)域做了大量 的研究，為了更好地學(xué)習(xí)和實踐，我們自己也親自參與并獲得了信息 安全領(lǐng)域的幾乎所有國內(nèi)外知名的認證和考試的證書。在這些信息安 全培訓(xùn)的學(xué)習(xí)、研究和實踐中，我們發(fā)現(xiàn)信息安全相關(guān)的一些考試提 供了非常優(yōu)秀的知識域的描述，但是在整個知識體系的構(gòu)建上，缺乏 一條貫穿整個知識體系的主線。因此，在本次的知識體系大綱中，從 整體上我們使用信息安全保障作為整個CISP知識體系大綱的主線和 靈魂，更完整的詮釋了信息安全保障的有機知識整體。另外，本次CISP知識體系大綱也是對我們所編制的國家標(biāo)準(zhǔn)-“信息 系統(tǒng)安全保障評估框架”的詮釋。信息系統(tǒng)安全保障評估框架是我們 在

17、信息安全保障領(lǐng)域里的一個重要的研究成果，它建立了以風(fēng)險和策 略為核心，覆蓋整個信息系統(tǒng)生命周期的技術(shù)、管理、工程和人員的 保障。本次知識體系大綱也是從技術(shù)、管理和工程領(lǐng)域詮釋了信息安 全專業(yè)人員在這些領(lǐng)域中進行信息安全保障工作中所需要了解的知識 和實踐的要求，這樣通過CISP知識體系的學(xué)習(xí)，讀者就能進一步將 所學(xué)的知識應(yīng)用在其信息安全保障的工作實踐中。 使用知識類（PT）-知識體（BD）-知識域（KA）-知識子域（SA） 來組織的組件模塊化的知識體系結(jié)構(gòu)，使整個知識體系大綱的結(jié)構(gòu)更 清晰、重點更突出、更易于結(jié)構(gòu)化和模塊化的學(xué)習(xí)和擴展信息安全是架構(gòu)在信息技術(shù)等知識基礎(chǔ)之上的一門綜合的學(xué)科，因此

18、信息安全的學(xué)習(xí)是一件非常龐大復(fù)雜的任務(wù)。在信息安全的學(xué)習(xí)過程 中，我們需要一種更加結(jié)構(gòu)化和科學(xué)化的方法來將信息安全的相關(guān)知 識進行梳理分析，并進一步根據(jù)需要進行更深入的學(xué)習(xí)、研究和實踐。在本次知識體系大綱的編制過程中，我們根據(jù)信息安全領(lǐng)域的知識的 內(nèi)在聯(lián)系和關(guān)系通過知識類、知識體、知識域和知識子域的結(jié)構(gòu)進行 分析和分解，形成了新的覆蓋內(nèi)容更廣泛、重點更突出、更強調(diào)實踐 性和實用性的組件模塊化的知識體系結(jié)構(gòu)。這樣，一方面讀者可以更 清晰、深入地了解信息安全的各知識組成、知識重點以及各知識內(nèi)容 的內(nèi)在聯(lián)系，方便了讀者的學(xué)習(xí)、理解和復(fù)習(xí)；另一方面，讀者可以 根據(jù)這些組件模塊，結(jié)合自己的工作需求和知識

19、結(jié)構(gòu)，有區(qū)別、有重 點地有的放矢地學(xué)習(xí)和應(yīng)用，提供了更好的靈活性和實用性。在介紹了本次知識體系大綱的主要特點后，本章后面的內(nèi)容將簡單描述一下 本次知識體系大綱的結(jié)構(gòu)和內(nèi)容。1.2.2 CISP知識體系框架結(jié)構(gòu)介紹CISP知識體系使用組件模塊化的結(jié)構(gòu)，即CISP知識體系使用知識類（縮 寫為PT）、知識體（縮寫為BD）、知識域（縮寫為KA）和知識子域（縮寫為 SA）的結(jié)構(gòu)，圖表1-1描述了 CISP知識體系的組件模塊結(jié)構(gòu)：知識類（PT）知識體 （BD） 知識體 （BD）知識域1信息安全體系和模型r安全Y:體系，I 可信計算機系統(tǒng)評估準(zhǔn)則（TCSFC） IIT安全性評估通用準(zhǔn)則（CC）信息安全保障評

20、估9信息安全產(chǎn)品測試評估息系統(tǒng)安全測試評估知識類知識體信息安全模型基礎(chǔ)jr訪問控制模型V其他安全模型知識域信息安全服務(wù)測試評估自主訪問控制（。人0模型 L （訪問矩陣模型及其實現(xiàn)） 強制訪問控制（1人0模型（Bell-Lapudula /Biba /Clark-Wilson/Chinese Iwall/BMA 模型）基于角色訪問控制（幽8入0模型 知識子域圖表2-2：信息安全體系和模型知識類（PT）的知識體系結(jié)構(gòu)詳細描述信息安全體系和模型知識類分為安全體系和安全模型兩個知識體，安全體系 知識體首先給出了并詳細信息安全保障框架、然后描述了基于OSI開放系統(tǒng)互 連模型的安全體系架構(gòu)和信息技術(shù)安全性

21、評估準(zhǔn)則，最后給出了在信息安全保障 框架下進行信息安全保障評估的實踐描述，通過對安全體系的學(xué)習(xí)，讀者能夠建 立對信息安全保障整體的理解和信息安全保障評估實踐的理解；安全模型知識體 首先介紹了信息安全模型的一些基礎(chǔ)知識，然后根據(jù)信息安全模型的分類-訪問 控制模型和信息流模型分別對信息安全的主要模型進行了介紹，最后通過其他信 息安全模型介紹了信息安全模型的其它分類等參考知識。通過對安全體系和安全 模型的學(xué)習(xí)，讀者就可以從整體上掌握信息安全保障的整體框架和信息安全模型 的相關(guān)知識，建立整個信息安全保障知識體系的理論基礎(chǔ)，進一步指導(dǎo)信息安全 專業(yè)人員其他知識的學(xué)習(xí)。2.2.2知識體：安全體系安全體系知

22、識體主要是提供安全體系結(jié)構(gòu)的一些歷史背景知識并給出信息 安全保障的整體框架以及信息安全保障評估的實踐，通過安全體系知識體的學(xué) 習(xí)，將幫助信息安全專業(yè)人員建立對信息安全保障的整體理解和基礎(chǔ)。在安全體系知識體的學(xué)習(xí)中，其主要的原理在于理解信息安全保障的概念以 及信息安全保障的模型。信息安全保障是以風(fēng)險和策略為出發(fā)點和核心，即從信息系統(tǒng)所面臨的風(fēng)險 和信息系統(tǒng)所處的環(huán)境出發(fā)制定組織機構(gòu)信息系統(tǒng)安全保障策略，通過在信息系 統(tǒng)的整個生命周期中從技術(shù)、工程、管理和人員等方面提出安全保障要求，確保 信息的保密性、完整性和可用性特征，實現(xiàn)和貫徹組織機構(gòu)策略并將風(fēng)險降低到 可接受的程度，達到保護組織機構(gòu)信息和信

23、息系統(tǒng)資產(chǎn)，從而保障組織機構(gòu)實現(xiàn) 其使命的最終目的。在信息系統(tǒng)安全保障評估框架中，評估對象的含義更加廣泛， 它不僅涉及具體產(chǎn)品和產(chǎn)品系統(tǒng)，而且還包含信息系統(tǒng)運行環(huán)境的管理、工程等 范疇，即用于采集、處理、存儲、傳輸、分發(fā)和部署信息的整個基礎(chǔ)設(shè)施、組織 結(jié)構(gòu)、人員和組件等總和的信息系統(tǒng)。信息安全保障的模型如下：圖表2-3：知識體安全體系原理：信息安全保障模型整個信息系統(tǒng)安全保障模型是一個以風(fēng)險和策略為基礎(chǔ)，包含保障要素、生 命周期和信息特征三方面的模型。模型的主要特點是：以安全概念和關(guān)系為基礎(chǔ)，將風(fēng)險和策略作為信息系統(tǒng)安全保障的基 礎(chǔ)和核心強調(diào)信息系統(tǒng)安全保障的持續(xù)發(fā)展的動態(tài)安全模型，即強調(diào)信息

24、系統(tǒng) 安全保障應(yīng)滲入整個信息系統(tǒng)生命周期的全過程。強調(diào)信息系統(tǒng)安全保障的概念，信息系統(tǒng)的安全保障是通過綜合技術(shù)、 管理、工程和人員的要求等措施實施和實現(xiàn)信息系統(tǒng)的安全保障目標(biāo)，通過對信息系統(tǒng)的技術(shù)、管理、工程和人員要求的認可、評估結(jié)果提 供了對信息系統(tǒng)安全保障的信心。通過風(fēng)險和策略基礎(chǔ)，生命周期和保證層面，從而使信息系統(tǒng)安全保 障實現(xiàn)信息技術(shù)安全根本原則：信息的可用性、完整性和可用性特征， 從而達到保障組織機構(gòu)執(zhí)行其使命的根本目的。在建立了對信息安全保障概念和信息安全模型理解的基礎(chǔ)上，我們就可以進 一步展開對信息安全技術(shù)、安全管理和安全工程保障的理解，并進一步理解和掌 握相關(guān)信息安全測試評估的

25、內(nèi)容。2.2.3知識體：信息安全模型在建立了信息安全保障框架等安全體系的理解后，我們需要進一步了解和掌 握信息安全的一些理論基礎(chǔ)，這些信息安全模型的理論基礎(chǔ)是對指導(dǎo)我們進一步 的實踐具有非常重要的意義。圖表2-4描述了安全模型知識體的知識體系結(jié)構(gòu)含義，即安全模型原理說 明。.自主訪問控制模型（DAC）訪問矩理陣模型訪問控制列表（ACL）權(quán)能列表（Capacity List）訪問控1制模型模型產(chǎn)態(tài)多級 環(huán)境 強制訪問控制模型（MAC）動態(tài)多邊 環(huán)境 基于角色訪問控制模型（RBAC）Bell-Lapudula模型保密性Biba模型卜完整性Clark-Wilson 模型 IChinese Wall

26、模型-BMA模型L信息流模型圖表2-4：知識體：安全模型原理說明整個信息安全模型從整體上來看，主要分為訪問控制模型和信息流模型，其 他的分類方法和具體信息安全模型將在安全模型基礎(chǔ)和其他信息安全模型知識 域中介紹，這里將主要介紹訪問控制模型和信息流模型。訪問控制模型是信息安全模型中最主要的模型基礎(chǔ)，訪問控制模型主要分為 自主訪問控制（DAC）模型、強制訪問控制（MAC）模型和基于角色的訪問控 制模型。在自主訪問控制模型中，訪問矩陣模型是最常見的一種自主訪問控制模 型，它主要包括訪問控制列表和權(quán)能列表兩種實現(xiàn)。在強制訪問控制模型中，在 多級環(huán)境中，它主要包括提供保密性的Bell-Lapudula模

27、型和提供完整性的Biba 和Clark-Wilson模型；在多邊環(huán)境中，它主要包括Chinese Wall模型和BMA 模型。基于角色訪問控制（RBAC）模型引入了角色作為授權(quán)的實體，是一種更 近代的訪問控制模型。信息流模型是從信息流的角度來描述信息在主體在應(yīng)如何 流動的模型。2.3知識體系大綱BD （知識體）：信息安全體系信息安全體系知識類共包括三個知識域：KA （知識域）：信息安全保障框架理解信息安全保障的背景和歷史；理解信息安全保障的定義、模型和含義。KA （知識域）：OSI開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)理解和掌握OSI開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)；理解和掌握OSI開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)同TCP

28、/IP的映射。KA （知識域）：信息技術(shù)安全性評估理解和掌握信息技術(shù)安全性評估準(zhǔn)則發(fā)展的背景、歷史和關(guān)系； 理解和掌握可信計算機系統(tǒng)評估準(zhǔn)則（TCSEC）以及彩虹系列的內(nèi)容 和含義；理解和掌握信息技術(shù)安全性評估主則（CC）的內(nèi)容和含義。KA （知識域）：信息安全保障評估理解和掌握信息系統(tǒng)安全保障評估框架的內(nèi)容和含義；理解和掌握信息安全保障評估的各中測試評估的類別和含義（信息安 全產(chǎn)品測試評估、信息系統(tǒng)安全測試評估、信息安全服務(wù)測試評估和 信息安全人員測試評估）。BD （知識體）：信息安全模型KA （知識域）：信息安全模型基礎(chǔ)理解信息安全模型同安全策略、安全控制之間的關(guān)系； 理解可信計算基和參考

29、監(jiān)視器等的基本概念； 理解各種安全模型的分類和關(guān)系。KA （知識域）：訪問控制模型理解和掌握訪問控制模型的分類（MAC/DAC/RBAC）關(guān)系和實現(xiàn)； 理解不同訪問控制模型及實現(xiàn)CIA的關(guān)系。 SA （知識子域）：自主訪問控制（DAC）理解自主訪問控制的含義；理解訪問矩陣模型，理解和分析應(yīng)用訪問矩陣模型的實現(xiàn)（訪問控 制列表、權(quán)能列表）。SA （知識子域）：強制訪問控制（MAC）理解強制訪問控制的分類和含義；理解多級強制訪問控制模型：Bell-Lapudula模型、Biba模型和Clark-Wilson 模型；理解多邊強制訪問控制模型：Chinese Wall模型和BMA模型。SA （知識子域

30、）：基于角色訪問控制（RBAC）理解基于角色的訪問控制模型（RBAC）。 KA （知識域）：其他安全模型理解理解信息流模型等其他安全模型概念及其關(guān)系。第3章知識類：信息安全技術(shù)3.1概述在注冊信息安全專業(yè)人員（CISP ）的五個知識類中，信息安全技術(shù)、信息 安全管理和信息安全工程是信息安全保障的具體保障實現(xiàn)領(lǐng)域。學(xué)習(xí)和掌握信息 安全技術(shù)知識類，將幫助我們學(xué)習(xí)掌握和實踐信息安全技術(shù)的相關(guān)知識和技能并 運用在信息安全技術(shù)保障的工作和學(xué)習(xí)之中。信息安全技術(shù)知識類分為信息安全技術(shù)機制、信息和通信技術(shù)（ICT）安全 和信息安全實踐三個知識體和密碼技術(shù)及應(yīng)用等九個知識域。信息安全技術(shù)的知識體系結(jié)構(gòu)如圖表3

31、-1所示：,信息安全 技術(shù)機制訪問控制系統(tǒng)）密碼技術(shù)及應(yīng)用審計和監(jiān)控物理安全技術(shù)信息安全體系和模型信息和通信技術(shù)寸電信和網(wǎng)絡(luò)安全（ICT）安全系統(tǒng)安全技術(shù)應(yīng)用安全技術(shù)）知識類信息安全實踐知識體圖表3-1：信息安全技術(shù)知識類（PT）安全攻防模型安全攻防實踐知識域的知識體系結(jié)構(gòu)概述3.2原理說明3.2.1概述信息安全技術(shù)知識類分為信息安全技術(shù)機制、信息和通信技術(shù)（ICT）安全 以及信息安全實踐三個知識體。信息安全技術(shù)首先將介紹密碼技術(shù)及應(yīng)用、訪問 控制系統(tǒng)和審計和監(jiān)控著三個信息安全技術(shù)機制，通過對信息安全技術(shù)機制的學(xué) 習(xí)和了解，建立對信息安全技術(shù)所特有的技術(shù)機制基礎(chǔ)和理論知識的學(xué)習(xí)；在完 成對信息

32、安全技術(shù)機制的理解后，信息和通信技術(shù)（ICT）安全部分將根據(jù)OSI 的分層模型為基礎(chǔ)分層描述信息安全技術(shù)相關(guān)的技術(shù)基礎(chǔ)知識和所對應(yīng)的安全 技術(shù)，其中物理安全主要討論物理層相關(guān)的安全技術(shù)，電信和網(wǎng)絡(luò)安全分別從電 信領(lǐng)域和互聯(lián)網(wǎng)領(lǐng)域介紹相應(yīng)的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)（主要討論操作 系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）的基礎(chǔ)知識和相關(guān)安全技術(shù)以及各種典型應(yīng)用系統(tǒng)（電子郵 件、電子商務(wù)等）系統(tǒng)的基礎(chǔ)知識和相關(guān)安全技術(shù)；最后信息安全實踐部分將進 一步結(jié)合實踐，介紹P2DR安全攻防模型，黑客攻擊技術(shù)和相應(yīng)的安全攻防技 術(shù)。這樣，在信息安全技術(shù)知識類中，我們可以了解和掌握信息安全技術(shù)的主要 安全機制，將這些安全技術(shù)基礎(chǔ)同

33、OSI分層分析相結(jié)合，從物理層、網(wǎng)絡(luò)層、 系統(tǒng)和應(yīng)用系統(tǒng)層來分別討論相關(guān)技術(shù)和安全技術(shù)，最后結(jié)合黑客攻防等了解和 掌握信息安全攻防的實踐。3.2.2知識體：信息安全技術(shù)機制在信息安全技術(shù)機制里，主要介紹三類基礎(chǔ)的信息安全技術(shù)機制：密碼技術(shù) 及應(yīng)用、訪問控制系統(tǒng)以及審計和監(jiān)控。在密碼技術(shù)及應(yīng)用中，首先介紹傳統(tǒng)密碼技術(shù)和現(xiàn)代密碼技術(shù)等相關(guān)的密碼 技術(shù)基礎(chǔ)知識；在完成對密碼技術(shù)基礎(chǔ)知識的理解后，進一步介紹三類密碼算法: 私鑰（對稱）密碼算法、公鑰（非對稱）密碼算法以及單向函數(shù)和單向哈西算法; 密碼系統(tǒng)是三類密碼算法的進一步組合和應(yīng)用，在密碼系統(tǒng)中，主要介紹了 Kerberos單點登錄系統(tǒng)和PKI公鑰

34、基礎(chǔ)設(shè)施；最后介紹了密碼系統(tǒng)在應(yīng)用系統(tǒng) 中的應(yīng)用和密碼技術(shù)的攻防，其中包括VPN技術(shù)、Web密碼安全技術(shù)、電子郵 件密碼安全技術(shù)等。在訪問控制系統(tǒng)中，訪問控制的模型在信息安全體系和模型中已經(jīng)進行了詳 細描述，因此訪問控制模型部分在訪問控制系統(tǒng)中就不再深入討論了。在訪問控 制系統(tǒng)中，主要討論了標(biāo)識和鑒別（I&A）技術(shù)、帳號管理等訪問控制管理以及 集中和非集中訪問控制方法和實現(xiàn)。在審計和跟蹤中，主要討論了審計和跟蹤的基本概念，以及入侵檢測/入侵 防御系統(tǒng)等的基本概念。信息安全技術(shù)機制的原理說明參見圖表3-2。I密碼技術(shù)基礎(chǔ)I密碼算法：私鑰算法I 密碼算法：公鑰算法I密碼算法：單向函數(shù)和單向哈希算

35、J密碼技術(shù)及應(yīng)用k聲管理11111密碼系統(tǒng)：數(shù)字簽名:（密碼系統(tǒng)：公鑰基礎(chǔ)設(shè)施（PKI）密碼系統(tǒng)應(yīng)用：IPSec/Web/ 電子郵件/電子商務(wù)等訪問控制系統(tǒng)4密碼技術(shù)的攻擊和防御訪問控制管理:標(biāo)識和鑒別（I&A）1訪問控制方法和實現(xiàn):1審計和監(jiān)控11防火墻系統(tǒng):審計和監(jiān)控基本概念（入侵檢測和入侵防御系統(tǒng)知識域 1知識子域信息安全技術(shù)機制知識體圖表3-2：知識體：信息安全技術(shù)機制原理說明3.2.3知識體：信息和通信技術(shù)（ICT）安全信息和通信技術(shù)（ICT）安全是以信息安全技術(shù)機制為基礎(chǔ)，結(jié)合OSI分層 的原理以及信息和通信技術(shù)基礎(chǔ)，從物理層、網(wǎng)絡(luò)層和應(yīng)用層分別對物理安全技 術(shù)、電信和網(wǎng)絡(luò)安全技術(shù)

36、、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)安全以及各種應(yīng)用系統(tǒng)安全的 詳細描述。在信息和通信技術(shù)（ICT）安全知識體中，首先需要理解OSI分層和TCP/IP 協(xié)議族的基礎(chǔ)知識，然后從物理層安全技術(shù)開始，理解電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)的各種 協(xié)議、技術(shù)，并了解包括防火墻等網(wǎng)絡(luò)層的相關(guān)安全技術(shù)和設(shè)備；最后進一步結(jié) 合Windows、UNIX操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，以及惡意代碼、Web應(yīng)用、電子 郵件等應(yīng)用系統(tǒng)的相關(guān)技術(shù)和對應(yīng)的安全技術(shù)。通過信息和通信技術(shù)（ICT）安全的學(xué)習(xí)和理解，掌握信息技術(shù)和信息安全 技術(shù)的各種基礎(chǔ)知識和對應(yīng)的安全技術(shù)。信息和通信技術(shù)（ICT）安全知識體的知識體系結(jié)構(gòu)原理說明參見圖表3-3。知識體11 1 /

37、1 1 1111 1 1惡意代碼防護Web應(yīng)用安全4應(yīng)用安全技術(shù)電子郵件安全電子商務(wù)安全安全編程技術(shù)|系統(tǒng)安全技術(shù) 1操作系統(tǒng)安全技術(shù)J1 if數(shù)據(jù)庫系統(tǒng)安全技術(shù)網(wǎng)絡(luò)體系結(jié)構(gòu)通信和網(wǎng)絡(luò)技術(shù)111111 1電信和網(wǎng)絡(luò)安全1互聯(lián)網(wǎng)技術(shù)和服務(wù)網(wǎng)絡(luò)安全設(shè)備：防火墻/入侵檢 測/入侵防御設(shè)備等物理安全基礎(chǔ)物理安全技術(shù)L.j物理安全技術(shù)控制措施物理設(shè)施要求環(huán)境和人身安全知識域知識子域信息和通信技術(shù)(ICT )安全圖表3-3:知識體：信息和通信技術(shù)(ICT)安全原理說明3.2.4知識體：信息安全實踐信息安全實踐知識體主要從攻防的角度來實踐各項信息安全攻防技術(shù)。在信 息安全實踐中，首先介紹了 P2DR的安全攻

38、防模型，然后從安全攻防的基本概 念開始，分別從黑客的角度來理解黑客攻擊方法和流程以及從安全技術(shù)人員的角 度對應(yīng)理解黑客防御的各種具體技術(shù)。這樣，通過各種攻防技術(shù)的理解，進一步從攻防的角度實踐各種信息安全技 術(shù)。信息安全實踐知識體的原理說明參見圖表3-4。1/安全攻防模型信息安全實踐安全攻防基本概念安全攻防實踐黑客攻擊方法和流程安全攻防技術(shù)實踐計算機勘查取證知識體知識域知識子域圖表3-4：知識體：信息安全實踐原理說明3.3知識體系大綱3.3.1 BD （知識體）：信息安全技術(shù)機制 KA （知識域）：密碼技術(shù)和應(yīng)用SA：密碼技術(shù)基礎(chǔ)理解密碼學(xué)的歷史和基本概念；理解傳統(tǒng)密碼學(xué)（換位密碼、替換密碼、一

39、次一密系統(tǒng)、序列密碼、分組密碼）的概念及其應(yīng)用實例；理解密碼分析和算法安全性概念；理解密鑰管理和托管的概念和應(yīng)用實例。SA：密碼算法：對稱（私鑰）算法理解對稱算法的基本概念；理解常見的對稱算法（DES、3DES、Blowfish、IDEA、RC系列 和AES等）。SA：密碼算法：非對稱（公鑰）算法理解非對稱算法的基本概念；理解常見的非對稱算法（MH、RSA、ECC、DH、DSA、Elgema等）。SA：密碼算法：單向函數(shù)和單向哈希算法理解單向函數(shù)、單向哈希算法等基本概念；理解常見的單向哈西算法（MD系列、RSA、HAVAL和HMAC等）。SA：密碼技術(shù)攻擊和防御理解密碼技術(shù)攻擊和防御的基本概念

40、；理解特定的密碼攻擊算法（生日攻擊等）。SA：密碼系統(tǒng)：數(shù)字簽名理解數(shù)字簽名的原理和應(yīng)用；SA：密碼系統(tǒng)：PKI理解PKI公鑰基礎(chǔ)設(shè)施的基本原理和應(yīng)用。SA：密碼技術(shù)應(yīng)用理解密碼技術(shù)在OSI和TCP/IP中的應(yīng)用基礎(chǔ)；理解IPSec （網(wǎng)絡(luò)層）的原理和應(yīng)用；理解SSL/TLS （傳輸層）的應(yīng)用和原理；理解密碼技術(shù)在其他層上的應(yīng)用，包括Web應(yīng)用（S-HTTP）、 電子郵件（PEM、S/MIME、PGP）、電子商務(wù)（，?。┖蚐SH 等。KA （知識域）：訪問控制系統(tǒng)SA：訪問控制管理理解同訪問控制管理相關(guān)的賬號管理、日志和日記管理和監(jiān)控等基 本概念。SA：標(biāo)識和鑒別技術(shù)理解標(biāo)識和鑒別的定義和基本

41、概念；理解口令的基本概念和管理；理解生物測定技術(shù)及其實現(xiàn)（虹膜、指紋、掌紋等）；理解其他鑒別技術(shù)（令牌、票據(jù)等）；理解單點登錄技術(shù)（SSO）及其實現(xiàn)（Kerberos等）。SA：訪問控制方法和實現(xiàn)理解集中訪問控制的基本概念及其實現(xiàn)（RADIUS、TACACS、 TACACS+和 Diameter 等）。理解非集中訪問控制的基本概念及其實現(xiàn)（域等）KA （知識域）：審計和監(jiān)控SA：審計和監(jiān)控基本概念 理解審計和監(jiān)控的基本概念。SA：A侵檢測和入侵防御系統(tǒng)理解入侵檢測和入侵防御系統(tǒng)的基本概念；理解入侵檢測和入侵防御系統(tǒng)的分類和應(yīng)用。3.3.2 BD （知識體）：信息和通信技術(shù)（ICT）安全KA （

42、知識域）：物理安全技術(shù)SA：物理安全基礎(chǔ)理解各種物理安全威脅；理解物理安全相關(guān)的措施。SA：物理安全技術(shù)控制措施理解物理安全技術(shù)控制措施的分類（預(yù)防性/檢測性/恢復(fù)性等）及 其實踐。SA：物理設(shè)施要求理解物理設(shè)施安全防護措施，例如：工作區(qū)的劃分、圍墻/門的選 擇、機房位置選擇等；理解各種物理訪問控制措施，例如：智能卡、生物訪問控制等物理訪問控制措施原理；理解各種物理監(jiān)控措施，例如：閉路電視、傳感器、報警設(shè)備等的 原理。SA：環(huán)境和人身安全理解電力相關(guān)的物理環(huán)境安全威脅和措施；理解供暖、通風(fēng)和空調(diào)等相關(guān)的物理環(huán)境安全威脅和措施；理解防火和防水等物理環(huán)境安全威脅和措施。 KA （知識域）：電信和網(wǎng)

43、絡(luò)安全SA： OSI分層模型和TCP/IP協(xié)議族；理解OSI的七層模型、TCP/IP協(xié)議族及其特征，理解OSI分層模型和TCP/IP協(xié)議族的對應(yīng)關(guān)系；理解各種相關(guān)協(xié)議同OSI和TCP/IP的對應(yīng)關(guān)系。SA：通信和網(wǎng)絡(luò)技術(shù)理解各種物理介質(zhì)（例如：光纖/同軸電纜/雙絞線等）的特征；理解各種鏈路層協(xié)議和技術(shù)，例如：HDLC/SDLC/幀中繼等。理解各種網(wǎng)絡(luò)拓撲結(jié)構(gòu)（總線/星型/環(huán)型）等的特征；理解各種局域網(wǎng)/城域網(wǎng)/廣域網(wǎng)的各種通信網(wǎng)絡(luò)，例如：幀中繼/ATM網(wǎng)絡(luò)等的特征；理解各種遠程撥號訪問協(xié)議和技術(shù)，例如：RADIUS/TACACS/TACACS+/Diameter 等。SA：互聯(lián)網(wǎng)技術(shù)和服務(wù)理解

44、TCP/IP協(xié)議族中的相關(guān)基礎(chǔ)協(xié)議，包括：SLIP/PPP/CHAP/PAP 協(xié)議，ARP/RARP 協(xié)議，IP 協(xié)議，TCP/UDP協(xié)議；理解各種網(wǎng)絡(luò)設(shè)備分類及其特征，包括：復(fù)用器/集線器/交換機/ 路由器/網(wǎng)關(guān)等；理解IP地址劃分和編址技術(shù)，理解RIP/OSPF等路由協(xié)議和技術(shù); 理解DNS/SNMP/Telnet/SMTP/WWW等互聯(lián)網(wǎng)重要協(xié)議的原理 和應(yīng)用；理解SSL/S/MIME/SSL/SET/PEM等重要的安全協(xié)議；理解各種VPN技術(shù)，例如PPTP、MPLS等VPN技術(shù)（IPSec VPN 技術(shù)在密碼系統(tǒng)及其應(yīng)用中詳細討論）。SA：網(wǎng)絡(luò)安全設(shè)備：防火墻/入侵檢測和入侵防御系統(tǒng)等

45、 理解各種網(wǎng)絡(luò)安全設(shè)備的概念和基本原理；理解防火墻的分類、應(yīng)用和實踐。KA （知識域）：系統(tǒng)安全技術(shù)SA：操作系統(tǒng)概述理解操作系統(tǒng)的基本原理和基本安全技術(shù)。SA： Windows操作系統(tǒng)安全技術(shù)理解Windows操作系統(tǒng)的基本原理、安全技術(shù)和實踐。SA： UNIX操作系統(tǒng)安全技術(shù)理解UNIX操作系統(tǒng)的基本原理、安全技術(shù)和實踐。SA：數(shù)據(jù)庫安全技術(shù)理解數(shù)據(jù)庫系統(tǒng)的基本原理、安全技術(shù)和實踐。KA （知識域）：應(yīng)用安全技術(shù)SA：惡意代碼防護理解病毒/蠕蟲/特洛伊木馬等惡意代碼的基本概念和原理； 理解惡意代碼的攻擊過程和防護技術(shù)。SA： Web應(yīng)用安全理解Web應(yīng)用系統(tǒng)的基本原理、結(jié)構(gòu)和相關(guān)安全技術(shù)。

46、SA：電子郵件安全理解電子郵件的基本原理、結(jié)構(gòu)和相關(guān)安全技術(shù)。SA：安全編程技術(shù)理解軟件編程的基本原理，包括編程語言、編程環(huán)境等；理解安全編程技術(shù)的相關(guān)概念和原理，以及軟件安全開發(fā)生命周期 （SDL）的相關(guān)概念。3.3.3 BD （知識體）：信息安全實踐KA （知識域）：安全攻防模型理解P2DR安全攻防模型。KA （知識域）：安全攻防實踐SA：安全攻防基本概念理解各種黑客攻擊的術(shù)語、方法和內(nèi)容。SA：黑客攻擊方法和流程理解黑客攻擊的方法和具體流程。SA：安全攻防實踐綜合結(jié)合實際情況，分析和應(yīng)用相關(guān)的安全攻防技術(shù)進行實踐。第4章知識類：信息安全管理4.1概述在注冊信息安全專業(yè)人員（CISP ）的

47、五個知識類中，信息安全技術(shù)、信息 安全管理和信息安全工程是信息安全保障的具體保障實現(xiàn)領(lǐng)域。學(xué)習(xí)和掌握信息安全管理知識類，將幫助我們學(xué)習(xí)掌握和實踐信息安全管理的相關(guān)知識和技能并 運用在信息安全管理保障的工作和學(xué)習(xí)之中。信息安全管理知識類分為信息安全管理基礎(chǔ)、關(guān)鍵安全管理過程和生命周期安全管理三個知識體和信息安全管理基礎(chǔ)等八個知識域。信息安全管理的知識體系結(jié)構(gòu)如圖表4-1所示。I安全管|理體系信息安全管理L信息安全管理基礎(chǔ)基本安全管理措施重要安全管理措施知識類關(guān)鍵安全管理過程知識體|風(fēng)險評估業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)II.應(yīng)急響應(yīng)知識域圖表4-1：信息安全管理知識類（PT）的知識體系結(jié)構(gòu)概述4.2原理說

48、明4.2.1概述信息安全管理知識類中，分為安全管理體系和安全管理過程兩個知識體。在 這兩個知識體中，安全管理體系包括信息安全管理相關(guān)的基礎(chǔ)知識，基本安全管 管理措施和重要安全管理措施；關(guān)鍵安全管理過程包括風(fēng)險管理、業(yè)務(wù)持續(xù)性和 災(zāi)難恢復(fù)管理以及事件響應(yīng)管理。4.2.2知識體：安全管理體系知識體安全管理體系包括信息安全管理基礎(chǔ)、基本安全管理措施和重要安全 管理措施三個知識域。在信息安全管理基礎(chǔ)中包括安全管理的基本概念，信息安 全管理體系要求和信息安全管理措施?；景踩芾泶胧┥婕鞍踩呗?、安全組 織體系和人員安全管理三項安全管理的基本措施。重要安全管理措施涉及資產(chǎn)管 理、通信和操作管理、訪問控制

49、和符合性四項重要的安全管理措施。安全管理體系知識體提供的安全管理的基本框架和要求以及普遍使用的基 本措施和重要措施，整個安全管理體系知識體的原理說明參見圖表4-2。信息安全管理概念|信息安全管理基礎(chǔ)K信息安全管理體系要求IL信息安全管理措施1Ir|安全策略安全管理J基本安全管理措施J安全蛆織體系體系 I; I 1一產(chǎn)管理重要安全管理措施I.通信和操作管理I|訪問控制知識體； 知識域 111符合性知識子域圖表4-2：知識體：安全管理體系說明4.2.3知識體：關(guān)鍵安全管理過程在信息安全管理領(lǐng)域中，風(fēng)險管理、業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)管理以及事件響 應(yīng)管理是信息安全管理的關(guān)鍵管理過程。關(guān)鍵信息安全過程知識

50、體的原理說明參見圖表4-3。風(fēng)險管理基本概念 風(fēng)險評估（定量和定性）的 流程、方法和內(nèi)容 風(fēng)險評估工具和方法關(guān)鍵安全管理過程業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)業(yè)務(wù)持續(xù)性計劃編制過程和 步驟BCP&DRP概念和背景業(yè)務(wù)持續(xù)性計劃內(nèi)容知識體事件響應(yīng)業(yè)務(wù)持續(xù)性計劃相關(guān)的技術(shù) 和管理知識域知識子域圖表4-3：知識體：關(guān)鍵安全管理過程原理說明4.3知識體系大綱4.3.1 BD （知識體）：安全管理體系知識域（KA）:信息安全管理基礎(chǔ)SA：信息安全管理概念信息安全、信息安全管理和信息安全管理體系的基本概念SA：信息安全管理體系要求了解ISO27001的發(fā)展歷史、基本思想和用途理解PDCA模型各個階段的含義運用PDCA模

51、型構(gòu)建信息安全管理體系SA：信息安全管理措施了解ISO27002的發(fā)展歷史、基本思想和用途了解風(fēng)險評估和ISO27002中11個安全管理域的主要內(nèi)容知識域（KA）:基本安全管理措施SA：安全策略安全策略的用途、特點以及編制中的注意事項SA：安全組織機構(gòu)理解安全組織機構(gòu)的作用理解職責(zé)分離、崗位輪換的原則和實踐SA：人員安全理解員工入職、培訓(xùn)、修假、解聘等相關(guān)的安全管理理解安全意識教育和技能培訓(xùn)的原則和實踐知識域（KA）:重要信息安全管理措施SA：資產(chǎn)管理理解資產(chǎn)管理的原則和實踐理解資產(chǎn)清單、資產(chǎn)職責(zé)的重要性理解信息資產(chǎn)分級的原則和實踐SA：通信與操作管理理解文件化的操作程序的重要性理解變更管理、

52、第三方服務(wù)管理的原則和實踐理解容量管理和系統(tǒng)驗收的原則和實踐理解系統(tǒng)運行過程中的重要安全管理要素，包括病毒防護、數(shù)據(jù)備 網(wǎng)絡(luò)安全管理、運行狀態(tài)監(jiān)控、日志與審計等SA：訪問控制了解訪問控制的基本措施理解訪問控制中的用戶職責(zé)了解安全劃分、雙因素/多因素鑒別、會話與鏈接超時等訪問控制的重要措施SA：符合性理解外部法律法規(guī)符合性管理理解內(nèi)部規(guī)章和標(biāo)準(zhǔn)符合性管理理解符合性審計的原則和實踐4.3.2 BD （知識體）：關(guān)鍵安全管理過程知識域（KA）:風(fēng)險評估SA：風(fēng)險管理基本概念理解風(fēng)險管理的概念、內(nèi)容和步驟；理解風(fēng)險管理的要素（威脅/脆弱性/資產(chǎn)/影響）。SA：定量和定性風(fēng)險評估的流程、方法和內(nèi)容理解定

53、量和定性風(fēng)險評估的區(qū)別；理解定量風(fēng)險評估的流程、方法和內(nèi)容；理解定性風(fēng)險評估的流程、方法和內(nèi)容。SA：風(fēng)險評估工具和方法理解風(fēng)險評估相關(guān)的各種工具和方法。知識域（KA）:業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃SA： BCP&DRP概念和背景理解災(zāi)難恢復(fù)計劃/業(yè)務(wù)持續(xù)性計劃的概念、區(qū)別和含義。SA：業(yè)務(wù)持續(xù)性計劃編制過程和步驟理解業(yè)務(wù)持續(xù)性計劃編制的過程和步驟。SA：業(yè)務(wù)持續(xù)性計劃的內(nèi)容理解業(yè)務(wù)持續(xù)性計劃本身的內(nèi)容。SA：業(yè)務(wù)持續(xù)性計劃相關(guān)的技術(shù)和管理理解業(yè)務(wù)持續(xù)性計劃相關(guān)的技術(shù)，包括備份（全備份/增量備份/差 分備份等）和外站存儲（熱戰(zhàn)/冷戰(zhàn)/溫站/移動站）、磁盤技術(shù)（RAID 技術(shù)）等技術(shù)；理解業(yè)務(wù)持

54、續(xù)性計劃相關(guān)的管理，包括軟件托管、互惠協(xié)議等； 理解業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)的分類和指標(biāo)（包括SHARE七級分 級、RPO/RTO概念）等。第5章知識類：信息安全工程5.1概述在注冊信息安全專業(yè)人員（CISP ）的五個知識類中，信息安全技術(shù)、信息 安全管理和信息安全工程是信息安全保障的具體保障實現(xiàn)領(lǐng)域。學(xué)習(xí)和掌握信息 安全工程知識類，將幫助我們學(xué)習(xí)掌握和實踐信息安全工程的相關(guān)知識和技能并 運用在信息安全工程保障的工作和學(xué)習(xí)之中。信息安全工程知識類分為信息安全工程基礎(chǔ)、安全工程過程和實踐以及項目 管理過程和實踐三個知識體和八個知識域。信息安全工程的知識體系結(jié)構(gòu)如圖表5-1所示。信息安全工程安全工程基

55、礎(chǔ)I安全工程過 J程和實踐軟件/系統(tǒng)工程基礎(chǔ)質(zhì)量管理基礎(chǔ)能力成熟度模型基礎(chǔ)項目管理基礎(chǔ)S安全工程能力成熟度模型ISSE安全工程過程和實踐項目管理過程|1和實踐丫 IT項目管理過程和技術(shù)H信息安全工程監(jiān)理知識域知識類知識體圖表5-1：信息安全工程知識類（PT）的知識體系結(jié)構(gòu)概述5.2原理說明5.2.1概述整個信息安全工程知識類分為安全工程基礎(chǔ)、安全工程過程和實踐以及項目 管理過程和實踐三個知識體。信息安全工程是在質(zhì)量管理、軟件工程、系統(tǒng)工程 和能力成熟度模型等的基礎(chǔ)上發(fā)展而來并同系統(tǒng)工程、項目管理密不可分的。因 此，在安全工程基礎(chǔ)中，簡要描述了軟件/系統(tǒng)工程、質(zhì)量管理、能力成熟度模 型和項目管理

56、，并描述了系統(tǒng)安全工程能力成熟度模型的發(fā)展歷史；在了解了信 息系統(tǒng)安全工程的基礎(chǔ)后，安全工程過程和實踐就進一步結(jié)合ISSE信息系統(tǒng)安 全工程的過程詳細描述了安全工程的過程以及安全工程過程的能力成熟度模型； 最后在項目管理過程和實踐中，介紹了 IT項目管理過程和技術(shù)以及信息安全工 程監(jiān)理。5.2.2知識體：安全工程基礎(chǔ)信息系統(tǒng)安全工程是在軟件/系統(tǒng)工程、質(zhì)量管理、能力成熟度模型和項目 項目的基礎(chǔ)上發(fā)展而來的，圖表5-2描述了信息系統(tǒng)安全工程能力成熟度模型圖表5-2:信息系統(tǒng)安全工程標(biāo)準(zhǔn)背景從圖中可見信息系統(tǒng)安全工程能力成熟度模型的發(fā)展歷程，因此，在安全工 程基礎(chǔ)中，需要對軟件/系統(tǒng)工程過程和軟件

57、/系統(tǒng)工程能力成熟度模型、質(zhì)量管 理、其它相關(guān)能力成熟度模型以及項目管理的基礎(chǔ)知識進行介紹。5.2.3知識體：安全工程過程和實踐在安全工程過程和實踐知識體中，分為安全工程能力成熟度模型和ISSE安 全工程過程和實踐兩個知識域。安全工程能力成熟度模型描述了安全工程過程的 過程域和相應(yīng)的能力成熟度模型，ISSE安全工程過程和時間則是從實踐實施角 度根據(jù)工程過程生命周期的不同階段描述了相應(yīng)安全工程過程域的實施考慮。5.2.4知識體：項目管理過程和實踐在安全工程的實施主要涉及信息系統(tǒng)生命周期的采購階段，即通過系統(tǒng)集成 方式實現(xiàn)信息系統(tǒng)安全體系架構(gòu)，而信息系統(tǒng)安全集成同時也需要相應(yīng)的項目管 理技術(shù)和工具。因此在項目管理過程和實踐中，主要討論了信息系統(tǒng)項目管理的 過程和具體技術(shù)，并從監(jiān)理方的角度給出了信息安全工程監(jiān)理的描述。5.3知識體系大綱BD （知識體）：安全工程基礎(chǔ)知識域（KA）:軟件