CSPEC-PXKS02.doc

CSPEC-PXKS02 等级测评师培训大纲 公安部信息安全等级保护评估中心 二〇一〇年四月等级测评师培训大纲 为贯彻落实《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）的精神，在全国开展信息安全等级保护测评体系建设工作，对开展等级测评工作的测评人员进行专门的培训和考试，特制定本大纲。本大纲以信息安全等级保护相关标准为基础，结合信息安全等级测评工作实际需要，明确了开展等级测评工作的人员能力要求，用以指导信息安全等级测评师的培训和考试工作。 培训对象 信息安全等级测评师培训是针对等级测评机构中的测评人员进行的培训，初级、中级和高等级测评师与等级测评机构中的测评员、项目负责人（或项目组长）和技术负责人（或技术总监）三个工作岗位相对应，通过初级、中级和高级等级测评师培训和考试后，颁发相应的等级测评师证书，等级测评人员需持等级测评师证上岗。 1）初级等级测评师 初级等级测评师的培训对象是网络安全、主机安全、应用安全、安全管理和工具测试人员等。 报考人员需要具备信息安全基础知识和信息安全相关工作经验,熟悉TCP/IP 网络协议，了解标识与鉴别、访问控制等安全技术及原理，熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。 2）中级等级测评师 中级等级测评师的培训对象是项目负责人（或项目组长）。 报考人员需要具备信息安全理论基础，对系统安全、网络安全、应用安全和攻击测试等有深入了解,作为项目负责人组织实施过信息系统安全测评项目，熟悉国内外信息安全相关产品特性，具有较丰富的测评实践经验、良好的沟通协作和文字表达能力。 3） 高级等级测评师 高级等级测评师的培训对象是技术负责人（或技术总监）。 报考人员需要具备信息安全理论基础，具有信息安全理论、信息安全技术的研究和实践经验，从事过信息安全方面的测评、规划、设计、实施、运维等工作。熟悉信息安全标准和产品特性，熟悉信息安全技术发展动向。 培训方式 评估中心组织对报考初、中和高级等级测评师考试的人员进行专门的培训，通过培训后方可参加相应的等级测评师考试。人员培训采用网络培训和集中培训相结合的方式。网络培训要求学员通过互联网登录培训系统在线接受培训。网上培训完成后，参加集中培训。集中培训以重点内容、复习、现场答疑和考前辅导为主。 初级等级测评师 培训目标 了解信息安全等级保护的相关政策、标准； 掌握等级测评方法，熟悉网络、主机、应用、安全管理测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据； 熟悉信息安全产品分类，了解其功能、特点，熟悉主流产品安全配置方法； 掌握测评工具的操作方法，能够合理设计测试用例获取测试数据； 能够按照报告编制要求整理测评数据，开展等级测评工作。 培训内容 信息安全等级保护政策 信息安全等级保护制度的主要内容 目标要求：了解等级保护基本政策，包括《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、关于印发《信息安全等级保护管理办法》的通知（公通字[2007] 43号）、关于印发《关于信息安全等级保护工作的实施意见》的通知（公通字[2004] 66号）、关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函（公信安[2009]1429号）、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）等。 信息安全等级保护政策体系 目标要求：了解等级保护基本政策体系以及相关文件的作用。 等级保护工作的具体内容和要求 目标要求：了解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。 等级保护相关标准应用 等级保护标准体系及主要标准 目标要求：了解等级保护相关标准的定位、主要内容等。 信息安全等级保护概述 目标要求：了解等级保护工作过程及标准应用。 网络安全测评 网络全局安全测评 目标要求：能够进行安全体系架构分析，熟悉安全区域划分、边界访问控制、入侵检测和恶意代码防范等实现机制。 网络设备安全测评 目标要求：掌握主流交换机、路由器等网络设备的安全配置方法，熟悉设备自身安全防护、访问控制、身份认证和安全审计等安全实现方法。 安全设备安全测评 目标要求：掌握主流防火墙、入侵检测系统、安全审计系统、身份认证系统等安全设备的工作原理，熟悉设备自身安全防护、访问控制、身份认证和安全审计等安全实现方法。 主机安全测评 Windows操作系统安全测评 目标要求：熟悉WINDOWS操作系统的安全功能及其原理，掌握系统安全配置方法及最佳安全实践，掌握WINDOWS操作系统的安全等级测评内容，熟悉Windows操作系统自身安全防护、访问控制、身份认证和安全审计等安全实现方法。 类UNIX/Linux操作