CISP课程设置及知识要点.doc

CISP课程设置及知识要点 版本：v2.0 中国信息安全测评中心 重要信息系统评估部 2008年11月 说明 下表是根据中国信息安全测评中心CISP培训知识大纲，编制的CISP课程设置和授课知识要点。 所有CISP培训组织机构，在开展CISP培训时，应按照下表内容，安排课程。 CISP培训组织机构可以按照受培训方的需求增加其它课程或延长授课时间，但不允许随意删减课程或授课时间。 所有CISP授课讲师，在进行CISP授课时，应按照下表中相应课程的主要内容和知识要点进行授课。 CISP授课讲师可以根据个人知识的更新和技术的发展增加授课内容，但不允许随意删减授课内容。 重要信息系统评估部已经制作了必威体育精装版版本的标准课件，中心内部讲师有权利在授课前向重要信息系统评估部人员与服务评估组所要标准课件。 中心内部讲师有义务在授课过程中根据个人知识的更新和技术的发展，标准课件进行持续的更新和完善，并反馈给重要信息系统评估部人员与服务评估组。 联系人：孙成昊、汪洋  序号 课程名称 课程主要内容 知识要点 1 信息安全测评服务介绍 介绍各类信息安全测评服务，包括信息安全产品、系统、人员和服务测评的概念和内容 中国信息安全测评中心的主要职能 中国信息安全测评中心产品、系统、服务和人员安全测评服务的意义和流程介绍 2 信息安全培训和CISP知识体系介绍 介绍中国信息安全测评中心信息安全人才体系战略和信息安全培训工作介绍。介绍注册信息安全专业人员（CISP）培训工作，并简要介绍CISP的知识体系。 构建中国信息安全人才体系的重要性和开展CISP培训认证的意义 CISP的知识体系结构和知识要点 3 信息安全保障体系 深入介绍信息安全保障框架的概念和内容 信息安全保障历史和背景 信息系统安全保障评估框架 信息系统安全保障建设和评估实践 4 信息安全模型 深入介绍信息安全相关的模型 安全模型的定义和作用 以下安全模型的原理、用途和特点 信息流访问控制模型 多级安全模型 Bell-Lapadula模型 Clark-Wilson模型 Biba模型 多边安全模型 Chinese wall模型 BMA模型 5 密码技术概述 深入介绍密码技术的历史、背景、发展，以及各种密码算法等的基础知识。 明确密码学基本概念及其重要性； 了解密码学发展的历史； 掌握对称密码和非对称密码体制； 哈希函数的原理和作用； 掌握数字签名的基本原理。 6 密码技术应用-VPN/SSL 深入介绍密码技术网络应用，重点介绍IPSec、SSL等的基础和应用。 VPN基本概念 VPN的类型 掌握VPN有关协议的基本工作原理，重点是IPSec和SSL协议族 7 密码技术应用-PKI/CA 深入介绍密码技术在公钥基础设施（PKI/CA）等的应用。 PKI/CA的基本概念 PKI/CA的体系结构和工作流程 X.509的有关标准协议 PKI/CA的典型应用，如CFCA、CTCA等 8 网络与通信安全基础 深入介绍网络安全相关的各种基础知识。 OSI模型和TCP/IP协议簇 通信和网络技术 互联网技术与服务 主要网络安全协议和机制 9 网络安全应用 深入介绍常见网络安全产品和技术，包括对防火墙、入侵检测、漏洞扫描等常见网络安全技术和产品知识和应用。 常见网络安全设备的用途、分类、工作原理和应用技巧： 防火墙 入侵检测系统 漏洞扫扫描系统 安全隔离与信息交换系统（网闸） 10 UNIX操作系统安全 深入介绍UNIX操作系统安全基础和安全实践技术。 UNIX发展历史和体系架构 UNIX常见应用服务及其安全 Unix系统安全配置及最佳安全实践 11 Windows操作系统安全 深入介绍Windows操作系统安全基础和安全实践技术。 Windows发展历史和体系构架 Windos常见应用服务及其安全 Windows安全配置及最佳安全实践 12 Web与数据库安全管理 深入介绍常见网络应用（Web/邮件系统等）的安全基础和安全实践技术 深入介绍各种数据库系统安全基础和安全实践技术。 Web应用安全基础 Web应用的历史和作用 Web应用面临的安全威胁和漏洞 Web应用安全防护技术 数据库安全 数据库的历史和作用 数据面临的安全威胁和漏洞 数据库安全防护技术（SQL server和Oracle） 13 恶意代码防护 深入介绍各种恶意代码的基本概念和防护技术 了解病毒、蠕虫、木马、恶意网页的原理 掌握病毒、蠕虫、木马、恶意网页的防范 了解恶意代码的分析方法 14 安全编程 深入介绍源代码安全的有关知识，编成过程中的安全注意事项和源代码安全测试的流程和方法 安全编程基本概念 安全编程基本原则 程序安全测试方法 Windows、Unix、脚本安全编程实践 15 安全攻防 深入介绍信息安全攻防的