CISP知識體系大綱22正式版.doc

注冊信息安全專業(yè)人員（CISP）知識體系大綱，V2.0注冊信息安全專業(yè)人員（CISP）知識體系大綱版本：2.0正式版中國信息安全測評中心中國信息安全測評中心 注冊信息安全專業(yè)人員（CISP）知識體系大綱，V2.0正式版目錄前言4第 1 章 注冊信息安全專業(yè)人員（CISP）知識體系概述51.1 CISP資質(zhì)認(rèn)定類別51.2 大綱范圍51.3 CISP知識體系框架結(jié)構(gòu)61.4 CISP（CISE/CISO）考試試題結(jié)構(gòu)8第 2 章 知識類：信息安全保障概述102.1 知識體：信息安全保障基本知識102.1.1 知識域：信息安全保障背景102.1.2 知識域：信息安全保障原理112.1.3 知識域：典型信息系統(tǒng)安全模型與框架112.2 知識體：信息安全保障基本實踐122.2.1 知識域：信息安全保障工作概況122.2.2 知識域：信息系統(tǒng)安全保障工作基本內(nèi)容12第 3 章 知識類：信息安全技術(shù)143.1 知識體：密碼技術(shù)143.1.1 知識域：密碼學(xué)基礎(chǔ)153.1.2 知識域：密碼學(xué)應(yīng)用153.2 知識體：訪問控制與審計監(jiān)控163.2.1 知識域：訪問控制模型173.2.2 知識域：訪問控制技術(shù)173.2.3 知識域：審計和監(jiān)控技術(shù)183.3 知識體：網(wǎng)絡(luò)安全183.3.1 知識域：網(wǎng)絡(luò)協(xié)議安全183.3.2 知識域：網(wǎng)絡(luò)安全設(shè)備193.3.3 知識域：網(wǎng)絡(luò)架構(gòu)安全193.4 知識體：系統(tǒng)安全203.4.1 知識域：操作系統(tǒng)安全203.4.2 知識域：數(shù)據(jù)庫安全213.5 知識體：應(yīng)用安全223.5.1 知識域：網(wǎng)絡(luò)服務(wù)安全223.5.2 知識域：個人用戶安全233.5.3 知識域：惡意代碼233.6 知識體：安全攻防243.6.1 知識域：信息安全漏洞243.6.2 知識域：安全攻防基礎(chǔ)253.6.3 知識域：安全攻防實踐253.7 知識體：軟件安全開發(fā)263.7.1 知識域：軟件安全開發(fā)概況263.7.2 知識域：軟件安全開發(fā)的關(guān)鍵階段26第 4 章 知識類：信息安全管理284.1 知識體：信息安全管理體系284.1.1 知識域：信息安全管理基本概念284.1.2 知識域：信息安全管理體系建設(shè)294.2 知識體：信息安全風(fēng)險管理304.2.1 知識域：風(fēng)險管理工作內(nèi)容304.2.2 知識域：信息安全風(fēng)險評估實踐314.3 知識體：安全管理措施324.3.1 知識域：基本安全管理措施324.3.2 知識域：重要安全管理過程34第 5 章 知識類：信息安全工程365.1 知識體：信息安全工程原理365.1.1 知識域：安全工程理論背景365.1.2 知識域： 安全工程能力成熟度模型375.2 知識體：信息安全工程實踐385.2.1 知識域： 安全工程實施實踐385.2.2 知識域： 信息安全工程監(jiān)理39第 6 章 知識類：信息安全標(biāo)準(zhǔn)法規(guī)406.1 知識體：信息安全法規(guī)與政策406.1.1 知識域：信息安全相關(guān)法律406.1.2 知識域：信息安全國家政策416.2 知識體：信息安全標(biāo)準(zhǔn)426.2.1 知識域：安全標(biāo)準(zhǔn)化概述426.2.2 知識域：信息安全評估標(biāo)準(zhǔn)426.2.3 知識域：信息安全管理標(biāo)準(zhǔn)436.2.4 知識域：等級保護(hù)標(biāo)準(zhǔn)436.3 知識體：道德規(guī)范446.3.1 知識域：信息安全從業(yè)人員道德規(guī)范446.3.2 知識域：通行道德規(guī)范45前言信息安全作為我國信息化建設(shè)健康發(fā)展的重要因素，關(guān)系到貫徹落實科學(xué)發(fā)展觀、全面建設(shè)小康社會、構(gòu)建社會主義和諧社會和建設(shè)創(chuàng)新型社會等國家戰(zhàn)略舉措的實施，是國家安全的重要組成部分。在信息系統(tǒng)安全保障工作中，人是最核心、也是最活躍的因素，人員的信息安全意識、知識與技能已經(jīng)成為保障信息系統(tǒng)安全穩(wěn)定運(yùn)行的重要基本要素之一。注冊信息安全專業(yè)人員（CISP）是對我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的信息安全專業(yè)人員進(jìn)行資質(zhì)評定的重要形式。多年來為落實我國有關(guān)政策“加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識”的指導(dǎo)精神，構(gòu)建信息安全人才體系發(fā)揮了巨大作用。本大綱從我國國情出發(fā)，結(jié)合我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全保障的實際需求，以知識體系的全面性和實用性為原則，明確規(guī)定了注冊信息安全專業(yè)人員應(yīng)當(dāng)掌握的知識要點，是CISP教材編制，講師授課，學(xué)員學(xué)習(xí)，以及考試命題的重要依據(jù)。本大綱包含以下章節(jié)：l 第1章 注冊信息安全專業(yè)人員（CISP）知識體系概述l 第2章 知識類：信息安全保障概述l 第3章 知識類：信息安全技術(shù)l 第4章 知識類：信息安全管理l 第5章 知識類：信息安全工程l 第6章 知識類：信息安全標(biāo)準(zhǔn)法規(guī)第 1 章 注冊信息安全專業(yè)人員（CISP）知識體系概述1.1 CISP資質(zhì)認(rèn)定類別 “注冊信息安全專業(yè)人員”，英文為Certified Information Security Professional ，簡稱CISP，系經(jīng)中國信息安全測評中心認(rèn)定的國家信息安全專業(yè)人員，具備保障信息系統(tǒng)安全的專業(yè)資質(zhì)。根據(jù)崗位工作需要，CISP分為兩個基礎(chǔ)類別：l “注冊信息安全工程師”，英文為Certified Information Security Engineer，簡稱CISE。證書持有人員主要從事信息安全技術(shù)領(lǐng)域的工作，具有從事信息系統(tǒng)安全集成、安全技術(shù)測試、安全加固和安全運(yùn)維的基本知識和能力；l “注冊信息安全管理人員”， 英文為Certified Information Security Officer，簡稱CISO。證書持有人員主要從事信息安全管理領(lǐng)域的工作，具有組織信息安全風(fēng)險評估、信息安全總體規(guī)劃編制、信息安全策略制度制定和監(jiān)督落實的基本知識和能力?！白孕畔踩珜I(yè)人員”在兩個基礎(chǔ)類別之上還有兩個擴(kuò)展類別：l “注冊信息安全專業(yè)人員-審計師”，簡稱CISP-AUDIT（原CISA）。證書持有人主要從事信息安全審計工作，在全面掌握信息安全基本知識技能的基礎(chǔ)上，具有較強(qiáng)的信息安全風(fēng)險評估、安全檢查實踐能力。l “注冊信息安全專業(yè)人員-災(zāi)難恢復(fù)工程師”，簡稱CISP-DRP。證書持有人主要從事信息系統(tǒng)災(zāi)難恢復(fù)工作，在全面掌握信息安全基本知識技能的基礎(chǔ)上，具有較強(qiáng)的信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)和管理的實踐能力。1.2 大綱范圍本大綱涵蓋了CISE和CISO兩種CISP基礎(chǔ)類別注冊人員需要掌握的知識要點。CISP-AUDIT注冊人員需要在本文規(guī)定的知識要點基礎(chǔ)上，更加深入地掌握有關(guān)信息系統(tǒng)審計和風(fēng)險評估的知識，有關(guān)內(nèi)容將在CISP-AUDIT專門的知識大綱中進(jìn)行介紹，而不在本大綱范圍內(nèi)。CISP-DRP注冊人員需要在本文規(guī)定的知識要點基礎(chǔ)上，更加深入地掌握有關(guān)信息系統(tǒng)災(zāi)難恢復(fù)工作的知識，有關(guān)內(nèi)容將在CISP-DRP專門的知識大綱中進(jìn)行介紹，而不在本大綱范圍內(nèi)。1.3 CISP知識體系框架結(jié)構(gòu)CISP知識體系使用組件模塊化的結(jié)構(gòu)，包括知識類、知識體、知識域和知識子域四個層次。l 知識類：是對信息安全保障知識領(lǐng)域的總體劃分，包含信息安全專業(yè)人員需要掌握的五大知識類別；l 知識體：是知識類中由屬于同一技術(shù)領(lǐng)域的知識內(nèi)容構(gòu)成的相對獨(dú)立、成體系的知識集合；l 知識域：是對知識體進(jìn)一步分解細(xì)化形成的完整的知識組件；l 知識子域：是構(gòu)成知識域的基本模塊，由一至多個具體知識要點構(gòu)成。本大綱規(guī)定了知識子域中每一個知識要點的內(nèi)容和深度要求，分為“了解”、“理解”、和“掌握”三類。l 了解：是最低深度要求，學(xué)員只需要正確認(rèn)識該知識要點的基本概念和原理；l 理解：是中等深度要求，學(xué)員需要在正確認(rèn)識該知識要點的基本概念和原理的基礎(chǔ)上，深入理解其內(nèi)容，并可以進(jìn)行進(jìn)一步的判斷和推理；l 掌握：是最高深度要求，學(xué)員需要正確認(rèn)識該知識要點的概念、原理，并在深入理解的基礎(chǔ)上靈活運(yùn)用。圖 11描述了CISP知識體系的結(jié)構(gòu)：圖 11：CISP知識體系的組件模塊結(jié)構(gòu)在整個注冊信息安全專業(yè)人員（CISP）的知識體系結(jié)構(gòu)中，共包括信息安全保障概述、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)這五個知識類，每個知識類根據(jù)其邏輯劃分為多個知識體，每個知識體包含多個知識域，每個知識域由一個或多個知識子域組成。CISP知識體系結(jié)構(gòu)共包含五個知識類，分別為：l 信息安全保障概述：介紹了信息安全保障的框架、基本原理和實踐，它是注冊信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識。l 信息安全技術(shù)：主要包括密碼技術(shù)、訪問控制、審計監(jiān)控等安全技術(shù)機(jī)制，網(wǎng)絡(luò)、系統(tǒng)軟件和應(yīng)用等層次的基本安全原理和實踐，以及信息安全攻防和軟件安全開發(fā)相關(guān)的技術(shù)知識和實踐。l 信息安全管理：主要包括信息安全管理體系建設(shè)、信息安全風(fēng)險管理、具體信息安全管理措施等同信息安全相關(guān)的管理知識和實踐。l 信息安全工程：主要包括同信息安全相關(guān)的工程知識和實踐。l 信息安全標(biāo)準(zhǔn)法規(guī)：主要包括信息安全相關(guān)的標(biāo)準(zhǔn)、法律法規(guī)和道德規(guī)范，是注冊信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識。圖1-2描述了CISP知識體系結(jié)構(gòu)圖 12：CISP知識體系結(jié)構(gòu)框架1.4 CISP（CISE/CISO）考試試題結(jié)構(gòu)CISP考試題型均為單項選擇題，共100題，每題1分，得到70分以上（含70分）為通過。CISP兩種基礎(chǔ)類別“注冊信息安全工程師”（CISE）和“注冊信息安全管理人員”（CISO）的注冊人員都需要學(xué)習(xí)和掌握CISP知識體系結(jié)構(gòu)框架中的所有內(nèi)容。由于兩種注冊證書持有人的工作崗位和工作領(lǐng)域的不同，考試的側(cè)重點有所區(qū)別，因此，所對應(yīng)的試題比例不同。表 11中描述了CISE/CISO考試的各知識類的比例。CISP資質(zhì)類型知識類別CISECISO信息安全保障概述10%10%信息安全技術(shù)50%30%信息安全管理20%40%信息安全工程10%10%信息安全標(biāo)準(zhǔn)和法律法規(guī)10%10%表 11：CISP（CISE/CISO）試題結(jié)構(gòu)第 2 章 知識類：信息安全保障概述信息安全保障體系概述介紹了信息安全保障的框架、基本原理和實踐，它是注冊信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：l 理解信息安全保障的意義和內(nèi)涵；l 掌握信息安全保障工作的總體思路和基本實踐方法。2.1 知識體：信息安全保障基本知識圖 21：知識體：信息安全保障基本知識2.1.1 知識域：信息安全保障背景l(fā) 知識子域：信息技術(shù)發(fā)展階段u 了解電報/電話、計算機(jī)、網(wǎng)絡(luò)等階段信息技術(shù)發(fā)展概況 u 了解信息化和網(wǎng)絡(luò)對個人、企事業(yè)單位和社會團(tuán)體、經(jīng)濟(jì)發(fā)展、社會穩(wěn)定、國家安全等方面的影響： l 知識子域：信息安全發(fā)展階段u 了解通信保密、計算機(jī)安全和信息安全保障u 了解各個階段信息安全面臨的主要威脅和防護(hù)措施2.1.2 知識域：信息安全保障原理l 知識子域：信息安全的內(nèi)涵和外延u 理解信息安全的特征與范疇u 理解信息安全的地位和作用u 理解信息安全、信息系統(tǒng)和系統(tǒng)業(yè)務(wù)使命之間的關(guān)系l 知識子域：信息安全問題產(chǎn)生的根源u 理解信息安全的內(nèi)因：信息系統(tǒng)的復(fù)雜性u 理解信息安全的外因：人為和環(huán)境的威脅l 知識子域：信息安全保障體系u 理解安全保障需要貫穿系統(tǒng)生命周期u 理解保密性、可用性和完整性三個信息安全特征u 理解策略和風(fēng)險是安全保障的核心問題u 理解技術(shù)、管理、工程過程和人員是基本保障要素u 理解業(yè)務(wù)使命實現(xiàn)是信息安全保障的根本目的2.1.3 知識域：典型信息系統(tǒng)安全模型與框架l 知識子域：P2DR模型u 理解P2DR模型的基本原理：策略、防護(hù)、檢測、響應(yīng)u 理解P2DR數(shù)學(xué)公式所表達(dá)的安全目標(biāo)l 知識子域：信息保障技術(shù)框架u 理解IATF深度防御思想u 理解IATF對信息技術(shù)系統(tǒng)四個方面的安全需求劃分及基本實現(xiàn)方法：本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施2.2 知識體：信息安全保障基本實踐圖 22：知識體：信息安全保障基本實踐2.2.1 知識域：信息安全保障工作概況l 知識子域：國外信息安全保障情況u 了解發(fā)達(dá)國家信息安全狀況和信息安全保障的主要舉措u 了解發(fā)達(dá)國家信息安全保障建設(shè)動態(tài)l 知識子域：我國信息安全保障工作總體情況u 了解我國信息安全保障工作發(fā)展階段u 理解國家信息安全保障基本原則u 了解國家信息安全保障建設(shè)主要內(nèi)容2.2.2 知識域：信息系統(tǒng)安全保障工作基本內(nèi)容l 知識子域：確定安全需求u 理解確定信息系統(tǒng)安全保障需求的作用u 理解確定信息系統(tǒng)安全保障需求的方法和原則l 知識子域：設(shè)計和實施信息安全方案u 理解信息安全方案的作用和主要內(nèi)容u 理解制定信息安全方案的主要原則u 理解信息安全方案實施的主要原則l 知識子域：信息安全測評u 了解信息安全測評的重要性u 了解國內(nèi)外信息安全測評概況u 理解信息安全產(chǎn)品測評方法和流程u 理解信息系統(tǒng)安全測評方法和流程u 了解服務(wù)商資質(zhì)測評方法和流程u 了解信息安全人員資質(zhì)測評方法和流程l 知識子域：信息安全監(jiān)控與維護(hù)u 理解在系統(tǒng)生命周期中持續(xù)提高信息系統(tǒng)安全保障能力的意義u 理解信息系統(tǒng)安全監(jiān)控與維護(hù)的主要原則第 3 章 知識類：信息安全技術(shù)信息安全技術(shù)是注冊信息安全專業(yè)人員需要掌握的主體知識內(nèi)容之一。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：l 掌握密碼技術(shù)、訪問控制技術(shù)、審計技術(shù)等信息安全保障技術(shù)的原理和基本實現(xiàn)方法l 掌握計算機(jī)網(wǎng)絡(luò)、系統(tǒng)軟件、應(yīng)用軟件信息安全防護(hù)的基本知識和實踐技能l 掌握信息安全攻防的基本知識和實踐技能l 理解軟件安全開發(fā)的基本方法3.1 知識體：密碼技術(shù)圖 31：知識體：密碼技術(shù)3.1.1 知識域：密碼學(xué)基礎(chǔ)l 知識子域：密碼學(xué)基礎(chǔ)概念u 了解密碼學(xué)的發(fā)展階段及其特點u 理解密碼通信模型，了解密碼學(xué)有關(guān)概念u 了解科克霍夫原則和影響密碼系統(tǒng)的安全性的基本因素u 掌握密碼體制的分類和特點u 理解密鑰生命周期概念和密鑰管理作用，了解密鑰產(chǎn)生、分配、使用、更換和注銷等過程的管理特點l 知識子域：對稱密碼算法u 了解DES、3DES算法的工作原理u 理解DES、3DES、AES、IDEA的特點和歷史背景u 理解對稱分組加密算法的優(yōu)缺點和應(yīng)用場合l 知識子域：非對稱密碼算法u 了解Diffie Hellman、ECC等非對稱密碼算法的原理和特點u 理解掌握RSA非對稱密碼算法原理和特點u 理解非對稱密碼算法的優(yōu)缺點和應(yīng)用場合l 知識子域：哈希函數(shù)和數(shù)字簽名u 理解哈希函數(shù)特點和作用u 了解MD5算法、SHA-1算法的工作原理和特點u 理解消息鑒別碼特點和作用，了解MAC、HMAC的原理和應(yīng)用u 理解數(shù)字簽名的原理和應(yīng)用，了解DSA和RSA簽名方案3.1.2 知識域：密碼學(xué)應(yīng)用l 知識子域：密碼學(xué)應(yīng)用基礎(chǔ)u 理解使用密碼學(xué)手段解決機(jī)密性、完整性、鑒別、不可否認(rèn)性以及授權(quán)等信息安全要素的能力和方法u 了解常見安全威脅和密碼應(yīng)用場景l(fā) 知識子域：VPN技術(shù)u 理解VPN的概念、分類和功能u 理解IPSec VPN的工作原理和特點u 理解SSL VPN的工作原理和特點l 知識子域：PKI/CA系統(tǒng)u 了解PKI/CA中CA、RA、數(shù)字證書、LDAP、OCSP、CRL等概念u 理解PKI/CA技術(shù)原理、體系結(jié)構(gòu)和作用u 掌握PKI/CA中數(shù)字證書的申請、發(fā)布及注銷等流程u 了解PKI/CA的典型應(yīng)用l 知識子域：PMI/AA系統(tǒng)u 理解PMI/AA的原理和作用u 掌握PMI和PKI、AC和PKC的區(qū)別u 了解PMI/AA的體系結(jié)構(gòu)u 掌握屬性證書的特點和應(yīng)用l 知識子域：其他應(yīng)用介紹u 了解密碼協(xié)議概念u 理解動態(tài)口令認(rèn)證特點、實現(xiàn)原理及應(yīng)用u 了解PGP軟件功能u 了解OPENSSL軟件功能u 了解密碼產(chǎn)品分類3.2 知識體：訪問控制與審計監(jiān)控圖 32：知識體：訪問控制與審計監(jiān)控3.2.1 知識域：訪問控制模型l 知識子域：訪問控制基本概念u 理解標(biāo)識、鑒別和授權(quán)等訪問控制的基本概念u 理解各種安全模型的分類l 知識子域：自主訪問控制模型u 理解自主訪問控制的含義u 了解訪問矩陣模型，理解和分析應(yīng)用訪問矩陣模型的實現(xiàn)（訪問控制列表、權(quán)能列表）u 理解自主訪問控制模型的特點和優(yōu)勢l 知識子域：強(qiáng)制訪問控制模型u 理解強(qiáng)制訪問控制的分類和含義u 了解典型強(qiáng)制訪問控制模型：Bell-Lapudula模型、Biba模型、Chinese Wall模型和Clark-Wilson模型l 知識子域：基于角色訪問控制模型u 理解基于角色的訪問控制模型（RBAC）的特點和優(yōu)勢3.2.2 知識域：訪問控制技術(shù)l 知識子域：標(biāo)識和鑒別技術(shù)u 理解賬號和口令管理的基本原則u 了解生物識別技術(shù)及其實現(xiàn)（虹膜、指紋、掌紋等）u 了解其他鑒別技術(shù)（令牌、票據(jù)等）u 了解單點登錄技術(shù)（SSO）及其實現(xiàn)（Kerberos等）l 知識子域：典型訪問控制方法和實現(xiàn)u 理解集中訪問控制的基本概念及其實現(xiàn)（RADIUS、TACACS、TACACS+和Diameter等）u 理解非集中訪問控制的基本概念及其實現(xiàn)（域等）3.2.3 知識域：審計和監(jiān)控技術(shù)l 知識子域：信息安全審計 u 了解安全審計的基本概念 u 理解安全審計的作用和目標(biāo) u 了解審計系統(tǒng)的組成結(jié)構(gòu) l 知識子域：安全監(jiān)控 u 了解常用安全監(jiān)控技術(shù)如蜜網(wǎng)、輿情分析等；u 了解內(nèi)容審計系統(tǒng)模型以及網(wǎng)絡(luò)不良信息內(nèi)容監(jiān)控方法 3.3 知識體：網(wǎng)絡(luò)安全圖 33：知識體：網(wǎng)絡(luò)安全3.3.1 知識域：網(wǎng)絡(luò)協(xié)議安全l 知識子域：TCP/IP協(xié)議安全u 理解開放互聯(lián)系統(tǒng)模型ISO/OSI七層協(xié)議模型u 理解TCP/IP協(xié)議面臨安全威脅及安全對策u 理解無線網(wǎng)絡(luò)安全協(xié)議的原理和應(yīng)用u 了解IPV6的安全優(yōu)勢l 知識子域：無線數(shù)據(jù)網(wǎng)絡(luò)協(xié)議安全u 理解和掌握無線局域網(wǎng)協(xié)議安全相關(guān)原理和應(yīng)用u 理解和掌握無線應(yīng)用協(xié)議安全的的原理和應(yīng)用l 知識子域：無線蜂窩網(wǎng)絡(luò)協(xié)議安全u 了解GSM的安全機(jī)制和安全缺陷u 了解CDMA的安全機(jī)制和安全缺陷u 了解3G系統(tǒng)的安全機(jī)制和安全缺陷3.3.2 知識域：網(wǎng)絡(luò)安全設(shè)備l 知識子域：防火墻技術(shù)u 理解防火墻的作用u 理解包過濾技術(shù)、狀態(tài)檢測技術(shù)和應(yīng)用代理技術(shù)、內(nèi)核代理技術(shù)的原理和優(yōu)缺點u 掌握防火墻選擇和使用中的基本注意事項l 知識子域：入侵檢測技術(shù)u 理解審計和監(jiān)控的基本概念u 理解入侵檢測基本概念和工作原理u 理解入侵檢測的分類u 掌握入侵檢測系統(tǒng)選擇和使用中的基本注意事項l 知識子域：其它網(wǎng)絡(luò)安全技術(shù)u 了解安全隔離與信息交換系統(tǒng)（網(wǎng)閘）u 了解入侵防御系統(tǒng)（IPS）u 了解安全管理平臺（SOC）u 了解統(tǒng)一威脅管理系統(tǒng)（UTM）u 了解網(wǎng)絡(luò)準(zhǔn)入控制（NAC）3.3.3 知識域：網(wǎng)絡(luò)架構(gòu)安全l 知識子域：網(wǎng)絡(luò)架構(gòu)安全的概念 u 理解網(wǎng)絡(luò)架構(gòu)安全的含義 u 理解網(wǎng)絡(luò)架構(gòu)的安全需求（安全域、安全邊界、用戶接入控制、數(shù)據(jù)安全訪問和控制等） l 知識子域：網(wǎng)絡(luò)架構(gòu)安全實踐 u 掌握IP地址規(guī)劃、VLAN劃分的基本安全原則u 掌握網(wǎng)絡(luò)設(shè)備安全功能和安全配置的基本原則u 掌握網(wǎng)絡(luò)安全設(shè)備部署和配置的基本原則3.4 知識體：系統(tǒng)安全圖 34：知識體：系統(tǒng)安全3.4.1 知識域：系統(tǒng)架構(gòu)l 知識子域：硬件系統(tǒng)組成u 了解和掌握計算機(jī)系統(tǒng)架構(gòu)u 了解計算機(jī)硬件組成、工作原理及相關(guān)安全問題l 知識子域：操作系統(tǒng)架構(gòu)u 了解操作系統(tǒng)架構(gòu)和基本功能u 了解操作系統(tǒng)基本實現(xiàn)機(jī)制u 了解操作系統(tǒng)面臨的安全問題l 知識子域：典型的安全體系結(jié)構(gòu)u 理解安全體系結(jié)構(gòu)的含義u 了解權(quán)能體系結(jié)構(gòu)的基本概念和基本實現(xiàn)方法u 了解Flask體系結(jié)構(gòu)的概念及其組成與應(yīng)用l 知識子域：安全操作系統(tǒng)基礎(chǔ)u 理解安全操作系統(tǒng)的基本概念u 了解操作系統(tǒng)的安全模型l 知識子域：操作系統(tǒng)安全機(jī)制u 理解操作系統(tǒng)不同安全機(jī)制的概念u 理解操作系統(tǒng)安全機(jī)制的作用和基本原理l 知識子域：操作系統(tǒng)安全評測u 了解操作系統(tǒng)安全評測方法u 了解國內(nèi)外安全評測準(zhǔn)則的概況u 理解TCSEC、GB17859-1999、CC標(biāo)準(zhǔn)的主要內(nèi)容l 知識子域：通用操作系統(tǒng)的安全技術(shù)u 理解和掌握windows操作系統(tǒng)安全技術(shù)的應(yīng)用u 理解和掌握Linux操作系統(tǒng)的安全技術(shù)的應(yīng)用l 知識子域：可信計算技術(shù)u 了解可信計算技術(shù)的產(chǎn)生及發(fā)展u 了解可信計算技術(shù)3.4.2 知識域：數(shù)據(jù)庫安全l 知識子域：數(shù)據(jù)庫安全基礎(chǔ)u 了解數(shù)據(jù)模型與數(shù)據(jù)庫系統(tǒng)結(jié)構(gòu)u 了解數(shù)據(jù)庫存的基本操作u 理解數(shù)據(jù)庫安全需求 l 知識子域：數(shù)據(jù)庫安全機(jī)制u 理解數(shù)據(jù)庫不同安全機(jī)制的概念u 理解數(shù)據(jù)庫安全機(jī)制的作用和基本原理l 知識子域：數(shù)據(jù)庫管理系統(tǒng)安全管理u 理解數(shù)據(jù)庫威脅與防護(hù) u 掌握數(shù)據(jù)庫安全特性檢查 u 掌握數(shù)據(jù)庫運(yùn)行安全監(jiān)控 u 了解數(shù)據(jù)庫管理系統(tǒng)產(chǎn)品安全3.5 知識體：應(yīng)用安全圖 35：知識體：應(yīng)用安全3.5.1 知識域：網(wǎng)絡(luò)服務(wù)安全l 知識子域：Web服務(wù)安全u 了解Web工作機(jī)制及HTTP協(xié)議的安全缺陷u 理解Web服務(wù)器常見安全漏洞和防范方法u 掌握Windows IIS與 IE瀏覽器安全設(shè)置l 知識子域：常用互聯(lián)網(wǎng)服務(wù)安全u 了解SMTP、POP等典型電子郵件協(xié)議的安全問題u 理解電子郵件客戶端和服務(wù)器的常見漏洞和防范方法u 理解FTP的常見安全漏洞和防范方法u 了解其他常用互聯(lián)網(wǎng)服務(wù)如遠(yuǎn)程終端、telnet等安全問題及解決措施3.5.2 知識域：個人終端安全l 知識子域：常用軟件安全u 了解互聯(lián)網(wǎng)瀏覽安全常識u 了解常用即時通信軟件常見安全漏洞和防范方法u 了解常用辦公軟件（如Micosoft Word）安全功能的使用方法l 知識子域：安全意識u 了解數(shù)據(jù)安全保護(hù)基本知識u 了解社會工程學(xué)基本知識3.5.3 知識域：惡意代碼l 知識子域：惡意代碼基本概念及原理u 了解惡意代碼的歷史和發(fā)展趨勢u 理解常見惡意代碼病毒、蠕蟲、木馬傳播方式和危害的特點u 了解惡意代碼實現(xiàn)的關(guān)鍵技術(shù)（生存技術(shù)、隱蔽技術(shù)、攻擊及植入技術(shù)等）l 知識子域：惡意代碼防御技術(shù)u 掌握惡意代碼預(yù)防的策略、意識、技術(shù)和工具u 了解惡意代碼發(fā)現(xiàn)和分析技術(shù)u 了解惡意代碼清除技術(shù) 3.6 知識體：安全攻防圖 36：知識體：安全攻防3.6.1 知識域：信息安全漏洞l 知識子域：安全漏洞基礎(chǔ)u 理解漏洞的概念，分類分級u 了解漏洞的危害、產(chǎn)生的原因u 了解常用的漏洞庫：CNNVD、CVE等 l 知識子域：安全漏洞檢測u 了解基于源代碼的漏洞檢測方法與技術(shù)u 了解基于二進(jìn)制代碼的漏洞檢測方法與技術(shù)3.6.2 知識域：安全攻防基礎(chǔ)l 知識子域：網(wǎng)絡(luò)攻擊基本概念及術(shù)語u 了解網(wǎng)絡(luò)攻擊的基本知識u 了解網(wǎng)絡(luò)攻擊的常用術(shù)語l 知識子域：網(wǎng)絡(luò)攻擊基本流程u 了解偵網(wǎng)絡(luò)攻擊的基本步驟u 了解網(wǎng)絡(luò)攻擊各個階段常用的攻擊手段和工具3.6.3 知識域：安全攻防實踐l 知識子域：攻擊目標(biāo)信息收集u 了解目標(biāo)系統(tǒng)網(wǎng)絡(luò)地址、軟件版本等信息獲取方式u 了解網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備、系統(tǒng)軟件、應(yīng)用軟件掃描攻擊的常用工具l 知識子域：密碼破解原理與實例u 了解密碼破解技術(shù)原理和口令安全基本知識u 了解密碼破解常用工具及密碼字典概念l 知識子域：緩沖區(qū)溢出原理與實例u 理解緩沖區(qū)溢出的原理和危害u 了解防范緩沖區(qū)溢出的基本方法l 知識子域：欺騙攻擊原理與實例u 理解IP欺騙、ARP欺騙、DNS欺騙的原理和危害u 了解防范欺騙攻擊的基本方法l 知識子域：拒絕服務(wù)攻擊原理與實例u 理解SYN Flood、UDP Flood、Land攻擊、Teardrop攻擊等典型DOS攻擊的原理和危害u 理解DDOS攻擊的原理u 了解防范DOS/DDOS攻擊的基本方法l 知識子域：網(wǎng)頁腳本安全原理與實例u 理解SQL注入攻擊的原理和危害u 了解防范SQL注入攻擊的基本方法u 理解跨站腳本攻擊的原理和危害u 了解防范跨站腳本攻擊的基本方法3.7 知識體：軟件安全開發(fā)圖 37：知識體：軟件安全開發(fā)3.7.1 知識域：軟件安全開發(fā)概況l 知識子域：軟件安全開發(fā)背景u 了解人們對安全的軟件需求u 了解當(dāng)前軟件開發(fā)方法不足以生成安全的軟件u 了解軟件安全開發(fā)的發(fā)展歷史l 知識子域：軟件安全開發(fā)簡介u 理解軟件安全開發(fā)七個階段的主要目的和措施u 理解軟件安全開發(fā)在安全設(shè)計和威脅建模中的基本術(shù)語3.7.2 知識域：軟件安全開發(fā)的關(guān)鍵階段l 知識子域：軟件安全設(shè)計u 理解減少攻擊面的基本步驟和主要對象u 了解常用軟件中減少攻擊面的保護(hù)措施u 了解威脅建模的目的u 掌握威脅建模的過程u 理解威脅建模的關(guān)鍵因素及作用l 知識子域：軟件安全開發(fā)u 掌握緩沖區(qū)溢出、整數(shù)錯誤、跨站腳本、SQL注入等六種常見軟件代碼安全漏洞的成因及防范措施u 了解常見源代碼分析工具的用途u 掌握編碼時禁止使用的函數(shù)u 了解如何減少潛在可被利用的編碼結(jié)構(gòu)和設(shè)計u 理解代碼審查的主要內(nèi)容和過程l 知識子域：軟件安全測試u 了解常用模糊測試的類型u 了解常用模糊測試的過程和方法u 了解審核并更新威脅模型，以及重新評估軟件的受攻擊面第 4 章 知識類：信息安全管理信息安全管理是注冊信息安全專業(yè)人員需要掌握的主體知識內(nèi)容之一。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：l 理解信息安全管理對于保障信息系統(tǒng)安全的作用和方法l 理解信息安全管理體系的含義，掌握建立和運(yùn)行信息安全管理體系的一般方法l 理解等級保護(hù)中的信息安全管理機(jī)制，掌握等級保護(hù)管理機(jī)制建立和實施的方法l 理解NIST SP 800中關(guān)于信息系統(tǒng)安全管理的要求，掌握實施的通用方法4.1 知識體：信息安全管理基礎(chǔ)圖表 41：知識體：信息安全管理基礎(chǔ)4.1.1 知識域：信息安全管理基本概念l 知識子域：信息安全管理的定義u 理解信息安全及管理的含義u 理解信息安全管理的側(cè)重點l 知識子域： 信息安全管理的作用u 理解信息安全“技管并重”原則的意義u 理解成功實施信息安全管理工作的關(guān)鍵因素4.1.2 知識域：信息安全管理方法l 知識子域： 風(fēng)險管理的概念和作用u 理解信息安全風(fēng)險的概念：資產(chǎn)價值、威脅、脆弱性、防護(hù)措施、影響、可能性u 理解風(fēng)險評估是信息安全管理工作的基礎(chǔ)u 理解風(fēng)險處置是信息安全管理工作的核心l 知識子域： 安全管理控制措施的概念和作用u 理解安全管理控制措施的含義u 理解安全管理控制措施是管理風(fēng)險的具體手段l 知識子域：信息安全管理通用方法u 理解信息安全管理體系的方法機(jī)制u 理解信息安全等級保護(hù)的管理機(jī)制u 理解美國聯(lián)邦信息系統(tǒng)安全管理的機(jī)制4.2 知識體：信息安全管理體系圖表 42：知識體：信息安全管理體系4.2.1 知識域：信息安全管理體系基礎(chǔ)l 知識子域： 信息安全管理體系的概念u 理解管理體系的含義u 理解信息安全管理體系的概念u 了解信息安全管理體系的起源與發(fā)展l 知識子域：信息安全管理體系的作用u 理解信息安全管理體系的持續(xù)改進(jìn)機(jī)制u 理解信息安全管理體系的建設(shè)給組織帶來的利益l 知識子域：信息安全管理體系認(rèn)證u 理解信息安全管理體系認(rèn)證的含義u 了解我國的認(rèn)證機(jī)制u 了解我國信息安全管理體系的認(rèn)證現(xiàn)狀4.2.2 知識域：信息安全管理體系方法l 知識子域：信息安全管理體系的關(guān)鍵因素u 理解信息安全管理機(jī)構(gòu)在信息安全管理體系中的重要作用u 理解體系文件的作用和重要性u 理解風(fēng)險評估和處理在體系建設(shè)運(yùn)行中的重要性l 知識子域：管理體系要素建設(shè)u 過程方法和PDCA循環(huán)u 理解文件記錄控制的方法u 理解內(nèi)部審核的作用和機(jī)制u 理解管理評審的機(jī)制和方法u 理解糾正和預(yù)防措施的含義l 知識子域：信息安全控制措施選擇與建設(shè)u 理解安全方針的含義u 理解信息安全組織的含義和控制措施u 理解人力資源安全的含義和控制措施u 理解資產(chǎn)管理的含義和控制措施u 理解物理和環(huán)境安全的含義和控制措施u 理解通信和操作管理的含義和控制措施u 理解訪問控制的含義和控制措施u 理解信息系統(tǒng)獲取、開發(fā)和維護(hù)的含義和控制措施u 理解信息安全事件管理的含義和控制措施u 理解信息安全業(yè)務(wù)連續(xù)性管理的含義和控制措施u 理解符合性的含義和控制措施4.2.3 知識域：信息安全管理體系建設(shè)l 知識子域：建立ISMSu 了解建立ISMS的主要工作內(nèi)容u 了解建立階段各活動的實施方法l 知識子域：實施和運(yùn)行ISMSu 了解實施和運(yùn)行ISMS的主要工作內(nèi)容u 了解實施和運(yùn)行階段各活動的實施方法l 知識子域：監(jiān)視和評審ISMSu 了解監(jiān)視和評審ISMS的主要工作內(nèi)容u 了解監(jiān)視和評審階段各活動的實施方法l 知識子域：保持和改進(jìn)ISMSu 了解保持和改進(jìn)ISMS的主要工作內(nèi)容u 了解保持和改進(jìn)階段各活動的實施方法4.3 知識體：信息安全等級保護(hù)圖表 43知識體：信息安全等級保護(hù)4.3.1 知識域：信息安全等級保護(hù)基礎(chǔ)l 知識子域： 信息安全等級保護(hù)級別劃分u 理解信息安全等級保護(hù)的劃分原則u 理解信息安全各等級的含義和范圍u 理解信息安全各等級的保護(hù)監(jiān)督檢查要求l 知識子域：信息安全等級保護(hù)的實施和管理u 理解信息安全等級保護(hù)各階段可依據(jù)的標(biāo)準(zhǔn)、政策以及相關(guān)文檔u 掌握信息安全等級保護(hù)中的測評、自查、檢查周期要求u 理解信息安全等級保護(hù)中的信息安全產(chǎn)品要求u 理解信息安全等級保護(hù)中對測評機(jī)構(gòu)的要求4.3.2 知識域：信息安全等級保護(hù)方法l 知識子域：信息安全等級保護(hù)總體框架u 理解信息安全等級保護(hù)基本要求的描述模型u 理解信息安全各等級的安全保護(hù)能力目標(biāo)u 理解基本技術(shù)要求和基本管理要求的含義u 理解信息系統(tǒng)基本保護(hù)要求的組合方式l 知識子域：信息安全等級保護(hù)管理措施u 理解安全管理制度的含義和控制措施u 理解安全管理機(jī)構(gòu)的含義和控制措施u 理解人員安全管理的含義和控制措施u 理解系統(tǒng)建設(shè)管理的含義和控制措施u 理解系統(tǒng)運(yùn)維管理的含義和控制措施4.3.3 知識域：信息安全等級保護(hù)工作開展 信息安全管理機(jī)制l 知識子域：信息系統(tǒng)定級與備案u 了解系統(tǒng)定級的工作內(nèi)容和實施方法u 了解系統(tǒng)備案的工作內(nèi)容和實施方法l 知識子域：安全管理建設(shè)整改u 了解信息系統(tǒng)安全管理建設(shè)整改的主要工作內(nèi)容u 了解信息系統(tǒng)安全管理建設(shè)整改的基本流程u 了解信息系統(tǒng)安全管理建設(shè)整改的實施方法l 知識子域：信息系統(tǒng)等級測評u 了解信息系統(tǒng)等級測評的主要工作內(nèi)容u 了解信息系統(tǒng)安全管理等級測評的實施方法l 知識子域：信息系統(tǒng)監(jiān)督檢查u 了解信息系統(tǒng)監(jiān)督檢查的主要工作內(nèi)容u 了解信息系統(tǒng)監(jiān)督檢查的實施方法4.4 知識體：NIST SP 800中的安全管理圖表 44知識體：NIST SP 800中的安全管理安全管理4.4.1 知識域：NIST SP 800安全管理基礎(chǔ)l 知識子域： NIST SP 800的概念u 理解NIST SP 800的含義u 了解NIST SP 800系列標(biāo)準(zhǔn)的起源與發(fā)展l 知識子域：NIST SP 800標(biāo)準(zhǔn)u 理解NIST SP 800的標(biāo)準(zhǔn)框架u 了解NIST SP 800重要安全管理標(biāo)準(zhǔn)的內(nèi)容架構(gòu)4.4.2 知識域：NIST SP 800安全管理實施l 知識子域：信息安全控制措施u 理解訪問控制的含義和控制措施u 理解意識和教育的含義和控制措施u 理解審計和問責(zé)的含義和控制措施u 理解安全評估和授權(quán)的含義和控制措施u 理解配置管理的含義和控制措施u 理解應(yīng)急計劃的含義和控制措施u 理解鑒別和認(rèn)證的含義和控制措施u 理解事件響應(yīng)的含義和控制措施u 理解維護(hù)的含義和控制措施u 理解介質(zhì)保護(hù)的含義和控制措施u 理解物理和環(huán)境保護(hù)的含義和控制措施u 理解計劃的含義和控制措施u 理解人員安全措施的含義和控制措施u 理解風(fēng)險評估的含義和控制措施u 理解系統(tǒng)和服務(wù)獲取的含義和控制措施u 理解系統(tǒng)和通信保護(hù)的含義和控制措施u 理解系統(tǒng)和信息完整性的含義和控制措施u 理解信息安全規(guī)劃的含義和控制措施l 知識子域：信息安全管理過程u 理解NIST SP 800的安全管理流程l 知識子域：管理風(fēng)險u 了解管理風(fēng)險的主要工作內(nèi)容u 了解管理風(fēng)險的實施方法l 知識子域：信息系統(tǒng)分類u 了解信息系統(tǒng)分類的主要工作內(nèi)容u 了解信息系統(tǒng)分類的實施方法l 知識子域：選擇安全控制措施u 了解選擇安全控制措施的主要工作內(nèi)容u 了解選擇安全控制措施的實施方法l 知識子域：安全控制措施監(jiān)控u 了解安全控制措施監(jiān)控的主要工作內(nèi)容u 了解安全控制措施監(jiān)控的實施方法第 5 章 知識類：信息安全工程信息安全工程是注冊信息安全專業(yè)人員需要掌握的主體知識內(nèi)容之一。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：l 理解信息安全工程的基本概念和重要性l 熟悉系統(tǒng)安全工程能力成熟度模型（SSE-CMM），能夠從“工程服務(wù)提供單位-乙方”的角度，應(yīng)用系統(tǒng)安全工程能力成熟度模型（SSE-CMM）指導(dǎo)開展信息安全工程建設(shè)、改進(jìn)安全服務(wù)質(zhì)量，并了解如何評價信息安全工程的服務(wù)質(zhì)量。l 熟悉信息系統(tǒng)安全工程模型（ISSE），能夠從“工程業(yè)主單位-甲方”的角度，應(yīng)用信息系統(tǒng)安全工程模型（ISSE）在工程建設(shè)全生命周期進(jìn)行相應(yīng)的安全考慮和安全控制。l 了解信息安全工程監(jiān)理模型，熟悉信息安全工程監(jiān)理工作范圍、職責(zé)、內(nèi)容、過程和控制管理措施。5.1 知識體：信息安全工程圖表 51：知識體：信息安全工程5.1.1 知識域：安全工程基礎(chǔ)l 知識子域： 信息安全工程概述u 了解安全工程的重要性和意義（政策要求和案例）u 了解安全工程的基本原則l 知識子域： 系統(tǒng)工程、項目管理、質(zhì)量管理、能力成熟度基礎(chǔ)u 了解系統(tǒng)工程基本思想u 了解項目管理基本概念和要素u 了解質(zhì)量管理基本概念u 理解“工程能力成熟度”基本思想u 了解“過程能力方案”和“組織機(jī)構(gòu)成熟度方案”的區(qū)別5.1.2 知識域：安全工程能力提供方l 知識子域： SSE-CMM體系與原理u 了解SSE-CMM的適用范圍u 了解過程、過程區(qū)和過程能力的概念u 了解域維/安全過程區(qū)與能力維/公共特征的關(guān)系l 知識子域： 安全工程過程區(qū)域u 了解過程類、過程區(qū)和基本實施的關(guān)系u 理解風(fēng)險過程、工程過程和保證過程的含義u 了解各個安全工程過程區(qū)的含義l 知識子域： 安全工程能力評價u 理解能力級別、公共特征和通用實施的關(guān)系u 理解各個信息安全工程能力級別的含義5.1.3 知識域：安全工程生命周期l 知識子域：挖掘信息保護(hù)需求u 理解ISSE的含義：將系統(tǒng)工程思想應(yīng)用于信息安全領(lǐng)域，在系統(tǒng)生命周期的各階段充分考慮和實施安全措施u 理解信息安全需求提出的過程u 理解風(fēng)險評估結(jié)果是安全需求的重要決定因素u 理解國家政策法規(guī)和合同協(xié)議等符合性要求是安全需求的重要決定因素u 理解并能夠確定信息安全需求的優(yōu)先次序l 知識子域：確定系統(tǒng)安全要求u 理解信息系統(tǒng)用途、架構(gòu)等特征對安全風(fēng)險特征的影響u 理解建立安全背景環(huán)境、定義安全運(yùn)行概念、制定安全基線、審查設(shè)計約束等重要環(huán)節(jié)的主要內(nèi)容，并能夠熟悉上述內(nèi)容的典型控制措施。l 知識子域：設(shè)計系統(tǒng)安全體系結(jié)構(gòu)u 了解設(shè)計系統(tǒng)安全體系結(jié)構(gòu)的主要內(nèi)容：構(gòu)造系統(tǒng)的體系結(jié)構(gòu)，詳細(xì)說明信息保護(hù)系統(tǒng)的設(shè)計方案；開展功能分析和功能分配。u 理解設(shè)計方案中必須包含的要素u 能夠掌握如何開展對安全設(shè)計方案的設(shè)計功能分析和設(shè)計功能分配l 知識子域：開展詳細(xì)安全設(shè)計u 理解開展詳細(xì)安全設(shè)計的主要內(nèi)容：確保對安全體系結(jié)構(gòu)的遵從；實施均衡取舍研究；定義系統(tǒng)安全設(shè)計要素u 理解安全詳細(xì)設(shè)計必須與安全體系結(jié)構(gòu)設(shè)計相一致u 理解安全產(chǎn)品的選型過程和相應(yīng)的控制措施l 知識子域：實施系統(tǒng)安全 u 理解實施系統(tǒng)安全的主要內(nèi)容：支持對安全的實現(xiàn)和集成u 理解安全工程必要的實施過程：到貨、部署、初驗、試運(yùn)行和終驗u 理解風(fēng)險評估是試運(yùn)行期間的必要工作，也是終驗的重要依據(jù)l 知識子域： 評估信息安全有效性u 理解評估信息安全有效性是蘊(yùn)含在全部上述5個生命周期中的重要工作，每個周期中均不可或缺。u 理解定期、持續(xù)的風(fēng)險評估和風(fēng)險消控是保障系統(tǒng)安全的必要工作5.1.4 知識域：安全工程評估第三方l 知識子域： 信息安全工程監(jiān)理模型u 了解信息安全工程監(jiān)理工作的意義u 了解信息安全工程監(jiān)理階段、監(jiān)理管理和控制手段和監(jiān)理支撐要素l 知識子域： 監(jiān)理階段目標(biāo)u 了解信息安全工程招標(biāo)、設(shè)計、實施和驗收階段監(jiān)理方的工作目標(biāo)l 知識子域： 信息安全工程各方職責(zé)u 了解信息安全工程招標(biāo)、設(shè)計、實施和驗收階段業(yè)務(wù)單位、承建單位和監(jiān)理單位的職責(zé)和工作流程第 6 章 知識類：信息安全標(biāo)準(zhǔn)法規(guī)信息安全標(biāo)準(zhǔn)法規(guī)是注冊信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：l 理解遵循信息安全法規(guī)、政策、標(biāo)準(zhǔn)和道德規(guī)范的重要性l 掌握我國重點信息安全法規(guī)和政策的有關(guān)要求l 掌握重點信息安全技術(shù)標(biāo)準(zhǔn)的有關(guān)內(nèi)容l 了解CISP道德規(guī)范，了解通行的有關(guān)信息安全道德規(guī)范6.1 知識體：信息安全法規(guī)與政策圖表 61：知識體：信息安全法規(guī)與政策6.1.1 知識域：信息安全相關(guān)法律l 知識子域： 國家信息安全法治總體情況u 了解信息安全