02CISP培训及知识体系大纲

注册信息安全专业人员培训及知识体系大纲介绍中国信息安全测评中心2010年05月目录一．注册信息安全专业人员培训简介二．注册信息安全专业人员知识体系大纲简介一、CISP培训简介信息安全培训业务背景信息安全培训——人的问题人是信息安全中昀核心问题之一！我们政府部门的广大干部对信息安全重要性的认识和相关技术问题的了解还远远不能满足国家发展的需要信息安全人才需求的背景ƒ信息安全保障的重要性•中办[2003]27号文件“国家信息化领导小组关于加强信息安全保障工作的意见”；•党的十六届四中全会将“信息安全”提升为国家安全的组成部分ƒ构建全面的信息安全人才体系的需求•是国家政策的要求•是组织机构信息安全保障建设自身的要求•是组织机构人员自身职业发展的要求信息安全人才体系战略组织机构信息安全人才体系战略安全意识安全基础和安全文化信息安全专业人员（信息安全相关的岗位和职责）计划组织开发采购实施交付运行维护废弃信息安全从业人员（信息系统相关的岗位和职责）所有员工注册信息安全员（CISM）信息安全保障专家注册信息安全专业人员（CISP）培训意识信息安全人才体系战略加快信息安全人才培养，增强全民信息安全意识加快信息安全人才培养增强全民信息安全意识意识教育安全培训高等教育专业培训安全意识安全基础和安全文化信息安全专业人员（信息安全相关的岗位和职责）计划组织开发采购实施交付运行维护废弃信息安全从业人员（信息系统相关的岗位和职责）所有人员信息安全保障专家培训教育和经验信息安全人才战略——培训体系专家CISPCISECISOCISACISM信息安全意识培训技术人员管理人员审核审计人员信息安全人才战略——培训体系CISM注册信息安全员CISP注册信息安全专业人员信息安全保障专家二、CISP知识体系大纲简介CISP（CISP/CISE/CISO）知识体系结构注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术组织保障人员管理风险评估业务持续性和灾难恢复事件响应信息安全规划应用和系统开发运行管理安全工程过程和实践项目管理过程和实践安全工程基础CISP同CISSP知识体系结构的比较注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术组织保障人员管理风险评估业务持续性和灾难恢复事件响应信息安全规划应用和系统开发运行管理安全工程过程和实践项目管理过程和实践安全工程基础CISP（CISE/CISO/CISA）试题区别说明注：CISA在CISE或CISO的基础上再加上50道信息安全审计相关的试题。10%10%信息安全标准和法律法规15%15%信息安全工程40%20%信息安全管理20%40%信息安全技术15%15%信息安全体系和模型CISOCISECISPCISP资质类型知识类别CISP知识体系大纲的特点ƒ以信息安全保障（IA）作为贯穿整个CISP知识体系大纲的主线ƒ使用知识类（PT）-知识体（BD）-知识域（KA）-知识子域（SA）来组织的组件模块化的知识体系结构CISP知识体系特点介绍—知识结构整体信息安全工程信息安全保障核心和主线信息安全标准和法律法规信息安全体系模型信息安全技术信息安全管理CISP知识体系特点介绍—知识结构组织知识类（PT）知识类（PT）知识体（BD）知识体（BD）知识域（KA）知识域（KA）知识域（KA）知识子域（SA）知识子域（SA）知识子域（SA）注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术组织保障人员管理风险评估业务持续性和灾难恢复事件响应信息安全规划应用和系统开发运行管理安全工程过程和实践项目管理过程和实践安全工程基础知识类：信息安全体系和模型信息安全保障框架知识类：信息安全体系和模型知识体系概述安全模型安全体系知识类（PT）知识体（BD）知识域（KA）信息安全体系和模型OSI开放系统互联安全体系架构信息技术安全性评估信息安全保障评估信息安全模型基础访问控制模型其他安全模型知识类：信息安全体系和模型知识体系详述信息技术安全评估历史和发展可信计算机系统评估准则（TCSEC）IT安全性评估通用准则（CC）信息系统安全保障评估框架信息安全产品测试评估信息系统安全测试评估信息安全服务测试评估信息安全人员测试评估自主访问控制（DAC）模型（访问矩阵模型及其实现）强制访问控制（MAC）模型（Bell-Lapudula/Biba/Clark-Wilson/ChineseWall/BMA模型）基于角色访问控制（RBAC）模型信息安全保障框架安全模型安全体系知识类知识体知识域信息安全体系和模型OSI开放系统互联安全体系架构信息技术安全性评估信息安全保障评估信息安全模型基础访问控制模型其他安全模型知识子域知识域说明PT：信息安全模型ƒPT（知识类）：信息安全模型•KA（知识域）：信息安全模型基础ƒ理解信息安全模型同安全策略、安全控制之间的关系ƒ理解可信计算基和参考监视器等的基本概念ƒ理解各种安全模型的分类和关系•KA（知识域）：访问控制模型ƒ理解和掌握访问控制模型的分类（MAC/DAC/RBAC）关系和实现。ƒ理解不同访问控制模型及实现CIA的关系ƒSA（知识子域）：自主访问控制（DAC）•理解自主访问控制的含义；•理解访问矩阵模型，理解和分析应用访问矩阵模型的实现（访问控制列表、权能列表）ƒSA（知识子域）：强制访问控制（MAC）•理解强制访问控制的分类和含义•理解多级强制访问控制模型：Bell-Lapudula模型、Biba模型和Clark-Wilson模型•理解多边强制访问控制模型：ChineseWall模型和BMA模型ƒSA（知识子域）：基于角色访问控制（RBAC）•理解基于角色的访问控制模型（RBAC）•KA（知识域）：其他安全模型ƒ理解理解信息流模型等其他安全模型概念及其关系知识域说明PT：信息安全体系知识类ƒPT（知识类）：信息安全体系•KA（知识域）：信息安全保障框架ƒ理解信息安全保障的背景和历史；ƒ理解信息安全保障的定义、模型和含义。•KA（知识域）：OSI开放系统互联安全体系结构ƒ理解和掌握OSI开放系统互联安全体系结构ƒ理解和掌握OSI开放系统互联安全体系结构同TCP/IP的映射•KA（知识域）：信息技术安全性评估ƒ理解和掌握信息技术安全性评估准则发展的背景、历史和关系；ƒ理解和掌握可信计算机系统评估准则（TCSEC）以及彩虹系列的内容和含义；ƒ理解和掌握信息技术安全性评估主则（CC）的内容和含义。•KA（知识域）：信息安全保障评估ƒ理解和掌握信息系统安全保障评估框架的内容和含义；ƒ理解和掌握信息安全保障评估的各中测试评估的类别和含义（信息安全产品测试评估、信息系统安全测试评估、信息安全服务测试评估和信息安全人员测试评估）知识体：信息安全模型原理说明模型访问控制模型信息流模型强制访问控制模型（MAC）自主访问控制模型（DAC）访问矩阵模型访问控制列表（ACL）权能列表（CapacityList）实现多级环境多边环境静态动态Bell-Lapudula模型Biba模型Clark-Wilson模型ChineseWall模型BMA模型保密性完整性基于角色访问控制模型（RBAC）安全模型与安全目的的关系保密性访问控制信息流DAC自主MAC强制完整性RBACBLPChineseWall（非干扰性，非观察性）BibaClark-Wilson特点：1）将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。2）其访问控制关系分为：可下写/可上读，可下读/可上写（完整性）（保密性）3）通过梯度安全标签实现单向信息流通模式。4）强耦合，集中式授权。信息安全保障模型技术工程管理人员保障要素开发采购实施交付运行维护完整性可用性废弃保密性安全特征计划组织生命周期组成及与现有标准关系信息系统和信息系统安全保障架构信息系统架构GB18336idt.ISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架将GB18336从产品和产品系统扩展到信息技术系统安全性评估技术保障（信息系统安全技术保障）信息系统安全保障评估框架BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。信息安全管理和管理能力成熟度模型管理保障（信息系统安全管理保障）ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型工程保障（信息系统安全工程保障）安全工程过程和能力成熟度模型系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践传统C&A信息系统认证认可和实践其他：ISO/IEC19791，NISTSP。。。信息系统和信息系统安全保障架构信息系统和信息系统安全保障架构信息系统架构GB18336idt.ISO/IEC15408信息技术安全性评估准则GB18336idt.ISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架IATF信息保障技术框架将GB18336从产品和产品系统扩展到信息技术系统安全性评估技术保障（信息系统安全技术保障）技术保障（信息系统安全技术保障）信息系统安全保障评估框架BS7799,ISO/IEC17799信息安全管理实践准则BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。其他相关标准、准则例如：ISO/IEC15443,COBIT。。。信息安全管理和管理能力成熟度模型管理保障（信息系统安全管理保障）管理保障（信息系统安全管理保障）ISSE信息系统安全工程ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型SSE-CMM系统安全工程能力成熟度模型工程保障（信息系统安全工程保障）工程保障（信息系统安全工程保障）安全工程过程和能力成熟度模型系统认证和认可标准和实践例如：美国DITSCAP,…系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践中国信息安全产品测评认证中心相关文档和系统测评认证实践传统C&A信息系统认证认可和实践其他：ISO/IEC19791，NISTSP。。。其他：ISO/IEC19791，NISTSP。。。信息系统安全保障级别评估说明技术保障管理保障工程保障ISALTCML安全技术架构能力成熟度级MCML安全管理能力成熟度级TCML安全工程能力成熟度级XX信息系统安全目标（ISST）XX信息系统保护轮廓（ISPP）信息系统保障评估方法信息系统安全保障级信息系统安全保障评估ISPP评估ISST评估技术保障管理保障工程保障ISALTCML安全技术架构能力成熟度级MCML安全管理能力成熟度级TCML安全工程能力成熟度级XX信息系统安全目标（ISST）XX信息系统保护轮廓（ISPP）信息系统保障评估方法信息系统安全保障级信息系统安全保障评估ISPP评估ISST评估注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控