考试科目2:信息安全应用技术
第 1 章:信息安全工程师考试大纲()
考试科目2:信息安全应用技术
1.密码学应用
1.1 密码算法的实现
● 了解DES/3DES密码算法的软件实现
● 了解AES密码算法的软件实现
● 了解SM4密码算法的软件实现
● 了解RC4密码算法的软件实现
● 了解SM3算法的软件实现
● 了解HMAC算法的软件实现
1.2 密码算法的应用
1.2.1 典型密码算法的应用
● 熟悉数据加密的基本方法
● 熟悉文件加密的基本方法
● 熟悉通信加密的基本方法
1.2.2 分组密码工作模式
● 熟悉分组密码工作的ECB/CBC/CFB/OFB/CTR模式
● 熟悉填充法
1.2.3 公钥密码应用
● 熟悉公钥密码的加密应用
● 了解SM2公钥密码在加密和数字签名方面的 应用
● 熟悉数字签名的应用
1.3 典型认证协议的应用
1.3.1 身份认证
● 掌握安全口令技术
1.3.2 典型认证协议的应用
● 熟悉站点认证技术
● 熟悉报文源和报文宿的认证技术
● 熟悉报文内容的认证技术
● 熟悉消息认证码的应用
1.4 密钥管理技术
● 熟悉对称密码会话密钥的产生和分发
● 掌握公钥基础设施和数字证书的应用
2.网络安全工程
2.1 网络安全需求分析与基本设计
● 熟悉网络安全需求分析
● 熟悉网络安全设计原则
2.2 网络安全产品的配置与使用
2.2.1 网络流量监控和协议分析
● 熟悉网络流量监控的工作原理
● 掌握网络协议分析工具的基本配置
2.2.2 网闸的配置与使用
● 熟悉安全网闸的工作原理
● 掌握安全网闸的基本配置
● 掌握安全网闸的功能配置与使用
2.2.3 防火墙的配置与使用
● 熟悉防火墙的工作原理
● 掌握防火墙的基本配置
● 熟悉防火墙的策略配置
2.2.4 入侵检测系统的配置与使用
● 熟悉入侵检测系统的工作原理
● 掌握入侵检测系统的基本配置
● 熟悉入侵检测系统的签名库配置与管理
2.3 网络安全风险评估实施
2.3.1 基本原则与流程
● 熟悉基本原则和基本流程
2.3.2 识别阶段工作
● 熟悉资产识别
● 熟悉威胁识别
● 熟悉脆弱性识别
2.3.3 风险分析阶段工作
● 熟悉风险分析模型
● 熟悉风险计算方法
● 熟悉风险分析与评价
● 熟悉风险评估报告
2.3.4 风险处置
● 熟悉风险处置原则
● 熟悉风险整改建议
2.4 网络安全防护技术的应用
2.4.1 网络安全漏洞扫描技术及应用
● 熟悉网络安全漏洞扫描的工作原理
● 熟悉网络安全漏洞扫描器分类
● 掌握网络安全漏洞扫描器的应用
● 熟悉网络安全漏洞的防御
2.4.2 VPN技术及应用
● 熟悉基于虚拟电路的VPN
● 熟悉应用层VPN
● 熟悉基于隧道协议的VPN
● 熟悉基于MPLS的VPN
2.4.3 网络容灾备份技术及应用
● 熟悉网络容灾备份系统的工作原理
● 熟悉网络容灾备份系统的分类
● 掌握网络容灾备份系统的应用
2.4.4 日志分析
● 熟悉日志分析的基本原理
● 掌握日志分析方法
● 掌握日志分析应用
3.系统安全工程
3.1 访问控制
3.1.1 访问控制技术
● 掌握基于角色的访问控制技术
● 熟悉Kerberos协议
3.1.2 身份认证技术
● 熟悉口令猜测技术
● 了解常用网站口令强度分析技术
3.2 信息系统安全的需求分析与设计
3.2.1 信息系统安全需求分析
● 熟悉信息系统安全需求
● 熟悉安全信息系统的构建过程
3.2.2 信息系统安全的设计
● 熟悉信息系统安全体系
● 掌握信息系统安全的开发构建过程和设计方法
3.3 信息系统安全产品的配置与使用
3.3.1 Windows系统安全配置
● 熟悉用户管理配置、系统管理配置和网络管理 配置
3.3.2 Linux系统安全配置
● 熟悉用户管理配置、系统管理配置和网络管理 配置
3.3.3 数据库的安全配置
● 熟悉用户管理配置
● 熟悉数据库管理配置
3.4 信息系统安全测评
3.4.1 信息系统安全测评的基础与原则
● 熟悉信息系统安全测评的内容
● 熟悉信息系统安全测评的基本原则
● 熟悉信息系统安全的分级原则
3.4.2 信息系统安全测评方法
● 熟悉模糊测试
● 熟悉代码审计
3.4.3 信息系统安全测评过程
● 熟悉测评流程
● 熟悉安全评估阶段、安全认证阶段和认证监督阶段的工作内容
4.应用安全工程
4.1 Web安全的需求分析与基本设计
4.1.1 Web安全威胁
● 熟悉OWASP Top 10 Web安全分类
4.1.2 Web安全威胁防护技术
● 掌握注入漏洞防护技术
● 掌握失效的身份认证和会话管理防护技术
● 掌握跨站脚本(XSS)防护技术
● 熟悉其余常见Web安全威胁防护技术
4.2 电子商务安全的需求分析与基本设计
● 熟悉电子商务系统的体系架构
● 熟悉电子商务系统的需求分析
● 熟悉电子商务系统的常用安全架构
● 掌握电子商务系统的常用安全技术
4.3 嵌入式系统的安全应用
4.3.1 嵌入式系统的软件开发
● 熟悉嵌入式的交叉编译环境配置方法
● 了解嵌入式C语言的编程方法和编译方法
● 熟悉IC卡的安全配置和应用
4.3.2 移动智能终端
● 掌握移动智能终端的主流OS的安全防护和配置方法
● 掌握移动智能终端应用安全
4.4 数字水印在版权保护中的应用
● 熟悉数字版权保护系统的需求分析
● 熟悉基于数字水印的数字版权保护系统体系 架构
● 掌握数字版权保护系统的常用数字水印技术
● 了解数字版权保护系统的技术标准
4.5 位置隐私保护技术的应用
4.5.1 位置隐私安全威胁
● 熟悉位置隐私保护的需求分析
● 了解位置隐私保护的体系架构
● 掌握位置隐私保护的常用方法
4.5.2 位置隐私k-匿名模型的算法和应用
● 了解基于空间划分的匿名算法
● 了解基于Hilbert值的k-匿名算法
● 了解基于用户位置的动态匿名算法