信息安全工程师考试大纲（）二

考试科目2：信息安全应用技术

第 1 章：信息安全工程师考试大纲（）

考试科目2：信息安全应用技术

1．密码学应用

1.1 密码算法的实现

● 了解DES/3DES密码算法的软件实现

● 了解AES密码算法的软件实现

● 了解SM4密码算法的软件实现

● 了解RC4密码算法的软件实现

● 了解SM3算法的软件实现

● 了解HMAC算法的软件实现

1.2 密码算法的应用

1.2.1 典型密码算法的应用

● 熟悉数据加密的基本方法

● 熟悉文件加密的基本方法

● 熟悉通信加密的基本方法

1.2.2 分组密码工作模式

● 熟悉分组密码工作的ECB/CBC/CFB/OFB/CTR模式

● 熟悉填充法

1.2.3 公钥密码应用

● 熟悉公钥密码的加密应用

● 了解SM2公钥密码在加密和数字签名方面的 应用

● 熟悉数字签名的应用

1.3 典型认证协议的应用

1.3.1 身份认证

● 掌握安全口令技术

1.3.2 典型认证协议的应用

● 熟悉站点认证技术

● 熟悉报文源和报文宿的认证技术

● 熟悉报文内容的认证技术

● 熟悉消息认证码的应用

1.4 密钥管理技术

● 熟悉对称密码会话密钥的产生和分发

● 掌握公钥基础设施和数字证书的应用

2．网络安全工程

2.1 网络安全需求分析与基本设计

● 熟悉网络安全需求分析

● 熟悉网络安全设计原则

2.2 网络安全产品的配置与使用

2.2.1 网络流量监控和协议分析

● 熟悉网络流量监控的工作原理

● 掌握网络协议分析工具的基本配置

2.2.2 网闸的配置与使用

● 熟悉安全网闸的工作原理

● 掌握安全网闸的基本配置

● 掌握安全网闸的功能配置与使用

2.2.3 防火墙的配置与使用

● 熟悉防火墙的工作原理

● 掌握防火墙的基本配置

● 熟悉防火墙的策略配置

2.2.4 入侵检测系统的配置与使用

● 熟悉入侵检测系统的工作原理

● 掌握入侵检测系统的基本配置

● 熟悉入侵检测系统的签名库配置与管理

2.3 网络安全风险评估实施

2.3.1 基本原则与流程

● 熟悉基本原则和基本流程

2.3.2 识别阶段工作

● 熟悉资产识别

● 熟悉威胁识别

● 熟悉脆弱性识别

2.3.3 风险分析阶段工作

● 熟悉风险分析模型

● 熟悉风险计算方法

● 熟悉风险分析与评价

● 熟悉风险评估报告

2.3.4 风险处置

● 熟悉风险处置原则

● 熟悉风险整改建议

2.4 网络安全防护技术的应用

2.4.1 网络安全漏洞扫描技术及应用

● 熟悉网络安全漏洞扫描的工作原理

● 熟悉网络安全漏洞扫描器分类

● 掌握网络安全漏洞扫描器的应用

● 熟悉网络安全漏洞的防御

2.4.2 VPN技术及应用

● 熟悉基于虚拟电路的VPN

● 熟悉应用层VPN

● 熟悉基于隧道协议的VPN

● 熟悉基于MPLS的VPN

2.4.3 网络容灾备份技术及应用

● 熟悉网络容灾备份系统的工作原理

● 熟悉网络容灾备份系统的分类

● 掌握网络容灾备份系统的应用

2.4.4 日志分析

● 熟悉日志分析的基本原理

● 掌握日志分析方法

● 掌握日志分析应用

3．系统安全工程

3.1 访问控制

3.1.1 访问控制技术

● 掌握基于角色的访问控制技术

● 熟悉Kerberos协议

3.1.2 身份认证技术

● 熟悉口令猜测技术

● 了解常用网站口令强度分析技术

3.2 信息系统安全的需求分析与设计

3.2.1 信息系统安全需求分析

● 熟悉信息系统安全需求

● 熟悉安全信息系统的构建过程

3.2.2 信息系统安全的设计

● 熟悉信息系统安全体系

● 掌握信息系统安全的开发构建过程和设计方法

3.3 信息系统安全产品的配置与使用

3.3.1 Windows系统安全配置

● 熟悉用户管理配置、系统管理配置和网络管理 配置

3.3.2 Linux系统安全配置

● 熟悉用户管理配置、系统管理配置和网络管理 配置

3.3.3 数据库的安全配置

● 熟悉用户管理配置

● 熟悉数据库管理配置

3.4 信息系统安全测评

3.4.1 信息系统安全测评的基础与原则

● 熟悉信息系统安全测评的内容

● 熟悉信息系统安全测评的基本原则

● 熟悉信息系统安全的分级原则

3.4.2 信息系统安全测评方法

● 熟悉模糊测试

● 熟悉代码审计

3.4.3 信息系统安全测评过程

● 熟悉测评流程

● 熟悉安全评估阶段、安全认证阶段和认证监督阶段的工作内容

4．应用安全工程

4.1 Web安全的需求分析与基本设计

4.1.1 Web安全威胁

● 熟悉OWASP Top 10 Web安全分类

4.1.2 Web安全威胁防护技术

● 掌握注入漏洞防护技术

● 掌握失效的身份认证和会话管理防护技术

● 掌握跨站脚本（XSS）防护技术

● 熟悉其余常见Web安全威胁防护技术

4.2 电子商务安全的需求分析与基本设计

● 熟悉电子商务系统的体系架构

● 熟悉电子商务系统的需求分析

● 熟悉电子商务系统的常用安全架构

● 掌握电子商务系统的常用安全技术

4.3 嵌入式系统的安全应用

4.3.1 嵌入式系统的软件开发

● 熟悉嵌入式的交叉编译环境配置方法

● 了解嵌入式C语言的编程方法和编译方法

● 熟悉IC卡的安全配置和应用

4.3.2 移动智能终端

● 掌握移动智能终端的主流OS的安全防护和配置方法

● 掌握移动智能终端应用安全

4.4 数字水印在版权保护中的应用

● 熟悉数字版权保护系统的需求分析

● 熟悉基于数字水印的数字版权保护系统体系 架构

● 掌握数字版权保护系统的常用数字水印技术

● 了解数字版权保护系统的技术标准

4.5 位置隐私保护技术的应用

4.5.1 位置隐私安全威胁

● 熟悉位置隐私保护的需求分析

● 了解位置隐私保护的体系架构

● 掌握位置隐私保护的常用方法

4.5.2 位置隐私k-匿名模型的算法和应用

● 了解基于空间划分的匿名算法

● 了解基于Hilbert值的k-匿名算法

● 了解基于用户位置的动态匿名算法