專業信息安全工程師網站|培訓機構|服務商(2019信息安全工程師學習QQ群:327677606,客服QQ:270019001)

軟題庫 培訓課程
當前位置:信管網 >> 信息安全工程師 >> 考試資訊 >> 文章內容
2018年信息安全工程師考試大綱
來源:信管網??2016年03月01日? 【信管網:信息安全工程師專業網站所有評論

 

信息安全工程師: 

信息安全工程師是指遵照信息安全管理體系和標準工作,防范黑客入侵并進行分析和防范,通過運用各種安全產品和技術,設置防火墻、防病毒、IDS、PKI、攻防技術等。進行安全制度建設與安全技術規劃、日常維護管理、信息安全檢查與審計系統帳號管理與系統日志檢查等的人員。

通過本級考試的合格人員能根據應用部門的要求進行信息系統安全方案的規劃、設計與實現;能進行安全設備的軟硬件安裝調試;能進行信息系統的安全運行、維護和管理;能高效、可靠、安全地管理信息資源;遵紀守法且具有良好的職業道德;具有工程師的實際工作能力和業務水平,能指導助理工程師從事安全系統的構建和管理工作。

信息安全工程師考試說明

信息安全工程師考試范圍

考試科目1:信息安全基礎知識

考試科目2:信息安全應用技術

題型舉例

點擊下載:官方標準版《信息安全工程師》考試大綱.pdf

一、信息安全工程師考試說明
1.考試目標
通過本考試的合格人員能掌握信息安全的知識體系;能夠根據應用單位的信息安全需求和信息基礎設施結構,規劃設計信息安全方案,并負責單位信息系統安全設施的運行維護和配置管理;能夠對信息系統運行安全風險和信息設備的安全風險進行監測和分析,并處理一般的安全風險問題,對于重大安全風險問題能夠提出整改建議;能夠協助相關部門對單位的信息系統進行安全審計和安全事件調查;能夠對信息系統和網絡安全事件進行關聯分析、應急處理,并撰寫處理報告;具有工程師的實際工作能力和業務水平。
2.考試要求
(1)熟悉信息安全的基本知識;
(2)熟悉計算機網絡、操作系統、數據庫管理系統的基本知識;
(3)熟悉密碼學的基本知識與應用技術;
(4)掌握計算機安全防護與檢測技術;
(5)掌握網絡安全防護與處理技術;
(6)熟悉數字水印在版權保護中的應用技術;
(7)了解信息安全相關的法律法規、管理規定;
(8)了解信息安全標準化知識;
(9)了解安全可靠的軟硬件平臺的基礎知識、集成技術和基礎應用;
(10)了解云計算、物聯網、互聯網、工業控制、大數據等領域的安全管理、安全技術集成及應用解決方案;
(11)熟練閱讀和正確理解相關領域的英文資料。 
3. 本級考試設置的科目包括:
(1)信息安全基礎知識,考試時間為150分鐘,筆試,選擇題;
(2)信息安全應用技術,考試時間為150分鐘,筆試,問答題。



二、信息安全工程師考試范圍
考試科目1:信息安全基礎知識 

1.信息安全基本知識
  1.1 信息安全概念
* 了解網絡空間的概念、網絡空間安全學科的內涵、網絡空間安全學科的主要研究方向與研究 內容
  1.2 信息安全法律法規
1.2.1 我國立法與司法現狀
* 了解中華人民共和國國家安全法、保密法、網絡安全法
* 熟悉中華人民共和國計算機信息系統安全保護條例
1.2.2 計算機和網絡安全的法規規章
* 熟悉我國《刑法》對計算機犯罪的規定
* 熟悉我國網絡與信息安全相關的法律責任
  1.3 信息安全管理基礎
1.3.1 信息安全管理制度與政策
* 熟悉我國計算機信息系統等級保護制度
* 了解我國涉及國家秘密的信息系統分級保護制度
* 了解我國密碼管理政策
* 了解我國信息安全產品管理政策
* 了解我國互聯網信息服務管理政策
1.3.2 信息安全風險評估與管理
* 了解風險分析、評估和風險管理的基本知識
  1.4 信息安全標準化知識
1.4.1 熟悉信息安全技術標準的基本知識
1.4.2 了解標準化組織
1.4.3 信息安全系列標準
* 了解信息安全管理體系標準
* 了解信息安全技術與工程標準
  1.5 信息安全專業英語
* 閱讀信息安全有關英文資料
* 掌握本領域的基本英語詞匯
2.計算機網絡基礎知識
  2.1 計算機網絡的體系結構
  2.2 Internet協議
2.2.1 網絡層協議
* 掌握IP、ICMP、OSPF、RIP、ARP和IGMP 協議
* 熟悉 BGP協議
2.2.2 傳輸層協議
* 掌握TCP和UDP協議
  2.2.3 應用層協議
* 掌握DNS、SMTP、POP3、PGP、FTP、HTTP和DHCP協議
3.密碼學
  3.1 密碼學的基本概念
3.1.1 密碼學定義
* 掌握密碼的安全目標
3.1.2 密碼體制
* 掌握密碼技術的基本思想
* 掌握基本的密碼體制
* 了解密碼分析
3.1.3 古典密碼
* 熟悉古典密碼的主要編制方法
  3.2 分組密碼
3.2.1 分組密碼的概念
3.2.2 DES
* 熟悉DES和3DES密碼算法
* 了解DES和3DES的應用
3.2.3 AES
* 熟悉AES密碼算法
* 了解AES密碼的應用
3.2.4 SM4
* 熟悉SM4密碼算法
* 了解SM4密碼的應用
3.2.5 分組密碼工作模式
* 熟悉分組密碼工作的ECB/CBC/CFB/OFB/CTR模式
  3.3 序列密碼
3.3.1 序列密碼的概念
3.3.2 線性移位寄存器序列
* 熟悉線性移位寄存器序列的概念
* 了解線性移位寄存器序列的應用
3.3.3 RC4
* 熟悉RC4密碼算法
* 了解RC4密碼的應用
3.3.4 ZUC
* 熟悉ZUC密碼
* 了解ZUC密碼的應用
  3.4 Hash函數
3.4.1 Hash函數的概念
* 掌握Hash函數的概念
* 熟悉Hash函數的應用
3.4.2 SHA算法
* 了解SHA算法系列
* 了解SHA算法的安全性
3.4.3 SM3算法
* 熟悉SM3算法
* 了解SM3算法的應用
3.4.4 HMAC
* 熟悉消息認證碼的概念及應用
* 熟悉使用HMAC的消息認證碼
* 熟悉基于SM3的HMAC
  3.5 公鑰密碼體制
3.5.1 公鑰密碼的概念
3.5.2 RSA密碼
* 熟悉RSA密碼算法
* 了解RSA密碼的特點與應用
3.5.3 ElGamal密碼
* 熟悉ElGamal密碼算法
* 了解ElGamal密碼的特點與應用
3.5.4 橢圓曲線密碼
* 了解橢圓曲線的概念
* 了解橢圓曲線上的ElGamal密碼體制
3.5.5 SM2橢圓曲線公鑰加密算法
* 了解SM2橢圓曲線公鑰加密算法、特點和應用
  3.6 數字簽名
3.6.1 數字簽名的概念
* 掌握數字簽名的概念和應用
3.6.2 典型數字簽名體制
* 熟悉RSA簽名算法
* 熟悉ElGamal簽名算法
* 了解橢圓曲線密碼數字簽名
3.6.3 SM2橢圓曲線數字簽名算法
* 了解SM2橢圓曲線數字簽名算法和應用
  3.7 認證
3.7.1 認證的概念
3.7.2 身份認證
* 熟悉口令和指紋識別
3.7.3 報文認證
* 熟悉報文源和報文宿的認證
* 熟悉報文內容的認證
  3.8 密鑰管理
3.8.1 密鑰管理的概念
3.8.2 對稱密碼的密鑰管理
* 熟悉對稱密鑰的生成、分發和存儲
3.8.3 非對稱密碼的密鑰管理
* 熟悉非對稱密鑰的生成
* 熟悉公鑰基礎設施(PKI)
* 熟悉公鑰證書
4.網絡安全
  4.1 網絡安全的基本概念
* 熟悉基本安全屬性
* 了解網絡安全事件
* 了解影響網絡安全的因素
  4.2 網絡安全威脅
4.2.1 威脅來源和種類
* 了解網絡安全威脅的來源
* 了解網絡安全的基本攻擊面
* 熟悉網絡監聽
* 熟悉口令破解
* 熟悉網絡釣魚
* 熟悉網絡欺騙
* 了解社會工程
* 熟悉漏洞攻擊
* 熟悉惡意代碼攻擊(僵尸網絡)
* 了解供應鏈攻擊
4.2.2 網站安全威脅
* 熟悉SQL注入攻擊
* 熟悉XSS
* 熟悉CSRF
* 熟悉目錄遍歷威脅
* 了解文件上傳威脅
4.2.3 無線網絡安全威脅
* 了解無線網絡安全威脅的來源
* 熟悉無線網絡安全的基本攻擊面
  4.3 網絡安全防御
4.3.1 網絡安全防御原則
* 了解最小權限原則、縱深防御原則、防御多樣性原則、防御整體性原則、安全性與代價平衡原則、網絡資源的等級性原則等
4.3.2 基本防御技術
* 熟悉防火墻技術
* 熟悉入侵檢測技術
* 熟悉VPN技術
* 熟悉網絡容錯技術
* 熟悉安全漏洞掃描技術
* 了解網絡蜜罐技術
* 了解匿名網絡
4.3.3 安全協議
* 熟悉IPSec協議、SSL協議、PGP協議、TLS協議、IEEE802.1x協議、RADIUS協議、Kerberos協議、X.509協議、S/MIME協議、SSH協議等
  4.4 無線網絡安全
4.4.1 無線網絡基本知識
* 了解無線廣域網、無線城域網、無線局域網和無線個域網概念
* 了解無線傳感器網絡概念
* 了解無線網狀網概念
4.4.2 無線網絡安全威脅及分析
* 了解無線網絡安全威脅
* 熟悉無線網絡安全需求分析
* 熟悉無線網絡安全方案設計策略
4.4.3 無線網絡安全機制
* 熟悉無線公開密鑰體系(WPKI)
* 熟悉有線等效保密協議(WEP)
* 熟悉Wi-Fi網絡安全接入協議(WPA/WPA2)
* 熟悉無線局域網鑒別與保密體系(WAPI)
* 熟悉802.11i協議
* 了解移動通信系統安全機制
* 了解無線傳感器網絡安全機制
* 了解無線個域網安全機制
5.計算機安全
  5.1 計算機設備安全
5.1.1 計算機安全的定義
* 熟悉計算機安全的屬性
* 了解可靠性度量方法
5.1.2 計算機系統安全模型與安全方法
* 熟悉系統安全的概念
* 熟悉系統安全策略的基本模型
* 了解系統安全的實現方法
5.1.3 電磁泄露和干擾
* 了解電磁泄露檢測方法和安全防護
* 了解電磁泄露的處理方法
5.1.4 物理安全
* 了解場地安全、設備安全和介質安全
5.1.5 計算機的可靠性技術
* 熟悉容錯的基本概念
* 了解硬件容錯、軟件容錯和數據容錯
  5.2 操作系統安全
5.2.1 操作系統安全基本知識
* 熟悉安全操作系統概念
* 熟悉操作系統安全概念
* 熟悉操作系統的安全性概念
5.2.2 操作系統面臨的安全威脅
5.2.3 安全模型
* 掌握BLP模型
* 熟悉Biba模型、Clark-Wilson模型、RBAC模型、DTE模型、BN模型
5.2.4 操作系統的安全機制
* 熟悉標識與鑒別機制
* 熟悉訪問控制機制
* 熟悉最小特權管理機制
* 熟悉可信通路機制
* 熟悉安全審計機制
* 熟悉存儲保護、運行保護和I/O保護機制
5.2.5 操作系統安全增強的實現方法
* 了解安全操作系統的設計原則、實現方法和一般開發過程
* 了解操作系統的安全增強技術
  5.3 數據庫系統的安全
5.3.1 數據庫安全的概念
5.3.2 數據庫安全的發展歷程
5.3.3 數據庫訪問控制技術
* 熟悉數據庫安全模型
* 熟悉數據庫安全策略的實施
5.3.4 數據庫加密
* 熟悉數據庫加密概念
* 熟悉數據庫加密技術的基本要求
* 掌握數據庫加密技術與訪問控制技術的關系
5.3.5 多級安全數據庫
* 了解安全數據庫標準
* 了解多級安全數據庫的體系結構
5.3.6 數據庫的推理控制問題
* 了解推理通道分類、產生的原因和解決手段
5.3.7 數據庫的備份與恢復
* 熟悉數據庫備份
* 了解數據庫恢復
  5.4 惡意代碼
5.4.1 惡意代碼定義與分類
* 掌握惡意代碼的定義和特征
5.4.2 惡意代碼的命名規則
* 了解常用惡意代碼前綴解釋
* 了解CARO命名規則
5.4.3 計算機病毒
* 掌握計算機病毒的定義和特點
* 熟悉計算機病毒的生命周期和傳播途徑
5.4.4 網絡蠕蟲
* 掌握網絡蠕蟲的定義
5.4.5 特洛伊木馬
* 掌握特洛伊木馬的定義
* 熟悉遠程控制型木馬的連接方式及其特點
* 熟悉遠程控制型木馬的常見控制功能、具體用途及其自我隱藏方式
5.4.6 后門
* 掌握后門的定義
5.4.7 其他惡意代碼
* 熟悉DDos、Bot、Rootkit、Exploit黑客攻擊程序、簡單軟件、廣告軟件的定義
5.4.8 惡意代碼的清除方法
* 熟悉惡意代碼對主機的篡改行為
* 熟悉惡意代碼的清除步驟
5.4.9 典型反病毒技術
* 熟悉特征值查毒法
* 熟悉校驗和技術
* 熟悉啟發式掃描、虛擬機技術、行為監控技術、主動防御技術
  5.5 計算機取證
5.5.1 計算機取證的基本概念
* 熟悉計算機取證的定義、作用與目的
5.5.2 電子證據及特點
* 熟悉電子證據的定義和特征
5.5.3 計算機取證技術
* 熟悉計算機取證步驟
* 熟悉計算機取證分析技術
  5.6 嵌入式系統安全
5.6.1 智能卡安全基礎知識
* 掌握智能卡的基本概念
* 了解智能卡相關標準
* 掌握智能卡安全問題與應對策略
5.6.2 USB Key技術
* 掌握USB Key身份認證原理
* 熟悉USB Key身份認證的特點
* 掌握USB Key的安全問題與應對策略
5.6.3 移動智能終端
* 了解移動智能終端軟硬件系統
* 熟悉移動智能終端面臨的安全問題及解決途徑
5.6.4 熟悉工控系統安全問題及解決途徑
  5.7 云計算安全
5.7.1 云計算安全基礎知識
* 掌握云計算的基本概念
* 了解云計算的SPI模型
* 了解云計算面臨的信息安全威脅
* 掌握云計算安全的基本概念
* 熟悉云計算安全的相關標準
5.7.2 IaaS層安全技術
* 掌握虛擬機監控器的概念
* 了解虛擬機監控器和虛擬機實例的安全風險及相關安全技術
* 熟悉虛擬網絡的安全
* 熟悉數據存儲的安全
5.7.3 PaaS層安全技術
* 掌握容器的概念
* 了解容器安全技術
5.7.4 SaaS層安全技術
* 掌握多租戶的概念
* 了解應用安全隔離技術
6.應用系統安全
  6.1 Web安全
6.1.1 Web安全威脅
* 掌握Web安全概念
* 熟悉Web安全分類
6.1.2 Web安全威脅防護技術
* 熟悉Web訪問安全和Web內容安全
* 熟悉網頁防篡改技術
  6.2 電子商務安全
6.2.1 電子商務安全基礎知識
* 熟悉電子商務安全概念、特點和需求
6.2.2 電子商務的安全認證體系
* 熟悉身份認證技術和數字證書技術
6.2.3 電子商務的安全服務協議
* 了解SET協議
* 熟悉SSL協議
  6.3 信息隱藏
6.3.1 信息隱藏基礎知識
* 掌握信息隱藏定義、分類和特點
* 熟悉信息隱藏模型
* 了解信息隱藏常用算法(空域算法、Patchwork算法、頻域算法、壓縮域算法、NEC算法、生理模型算法)
* 了解信息隱藏技術的發展和應用領域
6.3.2 數字水印技術
* 掌握數字水印概念
* 熟悉數字水印的基本原理、分類及模型
* 了解數字水印常用實現方法與算法
* 了解視頻水印概念
* 了解數字水印攻擊方法和對抗策略
  6.4 網絡輿情
6.4.1 網絡輿情的基本概念
* 掌握網絡輿情的定義和意義
* 熟悉網絡輿情的表現方式和特點
6.4.2 網絡輿情的基本技術
* 熟悉網絡輿情的誘發因素、監測技術和預警措施
  6.5 隱私保護
6.5.1 隱私保護基礎知識
* 掌握隱私保護的基本概念
* 了解隱私保護目標
* 熟悉隱私泄露方式
6.5.2 數據挖掘和隱私保護
* 了解數據挖掘與隱私保護的關系
6.5.3 隱私度量與評估標準
* 了解隱私的度量方法
* 了解隱私保護算法的評估標準 

考試科目2:信息安全應用技術

1.密碼學應用
  1.1 密碼算法的實現
* 了解DES/3DES密碼算法的軟件實現
* 了解AES密碼算法的軟件實現
* 了解SM4密碼算法的軟件實現
* 了解RC4密碼算法的軟件實現
* 了解SM3算法的軟件實現
* 了解HMAC算法的軟件實現
  1.2 密碼算法的應用
1.2.1 典型密碼算法的應用
* 熟悉數據加密的基本方法
* 熟悉文件加密的基本方法
* 熟悉通信加密的基本方法
1.2.2 分組密碼工作模式
* 熟悉分組密碼工作的ECB/CBC/CFB/OFB/CTR模式
* 熟悉填充法
1.2.3 公鑰密碼應用
* 熟悉公鑰密碼的加密應用
* 了解SM2公鑰密碼在加密和數字簽名方面的 應用
* 熟悉數字簽名的應用
  1.3 認證協議的應用
1.3.1 身份認證
* 掌握安全口令技術
1.3.2 典型認證協議的應用
* 熟悉站點認證技術
* 熟悉報文源和報文宿的認證技術
* 熟悉報文內容的認證技術
* 熟悉消息認證碼的應用
  1.4 密鑰管理技術
* 熟悉對稱密碼會話密鑰的產生和分發
* 掌握公鑰基礎設施和數字證書的應用
2.網絡安全工程
  2.1 網絡安全需求分析與基本設計
* 熟悉網絡安全需求分析
* 熟悉網絡安全設計原則
  2.2 網絡安全產品的配置與使用
2.2.1 網絡流量監控和協議分析
* 熟悉網絡流量監控的工作原理
* 掌握網絡協議分析工具的基本配置
2.2.2 網閘的配置與使用
* 熟悉安全網閘的工作原理
* 掌握安全網閘的基本配置
* 掌握安全網閘的功能配置與使用
2.2.3 防火墻的配置與使用
* 熟悉防火墻的工作原理
* 掌握防火墻的基本配置
* 熟悉防火墻的策略配置
2.2.4 入侵檢測系統的配置與使用
* 熟悉入侵檢測系統的工作原理
* 掌握入侵檢測系統的基本配置
* 熟悉入侵檢測系統的簽名庫配置與管理
  2.3 網絡安全風險評估實施
2.3.1 基本原則與流程
* 熟悉基本原則和基本流程
2.3.2 識別階段工作
* 熟悉資產識別
* 熟悉威脅識別
* 熟悉脆弱性識別
2.3.3 風險分析階段工作
* 熟悉風險分析模型
* 熟悉風險計算方法
* 熟悉風險分析與評價
* 熟悉風險評估報告
2.3.4 風險處置
* 熟悉風險處置原則
* 熟悉風險整改建議
  2.4 網絡安全防護技術的應用
2.4.1 網絡安全漏洞掃描技術及應用
* 熟悉網絡安全漏洞掃描的工作原理
* 熟悉網絡安全漏洞掃描器分類
* 掌握網絡安全漏洞掃描器的應用
* 熟悉網絡安全漏洞的防御
2.4.2 VPN技術及應用
* 熟悉基于虛擬電路的VPN
* 熟悉應用層VPN
* 熟悉基于隧道協議的VPN
* 熟悉基于MPLS的VPN
2.4.3 網絡容災備份技術及應用
* 熟悉網絡容災備份系統的工作原理
* 熟悉網絡容災備份系統的分類
* 掌握網絡容災備份系統的應用
2.4.4 日志分析
* 熟悉日志分析的基本原理
* 掌握日志分析方法
* 掌握日志分析應用
3.系統安全工程
  3.1 訪問控制
3.1.1 訪問控制技術
* 掌握基于角色的訪問控制技術
* 熟悉Kerberos協議
3.1.2 身份認證技術
* 熟悉口令猜測技術
* 了解常用網站口令強度分析技術
  3.2 信息系統安全的需求分析與設計
3.2.1 信息系統安全需求分析
* 熟悉信息系統安全需求
* 熟悉安全信息系統的構建過程
3.2.2 信息系統安全的設計
* 熟悉信息系統安全體系
* 掌握信息系統安全的開發構建過程和設計方法
  3.3 信息系統安全產品的配置與使用
3.3.1 Windows系統安全配置
* 熟悉用戶管理配置、系統管理配置和網絡管理 配置
3.3.2 Linux系統安全配置
* 熟悉用戶管理配置、系統管理配置和網絡管理 配置
3.3.3 數據庫的安全配置
* 熟悉用戶管理配置
* 熟悉數據庫管理配置
  3.4 信息系統安全測評
3.4.1 信息系統安全測評的基礎與原則
* 熟悉信息系統安全測評的內容
* 熟悉信息系統安全測評的基本原則
* 熟悉信息系統安全的分級原則
3.4.2 信息系統安全測評方法
* 熟悉模糊測試
* 熟悉代碼審計
3.4.3 信息系統安全測評過程
* 熟悉測評流程
* 熟悉安全評估階段、安全認證階段和認證監督階段的工作內容
4.應用安全工程
  4.1 Web安全的需求分析與基本設計
4.1.1 Web安全威脅
* 熟悉OWASP Top 10 Web安全分類
4.1.2 Web安全威脅防護技術
* 掌握注入漏洞防護技術
* 掌握失效的身份認證和會話管理防護技術
* 掌握跨站腳本(XSS)防護技術
* 熟悉其余常見Web安全威脅防護技術
  4.2 電子商務安全的需求分析與基本設計
* 熟悉電子商務系統的體系架構
* 熟悉電子商務系統的需求分析
* 熟悉電子商務系統的常用安全架構
* 掌握電子商務系統的常用安全技術
  4.3 嵌入式系統的安全應用
4.3.1 嵌入式系統的軟件開發
* 熟悉嵌入式的交叉編譯環境配置方法
* 了解嵌入式C語言的編程方法和編譯方法
* 熟悉IC卡的安全配置和應用
4.3.2 移動智能終端
* 掌握移動智能終端的主流OS的安全防護和配置方法
* 掌握移動智能終端應用安全
  4.4 數字水印在版權保護中的應用
* 熟悉數字版權保護系統的需求分析
* 熟悉基于數字水印的數字版權保護系統體系 架構
* 掌握數字版權保護系統的常用數字水印技術
* 了解數字版權保護系統的技術標準
  4.5 位置隱私保護技術的應用
4.5.1 位置隱私安全威脅
* 熟悉位置隱私保護的需求分析
* 了解位置隱私保護的體系架構
* 掌握位置隱私保護的常用方法
4.5.2 位置隱私k-匿名模型的算法和應用
* 了解基于空間劃分的匿名算法
* 了解基于Hilbert值的k-匿名算法
* 了解基于用戶位置的動態匿名算法 
 

三、題型舉例

(一)選擇題
BLP 模型的設計目標是解決信息系統資源的_(1)__保護。
(1)A.不可否認性 B.機密性 C.完整性 D.匿名性

(二)問答題
設現有一個基于RSA 算法的網絡簽名協議,基本描述如下:
設M 為明文,KeA =<e,n>是A 的公開鑰,KdA =<d,p,q,φ(n)>是A 的保密的私鑰, 

問題1:請簡要描述RSA 算法的基本思想,其安全性的基礎是什么?
問題2:該簽名過程是否安全,如果安全請給出理由,如果不安全,請給出反例,并給出解決思路。

點擊查看:信息安全工程師報考指南



分享到: 新浪微博 騰訊朋友 收藏本頁
發表評論  查看完整評論  

相關內容

推薦文章
合作網站內容
11运彩票软件