注册信息安全专业人员(CISP)知识体系大纲.docx

注册信息安全专业人员（CISP）知识体系大纲发布日期：2009年5月1日版本：1.2中国信息安全测评中心©版权2009中国信息安全测评中心注册信息安全专业人员（CISP）知识体系大纲咨询及索取关于中国信息安全测评中心信息安全人员培训相关的文件，请与中国信息安全测评中心信息系统测评服务部接洽。在中国信息安全测评中心网址：上可获取本文件。版权©版权2008中国信息安全测评中心联系信息关于中国信息安全测评中心（CNITSEC）信息安全人员培训相关的更多信息，请与中国信息安全测评中心（CNITSEC）联系：联系方式：中国信息安全测评中心信息安全测评服务部【联系地址】北京市海淀区上地西路8号院1号楼【邮政编码】100085【电 话】(010)82341585【传 真】(010)82341100【电子邮件】training 目录目录II图表IV注册信息安全专业人员（CISP）知识体系介绍1第 1 章 注册信息安全专业人员（CISP）知识体系概述21.1 CISP资质证书介绍21.2 CISP知识体系介绍21.2.1 概述21.2.2 CISP知识体系框架结构介绍41.2.3 CISP（CISE/CISO/CISA）考试的知识体系结构介绍6第 2 章 知识类：信息安全体系和模型82.1 概述82.2 原理说明92.2.1 概述92.2.2 知识体：安全体系92.2.3 知识体：信息安全模型112.3 知识体系大纲122.3.1 BD（知识体）：信息安全体系122.3.2 BD（知识体）：信息安全模型12第 3 章 知识类：信息安全技术143.1 概述143.2 原理说明143.2.1 概述143.2.2 知识体：信息安全技术机制153.2.3 知识体：信息和通信技术（ICT）安全163.2.4 知识体：信息安全实践173.3 知识体系大纲183.3.1 BD（知识体）：信息安全技术机制183.3.2 BD（知识体）：信息和通信技术（ICT）安全193.3.3 BD（知识体）：信息安全实践21第 4 章 知识类：信息安全管理234.1 概述234.2 原理说明234.2.1 概述234.2.2 知识体：安全管理体系244.2.3 知识体：关键安全管理过程244.3 知识体系大纲254.3.1 BD（知识体）：安全管理基础254.3.2 BD（知识体）：关键安全管理过程26第 5 章 知识类：信息安全工程285.1 概述285.2 原理说明285.2.1 概述285.2.2 知识体：安全工程基础295.2.3 知识体：安全工程过程和实践295.2.4 知识体：项目管理过程和实践305.3 知识体系大纲305.3.1 BD（知识体）：安全工程基础305.3.2 BD（知识体）：安全工程过程和实践305.3.3 BD（知识体）：项目管理过程和实践30第 6 章 知识类：信息安全标准和法律法规316.1 概述316.2 原理说明316.3 知识体系大纲326.3.1 BD（知识体）：概述326.3.2 BD（知识体）：信息系统相关标准326.3.3 BD（知识体）：道德规范326.3.4 BD（知识体）：信息安全标准326.3.5 BD（知识体）：信息安全法律法规33图表图表 11：CISP知识体系的组件模块结构4图表 12：CISP知识体系结构框架6图表 21：信息安全体系和模型知识类（PT）的知识体系结构概述8图表 22：信息安全体系和模型知识类（PT）的知识体系结构详细描述9图表 23：知识体-安全体系原理：信息安全保障模型10图表 24：知识体：安全模型原理说明11图表 31：信息安全技术知识类（PT）的知识体系结构概述14图表 32：知识体：信息安全技术机制原理说明16图表 33：知识体：信息和通信技术（ICT）安全原理说明17图表 34：知识体：信息安全实践原理说明18图表 41：信息安全管理知识类（PT）的知识体系结构概述23图表 42：知识体：安全管理体系说明24图表 43：知识体：关键安全管理过程原理说明25图表 51：信息安全工程知识类（PT）的知识体系结构概述28图表 52：信息系统安全工程标准背景29图表 61：信息安全标准和法律法规知识类（PT）的知识体系结构概述31注册信息安全专业人员（CISP）知识体系介绍注册信息安全专业人员知识体系介绍中将介绍注册信息安全专业人员（CISP）考试大纲的结构和内容。本文包含以下章节：l 第1章 注册信息安全专业人员（CISP）知识体系概述l 第2章 知识类：信息安全体系和模型l 第3章 知识类：信息安全技术l 第4章 知识类：信息安全管理l 第5章 知识类：信息安全工程l 第6章 知识类：信息安全标准和法律法规第 1 章 注册信息安全专业人员（CISP）知识体系概述1.1 CISP资质证书介绍本文主要描述了“注册信息安全专业人员”（CISP-Certified Information Security Professional）组件模块化的知识体系大纲。“注册信息安全专业人员”，英文为Certified Information Security Professional （简称CISP），根据实际岗位工作需要，CISP分为三类：l “注册信息安全工程师”，英文为Certified Information Security Engineer（简称CISE），CISE证书持有人员主要从事信息安全技术领域的工作；l “注册信息安全管理人员”， 英文为Certified Information Security Officer（简称CISO），CISO证书持有人员主要从事信息安全管理领域的工作；l “注册信息安全审核员”，英文为Certified Information Security Auditor（简称CISA），CISA证书持有人员主要从事信息系统的安全审核、安全评估和安全审计等工作。这三类注册信息安全专业人员是信息安全企业，信息安全咨询服务机构、信息安全测评机构、社会各组织团体、企事业单位中进行信息系统建设、运行和应用管理的技术部门（含标准化部门）所必备的专业岗位人员，其基本职能是对信息系统提供安全保障，其所具备的专业资质和能力，系经中国信息安全测评中心所注册的国家信息安全专业人员。有关“注册信息安全专业人员”（简称CISP）的更详细的相关资料，查阅网址。1.2 CISP知识体系介绍1.2.1 概述注册信息安全专业人员（CISP）人员资质的推出，对提高国家信息安全保障的能力和培养高素质的信息安全专业人员作出了巨大的贡献。在注册信息安全专业人员（CISP）教材第1版出版发行后，CISP培训不断蓬勃发展、CISP注册证书作为国家信息安全领域专业人才的最高认可也越来越得到社会的认可。随着信息安全领域的发展以及CISP培训的不断深入，社会各界，包括CISP人才的使用单位、CISP的培训机构、CISP证书获得人员、信息安全专业人员等对CISP以及CISP的发展提供了很多很有价值和意义的帮助和建议；同时，中国信息安全测评中心在信息安全领域也进行了大量的研究和实践，逐步完善了以信息安全产品测评、信息系统安全测评、信息安全服务测评和信息安全人员测评四大业务为基础的信息安全保障服务体系。为了更好的提供注册信息安全专业人员（CISP）的培训服务，更好的体现我们在信息安全保障领域的学习、研究和实践成果，注册信息安全专业人员（CISP）教材和大纲的改进作为中国信息安全测评中心的一项重要工作开始展开。本文所提供的CISP知识体系大纲是我们这几年在信息安全保障领域学习、研究和实践的成果，特别是在信息安全培训领域以及我们在国家标准-“信息系统安全保障评估框架”的编制中所得到的心得和成果的反应。本次修订的知识体系大纲从整体上来看主要有以下两个最主要的特点和特色：l 以信息安全保障（IA）作为贯穿整个CISP知识体系大纲的主线，形成以体系和模型以及标准和法规为基础、覆盖信息安全技术、管理和工程保障领域的信息安全保障有机知识整体。近几年，我们对国内和国际信息安全测评、培训和教育领域做了大量的研究，为了更好地学习和实践，我们自己也亲自参与并获得了信息安全领域的几乎所有国内外知名的认证和考试的证书。在这些信息安全培训的学习、研究和实践中，我们发现信息安全相关的一些考试提供了非常优秀的知识域的描述，但是在整个知识体系的构建上，缺乏一条贯穿整个知识体系的主线。因此，在本次的知识体系大纲中，从整体上我们使用信息安全保障作为整个CISP知识体系大纲的主线和灵魂，更完整的诠释了信息安全保障的有机知识整体。另外，本次CISP知识体系大纲也是对我们所编制的国家标准-“信息系统安全保障评估框架”的诠释。信息系统安全保障评估框架是我们在信息安全保障领域里的一个重要的研究成果，它建立了以风险和策略为核心，覆盖整个信息系统生命周期的技术、管理、工程和人员的保障。本次知识体系大纲也是从技术、管理和工程领域诠释了信息安全专业人员在这些领域中进行信息安全保障工作中所需要了解的知识和实践的要求，这样通过CISP知识体系的学习，读者就能进一步将所学的知识应用在其信息安全保障的工作实践中。l 使用知识类（PT）-知识体（BD）-知识域（KA）-知识子域（SA）来组织的组件模块化的知识体系结构，使整个知识体系大纲的结构更清晰、重点更突出、更易于结构化和模块化的学习和扩展信息安全是架构在信息技术等知识基础之上的一门综合的学科，因此信息安全的学习是一件非常庞大复杂的任务。在信息安全的学习过程中，我们需要一种更加结构化和科学化的方法来将信息安全的相关知识进行梳理分析，并进一步根据需要进行更深入的学习、研究和实践。在本次知识体系大纲的编制过程中，我们根据信息安全领域的知识的内在联系和关系通过知识类、知识体、知识域和知识子域的结构进行分析和分解，形成了新的覆盖内容更广泛、重点更突出、更强调实践性和实用性的组件模块化的知识体系结构。这样，一方面读者可以更清晰、深入地了解信息安全的各知识组成、知识重点以及各知识内容的内在联系，方便了读者的学习、理解和复习；另一方面，读者可以根据这些组件模块，结合自己的工作需求和知识结构，有区别、有重点地有的放矢地学习和应用，提供了更好的灵活性和实用性。在介绍了本次知识体系大纲的主要特点后，本章后面的内容将简单描述一下本次知识体系大纲的结构和内容。1.2.2 CISP知识体系框架结构介绍CISP知识体系使用组件模块化的结构，即CISP知识体系使用知识类（缩写为PT）、知识体（缩写为BD）、知识域（缩写为KA）和知识子域（缩写为SA）的结构，图表 11描述了CISP知识体系的组件模块结构：图表 11：CISP知识体系的组件模块结构在整个注册信息安全专业人员（CISP）的知识体系结构中，共包括信息安全体系和模型、信息安全标准和法律法规、信息安全技术、信息安全管理和信息安全工程这五个知识类（PT），每个知识类根据其逻辑划分为一个或多个知识体（BD），每个知识体包含一个或多个知识域（KA），每个知识域由一个或多个知识子域组成。知识类、知识体、知识域和知识子域的划分和内容并不是随意选择的，它们模块结构的含义如下：l 知识类（PT）是根据整个信息安全保障领域的分类来划分，共包括信息安全体系和模型、信息安全标准和法规、信息安全技术、信息安全管理和信息安全工程五个知识类；l 知识体（BD）是在知识类的分类范围内对知识域的逻辑组织划分；l 知识域（KA）是知识体系结构的主要知识点组成结构，它描述了注册信息安全专业人员知识体系结构的实际主要内容；l 知识子域（SA）是进一步划分、细化描述知识域的组成部分。知识类、知识体、知识域和知识子域的描述如下：l 知识类（PT）：在CISP知识体系结构中，共包括五个知识类，它们分别为：信息安全体系和模型、信息安全标准和法律法规、信息安全技术、信息安全管理和信息安全工程。l 知识体（BD）：每个知识类都由一个或多个知识体组成，例如：在信息安全体系和模型知识类（PT）包含两个知识体-安全体系知识体和安全模型知识体。l 知识域（KA）：每个知识体由一个或多个知识域组成，知识域是CISP知识体系结构的主要知识点的分类，在CISP知识体系中，主要的考试内容是根据知识域来划分展开的。例如：在信息安全体系和模型知识类（PT）的安全模型知识体（BD）中，根据信息安全模型的分类分为信息安全模型基础、访问控制模型、信息流模型和其他信息安全模型这四个知识域，通过对这四个知识域的学习和掌握，就构成了对信息安全模型的理解。l 知识子域（SA）：每个知识域可以包括也可以不包括知识子域，知识子域是对知识域的进一步划分。例如：在信息安全体系和模型知识类（PT）的安全模型知识体（BD）的访问控制模型知识域（KA）中，包括自主访问控制（DAC）模型、强制访问控制（MAC）模型和基于角色的访问控制（RBAC）模型这三个具体的访问控制模型知识子域。在完成对CISP知识体系的模块结构的介绍后，我们就可以来学习CISP知识体系的具体结构内容介绍了。CISP知识体系结构共包含五个知识类，分别为：l 信息安全体系和模型：信息安全体系和模型是信息安全作为独立学科的理论基础，它主要介绍了信息安全保障的安全体系架构和信息安全保障相关的安全理论模型。学习和掌握信息安全体系和模型是整个注册信息安全专业人员知识体系的基础之一。l 信息安全标准和法律法规：信息安全标准和法律法规主要讨论了信息安全相关的标准和法律法规。学习和掌握信息安全标准和法律法规是注册信息安全专业人员知识体系的另一个基础知识领域。l 信息安全技术：信息安全技术主要讨论了同信息安全相关的技术知识和实践。l 信息安全管理：信息安全管理主要讨论了同信息安全相关的管理知识和实践。l 信息安全工程：信息安全工程主要讨论了同信息安全相关的工程知识和实践。在图表 12中，从整体上描述了CISP的知识体系结构框架。图表 12：CISP知识体系结构框架1.2.3 CISP（CISE/CISO/CISA）考试的知识体系结构介绍“注册信息安全专业人员”（CISP-Certified Information Security Professional），是从事信息安全领域工作的人员的专业资质和能力的证明，根据实际岗位工作需要，CISP包括三类：“注册信息安全工程师”（CISE）、“注册信息安全管理人员”（CISO）和“注册信息安全审核师”（CISA）。所有CISP三类注册人员都需要学习和掌握CISP知识体系结构框架中的所有内容，三种注册证书的区别在于在考试中根据三种注册证书持有人的工作岗位和工作领域的不同而各有不同的侧重点，因此，所对应的考试结构、比例和内容略有不同。表格 11中描述了CISE/CISO/CISA考试的各知识类的比例。表格 11：CISP（CISE/CISO/CISA）试题结构CISP资质类型知识类别CISPCISECISO信息安全体系和模型15%15%信息安全技术40%20%信息安全管理20%40%信息安全工程15%15%信息安全标准和法律法规10%10%注：CISA在CISE或CISO的基础上再加上50道信息安全审计相关的试题。从表格 11中可见，CISP三种注册证书的主要区别如下：l “注册信息安全审核员”（CISA）是在CISE或CISO的基础上，附加50道通信息安全审计相关的信息安全审计领域的试题综合而成。l “注册信息安全工程师”（CISE）和“注册信息安全管理人员”（CISO）两者都需要学习和掌握所有CISP的五个知识类的内容，它们之间主要的区别在于：n 在信息安全技术和信息安全管理知识体中，由于CISE偏重技术、CISO偏重管理，因此在试题结构中信息安全技术占CISE考试的40%，信息安全管理占CISE考试的20%，而CISO中这两个知识类所占的比例相反（即信息安全技术占CISO考试的20%，而信息安全管理占CISO考试的40%）。n 在信息安全工程知识体中，虽然CISE和CISO的考试比例相同，但CISE更倾向于从信息安全工程实施和建设的角度来考察CISE考试人员，而CISO更倾向于从信息安全工程实施和建设的管理角度来考察CISO应试人员。第 2 章 知识类：信息安全体系和模型2.1 概述在注册信息安全专业人员（CISP）知识体系的五个知识类中，信息安全体系和模型以及信息安全标准和法律法规是注册信息安全专业人员知识体系结构的基础，其中信息安全体系和模型知识类更是信息安全成为一门独立学科的整体和理论的基础。注册信息安全专业人员（CISP）的所有人员都必须学习和掌握信息安全体系和模型知识类的相关知识。信息安全体系和模型知识类中，主要描述了信息安全保障框架、信息安全保障评估以及信息安全模型理论基础。通过对信息安全体系和模型知识类的学习和研究，信息安全专业人员就可以建立对信息安全保障的整体概念并学习和掌握信息安全模型的理论基础；信息安全体系和模型的学习，将帮助信息安全专业人员建立信息安全整个知识体系的基础。整个信息安全体系和模型知识类（PT）包括安全体系和安全模型两个知识体（BD），并进一步细分为信息安全保障框架等七个知识域：l 安全体系：包括信息安全保障框架、OSI开放系统互联安全体系架构、信息技术安全性评估和信息安全保障评估四个知识域。l 安全模型：包括信息安全模型基础、访问控制模型和其他安全模型三个知识域。信息安全体系和模型知识类的组件模块结构如下：图表 21：信息安全体系和模型知识类（PT）的知识体系结构概述2.2 原理说明2.2.1 概述在信息安全体系和模型知识类中，共包括2个知识体，7个知识域和11个知识子域。信息安全体系和模型的详细知识体系结构参见图表 22。图表 22：信息安全体系和模型知识类（PT）的知识体系结构详细描述信息安全体系和模型知识类分为安全体系和安全模型两个知识体，安全体系知识体首先给出了并详细信息安全保障框架、然后描述了基于OSI开放系统互连模型的安全体系架构和信息技术安全性评估准则，最后给出了在信息安全保障框架下进行信息安全保障评估的实践描述，通过对安全体系的学习，读者能够建立对信息安全保障整体的理解和信息安全保障评估实践的理解；安全模型知识体首先介绍了信息安全模型的一些基础知识，然后根据信息安全模型的分类-访问控制模型和信息流模型分别对信息安全的主要模型进行了介绍，最后通过其他信息安全模型介绍了信息安全模型的其它分类等参考知识。通过对安全体系和安全模型的学习，读者就可以从整体上掌握信息安全保障的整体框架和信息安全模型的相关知识，建立整个信息安全保障知识体系的理论基础，进一步指导信息安全专业人员其他知识的学习。2.2.2 知识体：安全体系安全体系知识体主要是提供安全体系结构的一些历史背景知识并给出信息安全保障的整体框架以及信息安全保障评估的实践，通过安全体系知识体的学习，将帮助信息安全专业人员建立对信息安全保障的整体理解和基础。在安全体系知识体的学习中，其主要的原理在于理解信息安全保障的概念以及信息安全保障的模型。信息安全保障是以风险和策略为出发点和核心，即从信息系统所面临的风险和信息系统所处的环境出发制定组织机构信息系统安全保障策略，通过在信息系统的整个生命周期中从技术、工程、管理和人员等方面提出安全保障要求，确保信息的保密性、完整性和可用性特征，实现和贯彻组织机构策略并将风险降低到可接受的程度，达到保护组织机构信息和信息系统资产，从而保障组织机构实现其使命的最终目的。在信息系统安全保障评估框架中，评估对象的含义更加广泛，它不仅涉及具体产品和产品系统，而且还包含信息系统运行环境的管理、工程等范畴，即用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件等总和的信息系统。信息安全保障的模型如下：图表 23：知识体-安全体系原理：信息安全保障模型整个信息系统安全保障模型是一个以风险和策略为基础，包含保障要素、生命周期和信息特征三方面的模型。模型的主要特点是：l 以安全概念和关系为基础，将风险和策略作为信息系统安全保障的基础和核心l 强调信息系统安全保障的持续发展的动态安全模型，即强调信息系统安全保障应渗入整个信息系统生命周期的全过程。l 强调信息系统安全保障的概念，信息系统的安全保障是通过综合技术、管理、工程和人员的要求等措施实施和实现信息系统的安全保障目标，通过对信息系统的技术、管理、工程和人员要求的认可、评估结果提供了对信息系统安全保障的信心。l 通过风险和策略基础，生命周期和保证层面，从而使信息系统安全保障实现信息技术安全根本原则：信息的可用性、完整性和可用性特征，从而达到保障组织机构执行其使命的根本目的。在建立了对信息安全保障概念和信息安全模型理解的基础上，我们就可以进一步展开对信息安全技术、安全管理和安全工程保障的理解，并进一步理解和掌握相关信息安全测试评估的内容。2.2.3 知识体：信息安全模型在建立了信息安全保障框架等安全体系的理解后，我们需要进一步了解和掌握信息安全的一些理论基础，这些信息安全模型的理论基础是对指导我们进一步的实践具有非常重要的意义。图表 24描述了安全模型知识体的知识体系结构含义，即安全模型原理说明。图表 24：知识体：安全模型原理说明整个信息安全模型从整体上来看，主要分为访问控制模型和信息流模型，其他的分类方法和具体信息安全模型将在安全模型基础和其他信息安全模型知识域中介绍，这里将主要介绍访问控制模型和信息流模型。访问控制模型是信息安全模型中最主要的模型基础，访问控制模型主要分为自主访问控制（DAC）模型、强制访问控制（MAC）模型和基于角色的访问控制模型。在自主访问控制模型中，访问矩阵模型是最常见的一种自主访问控制模型，它主要包括访问控制列表和权能列表两种实现。在强制访问控制模型中，在多级环境中，它主要包括提供保密性的Bell-Lapudula模型和提供完整性的Biba和Clark-Wilson模型；在多边环境中，它主要包括Chinese Wall模型和BMA模型。基于角色访问控制（RBAC）模型引入了角色作为授权的实体，是一种更近代的访问控制模型。信息流模型是从信息流的角度来描述信息在主体在应如何流动的模型。2.3 知识体系大纲2.3.1 BD（知识体）：信息安全体系信息安全体系知识类共包括三个知识域：l KA（知识域）：信息安全保障框架理解信息安全保障的背景和历史；理解信息安全保障的定义、模型和含义。l KA（知识域）： OSI开放系统互联安全体系结构理解和掌握OSI开放系统互联安全体系结构；理解和掌握OSI开放系统互联安全体系结构同TCP/IP的映射。l KA（知识域）：信息技术安全性评估理解和掌握信息技术安全性评估准则发展的背景、历史和关系；理解和掌握可信计算机系统评估准则（TCSEC）以及彩虹系列的内容和含义；理解和掌握信息技术安全性评估主则（CC）的内容和含义。l KA（知识域）：信息安全保障评估理解和掌握信息系统安全保障评估框架的内容和含义；理解和掌握信息安全保障评估的各中测试评估的类别和含义（信息安全产品测试评估、信息系统安全测试评估、信息安全服务测试评估和信息安全人员测试评估）。2.3.2 BD（知识体）：信息安全模型l KA（知识域）：信息安全模型基础理解信息安全模型同安全策略、安全控制之间的关系；理解可信计算基和参考监视器等的基本概念；理解各种安全模型的分类和关系。l KA（知识域）：访问控制模型理解和掌握访问控制模型的分类（MAC/DAC/RBAC）关系和实现；理解不同访问控制模型及实现CIA的关系。n SA（知识子域）：自主访问控制（DAC）理解自主访问控制的含义；理解访问矩阵模型，理解和分析应用访问矩阵模型的实现（访问控制列表、权能列表）。n SA（知识子域）：强制访问控制（MAC）理解强制访问控制的分类和含义；理解多级强制访问控制模型：Bell-Lapudula模型、Biba模型和Clark-Wilson模型；理解多边强制访问控制模型：Chinese Wall模型和BMA模型。n SA（知识子域）：基于角色访问控制（RBAC）理解基于角色的访问控制模型（RBAC）。l KA（知识域）：其他安全模型理解理解信息流模型等其他安全模型概念及其关系。第 3 章 知识类：信息安全技术3.1 概述在注册信息安全专业人员（CISP）的五个知识类中，信息安全技术、信息安全管理和信息安全工程是信息安全保障的具体保障实现领域。学习和掌握信息安全技术知识类，将帮助我们学习掌握和实践信息安全技术的相关知识和技能并运用在信息安全技术保障的工作和学习之中。信息安全技术知识类分为信息安全技术机制、信息和通信技术（ICT）安全和信息安全实践三个知识体和密码技术及应用等九个知识域。信息安全技术的知识体系结构如图表 31所示：图表 31：信息安全技术知识类（PT）的知识体系结构概述3.2 原理说明3.2.1 概述信息安全技术知识类分为信息安全技术机制、信息和通信技术（ICT）安全以及信息安全实践三个知识体。信息安全技术首先将介绍密码技术及应用、访问控制系统和审计和监控着三个信息安全技术机制，通过对信息安全技术机制的学习和了解，建立对信息安全技术所特有的技术机制基础和理论知识的学习；在完成对信息安全技术机制的理解后，信息和通信技术（ICT）安全部分将根据OSI的分层模型为基础分层描述信息安全技术相关的技术基础知识和所对应的安全技术，其中物理安全主要讨论物理层相关的安全技术，电信和网络安全分别从电信领域和互联网领域介绍相应的网络技术和网络安全技术、系统（主要讨论操作系统和数据库系统）的基础知识和相关安全技术以及各种典型应用系统（电子邮件、电子商务等）系统的基础知识和相关安全技术；最后信息安全实践部分将进一步结合实践，介绍P2DR安全攻防模型，黑客攻击技术和相应的安全攻防技术。这样，在信息安全技术知识类中，我们可以了解和掌握信息安全技术的主要安全机制，将这些安全技术基础同OSI分层分析相结合，从物理层、网络层、系统和应用系统层来分别讨论相关技术和安全技术，最后结合黑客攻防等了解和掌握信息安全攻防的实践。3.2.2 知识体：信息安全技术机制在信息安全技术机制里，主要介绍三类基础的信息安全技术机制：密码技术及应用、访问控制系统以及审计和监控。在密码技术及应用中，首先介绍传统密码技术和现代密码技术等相关的密码技术基础知识；在完成对密码技术基础知识的理解后，进一步介绍三类密码算法：私钥（对称）密码算法、公钥（非对称）密码算法以及单向函数和单向哈西算法；密码系统是三类密码算法的进一步组合和应用，在密码系统中，主要介绍了Kerberos单点登录系统和PKI公钥基础设施；最后介绍了密码系统在应用系统中的应用和密码技术的攻防，其中包括VPN技术、Web密码安全技术、电子邮件密码安全技术等。在访问控制系统中，访问控制的模型在信息安全体系和模型中已经进行了详细描述，因此访问控制模型部分在访问控制系统中就不再深入讨论了。在访问控制系统中，主要讨论了标识和鉴别（I&A）技术、帐号管理等访问控制管理以及集中和非集中访问控制方法和实现。在审计和跟踪中，主要讨论了审计和跟踪的基本概念，以及入侵检测/入侵防御系统等的基本概念。信息安全技术机制的原理说明参见图表 32。图表 32：知识体：信息安全技术机制原理说明3.2.3 知识体：信息和通信技术（ICT）安全信息和通信技术（ICT）安全是以信息安全技术机制为基础，结合OSI分层的原理以及信息和通信技术基础，从物理层、网络层和应用层分别对物理安全技术、电信和网络安全技术、操作系统和数据库系统安全以及各种应用系统安全的详细描述。在信息和通信技术（ICT）安全知识体中，首先需要理解OSI分层和TCP/IP协议族的基础知识，然后从物理层安全技术开始，理解电信网络和互联网的各种协议、技术，并了解包括防火墙等网络层的相关安全技术和设备；最后进一步结合Windows、UNIX操作系统和数据库系统，以及恶意代码、Web应用、电子邮件等应用系统的相关技术和对应的安全技术。通过信息和通信技术（ICT）安全的学习和理解，掌握信息技术和信息安全技术的各种基础知识和对应的安全技术。信息和通信技术（ICT）安全知识体的知识体系结构原理说明参见图表 33。图表 33：知识体：信息和通信技术（ICT）安全原理说明3.2.4 知识体：信息安全实践信息安全实践知识体主要从攻防的角度来实践各项信息安全攻防技术。在信息安全实践中，首先介绍了P2DR的安全攻防模型，然后从安全攻防的基本概念开始，分别从黑客的角度来理解黑客攻击方法和流程以及从安全技术人员的角度对应理解黑客防御的各种具体技术。这样，通过各种攻防技术的理解，进一步从攻防的角度实践各种信息安全技术。信息安全实践知识体的原理说明参见图表 34。图表 34：知识体：信息安全实践原理说明3.3 知识体系大纲3.3.1 BD（知识体）：信息安全技术机制l KA（知识域）：密码技术和应用n SA：密码技术基础理解密码学的历史和基本概念；理解传统密码学（换位密码、替换密码、一次一密系统、序列密码、分组密码）的概念及其应用实例；理解密码分析和算法安全性概念；理解密钥管理和托管的概念和应用实例。n SA：密码算法：对称（私钥）算法理解对称算法的基本概念；理解常见的对称算法（DES、3DES、Blowfish、IDEA、RC系列和AES等）。n SA：密码算法：非对称（公钥）算法理解非对称算法的基本概念；理解常见的非对称算法（MH、RSA、ECC、DH、DSA、Elgema等）。n SA：密码算法：单向函数和单向哈希算法理解单向函数、单向哈希算法等基本概念；理解常见的单向哈西算法（MD系列、RSA、HAVAL和HMAC等）。n SA：密码技术攻击和防御理解密码技术攻击和防御的基本概念；理解特定的密码攻击算法（生日攻击等）。n SA：密码系统：数字签名理解数字签名的原理和应用；n SA：密码系统：PKI理解PKI公钥基础设施的基本原理和应用。n SA：密码技术应用理解密码技术在OSI和TCP/IP中的应用基础；理解IPSec（网络层）的原理和应用；理解SSL/TLS（传输层）的应用和原理；理解密码技术在其他层上的应用，包括Web应用（S-HTTP）、电子邮件（PEM、S/MIME、PGP）、电子商务（SET）和SSH等。l KA（知识域）：访问控制系统n SA：访问控制管理理解同访问控制管理相关的账号管理、日志和日记管理和监控等基本概念。n SA：标识和鉴别技术理解标识和鉴别的定义和基本概念；理解口令的基本概念和管理；理解生物测定技术及其实现（虹膜、指纹、掌纹等）；理解其他鉴别技术（令牌、票据等）；理解单点登录技术（SSO）及其实现（Kerberos等）。n SA：访问控制方法和实现理解集中访问控制的基本概念及其实现（RADIUS、TACACS、TACACS+和Diameter等）。理解非集中访问控制的基本概念及其实现（域等）l KA（知识域）：审计和监控n SA：审计和监控基本概念理解审计和监控的基本概念。n SA：入侵检测和入侵防御系统理解入侵检测和入侵防御系统的基本概念；理解入侵检测和入侵防御系统的分类和应用。3.3.2 BD（知识体）：信息和通信技术（ICT）安全l KA（知识域）：物理安全技术n SA：物理安全基础理解各种物理安全威胁；理解物理安全相关的措施。n SA：物理安全技术控制措施理解物理安全技术控制措施的分类（预防性/检测性/恢复性等）及其实践。n SA：物理设施要求理解物理设施安全防护措施，例如：工作区的划分、围墙/门的选择、机房位置选择等；理解各种物理访问控制措施，例如：智能卡、生物访问控制等物理访问控制措施原理；理解各种物理监控措施，例如：闭路电视、传感器、报警设备等的原理。n SA：环境和人身安全理解电力相关的物理环境安全威胁和措施；理解供暖、通风和空调等相关的物理环境安全威胁和措施；理解防火和防水等物理环境安全威胁和措施。l KA（知识域）：电信和网络安全n SA：OSI分层模型和TCP/IP协议族；理解OSI的七层模型、TCP/IP协议族及其特征，理解OSI分层模型和TCP/IP协议族的对应关系；理解各种相关协议同OSI和TCP/IP的对应关系。n SA：通信和网络技术理解各种物理介质（例如：光纤/同轴电缆/双绞线等）的特征；理解各种链路层协议和技术，例如：HDLC/SDLC/帧中继等。理解各种网络拓扑结构（总线/星型/环型）等的特征；理解各种局域网/城域网/广域网的各种通信网络，例如：帧中继/ATM网络等的特征；理解各种远程拨号访问协议和技术，例如：RADIUS/TACACS/TACACS+/Diameter等。n SA：互联网技术和服务理解TCP/IP协议族中的相关基础协议，包括：SLIP/PPP/CHAP/PAP协议，ARP/RARP协议，IP协议，TCP/UDP协议；理解各种网络设备分类及其特征，包括：复用器/集线器/交换机/路由器/网关等；理解IP地址划分和编址技术，理解RIP/OSPF等路由协议和技术；理解DNS/SNMP/Telnet/SMTP/WWW等互联网重要协议的原理和应用；理解SSL/S/MIME/SSL/SET/PEM等重要的安全协议；理解各种VPN技术，例如PPTP、MPLS等VPN技术（IPSec VPN技术在密码系统及其应用中详细讨论）。n SA：网络安全设备：防火墙/入侵检测和入侵防御系统等理解各种网络安全设备的概念和基本原理；理解防火墙的分类、应用和实践。l KA（知识域）：系统安全技术n SA：操作系统概述理解操作系统的基本原理和基本安全技术。n SA：Windows操作系统安全技术理解Windows操作系统的基本原理、安全技术和实践。n SA：UNIX操作系统安全技术