2014年CISP-24-考试要点.pptVIP

中国信息安全测评中心 目录 一、课程知识要点 二、考场情况和注意事项 一、知识要点 1、信息安全测评服务介绍 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构 作为国家专控队伍，履行国家信息安全漏洞分析和风险评估职能 对信息技术产品、信息系统和工程的安全性进行测试与评估。 对信息安全服务和人员的资质进行审核与评价。 2、信息安全培训和CISP知识体系介绍 构建中国信息安全人才体系的重要性和开展CISP培训认证的意义 信息安全人才需求的背景 我国信息安全人才体系建设的现状 信息安全从业人员素质方面突出的问题 CISP的知识体系结构和知识要点 知识结构组织 CISP（CISP/CISE/CISO） 知识体系结构 注册信息安全专业人员（CISP）职业准则 在CNITSEC注册的注册信息安全专业人员（CISP）必须保证严格履行职责并承诺完全遵守以下道德准则： 1. 注册信息安全专业人员（CISP）必须诚实，公正，负责，守法； 2. 注册信息安全专业人员（CISP）必须勤奋和胜任工作，提高专业能力和水平； 3. 注册信息安全专业人员（CISP）必须保护信息系统、应用程序和系统的价值。 4. 注册信息安全专业人员（CISP）必须接受中国信息安全测评中心（CNITSEC）的监督，在任何情况下，不损坏中国信息安全测评中心（CNITSEC）或注册过程的声誉，对中国信息安全测评中心（CNITSEC）针对注册信息安全专业人员（CISP）而进行的调查应给予充分的合作； 5. 注册信息安全专业人员（CISP）必须按规定向中国信息安全测评中心（CNITSEC）交纳费用。 3、信息安全保障体系 信息安全保障历史和背景 信息系统安全保障评估框架 信息系统安全保障建设和评估实践 信息安全发展简史 信息和信息系统 信息系统是： 与信息加工、信息传递、信息存贮以及信息利用等有关的系统 信息是依赖于信息系统及系统环境存在的 信息系统促进了业务的发展 信息系统面临各种各样的安全风险 理解信息安全保障的含义 信息系统安全保障是在信息系统的整个生命周期中（安全的动态性） 通过对信息系统的风险分析，制定并执行相应的安全保障策略（风险和策略是核心） 从技术、管理、工程和人员等方面提出安全保障要求（4个安全保障要素） 确保信息系统的保密性、完整性和可用性（三个安全特征） 降低安全风险到可接受的程度（适度安全） 从而保障系统实现组织机构的使命（最终目标） 信息系统安全保障框架 《GB/T20274信息安全保障评估框架》 由哪四部分组成 从哪三个方面评估信息系统的安全性 信息系统安全级别是从什么角度进行划分的 4、信息安全模型 安全模型的定义和作用 以下安全模型的原理、用途和特点 信息流模型 多级安全模型 Bell-Lapadula模型 Clark-Wilson模型 Biba模型 多边安全模型 Chinese wall模型 BMA模型 经典模型 P2DR安全攻防模型 要点 理解可信计算基、安全核和参考监视器的概念 自主访问控制、强制访问控制和基于角色的访问控制的原理和优缺点 掌握Biba模型、Bell－Lapadula模型和Chinese Wall 的原理，理解什么叫多级模型，什么叫多边模型 理解P2DR 模型的基本原理 理解信息流模型的优势 5、密码技术概述 明确密码学基本概念及其重要性； 了解密码学发展的历史； 掌握对称密码和非对称密码体制； 哈希函数的原理和作用； 掌握数字签名的基本原理。 密码学发展 古典密码学（ 1949年之前） 1949年之前，密码学是一门艺术 主要特点：数据的安全基于算法的保密 近代密码学（1949～1975年） 1949～1975年，密码学成为科学 主要特点：数据的安全基于密钥而不是算法的保密 现代密码学（ 1976年以后） 密码学的新方向—公钥密码学 主要特点：公钥密码使得发送端和接收端无密钥传输的保密通信成为可能 密码学的基础知识 密码强度的决定因素和算法安全性的等级 全部破译：破译者必须知道全部密钥 全盘推导：破译者找到一个代替算法，在不知道密钥的情况下推导出明文 实例推导：破译者可以从截获的密文中推导出明文 信息推导：破译者没有得到真正的明文和密钥，而是根据有关密钥或明文的信息而推导出明文，如密钥的几个为或明文的格式等信息 分组密码和流密码的概念 密码分析的概念 对称加密算法 非对称加密（公钥）算法 MAC消息鉴别码Message Authentication Code 数字签名—Digital Signature 密码算法功能比较 要点 密码学发展的历史，古典-〉近代-〉现代都有哪些进步？ 了解典型的对称密钥算法、非对称密钥算法和哈希函数算法 了解数字签名的作用和工作原理 6、密码