csp课程培训知识总结.pptxVIP

CISP课程培训知识总结;;CISP课程培训知识总结（安全综合）; 主 题;课程内容;信息安全发展阶段; 信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。 ;国家标准：《GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第一部分：简介和一般模型》 ;P2DR——策略、防护、检测、响应 P2DR模型则更强调控制和对抗，即强调系统安全的动态性 以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全 特别考虑人为的管理因素;; 主 题;12;国家信息安全保障工作总体要求;信息安全保障工作的主要原则;国家信息安全保障重点工作;16;17; 主 题;三、 信息安全管理体系;信息安全管理;安全风险的基本概念;安全风险的基本概念;信息安全的风险模型;风险评估是信息安全管理的基础;信息安全管理体系的定义;信息安全管理的特点;信息安全管理体系作用;信息安全管理体系的理念;ISO 27000系列;27000：《ISMS基础和词汇》;27001：《信息安全管理体系要求》;27002：《信息安全管理实用规则》;27003：《ISMS实施指南》;27004：《信息安全管理度量》;27005：《信息安全风险管理》;信息安全管理体系建设;信息安全管理体系循环框架;3、信息安全管理体系文档框架;信息安全管理体系规划和建立;信息安全管理控制规范; 主 题;42;通用风险管理定义;什么是信息安全风险管理;何时作风险管理;信息安全风险术语;信息安全风险管理工作内容;信息系统风险评估; 准备 识别 计算 报告 ;风险分析;;定量分析方法;定量分析方法（续）; 主 题;五、基本安全管理措施;什么是控制措施;基本安全管理措施;基本安全管理措施; 主 题;六、 重要信息安全管理过程;信息系统购买;基本概念;应急响应六阶段;信息安全应急响应计划编制方法;计算机取证的步骤;灾难恢复相关概念;灾难恢复建设流程;灾难恢复规划的过程阶段;灾难恢复等级划分; 主 题;七、信息安全工程;学习目标;信息安全工程可以参考的理论基础;系统工程基础;能力成熟度模型的来由;能力成熟度模型的概念;SSE-CMM体系结构;SSE-CMM的主要概念;域维;SSE-CMM的主要概念;能力维;SSE-CMM能力成熟度评价;域维-22个PA分成三类;域维-工程类PA;域维-项目类和组织类PA;计划执行 规范化执行 跟踪执行 验证执行;SSE-CMM的使用; 主 题;八、 信息安全工程实践;;信息安全工程监理模型 ; 主 题;九、信息安全法规、政策与道德规范;《宪法》中的有关规定;《刑法》中的有关规定（1）;《刑法》中的有关规定（2）;《治安管理处罚法》中的有关规定;《国家安全法》中的有关规定;《保守国家秘密法》（保密法 1）;《保守国家秘密法》（保密法 2）;《保守国家秘密法》（保密法 3）;《保守国家秘密法》（保密法 4）;《全国人大关于维护互联网安全的决定》; 主 题;十、信息安全标准;标准的一些基本概念;我国标准化组织;信息安全评估标准;美国的安全评测标准(TCSEC);通用准则（CC ）;信息安全管理标准;等级保护标准;什么是等级保护？;CISP课程培训知识总结（安全技术）; 主 题;密码学发展;密码学的基础知识;对称加密算法;对称密码算法的优缺点;非对称加密（公钥）算法;公钥密码体制的优缺点;哈希运算——完整性;数字签名——抗抵赖性; 主 题;加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。 提供访问控制，不同的用户有不同的访问权限。 ;VPN的类型;VPN关键技术;PKI是什么？;PKI/CA的体系结构和工作流程;PKI的作用;CA的功能; 主 题;主体与客体; 授 权 ;标 识;鉴 别;访问控制模型;访问控制模型的分类;自主访问控制模型;强制访问控制模型;常见强制访问控制模型;自主访问控制与强制访问控制的比较;鉴别的基本途径;集中访问控制的基本概念及实现;审计系统的组成结构;安全监控的常用技术; 主