应急响应工程师CISP-IRE知识体系大纲.doc

SUBJECT 注册信息安全专业人员 ——应急响应工程师 知识体系大纲 发布日期：2019年1月1日 生效日期：2019年1月1日 中国信息安全测评中心 网神信息技术（北京）股份有限公司 ?版权2018-攻防领域考试中心 目 录 TOC \o 1-4 \h \z \u 第1章 前 言 4 第2章 注册信息安全专业人员-应急响应工程师知识体系概述 5 2.1 知识体系框架结构 5 2.2 考试试题结构 8 第3章 知识域：应急响应概况 9 3.1 知识子域：应急响应介绍 10 3.2 知识子域：安全事件分类 10 3.3 知识子域：应急响应启动条件 10 3.4 知识子域：应急响应目标 10 3.5 知识子域：应急响应预案制定 10 3.6 知识子域：应急响应一般处置流程 11 第4章 知识域：应急响应基础 12 4.1 知识子域：Windows应急 12 4.2 知识子域：Linux应急 13 4.3 知识子域：日志分析 14 4.4 知识子域：应急响应工具配备和使用 15 第5章 知识域：应急响应事件监测 16 5.1 知识子域：威胁情报运营 16 5.2 知识子域：安全监控 17 第6章 知识域：应急响应事件分析与处置 18 6.1 知识子域：事件分析 18 6.2 知识子域：制定应急响应计划 19 6.3 知识子域：响应处置工作流程 19 6.4 知识子域：应急响应报告编写 19 6.5 知识子域：事件跟踪总结 20 第7章 知识域：企业应急响应典型事件 21 7.1 知识子域：有害程序事件 21 7.2 知识子域：网络攻击事件 22 7.3 知识子域：信息破坏事件 23 7.4 知识子域：其它安全事件 23 前 言 网络空间信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。在网络空间信息系统安全保障工作中，人，是最核心、也是最活跃的因素，人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。 注册信息安全专业人员（CISP）是对我国网络基础设施和重要信息系统的信息安全专业人员进行资质评定的重要形式。多年来为落实我国有关政策“加快信息安全人才培养，增强全民信息安全意识”的指导精神，构建信息安全人才体系发挥了巨大作用。 本大纲从我国国情出发，结合我国网络基础设施和重要信息系统安全保障的实际需求，以知识体系的全面性和实用性为原则，明确规定了注册信息安全专业人员（应急响应）应当掌握的知识要点，是CISP-IRE教材编制，讲师授课，学员学习，以及考试命题的重要依据。 本大纲包含以下章节： 第2章 应急响应工程师知识体系概述 第3章 知识类：应急响应概况 第4章 知识类：应急响应基础 第5章 知识类：应急响应事件监测 第6章 知识类：应急响应事件分析与处置 第7章 知识类：应急响应典型事件 注册信息安全专业人员-应急响应工程师知识体系概述 注册信息安全专业人员应急响应工程师，英文为Certified Information Security Professional - Incident Response Engineer ，简称CISP-IRE。证书持有人员主要从事信息安全技术领域应急响应工作，具有了解应急响应概况、应急响应基础、应急响应事件监测、应急响应事件分析和处置的基本知识和能力。 2.1知识体系框架结构 CISP-IRE知识体系使用组件模块化的结构，包括知识域、知识子域、知识点三个层次。 知识域：是知识类中由属于同一技术领域的知识内容构成的相对独立、成体系的知识集合； 知识子域：是对知识域进一步分解细化形成的完整的知识组件； 知识点：是构成知识子域的基本模块，每个知识子域由一至多个具体的知识点构成。 本大纲规定了知识子域中每一个知识点的内容和深度要求，分为“了解”、“理解”和“掌握”三类。 了解：是最低深度要求，学员需要正确认识该知识点的基本概念和原理； 理解：是中等深度要求，学员需要在正确认识该知识点的基本概念和原理的基础上，深入理解其内容，并可以进一步的判断和推理； 掌握：是最高深度要求，学员需要正确认识该知识点的概念、原理，并在深入理解的基础上灵活运用。 图 2-1 描述了知识体系的结构 图 2-1：知识体系的组件模块结构 在整个知识体系结构中，共包括应急响应概况、应急响应基础、应急响应事件监测、应急响应事件分析与处置、企业应急响应典型事件五个知识域，每个知识域根据其逻辑