注册信息安全专业人员CISP知识体系大纲.docx
- 文档编号:15507347
- 上传时间:2023-07-05
- 格式:DOCX
- 页数:37
- 大小:1.09MB
注册信息安全专业人员CISP知识体系大纲.docx
《注册信息安全专业人员CISP知识体系大纲.docx》由会员分享,可在线阅读,更多相关《注册信息安全专业人员CISP知识体系大纲.docx(37页珍藏版)》请在冰点文库上搜索。
注册信息安全专业人员CISP知识体系大纲
注册信息安全专业人员(CISP)
知识体系大纲
发布日期:
2009年5月1日
版本:
1.2
中国信息安全测评中心
©版权2009—中国信息安全测评中心
注册信息安全专业人员(CISP)知识体系大纲
咨询及索取
关于中国信息安全测评中心信息安全人员培训相关的文件,请与中国信息安全测评中心信息系统测评服务部接洽。
在中国信息安全测评中心网址:
上可获取本文件。
版权
©版权2008—中国信息安全测评中心
联系信息
关于中国信息安全测评中心(CNITSEC)信息安全人员培训相关的更多信息,请与中国信息安全测评中心(CNITSEC)联系:
联系方式:
中国信息安全测评中心信息安全测评服务部
【联系地址】北京市海淀区上地西路8号院1号楼
【邮政编码】100085
【电话】
【传真】(010)
【电子邮件】
目录II
5.3.2BD(知识体):
安全工程过程和实践30
图表
注册信息安全专业人员(CISP)知识体系介绍
注册信息安全专业人员知识体系介绍中将介绍注册信息安全专业人员(CISP)考试大纲的结构和内容。
本文包含以下章节:
●第1章注册信息安全专业人员(CISP)知识体系概述
●第2章知识类:
信息安全体系和模型
●第3章知识类:
信息安全技术
●第4章知识类:
信息安全管理
●第5章知识类:
信息安全工程
●第6章知识类:
信息安全标准和法律法规
第1章注册信息安全专业人员(CISP)知识体系概述
1.1CISP资质证书介绍
本文主要描述了“注册信息安全专业人员”(CISP-CertifiedInformationSecurityProfessional)组件模块化的知识体系大纲。
“注册信息安全专业人员”,英文为CertifiedInformationSecurityProfessional(简称CISP),根据实际岗位工作需要,CISP分为三类:
●“注册信息安全工程师”,英文为CertifiedInformationSecurityEngineer(简称CISE),CISE证书持有人员主要从事信息安全技术领域的工作;
●“注册信息安全管理人员”,英文为CertifiedInformationSecurityOfficer(简称CISO),CISO证书持有人员主要从事信息安全管理领域的工作;
●“注册信息安全审核员”,英文为CertifiedInformationSecurityAuditor(简称CISA),CISA证书持有人员主要从事信息系统的安全审核、安全评估和安全审计等工作。
这三类注册信息安全专业人员是信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织团体、企事业单位中进行信息系统建设、运行和应用管理的技术部门(含标准化部门)所必备的专业岗位人员,其基本职能是对信息系统提供安全保障,其所具备的专业资质和能力,系经中国信息安全测评中心所注册的国家信息安全专业人员。
有关“注册信息安全专业人员”(简称CISP)的更详细的相关资料,查阅网址。
1.2CISP知识体系介绍
1.2.1概述
注册信息安全专业人员(CISP)人员资质的推出,对提高国家信息安全保障的能力和培养高素质的信息安全专业人员作出了巨大的贡献。
在注册信息安全专业人员(CISP)教材第1版出版发行后,CISP培训不断蓬勃发展、CISP注册证书作为国家信息安全领域专业人才的最高认可也越来越得到社会的认可。
随着信息安全领域的发展以及CISP培训的不断深入,社会各界,包括CISP人才的使用单位、CISP的培训机构、CISP证书获得人员、信息安全专业人员等对CISP以及CISP的发展提供了很多很有价值和意义的帮助和建议;同时,中国信息安全测评中心在信息安全领域也进行了大量的研究和实践,逐步完善了以信息安全产品测评、信息系统安全测评、信息安全服务测评和信息安全人员测评四大业务为基础的信息安全保障服务体系。
为了更好的提供注册信息安全专业人员(CISP)的培训服务,更好的体现我们在信息安全保障领域的学习、研究和实践成果,注册信息安全专业人员(CISP)教材和大纲的改进作为中国信息安全测评中心的一项重要工作开始展开。
本文所提供的CISP知识体系大纲是我们这几年在信息安全保障领域学习、研究和实践的成果,特别是在信息安全培训领域以及我们在国家标准-“信息系统安全保障评估框架”的编制中所得到的心得和成果的反应。
本次修订的知识体系大纲从整体上来看主要有以下两个最主要的特点和特色:
●以信息安全保障(IA)作为贯穿整个CISP知识体系大纲的主线,形成以体系和模型以及标准和法规为基础、覆盖信息安全技术、管理和工程保障领域的信息安全保障有机知识整体。
近几年,我们对国内和国际信息安全测评、培训和教育领域做了大量的研究,为了更好地学习和实践,我们自己也亲自参与并获得了信息安全领域的几乎所有国内外知名的认证和考试的证书。
在这些信息安全培训的学习、研究和实践中,我们发现信息安全相关的一些考试提供了非常优秀的知识域的描述,但是在整个知识体系的构建上,缺乏一条贯穿整个知识体系的主线。
因此,在本次的知识体系大纲中,从整体上我们使用信息安全保障作为整个CISP知识体系大纲的主线和灵魂,更完整的诠释了信息安全保障的有机知识整体。
另外,本次CISP知识体系大纲也是对我们所编制的国家标准-“信息系统安全保障评估框架”的诠释。
信息系统安全保障评估框架是我们在信息安全保障领域里的一个重要的研究成果,它建立了以风险和策略为核心,覆盖整个信息系统生命周期的技术、管理、工程和人员的保障。
本次知识体系大纲也是从技术、管理和工程领域诠释了信息安全专业人员在这些领域中进行信息安全保障工作中所需要了解的知识和实践的要求,这样通过CISP知识体系的学习,读者就能进一步将所学的知识应用在其信息安全保障的工作实践中。
●使用知识类(PT)-知识体(BD)-知识域(KA)-知识子域(SA)来组织的组件模块化的知识体系结构,使整个知识体系大纲的结构更清晰、重点更突出、更易于结构化和模块化的学习和扩展
信息安全是架构在信息技术等知识基础之上的一门综合的学科,因此信息安全的学习是一件非常庞大复杂的任务。
在信息安全的学习过程中,我们需要一种更加结构化和科学化的方法来将信息安全的相关知识进行梳理分析,并进一步根据需要进行更深入的学习、研究和实践。
在本次知识体系大纲的编制过程中,我们根据信息安全领域的知识的内在联系和关系通过知识类、知识体、知识域和知识子域的结构进行分析和分解,形成了新的覆盖内容更广泛、重点更突出、更强调实践性和实用性的组件模块化的知识体系结构。
这样,一方面读者可以更清晰、深入地了解信息安全的各知识组成、知识重点以及各知识内容的内在联系,方便了读者的学习、理解和复习;另一方面,读者可以根据这些组件模块,结合自己的工作需求和知识结构,有区别、有重点地有的放矢地学习和应用,提供了更好的灵活性和实用性。
在介绍了本次知识体系大纲的主要特点后,本章后面的内容将简单描述一下本次知识体系大纲的结构和内容。
1.2.2CISP知识体系框架结构介绍
CISP知识体系使用组件模块化的结构,即CISP知识体系使用知识类(缩写为PT)、知识体(缩写为BD)、知识域(缩写为KA)和知识子域(缩写为SA)的结构,图表11描述了CISP知识体系的组件模块结构:
图表11:
CISP知识体系的组件模块结构
在整个注册信息安全专业人员(CISP)的知识体系结构中,共包括信息安全体系和模型、信息安全标准和法律法规、信息安全技术、信息安全管理和信息安全工程这五个知识类(PT),每个知识类根据其逻辑划分为一个或多个知识体(BD),每个知识体包含一个或多个知识域(KA),每个知识域由一个或多个知识子域组成。
知识类、知识体、知识域和知识子域的划分和内容并不是随意选择的,它们模块结构的含义如下:
●知识类(PT)是根据整个信息安全保障领域的分类来划分,共包括信息安全体系和模型、信息安全标准和法规、信息安全技术、信息安全管理和信息安全工程五个知识类;
●知识体(BD)是在知识类的分类范围内对知识域的逻辑组织划分;
●知识域(KA)是知识体系结构的主要知识点组成结构,它描述了注册信息安全专业人员知识体系结构的实际主要内容;
●知识子域(SA)是进一步划分、细化描述知识域的组成部分。
知识类、知识体、知识域和知识子域的描述如下:
●知识类(PT):
在CISP知识体系结构中,共包括五个知识类,它们分别为:
信息安全体系和模型、信息安全标准和法律法规、信息安全技术、信息安全管理和信息安全工程。
●知识体(BD):
每个知识类都由一个或多个知识体组成,例如:
在信息安全体系和模型知识类(PT)包含两个知识体-安全体系知识体和安全模型知识体。
●知识域(KA):
每个知识体由一个或多个知识域组成,知识域是CISP知识体系结构的主要知识点的分类,在CISP知识体系中,主要的考试内容是根据知识域来划分展开的。
例如:
在信息安全体系和模型知识类(PT)的安全模型知识体(BD)中,根据信息安全模型的分类分为信息安全模型基础、访问控制模型、信息流模型和其他信息安全模型这四个知识域,通过对这四个知识域的学习和掌握,就构成了对信息安全模型的理解。
●知识子域(SA):
每个知识域可以包括也可以不包括知识子域,知识子域是对知识域的进一步划分。
例如:
在信息安全体系和模型知识类(PT)的安全模型知识体(BD)的访问控制模型知识域(KA)中,包括自主访问控制(DAC)模型、强制访问控制(MAC)模型和基于角色的访问控制(RBAC)模型这三个具体的访问控制模型知识子域。
在完成对CISP知识体系的模块结构的介绍后,我们就可以来学习CISP知识体系的具体结构内容介绍了。
CISP知识体系结构共包含五个知识类,分别为:
●信息安全体系和模型:
信息安全体系和模型是信息安全作为独立学科的理论基础,它主要介绍了信息安全保障的安全体系架构和信息安全保障相关的安全理论模型。
学习和掌握信息安全体系和模型是整个注册信息安全专业人员知识体系的基础之一。
●信息安全标准和法律法规:
信息安全标准和法律法规主要讨论了信息安全相关的标准和法律法规。
学习和掌握信息安全标准和法律法规是注册信息安全专业人员知识体系的另一个基础知识领域。
●信息安全技术:
信息安全技术主要讨论了同信息安全相关的技术知识和实践。
●信息安全管理:
信息安全管理主要讨论了同信息安全相关的管理知识和实践。
●信息安全工程:
信息安全工程主要讨论了同信息安全相关的工程知识和实践。
在图表12中,从整体上描述了CISP的知识体系结构框架。
图表12:
CISP知识体系结构框架
1.2.3CISP(CISE/CISO/CISA)考试的知识体系结构介绍
“注册信息安全专业人员”(CISP-CertifiedInformationSecurityProfessional),是从事信息安全领域工作的人员的专业资质和能力的证明,根据实际岗位工作需要,CISP包括三类:
“注册信息安全工程师”(CISE)、“注册信息安全管理人员”(CISO)和“注册信息安全审核师”(CISA)。
所有CISP三类注册人员都需要学习和掌握CISP知识体系结构框架中的所有内容,三种注册证书的区别在于在考试中根据三种注册证书持有人的工作岗位和工作领域的不同而各有不同的侧重点,因此,所对应的考试结构、比例和内容略有不同。
表格11中描述了CISE/CISO/CISA考试的各知识类的比例。
表格11:
CISP(CISE/CISO/CISA)试题结构
CISP资质类型
知识类别
CISP
CISE
CISO
信息安全体系和模型
15%
15%
信息安全技术
40%
20%
信息安全管理
20%
40%
信息安全工程
15%
15%
信息安全标准和法律法规
10%
10%
注:
CISA在CISE或CISO的基础上再加上50道信息安全审计相关的试题。
从表格11中可见,CISP三种注册证书的主要区别如下:
●“注册信息安全审核员”(CISA)是在CISE或CISO的基础上,附加50道通信息安全审计相关的信息安全审计领域的试题综合而成。
●“注册信息安全工程师”(CISE)和“注册信息安全管理人员”(CISO)两者都需要学习和掌握所有CISP的五个知识类的内容,它们之间主要的区别在于:
⏹在信息安全技术和信息安全管理知识体中,由于CISE偏重技术、CISO偏重管理,因此在试题结构中信息安全技术占CISE考试的40%,信息安全管理占CISE考试的20%,而CISO中这两个知识类所占的比例相反(即信息安全技术占CISO考试的20%,而信息安全管理占CISO考试的40%)。
⏹在信息安全工程知识体中,虽然CISE和CISO的考试比例相同,但CISE更倾向于从信息安全工程实施和建设的角度来考察CISE考试人员,而CISO更倾向于从信息安全工程实施和建设的管理角度来考察CISO应试人员。
第2章知识类:
信息安全体系和模型
2.1概述
在注册信息安全专业人员(CISP)知识体系的五个知识类中,信息安全体系和模型以及信息安全标准和法律法规是注册信息安全专业人员知识体系结构的基础,其中信息安全体系和模型知识类更是信息安全成为一门独立学科的整体和理论的基础。
注册信息安全专业人员(CISP)的所有人员都必须学习和掌握信息安全体系和模型知识类的相关知识。
信息安全体系和模型知识类中,主要描述了信息安全保障框架、信息安全保障评估以及信息安全模型理论基础。
通过对信息安全体系和模型知识类的学习和研究,信息安全专业人员就可以建立对信息安全保障的整体概念并学习和掌握信息安全模型的理论基础;信息安全体系和模型的学习,将帮助信息安全专业人员建立信息安全整个知识体系的基础。
整个信息安全体系和模型知识类(PT)包括安全体系和安全模型两个知识体(BD),并进一步细分为信息安全保障框架等七个知识域:
●安全体系:
包括信息安全保障框架、OSI开放系统互联安全体系架构、信息技术安全性评估和信息安全保障评估四个知识域。
●安全模型:
包括信息安全模型基础、访问控制模型和其他安全模型三个知识域。
信息安全体系和模型知识类的组件模块结构如下:
图表21:
信息安全体系和模型知识类(PT)的知识体系结构概述
2.2原理说明
2.2.1概述
在信息安全体系和模型知识类中,共包括2个知识体,7个知识域和11个知识子域。
信息安全体系和模型的详细知识体系结构参见图表22。
图表22:
信息安全体系和模型知识类(PT)的知识体系结构详细描述
信息安全体系和模型知识类分为安全体系和安全模型两个知识体,安全体系知识体首先给出了并详细信息安全保障框架、然后描述了基于OSI开放系统互连模型的安全体系架构和信息技术安全性评估准则,最后给出了在信息安全保障框架下进行信息安全保障评估的实践描述,通过对安全体系的学习,读者能够建立对信息安全保障整体的理解和信息安全保障评估实践的理解;安全模型知识体首先介绍了信息安全模型的一些基础知识,然后根据信息安全模型的分类-访问控制模型和信息流模型分别对信息安全的主要模型进行了介绍,最后通过其他信息安全模型介绍了信息安全模型的其它分类等参考知识。
通过对安全体系和安全模型的学习,读者就可以从整体上掌握信息安全保障的整体框架和信息安全模型的相关知识,建立整个信息安全保障知识体系的理论基础,进一步指导信息安全专业人员其他知识的学习。
2.2.2知识体:
安全体系
安全体系知识体主要是提供安全体系结构的一些历史背景知识并给出信息安全保障的整体框架以及信息安全保障评估的实践,通过安全体系知识体的学习,将帮助信息安全专业人员建立对信息安全保障的整体理解和基础。
在安全体系知识体的学习中,其主要的原理在于理解信息安全保障的概念以及信息安全保障的模型。
信息安全保障是以风险和策略为出发点和核心,即从信息系统所面临的风险和信息系统所处的环境出发制定组织机构信息系统安全保障策略,通过在信息系统的整个生命周期中从技术、工程、管理和人员等方面提出安全保障要求,确保信息的保密性、完整性和可用性特征,实现和贯彻组织机构策略并将风险降低到可接受的程度,达到保护组织机构信息和信息系统资产,从而保障组织机构实现其使命的最终目的。
在信息系统安全保障评估框架中,评估对象的含义更加广泛,它不仅涉及具体产品和产品系统,而且还包含信息系统运行环境的管理、工程等范畴,即用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件等总和的信息系统。
信息安全保障的模型如下:
图表23:
知识体-安全体系原理:
信息安全保障模型
整个信息系统安全保障模型是一个以风险和策略为基础,包含保障要素、生命周期和信息特征三方面的模型。
模型的主要特点是:
●以安全概念和关系为基础,将风险和策略作为信息系统安全保障的基础和核心
●强调信息系统安全保障的持续发展的动态安全模型,即强调信息系统安全保障应渗入整个信息系统生命周期的全过程。
●强调信息系统安全保障的概念,信息系统的安全保障是通过综合技术、管理、工程和人员的要求等措施实施和实现信息系统的安全保障目标,通过对信息系统的技术、管理、工程和人员要求的认可、评估结果提供了对信息系统安全保障的信心。
●通过风险和策略基础,生命周期和保证层面,从而使信息系统安全保障实现信息技术安全根本原则:
信息的可用性、完整性和可用性特征,从而达到保障组织机构执行其使命的根本目的。
在建立了对信息安全保障概念和信息安全模型理解的基础上,我们就可以进一步展开对信息安全技术、安全管理和安全工程保障的理解,并进一步理解和掌握相关信息安全测试评估的内容。
2.2.3知识体:
信息安全模型
在建立了信息安全保障框架等安全体系的理解后,我们需要进一步了解和掌握信息安全的一些理论基础,这些信息安全模型的理论基础是对指导我们进一步的实践具有非常重要的意义。
图表24描述了安全模型知识体的知识体系结构含义,即安全模型原理说明。
图表24:
知识体:
安全模型原理说明
整个信息安全模型从整体上来看,主要分为访问控制模型和信息流模型,其他的分类方法和具体信息安全模型将在安全模型基础和其他信息安全模型知识域中介绍,这里将主要介绍访问控制模型和信息流模型。
访问控制模型是信息安全模型中最主要的模型基础,访问控制模型主要分为自主访问控制(DAC)模型、强制访问控制(MAC)模型和基于角色的访问控制模型。
在自主访问控制模型中,访问矩阵模型是最常见的一种自主访问控制模型,它主要包括访问控制列表和权能列表两种实现。
在强制访问控制模型中,在多级环境中,它主要包括提供保密性的Bell-Lapudula模型和提供完整性的Biba和Clark-Wilson模型;在多边环境中,它主要包括ChineseWall模型和BMA模型。
基于角色访问控制(RBAC)模型引入了角色作为授权的实体,是一种更近代的访问控制模型。
信息流模型是从信息流的角度来描述信息在主体在应如何流动的模型。
2.3知识体系大纲
2.3.1BD(知识体):
信息安全体系
信息安全体系知识类共包括三个知识域:
●KA(知识域):
信息安全保障框架
理解信息安全保障的背景和历史;
理解信息安全保障的定义、模型和含义。
●KA(知识域):
OSI开放系统互联安全体系结构
理解和掌握OSI开放系统互联安全体系结构;
理解和掌握OSI开放系统互联安全体系结构同TCP/IP的映射。
●KA(知识域):
信息技术安全性评估
理解和掌握信息技术安全性评估准则发展的背景、历史和关系;
理解和掌握可信计算机系统评估准则(TCSEC)以及彩虹系列的内容和含义;
理解和掌握信息技术安全性评估主则(CC)的内容和含义。
●KA(知识域):
信息安全保障评估
理解和掌握信息系统安全保障评估框架的内容和含义;
理解和掌握信息安全保障评估的各中测试评估的类别和含义(信息安全产品测试评估、信息系统安全测试评估、信息安全服务测试评估和信息安全人员测试评估)。
2.3.2BD(知识体):
信息安全模型
●KA(知识域):
信息安全模型基础
理解信息安全模型同安全策略、安全控制之间的关系;
理解可信计算基和参考监视器等的基本概念;
理解各种安全模型的分类和关系。
●KA(知识域):
访问控制模型
理解和掌握访问控制模型的分类(MAC/DAC/RBAC)关系和实现;
理解不同访问控制模型及实现CIA的关系。
⏹SA(知识子域):
自主访问控制(DAC)
理解自主访问控制的含义;
理解访问矩阵模型,理解和分析应用访问矩阵模型的实现(访问控制列表、权能列表)。
⏹SA(知识子域):
强制访问控制(MAC)
理解强制访问控制的分类和含义;
理解多级强制访问控制模型:
Bell-Lapudula模型、Biba模型和Clark-Wilson模型;
理解多边强制访问控制模型:
ChineseWall模型和BMA模型。
⏹SA(知识子域):
基于角色访问控制(RBAC)
理解基于角色的访问控制模型(RBAC)。
●KA(知识域):
其他安全模型
理解理解信息流模型等其他安全模型概念及其关系。
第3章知识类:
信息安全技术
3.1概述
在注册信息安全专业人员(CISP)的五个知识类中,信息安全技术、信息安全管理和信息安全工程是信息安全保障的具体保障实现领域。
学习和掌握信息安全技术知识类,将帮助我们学习掌握和实践信息安全技术的相关知识和技能并运用在信息安全技术保障的工作和学习之中。
信息安全技术知识类分为信息安全技术机制、信息和通信技术(ICT)安全和信息安全实践三个知识体和密码技术及应用等九个知识域。
信息安全技术的知识体系结构如图表31所示:
图表31:
信息安全技术知识类(PT)的知识体系结构概述
3.2原理说明
3.2.1概述
信息安全技术知识类分为信息安全技术机制、信息和通信技术(ICT)安全以及信息安全实践三个知识体。
信息安全技术首先将介绍密码技术及应用、访问控制系统和审计和监控着三个信息安全技术机制,通过对信息安全技术机制的学习和了解,建立对信息安全技术所特有的技术机制基础和理论知识的学习;在完成对信息安全技术机制的理解后,信息和通信技术(ICT)安全部分将根据OSI的分层模型为基础分层描述信息安全技术相关的技术基础知识和所对应的安全技术,其中物理安全主要讨论物理层相关的安全技术,电信和网络安全分别从电信领域和互联网领域介绍相应的网络技术和网络安全技术、系统(主要讨论操作系统和数据库系统)的基础知识和相关安全技术以及各种典型应用系统(电子邮件、电子商务等)系统的基础知识和相关安全技术;最后信息安全实践部分将进一步结合实践,介绍P2DR安全攻防模型,黑客攻击技术和相应的安全攻防技术。
这样,在信息安全技术知识类中,我们可以了解和掌握信息安全技术的主要安全机制,将这些安全技术基础同OSI分层分析相结合,从物理层、网络层、系统和应用系统层来分别讨论相关技术和安全技术,最后结合黑客攻防等了解和掌握信息安全攻防的实践。
3.2.2知识体:
信息安全技术机制
在信息安全技术机制里,主要介绍三类基础的信息安全技术机制:
密码技术及应用、访问控制系统以及审计和监控。
在密码技术及应用中,首先介绍传统密码技术和现代密码技术等相关的密码技术基础知识;在完成对密码技术基础知识的理解后,进一步介绍三类密码算法:
私钥(对称)密码算法、公钥(非对称)密码算法以及单向函数和单向哈西算法;密码系统是三类密码算法的进一步组合和应用,在密码系统中,主要介绍了Kerberos单点登录系统和
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 注册 信息 安全 专业人员 CISP 知识 体系 大纲