基本要求
1. 了解信息安全保障工作的总体思路和基本实践方法
2. 掌握信息安全技术的基本概念、原理、方法和技术
3. 熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能
4. 掌握信息安全设备的安装、配置和使用的基本方法
5. 了解信息系统安全设施部署与管理基本技术
6. 了解信息安全风险评估和等级保护原理与方法
7. 了解信息安全相关的标准、法律法规和道德规范
考试内容
基本要求
1. 了解信息安全保障工作的总体思路和基本实践方法
2. 掌握信息安全技术的基本概念、原理、方法和技术
3. 熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能
4. 掌握信息安全设备的安装、配置和使用的基本方法
5. 了解信息系统安全设施部署与管理基本技术
6. 了解信息安全风险评估和等级保护原理与方法
7. 了解信息安全相关的标准、法律法规和道德规范
考试内容
一、信息安全保障概述
1. 信息安全保障的内涵和意义
信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
2. 信息安全保障的总体思路和基本实践方法
与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点。
二、信息安全基础技术与原理
1. 密码技术
(1)对称密码与非对称密码
对称密码:
需要对加密和解密使用相同密钥的加密算法。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。对称性加密也称为密钥加密。
非对称密码:非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
(2)哈希函数
在某种程度上,散列是与排序相反的一种操作,排序是将集合中的元素按照某种方式比如字典顺序排列在一起,而散列通过计算哈希值,打破元素之间原有的关系,使集合中的元素按照散列函数的分类进行排列。
在介绍一些集合时,我们总强调需要重写某个类的 equlas() 方法和 hashCode() 方法,确保唯一性。这里的 hashCode() 表示的是对当前对象的唯一标示。计算 hashCode 的过程就称作 哈希。
(3)数字签名
数字签名(又称公钥数字签名)是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术来实现的,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。数字签名是非对称密钥加密技术与数字摘要技术的应用。
(4)密钥管理
密钥管理包括,从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。对于军用计算机网络系统,由于用户机动性强,隶属关系和协同作战指挥等方式复杂,因此,对密钥管理提出了更高的要求。
2. 认证技术
(1)消息认证
消息认证(message authentication)就是验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改的。它包含两层含义:一是验证信息的发送者是真正的而不是冒充的,即数据起源认证;二是验证信息在传送过程中未被篡改、重放或延迟等。
(2)身份认证
身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。
3. 访问控制技术
(1)访问控制模型
基于对象的访问控制模型
基于任务的访问控制模型
基于角色的访问控制模型
(2)访问控制技术
自主访问控制和强制访问控制两大类。
4. 审计和监控技术
(1)审计和监控基础
能够帮助安全管理员, 对计算机进行日常安全评估, 并在系统被攻击时或攻击之后展开调查。
(2)审计和监控技术
一个审计系统通常由日志记录器、分析器和通告器三部分组成,分别用于收集数据,分析数据和通报结果
三、系统安全
1. 操作系统安全
(1)操作系统安全基础
(2)操作系统安全实践
2. 数据库安全
(1)数据库安全基础
(2)数据库安全实践
四、网络安全
1. 网络安全基础
2. 网络安全威胁技术
3. 网络安全防护技术
(1)防火墙
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
(2)入侵检测系统与入侵防御系统
入侵检测系统(IDS):依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵防御系统(IPS):深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
(3)PKI
PKI即公钥基础设施,是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务,从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。
(4)VPN
VPN即虚拟专用网络,在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
(5)网络安全协议
五、应用安全
1. 软件漏洞概念与原理
软件开发者开发软件时的疏忽,或者是编程语言的局限性,比如c语言家族比java效率高但漏洞也多,电脑系统几乎就是用c语言编的,所以常常要打补丁。 软件漏洞有时是作者日后检查的时候发现的,然后修正;还有一些人专门找别人的漏洞以从中做些非法的事,当作者知道自己的漏洞被他人利用的时候就会想办法补救。
2. 软件安全开发
ISO27034是国际标准化组织通过的第一个关注建立安全软件程序流程和框架的标准。ISO27034的应用提供了一个通用的验证自己产品安全性的方式,能够让安全性成为企业的竞争优势。另一方面,对购买软件和服务的客户来说,这一标准可以作为一个简单明确的“语言”,促使开发者实施安全开发。
3. 软件安全检测
静态安全扫描测试和动态安全扫描测试
4. 软件安全保护
软件安全-保护软件中的智力成果、知识产权不被非法使用,包括篡改及盗用等。研究的内容主要包括防止软件盗版、软件逆向工程、授权加密以及非法篡改等。采用的技术包括软件水印(静态水印及动态水印)、代码混淆(源代码级别的混淆,目标代码级别的混淆等)、防篡改技术、授权加密技术以及虚拟机保护技术等。
5. 恶意程序
攻击意图所编写的一段程序,通常分为病毒和木马,病毒具有传播性,木马不具有传播性。
6. Web 应用系统安全
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。
六、信息安全管理
1. 信息安全管理体系
信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
2. 信息安全风险评估
自评估和检查评估两种形式。
3. 信息安全管理措施
七、信息安全标准与法规
1. 信息安全标准
信息安全标准是有关信息安全状况的标准,在TCSEC中,美国国防部按信息的等级和应用采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别。
2. 信息安全法律法规与国家政策
《国家信息化领导小组关于加强信息安全保障工作的意见》2003年7月22日
3. 信息安全从业人员道德规范
考试方式
上机考试,考试时长120 分钟,满分100 分。
包含:选择题(60 分)、填空题(20 分)、综合应用题(20 分)。
基本要求
1. 了解信息安全保障工作的总体思路和基本实践方法
2. 掌握信息安全技术的基本概念、原理、方法和技术
3. 熟练掌握计算机网络安全、系统软件安全和应用软件安全的基本知识和实践技能
4. 掌握信息安全设备的安装、配置和使用的基本方法
5. 了解信息系统安全设施部署与管理基本技术
6. 了解信息安全风险评估和等级保护原理与方法
7. 了解信息安全相关的标准、法律法规和道德规范
考试内容
一、信息安全保障概述
1. 信息安全保障的内涵和意义
信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
2. 信息安全保障的总体思路和基本实践方法
与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点。
二、信息安全基础技术与原理
1. 密码技术
(1)对称密码与非对称密码
对称密码:
需要对加密和解密使用相同密钥的加密算法。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。对称性加密也称为密钥加密。
非对称密码:非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
(2)哈希函数
在某种程度上,散列是与排序相反的一种操作,排序是将集合中的元素按照某种方式比如字典顺序排列在一起,而散列通过计算哈希值,打破元素之间原有的关系,使集合中的元素按照散列函数的分类进行排列。
在介绍一些集合时,我们总强调需要重写某个类的 equlas() 方法和 hashCode() 方法,确保唯一性。这里的 hashCode() 表示的是对当前对象的唯一标示。计算 hashCode 的过程就称作 哈希。
(3)数字签名
数字签名(又称公钥数字签名)是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术来实现的,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。数字签名是非对称密钥加密技术与数字摘要技术的应用。
(4)密钥管理
密钥管理包括,从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。对于军用计算机网络系统,由于用户机动性强,隶属关系和协同作战指挥等方式复杂,因此,对密钥管理提出了更高的要求。
2. 认证技术
(1)消息认证
消息认证(message authentication)就是验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改的。它包含两层含义:一是验证信息的发送者是真正的而不是冒充的,即数据起源认证;二是验证信息在传送过程中未被篡改、重放或延迟等。
(2)身份认证
身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。
3. 访问控制技术
(1)访问控制模型
基于对象的访问控制模型
基于任务的访问控制模型
基于角色的访问控制模型
(2)访问控制技术
自主访问控制和强制访问控制两大类。
4. 审计和监控技术
(1)审计和监控基础
能够帮助安全管理员, 对计算机进行日常安全评估, 并在系统被攻击时或攻击之后展开调查。
(2)审计和监控技术
一个审计系统通常由日志记录器、分析器和通告器三部分组成,分别用于收集数据,分析数据和通报结果
三、系统安全
1. 操作系统安全
(1)操作系统安全基础
(2)操作系统安全实践
2. 数据库安全
(1)数据库安全基础
(2)数据库安全实践
四、网络安全
1. 网络安全基础
2. 网络安全威胁技术
3. 网络安全防护技术
(1)防火墙
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
(2)入侵检测系统与入侵防御系统
入侵检测系统(IDS):依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵防御系统(IPS):深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
(3)PKI
PKI即公钥基础设施,是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全服务,从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。
(4)VPN
VPN即虚拟专用网络,在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
(5)网络安全协议
五、应用安全
1. 软件漏洞概念与原理
软件开发者开发软件时的疏忽,或者是编程语言的局限性,比如c语言家族比java效率高但漏洞也多,电脑系统几乎就是用c语言编的,所以常常要打补丁。 软件漏洞有时是作者日后检查的时候发现的,然后修正;还有一些人专门找别人的漏洞以从中做些非法的事,当作者知道自己的漏洞被他人利用的时候就会想办法补救。
2. 软件安全开发
ISO27034是国际标准化组织通过的第一个关注建立安全软件程序流程和框架的标准。ISO27034的应用提供了一个通用的验证自己产品安全性的方式,能够让安全性成为企业的竞争优势。另一方面,对购买软件和服务的客户来说,这一标准可以作为一个简单明确的“语言”,促使开发者实施安全开发。
3. 软件安全检测
静态安全扫描测试和动态安全扫描测试
4. 软件安全保护
软件安全-保护软件中的智力成果、知识产权不被非法使用,包括篡改及盗用等。研究的内容主要包括防止软件盗版、软件逆向工程、授权加密以及非法篡改等。采用的技术包括软件水印(静态水印及动态水印)、代码混淆(源代码级别的混淆,目标代码级别的混淆等)、防篡改技术、授权加密技术以及虚拟机保护技术等。
5. 恶意程序
攻击意图所编写的一段程序,通常分为病毒和木马,病毒具有传播性,木马不具有传播性。
6. Web 应用系统安全
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。
六、信息安全管理
1. 信息安全管理体系
信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
2. 信息安全风险评估
自评估和检查评估两种形式。
3. 信息安全管理措施
七、信息安全标准与法规
1. 信息安全标准
信息安全标准是有关信息安全状况的标准,在TCSEC中,美国国防部按信息的等级和应用采用的响应措施,将计算机安全从高到低分为:A、B、C、D四类八个级别。
2. 信息安全法律法规与国家政策
《国家信息化领导小组关于加强信息安全保障工作的意见》2003年7月22日
3. 信息安全从业人员道德规范
考试方式
上机考试,考试时长120 分钟,满分100 分。
包含:选择题(60 分)、填空题(20 分)、综合应用题(20 分)。
