信息安全师国家职业标准.doc

上传人:da****u 文档编号:3636544 上传时间:2019-06-28 格式:DOC 页数:11 大小:152.50KB
下载 相关 举报
信息安全师国家职业标准.doc_第1页
第1页 / 共11页
信息安全师国家职业标准.doc_第2页
第2页 / 共11页
信息安全师国家职业标准.doc_第3页
第3页 / 共11页
信息安全师国家职业标准.doc_第4页
第4页 / 共11页
信息安全师国家职业标准.doc_第5页
第5页 / 共11页
点击查看更多>>
资源描述

1、CSPEC-PXKS02 等级测评师培训大纲公安部信息安全等级保护评估中心二一年四月CSPEC-PXKS02:2010第 2 页 共 11 页等级测评师培训大纲为贯彻落实关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 (公信安2010303 号)的精神,在全国开展信息安全等级保护测评体系建设工作,对开展等级测评工作的测评人员进行专门的培训和考试,特制定本大纲。本大纲以信息安全等级保护相关标准为基础,结合信息安全等级测评工作实际需要,明确了开展等级测评工作的人员能力要求,用以指导信息安全等级测评师的培训和考试工作。1 培训对象信息安全等级测评师培训是针对等级测评机构中的测评人员进行

2、的培训,初级、中级和高等级测评师与等级测评机构中的测评员、项目负责人(或项目组长)和技术负责人(或技术总监)三个工作岗位相对应,通过初级、中级和高级等级测评师培训和考试后,颁发相应的等级测评师证书,等级测评人员需持等级测评师证上岗。1)初级等级测评师初级等级测评师的培训对象是网络安全、主机安全、应用安全、安全管理和工具测试人员等。报考人员需要具备信息安全基础知识和信息安全相关工作经验,熟悉TCP/IP 网络协议,了解标识与鉴别、访问控制等安全技术及原理,熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。2)中级等级测评师中级等级测评师的培训对象是项目负责人(或项目组长) 。报考

3、人员需要具备信息安全理论基础,对系统安全、网络安全、应用安全和攻击测试等有深入了解,作为项目负责人组织实施过信息系统安全测评项目,熟悉国内外信息安全相关产品特性,具有较丰富的测评实践经验、良好的沟通协作和文字表达能力。3) 高级等级测评师高级等级测评师的培训对象是技术负责人(或技术总监) 。CSPEC-PXKS02:2010第 3 页 共 11 页报考人员需要具备信息安全理论基础,具有信息安全理论、信息安全技术的研究和实践经验,从事过信息安全方面的测评、规划、设计、实施、运维等工作。熟悉信息安全标准和产品特性,熟悉信息安全技术发展动向。2 培训方式评估中心组织对报考初、中和高级等级测评师考试的

4、人员进行专门的培训,通过培训后方可参加相应的等级测评师考试。人员培训采用网络培训和集中培训相结合的方式。网络培训要求学员通过互联网登录培训系统在线接受培训。网上培训完成后,参加集中培训。集中培训以重点内容、复习、现场答疑和考前辅导为主。3 初级等级测评师3.1 培训目标 了解信息安全等级保护的相关政策、标准; 掌握等级测评方法,熟悉网络、主机、应用、安全管理测评内容、要求和方法,能够根据测评指导书客观、准确、完整地获取各项测评证据; 熟悉信息安全产品分类,了解其功能、特点,熟悉主流产品安全配置方法; 掌握测评工具的操作方法,能够合理设计测试用例获取测试数据; 能够按照报告编制要求整理测评数据,

5、开展等级测评工作。3.2 培训内容3.2.1 信息安全等级保护政策 信息安全等级保护制度的主要内容目标要求:了解等级保护基本政策,包括国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327 号) 、关于印发信息安全等级保护管理办法的通知(公通字2007 43 号) 、关于印发关于信息安全等级保护工作的实施意见的通知(公通字2004 66 号) 、关于印送关于开展信息安全等级保护安全建设整改工作的指导意见的函(公信安CSPEC-PXKS02:2010第 4 页 共 11 页20091429 号) 、 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 (公信安20103

6、03 号)等。 信息安全等级保护政策体系目标要求:了解等级保护基本政策体系以及相关文件的作用。 等级保护工作的具体内容和要求目标要求:了解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。3.2.2 等级保护相关标准应用 等级保护标准体系及主要标准目标要求:了解等级保护相关标准的定位、主要内容等。 信息安全等级保护概述目标要求:了解等级保护工作过程及标准应用。3.2.3 网络安全测评 网络全局安全测评目标要求:能够进行安全体系架构分析,熟悉安全区域划分、边界访问控制、入侵检测和恶意代码防范等实现机制。 网络设备安全测评目标要求:掌握主流交换机、路由器等网络设备的安全

7、配置方法,熟悉设备自身安全防护、访问控制、身份认证和安全审计等安全实现方法。 安全设备安全测评目标要求:掌握主流防火墙、入侵检测系统、安全审计系统、身份认证系统等安全设备的工作原理,熟悉设备自身安全防护、访问控制、身份认证和安全审计等安全实现方法。3.2.4 主机安全测评 Windows 操作系统安全测评目标要求:熟悉 WINDOWS 操作系统的安全功能及其原理,掌握系统安全配置方法及最佳安全实践,掌握 WINDOWS 操作系统的安全等级测评内容,熟悉 Windows 操作系统自身安全防护、访问控制、身份认证和安全CSPEC-PXKS02:2010第 5 页 共 11 页审计等安全实现方法。

8、类 UNIX/Linux 操作系统安全测评目标要求:熟悉 UNIX/LINUX 操作系统的安全功能及其原理,掌握系统帐号管理、访问控制、资源和网络安全管理等的安全配置及最佳安全实践。掌握 UNIX/LINUX 操作系统的安全等级测评内容,熟悉类 UNIX/Linux系统自身安全防护、访问控制、身份认证和安全审计等安全实现方法。3.2.5 应用和数据安全测评 应用系统安全测评目标要求:熟悉典型的 Web 服务器软件、中间件软件等主流商用应用系统的安全测评方法。理解并掌握应用安全包括的主要内容和测评方法。 数据库安全测评目标要求:熟悉数据库的基本安全机制、安全管理,熟悉主流数据库安全基本配置,掌握

9、数据库安全测评内容和方法。 数据安全测评目标要求:熟悉数据传输、存储、备份的安全实现技术和原理,掌握数据安全测评内容和方法。3.2.6 安全管理测评 安全管理测评过程目标要求:掌握安全管理测评的基本流程和方法,能够合理运用管理测评方法对安全管理内容进行测评。 安全管理测评方法与技巧目标要求:熟悉安全管理测评的内容和方法,能够根据实际情况,合理安排资源,有效获取安全管理测评各项证据。 物理安全测评过程目标要求:掌握物理安全测评的基本流程和方法,能够合理运用物理测评方法对物理安全内容进行测评。3.2.7 工具测试方法 工具测试方法CSPEC-PXKS02:2010第 6 页 共 11 页目标要求:

10、熟悉漏洞基本知识、熟悉网络安全漏洞扫描器基本原理、熟练操作网络安全漏洞扫描器、测试点选取,能够对扫描结果进行分析。 渗透测试方法目标要求:熟悉渗透性测试的一般流程、熟悉黑客攻击的常用工具和技术、熟悉防范和检测黑客攻击的工具和技术。4 中级等级测评师4.1 培训目标 熟悉信息安全等级保护相关政策、法规;正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展; 熟悉信息安全等级测评方法,并熟悉测评指导书的开发、版本控制和评审的流程和方法; 熟悉测评项目的工作流程和质量管理的方法; 能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法; 能够依据测

11、评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性; 了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题,提出合理化的整改建议。4.2 培训内容4.2.1 信息安全等级保护政策 信息安全等级保护制度的主要内容目标要求:理解等级保护基本政策,包括国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327 号) 、关于印发信息安全等级保护管理办法的通知(公通字2007 43 号) 、关于印发关于信息安全等级保护工作的实施意见的通知(公通字2004 66 号) 、关于印送关于开展信息安全等级保护安全建设整改工作的指导意见的函(公信安CSPEC-PXKS02:2

12、010第 7 页 共 11 页20091429 号) 、 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 (公信安2010303 号)等。 信息安全等级保护政策体系目标要求:理解等级保护基本政策体系以及相关文件的作用。 等级保护工作的具体内容和要求目标要求:理解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。4.2.2 等级保护相关标准应用 等级保护标准体系及主要标准目标要求:理解等级保护相关标准的定位、主要内容等。 信息安全等级保护概述目标要求:理解等级保护工作过程及标准应用。4.2.3 信息系统安全等级保护基本要求 基本要求体系结构目标要求:熟悉

13、标准结构、编写背景、过程。 基本要求主要内容目标要求:熟悉不同级别系统之间的差别、熟悉各级安全要求内容。4.2.4 信息系统安全等级保护测评方法 等级测评方法目标要求:掌握单元测评方法、整体测评方法,能够熟练运用单元测评方法和整体测评方法进行测评。 能够开发测评指导书目标要求:掌握测评指导书编制方法,能够根据测评指导书编制方法正确编制测评指导书。 能够设计测评方案目标要求:掌握测评方案编制方法,能够根据信息系统的特点,正确编制测评方案,确定测评对象、测评指标、测评方法,合理选择测试点。 能够编制、审核测评报告CSPEC-PXKS02:2010第 8 页 共 11 页目标要求:掌握并熟练运用测评

14、报告的编制方法,能够根据测评报告模版要求熟练编制测评报告,能够整体把握测评报告结论的客观性和准确性。4.2.5 信息系统安全等级保护测评实施 等级测评工作流程目标要求:熟悉等级测评的工作要求,掌握等级测评的基本工作过程和方法,能够根据等级测评的工作要求编制测评项目管理流程,并进行测评项目的管理。 等级测评实施主要内容目标要求:熟悉等级测评各个工作环节的主要内容,正确理解并熟练掌握单元测评各项要求内容、能够熟练运用标准指导测评过程。4.2.6 项目管理目标要求:熟悉项目管理的主要内容和关键环节。掌握项目质量管理、进度管理、风险管理方法。5 高级等级测评师5.1 培训目标 熟悉和跟踪国内、外信息安

15、全的相关政策、法规及标准的发展; 对信息安全等级保护标准体系及主要标准有较为深入的理解; 熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节的要求; 熟悉质量体系和制度建设的主要内容和方法。 能够把握信息安全技术的发展方向,引导本测评机构人员研究、探索和实践信息安全测评技术和方法。5.2 培训内容5.2.1 信息安全等级保护政策 信息安全等级保护制度的主要内容目标要求:理解等级保护基本政策,包括国家信息化领导小组关于加CSPEC-PXKS02:2010第 9 页 共 11 页强信息安全保障工作的意见 (中办发200327 号) 、关于印发信息安全等级保护管理办法的通知(公通字2

16、007 43 号) 、关于印发关于信息安全等级保护工作的实施意见的通知(公通字2004 66 号) 、关于印送关于开展信息安全等级保护安全建设整改工作的指导意见的函(公信安20091429 号) 、 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 (公信安2010303 号)等。 信息安全等级保护政策体系目标要求:理解等级保护基本政策体系以及相关文件的作用。 等级保护工作的具体内容和要求目标要求:理解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。5.2.2 等级保护相关标准应用 等级保护标准体系及主要标准目标要求:理解等级保护相关标准的定位、主要内

17、容等。 信息安全等级保护概述目标要求:理解等级保护工作过程及标准应用。5.2.3 信息系统测评基本概念与方法目标要求:掌握系统测评的原理和方法以及测评过程。5.2.4 信息安全技术发展趋势目标要求:理解信息安全的基本原理、技术及一些最新研究成果。掌握网络与信息安全的理论基础和发展趋势。5.2.5 我国信息安全标准体系综述目标要求:熟悉我国信息安全标准体系,熟悉主要标准的定位、作用及其主要内容。5.2.6 国外信息系统安全保护政策和标准目标要求:跟踪、了解国外信息安全技术、标准的发展。熟悉美国IATF、NIST 系列标准,熟悉 800 系列中 53、53A 、37 等主要标准的内容。CSPEC-

18、PXKS02:2010第 10 页 共 11 页5.2.7 测评机构的质量体系建设目标要求:熟悉质量体系和制度建设的主要内容,通过规范的制度和流程确保等级测评工作顺利开展。6 培训课程安排级别 培训课程 课程设置目的信 息 安 全 等 级 保 护 政 策 了解信息安全等级保护的相关政策、标准。等 级 保 护 相 关 标 准 应 用 了解信息安全等级保护的相关政策、标准。网 络 安 全 测 评熟悉网络测评内容、要求和方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;能够按照报告编制要求整理测评数据,开展等级测评工作。主 机 安 全 测 评熟悉主机测评内容、要求和方法,能够根据测评指导书

19、客观、准确、完整地获取各项测评证据;能够按照报告编制要求整理测评数据,开展等级测评工作。应 用 和 数 据 安 全 测 评熟悉应用和数据库安全测评内容、要求和方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;能够按照报告编制要求整理测评数据,开展等级测评工作。安 全 管 理 和 物 理 测 评熟悉安全管理和物理测评内容、要求和方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;能够按照报告编制要求整理测评数据,开展等级测评工作。初级工 具 测 试 方 法 掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据。信 息 安 全 等 级 保 护 政 策 熟 悉 信 息 安 全 等 级 保 护 相 关 政 策 、 法 规 。等 级 保 护 相 关 标 准 应 用 正 确 理 解 信 息 安 全 等 级 保 护 标 准 体 系 和主 要 标 准 内 容 。信 息 系 统 安 全 等 级 保 护 基 本 要 求 熟悉标准结构,熟悉不同级别系统之间的差别、熟悉各级安全要求内容。中 级信 息 系 统 安 全 等 级 保 护 测 评 方 法 熟悉信息安全等级测评方法,能够独立开发测评指导书,并熟悉测评指导书的开发、

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育教学资料库 > 课件讲义

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。