【文章內容簡介】 ? 理解和掌握 OSI開放系統(tǒng)互聯(lián)安全體系結構同 TCP/IP的映射 ? KA（ 知識域）：信息技術安全性評估 ? 理解和掌握信息技術安全性評估準則發(fā)展的背景、歷史和關系； ? 理解和掌握可信計算機系統(tǒng)評估準則（ TCSEC）以及彩虹系列的內容和含義； ? 理解和掌握信息技術安全性評估主則（ CC）的內容和含義。 ? KA（知識域）：信息安全保障評估 ? 理解和掌握信息系統(tǒng)安全保障評估框架的內容和含義； ? 理解和掌握信息安全保障評估的各中測試評估的類別和含義（信息安全產品測試評估、信息系統(tǒng)安全測試評估、信息安全服務測試評估和信息安全人員測試評估） 信息技術安全評估標準的歷史和發(fā)展 1985 年美國國防部可信計算機評估準則（ TCS EC ）19 99 年GB 178 5 9計算機信息系統(tǒng)安全保護等級劃分準則年計算機信息系統(tǒng)安全保護等級劃分準則20 01 年GB/T 183 3 6信息技術安全性評估準則年信息技術安全性評估準則1991 年歐洲信息技術安全性評估準則（ ITSE C ）19 89 年 英國可信級別標準（ MEMO 3 DTI ）德國評估標準（ ZS EIC ）法國評估標準（ B W R BOOK ）19 93 年美國NIST 的MSFR1993 年加拿大可信計算機產品評估準則（ CTC EC ）1993 年美國聯(lián)邦準則（ FC ）國際 通用評估準則? 1996 年， CC ? 1 998 年， C C 2. 0? 1 999 年， C C 2. 11999 年國際標準ISO/ I EC 154 0 8信息安全保障模型 技術工程管理人員保障要素開發(fā)采購實施交付運行維護完整性可用性廢棄保密性安全特征計劃組織生命周期組成及與現(xiàn)有標準關系 信息系統(tǒng)和信息系統(tǒng)安全保障架構信息系統(tǒng)架構GB 183 36 id t. ISO/IEC 1540 8信息技術安全性評估準則IATF 信息保障技術框架將 GB 1 83 36 從產品和產品系統(tǒng)擴展到信息技術系統(tǒng)安全性評估技術保障（信息系統(tǒng)安全技術保障）信息系統(tǒng)安全保障評估框架B S 779 9, ISO/IEC 1779 9信息安全管理實踐準則其他相關標準、準則例如： ISO/IEC 154 43, COBIT 。信息安全管理和管理能力成熟度模型管理保障（信息系統(tǒng)安全管理保障）IS SE 信息系統(tǒng)安全工程SSE CMM系統(tǒng)安全工程能力成熟度模型工程保障（信息系統(tǒng)安全工程保障）安全工程過程和能力成熟度模型系統(tǒng)認證和認可標準和實踐例如：美國 DITS C A P, …中國信息安全產品測評認證中心相關文檔和系統(tǒng)測評認證實踐傳統(tǒng) CA 信息系統(tǒng)認證認可和實踐其他： ISO/IEC 197 91 ， NIST SP 。信息系統(tǒng)和信息系統(tǒng)安全保障架構信息系統(tǒng)和信息系統(tǒng)安全保障架構信息系統(tǒng)架構信息技術安全性評估準則信息技術安全性評估準則信息保障技術框架信息保障技術框架將 從產品和產品系統(tǒng)擴展到信息技術系統(tǒng)安全性評估技術保障（信息系統(tǒng)安全技術保障）技術保障（信息系統(tǒng)安全技術保障）信息安全管理實踐準則信息安全管理實踐準則其他相關標準、準則例如： 。其他相關標準、準則例如： 。信息安全管理和管理能力成熟度模型管理保障（信息系統(tǒng)安全管理保障）管理保障（信息系統(tǒng)安全管理保障）信息系統(tǒng)安全工程信息系統(tǒng)安全工程系統(tǒng)安全工程能力成熟度模型系統(tǒng)安全工程能力成熟度模型工程保障（信息系統(tǒng)安全工程保障）工程保障（信息系統(tǒng)安全工程保障）安全工程過程和能力成熟度模型系統(tǒng)認證和認可標準和實踐例如：美國 …系統(tǒng)認證和認可標準和實踐例如：美國 …中國信息安全產品測評認證中心相關文檔和系統(tǒng)測評認證實踐中國信息安全產品測評認證中心相關文檔和系統(tǒng)測評認證實踐信息系統(tǒng)認證認可和實踐其他： ，其他： ，信息系統(tǒng)安全保障級別評估說明 技術保障管理保障工程保障ISALTCML安全技術架構能力成熟度級M CML安全管理能力成熟度級TCML安全工程能力成熟度級XX 信息系統(tǒng)安全目標（ ISST ）XX 信息系統(tǒng)保護輪廓（ ISP P ）信息系統(tǒng)保障評估方法信息系統(tǒng)安全保障級信息系統(tǒng)安全保障評估ISP P評估ISST評估））知識體：信息安全模型 原理說明 模型 訪問控制模型 信息流模型 強制訪問控制模型 （ MAC） 自主訪問控制模型 （ DAC） 訪問矩陣模型 訪問控制列表 （ ACL） 權能列表 （ Capacity List） 實現(xiàn) 多級環(huán)境 多邊環(huán)境 靜態(tài) 動態(tài) BellLapudula 模型 Biba 模型 ClarkWilson 模型 Chinese Wall 模型 BMA 模型 保密性 完整性 基于角色訪問控制模型 （ RBAC） 知識域說明 PT：信息安全模型 ? PT（知識類）：信息安全模型 ? KA（知識域）：信息安全模型基礎 ? 理解信息安全模型同安全策略、安全控制之間的關系 ? 理解可信計算基和參考監(jiān)視器等的基本概念 ? 理解各種安全模型的分類和關系 ? KA（知識域）：訪問控制模型 ? 理解和掌握訪問控制模型的分類（ MAC/DAC/RBAC）關系和實現(xiàn)。 ? 理解不同訪問控制模型及實現(xiàn) CIA的關系 ? SA（知識子域）：自主訪問控制（ DAC） ? 理解自主訪問控制的含義； ? 理解訪問矩陣模型，理解和分析應用訪問矩陣模型的實現(xiàn)（訪問控制列表、權能列表） ? SA（知識子域）：強制訪問控制（ MAC） ? 理解強制訪問控制的分類和含義 ? 理解多級強制訪問控制模型： BellLapudula模型、 Biba模型和 ClarkWilson模型 ? 理解多邊強制訪問控制模型： Chinese Wall模型和 BMA模型 ? SA（知識子域）：基于角色訪問控制（ RBAC） ? 理解基于角色的訪問控制模型（ RBAC） ? KA（知識域）：其他安全模型 ? 理解理解信息流模型等其他安全模型概念及其關系 注冊信息安全專業(yè)人員（ CIS P ）知識體系結構信息安全技術 信息安全管理 信息安全工程信息安全體系模型 信息安全標準和法律法規(guī)信息安全管理概述應用安全系統(tǒng)安全電信和網絡安全物理安全訪問控制系統(tǒng)密碼技術和應用審計和監(jiān)控安全攻防技術應用安全系統(tǒng)安全電信和網絡物理安全訪問控制系統(tǒng)密碼技術和應用審計和監(jiān)控安全攻防技術組織保障人員管理風險評估業(yè)務持續(xù)性和災難恢復事件響應信息安全規(guī)劃應用和系統(tǒng)開發(fā)運行管理安全工程過程和實踐項目管理過程和實踐安全工程基礎知識類：信息安全技術 知識類 知識體 知識域 信息安全技術機制 信息和通信技術（ ICT）安全 信息安全實踐 知識類：信息安全技術 知識體系概述 信息安全技術 密碼技術及應用 訪問控制系統(tǒng) 審計和監(jiān)控 物理安全技術 電信和網絡安全 系統(tǒng)安全技術 應用安全技術 安全攻防模型 安全攻防實踐 知識體：信息安全技術機制 —— 知識域和知識子域說明 信息安全技術機制 知識體 知識域 知識子域 密碼技術基礎 密碼技術及應用 訪問控制系統(tǒng) 審計和監(jiān)控 密碼算法：私鑰算法 密碼算法：公鑰算法 密碼算法：單向函數(shù)和單向哈希算法 密鑰管理 密碼系統(tǒng)：數(shù)字簽名 密碼系統(tǒng)：公鑰基礎設施（ PKI） 密碼系統(tǒng)應用： IPSec/Web/電子郵件 /電子商務等 密碼技術的攻擊和防御 訪問控制管理 標識和鑒別（ IA） 訪問控制方法和實現(xiàn) 審計和監(jiān)控基本概念 入侵檢測和入侵防御系統(tǒng) 防火墻系統(tǒng) 知識域：密碼技術及應用 知識子域說明 ? SA：密碼技術基礎 ? 理解密碼技術的歷史和基本概念 ? 理解傳統(tǒng)密碼學（換位密碼、替換密碼、一次一密系統(tǒng)、序列密碼、分組密碼）的概念及其應用實例 ? 理解密碼分析和算法安全性概念 ? 理解密鑰管理和托管的概念和應用實例 ? SA：密碼算法：對稱（私鑰）算法 ? 理解對稱算法的基本概念 ? 理解常見的對稱算法（ DES、 3DES、 Blowfish、 IDEA、 RC系列和 AES等） ? SA：密碼算法：非對稱（公鑰）算法 ? 理解非對稱算法的基本概念 ? 理解常見的非對稱算法（ MH、 RSA、 ECC、 DH、 DSA、 Elgema等） ? SA：密碼算法：單向函數(shù)和單向哈希算法 ? 理解單向函數(shù)、單向哈希算法等基本概念 ? 理解常見的單向哈希算法（ MD系列、 HAVAL和 HMAC等） ? SA：密碼技術攻擊和防御 ? 理解密碼技術攻擊和防御的基本概念