
安全书籍:注册信息安全专业人员培训教材
注册信息安全专业人员培训教材
内容简介
本书是中国信息安全测评中心在十多年信息安全职业教育的基础上,结合我国关键信息基础设施安全保障需求,以信息安全保障为核心,按照信息系统生命周期各阶段的工作,划分并构建了信息安全保障、网络安全监管、信息安全管理、信息安全评估、安全工程与运营、业务连续性、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发十大知识域。基本覆盖了信息安全工作各个环节,帮助读者有效的形成信息安全保障工作的体系化思路,较好的避免了信息安全中“木桶效应”的出现。
作者简介
中国信息安全测评中心成立于1998年,依照国家法律法规和标准,在信息安全领域为国家提供技术保障,向社会提供公共服务。测评中心先后完成数千个国内外信息技术产品、主流软件和网络应用系统的安全检测和技术分析;承担国家信息安全专项检查任务数百项,形成对党政机关、国家关键基础设施以及大型央企进行风险评估的工作体系;为国内10万余人提供信息安全技能培训;对数千家信息安全企业进行资质测评与认定;与40余个行业、部委及地方政府签署《战略协作协议》,为其提供集安全检测、漏洞通告、保障咨询、外围监测、应急处置、技术支持于一体的信息安全综合保障服务。
朱胜涛,男,中国信息安全测评中心主任
温哲,男,中国信息安全测评中心、中国信息产业商会信息安全产业分会常务副理事长
前言
网络空间成为国家安全新的疆域已经得到广泛认可,在信息化社会中,没有信息安全就没有国家安全,而保障信息安全依靠的核心要素是人。习近平总书记在2016年4月19日召开的网络安全和信息化工作座谈会中明确提出:“网络空间的竞争,归根结底是人才竞争。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。”
《中华人民共和国网络安全法》实施以来,信息安全人才培养在不同的行业中都得到了高度的重视,行业、企业纷纷通过组织或者参加各类CTF比赛、联合高校定向培养及内部培训等多种方式培养信息安全人才。尽管如此,信息安全人才短缺问题始终是目前各组织机构在信息安全工作中的痛点。中国信息安全测评中心主办的2018年度《中国信息安全从业人员现状调查》活动中,“职业教育”已经取代“自我学习”成为信息安全人才能力成长的首选方式。中国信息安全测评中心依据中央赋予的职能,从2002年起面向社会提供“注册信息安全专业人员”(CISP)培训服务,十多年来共培养了数万名信息安全专业人才,成为我国批量、快速培养高素质信息安全人才的主要方式之一。为我国党政军机关、职能部门以及金融、交通、能源等行业、国有大型企业及信息安全企业填补了信息安全专业人才队伍缺口。
中国信息安全测评中心在十多年信息安全职业教育的基础上,全面考察了国际知名信息安全职业教育知识体系,结合我国关键信息基础设施安全保障需求,汇聚国内著名信息安全专家及CISP培训讲师,编撰了本书,作为CISP培训体系中CISE、CISO两个培训证书的培训教材。本次教材改版是在原版本《信息安全保障》和《信息安全技术》两本书的基础上进行全面的调整、修订而成,经过了一年的试用和多次完善。教材整体仍然以信息安全保障为核心,按照信息系统生命周期各阶段的工作,划分并重新构建了信息安全保障、网络安全监管、信息安全管理、信息安全评估、安全工程与运营、业务连续性、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发十大知识域。基本覆盖了信息安全工作各个环节,通过学习有效的形成信息安全保障工作的体系化思路,较好的避免了信息安全中“木桶效应”的出现。
本教材在编写的过程中得到了社会各界人士的关心与支持,许多信息安全专家、CISP培训讲师参与了教材的编写和审核工作,特此感谢!
感谢中国信息安全测评中心李斌、徐长醒、张涛、戴忠华、王嘉捷、任望、姚轶崭给予的指导。感谢樊山、廖勇、雷敏、贺新朋、程晓峰、陈长松、张洪璇、干露、杜廷龙、廖宇力、杨天识、王星、张文祺、王厚魁、张水宁等CISP培训讲师为此付出的努力。
教材中不妥或错误之处恳请广大读者批评指正。
目录
一、知识域:信息安全保障
1.1 知识子域:信息安全保障基础
1.2 知识子域:信息安全保障框架
二、知识域:网络安全监管
2.1 知识子域:网络安全法律体系建设
2.2 知识子域:国家网络安全政策
2.3 知识子域:网络安全道德准则
2.4 知识子域:信息安全标准
三、知识域:信息安全管理
3.1 知识子域:信息安全管理基础
3.2 知识子域:信息安全风险管理
3.3 知识子域:信息安全管理体系建设
3.4 知识子域:信息安全管理体系最佳实践
3.5 知识子域:信息安全管理体系度量
四、知识域:业务连续性
4.1 知识子域:业务连续性管理
4.2 知识子域:信息安全应急响应
4.3 知识子域:灾难备份与恢复
五、知识域:安全工程与运营
5.1知识子域:系统安全工程
5.2 知识子域:安全运营
5.3 知识子域:内容安全
5.4 知识子域:社会工程学与培训教育
六、知识域:信息安全评估
6.1 知识子域:安全评估基础
6.2 知识子域:安全评估实施
6.3 知识子域:信息系统审计
七、知识域:信息安全支撑技术
7.1 知识子域:密码学
7.2 知识子域:身份鉴别
7.3 知识子域:访问控制
八、知识域:物理与网络通信安全
8.1 知识子域:物理安全
8.2 知识子域:OSI模型
8.3知识子域:TCP/IP协议安全
8.4 知识子域:无线通信安全
8.5 知识子域:典型网络攻击及防范
8.6 知识子域:网络安全防护技术
九、知识域:计算环境安全
9.1 知识子域:操作系统安全
9.2.知识子域:信息收集与系统攻击
9.3 知识子域:恶意代码防护
9.4知识子域:应用安全
9.5 知识子域:数据安全
十、知识域:软件安全开发
10.1 知识子域:软件安全开发生命周期
10.2知识子域:软件安全需求及设计
10.3 知识子域:软件安全实现
10.4 知识子域:软件安全测试
10.5 知识子域:软件安全交付
英文缩略语
参考文献