信息安全管理应用技能培训和鉴定标准

信息安全管理应用技能培训和鉴定标准

2006-11-14

1、定义通过对网络安全相关软硬件的部署、配置，完成对网络信息系统的安全隐患检测、安全防护、安全管理、故障排除等的技能

2、适用对象需掌握计算机网络安全基础知识和网络安全保障技能，从事网络管理、系统管理、安全服务等工作的有关人员。

3、相应等级信息安全操作员：水平相当于中华人民共和国职业资格技能等级五级。具备信息安全防护意识，基本掌握电子邮件的安全应用，具有安全加固Windows操作系统，安装配置防病毒软件的能力。信息安全管理员：水平相当于中华人民共和国职业资格技能等级四级。基本掌握Windows操作系统的安全配置，具有对小型网络应用进行安全管理、安全加固，安装配置企业防病毒软件的能力。信息安全高级管理员：水平相当于中华人民共和国职业资格技能等级三级。熟练掌握Windows操作系统的安全配置，具有对中型网络应用进行安全管理，安装配置主流网络安全软、硬件产品的能力。信息安全管理师：水平相当于中华人民共和国职业资格技能等级二级。熟练掌握国际、国家信息安全标准，具有独立进行信息安全保障平台的规划、管理与维护的能力，掌握主流信息安全软硬件的安装、调试、优化配置、安全集成等技能。

4、培训期限信息安全操作员

短期强化培训20--30学时；信息安全管理员

短期强化培训40--60学时；信息安全高级管理员

短期强化培训60--80学时；信息安全管理师

短期强化培训80--120学时；

5、技能标准5.1信息安全操作员5.1.1知识要求掌握计算机操作系统基本知识掌握信息安全的基本概念掌握计算机病毒防范的基本知识掌握电子邮件安全的基本知识掌握安全访问互联网的基本知识

5.1.2技能要求具有识别常见攻击的能力具有对Windows系统进行安全加固的能力具有安全使用电子邮件软件与即时消息软件的能力具有安装配置桌面防病毒软件的能力具有安装配置桌面防火墙软件的能力

5.2信息安全管理员5.2.1知识要求掌握计算机网络基本知识掌握信息安全的基本概念掌握常用攻击模型与技术掌握主流网络安全技术的基本知识掌握Windows操作系统安全的基本知识掌握网络病毒防范的基本知识掌握网络安全管理的基本知识

5.2.2技能要求具有识别常见攻击方法的能力具有对Windows系统进行账号安全管理的能力具有对Windows系统进行资源安全管理的能力具有对IIS服务进行安全配置的能力具有部署和配置企业防病毒软件的能力。实际能力要求达到：能对Windows操作平台下的小型网络应用，进行操作系统加固并安装防病毒软件。

5.3信息安全高级管理员5.3.1知识要求掌握防火墙基本理论知识掌握防火墙体系结构掌握防火墙安全模型掌握防火墙的主要实现技术掌握入侵检测的概念和作用掌握入侵检测的模型、分类和工作模式掌握入侵检测的主要方法与技术掌握入侵检测系统的体系结构掌握入侵检测系统的评测和选择掌握VPN基本概念、原理与体系结构掌握VPN相关协议和特点掌握VPN标准和产品选购掌握数据存储技术的作用与意义掌握数据存储的主要实现技术与特点掌握数据备份技术的作用与意义掌握数据备份技术的类型与构成掌握灾难恢复技术的作用与意义掌握灾难恢复的策略与方法掌握典型数据库系统的数据备份与灾难恢复的方法掌握网络数据备份与灾难恢复技术

5.3.2技能要求具备防火墙产品的选型能力具备防火墙部署方案的制定与实施的能力具备主流防火墙系统的配置与使用的能力具备IDS产品的选型能力具备IDS部署方案的制定与实施的能力具备主流IDS系统的配置与使用的能力具备VPN部署方案的制定与实施的能力具备主流VPN系统的配置与使用的能力具备数据存储、数据备份和灾难恢复策略的能力具备制定和选择数据存储、数据备份和灾难恢复解决方案的能力具备部署和实施型数据库系统的数据备份与灾难恢复方案的能力

实际能力要求达到：具有对中型网络应用进行安全管理和方案制定，安装配置主流网络安全软、硬件产品的能力。

5.4信息安全管理师5.4.1知识要求掌握PKI的基本概念和理论基础；掌握密码学基础；掌握数字证书的基本概念；掌握典型的PKI系统部件；掌握CA、RA的概念和作用；掌握PKI系统的实际运作掌握交叉认证的作用和实现机制；掌握PKI技术标准掌握我国信息系统安全保护法律规范的基本原则和体系掌握主要的信息安全法律法规的基本原则和主要条款掌握GB-17859:1999计算机信息系统安全保护等级划分准则掌握ISO/IEC17799《信息安全管理标准》掌握信息安全策略的体系结构掌握各个策略的组成和所包含的具体内容掌握安全策略从制订到培训、实施的整个过程掌握安全响应系统的分类概念和划分标准信息安全响应团队的组织架构及实施安全响应团队管理部门的构建流程与管理方法安全响应团队技术部门的构建流程与管理方法安全响应团队内部和外部关系的管理与处理方法

5.4.2技能要求具备实施和应用PKI系统的能力具备遵循和依照安全法规实施安全管理工作的能力具备借鉴和应用安全标准实施安全规划的能力具备根据各安全策略体系，对信息系统、设计和实施安全策略的能力具备组建和维护信息安全响应团队、完成应急响应工作的能力

实际能力要求达到：熟练掌握国际、国家信息安全标准，具有独立进行信息安全保障平台的规划、管理与维护的能力，掌握主流信息安全软硬件的安装、调试、优化配置、安全集成等技能。

附加说明：本技能培训和鉴定标准经国家职业技能鉴定专家委员会计算机专业委员会审议通过，由劳动和社会保障部职业技能鉴定中心负责解释。

6、鉴定要求6.1申报条件考试面向全体社会劳动者；申请参加考核的人员，经过要求的培训后，根据本人能力和实际需要，可参加本模块设置的相应等级、平台的考试。6.2考评员构成考核应由经劳动和社会保障部职业技能鉴定中心注册的考评员组成的考评组主持，每场考试的考评组须由三名以上注册考评员组成，每位考评员在一场考试中最多监考、评判10名考生。6.3鉴定方式与鉴定时间鉴定方式：使用全国统一题库，按照操作要求，完成指定的考试题目；考试全部在计算机的相应操作系统和应用程序中完成，实际测试操作技能。鉴定时间：120分钟。

7、鉴定内容7.1信息安全操作员7.1.1信息系统与信息系统安全信息的概念信息系统的概念信息安全与信息系统安全的概念信息系统的脆弱性和缺陷针对信息系统的常见攻击方式信息安全防范的基本知识7.1.2操作系统安全入侵的一般步骤常见操作系统的安全等级加强密码的安全性与口令设置注册表概念、重要性注册表的安全管理操作系统常见漏洞安全策略及审计的概念Windows操作系统的安全配置7.1.3计算机病毒防范计算机病毒的概念与分类计算机病毒的生命周期与传播计算机病毒防范的一般措施养成自我防范病毒习惯安全配置防病毒软件7.1.4安全使用电子邮件电子邮件安全的概念电子邮件的安全隐患对电子邮件进行安全加密防御电子邮件炸弹防御电子邮件炸弹7.1.5安全使用即时消息系统即时消息系统安全的概念IP探测原理及防范消息炸弹原理及防范密码和本地消息破解木马植入原理及防范即时消息系统安全的一般措施7.1.6桌面防火墙桌面防火墙概念桌面防火墙的优点防火墙工作原理及设置桌面防火墙的典型应用7.1.7网络电子犯罪的基本类型及防范方法网络电子犯罪的基本类型网络电子犯罪的一般防范方法遏制计算机犯罪的相关法规

7.2信息安全管理员7.2.1计算机网络基础计算机网络的概念，分类和特点计算机网络的结构计算机网络的资源共享计算机网络体系结构7.2.2信息安全基础网络安全涉及哪些方面网络安全的定义安全隐患的产生网络面临的威胁网络中的风险7.2.3典型攻击模型与技术分析弱口令攻击缓冲区溢出攻击IP欺骗攻击DOS/DDOS攻击网络监听攻击7.2.4主流安全技术介绍加密技术认证技术防病毒防火墙入侵检测VPN物理隔离安全扫描与评估7.2.5Windows系统的账号安全用户帐户组SAM（安全账户管理器）登录系统7.2.6Windows系统的资源安全Windows支持的文件系统NTFS特点及安全性文件访问权限设置方法文件加密设置方法注册表安全NETBIOS安全7.2.7IIS服务安全配置设置边界防火墙；设置主机防火墙，实现双重保护；安装补丁；禁止不必要的服务；在系统卷之外的卷建立Web根目录；控制IUSR和IWAM的权限；禁止一切不必要的映射；关闭父路径功能；删除IISADMPWD虚拟目录；0尽量避免IIS服务器的远程管理，并关闭此功能；1考虑安装ISAPI过滤器；2不要在ASP文件中放置敏感信息；3将.inc文件扩展名改为.asp。7.2.8病毒防范基础与部署计算机病毒传播主要途径计算机病毒的特点计算机病毒检测方法计算机病毒主要类型计算机病毒的发展趋势防病毒措施防病毒软件部署

7.3信息安全高级管理员7.3.1防火墙理论防火墙概论1防火墙定义2防火墙的优点3防火墙的弱点防火墙的基本结构1屏蔽路由器2双宿主机防火墙3屏蔽主机防火墙4屏蔽子网防火墙5其他的防火墙结构6典型的防火墙结构防火墙的模型与分类1防火墙的模型2防火墙的分类3各类防火墙的优缺点包过滤技术1包过滤原理2包过滤模型3包过滤技术4包过滤技术优缺点网络地址翻译技术1NAT相关术语2静态网络地址翻译技术3动态网络地址翻译技术4网络地址翻译技术实现负载均衡5网络地址翻译技术处理网络地址交迭6网络地址翻译技术优缺点网络代理技术1应用层代理2应用层代理技术的优缺点分析3电路级代理防火墙产品选型的原则和具体标准7.3.2防火墙使用与配置防火墙配置概述CiscoIOS防火墙特征集配置CiscoIOS防火墙包过滤功能1配置访问控制列表2翻转掩码（wildcardbits）3配置标准访问控制列表4配置扩展访问控制列表5配置标识访问控制列表6配置动态访问控制列表7配置反射访问控制列表8访问控制列表配置要点CiscoIOS防火墙NAT配置1静态NAT配置2动态NAT配置3负载均衡配置4网络地址交迭配置基于Linux的防火墙Iptables原理和配置1IPtables原理2IPtables命令参数3IPtables的扩展4构建IPtables防火墙

Iptables防火墙的配置1默认策略的制定2包过滤配置实例3NAT的配置4DMZ区的配置5其他配置7.3.3入侵检测技术理论入侵检测的概念和作用入侵检测的模型、分类和工作模式1通用入侵检测模型2IDM模型3SNMP-IDSM模型入侵检测的主要方法与技术1误用检测2异常检测3可代替的检测方案入侵检测系统的体系结构入侵检测系统的评测和选择1评价入侵检测系统性能的标准2网络入侵检测系统测试评估3测试评估内容4测试环境和测试软件5用户评估标准7.3.4入侵检测产品的使用Snort的安装与配置1底层库的安装与配置2Snort的安装3Snort的配置4其他应用支撑的安装与配置Snort的使用1Libpcap的命令行2Snort的命令行3高性能的配置方式7.3.5VPN理论VPN基础1什么是VPN2VPN的工作原理3VPN的特点4VPN的体系结构5VPN的应用领域6VPN的应用平台7VPN的基本功能特征VPN的实现技术1实现VPN的隧道技术2实现VPN的隧道协议3实现VPN的加密技术7.3.6构建VPN的方案构建VPN的标准AccessVPN方案IntranetVPN方案ExtranetVPN方案VPN的构建步骤7.3.7数据备份与恢复理论数据存储的作用与意义1网络数据安全的重要性2我国数据存储备份的现状3数据被破坏的原因4数据存储的意义数据存储技术的现状1SNA的互操作性问题2数据存储标准之争的问题3基于纯IP的存储方案存储优化设计1直接连接存储（DirectAttachedStorage，DAS）2网络连接存储（NetworkAttachedStorage，NAS）3存储区域网络（StorageAreaNetwork，SAN）存储保护设计1磁盘阵列2双机容错和集群3存储备份存储管理设计1文件和卷管理2复制3SNA管理数据存储技术展望1基于IBA的SAN体系结构2数据存储技术的发展预测3数据存储技术的服务器体系结构的发展趋势4数据存储技术的发展变化趋势数据备份技术1数据备份的作用与意义2数据备份定义3数据备份的类型4数据备份系统的基本构成灾难恢复技术1灾难恢复的作用与意义2灾难恢复的定义3灾难恢复策略4灾前措施5灾难恢复计划6灾难恢复计划的测试和维护7紧急事件数据备份与灾难恢复策略1备份策略的含义2备份策略的分类3备份策略的规划4制订备份策略应考虑的问题5灾难恢复策略的规划0网络数据备份技术1网络数据备份的意义与目标2网络数据备份的需求分析3网络数据备份的实现4远程数据备份7.3.8数据备份与灾难恢复解决方案常用数据备份工具1VERITAS公司产品2LegatoNetWorker3CAARCserve20004SymantecGhost5PowerQuestDriveImage6其他数据备份软件常用灾难恢复工具简介1FinalData简介2EasyRecovery简介MSSQLServer数据库1数据备份2数据恢复网络数据备份常用技术介绍1SQL技术上的实现2Informix技术上的实现数据备份的方案实施1备份方式2备份策略

7.4信息安全管理师7.4.1PKI理论绪论1什么是PKI2为什么需要PKI3PKI的理论基础4PKI技术发展现状及趋势5PKI体系现存问题密码和密钥1密码学基础2对称密钥密码3非对称密钥和密码4Hash算法5使用公钥算法的加密与数字签名6密钥管理数字证书和目录服务1数字证书概述2证书验证3目录服务PKI及其构件1CA、RA、与EE2PKI运作3CA的体系结构4RA的体系结构5PMIPKI系统实际运作1交叉队伍2CPS3PKI的构建7.4.2PKI应用及案例PKI应用1Web安全2安全电子邮件3VPNPKI案例1电子税务2网上银行3网上证券成熟PKI系统简介1商业应用2政府应用7.4.3信息安全法规概述1概念与特征2信息系统安全保护的法律关系3信息系统安全保护法律规范的基本原则我国信息系统安全保护法律规范的体系结构1我国信息系统安全保护法律规范的体系2信息系统安全保护法律规范的法律地位信息系统安全保护条例1《条例》的宗旨和特点2《条例》的适用范围3《条例》的主要内容中华人民共和国信息网络国际联网管理暂行规定实施办法1《信息网络国际联网暂行标准》的目的和意义2国际联网的相关定义3与信息安全管理相关的条款4处罚有害数据及计算机病毒防治管理1有害数据的定义2计算机病毒防治管理办法3传播，制造有害数据及病毒违法行为的查处7.4.4信息安全标准计算机信息系统安全保护等级划分简介1GB-17859:19992GA/T390-20023GA/T388-20024GA/T389-20025GA/T387-20026GA/T391-200第一级用户自主保护级1概念2通用技术要求3管理要求4操作系统技术要求5网络技术要求6数据库技术要求第二级系统审计保护级1概念2通用技术要求3管理要求4操作系统技术要求5网络技术要求6数据库技术要求第三级安全标记保护级1概念2通用技术要求3管理要求4操作系统技术要求5网络技术要求6数据库技术要求第四级结构化保护级1概念2通用技术要求3管理要求4操作系统技术要求5网络技术要求6数据库技术要求第五级访问验证保护级1概念2通用技术要求3管理要求4操作系统技术要求5网络技术要求6数据库技术要求其他计算机信息安全标准1GA-163:1977计算机信息系统安全专用产品分类原则2GB9361-88计算站场地安全要求3GJB2646-96军用计算机安全评估准则ISO/IEC177991ISO/IEC177992有关概念3安全策略4组织和安全5资产分类和管理6人员安全7物理的和环境的安全8通信和运营管理9访问控制10网络访问控制11系统的开发和维护12业务连续性管理13符合性7.4.5信息安全管理遵循和依照安全法规实施安全管理借鉴和应用安全标准实施安全规划7.4.6信息安全策略与机制信息系统与安全策略概述1信息系统的安全管理2企业策略从制订到实施的过程3信息安去策略概述4制订信息系统安全策略的构想信息系统安全策略规划1确定安全策略保护的对象2确定安全策略中所使用的主要技术风险预测与风险评估1制订安全策略前要考虑的问题2企业网络安全与风险评估3风险评估的方法数据访问控制安全策略1数据访问控制的概念2数据访问控制策略的制订过程3