CISP 信息安全工程

CISP-18-信息安全工程

中国信息安全测评中心

2009年12月

知识体系介绍

项目实施、管 理与实践

安全工

程基础

知识体

知识域

安全工程模 型与标准

知识类

信息安全工程

信息安全工程监理与实践

信息安全工程项目实施与管理 系统工程基础

质量管理基础 ISSE 信息系统安全工程

系统安全能力成熟度模型SSE-CMM 能力成熟度模型基础 项目管理基础 信息系统安全保障评估框架-工程保障部分

学习目标

§了解系统工程、质量管理、能力成熟度模型和 项目管理基本概念

§可以用“信息系统安全工程”（ISSE）的方法考 虑信息安全工程的实施

§理解并运用“信息安全工程能力成熟度模型” （SSE-CMM）指导信息安全工程的实施

§掌握IT项目管理中的重要安全措施和实践方法 §理解信息安全工程监理的概念、意义和实践方 法

一、信息安全工程基础

一．系统工程基础 二．质量管理基础 三．项目管理基础 四．能力成熟度模型基础

§钱学森：“系统工程是组织管理系统规划、研究、制 造、试验、使用的科学方法，使一种对所有系统都具 有普遍意义的科学方法”

? 以人参与系统为研究对象

? 根据系统的目的和总体发展要求

? 应用自然科学和社会科学的思想、理论、方法和手段

? 对系统功能和构成要素、结构、信息、控制进行分析与综合 ? 最终达到系统的圆满实现

§系统工程不是基本理论，也不属于技术实现，而是一 种方法论

§系统工程具有以下特点：

? 系统工程不同于一般的工程技术学科，如水利工程、机械工 程等“硬”工程；系统工程偏重于工程的组织与经营管理一类

“软”科学的研究。

? 系统工程涉及各种学科、各个领域的各种内容，因此它是跨 越不同学科的综合性科学。

? 以整体的、综合的、关联的、科学的、实践的观点来看待研 究对象

? 在解决一个具体项目时，它要求把项目或过程分成几大步

骤，而每个步骤又按一定的程序展开。这就保证了系统思想 在每个部分、每个环节上体现出来。

? 任何系统都是人、设备和过程的有机组合，其中人是最主要 的因素。因此在应用系统工程的方法处理系统问题时，要以 人为中心。

§质量

? 质量指产品或服务，满足规定或需要的特征。它既包括有形 产品也包括无形产品；既包括产品内在的特性、也包括产品 外在的特性。即包括了产品的适用性和符合性的全部内涵。 §质量控制（QC）

? 是对生产的全部过程加以控制，是面的控制，不是点的控

制。为保证产品过程或服务质量，必须采取一系列的作业、 技术、组织、管理等有关活动，这些都属于质量控制的范畴 §质量管理（QM）

? 它指对确定和达到质量所必须的职能和活动的管理，其管理 职能主要是负责质量方针政策的制订和实施等

§ ISO9000族标准并不是产品的技术标准，而是针对组织的管理 结构、人员、技术能力、各项规章制度、技术文件和内部监督 机制等一系列体现组织保证产品及服务质量的管理措施的标 准。

§具体地讲ISO9000族标准就是在以下四个方面规范质量管 理：

? 1.机构：标准明确规定了为保证产品质量而必须建立的 管理机构及职责权限。

? 2.程序：组织的产品生产必须制定规章制度、技术标

准、质量手册、质量体系、操作检查程序，并使之文件化。

? 3.过程：质量控制是对生产的全部过程加以控制，是面 的控制，不是点的控制。从根据市场调研确定产品、设计产 品、采购原材料，到生产、检验、包装和储运等，其全过程 按程序要求控制质量。并要求过程具有标识性、监督性、可 追溯性。

? 4.总结：不断地总结、评价质量管理体系，不断地改进 质量管理体系，使质量管理呈螺旋式上升。

§所谓项目管理，就是项目的管理者，在有限的 资源约束下，运用系统的观点、方法和理论， 对项目涉及的全部工作进行有效地管理。即从 项目的投资决策开始到项目结束的全过程进行 计划、组织、指挥、协调、控制和评价，以实 现项目的目标。

§项目管理的要素：

? 质量

? 进度

? 成本

能力成熟度模型基础

§ CMM – Capability Maturity Model

? 现代统计过程控制理论表明通过强调生产过程的高 质量和在过程中组织实施的成熟性可以低成本地生 产出高质量产品；

? 所有成功企业的共同特点是都具有一组严格定义、 管理完善、可测可控从而高度有效的业务过程；

? CMM模型抽取了这样一组好的工程实践并定义了过 程的“能力”；

能力成熟度模型

§ 过程能力方案：

? 单个过程域或一系列过程域 ? 组织机构可以灵活选择改进哪 个过程域和改进至什么程度

§ 组织机构成熟度方案

? 跨组织机构的一系列已建立的过 程域

? 提供预定义的路线图，组织机构 基于已验证的过程组和顺序进行 改进

Staged

ML 1

ML2 ML3 ML4 ML5 Continuous

PA

PA

过程域能力

0 1 2 3 4 5

PA

能力级别和成熟度级别

成熟度级别

能力级别

Managed Managed 2 Optimizing

Optimizing

5

Quantitatively Managed

Quantitatively Managed

4 Defined

Defined

3 Initial Performed 1 N/A Incomplete 0 Staged Continuous

常用的CMM模型

Software CMM staged software development System Engineering CMM continuous system engineering System Engineering Capability Model continuous system engineering Software Acquisition CMM staged software acquisition System Security Engineering CMM continuous security engineering Personal Software Process staged individual software

development

FAA-iCMM continuous software engineering,

systems engineering, and

acquisition

IPD-CMM hybrid integrated product

development

People CMM staged workforce

SPICE Model continuous software development

标准背景

MIL-STD- DOD- DOD- IEEE/EIA ISO/IEC J-STD- DOD- Six ISO 9000 RTCA ISO/IEC EIA/IS IEEE EIA/I IPD- ISO SA- FAA- SSE-

MIL- ISO/IEC

21827 498

STD- 2167A

STD- 7935A

12207

12207

ISO/IEC 15288*

016

STD- 2168

Sigma

PSM

系列

DO-178B

15504

SDCE

SCE

CBA IPI

SCAMPI

SAM Q9000

TL9000

Bald rige

EIA 632

632

1220

S 731

SEC AM

SE-CMM

CMM*

15939*

CMM

iCMM#

CMM

SW-CMM

People CMM

PSP

TSP

CMMI

STD 499B*

FAM**

21827

过程标准 质量标准

成熟度或能力模型 评估方法 指南

字体倾斜：过时

有边框：综合

替代 基于 使用/参考 PMBoK

ECSS-E-10

能力成熟模型应用范畴

CMM 能力成熟模型

SW-CMM 软件能力成熟模型

SE-CMM

系统工程能力成熟模型

SSE-CMM

信息系统安全工程能力成熟模型

SSAM

信息系统安全工程能力成熟性模型

评估方法

评定

软件工程

汽车、照相机、 手表和钢铁业

安全工程

。。。。。。 。。。。。。

二、ISSE信息系统安全工程

SE-系统工程过程

DISCOVER NEEDS DEFINE SYSTEM REQUIREMENTS DESIGN

SYSTEM ARCHITECTURE DEVELOP DETAILED DESIGN

IMPLEMENT SYSTEM

发掘需 求

定义系 统要求

定义系 统体系 结构

开发详 细设计

实现系 统

用户/用户代表

评估有效性

系统安全工程（SSE）

§ System Security Engineering?

§是系统工程的一个子集，遵从系统工程的思想，包括 一般性原则和规律；

§系统安全工程的主要目标是：

? 了解企业现存的安全风险；

? 根据已识别的安全风险建立一组平衡的安全需求；

? 综合各种工程学科的努力将安全需求转化为贯穿系统生命周 期的工程实施指南；

? 通过正确有效的安全机制来保证安全系统的信任度达到组织 的要求；

? 确保系统的残余风险在可容许的范围之内；

§涉及众多层面的安全问题，与其他工程密切相关，如 软件工程等；

系统生命周期中的ISSE

SA

系统采购

SE

系统工程

SSE

ISSE 任务需求的确定 概念研究和

确定

演示和确

认

设计和制

造

产品/部署和运

行/支持

确定安全能力需

求

分析安全要求和

研究安全概念

设计系统安

全体系结构

实现安全设计

并进行系统安

全测试

实施安全操

作和生命周

期支持

MS0 MS1 MS2

MS3

确定任务能

力要求

研究配选的系

统概念

系统设计规

范

设计、制造、集

成和测试

系统运行和生

命周期支持

使命需求明细

（MNS）

候选系统评审

（ASR）

系统要求评

审（SRR

SFR）

基本设计评审、关键

设计评审、系统验证

评审（PDR、CDR

、SVR）

物理配置评

审

（PCA）

专业简介 本专业是计算机、通信、数学、物理、法律、管理等学科的交叉学科,主要研究确保信息安全的科学与技术。培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。信息安全的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。目前国内已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了我国信息安全产业的雏形,但由于国内专门从事信息安全工作技术人才严重短缺,阻碍了我国信息安全事业的发展。信息安全专业是十分具有发展前途的专业。 专业培养目标 本专业是培养拥护党的基本路线,适应我国全面建设小康社会实际需要的,在生产、建设、服务和管理第一线需要的。具有必要的基础理论知识,具备信息安全必要的基本理论、基本知识、基本技能及综合应用能力;熟悉国家信息安全管理的政策和法律法规;了解信息安全的发展动向;具备对计算机网络及信息安全工程进行设计,实施及管理的能力;具有良好的职业道德,敬业与创新精神的高素质技能型人才。 课程设置 在校期间,不仅强调学生对基础知识的掌握,更强调对其专业素质和能力的培养。学生除学习理工专业公共基础课外,学习的专业基础和专业课主要有:高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。

信息安全技术信息系统安全工程管理要求 1 范围 本标准规定了信息安全工程（以下简称安全工程）的管理要求，是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件，各方可以此为依据建立安全工程管理体系。 本标准按照GB17859-1999划分的五个安全保护等级，规定了信息安全工程的不同要求。 本标准适用于该系统的需求方和实施方的工程管理，其他有关各方也可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。使用本标准的各方应探讨使用下列标准最新版本的可能性。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 20269-2006 信息安全等级保护信息系统安全通用技术要求 GB/T 20271-2006 信息安全等级保护信息系统安全管理要求 3 术语和定义 下列术语和定义适用于本标准。 3.1 安全工程security engineering 为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。 3.2 安全工程的生存周期security engineering lifecycle 在整个信息系统生存周期中执行的安全工程活动包括：概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。 3.3 安全工程指南security engineering guide 由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。

1.关于微软的SDL 原则，弃用不安全的函数属于哪个阶段?（） A、规划 B、设计 C、实现 D、测试 答案：C 2.优秀源代码审核工具具有哪些特点() ①安全性②多平台性③可扩展性④知识性⑤集成性 A.①②③④⑤ B.②③④ C.①②③④ D.②③ 答案：A 3. 信息安全风险管理过程的模型如图所示。按照流程，请问，信息安全风险管理包括（）六个方面的内容。( )是信息安全风险管理的四个基本步骤，( )则贯穿于这四个基本步骤中。 A.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询；背景建 立、风险评估、风险处理和批准监督；监控审查和沟通咨询

B.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询；背景建立、风险评估、风险处理和监控审查；批准监督和沟通咨询 C.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询；背景建立、风险评估、风险处理和沟通咨询；监控审查和批准监督 D.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询；背景建立、风险评估、监控审查和批准监督；风险处理和沟通咨询 答案：A 4.信息安全风险评估是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程，下列选项中不属于风险评估要素的是()。 A.资产 B.跪弱性 C.威胁 D.安全需求 答案：D 5.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中就应该采用自主访问控制还是强制访问控创产生了分歧。小本认为应该采用自主访问控制的方法，他的观点主要有；(1)自主访向控制方式，可为用户提供灵活、可调整的安全策略，合法用户可以修改任一文件的存取控制信息；(2)自主访问控制可以抵御木马程序的攻击。小刘认为应该采用强制访问控制的方法，他的观点主要有；(3)强制访问控制中，只有文件的拥有者可以修改文件的安全属性，因此安全性较高；(4)强制访问控制能够保护敏感信息。以上四个观点中，只有一个观点是正确的，它是( ). A.观点(1) B.观点(2) C.观点(3)

一、信息安全大事件 【斯诺登事件】 棱镜计划（PRISM）是一项由美国国家安全局（NSA）自2007年小布什时期起开始实施的绝密电子监听计划，该计划的正式名号为“US-984XN”。美国情报机构一直在九家美国互联网公司中进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节，其中包括两个秘密监视项目，一是监视、监听民众电话的通话记录，二是监视民众的网络活动。2013年7月1日晚，维基解密网站披露，美国“棱镜门”事件泄密者爱德华·斯诺登(Edward Snowden)在向厄瓜多尔和冰岛申请庇护后，又向19个国家寻求政治庇护。从欧洲到拉美，从传统盟友到合作伙伴，从国家元首通话到日常会议记录；美国惊人规模的海外监听计划在前中情局雇员爱德华·斯诺登的揭露下，有引发美国外交地震的趋势。 【国家安全委员会成立】 中央国家安全委员会（National Security Commission of the Communist Party of China），俗称“中央国安委”、“国安委”，全称为“中国共产党中央国家安全委员会”，是中国共产党中央委员会下属机构。经中国共产党第十八届中央委员会第三次全体会议决定，于2013年11月12日正式成立。 中央国家安全委员会由中共中央总书记习近平任主席，国务院总理李克强、全国人大委员长张德江任副主席，下设常务委员和委员若干名。中央国家安全委员会作为中共中央关于国家安全工作的决策和议事协调机构，向中央政治局、中央政治局常务委员会负责，统筹协调涉及国家安全的重大事项和重要工作。 【中央网络安全和信息化领导小组成立】

信息安全专业简介 随着计算机技术与网络通信技术的广泛应用，社会对计算机的依赖越来越大，而计算机系统的安全一旦受到破坏，不仅会导致严重的社会混乱，也会带来巨大的经济损失。因此，信息安全已成为信息科学的热点课题，信息安全专业也受到了社会各界的普遍关注。 信息安全学科是由数学、计算机科学与技术、信息与通信工程和电子科学与技术等学科交叉而成的一门综合性学科。目前主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全等。 信息安全专业的主干学科为：计算机科学与技术、信息与通信工程、电子科学与技术、数学。相关学科专业包括：计算机科学与技术(080605) 、电子信息科学与技术(071201)、电子信息工程(080603) 、通信工程(080604)等。 信息安全专业的主干课程包括信息安全数学基础、计算机组成原理、操作系统原理、数据库系统原理、计算机网络、数字系统与逻辑设计、通信原理、现代密码学、信息安全理论与技术、信息安全工程、信息安全管理、信息安全标准与法律法规等。 目前信息安全方面的人才还十分稀少，尤其是政府、国防、金融、公安和商业等部门对信息安全人才的需求很大。目前国内从事信息安全的专业人才人数并不多，并且大多分布在高校和研究院所，按照目前信息化发展的状况，社会对信息安全专业的人才需求量达几十万人。要解决供需矛盾，必须加快信息安全人才的培养。 信息安全专业培养具有扎实的数理基础，较好的外语和计算机技术运用能力，掌握信息安全的基本理论与技术、计算机与网络通信及其安全技术以及信息安全法律法规等方面的知识，能运用所学知识与技能去分析和解决相关的实际问题，具有较高的综合业务素质、较强的实践、创新与知识更新能力，可以在政府、国防、金融、公安和商业等部门从事信息安全产品研发、信息系统安全分析与设计、信息安全技术咨询与评估服务、信息安全教育、信息安全管理与执法等工作的高级专业人才。

CISP信息安全管理章节练习一 一、单选题。(共100题,共100分,每题1分) 1. 小李去参加单位组织的信息安全培训后，他把自己对信息安全管理体系（Information Security Management System, ISMS）的理解画了以下一张图，但是他还存在一个空白处未填写，请帮他选择一个最合适的选项（）。 a、监控和反馈ISMS b、批准和监督ISMS c、监视和评审ISMS d、沟通和资询ISMS 最佳答案是:c 2. 在对安全控制进行分析时，下面哪个描述是不准确的？ a、对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的 b、应确保选择对业务效率影响最小的安全措施 c、选择好实施安全控制的时机和位置，提高安全控制的有效性 d、仔细评价引入的安全控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应最佳答案是:b 3. 以下哪一项不是信息安全管理工作必须遵循的原则？ a、风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中 b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作 c、由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低 d、在系统正式运行后，应注重残余风险的管理，以提高快速反应能力 最佳答案是:c 4. 对信息安全风险评估要素理解正确的是： a、资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构 b、应针对构成信息系统的每个资产做风险评价 c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项 d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 最佳答案是:a 5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容： a、出入的原因 b、出入的时间 c、出入口的位置 d、是否成功进入 最佳答案是:a 6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述，以下哪一项不是信息安全策略文档中必须包含的内容：

信息安全专业课程有哪些_高考升学网当前位置：正文 信息安全专业课程有哪些 更新：2019-05-20 17:35:21 信息安全专业介绍信息安全专业每个学校设置的课程罗有不同，但都是大同小异。 信息安全学习课程高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等数据通信原理、信息安全概论、计算机网络安全管理、数字鉴别及认证系统、网络安全检测与防范技术、防火墙技术、病毒机制与防护技术、网络安全协议与标准等。

信息安全培养目标与要求本专业培养培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。 本专业学生主要学习信息安全的科学与技术的基本理论和基本知识，接受从事研究与信息安全的基本训练，具有一般与信息安全相关的分析设计和解决实际问题的能力。 信息安全必备能力1.防火墙，建立企业网络的第一道安全屏障； 2.入侵检测系统，有效抵御外来入侵事件，并监控网络内部非法行为； 3.安全评估分析工具，对用户环境进行基于安全策略的审计分析，及时发现安全隐患； 4.防毒系统，清除病毒危害并预防病毒事件，实现防毒的完全智能化； 5.服务器防护系统，保护企业重要服务器的数据安全性；

6.部署及维护企业信息化管理（OA、Exchange）系统、UNIX系统等； 7.专业的数据备份、还原系统，保护企业用户最关键的数据和资源；8.能够能利用各级别的企业核心路由器、交换机及各种操作系统（Linux、Windows）、数据库产品（SQL SERVER、Oracle）等、安全的域环境设计，根据不同业务需求的不同性，制定严格的安全策略及人员安全要求。

注册信息安全专业人员（CISP） 随着信息技术的迅速发展和广泛应用，网络安全威胁向经济社会的各个方面渗透，成为国家安全的重要组成部分。2017年6月1日《中华人民共和国网络安全法》正式施行，保障网络安全对我国网络安全有着重大意义。 CISP即“注册信息安全专业人员”，系国家对信息安全人员资质的最高认可。英文为Certified Information Security Professional (简称CISP)，CISP系经中国信息安全产品测评认证中心（已改名中国信息安全测评中心）实施国家认证。CISP是强制培训的。如果想参加CISP考试，必须要求出具授权培训机构的培训合格证明。 一、企业所需 注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全测评中心实施注册。 二、个人所需

CISP作为目前国内最权威的信息安全认证，将会使您的个人职业生涯稳步提升，同时，CISP也是国内拥有会员数最多的信息安全认证，你可以通过CISP之家俱乐部与行业精英交流分享，提高个人信息安全保障水平。 三、适用人群 包括在国家信息安全测评机构、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员、企业信息安全主管、信息安全服务提供商、IT或安全顾问人员、IT审计人员、信息安全类讲师或培训人员、信息安全事件调查人员、其他从事与信息安全相关工作的人员（如系统管理员、程序员等） 1、CISE（注册信息安全工程师）： 适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员 2、CISO（注册信息安全管理人员）： 适合政府、各大企事业单位的网络安全管理人员，也适合网络安全集成服务提供商的网络安全顾问人员 四、认证要求 1、注册要求 1.教育与工作经历

现代信息安全技术发展历程简介 030095** *** 摘要： 随着信息化建设步伐的加快，人们对信息安全的关注越来越高。信息安全技术的内涵也越来越广，从主机的安全技术发展到网络体系结构的安全，从单一层次的安全发展到多层次的立体安全。信息安全不仅关系到个人，企事业单位，还关系到国家安全。回顾信息安全技术的发展历史，必将给予我们启示和思考。关键字： 信息安全技术应用发展历史安全危机中国 引言： 在研学讲座中，宋宇波教授以形象生动的语言向我们讲述了“什么是信息安全”、“信息安全都包括那些内容”，并就一些“数字签名”“身份认证”、“主动攻击、被动攻击”等专业术语进行了解释。同时，自开学以来，自己也在备考计算机网络技术的等级考试，在备考当中也了解一些关于网络安全的知识，并阅读了一些关于网络安全发展的书籍，对信息安全技术的应用有了初步了解。 一、信息安全危机的出现 信息安全的概念的出现远远早于计算机的诞生，但计算机的出现，尤其是网络出现以后，信息安全变得更加复杂，更加“隐形”了。现代信息安全区别于传统意义上的信息介质安全，一般指电子信息的安全。 从1936年英国数学家A . M .Turing发明图灵机，到1942年世界上第一台电子计算机ABC研制成功，再到1945年现代计算机之父，冯·诺依曼第一次提出存储程序计算机的概念，以及后来的第一条跨越大西洋的电话电缆敷设完成。这些都为网络技术的发展奠定了基础。 20世纪80年代开始，互联网技术飞速发展，然而互联网威胁也随之而来。世界上公认的第一个在个人电脑上广泛流行的病毒于1986年初诞生，被命名为大脑(C-Brain)。编写该病毒的是一对巴基斯坦兄弟，两兄弟经营着一家电脑公司，

江苏大学信息安全专业介绍 信息安全 培养目标：本专业旨在培养具有较扎实的数理基础、较好的外语和计算机技术运用能力，良好的知识结构，较高的综合业务素质，较强的创新精神与实践能力，能独立从事有关信息安全工作的高级工程技术人才。 培养特色：该专业是计算机、通信、数学等领域的交叉学科，主要研究信息保障的有关科学和技术。本专业从我校工科特色出发，有机融合计算机应用、通信与信息系统等学科，通过培养，使学生掌握安全策略规划的原理与方法，具有安全工程管理与维护的能力；具有一定的安全数据库和安全信息系统的设计与开发的能力；掌握基本的嵌入式安全产品设计与开发的原理与过程，并具有初步的研发能力。 主要课程：信息论与编码、信息安全数学、信息安全技术基础、密码学原理与技术、安全协议及其应用、网络与系统安全、信息对抗技术、协议形式化分析、计算机病毒概论、信息隐藏与伪装技术、入侵检测技术、软件可生存性、系统安全性分析与评估、信息安全解决方案、安全操作系统、安全数据库、无线通信安全、信息系统安全管理与服务。 深造机会：该专业所在学科在我校设有计算机应用博士点，设有计算机应用、计算机软件、计算机系统结构、通信与信息系统等硕士点，为本专业学生进一步深造创造了条件。 就业状况及趋势：本专业是国家重点发展的新兴交叉学科，是本世纪初才设立的专业，我校于2004年首批招生，2008年首批毕业生的就业率达100％。本专业与政府、国防、金融、制造、商业等部门和行业密切相关，具有广阔的发展前景。毕业生可在计算机、通信、电子信息、电子商务、电子金融、电子政务等领域，在政府、金融、商业、企业等部门，从事信息安全产品研发、信息系统安全分析与设计、信息安全技术咨询服务、信息安全教育、信息安全管理的科研、教学、管理、开发等工作，也可报考计算机或通信与信息系统专业的研究生继续深造。

CISP信息安全技术章节练习一 一、单选题。(共100题,共100分,每题1分) 1. 安全的运行环境是软件安全的基础，操作系统安全配置是确保运行环境安全必不可少的工作，某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作，其中哪项设置不利于提高运行环境安全? a、操作系统安装完成后安装最新的安全补丁，确保操作系统不存在可被利用的安全漏洞 b、为了方便进行数据备份，安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘 c、操作系统上部署防病毒软件，以对抗病毒的威胁 d、将默认的管理员账号Administrator改名，降低口令暴力破解攻击的发生可能 最佳答案是:b 2. 对于抽样而言,以下哪项是正确的? a、抽样一般运用于与不成文或无形的控制相关联的总体 b、如果内部控制健全,置信系统可以取的较低 c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样 d、变量抽样是估计给定控制或相关控制集合发生率的技术 最佳答案是:b 3. 以下关于账户策略中密码策略中各项作用说明，哪个是错误的： a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令 b、“密码长度最小值”是强制用户使用一定长度以上的密码 c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码 d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换 最佳答案是:c 4. 如图所示，主体S对客体01有读（R）权限，对客体O2有读（R）、写（W）、拥有（Own）权限。该图所表示的访问控制实现方法是： a、访问控制表（ACL) b、访问控制矩阵 c、能力表（CL） d、前缀表（Profiles）最佳答案是:c 5. 关于数据库恢复技术，下列说法不正确的是： a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决，当数据库中数

信息安全工程师每日一练（2016/10/28） 第1题：关于入侵检测系统（IDS），下面说法不正确的是（）。 A、IDS的主要功能是对计算机和网络资源上的恶意使用行为进行识别和响应 B、IDS需要配合安全审计系统才能应用，后者为前者提供审计分析资料 C、IDS主要用于检测来自外部的入侵行为 D、IDS可用于发现合法用户是否滥用特权 参考答案：B 第2题：下列选项中，防范网络监听最有效的方法是（）。 A、安装防火墙 B、采用无线网络传输 C、数据加密 D、漏洞扫描 参考答案：C 第3题：计算机网络系统中，入侵检测一般分为3个步骤，依次为（）。 ①数据分析②响应③信息收集 A、③①② B、②③① C、③②① D、②①③ 参考答案：A 第4题：管理审计指（） A、保证数据接收方收到的信息与发送方发送的信息完全一致 B、防止因数据被截获而造成的泄密 C、对用户和程序使用资源的情况进行记录和审查 D、保证信息使用者都可 参考答案：C 第5题：美国国防部公布了可信计算机系统评估准则（TCSEC-Trusted Computer Sy stem Evaluation Criteria），并根据所采用的安全策略、系统所具备的安全功能将系统分为几类几个安全级别？() A、三类七级 B、四类七级 C、四类六级 参考答案：B 第6题：信息的存在及传播方式（） A、存在于计算机、磁带、纸张等介质中 B、记忆在人的大脑里 C、通过网络打印机复印机等方式进行传播 D、通过投影仪显示 参考答案：D 第7题：一个组织的网络设备的资产价值为100000元，一场意外火灾使其损坏了价值的25%,按照经验统计，这种火灾一般每5年发生一次，年预期损失ALE 为（） A.5000元 B.10000元 C.25000元 D.15000元 参考答案：A 第8题：以下哪个一项数据传输方式难以通过网络窃听获取信息？（） A.FTP传输文件 B.TELNET进行远程管理 C.URL 以HTTPS开头的网页内容 D.经过TACACS+认证和授权后建立的链接 参考答案：C 第9题：下列关于防火墙的主要功能包括:（） A、访问控制 B、内容控制 C、数据加密 D、查杀病毒 参考答案：A 第10题：根据《计算机信息系统国际联网保密管理规定》，保密审核实行部门管理，有关单位应当根据国家保密法规，建立健全上网信息保密审批（A）。A、领导责任制B、专人负责制C、民主集中制D、职能部门监管责任制

Computer Engineering ([E]) 1.What is the difference between the following? ? A general-purpose processor. ? A general-purpose processor with instruction-set extensions. ? A special-purpose processor (or co-processor). ?An FPGA. 2. 3. ? a smart-card ? a micro-controller (i.e. a sensor node) ?an embedded or mobile computer (e.g., a mobile phone or PDA) ? a laptop- or desktop-class computer. Theoretical Computer Science ([F]) 4. 5. 6. 7. 8. 9. Mathematical Background ([A,B]) 10.What is the difference between the RSA and the Strong-RSA problem? 11. 12. 13. 14. Basic (Practical or Deployed) Cryptographic Schemes and Protocols ([A]) 15. 16. 17. 18. 19. 20.How areMerkle-Damgaard style hash functions constructed? Cryptographic Implementation Details ([A]) 21.How does the CRT method improve performance of RSA? 22.How do you represent a number and multiply numbers in Montgomery arithmetic? 23.Write a C program to implement Montgomery arithmetic. 24.Describe the binary, m-ary and sliding window exponentiation algorithms. 25.Describe methods for modular reduction using "special" primes that define GF(p) and GF(2^n). 26.Describe the NAF scalar multiplication algorithm. Security Definitions and Proofs ([A,B,C])

第一章 一、填空题 1.信息保障的三大要素是______、______、______ 2.在bs7799信息安全管理体系中，信息安全的主要目标是信息的______、______、______的保持 3.信息安全一般包括______、______、信息安全和______四个方面的内容。 4.信息安全管理是通过维护信息的______、______、______等，来管理和保护信息资产的一项体制 二、名词解释 1.信息安全 2.信息安全管理 四、论述 1.我国信息安全管理现状如何？ 第二章 一、填空题 1.BS7799信息安全管理领域的一个权威标准，其最大意义就在于它给 ______一整套可“______”的信息安全管理要领。 2.SSE-CMM将安全工程划分为三个基本的安全区域，即______、______、______ 3.SSE-CMM包含了______个级别，我国的信息和信息系统的安全保护等

级共分为______级 二、名词解释 1.信息安全管理体系ISMS 2.信息安全等级保护 3.信息安全管理体系认证 三、简答 1．建立ISMS有什么作用？ 2．可以采用哪些模式引入BS7799？ 3．我国对于信息和信息系统的安全保护等级是如何划分的？ 4．SSE-CMM将安全工程划分为哪些基本的过程区域？每一个区域的含 义是什么？ 5.建立信息安全管理体系一般要经过哪些基本步骤？ 四、论述 1.PDCA分为哪几个阶段？每一个阶段的主要任务是什么？ 2.等级保护的实施分为哪几个阶段？每一个阶段的主要步骤是什么？ 3.试述BS7799的主要内容。 第三章 一、填空题 1.资产管理的主要任务是______、______等 2.脆弱性分为______、______、______

信息安全专业学什么附学习科目和课程当前位置：正文 信息安全专业学什么附学习科目和课程 更新：2019-05-28 14:31:13 信息安全专业介绍信息安全专业每个学校设置的课程罗有不同，但都是大同小异。 信息安全学习课程高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等数据通信原理、信息安全概论、计算机网络安全管理、数字鉴别及认证系统、网络安全检测与防范技术、防火墙技术、病毒机制与防护技术、网络安全协议与标准等。 信息安全培养目标与要求本专业培养培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。 本专业学生主要学习信息安全的科学与技术的基本理论和基本知识，接受从事研究与信息安全的基本训练，具有一般与信

息安全相关的分析设计和解决实际问题的能力。 信息安全必备能力1.防火墙，建立企业网络的第一道安全屏障； 2.入侵检测系统，有效抵御外来入侵事件，并监控网络内部非法行为； 3.安全评估分析工具，对用户环境进行基于安全策略的审计分析，及时发现安全隐患； 4.防毒系统，清除病毒危害并预防病毒事件，实现防毒的完全智能化； 5.服务器防护系统，保护企业重要服务器的数据安全性； 6.部署及维护企业信息化管理（OA、Exchange）系统、UNIX 系统等； 7.专业的数据备份、还原系统，保护企业用户最关键的数据和资源；8.能够能利用各级别的企业核心路由器、交换机及各种操作系统（Linux、Windows）、数据库产品（SQL SERVER、Oracle）等、安全的域环境设计，根据不同业务需求的不同性，制定严格的安全策略及人员安全要求。

信息安全工程师考试试题及解析 软考全称全国计算机技术与软件专业技术资格 （水平）考试，这门新开的信息安全工程师分属该考试“信息系 统”专业，位处中级资格。是信息产业部和人事部在最新的“国人厅发[2007]139号[1] ”文件中新增的专业。信息安全专业的毕业生，主要在计算机软硬件、网络、应用相关领域从事安全系统设计、安全产品开发、产品集成、信息系统安全检测与审计等方面工作，服务单位可以是国家机关、企事业单位及科研教学单位等。希赛软考学院为大家整理了一些考试试题及解析，供大家 参考，希望能有所帮助。 （一） 一、单选题 1、在网络体系结构中，传输层的主要功能是 A）不同应用进程之间的端-端通信 B）分组通过通信子网时的路径选择 C）数据格式变换、数据加密与解密 D）M AC地址与IP地址之间的映射答案：A 传输层的主要功能是为端到端连接提供可靠的传输服务；为端到端连接提供流量控制、差错控制、服务质量等管理服务。路径选择发生在网络层，数据格式变换与加密等发生在表示层，MAC与IP地址映射发生在数据链路层。根据分析， 选项A符合题意，故选择A选项

2、数据传输速率为3.5 x 1012bps，它可以记为 A) 3.5Kbps B)3.5Mbps C) 3.5Gbps D)3.5Tbps 答案：D 1kbps=1 x 103bps, 1Mbps 约等于1 x 106bps, IGbps 约等于1x 109bps , 1Tbps 约等于1x 1012bps。因此3.5 x 1012bps约等于3.5Tbps。故选择D选项。 3关于数据报交换方式的描述中，正确的是 A) 数据报交换过程中需要建立连 接B)每个分组必须通过相同路径传输 C) 分组传输过程中需进行存储转 发D)分组不需要带源地址和目的地址 答案：C 数据报是报文分组存储转发的一种形式，在数据报方式中，分组传输前不需要在源主机与目的主机之间预先建立"线路连接"。源主机发送的每个分组都可以独立选择一条传输路径，且每个分组在传输过程中都必须带有目的地址与源地址。根据分析，选项C符合题意，故选择C选项。 4、关于传统Ethernet的描述中，错误的是 A)是一种典型的环型局域网B) 传输的数据单元是Ethernet帧 C）介质访问控制方法是

信息安全专业 一、培养目标 本专业培养适应国家和社会需要的德、智、体、美全面发展，具有较强的信息安全工程意识、实践能力与创新意识以及良好的人文科学素养，掌握自然科学、信息科学的基础知识，信息安全的基本理论、技术和应用知识，具备在计算机、通信和电子等方面研究与技术开发的基本能力，能在信息技术产业和信息安全领域相关的政府部门、科研机构或企业中从事科研、生产、运行、维护、营销或管理等各方面工作的具有较强的社会责任感、勤奋务实精神和一定的国际视野的高级工程技术人才。 信息安全专业分两个个方向：信息安全方向和保密方向。保密方向的本科生除要求掌握信息安全的基本理论和技术外，还要求系统地掌握保密专业知识，具有良好的保密管理与沟通能力、保密专业实践与创新能力，该方向的毕业生可在国家保密行政管理部门、国家行政机关、军工企事业单位、国防科技工业和信息产业等部门从事各类信息安全与涉密信息系统的设计、开发、研究、教学、管理等工作，该专业培养懂法律、重技术、善管理的复合型保密专业人才。 二、基本规格要求 ㈠基本要求 1、热爱社会主义祖国，拥护中国共产党的领导，具有为国家富强、民族振兴而奋斗的理想、事业心和责任感。 2、有正确的科学世界观和为人民服务的人生观，懂得马克思列宁主义、毛泽东思想、邓小平理论的基本原理，了解我国基本国情，能理论联系实际，实事求是。 3、具有严谨治学、艰苦奋斗、求新务实的精神和热爱劳动、遵纪守法、自律谦让、团结合作的品质。有较好的文化、道德修养和健康的心理素质，有良好的行为习惯，并具备较强的公文写作能力。 4、了解体育运动的基本知识，初步掌握锻炼身体的基本技能，养成科学锻炼身体的习惯，身体健康，达到大学体育合格标准。 ㈡业务素质要求 本专业学生主要学习电子、计算机和通信网络的基础理论与应用技术，着重加强信息安全方面基础理论和应用技术的学习，接受计算机、通信网络、信息安全或保密技术等方面的基本训练，具备从事信息安全或保密技术领域的科研、设计、开发、运行与管理、技术服务等方面的基本能力。 毕业生应获得以下几方面的知识和能力： 1、具有良好的工程职业道德，坚定的追求卓越的态度，强烈的爱国敬业精神与社会责任感，较好的人文科学素养和优秀的身体素质； 2、从事信息安全工作所需的相关数理、自然科学基础以及一定的经济、财务、管理等方面知识，扎

信息安全工程师考试大纲 一、考试说明 1. 考试要求： （1）熟悉计算机系统和网络系统的基础知识； （2）熟悉信息系统安全的基础知识； （3）掌握操作系统的安全特征、安全管理与配置； （4）掌握常见的网络安全技术； （5）掌握密码学的基础知识； （6）掌握应用系统安全的基本设计和实现方法； （7）掌握信息系统安全运行保障技术； （8）了解信息安全新技术及其发展趋势； （9）熟悉信息安全有关的标准化知识； （10）熟悉信息安全有关的法律、法规和管理的基础知识； （11）正确阅读和理解信息安全的英文资料。 2．通过本级考试的合格人员能根据应用部门的要求进行信息系统安全方案的规划、设计与实现；能进行安全设备的软硬件安装调试；能进行信息系统的安全运行、维护和管理；能高效、可靠、安全地管理信息资源；遵纪守法且具有良好的职业道德；具有工程师的实际 工作能力和业务水平，能指导助理工程师从事安全系统的构建和管理工作。 3. 本级考试设置的科目包括： （1）信息安全基础知识，考试时间为150 分钟，笔试，选择题； （2）信息安全应用技术，考试时间为150 分钟，笔试，问答题。 二、考试范围 考试科目1：信息安全基础知识 1.计算机科学基础知识 1.1数制及其转换 ●二进制、八进制、十进制和十六进制等常用数制及其相互转换 1.2计算机内数据的表示 ●数的表示（补码表示，整数和实数的表示，精度和溢出） ●非数值表示（字符和汉字表示，声音表示、图像表示） 1.3算术运算和逻辑运算

●计算机中的二进制数运算方法 ●逻辑代数的基本运算 1.4数学基础知识 ●排列组合，概率应用，数据的统计分析 ●编码基础（ASCII码，汉字编码，奇偶校验，海明码，霍夫曼码、循环冗余码） ●初等数论基本知识（整除、同余、素数） 2.计算机系统基础知识 2.1计算机硬件基础知识 2.1.1计算机系统的组成、体系结构分类及特性 ●CPU、存储器的组成、性能和基本工作原理 ●常用I/O设备、通信设备的性能以及基本工作原理 ●I/O接口的功能、类型和特性 ●CISC/RISC，流水线操作，多处理机，并行处理 2.1.2存储系统 ●虚拟存储器基本工作原理，多级存储体系 ●RAID类型和特性 2.1.3可靠性与系统性能评测基础知识 ●诊断与容错 ●系统可靠性分析评价 ●计算机系统性能评测方法 2.2计算机软件基础知识 2.2.1数据结构与算法基本知识 2.2.2 操作系统基础知识 ●操作系统的内核（中断控制） ●处理机管理（进程、线程、状态转换、共享与互斥、分时轮转、抢 占、死锁） ●存储管理（主存保护、动态连接分配、分段、分页、虚存） ●设备管理（I/O控制、假脱机） ●文件管理（目录、文件组织、存取方法、存取控制、恢复处理） ●作业管理（作业调度，JCL，多道程序设计） ●网络操作系统和嵌入式操作系统基础知识 ●操作系统的配置 2.2.3程序设计语言和语言处理程序基础知识 ●汇编、编译、解释系统的基础知识和基本工作原理 ●程序设计语言的基本成分：数据、运算、控制和传输，程序调用的实现机制

数据工程信息安全管理细则 第一章总则 第一条为了规范广东移动有限责任公司数据工程施工期间的信息安全管理，保证工程施工期间网络信息安全，根据国家有关法规和公司实际情况，特 制定本管理细则。 第二条本细则适用于广东移动各类数据工程，包括常GPRS工程、短信中心工程、IOD工程、短信网关工程、小区广播工程、IP工程、WAP工程等。第三条参与广东移动通信工程实施的厂家、施工单位以及本公司工程管理人员，随工人员都必须严格遵守本管理细则。 第四条本规定自发布之日起立即生效。 第二章信息安全 第一条严禁任何人员利用广东移动通信网络制作、复制、发布、传播含有下列内容的信息： （一）反对宪法所确定的基本原则的； （二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； （三）损害国家荣誉和利益的； （四）煽动民族仇恨、民族歧视，破坏民族团结的； （五）破坏国家宗教政策，宣扬邪教和封建迷信的； （六）散布谣言，扰乱社会秩序，破坏社会稳定的； （七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

（八）侮辱或者诽谤他人，侵害他人合法权益的； （九）含有法律、行政法规禁止的其他内容的； （十）对我公司不利或有损我公司形象的。 第二条严禁任何人员有意制造网络漏洞，要求任何人员严格按照工程操作步骤执行，杜绝任何人为失误引起工程期间的各种信息安全隐患，坚决防 止被别有用心的用户利用，否则将追究相关单位及当事人的法律责任。 第三章工程信息安全人员的职责 第一条每项工程市公司必须有专人负责工程实施期间的网络信息安全工作。 在每个工程项目开工前，必须确定工程信息安全负责人和信息安全员 各一人，其中信息安全负责人工程负责人兼任，信息安全员由工程信 息安全员兼任。要求负责网络信息安全的人员必须具备较高政治思想 觉悟。 第二条负责网络信息安全的人员安排必须固定，不得随意更改。若因工作需要人员变动时，必须由市公司书面申请，待工程管理中心批复后方可 生效。 第三条对于省管工程，由省公司负责与施工单位及施工人员签订《工程信息安全保证书》，并在工程前下发已签订《工程信息安全保证书》的施 工人员名单；对于市管工程，由市公司负责与施工单位及施工人员签 订《工程信息安全保证书》。 第四条市公司信息安全负责人负责审核进入机房进行调测的厂家、施工单位及其他的工程人员，只有已签订保证书的施工人员，才可进入我省各 节点现场。 第五条在系统接入现网调测期间，信息安全员必须在现场全程监督施工单位调试人员的操作。 第六条在系统接入现网调测期间，在每天的调测工作开始时，信息安全员必须监督并检查系统的记录功能的启用，确保系统记录每个帐号登陆的

1.下面关于信息安全保障的说法正确的是： A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性、可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的，从风险和策略出发，实施 在系统的生命周期内确保信息的安全属性 2.根据《 GB / T20274 信息安全保障评估框架》，对信息系统安全保障能力 进行评估应 A.信息安全管理和信息安全技术2 个方面进行 B.信息安全管理、信息安全技术和信息安全工程3 个方面进行 C.信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行 D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进 行 3.哪一项不是《 GB / T20274 信息安全保障评估框架》给出的信息安全保障 模 通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征 4.对于信息安全发展历史描述正确的是： A.信息安全的概念是随着计算机技术的广泛应用而诞生的 B.目前信息安全己经发展到计算机安全的阶段 C.目前信息安全不仅仅关注信息技术，人们意识到组织、管理、工程过程和人 员同样是促进系统安全性的重要因素 D.我们可以将信息安全的发展阶段概括为，由“计算机安全”到“通信安全”， 再到“信息安全”，直至现在的“信息安全保障” 5.ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务 A.加密 B.数字签名 C.访问控制 D.路由控制

6.表示层 7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用 性三项信息安全特性 A.ITSEC B.TCSEC C.GB/T9387.2 D.彩虹系列的橙皮书 8.下面对于CC 的“保护轮廓”( PP ）的说法最准确的是： A.对系统防护强度的描述 B.对评估对象系统进行规范化的描述 C.对一类TOE 的安全需求，进行与技术实现无关的描述 D.由一系列保证组件构成的包，可以代表预先定义的保证尺度 9.以下哪一项属于动态的强制访问控制模型？ A.Bell一Lapudufa 模型 B. 10. C.Strong star property 处于 D.Bell 一Lapadula 模型的访问规则主要是出于对保密性的保护而制定的 11.下面对于强制访问控制的说法错误的是？ A 它可以用来实现完整性保护，也可以用来实现机密性保护 B在强制访问控制的系统中，用户只能定义客体的安全属性 C 它在军方和政府等安全要求很高的地方应用较多 D 它的缺点是使用中的便利性比较低

景优软考学院温馨提示：软考全称全国计算机技术与软件专业技术资格（水平）考试，这门新开的信息安全工程师分属该考试“信息系统”专业，位处中级资格。是信息产业部和人事部在最新的“国人厅发[2007]139号[1]”文件中新增的专业。 信息安全工程师主要从事与计算机信息安全方面的工作。 网络信息安全工程师是指遵照信息安全管理体系和标准工作，防范黑客入侵并进行分析和防范，通过运用各种安全产品和技术，设置防火墙、防病毒、IDS、PKI、攻防技术等。进行安全制度建设与安全技术规划、日常维护管理、信息安全检查与审计系统帐号管理与系统日志检查等的人员。 从业要求： 1、计算机应用、计算机网络、通信、信息安全等相关专业本科学历，三年以上网络安全领域工作经验； 2、精通网络安全技术：包括端口、服务漏洞扫描、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网站渗透、病毒木马防范等。 3、熟悉tcp/ip协议，熟悉sql注入原理和手工检测、熟悉内存缓冲区溢出原理和防范措施、熟悉信息存储和传输安全、熟悉数据包结构、熟悉ddos攻击类型和原理有一定的ddos 攻防经验，熟悉iis安全设置、熟悉ipsec、组策略等系统安全设置； 4、熟悉windows或linux系统，精通php/shell/perl/python/c/c++ 等至少一种语言； 5、了解主流网络安全产品（如fw、ids、scanner、audit等）的配置及使用； 6、善于表达沟通，诚实守信，责任心强，讲求效率，具有良好的团队协作精神； 就业方向： 信息安全专业的毕业生，主要在计算机软硬件、网络、应用相关领域从事安全系统设计、安全产品开发、产品集成、信息系统安全检测与审计等方面工作，服务单位可以是国家机关、企事业单位及科研教学单位等。譬如系统安全工程师、网络系统安全软件工程师、信息安全工程师、Linux操作系统工程师等都是不错的选择。公安局信息监查网站安全病毒杀毒公司以及一切涉及到信息安全的地方，比如说电信，网通的技术安全维护员，各个重要政府部门的网络安全监测等等都是。 考试范围： 考试科目1：信息安全基础知识 1.计算机科学基础知识 1.1数制及其转换 二进制、八进制、十进制和十六进制等常用数制及其相互转换 1.2计算机内数据的表示 数的表示（补码表示，整数和实数的表示，精度和溢出） 非数值表示（字符和汉字表示，声音表示、图像表示） 1.3算术运算和逻辑运算 计算机中的二进制数运算方法 逻辑代数的基本运算 1.4数学基础知识 排列组合，概率应用，数据的统计分析 编码基础（ASCII码，汉字编码，奇偶校验，海明码，霍夫曼码、循环冗余码） 初等数论基本知识（整除、同余、素数） 2.计算机系统基础知识 2.1计算机硬件基础知识 2.1.1计算机系统的组成、体系结构分类及特性