CISAW培训方案

中国信息安全认证中心 信息安全保障人员认证
基本术语
密码体制
指能完整地解决信息安全中的机密性、数据完整性、认证、 身份识别、可控性及不可抵赖性等问题中的一个或几个的 一个系统。对一个密码体制的正确描述，需要用数学方法 清楚地描述其中的各种对象、参数、解决问题所使用的算 法等 又称为密码系统
中国信息安全认证中心 信息安全保障人员认证
10
密码学发展趋势
量子密码学 混沌密码体制 多变量公钥密码体制 基于格的公钥密码体制 DNA密码体制
中国信息安全认证中心 信息安全保障人员认证
密码学及编码学
密码学
以研究秘密通信为目的，研究对传输信息采取何种秘密的变换，以防 止第三者对信息的截取。
密码编码学——研究把信息（明文）变换成没有密钥不能解密或很难 解密的密文的方法
这一切的目的在于破译出密钥或密文
中国信息安全认证中心 信息安全保障人员认证
加密与编码
编码
一方面表示的是经过编制、安排的数码本身 另一方面主要是指信息格式转换的过程 编码广泛应用于计算机、通讯、电视等各个领域，如二进 制编码、字符集编码、哈夫曼编码、曼彻斯特编码等
加密中的编码
特指以码字（code word）取代特定的明文的过程，是加 解密处理的预处理过程
解密器
m 接收者
M=Dk2(C)
k2
密钥源
k2
中国信息安全认证中心 信息安全保障人员认证
密码分析
假设破译者Oscar是在已知密码体制的前提下来破译Bob使用的密钥。 这个假设称为Kerckhoff原则。最常见的破解类型如下： 唯密文攻击：Oscar具有密文串y. 已知明文攻击: Oscar具有明文串x和相应的密文y. 选择明文攻击：Oscar可获得对加密机的暂时访问， 因此他能选择 明文串x并构造出相应的密文串y。 选择密文攻击:Oscar可暂时接近解密机,可选择密文串y，并构造出相 应的明文x.

cisaw信息安全保障人员安全集成认证培训教材
以下是cisaw信息安全保障人员安全集成认证培训教材：
基本性质教材：《信息安全技术》、《信息安全技术应用》和《信息安全实验》。

专业领域方向的教材：《软件安全开发》、《信息系统安全集成》、《信息安全管理》、《信息安全咨询手册》、《信息系统安全运维》、《信息系统安全审计》、《信息安全风险管理》、《网络攻防技术》、《业务连续性管理》、《云计算安全》、《物联网安全》和《工业控制安全》。

实践领域方向的教材：《电子政务安全》、《电子商务安全》、《交通服务信息安全》、《能源服务信息安全》、《医疗卫生信息安全》、《教育服务信息安全》、《金融服务安全》、《通信服务信息安全》、《宾馆服务信息安全》和《物流服务信息安全》。

以上信息仅供参考，建议咨询专业人士获取准确信息。

客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
实际攻击演示
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端业务安全检测项及攻击 案例
要求：客户端业务安全问题。 重点：客户端常规的问题的产生过程，问题引发的风险。
检测说明 检测是否可以非法查询其他用户余额
检测是否可以非法查询其他用户交易信 息 检测是否可以非法查询其他用户敏感信 息 检测是否可以非法挂失其他用户
进入网银后，点击摸个跳转按钮，是否 可以跳转到非法的页面 通过对收款方信息进行篡改，窃取用户 资金
中国信息安全认证中心 信息安全保障人员认证
客户端组成-保护控件安全性检测项
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
• 用户信息窃取
• 黑客通过在网银上挂木马，可以截获网银通过SSL发送、接收信 息的明文，从而获取用户的敏感信息。
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
中国信息安全认证中心 信பைடு நூலகம்安全保障人员认证
客户端常规安全攻击案例
• 密码窃取
• 黑客通过在网银上挂木马，可以从系统中截获用户输入的密码明 文。
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证

澳门国际仲裁培训计划一、澳门国际仲裁培训计划概述澳门是一个法治国家，其司法体系稳定健全，法律体系完备，对于仲裁行业的发展有着重要的支持和推动作用。

为了推进澳门国际仲裁专业化、国际化和网络化建设，提高仲裁人才的水平和专业素养，澳门国际仲裁培训计划应运而生。

本培训计划旨在通过多种形式的教学和培训活动，提升仲裁人员的专业知识和技能，增强他们的仲裁实践能力，培养具有国际视野和竞争力的国际仲裁专业人才。

二、澳门国际仲裁培训计划内容1. 培训课程设置本次培训计划将围绕以下课程展开：（1）仲裁基础理论：包括仲裁法律基础、仲裁程序、仲裁机构和仲裁员的基本角色等内容。

（2）国际仲裁实务：包括国际商事仲裁案例分析、国际仲裁规则解读、证据规则和仲裁裁决执行等实际案例分析。

（3）专业素养培养：包括仲裁员的职业道德和行为规范、听证技巧、仲裁调解等专业培养方面的内容。

（4）国际法律知识：包括国际商法、国际投资法、国际私法等国际法律知识的学习。

2. 培训方式本次培训计划将采用多种形式的教学和培训方式：（1）课堂教学：邀请国内外仲裁专家及知名法律学者进行专题讲座和培训，分享国际仲裁实务经验和案例分析。

（2）案例分析：组织学员进行案例分析讨论，提升学员对具体案例的分析和解决问题的能力。

（3）实地考察：组织学员参观国际知名仲裁机构，深入了解国际仲裁实务操作。

（4）模拟实践：通过模拟仲裁庭审等形式，加强学员的实际操作能力和沟通技巧。

3. 培训对象本次培训计划主要面向澳门国际仲裁领域的从业人员，包括澳门仲裁机构工作人员、仲裁员、律师、法官等相关从业人员。

三、澳门国际仲裁培训计划的意义和影响通过本次培训计划，将对澳门国际仲裁行业的发展产生积极的意义和深远的影响：1. 推动澳门国际仲裁行业的发展，提升仲裁专业水平和服务质量。

2. 提升澳门国际仲裁机构的国际竞争力和知名度，吸引更多的国际商事纠纷案件选择澳门作为仲裁地。

3. 增加澳门仲裁员的国际化视野和竞争力，提高澳门仲裁员在国际商事仲裁领域的声誉和地位。

中国信息安全认证中心 信息安全保障人员认证
19
怎么办？
在大数据时代保护个人隐私，既要靠技术，也要靠 法律！ 技术层面
一是要防止不法分子侵入个人系统，盗取个人信息 二是要限制个人信息掌握者的权限，使每个层级的相关人 员只能掌握相应的有限信息
法律层面
既要为依法合理地搜集处理大数据信息提供保障 也要确保信息处理过程中个人隐私不被泄露，不被用于服 务和统计以外的目的
举例 销售数据：可以反映销售状况，通过不同的时间，市场环境， 好坏，趋势等等变量，反映经营状况，生产状况，企业经营 者要根据数据做判断，来指导销售，生产，以及库存，制定 生产计划等等。例如：去年焦炭企业连续亏损，企业就要根 据市场数据做生产调整，来压缩产能，换取市场价格回升。
中国信息安全认证中心 信息安全保障人员认证
硬件级备份和软件级备份
硬件级备份：指用硬件的冗余来保护系统的业务连续运行。比如想磁 盘镜像，双机容错等方式。如果主硬件损坏，后备硬件马上能够接替 其工作，这种方式可以有效地防止硬件故障。能够最快速的解决硬件 破损问题。 软件级备份：指将系统数据保存到其它工具软件上，当出现错误状态 后可以将系统恢复到备份时的状态。由于这种备份是由软件来完成的， 所以称为软件备份。
数据安全事件举例（1）
911事件
金融机构聚集的世贸大厦里的大量数据化为乌有。纽约银行（Bank of New York）的数据中心被毁，通讯线路中断，缺乏灾备系统和有 力的应急业务恢复计划，在一个月后不得不关闭一些分支机构，数月 后不得不破产清盘。
中国信息安全认证中心 信息安全保障人员认证
数据安全事件举例（2）
可用性 保密性 完整性
保障阶段
使用 存储 传输
中国信息安全认证中心 信息安全保障人员认证

1.1、USBKey的基本概念
• 密码钥匙 • U盾 、Ukey • USBStick USBToken
是一种智能卡的衍生品，特点是具有智能卡+USB接口读卡器的集成硬 件和智能卡的嵌入软件（COS），具有密码算法、存储保护等智能卡的 安全特性，可实现数据加解密、身份认证、数字证书保存和数字签名等 安全功能。
•
3
中国信息安全认证中心 信息安全保障人员认证
1. USBKey 的基本知识
• 1.2、USBKey的应用
• 身份认证、网络登录 • 中国各银行网上银银行： 网银登录（身份认证）+交易认证
4
中国信息安全认证中心 信息安全保障人员认证
1.3. 网银系统USBKey的一般模型
5
中国信息安全认证中心 信息安全保障人员认证
• ５.1 准备
• 样本：某银行柜台，与办理人的真实银行账户绑定
• 操作：网络环境中运行并进行用户的普通操作：下载证书、校验并修 改PIN码、网银转账
• 工具：BUSHOUND、捷德命令集检索表
• 资料： i-COS_V1.0_Manual_05_03_18、
•
STARCOS S21
• 证书生成：vip.txt
• 攻击者的攻击潜力： • 1.物理占有USBkey 者可对目标进行长时间系统性分析； • 2.远程攻击者：具有足够的知识和技术能力通过移植木马等手段从互连
网远端控制客户端PC机；对受测件具有足够的知识（至少与测试人员 相当）和技术能力通过被控的客户端PC机监测并操控客户机与USBKey 之间的所有通讯信息。
网银USBKEY 安全性检测 之数据分析
实践课程
本课目录
1 USBKey 的基本知识 2 网银 USBKey 安全性检测 3 网银 USBKey 安全性检测准备 4 网银 USBKey 安全性检测实施 ５USBKey 安全性检测实例 ６实习题

4
中国信息安全认证中心 信息安全保障人员认证
4.1 风险处置过程框架
（2）制定风险处置计划并定义各处置项的优先级
等级赋 值
5
4 3 2 1
标识
描述
处置成本/目标收益值低，而风险对于组织的影响重 很高 大，对组织的根本利益有着决定性影响，若益值较低，风险对组织影响大，对 组织的利益有着重大的影响
中等
处置成本/目标收益值适中，风险对组织影响较大， 若不进行处置，风险将对组织的利益有较大影响
较低
处置成本/目标收益值较高，风险对组织有一定的影 响，若不处置，对组织的利益有轻微的影响
很低
处置成本/目标收益值很高，风险对组织的影响不是 太明显，可以考虑忽略
5
中国信息安全认证中心 信息安全保障人员认证
保险转移 非保险转移
11
中国信息安全认证中心 信息安全保障人员认证
4.2 风险处置方法
3、风险降低 当风险无法完全规避时，风险降低无疑是一种风险降低 是指通过一系列的保护措施来降低风险。 1）采取技术措施：及时打补丁、关闭无用网络服务端口、 加强边界防护、增加备仹容灾等。 2）建立风险预警机制和风险控制体系； 3）采取法律的手段将一些计算机犯罪予以法律制裁。计 算机犯罪的范畴包括盗取机密信息、攻击关键的信息系统 基础设施、传播病毒、不健康信息1和2 垃圾邮件等。中信国息信安息全安保全障认人证员中认心证
（7） 环境约束 （8） 法律约束 （9） 易用性约束 （10）人员约束 （11）整合新建和现有控制措施的约束
16
中国信息安全认证中心 信息安全保障人员认证
4.3 风险处置措施选择与实施
4.3.2 准备和实施风险处置计划 在进行具体的风险处置乊前都需要根据组织实际的情况 制定相应的合理的风险处置计划。包括风险类别、风险二 级分类、风险描述、处置方式的选择、处置措施的描述、 紧急程度、预计完成时间、估算投入的成本以及相关责仸 人等信息。

《信息安全风险管理》力求从实践出发，介绍当前信息安全保障工作中的风险管理技术，适合申请认证考试人员或从事信息安全风险管理工作的人员使用。

全书共分为5章：
第1章概述。

本章从信息安全风险管理模型出发，阐述风险的起源、特性、要素及其关系和风险管理的基本概念；
第2章信息安全风险管理相关标准。

本章从信息安全风险管理标准出发，介绍ISO/IEC31000、ISO/IEC13335、ISO/IEC27005、卡内基梅隆、GB/T20984等相关标准的内容；
第3章信息安全风险评估实现。

本章关注风险管理中的风险评估这一核心要素，详细介绍了信息安全风险评估内容，按照风险识别、风险分析、风险评价这条主线展开论述，同时辅以部分实例进行说明；
第4章信息安全风险处置。

本章从风险处置的角度出发，详细阐述了风险处置的过程框架，并讨论了几种典型的风险处置措施及其应用；
第5章信息安全风险管理案例。

本章从整体出发，依照本书中第1章提出的风险管理模型，以一个实际项目作为案例，对整个风险管理的实施过程进行了论述。

《信息安全技术》是《信息安全风险管理》的配套教程，详细介绍了信息安全的基本概念和技术原理。

全书分上下册，共23章，包括信息安全基本概念、密码技术、身份认证、访问控制、信息隐藏、容错容灾、反垃圾邮件技术、存储
介质安全技术、恶意代码及防护、传输安全、机房环境、漏洞管理、主机安全、安全审计、取证技术、安全测试、安全编码、物理边界控制、防火墙技术、入侵检测、云计算安全和物联网安全。

第23课灾难恢复和应急响应一、背景和需求二、灾难恢复概念和内容三、应急响应概念和内容四、风险评估中的灾难恢复应急响应工作•软件漏洞逐渐增加•911事件–金融机构聚集的世贸大厦里的大量数据化为乌有。

纽约银行（Bank of New York）的数据中心被毁，通讯线路中断，缺乏灾备系统和有力的应急业务恢复计划，在一个月后不得不关闭一些分支机构，数月后不得不破产清盘。

•911事件–德意志银行（Deutsche Bank）早在1993年就制订了严谨可行可信的业务连续性计划（BCP），灾难发生后，德意志银行调动4000多名员工及全球分行的资源，短时间内在距离纽约30公里的地方恢复了业务运行，得到了客户和行业的好评–摩根士丹利（Morgan Stanley）在25层办公场所全毁，3000多员工被迫紧急疏散的情况下，半小时内就在灾备中心建立了第二办公室，第二天就恢复全部业务。

•灾难–由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。

通常导致信息系统需要切换到灾难备份中心运行•灾难恢复–为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程•RPO–Recovery Time Objective •RTO–Recovery Point Objective•RPO–Recovery Time Objective–指灾难发生后，从IT 系统宕机导致业务停顿之时开始，到IT 系统必须恢复至可以支持各部门运作、恢复运营之时•RTO–Recovery Point Objective–指灾难发生后，要实现能够恢复至可以支持各部门业务运作，系统及生产数据必须恢复到怎样的程度•主系统（生产系统）–是指正常情况下支持组织日常运作的信息系统。

包括主数据、主数据处理系统和主网络•灾难备份系统–是指用于灾难恢复目的，由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统•主中心（主站点/生产中心）–是指主系统所在的数据中心•灾难备份中心（备用站点）–是指用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所，可提供灾难备份系统、备用的基础设施和专业技术支持及运行维护管理能力，此场所内或周边可提供备用的生产设施•信息系统灾难恢复规范（GB/T20988-2007）•《关于加强信息安全保障工作的意见》（中办发『2003』27号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”•莫里斯蠕虫–Robert Tappan Morris–首个通过互联网传播的蠕虫–有6000台计算机遭到破坏，造成1500万美元的损失•CERT–计算机安全应急响应组（Computer Emergency Response Team）–专门处理计算机网络安全问题的组织•信息安全应急响应计划规范（GB/T 24363-2009）–信息安全事件–由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件–应急响应–组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施•《信息安全事件分级分类指南》GB/Z 20986-2007灾难恢复概念和内容分级要素系统损失社会影响信息系统重要程度•我国信息安全事件分级方法（GB/Z 20986）–特别重大事件–指能够导致特别严重影响或破坏的信息安全事件–重大事件–指能够导致严重影响或破坏的信息安全事件–较大事件–指能够导致严重影响或破坏的信息安全事件–一般事件–指不满足以上条件的信息安全事件，包括以下情况：–会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失–产生一般的社会影响•应急响应方法论–第一阶段：准备–第二阶段：检测–第三阶段：遏制–第四阶段：根除–第五阶段：恢复–第六阶段：跟踪总结•工作手段–访谈–调查表–人工检查•检查内容–需求和合规性–是否建立相关组织–是否建立相关制度和处理规范–是否部署相关设备和系统–是否进行过演练Thank you!感谢聆听。

第24课项目管理一、项目管理概念和内容二、风险评估项目管理三、风险评估项目成功关键要素四、示例•在了解什么是项目管理之前，先简单地说什么是项目，举办一次展览会、开发一种新产品、建一个新小区、企业制定一个新战略等都可以称之为一个项目。

•什么是项目管理？–项目管理就是指把各种知识、技能、工具和技术应用于项目活动中，以达到项目的要求。

项目管理通过应用和综合诸如启动、规划、实施、监控和收尾等项目管理过程来进行组织单位Organization Unit固定预算Fix Budget 固定时间Fix Time按一定的技术标准Quality Assurance资源的利用Resource Utilization交付结果Delivery Result•项目的定义•项目特点–a) 具体的起始时间（The exact starting time)–b) 具体的终止日期（The exact finishing date)–c) 严格定义的最终目标（The exact definition of the final goal)–d) 只发生一次（Only one time)–e) 包含有时间（T），质量（Q）和成本（C）的详细计划（Including Time, Quality and Cost)–f) 有具体的结果（The exact Result)–g) 随时都具有的风险性（Full of the Risk)•项目生命周期•作为项目进行管理–合理安排项目的进度，有效使用项目资源，确保项目能够按期完成，并降低项目成本。

•降低项目风险，提高项目实施的成功率。

项目管理中重要的一部分是风险管理，通过风险管理可以有效降低项目的不确定因素对项目的影响。

•项目管理内容风险评估项目成功关键要素•项目成功的要素–领导重视–人、财、物的支持–时间安排–合理安排时间和进度–团队合作–加强项目的团队合作，提高项目团队的战斗力–风险管理–降低项目风险，提高项目实施的成功率–项目控制–增强项目的可控性（需求变更控制、范围控制）•按照项目进行管理–按照项目管理理论进行组织，依照生命周期进行管理•加强沟通•合法合规–项目来源合法合规–项目实施合法合规要素——风险评估项目成功的关键要素（1）•工作原则–最小影响原则–安全可控原则–标准指导原则–保密性原则–可重复原则•加强文档记录和签署–内部会议纪要、协调会议纪要、会议签到表–安全评估实施方案、同意实施意见单–文件（设备）移交清单、文档接收和归还确认单–安全检查与测试委托书、安全扫描委托书、评估工具清单–项目日报、资产/脆弱性/威胁报告、风险评估报告Thank you!感谢聆听。

信息安全保障从业人员认证（CISAW）培训方案信息安全保障从业人员认证（Certified Information SecurityAssurance Worker,英文缩写：CISAW）通过考试和其它评价方式证明获证人员具备了在一定的专业方向上从事信息安全保障工作的个人素质和相应的技术知识与应用能力，以供用人单位选用具备能力资格的信息安全工作人员。

一、机构简介中国信息安全认证中心（China Information SecurityCertification Center，英文缩写：ISCCC）是经中央机构编制委员会批准成立，依据国家有关的法律法规，负责实施信息安全认证（产品认证、服务资质认证、信息安全相关管理体系认证、信息技术管理认证和信息安全保障从业人员认证）的专门机构。

北京金源动力信息化测评技术有限公司是专业从事信息化评估、信息安全评估与咨询服务的法人单位；是CECA国家信息化测评中心的唯一工作支撑单位；是国资委开展中央企业单位信息化水平评价及定级工作的技术支撑单位；是为中央企业单位提供信息安全服务的专业公司；是中国信息安全认证中心指定CISAW授权培训机构。

公司成立于2001年9月，2007年起开始从事企、事业单位信息安全服务和培训工作。

二、培训目标贯彻落实《关于加强中央企业信息化工作指导意见》及《中央企业信息化评价暂行办法》；满足新的中央企业信息化评价指标中提出了对信息安全培训的要求；推动加快中央企业开展信息安全保障体系建设；提高中央企业的信息安全水平；加强信息安全方向人才培养。

课程编号CISAW-B01CISAW-B02CISAW-B03CISAW-B04CISAW-G01课程名称信息安全保障从业人员基本素质教育信息安全意识教育信息安全法律法规体系风险管理基础项目管理基础信息安全技术（密码学及其应用、网络安全技课程分级基础课程基础课程基础课程基础课程通用课程CISAW-G02术、平台安全技术、应用安全技术、数据安全通用课程技术、物理安全技术）CISAW-G03CISAW-P01CISAW-P02CISAW-P03CISAW-P04CISAW-P05CISAW-P06CISAW-P07CISAW-P08CISAW-P09CISAW-A01CISAW-A02信息安全实验安全软件技术与测试安全集成管理信息安全管理安全运维政务安全服务管理风险管理技术网络攻防业务连续性管理通信技术基础管理体系审核通用课程专业课程专业课程专业课程专业课程专业课程专业课程专业课程专业课程专业课程附加课程附加课程四、培训对象国有大中型企、事业单位中高级管理和技术人员、信息安全主管、IT经理/总工、网络安全中高级工程师及电信运营商网管部门中高级管理及技术人员各政府机构、事业单位、教育机构信息安全管理及技术人员信息安全服务/产品公司及系统集成公司的管理及技术人员CISAW认证应试者五、考试注册要求1、CISAWI级（基础级）认证申请人应至少满足下面一项要求：本科（含）以上学历，1年以上从事信息安全有关工作经历；专科毕业，3年以上从事信息安全有关的工作经历；5年以上从事信息安全有关的工作经历；具有信息技术相关专业的初级技术职称，并且至少1年以上从事信息安全有关的工作经历。

9
中国信息安全认证中心 信息安全保障人员认证
第五课 项目启动
• 三、项目准备 • １、组建团队 • 乙方按“技术方案”规定的工作量、时限和技术需求，
组成与服务任务要求应适应项目实施团队，指定项目组长、 项目安全员，掌握各个方面技能的技术人员，明确分工， 分头做好各自的项目准备工作。
10
中国信息安全认证中心 信息安全保障人员认证
4天
3
主机 包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防 安全 范、资源控制。
6天
4
应用 包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密 安全 性、抗抵赖、软件容错、资源控制。
5天
5
数据 安全
包括数据完整性、数据保密性、备份和恢复。
4天
6
管理 包括安全策略、内控管理、应急响应、组织结构、人员管理、项目管理、制度 安全 管理、系统运维。
• 其中“商务合同”应包括合同范围、双方职责、合同 价款及付款方式、变更、信息保密、知识产权、违约责 任 、争议的解决、合同生效与终止等内容。
8
中国信息安全认证中心 信息安全保障人员认证
第五课 项目启动
• 二、项目获取（续）
• “保密协议”应包括指定双方安全保密协调责任人及 联系方式、安全保密信息的内容和确定方式、安全保密义 务、使用方式和不使用的义务、例外情况、安全保密信息 的交回、违约责任、保密期限、协议生效与争议的解决方 式等内容，并由双方法定代表人或委托代理人签字盖章生 效。
第五课 项目启动
• 三、项目准备
• ２、系统调研
•
其中“适用的标准”应根据用户的需求而定。
• 当用户需要进行等级测评时，适用等级保护方面的标准，如国家 标准《GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要 求》 ；

信息安全保障人员认证cisaw安全运维培训内容导言：CISAW（Certified Information Security Assurance Worker）信息安全保障人员认证，是为信息技术领域从业人员设计的高水平认证培训。

该培训旨在帮助学员建立坚实的信息安全基础，掌握先进的安全运维技能，以确保企业信息资产的安全性和可靠性。

以下是CISAW安全运维培训的主要内容：1. 信息安全基础概念：信息安全的定义和范畴常见的威胁和漏洞攻击方式和手段的分类2. 安全运维框架：安全运维的核心原则安全运维流程与方法论安全事件响应和处置3. 网络安全与防御：网络架构与拓扑防火墙配置与管理网络入侵检测与防范4. 主机安全与加固：操作系统安全设置主机防护与入侵检测安全更新和漏洞管理5. 数据安全与加密：数据分类与保护加密算法与实践数据备份与恢复策略6. 应用安全与代码审计：Web应用安全原理代码审计方法与工具安全开发最佳实践7. 身份认证与访问控制：身份认证技术与协议访问控制的实施与管理单点登录与多因素认证8. 云安全与虚拟化安全：云安全架构与服务模型虚拟化安全原理云安全管理与监控9. 移动安全与物联网安全：移动设备管理与安全移动应用安全物联网设备安全性10. 法规合规与伦理准则：- 信息安全法规概述- 合规框架与标准- 伦理准则与职业操守11. 实战演练与案例分析：- 渗透测试与漏洞利用- 安全事件响应演练- 安全案例研究与分析12. 考试准备与认证实践：- 考试形式与内容概要- 模拟考试与策略- 个人认证实践分享结语：CISAW信息安全保障人员认证培训致力于培养具备综合信息安全知识和实战技能的专业人才。

通过本培训，学员将能够全面了解信息安全的各个方面，具备解决实际安全问题的能力，为企业提供高水平的信息安全保障服务。

第19课物理安全一、物理安全的意义二、机房环境安全三、物理边界控制四、风险评估中的物理安全检查五、举例•计算机安全与物理安全计算机安全：与攻击者、黑客有关物理安全：与入侵者、蓄意破坏者、窃贼有关•网络的物理安全是整个网络信息安全的前提•物理安全–对影响信息系统的保密性、完整性、可用性的周围环境和设施进行检查，是设计、实现、维护物理资源的措施。

•解决两个方面问题–对信息系统实体的保护；–对可能造成信息泄漏的物理问题进行防范。

•物理安全技术–意义：是信息安全的必要前提●物理安全技术控制措施⏹地理位置⏹设施结构⏹基础设施⏹访控监控•等级保护标准中的物理安全要求–物理访问控制–防盗和防破坏–防雷击–防火–防水和防潮–防静电–温湿度控制–电力供应–电磁防护•机房选址–布线问题、空间需要•设备布置安全–空间、散热、布线•机房建筑安全–人流、物流、出入口、防火与疏散、防虫防鼠•装修安全–地面、地板、顶棚、墙壁、柱面、隔断、门窗•灾害防护与消防–灾害•监控与安保•基础支持设施安全–布线–电力与照明–防雷与接地–电磁屏蔽–空调、给排水–远程控制•标准规范•机房有关标准规范–《电子信息系统机房设计规范》–《电子信息系统机房施工及验收规范》–《计算机场地通用规范》–《计算站场地安全要求》–《电子信息系统机房环境检测标准》–《数据中心综合监控系统工程技术规范》附录●主要的物理安全参照标准⏹GB/T 9361-2011 计算站场地安全要求⏹GB/T 2887-2011 计算机场地通用规范⏹GB/T 50343-2012 建筑物电子信息系统防雷技术规范⏹GB 50016-2014 建筑设计防火规范⏹GB 50116-2013 火灾自动报警系统设计规范⏹…物理边界控制•对物理意义上存在的安全边界进行管制的技术及措施，这些技术和措施能够对未经授权的外部物理访问行为进行阻拦、警报或者监视。

–门禁系统–巡更系统–红外防护系统–视频监控系统•传统的机械门锁•电子磁卡锁，电子密码锁•基于感应卡、指纹、虹膜、面部识别、乱序键盘等各种技术的系统•门禁系统一般组成–门禁控制器–读卡器–电控锁–其它设备和传输部分•门禁控制器是门禁系统的核心部分，相当于计算机的CPU，它负责整个系统输入、输出信息的处理和储存，控制等等•读卡器是用于读取卡片中数据（生物特征信息）的设备•电控锁是一个由继电器控制的机械锁装置，目前已形成了多种不同结构的系列化产品，包括电插锁（阳极锁）、阴极锁（电锁口）、磁力锁、电控锁等。

介质安全
知识单元
一、介质物理安全技术 二、介质加密技术 三、硬盘防拷贝技术 四、介质数据恢复技术
五、介质数据安全销毁技术
*
中国信息安全认证中心 信息安全保障人员认证
概念
• 概念
• 存储介质安全 • 硬盘加密 •簇 •卷 • 分区 • 文件系统 • 磁盘低级格式化、高级格式化 • 数据恢复
中国信息安全认证中心 信息安全保障人员认证
二、介质加密技术
中国信息安全认证中心 信息安全保障人员认证
介质加密技术
• 应用密码技术加解密 • 介质数据加密技术
• 文件加密 • 目录加密 • 程序加密 • 数据库加密 • 整盘数据加密
中国信息安全认证中心 信息安全保障人员认证
介质加密技术
• 硬盘加密技术 • 软件加密技术 • 硬件加密技术
介质种类
• 电存储介质 • 磁存储器 • 光存储器 • 闪盘
中国信息安全认证中心 信息安全保障人员认证
介质逻辑结构
• 半导体：芯片
• 易失型半导体 • 非易失型半导体
• 磁盘：盘片 • 光介质：轨、槽、平台
中国信息安全认证中心 信息安全保障人员认证
介质数据存储结构
• 文件系统格式 • FAT • NTFS • UNIX文件系统
介质数据安全销毁技术
• 磁介质安全销毁
• 物理Байду номын сангаас毁
• 机械粉碎法 • 化学溶蚀法
• 软件擦除覆写
• 逐位覆写 • 跳位覆写 • 随机覆写
• 磁场消磁 • 高温消磁
中国信息安全认证中心 信息安全保障人员认证
介质数据安全销毁技术
• 光存储介质安全销毁
• 热销毁 • 化学腐蚀 • 机械破碎

——国信办[2006]5号文件
7
中国信息安全认证中心 信息安全保障人员认证
风险评估----通俗理解
通俗的讲，信息系统的安全问题就如同人的 身体健康问题。发生了信息安全亊件，就如同人得 病了；解决问题，就如同治病，信息安全风险评估 就相当于体检。
体检是预防性的、系统性的，可以防患于未然； 治病是发生损失后的补救措施。
移动通信网入侵工具；键盘、1显5 示器和麦克风中信国息入信安侵息全安保工全障认人具证员等中认心证
金融网络漏洞
韩国农协银行，韩国四大银行之一，共有约5000家分行，多
次遭到黑客利用安全漏洞迚行攻击，造成重大损失。
2011年
恶意代码Βιβλιοθήκη 275台服务器数据被完全删除 全国1154个分行的服务中断
2013年
第3章 风险评估之风险识别
锁延锋
风险评估
本小节主要对风险评估的原则以及过程迚行介绉
安全服务综述
安全审查 风险评估 等级保护 渗透测试
漏洞挖掘
安全产品 安全服务
4
中国信息安全认证中心 信息安全保障人员认证
风险评估
• 风险评估：定义
• ISO Guide（2009）：风险识别、风险分析和风险评价的全过程
具体内容：
• 评估信息系统的脆弱性、信息系统面临的威胁、脆弱性被 威胁利用的可能性以及被利用后所产生的实际负面影响， 幵根据安全亊件发生的可能性和负面影响的程度来识别信 息系统的安全风险。
1
2
3
4
5
6
7
6
中国信息安全认证中心 信息安全保障人员认证
什么是风险评估
信息安全风险评估就是从风险管理角度，运用科学 的方法和手段，系统地分析信息系统所面临的威胁及其 存在的脆弱性，评估安全事件一旦发生可能造成的危害 程度，提出有针对性的抵御威胁的防护对策和整改措施； 为防范和化解信息安全风险、将风险控制在可接受的水 平、最大限度地保障信息安全提供必要的科学依据。

cisaw应急服务方向培训计划一、培训目标CISAW应急服务方向培训计划旨在提高应急服务团队的应急处理能力和技能，培养团队的协作和沟通能力，以应对各类突发事件和灾难。

通过培训，使团队成员具备应对紧急情况的能力，能够迅速有效地处置突发事件，并能够在危机中保障组织和个人的安全和利益。

二、培训内容1. 应急救援知识培训2. 应急处理流程和标准操作规范3. 紧急情况下的团队协作和沟通技巧4. 危机公关和信息发布技巧5. 突发事件中的心理疏导和应对技巧6. 安全意识和自我保护意识培养7. 模拟演练和实战训练三、培训方法1. 理论讲授结合案例分析，介绍应急救援的基本知识和技能，培养应急处理的思维方式和方法。

2. 案例分析分析国内外各类突发事件案例，总结成功的应对方式和失败的经验教训，为团队提供借鉴和学习。

3. 训练实战模拟突发事件场景进行实战演练，检验团队应对能力，完善应急处理方案和流程。

4. 专题讲座邀请应急救援领域的专家学者进行专题讲座，分享行业最新发展和经验交流。

5. 职场技能培训提升团队成员的沟通、协作和领导能力，增强团队整体执行力。

典型应急事件案例1. 火灾应急处理2. 交通事故紧急救援3. 自然灾害应急处理4. 公共场所群体性事件应对培训时间安排本次培训计划为期3个月，每周安排2次培训课程，每次培训时间为3个小时。

其中，第1-2周为理论讲授和案例分析，第3-6周为模拟演练和实战训练，第7-12周为专题讲座和职场技能培训。

培训结束后，将组织考核和评估，对合格者颁发证书。

培训师资团队本次培训邀请国内外应急救援领域的专家学者担任培训讲师，具有丰富的实战经验和理论造诣，能够为团队提供权威和实用的培训内容。

培训预算本次培训计划共计预算XX万元，主要用于培训讲师费用、场地租赁费用、培训材料费用、实战训练器材费用等，具体费用明细及预算报告见附件。

培训效果评估1. 培训前进行应急处理能力测评，确定培训前团队成员的基础能力水平。