1、第 1 章：信息安全工程師考試大綱考試說(shuō)明    1. 考試要求：    （1）熟悉計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)知識(shí)；    （2）熟悉信息系統(tǒng)安全的基礎(chǔ)知識(shí)；    （3）掌握操作系統(tǒng)的安全特征、安全管理與配置；    （4）掌握常見(jiàn)的網(wǎng)絡(luò)安全技術(shù)；    （5）掌握密碼學(xué)的基礎(chǔ)知識(shí)；    （6）掌握應(yīng)用系統(tǒng)安全的基本設(shè)計(jì)和實(shí)現(xiàn)方法；    （7）掌握信息系統(tǒng)安全運(yùn)行保障技術(shù)；    （8）了解信息安全新

2、技術(shù)及其發(fā)展趨勢(shì)；    （9）熟悉信息安全有關(guān)的標(biāo)準(zhǔn)化知識(shí)；    （10）熟悉信息安全有關(guān)的法律、法規(guī)和管理的基礎(chǔ)知識(shí)；    （11）正確閱讀和理解信息安全的英文資料。    2通過(guò)本級(jí)考試的合格人員能根據(jù)應(yīng)用部門(mén)的要求進(jìn)行信息系統(tǒng)安全方案的規(guī)劃、設(shè)計(jì)與實(shí)現(xiàn)；能進(jìn)行安全設(shè)備的軟硬件安裝調(diào)試；能進(jìn)行信息系統(tǒng)的安全運(yùn)行、維護(hù)和管理；能高效、可靠、安全地管理信息資源；遵紀(jì)守法且具有良好的職業(yè)道德；具有工程師的實(shí)際工作能力和業(yè)務(wù)水平，能指導(dǎo)助理工程師從事安全系統(tǒng)的構(gòu)建和管理工作。    3. 本級(jí)

3、考試設(shè)置的科目包括：    （1）信息安全基礎(chǔ)知識(shí)，考試時(shí)間為150分鐘，筆試，選擇題；    （2）信息安全應(yīng)用技術(shù)，考試時(shí)間為150分鐘，筆試，問(wèn)答題?？荚嚳颇?：信息安全基礎(chǔ)知識(shí)1. 計(jì)算機(jī)科學(xué)基礎(chǔ)知識(shí)1.1數(shù)制及其轉(zhuǎn)換    ·二進(jìn)制、八進(jìn)制、十進(jìn)制和十六進(jìn)制等常用數(shù)制及其相互轉(zhuǎn)換1.2 計(jì)算機(jī)內(nèi)數(shù)據(jù)的表示    ·數(shù)的表示（補(bǔ)碼表示，整數(shù)和實(shí)數(shù)的表示，精度和溢出）    ·非數(shù)值表示（字符和漢字表示，聲音表示、圖像表示）1.3 算術(shù)運(yùn)算和邏輯運(yùn)算 

4、;   ·計(jì)算機(jī)中的二進(jìn)制數(shù)運(yùn)算方法    ·邏輯代數(shù)的基本運(yùn)算1.4 數(shù)學(xué)基礎(chǔ)知識(shí)    ·排列組合，概率應(yīng)用，數(shù)據(jù)的統(tǒng)計(jì)分析    ·編碼基礎(chǔ)（ASCII碼，漢字編碼，奇偶校驗(yàn)，海明碼，霍夫曼碼、循環(huán)冗余碼）    ·初等數(shù)論基本知識(shí)（整除、同余、素?cái)?shù)）2. 計(jì)算機(jī)系統(tǒng)基礎(chǔ)知識(shí)2.1 計(jì)算機(jī)硬件基礎(chǔ)知識(shí)2.1.1 計(jì)算機(jī)系統(tǒng)的組成、體系結(jié)構(gòu)分類及特性    ·CPU、存儲(chǔ)器的組成、性能和基本工作原理   

5、; ·常用I/O設(shè)備、通信設(shè)備的性能以及基本工作原理    ·I/O接口的功能、類型和特性    ·CISC/RISC，流水線操作，多處理機(jī)，并行處理2.1.2 存儲(chǔ)系統(tǒng)    ·虛擬存儲(chǔ)器基本工作原理，多級(jí)存儲(chǔ)體系    ·RAID類型和特性2.1.3 可靠性與系統(tǒng)性能評(píng)測(cè)基礎(chǔ)知識(shí)    ·診斷與容錯(cuò)    ·系統(tǒng)可靠性分析評(píng)價(jià)    ·計(jì)算機(jī)系統(tǒng)性能評(píng)測(cè)方法2.2 計(jì)算機(jī)軟

6、件基礎(chǔ)知識(shí)2.2.1 數(shù)據(jù)結(jié)構(gòu)與算法基本知識(shí)2.2.2 操作系統(tǒng)基礎(chǔ)知識(shí)    ·操作系統(tǒng)的內(nèi)核（中斷控制）    ·處理機(jī)管理（進(jìn)程、線程、狀態(tài)轉(zhuǎn)換、共享與互斥、分時(shí)輪轉(zhuǎn)、搶占、死鎖）    ·存儲(chǔ)管理（主存保護(hù)、動(dòng)態(tài)連接分配、分段、分頁(yè)、虛存）    ·設(shè)備管理（I/O控制、假脫機(jī)）    ·文件管理（目錄、文件組織、存取方法、存取控制、恢復(fù)處理）    ·作業(yè)管理（作業(yè)調(diào)度，JCL，多道程序設(shè)計(jì)） 

7、  ·網(wǎng)絡(luò)操作系統(tǒng)和嵌入式操作系統(tǒng)基礎(chǔ)知識(shí)    ·操作系統(tǒng)的配置2.2.3 程序設(shè)計(jì)語(yǔ)言和語(yǔ)言處理程序基礎(chǔ)知識(shí)    ·匯編、編譯、解釋系統(tǒng)的基礎(chǔ)知識(shí)和基本工作原理    ·程序設(shè)計(jì)語(yǔ)言的基本成分：數(shù)據(jù)、運(yùn)算、控制和傳輸，程序調(diào)用的實(shí)現(xiàn)機(jī)制    ·各類程序設(shè)計(jì)語(yǔ)言的主要特點(diǎn)和適用情況2.2.4 數(shù)據(jù)庫(kù)基礎(chǔ)知識(shí)    ·數(shù)據(jù)庫(kù)模型（概念模式、外模式、內(nèi)模式）    ·數(shù)據(jù)模型，ER圖，規(guī)范化（第

8、一、第二、第三范式）    ·數(shù)據(jù)操作（集合運(yùn)算和關(guān)系運(yùn)算）    ·數(shù)據(jù)庫(kù)語(yǔ)言（數(shù)據(jù)描述語(yǔ)言，數(shù)據(jù)操作語(yǔ)言，SQL命令和語(yǔ)句）    ·數(shù)據(jù)庫(kù)管理系統(tǒng)的功能和特征    ·數(shù)據(jù)庫(kù)的控制功能（排他控制，恢復(fù)，事務(wù)管理）    ·數(shù)據(jù)倉(cāng)庫(kù)和分布式數(shù)據(jù)庫(kù)基礎(chǔ)知識(shí)2.3 計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)    ·網(wǎng)絡(luò)體系結(jié)構(gòu)（網(wǎng)絡(luò)拓?fù)?，OSI，基本的網(wǎng)絡(luò)協(xié)議）    ·傳輸介質(zhì)，傳輸技術(shù)，傳輸方法，傳輸控制&#

9、160;   ·常用網(wǎng)絡(luò)設(shè)備和各類通信設(shè)備的特點(diǎn)    ·Client-Server結(jié)構(gòu)，Browser-Server結(jié)構(gòu)    ·LAN（拓?fù)?，存取控制，組網(wǎng)，網(wǎng)間互連）    ·Internet 和Intranet 基礎(chǔ)知識(shí)以及應(yīng)用    ·TCP/IP協(xié)議（應(yīng)用層協(xié)議、傳輸層協(xié)議、網(wǎng)絡(luò)層協(xié)議、數(shù)據(jù)鏈路層協(xié)議）    ·網(wǎng)絡(luò)軟件    ·網(wǎng)絡(luò)管理，網(wǎng)絡(luò)性能分析2.4 多媒體基礎(chǔ)知識(shí) 

10、   ·多媒體系統(tǒng)基礎(chǔ)知識(shí)，多媒體設(shè)備的性能特性，常用多媒體文件格式    ·簡(jiǎn)單圖形的繪制，圖像文件的處理方法    ·音頻和視頻信息的應(yīng)用    ·多媒體應(yīng)用開(kāi)發(fā)過(guò)程2.5 系統(tǒng)性能基礎(chǔ)知識(shí)    ·性能指標(biāo)（響應(yīng)時(shí)間、吞吐量、周轉(zhuǎn)時(shí)間）和性能設(shè)計(jì)    ·性能測(cè)試和性能評(píng)估    ·可靠性指標(biāo)及計(jì)算、可靠性設(shè)計(jì)    ·可靠性測(cè)試和可靠性評(píng)估2.6 計(jì)算機(jī)應(yīng)用基

11、礎(chǔ)知識(shí)    ·信息管理、數(shù)據(jù)處理、輔助設(shè)計(jì)、自動(dòng)控制、科學(xué)計(jì)算、人工智能等基礎(chǔ)知識(shí)    ·遠(yuǎn)程通信服務(wù)基礎(chǔ)知識(shí)    ·常用應(yīng)用系統(tǒng)3. 系統(tǒng)開(kāi)發(fā)和運(yùn)行基礎(chǔ)知識(shí)3.1 軟件工程和軟件開(kāi)發(fā)項(xiàng)目管理基礎(chǔ)知識(shí)    ·軟件工程基礎(chǔ)知識(shí)    ·軟件開(kāi)發(fā)生命周期各階段的目標(biāo)和任務(wù)    ·軟件開(kāi)發(fā)項(xiàng)目管理基礎(chǔ)知識(shí)（時(shí)間管理、成本管理、質(zhì)量管理、人力資源管理、風(fēng)險(xiǎn)管理等）    ·主要的軟件開(kāi)

12、發(fā)方法（生命周期法、原型法、面向?qū)ο蠓?、CASE）    ·軟件開(kāi)發(fā)工具與環(huán)境基本知識(shí)    ·軟件質(zhì)量管理基本知識(shí)    ·軟件開(kāi)發(fā)過(guò)程評(píng)估、軟件能力成熟度評(píng)估基本知識(shí)3.2 系統(tǒng)分析基礎(chǔ)知識(shí)    ·系統(tǒng)分析的目的和任務(wù)    ·結(jié)構(gòu)化分析方法（數(shù)據(jù)流圖（DFD）和數(shù)據(jù)字典（DD）、實(shí)體關(guān)系圖（ERD）、描述加工處理的結(jié)構(gòu)化語(yǔ)言）    ·統(tǒng)一建模語(yǔ)言（UML）    ·系統(tǒng)規(guī)格說(shuō)明

13、書(shū)3.3 系統(tǒng)設(shè)計(jì)基礎(chǔ)知識(shí)    ·系統(tǒng)設(shè)計(jì)的目的和任務(wù)    ·結(jié)構(gòu)化設(shè)計(jì)方法和工具（系統(tǒng)流程圖、HIPO圖、控制流程圖）    ·系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)（總體布局、設(shè)計(jì)原則、模塊結(jié)構(gòu)設(shè)計(jì)、數(shù)據(jù)存儲(chǔ)設(shè)計(jì)、系統(tǒng)配置方案）    ·系統(tǒng)詳細(xì)設(shè)計(jì)（代碼設(shè)計(jì)、數(shù)據(jù)庫(kù)設(shè)計(jì)、用戶界面設(shè)計(jì)、處理過(guò)程設(shè)計(jì)）    ·系統(tǒng)設(shè)計(jì)說(shuō)明書(shū)3.4 系統(tǒng)實(shí)施基礎(chǔ)知識(shí)    ·系統(tǒng)實(shí)施的主要任務(wù)    ·結(jié)構(gòu)化程序設(shè)計(jì)、

14、面向?qū)ο蟪绦蛟O(shè)計(jì)、可視化程序設(shè)計(jì)    ·程序設(shè)計(jì)風(fēng)格    ·程序設(shè)計(jì)語(yǔ)言的選擇    ·系統(tǒng)測(cè)試的目的、類型，系統(tǒng)測(cè)試方法    ·系統(tǒng)轉(zhuǎn)換基礎(chǔ)知識(shí)3.5 系統(tǒng)運(yùn)行和維護(hù)知識(shí)    ·系統(tǒng)運(yùn)行管理知識(shí)    ·系統(tǒng)維護(hù)知識(shí)    ·系統(tǒng)評(píng)價(jià)知識(shí)3.6 面向?qū)ο箝_(kāi)發(fā)方法基本知識(shí)    ·面向?qū)ο箝_(kāi)發(fā)概念（類、對(duì)象、屬性、封裝性、繼承性、多態(tài)性，對(duì)象之間的引

15、用）    ·面向?qū)ο箝_(kāi)發(fā)方法的優(yōu)越性以及有效領(lǐng)域    ·面向?qū)ο蠓治龇椒ǜ拍?#160;   ·面向?qū)ο笤O(shè)計(jì)方法（體系結(jié)構(gòu)，類的設(shè)計(jì)，用戶接口設(shè)計(jì)）    ·面向?qū)ο髮?shí)現(xiàn)方法（選擇程序設(shè)計(jì)語(yǔ)言，類的實(shí)現(xiàn)，方法的實(shí)現(xiàn)，用戶接口的實(shí)現(xiàn)，準(zhǔn)備測(cè)試數(shù)據(jù)）    ·面向?qū)ο髷?shù)據(jù)庫(kù)、分布式對(duì)象的概念4信息安全管理知識(shí)4.1 信息安全管理體系    ·密碼管理、網(wǎng)絡(luò)管理、設(shè)備管理、人員管理4.2 信息安全政策   

16、·等級(jí)保護(hù)、網(wǎng)絡(luò)隔離、安全監(jiān)控4.3 信息安全風(fēng)險(xiǎn)評(píng)估與管理    ·系統(tǒng)風(fēng)險(xiǎn)與對(duì)策、技術(shù)風(fēng)險(xiǎn)與對(duì)策、管理風(fēng)險(xiǎn)與對(duì)策5. 密碼學(xué)基礎(chǔ)知識(shí)5.1 密碼學(xué)基本概念5.1.1 信息的保密性、完整性和可用性5.1.2 密碼體制2.1.3 古典密碼以及破譯方法5.2 分組密碼5.2.1 分組密碼的概念5.2.2 典型分組密碼算法    ·DES算法與安全性    ·AES算法與安全性5.2.3 分組密碼工作模式5.3 序列密碼5.3.1 序列密碼的概念5.3.2 線性移位寄存器序列5.4 Hash函數(shù)5.

17、4.1 Hash函數(shù)的概念5.4.2 典型Hash算法    ·MD-5算法與安全性    ·SHA-1算法與安全性5.4.3 HMAC5.5 公鑰密碼體制5.5.1 RSA密碼5.5.2 ElGamal密碼5.5.3 橢圓曲線密碼5.6 數(shù)字簽名5.6.1 數(shù)字簽名的用途、基本模型與安全性5.6.2 典型數(shù)字簽名體制    ·基本的RSA簽名體制算法與安全性    ·基本的ElGamal簽名體制算法與安全性    ·基本的ECC簽名體制算法與安

18、全性5.7 認(rèn)證5.8 密鑰管理5.8.1 對(duì)稱密碼的密鑰管理5.8.2 非對(duì)稱密碼的密鑰管理5.9 密碼技術(shù)應(yīng)用6. 網(wǎng)絡(luò)安全知識(shí) 6.1 網(wǎng)絡(luò)安全威脅6.1.1 網(wǎng)絡(luò)監(jiān)聽(tīng)6.1.2 口令破解6.1.3 拒絕服務(wù)攻擊6.1.4 漏洞攻擊（緩沖區(qū)溢出原理、系統(tǒng)漏洞、應(yīng)用軟件漏洞）6.1.5 僵尸網(wǎng)絡(luò)6.1.6 網(wǎng)絡(luò)釣魚(yú)6.1.7 網(wǎng)絡(luò)欺騙6.1.8 網(wǎng)站安全威脅（SQL注入攻擊、跨域攻擊、旁注攻擊）6.1.9 社會(huì)工程6.2 網(wǎng)絡(luò)安全防御6.2.1 防火墻（體系結(jié)構(gòu)、實(shí)現(xiàn)技術(shù)、配置和應(yīng)用）6.2.2 入侵檢測(cè)與防護(hù)6.2.3 VPN6.2.4 安全掃描和風(fēng)險(xiǎn)評(píng)估6.2.5 安全協(xié)議（

19、IPSec、SSL、ETS、PGP、S-HTTP、TLS、IEEE802.1x、RADIUS、Kerberos、X.509）6.2.6 網(wǎng)絡(luò)安全防范意識(shí)與策略6.2.7 網(wǎng)絡(luò)蜜罐技術(shù)7. 信息系統(tǒng)安全知識(shí)7.1 計(jì)算機(jī)設(shè)備安全7.1.1 計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)的安全實(shí)現(xiàn)7.1.2 電磁輻射和干擾7.1.3 物理安全7.1.4 計(jì)算機(jī)的可靠性技術(shù)7.1.5 計(jì)算機(jī)存儲(chǔ)器安全7.1.6 嵌入式系統(tǒng)的安全7.2 操作系統(tǒng)的安全7.2.1 操作系統(tǒng)安全增強(qiáng)的實(shí)現(xiàn)方法7.2.2 身份認(rèn)證7.2.3 訪問(wèn)控制7.2.4 存儲(chǔ)器保護(hù)技術(shù)7.2.5 文件保護(hù)7.2.6 審計(jì)7.2.7 主流操作系統(tǒng)安全機(jī)制分析

20、0;   ·Windows的安全增強(qiáng)機(jī)制方法    ·Linux的安全增強(qiáng)機(jī)制方法7.3 據(jù)庫(kù)系統(tǒng)的安全7.3.1 據(jù)庫(kù)安全的概念7.3.2 數(shù)據(jù)庫(kù)加密7.3.3 數(shù)據(jù)庫(kù)安全審計(jì)7.3.4 數(shù)據(jù)庫(kù)備份與恢復(fù)7.3.5 主流數(shù)據(jù)庫(kù)的安全機(jī)制    ·SQL的數(shù)據(jù)庫(kù)安全功能    ·Oracle數(shù)據(jù)庫(kù)的安全功能7.4 惡意代碼與惡意軟件7.5 計(jì)算機(jī)取證，方法與工具8應(yīng)用安全8.1 Web安全8.1.1 Web安全威脅8.1.2 Web威脅防護(hù)技術(shù)    ·W

21、EB訪問(wèn)安全    ·網(wǎng)頁(yè)防篡改技術(shù)    ·WEB內(nèi)容安全8.2 電子商務(wù)安全8.2.1 電子商務(wù)的特點(diǎn)與安全需求8.2.2 電子商務(wù)的安全認(rèn)證體系    ·身份認(rèn)證技術(shù)    ·數(shù)字證書(shū)技術(shù)8.2.3 電子商務(wù)的安全服務(wù)協(xié)議    ·SET協(xié)議    ·SSL協(xié)議8.3 嵌入式系統(tǒng)8.3.1 智能卡的分類與應(yīng)用8.3.2 USB-Key8.4 信息隱藏8.4.1 信息隱藏的分類、特點(diǎn)和常用算法8.4.2 數(shù)字水印

22、技術(shù)9. 信息安全標(biāo)準(zhǔn)化知識(shí)9.1 技術(shù)標(biāo)準(zhǔn)基本知識(shí)9.2 標(biāo)準(zhǔn)化組織9.3 信息安全標(biāo)準(zhǔn)10. 信息安全有關(guān)的法律、法規(guī)10.1 信息安全法律10.2 信息安全法規(guī)10.3 利用計(jì)算機(jī)犯罪10.4 公民隱私權(quán)10.5 軟件著作權(quán)10.6 專利權(quán)10.7 電子簽名法11. 專業(yè)英語(yǔ)11.1 具有工程師所要求的英語(yǔ)閱讀水平11.2 熟悉信息安全領(lǐng)域的英語(yǔ)術(shù)語(yǔ)考試科目2：信息安全應(yīng)用技術(shù)1. 密碼技術(shù)應(yīng)用    ·口令的安全分析與保護(hù)    ·密碼算法與協(xié)議的應(yīng)用2. 計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全    ·中小型網(wǎng)絡(luò)

23、的安全需求分析與基本設(shè)計(jì)    ·網(wǎng)絡(luò)安全產(chǎn)品的配置與使用    ·網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估    ·網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用    ·計(jì)算機(jī)系統(tǒng)的安全配置與安全使用3. 信息系統(tǒng)安全的分析與設(shè)計(jì)    ·信息系統(tǒng)安全的需求分析與基本設(shè)計(jì)    ·信息系統(tǒng)安全產(chǎn)品的配置與使用    ·信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估    ·信息系統(tǒng)安全防護(hù)技術(shù)的應(yīng)用4. 應(yīng)用安全 

24、  ·Web安全的需求分析與基本設(shè)計(jì)    ·電子商務(wù)安全的需求分析與基本設(shè)計(jì)    ·嵌入式系統(tǒng)的安全應(yīng)用5. 信息安全案例分析題型舉例（一）選擇題    某Web網(wǎng)站向CA申請(qǐng)了數(shù)字證書(shū)。用戶登錄該網(wǎng)站時(shí)，通過(guò)驗(yàn)證 （1） ，可確認(rèn)該數(shù)字證書(shū)的有效性，從而 （2） 。    （1）A. CA的簽名  B. 網(wǎng)站的簽名  C. 會(huì)話密鑰D. DES密碼    （2）A. 向網(wǎng)站確認(rèn)自己

25、的身份   B. 獲取訪問(wèn)網(wǎng)站的權(quán)限       C. 和網(wǎng)站進(jìn)行雙向認(rèn)證     D. 驗(yàn)證該網(wǎng)站的真?zhèn)危ǘ﹩?wèn)答題    閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題4，將解答填入答題紙對(duì)應(yīng)的解答欄內(nèi)?！菊f(shuō)明】    2007年春，ARP木馬大范圍流行。木馬發(fā)作時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)連接正常卻無(wú)法打開(kāi)網(wǎng)頁(yè)。由于ARP木馬發(fā)出大量欺騙數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)用戶上網(wǎng)不穩(wěn)定，甚至網(wǎng)絡(luò)短時(shí)癱瘓。【問(wèn)題1】（2分）    ARP木馬利用 （1） 協(xié)議設(shè)計(jì)之初沒(méi)有任何驗(yàn)證功能這一漏洞而實(shí)