信息安全工程师考试大纲一、考试说明1. 考试要求：（1）熟悉计算机系统和网络系统的基础知识；（2）熟悉信息系统安全的基础知识；（3）掌握操作系统的安全特征、安全管理与配置；（4）掌握常见的网络安全技术；（5）掌握密码学的基础知识；（6）掌握应用系统安全的基本设计和实现方法；（7）掌握信息系统安全运行保障技术；（8）了解信息安全新技术及其发展趋势；（9）熟悉信息安全有关的标准化知识；（10）熟悉信息安全有关的法律、法规和管理的基础知识；（11）正确阅读和理解信息安全的英文资料。

2．通过本级考试的合格人员能根据应用部门的要求进行信息系统安全方案的规划、设计与实现；能进行安全设备的软硬件安装调试；能进行信息系统的安全运行、维护和管理；能高效、可靠、安全地管理信息资源；遵纪守法且具有良好的职业道德；具有工程师的实际工作能力和业务水平，能指导助理工程师从事安全系统的构建和管理工作。

3. 本级考试设置的科目包括：（1）信息安全基础知识，考试时间为150 分钟，笔试，选择题；（2）信息安全应用技术，考试时间为150 分钟，笔试，问答题。

二、考试范围考试科目1：信息安全基础知识1.计算机科学基础知识1.1数制及其转换●二进制、八进制、十进制和十六进制等常用数制及其相互转换1.2计算机内数据的表示●数的表示（补码表示，整数和实数的表示，精度和溢出）●非数值表示（字符和汉字表示，声音表示、图像表示）1.3算术运算和逻辑运算●计算机中的二进制数运算方法●逻辑代数的基本运算1.4数学基础知识●排列组合，概率应用，数据的统计分析●编码基础（ASCII码，汉字编码，奇偶校验，海明码，霍夫曼码、循环冗余码）●初等数论基本知识（整除、同余、素数）2.计算机系统基础知识2.1计算机硬件基础知识2.1.1计算机系统的组成、体系结构分类及特性●CPU、存储器的组成、性能和基本工作原理●常用I/O设备、通信设备的性能以及基本工作原理●I/O接口的功能、类型和特性●CISC/RISC，流水线操作，多处理机，并行处理2.1.2存储系统●虚拟存储器基本工作原理，多级存储体系●RAID类型和特性2.1.3可靠性与系统性能评测基础知识●诊断与容错●系统可靠性分析评价●计算机系统性能评测方法2.2计算机软件基础知识2.2.1数据结构与算法基本知识2.2.2 操作系统基础知识●操作系统的内核（中断控制）●处理机管理（进程、线程、状态转换、共享与互斥、分时轮转、抢占、死锁）●存储管理（主存保护、动态连接分配、分段、分页、虚存）●设备管理（I/O控制、假脱机）●文件管理（目录、文件组织、存取方法、存取控制、恢复处理）●作业管理（作业调度，JCL，多道程序设计）●网络操作系统和嵌入式操作系统基础知识●操作系统的配置2.2.3程序设计语言和语言处理程序基础知识●汇编、编译、解释系统的基础知识和基本工作原理●程序设计语言的基本成分：数据、运算、控制和传输，程序调用的实现机制●各类程序设计语言的主要特点和适用情况2.2.4 数据库基础知识●数据库模型（概念模式、外模式、内模式）●数据模型，ER图，规范化（第一、第二、第三范式）●数据操作（集合运算和关系运算）●数据库语言（数据描述语言，数据操作语言，SQL命令和语句）●数据库管理系统的功能和特征●数据库的控制功能（排他控制，恢复，事务管理）●数据仓库和分布式数据库基础知识2.3 计算机网络知识●网络体系结构（网络拓扑，OSI，基本的网络协议）●传输介质，传输技术，传输方法，传输控制●常用网络设备和各类通信设备的特点●Client-Server结构，Browser-Server结构●LAN（拓扑，存取控制，组网，网间互连）●Internet 和Intranet 基础知识以及应用●TCP/IP 协议（应用层协议、传输层协议、网络层协议、数据链路层协议）●网络软件●网络管理，网络性能分析2.4 多媒体基础知识●多媒体系统基础知识，多媒体设备的性能特性，常用多媒体文件格式●简单图形的绘制，图像文件的处理方法●音频和视频信息的应用●多媒体应用开发过程2.5 系统性能基础知识●性能指标（响应时间、吞吐量、周转时间）和性能设计●性能测试和性能评估●可靠性指标及计算、可靠性设计●可靠性测试和可靠性评估2.6 计算机应用基础知识●信息管理、数据处理、辅助设计、自动控制、科学计算、人工智能等基础知识●远程通信服务基础知识●常用应用系统3.系统开发和运行基础知识3.1 软件工程和软件开发项目管理基础知识●软件工程基础知识●软件开发生命周期各阶段的目标和任务●软件开发项目管理基础知识（时间管理、成本管理、质量管理、人力资源管理、风险管理等）●主要的软件开发方法（生命周期法、原型法、面向对象法、CASE）●软件开发工具与环境基本知识●软件质量管理基本知识●软件开发过程评估、软件能力成熟度评估基本知识3.2系统分析基础知识●系统分析的目的和任务●结构化分析方法（数据流图（DFD）和数据字典（DD）、实体关系图（ERD）、描述加工处理的结构化语言）●统一建模语言（UML）●系统规格说明书3.3系统设计基础知识●系统设计的目的和任务●结构化设计方法和工具（系统流程图、HIPO图、控制流程图）●系统总体结构设计（总体布局、设计原则、模块结构设计、数据存储设计、系统配置方案）●系统详细设计（代码设计、数据库设计、用户界面设计、处理过程设计）●系统设计说明书3.4系统实施基础知识●系统实施的主要任务●结构化程序设计、面向对象程序设计、可视化程序设计●程序设计风格●程序设计语言的选择●系统测试的目的、类型，系统测试方法●系统转换基础知识3.5 系统运行和维护知识●系统运行管理知识●系统维护知识●系统评价知识3.6 面向对象开发方法基本知识●面向对象开发概念（类、对象、属性、封装性、继承性、多态性，对象之间的引用）●面向对象开发方法的优越性以及有效领域●面向对象分析方法概念●面向对象设计方法（体系结构，类的设计，用户接口设计）现，准备测试数据）●面向对象实现方法（选择程序设计语言，类的实现，方法的实现，用户接口的实●面向对象数据库、分布式对象的概念4．信息安全管理知识4.1 信息安全管理体系●密码管理、网络管理、设备管理、人员管理4.2 信息安全政策●等级保护、网络隔离、安全监控4.3 信息安全风险评估与管理●系统风险与对策、技术风险与对策、管理风险与对策5.密码学基础知识5.1密码学基本概念5.1.1信息的保密性、完整性和可用性5.1.2密码体制2.1.3 古典密码以及破译方法5.2分组密码5.2.1分组密码的概念5.2.2典型分组密码算法●DES 算法与安全性●AES 算法与安全性5.2.3分组密码工作模式5.3序列密码5.3.1序列密码的概念5.3.2线性移位寄存器序列5.4Hash 函数5.4.1Hash 函数的概念5.4.2典型Hash 算法●MD-5 算法与安全性●SHA-1 算法与安全性5.4.3HMAC5.5公钥密码体制5.5.1RSA 密码5.5.2ElGamal 密码5.5.3椭圆曲线密码5.6数字签名5.6.1数字签名的用途、基本模型与安全性5.6.2典型数字签名体制●基本的RSA 签名体制算法与安全性●基本的ElGamal 签名体制算法与安全性●基本的ECC 签名体制算法与安全性5.7认证5.8 密钥管理5.8.1 对称密码的密钥管理5.8.2 非对称密码的密钥管理5.9 密码技术应用6.网络安全知识6.1网络安全威胁6.1.1网络监听6.1.2口令破解6.1.3拒绝服务攻击6.1.4漏洞攻击（缓冲区溢出原理、系统漏洞、应用软件漏洞）6.1.5僵尸网络 6.1.6 网络钓鱼6.1.7网络欺骗6.1.8网站安全威胁（SQL 注入攻击、跨域攻击、旁注攻击）6.1.9社会工程6.2网络安全防御6.2.1防火墙（体系结构、实现技术、配置和应用）6.2.2入侵检测与防护6.2.3VPN6.2.4安全扫描和风险评估6.2.5安全协议（IPSec、SSL、ETS、PGP、S-HTTP、TLS、IEEE802.1x、RADIUS、Kerberos、X.509）6.2.6网络安全防范意识与策略6.2.7网络蜜罐技术7.信息系统安全知识7.1计算机设备安全7.1.1计算机系统结构的安全实现7.1.2电磁辐射和干扰7.1.3物理安全7.1.4计算机的可靠性技术7.1.5计算机存储器安全7.1.6嵌入式系统的安全7.2操作系统的安全7.2.1操作系统安全增强的实现方法7.2.2身份认证7.2.3访问控制7.2.4存储器保护技术7.2.5文件保护7.2.6审计7.2.7主流操作系统安全机制分析●Windows 的安全增强机制方法●Linux 的安全增强机制方法7.3 据库系统的安全7.3.2 数据库加密7.3.1 据库安全的概念7.3.3 数据库安全审计7.3.4 数据库备份与恢复7.3.5 主流数据库的安全机制●SQL 的数据库安全功能●Oracle 数据库的安全功能7.4恶意代码与恶意软件7.5计算机取证，方法与工具8．应用安全8.1 Web 安全8.1.1Web 安全威胁8.1.2Web 威胁防护技术●WEB 访问安全●网页防篡改技术●WEB 内容安全8.2 电子商务安全8.2.1电子商务的特点与安全需求8.2.2电子商务的安全认证体系●身份认证技术●数字证书技术8.2.3 电子商务的安全服务协议●SET 协议●SSL 协议8.3 嵌入式系统8.3.1智能卡的分类与应用8.3.2USB-Key8.4 信息隐藏8.4.1信息隐藏的分类、特点和常用算法8.4.2数字水印技术9.信息安全标准化知识9.1技术标准基本知识9.2标准化组织9.3信息安全标准10.信息安全有关的法律、法规10.1信息安全法律10.2 信息安全法规 10.6 专利权10.3 利用计算机犯罪10.4 公民隐私权10.5 软件著作权10.7 电子签名法11.专业英语11.1具有工程师所要求的英语阅读水平11.2熟悉信息安全领域的英语术语考试科目2：信息安全应用技术1.密码技术应用●口令的安全分析与保护●密码算法与协议的应用2.计算机系统与网络安全●中小型网络的安全需求分析与基本设计●网络安全产品的配置与使用●网络安全风险评估●网络安全防护技术的应用●计算机系统的安全配置与安全使用3.信息系统安全的分析与设计●信息系统安全的需求分析与基本设计●信息系统安全产品的配置与使用●信息系统安全风险评估●信息系统安全防护技术的应用4.应用安全●Web 安全的需求分析与基本设计●电子商务安全的需求分析与基本设计●嵌入式系统的安全应用5.信息安全案例分析三、题型举例（一）选择题● 某Web 网站向CA 申请了数字证书。