信息安全测试员考核标准.docx

重庆市新职业考核标准（试行）信息平安测试人员重庆市职业技能公共实训中心编审8.4信息隐 藏熟悉和掌握信息隐藏8. 4.1信息隐藏的分类、特点和常用 算法8. 4.2数字水印技术2.3高级职业 模块培训模块技能培训内容理论知识培训内容1.职 业 道 德1.1 职 业认知与 职业道德1.1. 1信息平安测试员职业简介1. 1. 2信息平安测试员工作内容1. 1. 3社会主义核心价值观1.1.1 L 1.4职业道德修养1. 2相关法律、 法规知识《中华人民共和国劳动法》1. 2. 2网络产品平安漏洞管理规定1. 2. 3网络信息平安等级保护制度1. 2. 4联网单位平安员管理方法2. 计 算 机 系 统 基 础 知 识2. 1 计 算机科学 基础知识熟悉和掌握计算机技术 概念和特点2. 1. 1数制及其转换计算机内数据的表示算术计算和逻辑计算2. 1. 4数学基础知识2.2计算机 硬（锚除1职熟悉和掌握计算机硬件 系统计算机系统的组成、体系结构 分类及特性2. 2. 2存储系统2. 2. 3可靠性与系统性能评测基础知 识2. 3计算机 软犍瞰1职熟悉和掌握计算机软件 基础知识2. 3.1数据结构与算法基本知识2. 3. 2操作系统基本知识2. 3. 3程序设计语言和语言处理程序 基础知识2. 3. 4数据库基础知识2. 3. 5计算机网络知识2. 3. 6多媒体基础知识2. 3. 7系统性能基础知识计算机应用基础知识3.1软件工 程和软件开发 工程管理基础 知识熟悉和掌握软件二讶呈和软 件开发工程管埋基瞰1职3. 1. 1软件工程基础知识3.1.1 2软件开发生命周期各阶段的目 标和任务3.1.3 主要的软件开发方法3.1.4 软件开发工具与环境基本知识3. 1. 5软件质量管理基本知识3. 1.6软件开发过程评估、软件能力 成熟度评估基本知识3. 系 统 开 发 和 运 行 基 础 知 识3. 2系统分析基瞰1职熟悉和掌握系统分析基 础知识1.1.1 2.1系统分析的目的和任务1.1.2 结构化分析方法（数据流图（DFD）和数据字典（DD）、实 体关系图（ERD）、描述加工处 理的结构化语言）1.1.3 统一建模语言（UML）1.1.4 系统规格说明书3.3系统设 计基瞰1职熟悉和掌握系统设计基 础知识3. 3.1系统设计的目的和任务3. 3. 2结构化设计方法和工具3. 3. 3系统详细设计3. 3. 4系统设计说明书3.4系统实 迎瞰职熟悉和掌握系统实施基 础知识3. 4. 1系统实施的主要任务结构化程序设计、面向对象程 序设计、可视化程序设计3. 4. 3程序设计风格3. 4. 4程序设计语言的选择3.4.5 系统测试的目的、类型,系统 测试方法3.4.6 系统转换基础知识3. 5系统运 彳记IW知^熟悉和掌握系统运行和 维护知识3. 5. 1系统运行管理知识3. 5. 2系统维护知识3. 5. 3系统评价知识3.6面向对 象开发方法基 本矢瞅熟悉和掌握面向对象开 发方法基本知识3. 6. 1面向对象开发概念3. 6. 2面向对象开发方法的优越性以 及有效领域3. 6. 3面向对象分析方法概念3. 6. 4面向对象设计方法3. 6. 5面向对象实现方法3. 6. 6面向对象数据库、分布式对象 的概念4. 信 息 安 全 管 理 知 识4.1信息安 全管理体系熟悉和掌握信息平安管 理体系4. 1. 1密码管理、网络管理、设备管 理、人员管理4.2信息安熟悉和掌握信息平安政 策4. 2.1等级保护、网络隔离、平安 监控4.3信息安 全风险评估与 窗里熟悉和掌握信息平安风 险评估与管理4. 3.1系统风险与对策、技术风险与 对策、管理风险与对策5.密 码 学 基 础 知 识5.1密码学熟悉和掌握密码学基本概 念信息的保密性、完整性和可用 性5. 1. 2密码体制5.L3古典密码以及破译方法5.2分组密 码熟悉和掌握分组密码5. 2. 1分组密码的概念5. 2. 2典型分组密码算法5. 2. 3分组密码工作模式5. 3序列密 码熟悉和掌握序列密码5. 3. 1序列密码的概念5. 3. 2线性移位寄存器序列5. 4 Hash 函数熟悉和掌握Hash函数5. 4. 1 Hash函数的概念5. 4. 2典型Hash算法5. 4. 3 HMAC5.5公钥密 码阚熟悉和掌握公钥密码体^5. 5. 1 RSA 密码5. 5. 2 El Gamal 密码5. 5. 3椭圆曲线密码5.6数字签 名熟悉和掌握数字签名5.6. 1数字签名的用途、基本模型与 平安性5. 6. 2典型数字签名体制5. 7认证熟悉和掌握认证5. 7.1 了解认证的作用和平安性5.8密钥管 理熟悉和掌握密钥管理5. 8. 1对称密码的密钥管理5. 8. 2非对称密码的密钥管理5.9密钥技熟悉和掌握密钥技术应用5. 9. 16.网 络 安 全 知 识6. 1网络安熟悉和掌握网络平安 威胁6. 1. 1网络监听6. 1.2 口令破解拒绝服务攻击6. 1.4漏洞攻击6. 1.5僵尸网络6. 1.6网络钓鱼6. 1. 7网络欺骗6. 1.8网站平安威胁6.L9社会工程6.2网络安熟悉和掌握网络平安 防御6. 2. 1防火墙6. 2. 2入侵检测与防护6. 2. 3 VPN技术6. 2. 4平安扫描和风险评估6. 2. 5平安协议6. 2. 6网络平安防范意识与策略6. 2.7网络蜜罐技术7.信 息 系 统 安 全 知 识7.1计算机 平安熟悉和掌握计算机设备 平安计算机系统结构的平安实现7. 1.2电磁辐射和干扰7. 1. 3物理平安计算机的可靠性技术7.1. 5计算机存储器平安7. 1.6嵌入式系统的平安7.2操作 系统的平安熟悉和掌握操作系统的安 全7. 2. 1操作系统平安增强的实现方法7. 2. 2身份认证访问控制7. 2. 4存储器保护技术7. 2. 5文件保护审计7. 2. 7主流操作系统平安机制分析7.3数据库熟悉和掌握球库系统的7. 3.1数据库加密7. 3.2数据库平安的概念7. 3.3数据库平安审计7. 3.4数据库备份与恢复7. 3.5主流数据库的平安机制7.4恶意代 码与软件熟悉和掌握恶意代码与 恶意软件7.4. 1恶意代码与恶意软件7.5计算机取 证，方法与工具熟悉和掌握计算机取 证，方法与工具计算机取证，方法与工具8. 应 用 安 全8.IWeb平安熟悉和掌握Web平安8. 1. 1 Web平安威胁8. 1.2 Web威胁防护技术8.2电子商8. 2.1熟悉和掌握电子商 务平安8. 2.3电子商务的特点与平安需求8. 2.4电子商务的平安认证体系8. 3嵌入 式系统熟悉和掌握嵌入式系 统8. 3.1序列密码的概念8. 3. 2 USB-Key8.4信息隐 藏熟悉和掌握信息隐藏8. 4.1信息隐藏的分类、特点和常用 算法8. 4.2数字水印技术9. 信 息 安 全 标9. 1技术标 辘本知识熟悉和掌握技术标准S本 知识9.L 1技棉准基本知识准 化 知 识9.2标准化 蒯熟悉和掌握标准化组织9. 2.1标准化组织9.3信息平安 标准熟悉和掌握信息平安标 准9. 3.1信息平安标准10.信息平安渗透测试10. 1渗透测 试知识体系概 述熟悉和掌握渗透测试知识 系信息平安渗透测试知识类10. 1. 2信息平安渗透测试知识域10.1. 3信息平安渗透测试知识子域10. 1. 4信息平安渗透测试知识体10. 2 web 安 全熟悉和掌握web平安10. 2. 1 HTTP协议10. 2. 2注入漏洞相关知识以及相关的 漏洞修复方法10. 2. 3 XSS漏洞的多种形式和防御方 法10. 2. 4请求伪造漏洞的危害和相应的 检测方法10. 2. 5文件处理漏洞的分类和代码审 计方法10. 2. 6访问控制漏洞的分类和漏洞防 御方法10. 2. 7会话管理漏洞的特性和防护方 法10. 2. 8代码审计的方法和漏洞原理10.3中间件安 全熟悉和掌握中间件平安10. 3. 1中间件的基本概念和加固方法主流中间件的权限配置，解析 漏洞风险10. 3. 3 JAVA开发的中间件反序列化 漏洞风险10. 4操作系统 平安熟悉和掌握操作系统安 全10. 4. 1 Windows操作系统的账户，文 件系统以及日志的平安基础知识10. 4. 2 Windows系统漏洞以及第二方 应用漏洞的检测和防范方法10.4.3 Linux操作系统的账户，文件 系统以及日志的平安基础知识10. 4. 4 Linux系统漏洞以及防御措施10.5数据库安 全熟悉和掌握数据库平安10. 5.1关系型数据与非关系型数据库 的区别主流关系型数据库 Mssql, Mysql, Oracle数据库角色与权限 的分配10. 5. 3关系型数据库的存储过程和内 置函数的对平安的影响10. 6渗透测试熟悉和掌握渗透测试10. 6. 1信息10. 6. 2漏洞发现10. 6. 3漏洞利用3 权重表3.1 理论知识权重表技能等级工程初级（％）中级（%）高级（％）专 业 相 关 要 求职业道德555计算机系统基础知识15105系统开发和运行基 础知识201510信息平安管理知识555密码学基础知识251510网络平安知识302015信息系统平安知识\157应用平安\158信息平安标准化知 识\\5信息平安渗透测试\\30合计1001001003.2 技能要求权重表^技能等级工程初级（％）中级（%）高级（％）操作系统平安防护与 配置1050\局域网平安防护与 配置5040\主流网络平安产品 的配置以及使用2010\常用软件的平安配 置与管理20\\程序和系统漏洞的 发现、检测以及分析\\40测试漏洞引发的安 全隐患能力\\40编写平安评测报告\\20合计100100100信息平安测试人员考核标准1 职业概况职业名称信息平安测试人员职业定义从事对评测目标的网络和系统进行渗透测试，发现平安问题并提出改进建议, 使网络和系统免受恶意攻击的技术人员职业技能等级本职业共设三个级别，分别为：初级、中级、高级。

1.1 职业环境条件室内，常温1.2 职业能力特征具有一定的法律意识、问题分析与判断能力，有较强的自主学习能力，能对 评测网络和系。