信息安全管理實務
· 什么是信息？什么是信息安全？信息安全
管理和計劃
· 信息安全CIA目標，重要的概念
· 風險管理概念和關(guān)系模型，定量和定性風
險評估，風險消減和處理
· 安全策略、標準、指南和程序
· 安全管理角色和責任
· 數(shù)據(jù)分類
· 雇用策略和實務
· 安全意識（認知）、培訓和教育

電信與網(wǎng)絡安全
· 開放系統(tǒng)互連參考模型
· 網(wǎng)絡通信基礎(chǔ)
· 物理連接技術(shù)與特性，重要的電纜類型
· 局域網(wǎng)技術(shù)：傳輸方式，介質(zhì)訪問控制方式，拓
撲，設備
· 廣域網(wǎng)技術(shù)：鏈路類型，廣域網(wǎng)交換，協(xié)議，設
備
· 網(wǎng)絡通信協(xié)議：TCP/IP，隧道技術(shù)
· 遠程訪問安全與管理
· 網(wǎng)絡傳輸數(shù)據(jù)的安全保護：防火墻、IDS等
· 容錯和數(shù)據(jù)恢復
· 網(wǎng)絡攻擊手段與對策

訪問控制與方法
· 什么是訪問控制？訪問控制的功能和分類
· 身份識別與認證技術(shù)：口令、一次性口
令、生物識別、SSO等
· 訪問控制技術(shù)，MAC、DAC、基于角色AC等
· 訪問控制模型：狀態(tài)機模型，BLP模型，
Biba模型等
· 訪問控制實施方法：集中式與分散式
· 訪問控制管理：賬號管理，權(quán)限管理，跟
蹤審計
· 攻擊手段：口令攻擊，拒絕服務，欺騙攻
擊
· 入侵檢測，HIDS和NIDS
· 滲透測試

應用和系統(tǒng)開發(fā)
· 應用系統(tǒng)存在的一些問題
· 數(shù)據(jù)庫和數(shù)據(jù)倉庫的安全性，軟件面臨的攻擊
· 數(shù)據(jù)/信息存儲時的安全考慮
· 基于知識的系統(tǒng)：專家系統(tǒng)和神經(jīng)網(wǎng)絡
· 系統(tǒng)開發(fā)控制：在系統(tǒng)開發(fā)生命周期內(nèi)考慮到安
全措施
· 關(guān)于惡意代碼的討論
· 各種針對應用的攻擊手段

操作安全
· Due diligence
· 控制措施的類型：預防性，檢測性和糾正
性
· 管理手段：責任分離，工作輪換，最小特
權(quán)等
· 常見的IT任務：計算機操作，生產(chǎn)調(diào)度，
磁帶庫，系統(tǒng)安全等
· 日常審計和監(jiān)督
· 防病毒管理
· 變更管理，備份和介質(zhì)處理
· 事件處理
· 常見的攻擊手段，道德黑客

密碼學
· 密碼學的定義、作用和應用
· 密碼學的發(fā)展歷史
· 密碼學的方法：流密碼、對稱算法、非對稱算
法等
· 消息完整性，散列函數(shù)，數(shù)字簽名
· 公鑰基礎(chǔ)設施PKI，CA證書
· 密鑰管理：生成、交換、撤銷、恢復
· Email安全
· 各種應用于Internet的安全標準和協(xié)議
· 密碼分析學和攻擊手段
· 政府介入，密鑰托管

安全模型與體系結(jié)構(gòu)
· 安全保護機制：分層、抽象和數(shù)據(jù)隱藏
· 計算機系統(tǒng)結(jié)構(gòu)，硬件和軟件
· 安全控制的概念，TCB，RM，安全內(nèi)核，
最小特權(quán)，責任分離……
· 安全模型：訪問控制模型，信息流模型，
完整性模型等
· 系統(tǒng)評估標準：TCSEC、ITSEC、CC
· IPSec

BCP與DRP
· BCP和DRP的概念
·計劃制定過程
· 業(yè)務影響分析（BIA）
· 選擇應急計劃策略
· 備份方案的選擇
· 應急計劃人員的選擇和責任
· 應急計劃的內(nèi)容
· 應急計劃測試
· 應急計劃培訓

物理安全
· 基本的控制措施：管理性，技術(shù)性和物理
性
· 物理安全弱點和風險
· 安全設施的選擇、構(gòu)建和維護
· 磁帶和介質(zhì)庫保護策略
· 文檔（硬拷貝）庫
· 垃圾處理
· 物理入侵檢測

法律、調(diào)查和道德
· 基本法律類型
· 關(guān)于計算機犯罪的討論
· 計算機安全事件
· 調(diào)查取證，可信性和權(quán)威性，最佳證據(jù)規(guī)則，證
據(jù)鏈
· 計算機辨析學
· 計算機道德