CSPEC-PXKS01
等级测评师培训及考试指南
公安部信息安全等级保护评估中心
二〇##年四月
为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作的顺利开展,公安部下发了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),对等级测评工作、等级测评机构建设以及等级测评人员进行了规范和要求。要求开展等级测评的人员参加专门培训和考试,并取得《信息安全等级测评师证书》(等级测评师分为初级、中级和高级)。等级测评人员需持等级测评师证上岗。
公安部信息安全等级保护评估中心(以下简称“评估中心”)是由公安部为建立信息安全等级保护制度,构建国家信息安全保障体系而专门批准成立的专业技术支撑机构,评估中心受国家信息安全等级保护工作协调小组办公室委托,对从事等级测评的人员进行培训和考试,对考试合格人员颁发相应的《信息安全等级测评师》证书。
1.等级测评师的分类及能力要求
信息安全等级测评师分为初级等级测评师、中级等级测评师和高级等级测评师三级。其中,初级等级测评师又分为技术和管理两类。三级等级测评师能力要求如下:
1)初级等级测评师
l 了解信息安全等级保护的相关政策、标准;
l 熟悉信息安全基础知识;
l 熟悉信息安全产品分类,了解其功能、特点和操作方法;
l 掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;
l 掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;
l 能够按照报告编制要求整理测评数据。
2)中级等级测评师
l 熟悉信息安全等级保护相关政策、法规;
l 正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
l 掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
l 具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;
l 能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;
l 能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法;
l 具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力;
l 了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题,提出合理化的整改建议。
3)高级等级测评师
l 熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展;
l 对信息安全等级保护标准体系及主要标准有较为深入的理解;
l 具有信息安全理论研究的基础、实践经验和研究创新能力;
l 具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能力;
l 熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作环节的要求。
2.培训及考试对象
信息安全等级测评师培训及考试对象是等级测评机构中从事等级测评工作的测评人员。要求这些测评人员在具备信息安全基础知识的前提下,参加初级、中级或高级等级测评师的专门培训和考试,从而满足等级测评工作岗位的需要。
1)初级等级测评师
初级等级测评师的培训对象是网络安全、主机安全、应用安全、安全管理和工具测试人员等。
报考人员需要具备信息安全基础知识和信息安全相关工作经验,熟悉TCP/IP 网络协议,了解标识与鉴别、访问控制等安全技术及原理,熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。
2)中级等级测评师
中级等级测评师的培训对象是项目负责人(或项目组长)。
报考人员需要具备信息安全理论基础,对系统安全、网络安全、应用安全等有深入了解,作为项目负责人组织实施过信息系统安全测评项目,熟悉国内外信息安全相关产品的特性,具有较丰富的测评实践经验、良好的沟通协作和文字表达能力。
3) 高级等级测评师
高级等级测评师的培训对象是技术负责人(或技术总监)。
报考人员需要具备信息安全理论基础,具有信息安全理论、信息安全技术的研究和实践经验,从事过网络信息安全方面的测评、规划、设计、实施、运维等工作。熟悉信息安全标准和产品特性,熟悉信息安全技术发展动向。
3.报名
3.1报名申请
信息安全等级测评师培训及考试报名以等级测评机构为单位统一报名。采用测评机构统一推荐的方式,依照“岗位对应,比例协调”的原则进行。初、中、高级等级测评师分别对应等级测评机构的测评员、项目负责人(或项目组长)和技术负责人(或技术总监)三个工作岗位。各等级测评机构应当根据人员岗位按65%、30%和5%的比例推荐本单位测评人员报名参加初、中、高级等级测评师的考试(其中,初级等级测评师又分为技术和管理两类)。例如,一个测评机构有测评人员15名,按照初级(技术)8名,初级(管理)2名,中级4名,高级1名的比例报名。等级测评师报名表见附件一。
3.2报名确认
评估中心对等级测评机构的报名比例和人员基本情况进行核对,核对通过的,通知等级测评机构的报考人员登录培训系统进行报考人员信息注册(现阶段培训系统未上线时线下填报人员信息)。
对发现报考人员比例不符合要求的等级测评机构,评估中心将通知其进行相应的调整后重新报名。
对发现人员基本情况明显不具备培训基础的报考人员,评估中心告知等级测评机构该报考人员可能无法通过等级测评师的考试。
3.3报名交费
通过报名确认后,评估中心通知等级测评机构按照报名的情况缴纳培训和考试费用。培训和考试费以等级测评机构为单位一次交纳。收费标准依据《等级测评师培训及考试收费标准》。报名交费采用汇款或支票的方式。
4.培训
评估中心组织对报考初、中和高级等级测评师考试的人员进行专门的培训,通过培训后方可参加相应的等级测评师考试。人员培训采用网络培训和集中培训相结合的方式(现阶段培训系统未上线时采用集中培训方式)。网络培训要求学员通过互联网登录培训系统在线接受培训。网上培训完成后,参加集中培训。集中培训以重点内容、复习、现场答疑和考前辅导为主。评估中心提前公布集中培训计划,集中培训原则上根据报名情况具体安排培训时间和地点。
4.1培训课程安排
4.2参考教材
评估中心专门为信息安全等级测评师编写了培训教材,教材分为信息安全等级测评师培训教材(初级)、信息安全等级测评师培训教材(中级)和信息安全等级保护政策培训教程。学员还可以参考其他信息安全相关培训教材。
5.考试
5.1考试方式
1)初级等级测评师
初级测评师考试采用笔试的方式,满分100分,合格分数线为60分;笔试时间为120分钟。
2)中级等级测评师
中级等级测评师考试采用笔试加面试的方式,满分100分, 笔试和面试成绩各占50分,合格分数线为60分;笔试时间为120分钟,面试时间为15分钟。
评估中心组织专家对参加中级等级测评师考试的考生进行面试。参加面试人员需要介绍本人参加过的系统测评项目的情况及承担的主要工作(5分钟),专家通过质询及评审相关材料对面试人员的能力进行考评。(评审相关材料主要包括测评指导书和等级测评报告,等级测评机构派专人将面试人员负责编写的测评指导书和测评报告送达面试现场,面试结束后收回。)
如果测评机构的现场能力评估在面试之前,面试人员的测评指导书和报告的编制情况也可在等级测评机构现场能力评估时考核。
3)高级等级测评师
高级等级测评师考试采用笔试加面试的方式,满分100分,笔试占40分,面试占60分;笔试时间为100分钟,面试时间为20分钟。
评估中心组织专家对参加高级等级测评师考试的考生进行面试。参加面试人员需要提交本人工作总结,并简要介绍主要项目经历(5分钟)。专家通过质询及评审相关材料对面试人员的能力进行考评。
5.2考试时间
等级测评师笔试时间安排在集中培训后进行,在笔试结束后进行中、高级等级测评师的面试。
评估中心提前公布笔试及面试具体时间安排。并通知考生提前登录培训系统打印准考证。
5.3成绩公布
考试结束五个工作日后,评估中心公布考试通过人员名单。应考人员对考试结果有异议的,应当在考试结果公布之日起五日内向评估中心提出成绩查询申请。评估中心按照成绩查询程序受理,并在五个工作日内反馈查询结果。
未通过考试的人员,可以免费参加一次集中培训,但参加考试需要重新报名和交费。
5.4考试纪律
考生应当遵守《等级测评师考试考场规则》,违反考场规则的,将依据《等级测评师考试违纪作弊处理规则》对其进行处理。
报名参加考试的人员,有违反考试规定或弄虚作假的,两年内不受理其考试报名申请;已经参加考试的,取消考试成绩。
6.证书
6.1证书获取
在考试结果公布后,评估中心统一印制并颁发《信息安全等级测评师》证书。证书颁发以测评机构为单位,通过测评机构转发给获证人员。
6.2证书使用
《信息安全等级测评师》证书应当妥善保管,不得涂改、出借、出租和转让。
6.3证书换发
《信息安全等级测评师》证书如有遗失,应当由所在测评机构出具证明,向评估中心提出证书补发申请。《信息安全等级测评师》证书因损毁影响使用的,可以向评估中心申请更换新证书,更换新证书的,原证书应当收回。
6.4证书查询
评估中心定期更新《信息安全等级测评师》证书持有人目录,并向社会公布,可以通过网站查验《信息安全等级测评师》证书的真实性。
附件一:信息安全等级测评师报名表(下载EXCEL格式表格)
第二篇:等级测评师培训大纲
CSPEC-PXKS02
等级测评师培训大纲
公安部信息安全等级保护评估中心
二〇一〇年四月
CSPEC-PXKS02:2010
等级测评师培训大纲
为贯彻落实《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)的精神,在全国开展信息安全等级保护测评体系建设工作,对开展等级测评工作的测评人员进行专门的培训和考试,特制定本大纲。本大纲以信息安全等级保护相关标准为基础,结合信息安全等级测评工作实际需要,明确了开展等级测评工作的人员能力要求,用以指导信息安全等级测评师的培训和考试工作。
1 培训对象
信息安全等级测评师培训是针对等级测评机构中的测评人员进行的培训,初级、中级和高等级测评师与等级测评机构中的测评员、项目负责人(或项目组长)和技术负责人(或技术总监)三个工作岗位相对应,通过初级、中级和高级等级测评师培训和考试后,颁发相应的等级测评师证书,等级测评人员需持等级测评师证上岗。
1)初级等级测评师
初级等级测评师的培训对象是网络安全、主机安全、应用安全、安全管理和工具测试人员等。
报考人员需要具备信息安全基础知识和信息安全相关工作经验,熟悉TCP/IP 网络协议,了解标识与鉴别、访问控制等安全技术及原理,熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。
2)中级等级测评师
中级等级测评师的培训对象是项目负责人(或项目组长)。
报考人员需要具备信息安全理论基础,对系统安全、网络安全、应用安全和攻击测试等有深入了解,作为项目负责人组织实施过信息系统安全测评项目,熟悉国内外信息安全相关产品特性,具有较丰富的测评实践经验、良好的沟通协作和文字表达能力。
3) 高级等级测评师
高级等级测评师的培训对象是技术负责人(或技术总监)。
第2页 共11页
CSPEC-PXKS02:2010
报考人员需要具备信息安全理论基础,具有信息安全理论、信息安全技术的研究和实践经验,从事过信息安全方面的测评、规划、设计、实施、运维等工作。熟悉信息安全标准和产品特性,熟悉信息安全技术发展动向。
2 培训方式
评估中心组织对报考初、中和高级等级测评师考试的人员进行专门的培训,通过培训后方可参加相应的等级测评师考试。人员培训采用网络培训和集中培训相结合的方式。网络培训要求学员通过互联网登录培训系统在线接受培训。网上培训完成后,参加集中培训。集中培训以重点内容、复习、现场答疑和考前辅导为主。
3 初级等级测评师
3.1 培训目标
? 了解信息安全等级保护的相关政策、标准;
? 掌握等级测评方法,熟悉网络、主机、应用、安全管理测评内容、要求
和方法,能够根据测评指导书客观、准确、完整地获取各项测评证据; ? 熟悉信息安全产品分类,了解其功能、特点,熟悉主流产品安全配置方
法;
? 掌握测评工具的操作方法,能够合理设计测试用例获取测试数据; ? 能够按照报告编制要求整理测评数据,开展等级测评工作。
3.2 培训内容
3.2.1 信息安全等级保护政策
? 信息安全等级保护制度的主要内容
目标要求:了解等级保护基本政策,包括《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、关于印发《信息安全等级保护管理办法》的通知(公通字[2007] 43号)、关于印发《关于信息安全等级保护工作的实施意见》的通知(公通字[2004] 66号)、关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函(公信安
第3页 共11页
CSPEC-PXKS02:2010
[2009]1429号)、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)等。
? 信息安全等级保护政策体系
目标要求:了解等级保护基本政策体系以及相关文件的作用。
? 等级保护工作的具体内容和要求
目标要求:了解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。
3.2.2 等级保护相关标准应用
? 等级保护标准体系及主要标准
目标要求:了解等级保护相关标准的定位、主要内容等。
? 信息安全等级保护概述
目标要求:了解等级保护工作过程及标准应用。
3.2.3 网络安全测评
? 网络全局安全测评
目标要求:能够进行安全体系架构分析,熟悉安全区域划分、边界访问控制、入侵检测和恶意代码防范等实现机制。
? 网络设备安全测评
目标要求:掌握主流交换机、路由器等网络设备的安全配置方法,熟悉设备自身安全防护、访问控制、身份认证和安全审计等安全实现方法。 ? 安全设备安全测评
目标要求:掌握主流防火墙、入侵检测系统、安全审计系统、身份认证系统等安全设备的工作原理,熟悉设备自身安全防护、访问控制、身份认证和安全审计等安全实现方法。
3.2.4 主机安全测评
? Windows操作系统安全测评
目标要求:熟悉WINDOWS操作系统的安全功能及其原理,掌握系统安全配置方法及最佳安全实践,掌握WINDOWS操作系统的安全等级测评内容,熟悉Windows操作系统自身安全防护、访问控制、身份认证和安全审计
第4页 共11页
CSPEC-PXKS02:2010
等安全实现方法。
? 类UNIX/Linux操作系统安全测评
目标要求:熟悉UNIX/LINUX操作系统的安全功能及其原理,掌握系统帐号管理、访问控制、资源和网络安全管理等的安全配置及最佳安全实践。掌握UNIX/LINUX操作系统的安全等级测评内容,熟悉类UNIX/Linux系统自身安全防护、访问控制、身份认证和安全审计等安全实现方法。
3.2.5 应用和数据安全测评
? 应用系统安全测评
目标要求:熟悉典型的Web服务器软件、中间件软件等主流商用应用系统的安全测评方法。理解并掌握应用安全包括的主要内容和测评方法。 ? 数据库安全测评
目标要求:熟悉数据库的基本安全机制、安全管理,熟悉主流数据库安全基本配置,掌握数据库安全测评内容和方法。
? 数据安全测评
目标要求:熟悉数据传输、存储、备份的安全实现技术和原理,掌握数据安全测评内容和方法。
3.2.6 安全管理测评
? 安全管理测评过程
目标要求:掌握安全管理测评的基本流程和方法,能够合理运用管理测评方法对安全管理内容进行测评。
? 安全管理测评方法与技巧
目标要求:熟悉安全管理测评的内容和方法,能够根据实际情况,合理安排资源,有效获取安全管理测评各项证据。
? 物理安全测评过程
目标要求:掌握物理安全测评的基本流程和方法,能够合理运用物理测评方法对物理安全内容进行测评。
3.2.7 工具测试方法
? 工具测试方法
第5页 共11页
CSPEC-PXKS02:2010
目标要求:熟悉漏洞基本知识、熟悉网络安全漏洞扫描器基本原理、熟练操作网络安全漏洞扫描器、测试点选取,能够对扫描结果进行分析。 ? 渗透测试方法
目标要求:熟悉渗透性测试的一般流程、熟悉黑客攻击的常用工具和技术、熟悉防范和检测黑客攻击的工具和技术。
4 中级等级测评师
4.1 培训目标
? 熟悉信息安全等级保护相关政策、法规;正确理解信息安全等级保护标
准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展; ? 熟悉信息安全等级测评方法,并熟悉测评指导书的开发、版本控制和评
审的流程和方法;
? 熟悉测评项目的工作流程和质量管理的方法;
? 能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和
测评方法;
? 能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论
的客观性和准确性;
? 了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题,
提出合理化的整改建议。
4.2 培训内容
4.2.1 信息安全等级保护政策
? 信息安全等级保护制度的主要内容
目标要求:理解等级保护基本政策,包括《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、关于印发《信息安全等级保护管理办法》的通知(公通字[2007] 43号)、关于印发《关于信息安全等级保护工作的实施意见》的通知(公通字[2004] 66号)、关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函(公信安
[2009]1429号)、《关于推动信息安全等级保护测评体系建设和开展等级测评
第6页 共11页
CSPEC-PXKS02:2010
工作的通知》(公信安[2010]303号)等。
? 信息安全等级保护政策体系
目标要求:理解等级保护基本政策体系以及相关文件的作用。 ? 等级保护工作的具体内容和要求
目标要求:理解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。
4.2.2 等级保护相关标准应用
? 等级保护标准体系及主要标准
目标要求:理解等级保护相关标准的定位、主要内容等。
? 信息安全等级保护概述
目标要求:理解等级保护工作过程及标准应用。
4.2.3 信息系统安全等级保护基本要求
? 基本要求体系结构
目标要求:熟悉标准结构、编写背景、过程。
? 基本要求主要内容
目标要求:熟悉不同级别系统之间的差别、熟悉各级安全要求内容。
4.2.4 信息系统安全等级保护测评方法
? 等级测评方法
目标要求:掌握单元测评方法、整体测评方法,能够熟练运用单元测评方法和整体测评方法进行测评。
? 能够开发测评指导书
目标要求:掌握测评指导书编制方法,能够根据测评指导书编制方法正确编制测评指导书。
? 能够设计测评方案
目标要求:掌握测评方案编制方法,能够根据信息系统的特点,正确编制测评方案,确定测评对象、测评指标、测评方法,合理选择测试点。 ? 能够编制、审核测评报告
目标要求:掌握并熟练运用测评报告的编制方法,能够根据测评报告模
第7页 共11页
CSPEC-PXKS02:2010
版要求熟练编制测评报告,能够整体把握测评报告结论的客观性和准确性。
4.2.5 信息系统安全等级保护测评实施
? 等级测评工作流程
目标要求:熟悉等级测评的工作要求,掌握等级测评的基本工作过程和方法,能够根据等级测评的工作要求编制测评项目管理流程,并进行测评项目的管理。
? 等级测评实施主要内容
目标要求:熟悉等级测评各个工作环节的主要内容,正确理解并熟练掌握单元测评各项要求内容、能够熟练运用标准指导测评过程。
4.2.6 项目管理
目标要求:熟悉项目管理的主要内容和关键环节。掌握项目质量管理、进度管理、风险管理方法。
5 高级等级测评师
5.1 培训目标
? 熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展; ? 对信息安全等级保护标准体系及主要标准有较为深入的理解;
? 熟悉等级保护工作的全过程,熟悉定级、等级测评、建设整改各个工作
环节的要求;
? 熟悉质量体系和制度建设的主要内容和方法。
? 能够把握信息安全技术的发展方向,引导本测评机构人员研究、探索和
实践信息安全测评技术和方法。
5.2 培训内容
5.2.1 信息安全等级保护政策
? 信息安全等级保护制度的主要内容
目标要求:理解等级保护基本政策,包括《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、关于印发《信息安全等级保护管理办法》的通知(公通字[2007] 43号)、关于印发《关于信息安全
第8页 共11页
CSPEC-PXKS02:2010
等级保护工作的实施意见》的通知(公通字[2004] 66号)、关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函(公信安
[2009]1429号)、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)等。
? 信息安全等级保护政策体系
目标要求:理解等级保护基本政策体系以及相关文件的作用。
? 等级保护工作的具体内容和要求
目标要求:理解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。
5.2.2 等级保护相关标准应用
? 等级保护标准体系及主要标准
目标要求:理解等级保护相关标准的定位、主要内容等。
? 信息安全等级保护概述
目标要求:理解等级保护工作过程及标准应用。
5.2.3 信息系统测评基本概念与方法
目标要求:掌握系统测评的原理和方法以及测评过程。
5.2.4 信息安全技术发展趋势
目标要求:理解信息安全的基本原理、技术及一些最新研究成果。掌握网络与信息安全的理论基础和发展趋势。
5.2.5 我国信息安全标准体系综述
目标要求:熟悉我国信息安全标准体系,熟悉主要标准的定位、作用及其主要内容。
5.2.6 国外信息系统安全保护政策和标准
目标要求:跟踪、了解国外信息安全技术、标准的发展。熟悉美国IATF、NIST系列标准,熟悉800系列中53、53A、37等主要标准的内容。
5.2.7 测评机构的质量体系建设
目标要求:熟悉质量体系和制度建设的主要内容,通过规范的制度和流
第9页 共11页
CSPEC-PXKS02:2010
程确保等级测评工作顺利开展。
6 培训课程安排
第10页 共11页
CSPEC-PXKS02:2010
第11页 共11页