CISP > 大綱教材 > 2021年注冊信息安全開發(fā)人員（CISD）知識體系大綱

2021年注冊信息安全開發(fā)人員（CISD）知識體系大綱

CISP 責任編輯：唐丹平 2021-07-07

摘要：本文是2021年注冊信息安全開發(fā)人員（CISD）知識體系大綱，CISD是對我國我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的軟件開發(fā)人員安全開發(fā)能力實施的一種資質(zhì)評定，為了方便考生備考，官方公布了知識體系大綱，以下信息可供參考。

注冊信息安全開發(fā)人員(CISD)是對我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的軟件開發(fā)人員安全開發(fā)能力實施的一種資質(zhì)評定。本大綱從我國國情出發(fā)，結(jié)合我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全保障的實際需求和特點，以知識體系的全面性和實用性為原則，明確規(guī)定了注冊信息安全開發(fā)人員應(yīng)當掌握的知識要點，是CISD教材編制，講師授課，學(xué)員學(xué)習，以及考試命題的重要依據(jù)。

注冊信息安全開發(fā)人員(CISD)知識體系概述

“注冊信息安全開發(fā)人員”，英文為Certified Information Security Developer，簡稱CISD，系經(jīng)中國信息安全測評中心認定的信息安全開發(fā)人員，具備一定的軟件安全開發(fā)知識和技術(shù)，能為軟件全生命周期中提供安全保障。 CISD知識體系使用組件模塊化的結(jié)構(gòu)，包括知識類、知識體、知識域和知識子域四個層次。

知識類：是對信息安全保障知識領(lǐng)域的總體劃分，包含信息安全專業(yè)人員需要掌握的知識類別;

知識體：是知識類中由屬于同一技術(shù)領(lǐng)域的知識內(nèi)容構(gòu)成的相對獨立、成體系的知識集合;

知識域：是對知識體進一步分解細化形成的完整的知識組件;

知識子域：是構(gòu)成知識域的基本模塊，由一至多個具體知識要點構(gòu) 成。

本大綱規(guī)定了知識子域中每一個知識要點的內(nèi)容和深度要求，分為“了解”、 “理解”、和“掌握”三類。

了解：是最低深度要求，學(xué)員只需要正確認識該知識要點的基本概念和原理;

理解：是中等深度要求，學(xué)員需要在正確認識該知識要點的基本概念和原理的基礎(chǔ)上，深入理解其內(nèi)容，并可以進行進一步的判斷和推理;

掌握：是較高深度要求，學(xué)員需要正確認識該知識要點的概念、原理，并在深入理解的基礎(chǔ)上靈活運用。

圖11描述了CISD知識體系的結(jié)構(gòu)：

在整個注冊信息安全開發(fā)人員(CISD)的知識體系結(jié)構(gòu)中，共包括信息安全保障和軟件安全開發(fā)兩大知識類，其中軟件安全開發(fā)知識類具體包括軟件安全開發(fā)概述、軟件安全需求分析、軟件安全設(shè)計、軟件安全編碼、軟件安全測試、軟件安全部署與安全開發(fā)項目管理六個知識體，每個知識體包含多個知識域，每個知識域由一個或多個知識子域組成。

CISD知識體系結(jié)構(gòu)中，軟件安全開發(fā)知識類的六個知識體分別為：軟件安全開發(fā)概述：介紹軟件安全保障的目標和基本要素，以及軟件開發(fā)生命周期安全的基本思想，它是注冊信息安全開發(fā)人員首先需要掌握的基礎(chǔ)知識。

軟件安全需求分析:在軟件需求分析階段融入安全分析，闡述了常用的安全需求分析方法及其在實際開發(fā)過程中的應(yīng)用。

軟件安全設(shè)計：介紹軟件設(shè)計過程中應(yīng)遵循的最小特權(quán)、職責分離、縱深防御、默認安全、減少攻擊面、心理可接受等基本安全原則及其在實際開發(fā)過程中的應(yīng)用，并闡述軟件架構(gòu)安全性分析方法和基于模式的軟件安全設(shè)計方法的基本思想。

軟件安全編碼：介紹通用安全編程準則，以及信息泄露、加密漏洞、溢出攻擊、代碼注入、跨站腳本等常見安全缺陷的形成原因與危害，以其防御措施。

軟件安全測試：介紹基于風險的安全測試思想，白盒安全測試的原理、特點及常用工具，模糊測試和滲透測試等黑盒安全測試的原理及方法。

軟件安全部署與安全開發(fā)項目管理：介紹軟件安全加固、安裝和配置評估，以及軟件安全開發(fā)項目管理生命周期中的主要活動。

圖1-2描述了CISD知識體系結(jié)構(gòu)框架：