2024年软考-信息安全工程师考试介绍及考纲

2024年软考-信息安全工程师

考试介绍及考纲

一、考试信息

考试时间：预计2024年11月9日-12日。
考试科目：
科目一：基础知识
客观题：75空
满分：75分
科目二：应用技术
主观题：4-6道大题
满分：75分
合格标准：软考各科目合格标准为试卷满分的60%。软考各科目满分为75分，软考各科目合格标准均为45分。

二、考试方式

2024年度计算机软件资格考试(初级、中级、高级)采取计算机化考试方式。
1.：基础知识和应用技术2个科目连考，作答总时长240分钟，基础知识科目考试最长作答时长120分钟，最短作答时长90分钟，选择不参加应用技术科目考试的考生开考120分钟后可以交卷离场，选择继续作答应用技术科目的，考试结束前60分钟可以交卷离场。

1. 软考信息安全工程师考试科目设置

考试科目1：基础知识，选择题，单选75道，满分75分。
考试科目2：应用技术，案例分析题，4道大题，满分75分。

2. 软考信息安全工程师考试内容

信息安全基础知识：考试会测试信息安全的基本概念、安全模型、安全策略、风险评估等知识。备考时，需要了解信息安全的基本原理和常见威胁，掌握关于安全管理、法律法规、伦理道德等方面的知识。
信息安全管理：考试会关注信息安全管理的理论和实践，包括信息安全管理体系、安全政策与规程、安全风险管理等方面。备考时，需要了解信息安全管理的基本框架和流程，熟悉信息安全管理的方法和工具，如ISO 27001信息安全管理体系。
网络安全：考试会测试网络安全的基本原理和技术，包括网络攻防、网络安全设备、入侵检测与防护等方面。备考时，需了解网络安全的基本概念和技术，如网络防火墙、入侵检测系统（IDS/IPS）、防护系统（IPS）等，能够分析和应对常见的网络安全事件。
系统安全：考试会关注系统安全的设计和管理，包括操作系统安全、数据库安全、应用软件安全等方面。备考时，需要了解系统安全的基本原理和技术，熟悉系统安全防护措施和配置，例如访问控制、安全策略、安全补丁管理等。
应用安全：考试会测试应用安全的设计和评估，包括Web应用安全、移动应用安全等方面。备考时，需了解应用安全的基本原理和技术，熟悉常见的应用漏洞和防御措施，掌握Web应用安全审计、代码审计等方法。
密码学：考试会关注密码学的基本原理和应用，包括对称加密、非对称加密、数字签名、密钥管理等方面。备考时，需要了解密码学的基本概念和算法，了解常见的加密协议和安全机制。

三、分值分布

1、选择题篇

2、案例分析题

官方教材改版之前（2016~2019年）

官方教材改版之后（2020年-2023年）

四、考纲

考试目标

通过本考试的合格人员能够掌握网络信息安全的基础知识和技术原理；根据国家网络信息安全相关法律法规及业务安全保障要求，能够规划、设计信息系统安全方案，能够配置和维护常见的网络安全设备及系统；能够对信息系统的网络安全风险进行监测和分析，并给出网络安全风险问题的整改建议；能够协助相关部门对单位的信息系统进行网络安全审计和网络安全事件调查；能够对网络信息安全事件开展应急处置工作；具有工程师的实际工作能力和业务水平。

考试要求

（1）熟悉网络信息安全的机密性、可用性、完整性等基本知识
，了解个人信息隐私保护的概念；
（2）熟悉网络信息系统的身份认证、访问控制、日志审计、安全监控工作机制和技术原理；
（3）掌握密码体制
、密码算法、密码威胁、密码应用等基本知识与技术，熟悉数据加密、SSL、VPN、数字签名
、PKI等密码应用工作原理；
（4）掌握网络安全威胁工作原理，理解端口扫描、口令破解、缓冲区溢出
、计算机病毒、网络蠕虫、特洛伊木马
、僵尸网络、网站假冒、拒绝服务、网络嗅探、SQL注入等网络安全威胁相关知识；
（5）掌握防火墙、漏洞扫描、VPN、物理隔离、入侵检测
、入侵防御、系统安全增强、安全审计、可信计算
、隐私保护、数字水印、安全风险评估、安全应急响应等网络安全技术原理及应用；
（6）熟悉网络信息安全风险评估
工作机制，了解物理环境、计算机、操作系统、数据库、应用系统、网站、智能手机、互联网、移动应用、云计算、物联网、工业控制、大数据、智能设备、机器学习等领域的安全风险，能够提出网络信息安全技术
和管理解决方案，能够理解和分析评估网络安全厂商的产品技术方案；
（7）能够阅读网络信息安全等级保护
标准和相关规范，能够理解相关技术标准要求；
（8）能够阅读和理解网络信息安全相关的法律法规、管理规定；
（9）熟练阅读和正确理解网络信息安全相关领域的科技英文资料，了解物联网、云计算、人工智能、大数据等新兴技术的网络安全风险。

考试科目设置

（1）信息安全基础知识
，机试，选择题。
（2）信息安全应用技术，机试，问答题。

考试范围

考试科目1：网络信息安全基础知识和技术（仅目录）
1.网络信息安全概述
2.网络攻击原理与常用方法
3.密码学基本理论
4.网络安全体系与网络安全模型
5.物理与环境安全技术
6.认证技术原理与应用
7.访问控制技术
原理与应用
8.防火墙技术原理与应用
9.VPN技术原理与应用
10.入侵检测技术原理与应用
11.网络物理隔离技术原理与应用
12.网络安全审计技术原理与应用
13.网络安全漏洞防护技术原理与应用
14.恶意代码防范
技术原理
15.网络安全主动防御技术原理与应用
16.网络安全风险评估技术原理与应用
17.网络安全应急响应技术原理与应用
18.网络安全测评技术与标准
19.操作系统安全保护
20.数据库系统安全
21.网络设备安全
22.网络信息安全专业英语
考试科目2：网络信息安全工程师
与综合应用实践（仅目录）
1.网络安全风险评估与需求分析
2.网络安全常用方案设计
3.网络安全设备部署与使用
4.网络信息系统安全配置与管理
5.网站安全需求分析与安全保护工程
6.云计算安全需求分析与安全保护工程
7.工控安全需求分析与安全保护工程
8.移动应用安全
需求分析与安全保护工程
9.大数据安全需求分析与安全保护工程