“注册信息安全开发人员”,英文为 Certified Information Security Developer ,简称CISD,系经中国信息安全测评中心认定的信息安全开发人员,具备一定的软件安全开发知识和技术,能为软件全生命周期中提供安全保障。
重点!CISD与CISP的关系是从属,CISD认证属于CISP,通过CISP考试之后,考生可以申请注册CISD证书。
软件安全开发首先讲授了传统软件开发的局限和当前软件安全开发的发展,然后按照整个软件开发的生命周期依次介绍了软件安全需求分析、安全设计、安全编码、安全测试,以及安全部署与安全开发项目管理方面的知识。它是注册信息安全开发人员需要重点掌握的基础知识。通过本部分的学习,学员应当:
了解软件安全开发的发展,国内外的相关政策和标准;
掌握各软件安全开发模型的基本思想;
理解典型安全需求分析方法;
掌握软件安全设计的原则及其在安全设计方法中的运用;
掌握典型安全缺陷及其防御措施;
掌握模糊测试、渗透测试等各类测试的原理和特点;
理解软件安全开发过程中项目管理生命周期的主要活动。
3.1 知识体:软件安全开发基础
3.1.1 知识域:软件安全开发背景
知识子域:软件的发展和安全问题
了解当前软件的安全问题
了解安全问题对软件属性的危害
知识子域:软件安全问题产生的原因
理解软件自身的安全漏洞
了解软件面临的外部威胁
3.1.2 知识域:软件安全开发的基本概念
知识子域:软件安全保障
理解软件安全保障的定义
理解软件安全保障的目标
了解软件安全保障与风险管理的关系
知识子域:软件安全开发生命周期
了解传统软件生命周期的缺陷
理解软件安全开发生命周期的概念和目标
3.1.3 知识域:软件安全开发方法
知识子域:安全开发生命周期(微软 SDL)
了解微软 SDL 的发展历史
理解微软 SDL 的概念
掌握微软 SDL 流程的 7 个阶段
知识子域:BSI(Bild Secrity In)方法
理解 BSI 方法的概念
理解 BSI 软件安全方法的三根支柱
掌握 BSI 软件安全接触点模型
知识子域:BSIMM(Bild Secrity In Matrity Model)方法
理解 BSIMM 方法的概念
了解 BSIMM 方法的发展历史
掌握 BSIMM 软件安全开发框架的 4 大领域 12 项实践
知识子域:软件成熟度模型(SAMM)方法
理解 SAMM 的目的与作用
掌握 SAMM 的总体结构
了解 SAMM 的成熟度评估方法
知识子域:综合的轻量应用安全过程(CLASP)
了解 CLASP 的概念
理解 CLASP 的特点
了解 CLASP 的角色和描述
知识子域:软件安全开发模型特点分析
理解微软 SDL 方法的特点
理解 BSI 系列方法的特点
理解 CLASP 方法的特点
理解 SAMM 的特点
以上就是希赛小编为大家整理的CISD知识点:软件安全开发基础,希望能对正在备考的考生有帮助!
