2022年CISE/CISO(注册信息安全专业人员)考试内容以考试大纲为基础,如有考生想要参加并获得CISE/CISO认证,建议先了解考纲,2022年预计仍沿用2019年版本,小编特为大家整理了注册信息安全专业人员知识体系大纲(CISE/CISO)每章内容供大家参考。以下是关于CISE/CISO的“软件安全开发:计算环境安全”内容。
注册信息安全专业人员知识体系大纲(CISE/CISO)
十、知识域:软件安全开发
10.1 知识子域:软件安全开发生命周期 10.1.1 软件生命周期模型
了解软件生命周期的概念及瀑布模型、迭代模型、增量模型、快速原型模型、 螺旋模型、净室模型等典型软件开发生命周期模型。
10.1.2 软件危机与安全问题
了解三次软件危机产生的原因、特点和解决方案;
了解软件安全和软件安全保障的基本概念。
10.1.3 软件安全生命周期模型
了解 SDL 、CLASP 、CMMI、SAMM、BSIMM 等典型的软件安全开发生命 周期模型。
10.2 知识子域:软件安全需求及设计
10.2.1 威胁建模
理解威胁建模的作用及每个阶段的工作内容;
掌握 STRIDE 模型用于进行威胁建模实践。
10.2.2 软件安全需求分析
理解软件安全需求在软件安全开发过程中的重要性;
理解安全需求分析的方法和过程。
10.2.3 软件安全设计
理解软件安全设计的重要性及内容和主要活动;
理解最小特权、权限分离等安全设计的重要原则;
理解攻击面的概念并掌握降低攻击面的方法。
10.3 知识子域:软件安全实现
10.3.1 安全编码原则
了解通用安全编程准则: 验证输入、避免缓冲区溢出、程序内部安全、安全 调用组件、程序编写编译等;
了解编码时禁止使用的风险函数;
了解相关的安全编码标准及建议;
理解常见的代码安全问题及处置办法。
10.3.2 代码安全编译
了解代码编译需要关注的安全因素。
10.3.3 代码安全审核
理解代码审查的目的;
了解常见源代码静态分析工具及方法。
10.4 知识子域:软件安全测试
10.4.1 软件测试
了解测试用例等软件测试的基本概念;
了解常见的软件测试方法及不同测试方法之间的区别和优缺点。
10.4.2 软件安全测试
了解软件安全测试的基本概念;
理解模糊测试、渗透测试等软件安全测试方法的的原理、相互的区别以及各 自的优势;
掌握安全测试的思路和方法。
10.5 知识子域:软件安全交付
10.5.1 软件供应链安全
了解软件供应链安全的概念并理解软件供应链安全措施。
10.5.2 软件安全验收
了解软件安全验收的重要性及需要考虑的内容。
10.5.3 软件安全部署
了解软件安全部署的重要性及软件安全加固、软件安全配置的概念。
