信息安全工程师考试大纲第二版（7）

●网络审计数据保护技术(系统用户分权管理、审计数据强制访问、审计数据加密、审计数据隐私保护、审计数据完整性保护、审计数据备份等)

12.4 网络安全审计主要技术指标与产品

●网络安全审计主要技术指标(功能技术指标理解、性能技术指标理解、安全技术指标理解等)

●网络安全审计产品工作机制分析、网络安全审计产品标准理解、网络安全审计产品适用场景等

12.5 网络安全审计应用

●网络合规使用

●网络电子取证

●网络安全运维保障

13.网络安全漏洞防护技术原理与应用

13.1 网络安全漏洞概述

●网络安全漏洞概念

●网络安全漏洞危害(敏感信息泄露、普通用户权限提升、获取远程管理员权限、拒绝服务、服务器信息泄露、非授权访问、读取受限文件、身份假冒、口令恢复、欺骗等)

●国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)等的漏洞标准规范

13.2 网络安全漏洞分类与管理

●网络安全漏洞来源(非技术性安全漏洞和技术性安全漏洞)

●非技术性安全漏洞(网络安全责任主体不明、网络安全策略不完备、网络安全操作技能不足、网络安全监督缺失、网络安全特权控制不完备等)

●技术性安全漏洞(设计错误、输入验证错误、缓冲区溢出、意外情况处置错误、访问验证错误、配置错误、竞争条件、环境错误等)

●网络安全漏洞命名规范(CVE、CNNVD、CNVD等)

●网络安全漏洞分类分级(CNNVD漏洞分级方法、通用漏洞计分系统、OWASP TOP 10 Web 应用漏洞等)

●网络安全漏洞发布(漏洞发布方式、漏洞信息发布内容等)

网络安全漏洞获取(漏洞信息来源、漏洞信息内容等)

●网络安全漏洞信息来源(国家信息安全漏洞库、国家信息安全漏洞共享平台、Bugtraq 漏洞库等)

●网络安全漏洞管理过程(网络信息系统资产确认、网络安全漏洞信息采集、网络安全漏洞评估、网络安全漏洞消除和控制、网络安全漏洞变化跟踪等)

13.3 网络安全漏洞扫描技术与应用

●主机漏洞扫描技术