网络与信息安全管理员（网络安全管理员）怎么考？（4）

网络与信息安全管理员，是2015版《中华人民共和国职业分类大典》新增职业。

工作职责：

1、负责制定和实施网络信息安全管理制度，以技术手段隔离不良信息，及时发布预知通告，发布计算机病毒、网络病毒的危害程度、防杀措施、及补救办法。教育计算机用户和网络用户树立安全意识，主动防范病毒、黑客的侵扰，抵制不良信息；建立网络信息安全监管日志。

2、负责校管理系统用户及密码的管理、提供包括开户、修改、暂停、注销等服务，做好各部门网站信息管理员备案，协助做好上网用户的备案工作，接受用户的咨询和服务请求。

3、依据信息安全管理规定，定期检查各单位主页内容，预防不良信息发布。

4、监督检查各网络接口计算机病毒的防治工作。

5、参与我院网络信息资源的系统开发、设计、建设和维护。

6、开展信息安全基础培训工作，提供信息系统安全应用的技术支持。

考试内容建议你查看《关于颁布网络与信息安全管理员国家职业技能标准的通知》，里面包含考试要求、科目内容，甚至还包括考前复习资料等。

和身份相关的安全（加密和4A）

确保身份和数据信息的关联

• 机密性相关：有权限的人才能获取数据（存储、传输），数据不能在存储和传输阶段被窃取
• 真实性相关：数据没被篡改过、数据来源正确、数据是新鲜的、

确保身份是真实的（Authentication）

• 身份的凭证（一个凭证是否足够）
• 身份的认证过程（证明凭证的正确性，关键信息保密）
• 恶劣环境中的身份安全（环境不可靠，如何认证和加密）

身份和授权的对应（Authorization）

身份不变、角色在变、资源在变，资源的访问权限和身份、角色存在动态关系

账户（account）

单点登录、账号策略与统一管理

审计(audit)

安全审计、不可否认等

如何理解加密算法

总的原则

• 算法要公开，经受考验
• 秘钥越长越安全
• 算法和实现策略（参数的生成和选取、加密流程、秘钥交换过程等）同等重要，例如Slat机制和IV+CBC机制等
• 多种算法混合使用，实现认证、加密、签名、新鲜等目的