新書推薦:
《
勇往值钱:做自己人生的CEO
》
售價:NT$
311.0
《
里山资本主义:不做金钱的奴隶,做个安心的里山主人(献礼大地)
》
售價:NT$
307.0
《
欧洲雇佣兵研究(1350-1800)
》
售價:NT$
338.0
《
费里尼的电影
》
售價:NT$
463.0
《
第一性原理:21堂科学通识课(《奇怪的知识增加了》作者马库斯·乔恩全新力作)
》
售價:NT$
411.0
《
过渡劳动:平台经济下的外卖骑手(薄荷实验)
》
售價:NT$
510.0
《
爱的重构:让自己成为家庭幸福掌舵人
》
售價:NT$
510.0
《
春雨杏花急急落,车马春山慢慢行(生活是美好的,人是有诗意的。汪曾祺、沈从文、梁实秋等17位名家写给现代人的诗意生活美学之书)
》
售價:NT$
270.0
|
| 內容簡介: |
|
本书包括7章内容,分别为:概述,信息系统安全测评标准,信息系统安全合规性测评关键技术,测评实施与分析,信息系统安全测评案例分析,信息系统安全测评技术新进展。本书以基于等级保护的重要信息安全测评等作为学习对象,要求学生熟练将安全技术应用到重要信息系统中,并能够提供规范化的系统测评技术文档。
|
| 關於作者: |
|
夏冰,中原工学院计算机学院,副教授,河南省优秀指导教师,公安部等级保护测评高级测评师,信息系统高级规划师。
|
| 目錄:
|
目录
第1章信息系统安全测评概述1
1.1信息安全发展历程1
1.2相关概念2
1.2.1信息系统安全2
1.2.2信息系统安全管理3
1.2.3信息系统安全保障5
1.3信息系统安全测评作用7
1.4信息安全标准组织10
1.5国外重要信息安全测评标准11
1.5.1TCSEC11
1.5.2ITSEC12
1.5.3CC标准13
1.6我国信息安全测评标准14
1.6.1GBT 18336《信息技术安全性评估准则》15
1.6.2GBT 20274《信息系统安全保障评估框架》15
1.6.3信息系统安全等级保护测评标准15
1.6.4信息系统安全分级保护测评标准16
1.7信息系统安全等级保护工作17
1.7.1等级保护概念17
1.7.2工作角色和职责19
1.7.3工作环节20
1.7.4工作实施过程的基本要求21
1.7.5实施等级保护的基本原则23
1.8信息系统安全测评的理论问题23
1.8.1 测的理论问题23
1.8.2 评的理论问题27
1.9小结29
第2章信息系统安全通用要求31
2.1安全基本要求31
2.1.1背景介绍31
2.1.2体系架构31
2.1.3作用和特点33
2.1.4等级保护2.0时代33
2.2信息系统安全等级保护基本要求35
2.2.1指标数量35
2.2.2指标要求35
2.2.3不同保护等级的控制点对比36
2.3网络安全等级保护安全通用要求37
2.3.1技术要求37
2.3.2管理要求43
2.3.3安全通用基本要求项分布49
第3章信息系统安全扩展要求51
3.1云计算51
3.1.1云计算信息系统概述51
3.1.2云计算平台面临的安全威胁52
3.1.3云计算安全扩展要求53
3.1.4安全扩展要求项分布57
3.2移动互联网58
3.2.1移动互联网系统概述58
3.2.2移动互联网安全威胁59
3.2.3移动互联安全扩展要求60
3.2.4安全扩展要求项分布62
3.3物联网63
3.3.1物联网系统概述63
3.3.2物联网对等级测评技术的影响64
3.3.3物联网安全扩展要求65
3.3.4安全扩展要求项分布67
3.4工业控制系统67
3.4.1工业控制系统概述67
3.4.2工业控制系统安全现状70
3.4.3工业控制系统安全扩展要求概述71
3.4.4工业控制系统安全扩展要求76
3.4.5安全扩展要求项分布79
第4章信息系统安全测评方法80
4.1测评流程及方法80
4.1.1测评流程80
4.1.2测评方法81
4.2测评对象及内容82
4.2.1技术层安全测评对象及内容83
4.2.2管理层安全测评对象及内容87
4.2.3不同安全等级的测评对象91
4.2.4不同安全等级测评指标对比93
4.2.5不同安全等级测评强度对比94
4.3测评工具与接入测试95
4.3.1测评工具95
4.3.2漏洞扫描工具96
4.3.3协议分析工具100
4.3.4渗透测试工具100
4.3.5性能测试工具101
4.3.6日志分析工具102
4.3.7代码审计工具103
4.3.8接入测试104
4.4信息系统安全测评风险分析与规避105
4.4.1风险分析105
4.4.2风险规避105
4.5常见问题及处置建议106
4.5.1测评对象选择106
4.5.2测评方案编写107
4.5.3测评行为管理107
第5章信息系统安全测评技术108
5.1检查技术108
5.1.1网络和通信安全108
5.1.2设备和计算安全116
5.1.3应用和数据安全127
5.2目标识别和分析技术130
5.2.1网络嗅探130
5.2.2网络端口和服务识别131
5.2.3漏洞扫描133
5.3目标漏洞验证技术139
5.3.1密码破解139
5.3.2渗透测试144
5.3.3性能测试147
第6章信息系统安全测评实施与分析150
6.1测评实施150
6.1.1测评实施准备151
6.1.2现场测评和记录153
6.1.3结果确认156
6.2测评项结果分析与量化157
6.2.1基本概念间的关系157
6.2.2单对象单测评项量化157
6.2.3测评项权重赋值158
6.2.4控制点分析与量化159
6.2.5问题严重程度值计算160
6.2.6修正后的严重程度值和符合程度的计算160
6.2.7系统整体测评计算162
6.2.8系统安全保障情况得分计算164
6.2.9安全问题风险评估165
6.2.10等级测评结论的结果判定165
6.3风险评估结果分析与量化166
6.3.1基本概念间的关系166
6.3.2资产识别与分析167
6.3.3威胁识别与分析171
6.3.4脆弱性识别与分析174
6.3.5风险分析175
第7章信息系统安全测评案例分析177
7.1测评报告模板与分析177
7.1.1等级保护测评报告结构分析177
7.1.2风险评估报告结构分析181
7.2等级保护测评案例184
7.2.1重要信息系统介绍184
7.2.2等级测评工作组和过程计划184
7.2.3等级测评工作所需资料185
7.2.4测评对象187
7.2.5单元测评结果188
7.2.6整体测评结果190
7.2.7总体安全状况分析191
7.2.8等级测评结论192
7.3风险评估测评案例192
7.3.1电子政务系统基本情况介绍192
7.3.2风险评估工作概述193
7.3.3风险评估所需资料194
7.3.4评估对象的管理和技术措施表196
7.3.5资产识别与分析197
7.3.6威胁识别与分析199
7.3.7脆弱性识别与分析201
7.3.8风险分析结果202
7.4测评报告撰写注意事项205
7.4.1等级保护测评注意事项205
7.4.2风险评估注意事项205
附录A第三级信息系统测评项权重赋值表207
附录B.1等级保护案例控制点符合情况汇总表220
附录B.2等级保护案例安全问题汇总表223
附录B.3等级保护案例修正因子(0.9)汇总表226
附录B.4等级保护案例安全层面得分汇总表231
附录B.5等级保护案例风险评估汇总表233
附录C.1风险评估案例基于等级保护的威胁数据采集表236
附录C.2风险评估案例威胁源分析表238
附录C.3风险评估案例威胁源行为分析表241
附录C.4风险评估案例威胁能量分析表243
附录C.5风险评估案例威胁赋值表245
附录C.6风险评估案例威胁和资产对应表247
附录C.7风险评估案例脆弱性分析赋值表248
附录C.8风险评估案例251
附录C.9基于脆弱性的风险排名表253
参考文献255
|
| 內容試閱:
|
前 言
2017年6月1日,《中华人民共和国网络安全法》(本书简称《网络安全法》)正式实施。《网络安全法》是我国网络空间安全的第一部网络安全基本大法,为今后网络安全工作的顺利开展给出了法律约束和指导。《网络安全法》第二十一条确定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。因此,网络安全等级保护制度从信息安全保障工作的一项基本制度上升为国家法律。
自《网络安全法》出台以后,国家将信息系统安全等级保护变更为网络安全等级保护,后继配套的法律、法规会陆续出台。网络安全等级保护的基本要求主要从技术和管理两个层面展开。根据信息系统重要程度及受损害后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分,我国把信息系统安全保护等级分为五级,从低到高分别是第一级、第二级、第三级、第四级、第五级。国家信息系统安全保护等级越高,信息系统的安全保护能力也就越强。
网络安全等级保护的基本要求,是在传统信息系统安全等级保护基本要求的基础上,针对移动互联网、云计算、大数据、物联网和工业控制等新技术、新应用领域,加入了扩展的安全要求。为了便于网络运营者按照网络安全等级要求进行信息系统建设,国家出台GBT22239《网络安全等级保护基本要求》,采取1 X的保护要求,其中,1是指安全通用要求,X随着技术的发展而进行扩展。目前主要包括云计算安全扩展要求、移动互联网安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求和大数据安全扩展要求。《网络安全等级保护基本要求》提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施,为信息系统建设单位和运营使用单位在系统安全建设中提供参照。
网络安全测评是衡量等级保护制度落实的有利抓手和标尺。《网络安全法》第三十一条规定国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。第三十八条确定关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,因此,如何确定信息系统建设单位和运营使用单位是否按照所定等级开展系统安全合规性建设,对应等级的安全保护保护能力是否满足,信息系统安全防护能力是否有效,这就需要对信息系统进行安全测评。为了便于等级保护测评工作的开展,国家出台GBT 28448《信息安全技术网络安全等级保护测评要求》、GBT 28449《信息安全技术网络安全等级保护测评过程指南》,指导测评机构、测评人员、运行维护技术人员、安全服务人员、技术咨询人员等开展信息安全等级保护测评工作。以网络安全等级保护送审稿中的三级系统测评基本通用要求为例,共涉及232项指标,上千个检查要点内容。为了便于信息系统安全相关人员开展工作,本书编者依据多年的技术研究和教学工作经验编写了本书。
本书共7章,围绕信息系统安全测评的全过程展开。
第1章信息系统安全测评概述,主要讲述信息安全相关概念、信息安全管理和保障、信息安全测评标准、信息安全等级保护、信息安全测评中的理论问题。
第2章信息系统安全通用要求,包括信息系统安全等级保护基本要求和网络安全等级保护安全通用要求。
第3章信息系统安全扩展要求,基于网络安全等级保护标准的送审稿,从概述、安全威胁、安全扩展要求角度介绍云计算、物联网、移动互联网和工业控制系统。
第4章信息系统安全测评方法,主要介绍测评流程、测评对象、测评工具、测评风险规避和常见测评问题。
第5章信息系统安全测评技术,主要从检查技术、目标识别和分析技术、目标漏洞验证技术三个角度,围绕常见的测评对象给出技术检查指导。
第6章信息系统安全测评实施与分析,基于等级保护测评,给出测评项结果分析与量化、风险评估结果分析与量化的实施过程。
第7章信息系统安全测评案例分析,主要帮助读者形成完整的测评报告,从等级保护测评报告和风险评估报告两个角度给出案例分析。
本书在实施分析和案例分析上,尽管采用的是信息系统安全等级保护标准,但是等级保护测评的核心并没有发生变化,信息系统测评的方法、策略、流程还是一样的。
本书编写由中原工学院信息系统测评技术课程组完成,得到河南省网络工程专业教学团队的资助。夏冰主编统稿并负责第6章的编写;潘恒负责第1章的编写;刘伎昭负责第2章的编写;倪亮和刘伎昭共同完成第3章;郑秋生、李向东共同完成第4章和第5章部分编写;冯国朋负责第5章的编写。夏冰、河南金鑫信息安全等级技术测评有限公司的蔡学锋,河南工业和信息化职业学院的杜昊凡共同完成第7章案例分析及附录的编写。在编写过程中,河南省网络安全保卫总队的王志奇调研员为本书的编写提供建设性的意见,在此表示感谢。
本书由河南省信息安全等级保护工作协调小组办公室组织编写。在编写过程中,得到了河南省公安厅网络安全保护总队的指导,得到了计算机信息系统安全评估河南省工程实验室、郑州市计算机网络安全评估重点实验室的研究支持和资金支持,得到了河南金鑫信息安全等级技术测评有限公司的技术支持。在出版过程中,电子工业出版社章海涛编辑做了大量协调工作,在此表示感谢。
由于作者水平有限,安全测评体系庞大复杂,书中无法包含全部要点且错误在所难免,欢迎读者批评指正。
作 者
|
|
購物車/收銀台(
0
) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
