信息安全保密基础教程PDF电子书下载

第1章 信息安全与保密基本知识 1

1.1 引言 1

1.2 信息安全与保密的基本概念 1

1.2.1 信息安全与保密的定义和发展 1

1.2.2 信息安全的基本属性 3

1.2.3 信息安全的基本规律 5

1.2.4 信息安全体系 6

1.2.5 信息安全与保密的关系 10

1.3 信息安全保密的法律、法规与标准 11

1.3.1 法律与法规 11

1.3.2 信息安全标准化建设 13

1.4 信息安全保密管理 15

1.4.1 信息安全保密管理的角色与职责 15

1.4.2 信息安全保密管理策略与措施 18

1.4.3 信息系统安全保密管理 21

1.5 系统常见漏洞与攻击方法 29

1.5.1 常见系统漏洞 30

1.5.2 常见攻击方法 31

1.6 信息安全动态模型 37

1.6.1 P2DR模型 37

1.6.2 P2DR2模型 38

1.6.3 PADIMEE模型 39

1.7 信息安全机制与相关技术 40

1.7.1 实体安全 41

1.7.2 运行安全 43

1.7.3 信息安全 45

1.7.4 边界安全 50

1.7.5 纵深防御 50

1.8 信息安全与保密产品 52

1.8.1 实体安全产品 52

1.8.2 运行安全产品 54

1.8.3 信息安全产品 55

1.9 信息安全等级保护 57

1.9.1 信息系统安全等级保护 57

1.9.2 信息系统安全等级保护模型 57

1.9.3 涉密信息系统分级保护 61

1.9.4 涉密信息系统的安全保密体系 62

1.10 信息安全风险评估 62

1.10.1 风险要素及其关系 62

1.10.2 风险分析 63

1.10.3 风险评估实施流程 64

参考文献 65

第2章 信息安全保密法规与标准 67

2.1 概述 68

2.1.1 信息安全法规概述 68

2.1.2 信息安全标准概述 69

2.2 国外的信息安全法规与标准 71

2.2.1 国外的信息安全法规 71

2.2.2 国外的信息安全标准 74

2.3 国内的信息安全法规与标准 78

2.3.1 国内的信息安全法规 78

2.3.2 国内的信息安全标准 79

2.4 国内外信息安全标准的对应 84

第3章 信息安全等级保护及涉密信息系统分级保护 123

3.1 信息安全保密分等级保护概述 123

3.1.1 基本概念 123

3.1.2 美国实行信息系统等级化保护的基本情况 126

3.1.3 我国实行信息安全等级保护的必要性和意义 129

3.1.4 我国信息安全等级保护制度 130

3.1.5 我国信息安全等级保护的实施计划与发展现状 131

3.2 信息安全等级保护的法律法规和政策依据 134

3.2.1 《中华人民共和国计算机信息系统安全保护条例》要求 134

3.2.2 《计算机信息网络国际联网安全保护管理办法》要求 135

3.2.3 《中华人民共和国互联网安全保护技术措施规定》 135

3.2.4 《中华人民共和国治安管理处罚法》规定 135

3.2.5 《计算机信息系统安全保护等级划分准则》规定 136

3.2.6 《国家信息化领导小组关于加强信息安全保障工作的意见》 136

3.2.7 四部门联合颁布《信息系统安全等级保护管理办法》 136

3.2.8 四部门联合颁布《关于信息安全等级保护工作的实施意见》 137

3.2.9 信息系统安全等级评价的法律分析 137

3.3 信息安全等级保护的基本内容与作用 138

3.3.1 信息安全5个保护等级规定及其监管政策 138

3.3.2 信息安全等级保护的制度强化作用 139

3.4 信息安全等级保护的标准体系 141

3.4.1 我国信息安全等级保护标准的建设情况 141

3.4.2 信息安全等级保护标准的体系框架 141

3.4.3 信息安全等级保护系列标准列表 142

3.5 信息安全等级保护的实施方法 145

3.5.1 把握实施工作的关键 145

3.5.2 遵循基本实施原则 146

3.5.3 掌握等级保护的基本要求 146

3.5.4 实施信息安全等级保护的基本过程 148

3.5.5 信息系统安全等级测评的基本内容 152

3.6 推进信息安全等级保护工作 152

3.6.1 信息安全等级保护工作的职责分工 152

3.6.2 实施信息安全等级保护的工作要求 153

3.7 涉密信息系统的分级保护 154

3.7.1 涉密信息系统分级保护的国家保密标准 154

3.7.2 涉密信息系统分级保护的技术要求 156

3.7.3 涉密信息系统的安全保密体系结构 157

3.7.4 涉密信息系统安全保密管理过程 158

3.8 信息安全等级保护操作实务 161

3.8.1 信息安全等级保护有关问题说明 161

3.8.2 确定保护等级的因素与方法 164

3.8.3 实施等级保护工作的工具和手册 166

3.8.4 信息安全等级保护工作实施方案实例 167

参考文献 170

第4章 信息安全与保密体系规划 171

4.1 信息系统安全生命周期 171

4.1.1 信息系统生命周期 171

4.1.2 信息系统生命周期中的安全规划及相关活动 172

4.1.3 信息安全生命周期 174

4.1.4 信息安全与保密体系规划是一项系统工程 175

4.2 组织机构内信息系统安全与保密有关责任各方及其行为规则 177

4.2.1 有关责任各方 177

4.2.2 行为规则 180

4.3 系统边界分析 181

4.3.1 系统边界 181

4.3.2 主要应用 183

4.3.3 一般支持系统 183

4.4 技术、管理与运行安全控制 183

4.4.1 安全控制范围与手段 184

4.4.2 技术控制 185

4.4.3 管理控制 186

4.4.4 运行控制 186

4.5 制订规划 186

4.5.1 规划制订步骤 186

4.5.2 规划制订格式 187

参考文献 191

第5章 信息安全保障技术框架 192

5.1 信息安全保障概述 192

5.1.1 信息安全认识的发展过程 192

5.1.2 信息安全保障的要素 194

5.1.3 信息安全相关技术框架和标准 200

5.2 IATF的信息保障策略——纵深防御 202

5.2.1 信息保障框架区域及其安全威胁 202

5.2.2 纵深防御策略三要素——人、技术和操作 205

5.2.3 纵深防御目标纵览 207

5.3 信息安全保障的技术对策 210

5.3.1 主要的安全服务 210

5.3.2 主要的安全技术 212

5.4 多种环境下的信息安全保障 213

5.4.1 保护网络与基础设施 213

5.4.2 保护飞地边界／外部连接 215

5.4.3 保护计算环境 216

5.4.4 战术环境的信息保障 217

5.5 信息系统安全工程过程（ISSE） 223

5.5.1 信息安全工程基础——系统工程（SE）过程 223

5.5.2 信息系统安全工程（ISSE）过程 225

5.5.3 ISSE过程和其他过程的关系 232

参考文献 238

第6章 信息安全系统中密码技术的应用 239

6.1 密码技术概论 239

6.1.1 密码的基本概念 239

6.1.2 密码体制分类 240

6.1.3 密码技术在信息安全体系中的作用 241

6.2 信息系统密码标准 244

6.2.1 密码组织与密码标准 244

6.2.2 密码管理政策 246

6.3 常用加密方法 248

6.3.1 对称加密 248

6.3.2 非对称加密 248

6.3.3 哈希函数 249

6.4 信息安全系统密码应用技术 249

6.4.1 密钥管理技术 249

6.4.2 身份认证 255

6.4.3 数字签名 258

6.5 PKI公钥基础设施 260

6.5.1 PKI的相关概念 261

6.5.2 PKI体系结构 261

6.5.3 PKI组件 263

6.5.4 PKI标准 264

6.5.5 美国联邦政府PKI典型应用架构（Federal PKI） 264

6.6 密码系统的工程实施 265

6.6.1 密码系统的安全目标 265

6.6.2 密码方案的选择 266

6.6.3 密码系统的设计原则 266

6.6.4 密码组件的生命周期管理 267

6.6.5 密码系统的强度分析 267

参考文献 269

第7章 计算机信息系统信息安全保密产品分类与选择 270

7.1 概述 270

7.1.1 产品分类依据 270

7.1.2 产品分类 270

7.2 产品分类标准 270

7.2.1 物理安全产品 273

7.2.2 平台安全产品 275

7.2.3 网络安全产品 276

7.2.4 数据安全产品 280

7.2.5 用户安全产品 281

7.2.6 管理安全产品 283

7.3 产品选用原则 286

7.3.1 信息安全产品的选型原则 286

7.3.2 涉密计算机信息系统安全保密产品的选型原则 287

7.4 产品选择方法 287

7.4.1 产品评测认证 287

7.4.2 采购目录 287

7.4.3 招标 287

第8章 信息安全风险评估方法与应用 289

8.1 信息安全风险评估发展状况 289

8.1.1 信息安全风险评估概述 289

8.1.2 国外信息安全风险评估发展状况 290

8.1.3 我国信息安全风险评估的发展和现状 290

8.2 信息安全风险评估理论与方法 291

8.2.1 信息安全风险评估策略 291

8.2.2 风险评估实施流程 292

8.2.3 信息安全风险评估基本方法 294

8.2.4 信息安全风险评估基础工作 296

8.3 信息安全风险管理框架与流程 296

8.3.1 信息安全风险管理概述 296

8.3.2 对象确立 297

8.3.3 风险分析 297

8.3.4 风险控制 297

8.3.5 审核批准 298

8.3.6 监控与审查 298

8.3.7 沟通与咨询 299

8.3.8 信息系统周期各阶段的风险管理 299

8.4 信息安全风险评估实践应用案例 300

8.4.1 XX政府OA系统信息安全风险评估方案 300

8.4.2 银行国际业务系统信息安全风险评估实施 319

参考文献 342

第9章 信息安全事件处理与应急响应 343

9.1 信息安全事件响应概述 343

9.1.1 国际网络信息系统应急响应组织的发展 343

9.1.2 我国应急响应体系的建设 345

9.2 信息安全事件处理流程和方法 345

9.2.1 准备工作 346

9.2.2 事件检测和分析 347

9.2.3 风险限制和消除 350

9.2.4 系统恢复 351

9.2.5 事件后分析 351

9.2.6 信息安全事件处理的典型实例 352

9.3 信息系统应急响应计划制定 354

9.3.1 应急计划与风险管理 355

9.3.2 信息系统应急响应计划过程 356

9.3.3 应急响应计划的制定方法 362

9.4 应急响应团队的组建 363

9.4.1 什么是应急响应团队 363

9.4.2 为什么要组建应急响应团队 364

9.4.3 组建应急响应团队的问题 364

9.4.4 应急响应团队的组成 366

9.4.5 规章制度 368

第10章 信息系统灾难备份与恢复 370

10.1 术语与定义 371

10.2 灾难备份和恢复技术简介 371

10.2.1 基本概念 371

10.2.2 关键指标 372

10.2.3 灾难备份和恢复的层次 372

10.2.4 国际标准 372

10.2.5 国内规范 373

10.3 灾难恢复技术 377

10.3.1 数据恢复技术 377

10.3.2 网络恢复技术 378

10.3.3 应用恢复技术 378

10.4 灾难恢复方案分析 379

10.4.1 灾难类型分析 379

10.4.2 业务冲击影响分析 380

10.4.3 容灾环境与恢复能力分析 380

10.4.4 容灾策略制订 381

10.4.5 容灾方案设计 381

10.4.6 业务连续性设计 381

10.4.7 业务连续性流程及容灾方案管理和测试 382

10.5 容灾方案选择 382

10.6 容灾系统的设计过程 383

10.6.1 灾难恢复计划描述 383

10.6.2 灾难恢复计划项目阶段 384

10.6.3 数据收集和关键需求分析阶段 384

10.6.4 风险分析阶段 385

10.6.5 数据保护阶段 385

10.6.6 恢复阶段 385

10.6.7 测试和培训 385

10.6.8 维护和修改阶段 386

10.6.9 选择灾难恢复方案的步骤介绍 386

10.7 案例分析 389

10.7.1 IBM公司的跨域并行系统耦合体技术 389

10.7.2 EMC SRDF远程数据备份系统 389

10.7.3 Veritas异地备份容灾方案 389

10.7.4 嵌入式实时控制系统备份容灾方案 390

参考文献 391

第11章 信息系统安全保密工程 392

11.1 信息系统安全工程概述 392

11.1.1 信息安全保障与信息系统安全工程的概念 392

11.1.2 信息系统安全工程相关标准简介 394

11.2 信息系统安全工程方法 401

11.2.1 信息技术安全工程原则 401

11.2.2 ISSE基础——系统工程过程 405

11.2.3 系统安全工程——能力成熟度模型（SSE-CMM） 409

11.3 信息系统安全工程生命周期 425

11.3.1 ISSE生命周期分析 425

11.3.2 ISSE管理过程 426

11.4 信息系统安全工程过程与实施 429

11.4.1 安全需求分析 429

11.4.2 安全功能定义、分析与分配 431

11.4.3 安全设计 432

11.4.4 系统安全实施 434

11.4.5 安全运行与生命周期支持 435

11.5 信息系统安全工程管理与评估 437

11.5.1 安全管理 437

11.5.2 安全评估 438

11.6 涉密信息系统安全工程示例 445

11.6.1 涉密信息系统定级与安全需求分析 445

11.6.2 涉密信息系统的安全风险分析 447

11.6.3 涉密信息系统的安全规划与设计 448

11.6.4 涉密信息系统安全实施 451

11.6.5 涉密信息系统安全运行与维护 453

11.6.6 涉密信息系统安全工程管理与评估 454

参考文献 455

第12章 信息安全系统测评认证 457

12.1 概述 457

12.1.1 测评认证的基本概念 457

12.1.2 测评认证的作用 458

12.2 测评认证标准发展历史 459

12.2.1 测评认证的基本准则 459

12.2.2 测评认证标准发展历史 459

12.2.3 标准组织机构发展 461

12.2.4 国外测评认证制度 464

12.3 信息安全测评认证体系 469

12.3.1 测评认证体系 470

12.3.2 我国测评认证机构体系 473

12.3.3 测评认证体系 474

12.4 信息安全测评认证标准 476

12.4.1 基本概念 476

12.4.2 国内外测评认证标准 476

12.4.3 中国信息安全测评认证标准 481

12.5 信息产品安全测评认证 486

12.5.1 信息产品安全认证概述 486

12.5.2 信息产品安全认证意义 486

12.5.3 信息产品安全测评认证级别 487

12.5.4 信息产品安全测评认证流程 488

12.6 信息系统安全测评认证 490

12.6.1 信息系统安全认证概述 490

12.6.2 信息系统安全测评认证意义 491

12.6.3 信息产品安全测评认证级别 491

12.6.4 信息系统安全测评认证流程 493

12.7 信息系统安全自评估 496

12.7.1 概述 496

12.7.2 自评估框架 497

12.7.3 调查表设计 502

12.7.4 自评估流程 504

第13章 互联网安全保密管理 508

13.1 引言 508

13.1.1 互联网发展及安全 508

13.1.2 典型的互联网应用安全 508

13.1.3 互联单位和接入单位的保密职责 510

13.2 互联网安全保密的定义与框架 510

13.2.1 互联网安全保密的定义 510

13.2.2 框架 511

13.3 互联网安全保密管理机制 513

13.3.1 安全机制的构成 513

13.3.2 安全防护机制 513

13.4 互联网安全保密管理规划 515

13.4.1 基本思想 515

13.4.2 角色与职责 516

13.4.3 互联网安全保密管理计划的内容 518

13.4.4 制订安全保密管理计划的过程 521

13.5 互联网安全管理行为与实施 527

13.5.1 安全保密管理行为分类 527

13.5.2 安全保密法规与规章制度 527

13.5.3 安全保密管理的实施 529

参考文献 535