信息系统安全集成PDF电子书下载

第一章 概述 1

第一节 信息安全的基本概念 1

一、信息安全面临的威胁［1］ 1

（一）篡改网站攻击行为数量逐年增长 1

（二）安全漏洞是诱发篡改网站和后门攻击的原因 2

（三）被置入后门的网站数量比例很大 2

（四）黑客攻击网站的行为形成地下产业 3

（五）网络欺骗行为——网络钓鱼对社会的危害更大 4

（六）云计算系统面临的主要安全问题 5

（七）我国仍然面临着大量的境外攻击威胁 5

（八）恶意程序是长期以来网络安全的主要问题 5

二、信息安全的含义 7

三、信息安全的特征 7

四、信息安全的内容和相互关系 8

第二节 信息安全的法律保障 11

（一）法律保障 11

（二）专门法律——《网络安全法》的信息安全保障 12

（三）行政法规保障 15

（四）信息安全行政监督管理制度 15

（五）国家强制认证制度 16

（六）我国信息安全主要监督管理机构及职能 16

（七）信息安全集成服务资质的认证和制度建立与推行 17

（八）国家颁布的信息安全相关规范和标准 18

第三节 分级保护制度与等级保护制度 18

一、分级保护制度与等级保护制度概述 18

二、信息系统安全等级保护的基本框架［2］ 19

（一）信息系统安全等级保护体系概要说明 20

（二）信息系统安全等级保护标准体系 20

（三）信息系统安全等级保护管理体系 24

（四）信息系统安全等级保护技术体系 28

第四节 确定安全保护等级［3］ 40

一、等级保护确定保护等级的基本概念 40

二、保护等级与确定等级要素 42

三、确定等级的方法 43

第二章 信息安全集成准备 45

第一节 信息安全需求概述 45

一、信息安全需求概述 45

二、安全需求分析方法 45

三、信息安全风险与安全目标 47

第二节 安全需求分析 48

一、信息化基本情况分析 48

二、法律、法规、规范性文件适用性分析［4］ 49

三、国家规范、标准适用性分析 51

四、分析上级主管部门制定的信息安全建设规划和要求 52

五、分析本地区职能部门的规范性文件要求 53

六、建设单位信息化发展规划与安全需求 53

七、基于组织机构主要业务信息化应用分析信息安全需求 55

八、自定义安全等级 56

九、明确保密等级 56

十、基于风险的信息安全需求 56

第三章 信息系统安全方案设计 59

第一节 认证规则中设计阶段的要求 59

（一）理解安全需求 59

（二）确定安全约束条件和考虑事项 59

（三）识别和制定安全集成项目方案 59

（四）评审项目方案 59

（五）提供安全集成指南 59

（六）提供安全运行指南 60

第二节 信息系统安全设计 60

一、设计原则 60

二、安全系统架构设计 63

三、技术保护方案设计 63

（一）物理安全设计 63

（二）网络安全 73

（三）主机安全 79

（四）应用安全 81

（五）数据安全及备份与恢复 92

（六）操作系统安全［7］ 116

（七）数据库系统安全［8］ 147

（八）信任体系 154

第三节 方案设计文书的编制与评审 165

一、设计文书的编制方法 166

二、设计方案论证 169

第四章 安全设备测试 173

第一节 防火墙测试 173

一、防火墙检测概述 173

（一）防火墙的基本概念 173

（二）防火墙测试标准及网络缩略术语 174

二、防火墙测试内容 177

三、防火墙的测试方法及步骤［10］ 184

（一）防火墙工作模式测试方法 185

（二）防火墙NAT功能测试方法 186

（三）透明模式下的实际应用性能测试方法 189

（四）NAT模式下的实际应用性能测试 190

（五）防火墙防攻击功能测试方法 191

（六）防火墙高可靠性HA功能测试方法 194

（七）防火墙路由功能测试方法 196

（八）防火墙管理功能测试 197

第二节 入侵检测系统测试 198

一、入侵检测系统测评与评估的概述 198

二、测试平台环境及流程 200

三、入侵检测系统测试内容 204

四、入侵检测系统测试与评估现状以及存在的问题 226

第三节 安全审计系统评价与测试［12］ 227

一、信息安全审计产品技术要求概述 227

二、安全审计系统的技术要求 228

（一）信息安全审计系统的安全功能要求 228

（二）自身安全功能要求 231

（三）安全保证要求 232

三、信息安全审计系统安全等级划分 233

四、安全审计系统测试方法 235

（一）审计系统安全功能测试方法 235

（二）自身安全功能测试方法 242

（三）审计系统安全保证检验 248

第五章 工程实施 252

第一节 工程施工管理与组织 252

一、项目施工管理与组织制度 253

二、施工进度计划 258

第二节 施工质量管理 264

一、信息系统安全集成项目质量管理的概述 264

二、信息系统安全集成工程质量管理程序 265

三、工程项目质量管理体系 265

第三节 质量保证措施 267

一、质量管理系列文件 267

二、质量保证措施的运行 268

三、各施工阶段性的质量保证措施 272

四、工序质量控制措施［13］ 275

五、单项工艺实施质量控制措施 277

六、隐蔽工程的质量保证措施 278

七、设备材料的质量保证措施 279

八、工程信息资料管理质量保证措施 280

（一）工程信息资料的分类与收集 280

（二）工程信息资料管理的要求 283

第四节 国际市场产品安全准入及认证 284

一、国际市场准入制度概述 284

二、合规制度分类 284

三、合规制度的落实 285

四、全球市场产品安全认证标志注解［14］ 288

五、中国的其他认证 299

第五节 项目实施中的保密管理 324

一、保密管理的意义 325

二、建立保密管理制度 325

第六章 信息安全管理 330

第一节 概述 330

第二节 信息安全管理制度建设 330

一、信息安全管理制度的制定 331

二、安全管理机构 333

三、系统建设安全管理 337

四、运行安全管理 351

参考文献 360