第1章 信息安全等级保护政策法规 1
1.1 信息安全等级保护基本要求 1
1.1.1 信息系统安全保护等级 1
1.1.2 基本技术要求和基本管理要求 2
1.1.3 信息系统的基本要求 3
1.2 信息安全等级保护实施指南 21
1.2.1 等级保护的实施 21
1.2.2 信息系统定级 23
1.2.3 总体安全规划 23
1.2.4 安全设计与实施 29
1.2.5 安全运行与维护 35
1.2.6 信息系统终止 41
1.3 信息安全等级保护定级指南 43
1.4 信息安全等级保护测评要求 43
1.4.1 测评原则 44
1.4.2 测评内容 44
1.4.3 测评力度 45
1.4.4 结果重用 45
1.4.5 信息系统单元测评 46
第2章 信息安全等级保护技术 84
2.1 信息系统网络技术 84
2.1.1 技术基础 84
2.1.2 网络应用 87
2.1.3 研究现状及趋势 89
2.2 信息系统密码学技术 91
2.2.1 对称密码体制 92
2.2.2 非对称密码体制 93
2.2.3 Hash函数 95
2.2.4 数字签名 95
2.2.5 数字信封 96
2.3 PKI公钥基础安全设施 97
2.3.1 网络信息安全需求 97
2.3.2 PKI公钥基础安全设施及其应用框架 98
2.4 操作系统 101
2.4.1 发展历程 101
2.4.2 类型 102
2.4.3 主要功能 103
2.4.4 系统结构 106
2.5 信息系统工程技术 106
2.5.1 建模和规划 107
2.5.2 工程管理 108
2.5.3 工程监理 110
2.5.4 风险管理 112
第3章 信息安全等级保护实施 116
3.1 物理机房实施 122
3.1.1 物理机房环境安全 122
3.1.2 机房设备安全 126
3.1.3 记录介质安全 126
3.2 网络架构设计与实施 127
3.2.1 网络安全功能分层分级要求 127
3.2.2 网络的规划设计 131
3.3 设备安全配置 132
3.3.1 身份鉴别 132
3.3.2 自主访问控制 133
3.3.3 标记 134
3.3.4 强制访问控制和数据流控制 135
3.3.5 -安全审计 137
3.3.6 用户数据完整性 139
3.3.7 用户数据保密性和可信路径 140
3.3.8 抗抵赖 140
3.3.9 网络安全监控 141
3.4 安全策略设计与实施 142
3.4.1 信息系统安全管理的内容 142
3.4.2 信息系统安全管理的建立 143
3.4.3 信息系统安全管理的过程 145
3.4.4 信息系统安全管理的实施 150
第4章 信息安全等级保护定级备案 155
4.1 信息安全等级保护定级 155
4.1.1 信息安全等级保护定级划分标准 155
4.1.2 信息安全等级保护定级工作的主要工作措施 156
4.1.3 信息安全等级保护定级的确定 159
4.2 信息安全等级保护备案 162
4.2.1 信息系统备案与受理 162
4.2.2 公安机关受理备案要求 164
4.2.3 对定级不准及不备案情况的处理 164
第5章 物理安全测评 166
5.1 物理安全概述 166
5.1.1 信息系统与信息系统物理安全 167
5.1.2 信息系统物理资产要素 167
5.1.3 物理安全威胁 168
5.1.4 物理安全等级划分说明 169
5.2 物理安全测评实施要点 171
5.3 物理安全测评的内容 172
第6章 网络安全测评 182
6.1 网络安全测评概述 182
6.2 网络安全检查范围 183
6.3 网络安全检查内容 185
6.4 网络安全现场测评步骤 187
6.4.1 网络全局现场测评 187
6.4.2 路由设备安全测评 191
6.4.3 交换设备安全测评 197
6.4.4 网络安全设备安全测评 202
第7章 主机与数据库安全测评 210
7.1 操作系统测评 210
7.1.1 操作系统测评内容 210
7.1.2 操作系统测评步骤 210
7.2 数据库系统测评 232
7.2.1 数据库系统测评内容 232
7.2.2 数据库系统测评步骤 233
第8章 应用安全测评 244
8.1 应用系统基础知识 244
8.1.1 应用系统基本概念 244
8.1.2 应用系统结构 246
8.1.3 应用系统常见安全隐患 249
8.2 应用安全测评流程 249
8.3 应用安全测评任务 250
8.3.1 测评准备阶段 251
8.3.2 方案编制阶段 252
8.3.3 现场测评阶段 256
8.3.4 分析与报告编制阶段 257
第9章 管理安全测评 260
9.1 安全管理制度 261
9.1.1 管理制度 261
9.1.2 制定和发布 262
9.1.3 评审和修订 263
9.2 安全管理机构 264
9.2.1 岗位设置 264
9.2.2 人员配备 265
9.2.3 授权和审批 265
9.2.4 沟通和合作 266
9.2.5 审核和检查 267
9.3 人员安全管理 268
9.3.1 人员录用 269
9.3.2 人员离岗 270
9.3.3 人员考核 270
9.3.4 安全意识教育和培训 271
9.3.5 外部人员访问管理 272
9.4 系统建设管理 272
9.4.1 系统定级 273
9.4.2 安全方案设计 273
9.4.3 产品采购和使用 274
9.4.4 自行软件开发 275
9.4.5 外包软件开发 276
9.4.6 工程实施 277
9.4.7 测试验收 278
9.4.8 系统交付 279
9.4.9 系统备案 280
9.4.10 等级测评 281
9.4.11 安全服务商选择 281
9.5 系统运维管理 282
9.5.1 环境管理 282
9.5.2 资产管理 283
9.5.3 介质管理 284
9.5.4 设备管理 285
9.5.5 监控管理和安全管理中心 287
9.5.6 网络安全管理 287
9.5.7 系统安全管理 289
9.5.8 恶意代码防范管理 290
9.5.9 密码管理 291
9.5.10 变更管理 292
9.5.11 备份与恢复管理 292
9.5.12 安全事件处置 293
9.5.13 应急预案管理 295
第10章 工具测试 297
10.1 工具测试准备 297
10.1.1 收集信息 297
10.1.2 规划接入点 298
10.1.3 编制指导书 298
10.2 工具测试实施 298
10.2.1 SQL注入 299
10.2.2 缓冲区溢出 311
10.2.3 跨站脚本攻击 311
参考文献 320
附录A 信息系统安全等级保护定级备案表 321
附录B 信息系统安全等级保护定级报告 325
附录C ×××有限公司信息系统等级保护差距测评结果分析 330