《信息系统安全测评教程》PDF下载

第1章 信息系统安全测评概述 1

1.1信息安全发展历程 1

1.2相关概念 2

1.2.1信息系统安全 2

1.2.2信息系统安全管理 3

1.2.3信息系统安全保障 5

1.3信息系统安全测评作用 7

1.4信息安全标准组织 10

1.5国外重要信息安全测评标准 11

1.5.1 TCSEC 11

1.5.2 ITSEC 12

1.5.3 CC标准 13

1.6我国信息安全测评标准 14

1.6.1 GB／T 18336《信息技术安全性评估准则》 15

1.6.2 GB／T 20274《信息系统安全保障评估框架》 15

1.6.3信息系统安全等级保护测评标准 15

1.6.4信息系统安全分级保护测评标准 16

1.7信息系统安全等级保护工作 17

1.7.1等级保护概念 17

1.7.2工作角色和职责 19

1.7.3工作环节 20

1.7.4工作实施过程的基本要求 21

1.7.5实施等级保护的基本原则 23

1.8信息系统安全测评的理论问题 23

1.8.1“测”的理论问题 23

1.8.2“评”的理论问题 27

1.9小结 29

第2章 信息系统安全通用要求 31

2.1安全基本要求 31

2.1.1背景介绍 31

2.1.2体系架构 31

2.1.3作用和特点 33

2.1.4等级保护2.0时代 33

2.2信息系统安全等级保护基本要求 35

2.2.1指标数量 35

2.2.2指标要求 35

2.2.3不同保护等级的控制点对比 36

2.3网络安全等级保护安全通用要求 37

2.3.1技术要求 37

2.3.2管理要求 43

2.3.3安全通用基本要求项分布 49

第3章 信息系统安全扩展要求 51

3.1云计算 51

3.1.1云计算信息系统概述 51

3.1.2云计算平台面临的安全威胁 52

3.1.3云计算安全扩展要求 53

3.1.4安全扩展要求项分布 57

3.2移动互联网 58

3.2.1移动互联网系统概述 58

3.2.2移动互联网安全威胁 59

3.2.3移动互联安全扩展要求 60

3.2.4安全扩展要求项分布 62

3.3物联网 63

3.3.1物联网系统概述 63

3.3.2物联网对等级测评技术的影响 64

3.3.3物联网安全扩展要求 65

3.3.4安全扩展要求项分布 67

3.4工业控制系统 67

3.4.1工业控制系统概述 67

3.4.2工业控制系统安全现状 70

3.4.3工业控制系统安全扩展要求概述 71

3.4.4工业控制系统安全扩展要求 76

3.4.5安全扩展要求项分布 79

第4章 信息系统安全测评方法 80

4.1测评流程及方法 80

4.1.1测评流程 80

4.1.2测评方法 81

4.2测评对象及内容 82

4.2.1技术层安全测评对象及内容 83

4.2.2管理层安全测评对象及内容 87

4.2.3不同安全等级的测评对象 91

4.2.4不同安全等级测评指标对比 93

4.2.5不同安全等级测评强度对比 94

4.3测评工具与接入测试 95

4.3.1测评工具 95

4.3.2漏洞扫描工具 96

4.3.3协议分析工具 100

4.3.4渗透测试工具 100

4.3.5性能测试工具 101

4.3.6日志分析工具 102

4.3.7代码审计工具 103

4.3.8接入测试 104

4.4信息系统安全测评风险分析与规避 105

4.4.1风险分析 105

4.4.2风险规避 105

4.5常见问题及处置建议 106

4.5.1测评对象选择 106

4.5.2测评方案编写 107

4.5.3测评行为管理 107

第5章 信息系统安全测评技术 108

5.1检查技术 108

5.1.1网络和通信安全 108

5.1.2设备和计算安全 116

5.1.3应用和数据安全 127

5.2目标识别和分析技术 130

5.2.1网络嗅探 130

5.2.2网络端口和服务识别 131

5.2.3漏洞扫描 133

5.3目标漏洞验证技术 139

5.3.1密码破解 139

5.3.2渗透测试 144

5.3.3性能测试 147

第6章 信息系统安全测评实施与分析 150

6.1测评实施 150

6.1.1测评实施准备 151

6.1.2现场测评和记录 153

6.1.3结果确认 156

6.2测评项结果分析与量化 157

6.2.1基本概念间的关系 157

6.2.2单对象单测评项量化 157

6.2.3测评项权重赋值 158

6.2.4控制点分析与量化 159

6.2.5问题严重程度值计算 160

6.2.6修正后的严重程度值和符合程度的计算 160

6.2.7系统整体测评计算 162

6.2.8系统安全保障情况得分计算 164

6.2.9安全问题风险评估 165

6.2.10等级测评结论的结果判定 165

6.3风险评估结果分析与量化 166

6.3.1基本概念间的关系 166

6.3.2资产识别与分析 167

6.3.3威胁识别与分析 171

6.3.4脆弱性识别与分析 174

6.3.5风险分析 175

第7章 信息系统安全测评案例分析 177

7.1测评报告模板与分析 177

7.1.1等级保护测评报告结构分析 177

7.1.2风险评估报告结构分析 181

7.2等级保护测评案例 184

7.2.1重要信息系统介绍 184

7.2.2等级测评工作组和过程计划 184

7.2.3等级测评工作所需资料 185

7.2.4测评对象 187

7.2.5单元测评结果 188

7.2.6整体测评结果 190

7.2.7总体安全状况分析 191

7.2.8等级测评结论 192

7.3风险评估测评案例 192

7.3.1电子政务系统基本情况介绍 192

7.3.2风险评估工作概述 193

7.3.3风险评估所需资料 194

7.3.4评估对象的管理和技术措施表 196

7.3.5资产识别与分析 197

7.3.6威胁识别与分析 199

7.3.7脆弱性识别与分析 201

7.3.8风险分析结果 202

7.4测评报告撰写注意事项 205

7.4.1等级保护测评注意事项 205

7.4.2风险评估注意事项 205

附录A第三级信息系统测评项权重赋值表 207

附录B.1等级保护案例控制点符合情况汇总表 220

附录B.2等级保护案例安全问题汇总表 223

附录B.3等级保护案例修正因子（0.9）汇总表 226

附录B.4等级保护案例安全层面得分汇总表 231

附录B.5等级保护案例风险评估汇总表 233

附录C.1风险评估案例基于等级保护的威胁数据采集表 236

附录C.2风险评估案例威胁源分析表 238

附录C.3风险评估案例威胁源行为分析表 241

附录C.4风险评估案例威胁能量分析表 243

附录C.5风险评估案例威胁赋值表 245

附录C.6风险评估案例威胁和资产对应表 247

附录C.7风险评估案例脆弱性分析赋值表 248

附录C.8风险评估案例 251

附录C.9基于脆弱性的风险排名表 253

参考文献 255