第1章 政务信息系统安全概述 1
1.1信息系统与安全 1
1.1.1信息系统的定义 1
1.1.2信息系统安全的定义 1
1.1.3信息系统安全的发展阶段 2
1.2我国政务信息系统发展与业务分析 3
1.2.1政务信息系统发展情况 3
1.2.2政务信息系统的总体架构 6
1.3我国政务信息系统安全的威胁与防护体系 8
1.3.1政务信息系统安全的基本特征 8
1.3.2政务信息系统面临的常见安全威胁 8
1.3.3信息系统安全防护体系 12
1.4政务信息系统的安全测评 16
第2章 信息安全测评的发展与现状 18
2.1国外信息安全测评的发展历程 18
2.1.1信息安全测评的发展历程 18
2.1.2信息安全测评标准的发展历程 19
2.1.3信息安全管理标准的发展历程 21
2.2国内信息安全测评的发展过程 22
2.3我国政务系统信息安全测评现状与发展前景 23
2.3.1我国政务系统信息安全测评现状 23
2.3.2我国政务系统信息安全测评发展 25
2.4信息安全测评原则 27
2.4.1客观公正性原则 27
2.4.2保密性原则 28
2.4.3可控性原则 28
2.4.4规范性和准确性原则 28
2.4.5时效性原则 29
第3章 信息安全测评政策文件及标准 30
3.1政策法规 30
3.1.1国家政策法规 30
3.1.2地方政策法规 33
3.1.3行业政策法规 34
3.2标准规范 34
3.2.1等级保护标准规范 34
3.2.2风险评估标准规范 38
3.2.3安全验收标准规范 38
3.2.4其他安全标准规范 38
第4章 安全测评分类 39
4.1按测评目标分类 39
4.1.1信息系统安全风险评估 40
4.1.2信息系统安全等级测评 43
4.1.3信息系统安全验收测评 44
4.1.4三者之间的关系 45
4.2按测评内容分类 47
4.2.1操作系统安全性测评 47
4.2.2数据库及数据库管理系统安全性测评 47
4.2.3网络系统安全性测评 48
4.2.4应用系统安全性测评 49
4.2.5数据安全性测评 49
4.2.6物理安全性测评 50
4.2.7安全管理制度测评 50
4.2.8安全管理机构测评 51
4.2.9人员安全管理测评 52
4.2.10系统建设管理测评 53
4.2.11系统运维管理测评 56
4.3按实施方式分类 59
4.3.1安全功能检测 59
4.3.2安全管理核查 60
4.3.3渗透测试 60
4.3.4源代码安全审查 61
4.3.5社会工程学 61
第5章 安全测评的模式和方法 63
5.1风险评估 63
5.1.1风险评估模式 63
5.1.2风险评估的评估模型 64
5.1.3风险评估方法 64
5.2等级测评 67
5.2.1等级测评内容 67
5.2.2等级测评机构 67
5.2.3等级测评方法 68
5.3验收测评 69
5.3.1验收测评内容 69
5.3.2验收测评方法 69
第6章 安全测评技术 71
6.1技术安全性测评 72
6.1.1操作系统安全测评 72
6.1.2数据库系统安全测评 81
6.1.3网络安全测评 95
6.1.4应用系统平台安全测评 101
6.1.5应用系统测评 111
6.1.6数据安全测评 114
6.1.7物理安全性测评 116
6.1.8渗透测试 122
6.1.9源代码安全审查 123
6.2管理安全性测评 125
6.2.1安全管理制度 125
6.2.2安全管理机构 126
6.2.3人员安全管理 127
6.2.4系统建设管理 129
6.2.5系统运维管理 133
第7章 安全测评流程和工作内容 139
7.1调研准备 139
7.1.1调研准备阶段的工作流程 139
7.1.2调研准备阶段的主要任务 140
7.1.3调研准备阶段的文档 143
7.1.4调研准备阶段的职责 143
7.1.5调研准备阶段的注意事项 144
7.2方案制定 144
7.2.1方案制定阶段的工作流程 144
7.2.2方案制定阶段的主要任务 145
7.2.3方案制定阶段的文档 153
7.2.4方案制定阶段的职责 153
7.2.5方案制定阶段的注意事项 153
7.3现场实施 154
7.3.1现场实施阶段的工作流程 154
7.3.2现场实施阶段的主要任务 154
7.3.3现场实施阶段的文档 156
7.3.4现场实施阶段的职责 156
7.3.5现场实施阶段的注意事项 157
7.4综合评估 157
7.4.1综合评估阶段的工作流程 157
7.4.2综合评估阶段主要任务 158
7.4.3综合评估阶段的文档 166
7.4.4综合评估阶段的职责 167
7.4.5综合评估阶段的注意事项 167
7.5结项归档 167
7.5.1结项归档阶段的工作流程 167
7.5.2结项归档阶段的主要任务 167
7.5.3结项归档阶段的文档 168
7.5.4结项归档阶段的职责 168
7.5.5结项归档阶段的注意事项 168
第8章 安全测评质量管理 169
8.1质量管理概述 169
8.2安全测评中质量管理的重要性 171
8.3安全测评质量管理要求 172
8.3.1建立管理体系 172
8.3.2实施人员管理 173
8.3.3实施设备管理 176
8.3.4实施方法管理 176
8.3.5实施文件控制 177
8.3.6不符合工作的控制 178
8.3.7体系运行监督 179
8.3.8持续改进 180
第9章 信息系统安全测评工具 181
9.1测评工具的分类 181
9.1.1安全测试工具 181
9.1.2测评辅助工具 183
9.1.3测评管理工具 183
9.2常用测评工具 184
9.2.1脆弱性扫描工具 184
9.2.2渗透测试工具 192
9.2.3代码安全审查工具 195
9.2.4性能测试工具 198
9.2.5协议分析工具 200
9.2.6物理环境检测工具 201
9.2.7网络拓扑生成工具 202
9.2.8安全配置检查工具 204
附录 205
附录1测评过程文档模板(节选) 207
附录1-1项目实施计划表模板 207
附录1-2信息系统基本情况调查表清单 208
附录1-3安全等级测评方案模板 208
附录1-4风险评估测评方案模板 209
附录1-5安全验收测评方案模板 210
附录1-6现场检测表模板(节选示例) 211
附录1-7等级测评报告模板 213
附录1-8风险评估报告模板 216
附录1-9文档交接单模板 217
附录2典型案例 218
1.系统信息 218
(1)网络拓扑 218
(2)网络区域架构 219
(3)主机设备 219
(4)应用层架构 219
2.测评范围 220
3.测评内容 220
4.测评对象 221
5.测评进度安排 222
6.验收测评方案 223
7.安全验收报告 224
8.主要阶段工作概述 227
(1)调研准备 227
(2)方案制定 227
(3)现场实施 227
(4)综合评估 227
(5)结项归档 227
参考文献 228