第1章 信息系统安全测评概述\t1
1.1 信息安全发展历程\t1
1.2 相关概念\t2
1.2.1 信息系统安全\t2
1.2.2 信息系统安全管理\t3
1.2.3 信息系统安全保障\t5
1.3 信息系统安全测评作用\t7
1.4 信息安全标准组织\t10
1.5 国外重要信息安全测评标准\t11
1.5.1 TCSEC\t11
1.5.2 ITSEC\t12
1.5.3 CC标准\t13
1.6 我国信息安全测评标准\t14
1.6.1 GB/T 18336《信息技术安全性评估准则》\t15
1.6.2 GB/T 20274《信息系统安全保障评估框架》\t15
1.6.3 信息系统安全等级保护测评标准\t15
1.6.4 信息系统安全分级保护测评标准\t16
1.7 信息系统安全等级保护工作\t17
1.7.1 等级保护概念\t17
1.7.2 工作角色和职责\t19
1.7.3 工作环节\t20
1.7.4 工作实施过程的基本要求\t21
1.7.5 实施等级保护的基本原则\t23
1.8 信息系统安全测评的理论问题\t23
1.8.1 “测”的理论问题\t23
1.8.2 “评”的理论问题\t27
1.9 小结\t29
第2章 信息系统安全通用要求\t31
2.1 安全基本要求\t31
2.1.1 背景介绍\t31
2.1.2 体系架构\t31
2.1.3 作用和特点\t33
2.1.4 等级保护2.0时代\t33
2.2 信息系统安全等级保护基本要求\t35
2.2.1 指标数量\t35
2.2.2 指标要求\t35
2.2.3 不同保护等级的控制点对比\t36
2.3 网络安全等级保护安全通用要求\t37
2.3.1 技术要求\t37
2.3.2 管理要求\t43
2.3.3 安全通用基本要求项分布\t49
第3章 信息系统安全扩展要求\t51
3.1 云计算\t51
3.1.1 云计算信息系统概述\t51
3.1.2 云计算平台面临的安全威胁\t52
3.1.3 云计算安全扩展要求\t53
3.1.4 安全扩展要求项分布\t57
3.2 移动互联网\t58
3.2.1 移动互联网系统概述\t58
3.2.2 移动互联网安全威胁\t59
3.2.3 移动互联安全扩展要求\t60
3.2.4 安全扩展要求项分布\t62
3.3 物联网\t63
3.3.1 物联网系统概述\t63
3.3.2 物联网对等级测评技术的影响\t64
3.3.3 物联网安全扩展要求\t65
3.3.4 安全扩展要求项分布\t67
3.4 工业控制系统\t67
3.4.1 工业控制系统概述\t67
3.4.2 工业控制系统安全现状\t70
3.4.3 工业控制系统安全扩展要求概述\t71
3.4.4 工业控制系统安全扩展要求\t76
3.4.5 安全扩展要求项分布\t79
第4章 信息系统安全测评方法\t80
4.1 测评流程及方法\t80
4.1.1 测评流程\t80
4.1.2 测评方法\t81
4.2 测评对象及内容\t82
4.2.1 技术层安全测评对象及内容\t83
4.2.2 管理层安全测评对象及内容\t87
4.2.3 不同安全等级的测评对象\t91
4.2.4 不同安全等级测评指标对比\t93
4.2.5 不同安全等级测评强度对比\t94
4.3 测评工具与接入测试\t95
4.3.1 测评工具\t95
4.3.2 漏洞扫描工具\t96
4.3.3 协议分析工具\t100
4.3.4 渗透测试工具\t100
4.3.5 性能测试工具\t101
4.3.6 日志分析工具\t102
4.3.7 代码审计工具\t103
4.3.8 接入测试\t104
4.4 信息系统安全测评风险分析与规避\t105
4.4.1 风险分析\t105
4.4.2 风险规避\t105
4.5 常见问题及处置建议\t106
4.5.1 测评对象选择\t106
4.5.2 测评方案编写\t107
4.5.3 测评行为管理\t107
第5章 信息系统安全测评技术\t108
5.1 检查技术\t108
5.1.1 网络和通信安全\t108
5.1.2 设备和计算安全\t116
5.1.3 应用和数据安全\t127
5.2 目标识别和分析技术\t130
5.2.1 网络嗅探\t130
5.2.2 网络端口和服务识别\t131
5.2.3 漏洞扫描\t133
5.3 目标漏洞验证技术\t139
5.3.1 密码破解\t139
5.3.2 渗透测试\t144
5.3.3 性能测试\t147
第6章 信息系统安全测评实施与分析\t150
6.1 测评实施\t150
6.1.1 测评实施准备\t151
6.1.2 现场测评和记录\t153
6.1.3 结果确认\t156
6.2 测评项结果分析与量化\t157
6.2.1 基本概念间的关系\t157
6.2.2 单对象单测评项量化\t157
6.2.3 测评项权重赋值\t158
6.2.4 控制点分析与量化\t159
6.2.5 问题严重程度值计算\t160
6.2.6 修正后的严重程度值和符合程度的计算\t160
6.2.7 系统整体测评计算\t162
6.2.8 系统安全保障情况得分计算\t164
6.2.9 安全问题风险评估\t165
6.2.10 等级测评结论的结果判定\t165
6.3 风险评估结果分析与量化\t166
6.3.1 基本概念间的关系\t166
6.3.2 资产识别与分析\t167
6.3.3 威胁识别与分析\t171
6.3.4 脆弱性识别与分析\t174
6.3.5 风险分析\t175
第7章 信息系统安全测评案例分析\t177
7.1 测评报告模板与分析\t177
7.1.1 等级保护测评报告结构分析\t177
7.1.2 风险评估报告结构分析\t181
7.2 等级保护测评案例\t184
7.2.1 重要信息系统介绍\t184
7.2.2 等级测评工作组和过程计划\t184
7.2.3 等级测评工作所需资料\t185
7.2.4 测评对象\t187
7.2.5 单元测评结果\t188
7.2.6 整体测评结果\t190
7.2.7 总体安全状况分析\t191
7.2.8 等级测评结论\t192
7.3 风险评估测评案例\t192
7.3.1 电子政务系统基本情况介绍\t192
7.3.2 风险评估工作概述\t193
7.3.3 风险评估所需资料\t194
7.3.4 评估对象的管理和技术措施表\t196
7.3.5 资产识别与分析\t197
7.3.6 威胁识别与分析\t199
7.3.7 脆弱性识别与分析\t201
7.3.8 风险分析结果\t202
7.4 测评报告撰写注意事项\t205
7.4.1 等级保护测评注意事项\t205
7.4.2 风险评估注意事项\t205
附录A 第三级信息系统测评项权重赋值表\t207
附录B.1 等级保护案例控制点符合情况汇总表\t220
附录B.2 等级保护案例安全问题汇总表\t223
附录B.3 等级保护案例修正因子(0.9)汇总表\t226
附录B.4 等级保护案例安全层面得分汇总表\t231
附录B.5 等级保护案例风险评估汇总表\t233
附录C.1 风险评估案例基于等级保护的威胁数据采集表\t236
附录C.2 风险评估案例威胁源分析表\t238
附录C.3 风险评估案例威胁源行为分析表\t241
附录C.4 风险评估案例威胁能量分析表\t243
附录C.5 风险评估案例威胁赋值表\t245
附录C.6 风险评估案例威胁和资产对应表\t247
附录C.7 风险评估案例脆弱性分析赋值表\t248
附录C.8 风险评估案例\t251
附录C.9 基于脆弱性的风险排名表\t253
参考文献\t255
鄂公网安备 42010302001612号 