信息系統(tǒng)安全測評教程

第1章 信息系統(tǒng)安全測評概述\t1
1．1 信息安全發(fā)展歷程\t1
1．2 相關(guān)概念\t2
1．2．1 信息系統(tǒng)安全\t2
1．2．2 信息系統(tǒng)安全管理\t3
1．2．3 信息系統(tǒng)安全保障\t5
1．3 信息系統(tǒng)安全測評作用\t7
1．4 信息安全標準組織\t10
1．5 國外重要信息安全測評標準\t11
1．5．1 TCSEC\t11
1．5．2 ITSEC\t12
1．5．3 CC標準\t13
1．6 我國信息安全測評標準\t14
1．6．1 GB/T 18336《信息技術(shù)安全性評估準則》\t15
1．6．2 GB/T 20274《信息系統(tǒng)安全保障評估框架》\t15
1．6．3 信息系統(tǒng)安全等級保護測評標準\t15
1．6．4 信息系統(tǒng)安全分級保護測評標準\t16
1．7 信息系統(tǒng)安全等級保護工作\t17
1．7．1 等級保護概念\t17
1．7．2 工作角色和職責\t19
1．7．3 工作環(huán)節(jié)\t20
1．7．4 工作實施過程的基本要求\t21
1．7．5 實施等級保護的基本原則\t23
1．8 信息系統(tǒng)安全測評的理論問題\t23
1．8．1 “測”的理論問題\t23
1．8．2 “評”的理論問題\t27
1．9 小結(jié)\t29
第2章 信息系統(tǒng)安全通用要求\t31
2．1 安全基本要求\t31
2．1．1 背景介紹\t31
2．1．2 體系架構(gòu)\t31
2．1．3 作用和特點\t33
2．1．4 等級保護2．0時代\t33
2．2 信息系統(tǒng)安全等級保護基本要求\t35
2．2．1 指標數(shù)量\t35
2．2．2 指標要求\t35
2．2．3 不同保護等級的控制點對比\t36
2．3 網(wǎng)絡(luò)安全等級保護安全通用要求\t37
2．3．1 技術(shù)要求\t37
2．3．2 管理要求\t43
2．3．3 安全通用基本要求項分布\t49
第3章 信息系統(tǒng)安全擴展要求\t51
3．1 云計算\t51
3．1．1 云計算信息系統(tǒng)概述\t51
3．1．2 云計算平臺面臨的安全威脅\t52
3．1．3 云計算安全擴展要求\t53
3．1．4 安全擴展要求項分布\t57
3．2 移動互聯(lián)網(wǎng)\t58
3．2．1 移動互聯(lián)網(wǎng)系統(tǒng)概述\t58
3．2．2 移動互聯(lián)網(wǎng)安全威脅\t59
3．2．3 移動互聯(lián)安全擴展要求\t60
3．2．4 安全擴展要求項分布\t62
3．3 物聯(lián)網(wǎng)\t63
3．3．1 物聯(lián)網(wǎng)系統(tǒng)概述\t63
3．3．2 物聯(lián)網(wǎng)對等級測評技術(shù)的影響\t64
3．3．3 物聯(lián)網(wǎng)安全擴展要求\t65
3．3．4 安全擴展要求項分布\t67
3．4 工業(yè)控制系統(tǒng)\t67
3．4．1 工業(yè)控制系統(tǒng)概述\t67
3．4．2 工業(yè)控制系統(tǒng)安全現(xiàn)狀\t70
3．4．3 工業(yè)控制系統(tǒng)安全擴展要求概述\t71
3．4．4 工業(yè)控制系統(tǒng)安全擴展要求\t76
3．4．5 安全擴展要求項分布\t79
第4章 信息系統(tǒng)安全測評方法\t80
4．1 測評流程及方法\t80
4．1．1 測評流程\t80
4．1．2 測評方法\t81
4．2 測評對象及內(nèi)容\t82
4．2．1 技術(shù)層安全測評對象及內(nèi)容\t83
4．2．2 管理層安全測評對象及內(nèi)容\t87
4．2．3 不同安全等級的測評對象\t91
4．2．4 不同安全等級測評指標對比\t93
4．2．5 不同安全等級測評強度對比\t94
4．3 測評工具與接入測試\t95
4．3．1 測評工具\t95
4．3．2 漏洞掃描工具\t96
4．3．3 協(xié)議分析工具\t100
4．3．4 滲透測試工具\t100
4．3．5 性能測試工具\t101
4．3．6 日志分析工具\t102
4．3．7 代碼審計工具\t103
4．3．8 接入測試\t104
4．4 信息系統(tǒng)安全測評風險分析與規(guī)避\t105
4．4．1 風險分析\t105
4．4．2 風險規(guī)避\t105
4．5 常見問題及處置建議\t106
4．5．1 測評對象選擇\t106
4．5．2 測評方案編寫\t107
4．5．3 測評行為管理\t107
第5章 信息系統(tǒng)安全測評技術(shù)\t108
5．1 檢查技術(shù)\t108
5．1．1 網(wǎng)絡(luò)和通信安全\t108
5．1．2 設(shè)備和計算安全\t116
5．1．3 應(yīng)用和數(shù)據(jù)安全\t127
5．2 目標識別和分析技術(shù)\t130
5．2．1 網(wǎng)絡(luò)嗅探\t130
5．2．2 網(wǎng)絡(luò)端口和服務(wù)識別\t131
5．2．3 漏洞掃描\t133
5．3 目標漏洞驗證技術(shù)\t139
5．3．1 密碼破解\t139
5．3．2 滲透測試\t144
5．3．3 性能測試\t147
第6章 信息系統(tǒng)安全測評實施與分析\t150
6．1 測評實施\t150
6．1．1 測評實施準備\t151
6．1．2 現(xiàn)場測評和記錄\t153
6．1．3 結(jié)果確認\t156
6．2 測評項結(jié)果分析與量化\t157
6．2．1 基本概念間的關(guān)系\t157
6．2．2 單對象單測評項量化\t157
6．2．3 測評項權(quán)重賦值\t158
6．2．4 控制點分析與量化\t159
6．2．5 問題嚴重程度值計算\t160
6．2．6 修正后的嚴重程度值和符合程度的計算\t160
6．2．7 系統(tǒng)整體測評計算\t162
6．2．8 系統(tǒng)安全保障情況得分計算\t164
6．2．9 安全問題風險評估\t165
6．2．10 等級測評結(jié)論的結(jié)果判定\t165
6．3 風險評估結(jié)果分析與量化\t166
6．3．1 基本概念間的關(guān)系\t166
6．3．2 資產(chǎn)識別與分析\t167
6．3．3 威脅識別與分析\t171
6．3．4 脆弱性識別與分析\t174
6．3．5 風險分析\t175
第7章 信息系統(tǒng)安全測評案例分析\t177
7．1 測評報告模板與分析\t177
7．1．1 等級保護測評報告結(jié)構(gòu)分析\t177
7．1．2 風險評估報告結(jié)構(gòu)分析\t181
7．2 等級保護測評案例\t184
7．2．1 重要信息系統(tǒng)介紹\t184
7．2．2 等級測評工作組和過程計劃\t184
7．2．3 等級測評工作所需資料\t185
7．2．4 測評對象\t187
7．2．5 單元測評結(jié)果\t188
7．2．6 整體測評結(jié)果\t190
7．2．7 總體安全狀況分析\t191
7．2．8 等級測評結(jié)論\t192
7．3 風險評估測評案例\t192
7．3．1 電子政務(wù)系統(tǒng)基本情況介紹\t192
7．3．2 風險評估工作概述\t193
7．3．3 風險評估所需資料\t194
7．3．4 評估對象的管理和技術(shù)措施表\t196
7．3．5 資產(chǎn)識別與分析\t197
7．3．6 威脅識別與分析\t199
7．3．7 脆弱性識別與分析\t201
7．3．8 風險分析結(jié)果\t202
7．4 測評報告撰寫注意事項\t205
7．4．1 等級保護測評注意事項\t205
7．4．2 風險評估注意事項\t205
附錄A 第三級信息系統(tǒng)測評項權(quán)重賦值表\t207
附錄B．1 等級保護案例控制點符合情況匯總表\t220
附錄B．2 等級保護案例安全問題匯總表\t223
附錄B．3 等級保護案例修正因子（0．9）匯總表\t226
附錄B．4 等級保護案例安全層面得分匯總表\t231
附錄B．5 等級保護案例風險評估匯總表\t233
附錄C．1 風險評估案例基于等級保護的威脅數(shù)據(jù)采集表\t236
附錄C．2 風險評估案例威脅源分析表\t238
附錄C．3 風險評估案例威脅源行為分析表\t241
附錄C．4 風險評估案例威脅能量分析表\t243
附錄C．5 風險評估案例威脅賦值表\t245
附錄C．6 風險評估案例威脅和資產(chǎn)對應(yīng)表\t247
附錄C．7 風險評估案例脆弱性分析賦值表\t248
附錄C．8 風險評估案例\t251
附錄C．9 基于脆弱性的風險排名表\t253
參考文獻\t255