相關主題
商品描述
本書基於網絡安全理論研究和工程實踐,在參考國內外最佳實踐的基礎上,介紹了網絡安全政策法規、信息安全管理、網絡安全等級保護測評、商用密碼應用安全性評估、移動客戶端安全性評估、滲透評估、信息安全風險評估、信息技術與網絡安全產品測評、源代碼審計等方面的理論知識和實踐經驗,具有全面性、系統性、針對性等特點。本書通過對相關法律法規和政策標準的分析,給出了網絡安全等級保護測評的基本原理和實施要點,可以幫助測評人員全面了解網絡安全知識和工具,從而正確地開展網絡安全等級保護測評工作。
目錄大綱
第1章 網絡安全政策法規 1
1.1 《網絡安全法》 1
1.1.1 概述 1
1.1.2 主要內容 3
1.2 《密碼法》 11
1.2.1 概述 11
1.2.2 主要內容 13
1.2.3 與密碼有關的法規 20
1.3 《數據安全法》 24
1.3.1 概述 24
1.3.2 主要內容 26
1.4 等級保護制度 32
1.4.1 法律依據 32
1.4.2 政策依據 33
1.4.3 基本要求 33
1.4.4 工作流程 33
1.5 網絡安全標準 34
1.5.1 標準化組織 35
1.5.2 風險管理標準 37
1.5.3 等級保護標準 40
第2章 信息安全管理 43
2.1 信息安全管理基礎 43
2.1.1 信息安全 43
2.1.2 管理和管理體系 46
2.2 信息安全風險管理 57
2.2.1 風險管理基本概念 57
2.2.2 風險管理原則 58
2.2.3 風險管理角色和職責 59
2.2.4 常見的風險管理模型 60
2.2.5 風險管理基本過程 66
2.3 信息安全管理體系建設 69
2.3.1 PDCA過程 69
2.3.2 信息安全管理體系建設過程 72
2.3.3 文檔管理 75
2.3.4 信息安全管理體系控制措施 77
2.4 信息安全管理體系認證審核 98
2.4.1 認證的目的 98
2.4.2 認證審核依據 99
2.4.3 認證審核流程 99
2.4.4 認證審核相關要點 100
第3章 網絡安全等級保護測評 103
3.1 概述 103
3.2 《網絡安全等級保護定級指南》解讀 104
3.2.1 基本概念 104
3.2.2 定級流程及方法 105
3.3 《網絡安全等級保護基本要求》解讀 110
3.3.1 背景 110
3.3.2 新標準主要特點 111
3.3.3 主要內容 111
3.3.4 安全通用要求介紹 114
3.3.5 安全擴展要求介紹 120
3.3.6 高風險判例 126
3.4 網絡安全等級保護測評實施 128
3.4.1 等級測評實施過程 128
3.4.2 能力驗證活動 143
第4章 商用密碼應用安全性評估 147
4.1 商用密碼應用安全性評估標準 147
4.1.1 密評背景 147
4.1.2 密評標準 154
4.1.3 政務信息系統密碼應用與安全性評估工作指南 179
4.2 密評技術框架 180
4.2.1 通用要求測評 180
4.2.2 典型密碼產品應用的測評方法 182
4.2.3 密碼功能測評 184
4.3 密評實施流程 186
4.3.1 測評準備活動 186
4.3.2 方案編制活動 186
4.3.3 現場測評活動 187
4.3.4 分析與報告編制活動 188
4.4 密評工具 189
4.5 密評實施案例 191
4.5.1 密碼應用方案概述 191
4.5.2 密碼應用安全性評估測評實施 194
第5章 移動客戶端安全性評估 197
5.1 個人信息合規 197
5.1.1 概述 197
5.1.2 《個人信息安全規範》概述 203
5.1.3 《個人金融信息保護技術規範》介紹 211
5.2 APP違法違規收集使用個人信息的認定辦法 220
5.2.1 簡介 220
5.2.2 相關部門開展的行動 220
5.2.3 評估方法 221
5.2.4 認定細則 221
5.3 客戶端安全 228
5.3.1 移動金融客戶端應用軟件安全管理規範 228
5.3.2 移動智能終端應用軟件安全技術要求 234
5.3.3 其他行業標準 237
第6章 滲透評估 238
6.1 滲透測試執行標準 238
6.1.1 前期交互 239
6.1.2 情報搜集 242
6.1.3 威脅建模 244
6.1.4 漏洞分析 246
6.1.5 滲透攻擊 247
6.1.6 後滲透攻擊 249
6.1.7 報告 252
6.2 滲透測試工具 253
6.2.1 Nmap和Zenmap 253
6.2.2 Kali Linux 264
6.2.3 Metasploit 266
6.2.4 Acunetix Web Vulnerability Scanner 269
6.2.5 SQLMAP 271
6.2.6 Wireshark 272
6.2.7 Burp Suite 272
6.2.8 Nessus 274
6.2.9 THC Hydra 275
6.3 滲透測試案例 275
6.3.1 SQL註入 275
6.3.2 跨站腳本攻擊 279
6.3.3 任意文件上傳 279
第7章 信息安全風險評估 281
7.1 信息安全風險評估政策標準 281
7.1.1 信息安全風險評估在國外的發展 281
7.1.2 信息安全風險評估在國內的發展 284
7.2 信息安全風險評估的要素 286
7.2.1 風險評估的基本概念 286
7.2.2 風險評估各要素之間的關系 288
7.3 信息安全風險評估的實施流程 289
7.3.1 風險評估準備 290
7.3.2 風險識別 295
7.3.3 風險分析 313
7.3.4 風險評價 316
7.3.5 風險處理計劃 318
7.3.6 殘余風險評估 319
7.3.7 風險評估文檔記錄 319
7.4 信息安全風險評估的實施時機與方式 320
7.4.1 信息安全風險評估的實施時機 320
7.4.2 信息安全風險評估的實施方式 324
7.5 信息安全風險評估的計算方法及示例 326
7.5.1 信息安全風險評估的計算方法 326
7.5.2 示例 327
第8章 信息技術與網絡安全產品測評 336
8.1 安全評估基礎 336
8.1.1 安全評估標準 336
8.1.2 GB/T 18336評估標準應用情況 344
8.2 數據庫產品安全檢測與評估 348
8.2.1 概述 348
8.2.2 數據庫產品標準基本架構 349
8.2.3 數據庫安全功能檢測與評估 350
8.2.4 數據庫安全保障評估 362
8.3 路由器安全檢測 365
8.3.1 概述 365
8.3.2 路由器產品標準基本架構 366
8.3.3 路由器安全功能檢測 367
8.3.4 路由器安全保障評估 371
8.4 防火墻安全檢測 371
8.4.1 概述 371
8.4.2 防火墻產品標準基本架構 372
8.4.3 防火墻安全功能檢測 372
8.4.4 防火墻自身安全檢測 376
8.4.5 防火墻性能檢測 378
8.4.6 防火墻安全保障評估 379
第9章 源代碼審計 380
9.1 源代碼審計基礎 380
9.1.1 源代碼審計的概念 380
9.1.2 源代碼審計方法 387
9.1.3 源代碼審計技術 392
9.2 源代碼審計政策標準 398
9.2.1 代碼審計規範 398
9.2.2 代碼開發參考規範 398
9.3 源代碼審計工具 403
9.3.1 Cppcheck 404
9.3.2 RIPS 404
9.3.3 FindBugs 405
9.3.4 Fortify SCA 405
9.3.5 Checkmarx CxSuite 405
9.3.6 Coverity Prevent 406
9.3.7 kiwi 406
9.4 源代碼審計實例 407
9.4.1 SQL註入 407
9.4.2 跨站腳本攻擊 412
9.4.3 命令註入 417
9.4.4 密碼硬編碼 420
9.4.5 隱私泄露 422
9.4.6 Header Manipulation 424
9.4.7 日誌偽造 427
9.4.8 單例成員字段 429
