《信息系統(tǒng)安全等級保護實務(wù)》系統(tǒng)、全面地介紹了信息系統(tǒng)安全等級保護的基本概念���、實施流程和建設(shè)整改的方法。全書共15章����,分為三個部分。第一部分簡要介紹信息系統(tǒng)安全等級保護的基本概念���,以及實施等級保護的全部流程�;第二部分從信息系統(tǒng)安全等級保護建設(shè)者的角度對定級與備案��、建設(shè)與整改��、測評�����、檢查等各環(huán)節(jié)的重點和難點進行了具體分析與論述�����,特別是從管理與技術(shù)兩個方面詳細講解了信息系統(tǒng)安全等級保護建設(shè)���、整改的具體實施方法:第三部分給出一個信息系統(tǒng)安全建設(shè)整改的實例�����,幫助讀者實現(xiàn)從理論方法到具體實踐的跨越�����。
《信息系統(tǒng)安全等級保護實務(wù)》適合作為信息系統(tǒng)安全等級保護設(shè)計��、建設(shè)��、運營和管理等相關(guān)專業(yè)人員的培訓教材��,也可作為信息安全專業(yè)安全等級保護類課程的教材�。
更多科學出版社服務(wù),請掃碼獲取��。
目錄
序
前言
第1章 概論 1
1.1 等級保護的目的和意義 1
1.2 等級保護法律法規(guī)與政策規(guī)范 5
1.3 信息安全等級保護標準 6
第2章 信息系統(tǒng)安全等級保護實施 10
2.1 等級保護工作的主要內(nèi)容 10
2.2 信息系統(tǒng)定級 11
2.3 信息系統(tǒng)備案 14
2.4 信息系統(tǒng)安全建設(shè)整改 15
2.5 信息系統(tǒng)等級測評 16
2.6 監(jiān)督檢查 17
第3章 信息系統(tǒng)定級與備案 20
3.1 信息系統(tǒng)安全保護等級 20
3.2 信息系統(tǒng)安全保護等級的確定方法 21
3.2.1 定級原則 21
3.2.2 定級要素 21
3.2.3 定級流程 22
3.2.4 定級方法 23
3.3 信息系統(tǒng)定級實倒 27
3.3.1 系統(tǒng)描述 27
3.3.2 系統(tǒng)定級過程 28
3.4 信息系統(tǒng)備案工作 29
3.4.1 信息系統(tǒng)備案與受理 29
3.4.2 公安機關(guān)受理備案要求 30
3.4.3 對定級不準和不備案情況的處理 31
第4章 建設(shè)整改分析與設(shè)計 32
4.1 安全需求分析方法 32
4.1.1 迭擇�����、調(diào)整基本安全要求 32
4.1.2 明確系統(tǒng)特殊安全需求 35
4.2 新建系統(tǒng)的安全等級保護設(shè)計方案 35
4.2.1 總體安全設(shè)計方法 37
4.2.2 總體安全設(shè)計方案大綱 41
4.2.3 設(shè)計實施方案 41
4.3 系統(tǒng)改建實施方案設(shè)計 42
4.3.1 確定系統(tǒng)改建的安全需求 42
4.3.2 差距原因分析 43
4.3.3 分類處理的改建措施 44
4.3.4 改建措施詳細設(shè)計 45
第5章 安全管理體系建設(shè) 46
5.1 信息安全組織結(jié)構(gòu)建設(shè) 46
5.1.1 崗位設(shè)置和人員配備 47
5.1.2 授權(quán)和審批 50
5.1.3 溝通和合作 51
5.1.4 審核和檢查 51
5.2 信息安全管理制度體系建設(shè) 51
5.2.1 信息安全方針和策略 52
5.2.2 安全管理制度制定原則 54
5.2.3 操作規(guī)程 55
5.2.4 制訂和發(fā)布 56
5.2.5 評審和修訂 56
第6章 安全管理實施 57
6.1 人員安全管理 57
6.1.1 人員錄用 57
6.1.2 人員離崗 59
6.1.3 人員考核 59
6.1.4 安全意識教育和培訓 59
6.1.5 外部人員訪問管理 60
6.2 系統(tǒng)建設(shè)安全管理 6l
6.2.1 信息系統(tǒng)生命周期與系統(tǒng)建設(shè) 61
6.2.2 系統(tǒng)建設(shè)管理的要求 63
6.2.3 初始管理 65
6.2.4 采購和開發(fā)管理 67
6.2.5 實施管理 70
6.2.6 系統(tǒng)備案和測評管理 73
6.3 系統(tǒng)運維管理 74
6.3.1 系統(tǒng)生命周期與系統(tǒng)運維管理 74
6.3.2 系統(tǒng)運維管理要求 76
6.3.3 基本管理 77
6.3.4 密碼和變更 80
6.3.5 網(wǎng)絡(luò)和系統(tǒng) 81
6.3.6 安全事件管理 83
6.3.7 備份和恢復管理 85
6.3.8 監(jiān)控和安全中心 86
6.3.9 運維管理制度實例 86
第7章 物理安全技術(shù)實施 88
7.1 安全風險 88
7.2 安全目標 89
7.3 目標措施對應(yīng)表 91
7.4 安全措施 92
7.4.1 環(huán)境物理安全措施 92
7.4.2 基本設(shè)備物理安全措施 95
7.4.3 智能設(shè)備物理安全措施 99
7.5 物理安全設(shè)計方案實例 103
7.5.1 機房環(huán)境安全 103
7.5.2 機房運行安全 103
7.5.3 基本設(shè)備物理安全 104
7.5.4 智能設(shè)備物理安全 104
第8章 網(wǎng)絡(luò)安全技術(shù)實施 105
8.1 安全風險 105
8.2 安全目標 107
8.3 目標措施對應(yīng)表 109
8.4 安全措施 110
8.4.1 結(jié)構(gòu)安全 110
8.4.2 訪問控制 112
8.4.3 安全審計 119
8.4.4 邊界完整性檢查 121
8.4.5 入侵防范 124
8.4.6 惡意代碼防范 127
8.4.7 網(wǎng)絡(luò)設(shè)備防護 129
8.5 網(wǎng)絡(luò)安全設(shè)計方案實例 132
第9章 主機安全技術(shù)實施 134
9.1 安全風險 134
9.2 安全目標 135
9.3 目標措施對應(yīng)表 137
9.4 安全措施 139
9.4.1 身份鑒別 139
9.4.2 訪問控制 143
9.4.3 安全審計 146
9.4.4 剩余信息保護 149
9.4.5 入侵防范 152
9.4.6 惡意代碼防范 154
9.4.7 資源控制 155
9.5 主機安全設(shè)計方案實例 160
第10章 應(yīng)用安全技術(shù)實施 162
10.1 安全風險 162
10.2 安全目標 163
10.3 目標措施對應(yīng)表 166
10.4 安全措施 168
10.4.1 身份鑒別 168
10.4.2 訪問控制 170
10.4.3 安全審計 172
10.4.4 剩余信息保護 175
10.4.5 通信完整性 175
10.4.6 通信保密性 176
10.4.7 抗抵賴性 177
10.4.8 軟件容錯 178
10.4.9 資源控制 179
10.5 應(yīng)用安全設(shè)計方案實例 181
第11章 數(shù)據(jù)安全技術(shù)實施 184
11.1 安全風險 184
11.2 安全目標 185
11.3 目標措施對應(yīng)表 186
11.4 安全措施 187
11.4.1 數(shù)據(jù)完整性 187
11.4.2 數(shù)據(jù)保密性 190
11.4.3 數(shù)據(jù)備份和恢復 194
11.5 數(shù)據(jù)安全設(shè)計方案實例 202
第12章 信息系統(tǒng)安全等級保護實施難點 204
12.1 三級以上信息系統(tǒng)安全結(jié)構(gòu)分析 204
12.2 大型信息系統(tǒng)安全域劃分 210
12.3 強制訪問控制技術(shù)與實現(xiàn) 212
12.4 可信路徑技術(shù)與實現(xiàn) 217
第13章 信息系統(tǒng)安全等級測評 220
13.1 等級測評的概述 220
13.1.1 等級測評的發(fā)展歷史 220
13.1.2 等級測評的意義與作用 221
13.1.3 等級測評的相關(guān)標準 222
13.2 等級測評過程 223
13.2.1 測評準備 223
13.2.2 方案編制 225
13.2.3 現(xiàn)場測評 231
13.2.4 分析與報告編制 234
13.2.5 小結(jié) 238
13.3 等級測評工作的角色與職責 238
13.3.1 測評準備活動中的職責 238
13.3.2 方案編制活動中的職責 239
13.3.3 現(xiàn)場測評活動中的職責 239
13.3.4 分析與報告編制活動中的職責 240
13.4 等級測評與風險評估 240
13.4.1 風險評估流程 240
13.4.2 風險計算方法 243
13.4.3 風險評估工具 244
第14章 信息系統(tǒng)安全等級保護檢查 247
14.1 檢查的分類 247
14.1.1 概述 247
14.1.2 檢查的工作形式 247
14.1.3 檢查的分類 247
14.2 檢查的目標和內(nèi)容 248
14.2.1 檢查目標 248
14.2.2 檢查內(nèi)容 248
14.3 檢查的實施 249
14.3.1 管理類檢查 249
14.3.2 技術(shù)類檢查 253
第15章 信息系統(tǒng)安全建設(shè)整改實例 261
15.1 系統(tǒng)定級 261
15.2 需求分析 264
15.2.1 系統(tǒng)現(xiàn)狀 264
15.2.2 等級保護符合性分析 265
15.2.3 安全風險分析 266
15.3 安全技術(shù)總體設(shè)計 269
15.3.1 總體安全建設(shè)目標 269
15.3.2 方案設(shè)計的原則和依據(jù) 269
15.3.3 方案依據(jù)標準 270
15.3.4 安全方案的總體架構(gòu) 271
15.3.5 系統(tǒng)的安全保障體系 274
15.3.6 系統(tǒng)拓撲結(jié)構(gòu) 276
15.4 安全技術(shù)詳細設(shè)計 276
15.4.1 安全防護解決方案 276
15.4.2 安全監(jiān)測解決方案 278
15.4.3 安全管理解決方案 282
15.5 安全服務(wù)解決方案 283
15.5.1 安全咨詢服務(wù) 283
15.5.2 安全評估服務(wù) 283
15.5.3 安全加固服務(wù) 285
15.5.4 日常維護服務(wù) 286
15.6 系統(tǒng)測評 286
參考文獻 287
書單推薦
