網(wǎng)絡(luò)安全測(cè)評(píng)基礎(chǔ)——注冊(cè)網(wǎng)絡(luò)安全測(cè)評(píng)/管理專業(yè)人員(NSATP)培訓(xùn)認(rèn)證教材
定 價(jià):120 元
- 作者:霍珊珊 等
- 出版時(shí)間:2025/7/1
- ISBN:9787121507106
- 出 版 社:電子工業(yè)出版社
- 中圖法分類:TP393.08
- 頁(yè)碼:440
- 紙張:
- 版次:01
- 開本:16開
本書基于網(wǎng)絡(luò)安全理論研究和工程實(shí)踐�����,在參考國(guó)內(nèi)外最佳實(shí)踐的基礎(chǔ)上��,介紹了網(wǎng)絡(luò)安全政策法規(guī)��、信息安全管理�����、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)���、商用密碼應(yīng)用安全性評(píng)估�����、移動(dòng)客戶端安全性評(píng)估��、滲透評(píng)估�����、信息安全風(fēng)險(xiǎn)評(píng)估�、信息技術(shù)與網(wǎng)絡(luò)安全產(chǎn)品測(cè)評(píng)、源代碼審計(jì)等方面的理論知識(shí)和實(shí)踐經(jīng)驗(yàn)�����,具有全面性����、系統(tǒng)性�����、針對(duì)性等特點(diǎn)�����。本書通過對(duì)相關(guān)法律法規(guī)和政策標(biāo)準(zhǔn)的分析����,給出了網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的基本原理和實(shí)施要點(diǎn),可以幫助測(cè)評(píng)人員全面了解網(wǎng)絡(luò)安全知識(shí)和工具����,從而正確地開展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作。
多年來長(zhǎng)期從事等級(jí)保護(hù)測(cè)評(píng)��、信息安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)攻防演練��、網(wǎng)絡(luò)安全審查技術(shù)研究工作�����,涉及領(lǐng)域包括金融�����、能源���、電信�����、電力�����、交通和電子政務(wù)等�。
第1章 網(wǎng)絡(luò)安全政策法規(guī) 1
1.1 《網(wǎng)絡(luò)安全法》 1
1.1.1 概述 1
1.1.2 主要內(nèi)容 3
1.2 《密碼法》 11
1.2.1 概述 11
1.2.2 主要內(nèi)容 13
1.2.3 與密碼有關(guān)的法規(guī) 20
1.3 《數(shù)據(jù)安全法》 24
1.3.1 概述 24
1.3.2 主要內(nèi)容 26
1.4 等級(jí)保護(hù)制度 32
1.4.1 法律依據(jù) 32
1.4.2 政策依據(jù) 33
1.4.3 基本要求 33
1.4.4 工作流程 33
1.5 網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 34
1.5.1 標(biāo)準(zhǔn)化組織 35
1.5.2 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn) 37
1.5.3 等級(jí)保護(hù)標(biāo)準(zhǔn) 40
第2章 信息安全管理 43
2.1 信息安全管理基礎(chǔ) 43
2.1.1 信息安全 43
2.1.2 管理和管理體系 46
2.2 信息安全風(fēng)險(xiǎn)管理 57
2.2.1 風(fēng)險(xiǎn)管理基本概念 57
2.2.2 風(fēng)險(xiǎn)管理原則 58
2.2.3 風(fēng)險(xiǎn)管理角色和職責(zé) 59
2.2.4 常見的風(fēng)險(xiǎn)管理模型 60
2.2.5 風(fēng)險(xiǎn)管理基本過程 66
2.3 信息安全管理體系建設(shè) 69
2.3.1 PDCA過程 69
2.3.2 信息安全管理體系建設(shè)過程 72
2.3.3 文檔管理 75
2.3.4 信息安全管理體系控制措施 77
2.4 信息安全管理體系認(rèn)證審核 98
2.4.1 認(rèn)證的目的 98
2.4.2 認(rèn)證審核依據(jù) 99
2.4.3 認(rèn)證審核流程 99
2.4.4 認(rèn)證審核相關(guān)要點(diǎn) 100
第3章 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng) 103
3.1 概述 103
3.2 《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》解讀 104
3.2.1 基本概念 104
3.2.2 定級(jí)流程及方法 105
3.3 《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》解讀 110
3.3.1 背景 110
3.3.2 新標(biāo)準(zhǔn)主要特點(diǎn) 111
3.3.3 主要內(nèi)容 111
3.3.4 安全通用要求介紹 114
3.3.5 安全擴(kuò)展要求介紹 120
3.3.6 高風(fēng)險(xiǎn)判例 126
3.4 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)實(shí)施 128
3.4.1 等級(jí)測(cè)評(píng)實(shí)施過程 128
3.4.2 能力驗(yàn)證活動(dòng) 143
第4章 商用密碼應(yīng)用安全性評(píng)估 147
4.1 商用密碼應(yīng)用安全性評(píng)估標(biāo)準(zhǔn) 147
4.1.1 密評(píng)背景 147
4.1.2 密評(píng)標(biāo)準(zhǔn) 154
4.1.3 政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南 179
4.2 密評(píng)技術(shù)框架 180
4.2.1 通用要求測(cè)評(píng) 180
4.2.2 典型密碼產(chǎn)品應(yīng)用的測(cè)評(píng)方法 182
4.2.3 密碼功能測(cè)評(píng) 184
4.3 密評(píng)實(shí)施流程 186
4.3.1 測(cè)評(píng)準(zhǔn)備活動(dòng) 186
4.3.2 方案編制活動(dòng) 186
4.3.3 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng) 187
4.3.4 分析與報(bào)告編制活動(dòng) 188
4.4 密評(píng)工具 189
4.5 密評(píng)實(shí)施案例 191
4.5.1 密碼應(yīng)用方案概述 191
4.5.2 密碼應(yīng)用安全性評(píng)估測(cè)評(píng)實(shí)施 194
第5章 移動(dòng)客戶端安全性評(píng)估 197
5.1 個(gè)人信息合規(guī) 197
5.1.1 概述 197
5.1.2 《個(gè)人信息安全規(guī)范》概述 203
5.1.3 《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》介紹 211
5.2 APP違法違規(guī)收集使用個(gè)人信息的認(rèn)定辦法 220
5.2.1 簡(jiǎn)介 220
5.2.2 相關(guān)部門開展的行動(dòng) 220
5.2.3 評(píng)估方法 221
5.2.4 認(rèn)定細(xì)則 221
5.3 客戶端安全 228
5.3.1 移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范 228
5.3.2 移動(dòng)智能終端應(yīng)用軟件安全技術(shù)要求 234
5.3.3 其他行業(yè)標(biāo)準(zhǔn) 237
第6章 滲透評(píng)估 238
6.1 滲透測(cè)試執(zhí)行標(biāo)準(zhǔn) 238
6.1.1 前期交互 239
6.1.2 情報(bào)搜集 242
6.1.3 威脅建模 244
6.1.4 漏洞分析 246
6.1.5 滲透攻擊 247
6.1.6 后滲透攻擊 249
6.1.7 報(bào)告 252
6.2 滲透測(cè)試工具 253
6.2.1 Nmap和Zenmap 253
6.2.2 Kali Linux 264
6.2.3 Metasploit 266
6.2.4 Acunetix Web Vulnerability Scanner 269
6.2.5 SQLMAP 271
6.2.6 Wireshark 272
6.2.7 Burp Suite 272
6.2.8 Nessus 274
6.2.9 THC Hydra 275
6.3 滲透測(cè)試案例 275
6.3.1 SQL注入 275
6.3.2 跨站腳本攻擊 279
6.3.3 任意文件上傳 279
第7章 信息安全風(fēng)險(xiǎn)評(píng)估 281
7.1 信息安全風(fēng)險(xiǎn)評(píng)估政策標(biāo)準(zhǔn) 281
7.1.1 信息安全風(fēng)險(xiǎn)評(píng)估在國(guó)外的發(fā)展 281
7.1.2 信息安全風(fēng)險(xiǎn)評(píng)估在國(guó)內(nèi)的發(fā)展 284
7.2 信息安全風(fēng)險(xiǎn)評(píng)估的要素 286
7.2.1 風(fēng)險(xiǎn)評(píng)估的基本概念 286
7.2.2 風(fēng)險(xiǎn)評(píng)估各要素之間的關(guān)系 288
7.3 信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施流程 289
7.3.1 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備 290
7.3.2 風(fēng)險(xiǎn)識(shí)別 295
7.3.3 風(fēng)險(xiǎn)分析 313
7.3.4 風(fēng)險(xiǎn)評(píng)價(jià) 316
7.3.5 風(fēng)險(xiǎn)處理計(jì)劃 318
7.3.6 殘余風(fēng)險(xiǎn)評(píng)估 319
7.3.7 風(fēng)險(xiǎn)評(píng)估文檔記錄 319
7.4 信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施時(shí)機(jī)與方式 320
7.4.1 信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施時(shí)機(jī) 320
7.4.2 信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施方式 324
7.5 信息安全風(fēng)險(xiǎn)評(píng)估的計(jì)算方法及示例 326
7.5.1 信息安全風(fēng)險(xiǎn)評(píng)估的計(jì)算方法 326
7.5.2 示例 327
第8章 信息技術(shù)與網(wǎng)絡(luò)安全產(chǎn)品測(cè)評(píng) 336
8.1 安全評(píng)估基礎(chǔ) 336
8.1.1 安全評(píng)估標(biāo)準(zhǔn) 336
8.1.2 GB/T 18336評(píng)估標(biāo)準(zhǔn)應(yīng)用情況 344
8.2 數(shù)據(jù)庫(kù)產(chǎn)品安全檢測(cè)與評(píng)估 348
8.2.1 概述 348
8.2.2 數(shù)據(jù)庫(kù)產(chǎn)品標(biāo)準(zhǔn)基本架構(gòu) 349
8.2.3 數(shù)據(jù)庫(kù)安全功能檢測(cè)與評(píng)估 350
8.2.4 數(shù)據(jù)庫(kù)安全保障評(píng)估 362
8.3 路由器安全檢測(cè) 365
8.3.1 概述 365
8.3.2 路由器產(chǎn)品標(biāo)準(zhǔn)基本架構(gòu) 366
8.3.3 路由器安全功能檢測(cè) 367
8.3.4 路由器安全保障評(píng)估 371
8.4 防火墻安全檢測(cè) 371
8.4.1 概述 371
8.4.2 防火墻產(chǎn)品標(biāo)準(zhǔn)基本架構(gòu) 372
8.4.3 防火墻安全功能檢測(cè) 372
8.4.4 防火墻自身安全檢測(cè) 376
8.4.5 防火墻性能檢測(cè) 378
8.4.6 防火墻安全保障評(píng)估 379
第9章 源代碼審計(jì) 380
9.1 源代碼審計(jì)基礎(chǔ) 380
9.1.1 源代碼審計(jì)的概念 380
9.1.2 源代碼審計(jì)方法 387
9.1.3 源代碼審計(jì)技術(shù) 392
9.2 源代碼審計(jì)政策標(biāo)準(zhǔn) 398
9.2.1 代碼審計(jì)規(guī)范 398
9.2.2 代碼開發(fā)參考規(guī)范 398
9.3 源代碼審計(jì)工具 403
9.3.1 Cppcheck 404
9.3.2 RIPS 404
9.3.3 FindBugs 405
9.3.4 Fortify SCA 405
9.3.5 Checkmarx CxSuite 405
9.3.6 Coverity Prevent 406
9.3.7 kiwi 406
9.4 源代碼審計(jì)實(shí)例 407
9.4.1 SQL注入 407
9.4.2 跨站腳本攻擊 412
9.4.3 命令注入 417
9.4.4 密碼硬編碼 420
9.4.5 隱私泄露 422
9.4.6 Header Manipulation 424
9.4.7 日志偽造 427
9.4.8 單例成員字段 429
