描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787111662952
《信息安全等级保护测评与整改指导手册》结合作者近二十年在信息安全领域的工作经历,以等级保护政策为核心,以技术和应用为根本出发点,以理论加实践的方式深度剖析了等级保护的基本概念、准备阶段、定级备案、评估测评、规划执行等内容,向读者进行了系统化的介绍。通过理论与案例讲解相结合,对等级保护在具体客户领域的测评以及规划执行等进行了关联阐述,重点是结合技术与应用实践来对其中涉及的理论、应用领域、应用实效等进行详细描述,让读者看得懂、学得会、用得上。
《信息安全等级保护测评与整改指导手册》适合企、事业单位信息安全从业者阅读。
出版说明
前言
第1章等级保护制度介绍
11什么是等级保护制度
111等级保护制度介绍
112为什么要做等级保护
12等级保护与分级保护的区别
13等级保护10与20的差异
131标准名称的变化
132保护对象的变化
133定级备案的变化
134标准控制点与要求项的变化
14等级保护的测评流程
第2章等级保护准备阶段
21项目分工界面
22准备阶段培训
23启动会议文件
231保密协议
232项目范围约定表
24测评实施方案
241概述
242被测系统概述
243测评范围
244测评指标和定级结果
245测评方法和工具
246测评内容
247测评安排
第3章等级保护定级
31信息安全等级保护定级指南
311范围
312规范性引用文件
313术语和定义
314定级原理
315定级方法
316等级变更
32信息安全等级保护备案摸底调查表
321存储与保障设备调查表
322软件调查表
323外部接入线路及设备端口(局域环境边界)情况调查表
324网络安全设备调查表
325网络环境情况调查表
326网络设备调查表
327系统边界描述表
328信息安全人员调查表
329应用系统调查表
3210用户及用户群情况调查表
3211重要服务器调查表
33信息安全等级保护备案表
331单位信息表
332信息系统情况表
333信息系统定级信息表
334第三级以上信息系统提交材料情况表
34信息安全等级保护定级报告
341信息系统描述
342信息系统安全保护等级确定
35信息安全等级保护专家评审意见表
第4章等级保护评估测评
41评估授权书
42工具扫描申请报告
43渗透测试申请报告
44主机安全测评
441Windows XP检查列表
442Windows Server 2008检查列表
443Linux检查列表
444UNIX主机检查列表
45物理安全测评
451物理位置的选择
452物理访问控制
453防盗窃和防破坏
454防雷击
455防火
456温湿度控制
457电力供应
458电磁防护
459防静电
4510防水和防潮
46应用安全测评
461身份鉴别
462访问控制
463安全审计
464通信完整性
465通信保密性
466抗抵赖
467软件容错
468资源控制
469数据完整性
4610数据保密性
4611备份和恢复
47网络检查测评
471网络脆弱性识别
472网络架构安全评估
48数据安全测评
481数据完整性
482数据保密性
483备份和恢复
49安全管理制度
491管理制度
492制订和发布
493评审和修订
410安全管理机构
4101岗位设置
4102人员配备
4103授权和审批
4104沟通和合作
4105审核和检查
411人员安全管理
4111人员录用
4112人员离岗
4113人员考核
4114安全意识和培训
4115外部人员访问管理
412系统建设管理
4121系统定级
4122安全方案设计
4123产品采购和使用
4124自行软件开发
4125外包软件开发
4126工程实施
4127测试验收
4128系统交付
4129系统备案
41210等级测评
41211安全服务商选择
413系统运维管理
4131环境管理
4132资产管理
4133介质管理
4134设备管理
4135监控管理和安全管理中心
4136网络安全管理
4137系统安全管理
4138恶意代码防范管理
4139密码管理
41310变更管理
41311备份与恢复管理
41312安全事件处置
41313应急预案管理
414等级保护安全评估报告
4141测评项目概述
4142被测信息系统情况
4143等级测评范围与方法
4144单元测评
4145工具测试
4146整体测评
4147整改情况说明
4148测评结果汇总
4149风险分析和评估
41410安全建设/整改建议
41411等级测评结论
第5章等级保护整改规划与执行
51等级保护整改建设方案
511项目概述
512方案设计原则及建设目标
513安全需求分析
514安全技术体系设计
515安全管理体系设计
516安全服务体系
517产品列表
518方案收益
52管理制度整改
521防病毒管理制度
522机房管理制度
523账号、口令以及权限管理制度
53组织机构和人员职责
531信息安全组织体系
532员工信息安全守则
533监督和检查
534附则
54技术标准和规范
541备份与恢复规范
542信息中心第三方来访管理规范
543应用系统互联安全规范
55主机整改加固
551Windows 2003服务器安全加固
552Linux安全加固
56数据库整改加固
561删除OLE automation存储过程
562删除访问注册表的存储过程
563删除其他有威胁的存储过程
57网络设备整改加固
571iOS版本升级
572关闭服务
573用户名设置
574口令设置
575访问控制
576使用SSH
前言
信息系统安全等级保护作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例和文件,如《中华人民共和国计算机信息系统安全保护条例》《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》 (公通字[2004]66号)和《信息安全等级保护管理办法》 (公通字[2007]43号)等文件。
随着越来越多的重要业务通过信息化平台开展,我国越来越重视重要行业、政府机关的信息安全工作。国家信息安全主管机关的等级保护工作已上升到国家政策法规的高度,要求重要信息系统的安全建设达到相应的安全标准,并通过授权机构测评、公安机关监督等督促等级保护工作的开展。
实施信息安全等级保护制度能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保证信息安全与信息化建设相协调,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。同时,优化信息安全资源配置,对信息系统实施分级保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面重要信息系统的安全。
本书将信息系统安全等级保护制度标准与等级保护测评的实施案例相结合,深入浅出地讲解了等级保护测评的全流程,希望能对想了解等级保护制度或需要进行等级保护测评相关工作的读者有所帮助。
如需书中涉及的测评模板,或就本书的内容与笔者进行讨论,欢迎发送邮件至g3eek@hotmailcom。
北京华圣龙源科技有限公司郭鑫
评论
还没有评论。