信息系統(tǒng)安全等級(jí)保護(hù)原理與應(yīng)用

第1章 信息系統(tǒng)安全概論 1
1．1 概述 1
1．2 網(wǎng)絡(luò)安全威脅 2
1．2．1 網(wǎng)絡(luò)環(huán)境下的安全威脅 2
1．2．2 TCP/IP協(xié)議的安全弱點(diǎn) 2
1．3 網(wǎng)絡(luò)攻擊技術(shù) 4
1．3．1 計(jì)算機(jī)病毒 4
1．3．2 特洛伊木馬 7
1．3．3 分布式拒絕服務(wù)攻擊 8
1．3．4 緩沖區(qū)溢出攻擊 9
1．3．5 IP欺騙攻擊 12
1．4 信息安全技術(shù) 13
1．4．1 安全服務(wù) 13
1．4．2 安全機(jī)制 14
1．4．3 網(wǎng)絡(luò)模型 15
1．4．4 信息交換安全技術(shù) 16
1．4．5 網(wǎng)絡(luò)系統(tǒng)安全技術(shù) 19
1．5 信息安全標(biāo)準(zhǔn) 21
1．6 信息安全法規(guī) 24
1．7 分級(jí)保護(hù)和等級(jí)保護(hù) 26
1．7．1 分級(jí)保護(hù) 26
1．7．2 等級(jí)保護(hù) 26
1．8 本書編寫說明 27
第2章 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí) 28
2．1 定級(jí)原理 28
2．2 定級(jí)方法 29
2．2．1 定級(jí)的一般流程 29
2．2．2 確定定級(jí)對(duì)象 29
2．2．3 確定受侵害的客體 30
2．2．4 確定對(duì)客體的侵害程度 31
2．2．5 確定定級(jí)對(duì)象的安全保護(hù)等級(jí) 32
第3章 信息系統(tǒng)安全等級(jí)保護(hù)要求 33
3．1 概述 33
3．2 基本技術(shù)要求 34
3．2．1 物理安全 35
3．2．2 網(wǎng)絡(luò)安全 36
3．2．3 主機(jī)安全 38
3．2．4 應(yīng)用安全 40
3．2．5 數(shù)據(jù)安全 41
3．3 基本管理要求 42
3．3．1 安全管理制度 42
3．3．2 安全管理機(jī)構(gòu) 43
3．3．3 人員安全管理 44
3．3．4 系統(tǒng)建設(shè)管理 45
3．3．5 系統(tǒng)運(yùn)維管理 47
3．4 整體保護(hù)能力要求 51
3．5 基本安全要求的應(yīng)用 52
第4章 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì) 53
4．1 概述 53
4．2 第一級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì) 54
4．2．1 設(shè)計(jì)目標(biāo) 54
4．2．2 設(shè)計(jì)策略 54
4．2．3 設(shè)計(jì)技術(shù)要求 54
4．3 第二級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì) 55
4．3．1 設(shè)計(jì)目標(biāo) 55
4．3．2 設(shè)計(jì)策略 55
4．3．3 設(shè)計(jì)技術(shù)要求 55
4．4 第三級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì) 57
4．4．1 設(shè)計(jì)目標(biāo) 57
4．4．2 設(shè)計(jì)策略 57
4．4．3 設(shè)計(jì)技術(shù)要求 57
4．5 第四級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì) 59
4．5．1 設(shè)計(jì)目標(biāo) 59
4．5．2 設(shè)計(jì)策略 59
4．5．3 設(shè)計(jì)技術(shù)要求 60
4．6 第三級(jí)系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)示例 62
4．6．1 功能與流程 62
4．6．2 各子系統(tǒng)主要功能 63
4．6．3 各子系統(tǒng)主要流程 64
第5章 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施 66
5．1 概述 66
5．2 信息系統(tǒng)定級(jí) 67
5．2．1 信息系統(tǒng)定級(jí)階段的工作流程 67
5．2．2 信息系統(tǒng)分析 67
5．2．3 安全保護(hù)等級(jí)的確定 69
5．3 總體安全規(guī)劃 70
5．3．1 總體安全規(guī)劃階段的工作流程 70
5．3．2 安全需求分析 71
5．3．3 總體安全設(shè)計(jì) 72
5．3．4 安全建設(shè)項(xiàng)目規(guī)劃 75
5．4 安全設(shè)計(jì)與實(shí)施 76
5．4．1 安全設(shè)計(jì)與實(shí)施階段的工作流程 76
5．4．2 安全方案詳細(xì)設(shè)計(jì) 77
5．4．3 管理措施實(shí)現(xiàn) 78
5．4．4 技術(shù)措施實(shí)現(xiàn) 80
5．5 安全運(yùn)行與維護(hù) 83
5．5．1 安全運(yùn)行與維護(hù)階段的工作流程 83
5．5．2 運(yùn)行管理和控制 84
5．5．3 變更管理和控制 85
5．5．4 安全狀態(tài)監(jiān)控 86
5．5．5 安全事件處置和應(yīng)急預(yù)案 87
5．5．6 安全檢查和持續(xù)改進(jìn) 89
5．5．7 等級(jí)測(cè)評(píng) 90
5．5．8 系統(tǒng)備案 90
5．5．9 監(jiān)督檢查 91
5．6 信息系統(tǒng)終止 91
5．6．1 信息系統(tǒng)終止階段的工作流程 91
5．6．2 信息轉(zhuǎn)移、暫存和清除 91
5．6．3 設(shè)備遷移或廢棄 92
5．6．4 存儲(chǔ)介質(zhì)的清除或銷毀 92
第6章 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng) 94
6．1 概述 94
6．2 第三級(jí)安全技術(shù)測(cè)評(píng) 96
6．2．1 物理安全 96
6．2．2 網(wǎng)絡(luò)安全 100
6．2．3 主機(jī)安全 104
6．2．4 應(yīng)用安全 107
6．2．5 數(shù)據(jù)安全 111
6．3 第三級(jí)安全管理測(cè)評(píng) 113
6．3．1 安全管理制度 113
6．3．2 安全管理機(jī)構(gòu) 115
6．3．3 人員安全管理 117
6．3．4 系統(tǒng)建設(shè)管理 120
6．3．5 系統(tǒng)運(yùn)維管理 124
6．4 等級(jí)測(cè)評(píng)結(jié)論 131
6．4．1 各層面的測(cè)評(píng)結(jié)論 131
6．4．2 整體保護(hù)能力的測(cè)評(píng)結(jié)論 131
6．5 等級(jí)測(cè)評(píng)過程 131
6．5．1 等級(jí)測(cè)評(píng)的作用 132
6．5．2 等級(jí)測(cè)評(píng)執(zhí)行主體 132
6．5．3 等級(jí)測(cè)評(píng)風(fēng)險(xiǎn) 132
6．5．4 等級(jí)測(cè)評(píng)過程 133
6．5．5 測(cè)評(píng)對(duì)象確定 134
第7章 信息系統(tǒng)安全等級(jí)保護(hù)應(yīng)用 136
7．1 概述 136
7．2 信息系統(tǒng)定級(jí) 136
7．3 安全保護(hù)方案 138
7．3．1 安全技術(shù)方案 138
7．3．2 安全管理方案 144
7．4 安全風(fēng)險(xiǎn)評(píng)估 149
7．4．1 風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)簡(jiǎn)介 150
7．4．2 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)簡(jiǎn)介 152
7．4．3 風(fēng)險(xiǎn)評(píng)估報(bào)告模板 154
第8章 工業(yè)控制系統(tǒng)信息安全 155
8．1 概述 155
8．2 工業(yè)控制系統(tǒng)及通信協(xié)議 158
8．2．1 工業(yè)控制系統(tǒng)簡(jiǎn)介 158
8．2．2 OPC通信協(xié)議簡(jiǎn)介 159
8．3 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn) 161
8．4 工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn) 162
8．4．1 國(guó)際標(biāo)準(zhǔn) 162
8．4．2 國(guó)內(nèi)標(biāo)準(zhǔn) 170
8．5 工業(yè)控制系統(tǒng)信息安全等級(jí)保護(hù) 171
附錄A 174
附錄B 181
參考文獻(xiàn) 190