书籍详情
信息系统安全等级保护原理与应用
作者:蔡皖东 著
出版社:电子工业出版社
出版时间:2014-11-01
ISBN:9787121203497
定价:¥45.00
购买这本书可以去
内容简介
信息系统安全等级保护是国家制定和推行的一项信息系统安全保护制度,并有一系列配套的技术标准和法律法规。由于信息系统安全等级保护标准比较多,覆盖了等级保护的各个阶段,因此不太容易理解和掌握。本书对相关标准进行了梳理,以第三级系统安全保护为主线,介绍了信息系统安全等级保护的概念、原理和应用。全书分为8章,介绍了信息系统安全概论、信息系统安全等级保护定级、信息系统安全等级保护要求、信息系统等级保护安全设计、信息系统安全等级保护实施、信息系统安全等级保护测评、信息系统安全等级保护应用、工业控制系统信息安全等内容。
作者简介
西北工业大学网络与信息安全学科带头人,长期从事计算机网络、网络信息安全等学科方向的教学与科研工作。应邀担任科学出版社、机械工业出版社等国家级出版社的“计算机及信息安全学科教材建设专家委员会”委员,并担任多部教材的主审专家。主持的主要科研项目有:国家863计划项目、国家信息安全计划项目、科技部技术创新基金项目、教育部博士点基金项目、航空基础科学基金项目、部委创新基金项目以及省市科技计划项目等,在国内外核心学术刊物和重要学术会议上共发表学术论文200多篇,被SCI、EI和ISTP等三大检索机构收录100多篇。
目录
第1章 信息系统安全概论 1
1.1 概述 1
1.2 网络安全威胁 2
1.2.1 网络环境下的安全威胁 2
1.2.2 TCP/IP协议的安全弱点 2
1.3 网络攻击技术 4
1.3.1 计算机病毒 4
1.3.2 特洛伊木马 7
1.3.3 分布式拒绝服务攻击 8
1.3.4 缓冲区溢出攻击 9
1.3.5 IP欺骗攻击 12
1.4 信息安全技术 13
1.4.1 安全服务 13
1.4.2 安全机制 14
1.4.3 网络模型 15
1.4.4 信息交换安全技术 16
1.4.5 网络系统安全技术 19
1.5 信息安全标准 21
1.6 信息安全法规 24
1.7 分级保护和等级保护 26
1.7.1 分级保护 26
1.7.2 等级保护 26
1.8 本书编写说明 27
第2章 信息系统安全等级保护定级 28
2.1 定级原理 28
2.2 定级方法 29
2.2.1 定级的一般流程 29
2.2.2 确定定级对象 29
2.2.3 确定受侵害的客体 30
2.2.4 确定对客体的侵害程度 31
2.2.5 确定定级对象的安全保护等级 32
第3章 信息系统安全等级保护要求 33
3.1 概述 33
3.2 基本技术要求 34
3.2.1 物理安全 35
3.2.2 网络安全 36
3.2.3 主机安全 38
3.2.4 应用安全 40
3.2.5 数据安全 41
3.3 基本管理要求 42
3.3.1 安全管理制度 42
3.3.2 安全管理机构 43
3.3.3 人员安全管理 44
3.3.4 系统建设管理 45
3.3.5 系统运维管理 47
3.4 整体保护能力要求 51
3.5 基本安全要求的应用 52
第4章 信息系统等级保护安全设计 53
4.1 概述 53
4.2 第一级系统安全保护环境设计 54
4.2.1 设计目标 54
4.2.2 设计策略 54
4.2.3 设计技术要求 54
4.3 第二级系统安全保护环境设计 55
4.3.1 设计目标 55
4.3.2 设计策略 55
4.3.3 设计技术要求 55
4.4 第三级系统安全保护环境设计 57
4.4.1 设计目标 57
4.4.2 设计策略 57
4.4.3 设计技术要求 57
4.5 第四级系统安全保护环境设计 59
4.5.1 设计目标 59
4.5.2 设计策略 59
4.5.3 设计技术要求 60
4.6 第三级系统安全保护环境设计示例 62
4.6.1 功能与流程 62
4.6.2 各子系统主要功能 63
4.6.3 各子系统主要流程 64
第5章 信息系统安全等级保护实施 66
5.1 概述 66
5.2 信息系统定级 67
5.2.1 信息系统定级阶段的工作流程 67
5.2.2 信息系统分析 67
5.2.3 安全保护等级的确定 69
5.3 总体安全规划 70
5.3.1 总体安全规划阶段的工作流程 70
5.3.2 安全需求分析 71
5.3.3 总体安全设计 72
5.3.4 安全建设项目规划 75
5.4 安全设计与实施 76
5.4.1 安全设计与实施阶段的工作流程 76
5.4.2 安全方案详细设计 77
5.4.3 管理措施实现 78
5.4.4 技术措施实现 80
5.5 安全运行与维护 83
5.5.1 安全运行与维护阶段的工作流程 83
5.5.2 运行管理和控制 84
5.5.3 变更管理和控制 85
5.5.4 安全状态监控 86
5.5.5 安全事件处置和应急预案 87
5.5.6 安全检查和持续改进 89
5.5.7 等级测评 90
5.5.8 系统备案 90
5.5.9 监督检查 91
5.6 信息系统终止 91
5.6.1 信息系统终止阶段的工作流程 91
5.6.2 信息转移、暂存和清除 91
5.6.3 设备迁移或废弃 92
5.6.4 存储介质的清除或销毁 92
第6章 信息系统安全等级保护测评 94
6.1 概述 94
6.2 第三级安全技术测评 96
6.2.1 物理安全 96
6.2.2 网络安全 100
6.2.3 主机安全 104
6.2.4 应用安全 107
6.2.5 数据安全 111
6.3 第三级安全管理测评 113
6.3.1 安全管理制度 113
6.3.2 安全管理机构 115
6.3.3 人员安全管理 117
6.3.4 系统建设管理 120
6.3.5 系统运维管理 124
6.4 等级测评结论 131
6.4.1 各层面的测评结论 131
6.4.2 整体保护能力的测评结论 131
6.5 等级测评过程 131
6.5.1 等级测评的作用 132
6.5.2 等级测评执行主体 132
6.5.3 等级测评风险 132
6.5.4 等级测评过程 133
6.5.5 测评对象确定 134
第7章 信息系统安全等级保护应用 136
7.1 概述 136
7.2 信息系统定级 136
7.3 安全保护方案 138
7.3.1 安全技术方案 138
7.3.2 安全管理方案 144
7.4 安全风险评估 149
7.4.1 风险评估标准简介 150
7.4.2 风险管理标准简介 152
7.4.3 风险评估报告模板 154
第8章 工业控制系统信息安全 155
8.1 概述 155
8.2 工业控制系统及通信协议 158
8.2.1 工业控制系统简介 158
8.2.2 OPC通信协议简介 159
8.3 工业控制系统信息安全风险 161
8.4 工业控制系统信息安全标准 162
8.4.1 国际标准 162
8.4.2 国内标准 170
8.5 工业控制系统信息安全等级保护 171
附录A 174
附录B 181
参考文献 190
1.1 概述 1
1.2 网络安全威胁 2
1.2.1 网络环境下的安全威胁 2
1.2.2 TCP/IP协议的安全弱点 2
1.3 网络攻击技术 4
1.3.1 计算机病毒 4
1.3.2 特洛伊木马 7
1.3.3 分布式拒绝服务攻击 8
1.3.4 缓冲区溢出攻击 9
1.3.5 IP欺骗攻击 12
1.4 信息安全技术 13
1.4.1 安全服务 13
1.4.2 安全机制 14
1.4.3 网络模型 15
1.4.4 信息交换安全技术 16
1.4.5 网络系统安全技术 19
1.5 信息安全标准 21
1.6 信息安全法规 24
1.7 分级保护和等级保护 26
1.7.1 分级保护 26
1.7.2 等级保护 26
1.8 本书编写说明 27
第2章 信息系统安全等级保护定级 28
2.1 定级原理 28
2.2 定级方法 29
2.2.1 定级的一般流程 29
2.2.2 确定定级对象 29
2.2.3 确定受侵害的客体 30
2.2.4 确定对客体的侵害程度 31
2.2.5 确定定级对象的安全保护等级 32
第3章 信息系统安全等级保护要求 33
3.1 概述 33
3.2 基本技术要求 34
3.2.1 物理安全 35
3.2.2 网络安全 36
3.2.3 主机安全 38
3.2.4 应用安全 40
3.2.5 数据安全 41
3.3 基本管理要求 42
3.3.1 安全管理制度 42
3.3.2 安全管理机构 43
3.3.3 人员安全管理 44
3.3.4 系统建设管理 45
3.3.5 系统运维管理 47
3.4 整体保护能力要求 51
3.5 基本安全要求的应用 52
第4章 信息系统等级保护安全设计 53
4.1 概述 53
4.2 第一级系统安全保护环境设计 54
4.2.1 设计目标 54
4.2.2 设计策略 54
4.2.3 设计技术要求 54
4.3 第二级系统安全保护环境设计 55
4.3.1 设计目标 55
4.3.2 设计策略 55
4.3.3 设计技术要求 55
4.4 第三级系统安全保护环境设计 57
4.4.1 设计目标 57
4.4.2 设计策略 57
4.4.3 设计技术要求 57
4.5 第四级系统安全保护环境设计 59
4.5.1 设计目标 59
4.5.2 设计策略 59
4.5.3 设计技术要求 60
4.6 第三级系统安全保护环境设计示例 62
4.6.1 功能与流程 62
4.6.2 各子系统主要功能 63
4.6.3 各子系统主要流程 64
第5章 信息系统安全等级保护实施 66
5.1 概述 66
5.2 信息系统定级 67
5.2.1 信息系统定级阶段的工作流程 67
5.2.2 信息系统分析 67
5.2.3 安全保护等级的确定 69
5.3 总体安全规划 70
5.3.1 总体安全规划阶段的工作流程 70
5.3.2 安全需求分析 71
5.3.3 总体安全设计 72
5.3.4 安全建设项目规划 75
5.4 安全设计与实施 76
5.4.1 安全设计与实施阶段的工作流程 76
5.4.2 安全方案详细设计 77
5.4.3 管理措施实现 78
5.4.4 技术措施实现 80
5.5 安全运行与维护 83
5.5.1 安全运行与维护阶段的工作流程 83
5.5.2 运行管理和控制 84
5.5.3 变更管理和控制 85
5.5.4 安全状态监控 86
5.5.5 安全事件处置和应急预案 87
5.5.6 安全检查和持续改进 89
5.5.7 等级测评 90
5.5.8 系统备案 90
5.5.9 监督检查 91
5.6 信息系统终止 91
5.6.1 信息系统终止阶段的工作流程 91
5.6.2 信息转移、暂存和清除 91
5.6.3 设备迁移或废弃 92
5.6.4 存储介质的清除或销毁 92
第6章 信息系统安全等级保护测评 94
6.1 概述 94
6.2 第三级安全技术测评 96
6.2.1 物理安全 96
6.2.2 网络安全 100
6.2.3 主机安全 104
6.2.4 应用安全 107
6.2.5 数据安全 111
6.3 第三级安全管理测评 113
6.3.1 安全管理制度 113
6.3.2 安全管理机构 115
6.3.3 人员安全管理 117
6.3.4 系统建设管理 120
6.3.5 系统运维管理 124
6.4 等级测评结论 131
6.4.1 各层面的测评结论 131
6.4.2 整体保护能力的测评结论 131
6.5 等级测评过程 131
6.5.1 等级测评的作用 132
6.5.2 等级测评执行主体 132
6.5.3 等级测评风险 132
6.5.4 等级测评过程 133
6.5.5 测评对象确定 134
第7章 信息系统安全等级保护应用 136
7.1 概述 136
7.2 信息系统定级 136
7.3 安全保护方案 138
7.3.1 安全技术方案 138
7.3.2 安全管理方案 144
7.4 安全风险评估 149
7.4.1 风险评估标准简介 150
7.4.2 风险管理标准简介 152
7.4.3 风险评估报告模板 154
第8章 工业控制系统信息安全 155
8.1 概述 155
8.2 工业控制系统及通信协议 158
8.2.1 工业控制系统简介 158
8.2.2 OPC通信协议简介 159
8.3 工业控制系统信息安全风险 161
8.4 工业控制系统信息安全标准 162
8.4.1 国际标准 162
8.4.2 国内标准 170
8.5 工业控制系统信息安全等级保护 171
附录A 174
附录B 181
参考文献 190
猜您喜欢