網(wǎng)絡安全測評基礎——注冊網(wǎng)絡安全測評/管理專業(yè)人員(NSATP)培訓認證教材
定 價:120 元
當前圖書已被 1 所學校薦購過��!
查看明細
- 作者:霍珊珊 等
- 出版時間:2025/7/1
- ISBN:9787121507106
- 出 版 社:電子工業(yè)出版社
- 中圖法分類:TP393.08
- 頁碼:440
- 紙張:
- 版次:01
- 開本:16開
本書基于網(wǎng)絡安全理論研究和工程實踐��,在參考國內外最佳實踐的基礎上��,介紹了網(wǎng)絡安全政策法規(guī)��、信息安全管理��、網(wǎng)絡安全等級保護測評��、商用密碼應用安全性評估��、移動客戶端安全性評估��、滲透評估��、信息安全風險評估��、信息技術與網(wǎng)絡安全產(chǎn)品測評��、源代碼審計等方面的理論知識和實踐經(jīng)驗��,具有全面性��、系統(tǒng)性��、針對性等特點。本書通過對相關法律法規(guī)和政策標準的分析��,給出了網(wǎng)絡安全等級保護測評的基本原理和實施要點��,可以幫助測評人員全面了解網(wǎng)絡安全知識和工具��,從而正確地開展網(wǎng)絡安全等級保護測評工作��。
多年來長期從事等級保護測評��、信息安全風險評估��、網(wǎng)絡攻防演練��、網(wǎng)絡安全審查技術研究工作��,涉及領域包括金融��、能源��、電信��、電力��、交通和電子政務等��。
第1章 網(wǎng)絡安全政策法規(guī) 1
1.1 《網(wǎng)絡安全法》 1
1.1.1 概述 1
1.1.2 主要內容 3
1.2 《密碼法》 11
1.2.1 概述 11
1.2.2 主要內容 13
1.2.3 與密碼有關的法規(guī) 20
1.3 《數(shù)據(jù)安全法》 24
1.3.1 概述 24
1.3.2 主要內容 26
1.4 等級保護制度 32
1.4.1 法律依據(jù) 32
1.4.2 政策依據(jù) 33
1.4.3 基本要求 33
1.4.4 工作流程 33
1.5 網(wǎng)絡安全標準 34
1.5.1 標準化組織 35
1.5.2 風險管理標準 37
1.5.3 等級保護標準 40
第2章 信息安全管理 43
2.1 信息安全管理基礎 43
2.1.1 信息安全 43
2.1.2 管理和管理體系 46
2.2 信息安全風險管理 57
2.2.1 風險管理基本概念 57
2.2.2 風險管理原則 58
2.2.3 風險管理角色和職責 59
2.2.4 常見的風險管理模型 60
2.2.5 風險管理基本過程 66
2.3 信息安全管理體系建設 69
2.3.1 PDCA過程 69
2.3.2 信息安全管理體系建設過程 72
2.3.3 文檔管理 75
2.3.4 信息安全管理體系控制措施 77
2.4 信息安全管理體系認證審核 98
2.4.1 認證的目的 98
2.4.2 認證審核依據(jù) 99
2.4.3 認證審核流程 99
2.4.4 認證審核相關要點 100
第3章 網(wǎng)絡安全等級保護測評 103
3.1 概述 103
3.2 《網(wǎng)絡安全等級保護定級指南》解讀 104
3.2.1 基本概念 104
3.2.2 定級流程及方法 105
3.3 《網(wǎng)絡安全等級保護基本要求》解讀 110
3.3.1 背景 110
3.3.2 新標準主要特點 111
3.3.3 主要內容 111
3.3.4 安全通用要求介紹 114
3.3.5 安全擴展要求介紹 120
3.3.6 高風險判例 126
3.4 網(wǎng)絡安全等級保護測評實施 128
3.4.1 等級測評實施過程 128
3.4.2 能力驗證活動 143
第4章 商用密碼應用安全性評估 147
4.1 商用密碼應用安全性評估標準 147
4.1.1 密評背景 147
4.1.2 密評標準 154
4.1.3 政務信息系統(tǒng)密碼應用與安全性評估工作指南 179
4.2 密評技術框架 180
4.2.1 通用要求測評 180
4.2.2 典型密碼產(chǎn)品應用的測評方法 182
4.2.3 密碼功能測評 184
4.3 密評實施流程 186
4.3.1 測評準備活動 186
4.3.2 方案編制活動 186
4.3.3 現(xiàn)場測評活動 187
4.3.4 分析與報告編制活動 188
4.4 密評工具 189
4.5 密評實施案例 191
4.5.1 密碼應用方案概述 191
4.5.2 密碼應用安全性評估測評實施 194
第5章 移動客戶端安全性評估 197
5.1 個人信息合規(guī) 197
5.1.1 概述 197
5.1.2 《個人信息安全規(guī)范》概述 203
5.1.3 《個人金融信息保護技術規(guī)范》介紹 211
5.2 APP違法違規(guī)收集使用個人信息的認定辦法 220
5.2.1 簡介 220
5.2.2 相關部門開展的行動 220
5.2.3 評估方法 221
5.2.4 認定細則 221
5.3 客戶端安全 228
5.3.1 移動金融客戶端應用軟件安全管理規(guī)范 228
5.3.2 移動智能終端應用軟件安全技術要求 234
5.3.3 其他行業(yè)標準 237
第6章 滲透評估 238
6.1 滲透測試執(zhí)行標準 238
6.1.1 前期交互 239
6.1.2 情報搜集 242
6.1.3 威脅建模 244
6.1.4 漏洞分析 246
6.1.5 滲透攻擊 247
6.1.6 后滲透攻擊 249
6.1.7 報告 252
6.2 滲透測試工具 253
6.2.1 Nmap和Zenmap 253
6.2.2 Kali Linux 264
6.2.3 Metasploit 266
6.2.4 Acunetix Web Vulnerability Scanner 269
6.2.5 SQLMAP 271
6.2.6 Wireshark 272
6.2.7 Burp Suite 272
6.2.8 Nessus 274
6.2.9 THC Hydra 275
6.3 滲透測試案例 275
6.3.1 SQL注入 275
6.3.2 跨站腳本攻擊 279
6.3.3 任意文件上傳 279
第7章 信息安全風險評估 281
7.1 信息安全風險評估政策標準 281
7.1.1 信息安全風險評估在國外的發(fā)展 281
7.1.2 信息安全風險評估在國內的發(fā)展 284
7.2 信息安全風險評估的要素 286
7.2.1 風險評估的基本概念 286
7.2.2 風險評估各要素之間的關系 288
7.3 信息安全風險評估的實施流程 289
7.3.1 風險評估準備 290
7.3.2 風險識別 295
7.3.3 風險分析 313
7.3.4 風險評價 316
7.3.5 風險處理計劃 318
7.3.6 殘余風險評估 319
7.3.7 風險評估文檔記錄 319
7.4 信息安全風險評估的實施時機與方式 320
7.4.1 信息安全風險評估的實施時機 320
7.4.2 信息安全風險評估的實施方式 324
7.5 信息安全風險評估的計算方法及示例 326
7.5.1 信息安全風險評估的計算方法 326
7.5.2 示例 327
第8章 信息技術與網(wǎng)絡安全產(chǎn)品測評 336
8.1 安全評估基礎 336
8.1.1 安全評估標準 336
8.1.2 GB/T 18336評估標準應用情況 344
8.2 數(shù)據(jù)庫產(chǎn)品安全檢測與評估 348
8.2.1 概述 348
8.2.2 數(shù)據(jù)庫產(chǎn)品標準基本架構 349
8.2.3 數(shù)據(jù)庫安全功能檢測與評估 350
8.2.4 數(shù)據(jù)庫安全保障評估 362
8.3 路由器安全檢測 365
8.3.1 概述 365
8.3.2 路由器產(chǎn)品標準基本架構 366
8.3.3 路由器安全功能檢測 367
8.3.4 路由器安全保障評估 371
8.4 防火墻安全檢測 371
8.4.1 概述 371
8.4.2 防火墻產(chǎn)品標準基本架構 372
8.4.3 防火墻安全功能檢測 372
8.4.4 防火墻自身安全檢測 376
8.4.5 防火墻性能檢測 378
8.4.6 防火墻安全保障評估 379
第9章 源代碼審計 380
9.1 源代碼審計基礎 380
9.1.1 源代碼審計的概念 380
9.1.2 源代碼審計方法 387
9.1.3 源代碼審計技術 392
9.2 源代碼審計政策標準 398
9.2.1 代碼審計規(guī)范 398
9.2.2 代碼開發(fā)參考規(guī)范 398
9.3 源代碼審計工具 403
9.3.1 Cppcheck 404
9.3.2 RIPS 404
9.3.3 FindBugs 405
9.3.4 Fortify SCA 405
9.3.5 Checkmarx CxSuite 405
9.3.6 Coverity Prevent 406
9.3.7 kiwi 406
9.4 源代碼審計實例 407
9.4.1 SQL注入 407
9.4.2 跨站腳本攻擊 412
9.4.3 命令注入 417
9.4.4 密碼硬編碼 420
9.4.5 隱私泄露 422
9.4.6 Header Manipulation 424
9.4.7 日志偽造 427
9.4.8 單例成員字段 429
