網(wǎng)絡(luò)安全測評基礎(chǔ)——注冊網(wǎng)絡(luò)安全測評/管理專業(yè)人員(NSATP)培訓(xùn)認(rèn)證教材
定 價(jià):120 元
當(dāng)前圖書已被 1 所學(xué)校薦購過����!
查看明細(xì)
- 作者:霍珊珊 等
- 出版時(shí)間:2025/7/1
- ISBN:9787121507106
- 出 版 社:電子工業(yè)出版社
- 中圖法分類:TP393.08
- 頁碼:440
- 紙張:
- 版次:01
- 開本:16開
本書基于網(wǎng)絡(luò)安全理論研究和工程實(shí)踐����,在參考國內(nèi)外最佳實(shí)踐的基礎(chǔ)上,介紹了網(wǎng)絡(luò)安全政策法規(guī)�����、信息安全管理����、網(wǎng)絡(luò)安全等級保護(hù)測評、商用密碼應(yīng)用安全性評估����、移動(dòng)客戶端安全性評估、滲透評估�����、信息安全風(fēng)險(xiǎn)評估、信息技術(shù)與網(wǎng)絡(luò)安全產(chǎn)品測評����、源代碼審計(jì)等方面的理論知識(shí)和實(shí)踐經(jīng)驗(yàn),具有全面性����、系統(tǒng)性、針對性等特點(diǎn)����。本書通過對相關(guān)法律法規(guī)和政策標(biāo)準(zhǔn)的分析�����,給出了網(wǎng)絡(luò)安全等級保護(hù)測評的基本原理和實(shí)施要點(diǎn)�����,可以幫助測評人員全面了解網(wǎng)絡(luò)安全知識(shí)和工具����,從而正確地開展網(wǎng)絡(luò)安全等級保護(hù)測評工作。
多年來長期從事等級保護(hù)測評、信息安全風(fēng)險(xiǎn)評估����、網(wǎng)絡(luò)攻防演練、網(wǎng)絡(luò)安全審查技術(shù)研究工作�����,涉及領(lǐng)域包括金融�����、能源����、電信、電力�����、交通和電子政務(wù)等����。
第1章 網(wǎng)絡(luò)安全政策法規(guī) 1
1.1 《網(wǎng)絡(luò)安全法》 1
1.1.1 概述 1
1.1.2 主要內(nèi)容 3
1.2 《密碼法》 11
1.2.1 概述 11
1.2.2 主要內(nèi)容 13
1.2.3 與密碼有關(guān)的法規(guī) 20
1.3 《數(shù)據(jù)安全法》 24
1.3.1 概述 24
1.3.2 主要內(nèi)容 26
1.4 等級保護(hù)制度 32
1.4.1 法律依據(jù) 32
1.4.2 政策依據(jù) 33
1.4.3 基本要求 33
1.4.4 工作流程 33
1.5 網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 34
1.5.1 標(biāo)準(zhǔn)化組織 35
1.5.2 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn) 37
1.5.3 等級保護(hù)標(biāo)準(zhǔn) 40
第2章 信息安全管理 43
2.1 信息安全管理基礎(chǔ) 43
2.1.1 信息安全 43
2.1.2 管理和管理體系 46
2.2 信息安全風(fēng)險(xiǎn)管理 57
2.2.1 風(fēng)險(xiǎn)管理基本概念 57
2.2.2 風(fēng)險(xiǎn)管理原則 58
2.2.3 風(fēng)險(xiǎn)管理角色和職責(zé) 59
2.2.4 常見的風(fēng)險(xiǎn)管理模型 60
2.2.5 風(fēng)險(xiǎn)管理基本過程 66
2.3 信息安全管理體系建設(shè) 69
2.3.1 PDCA過程 69
2.3.2 信息安全管理體系建設(shè)過程 72
2.3.3 文檔管理 75
2.3.4 信息安全管理體系控制措施 77
2.4 信息安全管理體系認(rèn)證審核 98
2.4.1 認(rèn)證的目的 98
2.4.2 認(rèn)證審核依據(jù) 99
2.4.3 認(rèn)證審核流程 99
2.4.4 認(rèn)證審核相關(guān)要點(diǎn) 100
第3章 網(wǎng)絡(luò)安全等級保護(hù)測評 103
3.1 概述 103
3.2 《網(wǎng)絡(luò)安全等級保護(hù)定級指南》解讀 104
3.2.1 基本概念 104
3.2.2 定級流程及方法 105
3.3 《網(wǎng)絡(luò)安全等級保護(hù)基本要求》解讀 110
3.3.1 背景 110
3.3.2 新標(biāo)準(zhǔn)主要特點(diǎn) 111
3.3.3 主要內(nèi)容 111
3.3.4 安全通用要求介紹 114
3.3.5 安全擴(kuò)展要求介紹 120
3.3.6 高風(fēng)險(xiǎn)判例 126
3.4 網(wǎng)絡(luò)安全等級保護(hù)測評實(shí)施 128
3.4.1 等級測評實(shí)施過程 128
3.4.2 能力驗(yàn)證活動(dòng) 143
第4章 商用密碼應(yīng)用安全性評估 147
4.1 商用密碼應(yīng)用安全性評估標(biāo)準(zhǔn) 147
4.1.1 密評背景 147
4.1.2 密評標(biāo)準(zhǔn) 154
4.1.3 政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估工作指南 179
4.2 密評技術(shù)框架 180
4.2.1 通用要求測評 180
4.2.2 典型密碼產(chǎn)品應(yīng)用的測評方法 182
4.2.3 密碼功能測評 184
4.3 密評實(shí)施流程 186
4.3.1 測評準(zhǔn)備活動(dòng) 186
4.3.2 方案編制活動(dòng) 186
4.3.3 現(xiàn)場測評活動(dòng) 187
4.3.4 分析與報(bào)告編制活動(dòng) 188
4.4 密評工具 189
4.5 密評實(shí)施案例 191
4.5.1 密碼應(yīng)用方案概述 191
4.5.2 密碼應(yīng)用安全性評估測評實(shí)施 194
第5章 移動(dòng)客戶端安全性評估 197
5.1 個(gè)人信息合規(guī) 197
5.1.1 概述 197
5.1.2 《個(gè)人信息安全規(guī)范》概述 203
5.1.3 《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》介紹 211
5.2 APP違法違規(guī)收集使用個(gè)人信息的認(rèn)定辦法 220
5.2.1 簡介 220
5.2.2 相關(guān)部門開展的行動(dòng) 220
5.2.3 評估方法 221
5.2.4 認(rèn)定細(xì)則 221
5.3 客戶端安全 228
5.3.1 移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范 228
5.3.2 移動(dòng)智能終端應(yīng)用軟件安全技術(shù)要求 234
5.3.3 其他行業(yè)標(biāo)準(zhǔn) 237
第6章 滲透評估 238
6.1 滲透測試執(zhí)行標(biāo)準(zhǔn) 238
6.1.1 前期交互 239
6.1.2 情報(bào)搜集 242
6.1.3 威脅建模 244
6.1.4 漏洞分析 246
6.1.5 滲透攻擊 247
6.1.6 后滲透攻擊 249
6.1.7 報(bào)告 252
6.2 滲透測試工具 253
6.2.1 Nmap和Zenmap 253
6.2.2 Kali Linux 264
6.2.3 Metasploit 266
6.2.4 Acunetix Web Vulnerability Scanner 269
6.2.5 SQLMAP 271
6.2.6 Wireshark 272
6.2.7 Burp Suite 272
6.2.8 Nessus 274
6.2.9 THC Hydra 275
6.3 滲透測試案例 275
6.3.1 SQL注入 275
6.3.2 跨站腳本攻擊 279
6.3.3 任意文件上傳 279
第7章 信息安全風(fēng)險(xiǎn)評估 281
7.1 信息安全風(fēng)險(xiǎn)評估政策標(biāo)準(zhǔn) 281
7.1.1 信息安全風(fēng)險(xiǎn)評估在國外的發(fā)展 281
7.1.2 信息安全風(fēng)險(xiǎn)評估在國內(nèi)的發(fā)展 284
7.2 信息安全風(fēng)險(xiǎn)評估的要素 286
7.2.1 風(fēng)險(xiǎn)評估的基本概念 286
7.2.2 風(fēng)險(xiǎn)評估各要素之間的關(guān)系 288
7.3 信息安全風(fēng)險(xiǎn)評估的實(shí)施流程 289
7.3.1 風(fēng)險(xiǎn)評估準(zhǔn)備 290
7.3.2 風(fēng)險(xiǎn)識(shí)別 295
7.3.3 風(fēng)險(xiǎn)分析 313
7.3.4 風(fēng)險(xiǎn)評價(jià) 316
7.3.5 風(fēng)險(xiǎn)處理計(jì)劃 318
7.3.6 殘余風(fēng)險(xiǎn)評估 319
7.3.7 風(fēng)險(xiǎn)評估文檔記錄 319
7.4 信息安全風(fēng)險(xiǎn)評估的實(shí)施時(shí)機(jī)與方式 320
7.4.1 信息安全風(fēng)險(xiǎn)評估的實(shí)施時(shí)機(jī) 320
7.4.2 信息安全風(fēng)險(xiǎn)評估的實(shí)施方式 324
7.5 信息安全風(fēng)險(xiǎn)評估的計(jì)算方法及示例 326
7.5.1 信息安全風(fēng)險(xiǎn)評估的計(jì)算方法 326
7.5.2 示例 327
第8章 信息技術(shù)與網(wǎng)絡(luò)安全產(chǎn)品測評 336
8.1 安全評估基礎(chǔ) 336
8.1.1 安全評估標(biāo)準(zhǔn) 336
8.1.2 GB/T 18336評估標(biāo)準(zhǔn)應(yīng)用情況 344
8.2 數(shù)據(jù)庫產(chǎn)品安全檢測與評估 348
8.2.1 概述 348
8.2.2 數(shù)據(jù)庫產(chǎn)品標(biāo)準(zhǔn)基本架構(gòu) 349
8.2.3 數(shù)據(jù)庫安全功能檢測與評估 350
8.2.4 數(shù)據(jù)庫安全保障評估 362
8.3 路由器安全檢測 365
8.3.1 概述 365
8.3.2 路由器產(chǎn)品標(biāo)準(zhǔn)基本架構(gòu) 366
8.3.3 路由器安全功能檢測 367
8.3.4 路由器安全保障評估 371
8.4 防火墻安全檢測 371
8.4.1 概述 371
8.4.2 防火墻產(chǎn)品標(biāo)準(zhǔn)基本架構(gòu) 372
8.4.3 防火墻安全功能檢測 372
8.4.4 防火墻自身安全檢測 376
8.4.5 防火墻性能檢測 378
8.4.6 防火墻安全保障評估 379
第9章 源代碼審計(jì) 380
9.1 源代碼審計(jì)基礎(chǔ) 380
9.1.1 源代碼審計(jì)的概念 380
9.1.2 源代碼審計(jì)方法 387
9.1.3 源代碼審計(jì)技術(shù) 392
9.2 源代碼審計(jì)政策標(biāo)準(zhǔn) 398
9.2.1 代碼審計(jì)規(guī)范 398
9.2.2 代碼開發(fā)參考規(guī)范 398
9.3 源代碼審計(jì)工具 403
9.3.1 Cppcheck 404
9.3.2 RIPS 404
9.3.3 FindBugs 405
9.3.4 Fortify SCA 405
9.3.5 Checkmarx CxSuite 405
9.3.6 Coverity Prevent 406
9.3.7 kiwi 406
9.4 源代碼審計(jì)實(shí)例 407
9.4.1 SQL注入 407
9.4.2 跨站腳本攻擊 412
9.4.3 命令注入 417
9.4.4 密碼硬編碼 420
9.4.5 隱私泄露 422
9.4.6 Header Manipulation 424
9.4.7 日志偽造 427
9.4.8 單例成員字段 429
