内容简介

本书基于网络安全理论研究和工程实践，在参考国内外最佳实践的基础上，介绍了网络安全政策法规、信息安全管理、网络安全等级保护测评、商用密码应用安全性评估、移动客户端安全性评估、渗透评估、信息安全风险评估、信息技术与网络安全产品测评、源代码审计等方面的理论知识和实践经验，具有全面性、系统性、针对性等特点。本书通过对相关法律法规和政策标准的分析，给出了网络安全等级保护测评的基本原理和实施要点，可以帮助测评人员全面了解网络安全知识和工具，从而正确地开展网络安全等级保护测评工作。

本书非常适合网络安全等级保护测评人员、企业网络安全防护人员，以及系统研发、运维、测试等技术人员作为参考教材。

目录

第1章　网络安全政策法规 1

1.1　《网络安全法》 1

1.1.1　概述 1

1.1.2　主要内容 3

1.2　《密码法》 11

1.2.1　概述 11

1.2.2　主要内容 13

1.2.3　与密码有关的法规 20

1.3　《数据安全法》 24

1.3.1　概述 24

1.3.2　主要内容 26

1.4　等级保护制度 32

1.4.1　法律依据 32

1.4.2　政策依据 33

1.4.3　基本要求 33

1.4.4　工作流程 33

1.5　网络安全标准 34

1.5.1　标准化组织 35

1.5.2　风险管理标准 37

1.5.3　等级保护标准 40

第2章　信息安全管理 43

2.1　信息安全管理基础 43

2.1.1　信息安全 43

2.1.2　管理和管理体系 46

2.2　信息安全风险管理 57

2.2.1　风险管理基本概念 57

2.2.2　风险管理原则 58

2.2.3　风险管理角色和职责 59

2.2.4　常见的风险管理模型 60

2.2.5　风险管理基本过程 66

2.3　信息安全管理体系建设 69

2.3.1　PDCA过程 69

2.3.2　信息安全管理体系建设过程 72

2.3.3　文档管理 75

2.3.4　信息安全管理体系控制措施 77

2.4　信息安全管理体系认证审核 98

2.4.1　认证的目的 98

2.4.2　认证审核依据 99

2.4.3　认证审核流程 99

2.4.4　认证审核相关要点 100

第3章　网络安全等级保护测评 103

3.1　概述 103

3.2　《网络安全等级保护定级指南》解读 104

3.2.1　基本概念 104

3.2.2　定级流程及方法 105

3.3　《网络安全等级保护基本要求》解读 110

3.3.1　背景 110

3.3.2　新标准主要特点 111

3.3.3　主要内容 111

3.3.4　安全通用要求介绍 114

3.3.5　安全扩展要求介绍 120

3.3.6　高风险判例 126

3.4　网络安全等级保护测评实施 128

3.4.1　等级测评实施过程 128

3.4.2　能力验证活动 143

第4章　商用密码应用安全性评估 147

4.1　商用密码应用安全性评估标准 147

4.1.1　密评背景 147

4.1.2　密评标准 154

4.1.3　政务信息系统密码应用与安全性评估工作指南 179

4.2　密评技术框架 180

4.2.1　通用要求测评 180

4.2.2　典型密码产品应用的测评方法 182

4.2.3　密码功能测评 184

4.3　密评实施流程 186

4.3.1　测评准备活动 186

4.3.2　方案编制活动 186

4.3.3　现场测评活动 187

4.3.4　分析与报告编制活动 188

4.4　密评工具 189

4.5　密评实施案例 191

4.5.1　密码应用方案概述 191

4.5.2　密码应用安全性评估测评实施 194

第5章　移动客户端安全性评估 197

5.1　个人信息合规 197

5.1.1　概述 197

5.1.2　《个人信息安全规范》概述 203

5.1.3　《个人金融信息保护技术规范》介绍 211

5.2　APP违法违规收集使用个人信息的认定办法 220

5.2.1　简介 220

5.2.2　相关部门开展的行动 220

5.2.3　评估方法 221

5.2.4　认定细则 221

5.3　客户端安全 228

5.3.1　移动金融客户端应用软件安全管理规范 228

5.3.2　移动智能终端应用软件安全技术要求 234

5.3.3　其他行业标准 237

第6章　渗透评估 238

6.1　渗透测试执行标准 238

6.1.1　前期交互 239

6.1.2　情报搜集 242

6.1.3　威胁建模 244

6.1.4　漏洞分析 246

6.1.5　渗透攻击 247

6.1.6　后渗透攻击 249

6.1.7　报告 252

6.2　渗透测试工具 253

6.2.1　Nmap和Zenmap 253

6.2.2　Kali Linux 264

6.2.3　Metasploit 266

6.2.4　Acunetix Web Vulnerability Scanner 269

6.2.5　SQLMAP 271

6.2.6　Wireshark 272

6.2.7　Burp Suite 272

6.2.8　Nessus 274

6.2.9　THC Hydra 275

6.3　渗透测试案例 275

6.3.1　SQL注入 275

6.3.2　跨站脚本攻击 279

6.3.3　任意文件上传 279

第7章　信息安全风险评估 281

7.1　信息安全风险评估政策标准 281

7.1.1　信息安全风险评估在国外的发展 281

7.1.2　信息安全风险评估在国内的发展 284

7.2　信息安全风险评估的要素 286

7.2.1　风险评估的基本概念 286

7.2.2　风险评估各要素之间的关系 288

7.3　信息安全风险评估的实施流程 289

7.3.1　风险评估准备 290

前言/序言

前　　言

本书基于长期网络安全测评理论研究和工程实践及教学经验和成果，在参考国内外最佳实践的基础上，阐述了网络安全方面的政策法规、等保测评、风险评估、App安全评估、源代码审计等9个方面的理论知识及实践经验，具有全面性、系统性、针对性等特点。通过相关测评政策、标准讲解和案例分析，给出了网络安全测评的基本原理和实施要点，旨在指导测评人员正确开展网络安全测评工作，帮助网络安全测评人员全面了解网络安全政策、知识等。

本书共9章。第1章介绍了网络安全政策法规，主要包括《网络安全法》《密码法》《数据安全法》《关键信息基础设施安全保护条例》等有关法律法规的背景、历程和关键条款解读等；第2章介绍了信息安全管理，主要阐述了信息安全管理基础、风险管理、体系建设和体系认证审核；第3章介绍了网络安全等级保护测评，对定级、备案、基本要求、高危项、实施要点、能力验证等进行深入解读；第4章介绍了商用密码应用安全性评估，对商用密码评估标准、技术框架、密码应用方案设计、密评方法、典型案例等进行解读和剖析；第5章介绍了移动客户端安全评估，着重介绍了个人信息合规和客户端安全相关政策背景及标准规范等；第6章介绍了渗透评估，针对渗透测试执行标准、渗透测试工具和渗透测试案例进行全面的讲解；第7章介绍了信息安全风险评估，主要包括信息安全风险评估的政策标准、国内外的发展、风险评估的要素及各要素之间的关系，着重描述了风险评估实施流程、计算方法及计算示例；第8章介绍了信息技术与网络安全产品测评，主要包括安全评估基础、数据库产品安全检测评估、路由器安全检测、防火墙安全检测的基本架构、标准规范、测评实施要点等；第9章介绍了源代码审计，主要包括源代码审计基础、标准规范、审计工具、审计实例等。

本书结构合理、内容全面、概念清晰，知识的实用性很强，紧跟网络安全测评方向的研究及IT应用发展趋势，并融入了许多创新内容。很多网络安全专家、NSATP培训讲师参与了本书的编写和审核工作，在此表示感谢。

本书由注册网络安全测评/管理专业人员认证培训网络安全基础知识系列编写团队完成，参加编写的人员如下（按章节顺序排列）：锁延锋完成了第1章网络安全政策法规部分的编写，刘美静完成了第2章信息安全管理部分的编写，刘赫完成了第3章网络安全等级保护测评部分3.1～3.3节的编写，任佩完成了第3章网络安全等级保护测评部分3.4节的编写，杨龙完成了第4章商用密码应用安全性评估部分的编写，陈萍完成了第5章移动客户端安全评估部分的编写，裴帅完成了第6章渗透评估部分的编写，张益完成了第7章信息安全风险评估部分的编写，董晶晶完成了第8章信息技术与网络安全产品测评部分的编写，程慧琴完成了第9章源代码审计部分的编写，霍珊珊、杨明华、锁延锋和杨斌对全书进行了审核和校对。

由于编者认识的局限性，书中不妥和错漏在所难免，恳请广大读者提出宝贵意见，帮助我们不断改进和完善。 

本书编写组