信息安全等级保护测评与整改指导手册

《信息安全等级保护测评与整改指导手册》结合作者近二十年在信息安全领域的工作经历，以等级保护政策为核心，以技术和应用为根本出发点，以理论加实践的方式深度剖析了等级保护的基本概念、准备阶段、定级备案、评估测评、规划执行等内容，向读者进行了系统化的介绍。通过理论与案例讲解相结合，对等级保护在具体客户领域的测评以及规划执行等进行了关联阐述，重点是结合技术与应用实践来对其中涉及的理论、应用领域、应用实效等进行详细描述，让读者看得懂、学得会、用得上。《信息安全等级保护测评与整改指导手册》适合企、事业单位信息安全从业者阅读。

郭鑫，网名东方飘云，前中国十大网络黑客之一，清华大学、人民大学特聘信息安全讲师，早期开设中国安全在线网站，旨在提高全国网民网络攻防技术水平。参与、主持编写多个国家安全标准，并著有《防黑档案》《企业网络安全致胜宝典》《信息安全风险评估手册》等信息安全书籍。专家委员会名单主任沈昌祥中国工程院院士副主任方滨兴中国工程院院士王小云中国科学院院士委员（以姓氏拼音为序）陈兴蜀四川大学陈洋小米科技有限责任公司程光东南大学程琳中国人民公安大学丁勇广西密码学与信息安全重点实验室弓峰敏滴滴出行科技有限公司贺卫东中电长城网际系统应用有限公司贾焰国防科技大学李晖西安电子科技大学李建华上海交通大学李进广州大学李欲晓中国网络空间研究院刘建伟北京航空航天大学马斌腾讯计算机系统有限公司马杰北京百度网讯科技有限公司孟丹中国科学院信息工程研究所卿昱中国电子科技网络信息安全公司任奎浙江大学谈剑峰上海众人网络安全技术有限公司谭晓生北京赛博英杰科技有限公司位华中国信息安全测评中心魏军中国网络安全审查技术与认证中心吴志刚中国软件评测中心肖新光安天实验室谢海永中国科学技术大学赵波武汉大学郑志彬华为技术有限公司祝跃飞战略支援部队信息工程大学秘书长胡毓坚机械工业出版社副秘书长秦安中国网络空间战略研究所

出版说明
前言
第1章等级保护制度介绍
1.1什么是等级保护制度
1.1.1等级保护制度介绍
1.1.2为什么要做等级保护
1.2等级保护与分级保护的区别
1.3等级保护1.0与2.0的差异
1.3.1标准名称的变化
1.3.2保护对象的变化
1.3.3定级备案的变化
1.3.4标准控制点与要求项的变化
1.4等级保护的测评流程
第2章等级保护准备阶段
2.1项目分工界面
2.2准备阶段培训
2.3启动会议文件
2.3.1保密协议
2.3.2项目范围约定表
2.4测评实施方案
2.4.1概述
2.4.2被测系统概述
2.4.3测评范围
2.4.4测评指标和定级结果
2.4.5测评方法和工具
2.4.6测评内容
2.4.7测评安排
第3章等级保护定级
3.1信息安全等级保护定级指南
3.1.1范围
3.1.2规范性引用文件
3.1.3术语和定义
3.1.4定级原理
3.1.5定级方法
3.1.6等级变更
3.2信息安全等级保护备案摸底调查表
3.2.1存储与保障设备调查表
3.2.2软件调查表
3.2.3外部接入线路及设备端口（局域环境边界）情况调查表
3.2.4网络安全设备调查表
3.2.5网络环境情况调查表
3.2.6网络设备调查表
3.2.7系统边界描述表
3.2.8信息安全人员调查表
3.2.9应用系统调查表
3.2.10用户及用户群情况调查表
3.2.11重要服务器调查表
3.3信息安全等级保护备案表
3.3.1单位信息表
3.3.2信息系统情况表
3.3.3信息系统定级信息表
3.3.4第三级以上信息系统提交材料情况表
3.4信息安全等级保护定级报告
3.4.1信息系统描述
3.4.2信息系统安全保护等级确定
3.5信息安全等级保护专家评审意见表
第4章等级保护评估测评
4.1评估授权书
4.2工具扫描申请报告
4.3渗透测试申请报告
4.4主机安全测评
4.4.1Windows XP检查列表
4.4.2Windows Server 2008检查列表
4.4.3Linux检查列表
4.4.4UNIX主机检查列表
4.5物理安全测评
4.5.1物理位置的选择
4.5.2物理访问控制
4.5.3防盗窃和防破坏
4.5.4防雷击
4.5.5防火
4.5.6温湿度控制
4.5.7电力供应
4.5.8电磁防护
4.5.9防静电
4.5.10防水和防潮
4.6应用安全测评
4.6.1身份鉴别
4.6.2访问控制
4.6.3安全审计
4.6.4通信完整性
4.6.5通信保密性
4.6.6抗抵赖
4.6.7软件容错
4.6.8资源控制
4.6.9数据完整性
4.6.10数据保密性
4.6.11备份和恢复
4.7网络检查测评
4.7.1网络脆弱性识别
4.7.2网络架构安全评估
4.8数据安全测评
4.8.1数据完整性
4.8.2数据保密性
4.8.3备份和恢复
4.9安全管理制度
4.9.1管理制度
4.9.2制订和发布
4.9.3评审和修订
4.10安全管理机构
4.10.1岗位设置
4.10.2人员配备
4.10.3授权和审批
4.10.4沟通和合作
4.10.5审核和检查
4.11人员安全管理
4.11.1人员录用
4.11.2人员离岗
4.11.3人员考核
4.11.4安全意识和培训
4.11.5外部人员访问管理
4.12系统建设管理
4.12.1系统定级
4.12.2安全方案设计
4.12.3产品采购和使用
4.12.4自行软件开发
4.12.5外包软件开发
4.12.6工程实施
4.12.7测试验收
4.12.8系统交付
4.12.9系统备案
4.12.10等级测评
4.12.11安全服务商选择
4.13系统运维管理
4.13.1环境管理
4.13.2资产管理
4.13.3介质管理
4.13.4设备管理
4.13.5监控管理和安全管理中心
4.13.6网络安全管理
4.13.7系统安全管理
4.13.8恶意代码防范管理
4.13.9密码管理
4.13.10变更管理
4.13.11备份与恢复管理
4.13.12安全事件处置
4.13.13应急预案管理
4.14等级保护安全评估报告
4.14.1测评项目概述
4.14.2被测信息系统情况
4.14.3等级测评范围与方法
4.14.4单元测评
4.14.5工具测试
4.14.6整体测评
4.14.7整改情况说明
4.14.8测评结果汇总
4.14.9风险分析和评估
4.14.10安全建设/整改建议
4.14.11等级测评结论
第5章等级保护整改规划与执行
5.1等级保护整改建设方案
5.1.1项目概述
5.1.2方案设计原则及建设目标
5.1.3安全需求分析
5.1.4安全技术体系设计
5.1.5安全管理体系设计
5.1.6安全服务体系
5.1.7产品列表
5.1.8方案收益
5.2管理制度整改
5.2.1防病毒管理制度
5.2.2机房管理制度
5.2.3账号、口令以及权限管理制度
5.3组织机构和人员职责
5.3.1信息安全组织体系
5.3.2员工信息安全守则
5.3.3监督和检查
5.3.4附则
5.4技术标准和规范
5.4.1备份与恢复规范
5.4.2信息中心第三方来访管理规范
5.4.3应用系统互联安全规范
5.5主机整改加固
5.5.1Windows 2003服务器安全加固
5.5.2Linux安全加固
5.6数据库整改加固
5.6.1删除OLE automation存储过程
5.6.2删除访问注册表的存储过程
5.6.3删除其他有威胁的存储过程
5.7网络设备整改加固
5.7.1iOS版本升级
5.7.2关闭服务
5.7.3用户名设置
5.7.4口令设置
5.7.5访问控制
5.7.6使用SSH
5.7.7使用路由协议MD5认证
5.7.8网络设备日志
5.7.9SNMP设置
5.7.10修改设备网络标签
5.8应用中间件整改加固
5.8.1安全补丁检测及安装
5.8.2安全审计
5.8.3账号策略
5.8.4启用SSL
第6章项目执行过程文件
6.1等级保护实施主要技术环节说明
6.1.1定级阶段
6.1.2关于确定定级对象
6.1.3关于定级过程
6.2系统建设和改建阶段
6.2.1安全需求分析方法
6.2.2新建系统的安全等级保护设计方案
6.2.3系统改建实施方案设计