信息安全测评实战指南

涉及当前4种主要的信息安全测评业务：信息安全风险评估、信息安全等级保护测评、商用密码应用与安全性评估、渗透测试。 既有基本的知识点介绍，也有企业为客户提供服务的经验和技巧总结，辅以具体服务案例，立体地介绍了信息安全测评服务的基本原理和实战应用。 将理论和实践有机结合，有利于课堂与社会更紧密地联系，有利于书本知识与操作技能的辩证统一，为产学研合作教育提供参考。 为便于高校开展教学工作，本书提供电子课件、思考题答案和教学大纲。

本书系统地讲述了信息安全测评相关的理论基础、测试评估工具，重点讲述了风险评估、网络安全等级保护、商用密码应用与安全性评估、渗透测试的相关技术、基本要求和作业方法。全书共5章，包括信息安全测评概述、信息安全测评基础、信息安全测评工具、信息安全测评方法、信息安全测评实战案例。本书旨在帮助读者在具备一定的信息安全理论的基础上，通过“测评工具+技术+作业方法”的知识结构，系统地掌握信息安全测评的知识体系、测评方法、工具和技能，提高从业人员的信息安全测试评估能力和业务水平，使读者能有效地实施信息系统工程项目的安全测评工作。 本书可作为信息系统工程的测试评估单位、安全服务单位、建设单位、监理单位和政府各级建设主管部门有关人员，以及高校信息安全、测试评估类专业学生的参考书。

序
前言
第1章信息安全测评概述
1.1信息安全测评相关业务概念
1.1.1信息安全测评综述
1.1.2信息安全风险评估
1.1.3信息安全等级保护测评
1.1.4商用密码应用与安全性评估
1.1.5渗透测试
1.2信息安全测评政策法规和规范性文件
1.2.1政策法规
1.2.2规范性文件
1.3信息安全测评面临的新挑战
思考题
第2章信息安全测评基础
2.1密码学基础
2.1.1密码学
2.1.2现代密码算法
2.1.3密码协议
2.1.4密钥管理
2.2网络安全基础
2.2.1网络安全事件
2.2.2网络安全威胁
2.2.3网络安全防御
2.3信息系统安全基础
2.3.1计算机实体安全
2.3.2操作系统安全
2.3.3数据库系统安全
2.3.4恶意代码
2.4应用系统安全测评基础
2.4.1软件测试基本概念
2.4.2测试用例设计方法
2.4.3性能测试
2.4.4Web安全
2.4.5信息隐藏
2.4.6隐私保护
2.5商用密码应用与安全性评估基础
2.5.1密评的评估内容
2.5.2开展密评工作的必要性
2.5.3密评与等保的关系
2.5.4信息系统密码应用安全级别
2.5.5网络与信息系统的责任单位
2.6安全测试服务基础
2.6.1安全漏洞扫描服务
2.6.2渗透测试服务
2.6.3配置核查服务
思考题
第3章信息安全测评工具
3.1sqlmap工具
3.1.1工具介绍
3.1.2详细操作
3.2Metasploit工具
3.2.1工具介绍
3.2.2详细操作
3.3Nmap工具
3.3.1工具介绍
3.3.2详细操作
3.4Hydra工具
3.4.1工具介绍
3.4.2详细操作
3.5Nessus工具
3.5.1工具介绍
3.5.2详细操作
3.6Asn1View工具
3.6.1工具介绍
3.6.2详细操作
3.7Fiddler工具
3.7.1工具介绍
3.7.2详细操作
3.8USBMonitor工具
3.8.1工具介绍
3.8.2详细操作
3.9Wireshark工具
3.9.1工具介绍
3.9.2详细操作
3.10密码算法验证平台
3.10.1工具介绍
3.10.2详细操作
思考题
第4章信息安全测评方法
4.1信息安全风险评估
4.1.1基本要求
4.1.2风险评估方法
4.1.3风险评估流程
4.1.4风险评估项目实施
4.2信息安全等级保护测评
4.2.1基本要求
4.2.2测评方法
4.2.3测评流程
4.2.4测评准备活动
4.2.5测评方案编制活动
4.2.6现场测评活动
4.2.7分析与报告编制活动
4.3商用密码应用与安全性评估
4.3.1基本要求
4.3.2测评准备活动
4.3.3方案编制活动
4.3.4现场测评活动
4.3.5分析与报告编制活动
4.4渗透测试
4.4.1基本要求
4.4.2测试流程
4.4.3具体技术
思考题
第5章信息安全测评实战案例
5.1风险评估实战案例
5.1.1项目概况
5.1.2风险评估项目实施
5.2等保测评实战案例
5.2.1项目概况
5.2.2系统定级
5.2.3系统备案
5.2.4系统整改
5.2.5测评实施
5.3密评实战案例
5.3.1商用密码应用与安全性评估测试案例
5.3.2密码应用方案咨询案例
5.4渗透测试实战案例
5.4.1后台写入漏洞到内网渗透测试案例
5.4.2反序列化漏洞到域渗透测试案例
附录
附录A《中华人民共和国网络安全法》
附录B《中华人民共和国密码法》
附录C《中华人民共和国数据安全法》
附录D《中华人民共和国个人信息保护法》
附录E《网络安全等级保护条例（征求意见稿）》
附录F《关键信息基础设施安全保护条例》
参考文献