信息安全保密基础教程【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

信息安全保密基础教程PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 信息安全与保密基本知识1

1.1 引言1

1.2 信息安全与保密的基本概念1

1.2.1 信息安全与保密的定义和发展1

1.2.2 信息安全的基本属性3

1.2.3 信息安全的基本规律5

1.2.4 信息安全体系6

1.2.5 信息安全与保密的关系10

1.3 信息安全保密的法律、法规与标准11

1.3.1 法律与法规11

1.3.2 信息安全标准化建设13

1.4 信息安全保密管理15

1.4.1 信息安全保密管理的角色与职责15

1.4.2 信息安全保密管理策略与措施18

1.4.3 信息系统安全保密管理21

1.5 系统常见漏洞与攻击方法29

1.5.1 常见系统漏洞30

1.5.2 常见攻击方法31

1.6 信息安全动态模型37

1.6.1 P2DR模型37

1.6.2 P2DR2模型38

1.6.3 PADIMEE模型39

1.7 信息安全机制与相关技术40

1.7.1 实体安全41

1.7.2 运行安全43

1.7.3 信息安全45

1.7.4 边界安全50

1.7.5 纵深防御50

1.8 信息安全与保密产品52

1.8.1 实体安全产品52

1.8.2 运行安全产品54

1.8.3 信息安全产品55

1.9 信息安全等级保护57

1.9.1 信息系统安全等级保护57

1.9.2 信息系统安全等级保护模型57

1.9.3 涉密信息系统分级保护61

1.9.4 涉密信息系统的安全保密体系62

1.10 信息安全风险评估62

1.10.1 风险要素及其关系62

1.10.2 风险分析63

1.10.3 风险评估实施流程64

参考文献65

第2章 信息安全保密法规与标准67

2.1 概述68

2.1.1 信息安全法规概述68

2.1.2 信息安全标准概述69

2.2 国外的信息安全法规与标准71

2.2.1 国外的信息安全法规71

2.2.2 国外的信息安全标准74

2.3 国内的信息安全法规与标准78

2.3.1 国内的信息安全法规78

2.3.2 国内的信息安全标准79

2.4 国内外信息安全标准的对应84

第3章 信息安全等级保护及涉密信息系统分级保护123

3.1 信息安全保密分等级保护概述123

3.1.1 基本概念123

3.1.2 美国实行信息系统等级化保护的基本情况126

3.1.3 我国实行信息安全等级保护的必要性和意义129

3.1.4 我国信息安全等级保护制度130

3.1.5 我国信息安全等级保护的实施计划与发展现状131

3.2 信息安全等级保护的法律法规和政策依据134

3.2.1 《中华人民共和国计算机信息系统安全保护条例》要求134

3.2.2 《计算机信息网络国际联网安全保护管理办法》要求135

3.2.3 《中华人民共和国互联网安全保护技术措施规定》135

3.2.4 《中华人民共和国治安管理处罚法》规定135

3.2.5 《计算机信息系统安全保护等级划分准则》规定136

3.2.6 《国家信息化领导小组关于加强信息安全保障工作的意见》136

3.2.7 四部门联合颁布《信息系统安全等级保护管理办法》136

3.2.8 四部门联合颁布《关于信息安全等级保护工作的实施意见》137

3.2.9 信息系统安全等级评价的法律分析137

3.3 信息安全等级保护的基本内容与作用138

3.3.1 信息安全5个保护等级规定及其监管政策138

3.3.2 信息安全等级保护的制度强化作用139

3.4 信息安全等级保护的标准体系141

3.4.1 我国信息安全等级保护标准的建设情况141

3.4.2 信息安全等级保护标准的体系框架141

3.4.3 信息安全等级保护系列标准列表142

3.5 信息安全等级保护的实施方法145

3.5.1 把握实施工作的关键145

3.5.2 遵循基本实施原则146

3.5.3 掌握等级保护的基本要求146

3.5.4 实施信息安全等级保护的基本过程148

3.5.5 信息系统安全等级测评的基本内容152

3.6 推进信息安全等级保护工作152

3.6.1 信息安全等级保护工作的职责分工152

3.6.2 实施信息安全等级保护的工作要求153

3.7 涉密信息系统的分级保护154

3.7.1 涉密信息系统分级保护的国家保密标准154

3.7.2 涉密信息系统分级保护的技术要求156

3.7.3 涉密信息系统的安全保密体系结构157

3.7.4 涉密信息系统安全保密管理过程158

3.8 信息安全等级保护操作实务161

3.8.1 信息安全等级保护有关问题说明161

3.8.2 确定保护等级的因素与方法164

3.8.3 实施等级保护工作的工具和手册166

3.8.4 信息安全等级保护工作实施方案实例167

参考文献170

第4章 信息安全与保密体系规划171

4.1 信息系统安全生命周期171

4.1.1 信息系统生命周期171

4.1.2 信息系统生命周期中的安全规划及相关活动172

4.1.3 信息安全生命周期174

4.1.4 信息安全与保密体系规划是一项系统工程175

4.2 组织机构内信息系统安全与保密有关责任各方及其行为规则177

4.2.1 有关责任各方177

4.2.2 行为规则180

4.3 系统边界分析181

4.3.1 系统边界181

4.3.2 主要应用183

4.3.3 一般支持系统183

4.4 技术、管理与运行安全控制183

4.4.1 安全控制范围与手段184

4.4.2 技术控制185

4.4.3 管理控制186

4.4.4 运行控制186

4.5 制订规划186

4.5.1 规划制订步骤186

4.5.2 规划制订格式187

参考文献191

第5章 信息安全保障技术框架192

5.1 信息安全保障概述192

5.1.1 信息安全认识的发展过程192

5.1.2 信息安全保障的要素194

5.1.3 信息安全相关技术框架和标准200

5.2 IATF的信息保障策略——纵深防御202

5.2.1 信息保障框架区域及其安全威胁202

5.2.2 纵深防御策略三要素——人、技术和操作205

5.2.3 纵深防御目标纵览207

5.3 信息安全保障的技术对策210

5.3.1 主要的安全服务210

5.3.2 主要的安全技术212

5.4 多种环境下的信息安全保障213

5.4.1 保护网络与基础设施213

5.4.2 保护飞地边界／外部连接215

5.4.3 保护计算环境216

5.4.4 战术环境的信息保障217

5.5 信息系统安全工程过程（ISSE）223

5.5.1 信息安全工程基础——系统工程（SE）过程223

5.5.2 信息系统安全工程（ISSE）过程225

5.5.3 ISSE过程和其他过程的关系232

参考文献238

第6章 信息安全系统中密码技术的应用239

6.1 密码技术概论239

6.1.1 密码的基本概念239

6.1.2 密码体制分类240

6.1.3 密码技术在信息安全体系中的作用241

6.2 信息系统密码标准244

6.2.1 密码组织与密码标准244

6.2.2 密码管理政策246

6.3 常用加密方法248

6.3.1 对称加密248

6.3.2 非对称加密248

6.3.3 哈希函数249

6.4 信息安全系统密码应用技术249

6.4.1 密钥管理技术249

6.4.2 身份认证255

6.4.3 数字签名258

6.5 PKI公钥基础设施260

6.5.1 PKI的相关概念261

6.5.2 PKI体系结构261

6.5.3 PKI组件263

6.5.4 PKI标准264

6.5.5 美国联邦政府PKI典型应用架构（Federal PKI）264

6.6 密码系统的工程实施265

6.6.1 密码系统的安全目标265

6.6.2 密码方案的选择266

6.6.3 密码系统的设计原则266

6.6.4 密码组件的生命周期管理267

6.6.5 密码系统的强度分析267

参考文献269

第7章 计算机信息系统信息安全保密产品分类与选择270

7.1 概述270

7.1.1 产品分类依据270

7.1.2 产品分类270

7.2 产品分类标准270

7.2.1 物理安全产品273

7.2.2 平台安全产品275

7.2.3 网络安全产品276

7.2.4 数据安全产品280

7.2.5 用户安全产品281

7.2.6 管理安全产品283

7.3 产品选用原则286

7.3.1 信息安全产品的选型原则286

7.3.2 涉密计算机信息系统安全保密产品的选型原则287

7.4 产品选择方法287

7.4.1 产品评测认证287

7.4.2 采购目录287

7.4.3 招标287

第8章 信息安全风险评估方法与应用289

8.1 信息安全风险评估发展状况289

8.1.1 信息安全风险评估概述289

8.1.2 国外信息安全风险评估发展状况290

8.1.3 我国信息安全风险评估的发展和现状290

8.2 信息安全风险评估理论与方法291

8.2.1 信息安全风险评估策略291

8.2.2 风险评估实施流程292

8.2.3 信息安全风险评估基本方法294

8.2.4 信息安全风险评估基础工作296

8.3 信息安全风险管理框架与流程296

8.3.1 信息安全风险管理概述296

8.3.2 对象确立297

8.3.3 风险分析297

8.3.4 风险控制297

8.3.5 审核批准298

8.3.6 监控与审查298

8.3.7 沟通与咨询299

8.3.8 信息系统周期各阶段的风险管理299

8.4 信息安全风险评估实践应用案例300

8.4.1 XX政府OA系统信息安全风险评估方案300

8.4.2 银行国际业务系统信息安全风险评估实施319

参考文献342

第9章 信息安全事件处理与应急响应343

9.1 信息安全事件响应概述343

9.1.1 国际网络信息系统应急响应组织的发展343

9.1.2 我国应急响应体系的建设345

9.2 信息安全事件处理流程和方法345

9.2.1 准备工作346

9.2.2 事件检测和分析347

9.2.3 风险限制和消除350

9.2.4 系统恢复351

9.2.5 事件后分析351

9.2.6 信息安全事件处理的典型实例352

9.3 信息系统应急响应计划制定354

9.3.1 应急计划与风险管理355

9.3.2 信息系统应急响应计划过程356

9.3.3 应急响应计划的制定方法362

9.4 应急响应团队的组建363

9.4.1 什么是应急响应团队363

9.4.2 为什么要组建应急响应团队364

9.4.3 组建应急响应团队的问题364

9.4.4 应急响应团队的组成366

9.4.5 规章制度368

第10章 信息系统灾难备份与恢复370

10.1 术语与定义371

10.2 灾难备份和恢复技术简介371

10.2.1 基本概念371

10.2.2 关键指标372

10.2.3 灾难备份和恢复的层次372

10.2.4 国际标准372

10.2.5 国内规范373

10.3 灾难恢复技术377

10.3.1 数据恢复技术377

10.3.2 网络恢复技术378

10.3.3 应用恢复技术378

10.4 灾难恢复方案分析379

10.4.1 灾难类型分析379

10.4.2 业务冲击影响分析380

10.4.3 容灾环境与恢复能力分析380

10.4.4 容灾策略制订381

10.4.5 容灾方案设计381

10.4.6 业务连续性设计381

10.4.7 业务连续性流程及容灾方案管理和测试382

10.5 容灾方案选择382

10.6 容灾系统的设计过程383

10.6.1 灾难恢复计划描述383

10.6.2 灾难恢复计划项目阶段384

10.6.3 数据收集和关键需求分析阶段384

10.6.4 风险分析阶段385

10.6.5 数据保护阶段385

10.6.6 恢复阶段385

10.6.7 测试和培训385

10.6.8 维护和修改阶段386

10.6.9 选择灾难恢复方案的步骤介绍386

10.7 案例分析389

10.7.1 IBM公司的跨域并行系统耦合体技术389

10.7.2 EMC SRDF远程数据备份系统389

10.7.3 Veritas异地备份容灾方案389

10.7.4 嵌入式实时控制系统备份容灾方案390

参考文献391

第11章 信息系统安全保密工程392

11.1 信息系统安全工程概述392

11.1.1 信息安全保障与信息系统安全工程的概念392

11.1.2 信息系统安全工程相关标准简介394

11.2 信息系统安全工程方法401

11.2.1 信息技术安全工程原则401

11.2.2 ISSE基础——系统工程过程405

11.2.3 系统安全工程——能力成熟度模型（SSE-CMM）409

11.3 信息系统安全工程生命周期425

11.3.1 ISSE生命周期分析425

11.3.2 ISSE管理过程426

11.4 信息系统安全工程过程与实施429

11.4.1 安全需求分析429

11.4.2 安全功能定义、分析与分配431

11.4.3 安全设计432

11.4.4 系统安全实施434

11.4.5 安全运行与生命周期支持435

11.5 信息系统安全工程管理与评估437

11.5.1 安全管理437

11.5.2 安全评估438

11.6 涉密信息系统安全工程示例445

11.6.1 涉密信息系统定级与安全需求分析445

11.6.2 涉密信息系统的安全风险分析447

11.6.3 涉密信息系统的安全规划与设计448

11.6.4 涉密信息系统安全实施451

11.6.5 涉密信息系统安全运行与维护453

11.6.6 涉密信息系统安全工程管理与评估454

参考文献455

第12章 信息安全系统测评认证457

12.1 概述457

12.1.1 测评认证的基本概念457

12.1.2 测评认证的作用458

12.2 测评认证标准发展历史459

12.2.1 测评认证的基本准则459

12.2.2 测评认证标准发展历史459

12.2.3 标准组织机构发展461

12.2.4 国外测评认证制度464

12.3 信息安全测评认证体系469

12.3.1 测评认证体系470

12.3.2 我国测评认证机构体系473

12.3.3 测评认证体系474

12.4 信息安全测评认证标准476

12.4.1 基本概念476

12.4.2 国内外测评认证标准476

12.4.3 中国信息安全测评认证标准481

12.5 信息产品安全测评认证486

12.5.1 信息产品安全认证概述486

12.5.2 信息产品安全认证意义486

12.5.3 信息产品安全测评认证级别487

12.5.4 信息产品安全测评认证流程488

12.6 信息系统安全测评认证490

12.6.1 信息系统安全认证概述490

12.6.2 信息系统安全测评认证意义491

12.6.3 信息产品安全测评认证级别491

12.6.4 信息系统安全测评认证流程493

12.7 信息系统安全自评估496

12.7.1 概述496

12.7.2 自评估框架497

12.7.3 调查表设计502

12.7.4 自评估流程504

第13章 互联网安全保密管理508

13.1 引言508

13.1.1 互联网发展及安全508

13.1.2 典型的互联网应用安全508

13.1.3 互联单位和接入单位的保密职责510

13.2 互联网安全保密的定义与框架510

13.2.1 互联网安全保密的定义510

13.2.2 框架511

13.3 互联网安全保密管理机制513

13.3.1 安全机制的构成513

13.3.2 安全防护机制513

13.4 互联网安全保密管理规划515

13.4.1 基本思想515

13.4.2 角色与职责516

13.4.3 互联网安全保密管理计划的内容518

13.4.4 制订安全保密管理计划的过程521

13.5 互联网安全管理行为与实施527

13.5.1 安全保密管理行为分类527

13.5.2 安全保密法规与规章制度527

13.5.3 安全保密管理的实施529

参考文献535