出版說明
前言
第1章等級保護制度介紹
1��1什么是等級保護制度
1��1��1等級保護制度介紹
1��1��2為什么要做等級保護
1��2等級保護與分級保護的區(qū)別
1��3等級保護1��0與2��0的差異
1��3��1標準名稱的變化
1��3��2保護對象的變化
1��3��3定級備案的變化
1��3��4標準控制點與要求項的變化
1��4等級保護的測評流程
第2章等級保護準備階段
2��1項目分工界面
2��2準備階段培訓(xùn)
2��3啟動會議文件
2��3��1保密協(xié)議
2��3��2項目范圍約定表
2��4測評實施方案
2��4��1概述
2��4��2被測系統(tǒng)概述
2��4��3測評范圍
2��4��4測評指標和定級結(jié)果
2��4��5測評方法和工具
2��4��6測評內(nèi)容
2��4��7測評安排
第3章等級保護定級
3��1信息安全等級保護定級指南
3��1��1范圍
3��1��2規(guī)范性引用文件
3��1��3術(shù)語和定義
3��1��4定級原理
3��1��5定級方法
3��1��6等級變更
3��2信息安全等級保護備案摸底調(diào)查表
3��2��1存儲與保障設(shè)備調(diào)查表
3��2��2軟件調(diào)查表
3��2��3外部接入線路及設(shè)備端口（局域環(huán)境邊界）情況調(diào)查表
3��2��4網(wǎng)絡(luò)安全設(shè)備調(diào)查表
3��2��5網(wǎng)絡(luò)環(huán)境情況調(diào)查表
3��2��6網(wǎng)絡(luò)設(shè)備調(diào)查表
3��2��7系統(tǒng)邊界描述表
3��2��8信息安全人員調(diào)查表
3��2��9應(yīng)用系統(tǒng)調(diào)查表
3��2��10用戶及用戶群情況調(diào)查表
3��2��11重要服務(wù)器調(diào)查表
3��3信息安全等級保護備案表
3��3��1單位信息表
3��3��2信息系統(tǒng)情況表
3��3��3信息系統(tǒng)定級信息表
3��3��4第三級以上信息系統(tǒng)提交材料情況表
3��4信息安全等級保護定級報告
3��4��1信息系統(tǒng)描述
3��4��2信息系統(tǒng)安全保護等級確定
3��5信息安全等級保護專家評審意見表
第4章等級保護評估測評
4��1評估授權(quán)書
4��2工具掃描申請報告
4��3滲透測試申請報告
4��4主機安全測評
4��4��1Windows XP檢查列表
4��4��2Windows Server 2008檢查列表
4��4��3Linux檢查列表
4��4��4UNIX主機檢查列表
4��5物理安全測評
4��5��1物理位置的選擇
4��5��2物理訪問控制
4��5��3防盜竊和防破壞
4��5��4防雷擊
4��5��5防火
4��5��6溫濕度控制
4��5��7電力供應(yīng)
4��5��8電磁防護
4��5��9防靜電
4��5��10防水和防潮
4��6應(yīng)用安全測評
4��6��1身份鑒別
4��6��2訪問控制
4��6��3安全審計
4��6��4通信完整性
4��6��5通信保密性
4��6��6抗抵賴
4��6��7軟件容錯
4��6��8資源控制
4��6��9數(shù)據(jù)完整性
4��6��10數(shù)據(jù)保密性
4��6��11備份和恢復(fù)
4��7網(wǎng)絡(luò)檢查測評
4��7��1網(wǎng)絡(luò)脆弱性識別
4��7��2網(wǎng)絡(luò)架構(gòu)安全評估
4��8數(shù)據(jù)安全測評
4��8��1數(shù)據(jù)完整性
4��8��2數(shù)據(jù)保密性
4��8��3備份和恢復(fù)
4��9安全管理制度
4��9��1管理制度
4��9��2制訂和發(fā)布
4��9��3評審和修訂
4��10安全管理機構(gòu)
4��10��1崗位設(shè)置
4��10��2人員配備
4��10��3授權(quán)和審批
4��10��4溝通和合作
4��10��5審核和檢查
4��11人員安全管理
4��11��1人員錄用
4��11��2人員離崗
4��11��3人員考核
4��11��4安全意識和培訓(xùn)
4��11��5外部人員訪問管理
4��12系統(tǒng)建設(shè)管理
4��12��1系統(tǒng)定級
4��12��2安全方案設(shè)計
4��12��3產(chǎn)品采購和使用
4��12��4自行軟件開發(fā)
4��12��5外包軟件開發(fā)
4��12��6工程實施
4��12��7測試驗收
4��12��8系統(tǒng)交付
4��12��9系統(tǒng)備案
4��12��10等級測評
4��12��11安全服務(wù)商選擇
4��13系統(tǒng)運維管理
4��13��1環(huán)境管理
4��13��2資產(chǎn)管理
4��13��3介質(zhì)管理
4��13��4設(shè)備管理
4��13��5監(jiān)控管理和安全管理中心
4��13��6網(wǎng)絡(luò)安全管理
4��13��7系統(tǒng)安全管理
4��13��8惡意代碼防范管理
4��13��9密碼管理
4��13��10變更管理
4��13��11備份與恢復(fù)管理
4��13��12安全事件處置
4��13��13應(yīng)急預(yù)案管理
4��14等級保護安全評估報告
4��14��1測評項目概述
4��14��2被測信息系統(tǒng)情況
4��14��3等級測評范圍與方法
4��14��4單元測評
4��14��5工具測試
4��14��6整體測評
4��14��7整改情況說明
4��14��8測評結(jié)果匯總
4��14��9風險分析和評估
4��14��10安全建設(shè)/整改建議
4��14��11等級測評結(jié)論
第5章等級保護整改規(guī)劃與執(zhí)行
5��1等級保護整改建設(shè)方案
5��1��1項目概述
5��1��2方案設(shè)計原則及建設(shè)目標
5��1��3安全需求分析
5��1��4安全技術(shù)體系設(shè)計
5��1��5安全管理體系設(shè)計
5��1��6安全服務(wù)體系
5��1��7產(chǎn)品列表
5��1��8方案收益
5��2管理制度整改
5��2��1防病毒管理制度
5��2��2機房管理制度
5��2��3賬號、口令以及權(quán)限管理制度
5��3組織機構(gòu)和人員職責
5��3��1信息安全組織體系
5��3��2員工信息安全守則
5��3��3監(jiān)督和檢查
5��3��4附則
5��4技術(shù)標準和規(guī)范
5��4��1備份與恢復(fù)規(guī)范
5��4��2信息中心第三方來訪管理規(guī)范
5��4��3應(yīng)用系統(tǒng)互聯(lián)安全規(guī)范
5��5主機整改加固
5��5��1Windows 2003服務(wù)器安全加固
5��5��2Linux安全加固
5��6數(shù)據(jù)庫整改加固
5��6��1刪除OLE automation存儲過程
5��6��2刪除訪問注冊表的存儲過程
5��6��3刪除其他有威脅的存儲過程
5��7網(wǎng)絡(luò)設(shè)備整改加固
5��7��1iOS版本升級
5��7��2關(guān)閉服務(wù)
5��7��3用戶名設(shè)置
5��7��4口令設(shè)置
5��7��5訪問控制
5��7��6使用SSH
5��7��7使用路由協(xié)議MD5認證
5��7��8網(wǎng)絡(luò)設(shè)備日志
5��7��9SNMP設(shè)置
5��7��10修改設(shè)備網(wǎng)絡(luò)標簽
5��8應(yīng)用中間件整改加固
5��8��1安全補丁檢測及安裝
5��8��2安全審計
5��8��3賬號策略
5��8��4啟用 SSL
第6章項目執(zhí)行過程文件
6��1等級保護實施主要技術(shù)環(huán)節(jié)說明
6��1��1定級階段
6��1��2關(guān)于確定定級對象
6��1��3關(guān)于定級過程
6��2系統(tǒng)建設(shè)和改建階段
6��2��1安全需求分析方法
6��2��2新建系統(tǒng)的安全等級保護設(shè)計方案
6��2��3系統(tǒng)改建實施方案設(shè)計