本书基于网络安全理论研究和工程实践，在参考国内外最佳实践的基础上，介绍了网络安全政策法规、信息安全管理、网络安全等级保护测评、商用密码应用安全性评估、移动客户端安全性评估、渗透评估、信息安全风险评估、信息技术与网络安全产品测评、源代码审计等方面的理论知识和实践经验，具有全面性、系统性、针对性等特点。本书通过对相关法律法规和政策标准的分析，给出了网络安全等级保护测评的基本原理和实施要点，可以帮助测评人员全面了解网络安全知识和工具，从而正确地开展网络安全等级保护测评工作。

多年来长期从事等级保护测评、信息安全风险评估、网络攻防演练、网络安全审查技术研究工作，涉及领域包括金融、能源、电信、电力、交通和电子政务等。

第1章　网络安全政策法规 1
1.1　《网络安全法》 1
1.1.1　概述 1
1.1.2　主要内容 3
1.2　《密码法》 11
1.2.1　概述 11
1.2.2　主要内容 13
1.2.3　与密码有关的法规 20
1.3　《数据安全法》 24
1.3.1　概述 24
1.3.2　主要内容 26
1.4　等级保护制度 32
1.4.1　法律依据 32
1.4.2　政策依据 33
1.4.3　基本要求 33
1.4.4　工作流程 33
1.5　网络安全标准 34
1.5.1　标准化组织 35
1.5.2　风险管理标准 37
1.5.3　等级保护标准 40
第2章　信息安全管理 43
2.1　信息安全管理基础 43
2.1.1　信息安全 43
2.1.2　管理和管理体系 46
2.2　信息安全风险管理 57
2.2.1　风险管理基本概念 57
2.2.2　风险管理原则 58
2.2.3　风险管理角色和职责 59
2.2.4　常见的风险管理模型 60
2.2.5　风险管理基本过程 66
2.3　信息安全管理体系建设 69
2.3.1　PDCA过程 69
2.3.2　信息安全管理体系建设过程 72
2.3.3　文档管理 75
2.3.4　信息安全管理体系控制措施 77
2.4　信息安全管理体系认证审核 98
2.4.1　认证的目的 98
2.4.2　认证审核依据 99
2.4.3　认证审核流程 99
2.4.4　认证审核相关要点 100
第3章　网络安全等级保护测评 103
3.1　概述 103
3.2　《网络安全等级保护定级指南》解读 104
3.2.1　基本概念 104
3.2.2　定级流程及方法 105
3.3　《网络安全等级保护基本要求》解读 110
3.3.1　背景 110
3.3.2　新标准主要特点 111
3.3.3　主要内容 111
3.3.4　安全通用要求介绍 114
3.3.5　安全扩展要求介绍 120
3.3.6　高风险判例 126
3.4　网络安全等级保护测评实施 128
3.4.1　等级测评实施过程 128
3.4.2　能力验证活动 143
第4章　商用密码应用安全性评估 147
4.1　商用密码应用安全性评估标准 147
4.1.1　密评背景 147
4.1.2　密评标准 154
4.1.3　政务信息系统密码应用与安全性评估工作指南 179
4.2　密评技术框架 180
4.2.1　通用要求测评 180
4.2.2　典型密码产品应用的测评方法 182
4.2.3　密码功能测评 184
4.3　密评实施流程 186
4.3.1　测评准备活动 186
4.3.2　方案编制活动 186
4.3.3　现场测评活动 187
4.3.4　分析与报告编制活动 188
4.4　密评工具 189
4.5　密评实施案例 191
4.5.1　密码应用方案概述 191
4.5.2　密码应用安全性评估测评实施 194
第5章　移动客户端安全性评估 197
5.1　个人信息合规 197
5.1.1　概述 197
5.1.2　《个人信息安全规范》概述 203
5.1.3　《个人金融信息保护技术规范》介绍 211
5.2　APP违法违规收集使用个人信息的认定办法 220
5.2.1　简介 220
5.2.2　相关部门开展的行动 220
5.2.3　评估方法 221
5.2.4　认定细则 221
5.3　客户端安全 228
5.3.1　移动金融客户端应用软件安全管理规范 228
5.3.2　移动智能终端应用软件安全技术要求 234
5.3.3　其他行业标准 237
第6章　渗透评估 238
6.1　渗透测试执行标准 238
6.1.1　前期交互 239
6.1.2　情报搜集 242
6.1.3　威胁建模 244
6.1.4　漏洞分析 246
6.1.5　渗透攻击 247
6.1.6　后渗透攻击 249
6.1.7　报告 252
6.2　渗透测试工具 253
6.2.1　Nmap和Zenmap 253
6.2.2　Kali Linux 264
6.2.3　Metasploit 266
6.2.4　Acunetix Web Vulnerability Scanner 269
6.2.5　SQLMAP 271
6.2.6　Wireshark 272
6.2.7　Burp Suite 272
6.2.8　Nessus 274
6.2.9　THC Hydra 275
6.3　渗透测试案例 275
6.3.1　SQL注入 275
6.3.2　跨站脚本攻击 279
6.3.3　任意文件上传 279
第7章　信息安全风险评估 281
7.1　信息安全风险评估政策标准 281
7.1.1　信息安全风险评估在国外的发展 281
7.1.2　信息安全风险评估在国内的发展 284
7.2　信息安全风险评估的要素 286
7.2.1　风险评估的基本概念 286
7.2.2　风险评估各要素之间的关系 288
7.3　信息安全风险评估的实施流程 289
7.3.1　风险评估准备 290
7.3.2　风险识别 295
7.3.3　风险分析 313
7.3.4　风险评价 316
7.3.5　风险处理计划 318
7.3.6　残余风险评估 319
7.3.7　风险评估文档记录 319
7.4　信息安全风险评估的实施时机与方式 320
7.4.1　信息安全风险评估的实施时机 320
7.4.2　信息安全风险评估的实施方式 324
7.5　信息安全风险评估的计算方法及示例 326
7.5.1　信息安全风险评估的计算方法 326
7.5.2　示例 327
第8章　信息技术与网络安全产品测评 336
8.1　安全评估基础 336
8.1.1　安全评估标准 336
8.1.2　GB/T 18336评估标准应用情况 344
8.2　数据库产品安全检测与评估 348
8.2.1　概述 348
8.2.2　数据库产品标准基本架构 349
8.2.3　数据库安全功能检测与评估 350
8.2.4　数据库安全保障评估 362
8.3　路由器安全检测 365
8.3.1　概述 365
8.3.2　路由器产品标准基本架构 366
8.3.3　路由器安全功能检测 367
8.3.4　路由器安全保障评估 371
8.4　防火墙安全检测 371
8.4.1　概述 371
8.4.2　防火墙产品标准基本架构 372
8.4.3　防火墙安全功能检测 372
8.4.4　防火墙自身安全检测 376
8.4.5　防火墙性能检测 378
8.4.6　防火墙安全保障评估 379
第9章　源代码审计 380
9.1　源代码审计基础 380
9.1.1　源代码审计的概念 380
9.1.2　源代码审计方法 387
9.1.3　源代码审计技术 392
9.2　源代码审计政策标准 398
9.2.1　代码审计规范 398
9.2.2　代码开发参考规范 398
9.3　源代码审计工具 403
9.3.1　Cppcheck 404
9.3.2　RIPS 404
9.3.3　FindBugs 405
9.3.4　Fortify SCA 405
9.3.5　Checkmarx CxSuite 405
9.3.6　Coverity Prevent 406
9.3.7　kiwi 406
9.4　源代码审计实例 407
9.4.1　SQL注入 407
9.4.2　跨站脚本攻击 412
9.4.3　命令注入 417
9.4.4　密码硬编码 420
9.4.5　隐私泄露 422
9.4.6　Header Manipulation 424
9.4.7　日志伪造 427
9.4.8　单例成员字段 429