信息安全测评实战指南
上QQ阅读APP看书,第一时间看更新

前言

2016年11月,第十二届全国人民代表大会常务委员会第二十四次会议通过的《中华人民共和国网络安全法》是我国网络安全领域的首部专门法律,为依法治网、化解网络风险提供了法律武器。2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议表决通过的《中华人民共和国密码法》是在总体国家安全观框架下,国家安全法律体系的重要组成部分,其颁布实施将极大提升密码工作的科学化、规范化、法治化水平,有力促进密码技术进步、产业发展和规范应用,切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益,同时也将为密码部门提高服务能力提供坚实的法治保障。

“没有网络安全就没有国家安全,没有信息化就没有现代化”,习近平总书记的重要论述,把网络安全上升到了国家安全的层面,为推动我国网络安全体系的建立、树立正确的网络安全观指明了方向。信息安全也随之成为事关国家安全的重要行业,信息安全测评作为信息安全的一个细分领域,其作用和价值正逐步凸显,社会对信息安全测评人才的需求呈明显上升态势。

为了帮助对信息安全测评感兴趣的人员快速掌握信息安全测评从业相关知识和技能,填补信息安全测评人才需求缺口,我们选取了当前4种主要的信息安全测评业务(信息安全风险评估、信息安全等级保护测评、商用密码应用与安全性评估、渗透测试),编写了本书。全书共5章,主要内容如下。

第1章信息安全测评概述,主要介绍4种测评业务的概念及发展历程、信息安全测评相关的政策法规和规范性文件以及面临的新挑战。

第2章信息安全测评基础,主要介绍4种信息安全测评业务涉及的理论基础。本章内容是信息安全的基本知识点,帮助信息安全测评从业人员扎实掌握基本信息安全理论。

第3章信息安全测评工具,主要介绍渗透业务、密评业务主流软件工具的部署安装和使用。本章内容便于信息安全测评从业人员熟悉主流软件工具的操作。

第4章信息安全测评方法,主要介绍国家标准、规范性文件中对4种信息安全测评业务的基本要求、测评内容、测评方法、工作流程及具体技术要求。本章内容注重信息安全测评业务实操,是信息安全测评从业人员开展测评服务的业务指南和服务手册。

第5章信息安全测评实战案例,主要介绍4种信息安全测评业务的具体项目案例。本章内容通过具体案例介绍项目实施过程、测评服务内容、主要技术难点、测评工具和报告等,为信息安全测评从业人员开展测评服务提供更为直观的参考和经验借鉴。

为便于高校开展教学工作,本书提供电子课件、思考题答案和教学大纲。

本书由张建成、鹿全礼、宋丽华担任主编,任强、宁伟、马晓红担任副主编。第1章由张建成、宋丽华、宁伟、王明玺、张圆圆编写。第2章由鹿全礼、任强、马晓红、元河清、朱瑞新、姜家轩、刘鲲鹏编写。第3章由鹿全礼、陈纪旸、王红强编写。第4章、第5章由张建成、宋丽华、郭峰、李运光、朱正轩编写。附录由张圆圆、郭锐编写。全书由张建成、宋丽华统稿。许志国、于小苇、冯延旺、高玉超、张文谋、常小涛、项泽文、胡欣悦、杜文青、赵珊珊、杨锐、王玉攀、万翠凤、郑雷雷、孙欣、冯帅帅、林泉宇也对全书的修改和完善做了大量工作。

山东省科创集团有限公司、齐鲁工业大学(山东省科学院)、山东省计算中心(国家超级计算济南中心)各位领导和同仁,山东正中信息技术股份有限公司及控股公司的各位同事,以及国内其他多位专家,对本书的编写倾注了热情关怀、悉心指导和鼎力帮助,我们在此表示诚挚的感谢!

本书的编写是一项具有挑战性和创新性的工作,尽管编者做了很大努力,但因水平和经验有限,书中难免有错误和疏漏之处,恳请读者批评指正。如果有意见和建议请与山东正中信息技术股份有限公司联系,E-mail:sdzz@sdas.org。

张建成