信息安全等級保護(hù)測評與整改指導(dǎo)手冊

出版說明
前言
第1章等級保護(hù)制度介紹
11什么是等級保護(hù)制度
111等級保護(hù)制度介紹
112為什么要做等級保護(hù)
12等級保護(hù)與分級保護(hù)的區(qū)別
13等級保護(hù)10與20的差異
131標(biāo)準(zhǔn)名稱的變化
132保護(hù)對象的變化
133定級備案的變化
134標(biāo)準(zhǔn)控制點與要求項的變化
14等級保護(hù)的測評流程
第2章等級保護(hù)準(zhǔn)備階段
21項目分工界面
22準(zhǔn)備階段培訓(xùn)
23啟動會議文件
231保密協(xié)議
232項目范圍約定表
24測評實施方案
241概述
242被測系統(tǒng)概述
243測評范圍
244測評指標(biāo)和定級結(jié)果
245測評方法和工具
246測評內(nèi)容
247測評安排
第3章等級保護(hù)定級
31信息安全等級保護(hù)定級指南
311范圍
312規(guī)范性引用文件
313術(shù)語和定義
314定級原理
315定級方法
316等級變更
32信息安全等級保護(hù)備案摸底調(diào)查表
321存儲與保障設(shè)備調(diào)查表
322軟件調(diào)查表
323外部接入線路及設(shè)備端口（局域環(huán)境邊界）情況調(diào)查表
324網(wǎng)絡(luò)安全設(shè)備調(diào)查表
325網(wǎng)絡(luò)環(huán)境情況調(diào)查表
326網(wǎng)絡(luò)設(shè)備調(diào)查表
327系統(tǒng)邊界描述表
328信息安全人員調(diào)查表
329應(yīng)用系統(tǒng)調(diào)查表
3210用戶及用戶群情況調(diào)查表
3211重要服務(wù)器調(diào)查表
33信息安全等級保護(hù)備案表
331單位信息表
332信息系統(tǒng)情況表
333信息系統(tǒng)定級信息表
334第三級以上信息系統(tǒng)提交材料情況表
34信息安全等級保護(hù)定級報告
341信息系統(tǒng)描述
342信息系統(tǒng)安全保護(hù)等級確定
35信息安全等級保護(hù)專家評審意見表
第4章等級保護(hù)評估測評
41評估授權(quán)書
42工具掃描申請報告
43滲透測試申請報告
44主機(jī)安全測評
441Windows XP檢查列表
442Windows Server 2008檢查列表
443Linux檢查列表
444UNIX主機(jī)檢查列表
45物理安全測評
451物理位置的選擇
452物理訪問控制
453防盜竊和防破壞
454防雷擊
455防火
456溫濕度控制
457電力供應(yīng)
458電磁防護(hù)
459防靜電
4510防水和防潮
46應(yīng)用安全測評
461身份鑒別
462訪問控制
463安全審計
464通信完整性
465通信保密性
466抗抵賴
467軟件容錯
468資源控制
469數(shù)據(jù)完整性
4610數(shù)據(jù)保密性
4611備份和恢復(fù)
47網(wǎng)絡(luò)檢查測評
471網(wǎng)絡(luò)脆弱性識別
472網(wǎng)絡(luò)架構(gòu)安全評估
48數(shù)據(jù)安全測評
481數(shù)據(jù)完整性
482數(shù)據(jù)保密性
483備份和恢復(fù)
49安全管理制度
491管理制度
492制訂和發(fā)布
493評審和修訂
410安全管理機(jī)構(gòu)
4101崗位設(shè)置
4102人員配備
4103授權(quán)和審批
4104溝通和合作
4105審核和檢查
411人員安全管理
4111人員錄用
4112人員離崗
4113人員考核
4114安全意識和培訓(xùn)
4115外部人員訪問管理
412系統(tǒng)建設(shè)管理
4121系統(tǒng)定級
4122安全方案設(shè)計
4123產(chǎn)品采購和使用
4124自行軟件開發(fā)
4125外包軟件開發(fā)
4126工程實施
4127測試驗收
4128系統(tǒng)交付
4129系統(tǒng)備案
41210等級測評
41211安全服務(wù)商選擇
413系統(tǒng)運維管理
4131環(huán)境管理
4132資產(chǎn)管理
4133介質(zhì)管理
4134設(shè)備管理
4135監(jiān)控管理和安全管理中心
4136網(wǎng)絡(luò)安全管理
4137系統(tǒng)安全管理
4138惡意代碼防范管理
4139密碼管理
41310變更管理
41311備份與恢復(fù)管理
41312安全事件處置
41313應(yīng)急預(yù)案管理
414等級保護(hù)安全評估報告
4141測評項目概述
4142被測信息系統(tǒng)情況
4143等級測評范圍與方法
4144單元測評
4145工具測試
4146整體測評
4147整改情況說明
4148測評結(jié)果匯總
4149風(fēng)險分析和評估
41410安全建設(shè)/整改建議
41411等級測評結(jié)論
第5章等級保護(hù)整改規(guī)劃與執(zhí)行
51等級保護(hù)整改建設(shè)方案
511項目概述
512方案設(shè)計原則及建設(shè)目標(biāo)
513安全需求分析
514安全技術(shù)體系設(shè)計
515安全管理體系設(shè)計
516安全服務(wù)體系
517產(chǎn)品列表
518方案收益
52管理制度整改
521防病毒管理制度
522機(jī)房管理制度
523賬號、口令以及權(quán)限管理制度
53組織機(jī)構(gòu)和人員職責(zé)
531信息安全組織體系
532員工信息安全守則
533監(jiān)督和檢查
534附則
54技術(shù)標(biāo)準(zhǔn)和規(guī)范
541備份與恢復(fù)規(guī)范
542信息中心第三方來訪管理規(guī)范
543應(yīng)用系統(tǒng)互聯(lián)安全規(guī)范
55主機(jī)整改加固
551Windows 2003服務(wù)器安全加固
552Linux安全加固
56數(shù)據(jù)庫整改加固
561刪除OLE automation存儲過程
562刪除訪問注冊表的存儲過程
563刪除其他有威脅的存儲過程
57網(wǎng)絡(luò)設(shè)備整改加固
571iOS版本升級
572關(guān)閉服務(wù)
573用戶名設(shè)置
574口令設(shè)置
575訪問控制
576使用SSH