信息系统安全集成

　　信息化、信息安全工程建设指导类书籍
　　法律、法规、规范、标准于-体
　　网络安全、信息保密于-体
　　设计、施工、质量控制于一体
　　技术手段、管理措施于-体

　　《信息系统安全集成》分为六章，第一章信息安全概述，第二章信息安全集成准备，第三章信息系统安全方案设计，第四章安全设备测试，第五章工程实施，第六章信息安全管理。《信息系统安全集成》从信息安全相关法律、法规，到等级保护、分级保护规范标准；从信息安全的需求分析、方案设计，到工程施工组织管理、系统测试、质量控制；从技术保护措施，到安全管理保障措施，全面系统分析了信息系统安全建设工作涉及的各个方面。
　　《信息系统安全集成》为信息化、信息安全工程建设指导类书籍，可以作为信息系统安全保障工程师培训教材，也可作为信息系统安全工程专业教材使用。

第一章 概述
第一节 信息安全的基本概念
一、信息安全面临的威胁
（一）篡改网站攻击行为数量逐年增长
（二）安全漏洞是诱发篡改网站和后门攻击的原因
（三）被置入后门的网站数量比例很大
（四）黑客攻击网站的行为形成地下产业
（五）网络欺骗行为——网络钓鱼对社会的危害更大
（六）云计算系统面临的主要安全问题
（七）我国仍然面临着大量的境外攻击威胁
（八）恶意程序是长期以来网络安全的主要问题
二、信息安全的含义
三、信息安全的特征
四、信息安全的内容和相互关系
第二节 信息安全的法律保障
（一）法律保障
（二）专门法律——《网络安全法》的信息安全保障
（三）行政法规保障
（四）信息安全行政监督管理制度
（五）国家强制认证制度
（六）我国信息安全主要监督管理机构及职能
（七）信息安全集成服务资质的认证和制度建立与推行
（八）国家颁布的信息安全相关规范和标准
第三节 分级保护制度与等级保护制度
一、分级保护制度与等级保护制度概述
二、信息系统安全等级保护的基本框架
（一）信息系统安全等级保护体系概要说明
（二）信息系统安全等级保护标准体系
（三）信息系统安全等级保护管理体系
（四）信息系统安全等级保护技术体系
第四节 确定安全保护等级
一、等级保护确定保护等级的基本概念
二、保护等级与确定等级要素
三、确定等级的方法

第二章 信息安全集成准备
第一节 信息安全需求概述
一、信息安全需求概述
二、安全需求分析方法
三、信息安全风险与安全目标
第二节 安全需求分析
一、信息化基本情况分析
二、法律、法规、规范性文件适用性分析
三、国家规范、标准适用性分析
四、分析上级主管部门制定的信息安全建设规划和要求
五、分析本地区职能部门的规范性文件要求
六、建设单位信息化发展规划与安全需求
七、基于组织机构主要业务信息化应用分析信息安全需球
八、自定义安全等级
九、明确保密等级
十、基于风险的信息安全需求

第三章 信息系统安全方案设计
第一节 认证规则中设计阶段的要求
（一）理解安全需求
（二）确定安全约束条件和考虑事项
（三）识别和制定安全集成项目方案
（四）评审项目方案
（五）提供安全集成指南
（六）提供安全运行指南
第二节 信息系统安全设计
一、设计原则
二、安全系统架构设计
三、技术保护方案设计
（一）物理安全设计
（二）网络安全
（三）主机安全
（四）应用安全
（五）数据安全及备份与恢复
（六）操作系统安全
（七）数据库系统安全
（八）信任体系
第三节 方案设计文书的编制与评审
一、设计文书的编制方法
二、设计方案论证

第四章 安全设备测试
第一节 防火墙测试
一、防火墙检测概述
（一）防火墙的基本概念
（二）防火墙测试标准及网络缩略术语
二、防火墙测试内容
三、防火墙的测试方法及步骤
（一）防火墙工作模式测试方法
（二）防火墙NAT功能测试方法
（三）透明模式下的实际应用性能测试方法
（四）NAT模式下的实际应用性能测试
（五）防火墙防攻击功能测试方法
（六）防火墙高可靠性HA功能测试方法
（七）防火墙路由功能测试方法
（八）防火墙管理功能测试
第二节 入侵检测系统测试
一、入侵检测系统测评与评估的概述
二、测试平台环境及流程
三、入侵检测系统测试内容
四、人侵检测系统测试与评估现状以及存在的问题
第三节 安全审计系统评价与测试
一、信息安全审计产品技术要求概述
二、安全审计系统的技术要求
（一）信息安全审计系统的安全功能要求
（二）自身安全功能要求
（三）安全保证要求
三、信息安全审计系统安全等级划分
四、安全审计系统测试方法
（一）审计系统安全功能测试方法
（二）自身安全功能测试方法
（三）审计系统安全保证检验

第五章 工程实施
第一节 工程施工管理与组织
一、项目施工管理与组织制度
二、施工进度计划
第二节 施工质量管理
一、信息系统安全集成项目质量管理的概避
二、信息系统安全集成工程质量管理程序
三、工程项目质量管理体系
第三节 质量保证措施
一、质量管理系列文件
二、质量保证措施的运行
三、各施工阶段性的质量保证措施
四、工序质量控制措施
五、单项工艺实施质量控制措施
六、隐蔽丁程的质量保证措施
七、设备材料的质量保证措施
八、工程信息资料管理质量保证措施
（一）工程信息资料的分类与收集
（二）工程信息资料管理的要求
第四节 国际市场产品安全准入及认证
一、国际市场准入制度概述
二、合规制度分类
三、合规制度的落实
四、全球市场产品安全认证标志注解
五、中国的其他认证
第五节 项目实施中的保密管理
一、保密管理的意义
二、建立保密管理制度

第六章 信息安全管理
第一节 概述
第二节 信息安全管理制度建设
一、信息安全管理制度的制定
二、安全管理机构
三、系统建设安全管理
四、运行安全管理
参考文献

　　中共中央总书记、国家主席习总书记指出：“没有网络安全就没有国家安全，没有信息化就没有现代化。”习主席高度概括了信息化和网络安全对国家发展和安全的重要作用和战略地位，要求我们既要高度重视信息化建设，也要高度重视网络安全建设。
　　随着信息技术的快速发展和广泛应用，网络连接全世界，有网络的地方就有信息化应用，人们通过网络获取大量的有用信息，包括政治、经济、军事、科技、贸易、教育、工业、农业等方面的信息，特别是行业纵向专网，如国家电子政务内网、银行专网、电信网、电力网等行业网络，利用信息化开展社会管理、依法行政、行业的职能业务管理和生产等。互联网、物联网给人们的生产、生活带来极大方便，信息的交流快捷、高效、便利、内容丰富。网络把全国性的集团变成了一个小单元，互联网把全球变成了地球村。网络对人类社会、经济的发展起到了积极的促进作用，网络给人类社会带来日新月异的变化。同时，随之而来的是无形的、看不见摸不着的信息安全威胁、安全风险，它涉及到每个局域网，每个应用系统，每台个人应用终端。国家的信息安全保密，企业的信息安全，公民的个人信息安全，各行业的信息安全都受到威胁和挑战。因此，人们对网络信息安全保护的需求日益迫切。
　　信息安全是通过技术手段、管理制度建设，通过法律保护，行政管理等手段，保障计算机信息系统不被破坏，系统不被非法侵入、非法登录，信息不被篡改、窃取，国家秘密不被泄露，保障网络系统正常运行。
　　为了实现信息安全目标，国家已经建立了系列的法律、法规、监管体制和制度，颁布了信息系统安全等级保护系列标准。我们在信息化建设过程中，如何正确理解和落实这些法律、法规和技术规范，在实际工作中如何开展涉密信息系统分级保护建设，非涉密信息系统等级保护建设，使建设的系统符合等级保护、分级保护建设规范，是我们应当认真研究的课题。
　　另外，作者在参与大量的《信息系统安全集成服务资质》审核工作中，发现绝大多数申报企业对信息系统安全集成的过程管理、制度建设、安全集成实现方法、施工质量管理、安全系统测试不熟悉，这不仅影响申报工作的进行，更影响具体项目的施工质量。
　　作者撰写《信息系统安全集成》的目的，是为了指导信息化建设单位规划自己的信息系统安全建设，指导从事计算机信息系统集成公司，如何按照法律、法规、信息系统安全等级保护、涉密信息系统分级保护相关的规范和标准，开展计算机信息系统项目的需求调研、方案设计、施工管理，保证工程施工质量，使信息系统项目建设符合国家颁布的涉密信息系统和非涉密信息系统的建设规范和标准，实现信息安全保密建设目标；指导信息化建设和应用的管理者，组织本单位的信息化系统建设、施工管理、运行管理，保证信息系统安全、保密、稳定、可靠；对编制信息系统安全集成服务资质申报材料，编制工程实施方案、投标文件中的技术方案，提高投标书的质量，增强市场竞争力都有指导意义；该书是一部信集化、信息安全工程建设指导类书籍，可以作为信息系统安全保障工程师培训教材，作为信息系统安全工程专业教材使用。
　　该书分为六章，第一章信息安全概述，第二章信息安全集成准备，第三章信息系统安全方案设计，第四章安全设备测试，第五章工程实施，第六章信息安全管理。该书从信息安全相关法律、法规，到等级保护、分级保护规范标准；从信息安全的需求分析、方案设计，到工程施工组织管理、系统测试、质量控制；从技术保护措施，到安全管理保障措施，全面系统分析了信息系统安全建设工作涉及的方方面面。
　　第一章概述，分为四节进行分析。第一节对信息安全的基本概念进行了分析，包括信息安全面临的威胁，信息安全含义，信息安全特征，信息安全内容、信息安全实现方法；第二节为信息安全的法律保障，分析国家颁布的保护信息安全的法律、法规、管理制度、体制等；第三节为分级保护制度与等级保护制度，分析我国现行的涉及国家秘密信息系统分级保护建设制度，非涉密信息系统信息安全等级保护制度，等级保护基本框架。对信息安全等级保护标准体系、保护管理体系、保护技术体系、保护等级的定义、保护原则要求、保护等级的适用性等进行了全面分析。第四节为确定安全保护等级，分析国家颁布的信息安全等级保护定级原则和定级指南，指导等级保护建设项目实施前的定级工作，确定建设项目的信息安全等级。
　　第二章为信息安全集成准备。该章分为两节，系统论述了信息安全需求分析的基本概念，阐述了信息化建设基本情况分析，法律、法规和规范性文件的适用性分析；国家颁布保密、安全相关规范和标准的适用性分析；建设单位的上级主管部门，本地区的信息安全、保密主管部门的分级保护、等级保护建设规划；本级信息化发展规划的安全需求等。
　　第三章为信息系统安全方案设计。根据GB22239-2O（]8《信息系统安全等级保护基本要求》中的技术要求，叙述每一条具体的技术规定，使读者明确国家颁布的信息安全等级保护的基本技术要求内容是什么。针对这些原则性要求，重点分析和论述在项目设计中采取具体安全措施，保证《基本要求》中条款的原则性规定的落实，运用成熟技术手段实现规范条款的原则性规定。文章结构采取陈述《信息安全等级保护基本要求》技术要求条款，与实现这些原则性要求所采取的安全技术措施，对应性进行陈述，使读者更容易理解和执行国家规范的具体技术要求。信息系统安全设计，包括物理安全、网络安全、主机安全、应用安全、操作系统与数据库安全、数据备份与恢复、信任体系等方面。