本书系统地讲述了信息安全测评相关的理论基础、测试评估工具，重点讲述了风险评估、网络安全等级保护、商用密码应用与安全性评估、渗透测试的相关技术、基本要求和作业方法。全书共5章，包括信息安全测评概述、信息安全测评基础、信息安全测评工具、信息安全测评方法、信息安全测评实战案例。本书旨在帮助读者在具备一定的信息安全理论的基础上，通过“测评工具+技术+作业方法”的知识结构，系统地掌握信息安全测评的知识体系、测评方法、工具和技能，提高从业人员的信息安全测试评估能力和业务水平，使读者能有效地实施信息系统工程项目的安全测评工作。
本书可作为信息系统工程的测试评估单位、安全服务单位、建设单位、监理单位和政府各级建设主管部门有关人员，以及高校信息安全、测试评估类专业学生的参考书。

前言
第1章 信息安全测评概述
1.1 信息安全测评相关业务概念
1.1.1 信息安全测评综述
1.1.2 信息安全风险评估
1.1.3 信息安全等级保护测评
1.1.4 商用密码应用与安全性评估
1.1.5 渗透测试
1.2 信息安全测评政策法规和规范性文件
1.2.1 政策法规
1.2.2 规范性文件
1.3 信息安全测评面临的新挑战
思考题
第2章 信息安全测评基础
2.1 密码学基础
2.1.1 密码学
2.1.2 现代密码算法
2.1.3 密码协议
2.1.4 密钥管理
2.2 网络安全基础
2.2.1 网络安全事件
2.2.2 网络安全威胁
2.2.3 网络安全防御
2.3 信息系统安全基础
2.3.1计算机实体安全/02.3.2操作系统安全
2.3.3 数据库系统安全
2.3.4 恶意代码
2.4 应用系统安全测评基础
2.4.1 软件测试基本概念
2.4.2 测试用例设计方法
2.4.3 性能测试
2.4.4 Web安全
2.4.5 信息隐藏
2.4.6 隐私保护
2.5 商用密码应用与安全性评估基础
2.5.1 密评的评估内容
2.5.2 开展密评工作的必要性
2.5.3 密评与等保的关系
2.5.4 信息系统密码应用安全级别
2.5.5 网络与信息系统的责任单位
2.6 安全测试服务基础
2.6.1 安全漏洞扫描服务
2.6.2 渗透测试服务
2.6.3 配置核查服务
思考题
第3章 信息安全测评工具
3.1 sqlmap工具
3.1.1 工具介绍
3.1.2 详细操作
3.2 Metasploit工具
3.2.1 工具介绍
3.2.2 详细操作
3.3 Nmap工具
3.3.1 工具介绍
3.3.2 详细操作
3.4 Hydra工具
3.4.1 工具介绍
3.4.2 详细操作
3.5 Nessus工具
3.5.1工具介绍/03.5.2详细操作
3.6 Asn1View工具
3.6.1 工具介绍
3.6.2 详细操作
3.7 Fiddler工具
3.7.1 工具介绍
3.7.2 详细操作
3.8 USB Monitor工具
3.8.1 工具介绍
3.8.2 详细操作
3.9 Wireshark工具
3.9.1 工具介绍
3.9.2 详细操作
3.10 密码算法验证平台
3.10.1 工具介绍
3.10.2 详细操作
思考题
第4章 信息安全测评方法
4.1 信息安全风险评估
4.1.1 基本要求
4.1.2 风险评估方法
4.1.3 风险评估流程
4.1.4 风险评估项目实施
4.2 信息安全等级保护测评
4.2.1 基本要求
4.2.2 测评方法
4.2.3 测评流程
4.2.4 测评准备活动
4.2.5 测评方案编制活动
4.2.6 现场测评活动
4.2.7 分析与报告编制活动
4.3 商用密码应用与安全性评估
4.3.1 基本要求
4.3.2 测评准备活动
4.3.3 方案编制活动
4.3.4现场测评活动/4.3.5分析与报告编制活动
4.4 渗透测试
4.4.1 基本要求
4.4.2 测试流程
4.4.3 具体技术
思考题
第5章 信息安全测评实战案例
5.1 风险评估实战案例
5.1.1 项目概况
5.1.2 风险评估项目实施
5.2 等保测评实战案例
5.2.1 项目概况
5.2.2 系统定级
5.2.3 系统备案
5.2.4 系统整改
5.2.5 测评实施
5.3 密评实战案例
5.3.1 商用密码应用与安全性评估测试案例
5.3.2 密码应用方案咨询案例
5.4 渗透测试实战案例
5.4.1 后台写入漏洞到内网渗透测试案例
5.4.2 反序列化漏洞到域渗透测试案例
附录
附录A《中华人民共和国网络安全法》
附录B《中华人民共和国密码法》
附录C《中华人民共和国数据安全法》
附录D《中华人民共和国个人信息保护法》
附录E《网络安全等级保护条例（征求意见稿）》
附录F《关键信息基础设施安全保护条例》
参考文献

创新驱动发展战略的核心就是科技创新。我国经济
社会发展要以推动高质量发展为主题，要建成社会主义
现代化强国，必须全面加强对科技创新的部署，实现更
高水平的科技自立自强。党的十八大以来，习近平总书
记站在中华民族伟大复兴战略全局和世界百年未有之大
变局的高度，统筹国内国际两个大局、发展安全两件大
事，对科技创新作出一系列重要论述，科学回答了“科
技创新是什么、为什么要科技创新、如何实现科技创新
”等重大理论和实践问题。随着新一轮科技革命和产业
变革的加速演进，各国之间的竞争愈来愈表现为科学技
术的竞争，尤其是科技成果转化数量、质量和转化速度
的竞争。
美国的“硅谷模式”享誉世界，其将各类高校、实
验室与工业界耦合衔接，建立伙伴关系、完善政策制度
、加强政府协调，将研究出的具有工业应用前景的科技
成果迅速推向社会，使之尽快转化为生产力及竞争力；
德国弗劳恩霍夫协会在关键技术研发、成果产业化方面
形成了很有特色的发展模式；日本的“筑波科学城模式
”和芬兰的“奥卢科技园模式”亦是如此，这些无不彰
显出科技成果转化在科技竞争中的关键作用。
放眼国内，北京的中关村科技企业发展，离不开与
周边高校在人才、技术、研发等方方面面的紧密合作，
同样，高校学生的教育培训也不能脱离社会和企业的需
求，产学研合作教育是一种新的教育模式，它充分利用
学校与企业、科研院所等的不同环境和不同资源，努力
发挥各自在人才培养方面的优势，从培养学生全面分析
、解决问题的能力入手，以提高学生综合素质为目标，
为社会培养高素质的创新型应用人才。
正中信息在国内从事信息技术服务二十余年，锻炼
了一只专业技术过硬的队伍，积累了丰富的实战经验，
他们将服务过程中的心得与技巧进行理论化的提升，编
写成书。《信息安全测评实战指南》既有基本的知识点
介绍，也有企业为客户提供服务的经验和技巧总结，辅
以具体服务案例，立体地介绍了信息安全测评服务的基
本原理和实战应用，将理论和实践有机结合，有利于课
堂与社会更紧密地联系，有利于书本知识与操作技能的
辩证统一，为产学研合作教育提供参考。
希望该书的出版和在高校教育中的应用，能更好地
促进产学研合作教育，为社会和企业培养更多高质量的
专业人才，为国家的科技自立自强和科技创新发展战略
提供支持。

涉及当前4种主要的信息安全测评业务：信息安全风险评估、信息安全等级保护测评、商用密码应用与安全性评估、渗透测试。
既有基本的知识点介绍，也有企业为客户提供服务的经验和技巧总结，辅以具体服务案例，立体地介绍了信息安全测评服务的基本原理和实战应用。
将理论和实践有机结合，有利于课堂与社会更紧密地联系，有利于书本知识与操作技能的辩证统一，为产学研合作教育提供参考。
为便于高校开展教学工作，本书提供电子课件、思考题答案和教学大纲。