網路安全等級化保護原理與實踐

本書闡述了網路安全對國家各方面的重大影響及在國家安全中的重要地位，總結了等級保護思想的起源和發展歷程；全面系統地介紹了我國在等級保護方面的創新成果：適合我國國情的全新的等級化保護體系架構、組成部分和設計原理，以及構建等級防禦體系和實施等級保護的一般流程和方法，闡述了如何套用工程方法的原理來設計、建設新建網路信息系統的安全防禦體系和已有網路信息系統的安全防禦體系；同時介紹了依據等級保護2.0技術設計框架的基本要求設計的幾個典型行業的等級保護體系。

本書可以作為網路安全專業本科和碩士研究生教材，也可以作為網路安全工程技術人員的參考書籍。

第 1章 網路安全概述 001

1.1 引言 002

1.1.1 網路空間已經融入人們生活的方方面面 002

1.1.2 網路空間的安全威脅日趨激烈 004

1.2 網路安全在國家安全中的重要作用和戰略地位 006

1.2.1 網路安全對國家政治的影響 006

1.2.2 網路安全對國家經濟的影響 008

1.2.3 網路安全對國家文化的影響 010

1.2.4 網路安全對國家軍事的影響 011

1.3 網路安全面臨的新挑戰 013

1.4 我國的網路安全形勢與困難 016

1.4.1 傳統網路信息安全形勢依然嚴峻 016

1.4.2 新型網路信息安全攻擊形態集中湧現 017

1.4.3 現階段我國企業網路信息安全發展存在的突出問題 018

1.4.4 我國的工業控制信息安全機遇與危機並存 019

1.4.5 我國網路信息安全人才發展矛盾突顯 021

1.4.6 西方國家對我國網路信息安全的威脅加劇 022

1.5 本章小結 023

參考文獻 023

第 2章 等級保護的起源、發展及我國的創新 025

2.1 網路安全等級保護思想的起源及發展 026

2.1.1 等級保護思想的起源 026

2.1.2 橘皮書和通用準則 028

2.1.3 等級保護架構的發展 029

2.1.4 等級保護體系的新綜合 029

2.2 等級保護的基本思想 030

2.2.1 信息系統分級的思路 031

2.2.2 安全措施的選擇 033

2.3 我國網路安全等級化創新發展歷程 034

2.3.1 等級保護工作研究準備階段 035

2.3.2 等級保護工作全面實施階段 036

2.3.3 等級保護工作深化推進階段（等級保護1.0） 037

2.3.4 等級保護工作改進完善階段（等級保護2.0） 038

2.4 等級保護相關的法律法規和政策依據 038

2.4.1 法律依據 038

2.4.2 政策依據 040

2.5 我國網路安全等級保護制度的地位和作用 041

2.5.1 網路安全等級保護的重要意義 041

2.5.2 網路安全等級保護制度的地位和作用 042

2.5.3 等級保護工作中有關部門的責任和義務 043

2.6 本章小結 044

參考文獻 045

第3章 等級保護基本要求 047

3.1 網路安全等級保護基本概念和內涵 048

3.1.1 基本概念 048

3.1.2 系統的重要程度等級 048

3.1.3 安全保護能力等級 049

3.1.4 監督管理強度等級 050

3.2 框架結構 051

3.3 描述模型 052

3.3.1 安全保護能力 053

3.3.2 安全要求 054

3.4 逐級增強的特點 056

3.4.1 增強原則 056

3.4.2 總體描述 056

3.4.3 控制點增加 058

3.4.4 要求項增加 059

3.4.5 控制強度增強 059

3.5 各級安全要求 060

3.5.1 技術要求 060

3.5.2 管理要求 062

3.6 等級保護2.0的調整 064

3.7 本章小結 067

參考文獻 067

第4章 網路安全等級防禦體系 069

4.1 等級化安全防禦體系 070

4.1.1 保護對象框架 070

4.1.2 安全對策框架 071

4.1.3 等級化安全防禦體系結構 073

4.2 等級防禦體系設計方法及原則 074

4.2.1 安全體系設計原則 074

4.2.2 等級保護工作的主要環節 076

4.2.3 等級化安全防禦體系設計流程 078

4.3 安全組織體系設計 079

4.3.1 等級保護組織體系結構 079

4.3.2 安全管理機構 081

4.3.3 安全管理人員 088

4.4 本章小結 090

參考文獻 090

第5章 保護對象體系設計 093

5.1 信息系統抽象模型 094

5.2 保護對象框架建立 095

5.2.1 信息系統模型化處理 096

5.2.2 安全域的劃分 099

5.2.3 保護對象分類 100

5.2.4 保護對象劃分方法 101

5.2.5 系統分域保護框架 102

5.2.6 保護對象等級化劃分 102

5.3 本章小結 103

參考文獻 104

第6章 安全策略體系設計 105

6.1 安全策略體系基本概念和內涵 106

6.1.1 安全策略基本概念 106

6.1.2 安全策略主要內容和措施 107

6.2 定級策略 112

6.2.1 定級範圍 113

6.2.2 等級劃分 113

6.2.3 不同等級的安全保護能力 113

6.3 等級保護評估策略 115

6.3.1 評估指標選擇和組合 115

6.3.2 現狀與評估指標對比 116

6.3.3 額外/特殊風險評估 116

6.3.4 綜合評估分析 119

6.4 安全規劃設計策略 120

6.4.1 系統等級化模型處理 121

6.4.2 總體安全策略設計 121

6.4.3 各級系統安全技術措施設計 121

6.4.4 系統整體安全管理策略設計 122

6.4.5 設計結果文檔化 122

6.5 等級保護測評策略 123

6.6 實施與運維要求策略 123

6.7 備案與管理策略 124

6.7.1 對涉密信息系統的管理 124

6.7.2 信息安全等級保護的密碼管理 126

6.8 本章小結 127

參考文獻 127

第7章 安全技術體系設計 129

7.1 通用定級要素 130

7.1.1 確定受侵害的客體 130

7.1.2 確定對客體的侵害程度 131

7.2 通用定級方法 131

7.2.1 確定定級對象 132

7.2.2 信息系統的基本屬性 133

7.2.3 定級流程 134

7.3 涉密信息系統的等級保護 135

7.4 安全技術體系結構設計步驟與內容 136

7.4.1 安全技術體系結構設計步驟 136

7.4.2 物理環境安全防護 137

7.4.3 計算環境安全防護 139

7.4.4 區域邊界安全防護 144

7.4.5 通信網路安全防護 147

7.4.6 存儲安全防護 151

7.4.7 安全計算環境監控子系統 151

7.4.8 安全管理中心防護 153

7.5 本章小結 155

參考文獻 155

第8章 等級保護運作體系設計 157

8.1 運作體系及其組成 158

8.2 定級階段 159

8.2.1 定級和備案 159

8.2.2 定級準備 160

8.2.3 定級主要工作 164

8.3 總體安全規劃階段 165

8.3.1 安全等級評估 165

8.3.2 安全等級保護規劃流程及過程 166

8.4 設計開發/實施階段 166

8.4.1 安全方案設計 166

8.4.2 安全方案設計管理 167

8.4.3 產品採購和使用 167

8.4.4 自主軟體開發 167

8.4.5 外包軟體開發 168

8.4.6 工程實施 168

8.4.7 測試驗收 168

8.4.8 系統交付使用 169

8.4.9 等級測評 169

8.4.10 安全服務商管理 169

8.5 運行維護階段 170

8.5.1 環境管理 170

8.5.2 資產管理 171

8.5.3 介質管理 171

8.5.4 設備維護管理 171

8.5.5 網路和系統安全管理 172

8.5.6 惡意代碼防範管理 173

8.5.7 密碼使用管理 173

8.5.8 變更管理 174

8.5.9 備份與恢復管理 174

8.5.10 安全事件處置管理 174

8.5.11 應急預案管理 175

8.5.12 安全監控管理 175

8.6 系統終止階段 176

8.7 本章小結 176

參考文獻 176

第9章 等級保護實施的一般流程及方法 179

9.1 等級保護實施的基本流程 180

9.2 信息系統定級 181

9.2.1 定級流程 181

9.2.2 信息系統等級確定 182

9.2.3 定級報告 184

9.2.4 定級備案 185

9.3 差距分析 185

9.3.1 等級測評範圍 185

9.3.2 等級測評內容 185

9.3.3 差距分析流程 186

9.4 體系諮詢規劃 188

9.4.1 滲透測試與安全加固 188

9.4.2 風險評估與合規性檢測 193

9.4.3 安全體系諮詢規劃 193

9.4.4 解決方案設計 196

9.5 整改及集成實施 199

9.5.1 安全管理體系建設 199

9.5.2 安全技術體系建設 199

9.6 等級測評 199

9.7 安全運維 200

9.7.1 安全運維服務 200

9.7.2 監控應急 201

9.7.3 審計追查 202

9.8 本章小結 202

參考文獻 202

第 10章 等級保護安全系統工程方法 205

10.1 傳統工程建設方法 206

10.1.1 傳統工程項目的生命周期 206

10.1.2 傳統工程建設工作流程 207

10.2 系統安全工程方法 210

10.2.1 系統安全工程的定義 210

10.2.2 系統安全工程的目標及特點 211

10.2.3 系統安全工程的PDCA循環 212

10.2.4 系統安全工程能力成熟度模型 213

10.2.5 系統安全工程過程 217

10.3 等級保護的系統安全工程實施 218

10.3.1 系統安全工程實施工作的流程 219

10.3.2 系統安全工程實施工作的目標 220

10.3.3 系統安全工程實施工作的內容 220

10.3.4 系統安全工程實施工作的要求 221

10.3.5 系統安全保護能力目標 222

10.4 等級保護策略體系工程實施流程 223

10.4.1 網路安全管理現狀分析 223

10.4.2 網路安全管理安全工程實施方案設計 223

10.4.3 網路安全管理策略落實方法 224

10.5 等級保護安全技術體系實施流程 226

10.5.1 網路安全技術現狀分析 226

10.5.2 網路安全技術安全工程實施方案設計 227

10.5.3 網路安全技術安全工程實施和管理 230

10.6 本章小結 231

參考文獻 231

第 11章 等級保護安全建設體系設計 233

11.1 網路安全等級保護安全建設需求分析 234

11.1.1 等級保護的一般安全建設需求 234

11.1.2 等級保護的系統特殊安全建設需求 238

11.2 新建系統等級保護安全建設方案設計 239

11.2.1 系統安全防護設計思路 239

11.2.2 系統安全防護設計 240

11.3 新建系統等級保護總體安全方案設計 241

11.3.1 網路安全等級保護安全建設方案大綱 241

11.3.2 安全技術設計要求的核心思想 242

11.3.3 安全技術設計要求的主要內容 246

11.3.4 安全技術設計要求的安全管理部分 253

11.4 本章小結 253

參考文獻 253

第 12章 已有系統等級保護安全整改方案設計 255

12.1 系統安全整改工作基本定位及目的 256

12.1.1 系統安全整改工作的基本定位 256

12.1.2 系統安全整改工作的目的 257

12.2 系統安全整改工作的內容及基本流程 257

12.2.1 系統安全整改工作的內容 257

12.2.2 系統安全整改工作的基本流程 258

12.3 系統安全整改方案設計 259

12.3.1 確定系統安全整改的安全需求 260

12.3.2 差距原因分析 260

12.3.3 分類處理的系統安全整改措施 261

12.3.4 系統安全整改措施的詳細設計 262

12.4 系統安全整改工程實施和項目管理 262

12.5 本章小結 263

參考文獻 263

第 13章 典型的安全設計技術框架 265

13.1 通用網路安全等級保護安全技術設計框架 266

13.2 雲計算等級保護安全技術設計框架 270

13.3 移動互聯等級保護安全技術設計框架 275

13.4 物聯網等級保護安全技術設計框架 277

13.5 工業控制等級保護安全技術設計框架 279

13.6 本章小結 282

參考文獻 282

第 14章 重要行業網路安全等級保護建設案例 285

14.1 廣播電視台安全等級保護建設案例 286

14.1.1 建設範圍與系統介紹 286

14.1.2 業務流程及安全需求描述 288

14.1.3 分層分域設計 288

14.1.4 安全機制及策略設計 289

14.2 雲計算虛擬化環境中的安全等級保護實例 292

14.2.1 雲計算的定義 293

14.2.2 雲計算安全 294

14.2.3 雲安全服務模型 295

14.2.4 等級保護面臨的挑戰 296

14.2.5 雲計算在電力行業的套用 298

14.2.6 等級保護電力雲安全策略設計 301

14.2.7 基於雲安全模型的信息安全等級測評 304

14.3 工業控制系統安全等級保護建設案例 305

14.3.1 工業控制系統等級保護1.0的建設狀況 305

14.3.2 工業控制系統的等級保護2.0需求 306

14.3.3 等級保護2.0下工業控制系統安全新要求 308

14.3.4 等級保護2.0下能源工業控制系統安全體系建設案例 309

14.3.5 等級保護2.0下的能源網路安全方針 310

14.4 網際網路企業等級保護建設與測評整改案例 311

14.4.1 《中華人民共和國網路安全法》的強制性合規要求以及監管檢查 311

14.4.2 專項檢查工作流程 311

14.4.3 騰訊等級保護工作 312

14.4.4 騰訊等級保護工作成效 313

14.5 本章小結 313

參考文獻 314

名詞索引 317