网络安全等级化保护原理与实践

目 录
第 1章 网络安全概述 001
1．1 引言 002
1．1．1 网络空间已经融入人们生活的方方面面 002
1．1．2 网络空间的安全威胁日趋激烈 004
1．2 网络安全在国家安全中的重要作用和战略地位 006
1．2．1 网络安全对国家政治的影响 006
1．2．2 网络安全对国家经济的影响 008
1．2．3 网络安全对国家文化的影响 010
1．2．4 网络安全对国家军事的影响 011
1．3 网络安全面临的新挑战 013
1．4 我国的网络安全形势与困难 016
1．4．1 传统网络信息安全形势依然严峻 016
1．4．2 新型网络信息安全攻击形态集中涌现 017
1．4．3 现阶段我国企业网络信息安全发展存在的突出问题 018
1．4．4 我国的工业控制信息安全机遇与危机并存 019
1．4．5 我国网络信息安全人才发展矛盾突显 021
1．4．6 西方国家对我国网络信息安全的威胁加剧 022
1．5 本章小结 023
参考文献 023
第 2章 等级保护的起源、发展及我国的创新 025
2．1 网络安全等级保护思想的起源及发展 026
2．1．1 等级保护思想的起源 026
2．1．2 橘皮书和通用准则 028
2．1．3 等级保护架构的发展 029
2．1．4 等级保护体系的新综合 029
2．2 等级保护的基本思想 030
2．2．1 信息系统分级的思路 031
2．2．2 安全措施的选择 033
2．3 我国网络安全等级化创新发展历程 034
2．3．1 等级保护工作研究准备阶段 035
2．3．2 等级保护工作全面实施阶段 036
2．3．3 等级保护工作深化推进阶段（等级保护1．0） 037
2．3．4 等级保护工作改进完善阶段（等级保护2．0） 038
2．4 等级保护相关的法律法规和政策依据 038
2．4．1 法律依据 038
2．4．2 政策依据 040
2．5 我国网络安全等级保护制度的地位和作用 041
2．5．1 网络安全等级保护的重要意义 041
2．5．2 网络安全等级保护制度的地位和作用 042
2．5．3 等级保护工作中有关部门的责任和义务 043
2．6 本章小结 044
参考文献 045
第3章 等级保护基本要求 047
3．1 网络安全等级保护基本概念和内涵 048
3．1．1 基本概念 048
3．1．2 系统的重要程度等级 048
3．1．3 安全保护能力等级 049
3．1．4 监督管理强度等级 050
3．2 框架结构 051
3．3 描述模型 052
3．3．1 安全保护能力 053
3．3．2 安全要求 054
3．4 逐级增强的特点 056
3．4．1 增强原则 056
3．4．2 总体描述 056
3．4．3 控制点增加 058
3．4．4 要求项增加 059
3．4．5 控制强度增强 059
3．5 各级安全要求 060
3．5．1 技术要求 060
3．5．2 管理要求 062
3．6 等级保护2．0的调整 064
3．7 本章小结 067
参考文献 067
第4章 网络安全等级防御体系 069
4．1 等级化安全防御体系 070
4．1．1 保护对象框架 070
4．1．2 安全对策框架 071
4．1．3 等级化安全防御体系结构 073
4．2 等级防御体系设计方法及原则 074
4．2．1 安全体系设计原则 074
4．2．2 等级保护工作的主要环节 076
4．2．3 等级化安全防御体系设计流程 078
4．3 安全组织体系设计 079
4．3．1 等级保护组织体系结构 079
4．3．2 安全管理机构 081
4．3．3 安全管理人员 088
4．4 本章小结 090
参考文献 090
第5章 保护对象体系设计 093
5．1 信息系统抽象模型 094
5．2 保护对象框架建立 095
5．2．1 信息系统模型化处理 096
5．2．2 安全域的划分 099
5．2．3 保护对象分类 100
5．2．4 保护对象划分方法 101
5．2．5 系统分域保护框架 102
5．2．6 保护对象等级化划分 102
5．3 本章小结 103
参考文献 104
第6章 安全策略体系设计 105
6．1 安全策略体系基本概念和内涵 106
6．1．1 安全策略基本概念 106
6．1．2 安全策略主要内容和措施 107
6．2 定级策略 112
6．2．1 定级范围 113
6．2．2 等级划分 113
6．2．3 不同等级的安全保护能力 113
6．3 等级保护评估策略 115
6．3．1 评估指标选择和组合 115
6．3．2 现状与评估指标对比 116
6．3．3 额外/特殊风险评估 116
6．3．4 综合评估分析 119
6．4 安全规划设计策略 120
6．4．1 系统等级化模型处理 121
6．4．2 总体安全策略设计 121
6．4．3 各级系统安全技术措施设计 121
6．4．4 系统整体安全管理策略设计 122
6．4．5 设计结果文档化 122
6．5 等级保护测评策略 123
6．6 实施与运维要求策略 123
6．7 备案与管理策略 124
6．7．1 对涉密信息系统的管理 124
6．7．2 信息安全等级保护的密码管理 126
6．8 本章小结 127
参考文献 127
第7章 安全技术体系设计 129
7．1 通用定级要素 130
7．1．1 确定受侵害的客体 130
7．1．2 确定对客体的侵害程度 131
7．2 通用定级方法 131
7．2．1 确定定级对象 132
7．2．2 信息系统的基本属性 133
7．2．3 定级流程 134
7．3 涉密信息系统的等级保护 135
7．4 安全技术体系结构设计步骤与内容 136
7．4．1 安全技术体系结构设计步骤 136
7．4．2 物理环境安全防护 137
7．4．3 计算环境安全防护 139
7．4．4 区域边界安全防护 144
7．4．5 通信网络安全防护 147
7．4．6 存储安全防护 151
7．4．7 安全计算环境监控子系统 151
7．4．8 安全管理中心防护 153
7．5 本章小结 155
参考文献 155
第8章 等级保护运作体系设计 157
8．1 运作体系及其组成 158
8．2 定级阶段 159
8．2．1 定级和备案 159
8．2．2 定级准备 160
8．2．3 定级主要工作 164
8．3 总体安全规划阶段 165
8．3．1 安全等级评估 165
8．3．2 安全等级保护规划流程及过程 166
8．4 设计开发/实施阶段 166
8．4．1 安全方案设计 166
8．4．2 安全方案设计管理 167
8．4．3 产品采购和使用 167
8．4．4 自主软件开发 167
8．4．5 外包软件开发 168
8．4．6 工程实施 168
8．4．7 测试验收 168
8．4．8 系统交付使用 169
8．4．9 等级测评 169
8．4．10 安全服务商管理 169
8．5 运行维护阶段 170
8．5．1 环境管理 170
8．5．2 资产管理 171
8．5．3 介质管理 171
8．5．4 设备维护管理 171
8．5．5 网络和系统安全管理 172
8．5．6 恶意代码防范管理 173
8．5．7 密码使用管理 173
8．5．8 变更管理 174
8．5．9 备份与恢复管理 174
8．5．10 安全事件处置管理 174
8．5．11 应急预案管理 175
8．5．12 安全监控管理 175
8．6 系统终止阶段 176
8．7 本章小结 176
参考文献 176
第9章 等级保护实施的一般流程及方法 179
9．1 等级保护实施的基本流程 180
9．2 信息系统定级 181
9．2．1 定级流程 181
9．2．2 信息系统等级确定 182
9．2．3 定级报告 184
9．2．4 定级备案 185
9．3 差距分析 185
9．3．1 等级测评范围 185
9．3．2 等级测评内容 185
9．3．3 差距分析流程 186
9．4 体系咨询规划 188
9．4．1 渗透测试与安全加固 188
9．4．2 风险评估与合规性检测 193
9．4．3 安全体系咨询规划 193
9．4．4 解决方案设计 196
9．5 整改及集成实施 199
9．5．1 安全管理体系建设 199
9．5．2 安全技术体系建设 199
9．6 等级测评 199
9．7 安全运维 200
9．7．1 安全运维服务 200
9．7．2 监控应急 201
9．7．3 审计追查 202
9．8 本章小结 202
参考文献 202
第 10章 等级保护安全系统工程方法 205
10．1 传统工程建设方法 206
10．1．1 传统工程项目的生命周期 206
10．1．2 传统工程建设工作流程 207
10．2 系统安全工程方法 210
10．2．1 系统安全工程的定义 210
10．2．2 系统安全工程的目标及特点 211
10．2．3 系统安全工程的PDCA循环 212
10．2．4 系统安全工程能力成熟度模型 213
10．2．5 系统安全工程过程 217
10．3 等级保护的系统安全工程实施 218
10．3．1 系统安全工程实施工作的流程 219
10．3．2 系统安全工程实施工作的目标 220
10．3．3 系统安全工程实施工作的内容 220
10．3．4 系统安全工程实施工作的要求 221
10．3．5 系统安全保护能力目标 222
10．4 等级保护策略体系工程实施流程 223
10．4．1 网络安全管理现状分析 223
10．4．2 网络安全管理安全工程实施方案设计 223
10．4．3 网络安全管理策略落实方法 224
10．5 等级保护安全技术体系实施流程 226
10．5．1 网络安全技术现状分析 226
10．5．2 网络安全技术安全工程实施方案设计 227
10．5．3 网络安全技术安全工程实施和管理 230
10．6 本章小结 231
参考文献 231
第 11章 等级保护安全建设体系设计 233
11．1 网络安全等级保护安全建设需求分析 234
11．1．1 等级保护的一般安全建设需求 234
11．1．2 等级保护的系统特殊安全建设需求 238
11．2 新建系统等级保护安全建设方案设计 239
11．2．1 系统安全防护设计思路 239
11．2．2 系统安全防护设计 240
11．3 新建系统等级保护总体安全方案设计 241
11．3．1 网络安全等级保护安全建设方案大纲 241
11．3．2 安全技术设计要求的核心思想 242
11．3．3 安全技术设计要求的主要内容 246
11．3．4 安全技术设计要求的安全管理部分 253
11．4 本章小结 253
参考文献 253
第 12章 已有系统等级保护安全整改方案设计 255
12．1 系统安全整改工作基本定位及目的 256
12．1．1 系统安全整改工作的基本定位 256
12．1．2 系统安全整改工作的目的 257
12．2 系统安全整改工作的内容及基本流程 257
12．2．1 系统安全整改工作的内容 257
12．2．2 系统安全整改工作的基本流程 258
12．3 系统安全整改方案设计 259
12．3．1 确定系统安全整改的安全需求 260
12．3．2 差距原因分析 260
12．3．3 分类处理的系统安全整改措施 261
12．3．4 系统安全整改措施的详细设计 262
12．4 系统安全整改工程实施和项目管理 262
12．5 本章小结 263
参考文献 263
第 13章 典型的安全设计技术框架 265
13．1 通用网络安全等级保护安全技术设计框架 266
13．2 云计算等级保护安全技术设计框架 270
13．3 移动互联等级保护安全技术设计框架 275
13．4 物联网等级保护安全技术设计框架 277
13．5 工业控制等级保护安全技术设计框架 279
13．6 本章小结 282
参考文献 282
第 14章 重要行业网络安全等级保护建设案例 285
14．1 广播电视台安全等级保护建设案例 286
14．1．1 建设范围与系统介绍 286
14．1．2 业务流程及安全需求描述 288
14．1．3 分层分域设计 288
14．1．4 安全机制及策略设计 289
14．2 云计算虚拟化环境中的安全等级保护实例 292
14．2．1 云计算的定义 293
14．2．2 云计算安全 294
14．2．3 云安全服务模型 295
14．2．4 等级保护面临的挑战 296
14．2．5 云计算在电力行业的应用 298
14．2．6 等级保护电力云安全策略设计 301
14．2．7 基于云安全模型的信息安全等级测评 304
14．3 工业控制系统安全等级保护建设案例 305
14．3．1 工业控制系统等级保护1．0的建设状况 305
14．3．2 工业控制系统的等级保护2．0需求 306
14．3．3 等级保护2．0下工业控制系统安全新要求 308
14．3．4 等级保护2．0下能源工业控制系统安全体系建设案例 309
14．3．5 等级保护2．0下的能源网络安全方针 310
14．4 互联网企业等级保护建设与测评整改案例 311
14．4．1 《中华人民共和国网络安全法》的强制性合规要求以及监管检查 311
14．4．2 专项检查工作流程 311
14．4．3 腾讯等级保护工作 312
14．4．4 腾讯等级保护工作成效 313
14．5 本章小结 313
参考文献 314
名词索引 317