书籍详情

网络安全等级化保护原理与实践

网络安全等级化保护原理与实践

作者:安辉耀 著

出版社:人民邮电出版社

出版时间:2020-12-01

ISBN:9787115553553

定价:¥198.00

购买这本书可以去
内容简介
  本书阐述了网络安全对国家各方面的重大影响及在国家安全中的重要地位,总结了等级保护思想的起源和发展历程;全面系统地介绍了我国在等级保护方面的创新成果:适合我国国情的全新的等级化保护体系架构、组成部分和设计原理,以及构建等级防御体系和实施等级保护的一般流程和方法,阐述了如何应用工程方法的原理来设计、建设新建网络信息系统的安全防御体系和已有网络信息系统的安全防御体系;同时介绍了依据等级保护2.0技术设计框架的基本要求设计的几个典型行业的等级保护体系。本书可以作为网络安全专业本科和硕士研究生教材,也可以作为网络安全工程技术人员的参考书籍。
作者简介
  安辉耀博士,北京大学软件与微电子学院教授、中证技术有限责任公司副总经理,长期从事计算机网络与数据通信、网络安全、金融科技等研发、教学与科研管理工作。近年来主持或参与国家863计划项目、国家973计划项目和国家自然科学基金等科研项目20余项,近五年发表论文20余篇、专利10余项,获科技成果奖10余项。沈昌祥中国工程院院士,国家信息化专家咨询委员会委员,国家三网融合专家组成员,国家集成电路产业发展咨询委员会委员,国家保密战略专家咨询委员会主任委员,国家信息安全等级保护安全建设指导专家委员会主任委员,主要从事计算机信息系统、密码工程、信息安全体系结构、系统软件安全、网络安全等方面的研究工作。先后完成了重大科研项目20余项,取得了一系列重要成果,曾获国家科学技术进步奖一等奖2项、二等奖2项、三等奖3项,获军队科学技术进步奖10余项。2002年荣获第四届光华工程科技奖,2016年荣获首届中国网络安全杰出人才奖。张鹏北京大学计算机应用专业硕士,长期从事信息安全方面的工作,参加或主持多个信息安全重大项目的设计与研发工作。杨卫军博士,公安部第一研究所研究员、信息安全技术部副主任,中国人民大学网络犯罪与安全研究中心兼职研究员,北京警察学院兼职教授。中国计算机学会计算机安全专业委员会委员、中国中文信息学会大数据安全与隐私计算专业委员会委员。主要研究领域为信息系统安全、数据安全、电子数据取证与司法鉴定等。主持***、省部级课题10余项,发表学术论文10余篇,参与国家及行业标准编制10余项。刘敦伟中国航天科工集团第二研究院未来实验室副主任设计师,主要从事信息安全、量子信息等领域的研究工作,主持或参与***、省部级科研课题多项,发表学术论文10余篇,出版专著2部。李挥北京大学教授、博士生导师,国家重大科技基础设施——未来网络试验实施专家组成员,北京大学创新实验室主任,工业和信息化部主管拟态技术与产业创新同盟副理事长。获得《科学中国人》2017年度人物奖。俞枫博士,教授级高级工程师、行业信息化资深专家,国泰君安证券股份有限公司首席信息官,兼任证券期货业协会信息技术专家委员会委员、金标委委员、证标委委员,中国金融学会金融科技专业委员会副主任委员,中国证券业协会信息技术专业委员会副主任委员,金融科技创新联盟副理事长等。主持制定了15项行业技术标准,获得省部级科学技术奖18项,发表学术论文20余篇,承接了几十项政府、行业的研究课题。曾琦女,博士,国家发展和改革委员会国际合作中心特约研究员、中国康复技术转化及发展促进会专家委员、全国卫生产业企业管理协会专家委员。主要从事大数据和信息治理研究。
目录
目 录
第 1章 网络安全概述 001
1.1 引言 002
1.1.1 网络空间已经融入人们生活的方方面面 002
1.1.2 网络空间的安全威胁日趋激烈 004
1.2 网络安全在国家安全中的重要作用和战略地位 006
1.2.1 网络安全对国家政治的影响 006
1.2.2 网络安全对国家经济的影响 008
1.2.3 网络安全对国家文化的影响 010
1.2.4 网络安全对国家军事的影响 011
1.3 网络安全面临的新挑战 013
1.4 我国的网络安全形势与困难 016
1.4.1 传统网络信息安全形势依然严峻 016
1.4.2 新型网络信息安全攻击形态集中涌现 017
1.4.3 现阶段我国企业网络信息安全发展存在的突出问题 018
1.4.4 我国的工业控制信息安全机遇与危机并存 019
1.4.5 我国网络信息安全人才发展矛盾突显 021
1.4.6 西方国家对我国网络信息安全的威胁加剧 022
1.5 本章小结 023
参考文献 023
第 2章 等级保护的起源、发展及我国的创新 025
2.1 网络安全等级保护思想的起源及发展 026
2.1.1 等级保护思想的起源 026
2.1.2 橘皮书和通用准则 028
2.1.3 等级保护架构的发展 029
2.1.4 等级保护体系的新综合 029
2.2 等级保护的基本思想 030
2.2.1 信息系统分级的思路 031
2.2.2 安全措施的选择 033
2.3 我国网络安全等级化创新发展历程 034
2.3.1 等级保护工作研究准备阶段 035
2.3.2 等级保护工作全面实施阶段 036
2.3.3 等级保护工作深化推进阶段(等级保护1.0) 037
2.3.4 等级保护工作改进完善阶段(等级保护2.0) 038
2.4 等级保护相关的法律法规和政策依据 038
2.4.1 法律依据 038
2.4.2 政策依据 040
2.5 我国网络安全等级保护制度的地位和作用 041
2.5.1 网络安全等级保护的重要意义 041
2.5.2 网络安全等级保护制度的地位和作用 042
2.5.3 等级保护工作中有关部门的责任和义务 043
2.6 本章小结 044
参考文献 045
第3章 等级保护基本要求 047
3.1 网络安全等级保护基本概念和内涵 048
3.1.1 基本概念 048
3.1.2 系统的重要程度等级 048
3.1.3 安全保护能力等级 049
3.1.4 监督管理强度等级 050
3.2 框架结构 051
3.3 描述模型 052
3.3.1 安全保护能力 053
3.3.2 安全要求 054
3.4 逐级增强的特点 056
3.4.1 增强原则 056
3.4.2 总体描述 056
3.4.3 控制点增加 058
3.4.4 要求项增加 059
3.4.5 控制强度增强 059
3.5 各级安全要求 060
3.5.1 技术要求 060
3.5.2 管理要求 062
3.6 等级保护2.0的调整 064
3.7 本章小结 067
参考文献 067
第4章 网络安全等级防御体系 069
4.1 等级化安全防御体系 070
4.1.1 保护对象框架 070
4.1.2 安全对策框架 071
4.1.3 等级化安全防御体系结构 073
4.2 等级防御体系设计方法及原则 074
4.2.1 安全体系设计原则 074
4.2.2 等级保护工作的主要环节 076
4.2.3 等级化安全防御体系设计流程 078
4.3 安全组织体系设计 079
4.3.1 等级保护组织体系结构 079
4.3.2 安全管理机构 081
4.3.3 安全管理人员 088
4.4 本章小结 090
参考文献 090
第5章 保护对象体系设计 093
5.1 信息系统抽象模型 094
5.2 保护对象框架建立 095
5.2.1 信息系统模型化处理 096
5.2.2 安全域的划分 099
5.2.3 保护对象分类 100
5.2.4 保护对象划分方法 101
5.2.5 系统分域保护框架 102
5.2.6 保护对象等级化划分 102
5.3 本章小结 103
参考文献 104
第6章 安全策略体系设计 105
6.1 安全策略体系基本概念和内涵 106
6.1.1 安全策略基本概念 106
6.1.2 安全策略主要内容和措施 107
6.2 定级策略 112
6.2.1 定级范围 113
6.2.2 等级划分 113
6.2.3 不同等级的安全保护能力 113
6.3 等级保护评估策略 115
6.3.1 评估指标选择和组合 115
6.3.2 现状与评估指标对比 116
6.3.3 额外/特殊风险评估 116
6.3.4 综合评估分析 119
6.4 安全规划设计策略 120
6.4.1 系统等级化模型处理 121
6.4.2 总体安全策略设计 121
6.4.3 各级系统安全技术措施设计 121
6.4.4 系统整体安全管理策略设计 122
6.4.5 设计结果文档化 122
6.5 等级保护测评策略 123
6.6 实施与运维要求策略 123
6.7 备案与管理策略 124
6.7.1 对涉密信息系统的管理 124
6.7.2 信息安全等级保护的密码管理 126
6.8 本章小结 127
参考文献 127
第7章 安全技术体系设计 129
7.1 通用定级要素 130
7.1.1 确定受侵害的客体 130
7.1.2 确定对客体的侵害程度 131
7.2 通用定级方法 131
7.2.1 确定定级对象 132
7.2.2 信息系统的基本属性 133
7.2.3 定级流程 134
7.3 涉密信息系统的等级保护 135
7.4 安全技术体系结构设计步骤与内容 136
7.4.1 安全技术体系结构设计步骤 136
7.4.2 物理环境安全防护 137
7.4.3 计算环境安全防护 139
7.4.4 区域边界安全防护 144
7.4.5 通信网络安全防护 147
7.4.6 存储安全防护 151
7.4.7 安全计算环境监控子系统 151
7.4.8 安全管理中心防护 153
7.5 本章小结 155
参考文献 155
第8章 等级保护运作体系设计 157
8.1 运作体系及其组成 158
8.2 定级阶段 159
8.2.1 定级和备案 159
8.2.2 定级准备 160
8.2.3 定级主要工作 164
8.3 总体安全规划阶段 165
8.3.1 安全等级评估 165
8.3.2 安全等级保护规划流程及过程 166
8.4 设计开发/实施阶段 166
8.4.1 安全方案设计 166
8.4.2 安全方案设计管理 167
8.4.3 产品采购和使用 167
8.4.4 自主软件开发 167
8.4.5 外包软件开发 168
8.4.6 工程实施 168
8.4.7 测试验收 168
8.4.8 系统交付使用 169
8.4.9 等级测评 169
8.4.10 安全服务商管理 169
8.5 运行维护阶段 170
8.5.1 环境管理 170
8.5.2 资产管理 171
8.5.3 介质管理 171
8.5.4 设备维护管理 171
8.5.5 网络和系统安全管理 172
8.5.6 恶意代码防范管理 173
8.5.7 密码使用管理 173
8.5.8 变更管理 174
8.5.9 备份与恢复管理 174
8.5.10 安全事件处置管理 174
8.5.11 应急预案管理 175
8.5.12 安全监控管理 175
8.6 系统终止阶段 176
8.7 本章小结 176
参考文献 176
第9章 等级保护实施的一般流程及方法 179
9.1 等级保护实施的基本流程 180
9.2 信息系统定级 181
9.2.1 定级流程 181
9.2.2 信息系统等级确定 182
9.2.3 定级报告 184
9.2.4 定级备案 185
9.3 差距分析 185
9.3.1 等级测评范围 185
9.3.2 等级测评内容 185
9.3.3 差距分析流程 186
9.4 体系咨询规划 188
9.4.1 渗透测试与安全加固 188
9.4.2 风险评估与合规性检测 193
9.4.3 安全体系咨询规划 193
9.4.4 解决方案设计 196
9.5 整改及集成实施 199
9.5.1 安全管理体系建设 199
9.5.2 安全技术体系建设 199
9.6 等级测评 199
9.7 安全运维 200
9.7.1 安全运维服务 200
9.7.2 监控应急 201
9.7.3 审计追查 202
9.8 本章小结 202
参考文献 202
第 10章 等级保护安全系统工程方法 205
10.1 传统工程建设方法 206
10.1.1 传统工程项目的生命周期 206
10.1.2 传统工程建设工作流程 207
10.2 系统安全工程方法 210
10.2.1 系统安全工程的定义 210
10.2.2 系统安全工程的目标及特点 211
10.2.3 系统安全工程的PDCA循环 212
10.2.4 系统安全工程能力成熟度模型 213
10.2.5 系统安全工程过程 217
10.3 等级保护的系统安全工程实施 218
10.3.1 系统安全工程实施工作的流程 219
10.3.2 系统安全工程实施工作的目标 220
10.3.3 系统安全工程实施工作的内容 220
10.3.4 系统安全工程实施工作的要求 221
10.3.5 系统安全保护能力目标 222
10.4 等级保护策略体系工程实施流程 223
10.4.1 网络安全管理现状分析 223
10.4.2 网络安全管理安全工程实施方案设计 223
10.4.3 网络安全管理策略落实方法 224
10.5 等级保护安全技术体系实施流程 226
10.5.1 网络安全技术现状分析 226
10.5.2 网络安全技术安全工程实施方案设计 227
10.5.3 网络安全技术安全工程实施和管理 230
10.6 本章小结 231
参考文献 231
第 11章 等级保护安全建设体系设计 233
11.1 网络安全等级保护安全建设需求分析 234
11.1.1 等级保护的一般安全建设需求 234
11.1.2 等级保护的系统特殊安全建设需求 238
11.2 新建系统等级保护安全建设方案设计 239
11.2.1 系统安全防护设计思路 239
11.2.2 系统安全防护设计 240
11.3 新建系统等级保护总体安全方案设计 241
11.3.1 网络安全等级保护安全建设方案大纲 241
11.3.2 安全技术设计要求的核心思想 242
11.3.3 安全技术设计要求的主要内容 246
11.3.4 安全技术设计要求的安全管理部分 253
11.4 本章小结 253
参考文献 253
第 12章 已有系统等级保护安全整改方案设计 255
12.1 系统安全整改工作基本定位及目的 256
12.1.1 系统安全整改工作的基本定位 256
12.1.2 系统安全整改工作的目的 257
12.2 系统安全整改工作的内容及基本流程 257
12.2.1 系统安全整改工作的内容 257
12.2.2 系统安全整改工作的基本流程 258
12.3 系统安全整改方案设计 259
12.3.1 确定系统安全整改的安全需求 260
12.3.2 差距原因分析 260
12.3.3 分类处理的系统安全整改措施 261
12.3.4 系统安全整改措施的详细设计 262
12.4 系统安全整改工程实施和项目管理 262
12.5 本章小结 263
参考文献 263
第 13章 典型的安全设计技术框架 265
13.1 通用网络安全等级保护安全技术设计框架 266
13.2 云计算等级保护安全技术设计框架 270
13.3 移动互联等级保护安全技术设计框架 275
13.4 物联网等级保护安全技术设计框架 277
13.5 工业控制等级保护安全技术设计框架 279
13.6 本章小结 282
参考文献 282
第 14章 重要行业网络安全等级保护建设案例 285
14.1 广播电视台安全等级保护建设案例 286
14.1.1 建设范围与系统介绍 286
14.1.2 业务流程及安全需求描述 288
14.1.3 分层分域设计 288
14.1.4 安全机制及策略设计 289
14.2 云计算虚拟化环境中的安全等级保护实例 292
14.2.1 云计算的定义 293
14.2.2 云计算安全 294
14.2.3 云安全服务模型 295
14.2.4 等级保护面临的挑战 296
14.2.5 云计算在电力行业的应用 298
14.2.6 等级保护电力云安全策略设计 301
14.2.7 基于云安全模型的信息安全等级测评 304
14.3 工业控制系统安全等级保护建设案例 305
14.3.1 工业控制系统等级保护1.0的建设状况 305
14.3.2 工业控制系统的等级保护2.0需求 306
14.3.3 等级保护2.0下工业控制系统安全新要求 308
14.3.4 等级保护2.0下能源工业控制系统安全体系建设案例 309
14.3.5 等级保护2.0下的能源网络安全方针 310
14.4 互联网企业等级保护建设与测评整改案例 311
14.4.1 《中华人民共和国网络安全法》的强制性合规要求以及监管检查 311
14.4.2 专项检查工作流程 311
14.4.3 腾讯等级保护工作 312
14.4.4 腾讯等级保护工作成效 313
14.5 本章小结 313
参考文献 314
名词索引 317
猜您喜欢

读书导航