本书基于《网络安全法》以及近年来修订的网络安全等级保护新标准,结合网络安全等级测评工作实践,对网络安全等级保护测评工作的主要内容和方法进行了介绍。本书根据网络安全等级测评师(中级)岗位的特点和能力要求进行编写,用于指导等级测评人员开展网络安全等级测评工作。
公安部第三研究所主要从事网络安全与智慧警务科研创新与技术支撑,在警务信息智能感知、警务数据安全共享、违法犯罪监测预警等优势研究领域有着长期的积累,在网络安全、国产密码、电子取证、等级保护、大数据分析、智能安防、毒品检测等领域着力部署,提供核心关键技术支撑与系统解决方案,在公共安全领域具备强大的智能装备制造和系统集成的产业化能力。
第1章 等级保护标准体系 1
1.1 体系结构 1
1.1.1 层次关系 3
1.1.2 序列关系 3
1.2 标准明细 4
1.3 主要标准概述 7
1.3.1 《划分准则》 7
1.3.2 《实施指南》 8
1.3.3 《定级指南》 9
1.3.4 《基本要求》 10
1.3.5 《安全设计技术要求》 11
1.3.6 《测评要求》 12
1.3.7 《测评过程指南》 13
第2章 《实施指南》解读 15
2.1 概述 15
2.1.1 范围与作用 15
2.1.2 与其他标准的关系 16
2.1.3 修订思路 17
2.1.4 主要修订内容 18
2.1.5 框架结构 20
2.2 描述框架 20
2.3 等级保护基本流程 21
2.3.1 基本实施流程 21
2.3.2 等级保护对象的定级与备案 23
2.3.3 总体安全规划 24
2.3.4 安全设计与实施 25
2.3.5 安全运行与维护 26
2.3.6 定级对象终止 27
第3章 《定级指南》解读 28
3.1 概述 28
3.1.1 标准定位 28
3.1.2 修订背景 28
3.1.3 主要修订内容 29
3.1.4 框架结构 29
3.2 基本概念 30
3.2.1 等级保护对象 30
3.2.2 安全保护等级 31
3.2.3 定级要素 32
3.3 定级流程 34
3.3.1 定级时机 34
3.3.2 一般流程 34
3.3.3 补充说明 35
3.4 确定定级对象 35
3.4.1 信息系统 35
3.4.2 通信网络设施 38
3.4.3 数据资源 39
3.5 确定安全保护等级 39
3.5.1 初步确定等级 39
3.5.2 定级核准与审核 41
3.5.3 特殊对象的定级说明 41
3.6 定级调整 42
3.7 定级报告编制 42
3.7.1 定级对象描述 42
3.7.2 安全保护等级确定 43
第4章 《基本要求》解读 45
4.1 概述 45
4.1.1 修订背景 45
4.1.2 修订过程 45
4.1.3 主要变化 46
4.2 描述模型 47
4.2.1 等级保护对象 47
4.2.2 安全保护能力 48
4.2.3 安全要求分类 49
4.3 逐级增强的特点 51
4.3.1 总体描述 51
4.3.2 控制点增加 51
4.3.3 要求项增加 52
4.3.4 控制强度增强 53
4.4 各级安全要求 53
4.4.1 安全通用要求 53
4.4.2 安全扩展要求 59
4.5 安全要求的选择和使用 63
第5章 《安全设计技术要求》解读 67
5.1 概述 67
5.1.1 标准定位 67
5.1.2 修订背景 67
5.1.3 主要修订内容 68
5.1.4 具体内容 68
5.2 核心技术思想 69
5.2.1 安全环境描述 69
5.2.2 安全防护模型 70
5.2.3 核心技术理念 71
5.3 设计框架 72
5.3.1 通用安全技术设计框架 72
5.3.2 云计算安全技术设计框架 73
5.3.3 移动互联安全技术设计框架 74
5.3.4 物联网安全技术设计框架 75
5.3.5 工业控制系统安全技术设计框架 76
5.4 设计策略 77
5.5 设计技术要求 78
5.5.1 通用安全设计技术要求 78
5.5.2 云计算安全设计技术要求 81
5.5.3 移动互联系统安全设计技术要求 83
5.5.4 物联网安全设计技术要求 85
5.5.5 工业控制系统安全设计技术要求 86
5.6 结构化设计 88
5.7 定级系统互联设计 90
5.8 定级系统安全保护环境设计示例 91
第6章 《测评要求》解读 94
6.1 范围和定位 94
6.2 主要修订内容 94
6.3 内容结构 97
6.4 等级测评框架 98
第7章 《测评过程指南》解读 100
7.1 概述 100
7.1.1 标准范围与作用 100
7.1.2 与其他标准的关系 101
7.1.3 编制思路 101
7.1.4 主要修订内容 102
7.1.5 框架结构 104
7.2 等级测评的特点 106
7.3 等级测评工作要求 106
7.3.1 主要工作要求 106
7.3.2 存在的风险 108
7.3.3 风险的规避 108
7.4 基本工作过程和方法 110
7.4.1 基本工作流程 110
7.4.2 测评准备活动 112
7.4.3 方案编制活动 112
7.4.4 现场测评活动 112
7.4.5 报告编制活动 113
第8章 测评准备 114
8.1 工作流程 114
8.2 工作启动 115
8.3 信息收集和分析 116
8.3.1 调查表设计 117
8.3.2 调查表填写 117
8.3.3 调查结果分析 119
8.4 工具和表单准备 120
8.5 常见问题及解决方法 121
第9章 测评方案编制 122
9.1 工作流程 122
9.2 测评对象确定 124
9.3 测评指标确定 126
9.4 测评内容确定 129
9.5 工具测试方法确定 129
9.6 测评指导书开发 130
9.6.1 测评指导书概述 130
9.6.2 测评指导书开发要求 130
9.6.3 测评指导书开发说明 132
9.7 测评方案文本编制 135
9.7.1 概述 135
9.7.2 测评方案架构 136
9.7.3 测评方案编制说明 136
9.7.4 测评方案编制示例 140
9.8 常见问题及解决方法 151
第10章 安全技术测评 152
10.1 安全物理环境测评 152
10.1.1 物理位置选择 152
10.1.2 物理访问控制 153
10.1.3 防盗窃和防破坏 154
10.1.4 防雷击 155
10.1.5 防火 156
10.1.6 防水和防潮 157
10.1.7 防静电 158
10.1.8 温湿度控制 159
10.1.9 电力供应 160
10.1.10 电磁防护 161
10.2 安全通信网络测评 162
10.2.1 网络架构 162
10.2.2 通信传输 164
10.2.3 可信验证 165
10.3 安全区域边界测评 166
10.3.1 边界防护 166
10.3.2 访问控制 167
10.3.3 入侵防范 169
10.3.4 恶意代码和垃圾邮件防范 170
10.3.5 安全审计 171
10.3.6 可信验证 173
10.4 安全计算环境测评 174
10.4.1 身份鉴别 174
10.4.2 访问控制 175
10.4.3 安全审计 177
10.4.4 入侵防范 178
10.4.5 恶意代码防范 179
10.4.6 可信验证 180
10.4.7 数据完整性 182
10.4.8 数据保密性 183
10.4.9 数据备份恢复 184
10.4.10 剩余信息保护 185
10.4.11 个人信息保护 186
10.5 安全管理中心测评 187
10.5.1 系统管理 187
10.5.2 审计管理 188
10.5.3 安全管理 189
10.5.4 集中管控 190
第11章 安全管理测评 192
11.1 安全管理制度 192
11.1.1 安全策略 193
11.1.2 管理制度 194
11.1.3 制定和发布 195
11.1.4 评审和修订 195
11.2 安全管理机构 196
11.2.1 岗位设置 197
11.2.2 人员配备 198
11.2.3 授权和审批 199
11.2.4 沟通和合作 200
11.2.5 审核和检查 200
11.3 安全管理人员 201
11.3.1 人员录用 202
11.3.2 人员离岗 203
11.3.3 安全意识教育和培训 204
11.3.4 外部人员访问管理 204
11.4 安全建设管理 205
11.4.1 定级和备案 207
11.4.2 安全方案设计 207
11.4.3 产品采购和使用 208
11.4.4 自行软件开发 209
11.4.5 外包软件开发 210
11.4.6 工程实施 210
11.4.7 测试验收 211
11.4.8 系统交付 212
11.4.9 等级测评 213
11.4.10 服务供应商管理 214
11.5 安全运维管理 215
11.5.1 环境管理 216
11.5.2 资产管理 217
11.5.3 介质管理 218
11.5.4 设备维护管理 218
11.5.5 漏洞和风险管理 219
11.5.6 网络和系统安全管理 220
11.5.7 恶意代码防范管理 221
11.5.8 配置管理 222
11.5.9 密码管理 222
11.5.10 变更管理 223
11.5.11 备份与恢复管理 224
11.5.12 安全事件处置 224
11.5.13 应急预案管理 225
11.5.14 外包运维管理 226
第12章 测评报告编制 227
12.1 工作流程 227
12.2 单项测评结果判定 228
12.3 整体测评结果分析 231
12.4 安全问题风险分析 231
12.5 等级测评结论形成 231
12.6 测评报告编制 232
12.6.1 测评报告架构 233
12.6.2 测评报告编制说明 233
12.6.3 测评报告编制示例 235
12.7 常见问题及解决方法 237
附录A 项目计划书模板 238
附录B 等级保护对象基本情况调查表模板 240
附录C 网络安全等级测评方案模板 247
附录D 测评现场记录表模板 256
新书资讯
