等级保护测评理论及应用
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

前言

网络安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。没有网络安全,就没有国家安全。《中华人民共和国网络安全法》第二十一条明确指出:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,将网络安全等级保护上升到法律高度。网络安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。

为组织各单位、各部门开展网络安全等级保护工作,公安部和标准化工作部门组织制定了网络安全等级保护工作的一系列标准,形成网络安全等级保护标准体系,为开展网络安全等级保护工作提供了标准保障。而且,为适应新技术的发展,满足云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护于2019年12月1日正式进入2.0时代,这为贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标奠定了基础。等级保护2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖,定级对象更为广泛,包含信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。

自从1994年国务院147号令第一次提出等级保护的概念以来,等级保护工作得到政府、金融、教育、能源等各行各业的广泛认可。公安机关、行业主管部门、信息系统运营使用单位、网络安全等级测评机构等成为网络安全等级保护工作的执行主体,其中公安机关主要承担监督检查工作,同时负责管理测评机构以及各单位的系统定级备案;网络安全等级测评机构主要承担系统测评工作;信息系统运营使用单位对系统安全负主要责任,负责定级、备案、建设整改。而且,随着云计算、物联网、移动互联、边缘计算技术的快速发展,人类进入以大数据、万物互联及人工智能+为特点的新时代,新型应用不断涌现,企业越来越多的业务转移到网络平台,核心业务的正常运营离不开安全可靠的信息系统支撑。结合近些年的工作实践,在国家出版基金的支持下,编写了这本书。

本书对等级保护的基础理论以及应用进行阐述,围绕等保规定动作进行详细说明,尤其是网络安全等级保护的基本要求、测评要求,同时提供与等级保护工作相关的工具及知识库。本书是一本系统化、全面化介绍网络安全等级保护理论及应用的书籍,便于网络空间安全从业人员了解等级保护工作的必要性及重要意义,掌握等级保护政策及标准体系,学习等级保护测评的基本知识,指导信息安全专业相关人员实现更好的安全保障。

本书第1章从常见信息系统技术架构的安全需求出发,引出信息安全评估的必要性及框架,包括信息安全评估的发展演化、评估模型及要素等,进一步介绍网络安全等级保护理论体系,给出等级测评理论研究进展及发展趋势。第2章为等级保护的基础理论及核心模型,介绍PDCA过程模型、IATF保护框架、P2DR动态防御模型、风险评估理论、层次分析法和本体论,并介绍理论模型与等保工作的结合。第3章介绍等级保护的信息系统安全定级与备案,这是等级保护的首要环节,包括安全等级划分的含义、定级原则与方法以及系统备案含义与流程等。第4章为网络安全等级保护的基本要求,是等级测评机构判定信息系统是否符合等级保护要求的依据,对通用要求和新型应用系统的扩展要求进行解读。第5章介绍被测对象系统的采集技术,包括信息踩点、端口扫描、操作系统识别技术以及基本信息调查表,这是测评对象选择、测试工具接入以及开发测评指导书的基础知识。第6章介绍安全漏洞检测及渗透测试技术,包括主动模拟攻击式、主动查询式、被动监听式等多种漏洞检测技术,以及Web渗透测试。漏洞检测与渗透测试是等级测评工作中必不可少的活动,通过渗透测试技术验证扫描发现漏洞的有效性。第7章为脆弱性关联分析技术,即攻击图生成技术及应用,包括攻击图概念、类型、生成工具及分析方法,并将等级测评的单风险点分析拓展到孤立风险点的关联分析。第8章为等级测评相关工具及知识库,介绍应用、主机、数据库、源码、渗透测试、App等不同层次的安全漏洞检测工具,还介绍了国内外主流的漏洞知识库,诸如CVE、CNVD等,本章内容为等级测评工作提供支撑。第9章为等级保护测评的典型应用,介绍了测评对象选择原则、测评指标的确定方法、漏洞扫描测试点的确定等,对云租户、工业控制系统的测评关键技术点进行详细介绍,帮助读者掌握等级测评实施方法,将等级测评理论方法应用于实践中。第10章分析等级测评面临的挑战,尤其是新型系统的测评标准及测评能力有待完善、面向新型技术的安全测评规范缺失以及新型智能算法带来的隐私问题,最后展望等级测评的未来发展趋势。

本书既可作为信息系统安全管理人员、等级测评机构人员的技术参考书,也可作为高等院校网络空间安全及相关专业的本科生和研究生教材。本书不仅系统介绍了等级保护工作的重要性、发展历史、核心理论模型、标准体系、关键技术,还介绍了掌握等级测评实践应用、发展现状及新技术新环境带来的挑战等。同时,本书提供等级测评所需的系列核心工具,尤其是渗透测试、漏洞检测工具、网络安全知识图谱,涵盖Windows系统、Linux系统、Web应用、数据库等,这对于安全工程师、等级保护相关人员而言具有参考价值。另外,本书注重通过实际应用案例介绍具体的实施,对于等级建设与等级测评工作的开展具有一定的参考价值。本书提供书中缩略词及解释,可通过封底给出的方式下载。

上海交通大学李建华教授、陈秀真副教授担任本书的主编,主持制定编写大纲,并对全书进行统稿和修改。张保稳老师负责编写第1章,陈秀真老师负责编写第2章、第7章和第8章,朱赟老师负责编写第3章、第4章,银鹰老师负责编写第5章、第6章和第9章,周志洪老师负责编写第10章。其中,孙康康博士对第2章、第8章、第9章,颜星辰老师对第5章、第6章,段圣雄老师对第9章的撰写给予大力支持。李建华教授、银鹰老师对本书的提纲规划给出宝贵意见。

由于时间仓促以及编者知识水平所限,书中难免存在不妥和错误之处,希望读者不吝指教,以期再版修订。

编者

上一章目录下一章