1、第 1 章 网络安全概论 I 网络安全战略丛书 网络安全管理 刘运席 主 编 网络安全管理 II 内 容 简 介 本书共分 11 章,主要包括网络安全概论、网络安全等级保护的定级、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全建设管理、安全策略和管理制度、安全管理机构和人员、安全运维管理、法律法规汇编等。本书既可作为机关和企事业单位从事网络安全管理的人员的自学和参考用书,也可作为高等院校网络安全相关专业的教学用书,或者作为社会培训机构的培训用书,是一本内容全面、实用性强、易教易学的有益读物。未经许可,不得以任何方式复制或抄袭本书之部分或全部内容。版权所有,侵权必究。图书在
2、版编目(CIP)数据 网络安全管理刘运席主编.北京:电子工业出版社,2018.12 ISBN 978-7-121-34686-6.网 .刘 .计算机网络网络安全 .TP393.08 中国版本图书馆 CIP 数据核字(2018)第 147687 号 策划编辑:朱怀永 责任编辑:底 波 印 刷:北京虎彩文化传播有限公司 装 订:北京虎彩文化传播有限公司 出版发行:电子工业出版社 北京市海淀区万寿路 173 信箱 邮编 100036 开 本:787980 1/16 印张:15.50 字数:390 千字 版 次:2018 年 12 月第 1 版 印 次:2018 年 12 月第 1 次印刷 定 价:4
3、1.80 元 凡所购买电子工业出版社图书有缺损问题,请向购买书店调换。若书店售缺,请与本社发行部联系,联系及邮购电话:(010)88254888,88258888。质量投诉请发邮件至 ,盗版侵权举报请发邮件至 。本书咨询联系方式:(010)88254608 或 。第 1 章 网络安全概论 III 本书编委会 主 编:刘运席 副主编:高 强 王 君 王 鹏 李志国 王 栋 谢 斌 张朝伦 李大涛 刘 文 编 委:侯 杰 韩利剑 王存祥 谢文赞 刘继京 赵 煜 王立春 檀吉波 网络安全管理 IV 第 1 章 网络安全概论 V 当前,网络空间和国家的发展、国家的安全以及国民的生活联系越来越紧密。信息
4、化已深入人们工作、学习和生活的各个方面,深刻改变了人们的生活方式和生活习惯。网络空间已经成为广大人民共同的精神家园。网络空间天朗气清、生态良好,才能符合人民利益和精神追求。树立正确的网络安全观,加快构建网络安全保障体系,全天候、全方位感知网络安全态势,增强网络安全的防御能力和威慑能力,对建设网络强国意义重大。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任已经是政府、企业、社会组织、广大网民的共识。而做好网络安全工作,从来不是一件容易的事情,需要广大人民共同地不懈努力。我国网络安全法明确规定,“国家实行网络安全等级保护制度。”网络运营者应当按照网络安全等级保护制度的要求,“保障网络
5、免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取篡改”。而如何遵从我国法律法规,落实网络安全等级保护工作要求,提高工作效率、降低工作强度和压力,需要参考一些成功的经验和借鉴一些方法和理论上的指导。这也是许多网络的运营者、使用者迫切的需求。本书编写组成员大都为网络安全管理和服务的一线工作者,他们深知做好网络安全工作的重要性,也经历过工作中因为缺乏基础知识和实践经验带来的困惑和难题。他们的经验总结对于广大网络安全从业者实践网络安全管理工作是非常宝贵的。随着中华人民共和国网络安全法(以下简称网络安全法)的逐步深入实施,关键信息基础设施安全保护条例已经进入送审阶段;网络安全等级保护条例(征
6、求意见稿)已经和大家见面;信息安全技术云计算服务安全指 网络安全管理 VI 南系列标准(以下简称等保 2.0)在大力推进并陆续发布中,有效推动了网络运营者的信息系统合法、合规、合标的规范化。大家也越来越认识到等级保护工作的重要性,等级保护制度上升到法律要求层面后,已成为我们做好网络安全保障的一项基本工作。本书以等保 2.0 为主线,以等级保护三级信息系统为案例,分别从管理和技术角度阐述了网络安全的主要安全风险、安全管理目标、安全保障要求和应实行的安全措施等。本书的最大特点是将网络安全等级保护要求在技术和管理上有机地结合在一起,针对不同要求逐条分析。既比较系统完整地介绍了如何遵循法律法规进行管理
7、,又尝试为读者解读如何执行等级保护的网络安全的相关技术标准,从而实现网络安全管理能力和技术水平两方面的提升。信息化技术及应用的发展令人目不暇接,我国当前也正处于一个高速发展阶段,各方面要素都变化极快,书中涉及内容广泛,难以对所有的网络安全保护需求都做到滴水不漏,难免会有不妥或已经过时之处,希望大家在阅读时以与时俱进的态度分析汲取有益的经验和知识,相信本书会对大家的工作学习提供很好的帮助。网络安全工作任重而道远,让我们不忘初心,牢记使命,砥砺前行,为构建健康和谐的网络环境,为将我们伟大的国家建设成网络强国而共同努力。二一八年八月十五日 目 录 VII 第 1 章 引 言/1 第 2 章 网络安全
8、等级保护的定级/3 2.1 网络安全等级保护及发展历程/3 2.2 网络安全定级的意义/4 2.3 网络安全定级的依据/5 2.4 网络安全定级的流程/8 2.4.1 确定网络安全等级保护对象/9 2.4.2 初步确定网络安全保护等级/11 2.4.3 专家评审/13 2.4.4 主管部门审核/14 2.4.5 公安机关备案审查/14 2.4.6 等级变更/14 第 3 章 物理和环境安全/15 3.1 物理和环境安全风险/15 3.2 物理和环境安全目标/15 3.3 物理和环境安全要求/15 3.4 物理和环境安全措施/17 第 4 章 网络和通信安全/25 4.1 网络和通信安全风险/2
9、5 网络安全管理 VIII 4.2 网络和通信安全目标/25 4.3 网络和通信安全要求/26 4.4 网络和通信安全措施/28 4.4.1 网络架构安全措施/28 4.4.2 通信传输安全措施/29 4.4.3 边界防护安全措施/31 4.4.4 访问控制安全措施/33 4.4.5 入侵防范安全措施/41 4.4.6 恶意代码防范安全措施/45 4.4.7 网络安全审计措施/49 4.4.8 集中管控安全措施/50 第 5 章 设备和计算安全/53 5.1 设备和计算的安全风险/53 5.2 设备和计算安全防护目标/53 5.3 设备和计算安全要求/54 5.4 设备和计算安全措施/55 第
10、 6 章 应用和数据安全/64 6.1 应用和数据安全面临的风险/64 6.2 应用和数据安全防护目标/65 6.3 应用和数据安全要求/66 6.4 应用和数据安全措施/70 6.5 Web 应用防护/77 6.5.1 Web 应用安全概述/78 6.5.2 Web 应用面临的主要风险和漏洞/78 6.5.3 Web 应用安全防护关键点分析/79 6.5.4 主要 Web 应用防护工具/80 目 录 IX 第 7 章 安全建设管理/83 7.1 安全建设管理风险/83 7.2 安全建设管理目标/83 7.3 安全建设管理要求/83 7.4 安全建设管理措施/86 第 8 章 安全策略和管理制
11、度/94 8.1 安全策略和管理制度的风险/94 8.2 安全策略和管理制度的目标/95 8.3 安全策略和管理制度的要求/95 8.4 安全策略和管理制度的措施/96 8.4.1 安全策略的措施/96 8.4.2 安全管理制度的措施/101 第 9 章 安全管理机构和人员/108 9.1 安全管理机构和人员风险/108 9.2 安全管理机构和人员管理目标/108 9.3 安全管理机构和人员管理要求/108 9.4 安全管理机构和人员管理措施/111 第 10 章 安全运维管理/122 10.1 安全运维管理风险/122 10.2 安全运维管理目标/122 10.3 安全运维管理要求/122
12、10.4 安全运维管理措施/126 10.4.1 环境管理安全措施/126 10.4.2 资产管理安全措施/129 10.4.3 介质管理安全措施/130 10.4.4 设备维护管理安全措施/133 10.4.5 漏洞和风险管理安全措施/135 网络安全管理 X 10.4.6 网络和系统安全管理/136 10.4.7 恶意代码防范管理安全措施/137 10.4.8 配置管理安全措施/138 10.4.9 密码管理安全措施/139 10.4.10 变更管理安全措施/139 10.4.11 备份与恢复管理/141 10.4.12 安全事件处置/142 10.4.13 应急预案管理/143 10.4
13、.14 外包运维管理/163 第 11 章 法律法规汇编 /165 11.1 法律/165 11.1.1 全国人民代表大会常务委员会关于维护互联网安全的决定/165 11.1.2 全国人民代表大会常务委员会关于加强网络信息保护的决定/167 11.1.3 中华人民共和国网络安全法/168 11.2 行政法规/180 11.2.1 中华人民共和国计算机信息系统安全保护条例/180 11.2.2 中华人民共和国计算机信息网络国际联网管理暂行规定/183 11.2.3 计算机信息网络国际联网安全保护管理办法/185 11.3 部门规章/189 11.3.1 计算机信息系统安全专用产品检测和销售许可证
14、管理办法/189 11.3.2 信息安全等级保护管理办法/192 11.3.3 国家电子政务工程建设项目管理暂行办法/200 11.3.4 互联网域名管理办法/215 11.4 政策文件/224 11.4.1 风险评估相关政策/224 11.4.2 工控安全相关政策/228 11.4.3 物联网安全相关政策/231 参考文献/236 第 1 章 网络安全概论 1 第 1 章 引 言 纵观历史长河,互联网无疑是个新事物。站在现实的视角,互联网正成为新的引擎,放眼未来的发展,互联网必将播撒新希望。以互联网为代表的信息科技日新月异,引领了社会生产新变革,创造了人类生活新空间,拓展了国家治理新领域,极
15、大提高了人类认识世界、改造世界的能力,也为中华民族带来了千载难逢的发展机遇。我们必须敏锐抓住信息化发展的历史机遇,重视互联网、发展互联网、治理互联网。然而,万事都有正反两面,在互联网如火如荼快速发展的同时,网络安全问题日渐突出,已经成为阻碍信息产业发展、影响经济社会稳定运行、损害人民群众财产和信息安全的重大问题。维护网络安全已经成为我国推进网络强国建设伟大进程中面临的重要现实课题。党的十八大以来,习近平总书记准确把握时代大势,积极回应实践要求,站在战略高度和长远角度指导网络安全和信息化工作,在多个场合发表有关我国网信工作发展的重要论述,为建设网络强国指明方向。没有网络安全就没有国家安全,没有信
16、息化就没有现代化。网络安全和信息化是关系国家安全、国家发展和广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局、统筹各方、创新发展,努力把我国建设成为网络强国。网络安全和信息化对国家很多领域都是牵一发而动全身的,要认清我们面临的形势和任务,充分认识做好工作的重要性和紧迫性,因势而谋,应势而动,顺势而为。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。有鉴于此,全国上下已将网络安全和信息化工作提高到战略的高度,建设“网络强国”已成为中国梦的重要组成部分。做好网络安全工作,落实网络安全等级保护制度是起点,也是重中之重的基础工作;等级保护制度既是要求和指导,也是无数网络安全工作人员经验的积累,可以让我们少走弯路。网络安全等级保护制度是国家信息安全保障工作的基本制度、基本国策和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利网络安全管理 2 益的根本保障。国家法规和系列政策文件明确规定,实现并完善
