前言

為什么要寫這本書？

隨著通信技術、計算機技術和網絡的發展，網絡用戶與日俱增，且全球數據量呈現爆炸式增長。而信息化蓬勃發展的同時信息安全問題也越來越嚴重。在信息全球化的世界，信息安全已經成為國家安全的一個非常重要的組成部分，并占有舉足輕重的戰略地位，對國家經濟安全、金融安全、國防安全、政治安全和文化安全都起到了重要作用。

等級保護是國家信息安全保障體系中的一項基礎性、制度性工作。自《國家信息化領導小組關于加強信息安全保障工作的意見》明確提出“實行信息安全等級保護”制度以來，國家主管部門陸續發布了一系列相關政策法規，推進信息安全等級保護工作的落實。

但是，等級保護的概念自20世紀90年代被提出以后，一直未能得到有效實行。其中的一個主要原因是等級保護的概念和安全要求復雜，如果沒有專業的安全知識和能力，用戶很難將其執行，這就造成了等級保護存在很高的技術門檻，難以在普通用戶中推廣實現。

在傳統的安全保障體系設計中，重點強調兩個方面：一是強調安全保障的深度；二是強調安全保障過程的完整性。依據這兩種模型所構建的安全保障體系都能夠實現對信息系統的保護，但是這些模型都存在一個重要問題，就是安全保障體系的設計僅針對防護措施構建，而沒有考慮到保護對象對安全措施的需求，重要信息系統和一般信息系統在安全保障上如何區別實現。那么怎樣才能將這兩點與等級保護更好地結合在一起呢？如果等級保護和這兩個模型不能有機地結合，不但不能做到安全的差異性和針對性保護，實現安全的精細化管理，反而會給網絡信息資源和信息安全帶來巨大的災難。

信息系統的差異性，使其安全要求的屬性和強度存在較大差異性；又出于經濟性的考慮，需要考慮信息安全要求與資金人力投入的平衡。設計安全保障措施時不能“一刀切”，必須考慮差異性和經濟性。一個信息系統需要安全措施的強度，與該系統所承擔的業務職能和系統的重要性有關。因此，將保護對象的重要程度納入安全保障體系設計，通過定義信息系統的安全等級、相應安全措施的等級，構建等級化安全體系，是完善信息安全保障體系設計的一種有效方法。

在等級化信息安全保障體系中，依據等級保護方法給信息系統劃分系統安全等級，再根據安全等級確定適當等級的安全措施，達到適度安全，才能真正做到合理的安全防護。這里面，分級分類是等級保護中的關鍵，如果分級分類不科學，就不可能采取適度安全的保障措施，有可能盲目地浪費資源，也有可能達不到目的。等級保護體系又是一個循環的過程，在建立起一個有效的、持續性的驗證方法后，確保信息系統在不斷發展的同時保障安全等級要求，并且通過進行不斷檢查，反復驗證安全的可靠性。

當前，到了信息安全等級保護2.0的時代，等級保護理論和實踐有了重大突破和進展，特別是云計算和大數據的興起對等級保護的實施提出了新的要求和挑戰，我們要進一步了解網絡空間的新特點和新趨勢，從而更好地做好信息系統的等級保護工作。

作為一名信息安全領域的專家，一直希望能為信息安全等級保護的實施做些有意義的工作，為貫徹落實等級化保護制度提供一些理論方面的分析和實踐方面的指導。

這本書到底寫了什么？

本書內容從等級化管理的歷史出發，描述了等級化保護的現狀以及今后的發展方向，說明了等級保護已經從一種專門用于軍事領域的技術思想發展為現在幾乎貫穿了信息安全保障方方面面的制度。隨后從等級化安全保障體系和等級保護對象兩個角度分別進行闡述，具體解析了等級化安全保障體系的結構以及框架，探討了等級保護安全體系設計的方法原則，并詳細介紹了安全組織體系設計，同時也對保護對象的分類和如何保護進行了詳細說明。接著，本書從等級保護的策略體系、技術體系以及運作體系3個方面分別著手，介紹了3種體系的主要內容、設計方法以及具體流程。

等級化保護要立足于需求和現狀來實現。于是本書從國家對信息安全等級保護的基本要求和規范著手，詳細解讀了國家在這方面的要求，幫助讀者更好地理解國家信息安全等級保護策略。接著研究了綜合評價指標體系建立的基本原則和一般流程，結合了定性定量兩種方法，把各種要素有機融合，給出了一個系統定級量化計算方法。

接著對信息安全等級保護風險分與評估的各方面內容進行了分析，結合《信息安全技術信息系統安全等級保護基本要求》（GBT 22239-2008）、《信息安全技術信息系統安全等級保護測評要求》、《信息安全技術信息系統安全等級保護測評過程指南》等指南對測評指標體系進行了進一步的延伸和優化。然后介紹了等級化管理實施的基本流程，并對各個階段進行了深入探討。

從理論上具體論述了等級化保護之后，本書提供了一個實例。通過運用前文提出的測評指標體系與綜合評價方法，對一個省級電信計費系統的安全等級值進行了計算，從而驗證了本書定級方法的可行性與有效性。

隨后本書針對當前的新形勢，對等級保護進行了創新與發展，提出了一個三重保護結構，又對云計算下的等級保護進行了一個較為直觀和全面的介紹，并將其納入了等級保護體系的保護范圍內。

對于如何落實等級保護的實施，本書最后提出設計一個等級化安全管理支撐平臺的方法來具體落實，并從設計目標、架構等方面來介紹平臺的組成和功能以及系統的設計。

作者

2016年12月