- 等級保護測評理論及應用
- 李建華 陳秀真主編
- 2541字
- 2023-08-28 19:46:53
前言
網絡安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法,是促進信息化健康發展,維護國家安全、社會秩序和公共利益的根本保障。沒有網絡安全,就沒有國家安全。《中華人民共和國網絡安全法》第二十一條明確指出:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改,將網絡安全等級保護上升到法律高度。網絡安全等級保護工作不僅是保障重要信息系統安全的重大措施,也是一項事關國家安全、社會穩定、國家利益的重要任務。
為組織各單位、各部門開展網絡安全等級保護工作,公安部和標準化工作部門組織制定了網絡安全等級保護工作的一系列標準,形成網絡安全等級保護標準體系,為開展網絡安全等級保護工作提供了標準保障。而且,為適應新技術的發展,滿足云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護于2019年12月1日正式進入2.0時代,這為貫徹落實《中華人民共和國網絡安全法》、實現國家網絡安全戰略目標奠定了基礎。等級保護2.0版本增加了對云計算、移動互聯、物聯網、工業控制和大數據等新技術新應用的全覆蓋,定級對象更為廣泛,包含信息系統、基礎信息網絡、云計算平臺、大數據平臺、物聯網系統、工業控制系統、采用移動互聯技術的網絡等。
自從1994年國務院147號令第一次提出等級保護的概念以來,等級保護工作得到政府、金融、教育、能源等各行各業的廣泛認可。公安機關、行業主管部門、信息系統運營使用單位、網絡安全等級測評機構等成為網絡安全等級保護工作的執行主體,其中公安機關主要承擔監督檢查工作,同時負責管理測評機構以及各單位的系統定級備案;網絡安全等級測評機構主要承擔系統測評工作;信息系統運營使用單位對系統安全負主要責任,負責定級、備案、建設整改。而且,隨著云計算、物聯網、移動互聯、邊緣計算技術的快速發展,人類進入以大數據、萬物互聯及人工智能+為特點的新時代,新型應用不斷涌現,企業越來越多的業務轉移到網絡平臺,核心業務的正常運營離不開安全可靠的信息系統支撐。結合近些年的工作實踐,在國家出版基金的支持下,編寫了這本書。
本書對等級保護的基礎理論以及應用進行闡述,圍繞等保規定動作進行詳細說明,尤其是網絡安全等級保護的基本要求、測評要求,同時提供與等級保護工作相關的工具及知識庫。本書是一本系統化、全面化介紹網絡安全等級保護理論及應用的書籍,便于網絡空間安全從業人員了解等級保護工作的必要性及重要意義,掌握等級保護政策及標準體系,學習等級保護測評的基本知識,指導信息安全專業相關人員實現更好的安全保障。
本書第1章從常見信息系統技術架構的安全需求出發,引出信息安全評估的必要性及框架,包括信息安全評估的發展演化、評估模型及要素等,進一步介紹網絡安全等級保護理論體系,給出等級測評理論研究進展及發展趨勢。第2章為等級保護的基礎理論及核心模型,介紹PDCA過程模型、IATF保護框架、P2DR動態防御模型、風險評估理論、層次分析法和本體論,并介紹理論模型與等保工作的結合。第3章介紹等級保護的信息系統安全定級與備案,這是等級保護的首要環節,包括安全等級劃分的含義、定級原則與方法以及系統備案含義與流程等。第4章為網絡安全等級保護的基本要求,是等級測評機構判定信息系統是否符合等級保護要求的依據,對通用要求和新型應用系統的擴展要求進行解讀。第5章介紹被測對象系統的采集技術,包括信息踩點、端口掃描、操作系統識別技術以及基本信息調查表,這是測評對象選擇、測試工具接入以及開發測評指導書的基礎知識。第6章介紹安全漏洞檢測及滲透測試技術,包括主動模擬攻擊式、主動查詢式、被動監聽式等多種漏洞檢測技術,以及Web滲透測試。漏洞檢測與滲透測試是等級測評工作中必不可少的活動,通過滲透測試技術驗證掃描發現漏洞的有效性。第7章為脆弱性關聯分析技術,即攻擊圖生成技術及應用,包括攻擊圖概念、類型、生成工具及分析方法,并將等級測評的單風險點分析拓展到孤立風險點的關聯分析。第8章為等級測評相關工具及知識庫,介紹應用、主機、數據庫、源碼、滲透測試、App等不同層次的安全漏洞檢測工具,還介紹了國內外主流的漏洞知識庫,諸如CVE、CNVD等,本章內容為等級測評工作提供支撐。第9章為等級保護測評的典型應用,介紹了測評對象選擇原則、測評指標的確定方法、漏洞掃描測試點的確定等,對云租戶、工業控制系統的測評關鍵技術點進行詳細介紹,幫助讀者掌握等級測評實施方法,將等級測評理論方法應用于實踐中。第10章分析等級測評面臨的挑戰,尤其是新型系統的測評標準及測評能力有待完善、面向新型技術的安全測評規范缺失以及新型智能算法帶來的隱私問題,最后展望等級測評的未來發展趨勢。
本書既可作為信息系統安全管理人員、等級測評機構人員的技術參考書,也可作為高等院校網絡空間安全及相關專業的本科生和研究生教材。本書不僅系統介紹了等級保護工作的重要性、發展歷史、核心理論模型、標準體系、關鍵技術,還介紹了掌握等級測評實踐應用、發展現狀及新技術新環境帶來的挑戰等。同時,本書提供等級測評所需的系列核心工具,尤其是滲透測試、漏洞檢測工具、網絡安全知識圖譜,涵蓋Windows系統、Linux系統、Web應用、數據庫等,這對于安全工程師、等級保護相關人員而言具有參考價值。另外,本書注重通過實際應用案例介紹具體的實施,對于等級建設與等級測評工作的開展具有一定的參考價值。本書提供書中縮略詞及解釋,可通過封底給出的方式下載。
上海交通大學李建華教授、陳秀真副教授擔任本書的主編,主持制定編寫大綱,并對全書進行統稿和修改。張保穩老師負責編寫第1章,陳秀真老師負責編寫第2章、第7章和第8章,朱赟老師負責編寫第3章、第4章,銀鷹老師負責編寫第5章、第6章和第9章,周志洪老師負責編寫第10章。其中,孫康康博士對第2章、第8章、第9章,顏星辰老師對第5章、第6章,段圣雄老師對第9章的撰寫給予大力支持。李建華教授、銀鷹老師對本書的提綱規劃給出寶貴意見。
由于時間倉促以及編者知識水平所限,書中難免存在不妥和錯誤之處,希望讀者不吝指教,以期再版修訂。
編者