本書圍繞保障重要信息系統(tǒng)安全的國家戰(zhàn)略網(wǎng)絡安全等級保護展開����,從等級保護工作的需求分析入手,介紹等級保護工作的核心理論模型�����,講述等級保護的定級備案方法及流程�����,解讀網(wǎng)絡安全等級保護的基本要求��,進一步闡述等級測評所需的支撐技術,包括端口掃描��、漏洞檢測�����、滲透測試��、攻擊圖等關鍵技術和基礎知識庫�,并給出等級測評理論在云租戶系統(tǒng)、工業(yè)控制系統(tǒng)的典型應用�����,最后介紹等級測評挑戰(zhàn)�,展望等級測評工作的未來。每章配有思考與練習�����,以指導讀者深入地進行學習�����。
通過學習本書�,信息系統(tǒng)建設與運營單位人員可以了解等級保護相關的政策體系�����、標準體系��,掌握如何依據(jù)等級保護的要求開展安全建設及整改�,提高系統(tǒng)的安全保障能力���;測評人員可以掌握等級保護的測評要求����、測評方法��、測評實踐能力���,還可以了解一系列的測評工具和知識庫;網(wǎng)絡空間安全專業(yè)本科生��、研究生可以系統(tǒng)掌握等級保護工作的發(fā)展歷史��、核心理論�、關鍵技術以及未來的研究動態(tài)。
本書既可作為信息系統(tǒng)安全管理人員�����、等級測評機構測評人員的技術參考書,也可作為高等院校網(wǎng)絡空間安全及相關專業(yè)本科生和研究生有關課程的教材�。
系統(tǒng)介紹了等級保護工作的重要性、發(fā)展歷史����、核心理論模型、標準體系���、關鍵技術�����,還介紹了掌握等級測評實踐應用�、發(fā)展現(xiàn)狀及新技術新環(huán)境帶來的挑戰(zhàn)等�。
提供等級測評所需的系列核心工具,尤其是滲透測試�、漏洞檢測工具、網(wǎng)絡安全知識圖譜�,涵蓋Windows系統(tǒng)、Linux系統(tǒng)�、Web應用、數(shù)據(jù)庫等,這對于安全工程師�����、等級保護相關人員而言具有參考價值�����。
注重通過實際應用案例介紹具體的實施���,對于等級建設與等級測評工作的開展具有一定的參考價值���。
網(wǎng)絡安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法���,是促進信息化健康發(fā)展,維護國家安全�、社會秩序和公共利益的根本保障。沒有網(wǎng)絡安全���,就沒有國家安全���!吨腥A人民共和國網(wǎng)絡安全法》第二十一條明確指出:國家實行網(wǎng)絡安全等級保護制度�����。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求,履行下列安全保護義務�����,保障網(wǎng)絡免受干擾���、破壞或者未經(jīng)授權的訪問�,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取��、篡改���,將網(wǎng)絡安全等級保護上升到法律高度�����。網(wǎng)絡安全等級保護工作不僅是保障重要信息系統(tǒng)安全的重大措施�����,也是一項事關國家安全�����、社會穩(wěn)定���、國家利益的重要任務�����。
為組織各單位�、各部門開展網(wǎng)絡安全等級保護工作���,公安部和標準化工作部門組織制定了網(wǎng)絡安全等級保護工作的一系列標準����,形成網(wǎng)絡安全等級保護標準體系�,為開展網(wǎng)絡安全等級保護工作提供了標準保障。而且���,為適應新技術的發(fā)展,滿足云計算���、物聯(lián)網(wǎng)����、移動互聯(lián)和工控領域信息系統(tǒng)的等級保護工作的需要,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作��,等級保護于2019年12月1日正式進入2.0時代��,這為貫徹落實《中華人民共和國網(wǎng)絡安全法》��、實現(xiàn)國家網(wǎng)絡安全戰(zhàn)略目標奠定了基礎���。等級保護2.0版本增加了對云計算����、移動互聯(lián)�����、物聯(lián)網(wǎng)�����、工業(yè)控制和大數(shù)據(jù)等新技術新應用的全覆蓋�,定級對象更為廣泛,包含信息系統(tǒng)���、基礎信息網(wǎng)絡����、云計算平臺、大數(shù)據(jù)平臺�、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)�����、采用移動互聯(lián)技術的網(wǎng)絡等����。
自從1994年國務院147號令第一次提出等級保護的概念以來,等級保護工作得到政府�����、金融�、教育、能源等各行各業(yè)的廣泛認可�。公安機關、行業(yè)主管部門��、信息系統(tǒng)運營使用單位�����、網(wǎng)絡安全等級測評機構等成為網(wǎng)絡安全等級保護工作的執(zhí)行主體����,其中公安機關主要承擔監(jiān)督檢查工作,同時負責管理測評機構以及各單位的系統(tǒng)定級備案��;網(wǎng)絡安全等級測評機構主要承擔系統(tǒng)測評工作�����;信息系統(tǒng)運營使用單位對系統(tǒng)安全負主要責任����,負責定級、備案���、建設整改�����。而且��,隨著云計算�、物聯(lián)網(wǎng)、移動互聯(lián)���、邊緣計算技術的快速發(fā)展�����,人類進入以大數(shù)據(jù)��、萬物互聯(lián)及人工智能 為特點的新時代���,新型應用不斷涌現(xiàn),企業(yè)越來越多的業(yè)務轉(zhuǎn)移到網(wǎng)絡平臺�,核心業(yè)務的正常運營離不開安全可靠的信息系統(tǒng)支撐。結合近些年的工作實踐�����,在國家出版基金的支持下��,編寫了這本書���。
本書對等級保護的基礎理論以及應用進行闡述�����,圍繞等保規(guī)定動作進行詳細說明�,尤其是網(wǎng)絡安全等級保護的基本要求�、測評要求,同時提供與等級保護工作相關的工具及知識庫��。本書是一本系統(tǒng)化�、全面化介紹網(wǎng)絡安全等級保護理論及應用的書籍,便于網(wǎng)絡空間安全從業(yè)人員了解等級保護工作的必要性及重要意義��,掌握等級保護政策及標準體系��,學習等級保護測評的基本知識��,指導信息安全專業(yè)相關人員實現(xiàn)更好的安全保障����。
本書第1章從常見信息系統(tǒng)技術架構的安全需求出發(fā),引出信息安全評估的必要性及框架��,包括信息安全評估的發(fā)展演化����、評估模型及要素等,進一步介紹網(wǎng)絡安全等級保護理論體系�����,給出等級測評理論研究進展及發(fā)展趨勢。第2章為等級保護的基礎理論及核心模型���,介紹PDCA過程模型����、IATF保護框架�����、P2DR動態(tài)防御模型��、風險評估理論����、層次分析法和本體論,并介紹理論模型與等保工作的結合�����。第3章介紹等級保護的信息系統(tǒng)安全定級與備案��,這是等級保護的首要環(huán)節(jié),包括安全等級劃分的含義��、定級原則與方法以及系統(tǒng)備案含義與流程等��。第4章為網(wǎng)絡安全等級保護的基本要求�,是等級測評機構判定信息系統(tǒng)是否符合等級保護要求的依據(jù),對通用要求和新型應用系統(tǒng)的擴展要求進行解讀��。第5章介紹被測對象系統(tǒng)的采集技術���,包括信息踩點、端口掃描�����、操作系統(tǒng)識別技術以及基本信息調(diào)查表���,這是測評對象選擇�、測試工具接入以及開發(fā)測評指導書的基礎知識�����。第6章介紹安全漏洞檢測及滲透測試技術����,包括主動模擬攻擊式��、主動查詢式���、被動監(jiān)聽式等多種漏洞檢測技術,以及Web滲透測試����。漏洞檢測與滲透測試是等級測評工作中必不可少的活動,通過滲透測試技術驗證掃描發(fā)現(xiàn)漏洞的有效性�。第7章為脆弱性關聯(lián)分析技術,即攻擊圖生成技術及應用���,包括攻擊圖概念���、類型、生成工具及分析方法��,并將等級測評的單風險點分析拓展到孤立風險點的關聯(lián)分析�。第8章為等級測評相關工具及知識庫,介紹應用��、主機�、數(shù)據(jù)庫、源碼、滲透測試����、App等不同層次的安全漏洞檢測工具,還介紹了國內(nèi)外主流的漏洞知識庫�����,諸如CVE�、CNVD等,本章內(nèi)容為等級測評工作提供支撐����。第9章為等級保護測評的典型應用��,介紹了測評對象選擇原則����、測評指標的確定方法、漏洞掃描測試點的確定等����,對云租戶、工業(yè)控制系統(tǒng)的測評關鍵技術點進行詳細介紹���,幫助讀者掌握等級測評實施方法����,將等級測評理論方法應用于實踐中。第10章分析等級測評面臨的挑戰(zhàn)��,尤其是新型系統(tǒng)的測評標準及測評能力有待完善��、面向新型技術的安全測評規(guī)范缺失以及新型智能算法帶來的隱私問題���,最后展望等級測評的未來發(fā)展趨勢����。
本書既可作為信息系統(tǒng)安全管理人員�、等級測評機構人員的技術參考書,也可作為高等院校網(wǎng)絡空間安全及相關專業(yè)的本科生和研究生教
李建華���,博士�,教授(二級)���,現(xiàn)任上海交通大學網(wǎng)絡安全技術研究院院長���,信息內(nèi)容分析技術國家工程研究中心主任����,網(wǎng)絡空間安全專業(yè)教學指導委員會副主任委員���,主要專注于網(wǎng)絡安全等級測評�、網(wǎng)絡安全管理�、信息內(nèi)容安全、網(wǎng)絡攻防等領域的研究�。
陳秀真,博士�����,副教授�����,現(xiàn)任上海交通大學網(wǎng)絡安全技術研究院院長助理��,公安部信息安全等級保護測評師���,主要專注于網(wǎng)絡安全等級測評、網(wǎng)絡安全管理���、車聯(lián)網(wǎng)信息安全等領域的研究���。
前言
第1章概述/00
1.1常見信息系統(tǒng)技術架構的安全需求/00
1.1.1通用信息系統(tǒng)/00
1.1.2云計算系統(tǒng)/00
1.1.3移動互聯(lián)系統(tǒng)/00
1.1.4物聯(lián)網(wǎng)系統(tǒng)/00
1.1.5工業(yè)控制系統(tǒng)/00
1.2信息系統(tǒng)安全評估框架/00
1.2.1信息系統(tǒng)安全評估的發(fā)展演化/00
1.2.2信息安全評估模型及要素/00
1.2.3信息系統(tǒng)層次化構成視圖/00
1.3網(wǎng)絡安全等級保護理論體系/00
1.3.1等級保護體系的發(fā)展史/00
1.3.2等級保護評估模型/0
1.3.3相關信息安全概念和理論/0
1.4等級保護測評理論研究進展和趨勢/0
1.4.1等級保護測評理論研究進展/0
1.4.2等級保護測評理論的發(fā)展趨勢/0
1.5思考與練習/0
第2章等級保護基礎理論方法及模型/0
2.1核心模型/0
2.1.1PDCA過程模型/0
2.1.2IATF/0
2.1.3P2DR動態(tài)防御模型/02.2安全風險評估理論/0
2.2.1風險評估要素/0
2.2.2風險評估原理/0
2.2.3風險評估在等級保護中的應用/0
2.3層次分析法/0
2.3.1層次分析法基本原理/0
2.3.2層次分析法在等級保護測評中的應用/0
2.4本體論/0
2.4.1安全本體論建模要素/0
2.4.2形式化建模在等級保護測評研究中的應用/0
2.5思考與練習/0
第3章安全定級與備案/0
3.1安全等級含義/0
3.2安全等級劃分/0
3.2.1國外安全等級劃分/0
3.2.2國內(nèi)安全等級劃分/0
3.3網(wǎng)絡安全等級劃分方法/0
3.3.1系統(tǒng)定級對象確認/0
3.3.2安全保護等級確定/0
3.4系統(tǒng)備案/0
3.4.1備案含義/0
3.4.2備案流程及材料填寫/0
3.5思考與練習/0
第4章網(wǎng)絡安全等級保護要求/0
4.1網(wǎng)絡安全等級保護相關要求標準/0
4.2網(wǎng)絡安全等級保護基本要求中通用要求解讀/0
4.2.1網(wǎng)絡安全等級保護基本要求結構/0
4.2.2安全技術要求/0
4.2.3安全管理要求/0
4.3網(wǎng)絡安全等級保護基本要求中擴展要求解讀/0
4.3.1云計算安全擴展要求/0
4.3.2物聯(lián)網(wǎng)安全擴展要求/0
4.3.3移動互聯(lián)安全擴展要求/0
4.3.4工業(yè)控制安全擴展要求/0
4.4不同層面涉及的安全技術分析/04.5思考與練習/0
第5章系統(tǒng)基本信息采集/0
5.1信息踩點/0
5.1.1主機存活探測ping/0
5.1.2主機路由測試Traceroute/0
5.2端口掃描/0
5.2.1開放掃描/0
5.2.2半開放掃描/0
5.2.3秘密掃描/0
5.3操作系統(tǒng)識別技術/0
5.3.1基于TCP數(shù)據(jù)報文的分析/0
5.3.2基于ICMP數(shù)據(jù)報文的分析/0
5.4基本信息調(diào)查表/0
5.5思考與練習/0
第6章安全漏洞檢測及滲透技術/0
6.1概述/0
6.1.1安全漏洞定義/0
6.1.2安全漏洞與bug的關系/0
6.2常見漏洞類型/0
6.2.1基于利用位置的分類/0
6.2.2基于威脅類型的分類/0
6.2.3基于成因技術的分類/0
6.3漏洞檢測技術/0
6.3.1主動模擬式攻擊漏洞掃描/0
6.3.2主動查詢式漏洞掃描/0
6.3.3被動監(jiān)聽式漏洞掃描/0
6.3.4基于AI的自動漏洞檢測/0
6.4安全滲透技術/0
6.4.1面向漏洞的挖掘/分析技術/0
6.4.2Web安全滲透測試/0
6.4.3安全滲透風險分析/0
6.5思考與練習/
第7章脆弱性關聯(lián)分析技術/
7.1基本概念/7.1.1安全脆弱性/
7.1.2攻擊圖/
7.1.3攻擊圖技術/
7.2攻擊圖類型/
7.2.1狀態(tài)攻擊圖/
7.2.2屬性攻擊圖/
7.3攻擊圖生成工具/
7.3.1MulVAL原理/
7.3.2MulVAL模型框架/
7.3.3攻擊圖樣例/
7.4攻擊圖分析方法/
7.4.1攻擊面分析/
7.4.2安全度量/
7.4.3安全加固/
7.5思考與練習/
第8章等級測評相關工具及知識庫/
8.1等級測評相關工具/
8.1.1應用安全掃描工具/
8.1.2主機安全掃描工具/
8.1.3數(shù)據(jù)庫安全掃描工具/
8.1.4源碼安全審計工具/
8.1.5滲透測試工具/
8.1.6Android App測試工具/
8.1.7iOS App測試工具/
8.2國外漏洞知識庫/
8.2.1通用漏洞與紕漏/
8.2.2通用漏洞打分系統(tǒng)/
8.3國內(nèi)漏洞知識庫/
8.3.1國家信息安全漏洞共享平臺/
8.3.2中國國家信息安全漏洞庫/
8.4基于知識圖譜的知識庫構建/
8.4.1知識圖譜概述/
8.4.2網(wǎng)絡安全知識圖譜框架/
8.4.3知識圖譜在等級保護測評中的應用/
8.5思考與練習/
第9章等級保護測評的典型應用/
9.1等級測評依據(jù)/
9.2等級測評手段及評估方法/
9.2.1等級測評實施手段/
9.2.2單項測評結果判定/
9.2.3單元測評評估方法/
9.2.4整體測評結果分析/
9.3測評過程/
9.3.1測評對象選擇/
9.3.2安全測評指標確定/
9.3.3測試工具選擇/
9.3.4漏洞掃描測試點接入原則/
9.4云租戶系統(tǒng)測評關鍵技術點解析/
9.4.1三種云租戶模式及責任劃分/
9.4.2特殊測評項及關鍵技術點解析/
9.5工業(yè)控制系統(tǒng)測評關鍵技術點解析/
9.5.1通用工業(yè)控制系統(tǒng)架構/
9.5.2工業(yè)控制關鍵安全策略/
9.5.3特殊測評項及關鍵技術點解析/
9.6思考與練習/
第10章等級測評挑戰(zhàn)及未來發(fā)展趨勢/
10.1等級測評現(xiàn)狀/
10.2等級測評挑戰(zhàn)/
10.2.1新型系統(tǒng)測評標準及測評能力有待完善/
10.2.2新型信息技術的安全測評規(guī)范缺失/
10.2.3新型智能算法帶來的安全隱私問題/
10.3發(fā)展趨勢/
10.3.1面向新型網(wǎng)絡系統(tǒng)的等級測評/
10.3.2面向關鍵基礎設施的等級測評/
10.3.3面向新技術的安全測評規(guī)范/
10.3.4與密評的一體化融合/
10.3.5不同行業(yè)的等級測評/
10.4思考與練習/
附錄/
附錄A《信息系統(tǒng)安全等級保護定級報告》模板/
附錄B《信息系統(tǒng)安全等級保護備案表》/
附錄C《網(wǎng)絡安全等級保護補充信息表》/
附錄D常用端口威脅列表/
附錄E信息系統(tǒng)基本信息調(diào)查表/
附錄F網(wǎng)絡安全等級測評報告模板/
書單推薦
