本書通過分析當今信息安全的嚴峻形勢以及其重要特性,并結合我國信息系統等級化的管理歷程,提出了適應我國國情的全新的等級化保護體系。首先明確了等級保護的體系構建,包括其整體結構以及各模塊內容。接著對等級保護對象進行了相應的明確,包括對象框架,對象模型以及對象的分類等特性。然后從策略體系,技術體系,運作體系這三方面對等級化的內容進行明確與劃分。同時,根據等級化保護的基本要求對適應我國國情的安全等級定級方法進行了相應的研究,著重在安全風險評估以及等級保護能力測評模型的相關驗證。接著對等級化保護的實施流程進行了相應的論述,并結合某計費系統的定級過程對等級化保護進行了實例驗證。zui后提出了在云環境下的安全等級保護的更多要求,并結合等級化安全管理平臺的概念,進一步總結我國等級化保護策略面臨的不足以及未來創新的展望。
1. 理論聯系實際,注重理論基礎知識和zui新工程實踐之間的平衡。 2. 圖文并茂,條例清晰。 3. 科研工作的理想參考書。 4.本書作者所在的團隊多年來一直致力于信息安全方面的相關研究,已承擔過多項國家重點科研項目,具有從理論到工程實踐的相關基礎,所闡述的原理方法較好地結合了理論與工程實現。
沈昌祥,男,中國工程院院士,教授、博士生導師,現任國家信息化專家咨詢委員會委員,北京大學、北京工業大學、國防科技大學等多所知名高校的博士生導師,國家密碼管理委員會辦公室顧問,國家保密局專家顧問,公安部"金盾工程"特邀顧問,中國人民銀行信息安全顧問,國家稅務總局信息技術咨詢委員會委員,中國計算機學會信息保密專業委員會主任,教育部高等學校信息安全類專業教學指導委員會主任,北京工業大學計算機學院院長。從事計算機信息系統、密碼工程、信息安全體系結構、系統軟件安全(安全操作系統、安全數據庫等)、網絡安全等方面的研究工作。
第1章 信息安全概述1
1.1引 言1
1.2信息安全的內涵及特性2
1.3信息安全在國家安全中的重要作用和戰略地位3
1.3.1信息安全對國家政治的影響4
1.3.2信息安全對國家經濟的影響8
1.3.3信息安全對國家文化安全的影響13
1.3.4信息安全對國家軍事的影響17
1.4信息安全的面臨的挑戰22
1.4.1通用計算設備的計算能力越來越強帶來的挑戰22
1.4.2計算環境日益復雜多樣帶來的挑戰22
1.4.3云計算服務給密碼保護造成的新挑戰22
1.4.4大數據技術帶來的安全隱患23
1.4.5網絡融合新技術帶來安全新的挑戰和威脅23
1.4.6惡意代碼層出不窮,病毒傳播途徑多樣化,網絡攻擊日益趨利化23
1.4.7世界大國都將信息安全問題上升為國家戰略問題加劇了信息安全的競爭24
1.4.8"網絡戰"已成為各國競相發展的核心安全力量,網絡空間已成為各國情報機構的主要戰場25
1.5我國信息安全防護存在的問題25
1.6信息安全研究的重要價值和意義26
1.7信息安全的主要研究問題27
1.7.1可信計算平臺及其安全關鍵技術27
1.7.2信息安全新技術開發與安全測試評估的模型和工具27
1.7.3網絡監控、應急響應與安全管理關鍵技術28
1.7.4網絡信任保障的理論、技術和體系28
1.7.5密碼與安全協議的新理論與新方法28
1.7.6網絡可生存性理論和技術28
1.7.7逆向分析與可控性技術29
1.7.8網絡病毒與垃圾信息防范技術29
1.7.9新型網絡、計算和應用下的信息安全技術29
1.7.10主動實時防護模型和技術29
1.8小 結29
參考文獻30
第2章信息系統等級保護的意義及發展31
2.1信息安全等級保護概述31
2.1.1什么是信息安全等級保護31
2.1.2傳統的安全保障體系與等級保護安全體系區別32
2.2狀信息系統等級化安全管理的重要意義32
2.3信息安全等級化保護思想的起源及發展33
2.3.1等級思想的起源34
2.3.2橘皮書和通用準則35
2.3.3等級保護架構的發展36
2.3.4等級保護體系的新綜合37
2.4美國的信息安全等級化發展歷程38
2.4.1美國信息系統分級的思路38
2.4.2安全措施的選擇40
2.5我國信息安全等級化發展歷程42
2.6小 結48
參考 文 獻48
第3章信息安全等級保障體系50
3.1為什么要實行等級保護50
3.2基本安全要求的結構50
3.3等級化安全保障體系及其設計51
3.3.1安全保護對象框架52
3.3.2安全保護對策框架53
3.3.3等級化安全保障體系55
3.4信息安全等級保護體系設計方法及原則56
3.4.1安全體系設計原則56
3.4.2安全體系設計流程58
3.5安全組織體系設計59
3.6小 結61
參考文獻61
第4章等級保護的保護對象體系設計63
4.1安全保護對象框架63
4.2保護對象框架建立64
4.2.1信息系統進行模型化處理64
4.2.2安全域劃分65
4.2.3保護對象分類67
4.2.4保護對象劃分方法67
4.2.5系統分域保護框架68
4.2.6保護對象等級化劃分68
4.3小 結69
參考文獻70
第5章等級保護策略體系設計72
5.1定級策略73
5.1.1定級范圍73
5.1.2等級劃分73
5.1.3不同等級的安全保護能力74
5.2等級保護評估策略77
5.2.1評估指標選擇和組合77
5.2.2現狀與評估指標對比77
5.2.3額外/特殊風險評估78
5.2.4綜合評估分析81
5.3安全規劃設計策略82
5.4等級保護測評策略84
5.5實施與運維要求策略85
5.6備案與管理策略85
5.6.1對涉密信息系統的管理85
5.6.2信息安全等級保護的密碼管理87
5.7小 結88
參考文獻88
第6章等級保護安全技術體系設計90
6.1通用定級要素90
6.2通用定級方法91
6.2.1確定定級對象91
6.2.2信息系統的基本屬性CIA92
6.2.3定級流程93
6.3涉密信息系統的等級保護95
6.4信息系統安全技術體系結構設計95
6.5安全技術體系建設96
6.5.1物理安全防護96
6.5.2計算環境安全防護97
6.5.3應用安全監控子系統101
6.5.4通信與存儲安全子系統102
6.5.5內網安全管理子系統103
6.5.6區域邊界安全防護105
6.5.7網絡入侵檢測子系統106
6.5.8通信網絡安全防護107
6.5.9網絡設備安全檢測與加固108
6.5.10安全支撐平臺109
6.6小 結111
參考文獻112
第7章信息安全等級保護運作體系設計114
7.1運作體系及其組成114
7.2定級階段115
7.2.1定級準備116
7.2.2定級主要工作119
7.3總體安全規劃階段120
7.3.1安全等級評估120
7.3.2安全等級保護規劃流程及過程121
7.4設計開發/實施階段121
7.5運行維護階段122
7.6系統終止階段122
7.7小 結122
參考文獻123
第8章信息系統安全等級保護基本要求125
8.1框架結構125
8.2描述模型126
8.2.1總體描述126
8.2.2保護對象127
8.2.3安全保護能力128
8.2.4安全要求130
8.3逐級增強的特點131
8.3.1增強原則131
8.3.2總體描述132
8.3.3控制點增加133
8.3.4要求項增加133
8.3.5控制強度增強134
8.4各級安全要求135
8.4.1技術要求135
8.4.2管理要求137
8.5小 結139
參考文獻139
第9章信息系統定級方法研究141
9.1綜合評價方法綜述141
9.2系統定級對象的確定142
9.3綜合評價方法綜述142
9.3.1綜合評價方法的基本流程142
9.3.2評價指標體系建立原則144
9.3.3評價指標體系框架145
9.3.4評價指標體系的建立方法145
9.3.5評價指標提取的相關問題146
9.4信息系統評價指標體系分析146
9.4.1系統安全屬性分析146
9.4.2額外/特殊風險評估148
9.4.3評價指標的選取151
9.4.4量化定級模型152
9.5量化定級方法156
9.5.1構造單 因 素隸 屬函 數156
9.5.2確定因 素權 重158
9.5.3計算安全等級159
9.6小結161
參考文獻161
第10章等級保護中的信息安全風險分析與評估163
10.1在等級保護周期中風險評估作用163
10.2信息安全風險評估原理164
10.3等級保護風險評估模型167
10.3.1信息系統風險評估模型現狀167
10.3.2等級保護風險評估模型169
10.4等級保護信息安全風險評估的內容173
10.4.1技術層面威脅與風險173
10.4.2管理層面威脅與風險175
10.5風險評估與合規性檢測176
10.5.1方法論176
10.5.2典型流程178
10.5.3專用工具178
10.6小 結182
參考文獻182
第11章信息系統安全等級保護能力測評模型研究185
11.1信息系統安全等級保護能力測評概述185
11.1.1信息系統安全等級保護能力測評過程186
11.1.2信息系統安全等級保護能力測評存在的不足188
11.2信息系統安全等級保護能力測評指標體系188
11.2.1總體描述188
11.2.2基本要求和框架189
11.2.3測評指標體系191
11.3改進型信息系統安全等級保護能力測評模型195
11.3.1模型概述195
11.3.2測評對象確定196
11.3.3測評指標選取196
11.3.4測評指標數據采集197
11.3.5測評結果判定199
11.3.6基于知識的風險分析204
11.3.7安全效益度量及安全投入建議205
11.4小 結212
參考文獻212
第12章等級保護實現的一般流程及實現方法215
12.1等級保護實施的基本流程215
12.1.1定級階段216
12.1.2總體安全規劃階段217
12.1.3安全等級評估218
12.1.4設計開發/實施階段218
12.1.5運行維護階段219
12.1.6系統終止階段219
12.2自我安全風險分析與評估220
12.3信息系統定級220
12.3.1定級流程220
12.3.2信息系統等級確定220
12.3.3定級報告223
12.3.4定級備案223
12.4差距分析223
12.4.1等級測評范圍223
12.4.2等級測評內容224
12.4.3差距分析流程225
12.4.4報告編制226
12.5體系咨詢規劃226
12.5.1滲透測試與安全加固227
12.5.2風險評估與合規性檢測231
12.5.3安全體系咨詢規劃231
12.5.4解決方案設計235
12.6整改及集成實施244
12.6.1安全管理體系建設244
12.6.2安全技術體系建設245
12.7等級測評245
12.8安全運維245
12.8.1安全運維服務245
12.8.2監控應急246
12.8.3審計追查247
12.9小 結247
參考文獻247
第13章省級電信計費系統定級實例250
13.1省級電信計費系統概述250
13.1.1系統總體描述250
13.1.2系統主要業務251
13.1.3系統安 全性 能分析252
13.2安全等級定級計算過程253
13.2.1計算社會影響力等級253
13.2.25.2.2計算服務重要性等級254
13.2.3系統安全等級256
13.3小結256
參考文獻256
第14章我國信息安全等級保護制度的創新和發展1
14.1信息安全等級保護是國家制度性工作1
14.1.1概述1
14.2科學定級、建設2
14.2.1定級2
14.2.2虛擬化技術典型架構2
14.3主動應對、積極防御3
14.3.1設計原則3
14.3.2結構框架3
14.3.3安全防護特點5
14.4做好新型計算環境下信息安全等級保護工作5
14.4.1概述5
14.5小 結9
參考文獻10
第15章基于云環境的等級化安全管理研究260
15.1云計算時代等級保護面臨的挑戰260
15.1.1云計算的定義260
15.1.2云計算安全261
15.1.3等級保護面臨的挑戰263
15.2改進型信息系統安全等級保護能力測評模型266
15.2.1虛擬化技術典型架構266
15.2.2虛擬化技術安全風險分析267
15.2.3虛擬化技術的等級保護基本要求272
15.3基于云安全模型的信息系統安全等級保護測評策略276
15.3.1云安全服務模型277
15.3.2基于云安全模型的信息安全等級測評277
15.4美國國防部等級化云計算安全體系分析與啟示278
15.4.1美國國防部云計算安全管理的制度基礎279
15.4.2美國國防部云計算安全管理框架280
15.4.3重點技術要求281
15.4.4分級網絡安全管理模式對比283
15.4.5啟發與建議284
15.5云計算虛擬化環境中的安全等級保護實例285
15.5.1云計算在電力行業的應用285
15.5.2云計算虛擬化帶來的邊界挑戰288
15.6小 結291
1參考文獻292
第16章等級化安全管理支撐平臺設計285
16.1平臺系統設計原則285
16.2系統構架287
16.2.1系統角色287
16.2.2架構分層描述287
16.3功能構架288
16.3.1功能分解288
16.3.2功能劃分290
16.3.3功能架構291
16.4數據架構293
16.4.1業務數據模型294
16.4.2技術數據模型295
16.5技術架構296
16.6系統設計296
16.6.1系統功能設計297
16.6.2數據模型設計302
16.6.3數據編碼設計308
16.6.4系統接口分析與設計312
16.6.5知識庫設計314
16.7小 結315
參考文獻315
