本書以總體國家安全觀為根本遵循,對網(wǎng)絡安全評估方法進行了詳細介紹�,基于《中華人民網(wǎng)絡安全法》《中華人民共和國密碼法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī),網(wǎng)絡安全等級保護2.0標準體系�,以及金融、電力和廣電等行業(yè)和大數(shù)據(jù)�、密碼應用測評等專業(yè)近年來的應用實踐,系統(tǒng)全面地設計和構建了網(wǎng)絡安全評估標準體系����。本書面向政府、企業(yè)���、行業(yè)協(xié)會��、科研院所��、高等院校和網(wǎng)絡安全專業(yè)測評咨詢服務機構的領導者����、管理者和技術從業(yè)者,是網(wǎng)絡安全領導者和管理者的履責指引���,是網(wǎng)絡安全測評咨詢服務從業(yè)者的實戰(zhàn)手冊�����,也適合作為各類院校網(wǎng)絡空間安全專業(yè)師生的教材或參考書����。
鄒來龍�����,南昌航空工業(yè)大學工學學士���,哈爾濱工業(yè)大學工學碩士�。長期從事核電���、網(wǎng)絡安全和數(shù)字化管理工作�����,深刻理解網(wǎng)絡安全工作的特點���、痛點和難點,在策劃��、規(guī)劃�、設計、部署和組織實施網(wǎng)絡安全綜合防御體系等方面����,具備豐富實戰(zhàn)經(jīng)驗,是我國核能行業(yè)網(wǎng)絡安全同行評估的策劃者�����、發(fā)起人和實踐者�。兼任中國核能行業(yè)協(xié)會專家委員會委員、信息化專業(yè)委員會副主任委員����、網(wǎng)絡安全專題工作組組長,中國電機工程學會電力信息化專家委員���,深圳市CIO協(xié)會榮譽會長���。
目錄
第1章 網(wǎng)絡安全評估標準設計和使用說明 1
1.1 網(wǎng)絡安全評估標準設計原則 3
1.2 網(wǎng)絡安全評估標準設計要點 4
1.3 網(wǎng)絡安全評估標準總體結構 16
1.4 網(wǎng)絡安全評估標準使用要點 21
第2章 網(wǎng)絡安全領導力評估準則及使用指引 25
2.1 網(wǎng)絡安全觀和承諾SL1 26
2.2 網(wǎng)絡安全組織與責任SL2 28
2.3 網(wǎng)絡安全綜合防御體系SL3 30
2.4 網(wǎng)絡安全支持和促進SL4 32
2.5 網(wǎng)絡安全文化SL5 34
2.6 網(wǎng)絡安全規(guī)劃與能力建設SL6 35
第3章 安全物理環(huán)境評估準則及使用指引 38
3.1 物理位置選擇PE1 38
3.2 物理訪問控制PE2 43
3.3 機房物理防護PE3 45
3.4 電力供應PE4 50
第4章 安全通信網(wǎng)絡評估準則及使用指引 53
4.1 網(wǎng)絡架構SN1 54
4.2 云計算網(wǎng)絡架構SN2 57
4.3 工業(yè)控制系統(tǒng)網(wǎng)絡架構SN3 60
4.4 通信傳輸SN4 63
4.5 可信驗證SN5 66
4.6 大數(shù)據(jù)安全通信網(wǎng)絡SN6 67
第5章 安全區(qū)域邊界評估準則及使用指引 69
5.1 邊界防護RB1 70
5.2 邊界訪問控制RB2 72
5.3 入侵�����、惡意代碼和垃圾郵件防范RB3 76
5.4 邊界安全審計和可信驗證RB4 79
5.5 云計算邊界入侵防范RB5 82
5.6 移動互聯(lián)邊界防護和入侵防范RB6 84
5.7 物聯(lián)網(wǎng)邊界入侵防范和接入控制RB7 86
5.8 工業(yè)控制系統(tǒng)邊界防護RB8 88
第6章 安全計算環(huán)境評估準則及使用指引 91
6.1 身份鑒別CE1 92
6.2 訪問控制CE2 97
6.3 安全審計和可信驗證CE3 101
6.4 入侵和惡意代碼防范CE4 105
6.5 數(shù)據(jù)完整性和保密性CE5 111
6.6 數(shù)據(jù)備份恢復CE6 118
6.7 剩余信息和個人信息保護CE7 121
6.8 云計算環(huán)境鏡像和快照保護CE8 126
6.9 移動終端和應用管控CE9 127
6.10 物聯(lián)網(wǎng)設備和數(shù)據(jù)安全CE10 129
6.11 工業(yè)控制系統(tǒng)控制設備安全CE11 133
6.12 大數(shù)據(jù)安全計算環(huán)境CE12 135
第7章 安全建設管理評估準則及使用指引 143
7.1 定級備案和等級測評SC1 144
7.2 方案設計和產(chǎn)品采購SC2 146
7.3 軟件開發(fā)SC3 151
7.4 工程實施與測試交付SC4 154
7.5 服務供應商的選擇SC5 157
7.6 移動應用安全建設擴展要求SC6 161
7.7 工業(yè)控制系統(tǒng)安全建設擴展要求SC7 162
7.8 大數(shù)據(jù)安全建設擴展要求SC8 163
第8章 安全運維管理評估準則及使用指引 165
8.1 環(huán)境管理SO1 166
8.2 資產(chǎn)和配置管理SO2 168
8.3 設備維護和介質管理SO3 170
8.4 網(wǎng)絡和系統(tǒng)安全管理SO4 173
8.5 漏洞和惡意代碼防范SO5 178
8.6 密碼管理SO6 180
8.7 變更管理SO7 184
8.8 備份與恢復管理SO8 186
8.9 外包運維管理SO9 188
8.10 物聯(lián)網(wǎng)感知節(jié)點管理SO10 189
8.11 大數(shù)據(jù)安全運維管理SO11 191
第9章 安全監(jiān)測防護評估準則及使用指引 194
9.1 安全管理中心MP1 195
9.2 集中管控MP2 197
9.3 云計算集中管控MP3 200
9.4 安全事件處置MP4 202
9.5 應急預案管理MP5 204
9.6 情報收集與利用MP6 207
9.7 值班值守MP7 208
9.8 實戰(zhàn)演練MP8 210
9.9 研判整改MP9 211
第10章 安全管理保障評估準則及使用指引 213
10.1 安全策略和管理制度SM1 214
10.2 崗位設置和人員配備SM2 217
10.3 授權審批和溝通合作SM3 221
10.4 安全檢查和審計監(jiān)督SM4 223
10.5 人員錄用和離崗SM5 225
10.6 安全教育和培訓SM6 228
10.7 外部人員訪問管理SM7 230
附錄A 網(wǎng)絡安全評估領域代碼對照表 233
附錄B 網(wǎng)絡安全評估領域及各子領域業(yè)績目標匯總表 234
附錄C 網(wǎng)絡安全評估準則評估項與等級保護基本要求條款詳細對照表 242
參考文獻 249
致謝
書單推薦
