新書推薦:
《
情绪传染(当代西方社会心理学名著译丛)
》
售價:NT$
403.0
《
中国年画 1950-1990 THE NEW CHINA: NEW YEAR PICTURE 英文版
》
售價:NT$
1100.0
《
革命与反革命:社会文化视野下的民国政治(近世中国丛书)
》
售價:NT$
435.0
《
画楼:《北洋画报》忆旧(年轮丛书)
》
售價:NT$
1573.0
《
大国脊梁:漫画版
》
售價:NT$
374.0
《
跟着渤海小吏读历史:大唐气象(全三册)
》
售價:NT$
989.0
《
心智的构建:大脑如何创造我们的精神世界
》
售價:NT$
352.0
《
美国小史(揭秘“美国何以成为美国”,理解美国的经典入门读物)
》
售價:NT$
352.0
|
編輯推薦: |
l 提出网络安全领导力、网络安全绩效责任、网络安全监测防护、从“止于合规”到“持续守住打赢”以及实战化驱动的网络安全能力评估等新理念、新架构和新方法。
l 融合了网络安全三同步原则、三化六防措施、本体安全和本质安全等要求,构成体系化的评估准则和简明易用的实战化指引。
|
內容簡介: |
本书借鉴国际核能领域核安全同行评估体系、标准、方法和成功实践,以网络安全等级保护2.0核心标准(GB/T 22239—2019)第四级安全要求为主体框架,以“持续提升网络安全防护能力,持续打赢网络安全保卫战”为根本目标,介绍了网络安全同行评估的组织、流程、技术和方法。在充分吸收近年来电力、金融、电信、交通、水利、石油石化、电子政务和公共服务等行业的网络安全实战防护经验基础上,提出了网络安全领导力、网络安全绩效责任、网络安全监测防护、从“止于合规”到“持续守住打赢”以及实战化驱动的网络安全能力评估等新理念、新架构和新方法。 本书可作为网络安全专业测评和咨询服务从业者的实战手册,也可作为高等院校网络空间安全专业师生的参考用书。
|
目錄:
|
第1章同行评估概述001
1.1同行评估的国外实践002
1.2同行评估的国内实践003
1.3同行评估的目的和特点004
1.4同行评估体系要素005
1.5同行评估工作过程和规范要求007
1.6同行评估中的业绩目标与准则008
1.7同行评估中的风险规避009
第2章网络安全业绩目标与准则010
2.1网络安全领导力业绩目标与评估准则014
2.1.1网络安全观和承诺014
2.1.2网络安全组织与责任015
2.1.3网络安全防御体系015
2.1.4网络安全支持和促进016
2.1.5网络安全文化016
2.1.6网络安全规划与能力建设017
2.2安全物理环境业绩目标与评估准则018
2.2.1物理位置选择018
2.2.2物理访问控制019
2.2.3机房物理防护020
2.2.4电力供应021
2.3安全通信网络业绩目标与评估准则021
2.3.1网络架构022
2.3.2云计算网络架构022
2.3.3工控系统网络架构023
2.3.4通信传输024
2.3.5可信验证024
2.3.6大数据安全通信网络025
2.4安全区域边界业绩目标与评估准则025
2.4.1边界防护026
2.4.2边界访问控制027
2.4.3入侵、恶意代码和垃圾邮件防范028
2.4.4边界安全审计和可信验证028
2.4.5云计算边界入侵防范029
2.4.6移动互联边界防护和入侵防范030
2.4.7物联网边界入侵防范和接入控制031
2.4.8工控系统边界防护031
网络安全评估实战目录002.5安全计算环境业绩目标与评估准则032
2.5.1身份鉴别033
2.5.2访问控制033
2.5.3安全审计和可信验证034
2.5.4入侵和恶意代码防范035
2.5.5数据完整性和保密性036
2.5.6数据备份恢复037
2.5.7剩余信息和个人信息保护038
2.5.8云计算环境镜像和快照保护038
2.5.9移动终端和应用管控039
2.5.10物联网设备和数据安全040
2.5.11工控系统控制设备安全041
2.5.12大数据安全计算环境041
2.6安全建设管理业绩目标与评估准则043
2.6.1定级备案和等级测评043
2.6.2方案设计和产品采购044
2.6.3软件开发045
2.6.4工程实施与测试交付046
2.6.5服务供应商选择047
2.6.6移动应用安全建设扩展要求048
2.6.7工控系统安全建设扩展要求048
2.6.8大数据安全建设扩展要求049
2.7安全运维管理业绩目标与评估准则049
2.7.1环境管理050
2.7.2资产和配置管理051
2.7.3设备维护和介质管理051
2.7.4网络和系统安全管理052
2.7.5漏洞和恶意代码防范053
2.7.6密码管理054
2.7.7变更管理054
2.7.8备份与恢复管理055
2.7.9外包运维管理056
2.7.10物联网节点设备管理056
2.7.11大数据安全运维管理057
2.8安全监测防护业绩目标与评估准则058
2.8.1安全管理中心058
2.8.2集中管控059
2.8.3云计算集中管控060
2.8.4安全事件处置060
2.8.5应急预案管理061
2.8.6情报收集与利用062
2.8.7值班值守062
2.8.8实战演练063
2.8.9研判整改064
2.9安全管理保障业绩目标与评估准则064
2.9.1安全策略和管理制度065
2.9.2岗位设置和人员配备065
2.9.3授权审批和沟通合作066
2.9.4安全检查和审计监督067
2.9.5人员录用和离岗068
2.9.6安全教育和培训068
2.9.7外部人员访问管理069
第3章网络安全同行评估任务设计071
3.1同行评估工作目标和基本思路072
3.2确定同行评估的内容073
3.2.1同行评估内容确定方法075
3.2.2同行评估内容确定原则075
3.2.3同行评估内容应覆盖系统全生命周期076
3.3明确同行评估的任务077
3.4编制同行评估任务作业指导书077
3.4.1选定对应的业绩目标078
3.4.2确定具体评估对象078
3.4.3选定评估准则和评估项081
3.5同行评估典型任务作业指导书要点084
3.5.1网络结构安全评估作业指导书要点084
3.5.2网络安全建设管理评估作业指导书要点086
3.5.3工控系统本体安全及其运维管理评估作业指导书要点088
3.5.4生产管理系统本体安全及其运维管理评估作业指导书要点092
3.5.5经营管理系统本体安全及其运维管理评估作业指导书要点095
3.5.6移动应用系统本体安全及其运维管理评估作业指导书要点097
3.5.7互联网应用系统本体安全及其运维管理评估作业指导书要点100
3.5.8集权类系统本体安全及其运维管理评估作业指导书要点102
3.5.9网络基础设施物理环境安全评估作业指导书要点106
3.5.10网络安全运维管理能力评估作业指导书要点107
3.5.11网络安全监测防护能力评估作业指导书要点108
3.5.12网络安全管理体系及其执行有效性评估作业指导书要点109
3.5.13全员网络安全意识和基本技能评估作业指导书要点110
3.5.14网络安全整体领导力和推进力评估作业指导书要点112
3.6同行评估任务的总体统筹113
3.6.1始终注重整体安全防护能力113
3.6.2遵循实战化驱动的同行评估思路116
第4章网络安全同行评估组织和流程119
4.1同行评估组织与成员分工120
4.2同行评估流程和具体工作124
4.2.1评估准备124
4.2.2现场评估127
4.2.3报告编制133
4.2.4评估回访133
第5章网络安全同行评估技术和方法135
5.1同行评估技术和方法136
5.2同行评估常用文件编制要点142
5.2.1编制和审阅先期文件包142
5.2.2评估发现和准确描述事实143
5.2.3编制和修改审定观察报告148
5.2.4编制和完善基本问题描述150
5.2.5编制审定待改进项152
5.2.6编制和审定强项及领域小结154
5.2.7编制和审定同行评估报告156
第6章实战化驱动的网络安全同行评估159
6.1为什么需要实战化驱动160
6.2通过实战化评估发现事实漏洞和缺陷161
6.2.1实战化评估的业绩目标161
6.2.2实战化评估的目的162
6.2.3实战化评估的过程和特点162
6.2.4攻击方常用策略和战术167
6.2.5实战化评估发现事实漏洞和缺陷171
6.3从实战化看同行评估重点任务和评估要点172
6.3.1从实战化看同行评估的重点问题172
6.3.2从实战化看网络安全防护的关键产品175
6.3.3从实战化看网络安全防护的基本方法175
6.4同行评估时应关注的实战化防守策略176
6.4.1收缩战线评估177
6.4.2纵深防御评估178
6.4.3核心防护评估180
6.4.4协同作战评估181
6.4.5主动防御评估183
6.4.6应急处突评估185
6.4.7溯源反制评估185
6.4.8动态防御评估186
6.4.9精准防御评估186
6.4.10联防联控评估187
6.4.11整体防御评估188
6.4.12常态化防护评估189
附录A网络安全评估领域代码对照表192
附录B网络安全评估项与GB/T 22239—2019等级保护基本要求对照表193
附录C网络安全重点评估项编号/基本问题描述示例212
附录D工控系统常见的网络安全威胁及其描述219
附录E工控系统自身脆弱性及其描述221
参考文献226
致谢227
|
內容試閱:
|
网络安全的重要性和紧迫性已经不言而喻。随着一系列法律法规的颁布,依法治网的钟声越来越响亮了。近些年来,全球范围内网络安全事件频发,现实的挑战日益严峻,未来也更加纷繁复杂。网络安全作为国家安全的重要组成部分,已经受到党和国家以及社会各界的高度重视。2017年6月1日起《中华人民共和国网络安全法》(以下简称《网络安全法》)施行,网络安全正式上升到法治高度。2017年8月,中共中央批准《党委(党组)网络安全工作责任制实施办法》,明确提出: 班子主要负责人是网络安全的第一负责人,承担主要领导责任;主管网络安全的领导班子成员是直接负责人,承担重要领导责任。2019年4月,国务院国资委在《中央企业负责人经营业绩考核办法》中首次将网络安全事件与生产安全责任事故并重调查和考核。2020年1月1日起《中华人民共和国密码法》施行。2021年9月1日起《中华人民共和国数据安全法》《关键信息基础设施网络安全保护条例》施行。2021年11月1日起《中华人民共和国个人信息保护法》施行。“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”习近平总书记的指示已经深入人心。
网络安全责任重大、任务艰巨,各单位上下和所有从业者已经无法规避,必须迎难而上。无论是政府部门还是企事业各单位,一把手作为网络安全第一负责人如何担负好主要领导责任;分管领导作为网络安全直接负责人应肩负起重要领导责任;网络安全的部门负责人应自信地担负起本单位网络安全工作的管理责任,切实协助一把手和分管领导把网络安全工作全面谋划好、统筹部署好、有效落实好,“让领导放心,让自己安心”;单位内部网络安全专业技术人员应履行好网络安全规划建设、日常运维和安全保障的具体责任,面对日新月异的新技术应用和新安全挑战,持续有效地学习和提升网络安全技能,把网络安全工作做得更轻松、更从容;单位内部的所有IT系统用户,在不断深化和创新应用数字化技术的同时,应该认识到自己其实是网络安全防护的直接主体,应尽到“谁建设谁负责、谁使用谁负责”的网络安全防护责任和义务,而不是网络安全的旁观者和“意见领袖”;作为各单位网络安全建设的参与者,数字化产品和网络安全产品的研发者、供应商和服务商应履行好自身网络安全建设的法定责任和义务;为各单位提供网络安全咨询和技术服务的专业机构应站在国家安全、社会安全、企业安全和人民利益安全的高度,充分发挥自身专业技术优势,与各单位一起积极有效地协同作战,共同履行好保障网络安全的法定义务和社会责任。总之,网络安全生态中的所有参与方和从业者都必须肩负起自身维护网络安全的法律责任,正视并善于应对挑战,共同为数字化驱动的高质量发展保驾护航。
网络安全评估实战前言0000从“止于合规”到“持续守住打赢”,从被动接受检查和等级测评到主动开展自查和同行评估,是网络安全运营者实施主动防御的必然要求。不少单位的领导和从业者当前对网络安全工作目标的认识还基本处于“止于合规”的状态,满足于“上级检查能过,等级测评合格”。然而,随着网络安全外部威胁的加剧和内部数字化依赖度的增加,“合规”仅仅是网络安全工作的基线,能够针对各类威胁攻击“持续守住打赢”才是网络安全工作的真正目标。从“止于合规”到经受住实战考验,从实战演习“过关”到常态化实战防护“不出问题”,甚至能够主动溯源和有效反制,已经变得越来越重要和必要。上级检查是基于合规要求,按照法律法规、行业规范和标准导则等要求,自上而下进行检查,有针对性地发现问题并提出整改要求,是一种强制性的检查活动。等级测评是由符合条件的测评机构作为执行主体,按照等级保护基本要求周期性强制执行的一种针对已定级系统的测评活动,按照是否满足业务要求进行判定,服务于行业主管部门、网络安全监管部门以及使用和运营单位。这两种监督管理方式,对于网络安全运营者来说,是一种被动式、应付式的局部“体检”,难以深入、全面、及时地发现网络安全短板、弱项和风险隐患。本书借鉴国际核能领域开展同行评估的理念、体系、方法和最佳实践,在网络安全领域引入和建立同行评估体系,与网络安全等级测评和监督检查等方式有机结合,期望形成互补优势,更主动、更全面地支撑和促进各网络安全责任主体发自内心地愿意请同行“挑刺”、与同行分享,提高“评估发现、风险识别、轻重缓急、有序整改、持续提升”的闭环执行质量。本书认为,网络安全同行评估是网络安全管理方式和社会化服务体系的一种创新探索和有益实践。
同行评估提倡“追求卓越、聚焦管理、自律自愿、持续改进”,是贯彻依法治网、依标强网和落实“三化六防”措施的有效方式。当前,网络安全领导力不足、网络安全管理体系不完善、技术体系和措施执行不到位、重技术轻管理、重投产后修补加固轻本体安全源头设计、重当前头痛医头轻持续能力提升、重数字化建设轻网络安全建设和监测运营等,已经成为“持续守住打赢”目标下的共性顽症。在国际核能领域,领域业绩目标与评估准则是同行评估的核心标准,凝聚了该领域所追求的管理绩效目标和最佳管理实践。因此,网络安全同行评估的关键要素就是设计一套符合国家法律法规、安全标准和最佳实践的网络安全业绩目标与评估准则。本书以等级保护2.0核心标准《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)为主体框架,充分融合近些年来电力、金融、电信、交通、水利、石油石化、电子政务和公共服务等领域的网络安全优秀实践,提出网络安全领导力、网络安全分级业绩目标与责任制、从“止于合规”到“持续守住打赢”的网络安全工作目标以及实战化驱动的网络安全能力评估等新理念、新方法和新措施,将领导者、管理者、技术从业者、用户、产品研发和技术支持专业机构的责任与能力全面衔接协同,着力构建有实效的网络安全协同防御能力。本书体现了网络安全“三同步”原则、“三化六防”措施、基于可信免疫和信创体系的本体安全、基于“聚焦管理改进”和“打造网络安全文化”的本质安全等理念和要求,设计构建了网络安全业绩目标和评估准则,包括9大领域和71个子领域,其目的是使负责网络安全工作的领导和管理者以及所有网络安全从业者能够系统、全面和常态化地评估发现网络安全事实偏差,并以追求卓越的理念持续改进,始终保有“与威胁自适应和能对抗”的网络安全综合防护能力。为便于读者理解,下图展示了本书的内容框架。
实战化驱动的网络安全同行评估是有效查找短板、优化整改行动计划、促进本体和本质安全能力持续提升的有力措施。网络安全的本质在对抗,对抗的本质在攻防两端的能力较量。上述共性顽症其实是一系列老生常谈的问题,一个个简单朴素的道理,反复讲,反复强调,但实践证明确实是“讲百遍不如打一遍”。通过实网实战,以实际运行的网络与信息系统为目标,通过有组织、有监督的攻防对抗或攻击检测,尽可能模拟真实的网络攻击,全面检验网络与信息系统的实际安全性以及运维保障和应急处置的实际有效性,已经成为新形势下同行们普遍认同的促进网络安全综合防护能力提升的有效方式。实战化驱动的网络安全同行评估的基本目的就是把实网实战演练与网络安全同行评估的各自优势有效地衔接互补。先授权实施场外实战化评估,尽可能发现受评方网络本体实际存在的事实漏洞、短板和人因缺陷,揭示“什么被打穿”“如何被打穿”以及“为什么被打穿”;然后开展现场同行评估,协助受评方进行沙盘推演,分析这些问题对受评方业务连续性、核心竞争力、品牌影响力甚至对社会安全和国家安全可能产生的影响或后果,从而更加集中、快速和有针对性地查找网络本体的短板、人因缺陷及其产生这些问题的根本原因,支持受评方开展网络安全震撼教育,透过现象看本质,聚焦问题共分享,基于事实找原因,着眼打赢谈整改,为网络安全运营者提供更高质量和更富实效的同行评估服务,既着力当下快速整改的短板,有效防范现实的网络安全威胁,又放眼未来强化本体和本质安全能力,打造常态化、实战化的网络安全综合防御体系。
00不忘初心,牢记使命,未雨绸缪,直面挑战,有效协作,共享众创,持续提升网络安全能力,持续打赢网络安全保卫战。作为长期奋战在企业网络安全和数字化建设第一线的管理者和实践者,我与业界同行一样,一直经受着网络安全问题的严峻挑战和专业责任的拷问,因此也一直在努力探索和深入实践,并试图系统地提炼总结。网络安全属于典型的非传统安全领域,但传统安全领域提出的安全管理四要素(人的不安全行为、设备的不安全状态、环境的不安全因素及管理缺陷)对于网络安全管理同样完全适用。作为非IT专业出身的从业者,上述四要素模型一直是我关于网络安全治理和管理的思考框架。从2006年开始,我策划并构建了基于ISO 27001的信息安全管理体系,并持续至今坚持推动该体系的有效运转。从2010年开始,我引进国家级专业机构进行年度专项渗透检测并推动问题整改落实,逐步建立并不断完善网络安全攻防体系。从2016年开始,我策划和建立了核能行业网络安全同行评估标准体系,尝试开展了核电企业网络安全同行评估。从2019年开始,我参加了国家实网实战演练,同步探索构建和执行完善常态化、实战化的网络安全综合防御体系,按照“行动而非口头、本质而非形式、日常而非突击”的工作原则,形成了一套将等级保护2.0系列标准和“三化六防”措施落到实处的体系和方法。本书提出的网络安全评估实战指引就是这些年来的探索思考和实践总结。作为大家的同行,我发自内心地期望本书的探索、实践和总结能够为政府和各行业、各企业的网络安全与数字化转型工作领导者、管理者和网络安全技术从业者,为各行业协会、学会、咨询公司和专业机构网络安全规划、咨询、测评、评估等相关领域的从业者,为高等院校网络空间安全专业的教师、研究生和本专科学生,以及为其他涉及或关注网络安全工作的所有人,提供一套更系统地认识、更有效地评估和更从容地应对网络安全挑战的思维方式、业绩目标、评估准则和实战指引。限于作者水平,书中有不完善之处,恳请各位同行积极反馈您的实战经验和宝贵意见,以便本书再版时充实和修正,更持续有效地服务于各界同行。
同行相助,不畏艰辛,任重道远,携手奋进!
邹来龙2022年9月于上海
|
|