以就業(yè)為導(dǎo)向，以能力為本位

學(xué)習(xí)任務(wù)引領(lǐng)，工作需求驅(qū)動(dòng)

通用內(nèi)容為主，特殊內(nèi)容為輔

前 言

隨著我國(guó)經(jīng)濟(jì)的持續(xù)發(fā)展和國(guó)際地位的不斷提高，我國(guó)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全威脅和安全隱患十分嚴(yán)峻，計(jì)算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵猖獗，犯罪分子利用一些安全漏洞，使用黑客病毒技術(shù)、網(wǎng)絡(luò)釣魚(yú)技術(shù)、木馬間諜程序等進(jìn)行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法活動(dòng)，帶來(lái)了大量的社會(huì)問(wèn)題。出于對(duì)信息安全的重視，國(guó)家陸續(xù)出臺(tái)了信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估與管理的一系列文件和標(biāo)準(zhǔn)，用以促進(jìn)和指導(dǎo)信息安全的建設(shè)。

為加強(qiáng)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)建設(shè)和管理，規(guī)范等級(jí)測(cè)評(píng)活動(dòng)，保障信息安全等級(jí)保護(hù)測(cè)評(píng)工作的順利開(kāi)展，公安部下發(fā)了《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知》（公信安[2010]303號(hào)），對(duì)等級(jí)測(cè)評(píng)工作、等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè)以及等級(jí)測(cè)評(píng)人員進(jìn)行了規(guī)范和要求。要求開(kāi)展等級(jí)測(cè)評(píng)的人員要參加專(zhuān)門(mén)培訓(xùn)和考試，并取得由公安部信息安全等級(jí)保護(hù)評(píng)估中心頒發(fā)的“信息安全等級(jí)測(cè)評(píng)師證書(shū)”（等級(jí)測(cè)評(píng)師分為初級(jí)、中級(jí)和高級(jí)），持證上崗。

本書(shū)根據(jù)高職高專(zhuān)教育教學(xué)特點(diǎn)，面向等級(jí)保護(hù)測(cè)評(píng)師崗位，以等級(jí)保護(hù)工作實(shí)施過(guò)程所需的技術(shù)為主線(xiàn)選擇教材內(nèi)容，闡述如何對(duì)一個(gè)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)定級(jí)、安全設(shè)計(jì)、安全建設(shè)、安全測(cè)評(píng)、安全整改等有關(guān)等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估的相關(guān)工作。全書(shū)共分七個(gè)章節(jié)，具體內(nèi)容安排如下：

第一章，介紹了等級(jí)保護(hù)的基礎(chǔ)知識(shí)，內(nèi)容包括：等級(jí)保護(hù)的來(lái)源、發(fā)展，等級(jí)保護(hù)的基本含義、實(shí)施原則，等級(jí)保護(hù)的相關(guān)工作部門(mén)，以及相關(guān)標(biāo)準(zhǔn)簡(jiǎn)介等。

第二章，介紹了等級(jí)保護(hù)的實(shí)施過(guò)程，主要包括等級(jí)保護(hù)五個(gè)環(huán)節(jié)：信息系統(tǒng)定級(jí)、總體安全規(guī)劃、安全設(shè)計(jì)與實(shí)施、安全運(yùn)行與維護(hù)和信息系統(tǒng)終止的主要工作內(nèi)容和工作方法等。

第三章，介紹了信息系統(tǒng)定級(jí)的方法，包括信息系統(tǒng)定級(jí)的重要性、定級(jí)要素、主要的定級(jí)過(guò)程，并以學(xué)生最為熟悉的高校教育信息系統(tǒng)為例詳細(xì)描述了定級(jí)的方法和應(yīng)用。

第四章，介紹了信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的方法和過(guò)程，主要包括等級(jí)保護(hù)測(cè)評(píng)實(shí)施過(guò)程、測(cè)評(píng)對(duì)象的確定方法、測(cè)評(píng)內(nèi)容和測(cè)評(píng)要求，以及測(cè)評(píng)方案和測(cè)評(píng)報(bào)告的編制。

第五章，介紹了基于等級(jí)保護(hù)的信息系統(tǒng)安全建設(shè)與整改方法，包括新建系統(tǒng)等級(jí)保護(hù)設(shè)計(jì)和已建系統(tǒng)的整改方案設(shè)計(jì)等。

第六章，介紹了根據(jù)國(guó)家對(duì)“數(shù)字海洋”應(yīng)用系統(tǒng)的定級(jí)要求，及等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)進(jìn)行建設(shè)方案的分析與設(shè)計(jì)的過(guò)程和方法。

第七章，介紹了信息安全風(fēng)險(xiǎn)評(píng)估的基本概念、原則和要求等，給出了信息安全風(fēng)險(xiǎn)評(píng)估的一般方法和流程。

本書(shū)適合作為計(jì)算機(jī)相關(guān)專(zhuān)業(yè)開(kāi)設(shè)的“信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估”課程的配套教材，也適合作為考取“信息安全等級(jí)保護(hù)測(cè)評(píng)師”的學(xué)習(xí)材料，對(duì)從事網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)的工程技術(shù)人員也有一定的參考價(jià)值。

本書(shū)由重慶電子工程職業(yè)學(xué)院教師李賀華任主編（編寫(xiě)第1、2、3、5和7章），武春嶺、魯先志、巍嵬（西安理工大學(xué)）和宋敦波（西昌學(xué)院）任副主編（編寫(xiě)第4、6章和附錄），最后由巍嵬博士統(tǒng)稿，胡云兵、李騰、何倩、童均等老師參與部分內(nèi)容的審稿和修訂，對(duì)本書(shū)編寫(xiě)提出了寶貴意見(jiàn)。本書(shū)在編寫(xiě)過(guò)程中參考了大量的國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、專(zhuān)著、教材和網(wǎng)絡(luò)資源等，在此對(duì)其作者表示衷心的感謝。另外，由于編者水平有限，書(shū)中難免存在不妥甚至錯(cuò)誤之處，請(qǐng)廣大讀者批評(píng)指正，不勝感激。編者的聯(lián)系方法：lihehuacqcet@yeah.net。

前言

第1章 信息安全與等級(jí)保護(hù)概述 1
1.1 等級(jí)保護(hù)的基本概念 1
1.1.1 什么是等級(jí)保護(hù) 1
1.1.2 等級(jí)保護(hù)的來(lái)源與發(fā)展 2
1.1.3 安全等級(jí)的劃分 3
1.1.4 等級(jí)保護(hù)基本原則 4
1.2 等級(jí)保護(hù)主要標(biāo)準(zhǔn)介紹 5
1.2.1 相關(guān)標(biāo)準(zhǔn)及其體系結(jié)構(gòu) 5
1.2.2 十大主要標(biāo)準(zhǔn)作用簡(jiǎn)介 9
1.3 等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng) 11
1.3.1 三者的基本概念和工作背景 11
1.3.2 三者的內(nèi)在聯(lián)系與區(qū)別 12
1.3.3 在SDLC過(guò)程中三者的實(shí)施建議 14
思考與練習(xí) 16
第2章 等級(jí)保護(hù)工作的實(shí)施過(guò)程 17
2.1 等級(jí)保護(hù)主要工作 17
2.1.1 等級(jí)保護(hù)的實(shí)施流程 17
2.1.2 相關(guān)部門(mén)的工作責(zé)任 18
2.2 等級(jí)保護(hù)五個(gè)環(huán)節(jié) 19
2.2.1 信息系統(tǒng)定級(jí) 19
2.2.2 總體安全規(guī)劃 22
2.2.3 安全設(shè)計(jì)與實(shí)施 28
2.2.4 安全運(yùn)行與維護(hù) 36
2.2.5 信息系統(tǒng)終止 44
思考與練習(xí) 46
第3章 信息系統(tǒng)的等級(jí)保護(hù)定級(jí) 47
3.1 信息系統(tǒng)定級(jí)概述 47
3.1.1 信息系統(tǒng)定級(jí)的重要性 47
3.1.2 安全保護(hù)等級(jí)的定級(jí)要素 48
3.1.3 安全保護(hù)等級(jí)定級(jí)方法 49
3.2 等級(jí)保護(hù)定級(jí)主要過(guò)程 50
3.2.1 確定定級(jí)對(duì)象 50
3.2.2 確定受侵害的客體 50
3.2.3 確定對(duì)客體的侵害程度 51
3.2.4 確定定級(jí)對(duì)象的安全保護(hù)等級(jí) 52
3.2.5 等級(jí)變更 53
3.3 教育信息系統(tǒng)分析與定級(jí) 53
3.3.1 教育信息系統(tǒng)等級(jí)保護(hù)的對(duì)象 53
3.3.2 教育系統(tǒng)受破壞時(shí)侵害的客體 58
3.3.3 教育系統(tǒng)受到破壞對(duì)客體的侵害
程度 59
3.3.4 教育信息系統(tǒng)的等級(jí)保護(hù)級(jí)別 60
思考與練習(xí) 64
第4章 基于等級(jí)保護(hù)的安全測(cè)評(píng) 65
4.1 安全等級(jí)測(cè)評(píng)實(shí)施過(guò)程 65
4.1.1 測(cè)評(píng)申請(qǐng) 65
4.1.2 測(cè)評(píng)準(zhǔn)備 67
4.1.3 核查測(cè)評(píng) 68
4.1.4 測(cè)評(píng)結(jié)果評(píng)價(jià) 68
4.1.5 測(cè)評(píng)報(bào)告?zhèn)浒?69
4.2 確定測(cè)評(píng)對(duì)象的方法 69
4.2.1 等級(jí)測(cè)評(píng)執(zhí)行主體 69
4.2.2 測(cè)評(píng)對(duì)象確定原則 69
4.2.3 具體確定方法的說(shuō)明 70
4.3 等級(jí)保護(hù)測(cè)評(píng)內(nèi)容與實(shí)施 72
4.3.1 單元測(cè)評(píng)內(nèi)容（以三級(jí)系統(tǒng)為例） 72
4.3.2 整體測(cè)評(píng)內(nèi)容 108
4.4 測(cè)評(píng)方案與測(cè)評(píng)報(bào)告編制 110
4.4.1 測(cè)評(píng)方案編制示例 110
4.4.2 測(cè)評(píng)報(bào)告編制示例 121
思考與練習(xí) 123
第5章 等級(jí)保護(hù)安全建設(shè)與整改 125
5.1 等級(jí)保護(hù)建設(shè)整改概述 125
5.1.1 安全建設(shè)整改目的 125
5.1.2 安全建設(shè)工作內(nèi)容 126
5.1.3 安全建設(shè)整改工作流程 127
5.1.4 理解和掌握《信息安全技術(shù) 信息
系統(tǒng)安全等級(jí)保護(hù)基本要求》 128
5.2 新建系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì) 133
5.2.1 等級(jí)保護(hù)安全需求分析 133
5.2.2 安全等級(jí)與安全設(shè)計(jì) 135
5.2.3 總體安全設(shè)計(jì)方法 136
5.3 已建系統(tǒng)安全整改方案設(shè)計(jì) 142
5.3.1 確定系統(tǒng)改建的安全需求 142
5.3.2 存在差距的原因分析 142
5.3.3 分類(lèi)處理的改建措施 143
5.3.4 改建措施的詳細(xì)設(shè)計(jì) 143
5.4 安全管理措施的建設(shè)與整改 144
5.4.1 安全管理制度建設(shè)流程 144
5.4.2 落實(shí)安全管理措施 145
5.4.3 安全自查與調(diào)整 147
5.5 安全技術(shù)措施的建設(shè)與整改 147
5.5.1 安全技術(shù)建設(shè)整改流程 147
5.5.2 安全保護(hù)技術(shù)現(xiàn)狀分析 148
5.5.3 安全技術(shù)建設(shè)整改方案設(shè)計(jì) 149
5.5.4 安全建設(shè)整改工程管理 151
思考與練習(xí) 152
第6章 等級(jí)保護(hù)方案設(shè)計(jì)與分析 153
6.1 等級(jí)保護(hù)項(xiàng)目設(shè)計(jì)概述 153
6.1.1 項(xiàng)目設(shè)計(jì)要求與任務(wù) 153
6.1.2 等級(jí)保護(hù)的建設(shè)流程 154
6.1.3 建設(shè)方案參照的標(biāo)準(zhǔn) 155
6.1.4 安全區(qū)域框架 156
6.2 系統(tǒng)安全風(fēng)險(xiǎn)與需求分析 157
6.2.1 安全技術(shù)需求分析 157
6.2.2 安全管理的需求分析 160
6.3 安全技術(shù)體系方案設(shè)計(jì) 161
6.3.1 方案設(shè)計(jì)目標(biāo) 161
6.3.2 方案設(shè)計(jì)框架 161
6.3.3 安全技術(shù)體系設(shè)計(jì) 162
6.4 安全管理體系的設(shè)計(jì) 174
6.4.1 安全管理制度 174
6.4.2 安全管理機(jī)構(gòu) 175
6.4.3 人員安全管理 175
6.4.4 系統(tǒng)建設(shè)管理 175
6.4.5 系統(tǒng)運(yùn)維管理 175
6.5 安全運(yùn)維服務(wù)的設(shè)計(jì) 175
6.5.1 安全掃描 176
6.5.2 人工檢查 176
6.5.3 安全加固 176
6.5.4 日志分析 179
6.5.5 補(bǔ)丁管理 179
6.5.6 安全監(jiān)控 180
6.5.7 安全通告 181
6.5.8 應(yīng)急響應(yīng) 181
6.6 方案合規(guī)性分析 183
6.6.1 技術(shù)部分 183
6.6.2 管理部分 193
思考與練習(xí) 201
第7章 信息安全風(fēng)險(xiǎn)評(píng)估與實(shí)施 202
7.1 等級(jí)保護(hù)中的風(fēng)險(xiǎn)評(píng)估 202
7.1.1 風(fēng)險(xiǎn)評(píng)估對(duì)等級(jí)保護(hù)的意義 202
7.1.2 風(fēng)險(xiǎn)評(píng)估的主要依據(jù) 203
7.2 風(fēng)險(xiǎn)評(píng)估框架及流程 204
7.2.1 風(fēng)險(xiǎn)要素與屬性關(guān)系 204
7.2.2 風(fēng)險(xiǎn)分析主要內(nèi)容 205
7.2.3 風(fēng)險(xiǎn)評(píng)估一般流程 205
7.3 風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程 206
7.3.1 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備 206
7.3.2 資產(chǎn)識(shí)別 207
7.3.3 威脅識(shí)別 210
7.3.4 脆弱性識(shí)別 212
7.3.5 已有安全措施的確認(rèn) 214
7.3.6 風(fēng)險(xiǎn)分析 214
7.3.7 風(fēng)險(xiǎn)評(píng)估文件記錄 216
7.4 風(fēng)險(xiǎn)的計(jì)算方法 217
7.4.1 使用矩陣法計(jì)算風(fēng)險(xiǎn) 217
7.4.2 使用相乘法計(jì)算風(fēng)險(xiǎn) 221
7.5 風(fēng)險(xiǎn)評(píng)估的角色與工具 223
7.5.1 風(fēng)險(xiǎn)評(píng)估的形式及角色運(yùn)用 223
7.5.2 風(fēng)險(xiǎn)評(píng)估的工具 225
7.6 不同階段的不同評(píng)估要求 226
7.6.1 信息系統(tǒng)生命周期概述 226
7.6.2 生命周期各階段的風(fēng)險(xiǎn)評(píng)估 227
思考與練習(xí) 229
附錄1 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告 231
附錄2 信息系統(tǒng)安全等級(jí)保護(hù)備案表 235
附錄3 涉秘信息系統(tǒng)分級(jí)保護(hù)備案表 241
附錄4 信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模板 242
附錄5 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告模板 254
附錄6 等級(jí)測(cè)評(píng)師培訓(xùn)及考試指南 266
參考文獻(xiàn) 272

1. 信息系統(tǒng)管理工程師真題及�？季砭�析（適用機(jī)考） [主 編 薛大龍 程 剛 上官緒]
2. 信息系統(tǒng)管理工程師（適用第2版大綱）一站通關(guān) [指尖瘋　編著]
3. 基于AE與C#的地理信息系統(tǒng)二次開(kāi)發(fā) [李小根 賈艷昌 喬翠平 姜彤 ]
4. 信息系統(tǒng)管理工程師章節(jié)習(xí)題與考點(diǎn)特訓(xùn)（適配第2版考綱） [主 編 薛大龍 王建平]
5. 信息系統(tǒng)項(xiàng)目管理師考試32小時(shí)通關(guān)（適用第4版考綱） [薛大龍]
6. 信息系統(tǒng)管理工程師考試32小時(shí)通關(guān)（適配第2版考綱） [薛大龍　劉偉]
7. 信息系統(tǒng)項(xiàng)目管理師（適用第4版大綱）一站通關(guān) [指尖瘋]
8. 信息系統(tǒng)項(xiàng)目管理師考前沖刺100題（配套第四版大綱） [劉毅 朱小平 編著]
9. 信息系統(tǒng)項(xiàng)目管理師真題及沖刺卷精析（適用機(jī)考） [主編 薛大龍]
10. 信息系統(tǒng)監(jiān)理師章節(jié)習(xí)題與考點(diǎn)特訓(xùn)（適用第2版考綱） [薛大龍]
11. 信息系統(tǒng)監(jiān)理師考試32小時(shí)通關(guān) （第二版） [薛大龍]
12. 信息系統(tǒng)項(xiàng)目管理師案例分析一本通（第二版） [王樹(shù)文 編著]
13. 軟考論文高分特訓(xùn)與范文10篇—信息系統(tǒng)項(xiàng)目管理師（第二版） [主編 薛大龍]
14. 信息系統(tǒng)項(xiàng)目管理師章節(jié)習(xí)題與考點(diǎn)特訓(xùn)（第二版） [主編 薛大龍]
15. 信息系統(tǒng)項(xiàng)目管理師5天修煉（第四版） [施游 劉毅 編著]
16. 信息系統(tǒng)項(xiàng)目管理師考試32小時(shí)通關(guān)（第二版） [薛大龍]
17. 信息系統(tǒng)項(xiàng)目管理師備考一本通 [倪奕文 編著]
18. 信息系統(tǒng)項(xiàng)目管理師案例分析一本通 [王樹(shù)文]
19. 軟考論文高分特訓(xùn)與范文10篇—信息系統(tǒng)項(xiàng)目管理師 [薛大龍]
20. 信息安全技術(shù)基礎(chǔ)（第二版） [主編 張浩軍 陳莉 王峰]
21. 信息安全工程師5天修煉（第二版） [施游 朱小平 編著]
22. 系統(tǒng)規(guī)劃與管理師章節(jié)習(xí)題與考點(diǎn)特訓(xùn) [主編 薛大龍]
23. 管理信息系統(tǒng)（第三版） [王欣 編著]
24. 注冊(cè)消防工程師考前沖刺密卷（三合一） [靳紅雨 王躍琴 楊殿波 張福東]
25. 系統(tǒng)規(guī)劃與管理師真題精析與命題密卷 [主編 薛大龍]
26. 信息系統(tǒng)項(xiàng)目管理師真題精析與命題密卷 [薛大龍]
27. 信息系統(tǒng)監(jiān)理師真題精析與命題密卷 [薛大龍]
28. 管理信息系統(tǒng)教程 [黃珍生]
29. 信息系統(tǒng)監(jiān)理師考試32小時(shí)通關(guān) [薛大龍]
30. 信息系統(tǒng)項(xiàng)目管理師考試32小時(shí)通關(guān) [主編 薛大龍 ]