网络安全管理

第1章 引言 1

第2章 网络安全等级保护的定级 3

2.1 网络安全等级保护及发展历程 3

2.2 网络安全定级的意义 4

2.3 网络安全定级的依据 5

2.4 网络安全定级的流程 8

2.4.1 确定网络安全等级保护对象 9

2.4.2 初步确定网络安全保护等级 11

2.4.3 专家评审 13

2.4.4 主管部门审核 14

2.4.5 公安机关备案审查 14

2.4.6 等级变更 14

第3章 物理和环境安全 15

3.1 物理和环境安全风险 15

3.2 物理和环境安全目标 15

3.3 物理和环境安全要求 15

3.4 物理和环境安全措施 17

第4章 网络和通信安全 25

4.1 网络和通信安全风险 25

4.2 网络和通信安全目标 25

4.3 网络和通信安全要求 26

4.4 网络和通信安全措施 28

4.4.1 网络架构安全措施 28

4.4.2 通信传输安全措施 29

4.4.3 边界防护安全措施 31

4.4.4 访问控制安全措施 33

4.4.5 入侵防范安全措施 41

4.4.6 恶意代码防范安全措施 45

4.4.7 网络安全审计措施 49

4.4.8 集中管控安全措施 50

第5章 设备和计算安全 53

5.1 设备和计算的安全风险 53

5.2 设备和计算安全防护目标 53

5.3 设备和计算安全要求 54

5.4 设备和计算安全措施 55

第6章 应用和数据安全 64

6.1 应用和数据安全面临的风险 64

6.2 应用和数据安全防护目标 65

6.3 应用和数据安全要求 66

6.4 应用和数据安全措施 70

6.5 Web应用防护 77

6.5.1 Web应用安全概述 78

6.5.2 Web应用面临的主要风险和漏洞 78

6.5.3 Web应用安全防护关键点分析 79

6.5.4 主要Web应用防护工具 80

第7章 安全建设管理 83

7.1 安全建设管理风险 83

7.2 安全建设管理目标 83

7.3 安全建设管理要求 83

7.4 安全建设管理措施 86

第8章 安全策略和管理制度 94

8.1 安全策略和管理制度的风险 94

8.2 安全策略和管理制度的目标 95

8.3 安全策略和管理制度的要求 95

8.4 安全策略和管理制度的措施 96

8.4.1 安全策略的措施 96

8.4.2 安全管理制度的措施 101

第9章 安全管理机构和人员 108

9.1 安全管理机构和人员风险 108

9.2 安全管理机构和人员管理目标 108

9.3 安全管理机构和人员管理要求 108

9.4 安全管理机构和人员管理措施 111

第10章 安全运维管理 122

10.1 安全运维管理风险 122

10.2 安全运维管理目标 122

10.3 安全运维管理要求 122

10.4 安全运维管理措施 126

10.4.1 环境管理安全措施 126

10.4.2 资产管理安全措施 129

10.4.3 介质管理安全措施 130

10.4.4 设备维护管理安全措施 133

10.4.5 漏洞和风险管理安全措施 135

10.4.6 网络和系统安全管理 136

10.4.7 恶意代码防范管理安全措施 137

10.4.8 配置管理安全措施 138

10.4.9 密码管理安全措施 139

10.4.10 变更管理安全措施 139

10.4.11 备份与恢复管理 141

10.4.12 安全事件处置 142

10.4.13 应急预案管理 143

10.4.14 外包运维管理 163

第11章 法律法规汇编 165

11.1 法律 165

11.1.1 全国人民代表大会常务委员会关于维护互联网安全的决定 165

11.1.2 全国人民代表大会常务委员会关于加强网络信息保护的决定 167

11.1.3 中华人民共和国网络安全法 168

11.2 行政法规 180

11.2.1 中华人民共和国计算机信息系统安全保护条例 180

11.2.2 中华人民共和国计算机信息网络国际联网管理暂行规定 183

11.2.3 计算机信息网络国际联网安全保护管理办法 185

11.3 部门规章 189

11.3.1 计算机信息系统安全专用产品检测和销售许可证管理办法 189

11.3.2 信息安全等级保护管理办法 192

11.3.3 国家电子政务工程建设项目管理暂行办法 200

11.3.4 互联网域名管理办法 215

11.4 政策文件 224

11.4.1 风险评估相关政策 224

11.4.2 工控安全相关政策 228

11.4.3 物联网安全相关政策 231

参考文献 236