本书共分11章，主要包括网络安全概论、网络安全等级保护的定级、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全建设管理、安全策略和管理制度、安全管理机构和人员、安全运维管理、法律法规汇编等。

刘运席，清华大学电子科学与信息技术专业毕业，山东省人民政府办公厅工作 ，山东省网络安全专家库首批专家委员会专家，长期从事信息化建设和网络安全研究。

第1章　引　言 / 1
第2章 网络安全等级保护的定级 / 3
2．1 网络安全等级保护及发展历程 / 3
2．2 网络安全定级的意义 / 4
2．3 网络安全定级的依据 / 5
2．4 网络安全定级的流程 / 8
2．4．1 确定网络安全等级保护对象 / 9
2．4．2 初步确定网络安全保护等级 / 11
2．4．3 专家评审 / 13
2．4．4 主管部门审核 / 14
2．4．5 公安机关备案审查 / 14
2．4．6 等级变更 / 14
第3章 物理和环境安全 / 15
3．1 物理和环境安全风险 / 15
3．2 物理和环境安全目标 / 15
3．3 物理和环境安全要求 / 15
3．4 物理和环境安全措施 / 17
第4章 网络和通信安全 / 25
4．1 网络和通信安全风险 / 25
4．2 网络和通信安全目标 / 25
4．3 网络和通信安全要求 / 26
4．4 网络和通信安全措施 / 28
4．4．1 网络架构安全措施 / 28
4．4．2 通信传输安全措施 / 29
4．4．3 边界防护安全措施 / 31
4．4．4 访问控制安全措施 / 33
4．4．5 入侵防范安全措施 / 41
4．4．6 恶意代码防范安全措施 / 45
4．4．7 网络安全审计措施 / 49
4．4．8 集中管控安全措施 / 50
第5章 设备和计算安全 / 53
5．1 设备和计算的安全风险 / 53
5．2 设备和计算安全防护目标 / 53
5．3 设备和计算安全要求 / 54
5．4 设备和计算安全措施 / 55
第6章 应用和数据安全 / 64
6．1 应用和数据安全面临的风险 / 64
6．2 应用和数据安全防护目标 / 65
6．3 应用和数据安全要求 / 66
6．4 应用和数据安全措施 / 70
6．5 WEB应用防护 / 77
6．5．1 Web应用安全概述 / 78
6．5．2 Web应用面临的主要风险和漏洞 / 78
6．5．3 Web应用安全防护关键点分析 / 79
6．5．4 主要Web应用防护工具 / 80
第7章 安全建设管理 / 83
7．1 安全建设管理风险 / 83
7．2 安全建设管理目标 / 83
7．3 安全建设管理要求 / 83
7．4 安全建设管理措施 / 86
第8章 安全策略和管理制度 / 94
8．1 安全策略和管理制度的风险 / 94
8．2 安全策略和管理制度的目标 / 95
8．3 安全策略和管理制度的要求 / 95
8．4 安全策略和管理制度的措施 / 96
8．4．1 安全策略的措施 / 96
8．4．2 安全管理制度的措施 / 101
第9章 安全管理机构和人员 / 108
9．1 安全管理机构和人员风险 / 108
9．2 安全管理机构和人员管理目标 / 108
9．3 安全管理机构和人员管理要求 / 108
9．4 安全管理机构和人员管理措施 / 111
第10章 安全运维管理 / 122
10．1 安全运维管理风险 / 122
10．2 安全运维管理目标 / 122
10．3 安全运维管理要求 / 122
10．4 安全运维管理措施 / 126
10．4．1 环境管理安全措施 / 126
10．4．2 资产管理安全措施 / 129
10．4．3 介质管理安全措施 / 130
10．4．4 设备维护管理安全措施 / 133
10．4．5 漏洞和风险管理安全措施 / 135
10．4．6 网络和系统安全管理 / 136
10．4．7 恶意代码防范管理安全措施 / 137
10．4．8 配置管理安全措施 / 138
10．4．9 密码管理安全措施 / 139
10．4．10 变更管理安全措施 / 139
10．4．11 备份与恢复管理 / 141
10．4．12 安全事件处置 / 142
10．4．13 应急预案管理 / 143
10．4．14 外包运维管理 / 163
第11章 法律法规汇编 / 165
11．1 法律 / 165
11．1．1 全国人民代表大会常务委员会关于维护互联网安全的决定 / 165
11．1．2 全国人民代表大会常务委员会关于加强网络信息保护的决定 / 167
11．1．3 中华人民共和国网络安全法 / 168
11．2 行政法规 / 180
11．2．1 中华人民共和国计算机信息系统安全保护条例 / 180
11．2．2 中华人民共和国计算机信息网络国际联网管理暂行规定 / 183
11．2．3 计算机信息网络国际联网安全保护管理办法 / 185
11．3 部门规章 / 189
11．3．1 计算机信息系统安全专用产品检测和销售许可证管理办法 / 189
11．3．2 信息安全等级保护管理办法 / 192
11．3．3 国家电子政务工程建设项目管理暂行办法 / 200
11．3．4 互联网域名管理办法 / 215
11．4 政策文件 / 224
11．4．1 风险评估相关政策 / 224
11．4．2 工控安全相关政策 / 228
11．4．3 物联网安全相关政策 / 231
参考文献 / 236

当前，网络空间和国家的发展、国家的安全以及国民的生活联系越来越紧密。信息化已深入人们工作、学习和生活的各个方面，深刻改变了人们的生活方式和生活习惯。网络空间已经成为广大人民共同的精神家园。网络空间天朗气清、生态良好，才能符合人民利益和精神追求。树立正确的网络安全观，加快构建网络安全保障体系，全天候、全方位感知网络安全态势，增强网络安全防御能力和威慑能力，对建设网络强国意义重大。网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任已经是政府、企业、社会组织、广大网民的共识。而做好网络安全工作，从来不是一件容易的事情，需要广大人民共同地不懈努力。

我国网络安全法明确规定，“国家实行网络安全等级保护制度。”网络运营者应当按照网络安全等级保护制度的要求，“保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取篡改”。而如何从遵从我国法律法令的规定，执行网络安全等级保护工作要求，提高工作效率、降低工作强度和压力、需要参考一些成功的经验和借鉴一些方法和理论上的指导。这是许多网络的运营者，使用者迫切的需求。

本书编写组成员大都为网络安全管理和服务的一线工作者，他们深知做好网络安全工作的重要性，也经历过工作中因为缺乏基础知识和实践经验带来的困惑和难题。他们的经验总结对于广大网络安全从业者指导网络安全管理工作是非常宝贵的。

随着《中华人民共和国网络安全法》（以下简称《网络安全法》）的逐步深入实施，《关键信息基础设施安全保护条例》已经进入送审阶段；《网络安全等级保护条例（征求意见稿）》已经和大家见面；信息安全技术云计算服务安全指

南系列标准。（等保2.0系列标准）在大力推进并陆续发布中，有效推动网络运营者的信息系统合法、合规、合标的规范化。大家也越来越认识到等级保护工作的重要性，等级保护制度上升到法律要求层面后，这已成为我们做好网络安全保障的一项基本工作。

本书以等保2.0标准为主线，以等级保护三级信息系统为案例，分别从管理和技术角度表述了网络安全的主要安全风险、安全管理目标、安全保障要求和应实行的安全措施等。

本书的最大特点是将网络安全等级保护要求在技术和管理上有机地结合在一起，针对不同要求逐条分析。既比较系统完整地介绍了如何遵循法律法规进行管理，又尝试为读者解读如何执行等级保护的网络安全的相关技术标准，从而实现网络安全管理能力和技术水平的两方面提升。

信息化技术及应用的发展令人目不暇接，我国当前也正处于一个高速发展阶段，各方面要素都变化极快，书中涉及内容广泛，难以对所有的网络安全保护需求都做到滴水不漏，难免会有不妥或已经过时之处，希望大家在阅读时以与时俱进的态度分析汲取有益的经验和知识，相信本书会对大家的工作学习提供很好的帮助。

网络安全工作任重而道远，让我们牢记习近平主席的嘱托，不忘初心，牢记使命，继续前行，为构建健康和谐的网络环境，为将我们伟大的国家建设成网络强国而共同努力。

二〇一八年八月十五日